劉安平

(中國移動通信集團陜西有限公司，西安 710000)

IPv6協(xié)議是目前全球唯一公認的下一代互聯(lián)網(wǎng)商用解決方案，也是當前解決我國網(wǎng)絡(luò)地址短缺問題、支撐我國互聯(lián)網(wǎng)升級演進的唯一正確路徑，IPv6協(xié)議對物聯(lián)網(wǎng)、5G技術(shù)、云計算、人工智能等新興技術(shù)的發(fā)展有著重大影響[1]。其最大的特點是擁有近乎無限大的地址空間，同時在抗干擾性、移動性、私密性、安全性和自動配置特性都要優(yōu)于上一代，為在發(fā)展中解決網(wǎng)絡(luò)安全問題帶來了新機遇[2-5]?；诙鄥f(xié)議標記交換(Multiprotocol Label Switching,MPLS)技術(shù)的IP/MPLS協(xié)議解決了路由隔離、大規(guī)模組網(wǎng)、流量工程的問題，而在5G技術(shù)、云業(yè)務(wù)的推動下，MPLS的標簽擴展性，導(dǎo)致業(yè)務(wù)受限[6-10]。于是出現(xiàn)了將IPv6協(xié)議與分段路由(Segment Routing,SR)技術(shù)相結(jié)合的解決方案，以實現(xiàn)互聯(lián)網(wǎng)業(yè)務(wù)和電信級業(yè)務(wù)的技術(shù)統(tǒng)一[11-13]。

隨著物聯(lián)網(wǎng)、智慧城市、智能家居的發(fā)展，互聯(lián)網(wǎng)對IP地址的需求會呈指數(shù)式膨脹，而向IPv6協(xié)議過渡則成了解決這一問題的最有效方式。因此，2017年底，國家發(fā)布了《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》，明確要求加快推進IPv6協(xié)議規(guī)模部署，構(gòu)建高速率、廣普及、全覆蓋、智能化的下一代互聯(lián)網(wǎng)，陜西移動在2018年開始進行IPv6地址改造，目前全部業(yè)務(wù)已經(jīng)具備支持IPv6協(xié)議的能力，但IPv6協(xié)議改造完成后，如何管理卻成為運營商的難題，IPv6除了帶來了長度上的變化，也增加了許多新的技術(shù)和概念，包括新的轉(zhuǎn)發(fā)技術(shù)、路由、雙棧等。針對IPv6協(xié)議地址編碼標識識別麻煩，分配計算復(fù)雜，現(xiàn)網(wǎng)數(shù)據(jù)獲取困難，統(tǒng)計和分析方式低效，故障排查追蹤困難等問題，文中對CMNET網(wǎng)絡(luò)IPv6協(xié)議地址智能化管理方法進行研究，建立IPv6協(xié)議地址智能化管理平臺；對該平臺進行IPv6協(xié)議地址自動分配、IPv4/IPv6雙棧地址分析、全網(wǎng)地址發(fā)現(xiàn)、IPv6協(xié)議地址編碼分析等能力測試，以實現(xiàn)IPv6協(xié)議編碼標識、地址分配、現(xiàn)網(wǎng)發(fā)現(xiàn)、業(yè)務(wù)分析、地址統(tǒng)計的集中智能管理，為未來全國IPv6協(xié)議地址管理方案提供可借鑒的方法。

1 IPv6協(xié)議地址智能化管理

IPv6協(xié)議的特點在于網(wǎng)絡(luò)地址空間幾乎無限，可以按照統(tǒng)一標準實現(xiàn)全球萬物識別與互聯(lián)，包括虛擬萬物和邏輯萬物，且擁有永久性的獨立識別碼。 IPv6擁有高擴展性和強大的地址空間，即插即用，自動運行，更高的安全性，其RFC3775協(xié)議提供更強的移動性、魯棒性。針對IPv6協(xié)議可匯聚全球單播地址，將IPv6地址按網(wǎng)絡(luò)地址和用戶地址進行劃分，分為子網(wǎng)前綴和接口ID標識兩部分，IPv6地址前20位為固定前綴，前21～64位前綴標識地址類型、網(wǎng)絡(luò)類型、地域等信息。

研究CMNET網(wǎng)絡(luò)IPv6智能化管理的方法，并將該方法通過軟件系統(tǒng)實現(xiàn)，建設(shè)一套CMNET網(wǎng)絡(luò)IPv6地址智能化管理系統(tǒng)，既能提供清晰的編碼標識，也可以進行自動化的分配，保障在十六進制下的地址分配容錯率，支持全網(wǎng)地址發(fā)現(xiàn)，快速進行地址歸屬業(yè)務(wù)分析。CMNET網(wǎng)絡(luò)IPv6智能化管理體系架構(gòu)具體如下：① 可視化的IPv6地址編碼。支持界面可視化建模、根據(jù)IPv6編碼方案構(gòu)建出CMNET網(wǎng)絡(luò)全部的地址編碼標識方案，按128位前綴方案進行固定標識、類型標識、網(wǎng)絡(luò)標識、省份標識、地址標識、業(yè)務(wù)區(qū)分、區(qū)域分、其他類型區(qū)分等。系統(tǒng)通過對各類基本元素，以及業(yè)務(wù)元素間的組合、疊加與嵌套關(guān)系進行管理，搭建網(wǎng)絡(luò)業(yè)務(wù)數(shù)據(jù)模型，實現(xiàn)網(wǎng)絡(luò)業(yè)務(wù)的實體化。業(yè)務(wù)配置的基本元素如下：具體的設(shè)備；各類物理及邏輯端口；虛擬局域網(wǎng)(Virtual Local Area Network,VLAN)；虛擬專用網(wǎng)(Virtual Private Network,VPN) 技術(shù)；地址池(IP-POOL)。② 自動化的智能分配。按照無類別域間路由算法IP地址/網(wǎng)絡(luò)前綴的方式，分配網(wǎng)類地址；根據(jù)IPv6協(xié)議接入地址塊、IPv6協(xié)議接入地址塊前綴、IPv6協(xié)議接入地址省份標識、IPv6協(xié)議接入類型標識、IPv6協(xié)議接入?yún)^(qū)域標識、IPv6協(xié)議接入其他標識及IPv6地址已經(jīng)分配范圍，通過決策樹方式進行地址分配。CMNET網(wǎng)絡(luò)進行地址分配時，只需要選擇對應(yīng)區(qū)域、業(yè)務(wù)、類型等地址，地址分配就自動完成，極大提高生產(chǎn)效率，減少了人工分配消耗的時間，地址數(shù)據(jù)分配準確、有效。③ 智能化的IP地址采集。采用簡單網(wǎng)絡(luò)管理協(xié)議 (Simple Network Management Protocol，SNMP)、Internet控制報文協(xié)議(Internet Control Message Protocol，ICMP)和安全Shell協(xié)議(Secure Shell，SSH)，通過標準的SNMP+SSH+ICMP方式對CMNET網(wǎng)絡(luò)中核心設(shè)備、寬帶遠程接入服務(wù)器、路由器、交換機、防火墻進行定期地址掃描。掃描包括設(shè)備配置解析、鄰居表解析和路由表解析。解析內(nèi)容包括設(shè)備環(huán)路(Loopback)、鏈路地址、家庭寬帶用戶地址池、專線地址和自有業(yè)務(wù)地址。同時支持關(guān)聯(lián)分析，支持雙棧地址分析，根據(jù)VLAN、VPN等數(shù)據(jù)自動匹配每個IPv6地址上的業(yè)務(wù)。采用分布式方式對設(shè)備進行同步發(fā)現(xiàn)，發(fā)現(xiàn)數(shù)據(jù)全面，發(fā)現(xiàn)時間短，效率高，2 h內(nèi)就可以獲取CMNET全網(wǎng)數(shù)據(jù)，很好的解決了網(wǎng)絡(luò)管理中的難點，即全網(wǎng)IP地址使用情況的獲取，不用在靜態(tài)表格查詢方式下進行跟蹤，管理人員通過系統(tǒng)可以實時查看IPv6地址來源和路由情況，提高了生產(chǎn)效率。④ IPv6地址自動備案。所有IP地址使用數(shù)據(jù)必須及時進行備案錄入，傳統(tǒng)備案手段都是人工進行自主備案，沒有有效的管理手段。通過CMNET網(wǎng)絡(luò)IPv6地址智能管理系統(tǒng)，自動化分配IPv6地址，自動在備案庫中生成一條對應(yīng)的備案數(shù)據(jù)。根據(jù)分配地址的內(nèi)容填寫備案所需IPv6地址段、開始結(jié)束范圍、分配設(shè)備、端口、地市區(qū)縣、業(yè)務(wù)、負責人員的信息，實現(xiàn)了分配即備案。對現(xiàn)網(wǎng)已采集到的數(shù)據(jù)和導(dǎo)入的備案進行核查，進行數(shù)據(jù)有效性檢測，核查IP地址缺失及內(nèi)容錯誤，提升備案數(shù)據(jù)質(zhì)量，保障數(shù)據(jù)一致性與準確性。

2 案例分析

陜西移動地址編碼包括地址類型、省與專業(yè)標識、網(wǎng)絡(luò)地址業(yè)務(wù)或區(qū)縣編碼、地市標識、設(shè)備層級、設(shè)備類型，編碼包含CMNET網(wǎng)絡(luò)全部的IPv6地址。每一位地址編碼都有具體的編碼標識。大規(guī)模地址空間給手工管理、IPv6地址跟蹤審計增加了難度。

圖1為地址智能化管理界面。以塊位置編號、二進制、十六進制進行128塊IP位展現(xiàn)，數(shù)據(jù)以右側(cè)方案配置為主，對IPv6協(xié)議地址進行方案劃定，極大提高IPv6協(xié)議的識別和規(guī)劃效率。每16個塊為一個整體，沒有方案情況下默認二進制和十六進制數(shù)據(jù)全部以白色顯示。允許用戶選擇系統(tǒng)屬性與地址綁定，目前可以綁定區(qū)域和業(yè)務(wù)，綁定區(qū)域的時候彈出區(qū)域的值。方案樹允許繼承，按照IPv6協(xié)議、用戶地址、設(shè)備地址、業(yè)務(wù)地址進行分層排序，支持繼承關(guān)系。為方便查看，可在名稱和IPv6協(xié)議格式之間進行樹圖切換。

圖1 地址智能化管理界面

圖2為子網(wǎng)管理功能界面。IPv6協(xié)議子網(wǎng)管理包括子網(wǎng)的總覽，規(guī)劃子網(wǎng)數(shù)量、人工分配地址數(shù)、工單分配地址數(shù)管理，以及子網(wǎng)視角、區(qū)域視角、業(yè)務(wù)視角等。采用鉆取的方式，按基類—子網(wǎng)—下級子網(wǎng)—IP頁面順序，分配IP地址?？筛鶕?jù)內(nèi)容匹配自動創(chuàng)建網(wǎng)段，根據(jù)規(guī)劃方案自動編碼，進而計算可創(chuàng)建的IPv6子網(wǎng)數(shù)量。

根據(jù)規(guī)則自動判斷類型這個字段的屬性值是loopback回路還是互聯(lián)設(shè)備，并且根據(jù)編碼方案中的編碼值和已經(jīng)分配的地址數(shù)據(jù)，自動生成需要分配的IP地址數(shù)據(jù)。采集全網(wǎng)設(shè)備的配置文件、鄰居發(fā)現(xiàn)協(xié)議(Neighbor Discovery Protocol,NDP)、路由表數(shù)據(jù)進行多廠家、多型號類型解析。采用標準的SNMP/SSH模式進行數(shù)據(jù)分析，系統(tǒng)采集探針部署在云資源池中，與CMNET網(wǎng)絡(luò)相連。系統(tǒng)現(xiàn)網(wǎng)掃描時，VLAN、VPN等數(shù)據(jù)自動匹配每個IPv6地址上的業(yè)務(wù)，如圖3所示。系統(tǒng)采集分析完成后，會產(chǎn)生IPv6地址非法使用、地址沖突等告警信息。系統(tǒng)定期會進行IPv6地址審計，生成IPv6地址審計結(jié)果報表。

圖2 子網(wǎng)管理功能界面

圖3 系統(tǒng)現(xiàn)網(wǎng)掃描

地址備案是接入互聯(lián)網(wǎng)重要環(huán)節(jié)，專線和家庭寬帶等業(yè)務(wù)每年都會投入人力進行備案數(shù)據(jù)整理工作，系統(tǒng)自動備案可較好地解決該問題。在系統(tǒng)自動分配完成以后，根據(jù)IPv6協(xié)議分配的編碼標識和所需填寫的信息(IPv6地址段、分配設(shè)備、端口、省市縣、業(yè)務(wù)類型狀態(tài)等)形成備案數(shù)據(jù)；同時備案數(shù)據(jù)定期進行自動審計，如存在備案錯誤則進行提示，保障備案數(shù)據(jù)有效性，系統(tǒng)自動備案功能部署以后，備案數(shù)據(jù)準確性得到明顯提升，無需投入精力進行備案審查，只需及時對異常備案數(shù)據(jù)進行整改即可。

建立常態(tài)化IPv6地址管控機制，利用系統(tǒng)方式，代替人工進行地址管理，利用系統(tǒng)實現(xiàn)標準化的規(guī)劃分配，避免地址分配沖突導(dǎo)致業(yè)務(wù)中斷，實現(xiàn)基于IPv6地址的快速故障定位。系統(tǒng)通過現(xiàn)網(wǎng)IP地址自動采集掌握現(xiàn)網(wǎng)資源情況，審計IPv6規(guī)劃與現(xiàn)網(wǎng)實際使用情況。依托系統(tǒng)建立IPv6地址管理規(guī)范，保證每個地址分配過程規(guī)范，現(xiàn)網(wǎng)配置情況準確，解決IP地址管理粒度分散、資源掌握不清、審計地址困難、數(shù)據(jù)更新滯后、地址分配浪費等問題。IPv6地址編碼可視化管理解決了IPv6地址編碼識別困難問題，提升IPv6地址分配的準確性、規(guī)范性和有效性，提升網(wǎng)絡(luò)環(huán)境質(zhì)量。

CMNET網(wǎng)絡(luò)IPv6智能化管理系統(tǒng)可以節(jié)約IPv6地址管理成本、運維成本和備案成本，在日常IPv6地址分配、地址追蹤、地址備案、地址統(tǒng)計分析環(huán)節(jié)中節(jié)約了大量經(jīng)濟成本，按照目前日常工作使用IP地址次數(shù)計算，每天全省CMNET網(wǎng)絡(luò)至少進行200次的IP地址查詢跟蹤和地址分配操作。此外，利用系統(tǒng)進行地址的自動分配和備案，實現(xiàn)業(yè)務(wù)全程自動化開通，為數(shù)據(jù)網(wǎng)絡(luò)提供一種集中有效的IP地址數(shù)據(jù)源支撐手段。

3 結(jié) 論

1) 以高效率、低成本、安全合理的資源地址管理方法，構(gòu)建基于網(wǎng)絡(luò)實名制的IPv6地址智能化管理平臺。該平臺實現(xiàn)了IPv6地址智能化、精細化質(zhì)量管理，有效增強了IPv6地址精準定位、偵查打擊和快速處置能力。

2) 通過CMNET網(wǎng)絡(luò)IPv6智能化管理系統(tǒng)分析，結(jié)果表明基于網(wǎng)絡(luò)實名制的IPv6地址智能化管理方法具有現(xiàn)網(wǎng)的商用價值，有效解決了IPv6地址編碼識別困難、IPv6地址追溯麻煩、IPv6分配效率緩慢等問題，有效節(jié)約經(jīng)濟成本，可為云平臺、物聯(lián)網(wǎng)提供IPv6基礎(chǔ)數(shù)據(jù)的支持。