賀冠博

摘要：隨著技術(shù)的進(jìn)步，同時(shí)在國(guó)家戰(zhàn)略的推動(dòng)下，近年來(lái)大量企業(yè)開展了IPv6網(wǎng)絡(luò)的建設(shè)工作，但從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)的過(guò)渡是一個(gè)漫長(zhǎng)的過(guò)程，現(xiàn)有網(wǎng)絡(luò)架構(gòu)多由IPv4網(wǎng)絡(luò)部署實(shí)施，當(dāng)遇到老舊設(shè)備對(duì)IPv6支持不夠，如何讓IPv6網(wǎng)絡(luò)在雙棧部署的過(guò)程中，能夠盡快地完成部署，盡量兼容現(xiàn)有網(wǎng)絡(luò)，是一個(gè)必須考慮的問(wèn)題。本文從一種網(wǎng)絡(luò)隧道的介紹入手，對(duì)IPv6兼容現(xiàn)有IPv4網(wǎng)絡(luò)進(jìn)行了簡(jiǎn)要分析，并對(duì)測(cè)試成果進(jìn)行戰(zhàn)士，旨在為技術(shù)研究人員提供有價(jià)值的參考建議。

關(guān)鍵詞：網(wǎng)絡(luò)隧道技術(shù);IPv6;網(wǎng)絡(luò)建設(shè)

一、網(wǎng)絡(luò)隧道機(jī)制說(shuō)明

鑒于IPv4已經(jīng)具有巨大的網(wǎng)絡(luò)、終端和應(yīng)用市場(chǎng)，而IPv6與IPv4互不兼容的事實(shí)，是的IPv4與IPv6的共存、發(fā)展和平滑過(guò)渡必將是一個(gè)長(zhǎng)期的過(guò)程。在IPv6與IPv4共存的技術(shù)中，“雙棧”是最常被用的技術(shù)，通過(guò)對(duì)現(xiàn)有IPv4網(wǎng)絡(luò)的改造，讓IPv6和IPv4共存。雙棧技術(shù)能夠有效解決兩種協(xié)議共存的問(wèn)題，同時(shí)可以有效依托已部署的IPv4網(wǎng)絡(luò)進(jìn)行參照部署，但雙棧技術(shù)要求所有網(wǎng)絡(luò)節(jié)點(diǎn)同時(shí)支持2種協(xié)議，當(dāng)網(wǎng)絡(luò)通路種存在不支持IPv6的設(shè)備時(shí)，網(wǎng)絡(luò)實(shí)施無(wú)法繼續(xù)完成。而這種情形，就需要使用IPv6 to IPv4隧道，在不支持IPv4的設(shè)備兩端或更遠(yuǎn)的網(wǎng)絡(luò)節(jié)點(diǎn)配置隧道，通過(guò)隧道技術(shù)，讓原有IPv4網(wǎng)絡(luò)承載IPv6業(yè)務(wù)流量，同時(shí)在隧道2端，繼續(xù)通過(guò)雙棧技術(shù)進(jìn)行網(wǎng)絡(luò)轉(zhuǎn)發(fā)，實(shí)現(xiàn)對(duì)IPv6網(wǎng)絡(luò)的建設(shè)。隧道技術(shù)是對(duì)雙棧技術(shù)的有效補(bǔ)充。

二、網(wǎng)絡(luò)隧道技術(shù)基本框架

（一）架構(gòu)設(shè)計(jì)

IPv6兼容IPv4隧道技術(shù)有IPv6 in IPv4 GRE隧道（簡(jiǎn)稱GRE隧道）、IPv6 in IPv4手動(dòng)隧道（簡(jiǎn)稱手動(dòng)隧道）、IPv4兼容IPv6自動(dòng)隧道（簡(jiǎn)稱自動(dòng)隧道）、IPv6 in IPv4手動(dòng)隧道等多種隧道，本次筆者測(cè)試使用的隧道技術(shù)為IPv6 in IPv4手動(dòng)隧道。通過(guò)在三個(gè)試點(diǎn)局域網(wǎng)之間采取IPv6 in IPv4手動(dòng)隧道技術(shù)兩兩互聯(lián)。同時(shí)三個(gè)局域網(wǎng)內(nèi)部通過(guò)雙棧配置IPv6和IPv4網(wǎng)絡(luò)，三個(gè)試點(diǎn)網(wǎng)絡(luò)間通過(guò)IPv4城域網(wǎng)進(jìn)行互聯(lián)，IPv6業(yè)務(wù)流量通過(guò)隧道技術(shù)可以充分利用城域網(wǎng)多平面的冗余性，保證網(wǎng)絡(luò)可靠性。

架構(gòu)設(shè)計(jì)圖如下：

（二）IP地址設(shè)計(jì)

筆者測(cè)試工作采用IPv6站點(diǎn)本地地址（類似IPv4的私有地址）開展工作，在實(shí)際的建設(shè)工作中，可以通過(guò)成為CNNIC會(huì)員向CNNIC（中國(guó)互聯(lián)網(wǎng)中心）申請(qǐng)，可獲得1個(gè)獨(dú)立的AS自治號(hào)碼及/32位的IPv6地址段，或向運(yùn)營(yíng)商申請(qǐng)/48或/64位的IPv6地址段來(lái)進(jìn)行實(shí)際的網(wǎng)絡(luò)建設(shè)工作。

三、隧道技術(shù)驗(yàn)證

（一）隧道技術(shù)配置

IPv6 in IPv4手動(dòng)隧道需在每個(gè)隧道端點(diǎn)通過(guò)配置IPv6對(duì)應(yīng)轉(zhuǎn)IPv4，配置tunnel，通過(guò)指定tunnel本地源接口和目的IPv4地址的方式，IPv6報(bào)文被包含在IPv4報(bào)文中作為載荷，發(fā)送方封裝報(bào)文，接收方解封裝，實(shí)現(xiàn)通過(guò)IPv4網(wǎng)絡(luò)對(duì)IPv6網(wǎng)絡(luò)流量的隧道中繼，從而實(shí)現(xiàn)IPv6網(wǎng)絡(luò)連通。

參考配置如下（筆者采用華三設(shè)備實(shí)施，其他品牌可參照進(jìn)行類似配置。）

ipv6 route-static ：0 Tunnel2? ? 配置默認(rèn)路由指向IPv6隧道

interface Tunnel2? ? ? ? ? ? ? ? ?指定隧道名稱

ipv6 address 2002：1/64? ? ? ? ? 配置隧道使用的IPv6地址

tunnel-protocol ipv6-ipv4? ? ? ? 隧道模式IPv6轉(zhuǎn)IPv4

source Vlan-interface10? ? ? ? ?選擇隧道本地源接口

destination 1.1.1.2? ? ? ? ? ? ? 配置隧道對(duì)端的目的IPv4地址

interface vlan 10

ip address 2.2.2.3 255.255.255.0

在以上配置中，前置的必要條件是目的地址1.1.1.2的網(wǎng)絡(luò)可達(dá)，且1.1.1.2有回指向2.2.2.3的路由，并且同樣網(wǎng)絡(luò)可達(dá)。隧道才能夠成功建立，并轉(zhuǎn)發(fā)IPv6業(yè)務(wù)數(shù)據(jù)。在路由配置方面，可采用靜態(tài)路由或ospfv3動(dòng)態(tài)2種網(wǎng)絡(luò)路由模式進(jìn)行配置，在IPv6技術(shù)中，無(wú)IPv4的廣播地址，因此當(dāng)配置靜態(tài)路由時(shí)地址可從0開始進(jìn)行規(guī)劃，但在ospfv3路由時(shí)，IPv6會(huì)類似IPv4采用網(wǎng)段的首個(gè)地址為任播地址，在采用2種不同的路由配置時(shí)的地址規(guī)劃會(huì)有些不同，在實(shí)施時(shí)需提前考慮。

（二）安全設(shè)計(jì)

在IPv6的安全防護(hù)中，在常見的防火墻、WAF等安全設(shè)備，IPv6網(wǎng)絡(luò)內(nèi)部的防護(hù)策略配置與普通IPv4的配置類比相似，均為地址+端口的防護(hù)配置。

IPv6隧道使用了特殊的IP協(xié)議，協(xié)議號(hào)41;在隧道2端的安全設(shè)備，需配置特殊的防火墻策略，開放雙向策略，才能放開隧道的通信流量，讓隧道正常運(yùn)轉(zhuǎn)。

（三）業(yè)務(wù)測(cè)試

通過(guò)對(duì)三個(gè)局域網(wǎng)配置兩兩的6to4網(wǎng)絡(luò)隧道，在3個(gè)局域網(wǎng)間互相可以ping通內(nèi)部IPv6地址，同時(shí)對(duì)城域網(wǎng)來(lái)說(shuō)，3個(gè)局域網(wǎng)IPv6業(yè)務(wù)流量對(duì)城域網(wǎng)透明，城域網(wǎng)的任何改動(dòng)，只要保證隧道的源和目的地址互通，不會(huì)影響3個(gè)局域網(wǎng)IPv6相關(guān)業(yè)務(wù)的運(yùn)行。

四、隧道技術(shù)在網(wǎng)絡(luò)建設(shè)中的應(yīng)用

在IPv4與IPv6的共存、發(fā)展和平滑過(guò)渡必將是一個(gè)長(zhǎng)期的過(guò)程的前景下，隧道技術(shù)是IPv6網(wǎng)絡(luò)建設(shè)的一個(gè)有效的實(shí)施技術(shù)，是對(duì)雙棧技術(shù)的一個(gè)有效的補(bǔ)充，可以在部分網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備無(wú)法有效支撐IPv6實(shí)施建設(shè)時(shí)，提供臨時(shí)的解決措施，同時(shí)由于隧道技術(shù)僅與隧道端點(diǎn)2端的網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)有關(guān)，與隧道通路中的網(wǎng)絡(luò)設(shè)備無(wú)關(guān)（通路中設(shè)備僅提供IPv4網(wǎng)絡(luò)連通支撐），因此可在最大限度與核心網(wǎng)絡(luò)解耦，為實(shí)施提供了更加靈活的選擇。

參考文獻(xiàn)：

[1]朱剛.淺談IPv6的發(fā)展和完善[J].網(wǎng)絡(luò)技術(shù)，2020（04）.

[2]張衍澤，趙阿群.IPv6隧道技術(shù)在高校駐地網(wǎng)建設(shè)中的應(yīng)用[J].軟件導(dǎo)刊，2013，12（10）：2.