李星：让IPv6单栈成为现实-中国教育和科研计算机网CERNET

资讯

校园信息化

技术

资源与应用

产品与装备

信息服务

首页 > 教育信息化 > 专栏 > 李星

李星：让IPv6单栈成为现实

2026-01-14 中国教育网络

　　回顾历史，中国教育和科研计算机网CERNET经历了三代演进：从IPv4的CERNET，到IPv6单栈的CERNET2，再到如今以未来互联网试验设施FITI为代表的CERNET3。这一进程并非一蹴而就，而是源于自1998年中国首个IPv6试验床建成以来，持续二十余年的实践与探索。它深刻地揭示了一个道理：IPv6的未来，必须依靠自主、扎实的逐步推进。

CERNET网络中心副主任、清华大学教授李星

　　IPv6单栈是互联网演进的必然趋势

　　当前，全球IPv6部署已步入快车道，形成不可逆转的潮流。在这一浪潮中，中国的部署规模可观，但仍有提升空间。值得一提的是，亚太互联网络信息中心APNIC等国际机构的测量方法可能受地缘政治因素影响而存在偏差，因此，构建更客观、科学的评估体系，对于准确判断发展态势、增强中国的国际话语权具有重要意义。

　　向IPv6单栈的演进并非空穴来风，而是源于对现有技术路径的深刻反思。长期以来，双栈技术作为主流过渡方案，虽为人熟知，却存在固有弊端：它要求网络层及以上全面升级，成本高昂且复杂。同时，它还存在木桶效应，即整体安全性取决于IPv4和IPv6中较差的一方。相比之下，纯IPv6单栈架构不仅建设运维成本更低，更能为未来网络的发展奠定坚实基础。

　　正因如此，国际主流技术社群已明确将IPv6单栈视为未来方向。2016年，因特网体系结构委员会（IAB）就指出，未来互联网标准不必强制兼容IPv4。2020年，美国白宫办公室发布命令，指出双栈模式存在安全隐患。2021年，我国网信办也发布了《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》，制定了清晰的“IPv6单栈”演进路线图，目标是在2030年左右完成向IPv6单栈的过渡。这一坚定部署在国际上产生了广泛影响，彰显了中国引领下一代互联网发展的决心。这些共识共同凸显了向更简洁、更安全的IPv6单栈架构过渡的紧迫性。宏观数据也印证了其合理性：通常，更高的IPv6普及率与更高的人均GDP水平呈现正相关。

　　然而，技术演进不能以牺牲互联网“互联互通”的根本属性为代价。在坚定迈向IPv6单栈的同时，必须确保与全球互联网，特别是“一带一路”沿线国家的无缝连接。这一核心诉求，引出了下一阶段的关键命题：如何通过技术突破，使IPv6单栈网络既能保持其架构优势，又能无缝访问现有的IPv4。

　　翻译技术突破是实现向IPv6平滑过渡的关键支撑

　　IPv4与IPv6的互不兼容是过渡期的核心挑战，而翻译技术的突破为此提供了关键的解决方案。通过在边界部署翻译器，IPv6单栈网络就可无缝对接IPv4互联网。其核心原理在于利用IPv6的海量地址空间（2^128）嵌入IPv4地址（2^32），实现线性映射。

　　该架构的优势显著。一方面，其架构更为简洁，只需在边界部署翻译器，内部网络即可率先实现IPv6单栈，大幅降低建设和运维成本；另一方面，它实现了真正的互联互通，使仅支持IPv4或仅支持IPv6的设备能够无障碍通信。

　　在终端侧，现代操作系统如iOS、Android等已原生支持IPv6-only无线网络，而对于Windows等旧版系统，则可通过检测DHCPv4选项108来实现IPv6单栈。若不支持该选项，则可为其分配IPv4地址，以确保所有终端都能顺利接入。

　　基于翻译技术，“IPv4可达的IPv6单栈”网络已在多个层面实现规模化部署。校园网是理想的起点，其对内可用IPv6单栈架构降低复杂度，对外则通过翻译器实现双栈互通。这样，内部用户既能享受IPv6单栈的高效与简洁，又能访问外部的IPv4和IPv6互联网资源。

　　另一方面，建设纯IPv6数据中心和互联网交换中心已成为可能。通过翻译技术，可以动态、高效地调度稀缺的IPv4资源，实现资源的分钟级甚至秒级分配，极大提升运营效率。而在CERNET2等IPv6单栈主干网中，通过分布式翻译器也可实现与其它网络的互联。

　　由此可以得出一个关键洞察：IPv4地址可能长期存在，但将以IPv6地址子集的形式嵌入未来IPv6单栈网络之中。

　　构建安全可信的IPv6网络

　　安全性是IPv6推广中的关键挑战。IPv4协议设计之初对安全考虑不足，导致源地址欺骗、分布式拒绝服务攻击等安全问题层出不穷。IPv6的部署则为从更深层次改进网络安全提供了契机。

　　其中，由吴建平院士团队主导开发的“下一代互联网真实源地址验证体系结构（SAVA）”是IPv6安全领域的一项重大突破。SAVA技术能够在网络入口对数据包的源IPv6地址进行验证，确保其真实性，从而有效遏制基于地址伪造的网络攻击。该技术历经多年发展，已形成一套成熟体系，并荣获国家科技进步奖一等奖。

　　此外，还可以部署新型的IPv6“无地址”技术。它利用IPv6的海量地址空间，通过新型翻译器实现非线性、非平稳乃至基于密码学的地址映射，使得服务器对未授权者完全“隐身”。这类似于武侠小说中的“无招胜有招”，黑客无法通过传统扫描方式发现目标，从而将攻击面降至最低。该技术源于翻译互通思想，并可扩展至零信任架构。

　　IPv6赋能AI新生态

　　人工智能的崛起，尤其是大模型的崛起，正重塑互联网格局。回顾历史，人们最早认为互联网是为每个计算机联网。到移动互联网时代，大家意识到互联网是为每个人联网。而在AI时代，下一代网络的核心将是为“机器人”或“AI智能体”联网。这对网络基础架构提出了前所未有的挑战，而IPv6是应对这些挑战的基石。

　　首先，人工智能智能体（AI agents）本质上是服务器而非客户端，需要被全球用户访问，因此必须拥有公有、可路由的公共IP地址。IPv4地址空间（2^32）早已枯竭，无法满足未来海量智能体的需求。唯有IPv6提供的巨大地址空间（2^128）能为每一个智能体分配独立的公网地址，这是AI时代网络互联的前提。

　　其次，智能体带来的根本性挑战是信任。“在互联网上，没人知道你是一条狗”这一隐喻，在AI时代演变为“没人知道与你对话的是一个人还是一个机器”。人工智能的“幻觉”问题进一步加剧了这种不确定性，使人们难以判断一个错误回答是源于模型缺陷还是恶意攻击。

　　而要确保AI智能体的可信性，其核心在于加密算法的“签名”。智能体必须有人背书。要实现这种“签名”和背书，可以借鉴现有体系，例如为智能体对应的域名颁发DNS证书。而一个更具前瞻性和根本性的方向，是直接为智能体所使用的IPv6地址本身颁发“地址证书”（Address CA）。

　　鉴于大模型应用对性能、安全和隐私的极高要求，利用IPv6及其地址映射技术构建各行业的AI专用网络（AI VPN）是一个务实的选择。这种专网能够提供高性能、高安全性、可信、可保障隐私的分布式计算环境，成为关键应用创新的试验场。

　　迈向IPv6单栈新时代

　　综上所述，可以得出三个核心结论：

　　第一，“IPv4可达的IPv6单栈”网络是清晰而务实的未来方向。它兼顾了当下的兼容性与未来的先进性，是平滑演进的必然选择。

　　第二，IPv4地址可能会以IPv6地址子集的形式，在未来数十年内继续存续。这既是技术现实，也为我们留下了充足的过渡空间。

　　第三，未来的工作任重道远，需要持续推动技术创新与应用落地。

　　展望未来，真正的变革力量源于IPv6、人工智能与开源技术的深度融合。从虚拟现实、量子计算，到自主设备、人脑接口，乃至更远的星际联网与数字奇点，这一融合趋势将贯穿未来数十年的发展进程。只有把握住这一融合趋势，才能在未来数十年的发展中掌握主动权。

　　本文根据李星教授在乌镇峰会上的报告整理

　　特别声明：本站注明稿件来源为其他媒体的文/图等稿件均为转载稿，本站转载出于非商业性的教育和科研之目的，并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题，请作者在两周内速来电或来函联系。