在7月30日-31日广州南沙举行的“2020全球IPv6下一代互联网峰会”上,清华大学李星教授作了《纯IPv6的实践和展望》的报告。他表示,CERNET在二十多年前就着手布局IPv6并坚持纯IPv6网络的建设,这一步无疑是走对了。纯IPv6是未来的必然趋势,当前倡议全球IPv6规模部署IPv6向纯IPv6演进,可谓恰逢其时。
清华大学李星教授
另辟蹊径,坚持纯IPv6骨干网建设
首先我们还是应该简单回顾一下IPv6与IPv4的不同之处,也就是IPv6的特性,这可以看成是近二十余年来互联网体系结构变迁的源头问题。
通俗地讲,在目前广泛使用的互联网IPv4协议中,表示一台联网设备的地址是由32位数字记录的,这意味着整个互联网最多能够容纳2的32次方地址,也就是约40亿台设备,当时互联网协议的设计者当然不会想到,日后互联网会以如此速度在全球迅速发展和普及。随着智能终端的多元化、物联网的发展,人们对IP地址的需求开始指数增长,在这样的背景下,IPv6应运而生,它最初的设计意图就是解决寻址的可扩展问题,2的128次方的地址使得“地球上的每一颗沙子都有一个地址”。因此虽然IPv6与IPv4有地址转换、地址分配等诸多差异,但地址的数量级无疑是最明显也是最重要的区别。
然而,由于IPv6的设计者过于理想主义,没有注意到IPv4与IPv6将长期共存这个现实问题,放弃了与IPv4的兼容,换言之,它们之间无法进行平滑的“升级换代”,这是IPv6从上个世纪九十年代提出到现在,二十年多来一直难以大规模普及的重要原因之一。
中国教育和科研计算机网(CERNET)是我国第一个全国性的互联网。回顾CERNET建设历程,1994年7月初,CERENT试验网开通,采用IPoverx.25技术进行连接;1995年,第一个采用TCP/IP和DDN专线的全国互联网主干网CERNET建成;1997年,CERNET全国主干网DDN线路升级到512K,同年又开通了北京到西安、成都、沈阳的512K卫星信道;2000年开通了155M光纤网络,2014年CERNET建成100G光纤网。
在建设过程中,CERNET对于IPv6的研究和建设也在二十多年前就开始了。1994年,CERNET开始建设IPv4网络,仅仅三年之后就意识到必须要着手建设IPv6网络,原因很简单,当时中国有大约3.2亿学生,几乎与美国人口相当,而我们发现根本不可能给每一位学生申请到一个IPv4的地址。
之后在邬贺铨院士等专家的推动下,国家开始重视IPv6网络的建设。2003年,CERNET与中国电信、中国联通、中国移动、中国铁通等运营商一起参与了下一代互联网CNGI项目。由于IPv6与IPv4不兼容,包括国际IETF推广以及国内外大多数运营商都采用的是双栈技术,但教育网当时已经认定IPv6必然是未来互联网建设的趋势,下定决心要做纯IPv6的主干网络,一步到位,这也就是现在全球规模最大的采用纯IPv6技术的下一代互联网主干网CERNET2。
在具体运营过程中,教育网通过高性能的网络、免费使用等激励政策在校园推广IPv6的使用,并采用源地址认证保障网络安全,在过渡上,采用IPv4 over IPv6隧道技术和无状态翻译IVI。现在来看是这种策略是非常成功的,数据显示,教育网有一半的流量都来自于IPv6。
立足实际,IPv4与IPv6长期共存
2004年,CNGI-CERNET2纯IPv6网络建成,当时我们就面临一个选择,既然有最新的IPv6网络了,是不是可以关掉IPv4?遗憾的是,即便10多年后的今天来看也是不现实的,根据ICANN统计数据显示,发达国家的IPv6普及率已经比较高了,但是发展中国家、不发达国家以及最不发达国家IPv6的普及率非常低,所以即便2025年中国全面部署IPv6,但一旦考虑到“一带一路”等政策要求,中国自己的IPv6仍然需要同全世界的IPv4互通,这也就意味着,虽然纯IPv6是未来的必然趋势,但IPv6与IPv4将长时间共存这个前提条件却不会改变。
从技术角度看,在由IPv4向IPv6过渡时可以采用双栈技术、隧道技术和翻译技术。大多数运营商的网络都采取的是以双栈为主,隧道为辅,如果万不得已才使用翻译。但如果所有人都采用双栈这条路,那么所有人都等待着别人去改造,也就没有人会升级IPv6。这意味着双栈的技术路线没有有效建设IPv6的激励机制。
在如何与IPv4打通这一问题上,教育网最初考虑采用IPv4 over IPv6隧道的办法,取得重要的进展;但是后期发现隧道仍不能使IPv4和IPv6互联互通,所以又发明了解决IPv4协议和IPv6协议的互联互通技术“IVI”技术。之后发现有些应用并不支持IPv6,所以又开始研究双重翻译,由于双重翻译和隧道的外特性都是464,因此可以把隧道和翻译都统一起来,最终实现了中国在互联网核心技术上的突破。
IVI是我的学生想到的名字,在罗马数字里,IV是四,VI是六,IVI寓意IPv4和IPv6过渡和互访。这项技术的主要思路是从全球IPv4地址空间(IPG4)中,取出一部分地址映射到全球IPv6地址空间(IPG6)中。在IPG4中,每个运营商取出一部分IPv4地址,被用来在IVI过渡中使用,被取出的这部分地址称为IVI4(i)地址,这部分地址不再分配给实际的IPv4主机使用,而是把映射成的IPv6地址分配给IPv6主机使用。
IVI技术方案出来以后,IPv4和IPv6互通的基本问题解决了,成为公认的当前互联网IPv4向IPv6过渡最靠谱的方式。IVI系列技术获得了9个国际互联网标准化组织IETF的RFC,并已经被其他RFC标准引用达141次以上,成为IPv4和IPv6互联互通最核心的互联网标准。
其基本技术概念可以归结为三点:第一,IPv4和IPv6本身不兼容,不可能真的“互通”。第二,翻译互通的基本原理是:通过翻译器将真实的IPv4计算机映射成虚拟的IPv6计算机,同时通过翻译器将真实的IPv6计算机映射成虚拟的IPv4计算机,使得在互相不兼容的IPv4和IPv6协议空间内,分别有真实的计算机和虚拟的计算机进行端对端的通信。第三,如何实现IPv4对IPv6的翻译是关键。IPv6地址为128位,一个IPv6的子网就有64位,可以轻易地表示32位的IPv4地址,但如何用有限的IPv4地址表示IPv6是基于算法表示和解决的,这才是IVI最大的突破点。
重新定义,从IPv4向纯IPv6平稳过渡
现在来看,双栈和隧道都不能直接过渡到纯IPv6,必须通过翻译技术。向IPv6过渡有两种技术路线,一种是硬着陆,一种是软着陆。采用双栈技术的IPv4到IPv6过渡可看做是过渡技术1.0。注意双栈需要两次硬着陆才能完成这个过程,第一次硬着陆是从纯IPv4升级到双栈,第二次硬着陆是把双栈的IPv4关掉,成为纯IPv6网络。因此最佳的过渡技术路线应该是软着陆,我称之为过渡技术2.0,即通过IPv4/IPv6翻译技术,使现有的IPv4系统与IPv6互联互通,新建纯IPv6网络,实现与IPv4互联互通。
从实际应用角度来说,为什么用翻译技术改造IPv4网站更安全?恰恰因为双栈需要两个硬着陆,第一个硬着陆从纯IPv4转换成双栈时,所有三层以上设备都需要实现IPv6,这对防火墙是个巨大的考验,很容易造成安全事故。而通过翻译来改造网站,由于现在的大网站一般都是电信、联通、移动多出口,所有的安全策略都是基于IPv4的,只需要加一个翻译器,网站本身依然处于IPv4状态,基于IPv4的安全措施依然有效,对外还可以提供IPv6的服务,这意味着只要IPv4网站没有出现安全问题,相当于镜像的IPv6网站就没有后顾之忧。
更有意思的案例来自于教育网。一般我们传统印象中,IPv4和IPv6好像是相互独立的两套系统,所以才会有所谓的“翻译”。而在我们的最新概念中,基于IPv6的近乎无限的IP地址,我们更倾向于将IPv6看成是一个整体,而IPv4不过是它的一个子集,不要小看这样一个认知角度上的转变,由于翻译技术是无状态的,也就意味着我们可以用不同的翻译器在不同的地点对于这对“包含”关系随时进行流量的调度。从实践层面,我们甚至认为,这种调度方式有时候比SRv6调度的更灵活,更快,而且还保证了IPv4的服务。
倡议推进IPv6规模部署向纯IPv6发展是大势所趋,恰逢其时。我作为IPv6技术的研究者以及相关项目建设的实际参与者,非常欣慰。正如联合倡议中提到的:推进纯IPv6规模部署不仅是构建一个更扁平、更高效、更安全的互联网的基础,也是互联网技术和产业生态的全面升级,它将深刻影响未来网络信息技术、产业和应用的创新发展,希望我们都参与到纯IPv6最佳实践的贡献中来。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。