IPv6的海量地址到底意味着什么?此次采访CERNET网络中心副主任、清华大学李星教授,获得了新的思路:如果将IPv4看作是IPv6的一个子集,通过无感知的翻译技术,本来互不兼容的IPv6与IPv4就可以根据需要互相转换,作为IPv6最显性的技术特征一“网络切片”也展现出更多的可能性。
在解读新出台的《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》时,李星教授认为,全面、深入推动IPv6与经济社会深度融合已经成为坚定的国家意志,IPv6单栈部署是新文件的最大突破,具有很强的前瞻性。
李星 清华大学教授、CERNET网络中心副主任
推动IPv6发展已成坚定国家意志
《中国教育网络》:7月以来,我国连续发布《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》(以下简称《通知》)、《IPv6流量提升三年专项行动计划》(以下简称《计划》)两个重磅文件,再次为自2017年底启动的《推进互联网协议第六版(IPv6)规模部署行动计划》添了把火,您认为在这个节点密集提出关于IPv6部署计划的大背景是什么?
李星:我个人认为:第一,2017年IPv6规模部署上升到国家战略层面,两办发布的《推进互联网协议第六版(IPv6)规模部署行动计划》对IPv6在中国的普及和发展起到了很大的作用,也取得了阶段性的成果,这使得有关部门、学界、产业界等各方面都更有信心,也为下一阶段IPv6的更加深入部署打下了坚实基础。
第二,IPv6的真正普及和广泛部署,难度可能比预期还要大一些。因此,在“十四五”这个新旧交替的关键时期,需要通过政策的形式进一步推进。
第三,IPv6规模部署经过前期社会各界的协同推进,取得了较大的成果,也进入了新的发展阶段,需要《通知》、《计划》进一步指明方向。
另外,新的部署规划可能也与全球纯IPv6部署趋势有关。比如,2020年,美国发布了IPv6部署和使用指南。指南明确提出,双栈模式未来将难以维护,要向纯IPv6网络迁移。如果从全球的视角来观察,全面部署IPv6的重要性和意义已经成为共识,这也让我们产生了更大的紧迫感,可谓时不我待。
《中国教育网络》:《计划》提出要用三年时间,推动我国IPv6规模部署从“通路”走向“通车”,从“能用”走向“好用”。您如何理解“通路”和“通车”这两种说法,您认为IPv6规模部署如何才能够从“能用”到“好用”?
李星:“通路”和“通车”这两个词用得非常形象。“通路”可以理解为基础设施建设期,2017年以来,是把IPv6网络层、应用层、终端等各个层面的“路”修通加宽;“通车”可以理解为应用能力检验期和提升期。“路”的好坏终究需要通车来检验,能引来多少车上路是一回事,能否承载这些车辆又是另一回事,两个词一字之差体现了IPv6规模部署新阶段发展重点的嬗变。
IPv6部署怎么才算是“好用”,我认为有两个台阶:第一步是用户层面的无感知。使用者在使用时不知道自己使用的是IPv6,即不能因为向IPv6升级而影响用户体验。IPv4环境下可以运行的应用在IPv6环境下照常运行,实现与IPv4的平滑交接。
第二步是用户层面的有感知。使用者感到使用IPv6比IPv4更好,从需求角度可以实现更多的功能。类比于移动通信,从1G到5G的迭代,后一代比前一代有明显的变化和提升。因此,推进IPv6网络及应用创新是我们需要深入思考的重大课题。
《中国教育网络》:向IPv6的过渡充满了挑战,您认为最难的部分是什么?
李星:IPv6的普及和推广之所以困难,需要从互联网的原理说起。互联网的基石是IP,IP是统一的,而且必须是统一的,这是一个全局性的技术体系。如果用铁轨来形容,想要跟全球互联互通,避免成为地球上的一个信息孤岛,它的规格必须是一样的。
这跟移动通信技术有很大的不同。相对而言,移动通信技术可以实现本地部署而不必追求全局部署。举个例子,我们国家的5G技术居于全球前列,即便全国都普及5G技术,也并不影响使用2G、3G技术国家的人们与我们的通讯联系。
但互联网从IPv4过渡到IPv6,则必须全局部署,保持与IPv4的互联互通,与全球互联网协同发展;还要从基础设施、应用层、软件系统、终端等方方面面进行系统升级,其范围之广、难度之大、影响之深是可以想象的。
单栈部署是IPv6新阶段的突破点
《中国教育网络》:您亲身经历了IPv6从诞生至今的几乎所有重大事件,能否结合IPv6发展史,简要勾勒一下这项技术在中国的历程?
李星:溯源IPv6的诞生,它是1992年前后提出,当年年底在IETF(互联网工程任务组)形成白皮书。从1996年开始,一系列用于定义IPv6的RFC发表出来。
毫无疑问,中国是发展下一代互联网IPv6的先头部队。1994年开始启动的CERNET国家工程在1997年就已经着手建设IPv6网络。当年清华大学建成了中国第一个IPv6试验网,并于1998年代表CERNET接入全球IPv6试验网6Bone,可以说非常超前。
之后,基于中国自然科学基金网的成功以及发展下一代互联网的呼声,在57位院士的建议下,2003年八部委联合启动中国下一代互联网示范工程CNGI,当时包括中国电信、中国联通、中国移动、中国铁通等运营商都参加了CNGI项目,并且基本上都采用双栈技术。
而由CERNET团队承担建设的核心网CNGI-CERNET2,则在国际上首次采用纯IPv6网络。回顾历史,当时建设的6个IPv6试验网,今天仍在大规模运行的只有CERNET2。
在2013年以后,由于政策上不够重视、技术上存在私有地址陷阱等原因,中国IPv6的发展陷入了长达十余年的静默期。在全球范围内,反倒是印度、比利时等国家加大节奏,纷纷加速IPv6大规模部署。当时我国的IPv6部署在全球排名非常低,很多人用“起了个大早,赶了个晚集”来形容这段时期我国的IPv6发展,还是很贴切的。
2017年底曙光重现,中共中央办公厅、国务院办公厅发布了《推进互联网协议第六版(IPv6)规模部署行动计划》,明确指出我国基于IPv6的下一代互联网发展的总体目标、路线图、时间表和重点任务,提出用5到10年的时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商业应用网络,吹响了我国IPv6高速发展的“集结号”。再到今年《通知》、《计划》的提出,可以说,全面推动IPv6全领域、深层次部署已经成为坚定的国家意志。
《中国教育网络》:您认为全球范围内IPv6规模部署的驱动力是什么?
李星:主要有三大驱动力。
一是互联网工程师。IETF在上个世纪90年代初就意识到互联网面临着扩展性的大问题,通俗地讲,就是40多亿个IPv4地址随着互联网的全球普及根本不够用。到1994年,IETF最终采纳了IPng模型,并形成几个IPng工作组,经过多方比较实践,最终诞生了IPv6。
二是国际互联网巨头,尤其是美国的互联网信息提供商。谷歌、脸书、微软等大型互联网公司对IPv6都非常积极,很早就进行了IPv6部署。由于他们是搜索、社交等领域的头部企业,又反过来带动了全球IPv6的流量提升。同时,美国一些运营商和设备生产商对IPv6也很感兴趣,进一步带动了整体的IPv6发展。
三是发展中国家,比如印度、巴西等国家。这些国家的互联网发展正好卡在IPv4地址行将耗尽的节点期,使得他们不得不大规模地申请IPv6地址,可以算是某种“后发优势”,而它们产生的巨大“鲶鱼效应”,也对当前的全球IPv6格局产生了重大影响。在这方面印度是比较有代表性的:2010年,印度的互联网用户仅2000万,而9年之后,印度的IPv6用户数已经突破3亿,占当时全球IPv6用户数的一半多。
《中国教育网络》:您认为新发布的政策文件与2017年发布的政策相比,最大的不同是什么?
李星:最大的不同在于首次从国家层面提出了IPv6单栈部署的目标,也就是我们经常说的纯IPv6部署。
《通知》围绕落实“十四五”目标指标,聚焦IPv6部署应用的关键环节,部署了10个方面30项重点任务。其中第一条就提到了“积极推进IPv6单栈网络部署”。
特别在定性目标方面,《通知》提出,到2025年末,全面建成领先的IPv6技术、产业、设施、应用和安全体系,我国IPv6网络规模、用户规模、流量规模位居世界第一位。
之后再用五年时间,完成向IPv6单栈的演进过渡,IPv6与经济社会各行业各部门全面深度融合应用,成为全球互联网技术创新、产业发展、设施建设、应用服务、安全保障、网络治理等领域的重要力量。
从这段描述中可以看出,IPv6单栈网络部署,也就是纯IPv6网络的部署已经成为阶段性重要目标,并成为IPv6与经济社会深度融合,实现全球技术创新、产业发展等领域重要力量的先决条件。
2018年,我曾经说过,2025年之后将成为纯IPv6时代。2020年我在广州南沙区做的IPv6峰会报告也提出:向纯IPv6演进,恰逢其时。现在看来,这种趋势已经愈加明显。
以美国为例,2020年初美国管理和预算办公室(OMB)发布了关于IPv6部署和使用指南的意见征求稿,当年年底OMB发布了该指南的终稿。与意见征求稿相比,终稿增加了对纯IPv6的强调力度和要求,并在表述中认可了纯IPv6对降低企业成本、增强安全能力的市场化作用。
这意味着中美两个大国都认识到纯IPv6是大势所趋,有望引领新一轮全球纯IPv6部署热潮。而向纯IPv6过渡就必然要用到翻译技术,翻译技术将成为构建纯IPv6新格局的核心技术。
翻译技术对构建IPv6新格局意义重大
《中国教育网络》:纯IPv6部署这一目标的确立,意外给多年来IPv4与IPv6互通的三种技术的争论划上了休止符。如何理解在过渡技术中翻译技术的胜出?
李星:IPv4与IPv6的关系从某种意义上说并非“升级”,而是“替代”。换言之,IPv6放弃了与IPv4的兼容,它们之间无法进行平滑的“升级换代”。原因在于开始构建IPv6技术模型的时候,IPv4的地址刚用了一半,按照IETF工程师们最初的构想,等到IPv4用完的时候,IPv6也就成熟了,然后完全取代IPv4。但是,这样的理想化推导却遭遇了IPv4与IPv6必将长期共存的残酷现实,给IPv6的全球普及带来了很大麻烦,于是IPv4向IPv6过渡技术应运而生。
这里不得不提到2006年IETF在加拿大蒙特利尔举行的IPv6过渡技术专题会议。当时IPv6部署已经提了若干年,但人们感受到IPv6普及比原来预料中的慢得多。这时大家开始反思,并开始确立关于IPv4向IPv6的过渡路线。在这次蒙特利尔召开的会议上,工程师们把向IPv6过渡的技术思路确立下来,成为IPv6发展史上的一个里程碑。
在由IPv4向IPv6过渡时,可以采用双栈技术、隧道技术和翻译技术。
传统网络是以双栈为主,隧道为辅,如果万不得已才使用翻译。双栈技术的问题在于没有看到人性中惰性的一面,缺乏有效的建设IPv6的激励机制。道理也很简单,理论上所有人都采用双栈技术,等于每个人都等待着别人去改造,IPv6的部署也就成了镜花水月。隧道技术本身不独立,必须和双栈技术同时使用。而从技术层面看,双栈和隧道都不能直接过渡到纯IPv6,必须通过翻译技术。
翻译技术能够以更低的成本率先建设纯IPv6网络,并通过翻译器与IPv4网络互联互通,是最好的选择。但由于IPv4协议和IPv6协议并不兼容,具有最大的技术难度。
从实践的角度看,1994年CERNET开始建设IPv4网络;1998年,开展IPv4 over IPv6技术实验;2000年尝试采用双栈技术,发现IPv6流量仍然有限;接着开始建设纯IPv6网络、研究开发IPv4 over IPv6技术并形成了IETF标准;随后开始研发翻译技术,之后发现有些应用并不支持IPv6,所以又开始进行464双重翻译技术研发,最后统一了IPv4 over IPv6技术和464双重翻译技术。上述技术我们统称为IVI技术(数字表示法“左减”“右加”,因此IV代表4,VI代表6,IVI代表IPv4和IPv6互联互通)。
因为IPv4和IPv6本身不兼容,不可能真的“互通”。翻译互通的基本原理是:通过翻译器将真实的IPv4计算机映射成虚拟的IPv6计算机,同时通过翻译器将真实的IPv6计算机映射成虚拟的IPv4计算机,使得在互相不兼容的IPv4和IPv6协议空间内,分别有真实的计算机和虚拟的计算机进行端对端的通信。
在IVI的研发中,如何实现IPv4对IPv6的翻译是关键。IPv6地址为128位,一个IPv6的子网就有64位,可以轻易地表示32位的IPv4地址,但如何用有限的IPv4地址表示IPv6是基于算法表示和解决的,这是IVI最大的突破点。
这项技术基本解决了IPv4和IPv6互通问题,当前IVI已成为互联网国际标准,获得9个IETF的RFC,被其他RFC标准引用170余次,成为IPv4和IPv6互联互通最重要的互联网标准之一,实现了我国下一代互联网关键核心技术的突破。
《中国教育网络》:当前翻译技术IVI的应用实践情况如何?
李星:当前我们的学术互联网CERNET和下一代互联网示范网CERNET2以及未来互联网试验设施FITI,通过这种无状态翻译技术,可以实现IPv4和IPv6网络的分布式互通。
我们还通过纯IPv6网络,采用双重翻译技术为神威太湖之光超级计算机提供专网服务。另外,由清华领衔研发的这项翻译技术,已经被集成到苹果和安卓的操作系统中。
因此两种操作系统都能支持纯IPv6接入网,即便网页中镶嵌了IPv4地址也可以工作。苹果的操作系统主要使用单次翻译技术,使用苹果特有的API接口,安卓使用双重翻译技术,效果都非常好。
《中国教育网络》:为什么说IVI技术是最适合纯IPv6部署的技术方案?
李星:哪怕全球仅剩下1%的IPv4用户,也要保障IPv6与其互联互通,否则就违背了互联网精神。那么翻译技术无疑将是今后很长一段时间内IPv4与IPv6最关键、最主流的过渡技术。
那么,未来是不是就没有IPv4了?也不是。IPv4在某些部分,可能在未来10年、20年、40年甚至100年都可能存在。但通过IVI技术,实际上二者已经没有区别。
在这种状况下,IPv4是IPv6的一个子集,做一个专网应用就可以直接在原来的IPv4上做。IPv6最重要的一个特点是切片,可以切出很多片。有的切片可能是基于IPv6的,有的可能就是基于IPv4的,甚至有的切片可以有别的变种,这些都没有关系,只要能达到支持应用的目的就可以。所以,未来实际上并不是IPv4消亡了,而是IPv4成为了IPv6的一个子集。
《中国教育网络》:您认为下一步推动IPv6发展,需要做哪些事?有哪些技术值得关注?
李星:新形势下如何推动IPv6发展,我将其概括为“三部曲”:一是平滑过渡,互联互通,逐步推进;二是发展与安全同步,充分利用IPv4安全能力;三是跨越式发展,构建切片和零信任体系结构。
在这个过程中,首先要关注的是翻译技术。平滑过渡是IPv6规模部署的基本要求,无感知才会有更好的用户体验,通过IVI翻译技术的“软着陆”,可以实现IPv4向IPv6的平滑过渡。
在我们的传统印象中,IPv4和IPv6好像是相互独立的两套系统,所以才会有所谓的“翻译”。而在我们的最新认知中,基于IPv6的近乎无限的IP地址,我们更倾向于将IPv6看成是一个整体,而IPv4不过是它的一个子集。不要小看这样一个认知角度上的转变,由于翻译技术是无状态的,也就意味着我们可以用不同的翻译器在不同的地点对于这对“包含”关系随时进行流量的调度。
从另一方面来说,IPv6与IPv4可以根据需要实现“转换”,这样很多所谓的IPv6的问题就可以转化到IPv4轨道上进行,按照这个思路,很多问题就不再是问题了,这在网络安全方面也是一个重要的体现。
其次要关注的是真实源地址验证体系结构SAVA。SAVA支持互联网真实源地址的精确定位和地址溯源,解决下一代互联网的可信安全问题,突破了下一代互联网体系结构的安全可信关键核心技术。
同时在网络安全方面,翻译技术同样可以起到非常重要的作用。我们知道IPv6网络安全的挑战性相对较大,但IPv4经过时间和实践的千锤百炼更加安全,通过虚拟的翻译技术,我们可以将IPv6的网络安全问题转化为更成熟的IPv4安全保护,大幅度降低了安全保障难度。
第三要关注的是“切片”技术。IPv6海量的地址意味着切片是IPv6最显性的技术特征之一,通俗来说就是可以在一个大的网络空间中切分出不同功能的小空间。
以高校为例,高校有教学、科研、管理等多方面的网络需求,采用“串联”的方式很难满足所有需求,并存在较大的网络安全隐患。而通过网络切片,我们可以将高校的需求分类,并进行功能定制和分区,满足校园网的多种需求,并由CERNET统一维护保障网络安全。
如果说到IPv6的未来,可以总结为一句话:洞悉IPv6的本质,用不同于IPv4的思路来做IPv6。
记者:王世新
责编:项阳
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。