IPv6AFT过渡技术在电力信息网络中的应用

李彬 刁燕燕 宋善坤

摘要：目前大多数企业都已在其内部网络中部署应用IPv6技术，但由于IPv6本身不兼容IPv4，现阶段大规模部署IPv6还面临不少挑战。本文将以国家电网下属某市供电公司为例，介绍使用IPv6 AFT过渡技术将公司内部的IPv6网络和IPv4网络进行互通互访，实现IPv6/IPV4网络共存，为后续IPv6网络大规模部署应用打下基础。

关键词：IPv4;IPv6;地址族转换;过渡技术

中圖分类号：TP393 文献标识码：A 文章编号：1007-9416（2019）07-0043-02

0 引言

众所周知，目前所使用的IPv4网络协议存在着地址资源匮乏、安全性不高等缺陷，严重阻碍了信息网络产业的发展[1]。党中央、国务院为开展建设网络强国的战略部署，要求各部门各地区加快推进IPv6的规模部署[2]。由于IPv6和IPv4技术的互不兼容性，要从现有的纯IPv4网络与业务系统向以IPv6为基础的下一代互联网过渡将是一个漫长复杂的过程[3]。

本文以国家电网公司下属某市供电公司信息网络IPv6改造初期业务场景为例，研究利用地址翻译AFT技术实现IPv6网络终端用户访问IPv4网络业务时的数据交互过程、协议转换方式等，为后续IPv6网络的大规模推广部署提供有效的理论基础和实践依据。

1 网络现状

国家电网公司信息网络作为其单位内部信息化系统交互的基础平台，主要承载员工日常办公所需的ERP、OA、财务、营销等系统。该网络三级模式部署，分为公司总部、省级分公司和市级分公司，各区域网络通过内部自建广域网络互联。

国家电网公司信息系统两级部署，总部部署邮件、协同办公等业务，省公司部署ERP、门户、营销等业务，市公司本地只部署DNS、FTP等基础应用。总部及各单位通过广域网进行互联，各终端用户通过广域网络集中访问总部或省公司业务系统。所有信息网络均运行IPv4协议。

2 业务需求

某市供电公司计划将网络中部分IPv4用户终端改造为运行IPv6协议终端，其它网络仍运行IPv4协议。要求IPv6用户终端能够进行正常办公需求，访问省公司或国网公司IPv4业务系统。为保证网络访问安全性，IPv6访问IPv4业务系统需做到记录可溯源。且需考虑未来业务系统改造为IPv6情况。

3 方案设计

3.1 拓扑设计

如图1所示，改造后的网络中新增路由器设备作为IPv4和IPv6网络边界，部署支持IPv6协议栈的汇聚交换机作为用户终端网关设备。各IPv6用户终端与汇聚交换机互联，实现网络接入。

3.2 技术选型

目前IPv6网络与IPv4网络互访主要采用地址翻译技术，在网络边界将IP数据包头地址信息进行转换。地址翻译技术分为NAT-PT（附带协议转换的网络地址转换）和AFT（地址族转换）两种。

IP地址报文头部地址转换对于普通应用层协议来说，不影响业务运行。但是针对一些报文中携带地址和端口信息的特殊应用，就不能进行有效转换，导致无法正常运行。此问题可以采用ALG（应用级网关）技术解决，ALG可以通过对报文中的载荷信息进行解析，改变封装在其中的地址和端口信息，实现应用的正常访问。

由于NAT-PT动态映射无固定对应关系，静态映射需手工配置，不适用与映射关系较多场景;AFT动态映射，关系固定，无需手工配置;ALG技术适用于特殊应用地址端口信息转换。结合某市供电公司现有及后期发展需求，本文IPv6与IPv4互访采用AFT+ALG方案。

3.3 实现方式

3.3.1 地址规划（表1）

3.3.2 设备配置

（1）路由器、IPv6汇聚交换机基础互联管理配置;（2）客户端IPv6地址、掩码及DNS配置;（3）路由器与IPv4网络、IPv6网络互联接口使能AFT功能;（4）配置DNS64前缀;（5）配置IVI前置;（6）以ACL方式配置IPv4侧到IPv6侧的AFT转换策略;（7）路由器上使能DNS协议的ALG功能，用于IPv6与IPv4之间交互DNS数据包时的，A记录与AAAA记录转换。

3.3.3 业务流程

（1）IPv6主机FEC 0：1：：1主机访问portal.sgcc.com.cn;（2）DNS-ALG收到来自客户端IPv6的DNS请求;（3）对request进行报文处理，将资源记录的type值从AAAA修改为A;（4）将请求转交上级的IPv4 DNS;（5）收到response，判断返回的IPv4地址是否为NULL;如果返回的IPv4地址为NULL，执行步骤（6）和（14）;如果返回的IPv4地址不为NULL，执行步骤（7）至（14）;（6）向IPv6主机返回NULL值，域名解析失败;（7）为返回的IPv4地址加上prefix，称为一个IPv6地址;（8）重铸DNS报文，修改RDATA为映射地址，修改A为AAAA;（9）把修改后的DNS response返回给发起请求的IPv6 DNS Server;（10）IPv6 DNS Server再将应答返回给发起请求的IPv6主机;（11）IPv6主机将返回的目的映射地址作为目的地址发通信报文;（12）报文被路由到NAT-PT，NAT从地址池为IPv6主机分配一个IPv4地址，进行地址转换和协议翻译;（13）AFT转发翻译后的报文;（14）流程结束。

3.3.4 业务验证

配置完成后，IPv6客户端上执行命令ping portal.xx.sgcc.com.cn（省公司门户），可以看到域名解析为IPv6地址2405：6F00：XXXX：XXXX：AAAA（此地址为省公司门户的IPv4地址通过DNS64前缀转换后的IPv6地址），并收到响应报文。

4 结语

IPv4网络向以IPv6为基础的下一代互联网过渡将是一个漫长复杂的过程，涉及到终端主机、网络、中间件、数据库、系统平台、应用程序、安全防护、运维管理等多专业多维度的变更和调整。本文以网络系统为例，详细分析和介绍了网络过渡过程中所用的技术和实现方法，也为其它方向或专业的过渡提供和积累了工作思路和实践经验。

参考文献

[1] 张东亮，李渊，任黎科.IPv6技术[M].北京：清华大学出版社，2010.

[2]中共中央办公厅，国务院办公厅.《推进互联网协议第六版（IPv6）规模部署行动计划》[EB/OL].（2017-11-26）[2019-06-10].http：//www.gov.cn/zhengce/2017-11/26/content_5242389.htm.

[3] 沈鑫剡，伍红兵，俞海英，龙瑞.IPv4网络和IPv6网络互联技术[J].中国新通信，2008（05）：29-33.