田晓岚
摘要:随着IP地址空间不足的问题,以及国家对各中央企业及其下属单位的改造要求越来越明确,因此门户网站IPv6的改造工作已经变得非常紧急,但目前仍需一种技术既能高效完成网站技术改造又不需要对现在环境做出巨大改变,因此开展此项研究工作,以低成本高效率完成第一阶段的门户网站改造工作。
关键词:协议转换、翻译技术
一、引言
为贯彻落实党中央、国务院关于建设网络强国的战略部署,加快推进基于互联网协议第六版(IPv6)的下一代互联网规模部署,中共中央办公厅、国务院办公厅印发了《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字【2017】47号文)。明确要求各中央企业及其下属单位的改造时间与要求,为形成下一代互联网自主技术体系和产业生态,建成全球最大规模的IPv6商用网络。
二、改造技术
(一)翻译技术
翻译技术方案是指采用IPv4/IPv6翻译技术能够成功实现IPv4网络与IPv6网络之间互访问题。翻译技术主要包括网络层翻译技术、应用层翻译技术、以及融合性翻译技术SPACE6技术。
(二)优缺点
优点:网站应用改造少,复用IPv4网络安全体系,技术成熟,部署快速,业内主流技术方案。
缺点:网站和业务翻译不彻底,翻译效果参差不齐。
三、实验研究
(一)NAT64技术
NAT64是一种有状态的网络地址与协议转换技术,一般只支持通过IPv6网络侧用户发起连接访问IPv4侧网络资源。但NAT64也支持通过手工配置静态映射关系,实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。
DNS64则主要是配合NAT64工作,主要是将DNS查询信息中的A记录(IPv4地址)合成到AAAA记录(IPv6地址)中,返回合成的AAAA记录用户给IPv6侧用户。DNS64也解决了NAT-PT中的DNS-ALG存在的缺陷。
NAT64一般与DNS64协同工作,而不需要在IPv6客户端或IPv4服务器端做任何修改。NAT64解决了NAT-PT中的大部分缺陷,同时配合DNS64的协同工作,无需像NAT-PT中的DNS-ALG等。组网架构图如下:
(二)IVI技术
IVI的地址映射规则是在IPv6地址中插入IPv4地址,地址的0-31位为ISP的/32位的IPv6前缀,例如,ISP6=2001:da8:100d::/32。32-39位是IVI的标识符,设置为FF,表示这是一个IVI映射地址。40-71位表示插入的全局IPv4空间(IVIG4)的地址格式,如IPv4/24映射為IPv6/64而IPv4/32映射为IPv6/72。
IVI功能主要有两个:一个是地址映射,即通过统一的规则实现IPv4地址与IPv6地址的一一映射,以进行地址的翻译;另一个是协议翻译,即根据标准规定,实现IPv4/ICMP协议和IPv6/ICMP协议各字段的对译,同时更新TCP/UDP协议的相关字段,完成完整数据包翻译操作。
IVI支持IPv6主机发起的通信,也支持从IPv4主机发起的通信。以IVI6主机访问全球IPv4主机为例分析其过程。
(三)PNAT技术
在向IPv6网络的过渡过程中,大量已成熟的IPv4应用程序还不能很快地支持IPv6,如何能够保证 IPv4应用的兼容性是向IPv6平滑过渡的一个核心要求。 正是基于这一点,中国移动提出了PNAT 翻译技术。
该技术实现了在纯IPv6或双栈承载网环境下,老的IPv4应用仍能正常通信,对底层网络环境可以不感知。它可以支持IPv4应用程序通过IPv6网络访问 IPv4 业务,IPv4应用访问IPv6业务,IPv6应用访问IPv4业务等多种通信场景。主机侧进行IPv4包到IPv6包的翻译,网络侧进行IPv6包到IPv4包的翻译。
(四)七层反向代理技术
七层反向代理解决方案中,网站的授权DNS上增加一条AAAA记录,指向反向代理的IPv6地址。用户访问时,首先从域名解析过程中得到反向代理的IPv6地址,并向其发出请求。反向代理收到请求后通过IPv4协议转发给相应的网站,从而帮助网站向IPv6用户提供访问服务。
(五)SPACE6技术
SPACE6技术(IPv4/IPv6应用升级平台),融合网络层协议转换和应用层协议翻译技术的特点,实现IPv4和IPv6业务的无缝对接。采用SPACE6结构的网站,需要在其授权DNS中增加AAAA记录指向SPACE6平台的IPv6地址。用户访问时,先从DNS获取网站所对应的SPACE6 IPv6地址,然后向SPACE6发出请求。SPACE6收到用户请求后,再通过IPv4转发给相应的网站,当收到网站的回应时,解析应用层内容,把其中涉及IPv4协议的内容自动转换成IPv6的内容,然后再返回给用户。
(六)技术对比
经多次实验以及平衡各项指标,本方案选择了SPACE6技术开展研究工作。
四、总结
按照国家2020年级别3网站改造要求,门户网站全部页面和业务支持IPv6,占比100%。同时考虑运营IPv6/IPv4两种协议开发的网站成本较高、维护工作量较大,演进的最终目标应是采取IPv6单栈运行。并且随着国家外部环境的逐步改善,主要业务场景为IPv6终端与IPv6网站之间的互访,但仍有部分IPv4用户需要对网站进行业务访问。为了兼容IPv4客户端对网站单栈IPv6的访问,可以在以上方案的基础上实现业务的互访互通。
参考文献:
[1] Joseph Davies. 深入解析IPv6. 人民邮电出版社, 2018(10)
[2] Pete Loshin. IPv6详解. 机械工业出版社, 2000(4)
[3] W.Richard Stevens,范建华. STCP/IP详解卷1:协议. 机械工业出版社, 2000(4)