李津生 洪佩琳 熊继平
本文作者李津生先生,中国科学技术大学电子工程与信息科学系教授,博士生导师;洪佩琳女士,教授;熊继平先生,硕士研究生。
关键词:IPv6
一 导入IPv6的必要性
1. IPv4地址的枯竭
早在1992年,TCP/IP专家们就已察觉出Internet地址空间匮乏的危机。IPv4的地址域为32比特,可提供232(约40亿)个IP地址。但因按网络规模将IP地址划分成A、B、C 3类,实际可用地址总数显著减少。又因美国对地址的垄断性占有,其他国家几乎很难获得所需的IP地址。为了解决地址危机,1995年IETF采用了无类别域间路由(CIDR)来延长IPv4地址的寿命。当时估计采取这一对策可使地址危机延缓到2010~2026年发生。然而,互联网的普及速度超出了人们的预想,即使采用CIDR,到2006年IPv4地址也将被分光用尽。在人口众多的中国和印度等Internet尚不普及的国家中,这一日程还会提前。
由于IPv4的地址不足,企业网和城域网纷纷利用内部地址(Private Address)组建自己的内部网(Intranet),并通过地址翻译器(NAT)与Internet连接。因此,有人认为这就是对IPv4地址不足的彻底解决方案。其实,内部地址的使用存在着很大的局限性。在C/S工作模式下内部网的用户对Internet作短时间访问并且业务量较小时,这种方案是可行的,但它不适合正在迅速增长的对等(Peer to Peer)通信,也不适合作长时间的连接。例如,Internet上的主机不能主动和内部网的主机建立通信;不具有全局地址(Global IP Address)的移动终端间也不能通信;CATV用户要求用全局IP地址和互联网建立永久性的连接等。NAT技术无法满足这些需求。
总之,进入信息全IP化时代要求每一部手机、每一台家电、每一台电气设备都拥有一个全球唯一的IP地址,即使将剩余的IPv4地址用尽,也不能满足这种需要。
2. IPv6提供巨大的地址空间
IPv6的地址域为128比特,拥有2128巨大的地址空间。尽管因地址体系结构的分层化,使实际可用的总数要小得多,但根据保守的估计,地球的每平方米上仍能分配到1600个IP地址。
和IPv4一样,IPv6的IP地址分成表示特定网络的网络前缀和表示主机或服务器的主机地址两部分。如图1所示,在128位中,高64比特表示网络前缀,低64比特表示主机。
为将网络前缀分成多个层次的网络,又将其分成13比特的顶级聚类标识符(TLA-ID)、24比特的次级聚类标识符(NLA-ID)和16比特的网点级聚类标识符(SLA-ID)。由管理IPv6的组织将某一确定的TLA值分配给某个骨干网的ISP。它拥有104比特这样巨大的地址块。骨干网的ISP再将地址块细分,分配给各个地区/中小ISP。用户从地区/中小ISP分到地址块。
层次化分配IP地址可减小路由器中路由表的规模,从而减少了存储器的容量和CPU的开销,提高了路由器查表和转发IP分组的速度。
IPv6继承了IPv4的优点,并根据10年来运用IPv4的经验对现行的TCP/IP协议栈中的至少58个标准进行了修订和功能扩充。
二 IPv6的优越性能
下面通过IPv4和IPv6头标结构的比较,可以看出IPv6的优越性能(参阅图2)。虽然IPv6头标占40字节,是IPv4头标的1.6倍,但因其长度固定(IPv4头标是变长的),故不需要消耗过多的内存容量。又因其头标要处理的域由IPv4的12个减少到8个,从而大大减少了路由器上的软件处理开销。IPv6还增加了如下新功能。
1. 即插即用(Plug & Play)功能
它是指计算机接入Internet时可自动获取IP地址的地址自动配置功能。在大规模的IPv4网络中,管理员为各个主机手工配置IP地址是一件十分复杂的事。在IPv6中,端点设备可以将路由器发来的网络前缀和本身的链路地址(即网卡地址)综合,自动生成自己的IP地址。用户不需要任何专业知识,只要将设备接入互联网即可接受服务。这就是即插即用。它为未来信息家电上网提供了巨大的方便。对基于IP的第三代移动通信来说,即插即用更是必不可少的功能。因为当移动终端进入新的子网后,必须立即获得新的转交地址(Care-of Address)。这时根本来不及手工进行地址配置。
2. 安全功能
IPv6将IP安全(IPsec)作为标准配置,规定了“认证头标(Authentication Header)”和“封装安全净荷(Encapsulation Security Payload, ESP)”。所有终端的通信安全都能得到保证,实现端到端的保密通信。因此,利用IPsec能够在网络间构建IP VPN,也能安全、可靠地对信息家电进行遥控操作和维修,安全地实现远程医疗和监护等服务。
3. QoS功能
利用IPv6头标中的8比特业务量等级域和20比特的流标记域可以确保带宽,提供高质量的音/视频服务。
4. 任播(Anycast)功能
任播是指向提供同一服务的所有服务器都能识别的通用地址(任播地址)发送IP分组,路由控制系统将该分组送至最近的服务器。例如,利用任播可以访问离用户最近的DNS服务器。这种服务有点像电话网的114查号台,只要拨通114,空闲的话务员立即作出应答。
5. 扩展头标(Extention Header)
在IPv6中引入了扩展头标的概念,用扩展头标代替了IPv4头标中存在的可变长度的选项,进一步提高了路由器的性能。
扩展头标加在IP分组的基本头标之后。IPv6协议中定义了若干种不同的扩展头标。它们由“下一个头标域”的值来标识(见图2b)。附表列出了各扩展头标的值。除59外,各扩展头标具有各自的头标域。利用这种结构,IP可以像菊花链那样一个接一个地罗列多个扩展头标。最后的扩展头标域中利用了下一个头标域来指示上层协议。
三 IPv6的应用
1. IPv6的连接服务
日本是倡导IPv6的先行国家,从1999年8月起IIJ(Internet Initiative Japan)、NTT Com和POWER Com等网络运营商相继开展商用服务,并与世界规模的IPv6实验网“6 bone”及日本的WIDE IPv6实验网“6 bone-JP”相连。
连接服务的种类也多种多样。除了提供纯IPv6连接(Native Connection)和利用封装技术在IPv4的接入线路上传送IPv6分组的“隧道连接”之外,IPv4/IPv6共存的“双栈连接”也已实用化。双栈服务是指在同一条接入线上可传送IPv4和IPv6两种分组。用户无须将IPv6分组封装到IPv4分组内。双栈服务很可能成为过渡时期IPv6连接服务的主流方式。
在全日本范围内已经能够使用隧道连接IPv6网络。
2. IPv6的应用服务
a. 信息家电网络
业界人士认为家庭会比企业先行,率先使用IPv6。以家电为首,所有的设备和终端都以固定的IP地址接到互联网上。
家电信息网络分为两部分。一种是以冰箱、空调和洗衣机为代表的“白色家电”网络。其特点是不需要另外布线,利用现有的电力线接入Internet,对家电进行异地遥测、遥控。这就需要将家电24小时永久性接入到互联网。另一种是电视机、录像机和微机等交换大量数据的音/视频设备构成的“黑色家电网络”。这两种网络上的设备通过网关接入互联网。
b. 移动IP网络
现有的移动通信系统中的手机,采用GPRS和WAP只能用来发送短消息和访问Web服务器。移动终端拥有自己IP地址后才能得到所有的IP服务。
IP化的进展不仅限于移动终端,还可使移动物体全部IP化。ITS(Intelligent Transport System)是由日本建设省、运输省、通产贸易省和警视厅等合作提出的智能道路交通系统,它由导航系统、安全驾驶等9个领域构成。汽车内设置高/低速网络。在低速网络中交换引擎控制数据(包括转速、温度、里程、油箱存油等数据)和安全数据(包括刹车油、缓冲气囊、安全带、门锁和各种灯光等数据)。高速网络则传送GPS定位信息、音/视频信息、电子商务数据和交通信息等。
WIDE Project下的“Internet CAR”项目自1997年开展以来已能实现多种服务。如交通中心收集行驶中的汽车信息,就能提供塞车信息;通过Internet提供的GPS定位修正信息,使汽车定位精度高达50cm之内。此外,还可用于音乐下载,以及收集车中各个部件上的传感器发来的信号判断是否需要维护。为了实现这些应用,汽车本身也成为移动IP终端。
c. 消除了NAT的障碍
IPv6的应用除去了NAT的阻隔,即可实现内部网和Internet间的电视会议、IP电话、移动IP以及MP3播放等服务;消除了在IPv4环境中使用IPsec构建VPN时难以通过NAT的障碍。当由多个企业构建外联网(Extranet)采用NAT时,双方的网络内部地址可能重复使用,一旦重复,内部网间就不能通信。IPv6内部网的终端地址是唯一的,不会出现此种问题。
d. 基于IPv6的IDC和CDN商用化
支持IPv6的数据中心(IDC)也已出现。2001年4月,Global Center Japan和IIJ开始提供服务。这些公司都对IDC配置了连接到IPv6网的以太接口。2001年6月,日本的内容分发网(CDN)业者Accelia同时以IPv4/IPv6分发内容,资费分别计算,但IPv6的费用比IPv4的稍高。2002年4月,IIJ将为宽带内容提供者提供一个综合宽带内容传送平台,以实现CDN业务。
四 IPv6实用化过程中应解决的几个问题
IPv6并未得到迅速普及的原因,除因美国拥有足够的IPv4地址已能满足本身需求,为了保护既有的投资对IPv6态度消极外,还受到防火墙、路由器及第三层交换机、服务器/客户机的OS及应用三方面因素的制约。
1. 缺乏IPv6的网管和安全产品
在IPv6中,原则上所有的终端都拥有全局IP地址。因此,存在着能够从Internet访问内部网中所有终端的危险性,安全成为IPv6连接的最大问题。当利用隧道连接,让封装在IPv4中的IPv6分组通过IPv4防火墙时,IPv4防火墙不能对IPv6分组检查和过滤。因此,必须在内部网上设置安全策略,以防无关的协议代码的IPv6分组通过。
目前,适配IPv6的防火墙产品的开发还很落后,可以说导入IPv6的时间受到IPv6防火墙产品性能的限制。
2. 部分第三 层交换机不适配IPv6
企业为导入IPv6选择设备和服务时,关键是选择好路由器和第三层交换机。不少厂商将路由器及第三层交换机的软件更换成适配IPv6的版本,就能在IPv6网络中继续使用,但其分组转发速度显著降低。也有一些路由器和第三层交换机根本不能用于IPv6,尤其是以硬件处理IPv4的分组转发的第三层交换机。IPv6骨干网上使用的路由器应能以MPLS转发IPv6分组,第三层交换机应能以线速转发IPv6分组,这已成为重要的指标。
各网络设备制造商虽然分别推出了一些路由设备,但尚未形成系列,性能上也存在很大的差异,尚不能满足大规模IPv6组网需求。
3. IPv6的应用还很落后
虽然Windows 2000、Windows XP和不少Unix系列的操作系统已全面支持IPv6,但目前有价值的应用服务还很少。适配IPv6的域名服务器(DNS)也有待开发。由于每个IPv6终端拥有一个IP地址,可能需要一个独立的域名对应。因此,需要对传统的DNS体系结构进行改造。这方面的研究也在进行中。
来源:《世界电信网络》
出版日期:2002年8月