NGN中IPv4/v6综合组网若干问题的研究

曹蓟光

一、引言

  在下一代网络(NGN)的业务承载层采用IPv6可以扩大IP地址空间、增加IP网络安全性、提高网络服务质量。从长远来讲,其有着很好的技术前瞻性和广阔的应用空间。但是利用IPv6网络来取代现有的IPv4网络却是一个非常复杂和困难的问题,这不只影响到网络层,而是由于网络层协议的变化,使得从链路层到应用层的多个技术层面均发生相应的改变。

二、对网络过渡问题认识的不断深入

  人们对IPv4网络向IPv6网络过渡的问题的认识是不断深入的。最早,在IETF的RFC和DRAFT中对网络的过渡采用的术语是“迁移(migration)”,此时已经认识到摒弃现有的已经得到广泛应用的IPv4网络,来建立一个纯IPv6网络是不现实的。这不但会涉及到既有投资保护、设备兼容、技术兼容、应用兼容的问题,而且会造成技术与应用的脱节。尽管如此,IETF的主要技术人员还是对IPv4网络向IPv4网络的过渡持乐观态度,认为IPv4网络可以整体迁移到IPv6。

  随着研究的深入,网络过渡过程中可能遇到的问题越来越多,问题分析越来越复杂。IETF也认识到网络不会出现大规模的、广泛的、整体的迁移;过渡过程将是长期的、持续的。此时IETF对网络过渡采用的术语变为了“过渡(transition)”。为了对问题进行更为深入的全面分析,IETF成立一个“下一代网络过渡工作组(Ngtrans)”,这个工作组的工作成果反映在14个RFC和20多个DRAFT中。提出了一些网络过渡的思路,形成了网络过渡工具箱。

  目前,IETF对网络过渡采用的术语是“互操作(interoperation)”,相应的“下一代网络过渡工作组(Ngtrans)”也停止了工作,取而代之的是新成立的“IPv6网络互操作工作组(IPv6ops)”。IETF的这种认识的转变是建立在对IPv4向IPv6过渡过程的更为深入研究的基础上的。IETF认为“过渡是长期的、融合是必然的”,因此当前主要考虑的不是如何用IPv6网络来取代IPv4网络,而是应该把研究重点放在如何很好地实现IPv4与IPv6的融合。只有IPv4网络能够和IPv6网络很好的融合,才能实现网络的平稳过渡。因此,IPv4网络与IPv6网络的互操作方式的研究是当务之急。

  IETF的关于IPv6的上述认知的转变在IPv6ops工作组的研究课题中得到充分体现。在IPv6ops中,研究的重点不再是网络过渡工具箱中的具体方式和方法,而是针对不同的网络应用环境有针对性的提出IPv4/v6综合组网方案。目前,IPv6ops研究的典型网络应用环境包括:骨干网(Backbone Networks)、企业网(ENTERPRISE NETWORKS)、ISP网络、无管理网(UNMANAGEDNETWORKs)、3GPP网络(也包含了主机、终端)等。但是这些研究均处于草案阶段(DRAFT),草案中的许多内容目前均空缺(只列出了目录),需要做的研究工作还较多。一方面,由于典型网络环境的需求不容易统一,不同的网络运营实体(网络供应商NP,服务供应商SP,内容供应商CP等)会对网络有不同的需求,因此可以预见关于典型网络环境的争论是激烈的、长期的。另一方面,网络自身也处于发展变化之中,网络安全、认证计费、控制管理、性能监测等问题均处于研究之中,这些不断发展的内容同样会影响针对不同网络应用环境的IPv4/v6综合组网技术的研究。另外一个重要的因素是IP技术在电信网络中的应用越来越广泛,电信网络会对IPv4/v6综合组网提出更高的要求。所有这些因素使得IPv4/v6综合组网技术的研究是长期的、涉及多个方面的、受多因素制约的。

  从长远来看,IPv4和IPv6技术在网络中将长期共存(Co-existence)。不同网络运营实体可以根据自身的实际情况来自主的选择究竟采取哪种IP层协议、采用哪种综合组网方式。未来的IP网络将是IPv4网络与IPv6网络的集成(integration)网络。

  总体来讲,随着对IPv4向IPv6过渡技术研究的不断深入,对于过渡问题的认识也不断深入,IETF对于这个问题的认识也经历了迁移(migration)(过渡(transition)集成(integration)(互操作interoperation)(长期共存(Co-existence)阶段。

三、研究IPv4,IPv6综合组网技术的意义

  1.推动了IPv6技术的研究

  目前,IPv6协议栈已经基本形成,并逐步完善。在研究IPv6协议自身的同时需要对IPv6与IPv4的兼容性进行深入分析。IPv4/IPv6综合组网技术的研究推动IPv6技术的研究向纵深发展,是IPv6技术的重要研究领域。

  2.探索下一代互联网的发展方向和技术模式

  由于IPv4地址不足的问题越来越严重,会在一定程度上制约互联网的发展,因此IPv6技术在互联网中将占有一定的应用空间。当在互联网中引入IPv6技术时,由于IPv6与IPv4的不兼容,以及IPv6技术自身具有的、原IPv4网络所不具备的技术特点,使得互联网的技术模式和发展方向必然会受到其一定程度的影响。

  3.有利于下一代电信网络的技术研究

  目前,IP技术在电信网络中的应用越来越广泛,电信网络中引入IP技术对原有的电信网络的组网模式、运维模式等诸多方面带来了冲击,必须研究在电信网络中如何很好的融合IP技术,包括IPv4技术和IPv6技术。因此,IPv4/v6综合组网技术的研究会一定程度上推动下一代电信网络的技术研究。

  4.对于设备制造商的IPv6产品研发提供参考依据

  在IPv4/v6综合组网的环境下,不同的组两方案和技术对于IPv6网元设备提出不同的要求,这些要求对设备制造商来说是产品研发的重要依据。反过来,IPv6设备的研发又会促进IPv4N6综合组网技术的发展。这充分体现了技术与市场的双向作用性。

  5.促进IPv6的实用化和商用化进程

  只有通过对IPv4/v6综合组网技术进行充分的研究,并在此基础上提出切实可行的、针对不同网络应用环境的组网技术方案,才能切实推动各个网络运营实体在各自网络中引入IPv6技术的进程。只有成熟的、可行的技术才会被大规模的实用化和商用化。

四、IPv4/v6综合组网技术的主要研究内容

  研究IPv4/v6综合组网技术涉及到许多内容,包括网络的各个层面,如网络结构、功能集合、网络路由、域名体系、地址分配、服务质量、典型应用、管理功能与接口、安全要求等方面。

  1.现有不同过渡策略与网络过渡工具的技术特点及其适用范围

  经过IETF的“下一代网络过渡技术工作组(NGTRANS)”对IPv4网络向IPv6网络过渡技术的多年研究,已经提出了许多网络过渡策略(如双栈策略、隧道策略、翻译策略等)和相应的过渡工具(不同的策略均有多个对应的过渡工具),这些策略和工具分别有着自己的适用环境和应用局限。对这些策略和工具进行综合比较和对比分析能够进一步明确它们的适用范围和技术特点,确定它们在网络中的地位和应用环境。

  2.IP承载网络中引入IPv6后的网络结构

  在传输网络和业务网络之间是IP承载网络,它可以进一步分为两个层次:IP传输子层和IP承载控制子层。当在IP传输子层中引入IPv6技术以后,使得IP承载网络的网络结构和网络逻辑结构发生了变化,这些变化不但会影响到业务层,而且对底层传输网络也会产生一定的影响。通过引入了IPv6之后的IP承载网络的网络结构进行分析,可以进一步明确基于IP的运营网络中,各个网络层次的功能及其相关层次。这对于分析网络的互联互通、业务的提供方式均有重要意义。

  3.电信网络的不同网络环境对IPv4/v6综合组网提出的技术需求

  IETF的“IPv6网络互操作工作组(IPv6ops)”中正在研究的典型网络环境需求是针对互联网的,虽然其研究成果会对电信网络的典型网络环境的需求分析有一定的参考价值,但是有一定的局限性。因此需要对电信网络的不同的典型网络环境的研究有足够的重视,不同的网络环境会对IPv4/v6综合组网技术提出不同的要求。这些典型的网络环境包括:骨干网络、城域网(包括接入、汇聚、核心等层次)、驻地网等部分。

  4.针对不同的网络环境(不同的需求)提出可能的综合组网方案

  针对不同的典型网络环境提出可能的综合组网方案,并对这些组网方案的技术特点、应用范围、应用效果、局限性等方面进行分析。这些组网方案即将成为电信网络的组网方案的选择对象;这些组网方案的比较分析结果将成为电信网络组网方案的选择依据。

  5.IPv4/v6综合组网时的路由问题

  在IPv4/v6综合组网技术中,路由问题是一个需要着重分析的关键问题。这个问题包括如下几个方面:路由方式的选择、路由可达性分析、路由泄漏问题、路由环回问题、路由聚台问题以及不同过渡策略综合应用时的路由可达问题等。

  6.IPv4/v6综合组网时的域名问题

  域名解析/反向解析DNS既是IP网络中的一种业务,同时也是IP网络的一种基础功能。在许多信息检索业务中,均需要DNS功能。在IPv4/v6综合组网环境中,应该考虑的有关域名的问题有如下方面:首先,需考虑IPv6地址相关域名的标识与解析方法,这方面的研究在IETF的RFC中已经进行了规定;其次,需考虑域名空间连通性问题,这也是技术上,尤其是工程上比较难解决的问题。DNS服务器支持的IP协议的不同可能引起域名空间的分裂,一些DNS服务器可能不能按照同一IP协议从根服务器可达,从而造成有些域名不能获得解析。

  7.IPv4/v6综合组网时的安全性分析

  IPv4网络的安全性一直受到批评,为此在IPv6协议能设计过程中考虑到了网络安全的需求,在IPv6的包头中设计了安全包头,它可以基于AH或ESP进行通信,在一定程度上提高了网络的安全性。但是在综合组网环境中,这个问题变得更为复杂。一方面,在综合组网环境中IPv6包头的安全性由于IPv4的存在而不能充分发挥;另一方面,隧道技术在综合组网环境中的应用,也增加了网络的新的潜在不安全因素。各种综合组网技术均需要进行相应的安全性分析。另外,IP承载层的安全性只是网络(包括业务层、业务控制层、承载层、支撑层等多个层面)安全性的一个方面,当从整网的角度来分析承载层的安全性时,增加了问题的复杂程度。

  8.IPv4/v6综合组网时的地址分配策略

  关于IPv6的地址分配策略,由IETF相关的RFC进行规定(最近IETF的地址分配的建议有了新的进展,例如新颁布了RFC3177,同时RFC3587取代了原来的RFC2374,RFC3513取代了RFC2373),具体的地址分配方法有相关的互联网管理组织进行。这里所要求讨论的是一个运营商在拿到地址时如何在自己的网络中进行分配,在地址分配时所应依据的原则,以及与具体组网技术相关的地址需求分析等。

  9.不同组网技术在网络中的互联互通性(相容性)

  目前,存在的多种IPv4/v6综合组网技术在网络中综合应用时可能会产生一些问题,例如利用这些技术组建的网络之间的互联互通性就是一个需要主要考虑的问题。利用一种组网技术组建的网络不能与其他组网技术组建的网络进行相互通信,这包括地址类型的问题、路由的问题、域名的问题、协议翻译的问题等多个方面,因此需要仔细分析,做为评价和选择IPv4/v6综合组网技术的一个重要依据。

五、综合组网的若干技术问题

  1.路由问题

  路由问题主要包括路由域的划分、路由协议的选取、路由聚合、路由环回、路由泄漏以及路由稳定性分析等。下面重点讨论如下几个问题:

  (1)路由泄漏

  路由的泄漏是IPv4/v6综合组网中所特有的问题。所谓的路由泄漏是指IPv4的路由信息泄漏到IPv6网络中,或者IPv6的路由信息泄漏到IPv4网络中。出现这种现象的根本原因是特殊的IPv6地址的使用,主要是指嵌人IPv4地址自IPv6地址在IPv6网络中的采用,由于这种IPv6地址包含了IPv4地址,所以有可能出现IPv4网络的路由信息以IPv6地址的形式出现在IPv6路由表中,造成路由表的膨胀和路由聚合的困难。

  比如在6to4组网方案中,在存在6to4中继器的环境中,中继路由器必须向纯IPv6路由域通告6to4地址的路由。这是以2002::/16为前缀的路由信息就进入了IPv6网络,同时也把6to4地址中的IPv4地址信息带到了IPv6路由域中,则出现了路由泄漏情况。

  同样在应用兼容IPv4地址的IPv6地址时也同样存在这个问题。

  解决这个问题的一个有效手段是:采用合理的路由管理方法,防止包含IPv4地址信息的路由进入IPv6路由表。比如,在6to4组网方式中,为防止IPv4路由表成分混入IPv6路由表,不能将比2002::/16更精确的6to4前缀能通告进入纯IPv6路由域中。因此,拥有纯IPv6连接的6to4站点不允许在该连接上通告有到2002::/48的路由,并且所有的纯IPv6网络必须过滤掉所有前缀长度大于/16的2002::路由公告。

  (2)迂回路由

  在IPv4/v6综合组网中造成路由环回问题的一个主要原因是隧道配置的不合理。尤其是利用静态配置隧道和隧道代理时,可能造成路由的环回。因此要谨慎使用静态配置路由(减少数目,并且要对己配置隧道进行详细记录),在使用隧道代理来配置隧道时,最好隧道代理设备本身能够提供路由环回的监测手段,并及时提醒用户。

  另外一个造成路由环回的可能原因是网元的双栈配置,实际上其根本原因是上面介绍的路由泄漏,路由的泄漏造成路由的混乱,出现路由的环回。

  (3)路由聚合

  IPv6地址空间较大,其对应的IPv6路由空间也较大,解决的思路就是对IPv6路由进行聚合。这点在IPv6协议设计之初就考虑到了,因此提出的IPv6地址层次结构可以与地域有关。在IPv4/v6综合组网环境中,需要考虑综合组网对路由聚合的影响。实际上IPv4/v6综合组网对于IPv6的聚合度没有明显的影响。

  在采用常规IPv6地址分配方式的纯IPv6网路中,路由能够有较高的聚合度:当网络中存在一些特殊的IPv6地址(IPv4兼容地址、6to4地址等)时,通常只能根据IPv6地址前缀进行路由聚合,比如在6to4组网时,不同6to4域之间的路由通过MP-BGP协议传递6T04路由,这些路由需要根据2002:V4ADDR::/48方式来聚合,由于网络中6to4网络通常并不多,因此这些特殊地址对应的路由的聚合度并不低。

  (4)受控路由

  在一些情况下,出于QoS方面、负载均衡方面和网络安全方面的考虑.可能采用受控路由的方式来现在IP包所走过的设备以及路由的跳数。而IPv4/v6综合组网对其影响较大。

  首先,由于隧道的采用可能使得IP包的跳数超出指定的范围。IP包经过隧道时通常只做为一跳,而这一跳可能包括了多个存储转发环节,从而使得性能下降,甚至影响实时性业务的开通。

  其次,由于自动隧道技术的应用,可能使得IP包要经过本来不应经过的网络。从而对网络的安全有一定的影响。

  2.域名问题

  在IPv4/v6综合组网环境中,一个值得关注的问题是:域名空间的破碎问题。所谓的域名空间破碎是指由于DNS服务器所组成的树状结构被切断,使得网络中的某些DNS服务器不能访问造成这些DNS服务器所负责的域名不能被解析,在域名空间中形成了盲区(空洞)。在IPv4/v6综合组网环境中,造成这种现象的根本原因是一些DNS服务器并不是IPv4,IPv6同时可达的。在域名解析时,将按照域名树状空间中的条从根到叶的链来顺序查找域名的不同部分,从而实现域名解析功能。当这个链中的某一个环节(DNS服务器)不能按照链上其他环节所采用的某种IP协议而访问时,则域名的查找过程中断,域名解析失败。例如,一个DNS服务器A只支持IPv4访问,而其下一级DNS服务器B只能支持IPv6访问,则当DNS服务器A对其所管理的域名进行解析以后,要访问DNS服务器B而此时A是不能访问B的,因为两者的IP协议不同。解决这个问题可以有多种思路:

  (1)可以要求DNS服务器均双IP协议栈,从而使得域名树状空间中的每一条可能的链均可以支持两种IP协议的访问;这种方式的好处是域名空问中的每一个角落均是IPv4和IPv6可达的,因此域名空间对于IPv4或IPv6访问协议来说都是连通的。缺点是对网络的改动比较大,对个别DNS服务器的升级可能需要中断域名服务。

  (2)在两个支持不同IP协议的DNS服务器之间采用翻译技术(如NAT-PT),将基于IPv4协议的DNS请求信息翻译为基于IPv6协议的DNS请求信息,反向同理。也可以保持域名空间的连续。但是这种连续通常是基于一种IP协议的连续,而不像介绍的第一种方法那样可以同时支持IPv4和IPv6协议。这种方法的好处是不需要对现有的DNS服务器做任何改动,只在网络中串入具有NAT-PT功能的网络设备即可。主要的缺点是采用NAT-PT一方面会影响域名解析的效率,另一方面在网络中添加了NAT-PT设备以后,

  可能会对网络结构造成影响(一般NAT-PT功能集成在路由器中)。需要说明的是,这种方法和前面介绍的DNS-ALG是不同的,DNS-ALG对域名解析请求和应答消息进行翻译,而本方法不需要这种转换,只是采用NAT-PT对封装域名解析消息的IP包进行IP层面的翻译。

  (3)也是IETF所推荐采用的思路(目前还处于草案阶段)是采用适当的域名服务器管理策略,避免域名空间中域名盲区的存在。可以采用的管理策略包括:

  ·每一个DNS服务器或者为IPv4或者为双栈;

  ·每一个包含IPv6主机或双栈主机的DNS域至少应该有一个DNS服务器为IPv4/v6可达)。

  当综合组网时,DNS服务器的选取按照上述策略进行时,可以保证不出现域名盲区。首先,采用上述策略不会破坏已经存在的域名空间的IPv4连续性,DNS域中的每一个IPv4主机提出的域名解析请求均可以得到响应;其次,由于在组建的IPv6网络中,其对应的DNS服务器是支持双栈的,则网络中的IPv6主机的域名解析消息可以经过双栈DNS服务器得到解析。

  综合组网时需要考虑的有关域名解析功能的问题还有很多,比如,DNS安全问题[RFC2535][RFC2535,RFC2931][RFC2845]、动态域名问题[RFC2136]等,这些在IETF的RFC中均有相关的建议。

  3.安全问题

  安全问题实际上涉及了网络的各个层面,本文主要讨论网络安全问题。IP网络的安全一直都是IP技术研究领域的研究重点。概括起来讲,现在可以用来解决IP网络安全问题的主要策略有用户隔离、信息过滤、身份认证和监控、加密传送(IPSec)等。本文着重考虑在综合组网环境中可能产生的、附加的安全问题。

  在IPv4/v6综合组网技术中所采用的隧道策略给网络带来了安全隐患。一个隧道至少包括两个端点(有时根据隧道建立过程而区别为隧道客户端与隧道服务器端),根据具体隧道技术的不同,有时还包括其他一些辅助设备,比如隧道代理技术中所采用的隧道代理设备、6to4技术中所采用的6to4中继器等。

  首先,如果上述设备之间不建立一种信任关系,则可能会出现基于地址欺骗或身份伪装的网络攻击,使得一些恶意的或无用的数据可以通过隧道。这些数据一方面可能来自于隧道客户端,一方面也可以来自于网络的其他位置。即使这种情况,可以采用身份认证和监控的手段,在各个隧道相关设备之间建立信任关系。对于静态配置隧道技术来讲,在修改隧道两端设备的路由信息之前,需要进行身份认证,只有通过认证的操作人员才能够在路由器中进行这种隧道的配置。对于动态隧道技术来讲,由于隧道是自动建立的,因此要求端点可以设置访问控制列表,避免与可疑站点建立隧道关系。

  其次,即使这些网络设备之间通过某种方式(如身份认证等)建立了信用关系,还是可以受到隧道中数据的攻击,由于隧道通常只对数据进行封装后传送,而不对封装的数据进行检查,所以隧道客户端的信息可以顺利地通过隧道对隧道服务器后面的网络进行攻击,此时隧道服务器成立网络攻击的中继器。针对这种情况,可以在隧道客户端和隧道服务器端的出口和入口设置信息过滤策略,在本地限制恶意信息进入隧道。信息过滤可以包括从IP层到应用层的多个层面。

  第三,还需要考虑隧道中的信息被窃听的可能。安全问题中除了要解决主动式的攻击,还要解决这种信息泄漏问题。针对这种情况,对于隧道的信息可以采用加密措施,对于IPv4来讲可以在隧道中的采用IPSec技术对信息加密;对于IPv6可以直接采用IPv6的附加包头中的安全包头来对信息进行加密。

六、结束语

  在下一代网络中,IPv4/v6综合网络将是业务承载网络的重要网络形态。本文对综合组网的认知转变、主要研究内容进行了讨论。并就IPv4/6综合组网时可能遇到的主要问题,如路由问题、安全问题、域名问题等分别进行了分析。通过分析可以知道:IPv4/v6综合网络技术有着广阔的研究空间和良好的发展前景,对其进行深入研究有着重要的意义。

摘自 泰尔网


微信扫描分享本文到朋友圈
扫码关注5G通信官方公众号,免费领取以下5G精品资料

本周热点本月热点

 

  最热通信招聘

  最新招聘信息

最新技术文章

最新论坛贴子