IPv6过渡技术详解-精心原创要点

IPv6过渡技术详解一、双协议栈技术1.1DSTM二、隧道技术2.1SIT2.2TunnerBroker2.36to42.46rd2.56over42.6ISATAP2.76PE/6VPE2.8SoftWire三、翻译技术3.1NAT63.2BIS技术3.3BIA3.4PNAT(BIH)3.5IVI3.6NAT-PT和NAT64四、延缓IPv4地址枯竭的方案4.1CGN(NAT444)4.2DUAL-STACKLITE(DS-Lite)4.3Public4over64.4AplusP4.54rdIPv4互联网经过多年的发展和完善，取得了巨大的成功，然而随着Internet的快速持续发展，当前IPv4存在的地址空间缺乏、路由表急剧膨胀、缺乏网络层安全、缺乏对移动和网络服务质量的支持等缺陷和不足使得它不能满足这种日渐增长的需要。IPv6正是为解决IPv4中存在的问题而产生的，其优越的特性为互联网的进一步发展提供了更好的支持。在当前IPv4网络环境下部署IPv6网络，IPv4/v6过渡机制是必然和必须的，其过渡过程是复杂和困难的，因此充分研究过渡机制是非常重要的。在IPv4/v6过渡研究中，已经诞生了很多方案，这些方案的提出都是适应某种实际场景的，但是，到目前为止，仍没有一种方案可以解决所有的通信场景问题，这是该技术报告需要解决的基本问题，通过对现有方案的技术调研和跟踪，融合各类技术的特色，为特定的网络需求指定方案做参考。IPv4/v6过渡思想一诞生，很多组织和个人就为之不停的奋斗，涌现了大量的技术方案。总结起来，现有技术主要可以归结为三类，即双协议栈技术、隧道技术和翻译技术，在这两年中，又出现了一些融合技术，主要利用翻译技术和隧道技术解决IPv4地址枯竭问题，扩大IPv4私有地址的使用空间，节省IPv4公有地址的使用范围，从而暂时解决IPv4地址濒临枯竭的问题，但是，这类方案只是一种缓冲机制，而最根本的解决方式就是部署IPv6网络，解决46网络的平滑过渡问题。1.双协议栈技术1.1DSTMDSTM（DualStackTransitionMechanism）的目标在于解决纯IPv6网络中的主机与其他IPv4主机或应用的连接问题，它的出发点是提供IPv6节点一个获得IPv4地址的方式，从而使之能够与纯IPv4节点或者IPv4应用程序通信。DSTM技术通过使用IPv4-over-IPv6隧道，实现了IPv4流量在纯IPv6网上的传输，同时也提供一个为IPv6/IPv4双栈节点分配临时IPv4地址的方法。使用DSTM机制的节点必须是双栈节点，而且这种机制还必须要结合隧道技术进行应用。DSTM目前已经过期。（ExpiresDecember2002）图2-1DSTM体系结构DSTM的体系结构中包括三个主要组成部分：DSTM服务器、网关和DSTM节点。DSTM域应在Intranet中。其中，DSTM服务器负责为客户机节点分配IPv4地址，还可以提供一个端口范围作为地址分配功能的扩展。IPv4地址分配的协议有多种选择（比如DHCPv6），并提供所需网关的IPv6地址；网关作为隧道端点承担纯IPv6域与外部的IPv4Internet的边界路由器的角色；DSTM节点执行封装/解封装数据包，完成收发过程。DSTM节点必须是双栈节点；网关需要直接与IPv4连接并需要一个永久IPv4地址。DSTM通信过程如下：DSTM节点与IPv4通信的过程如下：DSTM节点向DSTM服务器请求一个临时的IPv4地址。DSTM服务器在地址池中为该DSTM节点保留一个IPv4地址，并在应答消息中将该地址和地址的有效时间以及有关DSTM网关的信息发送给DSTM节点。DSTM节点使用申请来的地址配置其IPv4堆栈，并将所有IPv4包都通过IPv4overIPv6隧道送到DSTM网关。DSTM网关将包拆封成IPv4包发送出去。DSTM网关保留一个含有intranet主机IPv4和IPv6地址的映射表，并利用此映射表来执行IPv4包的封装和拆封。为保证双向通信，IPv4路由必须要确保目的地的任何包都经过原来的DSTM网关。DSTM适用性：DSTM适用于IPv6域内的节点需要与域外IPv4节点通信的情况。通过使用DSTM技术，拥有IPv4应用的双栈主机在纯IPv6网内可以到达全球Internet上的相应的纯IPv4节点。DSTM网络只需要配置IPv6。不需要配置IPv4的地址和路由。任何类型的协议和应用都被透明地转发，无需采用NAT技术即可实现。DSTM安全性：DSTM在安全方面还有许多问题值得探讨。比如对DSTM服务器的DOS攻击问题和对隧道的监控问题等。由于多种因素，DSTM技术已经过期，但DSTM技术的很多思想（比如服务器分配地址、上层应用被透明转发以及采用端口扩展地址范围的方法）在其他方案中已经被借鉴使用。2.隧道技术2.1SITIPv6配置隧道(也称IPv6-over-IPv4隧道，SIT：Internet简单过渡机制或者IPv6-in-IPv4隧道|SimpleInternetTransition)是一种应用最早、最简单、成熟的过渡技术，通过手工配置隧道的出口和入口地址，在入口节点处对IPv6分组封装在IPv4分组中，在出口节点进行解封装，实现IPv6间通过IPv4网络达到互通。IPv6配置隧道入口节点必须保存所有隧道的出口端地址，这些隧道是点到点连接并且是手工配置的（如图2-2），因此，需要隧道数量越多，管理隧道的负担就越大。IPv6配置隧道适用于通过IPv4连接孤立的IPv6网络，是IPv4向IPv6过渡的初期最易于采用的技术。IPv6配置隧道目前是6Bone所采用最多的技术。IPv6配置隧道技术的要求是配置隧道的出口和入口至少要具有一个全球唯一的IPv4地址，出口和入口路由器需要支持双栈，站点中每个主机都至少需要支持IPv6，需要合法的IPv6地址。IPv6配置隧道的优点在于隧道的透明性，IPv6主机之间的通信可以忽略隧道的存在，隧道只起到物理通道的作用，甚至可以在此隧道上传输组播、设置BGP对等端等；它不需要大量的IPv6专用路由器设备和专用链路，可以明显地减少投资。其缺点是：在IPv4网络上配置IPv6隧道是一个比较麻烦的过程，而且一旦隧道端点的IP地址发生变化，必然影响隧道配置；无法穿越NAT设备，因此隧道路径中不能有NAT设备；如果隧道穿越防火墙，则需要保证协议41（IPv6）不被过滤掉；不能实现IPv4主机和IPv6主机之间的通信。目前这种隧道已经获得了广泛的支持，已知的支持IPv6的平台都支持配置隧道，包括主机和路由器。在安全方面，需要同时保护隧道免受IPv4和IPv6的IPv4网络双栈路由器双栈路由器IPv6HeaderIPv6DataIPv6主机IPv6网络IPv6主机IPv6网络IPv4HeaderIPv6HeaderIPv6DataIPv6HeaderIPv6Data隧道图2-2IPv6配置隧道攻击，具体的方法是一个隧道连接的两个端点和其连接的IPv6网络是确定的，因此对这些所有穿越隧道封装的业务使用同时使用IPv4/v6过滤规则。可以分别、同时实施这两种规则。此外，对于保护数据隐私的情况下，可以采用在隧道端点使用IPv4IPSec来实现，也可以在IPv6端实现IPv6IPSec。由于IPSec对性能有负面影响，因此在性能和安全之间需要做折中的设计和处理。2.2TunnerBroker隧道代理（TunnelBroker）不是一种隧道机制，而是一种方便构造隧道的机制或者服务。配置隧道需要繁重的管理和配置，而网络操作管理员无法承担，连接到IPv6网络对初级用户来说不是一件容易的事情。隧道代理机制就是解决这样的问题的。基本的要求就是用户必须是双栈的，并且IPv4地址是全球唯一的。图2-3显示了隧道代理的基本的工作机制（1）用户通过认证，向隧道代理服务器请求建立到IPv6网络的隧道；（2）隧道代理服务器在多个隧道服务器中选择一个，为用户分配合适的IPv6地址、设定隧道生存时间（3）向DNS注册用户端的IPv6地址（4）请求隧道服务器建立隧道。隧道代理的优点是可以简化隧道的配置过程，适用于小型IPv6网络或者单个主机获取IPv6连接的情况，可以使IPv6的ISP可以很容易对用户执行接入控制，并按照策略对网络资源进行分配；缺点是无法穿越NAT设备，经过NAT设施的情况下隧道代理失效。在隧道代理体系中，所有功能单元之间（包括客户和TB之间、TB和隧道服务器之间以及TB和DNS之间）都需要使用安全机制保护。隧道代理还存在以下安全问题：（1）如果用户端的配置是通过TB提供的脚本实现的话，在执行这些脚本时就需要实现对一些接口的配置管理，所以必须给这些脚本很高的权限，这种做法存在安全漏洞。同时存在最终用户真实身份不确定的问题；（2）如果用户使用不是静态IPv4地址的连接(如拨号)，就要谨慎地自动切断隧道以防不必要地使用资源。因为用户的连接如果非正常中断了，隧道服务器会继续发送IPv6的隧道包到用户原来的IPv4地址，而这个地址可能已经被分配给另一个主机使用，这样就发生了数据泄露问题。这个问题可以通过用户端发送某类Keep-alive消息来解决，但是这样可能需要在用户操作系统中安装专门的软件，用起来比较困难；(3)恶意用户可能同时申请大量的隧道连接耗尽隧道服务器的图2-3隧道代理技术资源；(4)多宿主主机时还没有合适的过滤策略。2.36to46to4隧道技术解决的问题是：孤立的IPv6站点如何在没有Internet服务提供商提供IPv6互连服务的条件下，与其他孤立站点以及与IPv6主干网内部各站点之间进行通信。它不需要像配置隧道那样以6bone为中介，而只是利用了现有的IPv4路由体系，从而大大改善了路由效率。6to4过渡技术也是一种自动构造隧道的机制，这种机制要求站点采用特殊的IPv6地址（2002:IPv4ADDR::/48），这种地址是自动从站点的IPv4地址派生出来的。所以每个采用6to4机制的节点至少必须具有一个全球唯一的IPv4地址。由于这种机制下隧道端点的IPv4地址可以从IPv6地址中提取，所以隧道的建立是自动的，而对于接收端的6to4路由器来说，可以自动地区分隧道接收端点是否在本域内。6to4不会在IPv4的路由表中引入新的条目，在IPv6的路由表中只增加一条表项。6to4过渡机制技术适合于IPv4/v6共存的初始阶段，与防火墙、NAT共存时，要求必须具有全球唯一的IPv4地址，并具备6to4机制和路由功能，管理和维护负担小。6to4要求隧道中至少有两台路由器支持双栈和6to4，主机要求至少支持IPv6协议栈。6to4技术的优点是不需要向网络运营商申请IPv6地址，所有IPv6地址从公有v4地址产生并通过6to4中继路由器于全球IPv6网络互通；自动建立隧道，能够保证端对端的特性。其缺点是一旦IPv4地址发生变化，整个站点的IP地址需要重新分配，因此很难使用在动态IPv4地址分配的情形下，如拨号访问、xDSL接入、DHCP等；存在单点失效问题，如果边界6to4路由器故障，则整个站点与其他IPv6通信中断。图2-4显示了一个实际的6to4示例。采用6to4机制的IPv6出口6to4路由器A与其它的IPv6孤岛（6to4-B）之间建立隧道连接。由于站点的IPv4地址包含在IPv6的地址前缀中，因此IPv4隧道的末端地址（202.112.10.37）可从IPv6域的地址前缀（2002:ca70:0a25....）中自动提取。此地址前缀由一个唯一的16bitIPv4网络6to4IPv6网络A6to4IPv6网络BNativeIPv6InternetC6to4路由器A202.204.12.2262002:cacc:0ec2::/48202.112.10.372002:ca70:0a25::/486to4路由器B6to4中继路由器C192.88.99.12002:c058:6301::1图2-46to4实际示例长度的6to4前缀（2002