IPv6和IPv4協(xié)同工作的實(shí)現(xiàn)

如果早期互聯(lián)網(wǎng)和TCP/IP網(wǎng)絡(luò)設(shè)計(jì)者們讓IPV6兼容IPv4的話，事情將變得非常簡(jiǎn)單。但是，很可惜的是他們沒(méi)有選擇這么做。對(duì)于1981年的阿帕網(wǎng)/互聯(lián)網(wǎng)來(lái)說(shuō)，IPv4提供的43億個(gè)32位地址已經(jīng)完全可以滿足需要了。對(duì)于互聯(lián)網(wǎng)來(lái)說(shuō)，那真是此一時(shí)，彼一時(shí)。

　　哦，現(xiàn)在網(wǎng)絡(luò)專(zhuān)家們都意識(shí)到互聯(lián)網(wǎng)地址短缺時(shí)代的到來(lái)，知道這將成為一個(gè)問(wèn)題。我不知道應(yīng)該怎么*價(jià)下面的內(nèi)容，在2009年6月的會(huì)議上，互聯(lián)網(wǎng)協(xié)會(huì)首席互聯(lián)網(wǎng)技術(shù)官萊斯利·代格爾承認(rèn)，“IPV6缺乏對(duì)IPv4的兼容性是非常嚴(yán)重的問(wèn)題”?，F(xiàn)在哭訴標(biāo)準(zhǔn)出現(xiàn)了問(wèn)題已經(jīng)太晚了。我們現(xiàn)在要做的，是讓這兩個(gè)基礎(chǔ)網(wǎng)絡(luò)協(xié)議共同工作。

　　對(duì)于這一問(wèn)題，目前存在幾種處理方式。但我要先提醒你，它們都不是完美的，不過(guò)至少有一種或者幾種，可以為公司提供幫助。在購(gòu)買(mǎi)其中的任何技術(shù)之前，必須對(duì)IPV6到IPv4的轉(zhuǎn)換過(guò)程進(jìn)行全面測(cè)試，在部署之前，還要對(duì)組件的互操作性進(jìn)行檢驗(yàn)。這里出現(xiàn)問(wèn)題的可能性太高了，沒(méi)有人會(huì)希望它在業(yè)務(wù)網(wǎng)絡(luò)工作時(shí)間中出現(xiàn)的。

　　IPv4/IPV6共存模式可以采取下面的三種形式之一...第一種就是雙協(xié)議棧，通過(guò)在網(wǎng)絡(luò)硬件上同時(shí)運(yùn)行IPv4和IPV6協(xié)議來(lái)實(shí)現(xiàn)。第二種就是利用“隧道”方式，利用一種協(xié)議穿過(guò)另一種。通常情況下，這意味著將IPV6數(shù)據(jù)包封裝為IPv4數(shù)據(jù)包。這一技術(shù)的說(shuō)明在RFC　4213標(biāo)準(zhǔn)《IPV6主機(jī)和路由的基本轉(zhuǎn)換機(jī)制》有詳細(xì)介紹。最后，就是依據(jù)RFC　2766標(biāo)準(zhǔn)提供的網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換器(NAT-PT)。它的工作原理正如名稱(chēng)中說(shuō)明的，將IPV6數(shù)據(jù)包轉(zhuǎn)換為IPv4數(shù)據(jù)包的軟件或者設(shè)備。

　　盡管乍看上去，網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)會(huì)更受到支持者的喜愛(ài)，但這里面也存在固有的問(wèn)題。正如思科在《網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換器》優(yōu)先白皮書(shū)中指出的，“由于該協(xié)議不屬于普遍適用的通用機(jī)制，因此，在特定區(qū)域中進(jìn)行應(yīng)用部署的時(shí)間，必須對(duì)所有涉及部分進(jìn)行全面徹底的分析”。簡(jiǎn)單地說(shuō)，就是如果計(jì)劃部署NAT-PT的話，就必須了解周?chē)鷳?yīng)用層網(wǎng)關(guān)(ALG)的部署情況。

　　此外，NAT-PT與IPv4下的NAT模式相比，一個(gè)關(guān)鍵區(qū)別就是在流量輸入和輸出的時(shí)間都必須進(jìn)行地址轉(zhuǎn)換。這將導(dǎo)致復(fù)雜程度飛速上升。盡管可以選擇使用靜態(tài)雙向映射，但它將很快過(guò)時(shí)也不能支持大規(guī)模的應(yīng)用。當(dāng)然，還可以使用域名系統(tǒng)(DNS)，但對(duì)于舊式DNS服務(wù)器來(lái)說(shuō)，它們將無(wú)法支持IPV6的AAAA記錄。并我再重復(fù)一次，我不認(rèn)為在實(shí)際中遇到地址請(qǐng)求攻擊時(shí)，那些支持IPV6的DNS服務(wù)器不會(huì)出現(xiàn)問(wèn)題。

　　在雙IP堆棧模式下，所有計(jì)算機(jī)、路由器、交換機(jī)和其他設(shè)備都同時(shí)運(yùn)行兩種協(xié)議，而IPV6將是首選協(xié)議。通常情況下，部署過(guò)程是從廣域網(wǎng)(WAN)核心路由器的TCP/IP協(xié)議棧開(kāi)始，接下來(lái)擴(kuò)展到邊界路由器和防火墻，然后輪到數(shù)據(jù)中心路由器，最后到達(dá)連接桌面的路由器。由于公共互聯(lián)網(wǎng)已經(jīng)開(kāi)始過(guò)渡到IPV6協(xié)議，網(wǎng)絡(luò)管理員可能需要開(kāi)始準(zhǔn)備在網(wǎng)絡(luò)邊界上部署雙棧交換機(jī)了。

　　這種模式的優(yōu)點(diǎn)是，操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備領(lǐng)域所有的主要供應(yīng)商都支持雙IP棧。缺點(diǎn)是，大多數(shù)傳統(tǒng)網(wǎng)絡(luò)硬件和服務(wù)器不支持IPV6。這可能導(dǎo)致用戶試圖訪問(wèn)互聯(lián)網(wǎng)網(wǎng)站時(shí)，雙疊邊緣交換機(jī)在*器(DNS)方面出現(xiàn)無(wú)法預(yù)計(jì)的問(wèn)題。此外，很多版本的互聯(lián)網(wǎng)應(yīng)用，甚至包括文件傳輸協(xié)議(FTP)這么流行的東西，都不能在IPV6下工作。

　　解決這些問(wèn)題的一種方法是利用雙協(xié)議棧應(yīng)用層網(wǎng)關(guān)(DS-ALG)。通常情況，這些網(wǎng)關(guān)可以作為在IPv4互聯(lián)網(wǎng)中兩種協(xié)議的轉(zhuǎn)換代理。

　　這種方法的缺點(diǎn)是只能針對(duì)特定應(yīng)用。并且由于所有數(shù)據(jù)包都會(huì)被攔截下來(lái)進(jìn)行檢查以確認(rèn)是否需要DS-ALG服務(wù)，所以，網(wǎng)絡(luò)速度也會(huì)受到影響。

　　而在隧道模式下，一種協(xié)議可以在另一種內(nèi)部運(yùn)行。通常情況下，是IPV6在IPv4的內(nèi)部。這些隧道可以通過(guò)以IPv4為主的內(nèi)部廣域網(wǎng)和互聯(lián)網(wǎng)傳輸IPV6數(shù)據(jù)包。而等到IPV6成為互聯(lián)網(wǎng)的主要協(xié)議時(shí)，我們將用IPV6隧道傳輸IPv4流量。

　　目前有兩種類(lèi)型的隧道：手動(dòng)又叫做靜態(tài)，以及動(dòng)態(tài)。手動(dòng)配置的IPV6隧道，需要在隧道兩端都進(jìn)行配置。手動(dòng)模式的適用范圍是用來(lái)連接互聯(lián)網(wǎng)上運(yùn)行IPV6的企業(yè)內(nèi)部網(wǎng)。對(duì)于其它類(lèi)型的IPV6互聯(lián)網(wǎng)來(lái)說(shuō)，它不是一個(gè)合適的解決方案。

　　動(dòng)態(tài)隧道使用了多種技術(shù)來(lái)確認(rèn)數(shù)據(jù)包的到達(dá)地址和路由的途徑。這使得它們更容易建立和維護(hù)。

　　最常見(jiàn)的動(dòng)態(tài)隧道技術(shù)是*。它不需要建立一條直接的隧道。與此相反，它可以利用專(zhuān)用中繼路由器來(lái)對(duì)IPV6數(shù)據(jù)包進(jìn)行封裝并通過(guò)IPv4連接轉(zhuǎn)發(fā)。*的最大優(yōu)點(diǎn)是可以自動(dòng)建立IPV6/V4隧道，而不必耗費(fèi)大量時(shí)間進(jìn)行手動(dòng)設(shè)置。*通過(guò)骨干傳輸點(diǎn)利用IPv4單播來(lái)建立點(diǎn)對(duì)點(diǎn)的連接進(jìn)行傳輸。

　　為了保證使用中不出現(xiàn)問(wèn)題，供應(yīng)商和網(wǎng)絡(luò)工程師必須確保安全配置經(jīng)過(guò)了精心設(shè)定。畢竟，對(duì)于可以利用IPv4和IPV6報(bào)頭隱藏錯(cuò)誤地址以及將惡意流量放進(jìn)封裝的數(shù)據(jù)包內(nèi)發(fā)動(dòng)拒絕服務(wù)(DoS)攻擊的黑客來(lái)說(shuō)，這一切都顯得太簡(jiǎn)單了。

　　上面提到的就是一些最流行的IPV6和IPv4協(xié)作工具。當(dāng)然，市面上還有很多其它類(lèi)型的。想知道對(duì)于所有這些工具來(lái)說(shuō)，最糟糕的問(wèn)題是什么么?答案很簡(jiǎn)單，它們的兼容性都很差。正如我在前面所說(shuō)的，不論是否喜歡，所有人都需要準(zhǔn)備遷移到IPV6上。

　　與此同時(shí)，在未來(lái)幾年里，我們幾乎肯定需要這些技術(shù)中的一種或者幾種。同樣，在部署任何IPv4/IPV6橋接解決方案之前，我們需要花費(fèi)大量時(shí)間讓網(wǎng)絡(luò)工程師和供應(yīng)商進(jìn)行調(diào)試以確保在新的網(wǎng)絡(luò)堆棧一切都可以互操作。畢竟，混合模式和設(shè)備導(dǎo)致網(wǎng)絡(luò)出現(xiàn)問(wèn)題是件一點(diǎn)也不困難的事情。

　　我還要補(bǔ)充一點(diǎn)，在選擇確定軟件和硬件之前一定要進(jìn)行測(cè)試。我已經(jīng)遇見(jiàn)了多起這樣的情況，盡管宣稱(chēng)可以支持IPV6，但實(shí)際測(cè)試結(jié)果正好相反。對(duì)于這種情況，改天我會(huì)向大家詳細(xì)介紹。