书名:IPv6网络部署实战(锐捷版)
ISBN:978-7-115-62236-5
本书由人民邮电出版社发行数字版。版权所有,侵权必究。
您购买的人民邮电出版社电子书仅供您个人使用,未经授权,不得以任何方式复制和传播本书内容。
我们愿意相信读者具有这样的良知和觉悟,与我们共同保护知识产权。
如果购买者有侵权行为,我们可能对该用户实施包括但不限于关闭该帐号等维权措施,并可能追究法律责任。
著 孔德丽 沈群 崔北亮
责任编辑 胡俊英
人民邮电出版社出版发行 北京市丰台区成寿寺路11号
邮编 100164 电子邮件 315@ptpress.com.cn
网址 http://www.ptpress.com.cn
读者服务热线:(010)81055410
反盗版热线:(010)81055315
本书详细介绍IPv6的基础知识,并基于仿真实验平台EVE-NG和锐捷网络公司开发的防火墙、路由器和交换机镜像讲解IPv6的部署方法。
本书共9章,内容涵盖IPv6的发展历程、现状和特性,EVE-NG的安装、部署和管理,IPv6的基础知识,IPv6地址的配置方法,DNS知识,IPv6路由技术和协议,IPv6安全机制,IPv6网络过渡技术,以及IPv6应用过渡技术等。
本书共提供66个仿真实验,包括IPv6相关的地址配置、DNS配置、路由配置、网络安全、故障排除和过渡技术等,让读者通过动手操作深入理解并掌握IPv6的具体应用。
本书适合从事网络架构、部署、运维和管理等相关工作的人员阅读,也适合网络相关专业的高校师生阅读。
随着IPv4地址资源的逐步枯竭,以及人们对网络安全及网络服务质量要求的不断提升,全球主要的互联网大国已充分认识到部署IPv6的紧迫性和重要性。此外,近些年不断涌现的新技术极大地增加了对 IP 地址的需求,使得IPv6 逐渐从“可选项” 变身为“必选项”。欧盟、日本、美国、韩国、加拿大等国家和组织纷纷出台相关发展战略、制定明确的发展路线图和时间表来积极推进IPv6的大规模商用部署,以确保不会在互联网发展中“掉队”。
2023年4月,工业和信息化部、中央网信办、国家发展改革委、教育部、交通运输部、人民银行、国务院国资委、国家能源局等八部门联合发布《关于推进IPv6技术演进和应用创新发展的实施意见》,提出到2025年底,要让IPv6技术演进和应用创新取得显著成效,网络技术创新能力明显增强,“IPv6+”等创新技术应用范围进一步扩大,重点行业“IPv6+”融合应用水平大幅提升。该意见还提出要在统筹联动、经验推广以及人才队伍培育等方面采取有力措施,支持高等院校、科研机构与企业联合共建实验室、实训基地、专业研究院,开展IPv6技术培训,促进知识普及,培养IPv6创新人才,丰富人才挖掘和选拔渠道,强化复合型领军人才培养。
早在2004年,我国便率先建成了世界上最大的纯IPv6网络—第二代中国教育和科研计算机网(China Education and Research Network 2,CERNET2)。2006年,清华大学在国际互联网工程任务组(Internet Engineering Task Force,IETF)推动了IPv6源地址验证(Source Address Validation Architecture,SAVA)和IPv6过渡技术(如4over6、IVI)等标准化工作,共形成了20多项IETF的IPv6核心技术标准,并在产业界得到推广应用。
然而,在IPv6的实际建设中,基层IPv6网络技术人才的匮乏制约了IPv6的普及速度。为保持我国互联网的技术优势,加快基层IPv6人才培养尤为重要。有幸的是,孔德丽、沈群和崔北亮编写了《IPv6网络部署实战(锐捷版)》一书。本书专注于IPv6网络中的关键问题和热门应用,内
容新颖、理论联系实践。通过本书提供的定制化综合网络实验环境,读者可以亲自动手完成各种实验。书中的众多实验令人印象深刻,例如“实验3-8常用的IPv6诊断工具”中通过抓包对报文进行分析,“实验5-8调整双栈计算机IPv4和IPv6的优先级”中演示了通过配置前缀策略表调整IPv4和IPv6的优先,“实验7-4利用ND Snooping功能彻底解决NDP攻击”中演示了利用邻居发现协议防范攻击。相信这些实验能够帮助读者更好地理解和掌握IPv6的相关知识。
锐捷公司为本书提供了大力支持,投入了大量的人力物力把锐捷的防火墙、路由器和交换机镜像迁移至下一代仿真虚拟环境中,并做了大量的适应性开发。读者可以通过该模拟设备熟悉和加深对网络设备的了解,并亲自动手进行实验。期待更多的国产通信设备厂商也能进行这样的适应性开发,解决学习者因缺乏设备而不能实践的困境。
希望本书以及锐捷公司开发的实验平台可以培养大量的一线IPv6工程技术人员,加速我国IPv6的建设进程,为构建更加安全、高效和创新的网络世界做出贡献。
崔 勇
清华大学计算机系教授、博士生导师
教育部长江学者特聘教授
IETF IPv6过渡工作组主席
2023年5月于清华园
2011年,全球IPv4地址资源分配完毕,打造基于IPv6的下一代互联网逐渐成为各国共识。根据亚太互联网络信息中心(Asia-Pacific Network Information Center,APNIC)监测的数据,截至2023年6月,全球互联网的IPv6覆盖率已达到35.45%。党的十八大以来,我国IPv6部署规模实现了跨越式发展,目前已全面建成IPv6网络“高速公路”,信息基础设施基本具备IPv6服务能力。截至2022年8月,我国IPv6活跃用户数达7.137亿,占网民总数的67.9%,同比增长29.5%,超过全球平均增长水平。
本书作者之一崔北亮于2019年出版了《非常网管——IPv6网络部署实战》一书,深受读者的好评。面对日新月异的IPv6技术发展,崔北亮于2021年出版了《IPv6网络部署实战》,对前一本书的内容进行了大量的修订、更新和扩展。由于缺少能够较好适应仿真实验平台EVE-NG的国产路由器和交换机镜像,上述两本书都是以思科路由器和交换机为例进行讲解的。然而,作者团队收到众多读者来信,希望能以国产的路由器和交换机为例对IPv6进行讲解。2022年,本书作者团队有幸结识锐捷网络公司的高层,他们愿意投入大量人力物力来开发适应EVE-NG环境的镜像。经过长达近一年的研发,锐捷的防火墙、路由器和交换机镜像终于开发完成,这是国内首款由网络设备生产厂商投入开发的适用于EVE-NG环境的路由器和交换机镜像。
当前,IPv6热潮已经来临,社会上迫切需要既懂IPv6的工作原理,又能部署实施IPv6,还能快速排除网络故障的实用型人才。本书将理论与实践相结合,借助综合性的网络实验环境让读者身临其境。读者可以通过大量的实际操作来验证知识、加深对理论的理解,并提高动手能力,进而掌握部署和管理IPv6的技能。
作为下一代互联网的基础协议,IPv6与IPv4有许多不同之处,比如IPv6地址的获取方式、邻居发现方式等,理解这些内容的工作原理对于解决实际的网络问题、排除网络故障大有裨益。
本书在介绍IPv6技术时融入了作者20多年的工作经验和心得体会。本书针对IPv6网络中的焦点问题和热门应用提供66个实验,包括IPv6相关的地址配置、DNS配置、路由配置、网络安全、故障排除和过渡技术等。
此外,本书还介绍了综合性仿真实验平台EVE-NG,便于读者通过“做中学”的方式深入领会网络管理技术的精髓。读者仅通过一台计算机便可模拟出多台计算机、路由器、交换机和防火墙等设备,并能将它们完美地结合在一起,完成本书中的各种实验配置及测试。
本书共9章,主要内容如下。
● 第1章,“绪论”,主要介绍IPv4的局限性、IPv6的发展历程及现状,以及IPv6的特性。
● 第2章,“EVE-NG”,主要介绍仿真实验平台EVE-NG及其部署和管理方法。本书对EVE-NG进行了定制,并预置了实验拓扑。借助EVE-NG,读者可以完成本书涉及的防火墙、路由器、交换机、Windows 10、Windows Server 2016和Linux等实验。
● 第3章,“IPv6基础”,主要介绍IPv6地址的表示方法与分类、ICMPv6和NDP。本章还介绍数据包捕获工具的使用,通过捕获数据包了解NS、NA、RS和RA报文格式;介绍常用的IPv6诊断工具和PMTU的工作原理;介绍IPv6地址的层次化规划。
● 第4章,“IPv6地址配置方法”,主要介绍IPv6地址的手动配置、自动配置和DHCPv6配置,并介绍IPv6地址的多样性和优选配置等。
● 第5章,“DNS”,主要介绍DNS基础、IPv6域名服务、BIND软件和Windows Server DNS域名服务。本章演示DNS域名服务的使用、DNS转发配置、DNS委派,以及调整双栈计算机中IPv4和IPv6访问的优先级等。
● 第6章,“IPv6路由技术”,主要介绍路由原理、路由协议、直连路由、静态路由、默认路由和动态路由等,演示静态、默认、RIPng、OSPFv3和BGP4+等路由协议的配置,讲解路由选路的原则。本章还演示如何配置静态路由助力网络安全以及如何配置SRv6路由等。
● 第7章,“IPv6安全”,主要介绍IPv6的主机安全并演示Windows防火墙的配置,介绍IPv6局域网安全并演示非法RA报文的检测和防范以及NDP攻击和防范,介绍IPv6网络互联安全并演示IPv6路由过滤和访问控制列表等。
● 第8章,“IPv6网络过渡技术”,主要介绍IPv6的网络过渡技术,通过实验讲解双栈技术、各种隧道技术(GRE、IPv6 in IPv4、6to4、ISATAP、Teredo等)和协议转换技术(NAT64)。
● 第9章,“IPv6应用过渡”,主要介绍应用过渡技术,比如远程登录服务(包括Telnet和SSH服务)、Web应用服务(包括配置Apache、Tomcat、Nginx、Windows IIS等,使其支持IPv6)、配置支持IPv6的FTP应用服务和数据库应用服务,以及配置反向代理技术使纯IPv4应用无感知地支持IPv6访问等。
本书既可供网络管理和维护人员自学IPv6的部署和管理,也可作为高等院校计算机网络相关专业的教材和参考书。
读者可通过http://blcui.njtech.edu.cn/eve-ng-rg.zip下载专门为本书定制的综合实验环境,通过http://blcui.njtech.edu.cn/ipv6config-rg.zip下载本书相关软件及源代码。读者还可通过作者主页blcui.njtech.edu.cn或本书的QQ群59767579进行资料索取和交流。
孔德丽,南京机电职业技术学院副院长,副研究员,教育部学校规划建设发展中心专家,分管学校信息化总体规划和建设。长期从事学校信息化建设的总体规划、建设、管理及维护。主要研究方向为网络及信息安全,以及智慧校园、绿色校园的规划建设。主持省级、校级信息化建设相关课题近10项,公开发表相关研究论文10余篇。
沈群,南京航空航天大学信息化处综合技术服务部主任,网络通信工程师,负责校园网基础设施、校园一卡通、教室多媒体、视频会议等网络工程的建设和维护保障等工作。主持和参与多个省级科研课题,发表相关研究论文多篇。
崔北亮,南京工业大学图书馆副馆长,计算机网络方向硕士生导师,正高级工程师,从事网络方面的教学和研究工作20余年,出版专著12部,发表学术论文多篇。主持申报的《南京工业大学IPv6规模部署和应用实战培育基地》入选国家“2022年互联网协议第六版(IPv6)规模部署和应用优秀案例”。
非常感谢锐捷网络股份有限公司对本书的大力支持。感谢项小升、肖波、黄鹏、杨航、蔡杰、黄崇滨、林振彬、张博勋、金水生、翟仁爱、陈洁、黄晓伟、李妍青、王莹、许堃、王墩墩、唐旻昱等工程师为镜像开发和实验测试等工作付出的辛勤努力,使得本书可以顺利出版。特别感谢清华大学崔勇教授为本书作序。
单独的计算机即使功能再强大,也是信息孤岛,只有将计算机组建成互联网才能发挥更大的作用。20世纪70年代,计算机网络开始兴起,比较著名的有美国国防部的高级研究计划局网(Advanced Research Projects Agency Network,ARPANET)和美国数字设备公司(Digital Equipment Corporation,DEC)的数字化网络架构(Digital Network Architecture, DNA)等。在那时,计算机网络还没有统一完善的协议,因此各个网络之间互不兼容,无法方便地实现互联。直到20世纪80年代,ARPANET重新采用TCP/IP框架,凡是想接入ARPANET网络的主机和网络都必须运行TCP/IP,TCP/IP框架自此也成为互联网的标准协议。
TCP/IP主要分为传输控制协议(Transmission Control Protocol,TCP)和互联网协议(Internet Protocol,IP)。IP主要负责网络数据包的路由选择,而TCP则负责提供IP层之上的功能(如分段重组、差错检测等)。在TCP/IP框架的互联网中,每一个网络终端都需要有一个逻辑上的唯一标识,这个标识就是常说的IP地址。
IP地址有多个版本,过去使用最多的是第4版互联网协议(Internet Protocol version4,IPv4)地址,它使用32位地址作为每个网络终端的标识,根据理论值,可以为全球近43亿终端各分配一个IPv4地址。但是IPv4在设计和管理等方面存在缺陷,这导致IPv4地址分配不均,有一些国家和地区有大量剩余的IPv4地址,而另一些国家和地区却面临无IPv4地址可用的境地。加之当前访问互联网的终端类型越来越丰富,如手机、手持终端、智能家电、汽车等,甚至物联网的传感器和读卡器等都需要使用IP地址,IPv4地址实际早已分配完毕。
为解决IPv4地址枯竭的问题,互联网工程任务组(Internet Engineering Task Force,IETF)组织设计了第6版互联网协议(Internet Protocol version6,IPv6),其主要目的是采用128位的地址(理论IP地址数能达到2128个)来解决IP地址不够用的问题,并在IPv4的基础上做了改进,以更好地支持互联网的发展。
实际上,当前互联网的核心协议IPv4是一种非常成功的协议,它经受住了互联网几十亿台计算机等终端互联的考验。但以当今互联网的发展现状来看,几十年前IPv4的设计者对未来互联网的发展显然估计不足。随着物联网、“互联网+”时代的到来,网络终端数量呈指数级增长,新的网络应用层出不穷,IPv4的局限性也越来越突出,例如地址枯竭、地址分配不均、骨干路由表巨大、NAT破坏了端到端通信模型,以及服务质量(Quality of Service,QoS)和安全性得不到保障等。
IPv4地址为32位,理论上可供近43亿(232)网络终端使用,但在实际使用时还需要剔除一些保留地址块,如表1-1所示。
表1-1 IPv4保留地址块
| CIDR地址块 |
描述 |
参考RFC |
|---|---|---|
| 0.0.0.0/8 |
本网络(仅作为源地址) |
RFC 5735 |
| 10.0.0.0/8 |
私网地址 |
RFC 1918 |
| 100.64.0.0/10 |
共享地址 |
RFC 6598 |
| 127.0.0.0/8 |
本地环回地址 |
RFC 5735 |
| 169.254.0.0/16 |
链路本地地址 |
RFC 3927 |
| 172.16.0.0/12 |
私网地址 |
RFC 1918 |
| 192.0.0.0/24 |
IANA保留 |
RFC 5735 |
| 192.0.2.0/24 |
TEST-NET-1,文档和实例 |
RFC 5735 |
| 192.88.99.0/24 |
6to4中继 |
RFC 3068 |
| 192.168.0.0/16 |
私网地址 |
RFC 1918 |
| 198.18.0.0/15 |
网络基准测试 |
RFC 2544 |
| 198.51.100.0/24 |
TEST-NET-2,文档和实例 |
RFC 5737 |
| 203.0.113.0/24 |
TEST-NET-3,文档和实例 |
RFC 5737 |
| 224.0.0.0/4 |
D类多播地址,仅作目的地址 |
RFC 3171 |
| 240.0.0.0/4 |
E类地址,保留 |
RFC 1700 |
| 255.255.255.255 |
受限广播 |
RFC 919 |
IPv4地址枯竭是一个不争的事实。一方面是因为需要接入互联网的网络终端越来越多,包括手机、汽车、家电等智能设备,这些都需要用IP地址进行标识。另一方面是因为IPv4地址长度不足,导致不能有效地层次化分配IPv4地址。另外,子网划分和保留地址的存在导致实际可用的IPv4地址进一步减少。现有的32位地址空间显然已经不能满足未来互联网发展规模的要求。2011年2月3日,互联网数字分配机构(Internet Assigned Numbers Authority,IANA)正式宣布所有的IPv4地址资源分配结束,这也意味着必须启用新的IP地址方案来解决地址枯竭的问题。
“二八原则”在IPv4分配领域同样存在,这进一步加剧了IP地址紧缺的矛盾。在互联网的发源地美国,特别是在20世纪80年代,几乎所有的大公司和大学都能得到至少一个A类或一个B类地址,尽管它们只有很少的计算机等网络终端,甚至到目前很多机构还有闲置的IPv4地址。与此形成对比的是,在欧洲和亚太等地区,很多组织机构很难申请到IPv4地址。这些地区的组织机构需要提供完整可靠的网络建设证明,包括网络设备购置合同等,才有可能申请到IPv4地址。IPv4地址枯竭问题其实对各国(地区)的影响不尽相同。对于美国这种人均5个IP地址的国家,影响并不算严重。但对于中国这种人均只有0.6个IP地址且互联网普及率还有较大提升空间的国家,推进新的IP编址技术就刻不容缓、势在必行。
互联网络的基础是路由表,网络终端之间的通信数据是由网络设备选路转发完成的,而选路的依据就是路由表。路由表主要是由各个自治系统(Autonomous System,AS)网络设备通告并生成的。由于各个AS难以做到提前规划,因此子网划分不尽合理,IP地址的层次化分配结构也遭到破坏,而且随着AS的不断增长,会不断产生新的、不连续的、不可聚合的多条路由,从而使路由表条目越来越巨大。路由条目的增多,增加了网络路由设备的寻址压力,降低了路由设备的转发效率。
IPv4地址不足导致无法提供有效的层次化规划,从而进一步导致路由表条目的数量越来越巨大。从精简路由条目、提高网络设备转发效率的角度出发,寻找替代IPv4的新协议也是发展的必然要求。
由于IP地址的短缺,网络地址转换(Network Address Translation,NAT)技术在目前的IPv4网络中得到了广泛的应用,这在一定程度上缓解了IP地址短缺造成的影响。但NAT技术仅仅是用来延长IPv4使用寿命的临时手段,而不是IPv4地址空间问题的终极解决方案。
在端到端通信模型中,通信是直接将原始数据报发送给接收端,其间不需要其他设备来干预,这也是IP设计的初衷。然而NAT却破坏了这种端到端通信模型。
在NAT环境中,如果通信的一方处于NAT后方,则需要使用额外的转换设备及资源来保证通信双方的连接。此转换设备必须记录下转换前的地址和端口,这势必会影响网络的转发性能。而且一旦通信发生故障,也无法第一时间确认到底是转换设备还是NAT后方设备所引起的。此外,对出于网络安全和上网行为管理的需要而记录最终用户行为的组织机构来说,记录并保存NAT状态表还需耗费更多的资源。
NAT对于一些非常规IP+端口转换的协议支持不足,比如文件传输协议(File Transfer Protocol,FTP)、会话初始协议(Session Initiation Protocol,SIP)、点对点隧道协议(Point to Point Tunneling Protocol,PPTP)等。此外,有时需要通过一些加密手段来保护IP报头的完整性,报头在源到目的的传输过程中不允许被篡改,即在源端保护报头的完整性,在目的端检查数据包的完整性。但是NAT会在通信中改变报头,这就破坏了完整性检查,从而出现预期之外的错误。
互联网中总会存在一些特殊的应用,如音视频等实时性高的通信应用,它们对网络的延时、抖动、丢包率和带宽等都有较高的要求,这就要求互联网协议对这些特殊应用做出服务质量保证,即QoS。虽然在IPv4中针对此问题有区分服务(Differentiated Service,DiffServ)等QoS解决方案,但由于实际部署复杂、管理难度高等原因,当前的IPv4互联网实际上并不能提供全面的QoS服务保障。
在IPv4网络中,某些链路的最大传输单元(Maximum Transmission Unit,MTU)限制会导致一些网络设备对原始数据报进行拆分。在这个过程中,难免存在数据丢失或被修改的安全隐患。虽然在IPv4中能通过互联网安全协议(Internet Protocol Security,IPSec)等技术手段来实现信息的完整性和保密性传输,但单一的技术手段并不能完全解决IPv4设计上的安全缺陷,特别是在NAT泛滥的环境中。
综上,IPv4的诸多局限性促使业界达成了一个共识:需要一个全新的协议来从根本上解决IPv4面临的问题。
正是因为IPv4地址短缺等局限性,IETF在1993年成立了下一代互联网IPng工作组,当时提出了3个研究方案,分别是CATNIP(参见RFC 1707)、SIPP(参见RFC 1752)和TUBA(参见RFC 1347)。最终于1994年,IPng工作组提出将IPv6作为下一代IP网络协议推荐版本,并于1995年完成了IPv6的协议规范。1996年,IETF发起并成立了全球IPv6试验床:6BONE网络(3ffe::/16)。1999年,IPng工作组完成了对IPv6的审定和测试,并成立了IPv6论坛,开始正式分配IPv6地址。自此,各大主流操作系统和主流厂家均正式推出支持IPv6的产品,并不断改进和完善。
我国也积极参与了IPv6的研究和试验,中国教育和科研计算机网(CERNET)于1998年6月加入了6BONE试验床,于2003年正式启动中国下一代互联网(China’s Next Generation Internet,CNGI)示范工程。2004年,CNGI-CERNET2教育网主干网正式开通,它也是迄今为止世界上规模最大的纯IPv6主干网,全面支持IPv6,连接了我国20个城市的25个核心节点。2005年,北京国内/国际互联中心CNGI-6IX建成,分别实现了和其他CNGI示范核心网、美国Internet2、欧洲GEANT2和亚太地区APAN的高速互联。
表1-2罗列了IPv6自产生以来所经历的重大事件。
表1-2 IPv6大事记
| 时间 |
事件 |
|---|---|
| 1993年 |
IETF IPng启动 |
| 1994年 |
IPng推荐将IPv6作为下一代IP推荐版本 |
| 1995年 |
IPng完成IPv6文本 |
| 1996年 |
全球6BONE试验床建立 |
| 1998年 |
中国加入6BONE |
| 1999年 |
成立IPv6论坛,正式分配IPv6地址 |
| 2000年 |
各大主流厂商、操作系统开始支持IPv6,并不断完善 |
| 2003年 |
中国成立CNGI |
| 2004年 |
中国创建CNGI-CERNET2纯IPv6网络 |
| 2005年 |
中国与其他CNGI示范网实现互联 |
在2016年12月7日举行的“2016全球网络技术大会(GNTC)”上,中国工程院院士、清华大学教授吴建平在演讲中表示,我国的IPv6发展“起了个大早,赶了个晚集”。吴建平教授认为,国家在2003年就将IPv6的发展提上了日程,这是非常正确和及时的战略决策。当时经过5年的发展,第一期取得了预期的战略目标。但从2008年以后,我国IPv6的发展速度开始放缓并落后于国际水平。在吴建平看来,造成这个局面的主要原因有3个:NAT技术大量使用、互联网缺乏应有的国际竞争和推广迁移的代价巨大。
自2017年中共中央办公厅、国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》以来,工业和信息化部先后组织开展了“IPv6网络就绪”“IPv6端到端贯通”“IPv6流量提升”等系列专项行动。2021年7月,工业和信息化部、中央网信办发布《IPv6流量提升三年专项行动计划(2021—2023)》,推动IPv6产业发展迈入新阶段。此计划聚焦IPv6流量提升总目标,从网络和应用基础设施服务性能、主要商业互联网应用IPv6浓度、支持IPv6的终端设备占比等方面提出了量化目标。网信办监测数据显示,截至2021年12月底,我国IPv6活跃用户数达6.08亿,占网民总数的60.11%,物联网IPv6连接数达1.4亿,移动网络IPv6流量占比达35.15%,固定网络IPv6流量占比达9.38%,家庭无线路由器IPv6支持率达16%,政府门户网站IPv6支持率达81.8%,主要商业网站及移动互联网应用IPv6支持率达80.7%。主要年度指标超额完成,呈现出良好发展势头。
IPv6这个核心技术在互联网世界中越来越受重视,它的新技术、新能力、新品质必将在未来的互联网世界中发挥举足轻重的作用。我国虽然“起步早,发展慢”,但近些年越来越重视IPv6技术,并为此投入大量的人力、物力和财力。未来,IPv6必将在大数据、物联网、云计算、智能家居等新兴领域大放异彩。
相较于IPv4,IPv6凭借其具备的如下特性获得了业界认可。
IPv6的地址位数是IPv4地址位数的4倍,达到了128位。128位长度的地址理论上可以有2128个地址,平均全球每个人约可拥有5.7×1028个IPv6地址。虽然由于前缀划分、地址段保留等原因,实际可用的地址可能会少一些,但IPv6的地址空间依然很大。
IPv6报头并不是在原有IPv4报头的基础上进行更改,而是拥有全新的报头格式,这意味着IPv6报头和IPv4报头并不兼容。为了比较IPv6与IPv4报头,我们先看IPv4报头结构,如图1-1所示。
图1-1 IPv4报头结构
IPv4报头长度不固定,如果没有选项字段,则IPv4报头至少为20字节,而选项字段最多支持40字节。再来看IPv6基本报头格式,如图1-2所示。
图1-2 IPv6基本报头格式
通过比较发现,IPv4中的报头长度、标识、标志、分段偏移、报头校验和、选项和填充在IPv6中被去掉了,其原因如下。
● 报头长度:IPv6中的报头长度固定为40字节,所以不再需要。
● 标识、标志和分段偏移:在IPv6网络中,中间路由器不再处理分片。分片处理交由源节点处理,是否分片则由路径最大传输单元(Path Maximum Transmission Unit,PMTU)来决定(第3章将详细讲解PMTU)。
● 报头校验和:在IPv6中,二层和四层都有校验和,所以三层的校验和并非必需。
● 选项和填充:在IPv6中,这两个字段由扩展报头来代替。是否有扩展报头则由下一个字段来指明,即把扩展报头与上层协议(TCP、UDP等)做同等处理。
报头长度固定、不需要分片处理、不需要校验和,IPv6的这些特性使得中间路由器不用再耗费大量的CPU资源,从而提高了转发效率。
IPv6基本报头后面可以跟可选的IPv6扩展报头,扩展报头字段中包括下一报头字段以指明上层协议单元类型。可扩展报头可以有多个,它只受IPv6数据报长度的限制。常用的扩展报头如下。
● 逐跳选项报头(唯一一个每台中间路由器都必须处理的扩展报头)。
● 目标选项报头(指定路由器处理)。
● 路由报头(强制经过指定路由器)。
● 分段报头(需要分段时由源节点构造)。
● 认证报头(类似IPSec)。
● 封装安全有效载荷报头(类似认证报头)等。
因为目标选项报头和路由报头等扩展报头的存在,移动IPv6也更容易实现。
IPv6的地址长度有128位,用十六进制表示,相较于IPv4而言,手工配置IPv6地址较为困难,因此IPv6地址配置主要采用自动配置的方式。在大多数情况下,需要接入IPv6网络中的主机只需要获取自己的64位IPv6前缀,此前缀通过本地网关发送路由器通告(Router Advertisement,RA)报文来完成,然后结合自己的64位扩展唯一标识符(64-bit Extended Unique Identifier,EUI-64)格式作为主机号生成完整的IPv6地址,就能实现“即插即用”。当然实际配置IPv6时,还分无状态自动配置和有状态自动配置。考虑到安全性,其主机位也可以不使用EUI-64格式(具体参见第3章和第4章)。
在IPv6的基本报头中,有8位流量类型标签和20位流标签,这样在无须打开内层数据的情况下就能为视频会议、IP语音等实时性较高的业务提供更好的QoS保障。
在IPv4网络中,邻居发现主要靠广播的地址解析协议(Address Resolution Protocol,ARP)来完成,这很容易发生广播风暴。而IPv6网络不再使用ARP,而是使用邻居发现协议(Neighbor Discovery Protocol,NDP)来找到邻居。NDP使用多播传输机制,从而减少了网络流量,提高了网络性能。有关NDP的详细介绍,请参见第3章。
本节介绍普通用户如何接入和体验IPv6。
在中央网信办的督办下,中国电信、中国移动和中国联通等网络运营商的家庭宽带已全面支持IPv6。许多家庭用户不能使用IPv6的原因是一些家用无线宽带路由器不支持或没有启用IPv6。下面以常用的锐捷家用无线路由器为例,介绍家庭宽带用户如何开启IPv6。
购买锐捷家用无线路由器前,请查询相关说明,确认该型号的无线路由器支持IPv6。作者家里使用锐捷无线路由器的型号是“X32 PRO千兆版”,淘宝售价大约300多元,家里接入的是南京联通的宽带。不同区域的不同运营商在配置和使用上可能会有些差异。
登录无线路由器的管理界面(默认登录地址为192.168.110.1),如图1-3所示,选择“更多设置”→“IPv6设置”,将“是否开启”设置为“开启”,“WAN配置”中的“联网类型”根据宽带的接入方式进行选择,作者家中的接入方式是“动态IP”。
图1-3 锐捷家用无线路由器IPv6配置
在连接家用无线路由器的计算机上执行ipconfig /all命令,显示如下:
C:\Users\Administrator>ipconfig /all
Windows IP 配置
主机名 . . . . . . . .. . . . . .: DESKTOP-SNMJ735
主 DNS 后缀 . . . . . . . . . . . :
节点类型 . . . . . . . . . . . . : 混合
IP 路由已启用 . . . . ..... . . . : 否
WINS 代理已启用 . . . ......... . : 否
以太网适配器 以太网:
连接特定的 DNS 后缀 . . . . . . . :
描述. . . . . . . . .. . . . . . : Intel(R) 82579LM Gigabit Network Connection
物理地址. . . . . . . . . . . . . : 34-17-EB-C9-70-DB
DHCP 已启用 . . . . . . ....... . : 否
自动配置已启用. . . . . ...... . . : 是
IPv6 地址 . . .. . . . . . . . . : 2408:8248:14:8410:210e:b297:1254:9bb8(首选)
临时 IPv6 地址. . .... . . . . . : 2408:8248:14:8410:59d7:73a2:8a93:f5dc(首选)
本地链接 IPv6 地址. . ......... . : fe80::210e:b297:1254:9bb8%8(首选)
IPv4 地址 . . . . . . . . . . . . : 192.168.110.206(首选)
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . . : fe80::eeb9:70ff:fef1:361c%8
192.168.110.1
DHCPv6 IAID . . . . . . . . : 104077291
DHCPv6 客户端 DUID : 00-01-00-01-28-A4-03-C9-34-17-EB-C9-70-DB
DNS 服务器 . . . . . . . . . : 2408:8248:14:8410::1
192.168.110.1
TCPIP 上的 NetBIOS : 已启用上面输出中的粗体部分显示计算机已经获得了IPv6地址。有关这里显示信息的更多解释,后面章节会陆续进行介绍。在计算机上ping中国教育科研网的域名www.edu.cn,显示如下:
C:\Users\Administrator>ping www.edu.cn
正在 Ping www.edu.cn [2001:da8:20d:22::10] 具有 32 字节的数据:
来自 2001:da8:20d:22::10 的回复: 时间=34ms
来自 2001:da8:20d:22::10 的回复: 时间=34ms
来自 2001:da8:20d:22::10 的回复: 时间=34ms
来自 2001:da8:20d:22::10 的回复: 时间=34ms
2001:da8:20d:22::10 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失)
往返行程的估计时间(以毫秒为单位):
最短 = 34ms,最长 = 34ms,平均 = 34ms从上面的输出可以看出,该计算机已经获得了IPv6地址,并可以访问互联网上的IPv6资源。目前,IPv6流量的占比不高,很大一部分原因是家用无线路由器不支持或没有开启IPv6。通过本小节的演示可以得知,开通IPv6的方法很简单。
中国电信、中国移动和中国联通等网络运营商的4G/5G网络默认也开通了IPv6,这里以华为Mate40为例,介绍如何验证手机支持IPv6。点击手机的“设置”→“移动网络”→“移动数据”,打开“移动数据”窗口,如图1-4所示。
图1-4 手机移动数据配置
可以看到该手机同时接入了卡1网络(中国电信)和卡2网络(中国移动),点击卡1网络的“接入点名称(APN)”,打开“APN”配置页面,点击“中国电信互联网设置CTNET”后的信息符号,打开“修改接入点”页面,如图1-5所示。
图1-5 修改接入点
从图1-5中可以看出,“APN协议”默认是IPv4/IPv6,即同时支持IPv4和IPv6。读者若想对此进行修改,可以新建APN,然后在“APN协议”中选择IPv4、IPv6或IPv4/IPv6。
断开手机的无线网络后,点击手机的“设置”→“关于手机”→“状态信息”,打开“状态信息”窗口,如图1-6所示。在“IP地址”部分可以看到同时具有IPv4和IPv6地址。
图1-6 查看状态信息
在手机上打开“淘宝”等APP,可以看到支持IPv6的提示。越来越多的APP将支持IPv6,不过对用户来说是无感知的,若不支持IPv6,将会使用IPv4访问。
这里以南京工业大学校园网为例,介绍企业无线用户和有线用户如何接入IPv6。
南京工业大学部署了1万多台锐捷的放装、面板和智分AP,实现了校园无线全覆盖,“Njtech”信号随处可见。用户连接“Njtech”,经锐捷SAM认证后,即可接入校园网。由于“Njtech”信号支持双栈(同时开通了IPv4和IPv6),用户连接无线后,即可享受IPv6服务。为了鼓励师生使用IPv6,学校对IPv6的访问免流量限制,同时放开互联网对校内用户IPv6地址的部分访问权限。
有线校园网默认也开通了双栈,直接连接有线校园网的设备可以获得IPv6支持。但一些用户为了使用方便,在办公室架设了无线路由器,把无线路由器的WAN口连接到校园网。连接无线路由器的有线和无线设备可以获得校园网分配的IPv4地址,并能正常访问互联网,默认却得不到校园网分配的IPv6前缀,不能享受IPv6服务。这里仍以锐捷的“X32 PRO千兆版”路由器为例,介绍如何配置无线路由器,使连接无线路由器的有线和无线设备也能获得校园网分配的IPv6前缀和提供的服务。无线路由器的其他配置不变,需要在“更多设置”→“中继设置”中将工作模式修改为“有线中继”,如图1-7所示。这样该无线路由器对IPv4和IPv6来说相当于是普通的交换机,可以透传IPv4和IPv6的流量。
图1-7 IPv6设置中继模式
前面介绍了一些IPv6的接入方式,这里感受一下IPv6可以提供的服务。从互联网上另一台IPv6计算机通过ping命令连接1.4.1小节中给出的IPv6地址(2408:8248:14:8410: 210e:b297:1254:9bb8)和临时IPv6地址(2408:8248:14:8410:59d7:73a2:8a93:f5dc),都可以成功连接,表示这里的IPv6地址全球可达。从互联网上另一台IPv6计算机远程桌面连接前面的IPv6地址和临时IPv6地址,都可成功连接,也可进行直接操控和文件复制等操作。
注 意
这里的ping命令和远程桌面等操作会受到网络运营商的影响,不同运营商会基于不同的侧重点实施不同的安全策略。经测,南京电信的有线宽带和移动网络没有禁用这些服务,更注重用户的网络应用范围;南京移动的移动网络仅允许ping,禁用了远程桌面等服务,更注重用户的网络安全。
由于计算机的IPv6地址经常变化,可以通过动态域名进行域名和IPv6地址的绑定,例如“青岛每步数码科技有限公司”提供的小程序可以将用户的实时IPv6地址与免费注册的域名进行关联。
IPv4的局限性决定了必须寻找并使用一种全新的互联网协议来替代它。而IPv6在设计之初针对的就是IPv4的局限性,旨在以一种全新的互联网协议架构来支撑互联网。IPv6和IPv4的主要区别包括地址空间的扩展、报头格式的改变、对QoS更好的支持、多播代替广播、增强的可扩展报头、内置安全性和移动性等。
当前,各国政府都在加紧实施IPv6的大规模部署和改造,IPv6已势不可挡。然而真正拥有IPv6相关技术、部署和使用经验的技术人员却少之又少,有太多的机遇摆在面前。接下来,我们开始IPv6网络部署的实战之旅,争当技术的引领者和时代的弄潮儿。
