IPv6網絡體系結構與網絡改造思考

摘要：該文主要研究內容是lPv6的網絡體系結構和網絡改造工作的細節，lPv6網絡結構體系是從該網絡體系發展的初期、與IPv4共存以及IPv6占主導地位的時期間結構體系分析，而網絡的改造工作則是從內部改造和最終改造著手分析，希望為相關工作提供合理參考。

關鍵詞：lPv6;網絡體系;網絡改造

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2020）22-0056-02

開放科學（資源服務）標識碼（OSID）：

1 背景

隨著國家政策要求網絡、應用、終端2025年全面支持IPv6，大量的生產業務網絡、應用、終端將逐步完成IPv6改造，與IPv4相比，IPv6協議是下一代互聯網協議，在地址空間、安全性等方面有巨大提升。全球通信行業以及開展新興技術應用的企業都在向IPv6遷移，采用IPv6協議是后續互聯網技術發展的大勢所趨。

2 IPv6網絡體系結構

在互聯網技術發展的新時期，大多數的IPv4網絡都逐漸轉向了IPv6網絡。與IPv4網絡相比，IPv6網絡在一定程度上使得地址資源方面獲得了令人滿意的進步，而且IPv6網絡技術的廣泛應用，不僅在地址數量上，在實現多種設備連接到互聯網方面上也有所提高，進一步實現了人們對于互聯網的需求。2012年國家發改委啟動“下一代互聯網信息安全專項”試點和標準工作，中國石油作為試點之一，承擔“基于IPv6專網的安全防護研發及應用試點工程”，將我國石油主要生產區之一的大慶油田作為試點單位。通過三年多的建設，在大慶油田建設了全國最大基于IPv6的工業生產專網，構建了基于IPv6的網絡安全防護體系。

2.1 IPv6發展的初期

在IPv6的發展的初期階段中，IPv4占據主導地位，即網絡結構中絕大部分網絡結構中應用的是IPv4協議。此階段技術人員先將邊緣路由器進行了升級，變為雙棧路由器，該路由器能夠同時對IPv6和IPv4兩種數據包進行轉發。例如：在各子網絡之間建立IPv6互聯的過程中，一方面，可以使用二路鏈接技術，在該技術的基礎上可以建立IPv6純鏈路，另一方面，也可以使用隧道技術促使兩種協定進行跨越連接。當時的網絡環境下兩種協定的路由可以相互獨立，不會產生影響，為了使用網絡環境中不斷增加的IPv6，技術人員在網絡環境中不斷引用IPv6主機以及服務器且在發展的過程中也不斷在網絡環境中布置IPv6節點。

2.2 IPv6與IPv4共存

在IPv6發展和應用的過程中，該版本協定逐漸獲得了較大規模的應用，并通過IPv6因特網網絡實現了大量的業務的引進，此類業務能夠通過IPv6網絡將相關技術的主要優勢全面發揮。但IPv6網絡節點之間不存在連接，因此在節點連接過程中技術人員會使用隧道，同時在IPv6平臺上也可以實現豐富的業務實施。但在此階段依舊存在IPv4業務的存在，兩種業務屬于共存的狀態，因此多數網絡節點也是雙棧節點。在此階段的IPv6發展過程中需要在使用隧道技術的同時也要配合兩種技術之間的協議轉換技術。

我們在試點油田企業內部的IPv4/IPv6過渡系統中采用地址翻譯、雙棧等多種技術相結合，構建IPv6/IPv4網絡過渡環境，適用于多種業務場景，使IPv6網絡能夠與IPv4網絡資源互訪，充分利用現有資源，保障下一代互聯網的平滑演進。

在由IPv6占據主導地位的網絡體系結構當中，企業的主要網絡將全部由IPv6組成，在此階段的網絡體系結構中IPv4將會逐漸消失，與初級階段的IPv6網絡體系結構相似在此階段也需要使用隧道技術將IPv4的網絡連通，在該工作落實的過程中，使用的隧道技術是以IPv40verIPv6技術為主，在IPv6占據網絡結構主導地位的階段，網絡環境中的全部部署IPv6網絡協議包括鄰居發現協議、IPv6路徑等，且其中的IPv6網絡節點地址分配使用的主要是RFC25450對IPv6推薦的地址進行分配策略描述[1]。

3 網絡改造工作

3.1 網絡內部改造

網絡改造過程中能夠直接通過升級軟件完成雙棧支持的設備數量極少，多數情況下依然需要借助于全新的雙棧設備給予支持。如果在一定的條件下中心設備可以采取升級的方式實現雙棧支持，其業務連接與方案設置就會與企業網的重新建立相雷同。為了使更新得到支持，需要加大新雙棧設備的研發和引進，此時需要使原來的IPv4和現有的IPv6進行內部互相聯系，在此前提下，借助于最新增加的雙棧設備使其完成NAT-PT和IPv6之間的有效聯通。IPv4和IPv6的連通則需要企業網的幫助。以企業網的內部改造為例，在改造之前，一般需要先采購一批新型的雙棧設備，也有少數的設備軟件能夠通過相應的升級改造措施支持雙棧運行，如果企業網網絡設備能夠通過升級實現雙棧，則其相關布設方案與之前提到的類似，如果需要通過引入新的設備實現雙棧，則采用IPv4和IPv6網內聯系的方式，利用新引進的設備就能夠完成實現NAT-PT和IPv6=者之間的互通。

在目前的網絡結構當中，使用的體系結構依舊是以IPv4為主，想要徹底地將IPv4取代需要投入較大的經濟成本，且在網絡升級改造的過程中，需要保障在不影響當下網絡環境的前提下展開，因此促使IPv4逐漸轉化為IPv6需要進行階段性的改造，也是網絡內部改造工作的必然趨勢。在開展內部網絡改造工作落實的過程中，技術人員需要在網絡環境中引進雙棧路由設備，并對當前網絡環境中使用的設備進行升級，促使設備能夠支持雙棧工作。在改造工作的落實過程中，若有關單位能夠引進新的設備就可以促使網絡內部系統的建設盡快實現不同網絡體系結構之間的互相連通，主要的工作方式是利用NAT-PT技術促使內部網絡結構體系中的核心設備進行互通。一旦發掘相關的設備有能夠升級的空間，就能夠通過升級設備的方式完成整個網絡內部結構體系的建設工作。

IPv6網絡結構體系在投入使用的過程中，和以往網絡結構中使用的IPv4網絡結構體系結構相似，需要展開申請、配置網絡等工作，同時形成相應的IPv6域名服務器。在我國當下使用的內部網絡體系結構使用的設備操作系統當中，NT5.0以上的操作系統都能夠支持IPv6網絡體系結構，在相應的設備選擇過程中也存在空間，但在安裝設備和應用的過程中需要注意在Windows server的系統中進行程序安裝，且一般系統中已經有了內置的協議，所以IPv6可以直接在該系統中使用。

當下世界上的許多通信企業生產的路由器都能夠支持IPv6的應用，也能夠適應內部網絡改造升級的需求。除此之外，在內部網絡改造的過程中有關部門和技術人員也可以通過可以提供網絡處理功能的三級交換機作為實際在網絡系統中的雙棧設備，且在此方式的應用過程中，網絡結構體系也不會排斥IPv4業務，同時在此種改造工作落實的過程中IPv6的全部功能也能夠得到實現，促使IPv4和IPv6兩種協議進行平穩的過渡。

對于網絡改造，目前能夠對網絡處理提供支持的主流三層交換機，都已經具備核心雙棧設備的能力。網絡改造中的匯聚層需借助于雙棧路由器加以實現，出口則需采用能夠對IPv4或者IPv6產生支持的雙棧業務流，其優勢在于既能夠保證IPv4的正常業務，也具有比較完善的IPv6支持性能。有條件的情況下可以增加IPv6業務的匯聚層和核心層，與IPv4業務共同組成業務系統，其中，IPv4相關業務可以通過原來的網絡發出，與新業務出口層和匯聚層不產生矛盾，以此實現初期的網絡內部改造。

3.2 網絡最終改造

當網絡改造工作中實現了IPv6的全部部署，即IPv4網絡結構體系能夠被完全取代，實現對網絡體系結構的全面改造。在改造之后的網絡通信將完全依靠IPv6展開，需要注意的是該改造過程較為漫長，在網絡改造過程中涉及的工作技能也十分廣泛，在網絡改造完成后，網絡地址的長度也會逐漸增加，與傳統網絡體系結構中傳統的IPv4協議而言，改造后的IPv6網絡體系結構的網絡地址長度則能夠達到128bit，且可以無限擴大長度。在安全性的層面，IPv6網絡體系結構具有身份認證和隱私權的優勢，因此網絡結構體系的安全系數也會得到強有力的保障。除此之外，IPv6網絡結構體系支持的協議能夠實現可持續性轉變，網絡結構比IPv4協議的網絡結構體系具有更加強大的適應性以及開放性，網絡最終改造后的IPv6網絡結構體系取代IPv4網絡結構體系也會是時代發展的必然[2]。

3.3 網絡安全性實施方案

目前，網絡安全問題頻繁發生，因此網絡改造過程中需要提高對網絡安全重要性的認識。產生網絡安全隱患的原因主要為網絡用戶較多，運用水平良莠不齊，不良的網絡行為普遍存在;此外，公共網絡容易遭受病毒侵害，此類狀況難以避免。為此需要采取相應措施對以上問題加以解決。

首先，抵御網絡病毒攻擊?？梢栽诰W絡出口處設置防火墻，并且需要在防火墻上加強病毒防控;目前某些病毒如震蕩波等其具有不變的端口，為此，ACL列表便可以封閉其傳播端口，有效阻斷了病毒的傳播，實現網絡環境的安全性。

其次，設置安全的口令。盡量保證所設置口令具有一定的復雜程度，大多數惡性病毒對復雜口令往往束手無策，建議采用“用戶名+密碼的”口令設置方式，以此增強口令的安全性。為了進一步保證口令的安全性，最好每隔一段時間重新設置口令;同時注重TELNET權限的設置，通過ACL設置實現對設備訪問權限的控制，在此條件下只有具備特定IP地址的TELNET方可在該設備上進行訪問，以便阻止其他用戶訪問網絡設備，最大程度地保證了網絡的安全性，減少了惡意入侵情況的發生。

再次，IPv6巨大的地址空間帶來了網絡的可溯源性。企業網中的每個終端都可以獲得唯一的IPv6網絡地址，并可以和多種信息綁定，在此基礎上中國石油采用清華大學提出的真實源地址驗證技術（SAVI），解決IPv6主機的安全合法接入問題，對接人層IPv6源地址進行檢驗，實現杜絕網絡欺騙、防止網絡攻擊、快速定位網絡故障以及審計網絡安全日志等功能。

最后，進行恰當的NAT轉換。對于私網IP而言，在訪問外部網絡過程中需要在防火墻上實行NAT轉換，同時為了滿足多出口網絡訪問對于安全性的要求，可以借助訪問列表對當前訪問的網絡加以區分，之后在策略路由器的幫助下選擇正確的出口，完成恰當的NAT轉換[3]。

4 結束語

綜上所述，IPv6是目前我國網絡改造工作發展的具體方向，在當下的網絡環境當中IPv6具有多種優勢，在網絡技術的經驗和能力發展的過程中IPv6網絡體系占領主導地位的時代屬于時代發展的必然趨勢，因此工作人員需要不斷進行網絡改造工作，盡快推動IPv6網絡體系的建設。

參考文獻：

[1]李敏英.lPv6網絡體系結構與網絡改造【J].通訊世界，2019（12）： 161-162.

[2]劉清濤.IPv6網絡體系結構與網絡改造[J].信息與電腦（理論版），2018（10）： 144-145.

[3]邵小勇，張景良.江蘇省聯社lPv6部署實踐與思考[J].金融電子化，2020（2）： 17-17.

【通聯編輯：謝媛媛】

作者簡介：賈宏芳（1982-），女，遼寧鐵嶺人，工程師，碩士，研究方向為IPv6。