目前主流的IP网络应用使用32位的IP地址(IPv4)。由于IP地址分配的不合理以及网络的高速增长,IP地址已经面临枯竭。解决办法有多种,如NAT以及VLSM等,但比较合理的解决办法是采用更大的地址空间的IPv6,同时还可为IP网络的安全及QoS等提供解决办法。 本系列文章的第六篇,介绍ZXR10的IPv6实现策略。 ——编者
目前广泛使用的IP网络(IPv4)面临多方面的挑战,例如IP地址缺乏和将被耗尽、安全性支持不够、缺少服务质量保证等,所有这些都严重影响IP网络的进一步发展。虽然已经提出一些局部的解决方案,例如通过使用保留IP地址、地址转换以及更合理地分配IP地址(CIDR无类别域间路由)来解决IP地址短缺问题,但最终还需要比较长远的解决方案,这就是IP网络的下一代协议IPv6。
IPv6和IPv4相比有许多重要的改进,主要包括:更大的地址空间、提供更好的安全性支持、QoS支持、简化的IP报头以及自动配置简化网络管理等。
IPv6使用128位的IP地址,这是一个非常巨大的地址空间。打一个比方,地球表面的每一平方米可以平均分配到数百万个IP地址,估计在未来的20年内会满足INTERNET高速增长的要求。由于长的地址在路由器中会需要更多的资源,因此在由IPv4的32位地址向128地址过渡过程中,更应规划好地址的分配和使用。IPv6使用分层的地址结构,包括3位地址类别、13位顶级聚合、32位下一级聚合、16位站点聚合和64位的主机标识符等方案来支持IP地址的合理使用和管理。
在网络安全性方面,IPv6通过IPsec系列协议实现。IPsec提供两种安全机制:认证和加密。认证机制使通信双方能够确认各自真实身份以及数据在传输过程中是否被篡改。加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被他人截获而失密。IPSec的认证包头AH(Authentication Header)协议定义了认证方法;封装安全负载ESP(EncapsulatedPayload)协议定义了加密和可选的认证方法。IPsec的另一个重要的概念是安全关联(SA),一般包含认证算法、加密算法、用于认证和加密的密钥。IPSec使用密钥分配和交换协议如Internet安全关联和密钥管理协议(ISAKMP)来创建和维护SA,从而实现安全通信。
在QoS方面,IPv6提供了8位的通信流类型和20位的数据流标号。和IPv4相比这28 位可以更精细地区分特定的数据流,而QoS的实现还需要路由器等网络设备采用特定技术。
由于目前IPv4网络还可应用,IPv6的使用还没有那么迫切,因此IPv4向IPv6的平稳过渡或者共存,是IPv6实现技术的重要课题。一方面要保护现有网络的投资,同时支持网络技术的发展和网络的平稳过渡,目前常用的策略包括双栈、隧道和翻译等支持IPv4和IPv6的过渡。
ZXR10采用双栈结构实现IPv6协议。ZXR10中同时使用IPv4和IPv6两个协议栈,既拥有 IPv4地址,也拥有IPv6地址,因而可以收发IPv4和IPv6两种IP数据报。这种实现,一方面可以和目前的IPv4网络的共存,同时提供IPv6的支持,既可满足IPv6网络试验应用,也可直接提供大规模的IPv6应用,最终实现由IPv4向IPv6网络的平稳过渡。ZXR10上还在探索有关通过MPLS技术实现向IPv6过渡的策略。
其他方面,ZXR10已经实现了IPsec及相关协议、支持IPv6的有关流的分类机制,通过队列、调度等措施实现IP QoS等。