IPv6双栈优先
作者:庞瑞霞编译
对于IPv6转换来说,新的说法是,“在可以用双栈的地方使用双栈,在不得不用隧道的地方使用隧道。”
如何更好地实现从IPv4到IPv6的迁移是用户关心的问题,在当前的应用中,IPv6主要是利用覆盖每一种IPv4升级案例的迁移技术来实现,但许多迁移技术最终被拒绝,因此,IPv4到IPv6的升级成为一个影响到IPv6普级和应用的门槛。
一种叫做双栈的技术可在现有网络基础上同时运行IPv4和IPv6。而端节点和路由器/交换机同时运行两种协议,而且IPv6通信在整个网络传输中则是首选协议。
常用的双栈迁移方式是从核心向边缘的迁移。这涉及在WAN核心路由器上实现两个TCP/IP协议栈,接着是外围路由器和防火墙,然后是服务器群路由器,最终是桌面接入路由器。在网络支持IPv6和IPv4协议后,这一过程将实现服务器上的双栈,然后是边缘计算机系统。
另一种实现方法是利用隧道在一个协议内传送另一个协议。这类隧道将IPv6包封装在IPv4包中,在没有升级到IPv6的网络部分传送。隧道可以在存在被IPv4海洋隔离的IPv6孤岛的不同网络应用环境中建立,这种情况在向IPv6迁移的早期阶段十分常见。但未来,这种方式将带来需要跨越IPv6海洋连接的IPv4孤岛。
另一些技术,如网络地址转换协议转换(NAT-PT),简单地把IPv6包转换为IPv4包。这类转换技术比IPv4 NAT要复杂得多,因为这些协议具有不同的包头格式。转换技术一般在别无选择时才使用。而使用双栈和隧道技术效果优于使用NAT-PT。
目前有两类隧道:手工隧道和动态隧道。手工配置的IPv6隧道要求在隧道两端进行配置,而动态隧道根据数据包的目标地址和路由自动创建。与静态配置的隧道相比,动态隧道技术简化了维护工作,但静态隧道提供用于每个终端的流量信息,从而提供抵御注入传输流的额外安全性。
事实上,人们对隧道技术的安全性存在担心。例如,在使用动态隧道时,跟踪透明隧道通信不容易,不知道隧道的目的、终点等。这在路由器与另一个未经过认证的路由器通信时是个可怕的问题。向隧道终点发送伪造的传输流,以及收到以假乱真地插入到隧道中的传输流也是可能的。隧道技术造成传输流被封装起来的情况,而许多防火墙不检查隧道中的传输流。允许IP协议(封装在IPv4中的IPv6)穿过IPv4防火墙并不是最佳实践。这就像在防火墙中设置了一条超级规则。
随着迁移的发展,隧道将必须经常改变和被监测。当IPv6海洋变得太大或迁移到全IPv6时,隧道也必须被删除。因此,隧道只是一种过渡技术,而在一个充斥着隧道的环境中,排查故障将成为一项挑战。
动态隧道技术没有提供可利用SNMP监测的隧道接口。动态隧道技术使用2002::/16地址,这意味着作为转换到IPv6的一部分,必须为网络重新分配地址两次。许多动态隧道技术还不能转发多播传输流,不能穿过网络中央的IPv4 NAT。
当前,用户可以首先尝试利用双栈模式实现传送,然后,经过一段时间后删除IPv4协议的方法将更容易。目前,还没有很多为纯IPv6通信开发的系统,但有很多运行在双栈模式下的系统。例如,Microsoft的新操作系统采用有助于两种协议无缝运行的双层架构。因此,迁移计划应当更大限度地利用双栈,尽可能少地使用隧道技术。还应当提到的是,使用双栈不是最终目标,全面迁移到IPv6才是最终目的。
上世纪90年代,网络业有这样一句话:“在可以交换的地方交换,在不得不路由的地方路由”。然而,随着时间的发展,路由与交换技术之间的性能差距弥合了。对于IPv6转换来说,新的说法是“在可以用双栈的地方使用双栈,在不得不用隧道的地方使用隧道。”