近年来,随着互联网的广泛普及与应用,特别是移动互联网、云计算、物联网、工业互联网的蓬勃发展,传统的IPv4地址资源紧缺问题日益凸显。IPv6能够提供海量的网络地址资源,是实现万物互联,促进生产生活数字化、网络化、智能化发展的关键要素。发展基于IPv6的下一代互联网,是互联网演进升级的必然趋势。目前国内三大基础电信企业骨干网和城域接入网络已全部支持IPv6,并全面支持IPv6承载和接入服务。因此原来通过IPv4多链路接入互联网的企业网络,升级改造为IPv4、IPv6双栈方式接入,也势在必行。由于IPv6与IPv4在技术上有诸多不同,因此IPv6多链路出口的路由部署存在着较大差异。
1、IPv4与IPv6出口在接入互联网络技术上的差异
1.1由于IPv4公网地址的局限,边缘网络接入互联网,基本上都采用NAT(Network Address Translation)接入方式,并基本上是PAT(Port Address Translation)方式。IPv6由于有海量的网络地址,边缘网络接入互联网络根本不存在NAT方式。国际标准组织在制订IPv6相关相关技术标准的时候,建议避免使用IPV6 NAT 技术,原因是IPV6 NAT 会破坏互联网端到端的可达性。
1.2 在IPv4环境下,一台网络主机(或接口)一般都配置一个IPv4单播地址,即使有多个网络接口地址,但主机在选择某条路由时,有唯一确定的单播地址。但是在IPv6环境下,单播地址分为全球单播地址(GUA)、链路本地地址(LLA)、唯一本地地址(ULA)等,一台网络设备(或接口)至少有以上二个单播地址。网络设备(或接口)在多个单播IPv6地址的情况下,与外界主动通信时,还要根据目的IPv6地址, 来选择IPv6源地址,因此源地址的选择就存在较大的不确定性。
在IPv4多链路出口情况下,由于存在网络运营商互联互通方面的问题,最常用的出口选路方法采用就近选路原则,即通过缺省路由与运营商(ISP) 的明细路由结合起来完成选路,让主机访问某ISP服务器的流量从连接该ISP 的链路转发,避免流量从另外的ISP链路迂回绕道。即使明细路路由缺失、或根据源地址等方式进行策略路由选路,内部网络的IPv4地址都会通过NAT44转换成该运营商对应的IPv4地址,并从该运营商的链路上转发出去。路由选择即使不是最优路径,一般也不会导致路由不可达的情况出现。
但是在IPv6的环境下,出口选路与IPv4的情况比较就会有很大的不同。首先是因为上述所说的IPv6源地址选择问题。另一点是因为国际标准组织IETF在制定IPv6相关技术标准的时候,建议避免使用IPV6 NAT 技术,以免破坏互联网端到端的可达性。
因此在IPv6网络多出口环境下,要满足端到端可达性,而且出口防火墙在不开启NAT66的情况下,内部主机必须配置多个IPv6地址,有几条链路出口就必须配置多少个IPv6地址。但仅仅这些条件还不够。下文结合(图 1)(表1)来介绍。
图 1 IPv6多出口拓扑
表 1 出口设备相关IPv6地址分配
某台有多个GUA地址的内网主机要访问外网时,当选择的源地址是某一运营商(如ISP1)的IPv6地址,在出口设备不做NAT66转换的情况下,出口防火墙很有可能选择将数据从另一运营商(ISP2)的链路进行转发,这样一来就造成数据丢包、路由不可达的情况出现。如图1所示,如果内部主机PC配置了240E:691:2100:101:209::2/64(电信)和 2408:8640:20FF:2:209::2/64(联通)二个GUA地址。防火墙单向(即使是双向)放行IPv6 数据包及不开启NAT66情况下,在出口防火墙选路时,将配置240E:691:2100:101:209::2/64(电信)源地址的数据包,从联通的链路上转发出去,造成数据包丢包。PC访问//www.test-ipv6.com/网站,进行ipv6连接测试,IPv6多项项目测试失败,IPv6连接不正常。
2、基于IPv6端到端可达与网络路径最优的二种解决方案
2.1 出口防火墙上配置基于源地址的策略路由
针对上面提到的问题,当有多个GUA地址的内网主机要访问外网时,有两个解决方案。一种办法是:在出口防火墙在保留静态和默认路由的情况下,做源地址的策略路由,即根据源IPv6地址选择路由。对于源地址为ISP1运营商的数据包,就从该运营商ISP1链路转发出去;对于源地址为ISP2运营商的数据包,就从该运营商ISP2转发出去。如图2:
图2 华为USG防火墙基于源地址的策略路由配置
PC登录http://www.test-ipv6.com/网站,进行IPv6连接测试,IPv6全部项目测试全部成功,IPv6连接正常。
①但这种办法的缺点是,路由选择可能不是最优路径,流量有可能从另外的ISP链路迂回绕道,造成网速变慢的情况,失去了多家运营商多链路接入的初衷。比如: 根据https://ispip.clang.cn/ 网站的数据,其中包含2001:e18::/32 等26 条网络前缀条目为中国联通使用,2001:7fa:10::/48等40条网络前缀条目为中国电信使用。如果内部主机分别访问2001:e18::/32和2001:7fa:10::/48 这二个网段的网络设备,这两个IPv6 地址的前16位前缀都为2001::/16。根据内部主机IPv6源地址选择原则,一般情况下选择与目的的IPv6地址最长匹配的源IPv6地址,内部主机因此选择2408:8640:20FF:2::为前缀的联通GUA地址,防火墙根据源地址选路,都是选择从联通出口去访问这两个网络地址。因此去访问中国电信的2001:7fa:10::/48网络时,就造成网络的迂回绕道。如图3:
图 3 防火墙IPv6会话表:访问联通和电信的网络,都走了联通出口
②异常处理办法: 当其中一条出口链路故障或中断时(如ISP1),由于采用的是源地址选路的智能路由,这样会造成内部主机源地址为ISP1地址,网络通信中断。因此异常处理办法,是在基于源地址策略路由的基础上,作链路检测,添加track ip-link Unicom6等命令(图4)。当检测到某条链路失效时,去往该运营商的策略路由失效,防止数据包从该运营商链路上转发出去,造成数据丢包。
图4 USG防火墙出口的IPv6 链路状态检测
此外出口防火墙还需要做NAT66或NPTv6转换。如果防火墙选择从ISP1链路转发,而ISP1链路刚好又发生故障,则该条策略路由不生效,ISP1该条链路的默认路由也不生效(通过链路检测)。根据路由选路原则,数据包选择从另一条ISP2转发出去,这样内部主机源地址为ISP1的GUA 地址,而选择的链路为其他运营商ISP2的,数据包很可能会被丢弃。 因此还需要对于源地址为ISP1`的数据包从ISP2链路上转发时,或对于源地址为ISP2的数据包从ISP1链路转发时,都需要做NAT66或NPTv6转换(如图5)。即对于源地址为ISP1的,需要从ISP2链路转发时,将ISP1的源地址转换为ISP2 地址。
图5 终端IPv6源地址与选择出口运营商链路不一致时,USG做NAT66或
2.2 出口防火墙上配置NAT66或NPTv6
当有多个GUA地址的内网主机,在出口防火墙有多链路出口的情况下,访问外网时出现异常的另一种解决方法为:在出口防火墙根据目的地址选路,并且做IPv6 NAT66。这与IPv4 NAT44的方法类似。为了防止网络迂回绕道的问题,出口防火墙根据目的地址选路。目的地址为中国电信的,走中国电信的链路出口,同时还要根据源地址的情况,来决定是否做NAT66 转换。如果源地址不是中国电信的GUA ,出口防火墙还需要将源地址通过NAT66 转换为中国电信的GUA,源地址是中国电信的,则直接转发不作转换;
如果目的地址和源地址均为中国联通的,则走中国联通的链路出口,直接转发。如果源地址不是中国联通GUA ,出口防火墙还需要将源地址通过NAT66 转换为中国联通的GUA。同时对多条链路都配置默认路由,防火墙开启全局策略选路,选路方法可以是根据租用的链路带宽、链路质量、链路权重等方式,用最优的方式解决去往非中国联通、和非中国电信的其它站点的访问。
IPv6 NAT66 源地址转换方法有二种,即NAT66(前缀地址静态转换)或NPTv6(IPv6-to-IPv6 Network Prefix Translation,NPTv6 RFC6296) 。NAT66(前缀地址静态转换)只是将IPv6的前缀部分作替换,后几位保持不变。转换设备(如出口防火墙)需要保存这二个地址之间的转换映射关系. 它是一种有状态的地址转换技术。NPTv6它通过特定的算法,实现了IPv6地址之间双向翻译,转换设备无需保存这二者之间的映射关系,是一种无状态的地址翻译技术。但是在出口防火墙安全策略实施后,也必须保留两者之间的映射关系,否则外部数据无法返回到防火墙内部。严格来说,NPTv6尽管在边缘网络内部使用的地址与在边缘网络外部使用的地址不同,但端到端的可达性仍得以保留。NAT66 与NPTv6 的区别参阅相关文档。NAT66 转换配置方法如图5所示。下图6为防火墙IPv6 NAT66转换的会话表。
图6 USG防火墙IPv6 NAT66转换的会话表
在防火墙出口要做NAT66或NPTv6(IPv6-to-IPv6 Network Prefix Translation,NPTv6)转换,在内部主机地址配置上我们可以考虑不采用运营商多个GUA 地址,内部主机也可以使用单运营商IPv6 GUA地址、或者只配置唯一本地地址(如ULA)等其它方式。
对于内部主机地址为单运营商(如ISP1)的,如果目的地址链路选择为ISP1 的,则不需要做NAT转换,数据直接转发就可以了。因此大大减少NAT转换的可能性。内部主机只配置唯一本地地址(ULA)的,则对所有进出防火墙的数据包都要做NAT66或NPTv6转换。而对于内部主机配置两个运营商IPv6 GUA地址的,如果内部主机源地址,和去访问的目的地址为同一运营商的,则不需要做NAT转换,也能大大减少NAT转换数量,可提升网络转发效率。
以下根据内部主机配置的GUA地址或ULA地址,相关情况的比照。
从以上对比中,内部主机配置单个运营商GUA为比较合适方案
对于在出口防火墙上配置NAT66或NPTv6这种方案来说,无论哪一条链路故障,因为有链路冗余,都不会造成网络通信中断的情况出现;特别是内部主机只配置唯一本地地址(如ULA)时,NAT66 技术保持了边缘网络IP地址独立性,网络设计人员在规划网络设计时,不需要因为更换网络电信运营商,而对内部网络进行地址重新规划。
但是由于使用NAT66或NPTv6技术,更改了原始IP地址[1],网络中存在FTP 等应用层感知IP地址的应用时,需要部署ALG等相关技术,才能使这些应用正常的工作。同样NAT66或NPTv6由于对地址作了转换,IPsec技术在使用中,影响了包含IP地址的完整性校验,部分IPsec问题可以通过部署防火墙的NAT-T等相关技术解决。
2.3 BGP等其它技术方案
除了以上两种方案,BGP技术方案是大型企业接入IPv6网络的最佳选择。BGP(Border Gateway Protocol,边界网关协议)是自治系统间的路由协议,BGP交换的网络可达性信息提供了足够的信息来检测路由回路并根据性能优先和策略约束对路由进行决策。BGP 主要用于互联网AS ( 自治系统 )之间的互联,全国各大网络运营商和阿里、腾讯等互联网大企业,都是通过 BGP 协议与自身的 AS 号来实现多线互联的[3]。
企业可以在 APNIC 或 CNNIC 申请自己的AS号和IP地址,通过BGP路由协议,将IP地址信息分别发布到所连接的运营商网络中,实现与多个运营商之间的互联互通。通过BGP协议方案连接网络,使各接入的运营商之间形成备份,当某一运营商出现故障时,系统会将该运营商线路上的访问请求切换到其他运营商线路上。无论是IPv4协议还是IPv6协议,BGP技术方案都是最佳方案之一。而内部主机只需要配置 从CNNIC 申请来的单一GUA地址就可以了,网络的独立性也得到很好保证。但是从实际来看,从运营维护、安全措施、设备设施及带宽要求与运营商BGP互联是不现实的。
3、解决方案对比及方案建议
以上二种解决方案,一个是从基于端到端可达性角度出发,另一个是着重于网络选路最优化作为解决办法,相关情况对比如下:
综合以上两种技术方案,都各有优缺点。方案的选择,取决于企业本身的业务需求和网络接入的带宽情况。为了防止流量的迂回绕道,提高上网的质量,比较而言,方案二中终端配置单运营商GUA地址的方法,适合一般企业使用,值得推荐使用,这也是一般企业多链路接入多家运营商的初衷。由于IPv6 NAT66 会破坏互联网端到端的可达性,影响了FTP、IPSEC等相关业务,我们可以在较小的地址范围,对出口防火墙做基于源地址的策略路由,因为策略路由会优先于明细路由实施,这其实是两种方案的互为补充,技术人员在实施时可以根据情况灵活调整。
来源:《网络安全和信息化》期刊,作者:宁波市北仑区传媒中心 缪春伦、王承东、朱晴南
到此这篇ipv6全球单播地址有哪些(ipv6全球单播地址范围)的文章就介绍到这了,更多相关内容请继续浏览下面的相关推荐文章,希望大家都能在编程的领域有一番成就!版权声明:
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如若内容造成侵权、违法违规、事实不符,请将相关资料发送至xkadmin@xkablog.com进行投诉反馈,一经查实,立即处理!
转载请注明出处,原文链接:https://www.xkablog.com/bcyy/37227.html