厚積薄發(fā)，看騰訊云如何快速從IPv4向IPv6演進(jìn)？

IPv6技術(shù)在國內(nèi)沉寂數(shù)十年后，在國家推進(jìn)下重新登上重要舞臺(tái)。2018年工業(yè)和信息化部發(fā)布了關(guān)于貫徹落實(shí)《推進(jìn)互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動(dòng)計(jì)劃》的通知。不但展示國家推動(dòng)IPv6的決心，更對(duì)各大運(yùn)營商和公有云廠商提出了IPv6的改造目標(biāo)：到2018年末，騰訊云、金山云、網(wǎng)宿科技、藍(lán)汛、帝聯(lián)科技完成內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)IPv6改造;云服務(wù)平臺(tái)企業(yè)完成50%云產(chǎn)品IPv6改造。到2020年末，上述企業(yè)完成全部云產(chǎn)品IPv6改造。

騰訊已經(jīng)具備多年的IPv6技術(shù)積累，早在2013年就針對(duì)教育網(wǎng)的IPv6用戶對(duì)部分騰訊業(yè)務(wù)應(yīng)用訪問，進(jìn)行了底層網(wǎng)絡(luò)架構(gòu)的改造;近幾年也是投入到IPv6和SDN、Segment Routing等新網(wǎng)絡(luò)技術(shù)綜合應(yīng)用的研究。騰訊云由于受到用戶需求的推動(dòng)，早已開始云上業(yè)務(wù)IPv6改造的方案研究，現(xiàn)在則已經(jīng)全面啟動(dòng)IPv6的支持計(jì)劃。

騰訊云全面啟動(dòng)IPv6支持計(jì)劃

向IPv6過渡：全部切換需要5-10年

IPv6在中國可以說一直不溫不火，目前僅有校園網(wǎng)和三大運(yùn)營商試點(diǎn)網(wǎng)絡(luò)全面支持IPv6。在國內(nèi)IPv6發(fā)展滯后的因素很多，但主要原因還是改造難度太大?；ヂ?lián)網(wǎng)所有的通信都依賴于網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但是龐大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施改造是個(gè)非常巨大的工程，即使基礎(chǔ)設(shè)施在理論上都能支持IPv6，但是改造并不能夠一蹴而就，因?yàn)楦脑爝^程中要求不能夠影響正在運(yùn)行中的千百萬IPv4業(yè)務(wù)。預(yù)計(jì)從IPv4全部切換到IPv6，需要5-10年的時(shí)間。

在未來過渡的數(shù)十年間，將會(huì)有多種網(wǎng)絡(luò)形態(tài)存在。在過渡初期階段，IPv4網(wǎng)絡(luò)已經(jīng)大量部署，而IPv6網(wǎng)絡(luò)只是散落在各地的孤島;然后逐步是IPv4和IPv6網(wǎng)絡(luò)重疊;最后階段，會(huì)以IPv4孤島為主，直至IPv4全部消失。

在我們看來，不管是運(yùn)營商還是公有云廠商，都會(huì)技術(shù)先行，實(shí)際改造部署的步驟，則遵循IPv4向IPv6的整體演進(jìn)規(guī)律。

從下圖來看，公有云廠商要實(shí)現(xiàn)IPv6的全面落地，需要完成四個(gè)層面的改造：

從改造周期來看，互聯(lián)網(wǎng)接入?yún)^(qū)域和IDC數(shù)據(jù)中心基礎(chǔ)設(shè)施IPv6的改造周期最長：因?yàn)樗鼈兒偷谌?運(yùn)營商、設(shè)備廠商等)相互依賴，網(wǎng)絡(luò)架構(gòu)復(fù)雜，設(shè)備眾多。從技術(shù)難度來看，互聯(lián)網(wǎng)接入?yún)^(qū)域的公網(wǎng)接入網(wǎng)關(guān)和云IaaS產(chǎn)品的VPC改造難度最大。

因?yàn)闉榱四軌驅(qū)崿F(xiàn)公有云千萬級(jí)云主機(jī)的多租戶能力，公有云普遍都采用的SDN+Overlay技術(shù)，這就要求SDN在協(xié)議層面全面支持IPv6，同時(shí)要求Overlay技術(shù)在封裝層面中全面納入IPv6;當(dāng)SDN和Overlay在疊加多種IPv6的過渡方案，復(fù)雜程度就可想而知了。

IPv6三種典型過渡技術(shù)剖析

針對(duì)不用的網(wǎng)絡(luò)互通場(chǎng)景，IPv6過渡技術(shù)按照技術(shù)原理可以分成三類：

翻譯技術(shù)

通過翻譯技術(shù)實(shí)現(xiàn)純IPv4網(wǎng)絡(luò)和純IPv6網(wǎng)絡(luò)之間的互通，類似于IPv4通信的NAT技術(shù)。網(wǎng)絡(luò)邊界設(shè)備將利用翻譯技術(shù)，根據(jù)IP報(bào)文頭的地址和協(xié)議進(jìn)行相應(yīng)的翻譯。其中，NAT64是最為常用的翻譯技術(shù)之一，解決了NAT-PT翻譯技術(shù)存在的各種缺陷。

NAT64采用IPv6過渡技術(shù)中的地址轉(zhuǎn)換技術(shù)，直接更改報(bào)文的頭部信息，來實(shí)現(xiàn)IPv6和IPv4網(wǎng)絡(luò)的互通。動(dòng)態(tài)NAT64使用地址池方式，可以讓大量的IPv6地址轉(zhuǎn)化為很少的IPv4地址，通常用于IPv6網(wǎng)絡(luò)發(fā)起連接到IPv4網(wǎng)絡(luò)。如果手工配置靜態(tài)映射，設(shè)備會(huì)根據(jù)綁定的映射關(guān)系進(jìn)行一對(duì)一轉(zhuǎn)換，從而保證任何一方均可以主動(dòng)發(fā)起連接。

雙棧技術(shù)

雙棧協(xié)議：服務(wù)器、存儲(chǔ)、交換設(shè)備、路由設(shè)備、安全設(shè)備等同時(shí)運(yùn)行IPv4和IPv6兩套協(xié)議棧，同時(shí)支持兩套協(xié)議。目前大部分的網(wǎng)絡(luò)設(shè)備和主機(jī)操作系統(tǒng)都已經(jīng)支持雙棧協(xié)議。

·鏈路協(xié)議支持雙協(xié)議棧：鏈路層協(xié)議包括以太網(wǎng)協(xié)議、PPP等，他們都能夠很好的支持IPv6/IPv4雙協(xié)議棧。拿以太網(wǎng)網(wǎng)協(xié)議為例：在以太幀中，如果協(xié)議ID字段的值為0x0800，則表示網(wǎng)絡(luò)層協(xié)議采用的是IPv4;如果協(xié)議ID字段的值為0x86DD，則表示網(wǎng)絡(luò)層協(xié)議為IPv6。

·應(yīng)用支持雙協(xié)議棧：DNS、FTP等應(yīng)用層協(xié)議都同時(shí)支持IPv6/IPv4雙協(xié)議棧：DNS會(huì)優(yōu)先選擇IPv6協(xié)議棧，而不是IPv4協(xié)議棧作為網(wǎng)絡(luò)層協(xié)議。

隧道技術(shù)

需要通過IPv4骨干網(wǎng)絡(luò)連接兩端的IPv6孤島，或者通過IPv6骨干網(wǎng)絡(luò)連接兩端的IPv4孤島，都可以采用隧道技術(shù)。以前者為例，隧道技術(shù)通過在網(wǎng)絡(luò)邊界設(shè)備將IPv6源封裝到IPv4的報(bào)文中經(jīng)過IPv4骨干網(wǎng)傳遞到另一邊的網(wǎng)絡(luò)邊界設(shè)備進(jìn)行IPv6報(bào)文的還原，最后送到IPv6目的端。隧道技術(shù)有手工隧道和自動(dòng)隧道兩種方式，其中GRE、ISATAP、6to4是最為主要的幾種隧道技術(shù)。

IPv6 over IPv4 GRE隧道使用標(biāo)準(zhǔn)的GRE隧道技術(shù)提供了點(diǎn)到點(diǎn)連接服務(wù)，需要手工指定隧道的端點(diǎn)地址。GRE隧道本身并不限制被封裝的協(xié)議和傳輸協(xié)議，一個(gè)GRE隧道中被封裝的協(xié)議可以是協(xié)議中允許的任意協(xié)議。

騰訊云IaaS產(chǎn)品的IPv6演進(jìn)方案

騰訊云IaaS產(chǎn)品在不同演進(jìn)階段，會(huì)搭配多種過渡技術(shù)實(shí)現(xiàn)整體公有云業(yè)務(wù)向IPv6的平滑演進(jìn)。在云上業(yè)務(wù)未向IPv6遷移時(shí)，通過翻譯技術(shù)幫助互聯(lián)網(wǎng)的IPv6用戶訪問云上的IPv4主機(jī);然后將云上的VPC和CVM、CBS等產(chǎn)品逐步支持雙棧，通過雙棧技術(shù)和隧道技術(shù)實(shí)現(xiàn)互聯(lián)網(wǎng)IPv6用戶和IPv6云主機(jī)的通信;最后當(dāng)所有IDC和骨干網(wǎng)的雙棧能力全部上線后，則通過雙棧技術(shù)即可靈活的實(shí)現(xiàn)云上云下的互訪互通。

需要重點(diǎn)強(qiáng)調(diào)的是: 相對(duì)于underlay的IPv6演進(jìn)，公有云為了實(shí)現(xiàn)VPC能力都采用了SDN和Overlay技術(shù)，所以采用何種過渡技術(shù)時(shí)，需要結(jié)合自身的Overlay技術(shù)進(jìn)行綜合考慮。在運(yùn)維層面，也需要考慮Overlay封裝和IPv6 over IPv4隧道封裝對(duì)報(bào)文長度和轉(zhuǎn)發(fā)的影響。

NAT64公網(wǎng)網(wǎng)關(guān)和NAT64過渡技術(shù)

在VPC和云主機(jī)啟用雙棧能力之前，VPC和云主機(jī)繼續(xù)運(yùn)行IPv4協(xié)議棧， 騰訊云將為IPv6用戶訪問IPv4云主機(jī)部署獨(dú)立的公網(wǎng)網(wǎng)關(guān)集群，公網(wǎng)網(wǎng)關(guān)通過NAT64的過渡技術(shù)實(shí)現(xiàn)IPv6和IPv4網(wǎng)絡(luò)的互通。

NAT64過渡技術(shù)的應(yīng)用

NAT64 是一種有狀態(tài)的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，主要用于支持通過 IPv6網(wǎng)絡(luò)側(cè)用戶發(fā)起連接訪問 IPv4側(cè)網(wǎng)絡(luò)資源，但也可以通過手工配置靜態(tài)映射關(guān)系，來實(shí)現(xiàn) IPv4網(wǎng)絡(luò)主動(dòng)發(fā)起連接訪問 IPv6網(wǎng)絡(luò)。NAT64可實(shí)現(xiàn) TCP、UDP、ICMP協(xié)議下的 IPv6與 IPv4網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換。

具體實(shí)現(xiàn)方案為： 在NAT64公網(wǎng)網(wǎng)關(guān)上配置一個(gè)IPv4的地址池，使用有狀態(tài)的NAT64方案。公網(wǎng)IPv6用戶請(qǐng)求中的地址{IPv6 A, IPv6 B}在公網(wǎng)網(wǎng)關(guān)上轉(zhuǎn)為{IPv4 A，IPv4 B}，被轉(zhuǎn)換后的報(bào)文在云IDC內(nèi)部按照IPv4協(xié)議轉(zhuǎn)發(fā)流程在underlay網(wǎng)絡(luò)以及宿主機(jī)上進(jìn)行處理。

VPC雙棧能力和GRE隧道技術(shù)

IDC網(wǎng)絡(luò)部署了大量的網(wǎng)絡(luò)和安全設(shè)備，雖然大部分設(shè)備理論上已具備IPv6/IPv4雙棧能力，但是基礎(chǔ)網(wǎng)絡(luò)改造的周期跨度一定會(huì)很長。所以在IDC基礎(chǔ)網(wǎng)絡(luò)改造完成之前，VPC和CVM、容器、存儲(chǔ)等IAAS層的IPv6功能會(huì)先上線，此時(shí)CVM和外網(wǎng)接入網(wǎng)關(guān)都將具備雙棧的能力。那么如何幫助互聯(lián)網(wǎng)IPv6用戶和IPv6云主機(jī)穿越IPv4網(wǎng)絡(luò)?

借助IPv6 Over IPv4隧道技術(shù)，可在CVM宿主機(jī)和公網(wǎng)網(wǎng)關(guān)之間搭起一座橋梁。具體實(shí)現(xiàn)為：當(dāng)宿主機(jī)收到從CVM發(fā)出的IPv6報(bào)文后，會(huì)封裝一個(gè)GRE頭部，并在外層封裝IPv4報(bào)文頭，封裝IPv4報(bào)文頭時(shí)根據(jù)隧道接口配置的隧道源端和目的端的IPv4地址進(jìn)行封裝。封裝后的報(bào)文變成一個(gè)IPv4報(bào)文，交給IPv4協(xié)議棧處理;報(bào)文經(jīng)過IPV4 IDC基礎(chǔ)網(wǎng)絡(luò)傳遞到底IPv6公網(wǎng)網(wǎng)關(guān)后，公網(wǎng)網(wǎng)關(guān)會(huì)解掉GRE頭部以及外層的IPv4報(bào)文頭，并進(jìn)入運(yùn)營商的IPv6網(wǎng)絡(luò)，最終到達(dá)IPv6用戶。

從IPv6用戶訪問IPv6云主機(jī)時(shí)，當(dāng)報(bào)文到達(dá)IPv6公網(wǎng)網(wǎng)關(guān)時(shí)，公網(wǎng)網(wǎng)關(guān)封裝GRE頭部以及外層IPv4報(bào)文頭，封裝后的報(bào)文經(jīng)過IPv4 IDC基礎(chǔ)網(wǎng)絡(luò)后，在CVM宿主機(jī)進(jìn)行GRE的解封裝，然后再將報(bào)文傳遞到IPv6 CVM。

雙棧和隧道過渡技術(shù)的應(yīng)用

當(dāng)IPv6 CVM訪問外部WEB應(yīng)用服務(wù)器時(shí)，需要Local DNS服務(wù)器返回AAAA記錄;但如果訪問的是IPv4 WEB服務(wù)器，只local DNS服務(wù)器只能夠獲得一條A記錄。如果local DNS服務(wù)器將A記錄返回給IPv6 CVM時(shí)，CVM是無法識(shí)別的。

為了解決這個(gè)問題，騰訊云將會(huì)在local DNS啟用DNS64技術(shù)。DNS64的原理比較簡單，主要原理是將DNS查詢信息中的 A記錄的IPv4地址合成到 AAAA記錄的IPv6地址中，并將合成的 AAAA記錄返回給 IPv6側(cè)用戶。DNS64主要用于配合NAT64，實(shí)現(xiàn)IPv6訪問IPv4的應(yīng)用場(chǎng)景。

DNS64的應(yīng)用

全雙棧能力

隨著運(yùn)營商網(wǎng)絡(luò)的逐步改造，原來的IPv4運(yùn)營商網(wǎng)絡(luò)會(huì)演變?yōu)镮Pv6/IPv4雙棧網(wǎng)絡(luò)，這時(shí)騰訊云的公網(wǎng)網(wǎng)關(guān)也會(huì)支持雙棧能力。當(dāng)IDC基礎(chǔ)網(wǎng)絡(luò)各個(gè)節(jié)點(diǎn)都逐步支持雙棧能力時(shí)，在云端將不再需要翻譯和隧道這兩種技術(shù)，不管是IPv6報(bào)文還是IPv4報(bào)文，都能夠在所有節(jié)點(diǎn)被智能的識(shí)別和區(qū)分，然后根據(jù)不同的目的路由信息，發(fā)往下一個(gè)節(jié)點(diǎn)進(jìn)行處理。

IPv6/IPv4全雙棧的應(yīng)用

騰訊云PaaS和SaaS的IPv6演進(jìn)方案

物聯(lián)網(wǎng)可以說是IPv6最強(qiáng)的推動(dòng)劑，當(dāng)物聯(lián)網(wǎng)技術(shù)和IPv6技術(shù)疊加，萬物互聯(lián)和智能連接才能夠真正實(shí)現(xiàn);地球上任何一臺(tái)電視、冰箱、空調(diào)或者汽車，都將獲得一個(gè)IPv6地址，IPv6將作為各自在互聯(lián)網(wǎng)的身份ID，快速地被識(shí)別。

當(dāng)騰訊云的IaaS逐步支持IPv6后，對(duì)于其他采用騰訊云IaaS產(chǎn)品為互聯(lián)網(wǎng)用戶提供PaaS和SaaS服務(wù)的供應(yīng)商，也可以搭乘騰訊云IPv6的快車，更快的將自己的應(yīng)用方案向IPv6過渡。同時(shí)，騰訊云自身PaaS產(chǎn)品和SaaS產(chǎn)品的IPv6改造也會(huì)水到渠成;騰訊云將陸續(xù)推出視頻直播、大數(shù)據(jù)套件、機(jī)器學(xué)習(xí)平臺(tái)、輿情分析、物聯(lián)網(wǎng)等成熟的IPv6產(chǎn)品。

全面的IPv6邊緣接入能力

不管是在智慧零售還是智能車聯(lián)網(wǎng)等應(yīng)用場(chǎng)景，騰訊云都可以提供非常強(qiáng)大的云端互聯(lián)的網(wǎng)絡(luò)支撐以及云端大數(shù)據(jù)分析。同時(shí)，騰訊云還將陸續(xù)在各個(gè)地域提供全面的IPv6邊緣接入能力，以便最快的幫助用戶打通云下和云上的IPv6互通，助力用戶構(gòu)建廣泛而強(qiáng)大的IPv6互聯(lián)網(wǎng)絡(luò)。

IPv6不僅僅是一種協(xié)議，它更像一條連接萬物的紐帶，當(dāng)IPv6遇上物聯(lián)網(wǎng)，它終于煥發(fā)出了春意盎然的生機(jī)。當(dāng)騰訊云IPv6的全面落地，騰訊連接一切的愿景，也就能更快的實(shí)現(xiàn)了。

作者介紹：秦振華，騰訊云高級(jí)產(chǎn)品經(jīng)理，具有十年以上的網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)運(yùn)維、云計(jì)算和SDN網(wǎng)絡(luò)產(chǎn)品策劃的經(jīng)驗(yàn)。目前正致力于騰訊云網(wǎng)絡(luò)相關(guān)的產(chǎn)品化工作，不斷探索和推動(dòng)SDN、IPv6、Segment Routing等網(wǎng)絡(luò)新技術(shù)在云上的落地。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。