1  引言

目前，云計算、物聯網、移動互聯網、三網合一以及智能電網迅猛發展，網絡在為我們的生活提供便利的同時，也帶來了IPv4地址耗盡的問題。據APNIC數據統計，現有的IPv4地址僅剩不足一成，將于2011年全部耗盡，屆時，新的互聯網用戶將無法獲得IPv4地址。所以向IPv6的過渡已經被全球政府、運營商、設備商、高校等等互聯網參與者提上首要日程。

在通過CNGI等工程幾年的探索后，2009年初，中國吹響了IPv6試商用的號角，下一代互聯網的大規模應用時代拉開帷幕。2010年則被稱為IPv6中國商用元年，下一代互聯網的建設得到從國家到產業的高度重視，國家已經從戰略高度重視以IPv6為特質的下一代互聯網建設，在解決地址資源共享和網絡安全的基礎上，積極推進IPv6的商用進程，逐步實現向IPv6的全面過渡。以中國電信為代表的中國運營商已經明確了IPv6商用部署時間表，即2012年進入規模商用，2015年以后IPv4網絡和業務平臺逐步退出。

市場經濟告訴我們，用戶需求是技術演進的根本動力。在網絡業界的共同努力下，IPv6技術逐漸趨于成熟，但IPv6在大規模商用上還存在諸多問題，比如過渡問題、安全問題、網絡管理的問題和應用的問題等，而其中最大問題就是過渡的問題，跟IPv4的互聯互通被稱為是“IPv6的殺手級應用”。

2  傳統IPv6過渡技術介紹

在進行IPv4到IPv6過渡策略的設計中，要求過渡技術應該對普通用戶做到無縫，對信息傳遞做到高效，對實現配置做到簡便易行。近年來Internet工程任務組IETF針對性的提出了一系列的解決方案，公認且具有代表性的IPv4向IPv6的過渡技術實現手段主要有雙棧方式、隧道方式和網絡地址轉換-協議轉換方式。

2.1 雙棧

雙棧節點同時運行IPv4和IPv6兩套協議棧，針對對象是通信端節點，包括主機、路由器。這種方式對IPv4和IPv6提供了完全的兼容，但對于IP地址的耗盡的問題卻沒有任何幫助，由于需要雙路由基礎設施，反而增加了網絡的復雜度。

2.2 隧道

用來將不直接相連的IPv6或者IPv4孤島互相連接起來，這種連接包括兩種情況：一種是隧道的兩端是IPv6孤島，另一種是隧道的兩端是IPv4孤島。兩種情況都需要在隧道的入口對報文進行重新封裝，然后把封裝過的報文通過中間網絡轉發到隧道出口，在隧道的出口對報文進行解封裝后，再將恢復后的報文轉發到目的地。隧道技術只要求在隧道的入口和出口處進行修改，對其他部分沒有要求，因而非常容易實現，但是隧道技術不能實現 IPv4 主機與 IPv6 主機的直接通信，并且隧道端點需要封裝和解封數據包，因此會占用系統資源。

2.3 網絡地址轉換-協議轉換

NAT-PT是IETF最先提出的解決IPv4/IPv6互通問題的解決方案，協議轉化分為兩個部分，一個是IPv4和IPv6地址的轉化，另一個是IPv4和IPv6報頭的轉化。通過與SIIT 協議轉換和傳統的IPv4 下的動態地址翻譯NAT以及適當的應用層網關ALG相結合，實現了純IPv6 的主機和純IPv4 主機間的相互通信。但NAT-PT技術中對于網關的性能要求很高，不適合在大規模IPv6網絡中部署，且因其協議自身存在不少缺陷，帶來很多的部署問題和安全漏洞，所以目前IETF已經不推薦使用NAT-PT。

以上為解決過渡問題的三種傳統主要技術，然而每種機制都不是普遍適用的，都只適用于某一種或幾種特定的網絡情況，而且常常需要和其他技術組合使用。對于某一類過渡需求，人們可以找到新的方法，并隨著網絡技術的發展不斷地改進和更新已有的過渡機制。近年來，國內外積極推動 IPv6 過渡，為實現網絡互通互訪，各方又在 IETF 中提出了 IVI、 NAT64/DNS64等技術的標準草案。各大運營商也提出了自己的過渡技術，如NTT 提出了LSN（Large Scale NAT）/CGN （Carrier-Grade NAT）方案 。Comcast 在LSN/CGN方案的基礎上提出了 Dual Stack Lite 草案，法國電信和 Nokia 在今年提出了 A+P（Address + PortRange）的地址分配方案等。本文著重研究IVI技術方案。

3  IVI

IVI方案是由CNGI-CERNET2的研究人員清華大學李星教授提出的IPv4和IPv6的翻譯技術。IVI的說法靈感來源于羅馬字碼，IV是四，VI是六，所以IVI可代表IPv4和IPv6過渡和互訪。目前IVI正在IETF的標準化進程之中，即將形成RFC文件，同時也在世界最大規模的純IPv6網絡CERNET2開展實驗部署，并得到了華為等設備廠商的支持，具有良好的應用前景。2010年3月，中國電信與清華大學建立了“下一代互聯網技術與應用聯合實驗室”，這無疑將進一步促進包括IVI技術在內的我國下一代互聯網技術的發展和應用。

3.1  IVI模型

IP地址是人們在互聯網上的“身份證”，從IPv4到IPv6，IP地址規模一下子從32位增加到128位，也就是說IPv6擁有128bit的地址空間，能提供約10億的平方個IP地址。具體地講，IPv4能為地球每平方米土地提供大約4個地址，而IPv6則可以分配到每平方米 6.65億個IP地址，所以，兩者之間的差別是顯而易見的，一一對應是不可能的。NAT轉換需要基于狀態，IVI方案的思路是能否把IPv6集中在某個特定的地址，使其能與IPv4進行無狀態的映射，實現IPv6和IPv4的互訪并保持端到端的地址透明。根據這個設想研發了支持IVI的原型系統，如圖1所示為IVI的模型，其基本概念就是IPv4的一些地址不在IPv4中用，而是通過IVI“盒子”映射到IPv6的網絡里使用。在過渡初期，IPv6的用戶還不多，從IPv6的地址空間中選一個子集與IPv4做基本的映射，通過這種映射規則，每個運營商都可以取出自己的一部分 IPv4 地址在 IPv6 網絡中使用，用戶獲得 IVI6 地址直接訪問 IPv6 資源，同時可以經過一個稱為 IVI Box 的設備轉換成映射的 IPv4 地址，訪問 IPv4 資源，實現 IPv4 和 IPv6 的互訪。IVI過渡期間，被取出的這部分地址稱為IVI4（i）地址，這部分地址將不能分配給實際的真實主機使用。隨著過渡的進行，IVI4（i）的范圍逐漸被擴大，最后將整個IPv4地址空間轉變為IVI4（i），則過渡完成。

圖1  IVI模型

IVI是一個特定前綴和無狀態地址映射的方案，這種地址映射和轉換機制是通過一個連接IPv4和IPv6網絡的IVI網關來實現的。它使用了NAT-PT中的SIIT（Stateless IP/ICMP Translation，無狀態IP/ICMP翻譯技術）技術，這種無狀態轉換是在IVI網關中實現的。它在IPv4到IPv6的映射和IPv6到IPv4的映射是無狀態的，通過這種翻譯技術，IPv6用戶可以透明地訪問IPv4網，IPv4用戶可以有條件地訪問IPv6網。#p#

3.2  IVI地址格式

IVI的地址映射規則是在IPv6地址中插入IPv4地址，如圖2所示。地址的0-31位為ISP的/32位的IPv6前綴，例如，ISP6=2001：da8：100d：：/32。32-39位是IVI的標識符，設置為FF，表示這是一個IVI映射地址。40-71位表示插入的全局IPv4空間（IVIG4）的地址格式，如IPv4/24映射為IPv6/64而IPv4/32映射為IPv6/72。

圖2 IVI地址映射

ISP（i）用的是定義為IVI4（i）的ISP4（i）的一個子集，將它映射到IPv6里的IVI6（i）。IVI6（i）實際上是由ISP（i）的IPv6網絡中的IPv6主機使用的，但是IVI4（i）不能被IPv4主機使用。因此，IVI6（i）是一個特定的IPv6地址塊，它可以和兩邊的地址群進行通信。

圖3  IVI地址映射關系

基于以上的映射規則，ISP（i）使用定義為IVI46（i）的ISP6（i）的一個子集，將它映射到IPv4里的IPG4。IVI46（i）實際上是由全局IPv4主機使用的，除了IVI6（i）的部分，它并不能被IPv6的主機使用。

不同地址集合的映射和相互關系如圖3所示，IVI4（i）和IVI6（i）分別代表IPv4和IPv6地址群里的相同實體。類似的，IPG4和IVIG46（i）分別代表IPv4和IPv6地址群里的相同實體。除此之外，IVI4（i）是IPG4的子集，IVI6（i）是IVIG46（i）的子集。

4  IVI技術在中國礦業大學校園網中的應用

4.1  建設背景

中國礦業大學于2007年參加了“中國下一代互聯網示范工程CNGI 示范網絡高校駐地網建設項目”—— “中國礦業大學駐地網建設”子項目的建設，實現了100 Mbps 速率線路和IPv4 協議接入CERNET 華東北地網中心核心節點，同時用獨立的155Mbps 速率線路和純IPv6 協議接入CNGI-CERNET2 華東北地網中心核心節點，提供了IPv6 的DNS、WWW、FTP和教學視頻點播服務，IPv4接入用戶數為17000個，IPv6用戶接入規模達到了1100個，于2008年11月通過專家組的驗收。目前，學校出口路由器與核心路由器/交換機，均支持IPV6協議，但是大部分樓宇的匯聚交換機，還不支持IPV6/IPV4協議。為了使校內用戶均可以接入IPV6網絡，主要采用靈活QINQ技術，實現IPv6/IPv4雙棧的接入服務。當前的校園網絡拓撲如圖4所示。#p#

圖4  中國礦業大學校園網絡拓撲圖

4.2  IPv6技術升級建設目標和內容

在中國礦業大學校園網IPv6技術升級子項目中，建設目標是到2010年底前，在接入CERNET和CNGI-CERNET2的基礎上，將校園網全面升級到IPv6下一代互聯網接入，并建立安全、可控、可管和可運營的下一代校園網試商用環境。

主要建設內容包括：在現有的校園網基礎上，從網絡主干（核心、匯聚）到接入層實現IPv4/IPv6技術升級，為用戶提供IPv4/IPv6雙棧網絡服務，實現校園網用戶的IPv6普遍訪問和校園網信息資源的IPv6普遍服務。在計算機學院網絡實驗機房，建設一個具有300個以上用戶規模的純IPv6子網，為本單位以及本項目的其他單位開展下一代互聯網關鍵技術試驗和應用示范提供試驗環境。積極推進校園網IPv6應用和IPv6用戶發展，接入IPv6用戶規模達到1萬人以上，校園網重要信息資源和應用系統IPv6升級10個以上，安裝和部署IPv6網絡支撐技術試商用系統。對于IPV6和IPV4網絡資源互訪問題，我們計劃通過IVI 方式解決。

升級后的校園網絡拓撲圖如圖5所示。

圖5  升級后中國礦業大學校園網絡拓撲圖

核心路由器為Juniper E-120，配置雙引擎支持ASIC 硬件IPv4/IPv6 引擎，擴展萬兆和千兆接口模塊，以滿足與匯聚層互聯的需求；匯聚交換機采用千兆三層交換機，支持ASIC硬件IPv6數據轉發，支持IPv4/IPv6雙棧技術；接入交換機采用百兆到桌面，IPv6 ACL、IPv6 Qos、IPv6 Mib，支持IPv4/IPv6雙棧技術；核心路由器啟用DHCPv6 Server功能、接入交換機開啟DHCP Snooping v6，防止DHCP攻擊行為，并杜絕私設地址；其中IVI 過渡路由與校園網核心路由器和純IPv6匯聚交換機連接，實現互通。

5  總結與展望

2010年被稱為IPv6中國商用元年，國家從戰略高度重視并推進IPv6的全面過渡。本文在對傳統IPv6過渡技術介紹的基礎上，著重探討了基于無狀態地址映射的IVI過渡技術，研究了IVI的模型、地址格式、地址映射，并對中國礦業大學校園網IPv6項目升級所采用和部署的技術做了介紹，希望能為正在進行這方面工作的同仁提供一些參考。

雖然IPv6技術已經比較成熟，但是由于人們習慣于IPv4的網絡環境，并且在IPv4網絡上已經擁有豐富的資源，而服務于IPv6的公網重要信息資源和應用系統還嚴重不足，導致用戶優先使用IPv6接入訪問缺乏動力。

李星說：建一個IPv6必須跟IPv4能互聯互通。換句話說就是IPv6的服務器要能跟IPv4訪問，IPv4的服務器能被IPv6訪問，這才是過渡。通過這一技術逐步將IPv4的地址往IPv6轉移，既可以實現服務，也可以與IPv4完全互通。逐漸將現有的IPv4用戶轉移到IPv6，用戶在不知不覺中就可以實現過渡。

由于目標是讓用戶方便快速地使用IPv6的網絡，因此，易用性和易操作性在具體部署中，需要被考慮到。IVI轉換模式分為無狀態的一對一轉換和有狀態的一對N轉換兩種。一對一的無狀態地址轉換通過一段特殊的IPv6地址與IPv4地址進行唯一映射，可以同時支持IPv4和IPv6發起的通信。IVI還支持一對N的有狀態地址轉換，也可以實現IPv4地址的利用和IPv6對IPv4地址的單向互通。

鑒于IPv6在下一代網絡發展中的重要性，越來越多的國際標準化組織加入了IPv6標準的制訂工作。IPv6技術為下一代網絡的發展帶來了機遇，積極參與國際IPv6技術標準的制訂、啟動國家科技計劃支持IPv6相關產品的自主開發、建立下一代網絡大規模試商用以支持科學研究、注重業務創新以促進IPv6的商業應用等，將是我國發展IPv6技術的重要趨勢。

IPv6的發展不僅要重視基礎設施產品的開發，而且要向基于多樣化業務的應用軟件，以及具有聯網能力的集成數據、語音和視頻的個人智能終端產品的研發。提供服務質量和安全保證、支持移動性等，開發出用戶能夠接受的多樣化業務，才能真正把IPv6帶入網絡中并滿足人們的需要。