IPv6技術在國內沉寂數(shù)十年后,在國家推進下重新登上重要舞臺。2018年工業(yè)和信息化部發(fā)布了關于貫徹落實《推進互聯(lián)網協(xié)議第六版(IPv6)規(guī)模部署行動計劃》的通知。不但展示國家推動IPv6的決心,更對各大運營商和公有云廠商提出了IPv6的改造目標:到2018年末,騰訊云、金山云、網宿科技、藍汛、帝聯(lián)科技完成內容分發(fā)網絡(CDN)IPv6改造;云服務平臺企業(yè)完成50%云產品IPv6改造。到2020年末,上述企業(yè)完成全部云產品IPv6改造。
騰訊已經具備多年的IPv6技術積累,早在2013年就針對教育網的IPv6用戶對部分騰訊業(yè)務應用訪問,進行了底層網絡架構的改造;近幾年也是投入到IPv6和SDN、Segment Routing等新網絡技術綜合應用的研究。騰訊云由于受到用戶需求的推動,早已開始云上業(yè)務IPv6改造的方案研究,現(xiàn)在則已經全面啟動IPv6的支持計劃。
騰訊云全面啟動IPv6支持計劃
向IPv6過渡:全部切換需要5-10年
IPv6在中國可以說一直不溫不火,目前僅有校園網和三大運營商試點網絡全面支持IPv6。在國內IPv6發(fā)展滯后的因素很多,但主要原因還是改造難度太大。互聯(lián)網所有的通信都依賴于網絡基礎設施,但是龐大的網絡基礎設施改造是個非常巨大的工程,即使基礎設施在理論上都能支持IPv6,但是改造并不能夠一蹴而就,因為改造過程中要求不能夠影響正在運行中的千百萬IPv4業(yè)務。預計從IPv4全部切換到IPv6,需要5-10年的時間。
在未來過渡的數(shù)十年間,將會有多種網絡形態(tài)存在。在過渡初期階段,IPv4網絡已經大量部署,而IPv6網絡只是散落在各地的孤島;然后逐步是IPv4和IPv6網絡重疊;最后階段,會以IPv4孤島為主,直至IPv4全部消失。
在我們看來,不管是運營商還是公有云廠商,都會技術先行,實際改造部署的步驟,則遵循IPv4向IPv6的整體演進規(guī)律。
從下圖來看,公有云廠商要實現(xiàn)IPv6的全面落地,需要完成四個層面的改造:
從改造周期來看,互聯(lián)網接入區(qū)域和IDC數(shù)據(jù)中心基礎設施IPv6的改造周期最長:因為它們和第三方(運營商、設備廠商等)相互依賴,網絡架構復雜,設備眾多。從技術難度來看,互聯(lián)網接入區(qū)域的公網接入網關和云IaaS產品的VPC改造難度最大。
因為為了能夠實現(xiàn)公有云千萬級云主機的多租戶能力,公有云普遍都采用的SDN+Overlay技術,這就要求SDN在協(xié)議層面全面支持IPv6,同時要求Overlay技術在封裝層面中全面納入IPv6;當SDN和Overlay在疊加多種IPv6的過渡方案,復雜程度就可想而知了。
IPv6三種典型過渡技術剖析
針對不用的網絡互通場景,IPv6過渡技術按照技術原理可以分成三類:
翻譯技術
通過翻譯技術實現(xiàn)純IPv4網絡和純IPv6網絡之間的互通,類似于IPv4通信的NAT技術。網絡邊界設備將利用翻譯技術,根據(jù)IP報文頭的地址和協(xié)議進行相應的翻譯。其中,NAT64是最為常用的翻譯技術之一,解決了NAT-PT翻譯技術存在的各種缺陷。
NAT64采用IPv6過渡技術中的地址轉換技術,直接更改報文的頭部信息,來實現(xiàn)IPv6和IPv4網絡的互通。動態(tài)NAT64使用地址池方式,可以讓大量的IPv6地址轉化為很少的IPv4地址,通常用于IPv6網絡發(fā)起連接到IPv4網絡。如果手工配置靜態(tài)映射,設備會根據(jù)綁定的映射關系進行一對一轉換,從而保證任何一方均可以主動發(fā)起連接。
雙棧技術
雙棧協(xié)議:服務器、存儲、交換設備、路由設備、安全設備等同時運行IPv4和IPv6兩套協(xié)議棧,同時支持兩套協(xié)議。目前大部分的網絡設備和主機操作系統(tǒng)都已經支持雙棧協(xié)議。
· 鏈路協(xié)議支持雙協(xié)議棧:鏈路層協(xié)議包括以太網協(xié)議、PPP等,他們都能夠很好的支持IPv6/IPv4雙協(xié)議棧。拿以太網網協(xié)議為例:在以太幀中,如果協(xié)議ID字段的值為0x0800,則表示網絡層協(xié)議采用的是IPv4;如果協(xié)議ID字段的值為0x86DD,則表示網絡層協(xié)議為IPv6。
· 應用支持雙協(xié)議棧:DNS、FTP等應用層協(xié)議都同時支持IPv6/IPv4雙協(xié)議棧:DNS會優(yōu)先選擇IPv6協(xié)議棧,而不是IPv4協(xié)議棧作為網絡層協(xié)議。
隧道技術
需要通過IPv4骨干網絡連接兩端的IPv6孤島,或者通過IPv6骨干網絡連接兩端的IPv4孤島,都可以采用隧道技術。以前者為例,隧道技術通過在網絡邊界設備將IPv6源封裝到IPv4的報文中經過IPv4骨干網傳遞到另一邊的網絡邊界設備進行IPv6報文的還原,最后送到IPv6目的端。隧道技術有手工隧道和自動隧道兩種方式,其中GRE、ISATAP、6to4是最為主要的幾種隧道技術。
IPv6 over IPv4 GRE隧道使用標準的GRE隧道技術提供了點到點連接服務,需要手工指定隧道的端點地址。GRE隧道本身并不限制被封裝的協(xié)議和傳輸協(xié)議,一個GRE隧道中被封裝的協(xié)議可以是協(xié)議中允許的任意協(xié)議。
騰訊云IaaS產品的IPv6演進方案
騰訊云IaaS產品在不同演進階段,會搭配多種過渡技術實現(xiàn)整體公有云業(yè)務向IPv6的平滑演進。在云上業(yè)務未向IPv6遷移時,通過翻譯技術幫助互聯(lián)網的IPv6用戶訪問云上的IPv4主機;然后將云上的VPC和CVM、CBS等產品逐步支持雙棧,通過雙棧技術和隧道技術實現(xiàn)互聯(lián)網IPv6用戶和IPv6云主機的通信;最后當所有IDC和骨干網的雙棧能力全部上線后,則通過雙棧技術即可靈活的實現(xiàn)云上云下的互訪互通。
需要重點強調的是: 相對于underlay的IPv6演進,公有云為了實現(xiàn)VPC能力都采用了SDN和Overlay技術,所以采用何種過渡技術時,需要結合自身的Overlay技術進行綜合考慮。在運維層面,也需要考慮Overlay封裝和IPv6 over IPv4隧道封裝對報文長度和轉發(fā)的影響。
NAT64公網網關和NAT64過渡技術
在VPC和云主機啟用雙棧能力之前,VPC和云主機繼續(xù)運行IPv4協(xié)議棧, 騰訊云將為IPv6用戶訪問IPv4云主機部署獨立的公網網關集群,公網網關通過NAT64的過渡技術實現(xiàn)IPv6和IPv4網絡的互通。
NAT64過渡技術的應用
NAT64 是一種有狀態(tài)的網絡地址與協(xié)議轉換技術,主要用于支持通過 IPv6網絡側用戶發(fā)起連接訪問 IPv4側網絡資源,但也可以通過手工配置靜態(tài)映射關系,來實現(xiàn) IPv4網絡主動發(fā)起連接訪問 IPv6網絡。NAT64可實現(xiàn) TCP、UDP、ICMP協(xié)議下的 IPv6與 IPv4網絡地址和協(xié)議轉換。
具體實現(xiàn)方案為: 在NAT64公網網關上配置一個IPv4的地址池,使用有狀態(tài)的NAT64方案。公網IPv6用戶請求中的地址{IPv6 A, IPv6 B}在公網網關上轉為{IPv4 A,IPv4 B},被轉換后的報文在云IDC內部按照IPv4協(xié)議轉發(fā)流程在underlay網絡以及宿主機上進行處理。
VPC雙棧能力和GRE隧道技術
IDC網絡部署了大量的網絡和安全設備,雖然大部分設備理論上已具備IPv6/IPv4雙棧能力,但是基礎網絡改造的周期跨度一定會很長。所以在IDC基礎網絡改造完成之前,VPC和CVM、容器、存儲等IAAS層的IPv6功能會先上線,此時CVM和外網接入網關都將具備雙棧的能力。那么如何幫助互聯(lián)網IPv6用戶和IPv6云主機穿越IPv4網絡?
借助IPv6 Over IPv4隧道技術,可在CVM宿主機和公網網關之間搭起一座橋梁。具體實現(xiàn)為:當宿主機收到從CVM發(fā)出的IPv6報文后,會封裝一個GRE頭部,并在外層封裝IPv4報文頭,封裝IPv4報文頭時根據(jù)隧道接口配置的隧道源端和目的端的IPv4地址進行封裝。封裝后的報文變成一個IPv4報文,交給IPv4協(xié)議棧處理;報文經過IPV4 IDC基礎網絡傳遞到底IPv6公網網關后,公網網關會解掉GRE頭部以及外層的IPv4報文頭,并進入運營商的IPv6網絡,最終到達IPv6用戶。
從IPv6用戶訪問IPv6云主機時,當報文到達IPv6公網網關時,公網網關封裝GRE頭部以及外層IPv4報文頭,封裝后的報文經過IPv4 IDC基礎網絡后,在CVM宿主機進行GRE的解封裝,然后再將報文傳遞到IPv6 CVM。
雙棧和隧道過渡技術的應用
當IPv6 CVM訪問外部WEB應用服務器時,需要Local DNS服務器返回AAAA記錄;但如果訪問的是IPv4 WEB服務器,只local DNS服務器只能夠獲得一條A記錄。如果local DNS服務器將A記錄返回給IPv6 CVM時,CVM是無法識別的。
為了解決這個問題,騰訊云將會在local DNS啟用DNS64技術。DNS64的原理比較簡單,主要原理是將DNS查詢信息中的 A記錄的IPv4地址合成到 AAAA記錄的IPv6地址中,并將合成的 AAAA記錄返回給 IPv6側用戶。DNS64主要用于配合NAT64,實現(xiàn)IPv6訪問IPv4的應用場景。
DNS64的應用
全雙棧能力
隨著運營商網絡的逐步改造,原來的IPv4運營商網絡會演變?yōu)镮Pv6/IPv4雙棧網絡,這時騰訊云的公網網關也會支持雙棧能力。當IDC基礎網絡各個節(jié)點都逐步支持雙棧能力時,在云端將不再需要翻譯和隧道這兩種技術,不管是IPv6報文還是IPv4報文,都能夠在所有節(jié)點被智能的識別和區(qū)分,然后根據(jù)不同的目的路由信息,發(fā)往下一個節(jié)點進行處理。
IPv6/IPv4全雙棧的應用
騰訊云PaaS和SaaS的IPv6演進方案
物聯(lián)網可以說是IPv6最強的推動劑,當物聯(lián)網技術和IPv6技術疊加,萬物互聯(lián)和智能連接才能夠真正實現(xiàn);地球上任何一臺電視、冰箱、空調或者汽車,都將獲得一個IPv6地址,IPv6將作為各自在互聯(lián)網的身份ID,快速地被識別。
當騰訊云的IaaS逐步支持IPv6后,對于其他采用騰訊云IaaS產品為互聯(lián)網用戶提供PaaS和SaaS服務的供應商,也可以搭乘騰訊云IPv6的快車,更快的將自己的應用方案向IPv6過渡。同時,騰訊云自身PaaS產品和SaaS產品的IPv6改造也會水到渠成;騰訊云將陸續(xù)推出視頻直播、大數(shù)據(jù)套件、機器學習平臺、輿情分析、物聯(lián)網等成熟的IPv6產品。
全面的IPv6邊緣接入能力
不管是在智慧零售還是智能車聯(lián)網等應用場景,騰訊云都可以提供非常強大的云端互聯(lián)的網絡支撐以及云端大數(shù)據(jù)分析。同時,騰訊云還將陸續(xù)在各個地域提供全面的IPv6邊緣接入能力,以便最快的幫助用戶打通云下和云上的IPv6互通,助力用戶構建廣泛而強大的IPv6互聯(lián)網絡。
IPv6不僅僅是一種協(xié)議,它更像一條連接萬物的紐帶,當IPv6遇上物聯(lián)網,它終于煥發(fā)出了春意盎然的生機。當騰訊云IPv6的全面落地,騰訊連接一切的愿景,也就能更快的實現(xiàn)了。
