IPv6技術在國內沉寂數十年後,在國家推進下重新登上重要舞臺。2018年工業和信息化部發布了關於貫徹落實《推進互聯網協議第六版(IPv6)規模部署行動計劃》的通知。不但展示國家推動IPv6的決心,更對各大運營商和公有云廠商提出了IPv6的改造目標:到2018年末,騰訊雲、金山雲、網宿科技、藍汛、帝聯科技完成內容分發網絡(CDN)IPv6改造;雲服務平臺企業完成50%雲產品IPv6改造。到2020年末,上述企業完成全部雲產品IPv6改造。
騰訊已經具備多年的IPv6技術積累,早在2013年就針對教育網的IPv6用戶對部分騰訊業務應用訪問,進行了底層網絡架構的改造;近幾年也是投入到IPv6和SDN、Segment Routing等新網絡技術綜合應用的研究。騰訊雲由於受到用戶需求的推動,早已開始雲上業務IPv6改造的方案研究,現在則已經全面啟動IPv6的支持計劃。
騰訊雲全面啟動IPv6支持計劃
向IPv6過渡:全部切換需要5-10年
IPv6在中國可以說一直不溫不火,目前僅有校園網和三大運營商試點網絡全面支持IPv6。在國內IPv6發展滯後的因素很多,但主要原因還是改造難度太大。互聯網所有的通信都依賴於網絡基礎設施,但是龐大的網絡基礎設施改造是個非常巨大的工程,即使基礎設施在理論上都能支持IPv6,但是改造並不能夠一蹴而就,因為改造過程中要求不能夠影響正在運行中的千百萬IPv4業務。預計從IPv4全部切換到IPv6,需要5-10年的時間。
在未來過渡的數十年間,將會有多種網絡形態存在。在過渡初期階段,IPv4網絡已經大量部署,而IPv6網絡只是散落在各地的孤島;然後逐步是IPv4和IPv6網絡重疊;最後階段,會以IPv4孤島為主,直至IPv4全部消失。
在我們看來,不管是運營商還是公有云廠商,都會技術先行,實際改造部署的步驟,則遵循IPv4向IPv6的整體演進規律。
從下圖來看,公有云廠商要實現IPv6的全面落地,需要完成四個層面的改造:
從改造週期來看,互聯網接入區域和IDC數據中心基礎設施IPv6的改造週期最長:因為它們和第三方(運營商、設備廠商等)相互依賴,網絡架構複雜,設備眾多。從技術難度來看,互聯網接入區域的公網接入網關和雲IaaS產品的VPC改造難度最大。
因為為了能夠實現公有云千萬級雲主機的多租戶能力,公有云普遍都採用的SDN+Overlay技術,這就要求SDN在協議層面全面支持IPv6,同時要求Overlay技術在封裝層面中全面納入IPv6;當SDN和Overlay在疊加多種IPv6的過渡方案,複雜程度就可想而知了。
IPv6三種典型過渡技術剖析
針對不用的網絡互通場景,IPv6過渡技術按照技術原理可以分成三類:
翻譯技術
通過翻譯技術實現純IPv4網絡和純IPv6網絡之間的互通,類似於IPv4通信的NAT技術。網絡邊界設備將利用翻譯技術,根據IP報文頭的地址和協議進行相應的翻譯。其中,NAT64是最為常用的翻譯技術之一,解決了NAT-PT翻譯技術存在的各種缺陷。
NAT64採用IPv6過渡技術中的地址轉換技術,直接更改報文的頭部信息,來實現IPv6和IPv4網絡的互通。動態NAT64使用地址池方式,可以讓大量的IPv6地址轉化為很少的IPv4地址,通常用於IPv6網絡發起連接到IPv4網絡。如果手工配置靜態映射,設備會根據綁定的映射關係進行一對一轉換,從而保證任何一方均可以主動發起連接。
雙棧技術
雙棧協議:服務器、存儲、交換設備、路由設備、安全設備等同時運行IPv4和IPv6兩套協議棧,同時支持兩套協議。目前大部分的網絡設備和主機操作系統都已經支持雙棧協議。
· 鏈路協議支持雙協議棧:鏈路層協議包括以太網協議、PPP等,他們都能夠很好的支持IPv6/IPv4雙協議棧。拿以太網網協議為例:在以太幀中,如果協議ID字段的值為0x0800,則表示網絡層協議採用的是IPv4;如果協議ID字段的值為0x86DD,則表示網絡層協議為IPv6。
· 應用支持雙協議棧:DNS、FTP等應用層協議都同時支持IPv6/IPv4雙協議棧:DNS會優先選擇IPv6協議棧,而不是IPv4協議棧作為網絡層協議。
隧道技術
需要通過IPv4骨幹網絡連接兩端的IPv6孤島,或者通過IPv6骨幹網絡連接兩端的IPv4孤島,都可以採用隧道技術。以前者為例,隧道技術通過在網絡邊界設備將IPv6源封裝到IPv4的報文中經過IPv4骨幹網傳遞到另一邊的網絡邊界設備進行IPv6報文的還原,最後送到IPv6目的端。隧道技術有手工隧道和自動隧道兩種方式,其中GRE、ISATAP、6to4是最為主要的幾種隧道技術。
IPv6 over IPv4 GRE隧道使用標準的GRE隧道技術提供了點到點連接服務,需要手工指定隧道的端點地址。GRE隧道本身並不限制被封裝的協議和傳輸協議,一個GRE隧道中被封裝的協議可以是協議中允許的任意協議。
騰訊雲IaaS產品的IPv6演進方案
騰訊雲IaaS產品在不同演進階段,會搭配多種過渡技術實現整體公有云業務向IPv6的平滑演進。在雲上業務未向IPv6遷移時,通過翻譯技術幫助互聯網的IPv6用戶訪問雲上的IPv4主機;然後將雲上的VPC和CVM、CBS等產品逐步支持雙棧,通過雙棧技術和隧道技術實現互聯網IPv6用戶和IPv6雲主機的通信;最後當所有IDC和骨幹網的雙棧能力全部上線後,則通過雙棧技術即可靈活的實現雲上雲下的互訪互通。
需要重點強調的是: 相對於underlay的IPv6演進,公有云為了實現VPC能力都採用了SDN和Overlay技術,所以採用何種過渡技術時,需要結合自身的Overlay技術進行綜合考慮。在運維層面,也需要考慮Overlay封裝和IPv6 over IPv4隧道封裝對報文長度和轉發的影響。
NAT64公網網關和NAT64過渡技術
在VPC和雲主機啟用雙棧能力之前,VPC和雲主機繼續運行IPv4協議棧, 騰訊雲將為IPv6用戶訪問IPv4雲主機部署獨立的公網網關集群,公網網關通過NAT64的過渡技術實現IPv6和IPv4網絡的互通。
NAT64過渡技術的應用
NAT64 是一種有狀態的網絡地址與協議轉換技術,主要用於支持通過 IPv6網絡側用戶發起連接訪問 IPv4側網絡資源,但也可以通過手工配置靜態映射關係,來實現 IPv4網絡主動發起連接訪問 IPv6網絡。NAT64可實現 TCP、UDP、ICMP協議下的 IPv6與 IPv4網絡地址和協議轉換。
具體實現方案為:在NAT64公網網關上配置一個IPv4的地址池,使用有狀態的NAT64方案。公網IPv6用戶請求中的地址{IPv6 A, IPv6 B}在公網網關上轉為{IPv4 A,IPv4 B},被轉換後的報文在雲IDC內部按照IPv4協議轉發流程在underlay網絡以及宿主機上進行處理。
VPC雙棧能力和GRE隧道技術
IDC網絡部署了大量的網絡和安全設備,雖然大部分設備理論上已具備IPv6/IPv4雙棧能力,但是基礎網絡改造的週期跨度一定會很長。所以在IDC基礎網絡改造完成之前,VPC和CVM、容器、存儲等IAAS層的IPv6功能會先上線,此時CVM和外網接入網關都將具備雙棧的能力。那麼如何幫助互聯網IPv6用戶和IPv6雲主機穿越IPv4網絡?
藉助IPv6 Over IPv4隧道技術,可在CVM宿主機和公網網關之間搭起一座橋樑。具體實現為:當宿主機收到從CVM發出的IPv6報文後,會封裝一個GRE頭部,並在外層封裝IPv4報文頭,封裝IPv4報文頭時根據隧道接口配置的隧道源端和目的端的IPv4地址進行封裝。封裝後的報文變成一個IPv4報文,交給IPv4協議棧處理;報文經過IPV4 IDC基礎網絡傳遞到底IPv6公網網關後,公網網關會解掉GRE頭部以及外層的IPv4報文頭,並進入運營商的IPv6網絡,最終到達IPv6用戶。
從IPv6用戶訪問IPv6雲主機時,當報文到達IPv6公網網關時,公網網關封裝GRE頭部以及外層IPv4報文頭,封裝後的報文經過IPv4 IDC基礎網絡後,在CVM宿主機進行GRE的解封裝,然後再將報文傳遞到IPv6 CVM。
雙棧和隧道過渡技術的應用
當IPv6 CVM訪問外部WEB應用服務器時,需要Local DNS服務器返回AAAA記錄;但如果訪問的是IPv4 WEB服務器,只local DNS服務器只能夠獲得一條A記錄。如果local DNS服務器將A記錄返回給IPv6 CVM時,CVM是無法識別的。
為了解決這個問題,騰訊雲將會在local DNS啟用DNS64技術。DNS64的原理比較簡單,主要原理是將DNS查詢信息中的 A記錄的IPv4地址合成到 AAAA記錄的IPv6地址中,並將合成的 AAAA記錄返回給 IPv6側用戶。DNS64主要用於配合NAT64,實現IPv6訪問IPv4的應用場景。
DNS64的應用
全雙棧能力
隨著運營商網絡的逐步改造,原來的IPv4運營商網絡會演變為IPv6/IPv4雙棧網絡,這時騰訊雲的公網網關也會支持雙棧能力。當IDC基礎網絡各個節點都逐步支持雙棧能力時,在雲端將不再需要翻譯和隧道這兩種技術,不管是IPv6報文還是IPv4報文,都能夠在所有節點被智能的識別和區分,然後根據不同的目的路由信息,發往下一個節點進行處理。
IPv6/IPv4全雙棧的應用
騰訊雲PaaS和SaaS的IPv6演進方案
物聯網可以說是IPv6最強的推動劑,當物聯網技術和IPv6技術疊加,萬物互聯和智能連接才能夠真正實現;地球上任何一臺電視、冰箱、空調或者汽車,都將獲得一個IPv6地址,IPv6將作為各自在互聯網的身份ID,快速地被識別。
當騰訊雲的IaaS逐步支持IPv6後,對於其他採用騰訊雲IaaS產品為互聯網用戶提供PaaS和SaaS服務的供應商,也可以搭乘騰訊雲IPv6的快車,更快的將自己的應用方案向IPv6過渡。同時,騰訊雲自身PaaS產品和SaaS產品的IPv6改造也會水到渠成;騰訊雲將陸續推出視頻直播、大數據套件、機器學習平臺、輿情分析、物聯網等成熟的IPv6產品。
全面的IPv6邊緣接入能力
不管是在智慧零售還是智能車聯網等應用場景,騰訊雲都可以提供非常強大的雲端互聯的網絡支撐以及雲端大數據分析。同時,騰訊雲還將陸續在各個地域提供全面的IPv6邊緣接入能力,以便最快的幫助用戶打通雲下和雲上的IPv6互通,助力用戶構建廣泛而強大的IPv6互聯網絡。
IPv6不僅僅是一種協議,它更像一條連接萬物的紐帶,當IPv6遇上物聯網,它終於煥發出了春意盎然的生機。當騰訊雲IPv6的全面落地,騰訊連接一切的願景,也就能更快的實現了。
閱讀更多 笨菜鳥 的文章
