互联网之父 Vint Cerf:降低运营成本,拥抱IPv6
Vint Cerf 互联网之父、TCP/IP发明人
为什么部署IPv6
2011年起,从ICANN(互联网名称与数字地址分配机构)和IANA(互联网号码分配机构)层面上来讲,已经没有可分配的IPv4地址了。
个别地区的地址注册机构仍有一些IPv4地址,但几乎也都消耗殆尽。在2011~2012年左右,我以为大家都意识到了IP地址耗尽这个显而易见的问题。
下一步,重要的是让互联网中所有的路由器和边缘设备,笔记本电脑、台式机和平板电脑等,都具有IPv6功能。
然而对于从IPv4转移到IPv6,却仍有大量反对的声音,其中很大一部分挑战是让电信运营商愿意启动对IPv6的支持。相比IPv4,IPv6路由变得更大,运营商可能不得不购买具有更大内存的新设备。
我曾经以为,1996年互联网已经开始推进IPv6,到2021年IPv6的部署应该早已完成,但实际上并没有。
而现在,不管人们是否愿意,已经到了必须全面推进IPv6部署的时刻。随着IPv4地址空间耗尽,购买一个IP地址可能需要花费10~20美元的价格,使用IPv4的成本会很大。
而使用IPv6则会极大地降低成本,至少在互联网被其他可能性替代之前,IPv6可以提供充足的地址空间,用以支撑互联网体系的运转。
“如果1970~1980年代,当我还在DARPA(美国国防高级研究计划局)时,但凡我有一些商业头脑,我应该做的就是在IPv4地址空间中为自己留出‘/8’,到现在这将值得一大笔钱,我的退休金问题也将会彻底解决。”
——Vint Cerf
确保互操作性和安全可控
部署IPv6的过程一定会出现各种各样的问题。无论我们做多少测试,都要从真实规模部署使用IPv6开始,才能在实施过程中发现切实存在的问题。
我们要寻求完整的互操作性,同时确保安全可控。
可能有人会认为,IPv6理应更安全。但实际上,从协议本身来看,IPv6可能并不比IPv4的架构更安全,两者密钥生成、分发和共享的机制非常相似,并无本质区别。
当然,IPv6也拥有安全模式,但需要连接的双方都同意并支持。在此情况下,要么必须接受安全请求并执行安全协议,要么因为无法执行安全协议而中断连接。
由于攻击可能发生在不同的层级,没有哪一个层级可以覆盖所有的防御。因此,考虑到各种安全因素,我赞成使用端到端加密和多层级架构。
此外,我支持IPv6 Ready Logo[1]等标准化测试认证工作,不仅可以验证产品IPv6协议实现是否符合规范,还能确保多厂商产品之间的互操作性。
我们知道,美国国防部(DoD)、美国国土安全部(DHS)等部门会安排举办多种形式的黑客马拉松(Hackathon)比赛,让人们去发现各种信息系统执行中的错误,寻找安全漏洞并修复。在IPv6部署中,我建议也开展这类活动,奖励发现问题和漏洞的工程师们。
“黑客马拉松(Hackathon)兴起时,香槟是一种常见的奖励。那么在IPv6安全领域,只要成功发现TCP/IP协议配置的漏洞,也应该为此开一瓶香槟庆祝。”
——Vint Cerf
向纯IPv6迈进
在当前的IPv6推进中,最核心的诉求是实现纯IPv6(IPv6 Only)。如果无法实现纯IPv6,IPv6能力就无从谈起。当所有的网管系统、安全系统、监控系统,以及所有的终端应用程序,都可以在IPv6上运行,才能代表该网络具备了支持IPv6的能力。
当然,纯IPv6并不意味着IPv4的消失,我们仍然需要能够处理IPv4。不过,具备IPv6能力的标志,将从“IPv4为主IPv6为辅”转变为“IPv6为主IPv4为辅”,以应对全球范围内还未完全部署IPv6的情况。这种转变将是互联网发展的里程碑之一。
IPv6之路任重而道远,请允许我重申对IPv6规模部署的一贯支持。请拥抱IPv6吧。
*注:[1]IPv6 Ready Logo是由全球IPv6论坛发起的,面向全球网络路由交换、终端以及网络安全产品等实施的国际测试认证。
本文根据互联网之父、TCP/IP发明人、全球IPv6互联网名人堂入选者Vint Cerf在2021全球IPv6下一代互联网峰会上的讲话整理,未经本人确认。
整理:项阳
投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
看完了,点个赞呗~