李星:IPv6单栈互联网交换中心的思考
李星
清华大学教授、CERNET网络中心副主任
互联网交换中心
从历史上看,早期互联网其实没有交换中心,因为只有一个骨干网,即美国国家科学基金网(NSFNET)。然而,自1995年起,随着互联网逐渐走向商业化,世界上出现了多个主干网。开始时,各主干网之间虽有某种形式的互联,但往往没有形成最佳路径。为了加速流量交换,逐渐衍生出了互联网交换中心。
此后,由于技术的不断发展,不同主干网之间的流量交换越来越大。在过去十年中,很多大型网络相互间都建立起了直连通道,不再需要通过交换中心进行交换,交换中心因而有被冷落的趋势。
然而,技术有时候也是“三十年河东,三十年河西”。近年来,随着互联网的进一步发展,以及本地化和可靠性的需求,越来越多的新型互联网交换中心重返舞台,而这其实是一个非常好的现象。
回顾互联网历史,最可靠的网络实际上是去中心化、分布式的。但是由于互联网运营商巨头较为强势等诸多因素,互联网在某种形式上走向中心化,越来越趋于集中。
尤其是近些年,从运营商(ISP)的角度而言,中心化更为明显。因此,新型互联网交换中心所代表的去中心化过程其实非常符合互联网的发展趋势和需求。
IPv4和IPv6技术比较
由于IPv6的出现,交换中心不仅要交换IPv4流量,也需要交换IPv6流量。但是IPv6和IPv4其实有很多差异,在交换中心主要体现为以下两点:
一是IPv4网络大量实施地址转换技术(NAT44);而IPv6网络没有NAT66,因而其在交换中心路由的地址即为用户最终使用的地址。
二是IPv4地址资源比较稀缺,且IPv4地址的主要拥有者是大型运营商,因而市面上所使用的IPv4多为PA(Provider Aggregatable)地址,即运营商可聚合的地址,这些IP地址可以被聚合为单一路由条目,从而降低路由表的规模,提高路由效率。
但是IPv6地址资源非常丰富,且有非常多的PI(Provider Indepedent)地址,即运营商无关地址,获取了此种地址的用户使用BGP协议联网,可以自由地选择运营商(ISP)。
在中国,IPv4地址的主要拥有者是三大运营商,但IPv6规模部署之后,许多规模较大的企业和组织都拥有IPv6的PI地址。从IP地址和路由的角度而言,这些机构和三大运营商其实是平等的。全世界都有类似的趋势,而这带来了一些新的变化。好处是为交换中心带来了更多的参与者;缺点是参与者多了之后,其所公布路由的可信性将出现较大问题。
总之,从互联网交换中心角度而言,IPv4和IPv6实际上具有两个主要区别:一是IPv4是有大量的NAT应用,而IPv6没有NAT;二是大量的IPv4是PA地址,但是IPv6主要为PI地址。
互联网交换中心部署IPv6的挑战
互联网交换中心部署IPv6主要有三个挑战:
第一个挑战主要是上述IPv4和IPv6的第二点区别引起的。由于IPv6拥有大量的PI地址,当一个交换中心的参与者从数个转变为成百上千个,甚至更多时,其所公布的地址是否为合法地址其实很难判断。
因此,在IPv4为主的时期,交换中心虽然也在探索,但并没有强制使用“资源公钥基础设施(即RPKI)”,而在IPv6大规模部署时期,必须防止路由挟持,保证路由安全,因此必须建立路由安全基础设施。
第二个挑战,交换中心进行转发的IPv4地址是端对端的目标地址(即便有NAT44,但NAT44的日志可以确认端系统),但由于IPv6具有路由扩展头,交换中心进行转发的是下一个“源路由”转发节点的地址(例如,当前的热门技术SRv6),即互联网交换中心并不清楚用户的最终目标地址是哪里,而这其实埋下了安全隐患。因此,是否需要记录和分析sRv6扩展头里每一跳的地址,是今后互联网交换中心的设备、协议等都要考虑的问题。
第三个挑战,近几年,我国提出了“人类命运共同体”和“一带一路”的伟大战略。而这些战略离不开与全世界的互联互通,因此,即便中国完全过渡到IPv6单栈,但只要世界上还有国家没有完成过渡,还在使用IPv4,我们就必须保持对IPv4网络的连通性。
IPv6单栈互联网交换中心的必要性
2021年,中央网信办等部门发布了《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》,提出了IPv6部署的三部曲:
1.2023年,IPv6单栈取得积极进展,新增网络地址不再使用私有IPv4地址。
2.2025年,新增网站及应用、网络及应用基础设施部署IPv6单栈,形成创新引领、高效协同的自驱性发展态势。
3.之后再用五年左右时间,完成向IPv6单栈的演进过渡。
换言之,按照通知要求,我国完成向IPv6单栈的过渡只剩下九年时间。届时,若这项工作顺利完成,显然所有的交换中心都需要处理IPv6流量,而且要在保证安全的基础上,实现高质量交互。而其前提可能是成千上万的用户端连接到交换中心,且其中可能含有大量的SRv6流量。
此外,根据人均GDP和人均IPv6的分布情况,人均GDP越高,也即国家越发达,则IPv6普及程度越高。这从侧面表明,国家越发达,越重视IPv6的建设,IPv6单栈符合国家发展的趋势。
因此,交换中心应率先过渡到IPv6,同时要符合国家的要求,实现IPv6单栈。
IPv6单栈互联网交换中心的可行性
根据上述分析,未来互联网既要实现向IPv6过渡,又要保持IPv4网络的运行,有两种实现方式,一是使用双栈网络等技术;二是IPv4和IPv6均为单栈,二者间通过翻译技术互联互通。
考虑到成本等因素,前者已基本被否定,国家的政策也体现了这一点。因此,只剩下通过翻译技术实现单栈网络之间互联互通这一条路。
而作为这方面标准的无状态IPv4/IPv6翻译过渡技术(IVI)是由清华大学首先提出,并成为了IETF标准(如下图)。
△无状态IPv4/IPv6翻译技术思路
具体而言,该技术的思路与实现可总结为三句话:
1.IPv4和IPv6不兼容。因此,不能强求源地址是IPv4,目标地址是IPv6(或地址是IPv6,目标地址是IPv4)的直接交互,需要借由翻译器来实现。
2.翻译互通的基本原理是:通过翻译器将真实的IPv4计算机映射成虚拟的IPv6计算机,同时通过翻译器将真实的IPv6计算机映射成虚拟的IPv4计算机,使得在互相不兼容的IPv4和IPv6协议空间内,分别有真实的计算机和虚拟的计算机进行端对端的通信。
3.在IVI的研发中,如何实现IPv4对IPv6的翻译是关键。IPv6地址为128位,一个IPv6的子网就有64位,可以轻易地表示32位的IPv4地址,但如何用有限的IPv4地址表示IPv6是基于算法表示和解决的,这是IVI最大的突破点。
这项技术基本解决了IPv4和IPv6互通问题,当前IVI已成为互联网国际标准,获得9个IETF的RFC,被其他RFC标准引用170余次,成为IPv4和IPv6互联互通最重要的互联网标准,从技术上保证了建设IPv6单栈的可行性。
IPv6单栈互联网交换中心的机遇
如上所述,由于有了翻译技术的支持,完全可以建设IPv6单栈互联网,而其交换中心通过翻译可以与IPv4网络保持互联互通。那么,IPv6单栈互联网交换中心有何意义?
首先,可以实施更强的安全技术,如吴建平院士提出的下一代互联网真实源地址认证技术SAVA。
其次,新型IPv6单栈互联网交换中心通过翻译技术可以提供许多新型服务,总结而言主要有以下四种:
1.可以实现基本的互联互通。IPv6单栈交换中心通过翻译器仍可以实现与IPv4的交换。
2.可以实现动态调度的互联互通。因为翻译技术配置便利,所以在一些需要大量IPv4地址的特殊场景下,如与国际互通时,可以通过翻译技术,动态地将临时需要的大量IPv4公有地址分配给需要的应用。
3.可以实现扩展的互联互通。目前的IPv4地址分配仅支持整体分配,但借由翻译技术,可以扩展分配给用户N分之1个IPv4地址。在绑定端口之后,根据需求分配,而不需要占用整个IPv4地址。在世界各国不可能在短期内全部实现单栈的情况下,通过扩展分配可以提高稀缺的IPv4地址资源的使用效率。
4.可以实现网络切片的互联互通。利用IPv6创新技术如SRv6等实现网络切片。当前的交换中心实际上是将IPv4地址空间的地址都进行路由。但是在新型交换中心,可以在不同的IPv6地址映射不同IPv4地址的基础上,完成网络切片。如此一来,其地址空间将大大增加,且可控性更强,也具有更高的安全性。
在这种情况下,其实可以想象,对于未来的IPv6单栈互联网交换中心,IPv4可能永远存在,但将作为IPv6地址的一个子集而存在,其实现路径可以通过双重翻译技术对IPv4地址进行切片,也可以通过SRv6的切片技术来完成。
使用SRv6技术,新型交换中心可以对不同SRv6切片根据不同的路由策略进行交换,其深远的影响在今后的实践过程中才会逐步体现出来。
互联网今后的十年
互联网核心技术演进
互联网发展至今已有53年,从诞生之日起,它就在一步一步演进(如上图)。
互联网的本质是无中心的分布式系统,这是互联网“以不变应万变”的设计原则,围绕这个不变的设计原则,互联网技术模块不断演进。
如果以十年为一个周期,在互联网的不同发展阶段,有着不同的代表性技术热点。
1970年代,最重要的技术是NCP;
1980年代,最重要的技术是TCP/IP;
1990年代,是DNS和BGP;
2000年代,WWW出现,最重要的技术则是HTTP;
2010年代,受斯诺登事件影响,加密的HTTPS广受关注。
那么,在2020年代,最核心的技术究竟是什么?目前还不清楚,因为现在是2022年,刚完整走过一年,但IPv6单栈和新一代的互联互通可能会成为未来交换中心最核心的技术和应用。希望大家共同努力,把新型互联网交换中心建设好。
我国新型互联网交换中心进展
2019年10月,工业和信息化部批复在杭州开展全国首个新型互联网交换中心试点。
新型互联网交换中心试点以构建形成布局合理、高速高效、动态灵活、安全可靠的互联互通体系为目标,对于完善我国互联网架构、加快网络强国建设具有重要意义。
2020年6月,国家(杭州)新型互联网交换中心建成开通。
国家(杭州)新型互联网交换中心计划打造成为开放、共享的国家级互联互通枢纽;及时总结试点过程中的经验做法,探索新型互联网交换中心的发展路径,为我国互联网长期发展和网络强国建设奠定坚实基础。
2020年12月,国家(中卫)新型互联网交换中心在宁夏中卫揭牌。
国家(中卫)新型互联网交换中心将在运营模式、管理体制、促进机制、监管制度、发展模式、网络与数据安全等方面先行先试,积极探索,为我国新型互联网交换中心发展探索路径。
2021年3月,工业和信息化部印发《“双千兆”网络协同发展行动计划(2021-2023年)》。
文件提出,持续优化网络架构。扩大新型互联网交换中心连接企业数量和流量交换规模,新增至少2个国家级互联网骨干直联点,完善全方位、多层次、立体化的互联互通体系。
2021年4月,国家(深圳·前海)新型互联网交换中心揭牌。
国家(深圳·前海)新型互联网交换中心的建设,是支持前海推进改革开放的重要举措,也是我国互联网顶层架构多层次立体化调整的一次创新探索,将助力互联网产业集聚和数字经济的高质量发展。
2021年7月,中央网信办等部门印发《关于加快推进互联网协议第六版(IPv6)规模部署和应用工作的通知》。
文件提出,增强IPv6网络互联互通能力。加快推进互联网交换中心(含新型互联网交换中心)、互联网直联点IPv6改造,新建交换中心和直联点全面支持IPv6,优先提升互联网国际出入口IPv6带宽,保障国内及国际互联网IPv6流量有效转接。
责编:项阳
转载自:微信公众号“下一代互联网创新基地”(id:Cerpark),部分内容有微调投稿、转载或合作,请联系:eduinfo@cernet.com
往期推荐
欢迎分享、在看与点赞
积极留言,更会有意外惊喜~