【协议森林】IPv6过渡技术之隧道和翻译技术_隧道技术 翻译技术

1. 前言

我们漫游网络最重要的支撑是IP，其重要性已经无需赘言。在现在设备数量和交互信息指数级爆发的大背景下，IPv4地址已经严重不足，如何过渡到IPv6的问题就显得更为迫切。IPv6采用128位地址格式，地址空间巨大，能够彻底解决IPv4地址不足问题。但是由于IPv6与IPv4不兼容，因此在当前IPv4为主的网络环境下，IPv4向IPv6的平滑过渡就成为IPv6能否成功的关键。

2. 主流过渡技术

针对IPv4向IPv6的平滑过渡问题上，在工程上也已经有了很多可行的方案和实践，但各有利弊。目前业界主要分为三大类：双栈、隧道和翻译。

• IPv6/IPv4双栈技术
  双栈节点与IPv4节点通讯时使用IPv4协议栈，与IPv6节点通讯时使用IPv6协议栈。
• 隧道技术
  网络层的首部后面追加网络层首部的通信方法，叫做隧道。提供了两个IPv6站点之间通过IPv4网络实现通讯连接，以及两个IPv4站点之间通过IPv6网络实现通讯连接的技术。
• IPv4/IPv6协议转换技术
  提供了IPv4网络与IPv6网络之间的互访技术。

3. 双栈技术

双栈技术是指在网络节点上同时运行IPv4 和IPv6 两种协议，从而在IP 网络中形成逻辑上相互独立的两张网络：IPv4 网络和IPv6 网络。网络中的节点同时支持IPv4和IPv6协议栈，源节点根据目的节点的不同选用不同的协议栈，而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。

4. 隧道技术

隧道技术是通过将一种IP 协议数据包嵌套在另一种IP 协议数据包中进行网络传递的技术，只要求隧道两端的设备支持两种协议。
隧道类型有多种，按照隧道协议的不同分为IPv4 overIPv6 隧道和IPv6 over IPv4 隧道；根据隧道终点地址的获得方式，可将隧道分为配置型隧道（如手工隧道、GRE 隧道） 和自动型隧道（如隧道代理、6to4、6over4、6RD、ISATAP、TEREDO、基于MPLS 的隧道6PE等）。
隧道技术本质上只是提供一个点到点的透明传送通道，无法实现IPv4 节点和IPv6 节点之间的通信。适用于同协议类型网络孤岛之间的互联。这种技术的优点是，不用把所有的设备都升级为双栈，只要求IPv4/IPv6网络的边缘设备实现双栈和隧道功能。除边缘节点外，其它节点不需要支持双协议栈。

4.1 IPv4 over IPv6隧道

与IPv6 over IPv4隧道技术相反，IPv4 over IPv6隧道技术是解决具有IPv4协议栈的接入设备成为IPv6网络中的孤岛通信问题。
在实际应用中，DS-Lite是一种典型的IPv4 over IPv6隧道技术， DS-Lite隧道技术的工作原理是：用户侧设备将IPv4流量封装在IPv6隧道内，通过运营商的IPv6接入网络到达“网关”设备后终结IPv6隧道封装，再进行集中式NAT转换，最终转发至IPv4 Internet。

DS-lite网络主要由三个部分组成。

• CPE（Customer Premises
  Equipment，用户侧设备）：也叫B4终端，位于用户网络侧、用来连接ISP（Internet Service
  Provider，互联网服务提供商）网络的设备，通常为用户网络的网关。CPE作为IPv4 over
  IPv6隧道的端点，负责将用户网络的IPv4报文封装成IPv6报文发送给隧道的另一个端点，同时将从隧道接收到的IPv6报文解封装成IPv4报文发送给用户网络。某些用户网络的主机本身也可以作为CPE，直接连接到ISP网络，这样的主机称为DS-lite主机。
• AFTR（Address Family Transition
  Router，地址族转换路由器）：ISP网络中的设备。AFTR同时作为IPv4 over
  IPv6隧道端点和NAT网关设备。AFTR负责将解封装后的用户网络报文的源IPv4地址（私网地址）转换为公网地址，并将转换后的报文发送给目的IPv4主机；同时负责将目的IPv4主机返回的应答报文的目的IPv4地址（公网地址）转换为对应的私网地址，并将转换后的报文封装成IPv6报文通过隧道发送给CPE。AFTR进行NAT转换时，同时记录NAT映射关系和IPv4
  over IPv6隧道对端设备（即CPE）的IPv6地址，从而实现不同CPE连接的用户网络地址可以重叠。
• DS-lite隧道：CPE和AFTR之间的IPv4 over IPv6隧道，用来实现IPv4报文跨越IPv6网络传输

4.2 IPv6 over IPv4隧道

IPv6不可能在一夜间完全替代IPv4，在这之前，那些IPv6的设备就成为IPv4海洋中的IPv6“孤岛”。IPv6 over IPv4隧道技术的目的是利用现有的IPv4网络，使各个分散的IPv6“孤岛”可以跨越IPv4网络相互通信。
在IPv6报文通过IPv4网络时，无论哪种隧道机制都需要进行“封包—解包”过程，即隧道发送端将该IPv6报文封装在IPv4包中，将此IPv6包视为IPv4的负荷，然后在IPv4网络上传送该封装包。当封装包到达隧道接收端时，该端点解掉封装包的IPv4包头，取出IPv6封装包继续处理。
值得一提的IPv6 over IPv4隧道技术是6RD。它由法国运营商FREE提出，FREE采用该方案在5周内为超过150万户居民提供了IPv6服务。6RD是IPv6快速部署（IPv6 Rapid Deployment）的简称，其对应标准为RFC5569，6RD是在6to4基础上发展起来的一种IPv6网络过渡技术方案。通过在现有IPv4网络中增加6RD-BR，给愿意使用IPv6的用户提供IPv6接入；在IPv6用户的家庭网关和6RD网关之间建立6in4隧道，从而实现在IPv4网络提供IPv6服务的能力。

6RD CE(Customer Edge)与6RD BR(Border Realy)都是双栈设备，通过过扩展的DHCP选项，6RD CE的WAN接口得到运营商为其分配的IPv6前缀、IPv4地址（公有或私有）以及6RD BR的IPv4地址等参数。CE在LAN接口上通过将上述6RD IPv6前缀与IPv4地址相拼接构造出用户的IPv6前缀。当用户开始发起IPv6会话，IPv6报文到达CE后，CE用IPv4包头将其封装进隧道，被封装的IPv6报文通过IPv4包头进行路由，中间的设备对其中的IPv6报文不感知。BR作为隧道对端，收到IPv4数据包后进行解封装，将解封装后的IPv6报文转发到全球IPv6网络中，从而实现终端用户对IPv6业务的访问。
6RD对运营商的核心网络影响极小，整个过程无状态。它为运营商在IPv6过渡初期引入IPv6服务提供了思路。这种方案中，需要同时为终端分配IPv6前缀和IPv4公有/私有地址，仍不能减少IPv4地址的消耗。由于IPv6地址前缀受IPv4地址影响，该方案也存在IPv6地址欺骗的缺点；同时，该方案也要求分配给CE的IPv4地址需要较长的租用期。

5. 地址翻译

采用无状态翻译技术和双重翻译/封装技术IVI/MAP-T/MAP-E定义IPv4/IPv6地址的映射算法和协议翻译/封装算法，在保持互联网地址端对端的特性的基础上，使IPv4和IPv6互联互通，支持由IPv4和IPv6双向发起的访问。无状态翻译技术和双重翻译/封装技术有着不可替代的综合优势，是IPv4/IPv6过渡的必经之路。
MAP技术结合了无状态和双重翻译/封装技术。MAP(Mapping Address and Port)技术是指无状态地对地址和端口进行复用，根据报文格式又分为双重封装MAP-E和双重翻译MAP-T两种。MAP技术定义了在IPv6-only的网络中承载IPv4和IPv6业务无状态地址封装/翻译的机制。MAP-CE和MAP-BR作为边界设备划定了MAP Domain的区域，IPv4业务流仅存在于MAP Domain之外。

在MAP域中，网络部署IPv6单栈协议。对于IPv6终端的业务流量是采用Native IPv6进行承载。对于IPv4终端的业务流量，需要在MAP-CE和MAP-BR之间（或者MAP-CE和MAP-CE之间）建立IPv6通道，根据对IPv4报文的封装方式不同，可以分为MAP-E和MAP-T两种方式。

5.1 MAP-T技术

MAP-T是The Mapping of Address and Port using Translation的简称，被称为无状态的映射与双重翻译技术，是一种4over6的Ipv6过渡技术。MAP-T：翻译方式，即将IPv4报头翻译成IPv6报头，只有一层IPv6报头。

5.2 MAP-E技术

MAP-E是The Mapping of Address and Port using Encapsulation的简称，被称为无状态的映射与双重封装技术，是一种4over6的Ipv6过渡技术。 MAP-E：封装方式，即将IPv4报文再封装一层IPv6报头，外层为IPv6报头，内层是IPv4报头。

更多详细内容，可以查阅相关RFC文档。

加入讨论