向IPv6單棧互聯網交換中心演進的意義及展望

李星 清華大學教授、CERNET網絡中心副主任

互聯網交換中心

從歷史上看，早期互聯網其實沒有交換中心，因為只有一個骨幹網，即美國國家科學基金網（NSFNET）。自1995年起，隨著互聯網逐漸走向商業化，世界上出現了多個主幹網。近年來，隨著互聯網的進一步發展，以及本地化和可靠性的需求，越來越多的新型互聯網交換中心相繼出現。回顧互聯網歷史，最可靠的網絡實際上是去中心化、分布式的。但是由於互聯網營運商巨頭較為強勢等諸多因素，互聯網在某種形式上走向中心化，越來越趨於集中。尤其是近些年，從營運商（ISP）的角度而言，中心化更為明顯。因此，新型互聯網交換中心所代表的去中心化過程其實非常符合互聯網的發展趨勢和需求。

IPv4和IPv6技術比較

由於IPv6的出現，交換中心不僅要交換IPv4流量，也需要交換IPv6流量。但是IPv6和IPv4其實有很多差異，在交換中心主要體現為以下兩點：一是IPv4網絡大量實施地址轉換技術（NAT44）；而IPv6網絡沒有NAT66，因而其在交換中心路由的地址即為使用者最終使用的地址；二是IPv4地址資源比較稀缺，且IPv4地址的主要擁有者是大型營運商，因而市面上所使用的IPv4多為PA（Provider Aggregatable）地址，即營運商可聚合的地址，這些IP地址可以被聚合為單一路由條目，從而降低路由表的規模，提高路由效率。但是IPv6地址資源非常豐富，且有非常多的PI（Provider Indepedent）地址，即營運商無關地址，獲取了此種地址的使用者使用BGP協定聯網，可以自由地選擇營運商（ISP）。總之，從互聯網交換中心角度而言，IPv4和IPv6實際上具有兩個主要區別：一是IPv4是有大量的NAT套用，而IPv6沒有NAT；二是大量的IPv4是PA地址，但是IPv6主要為PI地址。

互聯網交換中心部署IPv6的挑戰

互聯網交換中心部署IPv6主要有三個挑戰：第一個挑戰主要是上述IPv4和IPv6的第二點區別引起的。由於IPv6擁有大量的PI地址，當一個交換中心的參與者從數個轉變為成百上千個，甚至更多時，其所公布的地址是否為合法地址其實很難判斷；第二個挑戰，交換中心進行轉發的IPv4地址是端對端的目標地址（即便有NAT44，但NAT44的日誌可以確認端系統），但由於IPv6具有路由擴充套件頭，交換中心進行轉發的是下一個「源路由」轉發節點的地址（例如，當前的熱門技術SRv6），即互聯網交換中心並不清楚使用者的最終目標地址是哪裏，而這其實埋下了安全隱患；第三個挑戰，即便中國完全過渡到IPv6單棧，但只要世界上還有國家沒有完成過渡，還在使用IPv4，我們就必須保持對IPv4網絡的環通度。

IPv6單棧互聯網交換中心的必要性

2021年，中央網信辦等部門釋出了【關於加快推進互聯網協定第六版（IPv6）規模部署和套用工作的通知】，提出了IPv6部署的三部曲：

1.2023年，IPv6單棧取得積極進展，新增網絡地址不再使用私有IPv4地址。

2.2025年，新增網站及套用、網絡及套用基礎設施部署IPv6單棧，形成創新引領、高效協同的自驅性發展態勢。

3.之後再用五年左右時間，完成向IPv6單棧的演進過渡。

此外，根據人均GDP和人均IPv6的分布情況，人均GDP越高，也即國家越發達，則IPv6普及程度越高。這從側面表明，國家越發達，越重視IPv6的建設，IPv6單棧符合國家發展的趨勢。因此，交換中心應率先過渡到IPv6，同時要符合國家的要求，實作IPv6單棧。

IPv6單棧互聯網交換中心的可行性

根據上述分析，未來互聯網既要實作向IPv6過渡，又要保持IPv4網絡的執行，有兩種實作方式，一是使用雙棧網絡等技術；二是IPv4和IPv6均為單棧，二者間透過轉譯技術互聯互通。考慮到成本等因素，前者已基本被否定，國家的政策也體現了這一點。因此，只剩下透過轉譯技術實作單棧網絡之間互聯互通這一條路。

IPv6單棧互聯網交換中心的機遇

有了轉譯技術的支持，完全可以建設IPv6單棧互聯網，而其交換中心透過轉譯可以與IPv4網絡保持互聯互通。那麽，IPv6單棧互聯網交換中心有何意義？首先，可以實施更強的安全技術，如吳建平院士提出的下一代互聯網真實源地址認證技術SAVA；其次，新型IPv6單棧互聯網交換中心透過轉譯技術可以提供許多新型服務。在這種情況下，其實可以想象，對於未來的IPv6單棧互聯網交換中心，IPv4可能永遠存在，但將作為IPv6地址的一個子集而存在，其實作路徑可以透過雙重轉譯技術對IPv4地址進行切片，也可以透過SRv6的切片技術來完成。

互聯網今後的十年