厚積薄發(fā)，看騰訊云如何快速從IPv4向IPv6演進？

IPv6技術(shù)在國內(nèi)沉寂數(shù)十年后，在國家推進下重新登上重要舞臺。2018年工業(yè)和信息化部發(fā)布了關(guān)于貫徹落實《推進互聯(lián)網(wǎng)協(xié)議第六版(IPv6)規(guī)模部署行動計劃》的通知。不但展示國家推動IPv6的決心，更對各大運營商和公有云廠商提出了IPv6的改造目標：到2018年末，騰訊云、金山云、網(wǎng)宿科技、藍汛、帝聯(lián)科技完成內(nèi)容分發(fā)網(wǎng)絡(luò)(CDN)IPv6改造;云服務(wù)平臺企業(yè)完成50%云產(chǎn)品IPv6改造。到2020年末，上述企業(yè)完成全部云產(chǎn)品IPv6改造。

騰訊已經(jīng)具備多年的IPv6技術(shù)積累，早在2013年就針對教育網(wǎng)的IPv6用戶對部分騰訊業(yè)務(wù)應(yīng)用訪問，進行了底層網(wǎng)絡(luò)架構(gòu)的改造;近幾年也是投入到IPv6和SDN、Segment Routing等新網(wǎng)絡(luò)技術(shù)綜合應(yīng)用的研究。騰訊云由于受到用戶需求的推動，早已開始云上業(yè)務(wù)IPv6改造的方案研究，現(xiàn)在則已經(jīng)全面啟動IPv6的支持計劃。

     騰訊云全面啟動IPv6支持計劃

向IPv6過渡：全部切換需要5-10年

IPv6在中國可以說一直不溫不火，目前僅有校園網(wǎng)和三大運營商試點網(wǎng)絡(luò)全面支持IPv6。在國內(nèi)IPv6發(fā)展滯后的因素很多，但主要原因還是改造難度太大?；ヂ?lián)網(wǎng)所有的通信都依賴于網(wǎng)絡(luò)基礎(chǔ)設(shè)施，但是龐大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施改造是個非常巨大的工程，即使基礎(chǔ)設(shè)施在理論上都能支持IPv6，但是改造并不能夠一蹴而就，因為改造過程中要求不能夠影響正在運行中的千百萬IPv4業(yè)務(wù)。預(yù)計從IPv4全部切換到IPv6，需要5-10年的時間。

在未來過渡的數(shù)十年間，將會有多種網(wǎng)絡(luò)形態(tài)存在。在過渡初期階段，IPv4網(wǎng)絡(luò)已經(jīng)大量部署，而IPv6網(wǎng)絡(luò)只是散落在各地的孤島;然后逐步是IPv4和IPv6網(wǎng)絡(luò)重疊;最后階段，會以IPv4孤島為主，直至IPv4全部消失。

在我們看來，不管是運營商還是公有云廠商，都會技術(shù)先行，實際改造部署的步驟，則遵循IPv4向IPv6的整體演進規(guī)律。

從下圖來看，公有云廠商要實現(xiàn)IPv6的全面落地，需要完成四個層面的改造：

從改造周期來看，互聯(lián)網(wǎng)接入?yún)^(qū)域和IDC數(shù)據(jù)中心基礎(chǔ)設(shè)施IPv6的改造周期最長：因為它們和第三方(運營商、設(shè)備廠商等)相互依賴，網(wǎng)絡(luò)架構(gòu)復(fù)雜，設(shè)備眾多。從技術(shù)難度來看，互聯(lián)網(wǎng)接入?yún)^(qū)域的公網(wǎng)接入網(wǎng)關(guān)和云IaaS產(chǎn)品的VPC改造難度最大。

因為為了能夠?qū)崿F(xiàn)公有云千萬級云主機的多租戶能力，公有云普遍都采用的SDN+Overlay技術(shù)，這就要求SDN在協(xié)議層面全面支持IPv6，同時要求Overlay技術(shù)在封裝層面中全面納入IPv6;當SDN和Overlay在疊加多種IPv6的過渡方案，復(fù)雜程度就可想而知了。

IPv6三種典型過渡技術(shù)剖析

針對不用的網(wǎng)絡(luò)互通場景，IPv6過渡技術(shù)按照技術(shù)原理可以分成三類：

翻譯技術(shù)

通過翻譯技術(shù)實現(xiàn)純IPv4網(wǎng)絡(luò)和純IPv6網(wǎng)絡(luò)之間的互通，類似于IPv4通信的NAT技術(shù)。網(wǎng)絡(luò)邊界設(shè)備將利用翻譯技術(shù)，根據(jù)IP報文頭的地址和協(xié)議進行相應(yīng)的翻譯。其中，NAT64是最為常用的翻譯技術(shù)之一，解決了NAT-PT翻譯技術(shù)存在的各種缺陷。

NAT64采用IPv6過渡技術(shù)中的地址轉(zhuǎn)換技術(shù)，直接更改報文的頭部信息，來實現(xiàn)IPv6和IPv4網(wǎng)絡(luò)的互通。動態(tài)NAT64使用地址池方式，可以讓大量的IPv6地址轉(zhuǎn)化為很少的IPv4地址，通常用于IPv6網(wǎng)絡(luò)發(fā)起連接到IPv4網(wǎng)絡(luò)。如果手工配置靜態(tài)映射，設(shè)備會根據(jù)綁定的映射關(guān)系進行一對一轉(zhuǎn)換，從而保證任何一方均可以主動發(fā)起連接。

雙棧技術(shù)

雙棧協(xié)議：服務(wù)器、存儲、交換設(shè)備、路由設(shè)備、安全設(shè)備等同時運行IPv4和IPv6兩套協(xié)議棧，同時支持兩套協(xié)議。目前大部分的網(wǎng)絡(luò)設(shè)備和主機操作系統(tǒng)都已經(jīng)支持雙棧協(xié)議。

· 鏈路協(xié)議支持雙協(xié)議棧：鏈路層協(xié)議包括以太網(wǎng)協(xié)議、PPP等，他們都能夠很好的支持IPv6/IPv4雙協(xié)議棧。拿以太網(wǎng)網(wǎng)協(xié)議為例：在以太幀中，如果協(xié)議ID字段的值為0x0800，則表示網(wǎng)絡(luò)層協(xié)議采用的是IPv4;如果協(xié)議ID字段的值為0x86DD，則表示網(wǎng)絡(luò)層協(xié)議為IPv6。

· 應(yīng)用支持雙協(xié)議棧：DNS、FTP等應(yīng)用層協(xié)議都同時支持IPv6/IPv4雙協(xié)議棧：DNS會優(yōu)先選擇IPv6協(xié)議棧，而不是IPv4協(xié)議棧作為網(wǎng)絡(luò)層協(xié)議。

隧道技術(shù)

需要通過IPv4骨干網(wǎng)絡(luò)連接兩端的IPv6孤島，或者通過IPv6骨干網(wǎng)絡(luò)連接兩端的IPv4孤島，都可以采用隧道技術(shù)。以前者為例，隧道技術(shù)通過在網(wǎng)絡(luò)邊界設(shè)備將IPv6源封裝到IPv4的報文中經(jīng)過IPv4骨干網(wǎng)傳遞到另一邊的網(wǎng)絡(luò)邊界設(shè)備進行IPv6報文的還原，最后送到IPv6目的端。隧道技術(shù)有手工隧道和自動隧道兩種方式，其中GRE、ISATAP、6to4是最為主要的幾種隧道技術(shù)。

IPv6 over IPv4 GRE隧道使用標準的GRE隧道技術(shù)提供了點到點連接服務(wù)，需要手工指定隧道的端點地址。GRE隧道本身并不限制被封裝的協(xié)議和傳輸協(xié)議，一個GRE隧道中被封裝的協(xié)議可以是協(xié)議中允許的任意協(xié)議。

騰訊云IaaS產(chǎn)品的IPv6演進方案

騰訊云IaaS產(chǎn)品在不同演進階段，會搭配多種過渡技術(shù)實現(xiàn)整體公有云業(yè)務(wù)向IPv6的平滑演進。在云上業(yè)務(wù)未向IPv6遷移時，通過翻譯技術(shù)幫助互聯(lián)網(wǎng)的IPv6用戶訪問云上的IPv4主機;然后將云上的VPC和CVM、CBS等產(chǎn)品逐步支持雙棧，通過雙棧技術(shù)和隧道技術(shù)實現(xiàn)互聯(lián)網(wǎng)IPv6用戶和IPv6云主機的通信;最后當所有IDC和骨干網(wǎng)的雙棧能力全部上線后，則通過雙棧技術(shù)即可靈活的實現(xiàn)云上云下的互訪互通。

需要重點強調(diào)的是: 相對于underlay的IPv6演進，公有云為了實現(xiàn)VPC能力都采用了SDN和Overlay技術(shù)，所以采用何種過渡技術(shù)時，需要結(jié)合自身的Overlay技術(shù)進行綜合考慮。在運維層面，也需要考慮Overlay封裝和IPv6 over IPv4隧道封裝對報文長度和轉(zhuǎn)發(fā)的影響。

NAT64公網(wǎng)網(wǎng)關(guān)和NAT64過渡技術(shù)

在VPC和云主機啟用雙棧能力之前，VPC和云主機繼續(xù)運行IPv4協(xié)議棧， 騰訊云將為IPv6用戶訪問IPv4云主機部署獨立的公網(wǎng)網(wǎng)關(guān)集群，公網(wǎng)網(wǎng)關(guān)通過NAT64的過渡技術(shù)實現(xiàn)IPv6和IPv4網(wǎng)絡(luò)的互通。

NAT64過渡技術(shù)的應(yīng)用

NAT64 是一種有狀態(tài)的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，主要用于支持通過 IPv6網(wǎng)絡(luò)側(cè)用戶發(fā)起連接訪問 IPv4側(cè)網(wǎng)絡(luò)資源，但也可以通過手工配置靜態(tài)映射關(guān)系，來實現(xiàn) IPv4網(wǎng)絡(luò)主動發(fā)起連接訪問 IPv6網(wǎng)絡(luò)。NAT64可實現(xiàn) TCP、UDP、ICMP協(xié)議下的 IPv6與 IPv4網(wǎng)絡(luò)地址和協(xié)議轉(zhuǎn)換。

具體實現(xiàn)方案為： 在NAT64公網(wǎng)網(wǎng)關(guān)上配置一個IPv4的地址池，使用有狀態(tài)的NAT64方案。公網(wǎng)IPv6用戶請求中的地址{IPv6 A, IPv6 B}在公網(wǎng)網(wǎng)關(guān)上轉(zhuǎn)為{IPv4 A，IPv4 B}，被轉(zhuǎn)換后的報文在云IDC內(nèi)部按照IPv4協(xié)議轉(zhuǎn)發(fā)流程在underlay網(wǎng)絡(luò)以及宿主機上進行處理。

VPC雙棧能力和GRE隧道技術(shù)

IDC網(wǎng)絡(luò)部署了大量的網(wǎng)絡(luò)和安全設(shè)備，雖然大部分設(shè)備理論上已具備IPv6/IPv4雙棧能力，但是基礎(chǔ)網(wǎng)絡(luò)改造的周期跨度一定會很長。所以在IDC基礎(chǔ)網(wǎng)絡(luò)改造完成之前，VPC和CVM、容器、存儲等IAAS層的IPv6功能會先上線，此時CVM和外網(wǎng)接入網(wǎng)關(guān)都將具備雙棧的能力。那么如何幫助互聯(lián)網(wǎng)IPv6用戶和IPv6云主機穿越IPv4網(wǎng)絡(luò)?

借助IPv6 Over IPv4隧道技術(shù)，可在CVM宿主機和公網(wǎng)網(wǎng)關(guān)之間搭起一座橋梁。具體實現(xiàn)為：當宿主機收到從CVM發(fā)出的IPv6報文后，會封裝一個GRE頭部，并在外層封裝IPv4報文頭，封裝IPv4報文頭時根據(jù)隧道接口配置的隧道源端和目的端的IPv4地址進行封裝。封裝后的報文變成一個IPv4報文，交給IPv4協(xié)議棧處理;報文經(jīng)過IPV4 IDC基礎(chǔ)網(wǎng)絡(luò)傳遞到底IPv6公網(wǎng)網(wǎng)關(guān)后，公網(wǎng)網(wǎng)關(guān)會解掉GRE頭部以及外層的IPv4報文頭，并進入運營商的IPv6網(wǎng)絡(luò)，最終到達IPv6用戶。

從IPv6用戶訪問IPv6云主機時，當報文到達IPv6公網(wǎng)網(wǎng)關(guān)時，公網(wǎng)網(wǎng)關(guān)封裝GRE頭部以及外層IPv4報文頭，封裝后的報文經(jīng)過IPv4 IDC基礎(chǔ)網(wǎng)絡(luò)后，在CVM宿主機進行GRE的解封裝，然后再將報文傳遞到IPv6 CVM。

雙棧和隧道過渡技術(shù)的應(yīng)用

當IPv6 CVM訪問外部WEB應(yīng)用服務(wù)器時，需要Local DNS服務(wù)器返回AAAA記錄;但如果訪問的是IPv4 WEB服務(wù)器，只local DNS服務(wù)器只能夠獲得一條A記錄。如果local DNS服務(wù)器將A記錄返回給IPv6 CVM時，CVM是無法識別的。

為了解決這個問題，騰訊云將會在local DNS啟用DNS64技術(shù)。DNS64的原理比較簡單，主要原理是將DNS查詢信息中的 A記錄的IPv4地址合成到 AAAA記錄的IPv6地址中，并將合成的 AAAA記錄返回給 IPv6側(cè)用戶。DNS64主要用于配合NAT64，實現(xiàn)IPv6訪問IPv4的應(yīng)用場景。

DNS64的應(yīng)用

全雙棧能力

隨著運營商網(wǎng)絡(luò)的逐步改造，原來的IPv4運營商網(wǎng)絡(luò)會演變?yōu)镮Pv6/IPv4雙棧網(wǎng)絡(luò)，這時騰訊云的公網(wǎng)網(wǎng)關(guān)也會支持雙棧能力。當IDC基礎(chǔ)網(wǎng)絡(luò)各個節(jié)點都逐步支持雙棧能力時，在云端將不再需要翻譯和隧道這兩種技術(shù)，不管是IPv6報文還是IPv4報文，都能夠在所有節(jié)點被智能的識別和區(qū)分，然后根據(jù)不同的目的路由信息，發(fā)往下一個節(jié)點進行處理。

IPv6/IPv4全雙棧的應(yīng)用

騰訊云PaaS和SaaS的IPv6演進方案

物聯(lián)網(wǎng)可以說是IPv6最強的推動劑，當物聯(lián)網(wǎng)技術(shù)和IPv6技術(shù)疊加，萬物互聯(lián)和智能連接才能夠真正實現(xiàn);地球上任何一臺電視、冰箱、空調(diào)或者汽車，都將獲得一個IPv6地址，IPv6將作為各自在互聯(lián)網(wǎng)的身份ID，快速地被識別。

當騰訊云的IaaS逐步支持IPv6后，對于其他采用騰訊云IaaS產(chǎn)品為互聯(lián)網(wǎng)用戶提供PaaS和SaaS服務(wù)的供應(yīng)商，也可以搭乘騰訊云IPv6的快車，更快的將自己的應(yīng)用方案向IPv6過渡。同時，騰訊云自身PaaS產(chǎn)品和SaaS產(chǎn)品的IPv6改造也會水到渠成;騰訊云將陸續(xù)推出視頻直播、大數(shù)據(jù)套件、機器學(xué)習(xí)平臺、輿情分析、物聯(lián)網(wǎng)等成熟的IPv6產(chǎn)品。

全面的IPv6邊緣接入能力

不管是在智慧零售還是智能車聯(lián)網(wǎng)等應(yīng)用場景，騰訊云都可以提供非常強大的云端互聯(lián)的網(wǎng)絡(luò)支撐以及云端大數(shù)據(jù)分析。同時，騰訊云還將陸續(xù)在各個地域提供全面的IPv6邊緣接入能力，以便最快的幫助用戶打通云下和云上的IPv6互通，助力用戶構(gòu)建廣泛而強大的IPv6互聯(lián)網(wǎng)絡(luò)。

IPv6不僅僅是一種協(xié)議，它更像一條連接萬物的紐帶，當IPv6遇上物聯(lián)網(wǎng)，它終于煥發(fā)出了春意盎然的生機。當騰訊云IPv6的全面落地，騰訊連接一切的愿景，也就能更快的實現(xiàn)了。