厚積薄發，看騰訊雲如何快速從IPv4向IPv6演進？

IPv6技術在國內沉寂數十年後，在國家推進下重新登上重要舞臺。2018年工業和資訊化部發布了關於貫徹落實《推進網際網路協議第六版（IPv6）規模部署行動計劃》的通知。不但展示國家推動IPv6的決心，更對各大運營商和公有云廠商提出了IPv6的改造目標：到2018年末，騰訊雲、金山雲、網宿科技、藍汛、帝聯科技完成內容分發網路（CDN）IPv6改造；雲服務平臺企業完成50%雲產品IPv6改造。到2020年末，上述企業完成全部雲產品IPv6改造。

\\

騰訊已經具備多年的IPv6技術積累，早在2013年就針對教育網的IPv6使用者對部分騰訊業務應用訪問，進行了底層網路架構的改造；近幾年也是投入到IPv6和SDN、Segment Routing等新網路技術綜合應用的研究。騰訊雲由於受到使用者需求的推動，早已開始雲上業務IPv6改造的方案研究，現在則已經全面啟動IPv6的支援計劃。

\\

\\

騰訊雲全面啟動IPv6支援計劃

\\

向IPv6過渡：全部切換需要5-10年

\\

IPv6在中國可以說一直不溫不火，目前僅有校園網和三大運營商試點網路全面支援IPv6。在國內IPv6發展滯後的因素很多，但主要原因還是改造難度太大。網際網路所有的通訊都依賴於網路基礎設施，但是龐大的網路基礎設施改造是個非常巨大的工程，即使基礎設施在理論上都能支援IPv6，但是改造並不能夠一蹴而就，因為改造過程中要求不能夠影響正在執行中的千百萬IPv4業務。預計從IPv4全部切換到IPv6，需要5-10年的時間。

\\

在未來過渡的數十年間，將會有多種網路形態存在。在過渡初期階段，IPv4網路已經大量部署，而IPv6網路只是散落在各地的孤島；然後逐步是IPv4和IPv6網路重疊；最後階段，會以IPv4孤島為主，直至IPv4全部消失。

\\

在我們看來，不管是運營商還是公有云廠商，都會技術先行，實際改造部署的步驟，則遵循IPv4向IPv6的整體演進規律。

\\

從下圖來看，公有云廠商要實現IPv6的全面落地，需要完成四個層面的改造：

\\

\\

從改造週期來看，網際網路接入區域和IDC資料中心基礎設施IPv6的改造週期最長：因為它們和第三方（運營商、裝置廠商等）相互依賴，網路架構複雜，裝置眾多。從技術難度來看，網際網路接入區域的公網接入閘道器和雲IaaS產品的VPC改造難度最大。

\\

因為為了能夠實現公有云千萬級雲主機的多租戶能力，公有云普遍都採用的SDN+Overlay技術，這就要求SDN在協議層面全面支援IPv6，同時要求Overlay技術在封裝層面中全面納入IPv6；當SDN和Overlay在疊加多種IPv6的過渡方案，複雜程度就可想而知了。

\\

IPv6三種典型過渡技術剖析

\\

針對不用的網路互通場景，IPv6過渡技術按照技術原理可以分成三類：

\\

翻譯技術

\\

通過翻譯技術實現純IPv4網路和純IPv6網路之間的互通，類似於IPv4通訊的NAT技術。網路邊界裝置將利用翻譯技術，根據IP報文頭的地址和協議進行相應的翻譯。其中，NAT64是最為常用的翻譯技術之一，解決了NAT-PT翻譯技術存在的各種缺陷。

\\

NAT64採用IPv6過渡技術中的地址轉換技術，直接更改報文的頭部資訊，來實現IPv6和IPv4網路的互通。動態NAT64使用地址池方式，可以讓大量的IPv6地址轉化為很少的IPv4地址，通常用於IPv6網路發起連線到IPv4網路。如果手工配置靜態對映，裝置會根據繫結的對映關係進行一對一轉換，從而保證任何一方均可以主動發起連線。

\\

雙棧技術

\\

雙棧協議：伺服器、儲存、交換裝置、路由裝置、安全裝置等同時執行IPv4和IPv6兩套協議棧，同時支援兩套協議。目前大部分的網路裝置和主機作業系統都已經支援雙棧協議。

\\

• 鏈路協議支援雙協議棧：鏈路層協議包括乙太網協議、PPP等，他們都能夠很好的支援IPv6/IPv4雙協議棧。拿乙太網網協議為例：在以太幀中，如果協議ID欄位的值為0x0800，則表示網路層協議採用的是IPv4；如果協議ID欄位的值為0x86DD，則表示網路層協議為IPv6。\\t
• 應用支援雙協議棧：DNS、FTP等應用層協議都同時支援IPv6/IPv4雙協議棧：DNS會優先選擇IPv6協議棧，而不是IPv4協議棧作為網路層協議。\

隧道技術

\\

需要通過IPv4骨幹網路連線兩端的IPv6孤島，或者通過IPv6骨幹網路連線兩端的IPv4孤島，都可以採用隧道技術。以前者為例，隧道技術通過在網路邊界裝置將IPv6源封裝到IPv4的報文中經過IPv4骨幹網傳遞到另一邊的網路邊界裝置進行IPv6報文的還原，最後送到IPv6目的端。隧道技術有手工隧道和自動隧道兩種方式，其中GRE、ISATAP、6to4是最為主要的幾種隧道技術。

\\

IPv6 over IPv4 GRE隧道使用標準的GRE隧道技術提供了點到點連線服務，需要手工指定隧道的端點地址。GRE隧道本身並不限制被封裝的協議和傳輸協議，一個GRE隧道中被封裝的協議可以是協議中允許的任意協議。

\\

騰訊雲IaaS產品的IPv6演進方案

\\

騰訊雲IaaS產品在不同演進階段，會搭配多種過渡技術實現整體公有云業務向IPv6的平滑演進。在雲上業務未向IPv6遷移時，通過翻譯技術幫助網際網路的IPv6使用者訪問雲上的IPv4主機；然後將雲上的VPC和CVM、CBS等產品逐步支援雙棧，通過雙棧技術和隧道技術實現網際網路IPv6使用者和IPv6雲主機的通訊；最後當所有IDC和骨幹網的雙棧能力全部上線後，則通過雙棧技術即可靈活的實現雲上雲下的互訪互通。

\\

需要重點強調的是: 相對於underlay的IPv6演進，公有云為了實現VPC能力都採用了SDN和Overlay技術，所以採用何種過渡技術時，需要結合自身的Overlay技術進行綜合考慮。在運維層面，也需要考慮Overlay封裝和IPv6 over IPv4隧道封裝對報文長度和轉發的影響。

\\

NAT64公網閘道器和NAT64過渡技術

\\

在VPC和雲主機啟用雙棧能力之前，VPC和雲主機繼續執行IPv4協議棧， 騰訊雲將為IPv6使用者訪問IPv4雲主機部署獨立的公網閘道器叢集，公網閘道器通過NAT64的過渡技術實現IPv6和IPv4網路的互通。

\\

\\

NAT64過渡技術的應用

\\

NAT64 是一種有狀態的網路地址與協議轉換技術，主要用於支援通過 IPv6網路側使用者發起連線訪問 IPv4側網路資源，但也可以通過手工配置靜態對映關係，來實現 IPv4網路主動發起連線訪問 IPv6網路。NAT64可實現 TCP、UDP、ICMP協議下的 IPv6與 IPv4網路地址和協議轉換。

\\

具體實現方案為： 在NAT64公網閘道器上配置一個IPv4的地址池，使用有狀態的NAT64方案。公網IPv6使用者請求中的地址{IPv6 A, IPv6 B}在公網閘道器上轉為{IPv4 A，IPv4 B}，被轉換後的報文在雲IDC內部按照IPv4協議轉發流程在underlay網路以及宿主機上進行處理。

\\

VPC雙棧能力和GRE隧道技術

\\

IDC網路部署了大量的網路和安全裝置，雖然大部分裝置理論上已具備IPv6/IPv4雙棧能力，但是基礎網路改造的週期跨度一定會很長。所以在IDC基礎網路改造完成之前，VPC和CVM、容器、儲存等IAAS層的IPv6功能會先上線，此時CVM和外網接入閘道器都將具備雙棧的能力。那麼如何幫助網際網路IPv6使用者和IPv6雲主機穿越IPv4網路？

\\

藉助IPv6 Over IPv4隧道技術，可在CVM宿主機和公網閘道器之間搭起一座橋樑。具體實現為：當宿主機收到從CVM發出的IPv6報文後，會封裝一個GRE頭部，並在外層封裝IPv4報文頭，封裝IPv4報文頭時根據隧道介面配置的隧道源端和目的端的IPv4地址進行封裝。封裝後的報文變成一個IPv4報文，交給IPv4協議棧處理；報文經過IPV4 IDC基礎網路傳遞到底IPv6公網閘道器後，公網閘道器會解掉GRE頭部以及外層的IPv4報文頭，並進入運營商的IPv6網路，最終到達IPv6使用者。

\\

從IPv6使用者訪問IPv6雲主機時，當報文到達IPv6公網閘道器時，公網閘道器封裝GRE頭部以及外層IPv4報文頭，封裝後的報文經過IPv4 IDC基礎網路後，在CVM宿主機進行GRE的解封裝，然後再將報文傳遞到IPv6 CVM。

\\

\\

雙棧和隧道過渡技術的應用

\\

當IPv6 CVM訪問外部WEB應用伺服器時，需要Local DNS伺服器返回AAAA記錄；但如果訪問的是IPv4 WEB伺服器，只local DNS伺服器只能夠獲得一條A記錄。如果local DNS伺服器將A記錄返回給IPv6 CVM時，CVM是無法識別的。

\\

為了解決這個問題，騰訊雲將會在local DNS啟用DNS64技術。DNS64的原理比較簡單，主要原理是將DNS查詢資訊中的 A記錄的IPv4地址合成到 AAAA記錄的IPv6地址中，並將合成的 AAAA記錄返回給 IPv6側使用者。DNS64主要用於配合NAT64，實現IPv6訪問IPv4的應用場景。

\\

\\

DNS64的應用

\\

全雙棧能力

\\

隨著運營商網路的逐步改造，原來的IPv4運營商網路會演變為IPv6/IPv4雙棧網路，這時騰訊雲的公網閘道器也會支援雙棧能力。當IDC基礎網路各個節點都逐步支援雙棧能力時，在雲端將不再需要翻譯和隧道這兩種技術，不管是IPv6報文還是IPv4報文，都能夠在所有節點被智慧的識別和區分，然後根據不同的目的路由資訊，發往下一個節點進行處理。

\\

\\

IPv6/IPv4全雙棧的應用

\\

騰訊雲PaaS和SaaS的IPv6演進方案

\\

物聯網可以說是IPv6最強的推動劑，當物聯網技術和IPv6技術疊加，萬物互聯和智慧連線才能夠真正實現；地球上任何一臺電視、冰箱、空調或者汽車，都將獲得一個IPv6地址，IPv6將作為各自在網際網路的身份ID，快速地被識別。

\\

當騰訊雲的IaaS逐步支援IPv6後，對於其他採用騰訊雲IaaS產品為網際網路使用者提供PaaS和SaaS服務的供應商，也可以搭乘騰訊雲IPv6的快車，更快的將自己的應用方案向IPv6過渡。同時，騰訊雲自身PaaS產品和SaaS產品的IPv6改造也會水到渠成；騰訊雲將陸續推出視訊直播、大資料套件、機器學習平臺、輿情分析、物聯網等成熟的IPv6產品。

\\

\\

全面的IPv6邊緣接入能力

\\

不管是在智慧零售還是智慧車聯網等應用場景，騰訊雲都可以提供非常強大的雲端互聯的網路支撐以及雲端大資料分析。同時，騰訊雲還將陸續在各個地域提供全面的IPv6邊緣接入能力，以便最快的幫助使用者打通雲下和雲上的IPv6互通，助力使用者構建廣泛而強大的IPv6網際網路絡。

\\

IPv6不僅僅是一種協議，它更像一條連線萬物的紐帶，當IPv6遇上物聯網，它終於煥發出了春意盎然的生機。當騰訊雲IPv6的全面落地，騰訊連線一切的願景，也就能更快的實現了。

\\

作者介紹：秦振華，騰訊雲高階產品經理，具有十年以上的網路架構設計、網路運維、雲端計算和SDN網路產品策劃的經驗。目前正致力於騰訊雲網路相關的產品化工作，不斷探索和推動SDN、IPv6、Segment Routing等網路新技術在雲上的落地。