鐵路信息網絡IPv6 地址規劃研究

于士堯，李 赟，習穎潔，林悅煒

（中國鐵路信息科技集團有限公司，北京 100844）

近年來，移動互聯網、云計算、物聯網、工業互聯網的蓬勃發展，傳統的IPv4 地址資源緊缺問題日益凸顯[1]。IPv4 存在地址空間小，安全性低，路由表過于龐大，服務質量難以保障，移動性支持不足等一系列問題[2]。IPv6 是下一代互聯網核心協議，在未來的發展過程中，由于IPv6 的諸多優勢，必然對當前的IPv4 網絡體系結構形成取代[3]。

鐵路信息網絡規模龐大、結構復雜，在IPv6 地址規劃方面處于起步階段。加快推進IPv6 規模部署，有利于構建智能化的下一代鐵路信息網，提高承載能力和服務水平，也是鐵路信息網融入國際互聯網環境的迫切需求[4]。為順應信息技術發展趨勢，響應國家政策要求，滿足鐵路自身物聯網、大數據、云、區塊鏈、邊緣計算等應用需求，急需開展鐵路信息網絡IPv6 地址規劃研究，加快推進鐵路IPv6 演進工作，助力鐵路信息化建設長期健康發展。

1 鐵路信息網絡概述

1.1 信息網絡基本情況

鐵路信息網絡主要包括鐵路綜合信息網、客票專網、TDCS/ CTC 專網等，依托鐵路自有通信網絡，構建了全路范圍的廣域網，為機構互聯、應用部署、服務提供及數據傳輸等提供網絡基礎。作為信息化重要組成部分，鐵路信息網絡承載有戰略決策、經營開發、運輸生產、資源管理、建設管理和綜合協同6 大類[5]數千個業務應用，連接百萬臺鐵路終端，在鐵路生產經營與行政辦公中發揮著重要作用。

文獻[5]中，對鐵路多個信息網絡制定了統一的網絡架構，縱向上分為中國國家鐵路集團有限公司（簡稱：國鐵集團）、鐵路局集團公司和站段三級，橫向上分為外部服務網、內部服務網和安全生產網。各信息網絡依靠在局域網層面使用不同的安全防護與隔離技術，實現互聯互通和信息共享。

鐵路信息網絡各級局域網實行分區分域，區分外部連接與內部網絡、個人終端與服務器、運維與業務等，針對不同性質、不同類型的網絡區域建立技術標準，為同一局域網中的不同應用提供不同的網絡資源與安全防護。

1.2 IP 地址使用情況

目前，鐵路信息網絡使用IPv4 地址，由國鐵集團按照逐層遞階的原則為各級組織機構統一分配地址資源。鑒于鐵路應用系統的高安全性和相對獨立性，綜合考慮網絡結構、規模、業務需求等方面因素，多數鐵路信息網絡采用了私有網絡地址空間。由于對外服務與訪問的需求，鐵路信息網絡也使用了運營商提供的公網IP 地址，與互聯網相連。

IP 地址作為重要的網絡資源，隨著鐵路信息化發展，需求量必將大幅增長。目前，鐵路信息網絡內部使用IPv4 私網地址，雖可滿足現階段地址需求，但長遠來看仍存在地址空間不足的問題，且早期地址規劃相對鐵路快速發展適應性逐步降低，IPv4 對于未來海量終端的物聯網應用場景適應度也有限，更多新的用途與需求無法通過地址字段標識。

2 IPv6 地址研究

2.1 地址結構

IPv6 地址共128 bit，由網絡前綴、子網ID、主機ID 組成，網絡前綴由地址類型和分配機構決定，以“/”加前綴位數表示，如/32 地址塊表示網絡前綴為32 bit 的地址。IPv6 地址通常使用冒號十六進制形式表示，即X:X:X:X:X:X:X:X，每個X 都以十六進制表示一個16 bit 長的整數[6]。

IPv6 地址類型包括單播地址、組播地址和任播地址，通過不同的固定前綴標識，各類型地址概況，如表1 所示。

IPv6 擁有龐大地址資源，可以為每一臺設備分配一個固定的IP 地址，這將徹底改變目前動態分配IP 地址、用網絡地址轉換技術轉換公網私網地址的局面[7]，有助于保持端到端的通信模型，實現地址溯源、防止地址掃描等。IPv6 巨大的地址空間和清晰的地址結構也為地址信息標識提供了更好的支持。

表1 IPv6 地址類型

2.2 地址獲取

（1）通過對實際IPv6 改造中地址使用情況調研分析，常用地址類型以ULA 和GUA 為主。其中，ULA 可直接使用，無需申請；GUA 需要向中國互聯網信息中心（CNNIC）申請，或向CNNIC 會員（如運營商）處租賃。向CNNIC 申請GUA 需要申請機構滿足一定的條件，可申請的地址段為/32～/20，申請年費隨地址空間增大而增長；向運營商租賃地址可以與IPv6 專線同時租賃，一般一個專線出口可獲得一個/48 的地址塊，超出免費地址段部分按超出大小支付費用。

（2）向CNNIC 申請的地址，地址歸屬于企業，可以通過邊界網關協議（BGP）方式向多條運營商線路同時發布，實現線路負載分擔，以及內部網絡任意終端與公網的雙向通信。對于較小的分支出口，也可使用NAT66 或NPTv6 進行轉換。此方式適合于大型企業或數據中心等多個互聯網服務提供商（ISP）接入，多出口的使用場景，內部使用GUA 及ULA均可。但對于企業規模有一定要求，且BGP 配置復雜，線路費用略高。

（3）向運營商租賃的地址，地址仍歸屬于運營商，只能與所連運營商線路綁定，無法在網絡層實現業務應用在多線路間的負載分擔。同時，必須使用NAT66，實現內部地址到ISP 地址的轉換。在連接不同運營商時，各線路地址不同，適合中小型企業或各地方性機構部署IPv6 的場景，且內部僅能使用ULA。此方式在一定程度上繼承了鐵路IPv4 時代的地址獲取及內部網絡地址管理方式。

3 鐵路信息網絡IPv6 地址規劃

3.1 地址規劃原則

大型企業在地址規劃的過程中，主要面臨分支機構眾多、業務類型相對比較復雜，地址規劃應充分考慮到多業務接入、層次化部署及地址聚合等因素。還需要考慮到地址預留，為未來擴容留下充足的空間[8]。鐵路信息網絡IPv6 地址規劃應遵循一定原則，主要包括以下方面。

（1）語義化

地址可讀性強，能夠包含所屬區域、用途等信息，便于識別用戶所在區域及用途。

（2）可聚合

按照地址聚合原則分片規劃，盡量做到地址高效聚合，減少路由表規模、簡化路由表。

（3）連續可擴展

IP 地址的規劃與劃分應該考慮到網絡的發展要求，兼顧近期的需求與遠期的發展以及網絡的擴展，應考慮到現有業務、新型業務及各種特殊的業務要求，為未來擴容預留空間，少量子網的增加不需要大規模架構和安全策略調整[7]。

（4）可管控

便于配置安全策略，如ACL 規則、防火墻過濾等，方便進行網絡管理和運維。

3.2 地址類型及地址空間規劃

3.2.1 地址類型

（1）用于提供內部信息服務，大量信息、數據僅在內部流轉，具有一定的封閉性；

（2）越來越多的應用系統開始向公眾與外部單位提供豐富的信息服務，國鐵集團、鐵路局集團公司均有與互聯網及其他外部網絡的連接；

（3）結合鐵路信息網絡數量多、規模大、復雜度高等因素，僅使用單一的地址類型、采用單一的獲取方式，無法滿足鐵路信息化發展需求。

綜上所述，鐵路IPv6 地址應同時使用ULA 和GUA，發揮各自的特性和優勢，滿足不同場景的使用需求。其中，直接使用ULA 用于鐵路信息網內部，保持同外部網絡的相對獨立，發揮一定的安全作用。同時向CNNIC 申請GUA，由國鐵集團統一規劃管理，一部分地址與ULA 一一對應，使用網絡前綴轉換技術（NPTv6）將ULA 轉為對應GUA，用于內部地址同外部網絡或互聯網通信使用；一部分地址用于數據中心云環境，通過互聯網為外部單位和用戶提供服務。GUA 的獲取方式，也應結合具體需求，選擇向CNNIC 申請或向運營商租賃。例如，鐵路局集團公司建設的互聯網出口，除可使用國鐵集團統一規劃的GUA，與當地運營商線路進行BGP 連接外，也可結合當地實際情況，選擇使用運營商提供的GUA，與互聯網靜態連接。

3.2.2 地址空間

為有效降低由國鐵集團統一規劃管理的ULA 及對應GUA 在分配使用過程中的管理難度及技術復雜度，保證ULA 與GUA 具有統一的規劃管理體系，ULA 及對應GUA 應具有相同長度的網絡前綴。按照IPv6 標準，ULA 網絡前綴最短為8 bit，從CNNIC申請的GUA，網路前綴最短為20 bit，最長為32 bit，且前綴越短價格越高。結合鐵路當前地址使用情況及未來發展需求，使用網絡前綴為32 bit 的地址，可保證子網地址長度為32 bit，相應的地址空間和信息標識能力均可滿足規劃及使用需求。因此，ULA 和GUA 均應采用32 bit 網絡前綴，并使用相同的子網地址段標識規則，保證ULA 與GUA 的對應關系。

3.3 子網地址規劃

IPv6 地址中第33～ 64 bit 為子網地址，空間等同于全部IPv4 地址空間，可進行多維度的地址分層及信息標識。圍繞鐵路地址使用情況及信息標識需求，按照分層分級原則，將子網地址逐級劃分為四級標識，分別為信息網絡、組織機構、下屬機構/ 功能區域及用途類型標識。

各級標識長度基于所標識主體現階段種類或個數，并充分考慮未來發展需求確定，同時，各標識長度應為4 的倍數或N（N≥ 1）bit 的十六進制數，確保IPv6 地址的可讀性。地址分配過程中，各標識下的每段地址要預留足夠大的地址空間，且字段長度足夠情況下，盡量離散劃分，保證未來地址使用擴展中，相同標識內地址的連續性。具體標識規劃，如表2 所示。

表2 子網地址信息標識規劃

3.3.1 信息網絡標識

33～ 36 bit 為信息網絡標識，共16 個/36 地址段，標識號為0～ f（二進制：0000～ 1111），用于標識地址所屬的信息網絡，每個信息網絡分配1 個/36 地址，可標識最多16 個信息網絡。按照標識號由小到大依次為現有信息網絡分配地址，未分配標識號作為預留位供未來新增信息網絡、信息網絡結構調整等情況使用。

3.3.2 組織機構標識

37～ 44 bit 為組織機構標識，共256 個/44 地址段，標識號為00～ ff（二進制：00000000～ 11111111），用于標識國鐵集團、鐵路局集團公司及數據中心等組織機構。按照標識號由小到大進行分配，每個組織機構連續分配4 個/44 地址，可在一類信息網絡中標識64 個組織機構，未分配地址段作為預留位。

對于每個組織機構的4 個/44 地址，按照標識號由小到大依次使用。對于國鐵集團和各鐵路局集團公司這類具有下屬機構的組織機構，其中，標識號最小的一段/44 地址段由該組織機構本級使用，各組織機構應順序啟用標識號，未啟用的標識號作為各組織機構預留地址。

3.3.3 下屬機構/ 功能區域標識

45～ 52 bit 為下屬機構/功能區域標識，共256 個/52 地址段，標識號為00～ ff（二進制：00000000～11111111），用于標識國鐵集團下屬單位、鐵路局集團公司下屬站段、國鐵集團本級/鐵路局集團公司本級/數據中心中的功能區域等。按照標識號從小到大依次分配，為每個對象分配1 個/52 地址，可標識一個組織機構的256 個下屬機構、或一個組織機構本級的256 個功能區域，未分配的地址段作為預留位。當二級標識組織機構標識為本級使用時，此段標識位所標識的功能區域可以是具體的網絡區域，如XX 接入區，也可以是具體的樓宇、樓層或機房。

3.3.4 用途類型標識

53～ 64 bit 為用途類型標識，共4 096 個/64 地址段，標識號為000～ fff（二進制：000000000000～111111111111），用于標識包括終端接入、設備互聯、運維管理、業務應用等不同用途，未分配地址段作為預留位。其中，一部分地址用于IPv4 映射地址標識，通過將既有IPv4 地址嵌入該類地址的最后32 bit，實現IPv4 地址與IPv6 地址的映射表示。

各用途類型地址離散分配，原則上每個用途連續分配K（K為4 的倍數，根據不同用途對于地址的需求調整大小）個/64 地址，保證地址空間的可擴展性和在擴展使用時同一標識地址段的連續性。

3.4 主機地址規劃

65～ 128 bit 為主機地址，對于普通終端主要采用DHCPv6 或SLAAC 等自動配置方式分配地址，對于網絡設備等生產設備主要采用手動配置方式順序分配地址。對于既有IPv4 環境，在進行IPv6 改造時，為便于新舊地址管理及使用，可選擇將用途類型標識設置為“IPv4 映射地址”標識，主機地址后32 bit直接使用設備在用IPv4 地址，形成映射后的IPv6地址。

3.5 地址規劃示例

按照本文研究的規劃分配地址，可進行豐富的信息標識，例如XXXX:XXXX:0080:1000/64 為信息網絡1 中，組織機構3 本級下，功能區域2 中的第一類用途地址；XXXX:XXXX:1060:2000/64 為信息網絡2 中，組織機構2 的下屬機構3 中的第一類用途地址。地址信息標識結構清晰，層次豐富。

另外，按照本文研究的規劃使用IPv6 地址后，將極大地釋放地址空間。以哈爾濱局集團公司為例，目前，該集團公司僅使用IPv4 地址，為集團公司機關共分配512 個C 類地址，為匯接點、基層站段共分配3 584 個C 類地址；如果按照本規劃為哈爾濱局集團公司分配IPv6 地址，本級將分配1 個/44 地址塊，共100 多萬（220）個/64 地址，下屬站段將分配3 個/44 地址塊，共300 多萬（3×220）個/64 地址。以C 類地址和/64 地址作為IPv4 和IPv6 的最小地址單位進行比較，則為集團公司本級和下屬站段分配的IPv6 地址將是目前已分配的IPv4 地址的2 048 倍和878 倍，而/64 地址段可提供的主機地址數量遠遠大于C 類地址，各組織機構未來可分配到的IPv6 地址空間將十分充足。

綜上，IPv6 地址空間、信息標識層次和能力與IPv4 地址相比均有顯著提升，對于地址的分配使用、網絡管理和運維等均能提供更好的支持，可充分滿足未來鐵路信息化發展對IP 地址的需求。

4 結束語

本文通過研究鐵路信息網絡特點、基于未來信息化發展建設需求，本著易讀取、可聚合、便管控等原則，確定鐵路適用的IPv6 地址類型、網絡前綴長度，設計信息標識層級、分配使用原則等，充分發揮IPv6 地址空間巨大、結構層級清晰的優勢，為使用IPv6 地址去標識、判斷、區分不同信息網絡、組織機構和業務用途，提高信息網絡建設及運維效率等提供有力支撐。

未來，將對該地址規劃進行測試驗證、調整優化，開展地址分配和管理等相關技術手段的研究，支持鐵路信息網絡IPv6 長期演進工作。