李星：純IPv6的演進和創新之路

李星

CERNET網絡中心副主任、清華大學教授

“向IPv6單棧演進成為全球范圍內IPv6發展的大勢所趨。在推進IPv6跨越式發展的過程中，要充分關注和利用IVI翻譯、真實源地址驗證體系結構SAVA、切片等關鍵技術。”在日前召開的會議上，CERNET網絡中心副主任、清華大學李星教授表示。同時，他呼吁，要為IPv6創新提供環境和平臺，充分把握互聯網技術發展的時代趨勢，力求為“突破核心技術，建設網絡強國”貢獻力量。

IPv6發展趨勢

從IPv6的發展趨勢來看，有一個非常有意思的現象值得我們注意。其中有幾個時間節點比較關鍵：

盡管CERNET從一開始就堅持純IPv6網絡的建設，但在全球范圍內，純IPv6網絡的技術路線最初并未得到足夠認可，無論從IETF的技術建議還是各國政府的政策多采用雙棧模式。IPv6過渡技術實踐之路并非一帆風順。直到2016年11月，IETF（互聯網工程任務組）最高領導層IAB（互聯網體系結構委員會）發表關于支持IPv6發展的重要聲明，指出未來的新協議要全部在IPv6基礎上進行優化，而不需要考慮與IPv4的長期兼容。這是互聯網發展過程中一個非常重要的里程碑，表明IPv6成為互聯網技術無可爭議的發展趨勢和方向。按照這個趨勢，互聯網對IPv4的支持會越來越弱，總有一天會過渡到IPv6。

2017年末，中共中央辦公廳、國務院辦公廳發布了《推進互聯網協議第六版（IPv6）規模部署行動計劃》（以下簡稱《行動計劃》），明確指出我國基于IPv6的下一代互聯網發展的總體目標、路線圖、時間表和重點任務，提出用5到10年的時間，形成下一代互聯網自主技術體系和產業生態，建成全球最大規模的IPv6商業應用網絡。《行動計劃》立意拔得很高，充分表明我國向下一代互聯網演進升級的決心。當前我們所進行的各項IPv6規模部署工作，都是《行動計劃》的一部分。

2020年末，美國管理和預算辦公室（OMB）發布了IPv6部署和使用指南終稿。盡管美國的“兩辦通知”比中國晚了不少，但它卻明確提出，雙棧模式未來將難以維護，要向純IPv6網絡遷移。美國要求政府機構的新建系統或網站必須采用IPv6，并通過轉換為純IPv6、更換或退役系統，逐步停止對IPv4的使用。可以說，在向純IPv6演進這一點上，美國快了一步。

而我國也很快意識到了這一點。2021年7月，中央網信辦等三部門發布《關于加快推進互聯網協議第六版（IPv6）規模部署和應用工作的通知》（以下簡稱《通知》）。比起美國對政府機構純IPv6的要求更進一步的是，《通知》提出了全方位的、向IPv6單棧演進的“三部曲”：2023年，IPv6單棧取得積極進展，新增網絡地址不再使用私有IPv4地址；2025年，新增網站及應用、網絡及應用基礎設施部署IPv6單棧，形成創新引領、高效協同的自驅性發展態勢；之后再用五年左右時間，也就是到2030年左右，完成向IPv6單棧的演進過渡。

換言之，中國要完成向純IPv6過渡還有8年左右的時間。以高校為例，我們可以想象一下，所有的校園網，包括信息系統、門戶網站、網絡終端等在8年內都需要過渡到純IPv6。雖然IT設備折舊率很快，但時間卻非常緊迫。高校必須從現在開始就未雨綢繆，為向純IPv6演進做好充足準備，否則在IPv6過渡浪潮中就會非常被動。

IPv6發展三部曲

新形勢下推動IPv6發展，也可以將其概括為“三部曲”：一是平滑過渡，互聯互通，逐步推進；二是發展與安全同步；三是跨越式發展，構建切片體系結構。

平滑過渡

總的來說，IPv6規模部署可以概括為五大任務：網站IPv6改造、提升IPv6活躍用戶、增加IPv6流量、過渡到IPv6單棧、開發IPv6創新應用。其中最重要的是“網站IPv6改造”和“增加IPv6活躍用戶”，如果網站IPv6改造好，IPv6活躍用戶數量增加，IPv6流量自然會持續提升，IPv6單棧才有了演進的基礎，創新應用才能夠落實。只有在整個IPv6生態鏈持續發展的基礎上，才能真正推動基于IPv6的創新。

其中，在網站IPv6改造上，有幾個問題要格外注意：第一，從公網訪問和教育網內部之間的訪問策略要一致；第二，除了門戶網站首頁，二、三級鏈接的改造也要完備；第三，因為IPv6沒有NAT（網絡地址轉換），在公網訪問時需要采取措施，以確保安全。

如何才能又快又好地向IPv6平滑過渡？需要回到具體的IPv6過渡技術上。在IPv6過渡技術方面，基于雙棧的IPv6過渡技術1.0，演進成基于翻譯機制的IPv6過渡技術2.0，最后演進成純IPv6的3.0。

其中，雙棧技術需要兩次“硬著陸”才能完成向IPv6的過渡：第一次是從純IPv4升級到雙棧；第二次是把雙棧的IPv4關掉，成為純IPv6網絡。

而清華大學提出的、已經成為IETF的RFC標準的翻譯技術可以讓現有的IPv4服務器或客戶端，經過翻譯與IPv6網絡實現互聯互通；同時，新建的純IPv6網絡，也可以通過翻譯與IPv4網絡保持互聯互通。隨著IPv4流量的逐漸減少，自然地過渡到純IPv6。由此，只需要通過兩個“軟著陸”，就可以實現向IPv6的過渡。

圖1 IPv6過渡技術：從1.0到3.0

雖然純IPv6是未來的必然趨勢，但在全球范圍內，IPv4網絡將會長期存在。哪怕全球僅剩下1%的IPv4用戶，也要保障IPv6與其互聯互通，否則就違背了互聯網精神。設想一下，即使到了2030年，我國已經實現了純IPv6互聯網，但按照“一帶一路”“網絡空間命運共同體”等要求，中國仍然需要同全世界的IPv4互通。這就意味著，從長遠看來，通過翻譯技術的“軟著陸”過渡，將是互聯網從IPv4向IPv6演進的最關鍵、最主流的過渡方案。

無狀態IPv4/IPv6翻譯技術（IVI）的思路可以歸結為三點。第一，IPv4和IPv6本身不兼容，不可能真的“互通”。第二，翻譯互通的基本原理是：通過翻譯器將真實的IPv4計算機映射成虛擬的IPv6計算機，同時通過翻譯器將真實的IPv6計算機映射成虛擬的IPv4計算機，使得在互相不兼容的IPv4和IPv6協議空間內，分別有真實的計算機和虛擬的計算機進行端對端的通信。第三，如何實現IPv4對IPv6的翻譯是關鍵。IPv6地址為128位，一個IPv6的子網就有64位，可以輕易地表示32位的IPv4地址，但如何用有限的IPv4地址表示IPv6是基于算法表示和解決的，這是IVI最大的突破點。

高校在進行校園網IPv6部署時，可以根據現實情況充分運用翻譯技術。

對于現有IPv4資源，可以將IVI翻譯設備部署在IPv4網絡和IPv6網絡出口之間。這樣，原IPv4資源不需要做改造，就可以被IPv6訪問。

對于新建資源，建議采用純IPv6方案。純IPv6資源可以通過翻譯技術與此前的IPv4資源互聯互通。同時，雙棧網絡的總體安全性取決于IPv4和IPv6中較差的一方，具有“木桶效應”，安全性難以保障。在這一點，純IPv6也優于雙棧網絡。此外，對服務器來說，純IPv6服務器更容易實現基于地址的控制，更方便進行日志管理；對客戶機來說，由于iOS系統和Android系統都已經集成了IVI翻譯技術，非常適合新建大規模純IPv6無線網接入。

對于基于IPv4的超算中心等改造成本較高的系統，可以采用雙重翻譯技術（IPv4即服務），通過CERNET2建一個純IPv6超算專網，直接利用超算內部的私有IPv4地址。這樣，不用改造應用系統，超算中心對外特性也將展示為IPv6。

發展與安全同步

要做到發展與安全同步，首先要關注IPv6的網絡空間安全。

針對互聯網長期缺乏有效的真實源地址驗證，使得假冒源地址橫行的重大安全隱患，清華大學提出下一代互聯網真實源地址驗證體系結構SAVA，支持互聯網真實源地址的精確定位和地址溯源，突破了下一代互聯網體系結構的安全可信關鍵核心技術，并推動IETF成立專門工作組SAVI。近日，基于SAVA已取得的研究成果，更進一步推動IETF在路由域成立SAVNET工作組，聚焦于互聯網域內和域間的源地址驗證技術。將SAVA技術落地落實，是當前高校在網絡安全方面應重點關注，全力部署實施的工作。

在網絡安全方面，IVI翻譯技術同樣可以起到非常重要的作用。現階段，IPv6網絡安全的挑戰性相對較大，但IPv4經過時間和實踐的千錘百煉更加安全。考慮到這一點，在IPv6安全保障上，我們可以采取這樣的思路：通過虛擬的翻譯技術，將IPv6的網絡安全問題轉化為更成熟的IPv4安全保護，大幅降低安全保障難度。

可以將IPv6網絡和IPv6主機之間的防火墻設想成一個“盒子”，盒子內部是具有雙重“虛擬翻譯”功能的IPv4防火墻。防護的過程是，將IPv6映射成IPv4，經過IPv4的防火墻，再映射成IPv6。這樣，就可以讓純IPv6網絡充分利用IPv4成熟的安全保障能力。如此一來，按照原IPv4安全等保等級，只要IPv4不被黑，IPv6就不可能被黑。實際上，用這種方法設計的IPv6防火墻，并不一定真的采用IVI翻譯設備，而是充分利用了IVI技術的翻譯思路。

跨越式發展

在IPv6部署中，要關注“切片”技術。IPv6海量的地址意味著切片是IPv6最顯性的技術特征之一。比如，可以利用切片技術為校園網保安全。

傳統的校園網在安全管理上，通常采用“糖葫蘆”式的串通方式，在校園網的出口處設置各種安全設備。而高校有聯網、高性能、安全、科研等多方面的網絡需求，采用“串聯”的方式很難滿足所有需求，并存在不少安全隱患。

我們可以將校園網的需求進行如下分類。

用戶上網：包括有線、無線（多SSID）上網；

信息系統：學校的信息系統通常在校園內部專網使用；

視頻系統：用于教學、研討，在常態化疫情防控下，視頻系統的使用需求更多；

對外宣傳：也就是通常的學校網站；

科學研究：包括超算專網、存儲專網、備份專網等；

物聯網：包括門禁專網、視頻監控專網、井蓋專網等。

有了清晰的分類，就可以按照網絡切片的思路將高校各種校園網需求拆分，進行功能定制和分區，并行地處理這些“安全切片”，滿足校園網的多種需求，同時保障網絡安全。此外，對于部分校園網功能需求，還可以采用外包方式保障安全。

IPv6帶來創新機遇

打造創新空間

要實現創新，就要有相應的創新土壤，能夠讓這些創新生存，且茁壯成長。在IPv6的創新上，為激發年輕的工程師對IPv6的研究與應用，從2015年開始，CERNET網絡中心和賽爾網絡有限公司設立“賽爾網絡下一代互聯網技術創新項目”。創新項目自設立以來，共有來自370多所高校的8800余名師生提出1500余項申請；2015~2019年立項批復共680項（含滾動支持8項）；已申請專利262項、軟著299項，發表論文1100余篇。其中，完成了近500個可以在純IPv6網絡環境下運行的軟件應用系統、APP、網站以及硬件設備等不同形式和應用的科技創新成果。

圖2 互聯網核心技術演進

根據對313個項目組的調研，統計到參與創新項目的學生有1425人，除去在讀的100人，畢業后繼續從事互聯網和相關服務工作或者繼續攻讀互聯網相關專業的有1051人，比例高達79.3%。項目引導并激勵了大量專業人才從事互聯網行業關鍵技術研究或基礎研發等核心工作。調研結果顯示，高校和專家均認為創新項目實施在培養人才方面起到了巨大作用。

同樣從2015年開始，CERNET網絡中心開始舉辦“下一代互聯網技術創新大賽”。創新大賽自啟動以來，已成功舉辦五屆，吸引了全國高校積極參與，參賽項目廣泛覆蓋IPv6技術創新和應用創新等多個領域。五屆大賽共征集作品997項，參賽高校214所，雙一流高校參賽比例達39.7%，獲獎作品216項，申請知識產權300余項，已成為國內IPv6領域的知名賽事。

創新大賽通過改進專家評審機制、完善賽制、與創新項目結題驗收緊密結合等，不斷探索、調整、改革、提高、創新，初步建立起校企協同育人機制。今年，教育部正式將大賽納入首屆IPv6技術應用創新大賽科教賽道，期待大賽能進一步激發高校學生在下一代互聯網領域的創新創業能力，培養下一代互聯網創新人才，也期待大賽對“純IPv6”創新成果給予更多關注。

把握時代機遇

互聯網技術發展日新月異，如果以十年為一個周期，在互聯網的不同發展階段，有著不同的代表性技術熱點。1970年代，最重要的技術是NCP；1980年代，最重要的技術是TCP/IPv4；1990年代，是DNS和BGP；2000年代，WWW出現，最重要的技術則是HTTP；2010年代，因受斯諾登事件影響，加密的HTTPS廣受關注。

那么進入2020年代，最核心的技術究竟是什么？有兩個問題值得我們思考：一方面，IPv6相關技術模式會不會是下一個十年的技術熱點？另一方面，中國的互聯網工作者能否把握住全球網絡信息技術加速創新變革、信息基礎設施快速演進升級的歷史機遇，成為未來互聯網核心技術的主要貢獻者？這樣重大的互聯網發展時機不容我們錯過。

當前，我國正加緊推進IPv6規模部署的國家戰略。IPv6規模部署工作，不僅僅是向下一代互聯網的演進升級，更是加快網絡強國建設、贏得未來國際競爭新優勢的緊迫要求。我們要以這樣的戰略高度來看待IPv6發展，力求為“突破核心技術，建設網絡強國”貢獻力量。為此，建議把握和落實以下三點：一是國際標準的制定權，如參與互聯網RFC標準制定，參與IPv6核心技術標準制定；二是國際組織的話語權，如參與IETF、競選IAB等組織的任職；三是基礎設施的掌控權，如對IPv6互聯網、路由、域名等基礎設施的掌控。