IPv6和IPv4共存网络环境下的网络监管技术研究

[摘 要] 分别分析了IPv6 、Pv4 的特点，列举出IPv6 和IPv4共存网络环境下的监管难点，提出共存网络环境下的网络监管技术解决方案。该解决方案能够及时有效地发现网络运行中存在的问题，发送异常告警信息，从而实现对Pv6 和IPv4共存网络的有效管理。

[关键词] IPV6； IPV4； IPv6 和IPv4共存； 网络监管

[中图分类号] TP393 [文献标识码] A [文章编号] 1673 - 0194（2013）20- 0077- 02

网络监控是网络管理的重要内容之一，目前IPv4 上的网络监控系统，已经有了相当规模的应用，技术也日趋成熟。随着我国基于IPv6 的下一代互联网的建设和大规模部署，未来将在很长一段时间内维持IPv6和IPv4共存的网络环境，如何解决此网络环境下的保密监管技术是行业内的一大难题。

1 IPv4 、IPv6的特点

1.1 IPv4

IPv4 经过几十年的发展，各种技术已经非常成熟，基于IPv4 的应用也已经非常丰富。IPv4的主要特点是：地址长度是32位，面临地址枯竭；IPv4网络中路由系统的可扩展性面临考验，路由表急剧膨胀；IPv4包头长度为20字节，包含至少12个字段，大多数IPv4报文都不包括选项，某些路由器往往将带有选项的IPv4作为特例搁置起来；IPv4缺乏对移动和网络服务质量的支持；协议自身在安全性上不能保，容易遭受网络侦察、报头攻击、 ICMP攻击、碎片攻击、假冒地址、病毒及蠕虫等。

1.2 IPv6

与IPv4 相比， IPv6 主要有以下几方面的变化：

（1） 扩展地址和路由能力： 使用128 位地址长度，可编址网络节点数量得到充分的扩充；

（2） 简化了报文格式： 对数据报头进行了简化，以减少传输过程中处理数据报头的延时；

（3） IPv6增强了组播支持以及对流支持，为QoS控制提供了良好的网络平台；

（4） IPv6具有更高的安全性，可以对网络层的数据进行加密并对IP报文进行校验，保证端到端的安全。

2 IPv6 和IPv4共存网络环境下的监管难点

针对IPv4 &IPv6网络环境下存在的安全问题，需要解决的主要技术难点有：

（1） 如何防止IPv6向IPv4的攻击，此种攻击方式通常为IPv6绕过防火墙攻击IPv4；

（2） IPv6的网络段规模要远远大于IPv4网络段，导致不可能在短时间内做完整的漏洞扫描。攻击者可能将采用被动式域名系统（DNS）分析以及其它侦测技术来代替传统的扫描方法进行攻击，如何抵御攻击成为研究难点之一；

（3） IPv6自带的IPSec给数据包加密使得给现行的防火墙和NIDS遇到了很大的挑战，检测效率大大下降，因此如何有效解析IPv6安全进入IPv4网络环境成为本项目的研究难点之一。

3 IPv4和IPv6共存网络环境下监管技术解决方案

3.1 利用MPLS技术实现IPv6的过渡和共存

目前在MPLS骨干网中部署IPV6互联主要有以下几种方式：

（1） 客户边缘（CE）路由器上的Pv6隧道。采用客户边缘（CE）路由器上的隧道是部署MPLS网络上IPv6所用的一种最简单的方法，它不需要更改核心网中的服务商（P）路由器或与客户连接的服务商边缘（PE）路由器。但CE路由器需要升级到双栈模式，并配置其中一个IPv6 over IPv4隧道机制，IPv6域之间采用运行标准的隧道机制进行通信，在IPv4隧道上运行IPv6。

（2） 在IPv4 MPLS核心骨干网上以电路方式传输IPv6。在这种方式下，远端IPv6域间的通信在专用链路上运行纯IPv6协议，底层的机制对IPv6完全透明。IPv6的数据包通过Any Transport over MPLS或 EoMPLS来传递，IPv6路由器通过相应的ATM或以太接口来连接。

（3） 在运营商边缘路由器PE上的IPv6传输。在MPLS的PE路由器配置IPv6，即6PE技术，不需要升级运营商的核心网络，只要将PE路由器升级为mv6佃v4双栈且在连接核心网络的接口上运行MPLS即可，减少了对现有的数据的影响。IPv6转发通过标签交换完成，而无需使用IPv4隧道上的IPv6，也不需要使用其它第二层封装，从而通过网络提供本地IPv6业务，并随着IPv6用户的增长而进行扩展。

（4） 在MPLS网络中全面部署IPv6。该方案是将IPv4的MPLS核心网络升级到了IPv6，其核心网的控制平面需要升级到IPv6以支持在核心的IPv6路由和IPv6的LDP。如果需要提供IPv4/IPv6共存的服务，则需要双控制平面的支持。这可能是MPLS网络大规模应用IPv6后的发展方向。

这几种方式各有不同的特点，可以利用MPLS来实现向IPv6的过渡，是将多业务网络平面和下一代碑网络协议有机结合起来的手段之一。

3.2 基于Nagios 的实现监管

Nagios 监控系统有两种监测方式，一种是直接监测，即由监控服务器直接通过本地插件（ plugin） 发送监测指令并获取状态数据； 另一种是间接监测，即监控服务器和被监控对象之间不直接发送监测指令和状态数据，而是通过一个监测系统，由监测系统向被监测对象发送监测指令并将状态数据返回给监控服务器。本文只针对直接监控模式下的IPv6 网络监控进行研究。一个监控系统由监控服务器，监控对象和监控终端组成，在监控服务器上运行nagios 进程，由该进程定期调用插件访问远端监控对象，有些插件可以直接获取监控对象（ 主机或服务） 的状态信息，如check_http、check_dns 等； 有一些插件则通过访问监控对象上的，由返回状态信息，一般情况下，监控终端通过Web 形式访问监控服务器获取监控对象的状态信息，当出现异常现象，nagios 可以以邮件或者短信形式发送告警信息给网络管理人员。

4 结 语

本文利用MPLS技术实现IPv6的过渡和共存，借助nagios对IPv6 & Pv4 网络进行网络监控告警，可以及时有效地发现网络运行中存在的问题，及时发送异常告警信息，极大地提高了网络运行的质量。