IPv6隧道代理的設計和實現

2019-11-03 09:09:33

字體：大中小

來源：轉載

供稿：網友

陳茂科劉鑫黃輝嚴程李星　　摘要隧道技術為ipv6端到端的分組穿越廣泛分布的IPv4 Internet提供了虛擬鏈路。手工配置隧道效率很低，不適應于用戶較多情況下IPv6虛擬網絡的配置管理。隧道代理(TunnelBroker)技術實現了隧道的自動配置和管理。本文實現的隧道代理系統在可擴展性方面進行了改進。該系統已經在CERNET IPv6試驗床上使用。

　　關鍵詞隧道隧道代理 IPv6演進

1 引言

　　IPv6(Internet PRotocol Version 6)［1］是面向下一代Internet設計的網絡層協議。由于IPv6和IPv4的報文格式并不兼容，人們設計了多種過渡機制，令IPv6能夠在今天廣泛使用的IPv4基礎設施上實現虛擬網絡互連［2］。隧道(tunneling)技術由于滿足IPv6端到端通信的要求得到廣泛的使用。無狀態的隧道技術——6 to 4需要特定的地址空間(2002::/16)，形成的虛擬網絡規模單一(只有/48)［3］，而拓撲結構又太過于自由——任何兩個IPv4節點之間都可以隨時使用6 to 4的無狀態虛擬鏈路，不適用于自治系統(AS)內有層次的IPv6網絡的組織，而且IPv6其網絡標識也依賴于IPv4的地址。因此在很多場合下，有狀態的隧道技術［4］仍然得到重視，并且廣泛應用于今天的IPv6試驗網絡和早期商用網絡。

　　“隧道”技術的核心是把IPv6的報文封裝在IPv4的報文中，使用現有的支持IPv4的互聯網傳送IPv6的報文。如果兩個IPv6節點A和B之間建立了一條隧道，那么當節點A要向節點B發送IPv6報文時，它把IPv6報文封裝在以節點B的IPv4地址為目的地址的IPv4報文中發送出去，節點B收到此報文后則解除IPv4封裝，取其中的IPv6報文放入自己的IPv6協議棧。因此，一條隧道的配置至少隧道兩端交換各自的IPv4地址信息。對于有狀態隧道的配置而言，兩對參數需要由雙邊網絡管理員相互約定、手工配置和維護。管理工作量大、工作效率低、容易出錯。盡管相對于無狀態的6 to 4技術來說，有狀態隧道技術有上面提到的優點，它的應用卻因為上述手工配置的缺點而受到很大限制。一般，只在大網之間進行IPv6互連并且隧道的數目并不太多的時候，才會考慮采用手工方式管理和配置隧道。

　　因此，對于用戶比較多的中等規模的ISP以及最終的網絡來說，實現隧道的自動配置管理是很有必要的。隧道代理(Tunnel Broker)是實現這種自動配置管理的技術。RFC3053描述了隧道代理的基本原理和構成框架［5］，具體實現時一般需要對細節部分進行重新設計。本文討論為中國教育和科研計算機網(CERNET)IPv6試驗床［6］主干網設計的隧道代理模型和軟件實現的要點，著重闡述該設計不同于RFC3053的部分以及導致這些不同的原因。相對于早期的簡化原型實現［7］，現在運行的系統則完善了RFC3053涉及的所有主要功能模塊，并在提高系統的可擴展性方面進行了重要的改進。實際的運行表明，本文所設計的隧道代理系統能夠適應CERNET主干網以下快速組建簡單IPv6虛擬網絡的需要。

2 CERNET IPv6隧道代理系統的特點

　　RFC3053描述了隧道代理系統的主要構成和基本工作原理，但是并沒有規定所有的實現細節；而對于其規定的部分，也并不一定適用于任何具體環境的需要。因此在設計實現隧道代理系統之前，必須給定設計的目標和界限，以確定對于RFC所建議的各項功能，是遵照實現還是進行調整、省略或增加。

　　在CERNET IPv6試驗床上實現隧道代理的服務系統，是希望這個系統能夠在試驗床的學生實驗部分的網絡中擔負NLA(Next-Level Aggregation)級別的地址分配和主干網接入，提供虛擬鏈路以及默認路由。因此，這樣一個系統具有以下不同于一般隧道代理系統的特點。

　　首先，該系統是在主干網上運行的，這意味著系統的用戶很可能不是簡單的最終節點，而是不同規模的IPv6網絡。這要求系統除了能夠實現RFC3053提到的分配各種大小的網絡前綴以外，還要能夠妥善管理可供使用的地址空間，能夠有效而經濟地使用。因此，系統設計中增加了地址池(address pool)管理的功能。所實現的用戶接口也允許用戶選擇希望擁有的地址塊大小，考慮到IPv6地址空間聚類的要求［8］，系統默認允許分配/48、/64和/128三種網絡前綴；然而鑒于該建議并非強制的，所以允許不同的網絡提供者在管理隧道代理系統的時候根據自己對IPv6地址聚類的理解配置地址池允許的使用方式。

　　其次，該系統的使用環境是教育和學術網絡，由于IPv4地址資源的緊張，在這樣的網絡中動態分配IPv4地址的技術，如DHCP［9］以及撥號網絡等，已經廣泛使用。換言之，同一用戶的IPv4地址很可能不是永久的，而是經常變化的。而IPv6地址空間的擴大提供了足夠的空間，使得每個用戶有理由獲得至少一個相對恒定的IPv6地址。這意味著在CERNET的隧道代理系統當中，必要將IPv6的地址同用戶的唯一標識相關聯。而不是像一般的做法那樣，將隧道的IPv6地址同它的IPv4地址相關聯。這么做還會帶來另外一個好處，即當用戶變換其在IPv4基礎網絡中的位置的時候，它還能夠使用同一個IPv6的地址訪問全球的IPv6網絡。RFC3053提到這種要求并建議了幾種解決的辦法，并不是十分理想。本文的工作則通過分離隧道注冊和隧道激活的過程，充分利用隧道注冊數據庫來實現了這種功能。

　　系統同時遵循RFC3053的要求，為用戶分配域名，同其相對恒定的IPv6地址相綁定。作為對RFC3053的一個擴展，系統同時具有對所分配的地址或地址塊提供反向名字解析的功能。

　　第三，該系統提供的服務是試驗性質而非商業運營，因此用戶信息的法律問題、隱私問題、安全問題都不在重視的問題之列，也不要求用戶填寫復雜的地址使用注冊表。相反，本系統強調提供快速組建IPv6虛擬網絡的能力，效率即體現在服務端處理請求方面，也體現在用戶端的操作方面。因此，在本系統設計中，不要求用戶提交過于詳細的注冊信息，而是按照最少必要的要求規定用戶必要提供身份標識、口令、請求的IPv6主機地址或網絡前綴以及它的IPv4網絡地址。用戶的鑒權通過標識和口令的機制來實現。

　　系統采用C語言編寫，以獲得更高的執行效率和良好的可移植性。系統遵循RFC3053的建議，為客戶端提供可以自動運行的腳本程序，以進一步簡化隧道建立和維護的人工干預。

3 設計和實現

　　本隧道代理系統采用了客戶/服務器模式。對隧道代理用戶來說，整個系統是一個黑盒子，它接受用戶的請求，執行用戶需要的操作，然后向用戶返回執行結果。如圖1所示。

圖1 隧道代理系統工作模型

3.1 基本工作單元

　　整個隧道代理系統的服務端由4部分組成，圖2顯示了圖1中黑盒子的細節。

(1) 隧道服務器

　　隧道服務器的功能是提供到IPv6互聯網的實際接入。在一個隧道代理系統中，隧道服務器可以有若干臺，均接在IPv6互聯網上并且同時支持IPv6和IPv4協議，用戶與隧道代理系統之間的IPv6/IPv4隧道實際上是建立在用戶的路由器或者主機與隧道服務器之間。隧道服務器通過監聽某一特定TCP端口的進程來接受從隧道代理前端發來的指令，建立或者撤銷與用戶之間的IPv6/IPv4隧道。在隧道建立的同時，隧道服務器上的IPv6路由表也會做相應的修改，使得到用戶所獲得IPv6地址的路由指向用戶的路由器或者主機；如果撤銷隧道，同時也撤銷到用戶所獲得IPv6地址的路由。同時，隧道的建立和刪除均有記錄，這樣可以使得隧道代理服務器能夠在任何時候恢復與用戶之間的隧道，從而保持與整個隧道代理系統相一致的狀態。

(2) 隧道信息數據庫

　　隧道信息數據庫是保存所有重要數據的地方。保存在隧道信息數據庫中的信息包括：

· 用戶注冊信息：用戶的唯一身份標識、用戶口令。

· 用戶狀態信息：是否已建立隧道、上一次向隧道代理系統發送請求的時間、用戶當前使用隧道的IPv4和IPv6地址。

· 隧道代理系統的IPv6地址分配策略：地址池信息、允許分配給主機和網絡的前綴。 在實現上，數據庫管理系統選擇的是MySQL，其主要考慮是因為MySQL是一個運行在linux和FreeBSD平臺上的代碼公開的免費數據庫系統，同時又完整實現了關系數據庫管理系統和SQL語言的全部標準。在具體編制C程序的時候，所有MySQL的API函數均封裝在一套自定義的數據庫操作函數中，這樣大大增強了系統的可移植性：如果以后采用其它關系數據庫管理系統，只需要重新定義這些數據庫操作函數，而不需要再更改隧道代理系統的其它部分和數據庫操作有關的代碼。

(3) 域名服務器

　　域名服務器主要用來負責解析分配給每個用戶的指向其某個IPv6地址的域名。同時，考慮到用戶內部IPv6子網上的機器很有可能沒有IPv4地址、無法使用IPv4網絡中的域名服務器，此域名服務器配置為一臺同時支持IPv4和IPv6的機器，以便用戶的計算機可以通過IPv6使用此域名服務器的域名解析服務。

　　考慮到域名是非常有用的網絡資源之一，隧道代理系統只給每個用戶分配一個域名，而不給獲得較大IPv6地址塊的用戶分配子域，因為子隧道代理系統完全無法控制用戶對其子域的使用。

　　在本隧道代理系統中，用于提供域名服務的軟件是BIND9。本系統的設計同時提供反向域名的解析和動態更新，這能夠適應客戶網絡中某些需要驗證域名和地址一致性的場合。

(4) 隧道代理前端

　　隧道代理前端是整個隧道代理系統與用戶交互的部分，同時也是整個系統的核心控制部分。它通過HTTP協議與用戶交互，接受用戶的請求，控制隧道代理服務器等部分完成必要的操作，然后向用戶返回操作執行的結果。如果用戶是通過WWW瀏覽器發送的請求，則返回結果為完整的HTML頁面；如果用戶是通過使用隧道代理客戶端程序發送的請求，則返回結果為一個特定格式的字符串。

　　隧道代理前端接受用戶的如下請求：

· 查詢隧道代理系統信息，包括域名服務器的IPv6地址、可分配哪幾種大小的IPv6地址塊等；

· 注冊/撤銷賬號；

· 修改注冊信息(包括用戶密碼)；

· 查詢用戶注冊信息；

· 建立/撤銷IPv6/IPv4隧道；

· 查詢用戶當前狀態。

　　隧道代理前端的軟件主要由Apache服務器、一組CGI程序以及HTML頁面組成，通過WWW服務的方式提供客戶的訪問。

　　為進一步實現隧道操作的自動化，隧道代理系統還提供一個客戶端程序供運行Linux或者FreeBSD操作系統的用戶使用。如果用戶通過用WWW瀏覽器發送請求的方式建立或者撤銷隧道，雖然隧道代理系統能夠自動完成服務器一方的隧道設置，用戶卻還需要手工完成自己一方的隧道設置。隧道代理客戶端程序的作用就是幫助用戶完成本地的隧道設置。如果用戶使用隧道代理客戶端來發送操作隧道的請求，它就可以完成所有本地隧道配置和IPv6缺省路由設置的工作。并且，用戶可以把使用隧道代理客戶端建立/撤銷隧道的命令寫到啟動/終止腳本里去，這樣一開機就能自動接入IPv6互聯網。

客戶端程序仍然是通過訪問隧道代理系統的WWW服務實現的。

3.2 隧道代理系統的工作流程

圖2 隧道代理模型的構成和工作流程

　　圖2同時描述了隧道代理系統的工作流程。用戶使用隧道代理系統之前必須先請求注冊(①)，由隧道代理前端根據地址分配策略和用戶的請求確定用戶的IPv6地址(②)，并動態更新域名解析(③)，然后再將名字和地址信息寫回數據庫(④)并給予用戶以應答(⑤)。用戶需要使用隧道時，再發出請求給隧道代理前端(⑥)，系統根據數據庫中提供的信息(⑦)向服務器發出隧道操作的指令(⑧)并將隧道狀態信息寫入數據庫(⑨)，最后通知隧道的用戶以完成隧道的設置(⑩)。

　　用戶獲得的IPv6地址可自由分配，并可隨時向隧道代理系統發出請求建立IPv6/IPv4隧道以接入全球范圍的IPv6互聯網、或者拆除IPv6/IPv4隧道以脫離IPv6互聯網。當不再需要使用隧道代理系統的時候，用戶可以注銷自己的賬號以歸還從隧道代理系統獲得的IPv6地址。

4 結束語

　　綜上所述，CERNET IPv6隧道代理系統的設計即遵循了RFC3053所提出的關于隧道代理的基本概念和基本結構，也為適應CERNET IPv6試驗床的需要進行了必要的改進。所實現的系統具有以下的特點：(1)實現IPv6地址池和地址分配策略的定制，適應于不同規模的ISP的需要；(2) 在動態分配IPv4地址的環境中保持用戶擁有固定的IPv6地址和域名，適應于IPv6地址時間上唯一性的要求；(3)不僅在服務器端實現自動配置和管理，也盡量提供客戶端自動配置的手段，進一步提高操作效率；(4)采用標準的C語言在Linux和FreeBSD平臺上實現，并且封裝了數據庫管理系統的API，整個系統易于移植到其它商用和非商用的UNIX類操作系統。　　自2000年開發出第一個測試版本［7］以來，隧道代理的系統經過在CERNET IPv6試驗床上使用測試后做了很大的改進，成為現在的版本。目前的隧道代理系統運行狀況良好。用戶反饋回來的主要意見集中在對網絡連通性的抱怨，這是和IPv4基礎設施的性能常常發生變化甚至出現故障有關的。因此，IPv6虛擬網絡的構成如何適應IPv4基礎網絡的環境條件以及這種條件的變化就成為下一步努力的主要方向。這種努力對于任何虛擬網絡互連的實踐也將具有重大的意義。

摘自《電信科學》

上一篇：推動IP網絡新應用

下一篇：基于搜索引擎的IPv6網絡分析