技術(shù)
導(dǎo)讀:IPv6的到來解決了IPv4地址緊缺的問題,但也帶來了其它新的問題,IPv6的設(shè)計(jì)上解決了很多IPv4在實(shí)際使用中遇到的痛點(diǎn)問題,這讓很多人忽視了問題的存在,這也是IPv6一直沒有得到廣泛推廣和使用的原因之一。
任何事物都有其兩面性,技術(shù)也不例外。IPv6的到來解決了IPv4地址緊缺的問題,但也帶來了其它新的問題,IPv6的設(shè)計(jì)上解決了很多IPv4在實(shí)際使用中遇到的痛點(diǎn)問題,這讓很多人忽視了問題的存在,這也是IPv6一直沒有得到廣泛推廣和使用的原因之一。
首先是地址長(zhǎng)度,IPv6地址長(zhǎng)度是IPv4地址長(zhǎng)度的四倍,達(dá)到128個(gè)BIT。這樣,源IP加上目的IP就有256個(gè)BIT,32字節(jié)。IPv6的報(bào)文頭部固定長(zhǎng)度是40字節(jié),是IPv4報(bào)文頭部長(zhǎng)度的兩倍,如果有擴(kuò)展頭,IPv6報(bào)文頭部就更長(zhǎng)了,最多可達(dá)120字節(jié),這意味著在IPv6網(wǎng)絡(luò)中,每轉(zhuǎn)發(fā)一個(gè)IPv6報(bào)文,都需要攜帶一個(gè)IPv6報(bào)文頭。單位長(zhǎng)度內(nèi)可傳遞的數(shù)據(jù)就少了,因?yàn)镮Pv6的報(bào)文頭部要占更多部分,IPv6之所以報(bào)文頭部要設(shè)計(jì)為固定長(zhǎng)度和可選頭兩部分,就是充分考慮到這一點(diǎn),沒有必要的功能放到可選頭中,這樣可以縮短IPv6報(bào)文頭部的長(zhǎng)度,節(jié)省網(wǎng)絡(luò)帶寬。
即便這樣,IPv6的頭部還是要比IPv4頭部多出至少20個(gè)字節(jié),如果按最小64字節(jié)來計(jì)算,20/64=31%,多浪費(fèi)31%的網(wǎng)絡(luò)帶寬,如果按最大1518字節(jié),20/1518=1.3%,浪費(fèi)1.3%的網(wǎng)絡(luò)帶寬,所以在相同的網(wǎng)絡(luò)環(huán)境中,IPv6的數(shù)據(jù)傳輸效率是下降的,要為IPv6多做一些預(yù)留才行,最好在IPv6部署的時(shí)候增加一定網(wǎng)絡(luò)帶寬。
其次是兼容性問題。IPv6開發(fā)人員承認(rèn),IPv6的最大失誤在于它沒法向后兼容?;ヂ?lián)網(wǎng)工程協(xié)會(huì)曾表示說,它在開發(fā)IPv6過程中最大的失誤就是沒有提供對(duì)IPv4的向后兼容性,IETF的領(lǐng)導(dǎo)人也承認(rèn),13年前他們制訂這個(gè)行業(yè)標(biāo)準(zhǔn)時(shí),在確保原生IPv6設(shè)備與IPv4設(shè)備的通信暢通這一點(diǎn)上確實(shí)做得還不夠。這樣的設(shè)計(jì)使得IPv6與IPv4無法兼容,是完全不同的兩張網(wǎng)絡(luò),IPv6的實(shí)施就相當(dāng)于網(wǎng)絡(luò)做一次整體搬遷,包括生產(chǎn)商的研發(fā)技術(shù),網(wǎng)絡(luò)產(chǎn)品對(duì)于ISO第三層通信規(guī)則,IPv6地址全球分配,IPv6的網(wǎng)絡(luò)安全性能等方面都需要重新考慮,這對(duì)現(xiàn)有的IPv4網(wǎng)絡(luò)沖擊很大。好在標(biāo)準(zhǔn)后來又設(shè)計(jì)了一些IPv4與IPv6網(wǎng)絡(luò)互通的協(xié)議,以便可以讓兩張網(wǎng)互通與融合,這些技術(shù)徹底打消了很多人對(duì)IPv6的顧慮。
但是,畢竟是兩張網(wǎng)同時(shí)存在,IPv4和IPv6兩網(wǎng)融合采用的是雙棧和隧道機(jī)制,這樣不僅部署起來網(wǎng)絡(luò)變得異常復(fù)雜,還帶來了更多安全隱患。攻擊者可以利用雙棧機(jī)制中兩種協(xié)議間存在的安全漏洞或過渡協(xié)議問題來逃避安全監(jiān)測(cè)乃至實(shí)施攻擊行為,IPv6中仍保留著IPv4的諸多結(jié)構(gòu)特點(diǎn),如選項(xiàng)分片和TTL等,這些選項(xiàng)依然存在受攻擊的威脅,一些從上層發(fā)起的攻擊如應(yīng)用層的緩沖區(qū)溢出攻擊和傳輸層的TCP SYN FLOOD攻擊等在IPv6網(wǎng)絡(luò)中并未解決。由于IPv6設(shè)計(jì)之初忽略了IPv4使用的廣泛程度,IPv4的使用深入人心,不可能用IPv6網(wǎng)絡(luò)一次性替代掉,這就需要考慮兩網(wǎng)融合問題,兼容性隨之而來。
第三是安全性問題。IPv4的網(wǎng)絡(luò)安全問題就較多,但I(xiàn)Pv6在被設(shè)計(jì)為標(biāo)準(zhǔn)時(shí),安全問題還不那么突出,所以IPv6雖然增加了安全方面的考慮設(shè)計(jì),但并不完善。同時(shí),因?yàn)镮Pv6全新的網(wǎng)絡(luò)協(xié)議設(shè)計(jì)又帶來了新的安全問題,這些在設(shè)計(jì)之初并沒有充分考慮到,這使得IPv6面臨的安全威脅比IPv4時(shí)代還要嚴(yán)重。
PKI密鑰的管理在IPv6中是懸而未決的新問題,組合擴(kuò)展頭和分片會(huì)妨礙數(shù)據(jù)包檢測(cè),IPv6分片可能被惡意利用。IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備,但這方面的設(shè)備應(yīng)用并不成熟,沒有跟得上IPv6發(fā)展的腳步,若此時(shí)上IPv6,無疑會(huì)將整個(gè)網(wǎng)絡(luò)暴露。IPv6路由協(xié)議仍需在實(shí)踐中完善,例如IPv6組播功能僅僅規(guī)定了簡(jiǎn)單的認(rèn)證功能,還難以實(shí)現(xiàn)嚴(yán)格的用戶限制功能,而移動(dòng)IPv6也存在很多新的安全挑戰(zhàn)。在IPv6和IPv4共存的網(wǎng)絡(luò)中,網(wǎng)絡(luò)會(huì)同時(shí)存在兩者的安全問題,或由此產(chǎn)生新的安全漏洞。已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時(shí)出現(xiàn)的一些安全漏洞,例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的局域網(wǎng)網(wǎng)絡(luò)資源,攻擊者可以通過安裝了雙棧的使用IPv6的主機(jī),建立由IPv6到IPv4的隧道,繞過防火墻對(duì)IPv4進(jìn)行攻擊。IPv4和IPv6的融合網(wǎng)絡(luò),不僅擁有兩者的安全問題,還帶來了新的融合上的新安全問題,在網(wǎng)絡(luò)安全受到人們普遍關(guān)注的社會(huì)背景下,這不得不引起人們的警惕,成為IPv6推進(jìn)進(jìn)程中的絆腳石。
除了以上的介紹,IPv6在實(shí)際應(yīng)用中還有“天窗”的問題,就是當(dāng)網(wǎng)頁(yè)包含其它網(wǎng)站內(nèi)容的鏈接,即使采取雙棧技術(shù)路線,但被引用的其它網(wǎng)站未升級(jí),IPv6用戶訪問該網(wǎng)站時(shí)會(huì)出現(xiàn)響應(yīng)緩慢,部分內(nèi)容無法顯示,部分功能無法使用等情況。IPv6地址過長(zhǎng),不好記憶,實(shí)際是根本無法很好地記憶。眾所周知,相比2G/3G/4G標(biāo)準(zhǔn)方面的落地,我國(guó)在5G標(biāo)準(zhǔn)方面已經(jīng)走在了世界前列,部分標(biāo)準(zhǔn)都是由我國(guó)的廠商提出的,但I(xiàn)Pv6實(shí)際上還是西方國(guó)家提出的,我國(guó)只是引進(jìn)而已。IPv6的地址是海量的,實(shí)際分配給我國(guó)的并不多,中國(guó)擁有占世界20%的人口,卻只分到IPv6地址的2%,比IPv4時(shí)好些,但依然不充裕。
總之,與IPv4相比,IPv6確實(shí)解決了很多大問題,但I(xiàn)Pv6也要面臨一些新問題,并非一勞永逸,對(duì)IPv6的引入我們要持有謹(jǐn)慎態(tài)度,結(jié)合自己的網(wǎng)絡(luò)實(shí)際情況去部署。現(xiàn)在,從國(guó)家層面強(qiáng)推IPv6,很多問題還是顯現(xiàn),急需找尋一些解決之道,針對(duì)IPv6標(biāo)準(zhǔn)固有問題,在設(shè)計(jì)之初沒有考慮到的,可以再行優(yōu)化。這幾年有人提出IPv9,尤其在我國(guó)這種呼聲很高,希望我國(guó)在IP網(wǎng)絡(luò)標(biāo)準(zhǔn)設(shè)計(jì)上取得領(lǐng)先優(yōu)勢(shì),或許這個(gè)標(biāo)準(zhǔn)離我們還很遙遠(yuǎn),但是搞出一個(gè)IPv6+標(biāo)準(zhǔn)還是有可能的,專門去解決IPv6推進(jìn)過程中遇到的新問題,讓我們拭目以待。