三　　IPv6的安全性

　　IPv6的设计者有一个很好的初衷，就是把未来的IP网络设计成一个具有安全保证的网络。所以，IPv6强制实施IPsec协议。

　　IPv6强制实施IPsec协议为部署端到端的安全性虚拟专用网络提供良好的支持。由于IPsec协议和IPv4是2套协议栈，并且NAT设备已经在现网上广泛部署的现实，现在的IPv4 IPsec VPN多应用于站点到站点之间，由IPv4的安全网关实现。而IPv6终端就可以利用自带的IPsec协议进行端到端的安全通信，而不需要考虑穿越NAT的问题。经过良好的规划和管理之后，安全的IPv6业务将成为IPv6网络的重要属性之一。

　　应用层安全协议（例如SSL）由于运行于IP协议之上，本身与IPv4、IPv6协议无关，所以在应用层协议方面，IPv4和IPv6协议没有本质区别。应用层安全协议比较适用于某些特定的应用（例如Web），而IPsec协议更为灵活，一旦建立了一个IPsec的安全通道，通信对端之间所有的流量都可以被IPsec保护。

　　目前Windows XP+SP2和Windows Server 2003操作系统已经支持IPv6的IPsec协议，但是不支持IPv6的IKE。Linux的内核2.6以上版本也支持IPv6的IPsec协议，并有第三方软件提供IKE协议支持。一些底端的路由器和防火墙产品也已经支持IPv6 IPsec协议。

    四　　IPv6的服务质量保证

　　IPv4报头中8比特的“业务类型”字段用来区分服务来保证不同级别的业务获得不同的服务质量，IPv6报头中，使用了8比特“流量类型（Traffic Class）”和20比特的“流标记（Flow Label）”字段以期待为IPv6业务提供更好的服务质量选项。

　　IPv6的“流量类型”字段用于源节点和中间路由器标识和区分不同IPv6数据包的类别或优先级，这一点与IPv4协议的“业务类型”字段的作用相似：为IP包提供不同形式的区分服务，而不用建立显式的数据流。

　　IPv6的“流标记”规范由新近的RFC3697定义。RFC3697在源节点与中继路由器之间根据三元组（流标记字段，源地址字段和目的地址字段）定义一个IPv6的数据流，以及中间路由器对IPv6 数据流的处理能力的最低要求。这个流标记规范提出了在数据流的源端主机应该为每一次独立的传输层连接，或者应用数据流指定一个新的IPv6数据流，并要求在数据流从源端到目的端的路径上所有的IPv6路由器都要根据这个IPv6 Flow采取拟定的策略。这就为在IPv6网络上每一跳路由器根据数据流的定义采取不同的PHB（Per-Hop Behavior）奠定了基础，也使得IPv6网络在采用DiffServ的同时，能够根据IPv6数据流提供颗粒度更细的服务质量保证。

　　但是RFC3697提出的IPv6流标记规范并没有指定如何在源端指定IPv6 数据流的值，以及每一跳路由器如何根据三元组对数据流进行处理。所以，本规范还需要进一步的完善和细化，并有待于在现实网络上部署的检验。

    五　　IPv6的网络和业务

　　1 IPv6的骨干路由表数目

　　由于IPv6地址采用了分级的结构，在恰当的地址分配策略下，IPv6的骨干路由表数目可以期待为远远低于IPv4的骨干路由表数目。

　　然后考虑到IPv6 Multi-Homing的影响，客户可以选择连接到不同的ISP并得到不同前缀的IPv6地址。例如客户同时连接到ISP A和ISP B，并分别从A和B获得一块IPv6地址。为了保证客户网络的连通性，运营商A必须要向外广播客户从运营商B处获得的IPv6地址块，同样运营商B必须要向外广播客户从运营商A处获得的IPv6地址块。这种Multi-Homing的情况会给IPv6的骨干路由表带来大量/48甚至/64的路由条目。这种如果不妥善解决，IPv6路由表可能超过IPv4中由于CIDR而产生的路由表爆炸的情况，甚至更糟。

　　2 IPv6数据包的处理和传输

　　IPv6的数据报头长为40个字节，相比IPv4的最小20个字节，表面看来路由器处理起来会更加复杂。实际上，由于IPv6的报头中去除了IPv4报头中的校验和、选项以及分段字段，使得IPv6报头更加简单，更有利用ASIC芯片的硬件处理。如果厂商对IPv6扩展报头也使用硬件处理的话，路由器对IPv6数据包的处理速度不会低于IPv4数据包。事实上，根据LightReading以及一些公开的测试结果表明，基于硬件转发的路由器在处理IPv6和IPv4无论是大数据包还是小数据包的情况，性能非常接近。

　　而IPv6的40个字节的数据报头长度的数据包，在链路上传输时的传输效率会略微低于IPv4数据包。例如在MTU为1500 Bytes的Ethernet链路上，IPv6的传输效率可以表示为（1500-40）/1500= 97.3%；而IPv4的传输效率可以表示为（1500-20）/1500 = 98.7%。对于MTU越大的传输链路，例如POS链路，这种传输效率的差别就越小。在硬件处理和传输带宽越来越进步的今天，这种差别对协议性能的影响几乎可以忽略不计。　　

　　3 IPv6的“杀手级应用”

　　目前IPv6的发展遇到的另一个非常重要的问题就是IPv6的业务。

　　电信产业已经从技术驱动的时代过渡到市场驱动的时代，IPv6也不例外。现在IPv6产业界研究和探讨的热点已经开始从单纯的IPv6技术和设备逐渐过渡到寻找IPv6的“杀手级的应用”。

　　诚然，IPv6具备一些“杀手级的属性”，正如前述的广阔的地址空间、对移动性以及安全性嵌入的支持等，而目前为止IPv6还没有产生属于自己的杀手级应用。不过下述的方面已经成为IPv6业务研究的热点：

　　1）IPv6的IPsec VPN业务。IPsec VPN作为一个安全的业务平台，可以为各种高层应用（例如机密的电子商务信息、VoIP和视频）提供数据完整性和机密性的保护。利用IPv6嵌入支持IPsec协议的优势，端到端的IPsec VPN业务将成为IPv6业务发展的重要推动力。

　　2）IPv6的P2P应用。IPv6的端到端特性为P2P应用提供了最基础的网络支持。Skype、BT等点到点通信软件的流行几乎是未来网络上典型应用模式的预演。而可控的、可运营的P2P应用模式与经营模式仍然是运营商需要研究的课题。

    六　　结论

　　IPv4地址在短期内不会被耗尽并不是说明IPv6协议没有很重要的研究、试验与部署的价值。相反，IPv4的继续健康的发展为IPv6协议的充分成熟，以及运营商积累更多的IPv6部署与运营的经验争取了宝贵的时间。毕竟，没有人会在IPv4地址完全耗尽的时候才开始研究下一代的IP协议。参与IPv4地址耗尽时间预测的APNIC的主席Paul Wilson本人也是IPv6协议的坚决拥护者，而被称为“Intenet之父”的科学家Vin Cerf的一个关于IP网的遗憾就是没有把IPv4的地址空间设计为128位。

　　显然的是，IPv4网络在继续修修补补的情况下，仍然可以渡过一个相当长的时间。但是大量的NAT设备破坏了Internet的可扩展性，带来了性能瓶颈，也增加了网络的复杂度。这样违背了互联网的最基本理念：简单。

　　IPv6并不能解决目前IPv4网络上面临的所有的问题。IPv6网络的服务质量仍然要寄希望于IPv4网络上已经在使用的差分服务或者MPLS TE、RSVP来保证，或者新生的还没有被详细定义的流标记使用规范；IPv6网络的安全问题仍然需要终端厂商、设备厂商以至软件开发人员定义详细的接口和规范。同时，现在的网络运营商还没有积累许多的运行大规模IPv6网络的经验。尤其重要的是，IPv6还没有一个完整的商业模型，来促使运营商对网络设备进行升级，对用户推广IPv6的新型业务。

　　幸好，IPv6已经成为未来安全的、有服务质量保证的全新IP网络的基本协议，并且它还有足够的时间来成熟和完善。

文章转载地址：http://cisco.chinaitlab.com/TCP/714208_2.html