IPv4到IPv6的橋樑 Dual stack、Tunnel技術逐漸興起

1900-01-01
IPv6的未來走向已經逐漸明朗,那就是取代IPv4成為下一代網路通訊協定。不過就算在網路科技領先全球的美國,企業也不見得已經開始導入支援IPv6的各項應用。甚至有些企業可能要到2010年左右才會開始正視IPv6的問題。

基本上,一般企業都相信,翻新網路架構與伺服器來採用IPv6,可以加快網路的傳輸效率以及建立更安全、穩定的網路環境,因為IPv6可以帶來更多的IP數量,足以應付網路設備、行動電話等管理需求。

IPv6的出現,預計會讓現有IPv4的網路世界逐漸改觀,不過在達到那一階段之前,還有許多階段必須跨越。目前有個技術名詞稱為「dual stack」,宣稱可以同時實現IPv4與IPv6共存的理想,不僅用戶終端、路由器與交換器可以同時執行兩種協定的運作,而且還能預設以IPv6為優先。

一般而言,dual stack技術上是要完成網路核心到邊際之間的溝通,讓兩種TCP/IP協定可以在WAN的核心路由器、周邊路由器、防火牆、伺服器群集路由器,最後到用戶終端都能運行無阻。等到這些網路基礎建設都支援兩種通訊協定之後,接下來就換伺服器和終端電腦系統了。

另一方面,還有一個相關的技術名詞叫做「tunnel」技術,它是指讓一項協定整合進入另一項協定之中。這種通道技術是將IPv6封包包覆在IPv4的封包裡,好讓這些封包可以傳送到部分尚未升級為IPv6的網路區段。

其他相關技術像是NAT-PT(Network Address Translation-Protocol Translation)則只是單純地將IPv6封包轉換為IPv4封包,執行起來還比IPv4 NAT還要複雜許多,因為這些協定的表頭格式並不一樣。因此,使用dual stack和tunnel的方法會比NAT-PT來得更實用。

以執行面來看,tunnel技術有兩種形式,一種是手動設定,另一種為動態設定。手動設定IPv6必須在訊號兩端都做好相關的設定,而動態tunnel則是只要做好封包的目的位址和路由設定,就能自動完成。事實上,tunnel技術向來都有安全上的顧慮,例如動態tunnel技術很難去追蹤在暫時性tunnel上的通訊來源是誰,而且也難以得知tunnel的終端指向何處。當你的路由設備與其他尚未認證過的路由器進行溝通時,其實不是一件令人放心的事。

此外,如果有人想傳送偽裝的流量到tunnel的終端,假裝成tunnel內正在傳送的某種流量,實際上也能辦得到。tunnel所形成的環境是封閉式的,而且絕大多數的防火牆在tunnel流量經過時,通常不會去檢查其內容。換言之,讓IPv6包覆在IPv4裡來穿越防火牆,就安全層面其實不是一件好事,因為如此一來防火牆等於完全失去其原本的管控能力。

雖然tunnel只是一項過渡性的技術,但是在充滿tunnel的網路環境裡想要解決任何問題技術上都是極大的挑戰。不過或許它也不是那麼令人擔心,畢竟作為一項過渡時期的應用,等到IPv6網路世界逐漸成熟之後,它將逐漸在網路世界裡消聲匿跡。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!