IPv4 地址已耗尽,IPv6 涅槃重生:腾讯云IPv6改造综述

引言:近日,全球 IPv4 地址正式耗尽的消息刷遍各大技术媒体,IPv6 再一次被推到人们面前。IP,作为网络世界的通行证,其重要性不言而喻。IPv4 地址枯竭,IPv6 作为IPv4地址枯竭的解决方案,其在中国的发展历程是怎样的?产品环环相扣的腾讯云,是如何进行大规模 IPv6 改造的?「云加社区」特别策划「IPv6」系列专题,为你揭秘。关注「云加社区」公众号,回复“IP”,获取更多内容。(本文作者:秦振华,编辑:尾尾)

一波三折:IPv6在中国的发展历程
IP,作为网络世界的通行证,其重要性不言而喻。IPv4 在设计之初,没能考虑到后续互联网爆炸式的发展,更没能预测到物联网的发展,其有限的地址空间,必然带来地址枯竭的问题。IPv6能让世界上每一粒沙子都能拥有一个IP,它作为IPv4地址枯竭的解决方案,在20年前就已经和移动互联网一起走进了人们的视线。然而,由于种种原因,IPv6在华夏大地上却未能和移动互联网一起璀璨绽放。如今,5G时代拉开帷幕,国家再次吹响IPv6的集结号。近日,IPv4 地址正式耗尽,这一次,天时地利人和,IPv6必将重新焕发出勃勃生机。

那么,IPv6在中国的发展历程是怎样的?IPv6能否成为中国下一代互联网的大动脉,为万物互联谱写出美丽的篇章呢?

1.遥想1999年:不尽如人意
RIPE NCC(负责欧洲、中东和中亚部分地区的地区互联网注册管理机构)于1999 年首次进行IPv6 分配,到2019年正好过去了20年。20年前,IPv6也进入了中国,在随后的几年,国家也曾试图大力推广IPv6,但是却因诸多因素导致IPv6发展不尽人意,IPv6仅在教育网得到了推广和使用,和大众生活息息相关的移动互联网却渐行渐远。中国IPv6的使用率常年维持在2%以下,与全球范围内以及亚太地区IPv6的火热发展之势形成鲜明对比。

2.回首2017年:《推进互联网协议第六版(IPv6)规模部署行动计划》印发
当大多数人慢慢淡忘IPv6的时候,国家和政府却始终坚持在背后默默的努力。2017年11月,中共中央办公厅 国务院办公厅印发《推进互联网协议第六版(IPv6)规模部署行动计划》:

“大力发展基于IPv6的下一代互联网,有助于显著提升我国互联网的承载能力和服务水平,更好融入国际互联网,共享全球发展成果,有力支撑经济社会发展,赢得未来发展主动。

推进IPv6规模部署是互联网技术产业生态的一次全面升级,深刻影响着网络信息技术、产业、应用的创新和变革。大力发展基于IPv6的下一代互联网,有助于提升我国网络信息技术自主创新能力和产业高端发展水平,高效支撑移动互联网、物联网、工业互联网、云计算、大数据、人工智能等新兴领域快速发展,不断催生新技术新业态,促进网络应用进一步繁荣,打造先进开放的下一代互联网技术产业生态。

加快IPv6规模应用为解决网络安全问题提供了新平台,为提高网络安全管理效率和创新网络安全机制提供了新思路。大力发展基于IPv6的下一代互联网,有助于进一步创新网络安全保障手段,不断完善网络安全保障体系,显著增强网络安全态势感知和快速处置能力,大幅提升重要数据资源和个人信息安全保护水平,进一步增强互联网的安全可信和综合治理能力。”

3.聚焦2019年:关键事件出现
2018年,当5G已经逐渐成为街头巷尾一个时髦词汇的时候,比5G还重要的IPv6技术却还在角落苦苦挣扎。然而,到了2019年年底,IPv6不再沉默,有了突飞猛进的发展。

2019年,出现了关于IPv6的几个关键事件:

2019年4月,工业和信息化部印发了《关于开展2019年IPv6网络就绪专项行动的通知》(下称《通知》),《通知》明确了到2019年底中国IPv6的实现目标。如:获得IPv6地址的LTE终端比例达到90%;获得IPv6地址的固定宽带终端比例达到40%;LTE网络IPv6活跃连接数达到8亿;完成全部13个互联网骨干直联点IPv6改造;公有云厂商完成70%产品的IPv6改造。
2019年7月,南沙开发区管委会和下一代互联网国家工程中心宣布成立的创新中心,并规划在南沙部署运营一台国际IPv6根服务器。
2019年7月,推进IPv6规模部署专家委员会在2019中国互联网大会期间举办了2019中国IPv6发展论坛,并隆重发布了《中国IPv6发展状况》白皮书。
2019年11月,欧洲网络协调中心(RIPE NCC)确认全球所有43亿个IPv4地址已全部分配完毕。

二、突飞猛进:中国IPv6发展现状
高铁建设八横八纵,而IPv6建设则是云、网、端三管齐下。运营商、公有云厂商、CDN厂商、互联网厂商、政府部门都是本次IPv6改造的中坚力量。大家从最初的观望和懵懂中逐渐变得主动,相互扶持又相互赶超。物联网时代悄然来临之际,处在互联网和5G全球领先位置的中国再次开始了浩浩荡荡的IPv6改造。

于无声处听惊雷。经过短短两年的努力,中国IPv6改造已经取得了非常巨大的进展,尤其是电信运营商的网络基础设施已经完成了90%的改造,为IPv6的规模部署奠定了坚实的基础。

2019年7月,推进IPv6规模部署专家委员会发布的《中国IPv6发展状况报告》显示:

“截至2019年5月,中国电信、中国移动和中国联通城域网出口总流量达398.43Gbps,LTE核心网总流量达508.87Gbps,骨干直联点总流量达75.74Gbps,国际出入口的IPv6总流量达到80.45Gbps。

截至2019年6月,我国IPv6活跃用户数已达1.30亿。我国基础电信企业已分配IPv6地址的用户数达12.07亿。”
截止到2019年12月4日,国家IPv6发展监测平台(https://v6cngi.6aas.com)显示,中国IPv6发展指数已经达到了49.67。

三、渐入佳境:腾讯云IPv6改造
1.困难重重:腾讯云产品环环相扣,IPv6改造挑战极大
腾讯在IPv6已经具备多年的实践经验和技术积累,是国内IPv6的实践先行者。2011年腾讯和教育网合作搭建了自己的IPv6实验平台,用于旗下各个业务进行IPv6的实验和试点。

但是,腾讯云的IPv6升级,面临着非常大的挑战:腾讯云有超过50个大类的产品、100多款子产品,涉及计算、存储、网络、数据库、安全、物联网、智能AI和大数据等等,有IaaS类产品,有PaaS类产品,还有SaaS类产品,产品迭代周期快,各个产品又相互依赖,尤其是对网络产品和平台的依赖。最大的难点是不同产品依赖的网络通信架构不同,尤其是对网络产品的依赖,而网络产品又依赖于底层网络,需要环环相扣,纵深前进。

于是,项目组认真梳理关联关系,制定了详细的Roadmap和实施计划,并逐步按照这个计划执行。腾讯云产品整体改造的Roadmap主要分成了以下四个阶段。

第1阶段:通过IPv6 NAT64过渡技术,结合DNS支撑IPv6平滑升级
第2阶段:私有网络、子网、云服务器、弹性网卡、负载均衡、内容分发支持双栈
第3阶段:DDoS高防、安全组、IP地址库、WAF、HTTPDNS支持双栈
第4阶段:CDB、COS、API网关等IAAS类,安全、大数据、物联网等PAAS类产品支持双栈

事实证明,这种纵深的打法非常有效,各个产品改造节奏清晰明快。在2019年6月前,我们完成了私有网络、子网、云服务器、弹性网卡、内容分发等产品的IPv6改造。

在2019年9月前,我们完成了DDoS高防、安全组、IP地址库、WAF等产品的IPv6改造。

2.厚积薄发:荣获科学技术一等奖
厚积才能薄发,2019年11月19日,中国通信学会公布2019年“中国通信学会科学技术奖”评选结果,腾讯和中国移动、中国信通院、华为的联合项目《移动互联网IPv6技术攻关及规模应用》荣获一等奖大奖,其中基于IPv4/IPv6双栈的超大型云平台的分布式SDN云网络技术、基于四维一体的双栈智能防御体系DDoS等安全防御技术等创新技术获得高度认可。

腾讯云目前已完成云主机、VPC网络、负载均衡、域名解析、内容分发、DDoS等40余款的IPv6产品改造工作,并计划在年底完成大数据、物联网、音视频等PaaS产品的IPv6改造。

业务层面,腾讯云目前已支撑腾讯视频、腾讯新闻、QQ浏览器等云上应用接入IPv6的用户数超过1.5亿,腾讯已经成为全球拥有最多IPv6用户的企业之一。
四、越战越勇:腾讯云平台IPv6改造的挑战与创新
1.挑战
所谓兵马未动,粮草先行,基础网络设施和支撑平台就是我们的粮草。IPv6产品改造前需要完成底层网络的改造。

2012年腾讯在深圳的BGP出口接入教育网IPv6 BGP,为自有业务提供IPv6服务。后来又在深圳、上海、天津等和运营商进行了对接,用于业务测试。只是当时受限于运营商网络和用户数量低,IPv6业务并没有大规模上量。

腾讯云目前已开放 25 个地理区域,运营 53 个可用区;仅国内就有数十个BGP出口、几十个园区需要改造,改造的工作量和难度非常大。但是很幸运的是,作为国内最早部署IPv6的先行者之一,腾讯云在核心网络和公网出口改造方面积累了比较多的经验。正是有了这些经验,让我们BGP出口改造进展较快,在2019年年初,已经基本完成国内主要出口的改造。在2019年下半年,我们又启动了部分海外公网出口的改造,力争能够在2019年年底完成部分海外城市的改造和产品上线,让出海企业更早的能够使用IPv6,迎接海外大量的IPv6用户。在BGP出口,我们和运营商通过BGPv6进行对接,而在内部的核心网的MPLS IPv6 VPN采用的是6VPE方案,流量模型和IPv4保持一致。

在基础网络改造的同时,我们又进行了10个支撑平台的改造。支撑系统包括了管理系统、IPv6自动化部署系统、网络监控系统、服务器监控系统、公网质量探测系统、网络规划建设系统、CMDB资产管理系统。

IPv6的优势是更大的地址空间和地址长度,但缺点是不易记忆,容易引入配置问题。在大规模基础资源的部署和实施,如果依赖人工方式操作存在明显的弊端。新的IPv6地址智能管理系统,通过可视化的平台和脚本工具实现IPv6地址录入、分配、配置、监控和回收的一体化智能作业;很好的解决了IPv6系统中部署实施和运维的难点,极大的降低整体的TCO。IP地址网管系统,和云平台、CMDB实现了联动,兼容overlay和underlay两部分的地址管理,并实现了基于业务属性的地址自动分配管理。

不管是IPv6机房自动化交付还是IPv6流量管理,在大型云平台系统中,仍然面临的最大挑战是大流量数据的采集、存储以及多维度的实时分析和展示,同时硬件设备存在厂商差异性,如何能够采用标准的方案进行一体化的操作。所以在IPv6流量监控和数据分析中,首先通过对不同厂商的硬件资源进行适配,将监控和采集标准化;然后引入大规模数据处理设计的Kafka、Spark等数据,对实时分析的各维度数据叠加汇总,通过API和图形化Web界面提供查询服务。

2.创新

IPv6升级是大型云平台整体升级的一次非常重要的良机。所以我们不但要升级IPv6,还应该借助IPv6持续创新,解决IPv6的一些挑战,并实现云平台的整体升级。

在大规模分布式云Overlay网络SDN控制器需要管理成百上千万的计算资源、IP地址资源和路由表项,支撑互联网通信、混合云通信、跨地域通信等多种场景。IPv6地址的引入不仅仅是带来超大规模IP地址数量和路由规格的问题,还对于多场景的通信模式、IP地址分配管理都提出了更多的挑战,因为IPv6不再区分内外网,也不再做NAT;我们基于IPv6开发了下一代SDN控制器,不但解决了IPv4/IPv6双栈网络的多场景通信以及双栈环境下的子机迁移、Fallback机制等,同时也面向IPv6的下一代支撑网络提供更加强大的管控能力,支撑千万级的用户VPC。在Overlay网络封装支持IPv6方面,Overlay包头(比如Vxlan,GRE等)都无法封装具有128bytes的IPv6地址,我们也通过映射技术很好的解决这个问题,并通过大规模分布式的SDN控制器完美的解决了路由表和映射表的规格和性能问题。

面向IPv6的DDoS攻击、CC攻击和DNS劫持等安全问题,构建四维一体的双栈智能防御体系,自主研发支持IPv6的宙斯盾安全系统。通过云平台统一的API,将DDoS防护检测、网络虚拟防火墙、网关应用层安全代理、云主机IPv6协议层安全进行统一联动,构建四维一体的智能防御系统,实现自动检测、预警、隔离等全方位的安全防护。DDoS防御系统完成了检测中心、接入中心、攻击清洗中心、统一管理中心等多个系统模块的IPv6升级,提供基于应用层的漏洞检测和入侵防护,基于用户的安全接入认证。以往IPv4的DDoS安全检测是联合CMDB基于识别每一个IP地址进行防护策略,无法适应/56的用户IPv6地址空间,每一个用户的安全防护都涉及到2的56次个IP地址的存储和查询。宙斯盾安全系统基于新的大数据系统和IPv6识别算法,按照/56的地址段进行存储和查询,可以极大提升检测查询的速度并减小存储的压力

在应用端的改造方面,腾讯自研业务积累丰富的经验,并积极向其他同行积极分享经验。在应用层APP改造方案中,腾讯多个自研业务基于Happy Eyeballs进行了优化,通过旁路配置接口,获取后台配置是否需要开启双栈网络优先IPv6的策略。当确认需要优先IPv6优先时,会发起对IPv6与IPv4接入赛马机制,通过配置对IPv6在赛马时进行一定的让步,以便达到IPv6优先的要求。当IPv6赛马胜出后,则用IPv6来请求后台;当IPv6接入访问失败时,则立刻fallback到IPv4访问。

五、新的开始
IPv6改造已经进入中场,但对于云厂商来说,这仅仅是一个开始,因为我们即将迎来更大规模的IPv6用户和IPv6流量的考验。

或许此时此刻的你正在使用IPv6网络在阅读这篇文章,世界上最遥远的距离莫过于IPv6已经来到你身边,而你却对他视而不见。

精彩预告
产品环环相扣的腾讯云,是如何进行大规模 IPv6 改造的?「云加社区」特别策划「IPv6」系列专题,为你揭秘。下一篇内容,将为大家分享腾讯云IPv6私有网络及IPv6负载均衡操作最佳实践,欢迎关注。

作者简介
秦振华,腾讯云资深产品经理,目前负责腾讯云网络产品的策划工作,致力于推动IPv6、DPDK、智能网卡、100G等下一代网络新技术的落地。

关注「云加社区」公众号,回复“IP”,获取更多IPv6相关内容。

你可能感兴趣的:(云加社区)