其實IPv6,并不是那么完美
任何事物都有其兩面性,技術(shù)也不例外。IPv6的到來解決了IPv4地址緊缺的問題,但也帶來了其它新的問題,IPv6的設(shè)計上解決了很多IPv4在實際使用中遇到的痛點問題,這讓很多人忽視了問題的存在,這也是IPv6一直沒有得到廣泛推廣和使用的原因之一。
本文引用地址:http://2s4d.com/article/201811/394943.htm首先是地址長度,IPv6地址長度是IPv4地址長度的四倍,達(dá)到128個BIT。這樣,源IP加上目的IP就有256個BIT,32字節(jié)。IPv6的報文頭部固定長度是40字節(jié),是IPv4報文頭部長度的兩倍,如果有擴(kuò)展頭,IPv6報文頭部就更長了,最多可達(dá)120字節(jié),這意味著在IPv6網(wǎng)絡(luò)中,每轉(zhuǎn)發(fā)一個IPv6報文,都需要攜帶一個IPv6報文頭。單位長度內(nèi)可傳遞的數(shù)據(jù)就少了,因為IPv6的報文頭部要占更多部分,IPv6之所以報文頭部要設(shè)計為固定長度和可選頭兩部分,就是充分考慮到這一點,沒有必要的功能放到可選頭中,這樣可以縮短IPv6報文頭部的長度,節(jié)省網(wǎng)絡(luò)帶寬。即便這樣,IPv6的頭部還是要比IPv4頭部多出至少20個字節(jié),如果按最小64字節(jié)來計算,20/64=31%,多浪費31%的網(wǎng)絡(luò)帶寬,如果按最大1518字節(jié),20/1518=1.3%,浪費1.3%的網(wǎng)絡(luò)帶寬,所以在相同的網(wǎng)絡(luò)環(huán)境中,IPv6的數(shù)據(jù)傳輸效率是下降的,要為IPv6多做一些預(yù)留才行,最好在IPv6部署的時候增加一定網(wǎng)絡(luò)帶寬。
其次是兼容性問題。IPv6開發(fā)人員承認(rèn),IPv6的最大失誤在于它沒法向后兼容?;ヂ?lián)網(wǎng)工程協(xié)會曾表示說,它在開發(fā)IPv6過程中最大的失誤就是沒有提供對IPv4的向后兼容性,IETF的領(lǐng)導(dǎo)人也承認(rèn),13年前他們制訂這個行業(yè)標(biāo)準(zhǔn)時,在確保原生IPv6設(shè)備與IPv4設(shè)備的通信暢通這一點上確實做得還不夠。這樣的設(shè)計使得IPv6與IPv4無法兼容,是完全不同的兩張網(wǎng)絡(luò),IPv6的實施就相當(dāng)于網(wǎng)絡(luò)做一次整體搬遷,包括生產(chǎn)商的研發(fā)技術(shù),網(wǎng)絡(luò)產(chǎn)品對于ISO第三層通信規(guī)則,IPv6地址全球分配,IPv6的網(wǎng)絡(luò)安全性能等方面都需要重新考慮,這對現(xiàn)有的IPv4網(wǎng)絡(luò)沖擊很大。好在標(biāo)準(zhǔn)后來又設(shè)計了一些IPv4與IPv6網(wǎng)絡(luò)互通的協(xié)議,以便可以讓兩張網(wǎng)互通與融合,這些技術(shù)徹底打消了很多人對IPv6的顧慮。但是,畢竟是兩張網(wǎng)同時存在,IPv4和IPv6兩網(wǎng)融合采用的是雙棧和隧道機(jī)制,這樣不僅部署起來網(wǎng)絡(luò)變得異常復(fù)雜,還帶來了更多安全隱患。攻擊者可以利用雙棧機(jī)制中兩種協(xié)議間存在的安全漏洞或過渡協(xié)議問題來逃避安全監(jiān)測乃至實施攻擊行為,IPv6中仍保留著IPv4的諸多結(jié)構(gòu)特點,如選項分片和TTL等,這些選項依然存在受攻擊的威脅,一些從上層發(fā)起的攻擊如應(yīng)用層的緩沖區(qū)溢出攻擊和傳輸層的TCP SYN FLOOD攻擊等在IPv6網(wǎng)絡(luò)中并未解決。由于IPv6設(shè)計之初忽略了IPv4使用的廣泛程度,IPv4的使用深入人心,不可能用IPv6網(wǎng)絡(luò)一次性替代掉,這就需要考慮兩網(wǎng)融合問題,兼容性隨之而來。
第三是安全性問題。IPv4的網(wǎng)絡(luò)安全問題就較多,但I(xiàn)Pv6在被設(shè)計為標(biāo)準(zhǔn)時,安全問題還不那么突出,所以IPv6雖然增加了安全方面的考慮設(shè)計,但并不完善。同時,因為IPv6全新的網(wǎng)絡(luò)協(xié)議設(shè)計又帶來了新的安全問題,這些在設(shè)計之初并沒有充分考慮到,這使得IPv6面臨的安全威脅比IPv4時代還要嚴(yán)重。PKI密鑰的管理在IPv6中是懸而未決的新問題,組合擴(kuò)展頭和分片會妨礙數(shù)據(jù)包檢測,IPv6分片可能被惡意利用。IPv6網(wǎng)絡(luò)同樣需要防火墻、VPN、IDS、漏洞掃描、網(wǎng)絡(luò)過濾、防病毒網(wǎng)關(guān)等網(wǎng)絡(luò)安全設(shè)備,但這方面的設(shè)備應(yīng)用并不成熟,沒有跟得上IPv6發(fā)展的腳步,若此時上IPv6,無疑會將整個網(wǎng)絡(luò)暴露。IPv6路由協(xié)議仍需在實踐中完善,例如IPv6組播功能僅僅規(guī)定了簡單的認(rèn)證功能,還難以實現(xiàn)嚴(yán)格的用戶限制功能,而移動IPv6也存在很多新的安全挑戰(zhàn)。在IPv6和IPv4共存的網(wǎng)絡(luò)中,網(wǎng)絡(luò)會同時存在兩者的安全問題,或由此產(chǎn)生新的安全漏洞。已經(jīng)發(fā)現(xiàn)從IPv4向 IPv6轉(zhuǎn)移時出現(xiàn)的一些安全漏洞,例如黑客可以使用IPv6非法訪問采用了IPv4和IPv6兩種協(xié)議的局域網(wǎng)網(wǎng)絡(luò)資源,攻擊者可以通過安裝了雙棧的使用IPv6的主機(jī),建立由IPv6到IPv4的隧道,繞過防火墻對IPv4進(jìn)行攻擊。IPv4和IPv6的融合網(wǎng)絡(luò),不僅擁有兩者的安全問題,還帶來了新的融合上的新安全問題,在網(wǎng)絡(luò)安全受到人們普遍關(guān)注的社會背景下,這不得不引起人們的警惕,成為IPv6推進(jìn)進(jìn)程中的絆腳石。
除了以上的介紹,IPv6在實際應(yīng)用中還有“天窗”的問題,就是當(dāng)網(wǎng)頁包含其它網(wǎng)站內(nèi)容的鏈接,即使采取雙棧技術(shù)路線,但被引用的其它網(wǎng)站未升級,IPv6用戶訪問該網(wǎng)站時會出現(xiàn)響應(yīng)緩慢,部分內(nèi)容無法顯示,部分功能無法使用等情況。IPv6地址過長,不好記憶,實際是根本無法很好地記憶。眾所周知,相比2G/3G/4G標(biāo)準(zhǔn)方面的落地,我國在5G標(biāo)準(zhǔn)方面已經(jīng)走在了世界前列,部分標(biāo)準(zhǔn)都是由我國的廠商提出的,但I(xiàn)Pv6實際上還是西方國家提出的,我國只是引進(jìn)而已。IPv6的地址是海量的,實際分配給我國的并不多,中國擁有占世界20%的人口,卻只分到IPv6地址的2%,比IPv4時好些,但依然不充裕??傊cIPv4相比,IPv6確實解決了很多大問題,但I(xiàn)Pv6也要面臨一些新問題,并非一勞永逸,對IPv6的引入我們要持有謹(jǐn)慎態(tài)度,結(jié)合自己的網(wǎng)絡(luò)實際情況去部署?,F(xiàn)在,從國家層面強(qiáng)推IPv6,很多問題還是顯現(xiàn),急需找尋一些解決之道,針對IPv6標(biāo)準(zhǔn)固有問題,在設(shè)計之初沒有考慮到的,可以再行優(yōu)化。這幾年有人提出IPv9,尤其在我國這種呼聲很高,希望我國在IP網(wǎng)絡(luò)標(biāo)準(zhǔn)設(shè)計上取得領(lǐng)先優(yōu)勢,或許這個標(biāo)準(zhǔn)離我們還很遙遠(yuǎn),但是搞出一個IPv6+標(biāo)準(zhǔn)還是有可能的,專門去解決IPv6推進(jìn)過程中遇到的新問題,讓我們拭目以待。
評論