IPv4 地址已耗盡，IPv6 涅槃重生：騰訊雲IPv6改造綜述

• 2019 年 12 月 4 日
• 筆記

引言：近日，全球 IPv4 地址正式耗盡的消息刷遍各大技術媒體，IPv6 再一次被推到人們面前。IP，作為網絡世界的通行證，其重要性不言而喻。IPv4 地址枯竭，IPv6 作為IPv4地址枯竭的解決方案，其在中國的發展歷程是怎樣的？產品環環相扣的騰訊雲，是如何進行大規模 IPv6 改造的？「雲加社區」特別策劃「IPv6」系列專題，為你揭秘。關注「雲加社區」公眾號，回復「IP」，獲取更多內容。（本文作者：秦振華，編輯：尾尾）

一波三折：IPv6在中國的發展歷程

IP，作為網絡世界的通行證，其重要性不言而喻。IPv4 在設計之初，沒能考慮到後續互聯網爆炸式的發展，更沒能預測到物聯網的發展，其有限的地址空間，必然帶來地址枯竭的問題。IPv6能讓世界上每一粒沙子都能擁有一個IP，它作為IPv4地址枯竭的解決方案，在20年前就已經和移動互聯網一起走進了人們的視線。然而，由於種種原因，IPv6在華夏大地上卻未能和移動互聯網一起璀璨綻放。如今，5G時代拉開帷幕，國家再次吹響IPv6的集結號。近日，IPv4 地址正式耗盡，這一次，天時地利人和，IPv6必將重新煥發出勃勃生機。

那麼，IPv6在中國的發展歷程是怎樣的？IPv6能否成為中國下一代互聯網的大動脈，為萬物互聯譜寫出美麗的篇章呢？

1.遙想1999年：不盡如人意

RIPE NCC（負責歐洲、中東和中亞部分地區的地區互聯網註冊管理機構）於1999 年首次進行IPv6 分配，到2019年正好過去了20年。20年前，IPv6也進入了中國，在隨後的幾年，國家也曾試圖大力推廣IPv6，但是卻因諸多因素導致IPv6發展不盡人意，IPv6僅在教育網得到了推廣和使用，和大眾生活息息相關的移動互聯網卻漸行漸遠。中國IPv6的使用率常年維持在2%以下，與全球範圍內以及亞太地區IPv6的火熱發展之勢形成鮮明對比。

2.回首2017年：《推進互聯網協議第六版（IPv6）規模部署行動計劃》印發

當大多數人慢慢淡忘IPv6的時候，國家和政府卻始終堅持在背後默默的努力。2017年11月，中共中央辦公廳 國務院辦公廳印發《推進互聯網協議第六版（IPv6）規模部署行動計劃》：

「大力發展基於IPv6的下一代互聯網，有助於顯著提升我國互聯網的承載能力和服務水平，更好融入國際互聯網，共享全球發展成果，有力支撐經濟社會發展，贏得未來發展主動。

推進IPv6規模部署是互聯網技術產業生態的一次全面升級，深刻影響着網絡信息技術、產業、應用的創新和變革。大力發展基於IPv6的下一代互聯網，有助於提升我國網絡信息技術自主創新能力和產業高端發展水平，高效支撐移動互聯網、物聯網、工業互聯網、雲計算、大數據、人工智能等新興領域快速發展，不斷催生新技術新業態，促進網絡應用進一步繁榮，打造先進開放的下一代互聯網技術產業生態。

加快IPv6規模應用為解決網絡安全問題提供了新平台，為提高網絡安全管理效率和創新網絡安全機制提供了新思路。大力發展基於IPv6的下一代互聯網，有助於進一步創新網絡安全保障手段，不斷完善網絡安全保障體系，顯著增強網絡安全態勢感知和快速處置能力，大幅提升重要數據資源和個人信息安全保護水平，進一步增強互聯網的安全可信和綜合治理能力。」

3.聚焦2019年：關鍵事件出現

2018年，當5G已經逐漸成為街頭巷尾一個時髦詞彙的時候，比5G還重要的IPv6技術卻還在角落苦苦掙扎。然而，到了2019年年底，IPv6不再沉默，有了突飛猛進的發展。

2019年，出現了關於IPv6的幾個關鍵事件：

• 2019年4月，工業和信息化部印發了《關於開展2019年IPv6網絡就緒專項行動的通知》（下稱《通知》），《通知》明確了到2019年底中國IPv6的實現目標。如：獲得IPv6地址的LTE終端比例達到90%；獲得IPv6地址的固定寬帶終端比例達到40%；LTE網絡IPv6活躍連接數達到8億；完成全部13個互聯網骨幹直聯點IPv6改造；公有雲廠商完成70%產品的IPv6改造。
• 2019年7月，南沙開發區管委會和下一代互聯網國家工程中心宣布成立的創新中心，並規劃在南沙部署運營一台國際IPv6根服務器。
• 2019年7月，推進IPv6規模部署專家委員會在2019中國互聯網大會期間舉辦了2019中國IPv6發展論壇，並隆重發佈了《中國IPv6發展狀況》白皮書。
• 2019年11月，歐洲網絡協調中心（RIPE NCC）確認全球所有43億個IPv4地址已全部分配完畢。

二、突飛猛進：中國IPv6發展現狀

高鐵建設八橫八縱，而IPv6建設則是雲、網、端三管齊下。運營商、公有雲廠商、CDN廠商、互聯網廠商、政府部門都是本次IPv6改造的中堅力量。大家從最初的觀望和懵懂中逐漸變得主動，相互扶持又相互趕超。物聯網時代悄然來臨之際，處在互聯網和5G全球領先位置的中國再次開始了浩浩蕩蕩的IPv6改造。

於無聲處聽驚雷。經過短短兩年的努力，中國IPv6改造已經取得了非常巨大的進展，尤其是電信運營商的網絡基礎設施已經完成了90%的改造，為IPv6的規模部署奠定了堅實的基礎。

2019年7月，推進IPv6規模部署專家委員會發佈的《中國IPv6發展狀況報告》顯示：

「截至2019年5月，中國電信、中國移動和中國聯通城域網出口總流量達398.43Gbps，LTE核心網總流量達508.87Gbps，骨幹直聯點總流量達75.74Gbps，國際出入口的IPv6總流量達到80.45Gbps。

截至2019年6月，我國IPv6活躍用戶數已達1.30億。我國基礎電信企業已分配IPv6地址的用戶數達12.07億。」

截止到2019年12月4日，國家IPv6發展監測平台（https://v6cngi.6aas.com）顯示，中國IPv6發展指數已經達到了49.67。

三、漸入佳境：騰訊雲IPv6改造

1.困難重重：騰訊雲產品環環相扣，IPv6改造挑戰極大

騰訊在IPv6已經具備多年的實踐經驗和技術積累，是國內IPv6的實踐先行者。2011年騰訊和教育網合作搭建了自己的IPv6實驗平台，用於旗下各個業務進行IPv6的實驗和試點。

但是，騰訊雲的IPv6升級，面臨著非常大的挑戰：騰訊雲有超過50個大類的產品、100多款子產品，涉及計算、存儲、網絡、數據庫、安全、物聯網、智能AI和大數據等等，有IaaS類產品，有PaaS類產品，還有SaaS類產品，產品迭代周期快，各個產品又相互依賴，尤其是對網絡產品和平台的依賴。最大的難點是不同產品依賴的網絡通信架構不同，尤其是對網絡產品的依賴，而網絡產品又依賴於底層網絡，需要環環相扣，縱深前進。

於是，項目組認真梳理關聯關係，制定了詳細的Roadmap和實施計劃，並逐步按照這個計劃執行。騰訊雲產品整體改造的Roadmap主要分成了以下四個階段。

• 第1階段：通過IPv6 NAT64過渡技術，結合DNS支撐IPv6平滑升級
• 第2階段：私有網絡、子網、雲服務器、彈性網卡、負載均衡、內容分發支持雙棧
• 第3階段：DDoS高防、安全組、IP地址庫、WAF、HTTPDNS支持雙棧
• 第4階段：CDB、COS、API網關等IAAS類，安全、大數據、物聯網等PAAS類產品支持雙棧

事實證明，這種縱深的打法非常有效，各個產品改造節奏清晰明快。在2019年6月前，我們完成了私有網絡、子網、雲服務器、彈性網卡、內容分發等產品的IPv6改造。

在2019年9月前，我們完成了DDoS高防、安全組、IP地址庫、WAF等產品的IPv6改造。

2.厚積薄發：榮獲科學技術一等獎

厚積才能薄發，2019年11月19日，中國通信學會公布2019年「中國通信學會科學技術獎」評選結果，騰訊和中國移動、中國信通院、華為的聯合項目《移動互聯網IPv6技術攻關及規模應用》榮獲一等獎大獎，其中基於IPv4/IPv6雙棧的超大型雲平台的分佈式SDN雲網絡技術、基於四維一體的雙棧智能防禦體系DDoS等安全防禦技術等創新技術獲得高度認可。

騰訊雲目前已完成雲主機、VPC網絡、負載均衡、域名解析、內容分發、DDoS等40餘款的IPv6產品改造工作，並計劃在年底完成大數據、物聯網、音視頻等PaaS產品的IPv6改造。

業務層面，騰訊雲目前已支撐騰訊視頻、騰訊新聞、QQ瀏覽器等雲上應用接入IPv6的用戶數超過1.5億，騰訊已經成為全球擁有最多IPv6用戶的企業之一。

四、越戰越勇：騰訊雲平台IPv6改造的挑戰與創新

1.挑戰

所謂兵馬未動，糧草先行，基礎網絡設施和支撐平台就是我們的糧草。IPv6產品改造前需要完成底層網絡的改造。

2012年騰訊在深圳的BGP出口接入教育網IPv6 BGP，為自有業務提供IPv6服務。後來又在深圳、上海、天津等和運營商進行了對接，用於業務測試。只是當時受限於運營商網絡和用戶數量低，IPv6業務並沒有大規模上量。

騰訊雲目前已開放 25 個地理區域，運營 53 個可用區；僅國內就有數十個BGP出口、幾十個園區需要改造，改造的工作量和難度非常大。但是很幸運的是，作為國內最早部署IPv6的先行者之一，騰訊雲在核心網絡和公網出口改造方面積累了比較多的經驗。正是有了這些經驗，讓我們BGP出口改造進展較快，在2019年年初，已經基本完成國內主要出口的改造。在2019年下半年，我們又啟動了部分海外公網出口的改造，力爭能夠在2019年年底完成部分海外城市的改造和產品上線，讓出海企業更早的能夠使用IPv6，迎接海外大量的IPv6用戶。在BGP出口，我們和運營商通過BGPv6進行對接，而在內部的核心網的MPLS IPv6 VPN採用的是6VPE方案，流量模型和IPv4保持一致。

在基礎網絡改造的同時，我們又進行了10個支撐平台的改造。支撐系統包括了管理系統、IPv6自動化部署系統、網絡監控系統、服務器監控系統、公網質量探測系統、網絡規劃建設系統、CMDB資產管理系統。

IPv6的優勢是更大的地址空間和地址長度，但缺點是不易記憶，容易引入配置問題。在大規模基礎資源的部署和實施，如果依賴人工方式操作存在明顯的弊端。新的IPv6地址智能管理系統，通過可視化的平台和腳本工具實現IPv6地址錄入、分配、配置、監控和回收的一體化智能作業；很好的解決了IPv6系統中部署實施和運維的難點，極大的降低整體的TCO。IP地址網管系統，和雲平台、CMDB實現了聯動，兼容overlay和underlay兩部分的地址管理，並實現了基於業務屬性的地址自動分配管理。

不管是IPv6機房自動化交付還是IPv6流量管理，在大型雲平台系統中，仍然面臨的最大挑戰是大流量數據的採集、存儲以及多維度的實時分析和展示，同時硬件設備存在廠商差異性，如何能夠採用標準的方案進行一體化的操作。所以在IPv6流量監控和數據分析中，首先通過對不同廠商的硬件資源進行適配，將監控和採集標準化；然後引入大規模數據處理設計的Kafka、Spark等數據，對實時分析的各維度數據疊加匯總，通過API和圖形化Web界面提供查詢服務。

2.創新

IPv6升級是大型雲平台整體升級的一次非常重要的良機。所以我們不但要升級IPv6，還應該藉助IPv6持續創新，解決IPv6的一些挑戰，並實現雲平台的整體升級。

在大規模分佈式雲Overlay網絡SDN控制器需要管理成百上千萬的計算資源、IP地址資源和路由表項，支撐互聯網通信、混合雲通信、跨地域通信等多種場景。IPv6地址的引入不僅僅是帶來超大規模IP地址數量和路由規格的問題，還對於多場景的通信模式、IP地址分配管理都提出了更多的挑戰，因為IPv6不再區分內外網，也不再做NAT；我們基於IPv6開發了下一代SDN控制器，不但解決了IPv4/IPv6雙棧網絡的多場景通信以及雙棧環境下的子機遷移、Fallback機制等，同時也面向IPv6的下一代支撐網絡提供更加強大的管控能力，支撐千萬級的用戶VPC。在Overlay網絡封裝支持IPv6方面，Overlay包頭（比如Vxlan，GRE等）都無法封裝具有128bytes的IPv6地址，我們也通過映射技術很好的解決這個問題，並通過大規模分佈式的SDN控制器完美的解決了路由表和映射表的規格和性能問題。

面向IPv6的DDoS攻擊、CC攻擊和DNS劫持等安全問題，構建四維一體的雙棧智能防禦體系，自主研發支持IPv6的宙斯盾安全系統。通過雲平台統一的API，將DDoS防護檢測、網絡虛擬防火牆、網關應用層安全代理、雲主機IPv6協議層安全進行統一聯動，構建四維一體的智能防禦系統，實現自動檢測、預警、隔離等全方位的安全防護。DDoS防禦系統完成了檢測中心、接入中心、攻擊清洗中心、統一管理中心等多個系統模塊的IPv6升級，提供基於應用層的漏洞檢測和入侵防護，基於用戶的安全接入認證。以往IPv4的DDoS安全檢測是聯合CMDB基於識別每一個IP地址進行防護策略，無法適應/56的用戶IPv6地址空間，每一個用戶的安全防護都涉及到2的56次個IP地址的存儲和查詢。宙斯盾安全系統基於新的大數據系統和IPv6識別算法，按照/56的地址段進行存儲和查詢，可以極大提升檢測查詢的速度並減小存儲的壓力

在應用端的改造方面，騰訊自研業務積累豐富的經驗，並積極向其他同行積極分享經驗。在應用層APP改造方案中，騰訊多個自研業務基於Happy Eyeballs進行了優化，通過旁路配置接口，獲取後台配置是否需要開啟雙棧網絡優先IPv6的策略。當確認需要優先IPv6優先時，會發起對IPv6與IPv4接入賽馬機制，通過配置對IPv6在賽馬時進行一定的讓步，以便達到IPv6優先的要求。當IPv6賽馬勝出後,則用IPv6來請求後台；當IPv6接入訪問失敗時，則立刻fallback到IPv4訪問。

五、新的開始

IPv6改造已經進入中場，但對於雲廠商來說，這僅僅是一個開始，因為我們即將迎來更大規模的IPv6用戶和IPv6流量的考驗。

或許此時此刻的你正在使用IPv6網絡在閱讀這篇文章，世界上最遙遠的距離莫過於IPv6已經來到你身邊，而你卻對他視而不見。

精彩預告

產品環環相扣的騰訊雲，是如何進行大規模 IPv6 改造的？「雲加社區」特別策劃「IPv6」系列專題，為你揭秘。下一篇內容，將為大家分享騰訊雲IPv6私有網絡及IPv6負載均衡操作最佳實踐，歡迎關注。

作者簡介

秦振華，騰訊雲資深產品經理，目前負責騰訊雲網絡產品的策劃工作，致力於推動IPv6、DPDK、智能網卡、100G等下一代網絡新技術的落地。

關注「雲加社區」公眾號，回復「IP」，獲取更多IPv6相關內容。