| |
|
|
|
| 知识库 -> 数码 -> 为什么 IPv6 突然不火了? -> 正文阅读 |
|
|
[数码]为什么 IPv6 突然不火了? |
| [收藏本文] 【下载本文】 |
|
为什么 IPv6 突然不火了? 关注问题?写回答 [img_log] 互联网 IPv6 路由器 计算机网络 IP 地址 为什么 IPv6 突然不火了? |
|
ipv6普及:大部分人都被分配到了ipv6地址(x) ipv6普及:大部分网站,服务,软件,可以在关闭ipv4,只用ipv6的情况下正常使用(?) |
|
随便找个热门的BT种子就知道国内IPv6环境已经非常好了 感谢党感谢政府 |
|
ip协议,作为互联网的基础,失败和成熟的标志,都是没人谈论它了,也就是不火了。 技术存在的意义,就是省心好用,在背后默默工作。 有句话,不吃灰的路由器,绝对不是好路由器。 天天被人挂在嘴边上的,要么是正在发展,要么是将要失败,被人骂。 我见过最坚强的设备,是一栋楼里的电话交换机,1997年,爱立信生产的。 之前是放在一个弱电箱里,后来不知道哪个施工队,直接拿水泥给抹死在墙体里了。 这个电话交换机,是电信局的资产,后来我国援助非洲国家,就打算把老设备淘汰,送给黑叔叔。 下来收资产的时候,愣是找不到,就打算报丢失。 结果电信局领导给底下的人骂了一顿,让继续找,结果顺着线,还真找到了,把墙砸开,机器已经锈迹斑斑,接口和线缆都灌进了水泥,还能继续工作。 底下办事儿的人就很纳闷,领导为什么这么肯定设备没丢? 领导说,要是这设备丢了,整栋居民楼的人,怎么打的电话?早就投诉了。 |
|
电信也会反其道而行,坐标上海,我一直使用光猫的DHCP服务,前段时间突然发现分配的网段变了,IPV6也没了,直接打了市民热线然后电信联系我说他们改成云网关接入了,还跟我说他们本来就没有IPV6的服务。 后来我跟他们说恢复到原来的设置,半个小时不到,IPV6也回来了,独立的公网IP也回来了。 |
|
我国从政策层面推广IPv6,其本意是从国家竞争的层面打破美国对IPv4地址的垄断,但实际上却受阻于国内ISP和云服务商这类“IPv4地主”,实际分配到用户的,是功能打了折扣的“瘸腿IPv6”,IPv6直接寻址、点对点连接的优势很多时候都难以发挥出来。 对于大多数家宽用户来说,大多数光猫和家用路由器默认设置都打开IPv6防火墙,且不一定下发前缀,如果用户没有足够的网络知识去调整光猫、路由器的配置,基本不可能得到直连Internet的IPv6地址。在层层阻碍之下,用户设备即使能够分配到IPv6,也只能够得到一个只出(outbound)不进(inbound)的单向IPv6地址。 案例分析 此案例基于我朋友家的情况,重庆电信光纤入户,光猫为ZXHN F650 4.0,路由器为小米路由AX1800,光猫以路由模式拨号。 由于大多数家庭不会主动改桥接,因此这是大部分家庭普遍的情况,经过两层IPv4 NAT,IPv4的连接性已经变得很差,即使光猫已经有公网IPv4,但电脑上运行NatTypeTester也已经劣化为连接性最差的对称NAT。 F650光猫自带的WiFi可以分配到IPv6地址,但只有2.4G单频,AX1800路由是双频WiFi 6,但只能分配IPv4地址。 第一道门槛:光猫管理密码 由于ZXHN F650 4.0使用远程获取的超级密码,而且早期版本的Web界面提权已经不能用,再重置后由于丢失VLAN配置,而且IMTS不能自动下发,所以一时间找不到恢复配置的办法,只好找电信师傅上门恢复,幸运的是要到了超级密码。 天翼网关3.0(中兴F650 4.0)光猫破解方法(无需拆机) - Jarvis's Blog?www.jarvisw.com/?p=1433 如果没有光猫超级密码,由于IPv6防火墙默认开启,无论其他部分怎么配置,IPv6都会是只出不进的状态,能够访问IPv6网站,但无法接受P2P连接。 |
|
|
关闭IPV6 SESSION防火墙才可以得到可以接受入站IPv6连接 光猫的配置点一共有两个,一个是在安全>防火墙中关闭IPV6 SESSION,这样连接到光猫获取的IPv6才可以被外界访问。 另一个配置点则是在网络连接INTERNET_R_VID中将地址获取前缀改为AutoConfigured,如果是DHCPv6,则小米路由器无法获取前缀。幸运的是,配置完成后,电信为我分配了/56的IPv6前缀。 |
|
|
而小米路由器端则需要在上网设置中打开IPv6网络设置(默认是关闭的),上网方式为Native |
|
|
同时我们需要确定小米路由器除了能获取WAN IPv6地址,还必须获取到LAN IPv6地址和LAN IPv6前缀,才能正确地给路由器下的设备分配IP地址,而这时还有一个坑,即小米路由器初次开启IPv6后必须重启才能给设备分配IPv6地址。 |
|
|
第二道门槛:小米路由器没有关闭IPv6防火墙的Web界面,需开启SSH并手动关闭防火墙 小米路由器AX1800的ROM默认打开IPv6防火墙,而且在Web界面上不能关闭,导致IPv6仍然是一个“只出不进”的状态,因此我不得不降级小米路由ROM,开启SSH 404NotFound:【小米路由器SSH】小米路由器官方ROM强制打开SSH功能并配置静态路由(适用于AX1800、AC2100等型号)16 赞同 · 12 评论文章 然后手工更改rc.local,加入命令 才最终能够让小米路由器下所有IPv6终端可以自由地被双向访问。 总结 在此案例中我们可以清楚的看到IPv6网络所遇到的现状,电信运营商迫于政策压力分发IPv6地址,但在光猫处默认将其限制为“半开放”状态,并将关闭防火墙的设置隐藏在超级密码之后,大大提高用户获得全功能IPv6连接的门槛。 而以小米为代表的客户端设备制造商则默认关闭IPv6,并极力隐藏相关设置,提高用户获得全功能IPv6连接的门槛。 最终用户想要获得全功能IPv6,不得不过五关斩六将,恨不得手持好几张网络工程师认证才能搞得定。 而被防火墙削弱后的IPv6服务,丧失了IP网络点对点连接的优势,只能C/S架构(及其变种B/S架构)访问服务器,恨不得回到30年前IBM SNA的时代去,连WebRTC这种典型的P2P架构当代Web协议都因此受阻而不得不绕路TURN服务器,极大地提高了网络应用开发和运营的成本。而受益的则是收过路费的ISP和云服务商。 |
|
据说某省的ipv6已经是白名单模式了,也就是大陆外的ipv6一律不准访问 |
|
我用的长城宽带。打电话去,要一个IPV6的地址。对方的技术说不知道这是个什么东西。 我投诉到工信部。长城回电话说:不知道IPV6是什么东西。 我现在只能用蒲公英去连家里的NAS 小米ax 3000 |
|
去年国家就开始强制推行ipv6了,国家还下了文件,所有2022年以后新出售的路由器,都必须默认开启ipv6。 你去年是没有遇到宽带升级的员工吗?他们上门服务,给你换光猫,把你路由器里的ipv6开起来,估计和你说了,你也不懂。 ipv6是万物互联的基础,没有ipv6物联网就基本无法进行。5g应用也缺乏基础。 ipv4的远程组网太困难了,还必须要去买公网ip。如果有ipv6那么大家都是端对端,IPSec安全传输能力提升巨大。5g宣传的万物互联,有了ipv6的支持,组网也就更简单了,成本也更低了。 阻止ipv6的人,大概只有服务器运营商吧,手里高价买了一大堆ipv4,如果推行ipv6了,他们以后就赚不到这个钱了。这不得拼命黑。 还有就是一些老式的路由器根本没办法支持v6,更换也是一个成本。 理由无非是:网站访问速度慢,一些网站没有启用。实际上启用ipv6同时,并不影响你ipv4的使用。而且能自动切换。不是说你用了ipv6就必须把ipv4关掉,这2者是可以共存的。有些人就故意把ipv4关掉测试,然后放大缺点。 当然大多是2年前测试的比较多,现在已经没有人去测试这玩意了。所有的手机数据网络,都是默认启用ipv6,2022年手机数据网络,40%的移动数据流量是由ipv6提供的。 2022年,ipv6就已经覆盖了超过7亿人。而且现在已经在加速推进了,你用或者不用都不影响国内ipv6网络建成,对普通人来说,甚至一点都感知不到。对大多数人来说,甚至某一天ipv4消失了也没有人在意。 相关信息: 2022年全国深入推进IPv6规模部署和应用工作推进会议在京召开-中共中央网络安全和信息化委员会办公室?www.cac.gov.cn/2022-08/26/c_1663136482920061.htm |
|
|
中央网信办等三部门印发《深入推进IPv6规模部署和应用2022年工作安排》_部门政务_中国政府网?www.gov.cn/xinwen/2022-04/25/content_5687124.htm |
|
|
|
|
先问是不是。 我记得前年开始工信部就强推top100的app的ipv6覆盖了,我们这边都接到了甲方爸爸的合规需求单。。前年的要求是:每家大厂公司的app都要能在优先ipv6模式下,v6流量能达到60%以上。 后续只会更严格,去年我记得已经要求top200的app必须覆盖了。 附上一个甲方爸爸的回信 |
|
|
|
|
因为 作为一种底层协议 IPV6就不应该火 |
|
看你们都在说BT,看来至少对P2P协议是个利好… 不过我在用的科学上网插件和v6还是有些冲突,而且4A解析优先也给我制造了很多连接工作网络时的问题,所以我一直都在禁用IPv6… 比如前段时间发现怎么也连不上产线的路由器了,而且几乎是每一台都连不了,然后发现是因为优先4A解析后尝试访问IPv6地址去了,而安全策略还没有升级对IPv6的支持… 然后我就把网卡上的IPv6给关了… 看来需要research一下作一些临时的方案至少享受一下p2p的红利窗口… 确实,v6的部署让互联网上个体之间的互连多了一个选项,虽然站在企业端来说,v6对于很多应用来说甚至属于是额外的工作量,在企业端它的普及动力还是没有那么高的。 但是没人会拒绝一个更自由的互联网…至少是暂时的,是吧? 不过我总觉得,v6普及以后让你们BT下爽了,这事儿和最初上面推行v6的愿景可能是南辕北辙了? 等等看运营商后续会不会出骚操作。 对了,提醒各位开心p2p的时候不要忘了关心下网络连接和家庭网络的安全问题: NAT和NAT444在很多人看来罪大恶极,但是它也无意间保护了很多小白,毕竟穿透层层NAT攻击很难做到,这也是为什么木马类病毒和恶意软件成为主要攻击方式的原因:底层技术不好突破的时候,人本身却是最大的漏洞,所以攻击者都成了社工和心理大师。 现在你开了IPv6,你和互联网上任意另一个开启IPv6的人,那个人可能是个攻击者,你们之间是路由直通的,唯一阻挡在你们之间的是你家路由器上的iptables规则,和你电脑上最好没有被你关掉的默认防火墙。你如果是没有安全意识的,啥啥啥都是百度一下随便关掉或者打开,那你就自求多福吧… 毕竟现在没有NAT挡着你上网的同时,也没有NAT挡着攻击者直接找你啦! |
|
国内老套路了。人为制造资源稀缺,从而制造内卷从中获取暴利。 IPV6地址极大丰富,人人都有随意使用的静态公网IP。都用这个了,谁还花大价钱买他的静态公网IPV4? |
|
不懂的人才不火,懂的人已经玩得飞起了。互联互通,不用找运营商求v4的P了。 资本不敢喧闹,否则云服务器找谁做冤大头。 |
|
三大运营商就是技术进步的最大阻力,不仅是阻止推ipv6,还搞的SDN的内网云网关。对UDP流量和DNS也是经常封和污染,这群国企真的是为了利益啥都不管。 |
|
因为现在 IPV6 基本普及了,你看现在还有人提 4G 吗? 家用宽带和 IPV6 现在家用宽带基本没有 IPV4 公网 IP 了。(我去年另外一条宽带申请的还在,而且可以移机) 新宽带就只能用 IPV6 公网了,一般使用路由拨号就能看到,地址授权选择 SLAAC 。 |
|
|
非要说问题的话,那就是很多人家里的路由器并未开启 IPV6 ,而且不少家用路由的防火墙还没对 IPV6 兼容,比如之前某米的路由器。 然后就是端口映射这些,只能说家庭网络里 IPV6 的普及 —— 任重而道远。 手机和 IPV6 现在使用移动数据上网,都会分到 IPV6 ,目前来说反而手机对 IPV6 的支持是最好的。 换句话来说,手机的 IPV6 已经非常普及了,主流应用也普及了,只是有些应用的 IPV6 还没普及开。 V6 的公网 IP 有什么好处? 首先,我在外面通过 IPV6 可以直接访问到家里的设备,比如 NAS 。 这个速度要比群晖和威联通自带的透传快得多,几乎可以跑满上传带宽。 |
|
|
最后,其实我想说的是 IPV6 更多解决的是运营商 IP 枯竭的问题,对于普通人来说,影响并没那么大,甚至也不能让我们的网速变快(主要还是服务端支持问题)。 我是 @左华栋 ,一个喜欢数码的互联网人 |
|
听说ipv6在国内要普及一些。北美这边才真的是浪花都没有。我家的供应商不支持,公司服务器用的azure上只有ipv4。aws我也不记得有ipv6。另外一家我们也在用的供应商虽然支持ipv6,但是我找来找去找不到ipv6的防火墙设置。就干脆关了。 至于它为什么推不开,我觉得原因是很显而易见的。但不知道为什么大家都不说。这么大一头大象站在房间里,但似乎大家都看不到它。它应该火和它火不起来的原因根本是同一个:本来只能在局域网里的机器现在可以暴露在公网了。 ipv4环境下往路由后面一躲,所有机器都逻辑隔绝了。ipv4大家用了这么久,天生缺陷已经当成了特性来作为防火墙使用。门槛又低又有效。堪称绝对领域。而且是傻瓜式的。每个家庭用户都不需要额外的知识和烦恼。每台机器又能上网,又不可能从公网被直接访问到。 ipv6的原理和ipv4完全不一样。大多数人都搞不明白。反正我不用是因为我没完全搞明白。ipv6怎么安全的组局域网我都没弄明白。普通用户更不明白。 服务器上我们也会用类似的结构。 比如web服务器有公共IP和局域网IP。其它的数据库服务器只有局域网IP。这些数据库服务器从公网就不可能直接访问到了。这样的局域网环境,既然不可能从外部访问,为了方便,很多服务都不会保护的很好。而且就算密码什么的都不弱,只要你能访问到数据库并且可以试用户名和密码,就已经是安全隐患了。 再加上现在基本所有路由和系统都支持ipv6,供应商如果打开,可能就会有大量的机器在默认设置下直接暴露在公网,而他们自己都不知道。 企业的环境设置都不一定安全,家庭用户的网络环境下,更是什么设置都可能存在。 总之在我看来实施ipv6根本不是设备支持或者不支持的事情。可能整个网络安全和结构都要重新配置。人员也都要重新培训学习。 |
|
运营商早就被要求强制下发IPv6地址了,只要你买个稍好点的路由器就能用,有使用需求的人已经随时可用了。 一个廉价且全民皆有的东西要怎么火起来?这个问题就像在问“古代白糖那么火,为什么现在白糖突然不火了”一样。 |
|
1 因为NAT解决了大部分问题 2 因为大部分人用不到 3 其实用的到的人已经在用了 4 政策已经在很多地方强制要求IPv6了 第1点不解释 第2点说的就是国内用户的现状 第3点在不给发v4地址的地区和移动宽带用户中肯定深有体会 第4点说个案例,某国民级应用里面要求强制IPv6覆盖,但是这程序里有第三方提供的小程序或者其他组件并不由该应用控制,所以就使用了代理网关来转发,客户端v6到代理网关,网关6转4后传后端,也算是完成了工信部的改造要求。 |
|
不是不火了,而是这种基础设施建设基本上会在你无感知的情况下推进和普及。 现在的主流网络服务很多已经是基于IPV6的了,不出意外的话,中国IPV6的用户量、服务流量应该是已经反超IPV4逐渐成为主流了。 |
|
中国电信不推广,只有中国移动一家在搞,联通我没有用过宽带不知道情况。但就我在广州的所见所闻,电信是很抵触这东西的,因为中国互联网的IPV4的地址,大部分在他们手里,要一开IPV6,他们的优势要丢掉很大很大一块。 对于民用来说这东西不是很重要,甚至是透明的,但电信向企业用户提供服务,很多情况下也是靠公网IP服务来绑定用户的。个人用户也是可以通过电信客服申请开通动态互联网IP的,如果自己会折腾,搞个DDNS来用也基本上能满足大部分的需求。 我自己折腾IPV6两次未果,其中一次还把路由器搞砖头了,大半夜4点钟找手册恢复出厂设置又重新配置端口上网,防火墙几个小时。后来问了电信的装网师傅,他直接说我们所在的地区虽然你能拿到IPV6地址,但上级路由器不开IPV6的路由,所以没得用。 移动我是去邻居家帮忙修电脑时,才发现人家家里连老掉牙的win7老电脑都是IPV6在上网,心里只能暗骂电信王八蛋。 |
|
电子监听、全国断网,棱镜门背后,中国如何从末路狂奔到世界之巅 原创 温竣岩 Rock Rise 2014年1月21日,平淡的一天。大人置办年货,孩童点燃爆竹,中国铁路紧张进行春运。所有人都在等待新年的到来。 变故是在下午出现的。 下午3点20分,整个中国所有正在上网的用户都突然失去链接。百度、微博、淘宝等门户网站均无法访问。这种状况没有持续太久,三个小时后便陆续恢复正常。事后查明,直接原因是全球域名解析出现故障所致。 除了些许不便之外,故障的影响并不大,讨论者寥寥,这件事也就如一颗石子般隐入历史洪流。但没有人知道,断网的三小时中,有些事已经被永远地改变了。 历史的脉络在这个下午交汇,最终在三年后,引发了那场世界最大网络行动。 一、奥林匹克 2008年的夏天,第29届奥林匹克运动会在中国举办,成为一个时代的符号与注脚。但北京并不是“奥林匹克”的唯一举办地。 当张怡宁卫冕金牌;当菲尔普斯抵达终点;当博尔特穿越百米的时候,万米之外的白宫,一个代号为“奥林匹克”的行动启动。北京的奥林匹克圆满落幕,而白宫的奥林匹克要四年后才浮出水面。 2010年,白俄罗斯的一家安全公司Virusblokada在为伊朗客户检查系统时,发现了一种蠕虫病毒 Stuxnet(震网)。 |
|
|
Stuxnet(震网)代码 这种病毒的作用是通过入侵核工厂离心机的频率控制器,控制离心机以超过安全范围的数值运转,同时在监视器上显示正常数值欺骗管理员,最终导致设备损坏。 病毒公开后,业界人士发现这种病毒并非传统病毒,而是针对伊朗的纳坦兹核工厂量身定制的病毒。这是人类史上第一个跨过网络与现实界限,直接对设施发起物理攻击的病毒。 |
|
|
伊朗纳坦兹核工厂 如果不是伊朗工程师意外将绝密U盘插入了自己的电脑,那震网病毒可能到今天都不会被发现。 当年,俄罗斯卡巴斯基实验室发布声明,认为“种种迹象表明,除非有国家级的支持和协助,否则很难发动如此规模的攻击”。 卡巴斯基没有说错。两年后的2012年,《纽约时报》在报道中援引一位高级官员的秘密消息,确认震网是由美国国家安全局和以色列联合研发,目的在于阻止伊朗发展核能。并且除了震网之外,感染伊朗全国大半电脑的Flame(火焰)病毒,也是美以行动的成果。 |
|
|
Flame(火焰)病毒 秘密官员还透露了行动最早于2006年由布什建立,2008年奥巴马下令加速。行动代号:“奥林匹克”。 奥林匹克行动曝光后,舆论哗然。 一波未平一波又起。 第二年,棱镜门事件爆发,美国全球窃听计划曝光。苹果、微软、谷歌、Facebook、Youtube以及世界电信巨头威瑞森都牵涉其中。被监听对象囊括美国的对手和盟友,连默克尔也在监听之列,引发了美国外交的大地震。 |
|
|
香港媒体报道 在中国方面,斯诺登向媒体提供的文件表明,美国国家安全局对部分中国企业进行了监听,还对清华大学发起了大规模网络攻击。 2013年的世界名词中,网络安全占了重重一笔。 棱镜门事件后,各国都开始着手网络安全,德国建立内部安全网络,英国发布网络安全战略,巴西立法保护信息。 中国亦采取了大量措施,但其实窃听仅仅是我们互联网面临的众多危险中最小的一个。 假如我们把窃听计划看成美国躲在欧洲的房子外听里面的动静,那么中国面临的形势就更加严峻,欧洲好歹有房子,我们连房子都是美国的,他完全可以站在我们的客厅里听。并且只要美国愿意,完全可以让中国瞬间在互联网上消失。 一切的一切,要从互联网的开端说起。 二、流浪中国 我们今天的世界互联网始于1969年的美国,在最初它是为美国军事而生的,直到1980年互联网才开始商业化,进入人们的生活。严格来说,不是世界人民共享互联网,而是世界人民使用美国的互联网。 这一点,在IP地址的分配上极为明显。 互联网空间不同于现实空间,现实空间别人可以通过地址、门牌、甚至经纬度找到你,但互联网世界只有0和1,所以你也只有一串由0和1组成的地址,来让别人找到你。 这串由0和1组成的地址,叫IP地址,这是互联网的基础资源,你可以直接理解成互联网的土地。 |
|
|
从互联网诞生之日起IP地址协议就一直在完善,最终在1981年,IETF(互联网标准组织)规定IP地址由一串32位的二进制数构成,每台设备都需要独立的IP地址才能够进入互联网,比如:11000000 10101000 00000001 11111111。 你对这串数字会感到陌生,因为为了方便人们阅读和记忆,IP地址在我们的设备上通常显示为点分十进制,上面这串地址在点分十进制后就变成了:192.168.1.255,方便很多。 这版协议是IP协议的第四版--Internet Protocol version 4,也就简称IPv4。 |
|
|
今天你可以在任何设备的信息中看到IPv4地址,它是第一个被广泛使用,同时也是构成现今互联网的基础协议,从1981年诞生到今天,它已经使用超过了四十年,简单、可靠、大家互信。 但它有一个致命的问题——数量。 IPv4地址是32位的二进制数,意味着IP地址在逻辑上的最大总量为2^32-1,也就是4294967295(42亿)个。 在1981年,这个地址数量是天文数字,但互联网发展速度超过所有人想象,个人PC、移动电话、智能设、ISP(移动服务提供商)的兴起中,IP地址被迅速消耗。 全球有70亿人口,IP地址仅有43亿个,一旦用完,后来者将无法进入互联网。危机不止于IP地址不够用,许多国家还面临用不上。全球互联网都用IPv4协议,那就要有人来分配和记录地址,于是,IANA(互联网数字分配机构)出现了。 |
|
|
IANA IANA于1988年正式成立,负责将IP地址分配给全世界。 这个组织虽是国际组织,但从创立之初,资金来源就是美国国防部,再加上美国作为世界互联网起源地,有先发优势。于是资源大量向美国倾斜。截至2022年8月26日,全球各国IP地址分配数量为如图。 |
|
|
|
|
其中美国分配了16亿个,占全世界38%,中国分配了3亿个,占8%。换算成人均的话,每一个美国人有5个IP地址,每五个中国人有1个IP地址。 如果说中国地图上的每一段线,都是一场冒险,那么在互联网地图上,中国连冒险的机会都没有。其他国家则连冒险是什么都不知道。IP不够的问题当然不是突然出现的。 IPv4诞生10年后,1991年,IETF就预测IPv4地址将会在2010年耗尽,并在次年提出了IP协议第六版,简称IPv6。 |
|
|
IPv6标准协议(RFC2460)和IPv4的32位不同,IPv6的地址长度扩张到了128位,是前者的四倍,这是一串IPv6地址,你感受一下。 0010000000000001 0000110110111000 1000011010100011 0000100011010011 0001001100011001 1000101000101110 0000001101110000 0111001101000100 长度增加后原有的点分十进制也不够用了,于是IPv6改用了十六进制表示,变成这样: 2001:0db8:86a3:08d3:1319:8a2e:0370:7344 IPv4的有43亿个地址,IPv6的长度是它的四倍,那是不是就有43X4,也就是172亿个地址?不是。IPv6的地址空间为2^128-1,IP地址总数为: 340282366920938463463374607431768211455个 简单一点描述就是:IPv6能给全世界每粒沙子都分配一个地址。 如果说IPv4是一块美国分配土地的大陆,那么IPv6就是一片新的海洋,广阔、无限、没有压迫。 IPv6出现后,全球主要国家纷纷开始IPv6的研发。2001年 欧盟成立IPv6 Task Force,专门制定IPv6推广计划,并在次年同时启动6NET和Euro6实验网。2004年,韩国启动IT839计划,目标建成东亚网络枢纽。 因为有较多IP储备,美国态度并不积极,直到2003年才宣布启动。 而中国对IPv6的研究,比所有国家都要早。 1992年,IETF开始讨论IPv6,两年后的1994年,中国就在CERNET网络中建立了IPv6试验床。当时 中国连IPv4都还没玩明白,搞IPv6基本等于边学走路边学跑步。但总有能把这事干了的人。 CERNET网络中的IPv6试验由清华大学教授吴建平领衔,这位狠人曾经仅靠几张日文图纸,就在100天内搭建出北京期货交易所,用世界最先进技术建立了一个大型分布式计算机期货交易系统,是中国互联网工程科技的主要开拓者和学术带头人。 |
|
|
吴建平 1994年,国家计委启动CERNET工程,担任项目负责人的吴建平联合了数十家大学开始建设,在1995年11月完成,比原计划提前一年。 1997年,IETF发布正式的IPv6协议,第二年,中国CERNET就成为了世界最大IPv6测试平台6Bone的骨干网成员。 |
|
|
CERNET官网 在研究上,中国领先了全世界,并且不止于研究。 1995年CERNET网络完成后,吴建平就把目标转向了IPv6的实际发展问题。2001年,包括吴建平在内的57名院士联合致信国务院,提出建设一个纯IPv6主干网。 第二年,国家计划委员会批复同意,启动“下一代互联网战略研究”,将建设纯IPv6网络的任务交给了吴建平,并命名为CERNET2。吴建平带领的CERNET团队愈战愈勇,仅两年后的2004年,CERNET2主干网就正式开通。 整个网络使用纯IPv6建设,连接全国20个城市25个核心节点,成为中国第一个IPv6国家主干网,同时也是世界规模最大IPv6网。 |
|
|
2004年,吴建平在布鲁塞尔宣布CNGI-CERNET2启动 在CERNET2的组网中,建设组原本可以全部使用国产设备,但他们选择了三分之二使用国产,三分之一使用国外,因为只有设备上的复杂、混合、不干净,才能最大程度暴露出问题。 CERNET2不止要建设一个中国的IPv6,还要为世界IPv6作准备。而同时期,欧盟、美国、日本才刚刚进入IPv6的论证。 2007年,互联网创始人温瑟·顿夫(Vint Cerf)访问清华大学,参观了CNGI-CERNET2。第二天,他在世界互联网技术大会中说,“在此我想提醒诸位,中国在IPv6方面已经走得比世界上任何一个国家都要远了”。 当筵意气凌九霄。 第二年,北京奥运会举办,这是中国新时代的开篇,也是互联网新时代的开篇。2008奥运会中58个场馆全面部署了IPv6系统,所有网络、传感器、摄像机均为IPv6网络,由中央控制中心无缝控制。同时外围超过15000辆出租车使用IPv6传感器,交通部门实时指挥。 |
|
|
2008年北京奥运会开幕式 在这些大规模网络中,没有使用闭路电线,没有手动配置,所有传感器全部使用标准以太网连接并自动配置。中国向全世界展示了一个名为IPv6的理想。 2008年的年末,中国成功完成了当初下一代互联网战略的第一个五年目标,但没有人想到,这已是中国IPv6的顶峰。 此后,尽是低谷。 三、孤筏重洋 1992年,为了解决IPv4数量极限的问题,IETF提出了IPv6,但IPv6不是IPv4协议的升级,而是一个全新的协议,两个协议之间无法兼容。 如果要使用IPv6,全世界的互联网设备都要同步更换硬件设备。1992年IPv6提出后,IETF等国际标准组织的共识是,全世界互联网逐步向IPv6的转移,并争取在2010年IPv4地址耗尽前完成。 如果计划顺利,那2008年北京奥运展示的IPv6模型,很可能成为世界模板,但计划不顺利,因为一种新技术技术出现了——NAT(网络地址转换)。 |
|
|
NAT技术 1994年,NAT技术首次提出,通过在路由器上安装NAT软件,就可以实现多个主机使用同一个IP地址,也就是我们常说的公网、私网。 用个比喻,过去一个IP地址代表一个人,快递员只要知道IP地址就能找到这个人,而NAT技术就是把一个IP地址变成一个小区,快递员只用把包裹交给门卫,门卫再将包裹交给住户,反过来如果住户要寄包裹,也是交给门卫。小区之外是公网,小区之内就是私网。 |
|
|
NAT示意图 NAT技术的出现大大缓解了IP地址耗竭的危机,在全世界发展IPv6的几年中,NAT技术也在蓬勃生长。 1999年,NAT技术标准提出,迅速被各国接纳,相比起要全部硬件回炉重造的IPv6,使用NAT技术只需要在路由器安装软件,成本更低,也更方便。 并且,IPv6是基础层技术,在用户侧是无法感知的,对你我他这些消费者来说,使用IPv4和IPv6完全没有区别,商家也就缺乏更换的动力。 成本和经济效益两个问题一叠加,所有国家都倒向了NAT,当然,代价是忍受资源的不平等。全世界IPv6的发展都开始放缓,中国也在2008年后进入黯淡。 IPv6的退潮换来的是NAT的升起。为了帮助NAT技术发展,IANA在全球IP地址中预留了3个私有地址网段。这三个网段的地址不会在互联网上被分配,可以在私网内自由使用,同时私网的IP不允许出现在公网,只能通过NAT使用公网IP连接。 |
|
|
公网与私网网段 任何一个有基础网络知识的人,都不会对192.168这个地址感到陌生,因为除了学校和大型企业,一般网络都会使用C类地址搭建私网。 我们在生活中使用的网络,99%也都是NAT技术映射的192.168地址。十九世纪的英国维多利亚时代,社会贫富差距极大,富人享受宫殿、舞会,穷人只能在小旅馆中用一根绳子撑着头睡觉,不能睡地上,那是另外的价钱。 如果以网络基础资源的角度看,那在二十一世纪的互联网,除了美国之外,所有人都在睡绳子,这根绳子叫192.168。 并且更惨的是,绳子还是有限的。2011年,负责分配全球IP地址的IANA宣布,最后的IPv4地址块已经分配给了五个RIR机构,此后世界再无新的IPv4。 |
|
|
2011年,IANA在直播分配最后的IP地址 这个消息并没有引起太大波澜,因为NAT技术已经解决了地址耗尽的问题。 中国对广阔天地的理想没有打动欧洲和亚洲。 2008年奥运会IPv6亮相之后,中国下一代互联网国家工程中心联合其他国家发起了IPv6 Enabled Logo项目,并在北京成立全球测试中心,帮助全球进行IPv6的标准统一,这是中国第一次在互联网领域站在规则制定者的位置上。 但全球IPv6退潮后,这个项目也走入黑暗。IPv6会不会就此蒙尘,成为理想的亡魂,没有人知道。但所有中国互联网工程师都在等。 等一场必然出现的风暴。 四、DNS诅咒 世界上所有的领域都有一个技术核心,小说的核心是文字,篮球的核心是规则,互联网也不例外,它的核心叫DNS域名解析系统。 |
|
|
互联网诞生初期,网络中只有上百台主机,技术人员只需要背下几十个主机的IP地址,就能访问任何人。但随着互联网的膨胀,主机数量从上百变成了上万,这种原始的记录方式就没有用了,人们需要一种新的记录方式。 比如,在互联网中设立一个服务器,记录下所有主机的IP地址,然后给这些IP地址备注一个简单好记的名字。,122.111是伦敦修车行,就记作LDG;192.168是南京板鸭,就记作NJDSD。 所有人进入互联网的主机都可以在这里登记,也都可以在这里查询其他人。相当于一个互联网电话簿。 但随着互联网主机越来越多遍布全世界,这种命名很容易出现重名。为了解决问题,人们决定给命名施加一个规则,比如,在名字后面加上后缀。 开在南京市的板鸭店的IP地址,就命名为:南京板鸭.中国.南京中山北路;开在纽约的板鸭店的IP地址,就命名为:南京板鸭.美国.纽约斯塔滕岛路。这样既能找到人也不会重复。 这套命名规则,就是我们今天的互联网网址。每个点后面的词都是一个域名,而负责识别域名并提供准确IP地址的系统,就叫DNS域名解析系统。 |
|
|
DNS域名树状网络(顶部为根服务器) 这个解析系统是一个树状网络,由根服务器,顶级域名服务器,二、三、四级域名服务器组成,每个服务器只储存自己域名的信息。还是南京板鸭举例。 当你输入南京板鸭.中国.南京中山北路后,你的主机会向根服务器提出请求,根服务器看到.中国后便告诉你的主机去找.中国服务器(顶级域),主机找到.中国服务器,服务器再告诉主机,去找.南京中山北路服务器(二级域),最后二级域服务器告诉你,南京板鸭店的IP地址是220.181.38.150。 |
|
|
DNS解析示意图 听起来复杂,但在DNS高度完善的今天,完成这一切,只需要几毫秒(ms)。 在这个系统中,根服务器是整个DNS系统的绝对核心,所有网址都必须通过根服务器后,才能访问顶级域、二级域,所以也是国际互联网最重要的战略基础设施,谁能掌握谁就有生杀大权。 如果说IP地址是我们脚下的土地,那么DNS,就是让我们能找到其他人的呼叫系统。而和IPv4地址一样,DNS系统也由美国掌握。 1983年,DNS的原始技术规范在互联网发布,发明人保罗·莫卡派乔斯也因此成为互联网奠基人之一。 DNS出现后,美国军方资助建设了根服务器,至今为止,全世界共有13台根服务器,用A-M命名,除了I根在瑞典,K根在英国,M根在日本外,所有服务器都在美国。 |
|
|
13个根服务器的运作单位与地址 并且13台服务器中,A根为主根,其它均为辅根。A根对所有根服务器拥有最终解释权。同时所有根服务器的文件和资料,也是由美国商务部下属的NTIA(美国电信管理局)掌控。 现在你能明白为什么说不是全世界共享互联网,而是全世界使用美国的互联网了。因为这个互联网世界的土地、工具以及所有的访问请求,都会经过美国,只要美国愿意,可以让任何一个国家断网。 如此巨大的权力当然会招来质疑。 从1987年DNS最后一次更新之后,世界范围内不乏对DNS根服务器“武器化”的担忧,随着互联网发展,这种声音也越来越大,如同一柄悬在头上的达斯克摩之剑。 为了安抚人心,1998年,美国商务部发布了一份绿皮书,向全世界征集意见,以实现一个“民主”的互联网治理方案。 根据收集的六百多条意见,美国在洛杉矶成立了一个非营利性机构,ICANN(互联网名称与数字地址分配机构),负责在全球范围内协调互联网发展,创始主席由著名慈善家埃丝特·戴森担任 |
|
|
ICANN 当年,美国商务部将IANA(互联网数字分配机构)和NTIA(美国电信管理局)两个机构的职能,全部移交给了ICANN。同时在章程中规定:ICANN可以收取一定费用维持运营,以保证不受任何国家的资金操控。 美国开诚布公的行动让全世界都放心了,质疑声烟消云散,对所有国家来说,这都是一个完美的互联网解决方案,多边、民主,能够确保世界互联网的独立。当然,要是这个方案能真的实施就更好了。 对美国来说,自己已经拥有足够多的IP地址,IANA掌管的IP地址分配职能无可厚非,但NTIA手中的根服务器权力太过重要,无法轻易割舍。 1998年ICANN成立后,两个机构的职能都逐步移交给了ICANN,美国商务部却利用与NTIA的合同,保留了对DNS根服务器的最终控制权。 |
|
|
NTIA简介 这次移交虽有瑕疵,但ICANN的出现已经够激动人心。没有人再纠缠不放。 2002年,应许多国家的呼声,ICANN开始在全球布置镜像根服务器。就是将根服务器中的数据复制到新的服务器中,安装在各地各国,这样所有的解析请求都可以直接访问自己国家的镜像根服务器,能够降低延迟,帮助世界互联网发展。 中国不会错过这样的机会。从2003年开始,中国陆续引进了多个镜像根,截止2022年,全世界已有1546个镜像根服务器,其中有40个在中国。 |
|
|
全球镜像根服务器分布图,中国区域数字为包括韩国日本的数字 即使真的有一天断根了,我们也可以用数据备份搭建应急根服务器来解决。这是不是意味着根服务器的困境解决了?没有。 以往中国面对的封锁问题基本都是技术问题,是“有没有”的问题,而DNS不同。根服务器没有技术壁垒,全世界都能造,但数据和系统只有一个人有,这是“认不认同”的问题。 比如我们建立了镜像根服务器,没有了断根的风险,但我们的镜像根在法定上仍然从属于主根。如果主根拒绝授权,同样会被踢出去。 中国互联网澎湃发展的十几年中,除了一些技术人员、专家、网络工程师外,鲜少有人提到DNS这个问题,因为它和IPv6一样属于专业技术,除非行业人士,普通人不可能意识到。 不过就和IPv6研究有吴建平领头一样,DNS的安全问题也有一个人在推动——吕述望,密码学家,中科院院士,中国第一个公开商用密码算法SMS4的创始人,数字物理噪音源芯片(WNG4)发明者。 |
|
|
吕述望 或许是因为专业中对“安全”的天然感知,这位密码学家从90年代互联网进入中国后,就一直在呼吁DNS系统的安全问题。 2002年中国大力建立镜像根服务器,就有这位专家的长文推动。 镜像根服务器建立之后,吕述望愈战愈勇,不满足于国内安全,开始用密码专家的影响力在国际上奔走,一度让美国相关机构看到他就头疼,他们把吕述望称为“互联网分裂者”,他很生气,说你怎么能这么小看我,我明明是互联网的掘墓人。 吕述望没有说错,10年后那场DNS风暴中,他真的给互联网的墓来了一铲子。 五、燃烧的世界树 就像前面说的,中国IPv6在2008年后渐入低谷,DNS安全也久悬未下。听起来这是两个不同的难题。但并不,IPv6和DNS面临的其实是同一个难题——话语权。 在这个问题上,我们需要交给时间。 短期内来看,世界需要互联网发展,美国也需要互联网发展来巩固霸权,二者能够和平共处。但长期来看,世界互联网的终点一定是多边机制,与美国的切身利益相反,这是二者不可调和的根本矛盾。我们只能等待这个矛盾出现。 |
|
|
互联网全球化 图危制变,虑难立权。 吴建平率领的IPv6蛰伏冰下,吕述望在黑暗中为DNS安全奔走。最终在2012年,短暂的和平迎来了裂变。 2012年,纽约时报援引秘密官员的消息,报道了“奥林匹克行动”,引起世界关注。 但奥林匹克只是互联网安全风波的预热,一年后,斯诺登出逃,棱镜门事件爆发,这个在水面下运行数十年的窃听计划曝光。近80多个国家遭到监控,35个国家元首被窃听,其中包括日本首相、德国总理默克尔。苹果、微软、谷歌、思科 、IBM、高通、英特尔等世界巨头均牵涉其中 |
|
|
G20峰会上,对奥巴马表示不满的默克尔 在中国方面,北京、上海、成都、香港、台北,都在窃听目录。商务部、外交部、中资企业、科研机构为重点窃听对象,甚至华为、腾讯、飞信、海尔,都没有逃过。 棱镜计划的窃听对象之广、牵涉之大、影响之深,引发了美国外交大地震。 对欧洲、拉美来说,重要的不是美国进行了窃听,而是美国对盟友也进行了无差别的窃听。棱镜门事件爆发后,各国都向美国发出了质询,但却没有得到解释、道歉、弥补。 2013年6月7日,美国国家情报总监詹姆斯·克拉珀发表声明,“棱镜计划是合法行动”,并将斯诺登称为懦弱叛徒,世界哗然。 7月1日,玻利维亚总统埃沃·莫拉莱斯在采访中表示,他将考虑接受斯诺登的庇护申请,仅仅一天后,法国、西班牙、意大利在美国的授意下拒绝了这位总统的飞机经过,于是莫拉莱斯只得绕道飞往维也纳,但抵达维也纳后,他的飞机遭到了突击搜查。 |
|
|
埃沃·莫拉莱斯 一国之主,落如此遭遇。 我们常说2013棱镜门是世界影响最深的安全事件,它的重要不仅仅在于霸权淋漓尽致的体现,还在于这件事真正让所有人注意到了比窃听更危险的领域:IP地址与DNS。 前面我们说了,DNS系统诞生之初设定了顶级域、二级域等域名。为了实现互联网共治,ICANN规定每个国家都有自己的顶级域名。 如中国的.CN、英国的.UK和德国的.DE,这些顶级域被视为一个国家的主权空间。虽然美国保留了DNS根服务器的控制权,大家也都默认美国不会侵犯主权空间。但只是默认。 2003年,伊拉克战争爆发后,美国动用DNS根服务器权力,删除了伊拉克国家顶级域名.iq,于是,整个伊拉克都从互联网消失了两年;2004年,利比亚与美国发生冲突,当月,利比亚国家顶级域名.ly瘫痪,利比亚在互联网消失三天。 |
|
|
伊拉克战争 现实世界中,两个国家的国土不可动摇,但在互联网世界,却可被随意划改。 这还只是简单粗暴的打击,几年后,美国操控的DNS体系已经进化成为了精准的手术刀。 ICANN划分的顶级域名中,不仅有国家专属的顶级域,还有世界通用的顶级域。比如大家熟悉的.COM。 2010年11月29日,美国国土安全局以涉嫌违法犯罪为由,对82个.COM伊朗网站发出了扣押令,所有人在访问扣押网站时,都会看到这样一张图。 |
|
|
美国国土安全局的扣押通知 于是,一个伊朗人,坐在伊朗的家里,打开伊朗的网站,却发现自己被美国法律制裁了。 美国为什么能扣押.COM域名?因为掌握.COM域名的公司威瑞信(Verisign)在佛吉尼亚州,受美国法律管辖。 比这更恐怖的是,威瑞信除了持有.COM、.NET两个通用顶级域名外,还是13个DNS根服务器中A根和J根的运营商。并且,棱镜门事件,威瑞森也是参与者。 如果说2003年的伊拉克、利比亚域名消失,2010年伊朗域名扣押这些事件后,欧洲都还抱有“这些国家都是小国”的侥幸心理,觉得自己不会遭此对待,那2013年的棱镜门事件,就是给欧洲泼了一盆冷水。 |
|
|
棱镜门听证会 今天可以无差别窃听,明天同样可以无差别封锁,再加上美国的强硬态度,和威瑞信卷入棱镜门,坚如磐石的欧美互信,出现了一丝裂缝。 巨大外交压力下,美国不得不选择退步。2014年3月14日,美国商务部宣布,NTIA将放弃对DNS根服务器的最终控制权,并将权力移交给ICANN。 |
|
|
2014年,NTIA移交权力的声明 这场DNS根服务器控制权的转移最终在2016年10月1日完成,ICANN在官网发布声明,将这一时刻称为“历史性时刻”。 但历史不会这么容易清算。 美国放弃了DNS根服务器的直接控制权,但掌握A根的威瑞信仍然由美国管理。并且早在2012年,美国就宣布过有权扣押任何.COM等域名。 |
|
|
2012年,美国移民和海关执法局发言人妮可·纳瓦斯宣布有权扣押任何.com、.net和.org域名 问题没有解决,只是藏得更深了而已 历史的车轮缓缓碾过,欧美联盟在窃听中被动摇,DNS解析系统出现信任危机,每个国家都迫切需要一套方案、一条退路、一个盟友 ,来解决互联网安全问题。 所有人都怒了,只等待一个将他们心里怒火勾出来的人。 六、横海怒舶 2013年6月棱镜门爆发后,各国开始重视互联网安全。 11月,巴西宣布将颁布法律,要求巴西公民和公司产生的任何数据都要在国内存储。欧盟同期也开始审议新的数据保护法,除非得到成员国同意,否则不得传输欧盟公民的个人数据。 中国亦开始讨论网络安全问题。2013年8月,发改委下发信息安全专项通知,针对金融、云计算、信息系统、工业控制,四个方向提出了若干要求。 |
|
|
2013年发改委信息安全专项通知 此时全世界都集中在解决“安全问题”这个点上,如果互联网安全是一座房子,那大家都在给这座房子打补丁。 中国也同样。但四个月后,事情发生了改变。 2014年1月21日,平淡的一天。大人置办年货,孩童点燃爆竹,中国铁路紧张进行春运。所有人都在等待新年的到来。 下午3点20分,整个中国所有正在上网的用户都突然失去链接。百度、微博、淘宝等门户网站均无法访问。 |
|
|
光明网对断网事件的报道 两天后,国家互联网应急中心证实,故障是由于根服务器遭受攻击所致。 这次攻击迷因重重,事发时该DNS服务器面向其他国家的解析正常运行,唯独面对中国大规模错误。倘若是网络攻击,那这种攻击相当于一伙劫匪冲进酒店,什么都没动,偏偏抢了二楼角落的一个房间。既不合理,也不应该。 有人认为这是美国对中国在棱镜门事件上强硬态度的打压,有人认为这是黑客无差别攻击。无论真相如何,我们都没法证实,因为根服务器与我们无关。 这听起来是一个无解的困境,但并非如此。前面我们说了,IPv6在实际应用中面临着一个巨大的成本问题,即IPv6和IPv4是完全不同的协议,所有硬件都需要更换。DNS解析系统同样是建立在IP地址上的。 所以,如果使用IPv6,也必须重新设立IPv6的DNS服务器,这意味着世界将有机会打破美国掌控DNS的局面。 |
|
|
历史的车轮就是在这个下午转向的,有人意识到,我们需要的不是一栋房子,而是一栋建立在我们自己的土地上的房子。 伏冰五年的中国IPv6,终于迎来机会。 2014年8月,中国正处炎热,韩寒的新电影上映不久,南京地铁S8号线刚刚开通,平淡如水的日子中,一场会议在北京举行——“互联网未来基础技术发展研讨会” |
|
|
互联网未来基础技术发展研讨会 这场会议的参与人包括保罗·维克西,DNS域名软件之父;斯蒂芬·肯特,互联网安全体系之父;比尔·曼宁,互联网根服务器B根创造者;安德鲁·沙利文,IPv6协议DNS64创造者;马克·布兰特,DNS域名系统设计者;全吉南,韩国互联网之父。 中国方面的参与人包括胡启恒,中科院院士;于全,中科院院士;刘东,天地互连公司总裁;毛伟,互联网专家。 |
|
|
部分参会人员信息 整个会议参与者均为互联网顶级专家,其中包括两个互联网奠基人,四个互联网名人堂入选者。但和阵容级别不符的是,这场会议没有任何排场,没有灯光、演讲,也没有大屏幕。 在互联网上你甚至找不到这场会议的记叙,但它却真真实实改变了世界。 研讨会四个月后,2015年,中国下一代互联网工程中心领衔发起“雪人计划”。 |
|
|
雪人计划 这个计划提出以IPv6为基础,在全世界设立根服务器。法国、巴西、新西兰、荷兰最先响应;日本、印度、俄罗斯、德国随后加入。 2015年6月,雪人计划在ICANN正式制定执行,最终参与国16个,计划协调员为保罗·维克西、日本WIDE、北京天地互连。 这是世界互联网DNS系统自1998年后,最大的一次行动。 2017年11月27日,中国下一代互联网国家工程中心宣布“雪人计划”已在全球部署25台IPv6根服务器。架构为3+22(3个主根 22个辅根),中美日各设一台主根服务器,其余国家依需求设立辅根服务器。同时三个主根间等级平等,无法互相影响,这确保了所有辅根的稳定安全。 |
|
|
雪人计划根服务器分布情况 这25根服务器的加入,打破了此前13个根服务器的困境。在雪人计划之前,美国只要停止对中国的解析,就能让我们从互联网消失。在雪人计划之后,美国连这一点也无法做到了。 这代表一劳永逸了吗?并不。 ICANN、IEEE、IETF这些国际组织,多年以来的唯一标准就是建立一个技术统一的互联网。如果要进入IPv6,必须全世界一起。 此前美国独占话语权,将全世界停留在了IPv4,没有美国的允许,任何人都无法脱离出来独自发展。 ICANN的所有文件中,你都会看到雪人计划仅仅是一个试验性的计划,如果要借此挑战既有体系,只有死路一条 |
|
|
雪人计划声明 在国内外许多报道中,都将雪人计划描述成收兵的凯旋歌,但不是,它是冲锋号,是在棱镜门和DNS霸权之后,中国联合世界各国,尝试在现有体系中撕出一道口子的试验。 如果美国发难,这个试验仍会充满未知数。 而且仅仅是这样一次试验,也危机重重。 2015年6月雪人计划启动后,招致白宫不满。六个月后,2016年,世界经济论坛发布了一份白皮书,在DNS域名系统报告中,将雪人计划称为“危害互联网的变种”。 |
|
|
世界经济论坛白皮书中的DNS报告 DNS域名软件之父保罗·维克西当即发布文章,声明“雪人计划”仅仅是一个试验,除非IANA允许,任何人都无法更改互联网体系。日本wind、中国互联网中心随后也发表同样声明,才将指责化解。 除了无端攻击外,你会发现雪人计划共有3个主根设立在中美日,雪人计划3个主根的数据均继承自日本wind的M根,日本提供了数据,中国提供了技术并牵头发起计划,美国没有任何贡献,但仍然得到了一个主根。 计划背后的重重惊险与让步,可见一斑。 如果说在IPv4时代,中国通过设立镜像根服务器解决了“生死”的问题,那么雪人计划中设立的IPv6服务器,就是解决了“端稳饭碗”的问题。 但这还不够,远远不够。对世界来说,加入雪人计划是为了DNS安全,而对中国来说,雪人计划只是中国IPv6的关键一步。 七、工业再构 为什么IPv6对中国如此重要?因为它是中国过去十年最重要改革的一部分,我们需要用几分钟向你讲清楚这个改革。 过去三十多年中,中国经济经历了高速增长,主要是靠对劳动力、自然资源、资本,这三个要素的供给实现的,比如改革开放后劳动力进入城镇,这是劳动力供给;出让土地使用权生产煤炭、制造钢铁,这是自然资源供给,等等 |
|
|
三个要素 这三个要素在过去是拉动中国经济腾飞的“三驾马车”。但发展三十多年后,这三架马车开始减速。 2015年,中国经济指标的联动性开始出现背离,比如居民收入增加,但企业利润下降,消费上升而投资下降。中国面临着一个比其他国家更诡异的“中等收入陷阱”。这一年也被称为中国经济的新阶段,如果跨不过这个坎,复兴无望,我们必须重新为市场提供新的东西。 过去国家投资建设全国高速公路,造就了淘宝、京东的出现;村村通4G的建设计划,让中国互联网产业迅速积累经验成为世界第一。这些都是国家供给基建,然后企业和市场来创造价值的典型案例。但当经济进入新阶段后,旧的发展模式已经疲软,我们必须为市场供给新的东西。 比如——IPv6。 就像前面说的,使用IPv4和IPv6对普通人来说没有任何差别,但对工业互联网不同。举个例子,工业互联网中依靠大量传感器来实现监控和控制,智能路灯、智能流水线,这些设备中的每一个传感器都需要IP地址。 |
|
|
智能生产线 IPv4时代的工业互联网中,只能使用NAT来解决,但这大大降低了效率。由于NAT隔离了终端和网络,所有指令和数据都需要通过多个NTA网关,很容易导致对象丢失。 为了解决这个问题,工程师和程序员都只能让传感器不间断传输,保持主机和传感器间的通讯,但这种行为大大增加了设备的功耗和信令负担。 能耗是其一,NAT还消灭了工业互联网的可能性。 比如我们修建了一条公路,有智能路灯和智能监控,两种设备的运作方式不同,只能使用不同的NAT网络来链接。但不同的NAT网络间是无法对话的,因为会出现地址冲突 |
|
|
NAT地址冲突 也就是说在物理上,我们把路灯和监控装到了一起,但在互联网通信层上,两个东西隔着十万八千里。这一切的解决方案,是IPv6。 如果我们使用IPv6,那么每一个设备都能得到一个独立的IP地址,所有的设备都可以互相对话、互相控制。 比如我们完全可以实现公路夜间灯光控制,通过监控实时定位车辆,车来开灯 ,车走关灯,不必所有路灯都夜间常亮。甚至只要传感器够多,还可以通过监控检测车辆的车灯亮度,然后路灯自动调整亮度和发光角度,保证车辆得到完美视野。不晃眼、不反光,没有盲区。 这还仅仅是IPv6在工业互联网中的一个小小遐想,如果真的实现,技术发展只会更快。而要在全国大规模部署IPv6,只有国家级的力量能做到,所以,我们需要为全国提供IPv6以求发展。 这种在供给侧进行改变提供增长的模式,和传统的供给学派理论不同,为中国独有,它有一个名词——供给侧改革。 |
|
|
供给侧改革 现在,你搞懂中国过去十年最重大改革的基本逻辑了,让我们回到IPv6。 有改革就要有实施,那么,中国IPv6的改革是如何实施的? 前面我们提到,2014年8月,互联网未来基础会议召开,但这场奠定雪人计划的会议中,还藏着一个中国IPv6的关键人物,邬贺铨,中国工程院院士,中国数字通信先驱之一。 |
|
|
邬贺铨 你很难想象,这个在现实世界略显瘦削的老人,在互联网世界,却是中国IPv6的大将。 从2012年开始,邬贺铨就任职中国IPv6规模部署专家委主任,主导中国的IPv6大范围应用。当年,多部委联合发布IPv6的建设意见,围绕标准制定、规模应用、产业发展制定了多个目标。 如果说吴建平是中国IPv6的学术带头人,吕述望是中国网络安全的吹哨人,那邬贺铨,就是将这一切付诸实现的执行人。 雪人计划宣布完成的同一年,2017年11月26日,国务院发布行动计划,开始IPv6的全国战略部署。 |
|
|
2017年国务院发布的IPv6行动计划 计划提出到2018年末,IPv6活跃用户数达到2亿,在互联网用户中的占比不低于20%,省部级以上网站 ,必须全面支持IPv6,并建立国家级IPv6发展监测平台,定期发布报告。 这份文件,是中国IPv6浪潮再起的第一缕水花。 五个月后,工信部发布行动计划,提出了落地IPv6的详细措施,直接对接四大运营商及阿里巴巴、腾讯、华为、小米等大型企业,同步IPv6的具体落地。 |
|
|
工信部文件 到这里你一定会有一个疑问,IPv6要如何落地? 我们在第三章提过,IPv4和IPV6是两个不同的协议,更换协议需要全世界一起更换硬件,成本巨大,难道全中国都要换硬件吗?并不。 2008年,NAT技术出现,能够将一个公网地址扩张成无数个私网地址,极大缓解了IP地址的枯竭,同时也阻碍了IPv6的发展。但几年之后,这个NAT技术演变出了一个新的协议——NAT-PT(网络地址转换协议)。 |
|
|
NAT-PT技术示意图 这个协议可以实现一对一的地址映射,并建立连接。简单来说就是,它可以将IPv6的地址,翻译成IPv4,让不同IP协议的主机互相对话。 2014年后,这个技术成为了全世界从IPv4过渡到IPv6的方法,我们可以在所有的IPv6设备中加入NAT-PT协议,保证现有网络不受影响,然后再逐步淘汰IPv4,最终实现纯IPv6。徐以图之。 曾经阻碍IPv6发展的NAT技术,后来却成为了IPv6腾飞的助力,情况发展的戏剧性超出了大家想象。 在关于这件事的讨论中,有人说这是技术决定论中“技术发展决定历史走向”的证明;也有人说这是中国文明缺乏创新的体现;还有人认为这是宗教中宿命论的例证。都错了。 科学技术固然是核心,但社会是一个有机系统,生产力对社会的作用要通过与生产关系的矛盾运动,和经济基础与上层建筑的矛盾运动来展开。 在2008年之前,互联网生产关系的矛盾是扩张与成本,NAT技术必然帮助扩张。但2013年之后,生产关系的矛盾逐步变化为霸权与安全,为了适应新的生产关系,NAT技术也必然演变出NAT-PT。 |
|
|
NAT的两个必然 换句话说,中国IPv6的发展,并不是NAT-PT技术的全功,而是中国人民在把握技术与社会的矛盾时,坚持人民群众利益的理念,于时代浪潮中造出来的。文学会骗你,宗教会骗你,但事实不会。 说回IPv6。 行动计划发布同年,2017年11月,世界互联网基础设施论坛(IIF)在中国举办揭牌仪式,邬贺铨、保罗·维克西、全吉男等近十位全球顶级互联网专家共同揭幕。 |
|
|
互联网基础设施论坛揭幕式 这场会议之后,此前原定在2017年结束的雪人计划,顺利开启了第二期,所有参与国的安全协定进一步完善。我们建立了一个真正民主、多边、合作的组织。中国IPv6发展也迎来高峰。 2020年12月,CNTC大会在中国召开。CNTC全名全球网络技术大会,由中国下一代互联网国家工程中心主办,自2016年首次举办以来,这个大会已成世界互联网盛会之一。 |
|
|
邬贺铨在2020GNTC大会上作演讲 2020大会上,中国工程院院士邬贺铨表示,中国三大基础运营商,全国骨干网均已支持IPv6;城域网设备支持度达到95%;市场主流软硬件全部支持IPv6。地址数量、技术标准、合作频率,中国均走在了世界前列。 这场会议上,中国同时宣布推出公共DNS服务。这是全球首个纯IPv6的公共DNS服务,只要在本机的IPv6协议中将DNS服务器设置为240C::6666,你所有的解析请求,都将使用中国IPv6根服务器,智能、安全、稳定。 |
|
|
中国公共DNS开通 如果你是一名家长,甚至还可以在国家IPv6公共DNS网站中开启家长控制,从计算机的IP层进行限制,实现对孩子的保护。 当然,如果你的孩子能够破解这种IP层的控制,那贪玩就不是问题了,你应该送他去学计算机。 大会的同年,2020年,中国发布第47次互联网发展状况报告,在互联网基础资源中,中国的IPv6地址拥有量已达57634块/32,位居世界第二。 |
|
|
中国第47次互联网发展状况报告 每1个块/32的地址数量等于2的96次方,也就是近8亿个地址,57634块等于46万亿。如果算成人均,则是一人3万个。 不过这不是我们的终点,因为也许未来你全身上下的每一个细胞,都需要一个IP地址。 从1994年CERNET落地,到2008奥运展示,再到2022 世界联合,这个名为IPv6的理想,在中国的三十年激荡中飘摇、落定、成长,最终造出时代之势。 中国呼啸而来,时代亦呼啸而来。 吴建平没有离开学术,到2018年,他已先后培养研究生100余名,并被增选为中国工程院院士;吕述望仍在为DNS安全奔走,论文被译作多种语言传播;邬贺铨的征程还未告落,2020年的大会上,他宣布将继续拓展IPv6的边界,围绕6G、量子技术、卫星网络继续攻坚。 中国IPv6的故事还没有落幕,甚至还没有达到高峰,因为我们还差最后一步——使用率。 到2022年9月,中国IPv6活跃用户已达到7亿,占中国网民的67%,但从实际网络流量上看,IPv6的流量却只占到了9%。 造成这个现象的原因,是路由器。因为在真实生活场景中,绝大部分人是使用wifi进行上网。自2018年后,中国就要求主流路由器全部搭载IPv6。但在实际生产中,许多厂商为了稳定,都将IPv6功能设置为了默认关闭。 |
|
|
工信部文件 如果说IPv6是一条互联网高速公路,这就相当于我们铺好了路、建好了桥,却发现没有人开车上来,因为入口被关了。 2022年,网信办发布深入推进IPv6安排,明确要求到2022年末,新出厂的路由器必须全面支持IPv6,并默认开启IPv6功能。 如果你的路由器是2018年后购买 ,2022年前安装的,那大概率没有开启IPv6,你可以在浏览器中输入192.168.1.1,进入路由器设置,手动将IPv6功能开启。 |
|
|
IPv6设置 按下这个按钮,你的网速不会变得更快,你的信息不会变得更多,唯一不同的是,你在互联网世界所踩的每一寸土地,都将属于我们自己。它是我们前往新大陆的船票,再起高楼的奠基石,是我们在这片旷野之中紧攥的火种,将我们的过去、现在,送往未来。 历史的债在这里还清。我们将穿越黑暗,带着火光重临热土! 现在,烈火燎原! 原文 |
|
如果不懂,那么我首先给大家爱普及一下协议吧! 我们现在所说的上网,就是上“国际互联网(Internet)”。互联网是基于TCP/IP协议族的,而IP是这个协议族中的核心组成部分。 |
|
|
TCP/IP模型对应的协议 IP是网络层协议。它的主要任务,就是根据源主机和目的主机的地址,进行数据的传送。 |
|
|
大家一定经常听说IP地址。是的,IP地址就是IP协议里面的概念。你要联网,就要有IP地址,就像你要寄信,就要有门牌地址一样。 什么是 IPv6 IPv6 是最新版本的互联网协议(Internet Protocol)(IP),它可以跨互联网识别设备,从而确定它们的位置。、 IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议,号称可以为全世界的每一粒沙子编上一个网址。 IP地址又是什么呢?就是你刷抖音、玩游戏、追剧、聊微信的时候,你在互联网上的“门牌号”。 既然IPv6是第6版,说明在它之前有更老的版本。我们现在广泛使用的,就是IPv4,也就是第4版。 IPv6协议的地址长度是128位,全部可分配地址数为2的128次方(2^128)个,不再存在地址匮乏问题。同时,IPv6地址表示方式和IPv4也不同:IPv4地址表示为点分十进制格式,32位的地址分成4个8位分组,每个8位以十进制数显式,中间用点号分隔。而IPv6采用的是十六进制格式,既128位地址是以16位为一分组,每个16位分组写成4个十六进制数,中间用冒号分十六进制格式。 首选格式: 2001:0410:0000:1234:FB00:1400:5000:45FF 现在是IPv4网络,IPv6现在部署的话需要做些什么? 现在是 IPv4 网络,没有必要也不可能所有节点同时升级成 IPv6。在部署 IPv6 的时候可以逐步过渡,并且尽量使用一些技术使得网络升级变得比较平滑。在从 IPv4 转换到 IPv6 过程中常使用的技术有: (1)双栈技术:即设备或者终端同时支持IPv4和IPv6的协议栈,使得设备能在ipv4和ipv6环境下都正常工作(所有设备都需要支持双栈) (2)隧道:解决ipv6"孤岛"问题 <1>手工隧道:需要手工指定隧道的终点 a、IPv6 over IPv4手动隧道 直接把IPv6报文封装在IPv4报文中。边界设备必须是支持双栈的设备,中间的IPv4设备按照正常包转发进行处理 b、GRE隧道 把IPv6报文封装在GRE报文中,GRE前再加上IPv4的报头 GRE相对ipv6 over ipv4隧道多了4byte的GRE头部,封装和解封带来的开销相对来说比较大 <2>自动隧道:可以自动获得隧道终点的IPv4地址 a、6to4 把终点放在IPv6地址的第2、3块 tunnel地址的格式:2002:32bit ipv4 address ::x/64 写两条静态路由: 2002::/16 tunnel 目标网络 下一跳:为目标网络的tunnel口地址(2002:ipv4 address::x) (3)NAT-PT:实现IPv6网络的主机和IPv4主机的互访 <1> 静态映射的NAT-PT机制 <2>动态映射的NAT-PT机制:需要建立地址池 <3>NAPT-PT机制:不同的IPv6地址转换时,可以对应同一个IPv4地址,通过端口号来区分不同的IPv6主机,从而使多个IPv6主机能共享一个IPv4地址完成转换 |
|
|
Pv4 到 IPv6 的过渡技术 IPv6 在 1992 年被提出,到现在已经二十多年,IPv6 技术的发展已经很成熟,那么 IPv4 能否一下全部切换到 IPv6 呢,答案肯定是否定的。主要因为 IPv6 不是 IPv4 的改进,IPv6 是一个全新的协议,在链路层是不同的网络协议,不能直接进行通信。而且目前几乎都是在使用 IPv4,所以这种转换可能会持续很久。 目前,IETF 已经成立了专门的工作组,研究 IPv4 到 IPv6 的转换问题,并且已提出了很多方案,我们先介绍其中几种。 双栈技术 IPv4 和 IPv6 有功能相近的网络层协议,都是基于相同的硬件平台,同一个主机同时运行 IPv4 和 IPv6 两套协议栈,具有 IPv4/IPv6 双协议栈的结点称为双栈节点,这些结点既可以收发 IPv4 报文,也可以收发 IPv6 报文。它们可以使用 IPv4 与 IPv4 结点互通,也可以直接使用 IPv6 与 IPv6 结点互通。双栈节点同时包含 IPv4 和 IPv6 的网络层,但传输层协议(如 TCP 和 UDP)的使用仍然是单一的。 双栈技术具体有哪些优缺点呢? 优点: 处理效率高、无信息丢失 互通性好、网络规划简单 充分发挥 IPv6 协议的所有优点,更小的路由表、更高的安全性等。 资源占用多,运维复杂。 缺点: 无法实现 IPv4 和 IPv6 互通 对网络设备要求较高,内部网络改造牵扯比较大,周期性相比较较长。隧道技术 隧道技术指将另外一个协议数据包的报头直接封装在原数据包报头前,从而可以实现在不同协议的网络上直接进行传输,这种机制用来在 IPv4 网络之上连接 IPv6 的站点,站点可以是一台主机,也可以是多个主机。隧道技术将 IPv6 的分组封装到 IPv4 的分组中,或者把 IPv4 的分组封装到 IPv6 的分组中,封装后的 IPv4 分组将通过 IPv4 的路由体系传输或者 IPv6 的分组进行传输。 隧道技术的优缺点则为: 优点: 无信息丢失 网络运维相比较简单容易实现,只要在隧道的入口和出口进行修改 缺点: 隧道需要进行封装解封装,转发效率低。 无法实现 IPv4 和 IPv6 互通 无法解决 IPv4 短缺问题 NAT 兼容性不好NAT-PT 技术 NAT-PT 技术附带协议转换器的网络地址转换器。是一种纯 IPv6 节点和 IPv4 节点间的互通方式,所有包括地址、协议在内的转换工作都由网络设备来完成。NAT-PT 包括静态和动态两种,两者都提供一对一的 IPv6 地址和 IPv4 地址的映射,只不过动态 NAT-PT 需要一个 IPv4 的地址池进行动态的地址转换。NAT-PT 技术有个最大的优点就是不需要进行 IPv4、IPv6 节点的升级改造,而缺点也是十分明显的。缺点是 IPv4 节点访问 IPv6 节点的实现方法比较复杂,网络设备进行协议转换、地址转换的处理开销较大一般在其他互通方式无法使用的情况下使用。 IPv6的核心优势 IPv6的核心优势是端到端更加透明,同时也是更加安全,也有更好的移动特性。今天因为那几个字节贯穿了所有,从硬件、网络,系统,应用。导致我们推动这个事情非常困难,这个时候需要所有人、所有互联网公司、运营商、终端一起努力做这些事情,一起推动这件事情的发生。 唯一的问题 如果IPv6真的比IPv4好那么多,为什么它还没有被广泛使用起来?Google在2014年5月份估计IPv6的市场占有率为4%。一个最基本的原因是“先有鸡还是先有蛋”。服务商想让自己的服务器为尽可能多的客户提供服务,这就意味着他们必须部署一个IPv4地址。 当然,他们可以同时使用IPv4和IPv6两套地址,但很少有客户会用到IPv6,并且你还需要对你的软件做一些小修改来适应IPv6。 另外比较头疼的一点是,很多家庭的路由器压根不支持IPv6。还有就是ISP也不愿意支持IPv6。 我问过我的ISP这个问题,得到的回答是:只有客户明确指出要部署这个时,他们才会用IPv6。然后我问了现在有多少人有这个需求,答案是:包括我在内,共有1个。 IPv6的缺点 微软公司肯定是在发现最新的安全问题之前就已经开发了IPv6。安全问题方面最显著的问题就是微软的IPSec (IPv6 IP安全协议) 。IPSec支持认证传输和通道模式下的认证头(Authentication Header,AH) 和封装安全有效负载(Encapsulating Security Payload ESP)。但是微软ESP不支持数据加密 另外,微软IPv6不支持与协商SA的Internet 密钥交换协议 (Internet Key ExchangeIKE),你无法通过组策略来配置lpv6的IPSec安全策略,只能用手工配置。计算每台服务器的SA、MD5加密和安全散列算法1 (SHA-1)也只能手工计算。 手工配置所有服务器的安全密钥和静态安全阵列无疑是场灾难。如果安全密钥是静态的手工配置的,那数据的安全最终将会被破坏。即使能够进行正确配置,这些密钥随着被捕获的加密数据样本的增多,最终还是会被破译。 我是终端研发部的小于哥 @终端研发部 每天专注技术开发小技巧,技术教程进阶,职场经验,面试的分享,希望我的回答能够帮助到你哈,笔芯~ |
|
因为越来越普及了,就像IPv4为什么不火?为什么要火呢? |
|
上海电信需要你打电话报修,他才帮你开通。 客服都不明白什么叫ipv6,不开报修单,他能帮你办理的业务只有桥接和公网ip。 这是2023年2月的事。 明显有用的有torrent,可以连接到v6用户;还有ipv6的tv节目,因为用得人少,所以 速度快。 其他没啥用,别说国内网站,国外U管什么也没开。本来寄期望的FQ是不是会方便些,问题是墙外也都是V4。V6根本翻不出去好么。 全世界都没准备好。 其他你说手机移动全是v6,但和公网v4并没有明显区别,测速显示,在误差范围内,大概v6比v4延迟稍微好点。 综上,都是在你有V4公网的前提下,如果你的运营商没有V4公网分配给你,那么你有V6地址在P2P应用上还是有些改善的,如果你是v6v4公网双栈,在使用体验上基本无差别。 |
|
不能说是IPv6不火了。 在某种意义上来说,IPv6一直处于一个不上不下的尴尬地位。 目前来看,绝大部分互联网产业链是非常认可IPv6的,不过没有人愿意为了推动IPv6的进展而买单。 就算目前市面上广泛使用的IPv4已经暴露出了“资源匮乏”的问题,但依然有很多产业链无法放弃IPv4,究其原因只有一个:过渡及其不平滑。 因为IPv4与IPv6不兼容,想要替换的话必须重新更换设备,这对于大部分的产业是无法接受的。所以,目前大部分产业依旧在挖掘IPv4的使用潜力。 |
|
|
毕竟更新就要花钱,还要承担一些不可控的风险。对于企业的“求稳”态度来说,是不可能更换的,最起码近几年不太可能。 更何况,看不到更换过后的收益。 不过,IPv6始终会取代IPv4的,这是所有互联网产业都认可的事情。 越来越多的新业务,只靠IPv4是无法支撑的。而Pv6的发展,能直接支撑移动互联网、云计算、物联网等新型业务,满足网络基础设施升级的迫切需求。 所以,IPv6的未来,是可以预见的。 只是现在,还没到它“该“火的时候。 |
|
|
| [收藏本文] 【下载本文】 |
| 上一篇文章 下一篇文章 查看所有文章 |
|
|
|
|
娱乐生活:
电影票房
娱乐圈
娱乐
弱智
火研
中华城市
印度
仙家
六爻
佛门
风水
古钱币交流专用
钓鱼
双色球
航空母舰
网球
乒乓球
中国女排
足球
nba
中超
跑步
象棋
体操
戒色
上海男科
80后
足球: 曼城 利物浦队 托特纳姆热刺 皇家马德里 尤文图斯 罗马 拉齐奥 米兰 里昂 巴黎圣日尔曼 曼联 |
| 网站联系: qq:121756557 email:121756557@qq.com 知识库 |