2.域名问题

在IPv4/v6综合组网环境中,一个值得关注的问题是:域名空间的破碎问题。所谓的域名空间破碎是指由于DNS服务器所组成的树状结构被切断,使得网络中的某些DNS服务器不能访问造成这些DNS服务器所负责的域名不能被解析,在域名空间中形成了盲区(空洞)。在IPv4/v6综合组网环境中,造成这种现象的根本原因是一些DNS服务器并不是IPv4,IPv6同时可达的。在域名解析时,将按照域名树状空间中的条从根到叶的链来顺序查找域名的不同部分,从而实现域名解析功能。当这个链中的某一个环节(DNS服务器)不能按照链上其他环节所采用的某种IP协议而访问时,则域名的查找过程中断,域名解析失败。例如,一个DNS服务器A只支持IPv4访问,而其下一级DNS服务器B只能支持IPv6访问,则当DNS服务器A对其所管理的域名进行解析以后,要访问DNS服务器B而此时A是不能访问B的,因为两者的IP协议不同。解决这个问题可以有多种思路:

(1)可以要求DNS服务器均双IP协议栈,从而使得域名树状空间中的每一条可能的链均可以支持两种IP协议的访问;这种方式的好处是域名空问中的每一个角落均是IPv4和IPv6可达的,因此域名空间对于IPv4或IPv6访问协议来说都是连通的。缺点是对网络的改动比较大,对个别DNS服务器的升级可能需要中断域名服务。

(2)在两个支持不同IP协议的DNS服务器之间采用翻译技术(如NAT-PT),将基于IPv4协议的DNS请求信息翻译为基于IPv6协议的DNS请求信息,反向同理。也可以保持域名空间的连续。但是这种连续通常是基于一种IP协议的连续,而不像介绍的第一种方法那样可以同时支持IPv4和IPv6协议。这种方法的好处是不需要对现有的DNS服务器做任何改动,只在网络中串入具有NAT-PT功能的网络设备即可。主要的缺点是采用NAT-PT一方面会影响域名解析的效率,另一方面在网络中添加了NAT-PT设备以后,

可能会对网络结构造成影响(一般NAT-PT功能集成在路由器中)。需要说明的是,这种方法和前面介绍的DNS-ALG是不同的,DNS-ALG对域名解析请求和应答消息进行翻译,而本方法不需要这种转换,只是采用NAT-PT对封装域名解析消息的IP包进行IP层面的翻译。

(3)也是IETF所推荐采用的思路(目前还处于草案阶段)是采用适当的域名服务器管理策略,避免域名空间中域名盲区的存在。可以采用的管理策略包括:

◆每一个DNS服务器或者为IPv4或者为双栈;

◆每一个包含IPv6主机或双栈主机的DNS域至少应该有一个DNS服务器为IPv4/v6可达)。

当综合组网时,DNS服务器的选取按照上述策略进行时,可以保证不出现域名盲区。首先,采用上述策略不会破坏已经存在的域名空间的IPv4连续性,DNS域中的每一个IPv4主机提出的域名解析请求均可以得到响应;其次,由于在组建的IPv6网络中,其对应的DNS服务器是支持双栈的,则网络中的IPv6主机的域名解析消息可以经过双栈DNS服务器得到解析。

综合组网时需要考虑的有关域名解析功能的问题还有很多,比如,DNS安全问题[RFC2535][RFC2535,RFC2931][RFC2845]、动态域名问题[RFC2136]等,这些在IETF的RFC中均有相关的建议。

3.安全问题

安全问题实际上涉及了网络的各个层面,本文主要讨论网络安全问题。IP网络的安全一直都是IP技术研究领域的研究重点。概括起来讲,现在可以用来解决IP网络安全问题的主要策略有用户隔离、信息过滤、身份认证和监控、加密传送(IPSec)等。本文着重考虑在综合组网环境中可能产生的、附加的安全问题。

在IPv4/v6综合组网技术中所采用的隧道策略给网络带来了安全隐患。一个隧道至少包括两个端点(有时根据隧道建立过程而区别为隧道客户端与隧道服务器端),根据具体隧道技术的不同,有时还包括其他一些辅助设备,比如隧道代理技术中所采用的隧道代理设备、6to4技术中所采用的6to4中继器等。

首先,如果上述设备之间不建立一种信任关系,则可能会出现基于地址欺骗或身份伪装的网络攻击,使得一些恶意的或无用的数据可以通过隧道。这些数据一方面可能来自于隧道客户端,一方面也可以来自于网络的其他位置。即使这种情况,可以采用身份认证和监控的手段,在各个隧道相关设备之间建立信任关系。对于静态配置隧道技术来讲,在修改隧道两端设备的路由信息之前,需要进行身份认证,只有通过认证的操作人员才能够在路由器中进行这种隧道的配置。对于动态隧道技术来讲,由于隧道是自动建立的,因此要求端点可以设置访问控制列表,避免与可疑站点建立隧道关系。

其次,即使这些网络设备之间通过某种方式(如身份认证等)建立了信用关系,还是可以受到隧道中数据的攻击,由于隧道通常只对数据进行封装后传送,而不对封装的数据进行检查,所以隧道客户端的信息可以顺利地通过隧道对隧道服务器后面的网络进行攻击,此时隧道服务器成立网络攻击的中继器。针对这种情况,可以在隧道客户端和隧道服务器端的出口和入口设置信息过滤策略,在本地限制恶意信息进入隧道。信息过滤可以包括从IP层到应用层的多个层面。

第三,还需要考虑隧道中的信息被窃听的可能。安全问题中除了要解决主动式的攻击,还要解决这种信息泄漏问题。针对这种情况,对于隧道的信息可以采用加密措施,对于IPv4来讲可以在隧道中的采用IPSec技术对信息加密;对于IPv6可以直接采用IPv6的附加包头中的安全包头来对信息进行加密。

六、结束语

在下一代网络中,IPv4/v6综合网络将是业务承载网络的重要网络形态。本文对综合组网的认知转变、主要研究内容进行了讨论。并就IPv4/6综合组网时可能遇到的主要问题,如路由问题、安全问题、域名问题等分别进行了分析。通过分析可以知道:IPv4/v6综合网络技术有着广阔的研究空间和良好的发展前景,对其进行深入研究有着重要的意义。

  1. IPv6技术及应用前景
  2. IPv6/IPv4协议转换的试验
  3. IPv6发展迅速将成为下一代网络核心技术


共5页: 上一页12345下一页

相关内容