IPv6網(wǎng)絡(luò)域名系統(tǒng)

1、 IPv6網(wǎng)絡(luò)域名系統(tǒng) 王蒞濱目錄 背景介紹IPv6 給新的域名系統(tǒng)帶來的變化域名系統(tǒng)概述IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程背景介紹 截止到2011 年4 月，目前全球頂級域（含通用頂級域和國家頂級域）240個， 域名保有量大約2.1 億。 未來23 年內(nèi)，全球頂級域名的數(shù)量將快速增長，極有可能突破1500 大關(guān)。 2012 年2 月3 日， 全球互聯(lián)網(wǎng)數(shù)字分配機(jī)構(gòu)（IANA）宣布，全球公有IPv4 地址池已經(jīng)分配完畢。 域名系統(tǒng)作為兩大基礎(chǔ)性資源IP 地址與域名的聯(lián)系紐帶，勢必需要做出調(diào)整，以迎接IPv6 時代的來臨。目錄 背景介紹IPv6 給新的域名系統(tǒng)帶來的變化域名系統(tǒng)概述IPv4 向I

2、Pv6 網(wǎng)絡(luò)演進(jìn)過程域名系統(tǒng)概述 如果說IP 地址是互聯(lián)網(wǎng)世界的經(jīng)緯度，那么域名就是互聯(lián)網(wǎng)世界的門牌號碼，而域名系統(tǒng)就起到類似于GPS 的作用，幫助用戶根據(jù)門牌號碼找到業(yè)務(wù)資源的精確位置。 域名系統(tǒng)已經(jīng)成為保障互聯(lián)網(wǎng)應(yīng)用正常運(yùn)轉(zhuǎn)的重要基礎(chǔ)設(shè)施，從Web 應(yīng)用到郵件服務(wù)，從負(fù)載均衡到服務(wù)發(fā)現(xiàn)。 域名系統(tǒng)由域名空間（Domain Name Space），資源記錄（Resource Record），名字服務(wù)器（Name Server）及解析器（Resolver）四個基本部分組成。域名系統(tǒng)概述 1.域名空間形態(tài)上是一顆逆向樹，包含了根域、頂級域、一級域、二級域等。 2.資源記錄用于存放域名相關(guān)的各種信

3、息，在域名的正向/ 反向解析過程中傳遞查詢信息。 3.域名系統(tǒng)采用客戶端/服務(wù)器（C/S）架構(gòu)。名字服務(wù)器作為C/S 架構(gòu)中的服務(wù)器端， 保存域名空間中的全部或者部分域名信息。 4.解析器是C/S 架構(gòu)中的客戶端，幫助用戶從名字服務(wù)器獲取域名信息。目錄 背景介紹IPv6 給新的域名系統(tǒng)帶來的變化域名系統(tǒng)概述IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程地址資源記錄的調(diào)整和影響1正向解析與反向解析的調(diào)整2擴(kuò)展功能支持不足3IPv6 給新的域名系統(tǒng)帶來的變化IPv6 給新的域名系統(tǒng)帶來的變化 IP 地址由IPv4 地址的32bit 擴(kuò)充至IPv6 地址的128bit， 用于目的域名地址信息的地址資源記錄也由I

4、Pv4 時代A 記錄，變化為IPv6 時代的AAAA記錄及A6記錄。 由于率先被提出的AAAA記錄并不能很好體現(xiàn)IPv6 地址良好的層次結(jié)構(gòu)，A6記錄便應(yīng)運(yùn)而生。 IPv6 地址與A6記錄通常情況下為一對多關(guān)系，每個A6記錄都只包含所對應(yīng)IPv6 地址的一部分，構(gòu)成A6記錄鏈條 針對域名的A6 記錄的請求，實際上是一個遍歷A6記錄鏈條并拼裝完成IPv6 地址的過程。地址資源記錄的調(diào)整和影響IPv6 給新的域名系統(tǒng)帶來的變化A6記錄能夠很好的體現(xiàn)IPv6 網(wǎng)絡(luò)的層次化特點， 但在實際應(yīng)用中仍然存在很多問題，具體如下：（.5） 1.加大解析延遲 任何域名的“A6”記錄實際上將構(gòu)成一個

5、記錄鏈條，而對于域名“A6”記錄的請求，則實際上將是完成一遍該記錄鏈條的節(jié)點遍歷并完成地址碎片的組裝。相比于“AAAA”記錄與地址的一對一映射，顯然完成“A6”記錄的請求需要更多的請求/ 應(yīng)答交互過程，由此所帶來的網(wǎng)絡(luò)時延以及系統(tǒng)處理時延將是不可忽略的一段時間，將大大的降低用戶體驗，同時增加網(wǎng)絡(luò)及系統(tǒng)負(fù)擔(dān)。地址資源記錄的調(diào)整和影響IPv6 給新的域名系統(tǒng)帶來的變化2.提高解析失敗率 在增加解析延遲的同時，“A6”記錄需要完成記錄鏈條中各節(jié)點的遍歷并完成地址碎片組裝的特性決定了該行為過程是一個串行過程，即遍歷過程中任何一個節(jié)點的失敗將導(dǎo)致整個遍歷過程的失敗，最終將導(dǎo)致用戶請求的響應(yīng)失敗。相比于“

6、AAAA”記錄的與地址的一對一映射，“A6”記錄請求的解析失敗率要遠(yuǎn)遠(yuǎn)高于“AAAA”記錄，極大地降低用戶的使用體驗。地址資源記錄的調(diào)整和影響IPv6 給新的域名系統(tǒng)帶來的變化 3.增加維護(hù)難度 A6記錄鏈條中的各個節(jié)點域，在通常情況下，由不同組織進(jìn)行運(yùn)維與管理。在任何記錄內(nèi)容發(fā)生變化（如反向解析域中的線索記錄及PTR 記錄）時，這些內(nèi)容的進(jìn)行同步都將很難保證，最終會導(dǎo)致A6請求的解析失敗或應(yīng)答內(nèi)容的錯誤。 4.增加系統(tǒng)及網(wǎng)絡(luò)開銷 目前，通常情況下遞歸及解析服務(wù)器將同時具備AAAA記錄及A6記錄的支持能力。若客戶端同時發(fā)起某域名的AAAA記錄及A6的查詢請求，遞歸服務(wù)器只能同時對該域名的這兩種

7、記錄進(jìn)行查詢，并對兩種記錄的查詢結(jié)果進(jìn)行比較與選擇，大大增加了域名系統(tǒng)服務(wù)器的開銷及網(wǎng)絡(luò)吞吐量的開銷。地址資源記錄的調(diào)整和影響IPv6 給新的域名系統(tǒng)帶來的變化 5.增加安全隱患 對于“A6”記錄鏈條，黑客只需攻陷鏈條中任意一個節(jié)點并對響應(yīng)記錄進(jìn)行篡改，整個“A6”記錄鏈條都將不可信和不可用。因此，“A6”記錄的使用會給整個域名系統(tǒng)帶來很大的安全隱患。地址資源記錄的調(diào)整和影響地址資源記錄的調(diào)整和影響1正向解析與反向解析的調(diào)整2擴(kuò)展功能支持不足3IPv6 給新的域名系統(tǒng)帶來的變化IPv6 給新的域名系統(tǒng)帶來的變化 IPv4 協(xié)議下的域名系統(tǒng)正向解析過程中所傳遞資源記錄為A 記錄， 即域名到IPv

8、4 地址映射記錄；IPv6 協(xié)議下的域名系統(tǒng)正向解析過程與IPv4 類似，為即“AAAA”記錄。IPv6 協(xié)議中反向解析記錄對IP 地址的表示方法有兩種：一種是通過“.”分隔的半字節(jié)16 進(jìn)制數(shù)字格式，低位地址在前、高位地址在后，域后綴為“IP6.INT”；另一種是二進(jìn)制比特串，以“”為比特串開頭，16 進(jìn)制地址（無分隔符，高位在前，低位在后）居中，地址后加“”，域后綴為“IP6.ARPA.”。正向解析與反向解析的調(diào)整2地址資源記錄的調(diào)整和影響1正向解析與反向解析的調(diào)整2擴(kuò)展功能支持不足3IPv6 給新的域名系統(tǒng)帶來的變化IPv6 給新的域名系統(tǒng)帶來的變化傳統(tǒng)的域名系統(tǒng)能夠提供較好的域名遞歸查

9、詢和權(quán)威解析功能，但是在網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控和網(wǎng)絡(luò)安全方面有很多不足， 運(yùn)營商在傳統(tǒng)域名系統(tǒng)之上進(jìn)行了多種功能的擴(kuò)充，如域名不存在應(yīng)答（NXDOMAIN）重定向、域名黑/ 白名單、請求限速和網(wǎng)管計費(fèi)系統(tǒng)互聯(lián)等。這些擴(kuò)展功能在IPv4 環(huán)境下有較好的支持，但是在IPv6 環(huán)境下，當(dāng)前的域名系統(tǒng)對“AAAA”記錄，PTR 記錄等IPv6 資源記錄支持程度有限， 極大地抑制了上述擴(kuò)展功能在IPv6 域名系統(tǒng)中的應(yīng)用部署， 也極大地制約了我國IPv6 網(wǎng)絡(luò)的部署推進(jìn)工作。擴(kuò)展功能支持不足3目錄 背景介紹IPv6 給新的域名系統(tǒng)帶來的變化域名系統(tǒng)概述IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程雙棧技術(shù)1域名系統(tǒng)應(yīng)用

10、層網(wǎng)關(guān)2IPv4 向向IPv6 網(wǎng)絡(luò)演進(jìn)過程網(wǎng)絡(luò)演進(jìn)過程IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程在IPv4 向IPv6網(wǎng)絡(luò)演進(jìn)過程中，能夠較好地實現(xiàn)域名系統(tǒng)在兩種網(wǎng)絡(luò)間的無縫對接的解決方案主要有兩類：雙棧技術(shù)及DNS-ALG 結(jié)合NAT-PT 技術(shù)。雙棧（Dual Stack） 技術(shù)是指主機(jī)同時支持IPv4 和IPv6 兩套協(xié)議， 從而能夠同時處理IPv4 及IPv6 報文。如圖1，Web 服務(wù)器、域名系統(tǒng)服務(wù)器及客戶主機(jī)均支持雙棧協(xié)議并同時接入IPv4 及IPv6 網(wǎng)絡(luò)， 以同時滿足IPv4 網(wǎng)絡(luò)用戶及IPv6 網(wǎng)絡(luò)用戶的訪問需求。被訪問域名同時配置指向Web 服務(wù)器的A記錄及“AAAA”記錄。雙

11、棧技術(shù)1域名系統(tǒng)服務(wù)器雙棧應(yīng)用場景IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程域名系統(tǒng)雙棧技術(shù)應(yīng)用場景中的問題，主要歸結(jié)為以下兩點： 1.客戶端發(fā)起遞歸請求的順序問題 當(dāng)客戶端或瀏覽器對域名發(fā)起查詢時，客戶端或瀏覽器將調(diào)用操作系統(tǒng)getaddrinfo()函數(shù)向已配置的遞歸服務(wù)器發(fā)起查詢，客戶端或瀏覽器首先向遞歸服務(wù)器發(fā)起AAAA 記錄查詢， 待收到響應(yīng)后再發(fā)起A 記錄查詢。當(dāng)域名系統(tǒng)服務(wù)器故障或遭遇網(wǎng)絡(luò)黑洞未對該AAAA 記錄查詢請求進(jìn)行響應(yīng)時， 域名查詢超時，直接導(dǎo)致本次Web 應(yīng)用資源訪問失敗。 為解決上述問題，IETFRFC6555 提出應(yīng)采取同時向遞歸服務(wù)器通過IPv4 網(wǎng)絡(luò)發(fā)起A 記錄查詢請

12、求及通過IPv6 網(wǎng)絡(luò)發(fā)起AAAA 記錄請求方式以避免上述問題。雙棧技術(shù)1IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程 2.若同時獲得兩類地址資源記錄， 網(wǎng)絡(luò)連接方式的選擇問題 當(dāng)客戶端同時收到該域名A 記錄及AAAA 記錄應(yīng)答時，主流支持IPv6 功能的瀏覽器及應(yīng)用程序選擇的方式通常是優(yōu)先選擇AAAA 記錄所指向IPv6 地址發(fā)起IPv6TCP 連接請求。但若出現(xiàn)網(wǎng)絡(luò)黑洞導(dǎo)致IPv6連接中斷，進(jìn)行重試，重試仍舊失敗后才會改用選擇A 記錄所指向IPv4 地址通過IPv4 網(wǎng)絡(luò)進(jìn)行TCP 連接。重試過程將造成一定的等待時間，盡管改用IPv4后仍舊可以完成連接，但用戶體驗較差。雙棧技術(shù)1IPv4 向IPv6

13、 網(wǎng)絡(luò)演進(jìn)過程為解決上述問題，IETF RFC6555 提出了“HappyEyeball”算法，當(dāng)客戶端同時收到某一域名的A 記錄及“AAAA”記錄應(yīng)答時，應(yīng)同時根據(jù)記錄所指向地址通過對應(yīng)網(wǎng)絡(luò)發(fā)起TCP 連接， 若IPv6 連接出現(xiàn)問題可縮短用戶等待時間。若兩類連接同時建立成功客戶端將終止IPv4 連接。算法同時規(guī)定， 應(yīng)在采用該算法的應(yīng)用中增加緩存功能，在一定程度降低了算法所帶來的額外系統(tǒng)及網(wǎng)絡(luò)開銷。 目前，Google 的chrome 瀏覽器已采用“Happy Eyeball”算法完成雙棧模式下的Web 資源訪問。雙棧技術(shù)1雙棧技術(shù)1域名系統(tǒng)應(yīng)用層網(wǎng)關(guān)2IPv4 向向IPv6 網(wǎng)絡(luò)演進(jìn)過程

14、網(wǎng)絡(luò)演進(jìn)過程IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程網(wǎng)絡(luò)地址翻譯和協(xié)議翻譯（Network Address Translation and Protocol Translation，NAT-PT） 是一種實現(xiàn)IPv4 和IPv6 之間互通的方法， 通過NAT-PT，可以實現(xiàn)IPv4 主機(jī)對IPv6 主機(jī)的訪問，反之亦然。IP 地址以及協(xié)議轉(zhuǎn)換全部由具備NAT-PT 功能的邊界網(wǎng)關(guān)路由器完成，即翻譯網(wǎng)關(guān)。翻譯網(wǎng)關(guān)需要在向IPv6域中發(fā)布一個路由前綴，凡是具有該前綴的IPv6 包都被送往網(wǎng)關(guān)路由器。網(wǎng)關(guān)路由器為了支持NAT-PT 功能， 需要建立IPv4 地址池， 預(yù)留一部分全球IPv4 地址，IPv6

15、 向IPv4 域中轉(zhuǎn)發(fā)報文時臨時分配給IPv6 主機(jī)，并保存該IPv4 與IPv6 地址映射關(guān)系。域名系統(tǒng)應(yīng)用層網(wǎng)關(guān)2IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程某些Web 資源可能只支持純IPv6 或純IPv4 連接并只在域內(nèi)名字服務(wù)器中配置有A 記錄或AAAA記錄，若通過域名進(jìn)行直接訪問，由于協(xié)議對地址格式的定義不同，訪問很難實現(xiàn)。要完成上述訪問，需要域名系統(tǒng)應(yīng)用層網(wǎng)關(guān)（Domain Name ServerApplication Layer Gate way，DNS-ALG）的協(xié)助。DNS-ALG是在NAT-PT 基礎(chǔ)上封裝的一個應(yīng)用層網(wǎng)關(guān)， 主要職責(zé)為將IPv4 與IPv6 網(wǎng)絡(luò)間域名查詢請求所返

16、回資源記錄進(jìn)行轉(zhuǎn)換，即A 記錄與AAAA 記錄的轉(zhuǎn)換工作。實現(xiàn)DNS-ALG 后的NAT-PT 設(shè)備，可以從IPv4 或IPv6 網(wǎng)域以域名形式主動發(fā)起通信。例如圖2。域名系統(tǒng)應(yīng)用層網(wǎng)關(guān)2DNS-ALG原理圖IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程(1) 獲得域名對應(yīng)的IPv6 地址 IPv4 網(wǎng)絡(luò)節(jié)點向IPv4 網(wǎng)絡(luò)的遞歸服務(wù)器發(fā)出查詢A記錄請求， 查詢報文到達(dá)DNS-ALG 后，DNS-ALG 將A記錄查詢請求轉(zhuǎn)換為AAAA記錄查詢請求， 并發(fā)送給IPv6 網(wǎng)絡(luò)的遞歸服務(wù)器，IPv6 網(wǎng)絡(luò)的遞歸服務(wù)器完成域名解析， 并返回解析AAAA記錄應(yīng)答。域名系統(tǒng)應(yīng)用層網(wǎng)關(guān)2IPv4 向IPv6 網(wǎng)絡(luò)演進(jìn)過程當(dāng)解析結(jié)果到達(dá)DNS-ALG 時： 首先，DNS-ALG將AAAA記錄轉(zhuǎn)換為A記錄；其次，把IPv6 地址修改為地址池中的IPv4 轉(zhuǎn)換地址， 記錄該IPv4 地址與IPv6 地址的映射關(guān)系；再次，將該映射下發(fā)至NAT-PT設(shè)備進(jìn)行配置；最后，把這個IPv4 轉(zhuǎn)換地址與相應(yīng)域名映射關(guān)系告訴IPv4 端的遞歸服務(wù)器。IPv4 端遞歸服務(wù)器將該