IPSec 基于网络的应用方式
65 2024-09-01
(原标题:毛伟:下一代DNS支撑IPv6规模部署,构建数字中国重要网络根基)
2024年8月2日,以“网络根基 中国贡献”为主题的第三届下一代DNS发展论坛在京举行。本届论坛,由中国互联网协会指导,互联网域名系统国家地方联合工程研究中心(ZDNS)与互联网域名管理技术国家工程实验室联合主办。互联网域名系统国家地方联合工程研究中心(ZDNS)主任毛伟发表题为《下一代DNS:支撑IPv6规模部署 构建数字中国重要网络根基》的主题报告。
我国高度重视IPv6规模部署和应用发展。早在2003年,国家发改委等八个部委联合发起以研究、试验IPv6为核心的中国下一代互联网示范工程(CNGI);2017年,两办发文《推进IPv6规模部署行动计划》,力度空前对网络基础设施改造、应用改造、IPv6地址管理、域名系统IPv6升级等都提出明确要求;后来国务院相关部门又发布了一系列的实施要求;今年,中 央网信办、国家发改委、工信部又发布了《深入推进IPv6规模部署和应用2024年工作安排》要求提升IPv6改造的深度。新增网络部署IPv6单栈,不再新增部署IPv4到IPv6地址转换(NAT)设备。IPv6部署的重点延伸到专用网络、数据中心和生产管理业务系统等,进一步深化IPv6改造,并特别指出中央企业集团及所属企业办公网络IPv6改造和开通,提升金融机构IPv6创新应用水平。
为什么国家会这么大力度推进IPv6,我理解有两个重要原因:一是弯道超车,互联网在中国起步比较晚,中国在互联网基础技术领域还比较落后,借助IPv6升级改造的机会,希望我们能在互联网基础技术领域实现弯道超车,成为互联网技术强国;二是有了IPv6、有了更多的地址资源,我们才能联入更多的终端,更好地发展互联网、管理互联网。关键词是:借机弯道超车、发展互联网、管理互联网。我觉得这些思路也可以指导我们的IPv6升级改造工作。
可以说,推动IPv6规模部署是互联网升级演进的必然趋势、网络创新的重要方向、网络强国建设的基础支撑。而DNS是IPv6规模部署的关键环节,海量的IPv6设备需要DNS来标识,大量IPv6设备注册的活跃资产信息需要DNS安全保护,未来千亿级的设备寻址需要DNS精细的智能调度,大量物联终端和访问带来的万亿级解析请求需要更高性能的DNS解析。
最初DNS的设计是方便人们记忆和使用互联网的,后来系统和系统之间的调用也用DNS来实现。IPv6时代,基于DNS实现“一物多址、万物互联”。DNS的重要性在进一步提升。
在温顿·瑟夫(Vint Cerf)所提出的传统的互联网协议栈沙漏模型中,将DNS、BGP等归类为应用层,和email等技术在一层,体现不出DNS、BGP对互联网的重要支撑作用。当我们换一个角度看问题,将协议栈“应用层”中与具体业务无关的基础性、支撑性的功能分离出来,体现出这些技术对互联网的管理、控制和运行的重要作用。从原来的协议数据单元封装维度变换为功能承载维度,画出了另外一个基于互联网功能承载体系的新沙漏模型。这个模型也是我们以前提出的包括基础资源层的互联网三层架构模型的一种深化。
1)业务层,运行在互联网上的业务系统,与原来的应用层比较,不包括:网络控制范畴具有“信令网“功能的DNS、BGP等;
2)映射层,是面向网络命名与解析问题,将业务系统的服务标识(例如URL,邮箱地址等),通过域名映射成为网络节点的网络接口信息(IP地址、端口号、认证信息等);
1)协议栈体系定义了清晰的协议数据单元封装关系,方便指导工程实现和系统互联;
2)功能承载体系,清晰定义了互联网各层之间的承载关系,更好指导产业创新和网络治理。
DNS(映射层),作为互联网体系中的重要组成部分,IPv6规模部署必将对DNS提出新的要求。域名和IP地址相互映射,关联性强,同样都是互联网的重要基础资源,DNS、DHCP、IP地址管理在IPv6规模部署中都发挥着重要的支撑价值。
通过对各行业的多场景的全面分析,包括园区网、数据中心、工业互联网、外网、内网、专网、私有云、混合云等等。IPv6规模部署对DNS、DHCP、IP地址管理(就是DDI)提出了新要求,我总结主要是以下五个方面:
1)整体规划的要求:IPv6海量地址数量需要提前规划,才能充分发挥其优势,包括各网段和各终端的地址编码规划、不同业务和设备的域名命名规则等;
2)网络管理要求:IPv6地址长而且复杂,让网络管理难度增加,人们不可能记忆128位的IPv6地址,服务器需要配置域名和动态更新的IP地址,DHCP和域名系统将更加紧密结合,DDI成为IPv6管理标配;
3)服务发现要求:DNS在IPv6网络中需要允许设备自动发现和注册服务;
5)安全高效要求:DNS要保护IPv6活跃地址信息,还要主动阻断非法外联解析,以及面对大量终端请求,需要更高性能解析服务。
我们举一个苹果、谷歌利用DNS推动IPv6部署的案例。IPv6带来了海量的地址空间,使得以家庭网络、物联网络为代表的末端网络得以大量部署。这些网络的接入对网络的自动化配置提出了更高的要求。纯IPv6末端网络的自动化配置机制因此成为互联网国际标准组织IETF近年来标准化工作的重点。2022年苹果、谷歌公司联合牵头,在IETF成立标准工作组,推进基于DNS服务发现机制的相关标准化工作,以应对IPv6的规模部署。
互联网功能承载体系的映射层DNS,上下衔接了“业务层”和“互联层””。“业务层”和“互联层”的发展要求映射层DNS也要不断演进和创新。DNS技术体系在基础功能扩展、认证功能升级、协议内核演进等三个方面发展,已成为一个庞然大物,一方面,DNS从最初的只有2篇RFC协议标准发展为一个协议族,各类RFC文档已扩展到~460篇。另一方面,ICANN IANA管理的DNS技术标识符不断扩展,其中资源记录就达到90多个。
DNS技术体系持续演进,更好地支持了“业务层”和“互联层”之间互动,例如基于 DNS的IPv6过渡机制,基于DNS的IPSec连接管理机制等。
在进行IPv6规模部署时,我认为要结合自己的业务需求,通盘考虑自己采用的DNS技术演进和创新方案,而不只是考虑IPv6升级。
由于DNS的基础性作用,对它的扩展和创新,会涉及其他互联网协议。为了更好地在整体上把握DNS技术标准演进方向,IETF于2022年成立“互联网域名(DNS)技术专家委员会”,负责审阅所有和DNS技术相关的互联网标准草案,这是IETF第一个面向单一协议的技术专家委。来自ZDNS的专家是这个委员会中唯一来自亚洲的成员。
1)Domian就是网络空间:构建网络空间命运共同体。对于企业来说就是要根据国际和国家标准以及自身需求做好域名、IP地址的规划使用;
2)Name就是基础资源:掌握网络关键基础资源。以域名、IP地址为代表的互联网关键基础资源,是支撑网络发展和创新的载体,掌握更多网络关键基础资源,为数字经济发展、网上品牌出海筑牢网络空间的底座;
3)Sytem就是技术系统:牢筑网络核心技术根基。域名系统从简单的解析,升级为面向数据赋能、全面感知、可靠传输、智能分析、精准决策、自主可控的更安全、更高效、更智能的域名解析系统。
总结一句话:下一代DNS是自主可控的、承载万物互联的智能网络中枢,支撑IPv6规模部署、构建了数字中国重要网络根基。
基于国家对IPv6规模部署和应用的政策要求,以制造企业为例,办公网、数据中心、智能制造生产线和生产管理业务系统等将全面升级IPv6。下一代DNS将从五个层面推进制造业IPv6规模部署,赋能新质互联网。
邬贺铨院士曾指出,新质互联网是在现有的互联网上挖掘潜力,赋予新的能力和内涵,以此推动IPv6的持续创新,并通过IPv6新质赋能互联网新质。新质互联网的提出是对新质生产力和智能化时代的深刻回应,不仅是对IPv6的进一步升级,还是面对智能化时代的全面创新。
我体会新质互联网的核心关键词是IPv6升级和全面创新。下一代DNS给出的答案,是从五个层面来落实IPv6规模部署、赋能新质互联网。
1)整体规划方面,DNS和IP地址管理规范清晰:企业各分支机构、各部门、不同网络、各种类型设备均按照企业网络空间地址编码规范使用IPv6地址;按照企业域名空间规范进行各级域名命名。这是定规则;
2)网络管理方面,DNS和IP地址系统化精准管控:具有DNS、DHCP、IPAM 3大能力的DDI系统全面普及,DNS和IPv6地址的解析对应提高了地址可辨识性、提升了管理效率,DHCP服务器基于预定规则为各类设备动态分配不同网段的IPv6地址,IPAM实现对IPv6的地址申请、使用、回收全生命周期管理。这是强管理;
3)服务发现方面,DNS面向业务敏捷更新:DNS在IPv6网络中实现设备自动发现和注册服务,从被动查询到主动更新的创新应用提升了服务效率。这是提效率;
4)智能服务方面,DNS智能解析全景呈现:DNS通过智能解析调度多活生产系统,保障了智能制造生产线的不间断运行。同时,DNS作为网络访问的总调度官,实时准确的每一次访问连接,再现企业数字化生产经营、运行状态全景。这是赋智能;
5)安全方面,DNS识别阻断非法外联:DNS作为网络访问的第一跳,具备高效阻断非法外联的天然优势,DNS对每一次访问解析进行安全监测,阻断违规访问。这是保安全。
以上五个层面会以相应产品技术和解决方案形式全面应用到企业IPv6规模部署,满足制造企业各个应用场景的新需要。
总体而言,国家高度重视IPv6规模部署和应用发展,DNS作为互联网功能承载体系中的映射层是IPv6规模部署的关键环节;IPv6规模部署对DNS提出了新的要求,同时IPv6规模部署也应通盘考虑DNS的技术演进和创新;下一代DNS:支撑IPv6规模部署,构建数字中国、网络强国重要网络根基,赋能新质互联网。