highwaymanhw 2019-02-21
在物联网的三大层次中,感知层作为物联网识别物体、采集信息的来源,成为物联网的关键。据相关数据显示,摄像机采集的数据信息占据全世界物联网数据的约一半以上的存储量。传统视频监控技术在智慧城市、公共安全等各行业已获得广泛的应用,而目前网络视频监控技术正在升级为“以视频为核心的物联信息服务”,即“视频+”,“视频+多维感知”和“视频+多维应用”, 视频监控网络已成为目前应用最广泛、技术最成熟的物联网。
在物联网感知层采用IP技术,要实现“一物一地址,万物皆在线”,将需要大量的IP地址资源,就目前可用的IPv4地址资源来看,远远无法满足感知智能终端的联网需求,特别是在视频监控、智能家电、汽车通信等应用的大规模普及之后,IP地址的需求会迅速增长,目前IPv4地址可以说是基本消耗殆尽了。
一、“爱悠悠”:取代IPv4且看更优秀的IPv6
1. “洋量”的网络地址
目前分配给物联网设备的网络地址一般为IPv4地址,其地址是由 4组 8位二进制数字排列组合而成,总共有2的32次方个地址可用,合计4,294,967,296个。虽然IPv4提供了“海量”地址,但随着物联网的高速增长,目前全球已有上百亿个物联网设备,却只有40多亿个网络地址。IPv6可以提供“洋量”的网络地址,数量远远大于IPv4,总共有2的128次方个地址可以使用,也就是说有340282366920938463463374607431768211456个IPv6地址可以使用。如果把每一个物联网设备比喻成一粒沙子,就算给铺满地球表面的每一粒沙子都分配一个网络地址,IPv6提供的网络地址数量仍然是够用的。虽然物联网时代视频监控网络地址需求量巨大,但无需担心IPv6网络地址数量问题。
2. 更小的路由器表
IPv6的地址分配一开始就遵循“聚类”(Aggregation)的原则,这使得路由器能在路由表中用一条记录表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度,也就使得通过IPv6连接并获取内容的速度要比IPv4更快,这在物联网时代对实时性要求很高的视频监控网络来说非常的重要。IPv6技术不仅仅可以提高视频监控网络基础设施性能和质量,还可以更好地完善视频监控网络整体系统的建设。
3. IP层的安全
传统的网络安全机制只建立在应用层程序级,如E-mail加密、SNMPv2网络管理安全、接入安全(HTTP和SSL)等,没有办法能够从IP层来保证互联网以及物联网的安全。而IPv6可以实现IP层的安全,用户能够对网络层的数据进行加密并且对IP报文进行校验,保证了分组的完整性与保密性。IPSec是过去为了解决IPv4的安全性问题所产生的IP地址安全协议,IPv6将IPSec纳入其架构中,让IPSec直接可以镶嵌在IPv6的封包中,这一特性可以加强物联网视频监控网络相关设备和数据的安全性,让用户信息的安全保障得以升级,有效地防止视频监控数据被非法窃取。
4. 增加了增强的组播支持以及对流的控制
IPv6组播技术(Multicast)可避免网络资源浪费,减小网络拥塞和广播风暴等问题,能有效利用带宽,提高数据传输效率,尤其适合视频监控网络中音视频流等大数据量数据的传输。同时IPv6新增字段--流标记(Flow Control),标记需要IPv6路由器特殊处理的数据流,该字段用于某些对连接的服务质量有特殊要求的通信,例如音频或视频等实时数据传输。这二项功能使物联网时代的视频监控网络的应用有了长足发展的机会,为服务质量QoS(Quality of Service)控制提供了良好的网络基础和平台,更加适合于视频流的转发与控制。
5. 优秀的自动化配置管理方案
当连接到IPv6网络时,IPv6主机可以使用邻居发现协议对自身进行自动配置,当第一次连接到网络上时,主机将会发送一个链路本地路由器请求来获取配置参数,同时路由器使用包含Internet层配置参数的路由器宣告报文进行回应,这是对DHCPv4协议的改进和扩展,并且在不适合使用IPv6无状态自动配置的场景下,网络可以使用DHCPv6有状态配置或者使用静态设置方法手动配置。IPv6还具备方便寻址及支持即插即用等特性,能更好地支持物联网业务,特别是其移动特性对视频监控网络的支持。
6. 多宿主特性支撑5G应用
典型的IPv6设备可以有多个地址,并且一个终端可以同时建立多个宿主(Multi Homing)的功能,为移动边缘计算提供基于源地址的分流应用。实现移动边缘计算的切片和隔离都是通过多条链路进行的,由于多宿主特性,所以在切换的时候可以先建后断,降低了数据丢包影响,减少了切换时间,改进了用户的体验,这在即将到来的5G时代,IPv6将在视频监控网络上将会有更广阔的应用。
7. 为新增根服务器提供了机会
IPv4时代全球只有13台根域名服务器,1个主根服务器在美国,12个辅根服务器中9个在美国,2个在欧洲,1个位于日本,中国作为全球互联网用户数最多的国家,没有自主可控的根服务器。在IPv6的DNS体系中,数据帧结构可以安排25个IPv6根服务器,纯IPv6根服务器取得根区文件后,同样可以解析IPv4,为新增根服务器提供了机会。在与现有IPv4根服务器体系架构充分兼容基础上,“雪人计划”在美国、日本、印度、俄罗斯、德国、法国等全球16个国家完成25台IPv6根服务器架设,形成13台原有根加25台IPv6根的新格局,中国部署了其中的4台(1主3辅),打破了中国过去没有根服务器的困境。
IPv6还有许多功能,例如新的技术或应用需要时,它可以允许协议进行扩充,使用新的选项来实现附加的功能;IPv6使用更好的头部格式,其选项与基本头部分开,如果需要,可将选项插入到基本头部与上层数据之间,简化和加速了路由选择过程。总之,IPv6具备着满足我们对未来物联网的各种要求的特性,虽然现在未能普及,但相信在未来IPv6一定会走到我们身边,历史大潮不可逆。
二、“恨亦悠悠”:IPv6取代IPv4之路道阻且长
事实上,作为全球最早开展IPv6以及下一代互联网技术研究标准制订的国家之一,中国早在2008年就建成了全球最大的纯IPv6网络,地址分配总数在全球排名居于第二位,但是IPv6在国内的实际应用程度却非常低。数据显示,全世界IPv6用户占网络用户比重为18%,其中美国已经达到了30%,比利时则达到了56%,而我国仅为3%,远远落后世界平均水平。为什么IPv6在中国犹抱琵琶半遮面,千呼万唤难出来,笔者认为主要原因在以下几个方面 :
1. NAT技术让人欢喜让人忧
(Network Address Translation,网络地址转换),它是为解决IPv4地址短缺问题而出来的一种技术,同时还能有效地避免来自网络外部的攻击,隐藏并保护网络内部的计算机,所以很多运营商和公司通过使用NAT,给用户分配私有IPv4编址地址而非公有IPv4地址,大部分用户没有更换现有网络设备马上升级到IPv6的理由。物联网时代视频监控网络具有一定的特殊性,绝大部分都是内部网络不对外开放,接入互联网的需求并不大,有些视频监控网络由于安全保密的需要,特别是公安部门,按要求是不能接入互联网的,使用私有地址即可解决相关的问题,所以使用IPv6的积极性并不是很高。
其实当网络之间通信时,NAT的存在将增加交换延迟,会影响网络的性能,降低网络吞吐量;其次它破坏了原来的网络端到端的透明性,只适用于客户/服务器模式的应用,用户在NAT之后无法做流媒体穿越,将影响CDN的效果;在维护连接状态和动态映射信息的设备中,有可能会产生单点故障,在和其它网络整合时,也有可能产生地址冲突(重叠)问题;很多高层应用协议与NAT不兼容,一些认证机制和技术在NAT之后更为复杂和甚至无效;NAT屏蔽了用户的真实地址,无法对用户溯源,对网络安全有不利影响,阻碍了在网络层提供安全服务。所以在物联网时代,NAT技术将无法适应数据量庞大且更为复杂视频监控网络发展的需要,IPv6才能挑起未来网络的重担。
2. IPv4到IPv6过渡并非易事
在某种情况下,一项技术发展越充分,应用越广泛,未必是件好事,因为这有可能成为下一项新技术部署的障碍,IPv6就碰上这样的尴尬:IPv4庞大的用户群与设备,使得IPv6不得不考虑如何实现IPv4到IPv6的平滑过渡。现在常用的三种过渡转换技术各有千秋,但是也各有缺陷:
(1) 双栈技术:是指在网络节点上同时运行IPv4和IPv6两种协议,从而在IP网络中形成逻辑上相互独立的两张网络:IPv4和IPv6网络,网络中的节点同时支持IPv4和IPv6协议栈,源节点根据目的节点的不同选用不同的协议栈,而网络设备根据报文的协议类型选择不同的协议栈进行处理和转发。采用双栈技术部署IPv6,不存在IPv4和IPv6网络部署时的相互影响,可以按需部署,实现二个网络的共存,但是不能解决IPv4和IPv6网络之间的互通问题,而且不会节省IPv4地址,不能解决IPv4地址用尽问题。
(2) 隧道技术:基于IPv4隧道来传送IPv6数据报文的隧道技术,是将IPv6报文封装在IPv4报文中,这样IPv6协议包就可以穿越IPv4网络进行通信。因此被孤立的IPv6网络之间可以通过IPv6的隧道技术,利用现有的IPv4网络互相通信而无需对现有的IPv4网络做任何修改和升级。IPv6隧道可以配置在边界路由器之间,也可以配置在边界路由器和主机之间,但是隧道两端的节点都必须既支持IPv4协议栈又支持IPv6协议栈。该技术缺点也很明显,需要部署隧道两端的设备,在隧道的入口处会出现负载协议数据包的拆分,在隧道出口处会出现负载协议数据包的重组,这就增加了隧道出入口的实现复杂度, 对终端系统要求也高,不利于大规模的应用。
(3) 地址协议转换技术:该技术实际上就是一种翻译技术,实现IPv4和IPv6的协议转换,能够将数据在两种格式之间灵活转换。翻译涉及两个方面:一方面是IPv4与IPv6网络协议层的翻译,另一方面是IPv4应用与IPv6应用之间的翻译,从早期使用NAT-PT协议到现在的NAT64协议,仅需对现有IPv4网络做少量改造(通常是更换出口网关),即可实现对外支持IPv6访问,部署简单便捷。由于IPv4和IPv6协议设计上的不兼容性,协议转换过程费时费力,处理开销较大,效率较低,应当尽量避免采用此技术。
3. IPv6的安全挑战不可忽视
IPv6会面临现有IPv4网络下碎片化的攻击(产生大量分片或发送不完整的分片报文来耗费防火墙资源或处理时间),攻击者可利用IPv6报文的扩展报头(可选且多种)构造包含异常数量扩展头的报文,防火墙为解析报文将耗费大量的资源,从而影响转发性能;IPv6采用了邻居发现协议取代IPv4的ARP(地址解析协议),但地址欺骗和泛洪等问题依然存在,发送错误的路由器宣告和重定向消息等引IP流转向,达到DDoS、拦截和修改数据的目的;IPv6无状态地址自动分配机制也可能使非授权用户更容易接入和使用网络,而且过渡与互通方案也会带来新的安全问题,攻击者可以利用过渡协议的安全漏洞来逃避安全监测甚至是实施攻击行为,所以IPv6的安全性也不是可以高枕无忧的。
TCP/IP协议每一层中都有对应的协议和规范,作为各个层之间唯一的“细腰”,IP层的更换会影响很多其他的层,同时IPv6和IPv4的兼容性并不好,难以实现互联互通,从技术角度上看,IPv4到IPv6的升级本身并未易事。
从经济角度上来看,我国的骨干网不仅仅包括三大电信运营商的网络构建,还包括铁路、银行、军队的内部网络构建,不管是哪一种网络改造,都需要付出巨大的经济成本,再加上网络中对应的硬件设备也需要进行升级,包括网卡、路由器等,如此一笔庞大的支出,却对应着IPv6尚无杀手级应用,盈利模式难探索的局面,再加上缺乏明确的市场导向和政府应用先行意识,应用和网站向IPv6迁移严重滞后拖后腿,一些误解和干扰影响了国家发展IPv6战略的执行,IPv6想说爱你并不是一件很容易的事……
三、又爱又恨却又甘之如饴,期待厚积薄发
在互联网与物联网应用领域,IPv4仍然主导着IP网络,在IPv6的网络流行之前,IPv6的先驱者们还有很长的路要走,但网络IPv6化是大势所趋。据了解,目前主流网络设备提供商都已经给出相关的IPv6解决方案,同时电信运营商也着手计划部署IPv6网络。一旦基础网络IPv6过渡完成,视频监控网络也必然会向IPv6化过渡。
COMMAND PID USER FD TYPE DEVICE SIZE NODE NAME. java 1113 admin 252u IPv6 26643775 TCP 192.168.0.1:1