浅析中国政府 IPv6 推广《计划》;中国 IPv6 网络现况

当晚的新闻联播截图。©CCTV

实际上现在发这篇文章已经有点晚了。中共中央办公厅、国务院办公厅在 2017 年 11 月 26 日印发《推进互联网协议第六版(IPv6)规模部署行动计划》。在当晚的新闻联播里,这条新闻被拿到了第 7 分钟的位置,足见其重要。我也在当天就在一个论坛上发了有关这份《计划》的分析,但一直没有时间总结。

这份《计划》是中国政府使用行政手段推进 IPv6 网络部署的标志,也将是中国 IPv6 发展提速提质的里程碑。IPv6 的推广本身与网络审查等关联不大。从总体上来看,对中国互联网有着非常正面的影响。

从中节选了一部分比较重要的内容。《计划》本身不是很难理解,建议大家读完。其中重点内容已经加粗:

用 5 到 10 年时间,形成下一代互联网自主技术体系和产业生态,建成全球最大规模的 IPv6 商业应用网络,实现下一代互联网在经济社会各领域深度融合应用,成为全球下一代互联网发展的重要主导力量。

到 2018 年末,市场驱动的良性发展环境基本形成,IPv6 活跃用户数达到 2 亿,在互联网用户中的占比不低于 20%,并在以下领域全面支持 IPv6:国内用户量排名前 50 位的商业网站及应用,省部级以上政府和中央企业外网网站系统,中央和省级新闻及广播电视媒体网站系统,工业互联网等新兴领域的网络与应用;域名托管服务企业、顶级域运营机构、域名注册服务机构的域名服务器,超大型互联网数据中心( IDC ),排名前 5 位的内容分发网络( CDN ),排名前 10 位云服务平台的 50%云产品;互联网骨干网、骨干网网间互联体系、城域网和接入网,广电骨干网,LTE 网络及业务,新增网络设备、固定网络终端、移动终端。

到 2020 年末,市场驱动的良性发展环境日臻完善,IPv6 活跃用户数超过 5 亿,在互联网用户中的占比超过 50%,新增网络地址不再使用私有 IPv4 地址,并在以下领域全面支持 IPv6:国内用户量排名前 100 位的商业网站及应用,市地级以上政府外网网站系统,市地级以上新闻及广播电视媒体网站系统;大型互联网数据中心,排名前 10 位的内容分发网络,排名前 10 位云服务平台的全部云产品;广电网络,5G 网络及业务,各类新增移动和固定终端,国际出入口

升级典型应用。推动用户量大、服务面广的门户、社交、视频、电商、搜索、游戏、应用商店及上线应用等网络服务和应用全面支持 IPv6。

升级改造移动和固定网络。以 LTE 语音( VoLTE )业务商业应用、光纤到户改造为契机,全面部署支持 IPv6 的 LTE 移动网络和固定宽带接入网络。

实现骨干网互联互通。建立完善 IPv6 骨干网网间互联体系,升级改造我国互联网骨干网互联节点,实现互联网、广电网骨干网络 IPv6 的互联互通。

扩容国际出入口。逐步扩容 IPv6 国际出入口带宽,在保障网络安全前提下,实现与全球下一代互联网的高效互联互通。

升级改造互联网数据中心。加强互联网数据中心接入能力建设,完成互联网数据中心内网和出口改造,为用户提供 IPv6 访问通道。

升级改造内容分发网络和云服务平台。加快内容分发网络、云服务平台的 IPv6 改造,全面提升 IPv6 网络流量优化调度能力。

升级改造域名系统。加快互联网域名系统( DNS )的全面改造,构建域名注册、解析、管理全链条 IPv6 支持能力,开展面向 IPv6 的新型根域名服务体系的创新与试验。

建设监测平台。建设国家级 IPv6 发展监测平台,全面监测和深入分析互联网网络、应用、终端、用户、流量等 IPv6 发展情况,服务推进 IPv6 规模部署工作。

升级安全系统。进一步升级改造现有网络安全保障系统,提高网络安全态势感知、快速处置、侦查打击能力。

强化地址管理。统筹 IPv6 地址申请、分配、备案等管理工作,严格落实 IPv6 网络地址编码规划方案,协同推进 IPv6 部署与网络实名制。

以下内容为 “2017 年至 2018 年重点工作”

典型互联网应用升级。鼓励和支持国内龙头互联网企业制定并发布主流互联网应用 IPv6 升级计划,明确“十三五”期间年度工作时间表。推动企业完成主流互联网门户、社交、视频、电商、搜索、游戏等应用的 IPv6 改造,鼓励和支持国内用户量排名前 50 位的商业网站及应用支持 IPv6 接入。推动国产主流互联网浏览器、电子邮件、文件下载等应用软件全面支持 IPv6。完成主流移动应用商店升级改造,新上线和新版本的移动互联网应用必须支持 IPv6。在 IPv4/IPv6 双栈连接的情况下,上述应用均需优先采用 IPv6 连接访问。

LTE 网络 IPv6 升级。开展 LTE 网络端到端 IPv6 业务承载能力建设,推动 LTE 网络、业务及终端全面支持 IPv6,移动互联网 IPv6 用户规模不少于 5000 万户。

骨干网 IPv6 互联互通。推进我国骨干网互联节点的 IPv6 升级,基于 IPv6 的网间互联带宽达到 1Tbps,实现高效互联互通。

城域网和接入网改造。基础电信企业完成城域网和接入网的 IPv6 升级改造,完善网络管理和支撑服务系统,面向公众用户和政企客户开通商用 IPv6 宽带接入服务。

IPv6 网络国际出入口建设。扩容升级互联网国际出入口,保障国际互联网 IPv6 流量有效转接互通。

超大型数据中心 IPv6 升级。开展超大型数据中心改造,完成相关系统升级。

内容分发网络和云服务平台 IPv6 升级。推动排名前 5 位的内容分发网络和排名前 10 位的云服务平台的 50%云产品完成升级改造,形成 IPv6 流量优化调度能力。

域名系统 IPv6 升级。开展域名系统等重要互联网应用基础设施改造,推动域名注册服务机构、顶级域运营机构、域名托管服务企业的域名服务器全面支持 IPv6 访问与解析。

IPv6 根域名服务体系试验示范。推动根镜像服务器的引进,进一步提升域名系统解析性能。开展新型根域名服务体系结构及应用的技术创新,建设具有一定规模的试验验证网络设施,开展应用示范。

IPv6 网络安全提升计划。升级改造现有网络安全保障系统,提升对 IPv6 地址和网络环境的支持能力。严格落实 IPv6 网络地址编码规划方案,加强 IPv6 地址备案管理,协同推进 IPv6 部署与网络实名制,落实技术接口要求,增强 IPv6 地址精准定位、侦查打击和快速处置能力。开展针对 IPv6 的网络安全等级保护、个人信息保护、风险评估、通报预警、灾难备份及恢复等工作。开展 IPv6 环境下工业互联网、物联网、云计算、大数据、人工智能等领域网络安全技术、管理及机制研究工作。

在《计划》中也详细规划了 2019 年 至 2020 年的工作。与 2017 至 2018 年的规划中有很多重复的地方,在此不再赘述。如有兴趣,可以直接查看《计划》原文

中国 IPv6 现况

在这里我不会详细叙述 IPv6 是什么、跟 IPv4 有什么异同,以及推广 IPv6 的必要性——网上有关这方面的科普文章已经足够多了。我会在这里尽可能提一些目前鲜有人覆盖到的信息。

IPv4 在 1981 年被提出——而这套东西一直用到现在。一个典型的 IPv4 地址,比如 192.168.1.1 ,由四组、每组取值范围从 0-255 的数字构成。用计算器按一下就能算出来,IPv4 地址理论最多只有 2 的 32 次方个,大约 43 亿。这个数字听起来不少,但是,细想想,现在给地球上每个人类分一个 IP 地址都不够——再加之如分配不均等种种其他原因,IPv4 地址现在正面临严重的短缺问题。

由 HKIX 生成的 IPv6 流量占总流量比重的示意图。纵轴为占百分比,横轴为月份。

为了解决短缺问题,IPv6 应运而生。IPv6 能够提供 2 的 128 次方个地址,约 3.4 × 10^38 个。尽管 IPv6 规范早在 1998 年底就已经被制定下来,但是直至目前,以香港国际互联网交换中心(Hong Kong Internet Exchange,简称 HKIX)为例,其使用 IPv6 的流量仅占全部流量的百分之一上下。但是,IPv6 的推广正在缓慢但坚定地进行。Google 对所有访问其服务的用户进行统计,截至 2017 年 1 月,大约有 16% 的访客具备使用 IPv6 访问的能力,而这一数据在一年前才是 10 %,两年前是 6% 。

在全球范围内,IPv6 取代 IPv4 的过程进展缓慢一方面归咎于软件硬件厂商的拖延症、人们普遍不愿意花钱更新既有设备,另一方面则是诸如网络地址转换(简称 NAT)、动态主机设置协议(DHCP)等的采用为 IPv4 不断地续命。而在中国,运营商更乐意使用 NAT 来“节约”自己手头有限的 IPv4 资源,而非推广 IPv6 。中国 IPv6 推广缓慢的另一个原因是运营商不作为。尽管数年前就有联通、电信、移动这三家的 IPv6 骨干网已经加速建设甚至落成的报道,然而,现在中国几乎可以说是唯一一张有广泛使用的 IPv6 骨干网是教育网。号称全世界最大的纯 IPv6 骨干网即是中国的“中国下一代互联网示范工程”,英文简称 CNGI ——但是这个名字估计没几个人听过、也没有几个中国网民能享受到。

中国 IPv6 发展进程缓慢的另一重要原因,即是互联网服务提供商甚少提供支持 IPv6 的服务。截至目前,只有极少数的几家中国互联网数据中心(Internet Data Center, IDC)提供 IPv6 网络接入。服务方不提供 IPv6 服务,而作为用户,我们也没有 IPv6 地址的分配——一个恶性循环。国内诸如百度、腾讯的大多数服务甚至都不能在 IPv6 网络下正常使用。与国内形成对比的是,国外 Google(包括 YouTube 等 Google 旗下的服务)、Facebook 、维基百科等网站均可以在纯 IPv6 网络环境下访问。全世界 IPv4 最多、最不缺 IP 地址的美国反而在 IPv6 的推广使用上走在前列。

截至 2017 年初,中国目前能够正常使用全功能 IPv6 的网络只有教育网以及极少部分地区的电信。少数地区的联通能分配到 IPv6 地址。移动支持使用 VoLTE 业务的用户也能分配到属于移动 AS 下的 IPv6 地址,但是没有访问公网的能力。在不考虑联通和电信使用 tunnel 的情况下,联通和电信能够访问公网且地址为原生 IPv6 的,访问教育网和其他网络下的网站速度极慢。有说法认为,联通和电信目前的 IPv6 仅在实行当中,只实验性地向教育网接入了 1 Gbps 的带宽——但是分给两家各自的用户远远不够,至多只能在 IPv6 网络下用用 Google 。教育网 IPv6 则有更好的质量。其对外国连接状况较为复杂。

教育网连接对外连接主要依赖香港国际互联网交换中心(Hong Kong Internet Exchange, HKIX ,下略)、Hurricane Electric(HE,下略)和 Asia Pacific Advanced Network(简称 APAN ,下略)。教育网的 IPv6 因为总体用户较少、网络负载较小,因此速度相交联通电信来说要快很多。但是这不意味着教育网对外连接质量好。目前中国教育网 IPv6 对外连接几乎完全依靠与 HE 在洛杉矶的互联节点交换,另有少部分则走位于香港的 HKIX。

由于教育网 IPv6 整体负载不大,对美国方向延迟通常可以在 200 ms 以内。但是,由于相当一部分数据互联工作都在美国洛杉矶进行,导致教育网 IPv6 与亚太地区其他网络互联需要经常性地绕路美国。很有可能出于成本原因,教育网不会经常使用 HKIX 和 APAN 。然而,目前世界上绝大部分骨干网运营商都有自己的 IPv6 网络。教育网 IPv6 若要扩容,选择余地非常多。

除教育网外,移动、电信、联通三家民用运营商在《计划》发布前推广进展非常缓慢。截至目前,

  • 中国移动在民用宽带上没有部署 IPv6。在开通 VoLTE 地区的手机上可以分配到 IPv6 地址、使用 IPv6 搭载 VoLTE 数据,但不能访问互联网。
  • 中国电信在民用宽带上部署 IPv6 速度最快。相当一部分地区的用户已经能够分配到可以访问互联网的 IPv6 地址了。移动业务上没有分配的迹象。
  • 中国联通仅有极少的用户有 IPv6。移动业务上没有分配的迹象。
  • 其他二级宽带运营商(如长城宽带、宽带通、方正宽带等)没有部署和分配 IPv6 的迹象。

如前文所述,目前国内能够访问互联网的电信和联通 IPv6 即使能够使用,连接速度也非常缓慢。但三大运营商均已经开始与外国运营商进行互联互通,不过现在的民用网络均未接入。

由行政手段推广的 IPv6

根据已经公开的资料,中国三大运营商均已经完成了骨干网设备 IPv6 的升级改造工作。但《计划》下达之前,国内 IPv6 推广仍然非常缓慢。截至 2017 年 12 月 12 日,中国所拥有的 IPv6 地址数量全世界排名第二,仅次美国;但美国 IPv6 使用占比已达到约 37.7%,而中国仅 0.4%,排名第 68。

部署 IPv6 并不仅仅只需要保证骨干网支持、终端用户有地址分配,还需要另一方的努力:提供互联网上资源和内容的企业。比如百度、腾讯、阿里巴巴等。现在终端用户没有 IPv6 地址分配;腾讯、百度、阿里巴巴等尽管号称有 IPv6,但如今也几乎都不可访问:两者形成一个恶性循环。

除了上面这三家中国互联网的“大厂”外,在中国建设的互联网数据中心(Internet Data Center, IDC)普遍也没有 IPv6 网络接入。这就使得一些不具备自己建设 IDC 的中国中小型网站也无法接入 IPv6 网络。

以美国为例,作为内容提供方的 Google、Facebook 等互联网巨头大力在自己的服务上推广部署 IPv6,进而盘活 IPv6 生态;Comcast 等宽带运营商将其部署到民用宽带;而如苹果的设备制造商和控制移动设备生态系统的公司则要求所有 App 必须在 NAT64 网络(可以理解为一种纯 IPv6 网络)下正常运行,否则不予上架。但中国不太一样——中国依靠行政命令:即由中办、国办印发《计划》这样的方式来推广部署。

好在,2017 年 11 月这个时间节点还不太晚。

《计划》要求了些什么?

上面列举了《计划》原文中较为重要的部分,以及现在中国 IPv6 推广的现况。而《计划》就是为了要扫除现在中国发展 IPv6 的不利因素。如果一切按照《计划》进行,很有可能在未来一年之内,我们中很大一部分的手机、宽带都可以分配到 IPv6 地址了。

对于内容提供方迟迟不接入 IPv6 的问题,《计划》要求政府网站、广电系统,排名在前的互联网数据中心、内容分发网络(Content Delivery Network, CDN)以及互联网应用(这里指的当然就是百度、淘宝、优酷之类的互联网服务)支持 IPv6。《计划》中给的时间限制很紧——2018 年底之前就要求中国排名前 50 的商业网站应用、排名前 5 的 CDN、排名前 10 的云服务平台过半的产品支持 IPv6——距离现在仅有一年。

对于运营商的要求则更加严格。同样是在 2018 年底前,要求中国 IPv6 用户占比不低于 20%、移动互联网 IPv6 用户数量不少于 5000 万户。

如果《计划》能如愿实现,那么在未来的一年内,我们将会看到中国 IPv6 使用情况出现井喷式的增长。

相信三大运营商肯定会从最好下手的移动网络用户开始抓起——这是能在一年内凑够 20%、活跃用户数能超过 2 亿的最好方式。宽带可能会麻烦不少:让家用网络支持 IPv6 需要同时保证猫、路由器和终端设备都配置正确,否则用户还是只能用 IPv4。

《计划》里也对 IPv6 下的网际互联提出了明确的指标。目前中国在北京、上海、广州这三个城市的骨干网数据交换点经常拥堵,导致网速慢、丢包率高,进而使得电信、联通、移动三家互相访问各自网络困难的情况出现。IPv6 作为一个新的起点,同时还有确定的目标,对于缓解骨干网互联节点压力也应该有所帮助。

对于我们有什么好处?

对于普通用户来说,几乎没有可见的好处。网该上还是一样上。但 IPv6 的推广工作我们仍然要做——不管是在哪个国家。

IPv6 能解决的最直接问题就是 IP 数量不足。在当前 IPv4 地址数量不足的情况下,电信运营商会想方设法地让多部设备共用同一 IP 地址。这种情况在中国尤甚。简而言之,反反复复地“共用地址”下去不是办法——这只会导致更严重的问题。“共用地址”通常会被叫做“NAT”。“NAT”是英文“网络地址转换”的缩写,是互联网上共用 IP 地址的最普遍做法。反复、多层的 NAT 会削弱互联网的性能、降低互联网设备间点到点(Peer-to-Peer, P2P)连接的可靠性,进而损害互联网中立性(Net Neutrality)等。被 NAT(即“共用地址”后),双方用户都藏在了真实 IP 地址的后面,普通用户之间很难建立直接连接。这会导致 BT 下载、QQ 微信语音、传文件等功能难以正常施展。

那既然如此,为什么我们还是能下载?还是能用 QQ、微信的语音聊天?还是能直接传大文件?因为在“共用地址”的权宜之计下,我们还设计了更加权宜之计的功能,来设法让这些需要设备之间点到点连接的服务正常运转。

但需要访问互联网的设备越来越多,共用地址不是能永远持续下去的解决方案。运营商会借此机会高价出售短缺的 IPv4 地址资源、把用户限在一层又一层的 NAT 后面。IP 地址在互联网上起到类似门牌号、电话号的作用。所以对于地址短缺的终极解决方案就是直接升级门牌号编码方案到能容纳更多门牌号的版本,也就是 IPv6。

中国当局推广 IPv6 的做法不仅仅在于商业上,更在于对互联网的掌控上。一方面,足够多的 IP 地址可供战略储备需要;另一方面,IPv6 作为一个新的起点,中国对 IPv6 网络下诸如根 DNS 服务器等也可以有比 IPv4 时代更高的话语权。

在十年前,几乎每个人家在上网时都能分配到一个没有被“共用”的公网 IPv4 地址。然而现在,除了一部分中国电信和中国联通(以及极少部分的中国移动宽带)外,几乎全部的移动宽带、长城宽带、广电宽带等都只会给用户分配被“共用”之后的地址——甚至连原则上中国最不缺 IP 资源的电信和联通也都开始逐步转用“共用”后的内网地址。IPv6 的推广将重新让我们回到曾经的、人人可互相连接的互联网中。IPv6 的推广可以给中国网民带来更好的互联网体验,虽然这种体验并不明显。

对于 IPv6 推广的必要性,在这里还有更详细的介绍。

《计划》与互联网自由

在网络上对《计划》最明显的意见就是担心它会帮助当局进行互联网审查、限制互联网自由。但就 IPv6 的推广本身,其并不会造成互联网自由的损害。技术永远是中立的。在《计划》中,对网络实名制与 IPv6 的结合实施也并没有明确的方案。

很多人会想到的“一人一身份证绑定 IPv6”的做法是技术上不可能做到的。即使能,通过一般的代理工具也能够轻松绕过。中国防火长城(GFW)早在《计划》发布数年前就有能力对 IPv6 服务进行屏蔽和封锁,跟《计划》无明显关系。

基于 IP 地址的实名制有可能实现。虽然技术上每个自然人不可能走到哪里上网都用同一个 IP 地址,但试举一例:移动运营商可以给每个人的身份证下绑定一个固定的公网 IP 地址,这样当这个人使用移动设备上网时,所有网站就能通过他的 IP 地址提取到他的身份信息。在 IPv4 地址短缺的背景下这样做是不可能的:移动设备全部躲在内网里,而固定宽带即使有公网 IP 地址,也都是动态的、不能一一对应;而网站本身也不可能通过访客的 IP 地址直接一对一地查出对应的自然人的身份。

当然,推测归推测,即使是上面这样的做法成本也非常高;且以 IPv6 目前的推广状况不太可能在中短期内能达成一一对应的实名制。IPv6 的推广对互联网审查的影响也近乎为零,能上的还能上;上不了的还是上不了。在对互联网自由上几乎没有影响的情况下,没有什么理由不支持尽快在中国推广 IPv6 的计划。

我在 2017 年 6 月也有一篇有关 IPv6 在中国发展情况的文章。链接见此

“浅析中国政府 IPv6 推广《计划》;中国 IPv6 网络现况”的3个回复

  1. 实名制我认为不难做到。
    DHCPv6直接根据用户身份hash算出suffix不算难。给每一户一个固定IPv6不算问题。如果hash可逆,直接从ip推出用户身份比目前的去ISP根据时间ip端口查询NAT记录要简单的许多,而且联网(或者说联动)要简单许多。退一步,不存在hash,那么用户身份-ip对应也比nat查表好抓人。DHCPv6现在已经有高校在推了,DHCP记录肯定比NAT查表方便的多。
    目前都是NAT数据在ISP手上,公安局还得根据{时间, IP, 端口}来查人(还不一定能查到,因为只保存3个月)。 给用户固定IPv6(哪怕是固定prefix+SLAAC都行,地址真的太多)带来的就是公安局可以越过向ISP请求(或者很简单的联动)就能抓到人。因为DHCP这种IP-用户的关系实在是太简单了,可以说所有设备都是保存DHCP记录的,明确的记录直接抽出来,汇总太容易。
    但是NAT记录就是各种厂商各种设备,不同的解决方案查询方案不一,没法统一。NAT的记录只保存3个月(规定最少3个月,但是这个数据很大,小ISP不会保存太久)。但是DHCP的记录就很小了,尤其在用户固定的时候,完全永久保存。这样带来的问题是:一次泄漏真实IP,永远就被标记。

    从阴谋论来看,宽带这么贵还有大把人是买,垄断经济又不存在竞争,降低网速费用之类不是国家会考虑的问题。能吸引国家的当然是实名制啦,要不然怎么会放在新闻联播7分钟这么重要的地方呢。
    虽然大家都知道BigBrother在科技上是什么尿性:经常说了不做。但是要明白一点:在维稳上这些家伙可是比西方记者还要快。

发表评论