物聯網時代視頻監控網絡與IPv6之間的愛恨情愁

　　二、“恨亦悠悠”：IPv6取代IPv4之路道阻且長

　　事實上，作為全球最早開展IPv6以及下一代互聯網技術研究標準制訂的國家之一，中國早在2008年就建成了全球最大的純IPv6網絡，地址分配總數在全球排名居于第二位，但是IPv6在國內的實際應用程度卻非常低。數據顯示，全世界IPv6用戶占網絡用戶比重為18%，其中美國已經達到了30%，比利時則達到了56%，而我國僅為3%，遠遠落后世界平均水平。為什么IPv6在中國猶抱琵琶半遮面，千呼萬喚難出來，筆者認為主要原因在以下幾個方面 ：

　　1、NAT技術讓人歡喜讓人憂：(Network Address Translation，網絡地址轉換)，它是為解決IPv4地址短缺問題而出來的一種技術，同時還能有效地避免來自網絡外部的攻擊，隱藏并保護網絡內部的計算機，所以很多運營商和公司通過使用NAT，給用戶分配私有IPv4編址地址而非公有IPv4地址，大部分用戶沒有更換現有網絡設備馬上升級到IPv6的理由。物聯網時代視頻監控網絡具有一定的特殊性，絕大部分都是內部網絡不對外開放，接入互聯網的需求并不大，有些視頻監控網絡由于安全保密的需要，特別是公安部門，按要求是不能接入互聯網的，使用私有地址即可解決相關的問題，所以使用IPv6的積極性并不是很高。

　　其實當網絡之間通信時，NAT的存在將增加交換延遲，會影響網絡的性能，降低網絡吞吐量;其次它破壞了原來的網絡端到端的透明性，只適用于客戶/服務器模式的應用，用戶在NAT之后無法做流媒體穿越，將影響CDN的效果;在維護連接狀態和動態映射信息的設備中，有可能會產生單點故障，在和其它網絡整合時，也有可能產生地址沖突(重疊)問題;很多高層應用協議與NAT不兼容，一些認證機制和技術在NAT之后更為復雜和甚至無效;NAT屏蔽了用戶的真實地址，無法對用戶溯源，對網絡安全有不利影響，阻礙了在網絡層提供安全服務。所以在物聯網時代，NAT技術將無法適應數據量龐大且更為復雜視頻監控網絡發展的需要，IPv6才能挑起未來網絡的重擔。

　　2、IPv4到IPv6過渡并非易事：在某種情況下，一項技術發展越充分，應用越廣泛，未必是件好事，因為這有可能成為下一項新技術部署的障礙，IPv6就碰上這樣的尷尬：IPv4龐大的用戶群與設備，使得IPv6不得不考慮如何實現IPv4到IPv6的平滑過渡?，F在常用的三種過渡轉換技術各有千秋，但是也各有缺陷：

　　(1)、雙棧技術：是指在網絡節點上同時運行IPv4和IPv6兩種協議，從而在IP網絡中形成邏輯上相互獨立的兩張網絡：IPv4和IPv6網絡，網絡中的節點同時支持IPv4和IPv6協議棧，源節點根據目的節點的不同選用不同的協議棧，而網絡設備根據報文的協議類型選擇不同的協議棧進行處理和轉發。采用雙棧技術部署IPv6，不存在IPv4和IPv6網絡部署時的相互影響，可以按需部署，實現二個網絡的共存，但是不能解決IPv4和IPv6網絡之間的互通問題，而且不會節省IPv4地址，不能解決IPv4地址用盡問題。

　　(2)、隧道技術：基于IPv4隧道來傳送IPv6數據報文的隧道技術，是將IPv6報文封裝在IPv4報文中，這樣IPv6協議包就可以穿越IPv4網絡進行通信。因此被孤立的IPv6網絡之間可以通過IPv6的隧道技術，利用現有的IPv4網絡互相通信而無需對現有的IPv4網絡做任何修改和升級。IPv6隧道可以配置在邊界路由器之間，也可以配置在邊界路由器和主機之間，但是隧道兩端的節點都必須既支持IPv4協議棧又支持IPv6協議棧。該技術缺點也很明顯，需要部署隧道兩端的設備，在隧道的入口處會出現負載協議數據包的拆分，在隧道出口處會出現負載協議數據包的重組，這就增加了隧道出入口的實現復雜度， 對終端系統要求也高，不利于大規模的應用。

　　(3)、地址協議轉換技術：該技術實際上就是一種翻譯技術，實現IPv4和IPv6的協議轉換，能夠將數據在兩種格式之間靈活轉換。翻譯涉及兩個方面：一方面是IPv4與IPv6網絡協議層的翻譯，另一方面是IPv4應用與IPv6應用之間的翻譯，從早期使用NAT-PT協議到現在的NAT64協議，僅需對現有IPv4網絡做少量改造(通常是更換出口網關)，即可實現對外支持IPv6訪問，部署簡單便捷。由于IPv4和IPv6協議設計上的不兼容性，協議轉換過程費時費力，處理開銷較大，效率較低，應當盡量避免采用此技術。

　　3、IPv6的安全挑戰不可忽視： IPv6會面臨現有IPv4網絡下碎片化的攻擊(產生大量分片或發送不完整的分片報文來耗費防火墻資源或處理時間)，攻擊者可利用IPv6報文的擴展報頭(可選且多種)構造包含異常數量擴展頭的報文，防火墻為解析報文將耗費大量的資源，從而影響轉發性能;IPv6采用了鄰居發現協議取代IPv4的ARP(地址解析協議)，但地址欺騙和泛洪等問題依然存在，發送錯誤的路由器宣告和重定向消息等引IP流轉向，達到DDoS、攔截和修改數據的目的;IPv6無狀態地址自動分配機制也可能使非授權用戶更容易接入和使用網絡，而且過渡與互通方案也會帶來新的安全問題，攻擊者可以利用過渡協議的安全漏洞來逃避安全監測甚至是實施攻擊行為，所以IPv6的安全性也不是可以高枕無憂的。

　　TCP/IP協議每一層中都有對應的協議和規范，作為各個層之間唯一的“細腰”，IP層的更換會影響很多其他的層，同時IPv6和IPv4的兼容性并不好，難以實現互聯互通，從技術角度上看，IPv4到IPv6的升級本身并未易事。

　　從經濟角度上來看，我國的骨干網不僅僅包括三大電信運營商的網絡構建，還包括鐵路、銀行、軍隊的內部網絡構建，不管是哪一種網絡改造，都需要付出巨大的經濟成本，再加上網絡中對應的硬件設備也需要進行升級，包括網卡、路由器等，如此一筆龐大的支出，卻對應著IPv6尚無殺手級應用，盈利模式難探索的局面，再加上缺乏明確的市場導向和政府應用先行意識，應用和網站向IPv6遷移嚴重滯后拖后腿，一些誤解和干擾影響了國家發展IPv6戰略的執行，IPv6想說愛你并不是一件很容易的事……

　　三、又愛又恨卻又甘之如飴，期待厚積薄發

　　在互聯網與物聯網應用領域，IPv4仍然主導著IP網絡，在IPv6的網絡流行之前，IPv6的先驅者們還有很長的路要走，但網絡IPv6化是大勢所趨。據了解，目前主流網絡設備提供商都已經給出相關的IPv6解決方案，同時電信運營商也著手計劃部署IPv6網絡。一旦基礎網絡IPv6過渡完成，視頻監控網絡也必然會向IPv6化過渡。

　　當然，就目前而言IPv6在物聯網時代視頻監控網絡中大展身手的時機還未成熟，視頻監控網絡設備與IPv6融合主要表現在終端設備與IPv6網絡的結合。然而IPv6與網絡視頻監控系統融合并沒那么簡單，雖然已經有部分廠商推出了支持雙協議的網絡攝像機等，但其實際意義并不大。視頻監控網絡作為一個整體應用，從前端到后端，采集到存儲，以及用戶監管，各個設備以及平臺軟件都要支持IPv6協議，才能保證整個系統正常運行，而現實是各個設備或子系統來自于不同廠家，目前還難以做到協議統一。

　　在可預見的未來，網絡視頻監控網絡設備，包括網絡攝像機、網絡視頻服務器以及網絡視頻監控平臺軟件等產品將率先跨入IPv6應用，物聯網的浪潮也將引爆IPv6在智慧城市、智能社區、智能家居、智能交通、智能設施等視頻監控業務中的應用。