http://pda.c114.net/166/a790352.html
0 前言
随着互联网业务的快速发展,互联网号码分配授权委员会(IANA)及亚太互联网络信息中心(APNIC)可分配的IPv4公有地址已于2011年上半年分配完毕,各电信运营商所申请的IPv4公网地址也将陆续耗尽。但随着互联网的进一步发展和普及,尤其是移动互联网、物联网、云计算等各类新应用的迅速发展,IP地址需求将呈现快速增长趋势,且需求量巨大,电信运营商即将面临新增用户业务开放无IPv4地址可用的窘境。IPv6是下一代互联网的发展起点,它不仅解决了IPv4地址资源的枯竭问题,还将成为其他产业(如物联网、云计算等新兴互联网产业)发展的基础和支撑。
面对这一机遇,我国政府极为重视并积极推动相关的战略部署。2011年12月,国务院常务会议研究部署了加快发展下一代互联网产业的有关问题,明确了发展下一代互联网路线图,提出了2013年年底前开展IPv6网络的小规模商用及2014—2015年开展大规模部署和商用的工作目标。这一规划将加速我国IPv6及下一代互联网产业的发展步伐、提升我国在一系列新兴互联网产业中的国际竞争力。
从IPv4向IPv6演进是个复杂的系统工程,除涉及IP骨干网/城域网、移动网、业务平台、IT系统、终端等众多方面外,还将涉及到产业链各方博弈破局、投资保护、演进风险等诸多领域。
由于我国IP城域网设备种类繁多、使用年限不一、支持IPv6的程度参差不齐,因此演进难度会更大、过渡时间会更长,会在较长时期内处于IPv4和IPv6网络并存的状态。本文试从向IPv6演进较复杂的IP城域网出发,探讨基于轻型双栈(DS-lite)的过渡技术方案在IP城域网向IPv6演进中的部署和应用。
1 DS-lite技术简介
1.1 DS-lite技术原理
DS-lite是结合IPv4 in IPv6隧道和改进版的IPv4网络地址转换(NAT)(即以tunnel-id/IPv6地址为NAT表索引)技术,由地址族过渡路由器单元(AFTR)设备和B4基本桥接宽带单元(Base Bridge Broadband Element)设备(常为家庭网关或用户终端)协作完成IPv4和IPv6业务承载。DS-lite技术原理示意见图1 。
由图1可知,B4设备为支持DS-lite的路由型网关:对内开启动态主机配置协议(DHCP)v4系统功能,为内部终端分配私有IPv4地址(若B4为软终端,则固化私有IPv4地址);对外根据点对点协议(PPP)发起向AFTR请求,AFTR通过远程用户拨号认证系统(RADIUS)认证后,利用DHCPv6系统为其分配IPv6地址,B4发起建立至AFTR的IPv4 in IPv6隧道。用户访问IPv4业务时,将通过家庭网关将IPv4流量封装到IPv6隧道中,传送至网络侧的AFTR设备进行解封装和NAT,实现业务访问;用户访问IPv6业务时,则直接通过Native IPv6网络实现。
1.2 DS-lite技术标准进展情况
目前,IETF已将DS-lite主体标准列入了工作组文档,相关配合标准也已进入了RFC(指互联网工程任务推进组织(IETF)的一个无限制分发文档)编辑队列或已成为工作组文档。有关厂商可参照相关文档研发符合DS-lite标准规范的产品,运营商也可参照相关文档对相应的业务流程及IT系统进行改造。DS-lite技术标准进展情况如下所述。
a) 主体标准。draft-ietf-softwire-dual-stack-lite-07已进入AD go-ahead等待状态。
b) 通过DHCPv6选项动态分配AFTR地址、域名,draft-ietf-softwire-ds-lite-tunnel-option-10已进入RFC编辑队列。
c) 通过Radius扩展属性下发AFTR地址、域名,draft-ietf-softwire-dslite-Radius-ext-02已成为工作组文档。
2 基于DS-lite的IP城域网向IPv6演进方案
2.1 IP城域网现状
目前,国内各大运营商的IP城域网结构都很相似,主要包含核心路由、业务控制、宽带接入(含汇聚和接入)等3个层面。根据业务需求,各层面分别部署核心路由器(CR)、业务路由器(SR)、宽带远程接入服务器(BRAS)、汇聚交换机、接入交换机、 光线路终端(OLT)、光网络单元(ONU)等设备。IP城域网结构示意见图2。
a) 核心路由层。核心路由层主要负责高速转发城域网各类进出流量。出口路由器分别与公用IP骨干网(主要承载一般的互联网流量)及专用IP骨干网(主要承载运营商的自有业务流量,如虚拟专用网(VPN)、3G中继电路等)互联。此外,部分节点还可根据传输资源及业务规模等情况配置汇接路由器,以对城域网流量实施分片区汇聚。
b) 业务控制层。业务控制层主要实现对用户及流量的控制和管理。该层由SR及BRAS组成,并覆盖到主要汇聚节点,以提供更好的业务开放能力。
c) 宽带接入层。宽带接入层包含局域网(LAN)、数字用户线路(xDSL)、 吉比特无源光网络(GPON)、 以太无源光网络(EPON)等接入方式,以形成一个覆盖广泛、接入方式更多样的宽带接入网。
2.2 部署方案
DS-lite方案基于部署位置可分为分布式和集中式2种方案,其中:分布式旁挂BRAS/SR设备,集中式旁挂CR设备。基于设备形态又可分为独立式和嵌入式2种方案,其中:独立式整机功能专一,硬件实现DS-lite AFTR功能;嵌入式在BRAS/SR设备平台上开发,采用专用业务单板实现DS-lite功能,并可提供支持PPPoEv6/IPoEv6+DS-lite的单板来实现用户接入和DS-lite AFTR功能的集合。
根据AFTR设备形态,结合不同的部署层面,AFTR在IP城域网内有表1所示的4种部署方式。
IP城域网部署DS-lite方案的组网拓扑如图3和图4所示。
由于目前与DS-lite相关的AFTR和B4设备还在不断完善中,因此建议在IP城域网部署中宜以不影响现有业务开展为前提,并遵循“控制风险,适度预留”的基本原则。
a) 初期AFTR以分布式部署为主,即:以业务片区为单元,在相应的BRAS/SR上插板(建议配置2块或多块AFTR板卡,实现1[∶]1或N[∶]1备份),并根据片区覆盖接入用户向IPv6迁移的意愿,对其用户端设备(CPE)进行改造或替换。
b) 随着AFTR及B4设备成熟度的提升及成本的下降,中后期可对不同的IP城域网选择合适的部署方案,如:大中型城域网仍以分布式插板部署为主,以独立AFTR设备外挂BRAS/SR设备为辅;小型城域网以集中式独立设备旁挂CR设备为主,以CR插板为辅。
c) 现阶段独立式AFTR设备暂不支持热备,通过成组配置实现冷备,也可在一定程度上提升部署网络的可靠性。不管是旁挂CR还是旁挂BRAS/SR部署,在AFTR设备配置上建议按成组冗余备份考虑,如:IP城域网2台CR上各旁挂1台AFTR、每台CR上旁挂2台AFTR,实现一主一备;IP城域网每台BRAS上旁挂2台AFTR,实现一主一备。
2.3 业务承载实现
IP城域网内承载的业务有IPv4和IPv6 2种。
2.3.1 IPv4业务流承载
B4开启DHCPv4功能,为内部终端分配私有IPv4地址,发起PPP认证,运营商网络通过Radius认证后,以DHCPv6协议下发用户IPv6地址,并可通过静态配置或DHCPv6等方式通告AFTR位置信息(IPv6地址)。B4发起建立至AFTR的IPv4 in IPv6隧道,封装出向IPv4数据流,数据包源地址为B4 WAN接口IPv6地址,目的地址为AFTR LOOPBACK接口IPv6地址,并解封装目的地址为B4 WAN接口IPv6地址的入向IPv6数据包。
AFTR建立至B4的IPv4 in IPv6隧道并执行NAT功能,即实现解封装目的地址为AFTR自身IPv6地址的出向IPv6数据包,对内嵌IPv4数据包执行IPv4-IPv4 NAT,并基于NAT会话表项对入向IPv4数据包执行IPv4 NAT转换,然后封装并通过隧道传送至B4。由于用户IPv4地址由用户自行分配,不同用户IPv4地址可能会相同,为避免冲突,AFTR内部维护的NAT表项与普通IPv4 NAT不同,增加B4的WAN接口IPv6地址以区分用户。
2.3.2 IPv6业务流承载
AFTR和B4间对IPv6流量执行Native转发。
从上述IPv4和IPv6业务流承载分析可知,在IP城域网内部署DS-lite后,可较好地实现IPv4单栈用户、IPv6单栈用户、双栈用户等通过隧道或直接转发的方式访问相应的IPv4和IPv6应用资源,满足各类互联网应用的承载需求。根据中国电信相关省份试点的反馈情况,目前IP城域网内已部署DS-lite AFTR设备的功能和性性可基本满足业务需求,DS-lite软/硬终端基本功能测试无发现问题,v4/v6网络资源下的聊天、游戏、网页、视频、点播等互联网业务及应用也基本正常,能支持SSL-VPN和L2TP-VPN等业务的开放。
2.4 地址分配及接入
2.4.1 地址分配
a) IPv6地址。需为CPE分配IPv6地址,地址格式不受限。
b) IPv4地址。CPE WAN侧的IPv4地址无需规划,可由用户自行分配。用户终端的IPv4私网地址由CPE进行分配。
2.4.2 终端接入
a) 硬终端接入。用户侧需提供支持DS-lite功能的路由型家庭网关B4,其中网关的WAN口支持PPP+邻居发现协议(NDP)+DHCP方式获得v6接口地址、家庭网络前缀、DNS、AFTR地址,建议采用有状态的DHCPv6;LAN口采用NDP/DHCP为v6终端分配v6地址,采用DHCPv4为v4终端分配私有v4地址和DNS、缺省网关地址。
b) 软终端接入。需安装定制化的DS-lite客户端软件,以配合桥接型网关实现接入。
2.5 相关路由及安全
对于IP城域网整体路由规划而言,3层路由主要承载在业务控制层设备及城域网出口设备上,对于CR和业务控制层设备BRAS/SR均建议开启双栈,以便视需要开启相应基于IPv6的路由进程。在现阶段对于IPv6建议由城域网出口CR兼作,IGP v6主要运行在城域网出口CR与v6化改造的BRAS/SR间。优选中间系统到中间系统(ISIS)v6多拓扑模式,实现在一个路由进程中IPv4 与IPv6的独立计算与独立转发,同时能够支持双栈路由器和IPv4路由器间建立邻接关系;EGP v6主要运行在城域网出口CR与骨干网核心路由器、专用骨干网PE路由器间。优选BGP4+,城域网出口CR对外宣告用户v6路由及v6 VPN路由,接收IPv6缺省路由或IPv6全路由。AFTR接口地址以任播(Anycast)方式通告到城域网路由域,以便B4能够接入就近的AFTR设备建立v6连接或IPv4-in-IPv6的隧道。
对于部署DS-lite的IP城域网安全规划而言,其关键网元在于AFTR。独立式的AFTR应关注非法访问连接、用户会话数超限、单设备宕机等安全隐患,嵌入式的AFTR在此基础上还应关注插板设备的整体安全特性是否满足要求。
a) 防止非授权用户。AFTR设备应提供某种方式确保只为已授权的用户提供服务,如AFTR设备必须支持根据授权用户的合法IPv6地址部署IPv6访问控制列表(ACL),以检查隧道封装的源地址。
b) 用户会话数限制。由于在DS-lite部署中,IPv4地址被大量用户复用。AFTR设备应能够限制每个用户的会话数量,以防止遭到DoS攻击,耗尽其公网IPv4地址和端口资源。
c) AFTR板卡及设备备份。在负载均衡的基础上,AFTR应具备一定的冗余备份机制,以防止某台设备或者板卡出现问题时能够较快地恢复服务。
2.6 相关支撑系统配合
部署DS-lite涉及DHCPv6协议、Radius交互、DNS协议与溯源,因此需要相关支撑系统的配合工作。
a) DHCPv6系统配合。为终端分配v6地址、Prefix、域名系统(DNS)v6地址和AFTR v6地址/完全合格域名/全称域名(FQDN)等参数,可以是独立设备,也可以是嵌入BRAS,但目前建议采用BRAS内嵌的方式来实现。
b) DNS系统配合。DNS必须升级支持双栈解析请求,具备A和AAAA记录,在DS-lite场景中,接受B4发送的v6 DNS解析请求。
c) AAA系统配合。需AAA系统进行相应改造以配合DS-lite部署后IPv6相关业务流程的支撑工作:通过协议拓展增加相关IPv6属性,至少包括RFC 3162和RFC 4818规定的7个IPv6属性:接入服务器的IPv6地址(NAS-IPv6-Address)、框定的接口ID(Framed-Interface-Id)、框定的IPv6前缀(Framed-IPv6-Prefix)、登录的IPv6主机地址(Login-IPv6-Host)、框定的IPv6路由(Framed-IPv6-Route)、框定的IPv6地址池(Framed-IPv6-Pool)、指定的IPv6前缀(Delegated-IPv6-Prefix)。在完成AAA相应改造的同时还需要BRAS相应的改造升级,以支持上述协议的拓展。
3 结束语
随着IPv4公有地址的耗竭,为了确保业务的持续发展,各大电信运营商都在着力推进IP网络从IPv4向IPv6演进的进程,并纷纷进行试点,包括DS-lite方案、NAT444方案等。但从目前试点情况来看,由于各种方案和标准都还在不断完善中,还都尚未定型,在演进过程中,具体究竟选用何种方案,需结合各运营商IP网络实际情况、用户发展状况、终端支持能力、标准技术成熟度、网络改造成本等因素综合考虑确定。
参考文献:
[1] Dual-Stack Lite Broadband Deployments Following IPv4 Exhaustion[EB/OL]. [2012-09-15]. http://tools.ietf.org/html/draft-ietf-softwire-dual-stack-lite-07.
[2] Dynamic Host Configuration Protocol for IPv6(DHCPv6)[EB/OL]. [2012-09-15]. http://www.alicn.cn/article/122769.html.
[3] RADIUS Delegated-IPv6-Prefix Attribute[EB/OL]. [2012-09-15]. http://wenku.baidu.com/view/a1de4 cf8aef8941ea76e05dc.html.
[4] RADIUS and IPv6[EB/OL]. [2012-09-15]. http://www.baidu.com/s?wd=rfc3162%A3%BARADIUS+and+IPv6&rsv_bp=0&rsv_spt=3&rsv_n=2&inputT=5571.
[5] IPv6 Stateless Address Auto configuration[EB/OL]. [2012-09-15]. http://wenku.baidu.com/view/359ca 523192e45361066f5b8.html.