駐地網(wǎng)IPv4/6綜合組網(wǎng)方式

一、概述

　　1、駐地網(wǎng)的概念

　　從電信領(lǐng)域來看，用戶駐地網(wǎng)是隨著智能終端的出現(xiàn)，以及多業(yè)務(wù)承載的需求，而從傳統(tǒng)意義上的電信接入網(wǎng)中分化出來的網(wǎng)絡(luò)組成部分。在傳統(tǒng)的電信網(wǎng)絡(luò)中（未引入IP技術(shù)，也出現(xiàn)對多業(yè)務(wù)的需求），業(yè)務(wù)的單一，導(dǎo)致了終端種類的單一，從而也使得接入網(wǎng)絡(luò)的功能較為單一。當(dāng)時的接入網(wǎng)是指本地交換端局與用戶之間連接的媒介和設(shè)備，主要包括交接箱、分線盒、雙絞線等，從本地交換端局到用戶終端是典型的樹狀結(jié)構(gòu)。用戶終端都點到點的連接上一級接入設(shè)備（分線盒、交接箱）。到此時不存在用戶駐地網(wǎng)絡(luò)的概念。但是隨著IP技術(shù)在電信網(wǎng)絡(luò)中的應(yīng)用、用戶對多業(yè)務(wù)的需求增加、以及用戶終端的智能化使得用戶端的網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生了變化，用戶端網(wǎng)絡(luò)的安全性、業(yè)務(wù)提供模式等問題均成為了研究的熱點。因此其也正在逐步從接入網(wǎng)中分離出來，形成了一個新的網(wǎng)絡(luò)組成部分，有著其自己的研究內(nèi)容和重點，稱之為用戶駐地網(wǎng)（CPN－Customer Premise Network）。

圖1 用戶駐地網(wǎng)邏輯圖

　　目前，信息產(chǎn)業(yè)部把傳統(tǒng)的電信接入網(wǎng)劃分為兩塊，即用戶駐地網(wǎng)和接入網(wǎng)。其中，用戶駐地網(wǎng)指用戶終端至局端用戶網(wǎng)絡(luò)接口（UNI）之間所包含的機(jī)線設(shè)備，主要是各單位和居民住宅區(qū)的用戶網(wǎng)絡(luò)。接入網(wǎng)由業(yè)務(wù)節(jié)點接口（SNI）和用戶網(wǎng)絡(luò)接口（UNI）之間的一系列傳送實體（如線路設(shè)施和傳輸設(shè)施）組成，為通信業(yè)務(wù)而提供所需傳送承載能力的設(shè)施系統(tǒng)。業(yè)務(wù)節(jié)點接口（SNI）是提供用戶接入到業(yè)務(wù)匯聚點（POP）的業(yè)務(wù)節(jié)點（SN）的接口。UNI（用戶網(wǎng)絡(luò)接口）指的是終端設(shè)備與應(yīng)用接入?yún)f(xié)議的網(wǎng)絡(luò)終端之間的接口。

　　2、用戶駐地網(wǎng)的綜合組網(wǎng)需求

　　目前，互聯(lián)網(wǎng)工程任務(wù)組(IETF)關(guān)于駐地網(wǎng)IPV4/V6組網(wǎng)需求的研究正在進(jìn)行中，已經(jīng)出現(xiàn)了一些建議草案，比如企業(yè)網(wǎng)IPV4/V6綜合組網(wǎng)需求、非管理網(wǎng)絡(luò)（辦公室或家庭）IPV4/V6綜合組網(wǎng)需求等。這些研究存在兩個方面的問題：首先，這些草案均處于起步階段；其次，IETF的這些研究均是針對互聯(lián)網(wǎng)應(yīng)用領(lǐng)域的，沒有考慮到電信網(wǎng)絡(luò)的需求。

　　實際上，對駐地網(wǎng)提IPV4/V6綜合組網(wǎng)需求是有很大難度的。

　　首先，用戶駐地網(wǎng)的網(wǎng)絡(luò)種類比較多，比如，企業(yè)網(wǎng)、住宅小區(qū)網(wǎng)等，這些網(wǎng)絡(luò)對網(wǎng)絡(luò)結(jié)構(gòu)的要求不同。用戶駐地網(wǎng)絡(luò)所采用的技術(shù)不同，如以太網(wǎng)、非對稱數(shù)字用戶環(huán)路（ADSL- Asymmetrical Digital Subscriber Line）、綜合數(shù)字業(yè)務(wù)網(wǎng)（ISDN）等。

　　其次，用戶駐地網(wǎng)的現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)對IPV4/V6綜合組網(wǎng)方案的制訂有直接的影響；

　　另外，現(xiàn)有網(wǎng)絡(luò)的改造需求也不盡相同，比如對于企業(yè)網(wǎng)來說，有的要求建立一個和IPV4網(wǎng)絡(luò)平行的IPV6網(wǎng)絡(luò)，有的則只是要求在現(xiàn)有IPV4網(wǎng)路上支持少數(shù)的基于IPV6的應(yīng)用。

　　在用戶駐地網(wǎng)綜合組網(wǎng)方案設(shè)計時需要考慮的問題較多：

　�。�1）駐地網(wǎng)以何種形式通過接入網(wǎng)聯(lián)入城域網(wǎng)（單出口還是多出口）；

　�。�2）駐地網(wǎng)的地址分配情況，當(dāng)前使用的是IPV4私有地址還是公有地址，擁有的IPV4公有地址的數(shù)量；

　�。�3）駐地網(wǎng)是面向企業(yè)的，還是面向住宅用戶，目前這兩種的區(qū)別越來越不明顯；

　�。�4）用戶的認(rèn)證和計費方式，用戶認(rèn)證的位置在具體應(yīng)用中存在著差異，有的網(wǎng)絡(luò)在駐地網(wǎng)出口處完成用戶認(rèn)證，有的網(wǎng)絡(luò)則在城域的匯聚層實現(xiàn)用戶的認(rèn)證；

　�。�5）對用戶終端和網(wǎng)絡(luò)設(shè)備的要求；

　�。�6）其他一些與組網(wǎng)有關(guān)的問題，如網(wǎng)絡(luò)安全、域名系統(tǒng)、路由方式、服務(wù)質(zhì)量保證、對原有業(yè)務(wù)的影響、網(wǎng)絡(luò)管理等諸多問題。

二、現(xiàn)有組網(wǎng)方式的比較分析

　　1、現(xiàn)有組網(wǎng)方式概述

　　目前，可以在駐地網(wǎng)IPV4/V6綜合組網(wǎng)中應(yīng)用的技術(shù)主要有：雙棧遷移機(jī)制（DSTM—Daul Stack Transition Mechanism）、隧道代理、6to4、站內(nèi)自動隧道尋址協(xié)議（ISATAP—Intra-site Automatic Tunnel Addressing Protocol）、網(wǎng)絡(luò)地址翻譯與協(xié)議翻譯機(jī)制（NAT-PT）等。

　　就目前具體應(yīng)用的情況來看，除了DSTM以外，上述其他技術(shù)均有應(yīng)用，其中以6TO4（單獨使用或與ISATAP相配合）、NAT-PT應(yīng)用較多，隧道代理也有所應(yīng)用（通常在實驗室環(huán)境中采用）。而DSTM由于目前只能單向通信因而在應(yīng)用中較少采用。

　　2、基于隧道代理機(jī)制的組網(wǎng)

　�。�1）現(xiàn)有網(wǎng)絡(luò)環(huán)境：IPV4網(wǎng)絡(luò)（一個隧道代理的管理域）。

　�。�2）改造主要需求：通過對IPV4網(wǎng)絡(luò)的改造，實現(xiàn)IPV4網(wǎng)絡(luò)中的雙棧節(jié)點以隧道方式與通過IPV4網(wǎng)絡(luò)相連的IPV6網(wǎng)絡(luò)或主機(jī)通信。

　�。�3）實現(xiàn)思路：

　　當(dāng)IPV4網(wǎng)絡(luò)中的雙棧主機(jī)需要與IPV6網(wǎng)絡(luò)通信時，可以通過在這個雙棧主機(jī)與IPV6網(wǎng)絡(luò)入口路由器之間配置隧道的方式來實現(xiàn)。

　　（4）網(wǎng)絡(luò)結(jié)構(gòu)：

　　通常隧道代理在網(wǎng)絡(luò)中有如下兩種應(yīng)用方式：

圖2 以主機(jī)為隧道客戶端組網(wǎng)方案

圖3 以駐地網(wǎng)出口路由器為隧道客戶端組網(wǎng)方案

　�。�5）設(shè)備需求：

　　隧道代理方式至少涉及如下三種網(wǎng)絡(luò)設(shè)備：隧道代理、隧道客戶端、隧道服務(wù)器等。其中隧道客戶端可以是駐地網(wǎng)內(nèi)的單個主機(jī)，也可以是駐地網(wǎng)出口路由器。下面著重介紹單個主機(jī)做為隧道客戶端的組網(wǎng)方式，即對應(yīng)圖（a）。

　�。�6）工作方式：

　　雙棧主機(jī)根據(jù)通信需求（要連接哪個IPV6網(wǎng)絡(luò)），確定隧道服務(wù)器（隧道終點）的位置（IPV4/V6地址或域名），雙棧主機(jī)向隧道代理提出與隧道服務(wù)器建立隧道的請求，在請求信息中包含用戶身份認(rèn)證信息。隧道代理在通過認(rèn)證的雙棧主機(jī)與隧道服務(wù)器之間配置隧道。

　　（7）安全問題：

　　首先，隧道代理、隧道客戶端、隧道服務(wù)器之間的信任關(guān)系的確立是一個需要重點考慮的問題。在隧道客戶端和隧道代理之間、隧道代理與隧道服務(wù)器之間可以通過身份認(rèn)證方式來建立信任關(guān)系。

　　其次，隧道服務(wù)器需要信息過濾功能，過濾時需要檢查的內(nèi)容包括：封裝IPV6數(shù)據(jù)的IPV4包的源地址、IPV6數(shù)據(jù)包中的與安全相關(guān)的信息等，從而減少或者避免隧道中的信息對隧道服務(wù)器后面的IPV6網(wǎng)絡(luò)造成損害，一種可能的攻擊方式是隧道客戶端的IPV6信息利用隧道服務(wù)器做為中轉(zhuǎn)，對IPV6網(wǎng)絡(luò)進(jìn)行攻擊；另一種可能的攻擊方式是來自IPV4網(wǎng)絡(luò)中的其他信息源采用地址欺騙方式來通過隧道服務(wù)器對IPV6網(wǎng)絡(luò)進(jìn)行攻擊。

　�。�8）路由問題：

　　雙棧主機(jī)的路由通常由隧道代理配置的靜態(tài)路由。

　　3、基于6to4機(jī)制的組網(wǎng)

　�。�1）應(yīng)用的網(wǎng)絡(luò)環(huán)境：既可以應(yīng)用于解決IPV4網(wǎng)絡(luò)中的IPV6通信問題，也可以用來實現(xiàn)多個純IPV6網(wǎng)絡(luò)通過IPV4網(wǎng)絡(luò)進(jìn)行互聯(lián)的問題。

　�。�2）改造主要需求：

　　首先，一些基于IPV4的駐地網(wǎng)中出現(xiàn)與外部的IPV6網(wǎng)絡(luò)進(jìn)行通信的需求，要求駐地網(wǎng)能夠提供一種方式來實現(xiàn)這種通信，第一個需要解決的問題就是IPV6地址的分配問題，即如何為IPV4網(wǎng)絡(luò)中的雙棧節(jié)點分配IPV6地址，在6to4機(jī)制中，6to4路由器為采用的地址前綴為2002::/16，6to4域內(nèi)的主機(jī)均可以通過地址自動分配方式來獲得6to4地址。

　　其次，一些基于IPV6的駐地網(wǎng)需要通過IPV4網(wǎng)絡(luò)與其他IPV6網(wǎng)絡(luò)通信。6to4隧道正是為了滿足這種需求而提出的。

　�。�3）實現(xiàn)思路：

　　在駐地網(wǎng)的出口處（通常為出口路由器）設(shè)立6to4路由功能，它一方面可以為6to4域中的雙棧主機(jī)分配6to4地址；另一方面可以與其他IPV6網(wǎng)絡(luò)建立6to4隧道，實現(xiàn)IPV6網(wǎng)絡(luò)的互聯(lián)。

　�。�4）網(wǎng)絡(luò)結(jié)構(gòu)：

圖4 基于6to4機(jī)制的組網(wǎng)圖

　�。�5）設(shè)備需求：

　　在6to4組網(wǎng)方式中的主要網(wǎng)元設(shè)備有：6to4主機(jī)、6to4路由器、6to4中繼器。其中6to4路由器支持雙棧（具有6to4地址和IPV4地址）和6to4隧道，而6to4中繼器同樣要求支持雙棧（具有純IPV6地址、6to4地址、IPV4地址）和6to4隧道。6to4中繼器負(fù)責(zé)溝通6to4網(wǎng)絡(luò)和純IPV6網(wǎng)絡(luò)，所謂的純IPV6網(wǎng)絡(luò)是指不采用6to4地址的IPV6網(wǎng)絡(luò)。

　�。�6）工作方式：

　　6to4網(wǎng)絡(luò)的工作模式可以分為如下三種：首先是6to4網(wǎng)絡(luò)（域）內(nèi)的信息轉(zhuǎn)發(fā)；其次是6to4網(wǎng)絡(luò)中的主機(jī)與其他6to4網(wǎng)絡(luò)中的主機(jī)之間的信息轉(zhuǎn)發(fā)；還有是6to4網(wǎng)絡(luò)中的主機(jī)與外部純IPV6網(wǎng)絡(luò)中的主機(jī)之間的信息轉(zhuǎn)發(fā)。

　　6to4網(wǎng)絡(luò)中的主機(jī)可以采用多種方式（有狀態(tài)的動態(tài)主機(jī)配置協(xié)議DHCP或無狀態(tài)的自動分配）獲得6to4地址，但是通常采用地址自動分配方式從6to4路由器處獲得6to4地址。在6to4網(wǎng)絡(luò)內(nèi)部的通信由6to4路由器轉(zhuǎn)發(fā)，而與外部6to4網(wǎng)絡(luò)中的主機(jī)通信時，則由6to4路由器按照目的6to4地址中的IPV4地址來對IPV6包進(jìn)行IPV4封裝并轉(zhuǎn)發(fā)到目的IPV4地址所對應(yīng)的6to4路由器（對端6to4路由器）。由這個對端6to4路由器負(fù)責(zé)向目的主機(jī)的發(fā)送。

　　當(dāng)6to4網(wǎng)絡(luò)中的主機(jī)與外部純IPV6網(wǎng)絡(luò)中的主機(jī)進(jìn)行通信時，此時信息的源地址是6to4地址，而目的地址是純IPV6地址，6to4路由器將這種IPV6包進(jìn)行IPV4封裝，封裝的IPV4目的地址為6to4中繼器的IPV4地址，這個IPV6數(shù)據(jù)包到達(dá)6to4中繼器以后，6to4中繼器對其解封裝，然后根據(jù)目的IPV6地址（純IPV6地址）轉(zhuǎn)發(fā)到這個地址所對應(yīng)的網(wǎng)絡(luò)的路由器中，由其最終傳送為目的IPV6節(jié)點。

　�。�7）安全問題：

　　6to4組網(wǎng)方式的安全問題主要來自于6to4網(wǎng)絡(luò)內(nèi)部的主機(jī)或者6to4網(wǎng)絡(luò)外部的主機(jī)可能利用6to4路由器或者6to4中繼器（把其做為中轉(zhuǎn)站）對6to4網(wǎng)絡(luò)或純IPV6網(wǎng)絡(luò)進(jìn)行攻擊。

　�。�8）路由問題：

　　在6to4網(wǎng)絡(luò)的內(nèi)部可以采用多種IPV6域內(nèi)路由方式；在6to4網(wǎng)絡(luò)之間或者6to4網(wǎng)絡(luò)與純IPV6網(wǎng)路之間則推薦采用邊界網(wǎng)關(guān)協(xié)議BGP的多協(xié)議擴(kuò)展（MP-BGP）。

　　關(guān)于6to4組網(wǎng)方式所帶來的路由問題是IPV4/V6綜合組網(wǎng)中比較典型的，其包括路由環(huán)回問題和路由泄漏問題等。

　　4、基于ISATAP機(jī)制的組網(wǎng)

　　在實踐中通常很少單獨利用ISATAP機(jī)制，而是將其與其他技術(shù)相結(jié)合來實現(xiàn)綜合組網(wǎng)，ISATAP機(jī)制可以和6to4機(jī)制相兼容，因此通常在6to4組網(wǎng)方式中得以應(yīng)用。

　　ISATAP機(jī)制和6to4機(jī)制一樣都是使用一種內(nèi)嵌IPV4地址的IPV6地址進(jìn)行通信，它們之所以兼容是因為IPV4地址在IPV6地址中的嵌入位置的不同，6to4地址占用IPV6地址的第17位到第48位，而ISATAP地址占據(jù)IPV6地址的后32位，而且由于ISATAP地址是站點內(nèi)部使用的因此沒有對IPV6地址前綴的特殊要求，可以使用6to4地址前綴2002::/16，因此ISATAP和6to4是兼容的。

　　ISATAP機(jī)制是一種自動隧道，它的根本出發(fā)點是實現(xiàn)與IPv6路由器不共享同一物理鏈路的雙棧節(jié)點能夠通過IPv4自動隧道互聯(lián)（進(jìn)行IPV6通信），其應(yīng)用環(huán)境是駐地網(wǎng)本身是一個IPV4網(wǎng)絡(luò)，這個IPV4網(wǎng)絡(luò)內(nèi)部的通信采用ISATAP這種IPV4自動隧道形式。ISATAP機(jī)制不能解決IPV4網(wǎng)絡(luò)內(nèi)部的雙棧主機(jī)如何與其他IPV6網(wǎng)絡(luò)中的IPV6主機(jī)進(jìn)行通信的問題。

　　當(dāng)ISATAP與6to4機(jī)制結(jié)合以后，其工作方式與以上介紹的6to4組網(wǎng)方式最大的不同是6to4網(wǎng)路內(nèi)部的通信方式發(fā)生了變化。6to4網(wǎng)絡(luò)內(nèi)的主機(jī)相互通信時需要6to4路由器的轉(zhuǎn)發(fā)，而當(dāng)在6to4域內(nèi)采用了ISATAP機(jī)制后，則域內(nèi)主機(jī)間的通信方式有兩種，一種是利用6to4路由器，按照6to4地址進(jìn)行轉(zhuǎn)發(fā)；一種是利用ISATAP的自動隧道功能，不需要6to4路由器的干預(yù)而通過IPV4隧道方式來實現(xiàn)。

　　ISATAP與6to4機(jī)制結(jié)合后的組網(wǎng)方式的相關(guān)問題與上一節(jié)6to4組網(wǎng)方式的對應(yīng)問題基本相同。

　　5、基于NAT-PT機(jī)制的組網(wǎng)

　　NAT-PT做為一種翻譯機(jī)制，可以用于IPV4/V6綜合組網(wǎng)，但是通常需要其他功能組件的支持，如地址分配、應(yīng)用網(wǎng)關(guān)等。

　　利用NAT-PT來組網(wǎng)通常會帶來如下的問題，首先是效率問題，對每個數(shù)據(jù)包進(jìn)行翻譯效率是比較低的，盡管一些研究人員提出了基于流的翻譯方法，它不要求對每個IP包都進(jìn)行分析，而是對一組IP包只翻譯一次。但是由于應(yīng)用層網(wǎng)關(guān)的存在，實際上還是要對每個IP包進(jìn)行多個協(xié)議層次的翻譯，效率依然是比較低的。

　　另外，采用NAT-PT方式組網(wǎng)時要求能夠?qū)�IP包進(jìn)行跟蹤，要求反向流量要從正向流量通過的同一個NAT-PT返回，這就限制了網(wǎng)絡(luò)的擴(kuò)展，當(dāng)網(wǎng)絡(luò)容量增加時NAT-PT成為了網(wǎng)絡(luò)的瓶頸。多個NAT-PT如何系統(tǒng)工作的研究正在進(jìn)行之中，研究內(nèi)容主要集中在數(shù)據(jù)存儲格式、數(shù)據(jù)共享方式、數(shù)據(jù)一致性維護(hù)、NAT-PT之間的通信協(xié)議等。

　�。�1）應(yīng)用網(wǎng)絡(luò)環(huán)境： IPV4網(wǎng)絡(luò)中的IPV4主機(jī)要與IPV6網(wǎng)絡(luò)中IPV6主機(jī)進(jìn)行通信時可以采用NAT-PT的翻譯機(jī)制來進(jìn)行IP包格式轉(zhuǎn)換和協(xié)議翻譯。

　�。�2）改造主要需求：

　　要進(jìn)行IP包格式的轉(zhuǎn)換和協(xié)議的翻譯就要解決兩個首要問題，一個是翻譯的過程中需要臨時地址（比如當(dāng)IPV4包翻譯為IPV6包后，需要兩個IPV6地址，同樣的反向翻譯時又需要兩個IPV4地址），這些臨時地址如何分配是要考慮的問題。另外，為了保證業(yè)務(wù)層面的互通，僅僅基于IP層或者TCP/UDP傳輸層的數(shù)據(jù)翻譯是不夠的，還要有基于應(yīng)用層面的翻譯機(jī)制，這通常沒有通用的解決辦法，只能是針對不同的應(yīng)用開發(fā)不同應(yīng)用網(wǎng)關(guān)進(jìn)行IP包中高層協(xié)議的信息轉(zhuǎn)化。

　�。�3）實現(xiàn)思路：

　　臨時地址的分配可以采用常規(guī)的基于地址池的動態(tài)地址分配方式來進(jìn)行，IP包之間的翻譯可以采用SIIT協(xié)議來進(jìn)行。

　　（4）網(wǎng)絡(luò)結(jié)構(gòu)：

圖5 基于NAT-PT機(jī)制的組網(wǎng)圖

　�。�5）設(shè)備需求：

　　NAT-PT功能通常集成在駐地網(wǎng)的出口路由器（雙棧）中，而要使組成的網(wǎng)絡(luò)能夠正常工作，還需要如下功能模塊：地址管理和分配模塊、應(yīng)用層網(wǎng)關(guān)、用戶的認(rèn)證和管理等。

　　（6）安全問題：

　　NAT-PT方式實際上破壞了端到端的網(wǎng)路連接，則IPSEC等網(wǎng)絡(luò)安全措施的使用受到限制。目前，關(guān)于Ipsec的NAT穿越問題的研究是一個熱點，但是取得的成績并不是很理想。其他對于端到端連接有要求的業(yè)務(wù)的開展也將受到影響。

　�。�7）路由問題：

　　IPV4網(wǎng)絡(luò)和IPV6網(wǎng)絡(luò)各自維護(hù)自己的域內(nèi)路由。

作者：曹薊光 來源：泰爾網(wǎng)