解決IPv4向IPv6過渡的難題

運(yùn)營商所需要的IPv6演進(jìn)方案，首先要能夠解決IPv4的地址短缺問題，由于時間緊迫，這個方案還要具備較高的成熟度，而且部署簡單。其次，運(yùn)營商還需要長遠(yuǎn)考慮，確定中后期的演進(jìn)路線�！�

互聯(lián)網(wǎng)名稱與數(shù)字地址分配機(jī)構(gòu)（ICANN）公布的最新數(shù)據(jù)表明，全球IPv4地址僅剩余2.52億個，不到總量的6%，預(yù)計IPv4地址會在2011年8月耗盡。隨著物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)、IPTV、寬帶上網(wǎng)等業(yè)務(wù)不斷發(fā)展壯大，運(yùn)營商不停地擴(kuò)大網(wǎng)絡(luò)規(guī)模，這也使IPv4地址枯竭的速度更快了。業(yè)內(nèi)人士認(rèn)為，IPv6是解決IPv4地址短缺的爭議最少的方案。

運(yùn)營商的困惑

運(yùn)營商將IPv4升級為IPv6網(wǎng)絡(luò)的過程，就好像將旅館的所有客房重新粉刷、更換家具設(shè)施，同時還要保障旅館不停業(yè)，甚至接待更多旅客；并且旅館老板還要考慮成本投入，難度可想而知。運(yùn)營商在升級到IPv6時，普遍面臨下面三個挑戰(zhàn)。

方案眾多

IETF有觀點(diǎn)認(rèn)為：“IPv6最大的敗筆，在于無法向前兼容IPv4協(xié)議。”這也是從IPv4升級到IPv6，出現(xiàn)眾多演進(jìn)方案的根本原因。雖然這些方案的技術(shù)不外乎三類——雙棧、隧道和地址轉(zhuǎn)換，但在不同細(xì)枝末節(jié)上的變種已超過20余種，如NAT444、NAT64、NAT-PT、DS-Lite、6RD、IVI等。

這些技術(shù)方案有的可以緩解IPv4地址短缺的燃眉之急，有的可以幫助運(yùn)營商應(yīng)對來自終端用戶或自身網(wǎng)絡(luò)建設(shè)的IPv6部署需求。各種技術(shù)方案的應(yīng)對場景不同，再加上運(yùn)營商的網(wǎng)絡(luò)基礎(chǔ)各異，這都增加了運(yùn)營商選擇方案的難度。

成本敏感

電信行業(yè)顯然已經(jīng)不再是早年的“朝陽產(chǎn)業(yè)”，運(yùn)營商也在不斷降低毛利以吸引更多用戶，抵抗競爭壓力。尤其是2008年的全球金融危機(jī)之后，電信行業(yè)也不可避免地陷入投資額下降的困境。在IPv6網(wǎng)絡(luò)演進(jìn)的問題上，運(yùn)營商的改造規(guī)模覆蓋了終端、接入、城域、骨干等各個環(huán)節(jié)，幾乎是全網(wǎng)升級，設(shè)備采購量和資金投入自然不小。如何降低TCO，保護(hù)投資，也是運(yùn)營商需要考慮的關(guān)鍵問題之一。

平滑演進(jìn)

IPv6的演進(jìn)不可能一蹴而就，不同電信業(yè)務(wù)、不同應(yīng)用場景在不同階段對IPv6演進(jìn)方案有著不同需求。因此，基于各過渡技術(shù)的進(jìn)展，運(yùn)營商需要根據(jù)自己的特點(diǎn)，選擇合適的過渡方案組合。在這個過程中，運(yùn)營商不僅要解決目前的地址枯竭問題，還要兼顧長期的演進(jìn)過程更加平穩(wěn)，以達(dá)到保護(hù)投資的目的。

IPv6演進(jìn)之道

運(yùn)營商所需要的IPv6演進(jìn)方案，首先要能夠解決IPv4的地址短缺問題，由于時間緊迫，這個方案還要具備較高的成熟度，而且部署簡單。其次，運(yùn)營商還需要長遠(yuǎn)考慮，確定中后期的演進(jìn)路線。在全盤考慮整個網(wǎng)絡(luò)改造的過程中，運(yùn)營商要注意控制投資成本，保護(hù)前期采購的設(shè)備能夠得到充分使用。

初期過渡方案NAT444

NAT444方案由日本NTT提出，其主要思想是將NAT44部署位置提高，由運(yùn)營商部署運(yùn)營級NAT44設(shè)備CGN，同時與用戶側(cè)的NAT組成兩級地址轉(zhuǎn)換，形成三塊地址空間，即用戶側(cè)私有地址、運(yùn)營商私有地址、公網(wǎng)地址。這也是NAT444名稱的由來。NAT444方案可以提高IPv4地址的復(fù)用率，緩解地址枯竭問題，而且便于部署，只需在匯聚層或者核心層增加CGN設(shè)備即可，無需進(jìn)行較大規(guī)模的設(shè)備替換。從用戶感知度、技術(shù)成熟度和部署難易度等方面考慮，NAT444是目前比較好的方案。

下面分析一下成本問題。假設(shè)整體改造一張擁有100萬寬帶用戶的城域網(wǎng)，分別采用NAT444、6RD和DS-Lite三種方案來進(jìn)行。由于NAT444部署簡單，不需要家庭網(wǎng)關(guān)的支持，所以僅需升級城域網(wǎng)基礎(chǔ)設(shè)施，增加CGN設(shè)備，其費(fèi)用約為400萬美金。6RD和DS-Lite方案除了要在城域網(wǎng)中增添專用網(wǎng)關(guān)之外，均需要家庭網(wǎng)關(guān)的支持，以每個家庭網(wǎng)關(guān)43美金計算，這兩個方案的費(fèi)用開銷在4700萬美金以上。顯然，NAT444方案最具成本優(yōu)勢。

長期演進(jìn)方案DS-Lite

NAT444雖然擁有成熟可靠、部署簡單以及節(jié)省投資等優(yōu)勢，可以有效緩解運(yùn)營商眼下的困難，但并不能真正引入IPv6網(wǎng)絡(luò)。就面向未來而言，DS-Lite（配合NAT64方案）作為雙棧技術(shù)的改進(jìn)版本，是業(yè)界公認(rèn)的中后期演進(jìn)方案。

DS-Lite方案主要解決IPv4或者雙棧用戶穿越運(yùn)營商IPv6網(wǎng)絡(luò)，進(jìn)而訪問IPv4服務(wù)的問題。運(yùn)營商只提供IPv6接入，為CPE（Customer Premise Equipment）分配IPv6前綴，CPE為其內(nèi)部網(wǎng)絡(luò)分配IPv6地址以及IPv4私有地址，同時CPE實(shí)現(xiàn)IPv4 DNS proxy，便于支持基于IPv4的DNS查詢。IPv4報文從終端發(fā)送到CPE，CPE將其封裝到IPv6隧道中，在CGN上進(jìn)行解封裝，以及將IPv4報文進(jìn)行NAT44翻譯。

未來，使用IPv4的終端以及服務(wù)會漸漸消失，運(yùn)營商網(wǎng)絡(luò)實(shí)現(xiàn)IPv6單協(xié)議棧運(yùn)行，整個IPv4向IPv6遷移的過程結(jié)束。

華為CGN解決方案

華為CGN（Carrier-Grade NAT）解決方案基于高端防火墻Eudemon8000E（以下簡稱E8000E）產(chǎn)品，以及日志采集系統(tǒng)Elog產(chǎn)品，支持NAT44/NAT444和DS-Lite，旨在幫助運(yùn)營商延續(xù)IPv4網(wǎng)絡(luò)的使用壽命，同時過渡到IPv6網(wǎng)絡(luò)。

兩種形態(tài)

華為CGN解決方案有“插卡式”和“獨(dú)立設(shè)備”兩種形態(tài)。

“插卡式”CGN產(chǎn)品，能夠支持華為現(xiàn)有的NE40E、NE80E、ME60等路由器和網(wǎng)關(guān)設(shè)備，并支持分布式或集中式部署。針對現(xiàn)階段存在的多種IPv6過渡技術(shù)，華為CGN產(chǎn)品通過軟件方式實(shí)現(xiàn)“一板多用”。到2010年底，華為CGN可以全面支持DS-Lite、6RD、PNAT、NAT64、NAT44、IVI等過渡技術(shù)。

在某些高性能的應(yīng)用場景，需要部署獨(dú)立形態(tài)的CGN設(shè)備。獨(dú)立形態(tài)CGN解決方案基于分布式硬件架構(gòu)，控制平面與數(shù)據(jù)處理平面相分離。華為獨(dú)立形態(tài)的CGN可提供大規(guī)模NAT44/444特性，后期已規(guī)劃了DS-Lite、NAT64以及其他“插卡式”產(chǎn)品所具備的特性，方便不同運(yùn)營商選擇最適合自己的演進(jìn)方式。目前已在中國電信、中國移動等運(yùn)營商網(wǎng)絡(luò)中成熟商用。

主要特性

華為CGN解決方案的主要網(wǎng)元E8000E，能夠支持的NAT（Network Address Translation）特性主要包含：無限地址轉(zhuǎn)換、NAT ALG（Application Layer Gateways）、雙向NAT和日志收集等。

不同于傳統(tǒng)的NAT實(shí)現(xiàn)方式，E8000E在進(jìn)行源地址轉(zhuǎn)換時，不僅保存了轉(zhuǎn)換前后的源地址和源端口，更增加了目的地址、目的端口和協(xié)議等信息。雖然增加了NAT表的空間開銷，但卻在理論上為實(shí)現(xiàn)無限的址轉(zhuǎn)換提供了可能，大大降低了公網(wǎng)IP地址的使用數(shù)量，提高了地址節(jié)省率。

某些應(yīng)用層多通道協(xié)議在數(shù)據(jù)傳輸開始之前，會協(xié)商所使用的端口信息，這些信息將存在于協(xié)商報文的負(fù)載之中。NAT設(shè)備如果不能處理應(yīng)用層內(nèi)容，將無法使這類協(xié)議順利實(shí)現(xiàn)地址轉(zhuǎn)換。E8000E支持對H.323、SIP等應(yīng)用層協(xié)議協(xié)商過程的監(jiān)控，獲取通信雙方所確定使用的端口信息，并建立會話，確保NAT轉(zhuǎn)換的正確性。

在某些場景下，一臺主機(jī)在對外發(fā)起訪問的同時也接受外部的訪問需求。E8000E可以實(shí)現(xiàn)這種雙向地址轉(zhuǎn)換，在主機(jī)對外發(fā)起訪問時更換目的端所看到的源地址、端口；在接受外部訪問時，呈現(xiàn)用戶可配置的虛擬地址，再進(jìn)一步轉(zhuǎn)換為主機(jī)真正的地址。

Elog是專業(yè)的日志收集系統(tǒng)，運(yùn)行在服務(wù)器平臺上，可以保存E8000E地址轉(zhuǎn)換時所產(chǎn)生的全部過程信息。這些信息主要包括設(shè)備信息、時間信息、轉(zhuǎn)換前后的源地址源端口信息、目的地址目的端口信息。一旦發(fā)生錯誤操作，管理員可以根據(jù)這些信息進(jìn)行排查和分析。

E8000E的熱備部署方式以及冗余設(shè)計，使其自2008年上市以來，未發(fā)生一起網(wǎng)上事故。首先，E8000E支持“主－主”和“主－備”雙機(jī)熱備部署方式，如果其中一臺設(shè)備的相關(guān)鏈路發(fā)生故障，其控制信息和會話表項(xiàng)會自動觸發(fā)備份到另外一臺設(shè)備上，倒換時間小于1秒。其次，單臺E8000E設(shè)備的主控板1+1備份、交換板3+1備份、接口板可針對業(yè)務(wù)處理板進(jìn)行負(fù)載均衡，當(dāng)一塊業(yè)務(wù)處理板故障時，該板原先所承載的流量將被均衡到其他業(yè)務(wù)板上繼續(xù)處理。另外，電源、風(fēng)扇等重要部件也進(jìn)行了冗余設(shè)計。

作者：金席 來源：《華為技術(shù)》