基于DS-lite的IP城域網(wǎng)向IPv6演進(jìn)過渡方案研究[圖]

0 前言

隨著互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展，互聯(lián)網(wǎng)號碼分配授權(quán)委員會(huì)（IANA）及亞太互聯(lián)網(wǎng)絡(luò)信息中心（APNIC）可分配的IPv4公有地址已于2011年上半年分配完畢，各電信運(yùn)營商所申請的IPv4公網(wǎng)地址也將陸續(xù)耗盡。但隨著互聯(lián)網(wǎng)的進(jìn)一步發(fā)展和普及，尤其是移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算等各類新應(yīng)用的迅速發(fā)展，IP地址需求將呈現(xiàn)快速增長趨勢，且需求量巨大，電信運(yùn)營商即將面臨新增用戶業(yè)務(wù)開放無IPv4地址可用的窘境。IPv6是下一代互聯(lián)網(wǎng)的發(fā)展起點(diǎn)，它不僅解決了IPv4地址資源的枯竭問題，還將成為其他產(chǎn)業(yè)（如物聯(lián)網(wǎng)、云計(jì)算等新興互聯(lián)網(wǎng)產(chǎn)業(yè)）發(fā)展的基礎(chǔ)和支撐。

面對這一機(jī)遇，我國政府極為重視并積極推動(dòng)相關(guān)的戰(zhàn)略部署。2011年12月，國務(wù)院常務(wù)會(huì)議研究部署了加快發(fā)展下一代互聯(lián)網(wǎng)產(chǎn)業(yè)的有關(guān)問題，明確了發(fā)展下一代互聯(lián)網(wǎng)路線圖，提出了2013年年底前開展IPv6網(wǎng)絡(luò)的小規(guī)模商用及2014—2015年開展大規(guī)模部署和商用的工作目標(biāo)。這一規(guī)劃將加速我國IPv6及下一代互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展步伐、提升我國在一系列新興互聯(lián)網(wǎng)產(chǎn)業(yè)中的國際競爭力。

從IPv4向IPv6演進(jìn)是個(gè)復(fù)雜的系統(tǒng)工程，除涉及IP骨干網(wǎng)/城域網(wǎng)、移動(dòng)網(wǎng)、業(yè)務(wù)平臺、IT系統(tǒng)、終端等眾多方面外，還將涉及到產(chǎn)業(yè)鏈各方博弈破局、投資保護(hù)、演進(jìn)風(fēng)險(xiǎn)等諸多領(lǐng)域。

由于我國IP城域網(wǎng)設(shè)備種類繁多、使用年限不一、支持IPv6的程度參差不齊，因此演進(jìn)難度會(huì)更大、過渡時(shí)間會(huì)更長，會(huì)在較長時(shí)期內(nèi)處于IPv4和IPv6網(wǎng)絡(luò)并存的狀態(tài)。本文試從向IPv6演進(jìn)較復(fù)雜的IP城域網(wǎng)出發(fā)，探討基于輕型雙棧（DS-lite）的過渡技術(shù)方案在IP城域網(wǎng)向IPv6演進(jìn)中的部署和應(yīng)用。

1 DS-lite技術(shù)簡介

1.1 DS-lite技術(shù)原理

DS-lite是結(jié)合IPv4 in IPv6隧道和改進(jìn)版的IPv4網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）（即以tunnel-id/IPv6地址為NAT表索引）技術(shù)，由地址族過渡路由器單元（AFTR）設(shè)備和B4基本橋接寬帶單元（Base Bridge Broadband Element）設(shè)備（常為家庭網(wǎng)關(guān)或用戶終端）協(xié)作完成IPv4和IPv6業(yè)務(wù)承載。DS-lite技術(shù)原理示意見圖1 。

由圖1可知，B4設(shè)備為支持DS-lite的路由型網(wǎng)關(guān)：對內(nèi)開啟動(dòng)態(tài)主機(jī)配置協(xié)議（DHCP）v4系統(tǒng)功能，為內(nèi)部終端分配私有IPv4地址（若B4為軟終端，則固化私有IPv4地址）；對外根據(jù)點(diǎn)對點(diǎn)協(xié)議（PPP）發(fā)起向AFTR請求，AFTR通過遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)（RADIUS）認(rèn)證后，利用DHCPv6系統(tǒng)為其分配IPv6地址，B4發(fā)起建立至AFTR的IPv4 in IPv6隧道。用戶訪問IPv4業(yè)務(wù)時(shí)，將通過家庭網(wǎng)關(guān)將IPv4流量封裝到IPv6隧道中，傳送至網(wǎng)絡(luò)側(cè)的AFTR設(shè)備進(jìn)行解封裝和NAT，實(shí)現(xiàn)業(yè)務(wù)訪問；用戶訪問IPv6業(yè)務(wù)時(shí)，則直接通過Native IPv6網(wǎng)絡(luò)實(shí)現(xiàn)。

1.2 DS-lite技術(shù)標(biāo)準(zhǔn)進(jìn)展情況

目前，IETF已將DS-lite主體標(biāo)準(zhǔn)列入了工作組文檔，相關(guān)配合標(biāo)準(zhǔn)也已進(jìn)入了RFC（指互聯(lián)網(wǎng)工程任務(wù)推進(jìn)組織（IETF）的一個(gè)無限制分發(fā)文檔）編輯隊(duì)列或已成為工作組文檔。有關(guān)廠商可參照相關(guān)文檔研發(fā)符合DS-lite標(biāo)準(zhǔn)規(guī)范的產(chǎn)品，運(yùn)營商也可參照相關(guān)文檔對相應(yīng)的業(yè)務(wù)流程及IT系統(tǒng)進(jìn)行改造。DS-lite技術(shù)標(biāo)準(zhǔn)進(jìn)展情況如下所述。

a） 主體標(biāo)準(zhǔn)。draft-ietf-softwire-dual-stack-lite-07已進(jìn)入AD go-ahead等待狀態(tài)。

b） 通過DHCPv6選項(xiàng)動(dòng)態(tài)分配AFTR地址、域名，draft-ietf-softwire-ds-lite-tunnel-option-10已進(jìn)入RFC編輯隊(duì)列。

c） 通過Radius擴(kuò)展屬性下發(fā)AFTR地址、域名，draft-ietf-softwire-dslite-Radius-ext-02已成為工作組文檔。

2 基于DS-lite的IP城域網(wǎng)向IPv6演進(jìn)方案

2.1 IP城域網(wǎng)現(xiàn)狀

目前，國內(nèi)各大運(yùn)營商的IP城域網(wǎng)結(jié)構(gòu)都很相似，主要包含核心路由、業(yè)務(wù)控制、寬帶接入（含匯聚和接入）等3個(gè)層面。根據(jù)業(yè)務(wù)需求，各層面分別部署核心路由器（CR）、業(yè)務(wù)路由器（SR）、寬帶遠(yuǎn)程接入服務(wù)器（BRAS）、匯聚交換機(jī)、接入交換機(jī)、 光線路終端（OLT）、光網(wǎng)絡(luò)單元（ONU）等設(shè)備。IP城域網(wǎng)結(jié)構(gòu)示意見圖2。

a） 核心路由層。核心路由層主要負(fù)責(zé)高速轉(zhuǎn)發(fā)城域網(wǎng)各類進(jìn)出流量。出口路由器分別與公用IP骨干網(wǎng)（主要承載一般的互聯(lián)網(wǎng)流量）及專用IP骨干網(wǎng)（主要承載運(yùn)營商的自有業(yè)務(wù)流量，如虛擬專用網(wǎng)（VPN）、3G中繼電路等）互聯(lián)。此外，部分節(jié)點(diǎn)還可根據(jù)傳輸資源及業(yè)務(wù)規(guī)模等情況配置匯接路由器，以對城域網(wǎng)流量實(shí)施分片區(qū)匯聚。

b） 業(yè)務(wù)控制層。業(yè)務(wù)控制層主要實(shí)現(xiàn)對用戶及流量的控制和管理。該層由SR及BRAS組成，并覆蓋到主要匯聚節(jié)點(diǎn)，以提供更好的業(yè)務(wù)開放能力。

c） 寬帶接入層。寬帶接入層包含局域網(wǎng)（LAN）、數(shù)字用戶線路（xDSL）、 吉比特?zé)o源光網(wǎng)絡(luò)（GPON）、 以太無源光網(wǎng)絡(luò)（EPON）等接入方式，以形成一個(gè)覆蓋廣泛、接入方式更多樣的寬帶接入網(wǎng)。

2.2 部署方案

DS-lite方案基于部署位置可分為分布式和集中式2種方案，其中：分布式旁掛BRAS/SR設(shè)備，集中式旁掛CR設(shè)備�；�于設(shè)備形態(tài)又可分為獨(dú)立式和嵌入式2種方案，其中：獨(dú)立式整機(jī)功能專一，硬件實(shí)現(xiàn)DS-lite AFTR功能；嵌入式在BRAS/SR設(shè)備平臺上開發(fā)，采用專用業(yè)務(wù)單板實(shí)現(xiàn)DS-lite功能，并可提供支持PPPoEv6/IPoEv6+DS-lite的單板來實(shí)現(xiàn)用戶接入和DS-lite AFTR功能的集合。

根據(jù)AFTR設(shè)備形態(tài)，結(jié)合不同的部署層面，AFTR在IP城域網(wǎng)內(nèi)有表1所示的4種部署方式。

IP城域網(wǎng)部署DS-lite方案的組網(wǎng)拓?fù)淙鐖D3和圖4所示。

由于目前與DS-lite相關(guān)的AFTR和B4設(shè)備還在不斷完善中，因此建議在IP城域網(wǎng)部署中宜以不影響現(xiàn)有業(yè)務(wù)開展為前提，并遵循“控制風(fēng)險(xiǎn)，適度預(yù)留”的基本原則。

a） 初期AFTR以分布式部署為主，即：以業(yè)務(wù)片區(qū)為單元，在相應(yīng)的BRAS/SR上插板（建議配置2塊或多塊AFTR板卡，實(shí)現(xiàn)1[∶]1或N[∶]1備份），并根據(jù)片區(qū)覆蓋接入用戶向IPv6遷移的意愿，對其用戶端設(shè)備（CPE）進(jìn)行改造或替換。

b） 隨著AFTR及B4設(shè)備成熟度的提升及成本的下降，中后期可對不同的IP城域網(wǎng)選擇合適的部署方案，如：大中型城域網(wǎng)仍以分布式插板部署為主，以獨(dú)立AFTR設(shè)備外掛BRAS/SR設(shè)備為輔；小型城域網(wǎng)以集中式獨(dú)立設(shè)備旁掛CR設(shè)備為主，以CR插板為輔。

c） 現(xiàn)階段獨(dú)立式AFTR設(shè)備暫不支持熱備，通過成組配置實(shí)現(xiàn)冷備，也可在一定程度上提升部署網(wǎng)絡(luò)的可靠性。不管是旁掛CR還是旁掛BRAS/SR部署，在AFTR設(shè)備配置上建議按成組冗余備份考慮，如：IP城域網(wǎng)2臺CR上各旁掛1臺AFTR、每臺CR上旁掛2臺AFTR，實(shí)現(xiàn)一主一備；IP城域網(wǎng)每臺BRAS上旁掛2臺AFTR，實(shí)現(xiàn)一主一備。

2.3 業(yè)務(wù)承載實(shí)現(xiàn)

IP城域網(wǎng)內(nèi)承載的業(yè)務(wù)有IPv4和IPv6 2種。

2.3.1 IPv4業(yè)務(wù)流承載

B4開啟DHCPv4功能，為內(nèi)部終端分配私有IPv4地址，發(fā)起PPP認(rèn)證，運(yùn)營商網(wǎng)絡(luò)通過Radius認(rèn)證后，以DHCPv6協(xié)議下發(fā)用戶IPv6地址，并可通過靜態(tài)配置或DHCPv6等方式通告AFTR位置信息（IPv6地址）。B4發(fā)起建立至AFTR的IPv4 in IPv6隧道，封裝出向IPv4數(shù)據(jù)流，數(shù)據(jù)包源地址為B4 WAN接口IPv6地址，目的地址為AFTR LOOPBACK接口IPv6地址，并解封裝目的地址為B4 WAN接口IPv6地址的入向IPv6數(shù)據(jù)包。

AFTR建立至B4的IPv4 in IPv6隧道并執(zhí)行NAT功能，即實(shí)現(xiàn)解封裝目的地址為AFTR自身IPv6地址的出向IPv6數(shù)據(jù)包，對內(nèi)嵌IPv4數(shù)據(jù)包執(zhí)行IPv4-IPv4 NAT，并基于NAT會(huì)話表項(xiàng)對入向IPv4數(shù)據(jù)包執(zhí)行IPv4 NAT轉(zhuǎn)換，然后封裝并通過隧道傳送至B4。由于用戶IPv4地址由用戶自行分配，不同用戶IPv4地址可能會(huì)相同，為避免沖突，AFTR內(nèi)部維護(hù)的NAT表項(xiàng)與普通IPv4 NAT不同，增加B4的WAN接口IPv6地址以區(qū)分用戶。

2.3.2 IPv6業(yè)務(wù)流承載

AFTR和B4間對IPv6流量執(zhí)行Native轉(zhuǎn)發(fā)。

從上述IPv4和IPv6業(yè)務(wù)流承載分析可知，在IP城域網(wǎng)內(nèi)部署DS-lite后，可較好地實(shí)現(xiàn)IPv4單棧用戶、IPv6單棧用戶、雙棧用戶等通過隧道或直接轉(zhuǎn)發(fā)的方式訪問相應(yīng)的IPv4和IPv6應(yīng)用資源，滿足各類互聯(lián)網(wǎng)應(yīng)用的承載需求。根據(jù)中國電信相關(guān)省份試點(diǎn)的反饋情況，目前IP城域網(wǎng)內(nèi)已部署DS-lite AFTR設(shè)備的功能和性性可基本滿足業(yè)務(wù)需求，DS-lite軟/硬終端基本功能測試無發(fā)現(xiàn)問題，v4/v6網(wǎng)絡(luò)資源下的聊天、游戲、網(wǎng)頁、視頻、點(diǎn)播等互聯(lián)網(wǎng)業(yè)務(wù)及應(yīng)用也基本正常，能支持SSL-VPN和L2TP-VPN等業(yè)務(wù)的開放。

2.4 地址分配及接入

2.4.1 地址分配

a） IPv6地址。需為CPE分配IPv6地址，地址格式不受限。

b） IPv4地址。CPE WAN側(cè)的IPv4地址無需規(guī)劃，可由用戶自行分配。用戶終端的IPv4私網(wǎng)地址由CPE進(jìn)行分配。

2.4.2 終端接入

a） 硬終端接入。用戶側(cè)需提供支持DS-lite功能的路由型家庭網(wǎng)關(guān)B4，其中網(wǎng)關(guān)的WAN口支持PPP+鄰居發(fā)現(xiàn)協(xié)議（NDP）+DHCP方式獲得v6接口地址、家庭網(wǎng)絡(luò)前綴、DNS、AFTR地址，建議采用有狀態(tài)的DHCPv6；LAN口采用NDP/DHCP為v6終端分配v6地址，采用DHCPv4為v4終端分配私有v4地址和DNS、缺省網(wǎng)關(guān)地址。

b） 軟終端接入。需安裝定制化的DS-lite客戶端軟件，以配合橋接型網(wǎng)關(guān)實(shí)現(xiàn)接入。

2.5 相關(guān)路由及安全

對于IP城域網(wǎng)整體路由規(guī)劃而言，3層路由主要承載在業(yè)務(wù)控制層設(shè)備及城域網(wǎng)出口設(shè)備上，對于CR和業(yè)務(wù)控制層設(shè)備BRAS/SR均建議開啟雙棧，以便視需要開啟相應(yīng)基于IPv6的路由進(jìn)程。在現(xiàn)階段對于IPv6建議由城域網(wǎng)出口CR兼作，IGP v6主要運(yùn)行在城域網(wǎng)出口CR與v6化改造的BRAS/SR間。優(yōu)選中間系統(tǒng)到中間系統(tǒng)（ISIS）v6多拓?fù)淠Ｊ�，�?shí)現(xiàn)在一個(gè)路由進(jìn)程中IPv4 與IPv6的獨(dú)立計(jì)算與獨(dú)立轉(zhuǎn)發(fā)，同時(shí)能夠支持雙棧路由器和IPv4路由器間建立鄰接關(guān)系；EGP v6主要運(yùn)行在城域網(wǎng)出口CR與骨干網(wǎng)核心路由器、專用骨干網(wǎng)PE路由器間。優(yōu)選BGP4+，城域網(wǎng)出口CR對外宣告用戶v6路由及v6 VPN路由，接收IPv6缺省路由或IPv6全路由。AFTR接口地址以任播（Anycast）方式通告到城域網(wǎng)路由域，以便B4能夠接入就近的AFTR設(shè)備建立v6連接或IPv4-in-IPv6的隧道。

對于部署DS-lite的IP城域網(wǎng)安全規(guī)劃而言，其關(guān)鍵網(wǎng)元在于AFTR。獨(dú)立式的AFTR應(yīng)關(guān)注非法訪問連接、用戶會(huì)話數(shù)超限、單設(shè)備宕機(jī)等安全隱患，嵌入式的AFTR在此基礎(chǔ)上還應(yīng)關(guān)注插板設(shè)備的整體安全特性是否滿足要求。

a） 防止非授權(quán)用戶。AFTR設(shè)備應(yīng)提供某種方式確保只為已授權(quán)的用戶提供服務(wù)，如AFTR設(shè)備必須支持根據(jù)授權(quán)用戶的合法IPv6地址部署IPv6訪問控制列表（ACL），以檢查隧道封裝的源地址。

b） 用戶會(huì)話數(shù)限制。由于在DS-lite部署中，IPv4地址被大量用戶復(fù)用。AFTR設(shè)備應(yīng)能夠限制每個(gè)用戶的會(huì)話數(shù)量，以防止遭到DoS攻擊，耗盡其公網(wǎng)IPv4地址和端口資源。

c） AFTR板卡及設(shè)備備份。在負(fù)載均衡的基礎(chǔ)上，AFTR應(yīng)具備一定的冗余備份機(jī)制，以防止某臺設(shè)備或者板卡出現(xiàn)問題時(shí)能夠較快地恢復(fù)服務(wù)。

2.6 相關(guān)支撐系統(tǒng)配合

部署DS-lite涉及DHCPv6協(xié)議、Radius交互、DNS協(xié)議與溯源，因此需要相關(guān)支撐系統(tǒng)的配合工作。

a） DHCPv6系統(tǒng)配合。為終端分配v6地址、Prefix、域名系統(tǒng)（DNS）v6地址和AFTR v6地址/完全合格域名/全稱域名（FQDN）等參數(shù)，可以是獨(dú)立設(shè)備，也可以是嵌入BRAS，但目前建議采用BRAS內(nèi)嵌的方式來實(shí)現(xiàn)。

b） DNS系統(tǒng)配合。DNS必須升級支持雙棧解析請求，具備A和AAAA記錄，在DS-lite場景中，接受B4發(fā)送的v6 DNS解析請求。

c） AAA系統(tǒng)配合。需AAA系統(tǒng)進(jìn)行相應(yīng)改造以配合DS－lite部署后IPv6相關(guān)業(yè)務(wù)流程的支撐工作：通過協(xié)議拓展增加相關(guān)IPv6屬性，至少包括RFC 3162和RFC 4818規(guī)定的7個(gè)IPv6屬性：接入服務(wù)器的IPv6地址（NAS-IPv6-Address）、框定的接口ID（Framed-Interface-Id）、框定的IPv6前綴（Framed-IPv6-Prefix）、登錄的IPv6主機(jī)地址（Login-IPv6-Host）、框定的IPv6路由（Framed-IPv6-Route）、框定的IPv6地址池（Framed-IPv6-Pool）、指定的IPv6前綴（Delegated-IPv6-Prefix）。在完成AAA相應(yīng)改造的同時(shí)還需要BRAS相應(yīng)的改造升級，以支持上述協(xié)議的拓展。

3 結(jié)束語

隨著IPv4公有地址的耗竭，為了確保業(yè)務(wù)的持續(xù)發(fā)展，各大電信運(yùn)營商都在著力推進(jìn)IP網(wǎng)絡(luò)從IPv4向IPv6演進(jìn)的進(jìn)程，并紛紛進(jìn)行試點(diǎn)，包括DS-lite方案、NAT444方案等。但從目前試點(diǎn)情況來看，由于各種方案和標(biāo)準(zhǔn)都還在不斷完善中，還都尚未定型，在演進(jìn)過程中，具體究竟選用何種方案，需結(jié)合各運(yùn)營商IP網(wǎng)絡(luò)實(shí)際情況、用戶發(fā)展?fàn)顩r、終端支持能力、標(biāo)準(zhǔn)技術(shù)成熟度、網(wǎng)絡(luò)改造成本等因素綜合考慮確定。

參考文獻(xiàn)：

［1］ Dual-Stack Lite Broadband Deployments Following IPv4 Exhaustion［EB/OL］. ［2012-09-15］. http://tools.ietf.org/html/draft-ietf-softwire-dual-stack-lite-07.

［2］ Dynamic Host Configuration Protocol for IPv6（DHCPv6）［EB/OL］. ［2012-09-15］. http://www.alicn.cn/article/122769.html.

［3］ RADIUS Delegated-IPv6-Prefix Attribute［EB/OL］. ［2012-09-15］. http://wenku.baidu.com/view/a1de4 cf8aef8941ea76e05dc.html.

［4］ RADIUS and IPv6［EB/OL］. ［2012-09-15］. http://www.baidu.com/s?wd=rfc3162%A3%BARADIUS+and+IPv6&rsv_bp=0&rsv_spt=3&rsv_n=2&inputT=5571.

［5］ IPv6 Stateless Address Auto configuration［EB/OL］. ［2012-09-15］. http://wenku.baidu.com/view/359ca 523192e45361066f5b8.html.

作者：周振勇 來源：郵電設(shè)計(jì)技術(shù)