基于DS-lite的IP城域網(wǎng)向IPv6演進過渡方案研究[圖]

0 前言

隨著互聯(lián)網(wǎng)業(yè)務的快速發(fā)展，互聯(lián)網(wǎng)號碼分配授權委員會（IANA）及亞太互聯(lián)網(wǎng)絡信息中心（APNIC）可分配的IPv4公有地址已于2011年上半年分配完畢，各電信運營商所申請的IPv4公網(wǎng)地址也將陸續(xù)耗盡。但隨著互聯(lián)網(wǎng)的進一步發(fā)展和普及，尤其是移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算等各類新應用的迅速發(fā)展，IP地址需求將呈現(xiàn)快速增長趨勢，且需求量巨大，電信運營商即將面臨新增用戶業(yè)務開放無IPv4地址可用的窘境。IPv6是下一代互聯(lián)網(wǎng)的發(fā)展起點，它不僅解決了IPv4地址資源的枯竭問題，還將成為其他產(chǎn)業(yè)（如物聯(lián)網(wǎng)、云計算等新興互聯(lián)網(wǎng)產(chǎn)業(yè)）發(fā)展的基礎和支撐。

面對這一機遇，我國政府極為重視并積極推動相關的戰(zhàn)略部署。2011年12月，國務院常務會議研究部署了加快發(fā)展下一代互聯(lián)網(wǎng)產(chǎn)業(yè)的有關問題，明確了發(fā)展下一代互聯(lián)網(wǎng)路線圖，提出了2013年年底前開展IPv6網(wǎng)絡的小規(guī)模商用及2014—2015年開展大規(guī)模部署和商用的工作目標。這一規(guī)劃將加速我國IPv6及下一代互聯(lián)網(wǎng)產(chǎn)業(yè)的發(fā)展步伐、提升我國在一系列新興互聯(lián)網(wǎng)產(chǎn)業(yè)中的國際競爭力。

從IPv4向IPv6演進是個復雜的系統(tǒng)工程，除涉及IP骨干網(wǎng)/城域網(wǎng)、移動網(wǎng)、業(yè)務平臺、IT系統(tǒng)、終端等眾多方面外，還將涉及到產(chǎn)業(yè)鏈各方博弈破局、投資保護、演進風險等諸多領域。

由于我國IP城域網(wǎng)設備種類繁多、使用年限不一、支持IPv6的程度參差不齊，因此演進難度會更大、過渡時間會更長，會在較長時期內處于IPv4和IPv6網(wǎng)絡并存的狀態(tài)。本文試從向IPv6演進較復雜的IP城域網(wǎng)出發(fā)，探討基于輕型雙棧（DS-lite）的過渡技術方案在IP城域網(wǎng)向IPv6演進中的部署和應用。

1 DS-lite技術簡介

1.1 DS-lite技術原理

DS-lite是結合IPv4 in IPv6隧道和改進版的IPv4網(wǎng)絡地址轉換（NAT）（即以tunnel-id/IPv6地址為NAT表索引）技術，由地址族過渡路由器單元（AFTR）設備和B4基本橋接寬帶單元（Base Bridge Broadband Element）設備（常為家庭網(wǎng)關或用戶終端）協(xié)作完成IPv4和IPv6業(yè)務承載。DS-lite技術原理示意見圖1 。

由圖1可知，B4設備為支持DS-lite的路由型網(wǎng)關：對內開啟動態(tài)主機配置協(xié)議（DHCP）v4系統(tǒng)功能，為內部終端分配私有IPv4地址（若B4為軟終端，則固化私有IPv4地址）；對外根據(jù)點對點協(xié)議（PPP）發(fā)起向AFTR請求，AFTR通過遠程用戶撥號認證系統(tǒng)（RADIUS）認證后，利用DHCPv6系統(tǒng)為其分配IPv6地址，B4發(fā)起建立至AFTR的IPv4 in IPv6隧道。用戶訪問IPv4業(yè)務時，將通過家庭網(wǎng)關將IPv4流量封裝到IPv6隧道中，傳送至網(wǎng)絡側的AFTR設備進行解封裝和NAT，實現(xiàn)業(yè)務訪問；用戶訪問IPv6業(yè)務時，則直接通過Native IPv6網(wǎng)絡實現(xiàn)。

1.2 DS-lite技術標準進展情況

目前，IETF已將DS-lite主體標準列入了工作組文檔，相關配合標準也已進入了RFC（指互聯(lián)網(wǎng)工程任務推進組織（IETF）的一個無限制分發(fā)文檔）編輯隊列或已成為工作組文檔。有關廠商可參照相關文檔研發(fā)符合DS-lite標準規(guī)范的產(chǎn)品，運營商也可參照相關文檔對相應的業(yè)務流程及IT系統(tǒng)進行改造。DS-lite技術標準進展情況如下所述。

a） 主體標準。draft-ietf-softwire-dual-stack-lite-07已進入AD go-ahead等待狀態(tài)。

b） 通過DHCPv6選項動態(tài)分配AFTR地址、域名，draft-ietf-softwire-ds-lite-tunnel-option-10已進入RFC編輯隊列。

c） 通過Radius擴展屬性下發(fā)AFTR地址、域名，draft-ietf-softwire-dslite-Radius-ext-02已成為工作組文檔。

2 基于DS-lite的IP城域網(wǎng)向IPv6演進方案

2.1 IP城域網(wǎng)現(xiàn)狀

目前，國內各大運營商的IP城域網(wǎng)結構都很相似，主要包含核心路由、業(yè)務控制、寬帶接入（含匯聚和接入）等3個層面。根據(jù)業(yè)務需求，各層面分別部署核心路由器（CR）、業(yè)務路由器（SR）、寬帶遠程接入服務器（BRAS）、匯聚交換機、接入交換機、 光線路終端（OLT）、光網(wǎng)絡單元（ONU）等設備。IP城域網(wǎng)結構示意見圖2。

a） 核心路由層。核心路由層主要負責高速轉發(fā)城域網(wǎng)各類進出流量。出口路由器分別與公用IP骨干網(wǎng)（主要承載一般的互聯(lián)網(wǎng)流量）及專用IP骨干網(wǎng)（主要承載運營商的自有業(yè)務流量，如虛擬專用網(wǎng)（VPN）、3G中繼電路等）互聯(lián)。此外，部分節(jié)點還可根據(jù)傳輸資源及業(yè)務規(guī)模等情況配置匯接路由器，以對城域網(wǎng)流量實施分片區(qū)匯聚。

b） 業(yè)務控制層。業(yè)務控制層主要實現(xiàn)對用戶及流量的控制和管理。該層由SR及BRAS組成，并覆蓋到主要匯聚節(jié)點，以提供更好的業(yè)務開放能力。

c） 寬帶接入層。寬帶接入層包含局域網(wǎng)（LAN）、數(shù)字用戶線路（xDSL）、 吉比特無源光網(wǎng)絡（GPON）、 以太無源光網(wǎng)絡（EPON）等接入方式，以形成一個覆蓋廣泛、接入方式更多樣的寬帶接入網(wǎng)。

2.2 部署方案

DS-lite方案基于部署位置可分為分布式和集中式2種方案，其中：分布式旁掛BRAS/SR設備，集中式旁掛CR設備。基于設備形態(tài)又可分為獨立式和嵌入式2種方案，其中：獨立式整機功能專一，硬件實現(xiàn)DS-lite AFTR功能；嵌入式在BRAS/SR設備平臺上開發(fā)，采用專用業(yè)務單板實現(xiàn)DS-lite功能，并可提供支持PPPoEv6/IPoEv6+DS-lite的單板來實現(xiàn)用戶接入和DS-lite AFTR功能的集合。

根據(jù)AFTR設備形態(tài)，結合不同的部署層面，AFTR在IP城域網(wǎng)內有表1所示的4種部署方式。

IP城域網(wǎng)部署DS-lite方案的組網(wǎng)拓撲如圖3和圖4所示。

由于目前與DS-lite相關的AFTR和B4設備還在不斷完善中，因此建議在IP城域網(wǎng)部署中宜以不影響現(xiàn)有業(yè)務開展為前提，并遵循“控制風險，適度預留”的基本原則。

a） 初期AFTR以分布式部署為主，即：以業(yè)務片區(qū)為單元，在相應的BRAS/SR上插板（建議配置2塊或多塊AFTR板卡，實現(xiàn)1[∶]1或N[∶]1備份），并根據(jù)片區(qū)覆蓋接入用戶向IPv6遷移的意愿，對其用戶端設備（CPE）進行改造或替換。

b） 隨著AFTR及B4設備成熟度的提升及成本的下降，中后期可對不同的IP城域網(wǎng)選擇合適的部署方案，如：大中型城域網(wǎng)仍以分布式插板部署為主，以獨立AFTR設備外掛BRAS/SR設備為輔；小型城域網(wǎng)以集中式獨立設備旁掛CR設備為主，以CR插板為輔。

c） 現(xiàn)階段獨立式AFTR設備暫不支持熱備，通過成組配置實現(xiàn)冷備，也可在一定程度上提升部署網(wǎng)絡的可靠性。不管是旁掛CR還是旁掛BRAS/SR部署，在AFTR設備配置上建議按成組冗余備份考慮，如：IP城域網(wǎng)2臺CR上各旁掛1臺AFTR、每臺CR上旁掛2臺AFTR，實現(xiàn)一主一備；IP城域網(wǎng)每臺BRAS上旁掛2臺AFTR，實現(xiàn)一主一備。

2.3 業(yè)務承載實現(xiàn)

IP城域網(wǎng)內承載的業(yè)務有IPv4和IPv6 2種。

2.3.1 IPv4業(yè)務流承載

B4開啟DHCPv4功能，為內部終端分配私有IPv4地址，發(fā)起PPP認證，運營商網(wǎng)絡通過Radius認證后，以DHCPv6協(xié)議下發(fā)用戶IPv6地址，并可通過靜態(tài)配置或DHCPv6等方式通告AFTR位置信息（IPv6地址）。B4發(fā)起建立至AFTR的IPv4 in IPv6隧道，封裝出向IPv4數(shù)據(jù)流，數(shù)據(jù)包源地址為B4 WAN接口IPv6地址，目的地址為AFTR LOOPBACK接口IPv6地址，并解封裝目的地址為B4 WAN接口IPv6地址的入向IPv6數(shù)據(jù)包。

AFTR建立至B4的IPv4 in IPv6隧道并執(zhí)行NAT功能，即實現(xiàn)解封裝目的地址為AFTR自身IPv6地址的出向IPv6數(shù)據(jù)包，對內嵌IPv4數(shù)據(jù)包執(zhí)行IPv4-IPv4 NAT，并基于NAT會話表項對入向IPv4數(shù)據(jù)包執(zhí)行IPv4 NAT轉換，然后封裝并通過隧道傳送至B4。由于用戶IPv4地址由用戶自行分配，不同用戶IPv4地址可能會相同，為避免沖突，AFTR內部維護的NAT表項與普通IPv4 NAT不同，增加B4的WAN接口IPv6地址以區(qū)分用戶。

2.3.2 IPv6業(yè)務流承載

AFTR和B4間對IPv6流量執(zhí)行Native轉發(fā)。

從上述IPv4和IPv6業(yè)務流承載分析可知，在IP城域網(wǎng)內部署DS-lite后，可較好地實現(xiàn)IPv4單棧用戶、IPv6單棧用戶、雙棧用戶等通過隧道或直接轉發(fā)的方式訪問相應的IPv4和IPv6應用資源，滿足各類互聯(lián)網(wǎng)應用的承載需求。根據(jù)中國電信相關省份試點的反饋情況，目前IP城域網(wǎng)內已部署DS-lite AFTR設備的功能和性性可基本滿足業(yè)務需求，DS-lite軟/硬終端基本功能測試無發(fā)現(xiàn)問題，v4/v6網(wǎng)絡資源下的聊天、游戲、網(wǎng)頁、視頻、點播等互聯(lián)網(wǎng)業(yè)務及應用也基本正常，能支持SSL-VPN和L2TP-VPN等業(yè)務的開放。

2.4 地址分配及接入

2.4.1 地址分配

a） IPv6地址。需為CPE分配IPv6地址，地址格式不受限。

b） IPv4地址。CPE WAN側的IPv4地址無需規(guī)劃，可由用戶自行分配。用戶終端的IPv4私網(wǎng)地址由CPE進行分配。

2.4.2 終端接入

a） 硬終端接入。用戶側需提供支持DS-lite功能的路由型家庭網(wǎng)關B4，其中網(wǎng)關的WAN口支持PPP+鄰居發(fā)現(xiàn)協(xié)議（NDP）+DHCP方式獲得v6接口地址、家庭網(wǎng)絡前綴、DNS、AFTR地址，建議采用有狀態(tài)的DHCPv6；LAN口采用NDP/DHCP為v6終端分配v6地址，采用DHCPv4為v4終端分配私有v4地址和DNS、缺省網(wǎng)關地址。

b） 軟終端接入。需安裝定制化的DS-lite客戶端軟件，以配合橋接型網(wǎng)關實現(xiàn)接入。

2.5 相關路由及安全

對于IP城域網(wǎng)整體路由規(guī)劃而言，3層路由主要承載在業(yè)務控制層設備及城域網(wǎng)出口設備上，對于CR和業(yè)務控制層設備BRAS/SR均建議開啟雙棧，以便視需要開啟相應基于IPv6的路由進程。在現(xiàn)階段對于IPv6建議由城域網(wǎng)出口CR兼作，IGP v6主要運行在城域網(wǎng)出口CR與v6化改造的BRAS/SR間。優(yōu)選中間系統(tǒng)到中間系統(tǒng)（ISIS）v6多拓撲模式，實現(xiàn)在一個路由進程中IPv4 與IPv6的獨立計算與獨立轉發(fā)，同時能夠支持雙棧路由器和IPv4路由器間建立鄰接關系；EGP v6主要運行在城域網(wǎng)出口CR與骨干網(wǎng)核心路由器、專用骨干網(wǎng)PE路由器間。優(yōu)選BGP4+，城域網(wǎng)出口CR對外宣告用戶v6路由及v6 VPN路由，接收IPv6缺省路由或IPv6全路由。AFTR接口地址以任播（Anycast）方式通告到城域網(wǎng)路由域，以便B4能夠接入就近的AFTR設備建立v6連接或IPv4-in-IPv6的隧道。

對于部署DS-lite的IP城域網(wǎng)安全規(guī)劃而言，其關鍵網(wǎng)元在于AFTR。獨立式的AFTR應關注非法訪問連接、用戶會話數(shù)超限、單設備宕機等安全隱患，嵌入式的AFTR在此基礎上還應關注插板設備的整體安全特性是否滿足要求。

a） 防止非授權用戶。AFTR設備應提供某種方式確保只為已授權的用戶提供服務，如AFTR設備必須支持根據(jù)授權用戶的合法IPv6地址部署IPv6訪問控制列表（ACL），以檢查隧道封裝的源地址。

b） 用戶會話數(shù)限制。由于在DS-lite部署中，IPv4地址被大量用戶復用。AFTR設備應能夠限制每個用戶的會話數(shù)量，以防止遭到DoS攻擊，耗盡其公網(wǎng)IPv4地址和端口資源。

c） AFTR板卡及設備備份。在負載均衡的基礎上，AFTR應具備一定的冗余備份機制，以防止某臺設備或者板卡出現(xiàn)問題時能夠較快地恢復服務。

2.6 相關支撐系統(tǒng)配合

部署DS-lite涉及DHCPv6協(xié)議、Radius交互、DNS協(xié)議與溯源，因此需要相關支撐系統(tǒng)的配合工作。

a） DHCPv6系統(tǒng)配合。為終端分配v6地址、Prefix、域名系統(tǒng)（DNS）v6地址和AFTR v6地址/完全合格域名/全稱域名（FQDN）等參數(shù)，可以是獨立設備，也可以是嵌入BRAS，但目前建議采用BRAS內嵌的方式來實現(xiàn)。

b） DNS系統(tǒng)配合。DNS必須升級支持雙棧解析請求，具備A和AAAA記錄，在DS-lite場景中，接受B4發(fā)送的v6 DNS解析請求。

c） AAA系統(tǒng)配合。需AAA系統(tǒng)進行相應改造以配合DS－lite部署后IPv6相關業(yè)務流程的支撐工作：通過協(xié)議拓展增加相關IPv6屬性，至少包括RFC 3162和RFC 4818規(guī)定的7個IPv6屬性：接入服務器的IPv6地址（NAS-IPv6-Address）、框定的接口ID（Framed-Interface-Id）、框定的IPv6前綴（Framed-IPv6-Prefix）、登錄的IPv6主機地址（Login-IPv6-Host）、框定的IPv6路由（Framed-IPv6-Route）、框定的IPv6地址池（Framed-IPv6-Pool）、指定的IPv6前綴（Delegated-IPv6-Prefix）。在完成AAA相應改造的同時還需要BRAS相應的改造升級，以支持上述協(xié)議的拓展。

3 結束語

隨著IPv4公有地址的耗竭，為了確保業(yè)務的持續(xù)發(fā)展，各大電信運營商都在著力推進IP網(wǎng)絡從IPv4向IPv6演進的進程，并紛紛進行試點，包括DS-lite方案、NAT444方案等。但從目前試點情況來看，由于各種方案和標準都還在不斷完善中，還都尚未定型，在演進過程中，具體究竟選用何種方案，需結合各運營商IP網(wǎng)絡實際情況、用戶發(fā)展狀況、終端支持能力、標準技術成熟度、網(wǎng)絡改造成本等因素綜合考慮確定。

參考文獻：

［1］ Dual-Stack Lite Broadband Deployments Following IPv4 Exhaustion［EB/OL］. ［2012-09-15］. http://tools.ietf.org/html/draft-ietf-softwire-dual-stack-lite-07.

［2］ Dynamic Host Configuration Protocol for IPv6（DHCPv6）［EB/OL］. ［2012-09-15］. http://www.alicn.cn/article/122769.html.

［3］ RADIUS Delegated-IPv6-Prefix Attribute［EB/OL］. ［2012-09-15］. http://wenku.baidu.com/view/a1de4 cf8aef8941ea76e05dc.html.

［4］ RADIUS and IPv6［EB/OL］. ［2012-09-15］. http://www.baidu.com/s?wd=rfc3162%A3%BARADIUS+and+IPv6&rsv_bp=0&rsv_spt=3&rsv_n=2&inputT=5571.

［5］ IPv6 Stateless Address Auto configuration［EB/OL］. ［2012-09-15］. http://wenku.baidu.com/view/359ca 523192e45361066f5b8.html.

作者：周振勇 來源：郵電設計技術