摘要:当前,全球都在着力推进IP网络从IPv4向IPv6演进的进程,但随着IPv6业务的增长,IPv4业务将逐渐形成“信息孤岛”。为此,本文提出了一种基于DS-Lite技术解决信息孤岛的互联问题,介绍了DS-Lite技术的基本原理以及在运营商中如何进行部署实施,分析了网络安全问题,并对该业务场景下的应用进行了探讨。
关键词:DS-Lite;信息孤岛;过渡;网络安全
引言
近年来,现有的IPv4地址资源已渐渐枯竭。而随着互联网的进一步发展和普及,IP地址需求将呈现快速增长趋势,且需求量巨大,各大运营商即将面临新增用户业务开放无IPv4地址可用的窘境。在此情况下,IPv6技术是当前可行的解决IP地址短缺唯一根本的解决方案,它不仅可以解决IPv4地址资源的枯竭问题,还将成为物联网、云计算等新兴互联网产业发展的基础和支撑。但是由于IPv6与IPv4技术不兼容,而且现网中有大量的IPv4设备和用户存在,会在较长时期内处于IPv4和IPv6网络并存的状态,因此需要在网络演进过程中解决异构网络的互联互通问题,目前具有代表性的改造部署方案主要有LSN/CGN、DS-Lite和NAT64 等, 本文则重点研究基于DS-lite技术在IP城域网向IPv6演进中的部署和应用。
1.当前网络环境格局
从Google 的IPv6 用户统计数据来看,2009—2018年3 月,Google IPv6 用户数极速增长,现IPv6 用户数占总访问量的18.31%,约1.45亿独立访问量。
2017 年1 月—2018 年3 月,全球IPv6 出口平均流量为67.6G,最高为95.8G。
可以看出,全球的IPv6 演进正迎来一个新的发展时机。网络改造不可一刀切,因此在保证IPv4 业务连续性的大前提下,全面向IPv6 网络演进过程中如何将相互之间不兼容的IPv4 与IPv6 协议进行连接的问题最为明显,即各个信息“孤岛”之间的互联成为运营商急需解决的问题[1]。
2.DS-Lite 技术原理
DS-Lite 是结合IPv4-in-IPv6 隧道和改进版的IPv4网络地址转换(NAT)(即以tunnel-id/IPv6 地址为NAT表索引)技术,由地址族过渡路由器单元(AFTR)设备和B4 基本桥接宽带单元(Base Bridge BroadbandElement)设备(常为家庭网关)协作完成IPv4 和IPv6 业务承载[2]。
从图1 可以看出,用户侧与城域网核心侧是两个被IPv6 单栈接入网隔离开的信息孤岛,用户侧原先的私网IPv4 协议无法通过单栈IPv6 协议连接到城域网中。因此,使用隧道技术将两座信息孤岛进行连接显得至关重要。
图1 DS-Lite 技术原理示意图
2.1 B4设备为支持DS-Lite 的路由型网关
(1)业务职责方面
●面向用户侧,B4 设备开启DHCP 系统功能,为用户侧终端分配私有IPv4 地址。
●面向网络侧,B4 设备通过DHCPv6 Option64 字段获取到AFTR 服务器域名,然后通过DNS 解析到AFTR的网络地址,由此隧道建立成功。
(2)业务流量传输过程
在访问IPv4 业务时,当解析到AFTR 的IPv6 地址的路由型网关在接收到一条IPv4 到IPv4 网络的连接请求后,会在这个IPv4 报文头部前加上一个IPv6B4 地址头部来用于网络层源地址,IPv6 报文头部为网关通过DHCPv6 拿到的WAN口地址,网络层的目的IPv6 地址则为对端AFTR 地址,这样这个报文就可以在IPv6网络中传输了。
用户访问IPv6 业务时,则直接通过Native IPv6 网络实现。
2.2 AFTR 设备的物理形态可以是支持DS-Lite功能的独立式设备或是融合型嵌入式设备
(1)业务职责方面
AFTR设备主要是作为DS-Lite 隧道的终结点,负责为下面的CPE 下发DS-Lite 的隧道地址,并维持该隧道的状态。同时,AFTR 设备需要进行网络地址转换动作。
(2)业务流量传输过程
当AFTR设备接收到IPv4-in-IPv6 报文后,会将原有IPv6 报文头部剥离掉,此时这个报文就是当初IPv4用户端主机发送的IPv4 请求报文,该请求报文的源IPv4 地址为用户侧主机的IPv4 地址,是路由型网关分配的私网IPv4 地址,网关并没有对这个报文进行NAT转换,那就需要AFTR设备对这个私网IPv4 地址进行地址转换,AFTR 设备将私网IPv4 地址转换成公网IPv4 地址后发送到IPv4 网络中。这样对端的IPv4 网络站点就能正常地接收并处理这个报文,而且并不知道这个报文已经穿越IPv6 环境的中间网络。
3.部署方案
3.1 运营商基础网络架构
目前,国内的几大运营商的网络结构基本都很相似,主要包含核心路由、业务控制、宽带接入(含汇聚和接入)3个层面。根据业务需求,各层面分别部署核心路由器(CR)、业务路由器(SR)、宽带远程接入服务器(BRAS)、汇聚交换机、接入交换机、光线路终端(OLT)、光网络单元(ONU)等设备。
●在核心路由层,主要是高速转发来自城域网的各类进出流量,出口路由器用于连接IP 骨干网,作为城域网的主要进出口设备。
●在业务控制层,主要实现对用户及流量的控制和管理。该层由SR及BRAS组成,并覆盖到主要汇聚节点,以提供更好的业务开放能力。
●在宽带接入层,主要用于用户的流量接入,包含了LAN、xDSL、GPON和EPON等广覆盖的接入设备,以实现最后一公里的接入。
3.2 DS-Lite 系统结构组成
B4 和AFTR之间可以部署为IPv6 单栈网络,也可以为双栈网络。
BRAS设备为城域网接入级设备,一般内置DHCPServer 功能模块,作为Radius 源配合AAA系统协同完成用户认证和地址分配任务。对于内嵌DHCPv6 模块可为DS-Lite B4 侧终端分配IPv6 地址、Prefix、IPv6DNS地址等。
DNS服务器必须具备支持双栈协议的解析请求能力,支持A记录级AAAA记录,在DS-Lite 系统中,接受B4 侧发出的IPv6DNS解析请求。
AAA服务器负责用户认证、授权及计费等内容。记录和维护用户计费和账户等信息,AAA服务器可以采用双栈化Radius报文承载。
日志采集服务器为实现溯源目的的功能模块,通过SYSlog协议采集AFTR的NAT日志等信息。
3.3 DS-Lite 系统部署方案
结合以上介绍的运营商网络,根据DS-Lite 隧道设备的部署位置有不同的部署方案,具体可分为分布式旁挂BRAS/SR设备、集中式旁挂CR 设备两种部署方式。
这两种部署方式都具备部署方式简单、可控制性强、可靠性强的特点,不同的是AFTR 设备的位置不同,分布式旁挂是通过将AFTR 设备旁挂于SR 或者BRAS 设备,而集中式旁挂则是将AFTR 设备旁挂于CR。
建议在部署初期AFTR 以分布式部署为主,以业务片区为单元,在相应的BRAS/SR上旁挂AFTR设备;部署后期AFTR以集中式部署为主,以方便对AFTR设备进行集中管理。
4.业务流承载
4.1 IPv4业务流承载
B4 开启DHCPv4 功能,为内部局域网终端分配私有IPv4 地址,并发起PPP认证,运营商网络通过Radius服务器认证后,以DHCPv6 协议下发用户IPv6 地址,可通过静态配置或DHCPv6 Option64、DNSv6 方式通告AFTR设备位置信息(IPv6 地址)。B4 发起建立至AFTR的IPv4-in-IPv6 隧道,封装出向IPv4 数据流,数据包源地址为B4WAN 接口IPv6 地址,目的地址为AFTRLOOPBACK 接口IPv6 地址,并解封装目的地址为B4WAN接口IPv6 地址的入向IPv6数据包。
AFTR 设备建立至B4 的IPv4-in-IPv6 隧道并执行NAT 功能,即实现解封装目的地址为AFTR 自身IPv6地址的出向IPv6 数据包,对内嵌IPv4 数据包执行IPv4-IPv4NAT,并基于NAT会话表项对入向IPv4 数据包执行IPv4NAT转换,然后封装并通过隧道传送至B4。由于用户IPv4 地址由用户自行分配,不同用户IPv4 地址可能会相同,为避免冲突,AFTR内部维护的NAT表项与普通IPv4NAT不同,增加B4 的WAN接口IPv6 地址以区分用户。
4.2 IPv6业务流承载
AFTR和B4间对IPv6 流量执行Native转发。
5.网络安全
IPv6 网络不仅解决了IPv4 地址量枯竭问题,还对IPv4 协议栈中诸多不完善之处进行了较大的修正,其中显著的就是将IPSec(IPSecurity)集成到了协议栈中,从此IPSec 将不再单独存在,而是作为IPv6 协议固有的一部分贯穿于IPv6 的各个部分[3]。IPSec 提供4 种形式来保护共有或私有IP 网络来传输的数据安全,即安全关联(SA)、IP 认证头(AH)、IP 封装安全载荷(ESP)、密钥管理(KeyManagement)。由此可以看出IPv6 网络的优势,但对于部署DS-Lite 的IP 城域网安全角度而言,其网络安全问题关键单元在于AFTR设备,无论是独立式AFTR设备还是融合型AFTR设备,应当关注非法访问连接、最大并发会话数过载、设备可靠性等安全问题,出于整网安全角度出发,也是对AFTR设备提出了更高要求。
●对于访问连接安全方面,AFTR设备应具备一定的安全功能,如ACL(访问控制列表)用于检查隧道源地址是否属于非法/非认证地址。
●对于最大并发数过载方面,由于DS-Lite 网络中大量IPv4 私网地址复用。AFTR设备应可限制每个用户的连接会话数,已防止资源耗尽遭到DoS攻击。
●可靠性方面,AFTR设备应具备热插拔功能,提供关键部件冗余、故障板卡切换等能力,对于单机宕机时能够较快地恢复业务并支撑服务,也可适当在AFTR集群前提供负载均衡设备部署。
6.结束语
总之,IPv6是下一代互联网的发展起点,它能够在一定程度上解决目前IPv4互联网所存在的问题,从而使其成为IPv4向IPv6演进的重要推动力之一。目前,为了确保业务的持续发展,各大运营商都在加速推进IPv6,这是一个复杂的、长期的工作过程,需要加以重视。在这个过渡过程中,需要使用到不同的过渡技术解决不同场景下遇到的问题,而对于过渡技术则需要进行多方面的考虑,如适用场景的分析,地址格式的规约,控制、数据、安全层面等方面内容,这对DS-Lite 隧道技术也是提出了更高的要求,需要在今后的工作中加以深入地研究。
参考文献:
[1] 崔胜鹏. 基于DS-Lite的IPv6过渡技术的设计与实现[D]. 西安电子科技大学, 2013.
[2] 周振勇. 基于DS-lite的IP城域网向IPv6演进过渡方案研究[J]. 邮电设计技术, 2013(2):5-9.
[3]周浩. 基于GNS3的IPv6隧道技术配置与实现[J]. 佳木斯职业学院学报, 2014(1):457-458.
论文作者:侯勇
论文发表刊物:《电力设备》2018年第17期
论文发表时间:2018/11/11
标签:地址论文; 设备论文; 网络论文; 业务论文; 报文论文; 用户论文; 隧道论文; 《电力设备》2018年第17期论文;