基于轻型双栈过渡技术方案在IP城域网向IPv6演进中的部署和应用
前言
随着互联网业务的快速发展,互联网号码分配授权委员会(iana)及亚太互联网络信息中心(apnic)可分配的ipv4公有地址已于2011年上半年分配完毕,各电信运营商所申请的ipv4公网地址也将陆续耗尽。但随着互联网的进一步发展和普及,尤其是移动互联网、物联网、云计算等各类新应用的迅速发展,ip地址需求将呈现快速增长趋势,且需求量巨大,电信运营商即将面临新增用户业务开放无ipv4地址可用的窘境。ipv6是下一代互联网的发展起点,它不仅解决了ipv4地址资源的枯竭问题,还将成为其他产业(如物联网、云计算等新兴互联网产业)发展的基础和支撑。
面对这一机遇,我国政府极为重视并积极推动相关的战略部署。2011年12月,国务院常务会议研究部署了加快发展下一代互联网产业的有关问题,明确了发展下一代互联网路线图,提出了2013年年底前开展ipv6网络的小规模商用及2014—2015年开展大规模部署和商用的工作目标。这一规划将加速我国ipv6及下一代互联网产业的发展步伐、提升我国在一系列新兴互联网产业中的国际竞争力。
从ipv4向ipv6演进是个复杂的系统工程,除涉及ip骨干网/城域网、移动网、业务平台、it系统、终端等众多方面外,还将涉及到产业链各方博弈破局、投资保护、演进风险等诸多领域。
由于我国ip城域网设备种类繁多、使用年限不一、支持ipv6的程度参差不齐,因此演进难度会更大、过渡时间会更长,会在较长时期内处于ipv4和ipv6网络并存的状态。本文试从向ipv6演进较复杂的ip城域网出发,探讨基于轻型双栈(ds-lite)的过渡技术方案在ip城域网向ipv6演进中的部署和应用。
1 ds-lite技术简介
1.1 ds-lite技术原理
ds-lite是结合ipv4 in ipv6隧道和改进版的ipv4网络地址转换(nat)(即以tunnel-id/ipv6地址为nat表索引)技术,由地址族过渡路由器单元(aftr)设备和b4基本桥接宽带单元(base bridge broadband element)设备(常为家庭网关或用户终端)协作完成ipv4和ipv6业务承载。ds-lite技术原理示意见图1 。
由图1可知,b4设备为支持ds-lite的路由型网关:对内开启动态主机配置协议(dhcp)v4系统功能,为内部终端分配私有ipv4地址(若b4为软终端,则固化私有ipv4地址);对外根据点对点协议(ppp)发起向aftr请求,aftr通过远程用户拨号认证系统(radius)认证后,利用dhcpv6系统为其分配ipv6地址,b4发起建立至aftr的ipv4 in ipv6隧道。用户访问ipv4业务时,将通过家庭网关将ipv4流量封装到ipv6隧道中,传送至网络侧的aftr设备进行解封装和nat,实现业务访问;用户访问ipv6业务时,则直接通过native ipv6网络实现。
1.2 ds-lite技术标准进展情况
目前,ietf已将ds-lite主体标准列入了工作组文档,相关配合标准也已进入了rfc(指互联网工程任务推进组织(ietf)的一个无限制分发文档)编辑队列或已成为工作组文档。有关厂商可参照相关文档研发符合ds-lite标准规范的产品,运营商也可参照相关文档对相应的业务流程及it系统进行改造。ds-lite技术标准进展情况如下所述。
a) 主体标准。draft-ietf-softwire-dual-stack-lite-07已进入ad go-ahead等待状态。
b) 通过dhcpv6选项动态分配aftr地址、域名,draft-ietf-softwire-ds-lite-tunnel-option-10已进入rfc编辑队列。
c) 通过radius扩展属性下发aftr地址、域名,draft-ietf-softwire-dslite-radius-ext-02已成为工作组文档。
2 基于ds-lite的ip城域网向ipv6演进方案
2.1 ip城域网现状
目前,国内各大运营商的ip城域网结构都很相似,主要包含核心路由、业务控制、宽带接入(含汇聚和接入)等3个层面。根据业务需求,各层面分别部署核心路由器(cr)、业务路由器(sr)、宽带远程接入服务器(bras)、汇聚交换机、接入交换机、 光线路终端(olt)、光网络单元(onu)等设备。ip城域网结构示意见图2。
a) 核心路由层。核心路由层主要负责高速转发城域网各类进出流量。出口路由器分别与公用ip骨干网(主要承载一般的互联网流量)及专用ip骨干网(主要承载运营商的自有业务流量,如虚拟专用网(vpn)、3g中继电路等)互联。此外,部分节点还可根据传输资源及业务规模等情况配置汇接路由器,以对城域网流量实施分片区汇聚。
b) 业务控制层。业务控制层主要实现对用户及流量的控制和管理。该层由sr及bras组成,并覆盖到主要汇聚节点,以提供更好的业务开放能力。
c) 宽带接入层。宽带接入层包含局域网(lan)、数字用户线路(xdsl)、 吉比特无源光网络(gpon)、 以太无源光网络(epon)等接入方式,以形成一个覆盖广泛、接入方式更多样的宽带接入网。
2.2 部署方案
ds-lite方案基于部署位置可分为分布式和集中式2种方案,其中:分布式旁挂bras/sr设备,集中式旁挂cr设备。基于设备形态又可分为独立式和嵌入式2种方案,其中:独立式整机功能专一,硬件实现ds-lite aftr功能;嵌入式在bras/sr设备平台上开发,采用专用业务单板实现ds-lite功能,并可提供支持pppoev6/ipoev6+ds-lite的单板来实现用户接入和ds-lite aftr功能的集合。
根据aftr设备形态,结合不同的部署层面,aftr在ip城域网内有表1所示的4种部署方式。
ip城域网部署ds-lite方案的组网拓扑如图3和图4所示。
由于目前与ds-lite相关的aftr和b4设备还在不断完善中,因此建议在ip城域网部署中宜以不影响现有业务开展为前提,并遵循“控制风险,适度预留”的基本原则。
a) 初期aftr以分布式部署为主,即:以业务片区为单元,在相应的bras/sr上插板(建议配置2块或多块aftr板卡,实现1[∶]1或n[∶]1备份),并根据片区覆盖接入用户向ipv6迁移的意愿,对其用户端设备(cpe)进行改造或替换。
b) 随着aftr及b4设备成熟度的提升及成本的下降,中后期可对不同的ip城域网选择合适的部署方案,如:大中型城域网仍以分布式插板部署为主,以独立aftr设备外挂bras/sr设备为辅;小型城域网以集中式独立设备旁挂cr设备为主,以cr插板为辅。
c) 现阶段独立式aftr设备暂不支持热备,通过成组配置实现冷备,也可在一定程度上提升部署网络的可靠性。不管是旁挂cr还是旁挂bras/sr部署,在aftr设备配置上建议按成组冗余备份考虑,如:ip城域网2台cr上各旁挂1台aftr、每台cr上旁挂2台aftr,实现一主一备;ip城域网每台bras上旁挂2台aftr,实现一主一备。
2.3 业务承载实现
ip城域网内承载的业务有ipv4和ipv6 2种。
2.3.1 ipv4业务流承载
b4开启dhcpv4功能,为内部终端分配私有ipv4地址,发起ppp认证,运营商网络通过radius认证后,以dhcpv6协议下发用户ipv6地址,并可通过静态配置或dhcpv6等方式通告aftr位置信息(ipv6地址)。b4发起建立至aftr的ipv4 in ipv6隧道,封装出向ipv4数据流,数据包源地址为b4 wan接口ipv6地址,目的地址为aftr loopback接口ipv6地址,并解封装目的地址为b4 wan接口ipv6地址的入向ipv6数据包。
aftr建立至b4的ipv4 in ipv6隧道并执行nat功能,即实现解封装目的地址为aftr自身ipv6地址的出向ipv6数据包,对内嵌ipv4数据包执行ipv4-ipv4 nat,并基于nat会话表项对入向ipv4数据包执行ipv4 nat转换,然后封装并通过隧道传送至b4。由于用户ipv4地址由用户自行分配,不同用户ipv4地址可能会相同,为避免冲突,aftr内部维护的nat表项与普通ipv4 nat不同,增加b4的wan接口ipv6地址以区分用户。
2.3.2 ipv6业务流承载
aftr和b4间对ipv6流量执行native转发。
从上述ipv4和ipv6业务流承载分析可知,在ip城域网内部署ds-lite后,可较好地实现ipv4单栈用户、ipv6单栈用户、双栈用户等通过隧道或直接转发的方式访问相应的ipv4和ipv6应用资源,满足各类互联网应用的承载需求。根据中国电信相关省份试点的反馈情况,目前ip城域网内已部署ds-lite aftr设备的功能和性性可基本满足业务需求,ds-lite软/硬终端基本功能测试无发现问题,v4/v6网络资源下的聊天、游戏、网页、视频、点播等互联网业务及应用也基本正常,能支持ssl-vpn和l2tp-vpn等业务的开放。
2.4 地址分配及接入
2.4.1 地址分配
a) ipv6地址。需为cpe分配ipv6地址,地址格式不受限。
b) ipv4地址。cpe wan侧的ipv4地址无需规划,可由用户自行分配。用户终端的ipv4私网地址由cpe进行分配。
2.4.2 终端接入
a) 硬终端接入。用户侧需提供支持ds-lite功能的路由型家庭网关b4,其中网关的wan口支持ppp+邻居发现协议(ndp)+dhcp方式获得v6接口地址、家庭网络前缀、dns、aftr地址,建议采用有状态的dhcpv6;lan口采用ndp/dhcp为v6终端分配v6地址,采用dhcpv4为v4终端分配私有v4地址和dns、缺省网关地址。
b) 软终端接入。需安装定制化的ds-lite客户端软件,以配合桥接型网关实现接入。
2.5 相关路由及安全
对于ip城域网整体路由规划而言,3层路由主要承载在业务控制层设备及城域网出口设备上,对于cr和业务控制层设备bras/sr均建议开启双栈,以便视需要开启相应基于ipv6的路由进程。在现阶段对于ipv6建议由城域网出口cr兼作,igp v6主要运行在城域网出口cr与v6化改造的bras/sr间。优选中间系统到中间系统(isis)v6多拓扑模式,实现在一个路由进程中ipv4 与ipv6的独立计算与独立转发,同时能够支持双栈路由器和ipv4路由器间建立邻接关系;egp v6主要运行在城域网出口cr与骨干网核心路由器、专用骨干网pe路由器间。优选bgp4+,城域网出口cr对外宣告用户v6路由及v6 vpn路由,接收ipv6缺省路由或ipv6全路由。aftr接口地址以任播(anycast)方式通告到城域网路由域,以便b4能够接入就近的aftr设备建立v6连接或ipv4-in-ipv6的隧道。
对于部署ds-lite的ip城域网安全规划而言,其关键网元在于aftr。独立式的aftr应关注非法访问连接、用户会话数超限、单设备宕机等安全隐患,嵌入式的aftr在此基础上还应关注插板设备的整体安全特性是否满足要求。
a) 防止非授权用户。aftr设备应提供某种方式确保只为已授权的用户提供服务,如aftr设备必须支持根据授权用户的合法ipv6地址部署ipv6访问控制列表(acl),以检查隧道封装的源地址。
b) 用户会话数限制。由于在ds-lite部署中,ipv4地址被大量用户复用。aftr设备应能够限制每个用户的会话数量,以防止遭到dos攻击,耗尽其公网ipv4地址和端口资源。
c) aftr板卡及设备备份。在负载均衡的基础上,aftr应具备一定的冗余备份机制,以防止某台设备或者板卡出现问题时能够较快地恢复服务。
2.6 相关支撑系统配合
部署ds-lite涉及dhcpv6协议、radius交互、dns协议与溯源,因此需要相关支撑系统的配合工作。
a) dhcpv6系统配合。为终端分配v6地址、prefix、域名系统(dns)v6地址和aftr v6地址/完全合格域名/全称域名(fqdn)等参数,可以是独立设备,也可以是嵌入bras,但目前建议采用bras内嵌的方式来实现。
b) dns系统配合。dns必须升级支持双栈解析请求,具备a和aaaa记录,在ds-lite场景中,接受b4发送的v6 dns解析请求。
c) aaa系统配合。需aaa系统进行相应改造以配合ds-lite部署后ipv6相关业务流程的支撑工作:通过协议拓展增加相关ipv6属性,至少包括rfc 3162和rfc 4818规定的7个ipv6属性:接入服务器的ipv6地址(nas-ipv6-address)、框定的接口id(framed-interface-id)、框定的ipv6前缀(framed-ipv6-prefix)、登录的ipv6主机地址(login-ipv6-host)、框定的ipv6路由(framed-ipv6-route)、框定的ipv6地址池(framed-ipv6-pool)、指定的ipv6前缀(delegated-ipv6-prefix)。在完成aaa相应改造的同时还需要bras相应的改造升级,以支持上述协议的拓展。
3 结束语
随着ipv4公有地址的耗竭,为了确保业务的持续发展,各大电信运营商都在着力推进ip网络从ipv4向ipv6演进的进程,并纷纷进行试点,包括ds-lite方案、nat444方案等。但从目前试点情况来看,由于各种方案和标准都还在不断完善中,还都尚未定型,在演进过程中,具体究竟选用何种方案,需结合各运营商ip网络实际情况、用户发展状况、终端支持能力、标准技术成熟度、网络改造成本等因素综合考虑确定。
FPGA的无线通信安全协议应用
实至名归!讯飞双屏翻译机及讯飞翻译笔获2021杰出科技奖
针尖对麦芒!华为Mate9与iPhone7Plus双摄对决,谁更胜一筹
欧洲《芯片法案》正式生效
一次性金属盒制作优秀的屏蔽外壳-Disposable Met
基于轻型双栈过渡技术方案在IP城域网向IPv6演进中的部署和应用
家居互联互通常态化 智能家居出现消费新诉求
3G 商务手机市场潜力巨大 飞利浦 D908 引领新体验
感测型静电消除风扇的特点
cnn卷积神经网络matlab代码
三维激光扫描仪在基础设施等行业上具有其他仪器不可比拟的优势
RS-485收发器难题是否让您辗转反侧,我们知道的都告诉您!
PLC入门实物讲解,电路图与梯形图区别在哪里?
卡车自动驾驶的刚需 准前装落地可期
华为将推出折叠手机 2020年将挑战三星市场地位
小米计划两年内高端手机将进驻美国市场
Intel DG1独显外形公布 性能号称是当前Gen 9.5代核显的4倍
义隆MCU产品将全面涨价
什么是三端稳压器 三端稳压器原理及类型
行业快讯:百度推出UNIT2.0 智利成功进行5G测试
随着互联网业务的快速发展,互联网号码分配授权委员会(iana)及亚太互联网络信息中心(apnic)可分配的ipv4公有地址已于2011年上半年分配完毕,各电信运营商所申请的ipv4公网地址也将陆续耗尽。但随着互联网的进一步发展和普及,尤其是移动互联网、物联网、云计算等各类新应用的迅速发展,ip地址需求将呈现快速增长趋势,且需求量巨大,电信运营商即将面临新增用户业务开放无ipv4地址可用的窘境。ipv6是下一代互联网的发展起点,它不仅解决了ipv4地址资源的枯竭问题,还将成为其他产业(如物联网、云计算等新兴互联网产业)发展的基础和支撑。
面对这一机遇,我国政府极为重视并积极推动相关的战略部署。2011年12月,国务院常务会议研究部署了加快发展下一代互联网产业的有关问题,明确了发展下一代互联网路线图,提出了2013年年底前开展ipv6网络的小规模商用及2014—2015年开展大规模部署和商用的工作目标。这一规划将加速我国ipv6及下一代互联网产业的发展步伐、提升我国在一系列新兴互联网产业中的国际竞争力。
从ipv4向ipv6演进是个复杂的系统工程,除涉及ip骨干网/城域网、移动网、业务平台、it系统、终端等众多方面外,还将涉及到产业链各方博弈破局、投资保护、演进风险等诸多领域。
由于我国ip城域网设备种类繁多、使用年限不一、支持ipv6的程度参差不齐,因此演进难度会更大、过渡时间会更长,会在较长时期内处于ipv4和ipv6网络并存的状态。本文试从向ipv6演进较复杂的ip城域网出发,探讨基于轻型双栈(ds-lite)的过渡技术方案在ip城域网向ipv6演进中的部署和应用。
1 ds-lite技术简介
1.1 ds-lite技术原理
ds-lite是结合ipv4 in ipv6隧道和改进版的ipv4网络地址转换(nat)(即以tunnel-id/ipv6地址为nat表索引)技术,由地址族过渡路由器单元(aftr)设备和b4基本桥接宽带单元(base bridge broadband element)设备(常为家庭网关或用户终端)协作完成ipv4和ipv6业务承载。ds-lite技术原理示意见图1 。
由图1可知,b4设备为支持ds-lite的路由型网关:对内开启动态主机配置协议(dhcp)v4系统功能,为内部终端分配私有ipv4地址(若b4为软终端,则固化私有ipv4地址);对外根据点对点协议(ppp)发起向aftr请求,aftr通过远程用户拨号认证系统(radius)认证后,利用dhcpv6系统为其分配ipv6地址,b4发起建立至aftr的ipv4 in ipv6隧道。用户访问ipv4业务时,将通过家庭网关将ipv4流量封装到ipv6隧道中,传送至网络侧的aftr设备进行解封装和nat,实现业务访问;用户访问ipv6业务时,则直接通过native ipv6网络实现。
1.2 ds-lite技术标准进展情况
目前,ietf已将ds-lite主体标准列入了工作组文档,相关配合标准也已进入了rfc(指互联网工程任务推进组织(ietf)的一个无限制分发文档)编辑队列或已成为工作组文档。有关厂商可参照相关文档研发符合ds-lite标准规范的产品,运营商也可参照相关文档对相应的业务流程及it系统进行改造。ds-lite技术标准进展情况如下所述。
a) 主体标准。draft-ietf-softwire-dual-stack-lite-07已进入ad go-ahead等待状态。
b) 通过dhcpv6选项动态分配aftr地址、域名,draft-ietf-softwire-ds-lite-tunnel-option-10已进入rfc编辑队列。
c) 通过radius扩展属性下发aftr地址、域名,draft-ietf-softwire-dslite-radius-ext-02已成为工作组文档。
2 基于ds-lite的ip城域网向ipv6演进方案
2.1 ip城域网现状
目前,国内各大运营商的ip城域网结构都很相似,主要包含核心路由、业务控制、宽带接入(含汇聚和接入)等3个层面。根据业务需求,各层面分别部署核心路由器(cr)、业务路由器(sr)、宽带远程接入服务器(bras)、汇聚交换机、接入交换机、 光线路终端(olt)、光网络单元(onu)等设备。ip城域网结构示意见图2。
a) 核心路由层。核心路由层主要负责高速转发城域网各类进出流量。出口路由器分别与公用ip骨干网(主要承载一般的互联网流量)及专用ip骨干网(主要承载运营商的自有业务流量,如虚拟专用网(vpn)、3g中继电路等)互联。此外,部分节点还可根据传输资源及业务规模等情况配置汇接路由器,以对城域网流量实施分片区汇聚。
b) 业务控制层。业务控制层主要实现对用户及流量的控制和管理。该层由sr及bras组成,并覆盖到主要汇聚节点,以提供更好的业务开放能力。
c) 宽带接入层。宽带接入层包含局域网(lan)、数字用户线路(xdsl)、 吉比特无源光网络(gpon)、 以太无源光网络(epon)等接入方式,以形成一个覆盖广泛、接入方式更多样的宽带接入网。
2.2 部署方案
ds-lite方案基于部署位置可分为分布式和集中式2种方案,其中:分布式旁挂bras/sr设备,集中式旁挂cr设备。基于设备形态又可分为独立式和嵌入式2种方案,其中:独立式整机功能专一,硬件实现ds-lite aftr功能;嵌入式在bras/sr设备平台上开发,采用专用业务单板实现ds-lite功能,并可提供支持pppoev6/ipoev6+ds-lite的单板来实现用户接入和ds-lite aftr功能的集合。
根据aftr设备形态,结合不同的部署层面,aftr在ip城域网内有表1所示的4种部署方式。
ip城域网部署ds-lite方案的组网拓扑如图3和图4所示。
由于目前与ds-lite相关的aftr和b4设备还在不断完善中,因此建议在ip城域网部署中宜以不影响现有业务开展为前提,并遵循“控制风险,适度预留”的基本原则。
a) 初期aftr以分布式部署为主,即:以业务片区为单元,在相应的bras/sr上插板(建议配置2块或多块aftr板卡,实现1[∶]1或n[∶]1备份),并根据片区覆盖接入用户向ipv6迁移的意愿,对其用户端设备(cpe)进行改造或替换。
b) 随着aftr及b4设备成熟度的提升及成本的下降,中后期可对不同的ip城域网选择合适的部署方案,如:大中型城域网仍以分布式插板部署为主,以独立aftr设备外挂bras/sr设备为辅;小型城域网以集中式独立设备旁挂cr设备为主,以cr插板为辅。
c) 现阶段独立式aftr设备暂不支持热备,通过成组配置实现冷备,也可在一定程度上提升部署网络的可靠性。不管是旁挂cr还是旁挂bras/sr部署,在aftr设备配置上建议按成组冗余备份考虑,如:ip城域网2台cr上各旁挂1台aftr、每台cr上旁挂2台aftr,实现一主一备;ip城域网每台bras上旁挂2台aftr,实现一主一备。
2.3 业务承载实现
ip城域网内承载的业务有ipv4和ipv6 2种。
2.3.1 ipv4业务流承载
b4开启dhcpv4功能,为内部终端分配私有ipv4地址,发起ppp认证,运营商网络通过radius认证后,以dhcpv6协议下发用户ipv6地址,并可通过静态配置或dhcpv6等方式通告aftr位置信息(ipv6地址)。b4发起建立至aftr的ipv4 in ipv6隧道,封装出向ipv4数据流,数据包源地址为b4 wan接口ipv6地址,目的地址为aftr loopback接口ipv6地址,并解封装目的地址为b4 wan接口ipv6地址的入向ipv6数据包。
aftr建立至b4的ipv4 in ipv6隧道并执行nat功能,即实现解封装目的地址为aftr自身ipv6地址的出向ipv6数据包,对内嵌ipv4数据包执行ipv4-ipv4 nat,并基于nat会话表项对入向ipv4数据包执行ipv4 nat转换,然后封装并通过隧道传送至b4。由于用户ipv4地址由用户自行分配,不同用户ipv4地址可能会相同,为避免冲突,aftr内部维护的nat表项与普通ipv4 nat不同,增加b4的wan接口ipv6地址以区分用户。
2.3.2 ipv6业务流承载
aftr和b4间对ipv6流量执行native转发。
从上述ipv4和ipv6业务流承载分析可知,在ip城域网内部署ds-lite后,可较好地实现ipv4单栈用户、ipv6单栈用户、双栈用户等通过隧道或直接转发的方式访问相应的ipv4和ipv6应用资源,满足各类互联网应用的承载需求。根据中国电信相关省份试点的反馈情况,目前ip城域网内已部署ds-lite aftr设备的功能和性性可基本满足业务需求,ds-lite软/硬终端基本功能测试无发现问题,v4/v6网络资源下的聊天、游戏、网页、视频、点播等互联网业务及应用也基本正常,能支持ssl-vpn和l2tp-vpn等业务的开放。
2.4 地址分配及接入
2.4.1 地址分配
a) ipv6地址。需为cpe分配ipv6地址,地址格式不受限。
b) ipv4地址。cpe wan侧的ipv4地址无需规划,可由用户自行分配。用户终端的ipv4私网地址由cpe进行分配。
2.4.2 终端接入
a) 硬终端接入。用户侧需提供支持ds-lite功能的路由型家庭网关b4,其中网关的wan口支持ppp+邻居发现协议(ndp)+dhcp方式获得v6接口地址、家庭网络前缀、dns、aftr地址,建议采用有状态的dhcpv6;lan口采用ndp/dhcp为v6终端分配v6地址,采用dhcpv4为v4终端分配私有v4地址和dns、缺省网关地址。
b) 软终端接入。需安装定制化的ds-lite客户端软件,以配合桥接型网关实现接入。
2.5 相关路由及安全
对于ip城域网整体路由规划而言,3层路由主要承载在业务控制层设备及城域网出口设备上,对于cr和业务控制层设备bras/sr均建议开启双栈,以便视需要开启相应基于ipv6的路由进程。在现阶段对于ipv6建议由城域网出口cr兼作,igp v6主要运行在城域网出口cr与v6化改造的bras/sr间。优选中间系统到中间系统(isis)v6多拓扑模式,实现在一个路由进程中ipv4 与ipv6的独立计算与独立转发,同时能够支持双栈路由器和ipv4路由器间建立邻接关系;egp v6主要运行在城域网出口cr与骨干网核心路由器、专用骨干网pe路由器间。优选bgp4+,城域网出口cr对外宣告用户v6路由及v6 vpn路由,接收ipv6缺省路由或ipv6全路由。aftr接口地址以任播(anycast)方式通告到城域网路由域,以便b4能够接入就近的aftr设备建立v6连接或ipv4-in-ipv6的隧道。
对于部署ds-lite的ip城域网安全规划而言,其关键网元在于aftr。独立式的aftr应关注非法访问连接、用户会话数超限、单设备宕机等安全隐患,嵌入式的aftr在此基础上还应关注插板设备的整体安全特性是否满足要求。
a) 防止非授权用户。aftr设备应提供某种方式确保只为已授权的用户提供服务,如aftr设备必须支持根据授权用户的合法ipv6地址部署ipv6访问控制列表(acl),以检查隧道封装的源地址。
b) 用户会话数限制。由于在ds-lite部署中,ipv4地址被大量用户复用。aftr设备应能够限制每个用户的会话数量,以防止遭到dos攻击,耗尽其公网ipv4地址和端口资源。
c) aftr板卡及设备备份。在负载均衡的基础上,aftr应具备一定的冗余备份机制,以防止某台设备或者板卡出现问题时能够较快地恢复服务。
2.6 相关支撑系统配合
部署ds-lite涉及dhcpv6协议、radius交互、dns协议与溯源,因此需要相关支撑系统的配合工作。
a) dhcpv6系统配合。为终端分配v6地址、prefix、域名系统(dns)v6地址和aftr v6地址/完全合格域名/全称域名(fqdn)等参数,可以是独立设备,也可以是嵌入bras,但目前建议采用bras内嵌的方式来实现。
b) dns系统配合。dns必须升级支持双栈解析请求,具备a和aaaa记录,在ds-lite场景中,接受b4发送的v6 dns解析请求。
c) aaa系统配合。需aaa系统进行相应改造以配合ds-lite部署后ipv6相关业务流程的支撑工作:通过协议拓展增加相关ipv6属性,至少包括rfc 3162和rfc 4818规定的7个ipv6属性:接入服务器的ipv6地址(nas-ipv6-address)、框定的接口id(framed-interface-id)、框定的ipv6前缀(framed-ipv6-prefix)、登录的ipv6主机地址(login-ipv6-host)、框定的ipv6路由(framed-ipv6-route)、框定的ipv6地址池(framed-ipv6-pool)、指定的ipv6前缀(delegated-ipv6-prefix)。在完成aaa相应改造的同时还需要bras相应的改造升级,以支持上述协议的拓展。
3 结束语
随着ipv4公有地址的耗竭,为了确保业务的持续发展,各大电信运营商都在着力推进ip网络从ipv4向ipv6演进的进程,并纷纷进行试点,包括ds-lite方案、nat444方案等。但从目前试点情况来看,由于各种方案和标准都还在不断完善中,还都尚未定型,在演进过程中,具体究竟选用何种方案,需结合各运营商ip网络实际情况、用户发展状况、终端支持能力、标准技术成熟度、网络改造成本等因素综合考虑确定。
FPGA的无线通信安全协议应用
实至名归!讯飞双屏翻译机及讯飞翻译笔获2021杰出科技奖
针尖对麦芒!华为Mate9与iPhone7Plus双摄对决,谁更胜一筹
欧洲《芯片法案》正式生效
一次性金属盒制作优秀的屏蔽外壳-Disposable Met
基于轻型双栈过渡技术方案在IP城域网向IPv6演进中的部署和应用
家居互联互通常态化 智能家居出现消费新诉求
3G 商务手机市场潜力巨大 飞利浦 D908 引领新体验
感测型静电消除风扇的特点
cnn卷积神经网络matlab代码
三维激光扫描仪在基础设施等行业上具有其他仪器不可比拟的优势
RS-485收发器难题是否让您辗转反侧,我们知道的都告诉您!
PLC入门实物讲解,电路图与梯形图区别在哪里?
卡车自动驾驶的刚需 准前装落地可期
华为将推出折叠手机 2020年将挑战三星市场地位
小米计划两年内高端手机将进驻美国市场
Intel DG1独显外形公布 性能号称是当前Gen 9.5代核显的4倍
义隆MCU产品将全面涨价
什么是三端稳压器 三端稳压器原理及类型
行业快讯:百度推出UNIT2.0 智利成功进行5G测试