基于DS-Lite技術(shù)實現(xiàn)信息孤島互聯(lián)解決方案研究

楊 哲 中國信息通信研究院技術(shù)與標準研究所工程師

張樹杰 睿哲科技股份有限公司工程師

尹華瑛 中國信息通信研究院科技發(fā)展部工程師

1 引言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，原有IPv4地址不足的問題日益明顯，IANA已在2011年2月3日將全球IPv4地址全部分配完畢，而運營商在大力推進移動互聯(lián)網(wǎng)、5G的同時不得不面對IPv4地址枯竭所帶來的問題。因此，采用IPv6協(xié)議已成為各方的共識。從IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡勢在必行。

而目前IPv4向IPv6的過渡技術(shù)主要有3個方向，即IPv4/IPv6雙棧網(wǎng)絡(luò)、協(xié)議翻譯技術(shù)及隧道技術(shù)。雙協(xié)議棧是IPv4向IPv6網(wǎng)絡(luò)推進的基礎(chǔ)，更是各種過渡隧道的基礎(chǔ)。而當純IPv4單棧主機與純IPv6單棧主機之間通信的時候，由于協(xié)議堆棧不同，必然需要引入網(wǎng)絡(luò)協(xié)議翻譯轉(zhuǎn)換技術(shù)。

在向IPv6網(wǎng)絡(luò)過渡策略選擇上，許多運營商確定以雙棧網(wǎng)絡(luò)改造作為初期階段向IPv6演進的最優(yōu)策略，但運營商完全向IPv6遷移之前，大多數(shù)用戶仍需要訪問IPv4的網(wǎng)絡(luò)服務(wù)。因此，保持IPv4業(yè)務(wù)的連續(xù)性和全面向IPv6的過渡是相同重要的兩個問題，目前具有代表性的改造部署方案主要有LSN/CGN、DS-Lite和NAT64等，而DS-Lite則是本文討論的重點。

●LSN/CGN（運營商級網(wǎng)絡(luò)地址翻譯）技術(shù)是基于網(wǎng)絡(luò)進行大規(guī)模地址和端口進行轉(zhuǎn)換，需要維護大量的網(wǎng)絡(luò)地址，并進行相關(guān)的用戶數(shù)據(jù)和策略管理。

●NAT64技術(shù)實現(xiàn)單棧IPv6用戶主機到IPv4網(wǎng)絡(luò)站點的單向訪問，對于IPv6的單協(xié)議棧的主機而言是有意義的，比如在LTE網(wǎng)絡(luò)中IPv6單棧手機用戶訪問IPv4網(wǎng)絡(luò)站點資源的場景。但采用NAT64的同時需要在網(wǎng)絡(luò)中引入DNS64的功能。

2 當前網(wǎng)絡(luò)環(huán)境格局

從Google的IPv6用戶統(tǒng)計數(shù)據(jù)來看，2009—2018年3月，GoogleIPv6用戶數(shù)極速增長，現(xiàn)IPv6用戶數(shù)占總訪問量的18.31%，約1.45億獨立訪問量。

2017年1月—2018年3月，全球IPv6出口平均流量為67.6G，最高為95.8G。

可以看出，全球的IPv6演進正迎來一個新的發(fā)展時機。網(wǎng)絡(luò)改造不可一刀切，因此在保證IPv4業(yè)務(wù)連續(xù)性的大前提下，全面向IPv6網(wǎng)絡(luò)演進過程中如何將相互之間不兼容的IPv4與IPv6協(xié)議進行連接的問題最為明顯，即各個信息“孤島”之間的互聯(lián)成為運營商急需解決的問題。本文首先介紹了DS-Lite的基本原理，以及在運營商中如何進行部署實施，其次對網(wǎng)絡(luò)安全問題進行分析，最后對該業(yè)務(wù)場景下的應(yīng)用進行了探討和研究。

3 DS-Lite技術(shù)原理

DS-Lite是結(jié)合IPv4-in-IPv6隧道和改進版的IPv4網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）（即以tunnel-id/IPv6地址為NAT表索引）技術(shù)，由地址族過渡路由器單元（AFTR）設(shè)備和B4基本橋接寬帶單元（Base Bridge Broadband Element）設(shè)備（常為家庭網(wǎng)關(guān)）協(xié)作完成IPv4和IPv6業(yè)務(wù)承載。

從圖1可以看出，用戶側(cè)與城域網(wǎng)核心側(cè)是兩個被IPv6單棧接入網(wǎng)隔離開的信息孤島，用戶側(cè)原先的私網(wǎng)IPv4協(xié)議無法通過單棧IPv6協(xié)議連接到城域網(wǎng)中。因此，使用隧道技術(shù)將兩座信息孤島進行連接顯得至關(guān)重要。

圖1 DS-Lite技術(shù)原理示意圖

3.1 B4設(shè)備為支持DS-Lite的路由型網(wǎng)關(guān)

（1）業(yè)務(wù)職責方面

●面向用戶側(cè)，B4設(shè)備開啟DHCP系統(tǒng)功能，為用戶側(cè)終端分配私有IPv4地址。

●面向網(wǎng)絡(luò)側(cè)，B4設(shè)備通過DHCPv6Option64字段獲取到AFTR服務(wù)器域名，然后通過DNS解析到AFTR的網(wǎng)絡(luò)地址，由此隧道建立成功。

（2）業(yè)務(wù)流量傳輸過程

在訪問IPv4業(yè)務(wù)時，當解析到AFTR的IPv6地址的路由型網(wǎng)關(guān)在接收到一條IPv4到IPv4網(wǎng)絡(luò)的連接請求后，會在這個IPv4報文頭部前加上一個IPv6B4地址頭部來用于網(wǎng)絡(luò)層源地址，IPv6報文頭部為網(wǎng)關(guān)通過DHCPv6拿到的WAN口地址，網(wǎng)絡(luò)層的目的IPv6地址則為對端AFTR地址，這樣這個報文就可以在IPv6網(wǎng)絡(luò)中傳輸了。

用戶訪問IPv6業(yè)務(wù)時，則直接通過NativeIPv6網(wǎng)絡(luò)實現(xiàn)。

3.2 AFTR設(shè)備的物理形態(tài)可以是支持DS-Lite功能的獨立式設(shè)備或是融合型嵌入式設(shè)備

（1）業(yè)務(wù)職責方面

AFTR設(shè)備主要是作為DS-Lite隧道的終結(jié)點，負責為下面的CPE下發(fā)DS-Lite的隧道地址，并維持該隧道的狀態(tài)。同時，AFTR設(shè)備需要進行網(wǎng)絡(luò)地址轉(zhuǎn)換動作。

（2）業(yè)務(wù)流量傳輸過程

當AFTR設(shè)備接收到IPv4-in-IPv6報文后，會將原有IPv6報文頭部剝離掉，此時這個報文就是當初IPv4用戶端主機發(fā)送的IPv4請求報文，該請求報文的源IPv4地址為用戶側(cè)主機的IPv4地址，是路由型網(wǎng)關(guān)分配的私網(wǎng)IPv4地址，網(wǎng)關(guān)并沒有對這個報文進行NAT轉(zhuǎn)換，那就需要AFTR設(shè)備對這個私網(wǎng)IPv4地址進行地址轉(zhuǎn)換，AFTR設(shè)備將私網(wǎng)IPv4地址轉(zhuǎn)換成公網(wǎng)IPv4地址后發(fā)送到IPv4網(wǎng)絡(luò)中。這樣對端的IPv4網(wǎng)絡(luò)站點就能正常地接收并處理這個報文，而且并不知道這個報文已經(jīng)穿越IPv6環(huán)境的中間網(wǎng)絡(luò)。

4 部署方案

4.1 運營商基礎(chǔ)網(wǎng)絡(luò)架構(gòu)

目前，國內(nèi)的幾大運營商的網(wǎng)絡(luò)結(jié)構(gòu)基本都很相似，主要包含核心路由、業(yè)務(wù)控制、寬帶接入（含匯聚和接入）3個層面。根據(jù)業(yè)務(wù)需求，各層面分別部署核心路由器（CR）、業(yè)務(wù)路由器（SR）、寬帶遠程接入服務(wù)器（BRAS）、匯聚交換機、接入交換機、光線路終端（OLT）、光網(wǎng)絡(luò)單元（ONU）等設(shè)備。

●在核心路由層，主要是高速轉(zhuǎn)發(fā)來自城域網(wǎng)的各類進出流量，出口路由器用于連接IP骨干網(wǎng)，作為城域網(wǎng)的主要進出口設(shè)備。

●在業(yè)務(wù)控制層，主要實現(xiàn)對用戶及流量的控制和管理。該層由SR及BRAS組成，并覆蓋到主要匯聚節(jié)點，以提供更好的業(yè)務(wù)開放能力。

●在寬帶接入層，主要用于用戶的流量接入，包含了LAN、xDSL、GPON和EPON等廣覆蓋的接入設(shè)備，以實現(xiàn)最后一公里的接入。

4.2 DS-Lite系統(tǒng)結(jié)構(gòu)組成

B4和AFTR之間可以部署為IPv6單棧網(wǎng)絡(luò)，也可以為雙棧網(wǎng)絡(luò)。

BRAS設(shè)備為城域網(wǎng)接入級設(shè)備，一般內(nèi)置DHCP Server功能模塊，作為Radius源配合AAA系統(tǒng)協(xié)同完成用戶認證和地址分配任務(wù)。對于內(nèi)嵌DHCPv6模塊可為DS-Lite B4側(cè)終端分配IPv6地址、Prefix、IPv6 DNS地址等。

DNS服務(wù)器必須具備支持雙棧協(xié)議的解析請求能力，支持A記錄級AAAA記錄，在DS-Lite系統(tǒng)中，接受B4側(cè)發(fā)出的IPv6DNS解析請求。

AAA服務(wù)器負責用戶認證、授權(quán)及計費等內(nèi)容。記錄和維護用戶計費和賬戶等信息，AAA服務(wù)器可以采用雙?；疪adius報文承載。

日志采集服務(wù)器為實現(xiàn)溯源目的的功能模塊，通過SYSlog協(xié)議采集AFTR的NAT日志等信息。

4.3 DS-Lite系統(tǒng)部署方案

結(jié)合以上介紹的運營商網(wǎng)絡(luò)，根據(jù)DS-Lite隧道設(shè)備的部署位置有不同的部署方案，具體可分為分布式旁掛BRAS/SR設(shè)備、集中式旁掛CR設(shè)備兩種部署方式。

這兩種部署方式都具備部署方式簡單、可控制性強、可靠性強的特點，不同的是AFTR設(shè)備的位置不同，分布式旁掛是通過將AFTR設(shè)備旁掛于SR或者BRAS設(shè)備，而集中式旁掛則是將AFTR設(shè)備旁掛于CR。

建議在部署初期AFTR以分布式部署為主，以業(yè)務(wù)片區(qū)為單元，在相應(yīng)的BRAS/SR上旁掛AFTR設(shè)備；部署后期AFTR以集中式部署為主，以方便對AFTR設(shè)備進行集中管理。

5 業(yè)務(wù)流承載

5.1 IPv4業(yè)務(wù)流承載

B4開啟DHCPv4功能，為內(nèi)部局域網(wǎng)終端分配私有IPv4地址，并發(fā)起PPP認證，運營商網(wǎng)絡(luò)通過Radius服務(wù)器認證后，以DHCPv6協(xié)議下發(fā)用戶IPv6地址，可通過靜態(tài)配置或DHCPv6 Option64、DNSv6方式通告AFTR設(shè)備位置信息（IPv6地址）。B4發(fā)起建立至AFTR的IPv4-in-IPv6隧道，封裝出向IPv4數(shù)據(jù)流，數(shù)據(jù)包源地址為B4WAN接口IPv6地址，目的地址為AFTR LOOPBACK接口IPv6地址，并解封裝目的地址為B4 WAN接口IPv6地址的入向IPv6數(shù)據(jù)包。

AFTR設(shè)備建立至B4的IPv4-in-IPv6隧道并執(zhí)行NAT功能，即實現(xiàn)解封裝目的地址為AFTR自身IPv6地址的出向IPv6數(shù)據(jù)包，對內(nèi)嵌IPv4數(shù)據(jù)包執(zhí)行IPv4-IPv4NAT，并基于NAT會話表項對入向IPv4數(shù)據(jù)包執(zhí)行IPv4NAT轉(zhuǎn)換，然后封裝并通過隧道傳送至B4。由于用戶IPv4地址由用戶自行分配，不同用戶IPv4地址可能會相同，為避免沖突，AFTR內(nèi)部維護的NAT表項與普通IPv4NAT不同，增加B4的WAN接口IPv6地址以區(qū)分用戶。

5.2 IPv6業(yè)務(wù)流承載

AFTR和B4間對IPv6流量執(zhí)行Native轉(zhuǎn)發(fā)。

6 網(wǎng)絡(luò)安全

IPv6網(wǎng)絡(luò)不僅解決了IPv4地址量枯竭問題，還對IPv4協(xié)議棧中諸多不完善之處進行了較大的修正，其中顯著的就是將IPSec（IPSecurity）集成到了協(xié)議棧中，從此IPSec將不再單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個部分。IPSec提供4種形式來保護共有或私有IP網(wǎng)絡(luò)來傳輸?shù)臄?shù)據(jù)安全，即安全關(guān)聯(lián)（SA）、IP認證頭（AH）、IP封裝安全載荷（ESP）、密鑰管理（KeyManagement）。由此可以看出IPv6網(wǎng)絡(luò)的優(yōu)勢，但對于部署DS-Lite的IP城域網(wǎng)安全角度而言，其網(wǎng)絡(luò)安全問題關(guān)鍵單元在于AFTR設(shè)備，無論是獨立式AFTR設(shè)備還是融合型AFTR設(shè)備，應(yīng)當關(guān)注非法訪問連接、最大并發(fā)會話數(shù)過載、設(shè)備可靠性等安全問題，出于整網(wǎng)安全角度出發(fā)，也是對AFTR設(shè)備提出了更高要求。

●對于訪問連接安全方面，AFTR設(shè)備應(yīng)具備一定的安全功能，如ACL（訪問控制列表）用于檢查隧道源地址是否屬于非法/非認證地址。

●對于最大并發(fā)數(shù)過載方面，由于DS-Lite網(wǎng)絡(luò)中大量IPv4私網(wǎng)地址復(fù)用。AFTR設(shè)備應(yīng)可限制每個用戶的連接會話數(shù)，已防止資源耗盡遭到DoS攻擊。

●可靠性方面，AFTR設(shè)備應(yīng)具備熱插拔功能，提供關(guān)鍵部件冗余、故障板卡切換等能力，對于單機宕機時能夠較快地恢復(fù)業(yè)務(wù)并支撐服務(wù)，也可適當在AFTR集群前提供負載均衡設(shè)備部署。

7 結(jié)束語

隨著IPv4公有地址資源的耗盡，在面向IPv6演進網(wǎng)絡(luò)環(huán)境改造過程中，結(jié)合原有業(yè)務(wù)不中斷、適度改造投入、便于維護、易于部署的平滑演進過程，必要遵循純IPv4網(wǎng)絡(luò)IPv4/IPv6雙棧且IPv4業(yè)務(wù)占主流IPv4/IPv6雙棧且IPv6業(yè)務(wù)占主流純IPv6網(wǎng)絡(luò)的發(fā)展思路，目前各大運營商都在加速推進IPv6，這是一個長期的過程。但在過渡過程中，需要使用到不同的過渡技術(shù)解決不同場景下遇到的問題。對于過渡技術(shù)要進行多方面的考量，包括適用場景的分析、地址格式的規(guī)約、控制層面、數(shù)據(jù)層面、安全層面以及可擴展性、是否易于部署等問題。這就對隧道技術(shù)，特別是DS-Lite隧道技術(shù)提出了更高的要求。