基于DS-Lite技术实现信息孤岛互联解决方案研究

2018-05-22 01:17中国信息通信研究院技术与标准研究所工程师
信息通信技术与政策 2018年5期
关键词:报文运营商部署

杨 哲 中国信息通信研究院技术与标准研究所工程师

张树杰 睿哲科技股份有限公司工程师

尹华瑛 中国信息通信研究院科技发展部工程师

1 引言

随着互联网的飞速发展,原有IPv4地址不足的问题日益明显,IANA已在2011年2月3日将全球IPv4地址全部分配完毕,而运营商在大力推进移动互联网、5G的同时不得不面对IPv4地址枯竭所带来的问题。因此,采用IPv6协议已成为各方的共识。从IPv4网络向IPv6网络过渡势在必行。

而目前IPv4向IPv6的过渡技术主要有3个方向,即IPv4/IPv6双栈网络、协议翻译技术及隧道技术。双协议栈是IPv4向IPv6网络推进的基础,更是各种过渡隧道的基础。而当纯IPv4单栈主机与纯IPv6单栈主机之间通信的时候,由于协议堆栈不同,必然需要引入网络协议翻译转换技术。

在向IPv6网络过渡策略选择上,许多运营商确定以双栈网络改造作为初期阶段向IPv6演进的最优策略,但运营商完全向IPv6迁移之前,大多数用户仍需要访问IPv4的网络服务。因此,保持IPv4业务的连续性和全面向IPv6的过渡是相同重要的两个问题,目前具有代表性的改造部署方案主要有LSN/CGN、DS-Lite和NAT64等,而DS-Lite则是本文讨论的重点。

●LSN/CGN(运营商级网络地址翻译)技术是基于网络进行大规模地址和端口进行转换,需要维护大量的网络地址,并进行相关的用户数据和策略管理。

●NAT64技术实现单栈IPv6用户主机到IPv4网络站点的单向访问,对于IPv6的单协议栈的主机而言是有意义的,比如在LTE网络中IPv6单栈手机用户访问IPv4网络站点资源的场景。但采用NAT64的同时需要在网络中引入DNS64的功能。

2 当前网络环境格局

从Google的IPv6用户统计数据来看,2009—2018年3月,GoogleIPv6用户数极速增长,现IPv6用户数占总访问量的18.31%,约1.45亿独立访问量。

2017年1月—2018年3月,全球IPv6出口平均流量为67.6G,最高为95.8G。

可以看出,全球的IPv6演进正迎来一个新的发展时机。网络改造不可一刀切,因此在保证IPv4业务连续性的大前提下,全面向IPv6网络演进过程中如何将相互之间不兼容的IPv4与IPv6协议进行连接的问题最为明显,即各个信息“孤岛”之间的互联成为运营商急需解决的问题。本文首先介绍了DS-Lite的基本原理,以及在运营商中如何进行部署实施,其次对网络安全问题进行分析,最后对该业务场景下的应用进行了探讨和研究。

3 DS-Lite技术原理

DS-Lite是结合IPv4-in-IPv6隧道和改进版的IPv4网络地址转换(NAT)(即以tunnel-id/IPv6地址为NAT表索引)技术,由地址族过渡路由器单元(AFTR)设备和B4基本桥接宽带单元(Base Bridge Broadband Element)设备(常为家庭网关)协作完成IPv4和IPv6业务承载。

从图1可以看出,用户侧与城域网核心侧是两个被IPv6单栈接入网隔离开的信息孤岛,用户侧原先的私网IPv4协议无法通过单栈IPv6协议连接到城域网中。因此,使用隧道技术将两座信息孤岛进行连接显得至关重要。

图1 DS-Lite技术原理示意图

3.1 B4设备为支持DS-Lite的路由型网关

(1)业务职责方面

●面向用户侧,B4设备开启DHCP系统功能,为用户侧终端分配私有IPv4地址。

●面向网络侧,B4设备通过DHCPv6Option64字段获取到AFTR服务器域名,然后通过DNS解析到AFTR的网络地址,由此隧道建立成功。

(2)业务流量传输过程

在访问IPv4业务时,当解析到AFTR的IPv6地址的路由型网关在接收到一条IPv4到IPv4网络的连接请求后,会在这个IPv4报文头部前加上一个IPv6B4地址头部来用于网络层源地址,IPv6报文头部为网关通过DHCPv6拿到的WAN口地址,网络层的目的IPv6地址则为对端AFTR地址,这样这个报文就可以在IPv6网络中传输了。

用户访问IPv6业务时,则直接通过NativeIPv6网络实现。

3.2 AFTR设备的物理形态可以是支持DS-Lite功能的独立式设备或是融合型嵌入式设备

(1)业务职责方面

AFTR设备主要是作为DS-Lite隧道的终结点,负责为下面的CPE下发DS-Lite的隧道地址,并维持该隧道的状态。同时,AFTR设备需要进行网络地址转换动作。

(2)业务流量传输过程

当AFTR设备接收到IPv4-in-IPv6报文后,会将原有IPv6报文头部剥离掉,此时这个报文就是当初IPv4用户端主机发送的IPv4请求报文,该请求报文的源IPv4地址为用户侧主机的IPv4地址,是路由型网关分配的私网IPv4地址,网关并没有对这个报文进行NAT转换,那就需要AFTR设备对这个私网IPv4地址进行地址转换,AFTR设备将私网IPv4地址转换成公网IPv4地址后发送到IPv4网络中。这样对端的IPv4网络站点就能正常地接收并处理这个报文,而且并不知道这个报文已经穿越IPv6环境的中间网络。

4 部署方案

4.1 运营商基础网络架构

目前,国内的几大运营商的网络结构基本都很相似,主要包含核心路由、业务控制、宽带接入(含汇聚和接入)3个层面。根据业务需求,各层面分别部署核心路由器(CR)、业务路由器(SR)、宽带远程接入服务器(BRAS)、汇聚交换机、接入交换机、光线路终端(OLT)、光网络单元(ONU)等设备。

●在核心路由层,主要是高速转发来自城域网的各类进出流量,出口路由器用于连接IP骨干网,作为城域网的主要进出口设备。

●在业务控制层,主要实现对用户及流量的控制和管理。该层由SR及BRAS组成,并覆盖到主要汇聚节点,以提供更好的业务开放能力。

●在宽带接入层,主要用于用户的流量接入,包含了LAN、xDSL、GPON和EPON等广覆盖的接入设备,以实现最后一公里的接入。

4.2 DS-Lite系统结构组成

B4和AFTR之间可以部署为IPv6单栈网络,也可以为双栈网络。

BRAS设备为城域网接入级设备,一般内置DHCP Server功能模块,作为Radius源配合AAA系统协同完成用户认证和地址分配任务。对于内嵌DHCPv6模块可为DS-Lite B4侧终端分配IPv6地址、Prefix、IPv6 DNS地址等。

DNS服务器必须具备支持双栈协议的解析请求能力,支持A记录级AAAA记录,在DS-Lite系统中,接受B4侧发出的IPv6DNS解析请求。

AAA服务器负责用户认证、授权及计费等内容。记录和维护用户计费和账户等信息,AAA服务器可以采用双栈化Radius报文承载。

日志采集服务器为实现溯源目的的功能模块,通过SYSlog协议采集AFTR的NAT日志等信息。

4.3 DS-Lite系统部署方案

结合以上介绍的运营商网络,根据DS-Lite隧道设备的部署位置有不同的部署方案,具体可分为分布式旁挂BRAS/SR设备、集中式旁挂CR设备两种部署方式。

这两种部署方式都具备部署方式简单、可控制性强、可靠性强的特点,不同的是AFTR设备的位置不同,分布式旁挂是通过将AFTR设备旁挂于SR或者BRAS设备,而集中式旁挂则是将AFTR设备旁挂于CR。

建议在部署初期AFTR以分布式部署为主,以业务片区为单元,在相应的BRAS/SR上旁挂AFTR设备;部署后期AFTR以集中式部署为主,以方便对AFTR设备进行集中管理。

5 业务流承载

5.1 IPv4业务流承载

B4开启DHCPv4功能,为内部局域网终端分配私有IPv4地址,并发起PPP认证,运营商网络通过Radius服务器认证后,以DHCPv6协议下发用户IPv6地址,可通过静态配置或DHCPv6 Option64、DNSv6方式通告AFTR设备位置信息(IPv6地址)。B4发起建立至AFTR的IPv4-in-IPv6隧道,封装出向IPv4数据流,数据包源地址为B4WAN接口IPv6地址,目的地址为AFTR LOOPBACK接口IPv6地址,并解封装目的地址为B4 WAN接口IPv6地址的入向IPv6数据包。

AFTR设备建立至B4的IPv4-in-IPv6隧道并执行NAT功能,即实现解封装目的地址为AFTR自身IPv6地址的出向IPv6数据包,对内嵌IPv4数据包执行IPv4-IPv4NAT,并基于NAT会话表项对入向IPv4数据包执行IPv4NAT转换,然后封装并通过隧道传送至B4。由于用户IPv4地址由用户自行分配,不同用户IPv4地址可能会相同,为避免冲突,AFTR内部维护的NAT表项与普通IPv4NAT不同,增加B4的WAN接口IPv6地址以区分用户。

5.2 IPv6业务流承载

AFTR和B4间对IPv6流量执行Native转发。

6 网络安全

IPv6网络不仅解决了IPv4地址量枯竭问题,还对IPv4协议栈中诸多不完善之处进行了较大的修正,其中显著的就是将IPSec(IPSecurity)集成到了协议栈中,从此IPSec将不再单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。IPSec提供4种形式来保护共有或私有IP网络来传输的数据安全,即安全关联(SA)、IP认证头(AH)、IP封装安全载荷(ESP)、密钥管理(KeyManagement)。由此可以看出IPv6网络的优势,但对于部署DS-Lite的IP城域网安全角度而言,其网络安全问题关键单元在于AFTR设备,无论是独立式AFTR设备还是融合型AFTR设备,应当关注非法访问连接、最大并发会话数过载、设备可靠性等安全问题,出于整网安全角度出发,也是对AFTR设备提出了更高要求。

●对于访问连接安全方面,AFTR设备应具备一定的安全功能,如ACL(访问控制列表)用于检查隧道源地址是否属于非法/非认证地址。

●对于最大并发数过载方面,由于DS-Lite网络中大量IPv4私网地址复用。AFTR设备应可限制每个用户的连接会话数,已防止资源耗尽遭到DoS攻击。

●可靠性方面,AFTR设备应具备热插拔功能,提供关键部件冗余、故障板卡切换等能力,对于单机宕机时能够较快地恢复业务并支撑服务,也可适当在AFTR集群前提供负载均衡设备部署。

7 结束语

随着IPv4公有地址资源的耗尽,在面向IPv6演进网络环境改造过程中,结合原有业务不中断、适度改造投入、便于维护、易于部署的平滑演进过程,必要遵循纯IPv4网络IPv4/IPv6双栈且IPv4业务占主流IPv4/IPv6双栈且IPv6业务占主流纯IPv6网络的发展思路,目前各大运营商都在加速推进IPv6,这是一个长期的过程。但在过渡过程中,需要使用到不同的过渡技术解决不同场景下遇到的问题。对于过渡技术要进行多方面的考量,包括适用场景的分析、地址格式的规约、控制层面、数据层面、安全层面以及可扩展性、是否易于部署等问题。这就对隧道技术,特别是DS-Lite隧道技术提出了更高的要求。

猜你喜欢
报文运营商部署
基于J1939 协议多包报文的时序研究及应用
一种基于Kubernetes的Web应用部署与配置系统
晋城:安排部署 统防统治
CTCS-2级报文数据管理需求分析和实现
部署
浅析反驳类报文要点
部署“萨德”意欲何为?
ATS与列车通信报文分析
取消“漫游费”只能等运营商“良心发现”?
第一章 在腐败火上烤的三大运营商