基于DS-Lite的IPv6演进过渡方案研究

基于DS-Lite的IPv6演进过渡方案研究

侯勇

(联通（广东）产业互联网有限公司广东广州510000)

摘要：当前，全球都在着力推进IP网络从IPv4向IPv6演进的进程，但随着IPv6业务的增长，IPv4业务将逐渐形成“信息孤岛”。为此，本文提出了一种基于DS-Lite技术解决信息孤岛的互联问题，介绍了DS-Lite技术的基本原理以及在运营商中如何进行部署实施，分析了网络安全问题，并对该业务场景下的应用进行了探讨。

关键词：DS-Lite；信息孤岛；过渡；网络安全

引言

近年来，现有的IPv4地址资源已渐渐枯竭。而随着互联网的进一步发展和普及，IP地址需求将呈现快速增长趋势，且需求量巨大，各大运营商即将面临新增用户业务开放无IPv4地址可用的窘境。在此情况下，IPv6技术是当前可行的解决IP地址短缺唯一根本的解决方案，它不仅可以解决IPv4地址资源的枯竭问题，还将成为物联网、云计算等新兴互联网产业发展的基础和支撑。但是由于IPv6与IPv4技术不兼容，而且现网中有大量的IPv4设备和用户存在，会在较长时期内处于IPv4和IPv6网络并存的状态，因此需要在网络演进过程中解决异构网络的互联互通问题，目前具有代表性的改造部署方案主要有LSN/CGN、DS-Lite和NAT64等，本文则重点研究基于DS-lite技术在IP城域网向IPv6演进中的部署和应用。

1.当前网络环境格局

从Google的IPv6用户统计数据来看，2009—2018年3月，GoogleIPv6用户数极速增长，现IPv6用户数占总访问量的18.31%，约1.45亿独立访问量。

2017年1月—2018年3月，全球IPv6出口平均流量为67.6G，最高为95.8G。

可以看出，全球的IPv6演进正迎来一个新的发展时机。网络改造不可一刀切，因此在保证IPv4业务连续性的大前提下，全面向IPv6网络演进过程中如何将相互之间不兼容的IPv4与IPv6协议进行连接的问题最为明显，即各个信息“孤岛”之间的互联成为运营商急需解决的问题[1]。

2.DS-Lite技术原理

DS-Lite是结合IPv4-in-IPv6隧道和改进版的IPv4网络地址转换（NAT）（即以tunnel-id/IPv6地址为NAT表索引）技术，由地址族过渡路由器单元（AFTR）设备和B4基本桥接宽带单元（BaseBridgeBroadbandElement）设备（常为家庭网关）协作完成IPv4和IPv6业务承载[2]。

从图1可以看出，用户侧与城域网核心侧是两个被IPv6单栈接入网隔离开的信息孤岛，用户侧原先的私网IPv4协议无法通过单栈IPv6协议连接到城域网中。因此，使用隧道技术将两座信息孤岛进行连接显得至关重要。

图1DS-Lite技术原理示意图

2.1B4设备为支持DS-Lite的路由型网关

（1）业务职责方面

●面向用户侧，B4设备开启DHCP系统功能，为用户侧终端分配私有IPv4地址。

●面向网络侧，B4设备通过DHCPv6Option64字段获取到AFTR服务器域名，然后通过DNS解析到AFTR的网络地址，由此隧道建立成功。

（2）业务流量传输过程

在访问IPv4业务时，当解析到AFTR的IPv6地址的路由型网关在接收到一条IPv4到IPv4网络的连接请求后，会在这个IPv4报文头部前加上一个IPv6B4地址头部来用于网络层源地址，IPv6报文头部为网关通过DHCPv6拿到的WAN口地址，网络层的目的IPv6地址则为对端AFTR地址，这样这个报文就可以在IPv6网络中传输了。

用户访问IPv6业务时，则直接通过NativeIPv6网络实现。

2.2AFTR设备的物理形态可以是支持DS-Lite功能的独立式设备或是融合型嵌入式设备

（1）业务职责方面

AFTR设备主要是作为DS-Lite隧道的终结点，负责为下面的CPE下发DS-Lite的隧道地址，并维持该隧道的状态。同时，AFTR设备需要进行网络地址转换动作。

（2）业务流量传输过程

当AFTR设备接收到IPv4-in-IPv6报文后，会将原有IPv6报文头部剥离掉，此时这个报文就是当初IPv4用户端主机发送的IPv4请求报文，该请求报文的源IPv4地址为用户侧主机的IPv4地址，是路由型网关分配的私网IPv4地址，网关并没有对这个报文进行NAT转换，那就需要AFTR设备对这个私网IPv4地址进行地址转换，AFTR设备将私网IPv4地址转换成公网IPv4地址后发送到IPv4网络中。这样对端的IPv4网络站点就能正常地接收并处理这个报文，而且并不知道这个报文已经穿越IPv6环境的中间网络。

3.部署方案

3.1运营商基础网络架构

目前，国内的几大运营商的网络结构基本都很相似，主要包含核心路由、业务控制、宽带接入（含汇聚和接入）3个层面。根据业务需求，各层面分别部署核心路由器（CR）、业务路由器（SR）、宽带远程接入服务器（BRAS）、汇聚交换机、接入交换机、光线路终端（OLT）、光网络单元（ONU）等设备。

●在核心路由层，主要是高速转发来自城域网的各类进出流量，出口路由器用于连接IP骨干网，作为城域网的主要进出口设备。

●在业务控制层，主要实现对用户及流量的控制和管理。该层由SR及BRAS组成，并覆盖到主要汇聚节点，以提供更好的业务开放能力。

●在宽带接入层，主要用于用户的流量接入，包含了LAN、xDSL、GPON和EPON等广覆盖的接入设备，以实现最后一公里的接入。

3.2DS-Lite系统结构组成

B4和AFTR之间可以部署为IPv6单栈网络，也可以为双栈网络。

BRAS设备为城域网接入级设备，一般内置DHCPServer功能模块，作为Radius源配合AAA系统协同完成用户认证和地址分配任务。对于内嵌DHCPv6模块可为DS-LiteB4侧终端分配IPv6地址、Prefix、IPv6DNS地址等。

DNS服务器必须具备支持双栈协议的解析请求能力，支持A记录级AAAA记录，在DS-Lite系统中，接受B4侧发出的IPv6DNS解析请求。

AAA服务器负责用户认证、授权及计费等内容。记录和维护用户计费和账户等信息，AAA服务器可以采用双栈化Radius报文承载。

日志采集服务器为实现溯源目的的功能模块，通过SYSlog协议采集AFTR的NAT日志等信息。

3.3DS-Lite系统部署方案

结合以上介绍的运营商网络，根据DS-Lite隧道设备的部署位置有不同的部署方案，具体可分为分布式旁挂BRAS/SR设备、集中式旁挂CR设备两种部署方式。

这两种部署方式都具备部署方式简单、可控制性强、可靠性强的特点，不同的是AFTR设备的位置不同，分布式旁挂是通过将AFTR设备旁挂于SR或者BRAS设备，而集中式旁挂则是将AFTR设备旁挂于CR。

建议在部署初期AFTR以分布式部署为主，以业务片区为单元，在相应的BRAS/SR上旁挂AFTR设备；部署后期AFTR以集中式部署为主，以方便对AFTR设备进行集中管理。

4.业务流承载

4.1IPv4业务流承载

B4开启DHCPv4功能，为内部局域网终端分配私有IPv4地址，并发起PPP认证，运营商网络通过Radius服务器认证后，以DHCPv6协议下发用户IPv6地址，可通过静态配置或DHCPv6Option64、DNSv6方式通告AFTR设备位置信息（IPv6地址）。B4发起建立至AFTR的IPv4-in-IPv6隧道，封装出向IPv4数据流，数据包源地址为B4WAN接口IPv6地址，目的地址为AFTRLOOPBACK接口IPv6地址，并解封装目的地址为B4WAN接口IPv6地址的入向IPv6数据包。

AFTR设备建立至B4的IPv4-in-IPv6隧道并执行NAT功能，即实现解封装目的地址为AFTR自身IPv6地址的出向IPv6数据包，对内嵌IPv4数据包执行IPv4-IPv4NAT，并基于NAT会话表项对入向IPv4数据包执行IPv4NAT转换，然后封装并通过隧道传送至B4。由于用户IPv4地址由用户自行分配，不同用户IPv4地址可能会相同，为避免冲突，AFTR内部维护的NAT表项与普通IPv4NAT不同，增加B4的WAN接口IPv6地址以区分用户。

4.2IPv6业务流承载

AFTR和B4间对IPv6流量执行Native转发。

5.网络安全

IPv6网络不仅解决了IPv4地址量枯竭问题，还对IPv4协议栈中诸多不完善之处进行了较大的修正，其中显著的就是将IPSec（IPSecurity）集成到了协议栈中，从此IPSec将不再单独存在，而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分[3]。IPSec提供4种形式来保护共有或私有IP网络来传输的数据安全，即安全关联（SA）、IP认证头（AH）、IP封装安全载荷（ESP）、密钥管理（KeyManagement）。由此可以看出IPv6网络的优势，但对于部署DS-Lite的IP城域网安全角度而言，其网络安全问题关键单元在于AFTR设备，无论是独立式AFTR设备还是融合型AFTR设备，应当关注非法访问连接、最大并发会话数过载、设备可靠性等安全问题，出于整网安全角度出发，也是对AFTR设备提出了更高要求。

●对于访问连接安全方面，AFTR设备应具备一定的安全功能，如ACL（访问控制列表）用于检查隧道源地址是否属于非法/非认证地址。

●对于最大并发数过载方面，由于DS-Lite网络中大量IPv4私网地址复用。AFTR设备应可限制每个用户的连接会话数，已防止资源耗尽遭到DoS攻击。

●可靠性方面，AFTR设备应具备热插拔功能，提供关键部件冗余、故障板卡切换等能力，对于单机宕机时能够较快地恢复业务并支撑服务，也可适当在AFTR集群前提供负载均衡设备部署。

6.结束语

总之，IPv6是下一代互联网的发展起点，它能够在一定程度上解决目前IPv4互联网所存在的问题，从而使其成为IPv4向IPv6演进的重要推动力之一。目前，为了确保业务的持续发展，各大运营商都在加速推进IPv6，这是一个复杂的、长期的工作过程，需要加以重视。在这个过渡过程中，需要使用到不同的过渡技术解决不同场景下遇到的问题，而对于过渡技术则需要进行多方面的考虑，如适用场景的分析，地址格式的规约，控制、数据、安全层面等方面内容，这对DS-Lite隧道技术也是提出了更高的要求，需要在今后的工作中加以深入地研究。

参考文献：

[1]崔胜鹏.基于DS-Lite的IPv6过渡技术的设计与实现[D].西安电子科技大学,2013.

[2]周振勇.基于DS-lite的IP城域网向IPv6演进过渡方案研究[J].邮电设计技术,2013(2):5-9.

[3]周浩.基于GNS3的IPv6隧道技术配置与实现[J].佳木斯职业学院学报,2014(1):457-458.