IPv6过渡解决方案.ppt

IPv6过渡解决方案,IPv6过渡技术需求分析传统IPv6过渡技术热点IPv6过渡技术H3C行业IPv6解决方案H3C的IPv6产品规格H3C的IPv6实践应用,NATsnecessaryforIPv6,saysIETFchairHousleyholdsouthopethatNATswontbeintheInternetforever(NetworkWorld)22July,200809:28FortheInternettocontinuegrowing,thebiggeraddressspaceofferedbyIPv6isneeded.TheoriginaldesignersofIPv6expectedeveryhostandroutertobeginrunningbothIPv4andIPv6severalyearsago.Thisstrategywouldhaveresultedinagradualtransition,withallhostsandroutersbeingabletouseIPv6longbeforeIPv4addressallocationsbecameaproblem.However,theeconomicincentiveswerenotinplacetoencourageIPv6implementationanddeployment.Asaresult,weneedthecapabilitytotranslatebetweenIPv4andIPv6untileveryhostandroutersupportsIPv6.,IPv6过渡技术的重要性,理想与现实之间的差距：理想：设计不兼容；“双栈”平滑演进;实际：“双栈”非强制执行的技术标准；4/6转换技术必不可少；,在过渡到IPv6之前：首先要解决IPv4地址马上要枯竭的问题：目前，全球43亿IPv4地址只剩下2.5亿(6%)，并以每年2亿的速度锐减，预计在2011年底前耗尽。中国电信现有上亿规模的宽带和移动用户，但仅有7000余万的IPv4地址.,紧迫性,2010.06.30,2010.04.30,可用IPv4地址资源池的消耗速度正在加快。,消耗IP地址的三大类设备：终端规模；【TechSpot】报道，1月22日，全球网络监控服务公司平道姆（Pingdom）发布了一份2009年全球互联网活动情况报告。截至2009年9月，全球共有17.3亿互联网用户，比2008年增长了18%。CP/SP规模;【赛迪网讯】2010年1月26日消息，据国外媒体报道，瑞典互联网流量监测机构Pingdom近日公布的数据显示，截至2009年，全球网站数量已经达到2.34亿家，而.com域占8180万个。网络规模；按照每个终端用户1001000的比例收敛，Internet网络设备的规模在百万/千万的量级；,解决IPv4短缺问题如何着手,终端用户消耗了最大数量的IPv4地址，并且最不可控，是过渡技术关注的重点;,目录,IPv6过渡技术需求分析传统IPv6过渡技术热点IPv6过渡技术H3C行业IPv6解决方案H3C的IPv6产品规格H3C的IPv6实践应用,IPv6的部署阶段,IPv6孤岛,IPv6孤岛,IPv6孤岛,协议转换,IPv4Internet,IPv6的部署阶段可以大致分为三个阶段：IPv6发展初期阶段：IPv4占主导地位，IPv6以“孤岛”的形式存在，采用IPv6overIPv4隧道技术将IPv6孤岛互连。IPv6与IPv4共存阶段：IPv6规模扩大，出现IPv6骨干网络，IPv4的业务依然大量存在，IPv6与IPv4间的互访需要协议转换技术。IPv6占主导地位阶段：Internet的骨干全部为IPv6，IPv4成为“孤岛”，需要IPv4overIPv6隧道实现IPv4孤岛互连。,IPv6孤岛互联技术,采用隧道技术来完成互通IPv6报文作为IPv4的载荷，或由MPLS承载主要隧道技术包括：手工隧道GRE隧道自动隧道6to4隧道ISATAP隧道6PE,优点充分利用现有网络骨干网内部设备无须升级缺点额外的隧道配置效率降低,GRE隧道技术,GRE隧道技术IPv6报文被包含在GRE报文中作为GRE的载荷优点通用性好技术成熟，易于理解缺点维护复杂,IPv4报头,IPv6报头,IPv6有效数据,IPv4有效数据,GRE报头,GRE隧道技术的流程,发送方与接收方都是双栈设备隧道已预先建立好发送方封装报文，接收方解封装,IPv6孤岛,IPv6孤岛,IPv4网络,隧道,双栈,双栈,IPv6主机,IPv6主机,IPv6报头+数据,IPv6报头+数据,IPv6报头+数据,IPv4报头,,,源：目的：,GRE报头,手动隧道技术,手动隧道技术IPv6报文被包含在IPv4报文中作为IPv4的载荷同GRE隧道有类似的优缺点,IPv4报头,IPv6报头,IPv6有效数据,IPv4有效数据,自动隧道技术,自动隧道技术目的地址为IPv4兼容IPv6地址，包含的IPv4地址即为隧道末端IPv4兼容IPv6地址:0:0:0:0:0:0:a.b.c.d适用于不经常性的IPv6节点连接需求优点不需要为每条隧道预先配置维护方便缺点目的地址要求是IPv4兼容IPv6地址,自动隧道技术的流程,发送方与接收方都是双栈设备发送方在发送时根据目的地址建立隧道发送方封装报文，接收方解封装,6to4隧道技术,6to4隧道技术目的地址为6to4地址，包含的IPv4地址即为隧道末端6to4地址:2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx可通过6to4中继路由器，使6to4网点连接到大的纯IPv6网络优点不需要为每条隧道预先配置，维护方便缺点整个IPv6网点使用特殊的6to4地址,6to4地址,6to4隧道技术的流程,6to4网络,IPv4网络,隧道,6to4边缘,IPv6主机,IPv6主机,IPv6报头+数据,IPv6报头+数据,IPv6报头+数据,IPv4报头,6to4网络,6to4边缘,2002:0901:0203:/48,,,2002:8001:0203:/48,纯IPv6网络,6to4中继,3FFE:ABCD:/48,,源：目的：,同自动隧道技术类似6to4中继通往纯IPv6网络的网关,ISATAP隧道技术,ISATAP隧道技术连接IPv4网点内部的IPv6主机和IPv4/IPv6双栈路由器将IPv4网点作为一个NBMA链路，在IPv4报文中封装IPv6报文优点IPv4网点内部的IPv6主机可自动获得IPv6前缀,IPv6网络,IPv4网络,双栈,v4/v6主机,IPv6主机,IPv4地址：IPv6地址：1:5EFE:,ND协议可跨网段进行,IPv4地址：IPv6地址：1:5EFE:,6PE/6VPE,通过IPv4或MPLS网络连接多个IPv6孤岛，使用BGP交换IPv6可达信息6PE中，IPv6网络可被看作类似IPv4VPN的一个网络，多个IPv6孤岛属于同一VPN；6VPE中，多个IPv6网络可以划分到不同IPv6VPN中。利用VPN机制在PE之间建立隧道连接,可以充分利用已有MPLS或VPN网络在BGP进行路由交换时，6VPE比6PE多了VPN标记。,MPLS/IPv4网络,IPv4VPN,纯IPv6网络,IPv6VPN,IPv6VPN,IPv6,IPv4VPN,IPv6,NAT-PT原理,NAT-PT的工作原理类似于传统NAT，但是将IPv6地址和IPv4地址互相转换，另加上协议转换通过中间的NAT-PT协议转换服务器，实现纯IPv6节点和纯IPv4节点间的互通NAT-PT服务器分配IPv4地址来标识IPv6主机NAT-PT服务器向相邻IPv6网络宣告96位地址前缀信息，用于标识IPv4主机优点只需设置NAT-PT服务器缺点资源消耗较大，服务器负载重，NAT-PT设备是性能瓶颈,NAT-PT种类,静态NAT-PTNAT-PT服务器提供一对一的IPv6地址和IPv4地址的映射配置复杂，使用大量的IPv4地址动态NAT-PTNAT-PT服务器提供多对一的IPv6地址和IPv4地址的映射采用上层协议复用的方法NAT-PTDNSALG动态NAT-PT与DNSALG联合使用，转换DNS请求可利用原有的DNS服务器,静态NAT-PT转换过程,IPv6网络,IPv6主机,IPv4主机,IPv4网络,映射地址：=1:12:2=,IPv6报头+数据,IPv4报头+数据,1:1,,NAT-PT转换服务器,源：1:1目的：2:2,源：目的：,源：目的：,源：2:2目的：1:1,动态NAT-PT转换过程,IPv6网络,IPv6主机,IPv4主机,IPv4网络,IPv4地址池-,映射地址：1:1==prefix:,IPv6报头+数据,IPv4报头+数据,1:1,,NAT-PT转换服务器,源：1:1目的：prefix:,源：目的：,源：目的：,源：prefix:目的：1:1,NAT-PTDNSALG转换过程,IPv6网络,IPv6主机,IPv4主机,IPv4网络,IPv4地址池-,映射地址：1:1==prefix:=prefix:,Pc1:1:1,Pc2:,NAT-PT转换服务器,源：1:1目的：prefix:,源：目的：,源：目的：,源：prefix:目的：1:1,IPv4DNSServer,,源：1:1目的：prefix:WhosPc2(typeAAAA),源：目的：WhosPc2(typeA),源：目的：Pc2is(typeA),源：prefix:目的：1:1Pc2isprefix:(typeAAAA),目录,IPv6过渡技术需求分析传统IPv6过渡技术热点IPv6过渡技术H3C行业IPv6解决方案H3C的IPv6产品规格H3C的IPv6实践应用,过渡技术汇总,转换技术分析NAT444,优点：临时解决IPv4短缺问题；缺点：运营商网络IPv4地址规划，IPv4路由昏乱，不好管理；对运营商来说，无法过渡到IPv6；,X424类技术,转换技术分析有状态AFT(NAT64),优点：缺点：有状态连接，NAT64网关需要保留6、4地址池以及映射关系;其它技术：NAT-PT,X624类技术,IVI技术背景,IVI使用实现了IVI功能的IVI路由器连接IPv4与IPv6网络，并在IVI路由器上进行IPv4与IPv6数据包的对译，以实现互访，同时又不对原IPv4和IPv6网络造成影响。在IVI路由器上实现的IVI功能主要有两个：一个是地址映射，即通过统一的规则实现IPv4地址与IPv6地址的一一映射，以进行地址的翻译；另一个是协议翻译，即根据标准规定，实现IPv4/ICMPv4协议和IPv6/ICMPv6协议各字段的对译，同时更新TCP/UDP协议的相关字段，完成完整的数据包翻译操作。,IVI的初衷是解决IPv4孤岛通过IPv6骨干网的互联问题；,IVI地址映射,根据IPv6地址的分配办法，绝大部分服务提供商均有大于或等于/32的IPv6地址前缀，IVI机制即以该/32地址前缀作为翻译过程中的地址前缀。3239的8个bit为全1。4072为32位IPv4地址的1：1映射；72127全零；,转换技术分析无状态AFT(IVI),优点：X64网关无状态，不用保留地址映射关系，规模容易扩展；缺点：对IPv6的主机有严格的地址规划要求，要求内嵌公网IP地址，无法解决IPv4地址短缺的问题。,X624类技术,1:NIVI技术,优点：与1:1的IVI技术相比，能达到节省IPv4地址的目的；缺点：IPv6主机地址规划比较复杂;非IVIIPv6主机还需要在接入侧部署第二个IVI网关（dIVI）;1：NXLATE网关没有映射池，但还要进行4/6协议转换;,主机通过A+P地址池共享同一个公网IP地址,dIVI转换网关,IVI技术总结,1、IVI技术核心内容较少，主要就是地址映射规则的定义；2、IVI并不能独立组网：协议翻译部分遵从SIIT；没有解决ALG问题，在部署时仍然需要ALG；3、IVI地址浪费严重：实际上只有前32位可以给IPv6网络使用。32位是从APNIC申请的，其它8位运营商是全F，IVI地址后面全部为0，地址空间浪费严重;4、在X624地址转换中的缺陷：1：1的IVI技术，能做到无状态，但需预先规划IPv6地址，管理工作量大；1：N的IVI技术，需要在IPv6接入侧再增加一个针对IPv6地址的转换网关，是有状态的，丧失了优势；,DS-Lite组网技术,CPE,CPE,CPE,N-PE,IPv6接入网,IPv4Internet,IPv6Internet,IPv4overIPv6tunnel,IPv6主机,IPv4主机,解隧道封装后N-PE对私网报文做NAPT转换，转成公网IPv4,私网IPv4报文封装进入IPv6隧道,X464类技术,先基于NAPT,将公网IPv4转化为私网IPv4，再将报文转发至CPE的隧道,解除IPv6隧道，报文转发至用户,如何节约IPv4？IPv4主机采用私网IP地址规划；接入网采用IPv6，网络设备不需要跑双栈;N-PE设备下所有的C-PE可以共享同一个NAPT地址池;,NAPTTunnel,Tunnel,DS-Lite(A+P),X464类技术,区别：把N-PE上做的NAPT转换功能分散到下面各个CPE设备上;本方案相比DS-Lite的优点：N-PE设备无状态，负担轻，容易实现高性能；方便做备份与负载分担；,下行IPv4流量基于Address+Port的策略路由进入IPv6隧道,对私网IPv4做NATPT转为公网IPv4地址后再入IPv6隧道,CPE,CPE,CPE,N-PE,IPv6接入网,IPv4Internet,IPv6Internet,IPv4overIPv6tunnel,IPv6主机,IPv4主机,解除IPv6隧道，做NAPT,把公网IPv4转为私网IPv4,上行流量直接转往公网,Tunnel,NAPTTunnel,DNS/DHCPServer,NPE,1.CPE上电，从NPE获取设备WAN口IPv6地址，以及用于IPv4地址转换的公网IPv4A+P地址池;NPE同时创建一条基于IPv4A+P地址策略的4over6隧道到CPE设备,IPv4Host,私网IPv4,IPv6TUNNEL,IPv4公网,IPv4主机访问IPv4应用:DS-Lite(A+P),X464转换场景,PE-AGG,CPE,IPv6城域网,IPv4Internet,2.Host完成DNS解析（DNS可任意部署，过程忽略），向CPE发送一个IPv4报文,3.CPE首先进行NAPT转化；把Host的私网IPv4地址与端口号修改为A+P地址池中的数值,并保留映射关系;CPE把报文封装进入IPv6隧道，并发送至NPE,4.NPE剥掉IPv6隧道，将报文转发至IPv4Internet,5.IPv4应用的回应报文,6.NPE基于A+P的策略进行策略路由，进IPv6隧道,7.CPE剥掉IPv6隧道，根据映射表，对IPv4进行A+P地址转换,DS-Lite(A+P)如何减少连接状态,CPEA,CPEB,CPEC,N-PE,IPv6接入网,IPv4Internet,IPv6Internet,IPv4主机,IPv4主机,N-PE对下行流量需要维护的表项（可事先创建）：ACL1:ifsourceIP=0AND0=port=255;ForwardIPv4toIPv6tunneltoCPEAACL2:ifsourceIP=0AND256=port=511;ForwardIPv4toIPv6tunneltoCPEBACL3:ifsourceIP=0AND512=port=767;ForwardIPv4toIPv6tunneltoCPEC,CPEANAPT地址池：IPv4：0Port范围（0255）,CPEBNAPT地址池：IPv4：0Port范围（256511）,CPECNAPT地址池：IPv4：0Port范围（512767）,N-PE入tunnel的表项根据CPE设备来建立，N-PE不需要像NAPT设备那样为每个Host发起的连接建立连接状态表：无状态好处：设备冗余保护与负载分担容易实现；可实现高性能处理;不容易遭到针对状态连接的攻击，安全性较高;,运营商过渡技术总结,过渡技术必不可少；传统过渡技术分类：双栈、孤岛互联、转换；热点过渡技术：好的过渡技术要结合运营商实际业务场景，综合考虑过渡技术；目前为止，没有一种过渡技术解决所有问题，运营商也在抓紧试点；DS-Lite，IVI，NAT444,NAT64等被关注；,目录,IPv6过渡技术需求分析运营商IPv6过渡技术介绍H3C运营商IPv6解决方案H3C行业IPv6解决方案H3C的IPv6产品规格H3C的IPv6实践应用,IPv6网络升级建议,预先计划，逐步升级,数据中心IPv6建设方案,数据中心虚拟化,数据中心存储与灾备,数据中心应用优化,数据中心高可用,数据中心运维管理,前端网络,后端网络,核心交换机,Firewall,IPS,汇聚交换机,接入交换机,WAN优化,防毒卡,应用优化,安全,管理,网管监控,日志分析,磁盘阵列,存储,应用优化,网络,虚拟化平台,数据中心安全,核心层设备升级为双栈，IPv4/IPv6服务器/双栈服务器分区部署采用IRF技术整合核心层和接入层设备，提高网络的可靠性使用IPS/FW/LB板卡提高安全性，通过安全虚拟化特性控制业务支持自动部署和配置，服务器即连即用,H3C数据中心解决方案,双栈数据中心建设,H3CS12500双栈数据中心核心交换机,园区网IPv6建设方案,H3C虚拟园区网解决方案,网络用户侧采用双栈建设网络承载层从接入层，汇聚层到核心层采用IRF技术横向整合采用MPLSVPN及6VPE技术纵向隔离，实现网络路径虚拟化业务终端准入认证，智能联动安全管理用户、资源、业务统一管理,园区网IPv6建设方案,双栈核心交换机,CERNET,CERNET2,双栈汇聚交换机,接入层交换机,IPv4服务器区,NAT-PT,IPv6服务器区,IPv6服务器一般用于纯IPv6用户或双栈用户访问可以不部署NAT-PT,双栈出口路由器,双栈用户进行接入从出口/核心/汇聚满足用户接入要求,无线用户通过无线控制器接入IPv6,汇聚层交换机上通过扩展无线控制器插卡接入无线用户,汇聚层交换机上扩展防火墙插卡提升园区网安全水平,广域网IPv6建设方案,面向业务的网络精细化QoSHQoS、TE、VOQ,使用双栈、NAT以及隧道等技术实现IPv4和IPv6网点的互联互通运营级IPv4地址转换技术，有效减少IPv4公网地址的使用,目录,IPv6过渡技术需求分析运营商IPv6过渡技术介绍H3C运营商IPv6解决方案H3C行业IPv6解决方案H3C的IPv6产品规格H3C的IPv6实践应用,H3C的IPv6技术发展,MSR系列路由器获得信产部IPv6入网证,S9500通过IPv6PhaseII认证,MSR系列、S7500E通过IPv6PhaseII认证S5500/S5510/S3610通过IPv6PhaseII认证,开始ComwareV5IPv6软件平台开发,发布ComwareV5IPv6软件平台,30余个高校陆续开通IPv6,S9500获得信产部IPv6入网证MSRIPv6路由器发布,S7500E获得信产部IPv6入网证,全系列网络产品通过Tolly测试,CERNET2驻地网S7500E成功部署,2003.11,2006.6,2006.7,2006.9,2006.11,2007.1,2007.3,