IPv6驻地网建设方案研究

知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水 坝 IPv6 驻地网建设方案研究 王迎春，高光平，曾 睿 （中国联通有限公司北京分公司 北京 100038） 摘 要 本文通过对 IPv6 驻地网建设进行技术分析，结合具体的驻地网节点情况，得出了一套 IPv6 驻地网建设的方案。方案既不影响现有的 IPv4 网络业务，又可满足驻地网节点对 IPv6 网络业务的需求，同时还可使 IPv4 用户平滑升级到 IPv6 网络上，实现了驻地网吸纳业务和网络增值的作用。 关键词 CNGI； IPv6；驻地网；建设方案；组播业务 1 概述 为了应对当前互联网面临的各种挑战，给下一代网络服务 提供具有更高性能、更高质量、更加可靠、安全、经济与开放的平台，国家发展与改革委员会（简称“国家发改委”）提出了建设“中国下一代互联网 CNGI 示范网络”的发展战略。驻地网（ CPN）作为连接用户终端与 CNGI 主干接入节点之间的网络，是 CNGI 网络的有机组成部分。只有制定好科学合理的驻地网建设方案，在各个企业及住宅小区内部建好驻地网，才能使用户真正享受到下一代网络所提供的丰富业务， CNGI 的各种业务才能得到顺利开展和实施。 虽然目前 IPv6 网络暂时不能为运营商带来直接收入，但是作为通信运营企业，积极开展 IPv6 驻 地网的建设和试验首先是履行推动国家信息化发展的企业社会责任；其次，能够为企业和社会培养锻炼一批熟悉掌握 IPv6 的技术人才队伍；再次，可以从网络运营的角度探索互联网从 IPv4 向 IPv6 平滑演进的策略；最后，还能与驻地网建设单位共同试验众多的新兴业务。 2 建设模式与原则 鉴于目前 IPv6 的业务应用相对较少，而以 IPv4 的业务应用为主，因而纯 IPv6 驻地网与 IPv4 网络的互联互通将付出较大的成本，而且网络协议的转换点可能成为网络的性能瓶颈，所以采取 IPv4/IPv6 双栈的驻地网更加符合现状需求。 IPv6 驻地网 的建设可采用“ IPv4 可运营、 IPv6 可试验”的原则，既通过 IPv4 保证用户的业务体验，原有业务不受影响，又保证 IPv6 可试验，未来实现 IPv6 的可运营，并且可以让 IPv4 平滑地过渡到 IPv6。 3 建设方案分析 3.1 项目背景 北京联通积极参与了 CNGI 核心网的建设，并得到国家发改委的批复建设 4 个 IPv6 驻地网。驻地网建设工程将 1 000 数量级的实际用户接入到北京联通已建成的 CNGI核心网中，进行 IPv6 的各项网络功能测试、性能指标测试、各种互通性测试和新业务部署试验。本次建设的 4 个驻地网节点的具体情况 如表 1 所示。 3.2 驻地网建设方案分析 具体的驻地网建设方案需要结合上述节点的实际环境和业务需求，下面着重从以下 4个方面进行分析：拓扑结构、 IPv6 地址规划、路由规划、安全性等。 .2.1 拓扑结构 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水 坝 驻地网可选用双栈或者隧道的方式实现同一驻地网内部的 IPv4/IPv6 用户顺利访问IPv4/IPv6 网络。 （ 1） 方式一：“双链路 +双栈”组网方式 其组网方式见图 1。 驻地网路由器双链路分别上联到 IPv4 和 IPv6 两张网络上，同时开启 IPv4/IPv6 双栈，对 IPv4 用户和 IPv6 用户的流量通过不同物理 端口转发。 （ 2） 方式二：“单链路 +隧道”组网方式 其组网方式见图 2。 通过新增 IPv4 与 IPv6 核心网之间的链路，并在驻地网路由器上设置 IPv6-in-IPv4 类或者 IPv4-in-IPv6 类的隧道，以保证 IPv6 用户的网络流量通过 IPv4 网络透传到 CNGI 网络，或者 IPv4 用户的网络流量通过 IPv6 透传到 IPv4 网络，实现原有用户正常上网。 两种不同组网方式的技术对比如表 2 所示。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水 坝 基于表 2 所述原因优选“双链路 +双栈”拓扑结构作为最终拓扑结构。 3.2.2 IPv6 地址规划 IP地址规划主要涉及 到网络资源的有效利用，属于网络管理的问题。 IPv6地址有 128 bit，其中可供分配为网络前缀的空间有 64 bit，按照 RFC35131， IPv6 地址分为全球可路由前缀和子网 ID 两部分，协议并没有明确地规定全球可路由前缀和子网 ID 各自占的比特数。 根据 4 个驻地网的建设规模，充分考虑设备 loopback 地址、设备互联地址和用户业务地址 3 类地址需求，分配原则如下： 全网 IPv6 地址保证惟一性和可聚合性，同时对部分地址段提前规划预留； 每台设备分配一个 /64 的地址空间，使用 /126 的地址作为设备 loopback 地址； 专门分配一个 /64 的地址空间作为设备互联地址空间，使用 /126 的地址段作为互联端口地址段； 每个 VLAN 用户分配一个 /64 的地址段，用户地址分配时，保证地址连续性和可聚合性。 IPv6 地址可以采取两种方案获取： 由中国联通 CNGI 的地址段中分配获得； 向 CNNIC 或者 APNIC 新申请地址。 由于采用第一种方法不需要额外付费，分配速度快，成功率高，也便于延续 CNGI 核心网的 IPv6 地址分配策略，故选用第一种方案。 3.2.3 路由规划 根据驻地网建设规模及网络内部的结构，合理 地选择驻地网的路由协议，原则如下。 对于规模较小，用户数量较少，内部网络结构相对简单的驻地网，采用静态路由。 对于规模较大，用户数量较多，内部网络结构相对复杂的驻地网，采用动态路由协议。既可选用 IS-IS 也可选用 OSPF，这两种协议均属于链路状态路由协议，网络建设复杂度基本相当，并均已获得较为广泛的应用。 但由于以下原因，选用 IS-IS 作为域内路由协议。 目前 CNGI 核心网已采用 IS-IS 协议作为域内路由协议。 IS-IS 具有很好的分层分域能力，可扩展性强，利于以后的扩容。 IS-IS wide metric 功能将端口 Metric cost 的支持由原来的最大 6 bit 扩展到 24 bit，端到端的 Metric 由原来的最大 10 bit 增加到 32 bit，增强了路由调整和优化的粒度。 OSPF 有很多类型的 LSA，比较复杂并占用资源，而 IS-IS 的 LSP 要少很多，所以在处理路由更新等方面， IS-IS 对资源的占用更少。 IS-IS 的快速收敛技术和更细粒度的定时器可以提高收敛速度。 OSPF 数据格式不容易扩展，而 IS-IS 可以很容易地通过增加 TLV 进行扩展，包括对 IPv6 等的支持。 IS-IS 在一个层次内应用 SPF 计算有效路由，而 OSPF 只能在一个区域内用 SPF 计算有效路由， IS-IS 的路由计算更加准确。 知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水 坝 OSPF 协议是基于 IP 层的，所以只能支持 IP 网络，且网络上一些基于 IP 的攻击会影响到 OSPF 的正常运行。 IS-IS 是直接运行在链路层上的，可以承载多种网络类型，且在预防网络攻击方面也有一些天然的优势。 综上所述，最终选择在 CNGI 4 个驻地网节点均部署 IS-ISv6 协议，并且从未来网络规模不断发展的角度考虑，为便于网络演进和扩展，驻地网路由器启用的 IS-IS 路由协议也运行在 L2 上 。另外，驻地网与核心网处于同一自治域中，驻地网路由器不需要启用域间路由协议。 3.2.4 安全性 网络安全大体上分为两个层次：网络层面安全和业务层面安全。网络层面安全主要侧重网络数据的安全传送、网络资源的合法使用；后者主要侧重网络业务的合法授权、使用和监管。 （ 1） 网络层面安全措施 网络结构：全网从骨干拓扑结构到连接链路均应考虑路由的备份，采用分层的拓扑结构，支持动态迂回路由。大型驻地网节点设备与核心节点设备之间通过动态路由协议保证网络可达，通过流量工程合理规划流量，通过快速重路由保证连续转发。 网络设备 ：城域网核心节点设备的主控板、交换网板、时钟板、电源等部件都具有冗余配置能力，线路板支持在线热插拔而不会丢失数据，能够保证设备的不间断运行。 安全设备：通过部署防火墙、 IDS、漏洞扫描器等安全设备，实时监控网络运行状况，查询分析网络安全隐患和漏洞，并对网络攻击实施堵截。 （ 2） 业务层面安全措施 安全管理：关键数据采用身份认证与授权，通过访问权限限制，加密保存，加密传输，同时网络和系统中各种重要数据进行及时有效的备份。此外，与用户共同制定完善的管理规范，通过良好的手段达到防微杜渐的目的。 应用系统： 可采用 HA（高可用）技术来达到计费系统及用户数据库系统应用的相互切换及备份。同时利用数据库服务器外接的磁带机备份文件系统、数据库、网管信息。 除此之外， IPv6 的部分功能对驻地网节点设备来说不是完全必要的，如果被恶意攻击者利用，会增加网络的危险，因此在实际建网时可考虑关闭部分功能，举例如下。 （ 1） IPv6 路由选项头 2开关 在 IP 路由技术中，通常一个 IP 报文总是沿着网络中的每个路由器所选择的路径转发分组。 IPv6 协议中提供了路由选项头（ routing header），它的含义是允许源站明确指定一条从源 到目的地的路由，覆盖掉中间路由器的路由选择。路由选项头可用于指定网络路径的故障诊断和某种特殊业务的临时传送。此功能可能被恶意攻击者利用于刺探网络结构，或者绕过网络安全设备 3等。 （ 2） 重定向开关 网络设备向同一个子网的主机发送 ICMP 重定向报文，请求主机改变路由。一般情况下，设备仅向主机而不向其他设备发送 ICMP 重定向报文。此功能可能被恶意攻击者用于干扰某网内主机的正常 IP 报文转发。 （ 3） 定向广播报文转发开关 恶意攻击者可以伪造 IPv6 报文，以受害者的 IPv6 地址作为源地址，以特定的 IPv6 多播地 址（例如 DHCP 服务器多播地址 FF05 3）作为目的地址，发起 Smurf 攻击。因此为了防止攻击发生，建议在接口上进行配置，禁止目的地址为子网多播地址的报文从该接口转发。 （ 4） 限制 ICMP 协议报文的转发 ICMP 协议允许网络设备中间节点（路由器）向其他设备节点和主机发送差错或控制报文，主机也可用 ICMP 协议与网络设备或另一台主机通信。很多常见的网络攻击均利用了知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水 坝 ICMP 协议的功能。对 ICMPv6 协议的防护比较复杂，易实施的方法包括限制 ICMPv6 错误报文的最大速率、慎重处理来自用户网段的 ICMPv6 报文等方 法 3。 4 驻地网建设方案的应用 4.1 组网方案 根据 3 的分析结论，北京联通 CNGI 驻地网工程最终选用了如下的建设方案（如图 3所示）。 其中接入路由器作为驻地网出局设备，下挂 IPv6/IPv4 混合组网用户，之间通过物理接口实施隔离，同时路由器双上联到 CNGI 骨干网和北京联通 165 网络上，根据下端的端口情况实施分流。 IPv6 的实验网用户访问 CNGI 网络时，原有的办公网络或企业大客户业务网络不受影响，保持原有的行为状态不变，这种组网情况下能够保持现网状态，同时达到进行IPv6 试点的能力，很好地结合现 网情况开展 IPv6 试验。 同时考虑到网络的扩展能力，原有 IPv4 用户可以平滑升级到 IPv6 网络上，而上端仅需在出口实施一定的策略来完成 IPv6 的改造能力。这种情况下可以继续发展现有的大客户业务，在进行 IPv6 试点的同时继续利用驻地网的附加能力，达到网络增值的目的。 loopback 地址、互联地址以及业务地址均从中国联通已经获得的 IPv6 地址空间 20010E88 /32 中获取。 4 个驻地网路由器与上联的 CNGI 核心网路由器以及 IPv4 网络中的路由器之间运行 IS-ISv6 动态路由协议， CNGI 核心网和驻地网路由 器的 IS-IS 路由协议均工作在L2 上。 本期工程考虑到驻地网网络位置相对较低，目前又处于试验阶段，所以在网络建设过程中没有城域网结构的情况下暂时将 DNS 部署在省核心层，即采用 CNGI 统一的 DNS 服务器部署。 4.2 业务部署方案 另外，在 CNGI 网内部署了多种支持 IPv6 的业务应用服务器，比如 Web 服务器、 FTP服务器、 E-mail 服务器、组播服务器等。由于目前用户访问量相对不大，业务流量相对较小，大部分服务器采取在省核心层集中放置的部署方式，可以满足驻地网用户的基本需求。此外，在 CNGI 省核心层与 165 网 省网之间放置了 NAT-PT，能够满足部分 IPv4 用户和 IPv6 用户分别对 IPv6 资源和 IPv4 资源的访问需求，以及 IPv4 用户和 IPv6 用户之间的互通需求。 针对驻地网节点的业务需求，还量身定制了多套技术方案，能够提供移动 IP 业务、组播业务、 VPN 业务、 Web 业务、 FTP 业务、 E-mail 业务等。下面以组播业务为例，介绍此业务的部署方案。 CNGI 驻地网在同一个自治系统内，在开通组播业务时启用域内协议。目前， PIM-SM 协知识水坝（豆丁网 pologoogle）为您倾心整理（下载后双击删除） 百度一下 知识水 坝 议是域内组播的公认标准。对于由一个自治域组成的网络，或者组播仅在域内进行时，仅需在网 络中运行 PIM-SM 协议即可。为了增强 PIM-SM 中 RP 节点的可靠性，及对网络中的组播流量进行分担，需要选取驻地网核心路由器作为 RP 来分发组播流量，可选取核心路由器作为 RP。其网络协议部署如图 4 所示。 在用户侧的不同终端用户根据自身的地址栈向上访问本协议栈的网络，在驻地网核心层出口设备与上联设备之间运行 PIM-SM 协议即可，但需要上端设备完成组播控制信息的推送，即 CNGI 需要运行 PIM 协议，向下采用纯二层网络，采用组播 VLAN 的方式向下进行复制，既可以选择路由器设备作为组播复制和控制点，也可 以选择接入交换机作为组播复制和控制点。 由于本工程选用的接入交换机支持 IPv6 且支持 IGMPv6，因此为提高网络的整体性能，分散对组播流量的处理开销，采用在接入交换机上进行组播复制