MDCN网络IPv6测试报告.docx

MDCN网络IPv6测试报告2011年11月目 录1试验概况32试验组织32.1试验组织管理原则32.2试验分组及人员构成33试验方案33.1试验测试组网33.2试验内容34试验数据分析35试验结论36试验问题及分析37试验输出标准和专利情况38其他31 试验概况IPv6是下一代互联网的核心技术，IPv4地址资源将分配完毕，运营商网络必然向IPv6演进，地址资源问题将导致运营商的网络从基础网络层面发生重大变革，除城域网和骨干网要向IPv6演进外，承载支撑业务系统的MDCN网络将首先受到影响，由于IPv6的演进技术标准还不成熟，更缺乏运营规范，吉林移动计划通过这次新技术实验，验证IPv6相关基础协议的基本组网特性，通过验证IPv6的相关VPN、安全和固定和移动终端接入方案，发现现行技术方案中的缺陷，实现技术、规范和标准的创新。本次新技术实验基于吉林移动MDCN支撑网技术先进、业务轻载、业务多样的特点，基于MDCN现网进行IPv4/IPv6双栈升级综合实验，全面验证IPv6基础组网协议、6PE/6VPE隧道技术、IPv6固定和WLAN接入认证、IPv6防火墙网络安全防范等新技术，不仅验证MDCN双栈升级能力，探索MDCN升级和运维技术规范，还为中国移动网络向IPv6迁移积累经验、培养人才。2 试验组织2.1 试验组织管理原则从易到难，把握节奏，有序2.2 试验分组及人员构成吉林移动齐心跃测试总负责人吉林移动李红明、薛冰IPv6安全特性测试华为刘伟、熊良彪现网业务技术支持及风险避免华为祝汉雨测试方案设计及测试华为刘磊华为资源协调华为甘立国、张琦测试方案技术保障3 试验方案3.1 试验测试组网本次实验设计吉林移动MDCN网全网设备，MDCN拓扑图如下：另外需要配合测试的设备列表如下：华为S93032现网设备，需要提供支持IPv6的版本华为E1000E-X2新增防火墙，需要支持IPv6的版本华为ME60 AC2新增WIFI AC，需要支持IPv6的版本华为S39281新增交换机，用于PC、服务器接入华为W603SN1新增WIFI AP，用于验证WIFI 接入3.2 试验内容1. IPv6地址有效性2. 静态IPv6路由有效性3. OSPFv3路由协议有效性4. ISISv6路由协议有效性5. BGP4+路由协议有效性6. MP-BGP IPv6 VPN协议有效性7. 6over4手动隧道有效性8. 6to4自动隧道有效性9. 6PE隧道有效性10. 策略路由有效性11. PPPoE双栈接入有效性12. DHCP双栈接入有效性13. L2TP双栈接入有效性14. WLAN双栈接入有效性15. 双RR、双PE有效性16. MDCN全网部署IPv6有效性17. IPv6安全功能有效性18. IPv6默认包过滤19. IPv6域间ACL6包过滤20. NATPT静态映射时IPv6和IPv4协议互转21. NATPT动态映射时IPv6和IPv4协议互转22. NATPT转换时ACLv6包过滤23. NATPT对DNS IPv6 AAAA报文和DNS IPv4 A报文互转24. 防火墙生成CGA地址并对ND报文进行安全验证25. 防火墙IPV6静态路由 26. 防火墙能通过OSPFv3协议正确发布路由27. 防火墙能通过BGP4+协议正确发布路由28. 防火墙能通过IS-IS IPV6协议正确发布路由4 试验数据分析5 试验结论本次吉林移动IPv6测试第一阶段和第二阶段测试主要测试了IPv6的各种动态路由协议及其路由属性、各种过渡技术和各种形态的用户上线接入。通过本次测试的数据分析，得出以下结论：1、 吉林移动MDCN网支持由IPv4向IPv6平滑过渡。吉林移动MDCN网支持IPv4和IPv6双栈技术，可以很好的支持IPv6的各种协议应用，包括静态IPv6路由、OSPFv3路由协议、ISISv6路由协议、BGP4+路由协议、6PE、6VPE、IPv6路由策略、IPv6策略路由、双PE接入、双RR特性以及各种形态的用户上线接入。2、 吉林移动MDCN网向IPv6过渡方案。MDCN网所有P和PE均升级到最新版本以支持IPv4和IPv6双栈特性，并在所有P和PE设备上部署双栈。保持MDCN网现网IPv4配置，保证IPv4业务正常。P和PE设备使能IS-IS对IPv6的支持，配置为多拓扑，使用IS-ISv6路由协议传递IPv6路由，保证全网IPv6路由互通。PE和CE之间运行OSPFv3路由协议传递IPv6路由，PE向CE下发IPv6缺省路由。MDCN全网部署BGP4+和6VPE，使用BGP4+传递公网IPv6业务，使用6VPE传递VPNv6业务。枢纽楼和苏北的P设备兼做RR并配置undo policy vpn-target接收所有VPN实例路由。所有PE均和两台RR建立IBGP IPv6 Peer和IBGP VPNv6 peer，并引入OSPFv3路由，通过BGP4+和6VPE和其他PE交换IPv6业务路由。BGP4+和6VPE继承了BGP丰富的路由属性和强大的路由策略，可以根据后期业务需要进行灵活部署。3、 本次吉林移动IPv6安全测试主要测试了防火墙基于IPV6的基本业务转发及安全特性、静态动态路由，NAT-PT V4-V6的IP地址转换以及即时通讯软件，FTP等常规移动业务。吉林移动安全产品防火墙支持由IPv4向IPv6平滑过渡。吉林移动防火墙安全解决方案支持整网IPv6，IPV6网络访问IPV4网络，IPV4网络访问IPV6网络，通过ACL包过滤，ALG等功能实现不同IP网络彼此业务通讯，同时可以很好的支持IPv6的各种协议应用，包括静态IPv6路由、OSPFv3路由协议、ISISv6路由协议、BGP4+路由协议、IPv6路由策略等各种形态的用户上线接入。6 试验问题及分析6.1 Ospfv3协议不支持安全认证OSPFv3路由协议使用了与OSPFv2路由协议相同的实现机制，但是不兼容OSPFv2。OSPFv3主要提供了IPv6的支持，遵循的标准为RFC2740。OSPFv3协议自身不再提供认证功能，而是通过使用IPv6报文头提供的安全机制来保证自身报文的合法性。所以，OSPFv2报文中的认证字段，在OSPFv3报文头中被取消。在网络中，需要保障路由传递的安全性和可靠性，下面提供一种华为设备的OSPFv3安全认证的配置方案。BRAS1和BRAS3均通过Eth-Trunk2.174端口建立OSPFv3邻居关系，分别测试了正常情况下、string-key inbound和outbound不匹配的情况下peer的建立情况。6.2 ISIS路由协议双栈拓扑IS-IS最初是国际标准化组织ISO（the International Organization for Standardization）为它的无连接网络协议CLNP（ConnectionLess Network Protocol）设计的一种动态路由协议。为了提供对IP的路由支持，IETF在RFC1195中对IS-IS进行了扩充和修改，使它能够同时应用在TCP/IP和OSI环境中，称为集成化IS-IS（Integrated IS-IS或Dual IS-IS）。IS-IS采用了TLV三元组编码，可扩展性好，便于支持新特性。IS-IS对IPv6特性的支持就是通过增加TLV类型实现。IS-IS对IPv6的实现存在如下限制：在SPF计算中，IPv4和IPv6的混合拓扑被看成是一个集成的拓扑，这就要求所有的IPv6和IPv4的拓扑信息必须一致。但是，IPv4和IPv6协议在网络中的部署可能不一致，所以IPv6和IPv4的拓扑信息可能不同。如果在一个集成拓扑中进行SPF计算，选用同样的最短路径转发报文，就会导致不支持IPv6的ME设备收到IPv6报文时因无法转发而将其丢弃。多拓扑MT（Multi-Topology）用来解决上述问题。IS-IS MT是指在一个IS-IS域内运行多个独立的IP拓扑，例如IPv4和IPv6拓扑，不同拓扑运行各自的SPF计算。这有利于在路由计算中根据实际组网情况来单独考虑IPv4和IPv6网络，实现网络的相互屏蔽。这会多占用部分内存资源，但是考虑到IS-IS路由数量不会太大，这个问题几乎可以忽略。在实际部署中建议使用多拓扑，以避免IPv6计算路由错误。需要注意的是，全网设备部署IS-IS时必须保持选择的拓扑一致，既如果选择集成拓扑就全网都配置成集成拓扑，如果选择多拓扑就全网部署成多拓扑。否则可能会造成IPv6路由计算错误。6.3 6over4隧道不支持MPLS网络6over4隧道是过渡技术中比较古老的方案，不能适应复杂的网络。6over4隧道在IPv4向IPv6过渡技术中应用极少，几乎没有哪个网络选择这种过渡技术。在华为设备实现上，6over4隧道不支持建立在MPLS网络上。目前主流的网络均为MPLS网络，使6over4的应用更加受限。关于6over4隧道不支持建立在MPLS网络上的具体原因请参考我写的MPLS网络不支持6over4隧道报告。6.4 6over4手动隧道、6to4自动隧道和6PE隧道比较1999年，业界发布了RFC2529，简称6over4隧道。6over4隧道是一种将IPv6报文作为负载封装在IPv4报文中传播的一种隧道技术。6over4隧道主要有6over4手动隧道、6over4自动隧道、6to4隧道、6to4隧道中继。6over4隧道是IPv4向IPv6过渡技术中最早产生的过渡技术之一，是一种古老的过渡技术。在张伟所写的IPv6过渡技术发展分析一文中将6over4隧道方案评价为：把过渡技术的研究方向引入一种歧途，看上去很理想，实际部署上捉襟见肘。几乎没有哪个网络选择这种过渡技术。2006年发布的RFC4798简称6PE。6PE隧道技术基于MP-BGP，提供了一种在IPv4网络上封装IPv6报文，穿越MPLS网络的隧道技术。6PE隧道可实现MP-to-MP隧道自动建立，可以结合其他动态路由协议，继承了强大的MP-BGP的各种优势，适应复杂的大型网络。6PE隧道技术在不同厂家设备的互通性方面非常成熟，是全球公认最佳的IPv4骨干网穿越方案。吉林移动MDCN网部署了MPLS，不支持部署6over4隧道。但是吉林MDCN网全网支持IPv4&IPv6双栈，另外6PE隧道比6over4隧道存在巨大的技术优势。吉林移动MDNC网IPv6公网业务可以使用双栈或者6PE隧道，完全没有必要考虑6over4隧道。三种隧道各种特性对比请见下表：6over4手动隧道6to4自动隧道6PE隧道隧道类型P-to-PMP-to-MPMP-to-MP隧道端特殊地址IPv4兼容的IPv6地址IPv4映射的IPv6地址普通IPv6地址支持MPLS网络不支持不支持支持支持动态路由协议仅支持OSPFv3不支持支持路由属性OSPFv3路由属性不支持支持路由策略OSPFv3路由策略不支持丰富路由策略6.5 配置6PE和6VPE时reset BGP IPv4 peer6PE和6VPE是指在启动MPLS的IPv4网络上传输IPv6数据。6PE和6VPE不需要核心P设备支持IPv6，仅需要在PE设备上支持IPv6。PE使用MP-BGP会话在骨干网上交换IPv6路由，使用双层标签，第一层标签上出口PE路由器指定的LDP标签，第二层标签上指定PE IPv6标签。这种处理方式类似于MP-BGP VPNv4，相当于把IPv6或者VPNv6数据当作VPNv4数据来处理，数据的载体都是使能MPLS的IPv4网络。因此，6PE和6VPE在实际配置时，是在PE之间使用IPv4地址建立peer，传递IPv6数据。如果原网络中PE之间已经存在IPv4的peer，现在又增加了使用同样IPv4地址的peer，相当于使用同样的一对IPv4地址建立了多条隧道。这样一对IPv4地址在新增或者删除隧道时，就会造成reset已经建立的peer。这个reset的过程很短暂，大约3-10S后会peer的状态会恢复成establish，但是足够影响现网的业务。这是几乎完美的6PE和6VPE的瑕疵。想达到配置6PE和6VPE时不reset原来建立的peer目前是无法实现的。那么如何避免配置6PE和6VPE时对现网业务的影响？一般承载网都是双平面结构，2台RR，所有PE都和RR建立邻居关系。如果一个平面出现问题，流量可以经过第二平面。这种保护为我们提供了规避reset BGP IPv4 peer的方式。在现网部署6PE和6VPE时，可以采用逐平面使能6PE和6VPE的配置顺序。配置第一平面时，第一平面业务短暂中断，业务流量可以从第二平面转发；待第一平面业务恢复后，再进行第二平面的配置。吉林移动MDCN网部署6PE和6VPE时就是采用这种方式，保证了业务流量没有中断。6.6 真正的MP-BGP IPv6目前实现PE和PE之间传递IPv6路由是通过6PE方式实现。这种方式不是真正的MP-BGPIPv6。如果PE和PE之间的整个网络都支持IPv6，是不是没有必要使用6PE方式，可以直接使用IPv6地址建立peer传递IPv6路由这种真正的MP-BGP IPv6？目前来说，理论上是可以的。目前国际上已经有成熟的MPLS for IPv6协议，使用这种协议可以实现真正的MP-BGP IPv6。现在还是IPv4向IPv6过渡的初级阶段，网络的主题是IPv4网络。IPv4完成向IPv6过渡还需要漫长的过程，可能是5年甚至更长。一种协议从理论成熟，到开发出成熟的产品需要投入大量的人力、财力和时间，非一朝一夕可以完成。现在依靠主体的IPv4网络，6PE完全可以实现PE之间的IPv6路由交换，直到核心骨干网不再支持IPv4。在此之前，研发可以投入更多的力量到其他较急迫的过渡技术中，按照从急到缓的原则开发支持过渡技术的产品。我司后期的版本将会实现基于MPLS for IPv6的真正的MP-BGP IPv6方案。如果可以实现真正MP-BGP IPv6，可以同时解决6.5的reset BGP IPv4 peer的问题。因为使用IPv6地址建立peer，不会对IPv4的peer产生影响。6.7 SEND功能以及在吉林移动网络中应用IPv6邻居发现是通过ND（Neighbor Discovery）协议实现的。SEND协议是ND的增强，通过引入新的消息类型和选项字段，在地址所有权证明、消息保护和路由器授权方面提高了ND的安全性。CGA是通过公钥结合HASH算法生成的一个IPv6地址，节点通过验证CGA地址，丢弃与CGA不符的报文，防范欺骗性攻击。结合RSA签名机制，还可以实现报文的完整性保护。吉林移动安全解决方案中的安全产品防火墙，需要实现与MDCN CMNET 以及IMS网络之间的互访问，同时防火墙之间也要实现SEND之间的验证，以保证整个网络的安全性。针对安全的保护机制，我们可以在链路中通过CGA进行链路地址配置验证，来实现保护彼此之间链路的安全性。 6.8 NAT-PT 功能以及在吉林移动网络中应用IPv6的应用是个循序渐进的过程，在很长时间内，IPv4网络和IPv6网络会同时存在且需要相互通信。在IPv4网络完全过渡到IPv6网络之前，两个网络之间直接的通信可以通过NAT-PT来实现。NAT-PT提供了IPv4和IPv6地址之间的相互转换功能，其中NAT-PT主要有两种机制实现IPV4与IPV6之间的地址转换静态映射静态映射是指采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换。动态映射动态映射是指动态地创建IPv6地址与IPv4地址的对应关系来实现IPv6地址与IPv4地址的转换。和静态映射不同，动态映射中IPv6和IPv4地址之间不存在固定的一一对应关系。针对业界IPV6与IPV4之间互访的业务，防火墙基于此设计NAT-PT之间互访实现过程：判断是否进行NAT-PT转换：NAT-PT设备接收到IPv6网络主机（IPv6 host）发送给IPv4网络主机（IPv4 host）的报文后，判断该报文是否要转发到IPv4网络。如果报文目的IPv6地址前缀与设备上预先配置的NAT-PT前缀相同，则该报文需要转发到IPv4网络，需要进行NAT-PT转换。转换源IP地址：设备根据IPv6侧配置的静态或者动态映射，进行IPv6地址到IPv4地址的转换，将报文的源IPv6地址转换为IPv4地址。转换目的IP地址：设备根据IPv4侧配置的静态映射将目的IPv6地址转换为IPv4地址。如果没有配置静态映射，那么，如果报文中的目的IPv6地址的低32位可以直接转换为合法的IPv4地址，则直接转换为目的IPv4地址；否则，转换不成功。转发报文并记录映射关系：报文的源IPv6地址和目的IPv6地址都转换为IPv4地址后，设备按照正常的转发流程将报文转发到IPv4网络中的主机。同时，将IPv6地址与IPv4地址的映射关系保存在设备中。根据记录的映射关系转发应答报文：IPv4网络主机发送给IPv6网络主机的报文到达NAT-PT设备后，设备将根据已保存的映射关系进行相反的转换，从而将报文发送给IPv6网络主机。吉林移动MDCN与CMNET IMS之间部署安全产品防火墙，实现了从MDCN中IPV6网络，到CMNET以及IMS中IPV4网络，之间的静态以及动态的地址映射。这样实现了IPV6与IPV4网络共存时，彼此之间的互相访问。同时我们也要注意到，随着IPV6技术的发展，NAT-PT作为一种过渡性的技术，会被NAT64功能逐步替代，我们新产品也会支持NAT64的功能，同时我们会根据业界技术的发展，有针对的开发新的功能以满足运营商在未来IPV6网络中的应用。6.9 IPV6网络中的IMS应用 IMS工具是移动公司自己的一个即时通讯软件。此软件主要用