DS-Lite协议讲解及报文分析

1、DS-Lite协议讲解及报文分析文档摘要：本文档主要介绍DS-Lite原理及在IPv6测试用例中如何测试DS-Lite相关用例关键字：DS-Lite、IPv6、IPv4 over IPv6隧道、AFTR、CGN1 DS-Lite简介众所周知，推动 IPv6 最根本的动力就是 IPv4 地址匮乏。IPv6 演进技术的考虑点：l 如何引入 IPv6l 既要继续提供原有 IPv4 业务，又要考虑 IPv4 地址当前的压力业界涌现了多种 IPv6 演进方案（双栈+ NAT44/NAT444、DS-Lite、6RD 和 NAT64等），具体采用哪种方案，取决于运营商自身情况和 IPv6 演进策略，但对于

2、一点业内已达成共识：DS-Lite 是 IPv6 演进方案的最终模型。原因是 DS-Lite 方案在 IPv6网络中不仅可以提供 IPv4 和 IPv6 双栈业务，而且可提单栈 IPv6 业务； 随着 IPv6 业务的增长，IPv4 业务会逐渐变成“孤岛”，IPv6 业务则成为主流；因此，DS-Lite技术架构是符合未来的发展趋势，为 IPv6 演进方案的最终模型。DS-Lite 技术的本质是在 IPv6 的网络中部署 IPv4-in-IPv6 隧道完成 IPv4 业务传输，而 IPv6 业务则直接通过 IPv6 网络传输。这里先介绍下AFTR这个新名词，AFTR全称为 DS-Lite Add

3、ress Family Transition Router element。该网元终结了IPv4-in-IPv6 隧道，并且实现了 NAT IPv4-IPv4 的功能。其中，AFTR 在运营商网络中为 CGN；该 CGN 可为独立 CGN 设备，也可以为插卡式 CGN（将 CGN 单板插在业务控制节点）。目前中国电信4.0技术规范已经将DS-Lite作为电信运营商推广IPv6的过渡技术，随着时间的推移，运营商主干网络将逐步升级为支持IPv6的设备，但是某些服务器以及用户终端设备可能还来不及切换到支持IPv6的设备，那时候用户终端想要和服务器进行通信就需要穿越IPv6网络，所以必须使用DS-Li

4、te技术来实现过渡。2 DS-Lite协议讲解对于我们公司生产的家庭网关来说，家庭网关充当了一个B4的角色，那什么叫B4呢？B4全称为 Base Bridging BroadBand Element。因为该名称中有 4个B，所以简称为 B4，B4设置应具备双栈的功能以及向 AFTR 创建 IPv4-in-IPv6 的隧道。家庭网关在DS-Lite业务模型中会通过DHCPv6 Option64字段获取到AFTR服务器的域名，然后通过DNS解析到AFTR的地址，当解析到AFTR的IPv6地址后，家庭网关在收到一个IPv4到IPv4的请求后，会在这个IPv4报文头部前加上一个IPv6报文头，IPv6

5、报文头的源IPv6地址为家庭网关WAN连接的IPv6地址，目的IPv6地址则为AFTR IPv6地址，这样这个报文就可以在IPv6网络中传输了，当AFTR接收到这个报文后，会把IPv6报文头剥离掉，此时这个报文就是当初用户端主机发送的IPv4请求报文，该请求报文的源IPv4地址为用户端主机的IPv4地址，是一个由家庭网关分配的私网IPv4地址，既然家庭网关没有对这个私网IPv4地址进行转换，那么就需要AFTR服务器对这个私网IPv4地址进行转换，AFTR将私网IPv4地址转换为公网IPv4地址后发送到IPv4网络中，这样对端的IPv4服务器就能正常接收并处理这个报文了，而且还不知道这个报文其实

6、已经穿越了IPv6网络了，具体的原理图如图1所示。图13 DS-Lite配置既然家庭网关在DS-Lite业务模型中充当了B4的角色，那么家庭网关就需要知道AFTR服务器的地址，怎么获取AFTR服务器地址呢？通过在DHCPv6 Solicit报文中添加一个Option64字段，如图2所示。图2DS-Lite服务器在Adversite报文中回复了AFTR服务器的域名“”，而不是AFTR服务器的IPv6地址，此时还需要家庭网关通过DNS解析到AFTR服务器的IPv6地址，解析出来的IPv6地址为“2111:133:133:133:1”，如图3和图4所示。图3图4在家庭

7、网关上开启DS-Lite功能如图5所示，由于使用的VLAN 3331是DHCPv6+PD，所以需要在WAN连接页面勾上获取地址和获取前缀，而且IP模式应该选择IPv6单栈模式，如果选择了IPv4/IPv6双栈模式，那么WAN连接就会获取到IPv4和IPv6地址，如果WAN连接获取到IPv4地址，那么PC访问IPv4地址的时候就直接通过WAN连接IPv4地址访问了，不会加上IPv6报文头。 图5WAN连接创建完成且获取到IPv6地址后，就可以在连接家庭网关的PC上访问IPv4资源了，本文档以Ping 00讲解，在WAN口镜像抓包查看IPv4报文在IPv4报文头前加了一个I

8、Pv6报文头，且源IPv6地址为WAN连接IPv6地址，目的IPv6地址为AFTR IPv6地址，如图6所示。4 DS-Lite报文分析图6在PC机00上抓包，ICMP报文已经剥掉了IPv6报文头，只剩下IPv4报文头，而且ICMP报文源IPv4地址为52，52是经过AFTR转换后的IPv4地址，如图7所示：图7实验网的AFTR IPv4地址为51，需要通过SSHv2登录，登录成功后可以看到aftr.conf配置文件内容，如图8所示。图8用一张图来说明DS-Lite的工作原理，如图9所示中国电信家庭网关供货检验测试要求中DS-Lite测试用例没有要求测试DS-Lite协议的实现原理，而是测试在开启