IPv6驻地网建设方案研究.doc

IPv6驻地网建设方案研究王迎春，高光平，曾 睿（中国联通有限公司北京分公司 北京 100038）摘　要 本文通过对IPv6驻地网建设进行技术分析，结合具体的驻地网节点情况，得出了一套IPv6驻地网建设的方案方案既不影响现有的IPv4网络业务，又可满足驻地网节点对IPv6网络业务的需求，同时还可使IPv4用户平滑升级到IPv6网络上，实现了驻地网吸纳业务和网络增值的作用关键词　CNGI；IPv6；驻地网；建设方案；组播业务1　概述为了应对当前互联网面临的各种挑战，给下一代网络服务提供具有更高性能、更高质量、更加可靠、安全、经济与开放的平台，国家发展与改革委员会（简称“国家发改委”）提出了建设“中国下一代互联网CNGI示范网络”的发展战略驻地网（CPN）作为连接用户终端与CNGI主干接入节点之间的网络，是CNGI网络的有机组成部分只有制定好科学合理的驻地网建设方案，在各个企业及住宅小区内部建好驻地网，才能使用户真正享受到下一代网络所提供的丰富业务，CNGI的各种业务才能得到顺利开展和实施虽然目前IPv6网络暂时不能为运营商带来直接收入，但是作为通信运营企业，积极开展IPv6驻地网的建设和试验首先是履行推动国家信息化发展的企业社会责任；其次，能够为企业和社会培养锻炼一批熟悉掌握IPv6的技术人才队伍；再次，可以从网络运营的角度探索互联网从IPv4向IPv6平滑演进的策略；最后，还能与驻地网建设单位共同试验众多的新兴业务。

2　建设模式与原则鉴于目前IPv6的业务应用相对较少，而以IPv4的业务应用为主，因而纯IPv6驻地网与IPv4网络的互联互通将付出较大的成本，而且网络协议的转换点可能成为网络的性能瓶颈，所以采取IPv4/IPv6双栈的驻地网更加符合现状需求IPv6驻地网的建设可采用“IPv4可运营、IPv6可试验”的原则，既通过IPv4保证用户的业务体验，原有业务不受影响，又保证IPv6可试验，未来实现IPv6的可运营，并且可以让IPv4平滑地过渡到IPv63　建设方案分析3.1　项目背景北京联通积极参与了CNGI核心网的建设，并得到国家发改委的批复建设4个IPv6驻地网驻地网建设工程将1 000数量级的实际用户接入到北京联通已建成的CNGI核心网中，进行IPv6的各项网络功能测试、性能指标测试、各种互通性测试和新业务部署试验本次建设的4个驻地网节点的具体情况如表1所示3.2　驻地网建设方案分析具体的驻地网建设方案需要结合上述节点的实际环境和业务需求，下面着重从以下4个方面进行分析：拓扑结构、IPv6地址规划、路由规划、安全性等2.1　拓扑结构驻地网可选用双栈或者隧道的方式实现同一驻地网内部的IPv4/IPv6用户顺利访问IPv4/IPv6网络。

1） 方式一：“双链路+双栈”组网方式其组网方式见图1驻地网路由器双链路分别上联到IPv4和IPv6两张网络上，同时开启IPv4/IPv6双栈，对IPv4用户和IPv6用户的流量通过不同物理端口转发2） 方式二：“单链路+隧道”组网方式其组网方式见图2通过新增IPv4与IPv6核心网之间的链路，并在驻地网路由器上设置IPv6-in-IPv4类或者IPv4-in-IPv6类的隧道，以保证IPv6用户的网络流量通过IPv4网络透传到CNGI网络，或者IPv4用户的网络流量通过IPv6透传到IPv4网络，实现原有用户正常上网两种不同组网方式的技术对比如表2所示基于表2所述原因优选“双链路+双栈”拓扑结构作为最终拓扑结构3.2.2　IPv6地址规划IP地址规划主要涉及到网络资源的有效利用，属于网络管理的问题IPv6地址有128 bit，其中可供分配为网络前缀的空间有64 bit，按照RFC3513[1]，IPv6地址分为全球可路由前缀和子网ID两部分，协议并没有明确地规定全球可路由前缀和子网ID各自占的比特数根据4个驻地网的建设规模，充分考虑设备loopback地址、设备互联地址和用户业务地址3类地址需求，分配原则如下：· 全网IPv6地址保证惟一性和可聚合性，同时对部分地址段提前规划预留；· 每台设备分配一个/64的地址空间，使用/126的地址作为设备loopback地址；· 专门分配一个/64的地址空间作为设备互联地址空间，使用/126的地址段作为互联端口地址段；· 每个VLAN用户分配一个/64的地址段，用户地址分配时，保证地址连续性和可聚合性。

IPv6地址可以采取两种方案获取：· 由中国联通CNGI的地址段中分配获得；· 向CNNIC或者APNIC新申请地址由于采用第一种方法不需要额外付费，分配速度快，成功率高，也便于延续CNGI核心网的IPv6地址分配策略，故选用第一种方案3.2.3　路由规划根据驻地网建设规模及网络内部的结构，合理地选择驻地网的路由协议，原则如下· 对于规模较小，用户数量较少，内部网络结构相对简单的驻地网，采用静态路由· 对于规模较大，用户数量较多，内部网络结构相对复杂的驻地网，采用动态路由协议既可选用IS-IS也可选用OSPF，这两种协议均属于链路状态路由协议，网络建设复杂度基本相当，并均已获得较为广泛的应用但由于以下原因，选用IS-IS作为域内路由协议· 目前CNGI核心网已采用IS-IS协议作为域内路由协议· IS-IS具有很好的分层分域能力，可扩展性强，利于以后的扩容· IS-IS wide metric功能将端口Metric cost的支持由原来的最大6 bit扩展到 24 bit，端到端的Metric由原来的最大10 bit增加到32 bit，增强了路由调整和优化的粒度· OSPF有很多类型的LSA，比较复杂并占用资源，而IS-IS的LSP要少很多，所以在处理路由更新等方面，IS-IS对资源的占用更少。

· IS-IS的快速收敛技术和更细粒度的定时器可以提高收敛速度· OSPF数据格式不容易扩展，而IS-IS可以很容易地通过增加TLV进行扩展，包括对IPv6等的支持· IS-IS在一个层次内应用SPF计算有效路由，而OSPF只能在一个区域内用SPF计算有效路由，IS-IS的路由计算更加准确· OSPF协议是基于IP层的，所以只能支持IP网络，且网络上一些基于IP的攻击会影响到OSPF的正常运行IS-IS是直接运行在链路层上的，可以承载多种网络类型，且在预防网络攻击方面也有一些天然的优势综上所述，最终选择在CNGI 4个驻地网节点均部署IS-ISv6协议，并且从未来网络规模不断发展的角度考虑，为便于网络演进和扩展，驻地网路由器启用的IS-IS路由协议也运行在L2上另外，驻地网与核心网处于同一自治域中，驻地网路由器不需要启用域间路由协议3.2.4　安全性网络安全大体上分为两个层次：网络层面安全和业务层面安全网络层面安全主要侧重网络数据的安全传送、网络资源的合法使用；后者主要侧重网络业务的合法授权、使用和监管1） 网络层面安全措施网络结构：全网从骨干拓扑结构到连接链路均应考虑路由的备份，采用分层的拓扑结构，支持动态迂回路由。

大型驻地网节点设备与核心节点设备之间通过动态路由协议保证网络可达，通过流量工程合理规划流量，通过快速重路由保证连续转发网络设备：城域网核心节点设备的主控板、交换网板、时钟板、电源等部件都具有冗余配置能力，线路板支持热插拔而不会丢失数据，能够保证设备的不间断运行安全设备：通过部署防火墙、IDS、漏洞扫描器等安全设备，实时监控网络运行状况，查询分析网络安全隐患和漏洞，并对网络攻击实施堵截2） 业务层面安全措施安全管理：关键数据采用身份认证与授权，通过访问权限限制，加密保存，加密传输，同时网络和系统中各种重要数据进行及时有效的备份此外，与用户共同制定完善的管理规范，通过良好的手段达到防微杜渐的目的应用系统：可采用HA（高可用）技术来达到计费系统及用户数据库系统应用的相互切换及备份同时利用数据库服务器外接的磁带机备份文件系统、数据库、网管信息除此之外，IPv6的部分功能对驻地网节点设备来说不是完全必要的，如果被恶意攻击者利用，会增加网络的危险，因此在实际建网时可考虑关闭部分功能，举例如下1） IPv6路由选项头[2]开关在IP路由技术中，通常一个IP报文总是沿着网络中的每个路由器所选择的路径转发分组。

IPv6协议中提供了路由选项头（routing header），它的含义是允许源站明确指定一条从源到目的地的路由，覆盖掉中间路由器的路由选择路由选项头可用于指定网络路径的故障诊断和某种特殊业务的临时传送此功能可能被恶意攻击者利用于刺探网络结构，或者绕过网络安全设备[3]等2） 重定向开关网络设备向同一个子网的主机发送ICMP重定向报文，请求主机改变路由一般情况下，设备仅向主机而不向其他设备发送ICMP重定向报文此功能可能被恶意攻击者用于干扰某网内主机的正常IP报文转发3） 定向广播报文转发开关恶意攻击者可以伪造IPv6报文，以受害者的IPv6地址作为源地址，以特定的IPv6多播地址（例如DHCP服务器多播地址FF05∷3）作为目的地址，发起Smurf攻击因此为了防止攻击发生，建议在接口上进行配置，禁止目的地址为子网多播地址的报文从该接口转发4） 限制ICMP协议报文的转发ICMP协议允许网络设备中间节点（路由器）向其他设备节点和主机发送差错或控制报文，主机也可用ICMP协议与网络设备或另一台主机通信很多常见的网络攻击均利用了ICMP协议的功能对ICMPv6协议的防护比较复杂，易实施的方法包括限制ICMPv6错误报文的最大速率、慎重处理来自用户网段的ICMPv6报文等方法[3]。

4　驻地网建设方案的应用4.1　组网方案根据§3的分析结论，北京联通CNGI驻地网工程最终选用了如下的建设方案（如图3所示）其中接入路由器作为驻地网出局设备，下挂IPv6/IPv4混合组网用户，之间通过物理接口实施隔离，同时路由器双上联到CNGI骨干网和北京联通165网络上，根据下端的端口情况实施分流IPv6的实验网用户访问CNGI网络时，原有的办公网络或企业大客户业务网络不受影响，保持原有的行为状态不变，这种组网情况下能够保持现网状态，同时达到进行IPv6试点的能力，很好地结合现网情况开展IPv6试验同时考虑到网络的扩展能力，原有IPv4用户可以平滑升级到IPv6网络上，而上端仅需在出口实施一定的策略来完成IPv6的改造能力这种情况下可以继续发展现有的大客户业务，在进行IPv6试点的同时继续利用驻地网的附加能力，达到网络增值的目的loopback地址、互联地址以及业务地址均从中国联通已经获得的IPv6地址空间2001∶0E88∷/32中获取4个驻地网路由器与上联的CNGI核心网路由器以及IPv4网络中的路由器之间运行IS-ISv6动态路由协议，CNGI核心网和驻地网路由器的IS-IS路由协议均工作在L2上。

本期工程考虑到驻地网网络位置相对较低，目前又处于试验阶段，所以在网络建设过程中没有城域网结构的情况下暂时将DNS部署在省核心层，即采用CNGI统一的DNS服务器部署4.2　业务部署方案另外，在CNGI网内部署了多种支持IPv6的业务应用服务器，比如Web服务器、FTP服务器、E-mail服务器、组播服务器等由于目前用户访问量相对不大，业务流量相对较小，大部分服务器采取在省核心层集中放置的部署方式，可以满足驻地网用户的基本需求此外，在CNGI省核心层与165网省网之间放置了NAT-PT，能够满足部分IPv4用户和IPv6用户分别对IPv6资源和IPv4资源的访问需求，以及IPv4。