《IPv6驻地网建设方案研究.doc》由会员分享,可在线阅读,更多相关《IPv6驻地网建设方案研究.doc(7页珍藏版)》请在三一办公上搜索。
1、IPv6驻地网建设方案研究王迎春,高光平,曾 睿(中国联通有限公司北京分公司 北京 100038)摘要 本文通过对IPv6驻地网建设进行技术分析,结合具体的驻地网节点情况,得出了一套IPv6驻地网建设的方案。方案既不影响现有的IPv4网络业务,又可满足驻地网节点对IPv6网络业务的需求,同时还可使IPv4用户平滑升级到IPv6网络上,实现了驻地网吸纳业务和网络增值的作用。关键词CNGI;IPv6;驻地网;建设方案;组播业务1概述为了应对当前互联网面临的各种挑战,给下一代网络服务提供具有更高性能、更高质量、更加可靠、安全、经济与开放的平台,国家发展与改革委员会(简称“国家发改委”)提出了建设“中
2、国下一代互联网CNGI示范网络”的发展战略。驻地网(CPN)作为连接用户终端与CNGI主干接入节点之间的网络,是CNGI网络的有机组成部分。只有制定好科学合理的驻地网建设方案,在各个企业及住宅小区内部建好驻地网,才能使用户真正享受到下一代网络所提供的丰富业务,CNGI的各种业务才能得到顺利开展和实施。虽然目前IPv6网络暂时不能为运营商带来直接收入,但是作为通信运营企业,积极开展IPv6驻地网的建设和试验首先是履行推动国家信息化发展的企业社会责任;其次,能够为企业和社会培养锻炼一批熟悉掌握IPv6的技术人才队伍;再次,可以从网络运营的角度探索互联网从IPv4向IPv6平滑演进的策略;最后,还能
3、与驻地网建设单位共同试验众多的新兴业务。2建设模式与原则鉴于目前IPv6的业务应用相对较少,而以IPv4的业务应用为主,因而纯IPv6驻地网与IPv4网络的互联互通将付出较大的成本,而且网络协议的转换点可能成为网络的性能瓶颈,所以采取IPv4/IPv6双栈的驻地网更加符合现状需求。IPv6驻地网的建设可采用“IPv4可运营、IPv6可试验”的原则,既通过IPv4保证用户的业务体验,原有业务不受影响,又保证IPv6可试验,未来实现IPv6的可运营,并且可以让IPv4平滑地过渡到IPv6。3建设方案分析3.1项目背景北京联通积极参与了CNGI核心网的建设,并得到国家发改委的批复建设4个IPv6驻地
4、网。驻地网建设工程将1 000数量级的实际用户接入到北京联通已建成的CNGI核心网中,进行IPv6的各项网络功能测试、性能指标测试、各种互通性测试和新业务部署试验。本次建设的4个驻地网节点的具体情况如表1所示。3.2驻地网建设方案分析具体的驻地网建设方案需要结合上述节点的实际环境和业务需求,下面着重从以下4个方面进行分析:拓扑结构、IPv6地址规划、路由规划、安全性等。.2.1拓扑结构驻地网可选用双栈或者隧道的方式实现同一驻地网内部的IPv4/IPv6用户顺利访问IPv4/IPv6网络。(1) 方式一:“双链路+双栈”组网方式其组网方式见图1。驻地网路由器双链路分别上联到IPv4和IPv6两张
5、网络上,同时开启IPv4/IPv6双栈,对IPv4用户和IPv6用户的流量通过不同物理端口转发。(2) 方式二:“单链路+隧道”组网方式其组网方式见图2。通过新增IPv4与IPv6核心网之间的链路,并在驻地网路由器上设置IPv6-in-IPv4类或者IPv4-in-IPv6类的隧道,以保证IPv6用户的网络流量通过IPv4网络透传到CNGI网络,或者IPv4用户的网络流量通过IPv6透传到IPv4网络,实现原有用户正常上网。两种不同组网方式的技术对比如表2所示。基于表2所述原因优选“双链路+双栈”拓扑结构作为最终拓扑结构。3.2.2IPv6地址规划IP地址规划主要涉及到网络资源的有效利用,属于
6、网络管理的问题。IPv6地址有128 bit,其中可供分配为网络前缀的空间有64 bit,按照RFC35131,IPv6地址分为全球可路由前缀和子网ID两部分,协议并没有明确地规定全球可路由前缀和子网ID各自占的比特数。根据4个驻地网的建设规模,充分考虑设备loopback地址、设备互联地址和用户业务地址3类地址需求,分配原则如下: 全网IPv6地址保证惟一性和可聚合性,同时对部分地址段提前规划预留; 每台设备分配一个/64的地址空间,使用/126的地址作为设备loopback地址; 专门分配一个/64的地址空间作为设备互联地址空间,使用/126的地址段作为互联端口地址段; 每个VLAN用户分
7、配一个/64的地址段,用户地址分配时,保证地址连续性和可聚合性。IPv6地址可以采取两种方案获取: 由中国联通CNGI的地址段中分配获得; 向CNNIC或者APNIC新申请地址。由于采用第一种方法不需要额外付费,分配速度快,成功率高,也便于延续CNGI核心网的IPv6地址分配策略,故选用第一种方案。3.2.3路由规划根据驻地网建设规模及网络内部的结构,合理地选择驻地网的路由协议,原则如下。 对于规模较小,用户数量较少,内部网络结构相对简单的驻地网,采用静态路由。 对于规模较大,用户数量较多,内部网络结构相对复杂的驻地网,采用动态路由协议。既可选用IS-IS也可选用OSPF,这两种协议均属于链路
8、状态路由协议,网络建设复杂度基本相当,并均已获得较为广泛的应用。但由于以下原因,选用IS-IS作为域内路由协议。 目前CNGI核心网已采用IS-IS协议作为域内路由协议。 IS-IS具有很好的分层分域能力,可扩展性强,利于以后的扩容。 IS-IS wide metric功能将端口Metric cost的支持由原来的最大6 bit扩展到 24 bit,端到端的Metric由原来的最大10 bit增加到32 bit,增强了路由调整和优化的粒度。 OSPF有很多类型的LSA,比较复杂并占用资源,而IS-IS的LSP要少很多,所以在处理路由更新等方面,IS-IS对资源的占用更少。 IS-IS的快速收敛
9、技术和更细粒度的定时器可以提高收敛速度。 OSPF数据格式不容易扩展,而IS-IS可以很容易地通过增加TLV进行扩展,包括对IPv6等的支持。 IS-IS在一个层次内应用SPF计算有效路由,而OSPF只能在一个区域内用SPF计算有效路由,IS-IS的路由计算更加准确。 OSPF协议是基于IP层的,所以只能支持IP网络,且网络上一些基于IP的攻击会影响到OSPF的正常运行。IS-IS是直接运行在链路层上的,可以承载多种网络类型,且在预防网络攻击方面也有一些天然的优势。综上所述,最终选择在CNGI 4个驻地网节点均部署IS-ISv6协议,并且从未来网络规模不断发展的角度考虑,为便于网络演进和扩展,
10、驻地网路由器启用的IS-IS路由协议也运行在L2上。另外,驻地网与核心网处于同一自治域中,驻地网路由器不需要启用域间路由协议。3.2.4安全性网络安全大体上分为两个层次:网络层面安全和业务层面安全。网络层面安全主要侧重网络数据的安全传送、网络资源的合法使用;后者主要侧重网络业务的合法授权、使用和监管。(1) 网络层面安全措施网络结构:全网从骨干拓扑结构到连接链路均应考虑路由的备份,采用分层的拓扑结构,支持动态迂回路由。大型驻地网节点设备与核心节点设备之间通过动态路由协议保证网络可达,通过流量工程合理规划流量,通过快速重路由保证连续转发。网络设备:城域网核心节点设备的主控板、交换网板、时钟板、电
11、源等部件都具有冗余配置能力,线路板支持在线热插拔而不会丢失数据,能够保证设备的不间断运行。安全设备:通过部署防火墙、IDS、漏洞扫描器等安全设备,实时监控网络运行状况,查询分析网络安全隐患和漏洞,并对网络攻击实施堵截。(2) 业务层面安全措施安全管理:关键数据采用身份认证与授权,通过访问权限限制,加密保存,加密传输,同时网络和系统中各种重要数据进行及时有效的备份。此外,与用户共同制定完善的管理规范,通过良好的手段达到防微杜渐的目的。应用系统:可采用HA(高可用)技术来达到计费系统及用户数据库系统应用的相互切换及备份。同时利用数据库服务器外接的磁带机备份文件系统、数据库、网管信息。除此之外,IP
12、v6的部分功能对驻地网节点设备来说不是完全必要的,如果被恶意攻击者利用,会增加网络的危险,因此在实际建网时可考虑关闭部分功能,举例如下。(1) IPv6路由选项头2开关在IP路由技术中,通常一个IP报文总是沿着网络中的每个路由器所选择的路径转发分组。IPv6协议中提供了路由选项头(routing header),它的含义是允许源站明确指定一条从源到目的地的路由,覆盖掉中间路由器的路由选择。路由选项头可用于指定网络路径的故障诊断和某种特殊业务的临时传送。此功能可能被恶意攻击者利用于刺探网络结构,或者绕过网络安全设备3等。(2) 重定向开关网络设备向同一个子网的主机发送ICMP重定向报文,请求主机
13、改变路由。一般情况下,设备仅向主机而不向其他设备发送ICMP重定向报文。此功能可能被恶意攻击者用于干扰某网内主机的正常IP报文转发。(3) 定向广播报文转发开关恶意攻击者可以伪造IPv6报文,以受害者的IPv6地址作为源地址,以特定的IPv6多播地址(例如DHCP服务器多播地址FF053)作为目的地址,发起Smurf攻击。因此为了防止攻击发生,建议在接口上进行配置,禁止目的地址为子网多播地址的报文从该接口转发。(4) 限制ICMP协议报文的转发ICMP协议允许网络设备中间节点(路由器)向其他设备节点和主机发送差错或控制报文,主机也可用ICMP协议与网络设备或另一台主机通信。很多常见的网络攻击均
14、利用了ICMP协议的功能。对ICMPv6协议的防护比较复杂,易实施的方法包括限制ICMPv6错误报文的最大速率、慎重处理来自用户网段的ICMPv6报文等方法3。4驻地网建设方案的应用4.1组网方案根据3的分析结论,北京联通CNGI驻地网工程最终选用了如下的建设方案(如图3所示)。其中接入路由器作为驻地网出局设备,下挂IPv6/IPv4混合组网用户,之间通过物理接口实施隔离,同时路由器双上联到CNGI骨干网和北京联通165网络上,根据下端的端口情况实施分流。IPv6的实验网用户访问CNGI网络时,原有的办公网络或企业大客户业务网络不受影响,保持原有的行为状态不变,这种组网情况下能够保持现网状态,
15、同时达到进行IPv6试点的能力,很好地结合现网情况开展IPv6试验。同时考虑到网络的扩展能力,原有IPv4用户可以平滑升级到IPv6网络上,而上端仅需在出口实施一定的策略来完成IPv6的改造能力。这种情况下可以继续发展现有的大客户业务,在进行IPv6试点的同时继续利用驻地网的附加能力,达到网络增值的目的。loopback地址、互联地址以及业务地址均从中国联通已经获得的IPv6地址空间20010E88/32中获取。4个驻地网路由器与上联的CNGI核心网路由器以及IPv4网络中的路由器之间运行IS-ISv6动态路由协议,CNGI核心网和驻地网路由器的IS-IS路由协议均工作在L2上。本期工程考虑到
16、驻地网网络位置相对较低,目前又处于试验阶段,所以在网络建设过程中没有城域网结构的情况下暂时将DNS部署在省核心层,即采用CNGI统一的DNS服务器部署。4.2业务部署方案另外,在CNGI网内部署了多种支持IPv6的业务应用服务器,比如Web服务器、FTP服务器、E-mail服务器、组播服务器等。由于目前用户访问量相对不大,业务流量相对较小,大部分服务器采取在省核心层集中放置的部署方式,可以满足驻地网用户的基本需求。此外,在CNGI省核心层与165网省网之间放置了NAT-PT,能够满足部分IPv4用户和IPv6用户分别对IPv6资源和IPv4资源的访问需求,以及IPv4用户和IPv6用户之间的互
17、通需求。针对驻地网节点的业务需求,还量身定制了多套技术方案,能够提供移动IP业务、组播业务、VPN业务、Web业务、FTP业务、E-mail业务等。下面以组播业务为例,介绍此业务的部署方案。CNGI驻地网在同一个自治系统内,在开通组播业务时启用域内协议。目前,PIM-SM 协议是域内组播的公认标准。对于由一个自治域组成的网络,或者组播仅在域内进行时,仅需在网络中运行 PIM-SM 协议即可。为了增强 PIM-SM 中 RP 节点的可靠性,及对网络中的组播流量进行分担,需要选取驻地网核心路由器作为RP来分发组播流量,可选取核心路由器作为RP。其网络协议部署如图4所示。在用户侧的不同终端用户根据自
18、身的地址栈向上访问本协议栈的网络,在驻地网核心层出口设备与上联设备之间运行PIM-SM协议即可,但需要上端设备完成组播控制信息的推送,即CNGI需要运行PIM协议,向下采用纯二层网络,采用组播VLAN的方式向下进行复制,既可以选择路由器设备作为组播复制和控制点,也可以选择接入交换机作为组播复制和控制点。由于本工程选用的接入交换机支持IPv6且支持IGMPv6,因此为提高网络的整体性能,分散对组播流量的处理开销,采用在接入交换机上进行组播复制,并启用IGMP snooping和MLD snooping。在移动视频业务的部署上,网络承载方式如图5所示。手机终端的数据业务通过PDSN后,在驻地网新增
19、核心设备上承载,并通过路由策略上联到中国联通IP承载网上,手机终端用户即可以通过承载网手机视频节目源下发视频数据流,完成移动视频业务的部署。5结束语此套驻地网解决方案既保证了原有的办公网络或企业大客户业务网络不受影响,又能够保证很好地结合现网实际需求开展IPv6试点,IPv4用户可以平滑升级到IPv6网络上。可以充分发挥大客户业务资源,在进行IPv6试点的同时继续利用驻地网的附加能力,达到网络增值的目的。参考文献1 Hinden R. Internet protocol version 6 (IPv6) addressing architecture. RFC3513, April 20032 Deering S, Hinden R. Internet protocol version 6 (IPv6) specification. RFC 2460, December 19983 JaeDeok Lim, YoungKi Kim. Protection algorithm against security holes of IPv6 routing header. In: IEEE ICA0T2006, February 2006
