H3CIPv6交流-网络改造方案

IPv6网络改造方案交流杭州华三通信技术有限公司目录IPv6过渡技术介绍IPv6部署考虑问题H3C公司IPv6进展介绍技术分类具体技术分析14/64/64/6双栈双栈过渡基础，但无法解决运营商IPv4地址短缺问题2444X4NAT444临时措施，主要解决v4地址不足问题3446X46NAT-PT因过于复杂，标准已被终止44665644X64有状态类：NAT64(IETF)无状态：AFT(IVI)过渡必须技术；分有状态与无状态两大类别；66647646X6466over4隧道6rd（IETF）特殊场景需要8464X4644over6隧道DS-Lite（IETF）纯4over6的隧道技术节省不了IP地址;NAT464转换技术目前大家关注重点；9666无标准模型IPv4地址分为三部分：CPE内：私网地址CPE-LSN之间：v4地址（运营商私网地址）LSN外：公网地址为什么叫NAT444CPE和LSN各做一次NAT44，合称为NAT444若CPE为桥接时，就是NAT44NAT444通过双栈方式支持IPv6终端CPELSN外网v4v4v4标准模型基于网关的架构基于主机的架构两种架构基于网关基于主机解决私网v4穿越V6网络访问公网v4问题v4Overv6隧道方式B4到AFTR建立V6隧道私网V4到公网V4的NAT功能建设成本低，只需部署LSN设备高，需要部署AFTR，还需要更换现网的CPE对应用影响两次NAT，部分应用受影响一次NAT产业链成熟度高，LSN设备主要功能还是NAT一般，需要CPE支持V6等特性运营商为用户分配的地址IPv4私网地址IPv6终端访问v6资源方式终端/网络都为双栈终端双栈，网络为纯V6/双栈IPv6演进积极性被动演进主动演进DS-Lite的最大问题是需要更换现网CPE参考：中国电信NAT444架构组成NAT444是基于NAT444网关，结合AAA服务器、网管服务器、日志服务器等配套系统，提供运营商级NAT转换，并支持用户溯源和单点认证的部署方案和整体解决方案。接收用户映射参数，生成和维护用户映射表，实现运营商级NAT转换维护各NAT444网关的用户地址映射关系表，负责用户认证、授权和计费，记录和维护用户计费和账号等信息接受和记录用户访问信息，响应用户访问信息查询负责管理NAT444网关设备，并把用户地址映射参数发送到NAT444网关和AAA服务器参考：中国电信DS-Lite架构主要包括B4、AFTR、BRAS、DHCPv6服务器、DNS服务器、AAA服务器、日志采集模块、查询模块为B4分配IP6地址，通常嵌入BRAS必须支持双栈解析请求采用V4Radius报文承载，支持V6属性通过Syslog协议采集AFTR的NAT日志信息，目前Syslog采用基于V4的UDP报文承载，端口号514，建议省集中设置可以与AAA或其它功能模块合一。首先查询日志采集模块获得映射关系，然后再查询AAA服务器，获得V6地址与用户账号的对应关系设备部署场景SR/BRAS/CR插卡独立大容量LSN紧耦合松耦合,对现网影响小可实现BRAS与NAT之间的联动标准化程度高扩展性弱容量大，扩展性强备份冗余部署复杂可靠性高成本较高经济灵活小结：宽带接入IPv6过渡主要技术双栈+NAT444模式特点：•对于桥接型CPE接入的宽带用户,该方式发展IPv6用户比较方便;•路由型的CPE需要在传统NAT功能的基础上支持IPv6协议栈IPv4CGNIPv6CPENAT44用户运营商双栈网络InternetNAT44NAT444架构双栈v4v6IPv4CGNIPv6CPE用户运营商v6网络Internet双栈v4v6IPv6Tunnelv6v4v6v4NAT4转换双栈+DS-Lite模式特点：•采用支持DS-Lite方式的路由型CPE只给用户提供IPv6接入,因此改造用户较为彻底门户网站改造需求解决IPv6终端访问IPv4服务器的问题Smart6系统希望以较少的代价和复杂度在IPv6互联网边缘增加IPv4CP/SP/IDC的接入能力，从而丰富IPv6互联网上的应用，增加IPv6互联网上的流量。尽可能降低设备的实现难度、复杂度及设备成本，提高设备的可扩展性、可靠性及适用性IDC网络(IPv4-only)IPv6networkIPv4-onlyServerDual-stackClientIPv4-onlyClientIPv6-onlyClientBRAS/SRSmart6网关部署在IDC出口处,可采用旁挂式Smart6本地DNS授权DNSIPv4network增加IPv4server对应的AAAA记录在获得A和AAAA记录后优选IPv6传输Smart6：协议翻译（IPv6IPv4）,NAT64和IVI的改进型方案模型组件Smart6网关Smart6网关主要负责在IPv6互联网中接入只支持IPv4的ICP/IDC，它对用户侧IPv6地址和10.0.0.0/8（或192.0.0.0/16）私网地址间的动态映射，和对应用服务器侧IPv4公网地址和特定格式IPv6地址间的无状态映射。DNS服务器DNS服务器主要负责对用户访问应用服务器的DNS请求进行地址解析，实现对A和/或AAAA查询的反馈，具备DNS64功能•基于IRF的弹性资源池技术,提供:•高性能,容量可扩展;•高可靠,部件热备冗余;IRF弹性资源池CRInternet城域网IPv6转换资源池16K16K资源池技术—平滑扩展弹性架构平滑扩容带宽扩展负载均衡智能弹性架构的扩展一台两台四台…跨设备的链路捆绑技术100%负载25%25%25%25%AnyChassisAnySlot多出口流量流向优化ISP1路由ISP2路由•智能出口选路：实施精细化的流量流向控制策略，充分利用免费内容资源，保证对重要应用与业务的稳定、可靠服务，同时控制出口成本•提高出口可靠性：探测出口链路的硬件、软件故障，动态的进行数据流分发，提高链路利用率。多出口虚拟化为一个资源池，大幅提高可靠性•多ISP安全防护：启用虚拟FW与多个ISP连接，分别部署安全策略(X)系列LSN-S12500系列AFC/AFDLBSSLVPNIPSACGNAT/FW按需扩展业务种类按需扩展LSN平台LSN-CR16000系列200G超100G100G高性能、易扩展、全系列LSN产品支持虚拟池技术目录IPv6过渡解决方案介绍IPv6部署考虑问题H3C公司IPv6进展介绍过渡演进路线IPv6演进涉及多个产业链，包括业务（SP/CP)、网络和终端具体到不同业务，有不同的演进技术宽带接入大客户专线IDC业务系统承载网支撑系统终端业务系统承载网支撑系统终端业务系统承载网支撑系统终端IPv4IPv6IPv4/v6共存DS-LITENAT444NAT64DNS646PE用户接入模式模式一（主流）：桥接型接入用户终端直接PPPOE拨号，获取V4和V6地址STB通过ND获取地址访问V4资源通过NAT44模式二：路由型接入：HG采用PPPOE＋DHCP6PD方式，获取v4地址和v6地址前缀终端由HG分配v4和v6地址访问V4资源通过NAT444接入网双栈BRASswitchAAA路由型HG桥接型HG公网B4PPPOE+DHCPv6PDPPPOE双栈终端双栈终端双栈终端AFTR/nat444over6模式一模式二模式三模式三：DS-LITE接入B4终端PPPOE＋DHCPV6PD获取v6地址，再和AFTR建立隧道B4终端为用户分配v4和v6地址访问v4资源通过AFTRSTBNDNDSTBND地址如何获取、如何认证？桥接型、路由型？？上EthernetPPP-LCP:•用户认证•连接建立•连接的维护和监控IPCP:•通过本地或Radius地址池分配IPv4地址•DNSServer地址下发IPv6CP:•Interfaceid•DHCPv6配置IPv6global地址•DHCP-PD配置IPv6prefixes•IPv6DNSserver地址等下发获取地址流程：PC做PPPOE拨号PADIPADOPADRPADSPPPoEDiscoveryStageConfigure-RequestConfigure-RequestConfigure-AckConfigure-AckPPPLinkEstablishmentPhase(LCP)PPPAuthenticationPhase(CHAP)ChallengeResponseSuccessAccess-requestAccess-AcceptIPCP(略)IPv6CP(略)RA(携带分配的前缀)NS(GlobalAddressDAD)PADTPADT用户访问网络资源Accounting-Request(start)Accounting-ResponseAccounting-Request(stop)Accounting-ResponseUSERMSERADIUS获取地址流程：HG做PPPOE拨号PADIPADOPADRPADSPPPoEDiscoveryStageConfigure-RequestConfigure-RequestConfigure-AckConfigure-AckPPPLinkEstablishmentPhase(LCP)PPPAuthenticationPhase(CHAP)ChallengeResponseSuccessAccess-requestAccess-AcceptIPCP(略)IPv6CP(略)DHCPv6-SolicitDHCPv6-AdvertiseDHCPv6-RequestDHCPv6-ReplyDHCPv6-PDStageRA(携带分配的前缀)NS(GlobalAddressDAD)DHCPv6-Information-RequestDHCPv6-Reply用户访问网络资源PADTAccounting-Request(start)Accounting-ResponseAccounting-Request(stop)Accounting-ResponsePADTUSERHGMSERADIUS获取地址过程STBIPv4地址获取流程IPv6时流程基本一致，对应IPv6的各OPTIONoption60对应16option82对应18和37仍存在的问题PPPoEv6问题：与v4不同，pppv6（RFC5072)中分给用户的是link－local地址，需要通过SLAAC或DHCPv6来获取可用v6地址解决方式：电信提出新的draft