DS-Lite协议讲解及报文分析文档摘要:本文档主要介绍DS-Lite原理及在IPv6测试用例中如何测试DS-Lite相关用例关键字:DS-Lite、IPv6、IPv4overIPv6隧道、AFTR、CGN1DS-Lite简介众所周知,推动IPv6最根本的动力就是IPv4地址匮乏。IPv6演进技术的考虑点:如何引入IPv6既要继续提供原有IPv4业务,又要考虑IPv4地址当前的压力业界涌现了多种IPv6演进方案(双栈+NAT44/NAT444、DS-Lite、6RD和NAT64等),具体采用哪种方案,取决于运营商自身情况和IPv6演进策略,但对于一点业内已达成共识:DS-Lite是IPv6演进方案的最终模型。原因是DS-Lite方案在IPv6网络中不仅可以提供IPv4和IPv6双栈业务,而且可提单栈IPv6业务;随着IPv6业务的增长,IPv4业务会逐渐变成“孤岛”,IPv6业务则成为主流;因此,DS-Lite技术架构是符合未来的发展趋势,为IPv6演进方案的最终模型。DS-Lite技术的本质是在IPv6的网络中部署IPv4-in-IPv6隧道完成IPv4业务传输,而IPv6业务则直接通过IPv6网络传输。这里先介绍下AFTR这个新名词,AFTR全称为DS-LiteAddressFamilyTransitionRouterelement。该网元终结了IPv4-in-IPv6隧道,并且实现了NATIPv4-IPv4的功能。其中,AFTR在运营商网络中为CGN;该CGN可为独立CGN设备,也可以为插卡式CGN(将CGN单板插在业务控制节点)。目前中国电信4.0技术规范已经将DS-Lite作为电信运营商推广IPv6的过渡技术,随着时间的推移,运营商主干网络将逐步升级为支持IPv6的设备,但是某些服务器以及用户终端设备可能还来不及切换到支持IPv6的设备,那时候用户终端想要和服务器进行通信就需要穿越IPv6网络,所以必须使用DS-Lite技术来实现过渡。2DS-Lite协议讲解对于我们公司生产的家庭网关来说,家庭网关充当了一个B4的角色,那什么叫B4呢?B4全称为BaseBridgingBroadBandElement。因为该名称中有4个B,所以简称为B4,B4设置应具备双栈的功能以及向AFTR创建IPv4-in-IPv6的隧道。家庭网关在DS-Lite业务模型中会通过DHCPv6Option64字段获取到AFTR服务器的域名,然后通过DNS解析到AFTR的地址,当解析到AFTR的IPv6地址后,家庭网关在收到一个IPv4到IPv4的请求后,会在这个IPv4报文头部前加上一个IPv6报文头,IPv6报文头的源IPv6地址为家庭网关WAN连接的IPv6地址,目的IPv6地址则为AFTRIPv6地址,这样这个报文就可以在IPv6网络中传输了,当AFTR接收到这个报文后,会把IPv6报文头剥离掉,此时这个报文就是当初用户端主机发送的IPv4请求报文,该请求报文的源IPv4地址为用户端主机的IPv4地址,是一个由家庭网关分配的私网IPv4地址,既然家庭网关没有对这个私网IPv4地址进行转换,那么就需要AFTR服务器对这个私网IPv4地址进行转换,AFTR将私网IPv4地址转换为公网IPv4地址后发送到IPv4网络中,这样对端的IPv4服务器就能正常接收并处理这个报文了,而且还不知道这个报文其实已经穿越了IPv6网络了,具体的原理图如图1所示。图13DS-Lite配置既然家庭网关在DS-Lite业务模型中充当了B4的角色,那么家庭网关就需要知道AFTR服务器的地址,怎么获取AFTR服务器地址呢?通过在DHCPv6Solicit报文中添加一个Option64字段,如图2所示。图2DS-Lite服务器在Adversite报文中回复了AFTR服务器的域名“aftr.ds-lite.com”,而不是AFTR服务器的IPv6地址,此时还需要家庭网关通过DNS解析到AFTR服务器的IPv6地址,解析出来的IPv6地址为“2111:133:133:133::1”,如图3和图4所示。图3图4在家庭网关上开启DS-Lite功能如图5所示,由于使用的VLAN3331是DHCPv6+PD,所以需要在WAN连接页面勾上获取地址和获取前缀,而且IP模式应该选择IPv6单栈模式,如果选择了IPv4/IPv6双栈模式,那么WAN连接就会获取到IPv4和IPv6地址,如果WAN连接获取到IPv4地址,那么PC访问IPv4地址的时候就直接通过WAN连接IPv4地址访问了,不会加上IPv6报文头。图5WAN连接创建完成且获取到IPv6地址后,就可以在连接家庭网关的PC上访问IPv4资源了,本文档以Ping182.16.100.100讲解,在WAN口镜像抓包查看IPv4报文在IPv4报文头前加了一个IPv6报文头,且源IPv6地址为WAN连接IPv6地址,目的IPv6地址为AFTRIPv6地址,如图6所示。4DS-Lite报文分析图6在PC机182.16.100.100上抓包,ICMP报文已经剥掉了IPv6报文头,只剩下IPv4报文头,而且ICMP报文源IPv4地址为182.16.100.252,182.16.100.252是经过AFTR转换后的IPv4地址,如图7所示:图7实验网的AFTRIPv4地址为182.16.100.251,需要通过SSHv2登录,登录成功后可以看到aftr.conf配置文件内容,如图8所示。图8用一张图来说明DS-Lite的工作原理,如图9所示中国电信家庭网关供货检验测试要求中DS-Lite测试用例没有要求测试DS-Lite协议的实现原理,而是测试在开启DS-Lite情况下业务情况。DS-Lite对应的节点为InternetGatewayDevice.WANDevice.1.WANConnectionDevice.{i}.WANIPConnection.1.X_CT-COM_Aftr。