IPv6组网及配置规范介绍

12013年9月IPv6组网及配置规范介绍广州研究院内容说明•《ChinaNet组网与策略规范（2013版）》–修订《ChinaNet组网与策略规范（2010版）》•《中国电信IP城域骨干网组网与策略规范（2013版）》–修订《中国电信IP城域骨干网组网与策略规范（2010版）》•《中国电信城域网设备IPv6配置要求》–2012年编制并下发2目录ChinaNet组网与策略规范——IPv6改造方案IP城域骨干网组网与策略规范城域网设备IPv6配置要求231ChinaNet的IPv6改造方案•骨干C、D、RR全网设备开启双栈•路由功能–域内运行ISIS/ISISv6，开启多拓扑功能，支持IPv4和IPv6按照不同拓扑进行SPF计算–域间运行eBGP4+4CDDDD设备开启双栈….….…广州、深圳、无锡、苏州、南京、杭州、福州等全部C、D节点RR全部C设备改造现状：已经完成ChinaNet国内骨干网的双栈改造，国际网络暂未改造，目前通过CT-CNGI访问国际国内IPv6资源，IPv4保持不变目录ChinaNet组网与策略规范——组网规范修订要点IP城域骨干网组网与策略规范城域网设备IPv6配置要求231修订说明•修订背景–ChinaNet骨干网进行IPv6改造，用于承载IPv4和IPv6业务流量•修订ChinaNet组网与策略规范（2010版）–继承2010版规范的文档结构–增加IPv6组网策略小节•修订考虑的因素–IPv6承载需求–现有网络架构–IPv6改造方案、技术成熟度、成本和复杂性等6与2010版组网策略的比较•网络组织结构保持不变–ChinaNet国内网络和国际网络组织不变–与CN2、城域网、MCE、其他运营商及客户的互联方式不变•IPv4路由策略、安全策略、地址规划不变•新增的IPv6相关内容–增加IPv6路由策略：•IGP路由策略•IPv6路由的BGPCommunity组织策略•IPv6BGP路由策略–增加IPv6网络安全策略：数据平面、控制层面、管理层面–引用IPv6地址规划–定义IPv6Community类型分配7IPv6的IGP策略•ChinaNet骨干网使用ISIS作为IPv6的IGP协议–IPv6的设备和链路信息在ISIS的Level-2通告–ISISMetric与IPv4保持一致•设备的loopback端口的IPv6路由信息按照/128进行通告•链路的IPv6路由信息按照/127进行通告•C/D/N/E设备开启多拓扑功能8IPv4路由的BGPCommunity组织策略9a.国内路由的Community格式b.国际路由的Community格式采用32为Community值，采用格式：AS号码:设定值业务类型普通路由国内差异化国际差异化全球差异化电信网内城域网01234VIP专线1011121314IDC业务2021222324公网业务平台3031323334运营商客户4041424344运营商伙伴(T&P)5051525354移动分组域(C网)6061626364AS号码和设定值长度都为16位，取值范围都是0~65535IPv6路由的BGPCommunity组织策略•IPv6BGPCommunity采用64位扩展的Community格式：类型:AS号:设定值10路由小类AS号码：协议预留类型：路由归属有效范围路由大类类型：16位范围：0-65535AS号：16位范围：0-65535设定值：32位范围：0-4294967295类型：长度16位，采用设备的缺省类型值，不单独定义IPv6路由的BGPCommunity组织策略（续）•IPv6BGPCommunity各字段的定义11字段取值范围描述备注协议0-90代表IPv4路由1代表IPv6路由1.2-9预留预留位000-999用于后续定义缺省值000有效范围0-9描述路由的发布范围，分成无限制(0)、国内（1）、国际（2）、全球（3）、电信网内（4）1.缺省的发布范围为02.黑洞路由仅在网内有效3.预留5-9作为路由归属000-999描述IPv6路由的归属地第1位取0，表示未指定路由地域，后两位也取值0；第1位取1，表示国内路由，后两位表示大区和省市；第1位取2-6，表示各大洲路由，后两位表示接入点和设备第1位取值7-9预留；路由大类0-9分成用户路由(1)、平台路由(2)、网络路由(3)、互联网路由(4)、特殊路由（9)等0：表示未设定,5-8预留路由小类0-9分别对应路由大类的各小类路由0:未设定小类大类(编码)小类(编码）用户路由(1)固网宽带(1)移动宽带(2)VIP专线(3)大客户专线(4)……平台路由(2)公网业务(1)CDN(2)iTV(3)IMS(4)支撑系统(5)……网络路由(3)城域网(1)IDC(2)移动分组域(3)ChinaNet骨干(4)……互联网路由(4)Customer运营商(1)上联Transit运营商(2)对等peer运营商（3）付费peer运营商（4）………………特殊路由(9)黑洞路由(1)DDoS流量清洗(2)VNH(3)……BGPCommunity的组织策略•IPv6BGPCommunity的设置原则、路由发布控制、部署原则等与IPv4路由相同•Community设置–接收路由时按照编码规范重置Community属性–重置Community属性发生在建立eBGP邻居关系的骨干网设备•路由发布控制–根据Community属性控制是否发布路由、设置localPref.、MED、as-path等BGP属性–设置步骤：•创建community列表，可用通配符•创建route-map，对匹配或不匹配的路由进行相应操作•应用到BGP邻居•IPv4路由采用原有Community、IPv6采用新定义的Community12IPv6的BGP路由策略•AS号4134由IPv4和IPv6逻辑网络共用•采用BGP4+作为IBGP和EBGP路由协议，承载IPv4和IPv6的路由信息–C/D/N/E设备分别与城域网、移动分组域、IDC以及国内运营商建立IPv6的BGPPeer–IPv4和IPv6分别建立BGPPeer关系•通过IPv4peer承载IPv4路由•通过IPv6Peer承载IPv6路由–IPv6的BGP路由采用与IPv4相同的LocalPref.和MED参考值–IPv6采用一级路由反射，建立3个cluster，分片区进行IPv6的路由反射，RR的部署策略与IPv4保持一致–IPv6的BGP采用64位扩展Community–IPv6的BGP路由不使用缺省路由–IPv6BGP路由的聚合策略•ChinaNet和城域网的网络地址进行统一聚合，路由前缀尽量小•对业务平台地址，以省为单位进行路由聚合，路由前缀尽量小•对于用户地址，以省为单位进行路由聚合，路由前缀尽量小13与城域网/IDC/MCE间的互联路由策略•接收路由–C/D设备接收的IPv6路由不应超过20条，路由前缀长度应小于等于/37–使用本省的汇总地址段进行模糊匹配，保证城域网和IDC向ChinaNet发布路由的合法性–使用localpreference与IPv4保持一致–重置IPv6Community属性•发送路由–ChinaNet向城域网/IDC/MCE发送IPv6的国内路由和城域网/IDC/MCE路由•暂不考虑接收用户自带的IPv6地址，待相关业务模式确定后再明确14与其他运营商间的互联路由策略•向其他运营商广播时，需尽量进行路由聚合，路由前缀长度原则上应小于等于/36•原则上只接收其他运营商广播的前缀长度/36以下（含）的IPv6路由，路由条数应不超过200条•接收路由–使用的LocalPref.与IPv4的策略保持一致–重置IPv6Community属性15IPv6数据平面安全策略•Loopback地址采用前缀长度/128的IPv6地址•链路地址采用/127的IPv6地址•使用IPv4的黑洞触发路由器，用来发布IPv6黑洞路由–IPv6黑洞路由的Community采用4134:1000400091–RR上修改黑洞路由的next-hop为0100::FFFF/64（RFC6666）–所有网络边缘设备配置静态路由•IPv6routestatic0100::FFFF64null0•C/D/N/E路由器面向城域网、IDC、MCE以及其他运营商的端口采用过滤技术拒绝目的地址明显非法的数据包–RFC4291：::1/128（loopback）–RFC4193：FC00::/7–其他IETF保留地址：0000::/8、0100::/8、0200::/7、0400::/6、0800::/5、1000::/4、4000::/3、6000::/3、8000::/3、A000::/3、C000::/3、E000::/4、F000::/5、F800::/6、FE00::/9、FEC0::/10•限制城域网/IDC/MCE/其他运营商地址对ChinaNet网络及设备的访问–允许对ChinaNet网络及地址进行IPv6Ping操作–用白名单允许省级网管对ChinaNet网络及设备IPv6地址的Telnet、SSH、SNMP端口的访问–允许对ChinaNet网络及设备IPv6地址的UDP32678-33678端口（Traceroute）的访问–不允许采用其他方式访问ChinaNet网络及设备地址16控制层面及管理层面安全策略•控制层面安全策略–ISIS的安全策略比照IPv4执行–BGP的安全策略参照IPv4路由策略–IPv6BGP的TTL安全检查、AS-Path长度以及邻居MD5安全认证参照IPv4执行–在路由器上应部署CoPP、LPTS、CPCAR等类似技术或其他流量限制技术，增强设备本身的安全性，仅允许必要的IPv6源地址访问设备上特定应用•管理层面安全策略–通过IPv6登录设备的安全要求与IPv4相同17目录ChinaNet组网与策略规范IP城域骨干网组网与策略规范——IPv6改造方案城域网设备IPv6配置要求231城域网的IPv6改造•城域网下一代互联网部署重点关注CR/BRAS/MSE/SR/CGN/AFTR等设备19城域网的IPv6改造（续）•改造点–城域网CR、BRAS、SR等设备开启双栈–部署CGN和AFTR•功能要求–支持公网双栈、私网双栈、轻型双栈三种用户接入方式•公网双栈：为用户分配IPv4公有地址、IPv6地址或前缀•私网双栈：为用户分配IPv4私有地址、IPv6地址或前缀•轻型双栈：为用户分配IPv6地址或前缀–支持用户溯源20目录ChinaNet组网与策略规范IP城域骨干网组网与策略规范——组网规范修订要点城域网设备IPv6配置要求231修订说明•修订背景–城域网进行IPv6改造，用于承载IPv4和IPv6业务流量•修订《中国电信IP城域骨干网组网与策略规范（2010版）》–删除原有第9章“IPv6”，增加第4章“互联网接入业务实现”–其他基本上继承了2010版规范的文档结构•修订考虑的因素–城域网组网方案–互联网接入业务实现方案–技术成熟、部署发杂性和部署成本等22与2010版组网与策略规范的比较•承载的业务类型不变–互联网接入业务–企业互联业务–视频业务–软交换/IMS业务–ITMS承载–C+W承载•QoS、城域VPN实现、软交换承载、ITV承载、C+W承载暂不考虑IPv6•网络组织基本保持不变–组网原则不变–目标组网结构基本不变，但增加部署运营级CGN/AFTR，提供运营级地址共享–增加IPv6路由策略相关内容•网络安全部分–“防护策略”引入IPv6相关策略要求23•增加“互联网接入业务实现”，描述公网双栈、私网双栈、轻型双栈三种接入方式的接入实现–接入业务实现–地址转换方式–用户溯源–对AAA和DNS的要求等城域骨干网总体路由组织•优先采用ISIS+IBGP4+承载网络和用户的IPv4路由和IPv6路由–ISIS用于承载设备间的互联链路和Loopback地址的主机路由–BGP用于承载用户路由–如果IGP路由条目小于1000，可以采用OSPF/OSPFv3•与C