前言

隨著互聯網業務的快速發展，互聯網號碼分配授權委員會(IANA)及亞太互聯網絡信息中心(APNIC)可分配的IPv4公有地址已于2011年上半年分配完畢，各電信運營商所申請的IPv4公網地址也將陸續耗盡。但隨著互聯網的進一步發展和普及，尤其是移動互聯網、物聯網、云計算等各類新應用的迅速發展，IP地址需求將呈現快速增長趨勢，且需求量巨大，電信運營商即將面臨新增用戶業務開放無IPv4地址可用的窘境。IPv6是下一代互聯網的發展起點，它不僅解決了IPv4地址資源的枯竭問題，還將成為其他產業(如物聯網、云計算等新興互聯網產業)發展的基礎和支撐。

面對這一機遇，我國政府極為重視并積極推動相關的戰略部署。2011年12月，國務院常務會議研究部署了加快發展下一代互聯網產業的有關問題，明確了發展下一代互聯網路線圖，提出了2013年年底前開展IPv6網絡的小規模商用及2014—2015年開展大規模部署和商用的工作目標。這一規劃將加速我國IPv6及下一代互聯網產業的發展步伐、提升我國在一系列新興互聯網產業中的國際競爭力。

從IPv4向IPv6演進是個復雜的系統工程，除涉及IP骨干網/城域網、移動網、業務平臺、IT系統、終端等眾多方面外，還將涉及到產業鏈各方博弈破局、投資保護、演進風險等諸多領域。

由于我國IP城域網設備種類繁多、使用年限不一、支持IPv6的程度參差不齊，因此演進難度會更大、過渡時間會更長，會在較長時期內處于IPv4和IPv6網絡并存的狀態。本文試從向IPv6演進較復雜的IP城域網出發，探討基于輕型雙棧(DS-lite)的過渡技術方案在IP城域網向IPv6演進中的部署和應用。

1 DS-lite技術簡介

1.1 DS-lite技術原理

DS-lite是結合IPv4 in IPv6隧道和改進版的IPv4網絡地址轉換(NAT)(即以tunnel-id/IPv6地址為NAT表索引)技術，由地址族過渡路由器單元(AFTR)設備和B4基本橋接寬帶單元(Base Bridge Broadband Element)設備(常為家庭網關或用戶終端)協作完成IPv4和IPv6業務承載。DS-lite技術原理示意見圖1 。

由圖1可知，B4設備為支持DS-lite的路由型網關：對內開啟動態主機配置協議(DHCP)v4系統功能，為內部終端分配私有IPv4地址(若B4為軟終端，則固化私有IPv4地址);對外根據點對點協議(PPP)發起向AFTR請求，AFTR通過遠程用戶撥號認證系統(RADIUS)認證后，利用DHCPv6系統為其分配IPv6地址，B4發起建立至AFTR的IPv4 in IPv6隧道。用戶訪問IPv4業務時，將通過家庭網關將IPv4流量封裝到IPv6隧道中，傳送至網絡側的AFTR設備進行解封裝和NAT，實現業務訪問;用戶訪問IPv6業務時，則直接通過Native IPv6網絡實現。

1.2 DS-lite技術標準進展情況

目前，IETF已將DS-lite主體標準列入了工作組文檔，相關配合標準也已進入了RFC(指互聯網工程任務推進組織(IETF)的一個無限制分發文檔)編輯隊列或已成為工作組文檔。有關廠商可參照相關文檔研發符合DS-lite標準規范的產品，運營商也可參照相關文檔對相應的業務流程及IT系統進行改造。DS-lite技術標準進展情況如下所述。

a) 主體標準。draft-ietf-softwire-dual-stack-lite-07已進入AD go-ahead等待狀態。

b) 通過DHCPv6選項動態分配AFTR地址、域名，draft-ietf-softwire-ds-lite-tunnel-option-10已進入RFC編輯隊列。

c) 通過Radius擴展屬性下發AFTR地址、域名，draft-ietf-softwire-dslite-Radius-ext-02已成為工作組文檔。

2 基于DS-lite的IP城域網向IPv6演進方案

2.1 IP城域網現狀

目前，國內各大運營商的IP城域網結構都很相似，主要包含核心路由、業務控制、寬帶接入(含匯聚和接入)等3個層面。根據業務需求，各層面分別部署核心路由器(CR)、業務路由器(SR)、寬帶遠程接入服務器(BRAS)、匯聚交換機、接入交換機、 光線路終端(OLT)、光網絡單元(ONU)等設備。IP城域網結構示意見圖2。

a) 核心路由層。核心路由層主要負責高速轉發城域網各類進出流量。出口路由器分別與公用IP骨干網(主要承載一般的互聯網流量)及專用IP骨干網(主要承載運營商的自有業務流量，如虛擬專用網(VPN)、3G中繼電路等)互聯。此外，部分節點還可根據傳輸資源及業務規模等情況配置匯接路由器，以對城域網流量實施分片區匯聚。

b) 業務控制層。業務控制層主要實現對用戶及流量的控制和管理。該層由SR及BRAS組成，并覆蓋到主要匯聚節點，以提供更好的業務開放能力。

c) 寬帶接入層。寬帶接入層包含局域網(LAN)、數字用戶線路(xDSL)、 吉比特無源光網絡(GPON)、 以太無源光網絡(EPON)等接入方式，以形成一個覆蓋廣泛、接入方式更多樣的寬帶接入網。

2.2 部署方案

DS-lite方案基于部署位置可分為分布式和集中式2種方案，其中：分布式旁掛BRAS/SR設備，集中式旁掛CR設備。基于設備形態又可分為獨立式和嵌入式2種方案，其中：獨立式整機功能專一，硬件實現DS-lite AFTR功能;嵌入式在BRAS/SR設備平臺上開發，采用專用業務單板實現DS-lite功能，并可提供支持PPPoEv6/IPoEv6+DS-lite的單板來實現用戶接入和DS-lite AFTR功能的集合。

根據AFTR設備形態，結合不同的部署層面，AFTR在IP城域網內有表1所示的4種部署方式。

IP城域網部署DS-lite方案的組網拓撲如圖3和圖4所示。

由于目前與DS-lite相關的AFTR和B4設備還在不斷完善中，因此建議在IP城域網部署中宜以不影響現有業務開展為前提，并遵循“控制風險，適度預留”的基本原則。

a) 初期AFTR以分布式部署為主，即：以業務片區為單元，在相應的BRAS/SR上插板(建議配置2塊或多塊AFTR板卡，實現1[∶]1或N[∶]1備份)，并根據片區覆蓋接入用戶向IPv6遷移的意愿，對其用戶端設備(CPE)進行改造或替換。

b) 隨著AFTR及B4設備成熟度的提升及成本的下降，中后期可對不同的IP城域網選擇合適的部署方案，如：大中型城域網仍以分布式插板部署為主，以獨立AFTR設備外掛BRAS/SR設備為輔;小型城域網以集中式獨立設備旁掛CR設備為主，以CR插板為輔。

c) 現階段獨立式AFTR設備暫不支持熱備，通過成組配置實現冷備，也可在一定程度上提升部署網絡的可靠性。不管是旁掛CR還是旁掛BRAS/SR部署，在AFTR設備配置上建議按成組冗余備份考慮，如：IP城域網2臺CR上各旁掛1臺AFTR、每臺CR上旁掛2臺AFTR，實現一主一備;IP城域網每臺BRAS上旁掛2臺AFTR，實現一主一備。

2.3 業務承載實現

IP城域網內承載的業務有IPv4和IPv6 2種。

2.3.1 IPv4業務流承載

B4開啟DHCPv4功能，為內部終端分配私有IPv4地址，發起PPP認證，運營商網絡通過Radius認證后，以DHCPv6協議下發用戶IPv6地址，并可通過靜態配置或DHCPv6等方式通告AFTR位置信息(IPv6地址)。B4發起建立至AFTR的IPv4 in IPv6隧道，封裝出向IPv4數據流，數據包源地址為B4 WAN接口IPv6地址，目的地址為AFTR LOOPBACK接口IPv6地址，并解封裝目的地址為B4 WAN接口IPv6地址的入向IPv6數據包。

AFTR建立至B4的IPv4 in IPv6隧道并執行NAT功能，即實現解封裝目的地址為AFTR自身IPv6地址的出向IPv6數據包，對內嵌IPv4數據包執行IPv4-IPv4 NAT，并基于NAT會話表項對入向IPv4數據包執行IPv4 NAT轉換，然后封裝并通過隧道傳送至B4。由于用戶IPv4地址由用戶自行分配，不同用戶IPv4地址可能會相同，為避免沖突，AFTR內部維護的NAT表項與普通IPv4 NAT不同，增加B4的WAN接口IPv6地址以區分用戶。

2.3.2 IPv6業務流承載

AFTR和B4間對IPv6流量執行Native轉發。

從上述IPv4和IPv6業務流承載分析可知，在IP城域網內部署DS-lite后，可較好地實現IPv4單棧用戶、IPv6單棧用戶、雙棧用戶等通過隧道或直接轉發的方式訪問相應的IPv4和IPv6應用資源，滿足各類互聯網應用的承載需求。根據中國電信相關省份試點的反饋情況，目前IP城域網內已部署DS-lite AFTR設備的功能和性性可基本滿足業務需求，DS-lite軟/硬終端基本功能測試無發現問題，v4/v6網絡資源下的聊天、游戲、網頁、視頻、點播等互聯網業務及應用也基本正常，能支持SSL-VPN和L2TP-VPN等業務的開放。

2.4 地址分配及接入

2.4.1 地址分配

a) IPv6地址。需為CPE分配IPv6地址，地址格式不受限。

b) IPv4地址。CPE WAN側的IPv4地址無需規劃，可由用戶自行分配。用戶終端的IPv4私網地址由CPE進行分配。

2.4.2 終端接入

a) 硬終端接入。用戶側需提供支持DS-lite功能的路由型家庭網關B4，其中網關的WAN口支持PPP+鄰居發現協議(NDP)+DHCP方式獲得v6接口地址、家庭網絡前綴、DNS、AFTR地址，建議采用有狀態的DHCPv6;LAN口采用NDP/DHCP為v6終端分配v6地址，采用DHCPv4為v4終端分配私有v4地址和DNS、缺省網關地址。

b) 軟終端接入。需安裝定制化的DS-lite客戶端軟件，以配合橋接型網關實現接入。

2.5 相關路由及安全

對于IP城域網整體路由規劃而言，3層路由主要承載在業務控制層設備及城域網出口設備上，對于CR和業務控制層設備BRAS/SR均建議開啟雙棧，以便視需要開啟相應基于IPv6的路由進程。在現階段對于IPv6建議由城域網出口CR兼作，IGP v6主要運行在城域網出口CR與v6化改造的BRAS/SR間。優選中間系統到中間系統(ISIS)v6多拓撲模式，實現在一個路由進程中IPv4 與IPv6的獨立計算與獨立轉發，同時能夠支持雙棧路由器和IPv4路由器間建立鄰接關系;EGP v6主要運行在城域網出口CR與骨干網核心路由器、專用骨干網PE路由器間。優選BGP4+，城域網出口CR對外宣告用戶v6路由及v6 VPN路由，接收IPv6缺省路由或IPv6全路由。AFTR接口地址以任播(Anycast)方式通告到城域網路由域，以便B4能夠接入就近的AFTR設備建立v6連接或IPv4-in-IPv6的隧道。

對于部署DS-lite的IP城域網安全規劃而言，其關鍵網元在于AFTR。獨立式的AFTR應關注非法訪問連接、用戶會話數超限、單設備宕機等安全隱患，嵌入式的AFTR在此基礎上還應關注插板設備的整體安全特性是否滿足要求。

a) 防止非授權用戶。AFTR設備應提供某種方式確保只為已授權的用戶提供服務，如AFTR設備必須支持根據授權用戶的合法IPv6地址部署IPv6訪問控制列表(ACL)，以檢查隧道封裝的源地址。

b) 用戶會話數限制。由于在DS-lite部署中，IPv4地址被大量用戶復用。AFTR設備應能夠限制每個用戶的會話數量，以防止遭到DoS攻擊，耗盡其公網IPv4地址和端口資源。

c) AFTR板卡及設備備份。在負載均衡的基礎上，AFTR應具備一定的冗余備份機制，以防止某臺設備或者板卡出現問題時能夠較快地恢復服務。

2.6 相關支撐系統配合

部署DS-lite涉及DHCPv6協議、Radius交互、DNS協議與溯源，因此需要相關支撐系統的配合工作。

a) DHCPv6系統配合。為終端分配v6地址、Prefix、域名系統(DNS)v6地址和AFTR v6地址/完全合格域名/全稱域名(FQDN)等參數，可以是獨立設備，也可以是嵌入BRAS，但目前建議采用BRAS內嵌的方式來實現。

b) DNS系統配合。DNS必須升級支持雙棧解析請求，具備A和AAAA記錄，在DS-lite場景中，接受B4發送的v6 DNS解析請求。

c) AAA系統配合。需AAA系統進行相應改造以配合DS-lite部署后IPv6相關業務流程的支撐工作：通過協議拓展增加相關IPv6屬性，至少包括RFC 3162和RFC 4818規定的7個IPv6屬性：接入服務器的IPv6地址(NAS-IPv6-Address)、框定的接口ID(Framed-Interface-Id)、框定的IPv6前綴(Framed-IPv6-Prefix)、登錄的IPv6主機地址(Login-IPv6-Host)、框定的IPv6路由(Framed-IPv6-Route)、框定的IPv6地址池(Framed-IPv6-Pool)、指定的IPv6前綴(Delegated-IPv6-Prefix)。在完成AAA相應改造的同時還需要BRAS相應的改造升級，以支持上述協議的拓展。

3 結束語

隨著IPv4公有地址的耗竭，為了確保業務的持續發展，各大電信運營商都在著力推進IP網絡從IPv4向IPv6演進的進程，并紛紛進行試點，包括DS-lite方案、NAT444方案等。但從目前試點情況來看，由于各種方案和標準都還在不斷完善中，還都尚未定型，在演進過程中，具體究竟選用何種方案，需結合各運營商IP網絡實際情況、用戶發展狀況、終端支持能力、標準技術成熟度、網絡改造成本等因素綜合考慮確定。

責任編輯：gt