杨 哲 中国信息通信研究院技术与标准研究所工程师

张树杰 睿哲科技股份有限公司工程师

尹华瑛 中国信息通信研究院科技发展部工程师

1 引言

随着互联网的飞速发展，原有IPv4地址不足的问题日益明显，IANA已在2011年2月3日将全球IPv4地址全部分配完毕，而运营商在大力推进移动互联网、5G的同时不得不面对IPv4地址枯竭所带来的问题。因此，采用IPv6协议已成为各方的共识。从IPv4网络向IPv6网络过渡势在必行。

而目前IPv4向IPv6的过渡技术主要有3个方向，即IPv4/IPv6双栈网络、协议翻译技术及隧道技术。双协议栈是IPv4向IPv6网络推进的基础，更是各种过渡隧道的基础。而当纯IPv4单栈主机与纯IPv6单栈主机之间通信的时候，由于协议堆栈不同，必然需要引入网络协议翻译转换技术。

在向IPv6网络过渡策略选择上，许多运营商确定以双栈网络改造作为初期阶段向IPv6演进的最优策略，但运营商完全向IPv6迁移之前，大多数用户仍需要访问IPv4的网络服务。因此，保持IPv4业务的连续性和全面向IPv6的过渡是相同重要的两个问题，目前具有代表性的改造部署方案主要有LSN/CGN、DS-Lite和NAT64等，而DS-Lite则是本文讨论的重点。

●LSN/CGN（运营商级网络地址翻译）技术是基于网络进行大规模地址和端口进行转换，需要维护大量的网络地址，并进行相关的用户数据和策略管理。

●NAT64技术实现单栈IPv6用户主机到IPv4网络站点的单向访问，对于IPv6的单协议栈的主机而言是有意义的，比如在LTE网络中IPv6单栈手机用户访问IPv4网络站点资源的场景。但采用NAT64的同时需要在网络中引入DNS64的功能。

2 当前网络环境格局

从Google的IPv6用户统计数据来看，2009—2018年3月，GoogleIPv6用户数极速增长，现IPv6用户数占总访问量的18.31%，约1.45亿独立访问量。

2017年1月—2018年3月，全球IPv6出口平均流量为67.6G，最高为95.8G。

可以看出，全球的IPv6演进正迎来一个新的发展时机。网络改造不可一刀切，因此在保证IPv4业务连续性的大前提下，全面向IPv6网络演进过程中如何将相互之间不兼容的IPv4与IPv6协议进行连接的问题最为明显，即各个信息“孤岛”之间的互联成为运营商急需解决的问题。本文首先介绍了DS-Lite的基本原理，以及在运营商中如何进行部署实施，其次对网络安全问题进行分析，最后对该业务场景下的应用进行了探讨和研究。

3 DS-Lite技术原理

DS-Lite是结合IPv4-in-IPv6隧道和改进版的IPv4网络地址转换（NAT）（即以tunnel-id/IPv6地址为NAT表索引）技术，由地址族过渡路由器单元（AFTR）设备和B4基本桥接宽带单元（Base Bridge Broadband Element）设备（常为家庭网关）协作完成IPv4和IPv6业务承载。

从图1可以看出，用户侧与城域网核心侧是两个被IPv6单栈接入网隔离开的信息孤岛，用户侧原先的私网IPv4协议无法通过单栈IPv6协议连接到城域网中。因此，使用隧道技术将两座信息孤岛进行连接显得至关重要。

图1 DS-Lite技术原理示意图

3.1 B4设备为支持DS-Lite的路由型网关

（1）业务职责方面

●面向用户侧，B4设备开启DHCP系统功能，为用户侧终端分配私有IPv4地址。

●面向网络侧，B4设备通过DHCPv6Option64字段获取到AFTR服务器域名，然后通过DNS解析到AFTR的网络地址，由此隧道建立成功。

（2）业务流量传输过程

在访问IPv4业务时，当解析到AFTR的IPv6地址的路由型网关在接收到一条IPv4到IPv4网络的连接请求后，会在这个IPv4报文头部前加上一个IPv6B4地址头部来用于网络层源地址，IPv6报文头部为网关通过DHCPv6拿到的WAN口地址，网络层的目的IPv6地址则为对端AFTR地址，这样这个报文就可以在IPv6网络中传输了。

用户访问IPv6业务时，则直接通过NativeIPv6网络实现。

3.2 AFTR设备的物理形态可以是支持DS-Lite功能的独立式设备或是融合型嵌入式设备

（1）业务职责方面

AFTR设备主要是作为DS-Lite隧道的终结点，负责为下面的CPE下发DS-Lite的隧道地址，并维持该隧道的状态。同时，AFTR设备需要进行网络地址转换动作。

（2）业务流量传输过程

当AFTR设备接收到IPv4-in-IPv6报文后，会将原有IPv6报文头部剥离掉，此时这个报文就是当初IPv4用户端主机发送的IPv4请求报文，该请求报文的源IPv4地址为用户侧主机的IPv4地址，是路由型网关分配的私网IPv4地址，网关并没有对这个报文进行NAT转换，那就需要AFTR设备对这个私网IPv4地址进行地址转换，AFTR设备将私网IPv4地址转换成公网IPv4地址后发送到IPv4网络中。这样对端的IPv4网络站点就能正常地接收并处理这个报文，而且并不知道这个报文已经穿越IPv6环境的中间网络。

4 部署方案

4.1 运营商基础网络架构

目前，国内的几大运营商的网络结构基本都很相似，主要包含核心路由、业务控制、宽带接入（含汇聚和接入）3个层面。根据业务需求，各层面分别部署核心路由器（CR）、业务路由器（SR）、宽带远程接入服务器（BRAS）、汇聚交换机、接入交换机、光线路终端（OLT）、光网络单元（ONU）等设备。

●在核心路由层，主要是高速转发来自城域网的各类进出流量，出口路由器用于连接IP骨干网，作为城域网的主要进出口设备。

●在业务控制层，主要实现对用户及流量的控制和管理。该层由SR及BRAS组成，并覆盖到主要汇聚节点，以提供更好的业务开放能力。

●在宽带接入层，主要用于用户的流量接入，包含了LAN、xDSL、GPON和EPON等广覆盖的接入设备，以实现最后一公里的接入。

4.2 DS-Lite系统结构组成

B4和AFTR之间可以部署为IPv6单栈网络，也可以为双栈网络。

BRAS设备为城域网接入级设备，一般内置DHCP Server功能模块，作为Radius源配合AAA系统协同完成用户认证和地址分配任务。对于内嵌DHCPv6模块可为DS-Lite B4侧终端分配IPv6地址、Prefix、IPv6 DNS地址等。

DNS服务器必须具备支持双栈协议的解析请求能力，支持A记录级AAAA记录，在DS-Lite系统中，接受B4侧发出的IPv6DNS解析请求。

AAA服务器负责用户认证、授权及计费等内容。记录和维护用户计费和账户等信息，AAA服务器可以采用双栈化Radius报文承载。

日志采集服务器为实现溯源目的的功能模块，通过SYSlog协议采集AFTR的NAT日志等信息。

4.3 DS-Lite系统部署方案

结合以上介绍的运营商网络，根据DS-Lite隧道设备的部署位置有不同的部署方案，具体可分为分布式旁挂BRAS/SR设备、集中式旁挂CR设备两种部署方式。

这两种部署方式都具备部署方式简单、可控制性强、可靠性强的特点，不同的是AFTR设备的位置不同，分布式旁挂是通过将AFTR设备旁挂于SR或者BRAS设备，而集中式旁挂则是将AFTR设备旁挂于CR。

建议在部署初期AFTR以分布式部署为主，以业务片区为单元，在相应的BRAS/SR上旁挂AFTR设备；部署后期AFTR以集中式部署为主，以方便对AFTR设备进行集中管理。

5 业务流承载

5.1 IPv4业务流承载

B4开启DHCPv4功能，为内部局域网终端分配私有IPv4地址，并发起PPP认证，运营商网络通过Radius服务器认证后，以DHCPv6协议下发用户IPv6地址，可通过静态配置或DHCPv6 Option64、DNSv6方式通告AFTR设备位置信息（IPv6地址）。B4发起建立至AFTR的IPv4-in-IPv6隧道，封装出向IPv4数据流，数据包源地址为B4WAN接口IPv6地址，目的地址为AFTR LOOPBACK接口IPv6地址，并解封装目的地址为B4 WAN接口IPv6地址的入向IPv6数据包。

AFTR设备建立至B4的IPv4-in-IPv6隧道并执行NAT功能，即实现解封装目的地址为AFTR自身IPv6地址的出向IPv6数据包，对内嵌IPv4数据包执行IPv4-IPv4NAT，并基于NAT会话表项对入向IPv4数据包执行IPv4NAT转换，然后封装并通过隧道传送至B4。由于用户IPv4地址由用户自行分配，不同用户IPv4地址可能会相同，为避免冲突，AFTR内部维护的NAT表项与普通IPv4NAT不同，增加B4的WAN接口IPv6地址以区分用户。

5.2 IPv6业务流承载

AFTR和B4间对IPv6流量执行Native转发。

6 网络安全

IPv6网络不仅解决了IPv4地址量枯竭问题，还对IPv4协议栈中诸多不完善之处进行了较大的修正，其中显著的就是将IPSec（IPSecurity）集成到了协议栈中，从此IPSec将不再单独存在，而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分。IPSec提供4种形式来保护共有或私有IP网络来传输的数据安全，即安全关联（SA）、IP认证头（AH）、IP封装安全载荷（ESP）、密钥管理（KeyManagement）。由此可以看出IPv6网络的优势，但对于部署DS-Lite的IP城域网安全角度而言，其网络安全问题关键单元在于AFTR设备，无论是独立式AFTR设备还是融合型AFTR设备，应当关注非法访问连接、最大并发会话数过载、设备可靠性等安全问题，出于整网安全角度出发，也是对AFTR设备提出了更高要求。

●对于访问连接安全方面，AFTR设备应具备一定的安全功能，如ACL（访问控制列表）用于检查隧道源地址是否属于非法/非认证地址。

●对于最大并发数过载方面，由于DS-Lite网络中大量IPv4私网地址复用。AFTR设备应可限制每个用户的连接会话数，已防止资源耗尽遭到DoS攻击。

●可靠性方面，AFTR设备应具备热插拔功能，提供关键部件冗余、故障板卡切换等能力，对于单机宕机时能够较快地恢复业务并支撑服务，也可适当在AFTR集群前提供负载均衡设备部署。

7 结束语

随着IPv4公有地址资源的耗尽，在面向IPv6演进网络环境改造过程中，结合原有业务不中断、适度改造投入、便于维护、易于部署的平滑演进过程，必要遵循纯IPv4网络IPv4/IPv6双栈且IPv4业务占主流IPv4/IPv6双栈且IPv6业务占主流纯IPv6网络的发展思路，目前各大运营商都在加速推进IPv6，这是一个长期的过程。但在过渡过程中，需要使用到不同的过渡技术解决不同场景下遇到的问题。对于过渡技术要进行多方面的考量，包括适用场景的分析、地址格式的规约、控制层面、数据层面、安全层面以及可扩展性、是否易于部署等问题。这就对隧道技术，特别是DS-Lite隧道技术提出了更高的要求。