一、概述
1、驻地网的概念
从电信领域来看,用户驻地网是随着智能终端的出现,以及多业务承载的需求,而从传统意义上的电信接入网中分化出来的网络组成部分。在传统的电信网络中(未引入ip技术,也出现对多业务的需求),业务的单一,导致了终端种类的单一,从而也使得接入网络的功能较为单一。当时的接入网是指本地交换端局与用户之间连接的媒介和设备,主要包括交接箱、分线盒、双绞线等,从本地交换端局到用户终端是典型的树状结构。用户终端都点到点的连接上一级接入设备(分线盒、交接箱)。到此时不存在用户驻地网络的概念。但是随着IP技术在电信网络中的应用、用户对多业务的需求增加、以及用户终端的智能化使得用户端的网络结构发生了变化,用户端网络的安全性、业务提供模式等问题均成为了研究的热点。因此其也正在逐步从接入网中分离出来,形成了一个新的网络组成部分,有着其自己的研究内容和重点,称之为用户驻地网(CPN-Customer PRemise Network)。
图1 用户驻地网逻辑图
目前,信息产业部把传统的电信接入网划分为两块,即用户驻地网和接入网。其中,用户驻地网指用户终端至局端用户网络接口(UNI)之间所包含的机线设备,主要是各单位和居民住宅区的用户网络。接入网由业务节点接口(SNI)和用户网络接口(UNI)之间的一系列传送实体(如线路设施和传输设施)组成,为通信业务而提供所需传送承载能力的设施系统。业务节点接口(SNI)是提供用户接入到业务汇聚点(POP)的业务节点(SN)的接口。UNI(用户网络接口)指的是终端设备与应用接入协议的网络终端之间的接口。
2、用户驻地网的综合组网需求
目前,互联网工程任务组(IETF)关于驻地网IPV4/V6组网需求的研究正在进行中,已经出现了一些建议草案,比如企业网IPV4/V6综合组网需求、非治理网络(办公室或家庭)IPV4/V6综合组网需求等。这些研究存在两个方面的问题:首先,这些草案均处于起步阶段;其次,IETF的这些研究均是针对互联网应用领域的,没有考虑到电信网络的需求。
实际上,对驻地网提IPV4/V6综合组网需求是有很大难度的。
首先,用户驻地网的网络种类比较多,比如,企业网、住宅小区网等,这些网络对网络结构的要求不同。用户驻地网络所采用的技术不同,如以太网、非对称数字用户环路(ADSL- Asymmetrical Digital Subscriber Line)、综合数字业务网(ISDN)等。
其次,用户驻地网的现有网络结构对IPV4/V6综合组网方案的制订有直接的影响;
另外,现有网络的改造需求也不尽相同,比如对于企业网来说,有的要求建立一个和IPV4网络平行的IPV6网络,有的则只是要求在现有IPV4网路上支持少数的基于IPV6的应用。
在用户驻地网综合组网方案设计时需要考虑的问题较多:
(1)驻地网以何种形式通过接入网联入城域网(单出口还是多出口);
(2)驻地网的地址分配情况,当前使用的是IPV4私有地址还是公有地址,拥有的IPV4公有地址的数量;
(3)驻地网是面向企业的,还是面向住宅用户,目前这两种的区别越来越不明显;
(4)用户的认证和计费方式,用户认证的位置在具体应用中存在着差异,有的网络在驻地网出口处完成用户认证,有的网络则在城域的汇聚层实现用户的认证;
(5)对用户终端和网络设备的要求;
(6)其他一些与组网有关的问题,如网络安全、域名系统、路由方式、服务质量保证、对原有业务的影响、网络治理等诸多问题。
二、现有组网方式的比较分析
1、现有组网方式概述
目前,可以在驻地网IPV4/V6综合组网中应用的技术主要有:双栈迁移机制(DSTM—Daul Stack Transition Mechanism)、隧道代理、6to4、站内自动隧道寻址协议(ISATAP—Intra-site Automatic Tunnel Addressing Protocol)、网络地址翻译与协议翻译机制(NAT-PT)等。
就目前具体应用的情况来看,除了DSTM以外,上述其他技术均有应用,其中以6TO4(单独使用或与ISATAP相配合)、NAT-PT应用较多,隧道代理也有所应用(通常在实验室环境中采用)。而DSTM由于目前只能单向通信因而在应用中较少采用。
2、基于隧道代理机制的组网
(1)现有网络环境:IPV4网络(一个隧道代理的治理域)。
(2)改造主要需求:通过对IPV4网络的改造,实现IPV4网络中的双栈节点以隧道方式与通过IPV4网络相连的IPV6网络或主机通信。
(3)实现思路:
当IPV4网络中的双栈主机需要与IPV6网络通信时,可以通过在这个双栈主机与IPV6网络入口路由器之间配置隧道的方式来实现。
(4)网络结构:
通常隧道代理在网络中有如下两种应用方式:
图2 以主机为隧道客户端组网方案
图3 以驻地网出口路由器为隧道客户端组网方案
(5)设备需求:
隧道代理方式至少涉及如下三种网络设备:隧道代理、隧道客户端、隧道服务器等。其中隧道客户端可以是驻地网内的单个主机,也可以是驻地网出口路由器。下面着重介绍单个主机做为隧道客户端的组网方式,即对应图(a)。
(6)工作方式:
双栈主机根据通信需求(要连接哪个IPV6网络),确定隧道服务器(隧道终点)的位置(IPV4/V6地址或域名),双栈主机向隧道代理提出与隧道服务器建立隧道的请求,在请求信息中包含用户身份认证信息。隧道代理在通过认证的双栈主机与隧道服务器之间配置隧道。
(7)安全问题:
首先,隧道代理、隧道客户端、隧道服务器之间的信任关系的确立是一个需要重点考虑的问题。在隧道客户端和隧道代理之间、隧道代理与隧道服务器之间可以通过身份认证方式来建立信任关系。
其次,隧道服务器需要信息过滤功能,过滤时需要检查的内容包括:封装IPV6数据的IPV4包的源地址、IPV6数据包中的与安全相关的信息等,从而减少或者避免隧道中的信息对隧道服务器后面的IPV6网络造成损害,一种可能的攻击方式是隧道客户端的IPV6信息利用隧道服务器做为中转,对IPV6网络进行攻击;另一种可能的攻击方式是来自IPV4网络中的其他信息源采用地址欺骗方式来通过隧道服务器对IPV6网络进行攻击。
(8)路由问题:
双栈主机的路由通常由隧道代理配置的静态路由。
3、基于6to4机制的组网
(1)应用的网络环境:既可以应用于解决IPV4网络中的IPV6通信问题,也可以用来实现多个纯IPV6网络通过IPV4网络进行互联的问题。
(2)改造主要需求:
首先,一些基于IPV4的驻地网中出现与外部的IPV6网络进行通信的需求,要求驻地网能够提供一种方式来实现这种通信,第一个需要解决的问题就是IPV6地址的分配问题,即如何为IPV4网络中的双栈节点分配IPV6地址,在6to4机制中,6to4路由器为采用的地址前缀为2002::/16,6to4域内的主机均可以通过地址自动分配方式来获得6to4地址。
其次,一些基于IPV6的驻地网需要通过IPV4网络与其他IPV6网络通信。6to4隧道正是为了满足这种需求而提出的。
(3)实现思路:
在驻地网的出口处(通常为出口路由器)设立6to4路由功能,它一方面可以为6to4域中的双栈主机分配6to4地址;另一方面可以与其他IPV6网络建立6to4隧道,实现IPV6网络的互联。
(4)网络结构:
图4 基于6to4机制的组网图
(5)设备需求:
在6to4组网方式中的主要网元设备有:6to4主机、6to4路由器、6to4中继器。其中6to4路由器支持双栈(具有6to4地址和IPV4地址)和6to4隧道,而6to4中继器同样要求支持双栈(具有纯IPV6地址、6to4地址、IPV4地址)和6to4隧道。6to4中继器负责沟通6to4网络和纯IPV6网络,所谓的纯IPV6网络是指不采用6to4地址的IPV6网络。
(6)工作方式:
6to4网络的工作模式可以分为如下三种:首先是6to4网络(域)内的信息转发;其次是6to4网络中的主机与其他6to4网络中的主机之间的信息转发;还有是6to4网络中的主机与外部纯IPV6网络中的主机之间的信息转发。
6to4网络中的主机可以采用多种方式(有状态的动态主机配置协议DHCP或无状态的自动分配)获得6to4地址,但是通常采用地址自动分配方式从6to4路由器处获得6to4地址。在6to4网络内部的通信由6to4路由器转发,而与外部6to4网络中的主机通信时,则由6to4路由器按照目的6to4地址中的IPV4地址来对IPV6包进行IPV4封装并转发到目的IPV4地址所对应的6to4路由器(对端6to4路由器)。由这个对端6to4路由器负责向目的主机的发送。
当6to4网络中的主机与外部纯IPV6网络中的主机进行通信时,此时信息的源地址是6to4地址,而目的地址是纯IPV6地址,6to4路由器将这种IPV6包进行IPV4封装,封装的IPV4目的地址为6to4中继器的IPV4地址,这个IPV6数据包到达6to4中继器以后,6to4中继器对其解封装,然后根据目的IPV6地址(纯IPV6地址)转发到这个地址所对应的网络的路由器中,由其最终传送为目的IPV6节点。
(7)安全问题:
6to4组网方式的安全问题主要来自于6to4网络内部的主机或者6to4网络外部的主机可能利用6to4路由器或者6to4中继器(把其做为中转站)对6to4网络或纯IPV6网络进行攻击。
(8)路由问题:
在6to4网络的内部可以采用多种IPV6域内路由方式;在6to4网络之间或者6to4网络与纯IPV6网路之间则推荐采用边界网关协议BGP的多协议扩展(MP-BGP)。
关于6to4组网方式所带来的路由问题是IPV4/V6综合组网中比较典型的,其包括路由环回问题和路由泄漏问题等。
4、基于ISATAP机制的组网
在实践中通常很少单独利用ISATAP机制,而是将其与其他技术相结合来实现综合组网,ISATAP机制可以和6to4机制相兼容,因此通常在6to4组网方式中得以应用。
ISATAP机制和6to4机制一样都是使用一种内嵌IPV4地址的IPV6地址进行通信,它们之所以兼容是因为IPV4地址在IPV6地址中的嵌入位置的不同,6to4地址占用IPV6地址的第17位到第48位,而ISATAP地址占据IPV6地址的后32位,而且由于ISATAP地址是站点内部使用的因此没有对IPV6地址前缀的非凡要求,可以使用6to4地址前缀2002::/16,因此ISATAP和6to4是兼容的。
ISATAP机制是一种自动隧道,它的根本出发点是实现与IPv6路由器不共享同一物理链路的双栈节点能够通过IPv4自动隧道互联(进行IPV6通信),其应用环境是驻地网本身是一个IPV4网络,这个IPV4网络内部的通信采用ISATAP这种IPV4自动隧道形式。ISATAP机制不能解决IPV4网络内部的双栈主机如何与其他IPV6网络中的IPV6主机进行通信的问题。
当ISATAP与6to4机制结合以后,其工作方式与以上介绍的6to4组网方式最大的不同是6to4网路内部的通信方式发生了变化。6to4网络内的主机相互通信时需要6to4路由器的转发,而当在6to4域内采用了ISATAP机制后,则域内主机间的通信方式有两种,一种是利用6to4路由器,按照6to4地址进行转发;一种是利用ISATAP的自动隧道功能,不需要6to4路由器的干预而通过IPV4隧道方式来实现。
ISATAP与6to4机制结合后的组网方式的相关问题与上一节6to4组网方式的对应问题基本相同。
5、基于NAT-PT机制的组网
NAT-PT做为一种翻译机制,可以用于IPV4/V6综合组网,但是通常需要其他功能组件的支持,如地址分配、应用网关等。
利用NAT-PT来组网通常会带来如下的问题,首先是效率问题,对每个数据包进行翻译效率是比较低的,尽管一些研究人员提出了基于流的翻译方法,它不要求对每个IP包都进行分析,而是对一组IP包只翻译一次。但是由于应用层网关的存在,实际上还是要对每个IP包进行多个协议层次的翻译,效率依然是比较低的。
另外,采用NAT-PT方式组网时要求能够对IP包进行跟踪,要求反向流量要从正向流量通过的同一个NAT-PT返回,这就限制了网络的扩展,当网络容量增加时NAT-PT成为了网络的瓶颈。多个NAT-PT如何系统工作的研究正在进行之中,研究内容主要集中在数据存储格式、数据共享方式、数据一致性维护、NAT-PT之间的通信协议等。
(1)应用网络环境: IPV4网络中的IPV4主机要与IPV6网络中IPV6主机进行通信时可以采用NAT-PT的翻译机制来进行IP包格式转换和协议翻译。
(2)改造主要需求:
要进行IP包格式的转换和协议的翻译就要解决两个首要问题,一个是翻译的过程中需要临时地址(比如当IPV4包翻译为IPV6包后,需要两个IPV6地址,同样的反向翻译时又需要两个IPV4地址),这些临时地址如何分配是要考虑的问题。另外,为了保证业务层面的互通,仅仅基于IP层或者TCP/UDP传输层的数据翻译是不够的,还要有基于应用层面的翻译机制,这通常没有通用的解决办法,只能是针对不同的应用开发不同应用网关进行IP包中高层协议的信息转化。
(3)实现思路:
临时地址的分配可以采用常规的基于地址池的动态地址分配方式来进行,IP包之间的翻译可以采用SIIT协议来进行。
(4)网络结构:
图5 基于NAT-PT机制的组网图
(5)设备需求:
NAT-PT功能通常集成在驻地网的出口路由器(双栈)中,而要使组成的网络能够正常工作,还需要如下功能模块:地址治理和分配模块、应用层网关、用户的认证和治理等。
(6)安全问题:
NAT-PT方式实际上破坏了端到端的网路连接,则IPSEC等网络安全措施的使用受到限制。目前,关于Ipsec的NAT穿越问题的研究是一个热点,但是取得的成绩并不是很理想。其他对于端到端连接有要求的业务的开展也将受到影响。
(7)路由问题:
IPV4网络和IPV6网络各自维护自己的域内路由。