IPv6网络过渡技术:二层感知NAT技术

摘要

本文分析了向IPv6网络过渡过程中，运营商对于技术选择的考虑和IPv6用户管理的方法，阐述了上海贝尔提出的二层感知NAT技术。

1  引言

随着互联网IPv4公网地址资源的不断消耗，各个国家和地区都加大了对IPv6的部署力度。2010年已成为IPv6商业发展的元年。全球范围内的电信运营商相继宣布IPv6商用计划。其中，美国最大的有线电视运营商Comcast年初正式宣布IPv6商用计划，其用户可以从2010年第2季度起自愿选择使用IPv6服务。中国电信在长沙和无锡正在进行大规模试点，将为用户提供IPv6宽带接入业务，C+W业务，大客户业务。中国移动在3GPP立项研究移动网络向IPv6过渡问题，提出了自己的PNAT方案，并进行了相关业务的演示，准备在移动互联网领域展开IPv6部署的试点工作。向IPv6网络的过渡过程中，各种网络和业务场景繁杂，主要需考虑两个因素，即IPv6过渡技术的选择和IPv6用户管理。

2  IPv6过渡技术

目前，从IPv4向IPv6的过渡技术主要包括3类，即双栈、隧道和翻译技术。

实现IPv6节点与IPv4节点互通的最直接的方式是在IPv6节点中加入IPv4协议栈。具有双协议栈的节点称作“IPv6/IPv4节点”，这些节点既可以收发IPv4数据包，也可以收发IPv6数据包。它们可以使用IPv4协议与IPv4节点互通，也可以直接使用IPv6协议与IPv6节点互通。IPv4/IPv6双栈节点必须具有解析IPv4与IPv6的地址的能力，即双栈节点上的域名解析器需要能够处理AAAA和A两种类型的记录。

隧道机制提供了利用现有IPv4网络架构实现IPv6通信的方法。其基本工作方法是：隧道入口对IPv6数据包先进行IPv4封装发送。隧道出口收到封装的数据包后，先确认是否需要重组，如果数据包经过分段，那么需要重组；否则不必，然后去掉隧道封装（IPv4头），更新IPv6头，对收到的数据包作相应处理。为了使数据包能够顺利通过隧道，隧道入口可能需要维护隧道的软状态信息，比如记录隧道MTU等参数。

当纯IPv4主机和纯IPv6主机之间进行通信的时候，由于双方协议栈的不同，必然需要对协议进行翻译转换。翻译涉及两个方面，一方面是IPv4与IPv6网络协议层的翻译，另一个方面是IPv4应用与IPv6应用之间的翻译。由于IPv4和IPv6协议设计上的不兼容性，应当尽量避免采用翻译技术。当然人们也认识到IPv6到IPv4的翻译比IPv4到IPv6的翻译要简单，主要原因是IPv6的地址长，因此在合适的场景下，采用IPv6到IPv4的单向翻译技术也是可行的方案。

在IPv6过渡策略选择上，许多运营商确定以双栈作为初期阶段向IPv6演进的优选策略。但是在运营商完全将网络迁移到IPv6之前，IPv4地址肯定已经耗尽，而用户仍然需要继续访问原有IPv4网络服务，同时需要访问纯IPv6网络业务。因此，IPv4业务的连续性和IPv6的过渡成为两个同等重要的问题。目前业界有代表性的方案有3种，即LSN，DS-Lite和NAT64。

LSN技术基于网络进行大规模地址和端口转换，它可以支持数百万的并发用户会话，并进行相关的用户数据和策略管理。LSN最大的问题在于地址空间的维护，因为用户网关和LSN之间采用私网地址，它有可能和用户的家庭网络私有地址空间冲突（见图1）。

图1  LSN（Large Scale NAT）

在DS-Lite方案中运营商设备和家庭网关之间网络采用IPv6，家庭网络内部终端IPv4地址完全由家庭网关分配，运营商不再维护用户IPv4地址。当家庭网络IPv4终端发送数据包至IPv4时，家庭网关截获IPv4数据包，并将其封装到IPv6数据包内部，通过隧道传送至运营商LSN，LSN解封装数据包并执行NAT44转换，将私网IPv4地址转换为外部公有IPv4地址，然后再将转换后的IPv4数据包发送到互联网。如果双栈用户发送IPv6流量，LSN和家庭网关将直接执行纯IPv6转发（见图2）。DS-Lite需要部署新的用户家庭网关，另外由于IPv4业务封装在IPv6包中，而当前的主流BRAS设备无法检查DS-Lite隧道中的内容，因此无法对用户的业务进行QoS区分，即对用户的数据只能进行尽力而为（Best Effort）方式传送。

图2  DS-Lite

NAT64实现IPv6主机到IPv4服务器的单向访问，对于IPv6的单栈主机而言是有意义的，比如在LTE网络中IPv6单栈手机访问IPv4网络资源。但是NAT64需要在网络中引入DNS64功能，把单个A的地址记录转换成AAAA记录。NAT64也要求更新用户设备（见图3）。

图3  NAT64

上海贝尔的业务路由器SR7710，SR7750和采用业务路由器平台的各种设备支持多种IPv4/v6互通场景，在骨干网包括6over4，6PE和6VPE等。最新的具备100Gbit/s处理能力的FlexPath二代网络处理器，支持以太，POS和/ATM接口，可以实现各种IPv6单播、组播和任播分布式硬件转发、过滤和QoS配置。相应的OAM工具，SNMP和高可靠性功能都完全支持IPv6。

如前所述，在城域网IPv6过渡解决方案中，LSN最为简洁，对现有的网络影响也比较小，但是地址空间管理比较困难，而基于翻译的方案有内在的问题，包括状态维护和策略管理，会话的保活和终结等。二层感知的NAT（见图4）是ALU提出的混合NAT解决方案，它借鉴了DS-Lite方案中软线的概念——也就是大量用户采用相同的IP地址——并且使用了非隧道的接入技术。它通过把NAT元素组合到LSN，并且采用惟一的用户ID作为所有NAT会话的键值，而不是依赖于内部源IP地址端口号的惟一性。这样带来的附加好处是允许创建针对单个用户的NAT策略。

图4  二层感知NAT

二层感知的NAT依赖二层连接信息作为标识单个用户的方法，而不采用分配给用户的IP地址。它可以采用标识用户会话的二层区分符，比如802.1Q（VLAN ID），802.1AD（QinQ），MAC地址，PPPoE或者L2TP标识符等，因此不仅独立于IP协议，而且非常灵活。

所有的客户被分配相同的IPv4地址，并且最终被翻译。这个IP地址可以配置成IANA保留的IP地址，使得未来可以实现知道它们什么时候处于二层感知的NAT之后。为了支持现有的固定宽带网络并且不对现有NAT设备改造，家庭网络的NAT设备可能位于用户LAN和二层感知NAT设备之间。在这种情况下，家庭网络一般采用私有IPv4地址空间，并且首先被家庭网关设备进行地址转换。之后用户LAN地址被转换成众所周知的公网IP地址。

每个用户被映射到预先定义的端口范围，这对于合法监听而言是非常重要的。端口范围的限制可能导致单个用户的某些业务无法运行，比如P2P文件交换。虽然二层感知NAT有可能对CPE NAT产生限制，但是它最大的好处是不需要修改CPE，并且为NAT444模型所产生的地址空间共享问题带来了解决方案。二层感知NAT同时支持家庭网关路由和桥接模式工作，从使用的角度看，路由模式效率更高。

3  IPv6用户管理

BroadBand Forum（宽带论坛）正在定义家庭固定宽带用户向IPv6转移的框架，包括PPP和IPoE两种方式，即WT-177和WT-187两个标准。

WT-187是“PPP DSL IPv6接入方法”，它关注向IPv6的过渡中，不影响接入和汇聚网络中采用的隧道技术，包括PPP和L2TP。双栈用户在单个PPPoE会话中传送IPv4和IPv6业务，它们拥有相同的用户标识和SLA数据。当采用路由网关的时候，单个或多个惟一的IPv6地址前缀分配给双栈路由器，供家庭网络使用。DHCPv6被采纳作为地址前缀的分配方法。

WT-177是“基于TR101 IPv6过渡方法”，它关注基于TR101的接入汇聚网中怎样支持IPv6 over Ethernet。双栈的IPoE路由网关（RG）工作在TR101定义的N:1或者1：1 VLAN模式中。它允许现有的TR-101网络在支持IPv4 over Ethernet的同时，部署IPv6 over Ethernet。用户的IPv4和IPv6业务共享相同的标识，SLA和用户数据。当采用路由网关的时候，单个或多个惟一的IPv6地址前缀分配给双栈路由器，供家庭网络使用。DHCPv6被采纳作为地址前缀的分配方法。双栈路由器对IPv6业务不做任何NAT操作，当它收到BNG的路由通告后，会在本地产生下一跳缺省路由。