相关专题:
基于IPv6协议构建的NGI网络,在骨干网层面的实施方案比较成熟,相对来说也较容易实现。国家已经通过相关部门提供资金正在进行CNGI网络建设。
在骨干网络建成后,最紧迫的需求则来自于基于IPv6的用户驻地网CPN建设以及提供CPN用户到NGI骨干网络的接入。实现了IPv6用户端到端连接后才可以开展各种业务和应用,用户接入和网上应用才是促使网络演进的根本动力,是IPv6产业顺利发展的基本保证。因此NGI网络用户接入及管理技术显得越来越重要,成为IPv6产业链中很关键的一个环节。
一、运营商对用户接入及用户管理方面的要求
对于网络运营商来说,针对采用ADSL/LAN方式接入NGI的用户,可以从以下几个方面提出对用户接入和管理的要求。
1.在CPE路由器和BRAS设备之间采用功能完善且符合标准的认证方式
以当前主要应用于IPv4网络上的PPPoE认证方式为例,PPPoE配合Radius可以实现对用户接入的完善管理和控制,包括用户账号管理、上网时长统计、流量采集、流向分析等功能。由于用户的所有通信都必须经过运营商的BRAS设备,因此可以很好地对用户上网行为进行跟踪、分析和控制,必要情况下可以进行追查;而同时,NGI也是提供面向用户、面向业务的QoS服务,采用PPPoE方式则可以对每个用户进行很好地隔离,并在BRAS设备上实现对用户和业务的区分、标记及策略实施,很好地实现NGI网络用户接入和管理。此外,PPPoE协议中的IPv6CP可以实现CPE和BRAS之间的本地链路地址无状态自动配置,为实现CPN网段可达提供下一跳地址。因此在IPv6业务推广初期,PPPoE是一种成熟可用的接入、认证和管理技术。
PPPoE认证的缺点是不利于开展组播业务。在BRAS上需要对所有组播组成员进行多个单播媒体流复制,对BRAS性能要求很高,增加成本。不过在IPv6领域这个制约暂时影响不大,首先是目前绝大多数路由器尚不支持IPv6组播,无法开展组播业务,当IPv6组播技术成熟后,芯片技术也会相应发展,BRAS处理能力会有所提高,复制组播流的问题可一定程度缓解。另外,现在的趋势也促使厂家提出了其它解决方案,例如将组播流进行旁路,不经BRAS,或者通过DSLAM进行组播复制,从而在根本上避免了PPP方式下开展组播业务对BRAS性能带来的影响。
2.BRAS需要具备双栈接入能力,并同时提供给用户双栈接入
从IPv4过渡到IPv6一定是个渐进过程,用户需要具备同时接入IPv4和IPv6网络的能力,在不中断IPv4网络访问的前提下逐渐培养用户使用IPv6业务的习惯。此外,目前IPv6环境下也无法完全脱离IPv4,如BRAS到Radius服务器之间采用经过扩展的基于IPv4的Radius协议,用户端的DNS地址解析过程也需要通过IPv4承载,而且截止到目前,SNMP协议也是基于IPv4传送的。
关于双栈接入的另一个重要需求是最好支持L2TP隧道方式。此时靠近用户侧的第一个BRAS无需支持IPv6,只需支持IPv4L2TP的LAC(L2TPAccessconcentrator)功能,远程连接到一台支持双栈、被配置为IPv4 LNS(L2TP Network server)的BRAS上,这样,用户可以通过L2TP方式接入IPv6网络。此方式非常适合IPv6推广初期用户不多且驻地分散的情况。在极限情况下,理论上每个省甚至全国只需在网络核心位置配置一台双栈 BRAS,配置为IPv4 L2TP LNS,其他所有分散在各地的BRAS配置为IPv4 L2TP LAC,即可实现全国范围内有IPv6应用需求的用户接入NGI网络。L2TP隧道接入方式见图1。
图1L2TP隧道方式接入
3.在BRAS设备上要求采用Radius扩展属性实现用户的AAA功能
作为Radius客户机,BRAS接收到用户名和口令信息后,将信息经MD5加密以UDP协议传输到Radius服务器进行认证授权,通过AccessAccept消息允许合法用户接入网络,并发送Accounting Start计费信息。除此之外,在IPv6网络环境下,Radius扩展属性必须支持IPv6地址分配功能,可为CPN分配地址前缀、缺省网关以及DNS等信息,并在BRAS上动态生成对应每用户前缀的路由表项。
通过Radius服务器统一进行认证、授权和计费利于运营商建设统一的后台管理系统,提供与运营支撑系统开放的接口,避免二次开发,降低运维成本。
4.优选采用前缀代理方式为个人家庭网络动态分配地址前缀
采用动态分配前缀地址给CPN用户的方案,设备需要符合相关协议和标准(RFC3769)。作为Requestingrouter的CPE路由器可向作为Delegatingrouter的BRAS动态协商前缀、缺省网关、DNS等信息,通过前缀代理向CPN分配一个大于等于/64的网段。动态分配地址前缀的做法来自于IPv4网络的运营经验,主要出于降低运维成本考虑。
5.现阶段优选采用邻居发现(NeighborDiscovery)方式为CPN内网终端主机分配接口地址(无状态地址自动配置)
在CPE路由器内侧的用户驻地网方面,与传统IPv4的DHCP功能不同,目前对CPN内部的IPv6终端更多地是采用邻居发现方式实现无状态地址自动配置。假设内部组建一个/64网络,家庭网络将拥有64比特的接口ID,可以拥有多达264个IP地址或网络设备,即使用户更换了ISP导致前缀改变,接口标识(InterfaceID)依然维持不变。CPN网络设备之间继续通过Neighborsolicitation和Neighboradvertisement相互感知对方的存在并获得对方IP地址与MAC地址的对应关系,类似于IPv4环境下的地址解析协议(ARP)。
有些公司对此有不同看法,在思科的“LargeScaleDeploymentSuggested solution”技术白皮书中他们建议沿袭IPv4 CPN模式,此时CPE设备应起到承上启下的作用,即DHCP Client Upstream和DHCP Server Downstream。上行方向可从运营商获得动态配置信息(前缀代理机制),下行方向应为终端实现动态配置(DHCPv6机制),还需要包括DHCP中继/DHCP 代理、DNS 中继等功能。采用DHCP有状态地址配置的优势在于可为终端设备提供更多的配置信息,如用户对地址有特殊要求,为了安全和隐私不愿通过EUI-64方式将MAC地址作为终端的Interface ID,或者用户希望通过DHCPv6实现与DNS的动态关联。
综合对比邻居发现和DHCPv6,目前的实现以邻居发现方式居多。最新版的Windows2003还没有提供对DHCPv6客户端软件的支持,市场上也没有成熟的DHCPv6服务器端软件,许多支持IPv6的CPE设备在现有软件版本下无法提供对内网侧接口DHCPv6服务器进程的支持。相比较而言,邻居发现方式采用ICMPv6协议,符合现有标准,因此是现阶段推荐的方式。需要说明的是,目前邻居发现只能提供给终端用户接口地址、缺省网关地址(路由器内侧接口的本地链路地址)等信息,用户端的DNS仍然需要静态配置。
6.运营商需要具备对用户进行隔离、账号/端口绑定的能力
参照IPv4运营模式,在BRAS上需要具备对每CPN用户的隔离,实现端口账号绑定,避免用户账号的盗用和滥用,实现账号的唯一性。可采用的技术方式有多种,如现有IPv4网络环境下的PPPoE+、VBAS、DHCPOption82、VLANStacking、PUPV等,建议采用每用户每VLAN方式(PUPV)。在NGI CPN用户较多时,要求BRAS的以太接口具备VLAN Stacking功能。
7.具备针对用户、业务、应用提供不同QoS的能力
IPv6业务开展中用户通过CPE路由器构建家庭网络,实现数据、语音、视频等各种形式通信,即我们现在所说的三网合一(Tripleplay)业务。不同业务和应用对网络性能指标要求不一样,数据业务的E-Mail、FTP以及Web浏览对网络性能的要求低于组播流媒体,更低于即时交互的语音应用,这就要求运营商提供不同的QoS机制,在网络拥塞情况下,保障各种业务能够顺利开展并且性能可被用户接受。初期可以通过设备的队列调度、速率限制、流量整形来实现,理论上更完善的解决方案则是层次化QoS,针对每个前缀地址、每个终端接口地址、每个相同地址中不同连接端口号进行不同的队列调度和带宽分配,提供针对不同用户、业务和应用的不同接入带宽、时延、丢包等特性,或者随着标准的成熟采用COPS协议,支持不同用户对应不同Profile,用户可动态申请网络带宽,配合CAC机制,实现完善的端到端QoS保障。
8.安全方面
要求BRAS可对每个PPP会话上的TCP/UDP连接数进行限制,防止用户私自经营网吧等非法活动,或者避免用户受病毒感染过量建立会话导致对网络资源的占用。另外也最好具备一定的uRPF功能。
二、终端用户对接入及管理方面的需求
在IPv6环境下,终端用户对用户接入和管理有着不同的需求。
1.CPE路由器作为用户网络和运营商的分界点,在接入层面,用户上网的认证、授权和控制,都需要在CPE的上行方向实现。
(1)IPv6商业模式将与传统的IPv4不同,用户将实现永远在线的连接方式,而且用户希望尽量采用固定的地址前缀。在此模式下,CPN网络中的所有IPv6终端要求在任何时候都是IP可达的,可以实现任何网段、任何终端之间的实时通信和连接。
(2)用户对于接入计费的要求,可能更多地希望采取包月方式,运营商根据前缀大小、接入带宽高低等参数按月收取用户的NGI网络接入费用,可以与用户的固定电话号码绑定,实现统一收费;用户在NGI网络上享用的其它应用和增值服务,将依靠业务层实现计费,可以与用户的包月账号绑定,作为包月费用之外的额外费用,与包月费用同时收取;NGI接入主要作为多种可盈利业务的承载平台,接入费用只是其中一部分(类似用户的基本月租费)。
(3)对于以个人用户为主的家庭网络,应该获得/64前缀,对于企业用户,以分配/48前缀为宜。
(4)用户需要具备同时接入IPv4和IPv6网络的能力,对于IPv4网络采用目前最成熟的方式接入,用户内网采用私有地址,经NAT实现与互联网连接。
(5)CPE路由器最好具备一定的安全功能和防攻击能力,如扩展ACL、ICMP速率限制、TCP半连接数量限制等。
2.对于单个的IPv6终端,可以是主机、家电、汽车、电话,终端设备的接入管理主要针对CPN网关设备而言,运营商一般不需要参与,主要是在业务层面负责管理。
(1)主机终端应可通过多种接入介质实现网络连接,如WLAN方式。
(2)非主机终端接入和管理需要采取更灵活的配置方式,实现智能的认证授权,减少人工参与。
(3)非主机终端需内嵌完整IPv6协议栈,可基于Web进行远程控制。
三、NGI网络用户接入及管理的部署策略建议
目前IPv6用户接入和管理发展现状与IPv4相比还有较大差距。新技术的引入需要逐步进行,并在实践中不断成熟和完善。虽然存在不足,但运营商从ADSL和LAN接入着手部署IPv6网络商业应用仍然值得尝试,尤其适合于已经通过ADSL/LAN方式接入互联网的个人用户和中小企业。基于对IPv6ADSL/LAN接入技术试验和研究所获得的成果,我们可以制定出切实可行的方式,部署策略建议如下。
1.现阶段部署IPv6商业应用,必须具备双栈接入的能力,使用户在接入IPv4网络的前提下尝试使用IPv6,在IPv6应用逐渐增多的前提下,培养用户对IPv6的兴趣和使用习惯,从而达到培育市场的目的。
2.当前的主要目的是普及和推广IPv6应用,使之逐渐被用户所接受。现阶段不宜对IPv6提出过多技术、性能、功能上的要求,以免在技术推广初期就因缺陷过多导致IPv6夭折。
3.用户端尽量采用CPE路由器作为用户家庭网络的网关。
(1)路由器基于专有操作系统,并可对网络安全进行增强配置,具备更强的路由功能、策略实施功能、QoS功能。运营商可通过业务打包方式进行捆绑销售,避免单独购买价格过高,增加用户负担。
(2)主机直接进行IPv6PPPoE拨号不成熟,而且与CPE路由器对地址的分配有本质区别。
(3)路由器做网关更符合今后家庭网络的发展方向。个人用户通过PC机作为家庭网络网关,只能提供IPv6基本功能,适合于家庭网络尚未普及,只有主机上网的情况。虽然微软下一代操作系统“Longhom”也计划支持IPv6PPPoE拨号,但是前缀地址、接口地址、DNS地址、缺省网关地址的上、下行分配方式以及哪台设备提供家庭网络的网关设备、如何实现网关功能都还没有明确,尚没有相关标准或草案对这些需求进行规范。
4.如果业务开展初期用户量不大,可以相对集中地设置IPv6BRAS,通过基于IPv4的L2TP隧道方式扩展IPv6用户接入覆盖范围,降低设备投资成本,利于业务的滚动发展。
----《通信世界》
