運營商IPv6規模商用工程部署實踐

白晨鵬，關 煒

（中國電信股份有限公司陜西分公司 西安 710004）

1 概述

為盡快實現國內互聯網由IPv4向IPv6的過渡，緩解IPv4地址枯竭及新興技術對IP地址的海量需求，國家發展和改革委員會于2012年3月29日下發了《關于印發下一代互聯網“十二五”發展建設的意見》的指導性文件，明確了我國下一代互聯網的發展目標、路線圖和時間表。同時要求三大電信運營商結合地址短缺情況，分別選擇部分試點城市，選擇合適的技術路線，改造IP城域網絡，解決IPv4地址短缺，實現IPv6規模商用部署。中國電信股份有限公司陜西分公司（以下簡稱陜西電信）作為規模商用部署試點省之一，積極參與了運營商IPv6規模商用的前期論證、業務測試驗證及規模商用的工作，通過近兩年的調研、規劃及網絡和IT/IP支撐系統改造等工作，已具備了開通IPv6用戶接入的能力。

2 規模商用技術路線

2.1 過渡技術

電信運營商網絡由IPv4向IPv6過渡過程可分為3個階段。網絡過渡初期，在當前純IPv4網絡中逐漸引入IPv6，形成雙協議棧網絡，用戶可通過IPv6接入互聯網，但網絡應用與承載仍然以IPv4技術為主；在第二個階段，隨著IPv6在網絡中應用范圍的擴大和IPv6用戶數量的增加，IPv4與IPv6將在網絡中長期并存；遠期隨著應用和用戶逐漸向IPv6技術的遷移，將逐步演進到以IPv6技術為主或者純IPv6網絡。

在演進過程中，各類標準化組織、運營商及研究機構提出了多種網絡過渡技術及方案。這些方案總體可分為雙協議棧、隧道、地址/協議轉換3類技術，其中針對電信運營商互聯網寬帶接入用戶的平滑演進，NAT444和DS-Lite兩種技術的標準化程度及應用成熟度相對較高，且可以在短期內有效緩解IPv4地址耗盡對電信運營商業務發展帶來的制約。根據對這兩種技術的不同選擇，電信運營商的網絡過渡技術路線如圖1所示。

圖1 IPv6遷移路線

路線一在過渡階段采用NAT444技術，運營商網絡引入IPv6后，通過在網絡中部署運營商級地址轉換（carrier grade NAT，CGN）設備，寬帶接入用戶同時獲得運營商分配的保留IPv4地址與合法IPv6地址，用戶發起IPv4公網訪問時，使用保留IPv4地址并在網絡側CGN設備轉換為合法IPv4地址；用戶發起IPv6訪問時，直接使用合法IPv6地址，有效緩解寬帶接入用戶對合法IPv4地址的占用。

路線二在過渡階段采用DS-Lite技術，運營商網絡引入IPv6協議后，通過在網絡中部署地址轉換設備AFTR（address family transition router），寬帶接入用戶獲得運營商分配的合法IPv6地址，同時生成DS-Lite標準規定的保留IPv4地址，用戶發起IPv4公網訪問時，使用標準規定的保留IPv4地址，并通過IPv6隧道將數據分組轉發到地址轉換設備AFTR，將保留IPv4地址轉換為合法IPv4地址；用戶發起IPv6訪問時，直接使用合法IPv6地址。

2.2 NAT444技術及部署

NAT444技術最初由日本運營商NTT提出，運用NAT444技術的網絡結構模型如圖2所示。

圖2 NAT444網絡結構模型

NAT444的基本思想是在網絡中部署運營商級地址轉換設備，與用戶側設備（CPE）中的NAT功能共同組成兩級地址轉換，在3類IPv4地址塊之間進行IPv4地址轉換。

第1類地址塊是用戶駐地網絡中使用的保留IPv4地址塊，一般由CPE管理，使用RFC1918中定義的保留IPv4地址段，與運營商無關；第2類地址塊是CPE與運營商CGN設備之間使用的保留IPv4地址，使用RFC6598中定義的共享地址空間100.64.0.0/10或RFC1918中定義的保留IPv4地址段，由運營商進行管理；第3類地址塊是在公眾互聯網中使用的合法IPv4地址。

用戶側設備（CPE）中的NAT功能在上述第1類和第2類地址塊之間進行IPv4地址轉換，運營商CGN設備在上述第2類和第3類地址塊之間進行IPv4地址轉換。通過兩次地址轉換，用戶終端可使用駐地網中的保留IPv4地址正常訪問公眾互聯網中使用的合法IPv4地址的服務器及應用。

2.3 DS-Lite技術及部署

DS-Lite技術由美國運營商Comcast在2008年提出，該技術通過在用戶駐地網或用戶終端范圍內引入使用私有IPv4地址的輕量級雙協議棧，解決IPv6用戶通過純IPv6網絡接入，訪問IPv4應用的問題。DS-Lite技術于2011年8月在IETF完成標準化。DS-Lite網絡結構模型如圖3所示。

圖3 DS-Lite網絡結構模型

DS-Lite網絡結構中包括3個組件模塊：CPE中內置的B4模塊，網絡側的AFTR模塊，B4模塊與AFTR模塊之間的4in6 softwire隧道。其中CPE在駐地網中為用戶終端分配客戶側使用的保留IPv4地址，用戶終端使用保留IPv4地址發起對合法IPv4地址服務器的訪問，當報文到達CPE后，由CPE中的B4模塊將報文封裝到4in6 softwire隧道中，封裝后外層數據分組為IPv6數據分組，通過IPv6路由將報文轉發到AFTR設備，由AFTR設備解封裝后，提取內層IPv4報文，并將IPv4報文中使用保留IPv4地址的源地址轉換為合法IPv4地址。經過AFTR設備的地址轉換，用戶終端可正常訪問公眾互聯網中使用合法IPv4地址的服務器及應用。

從IPv4地址轉換的角度，NAT444技術與DS-Lite技術本質上均為NAT44技術，均通過TCP/UDP端口復用的方式提高合法IPv4地址的利用率，因此具有相同的合法IPv4地址使用效率，同時也都具有NAT44技術對應用不完全透明的局限性。兩類技術的主要區別如下：

·NAT444技術可以獨立于IPv6技術在純IPv4環境中部署，DS-Lite技術要求網絡中必須部署IPv6協議棧；

·NAT444技術要求運營商在城域網范圍或BRAS范圍內統一規劃保留IPv4地址，DS-Lite技術不需要運營商進行保留IPv4地址的規劃；

·NAT444技術不加載IPv6技術時，運營商不需要改

造CPE，就可以實現對NAT444技術的支持，DS-Lite技術需要對CPE進行改造，在CPE中增加B4模塊。

3 技術選擇及改造

陜西電信選擇了西安、寶雞、渭南3個城域網進行IPv6技術試商用部署。經過分析，對IPv6技術需求較強烈的客戶主要包括高校、科研院所及大型企業，這類客戶大部分集中在西安，因此西安電信城域網開放IPv6業務的需求較迫切。為了避免在城域范圍內進行保留IPv4地址的規劃，西安城域網選擇DS-Lite過渡技術，由于DS-Lite技術要求家庭網關支持B4功能，而現網存量用戶家庭網關均不支持該功能，因此西安電信優先對新增用戶開展DS-Lite業務部署，存量用戶通過綜合終端管理系統（integrated terminalmanagement system，ITMS）的優化改進，對硬件支持DS-Lite功能的家庭網關通過遠程升級改造方式，有序推進存量用戶的DS-Lite業務部署。

由于DS-Lite技術部署過程中，對存量用戶家庭網關改造過程持續時間長、難度大，短期內無法有效釋放存量用戶占用的公有IPv4地址，而NAT444技術在不加載IPv6時不需要對家庭網關進行改造，可以快速釋放存量用戶占用的合法IPv4地址，因此在寶雞和渭南兩大城域網中部署了NAT444技術，直接將普通公眾用戶的公有IPv4地址一次性修改為私有地址，釋放出對應的公有IPv4地址供其他未部署IPv6的地址發展業務使用。

西安、寶雞、渭南3個城域網進行IPv6過渡技術改造的方案如圖4所示。

3個地市的城域網網絡結構均采用扁平化結構，網絡總體分為城域網出口路由器（核心層）、業務控制層和接入層3個層次。城域網出口路由器采用大容量級聯設備，通過10 Gbit/s/40 Gbit/s電路上聯163骨干網。業務控制層BAS/MSE設備均采用雙上行連接方式，以等帶寬電路同時連接到兩臺城域網核心設備，使用10 Gbit/s上行鏈路，每臺BAS在城域范圍內覆蓋若干二層接入片區。接入層以PON技術為主，通過FTTx技術實現寬帶個人用戶及各類大客戶的接入。

圖4 西安/寶雞/渭南城域網結構

在各城域網網絡改造中，DS-Lite/NAT444技術分別需要在網絡中增加AFTR/CGN模塊。從模塊的形態看，存在設備插卡與獨立設備兩種形態，由于獨立設備形態的模塊需要通過網絡鏈路與現網設備互聯，不僅成本高，而且增加了較多故障點，因此陜西電信采用了設備插卡形態的AFTR/CGN模塊。從模塊在城域網中的部署位置及所在層次考慮，AFTR/CGN模塊可以集中部署在CR設備或分散部署在業務控制層各個BAS設備，但集中部署的可靠性較差，AFTR/CGN故障狀態下影響范圍較大，因此陜西電信選擇分散式部署方式。具體部署方式如圖4所示，在西安城域網，業務控制層所有BAS設備均增加板卡形態的AFTR設備，為各自片區寬帶用戶提供DS-Lite隧道終結及地址轉換功能；在寶雞、渭南城域網，業務控制層所有BAS設備均增加板卡形態的CGN設備，為各自片區的寬帶用戶提供地址轉換功能。

為了全面支撐IPv6業務的開展，并滿足日常網絡運維需要，陜西電信同步了AAA系統、DNS、網管系統、ITMS等4個IP支撐系統，對CRM、話單采集、計費、服務開通、資源管理、自動激活、施工調度、服務保障、ODS/EDW等9個IT支撐系統進行IPv6相關功能升級和改造，對業務受理、開通、裝機、移機等過程中的資源管理、業務開通、網元激活、計費出賬、數據分析等處理功能進行相應改造，實現對IPv6相關業務全流程的支持，保障業務的正常發展和網絡的日常維護。

其中IP支撐系統的改造具體包括下列內容：AAA系統在RADIUS認證、計費報文中增加對IPv6屬性的支持；DNS增加對AAAA記錄的支持，實現IPv6域名的解析；網管系統通過軟件升級實現對IPv6 MIB變量的讀寫、IPv6拓撲發現功能和IPv6網絡的故障管理等功能；ITMS對業務下發和終端管理能力進行優化增強。

IT支撐系統改造內容如圖5所示，具體內容包括：CRM系統增加IPv6屬性記錄及展示能力；資源系統提供在端口級標識IPv6能力；開通激活及保障系統增加IPv6屬性傳遞和工單打印功能；計費系統提供IPv6話單采集及IPv6流量計費功能；各系統接口對IPv6屬性的傳遞。

4 結束語

綜上所述，從IPv4地址轉換的角度看，兩種過渡技術本質均為NAT44技術，都具有NAT44技術的局限性。NAT444獨立于IPv6技術部署時為私網單棧，與IPv6共同部署時為私網雙棧，私網單棧無需改動CPE，工作量相對較小，可較快緩解IPv4地址耗盡的問題，因此適合在短期內需要大量釋放存量合法IPv4地址的場景，但不利于推動IPv6技術的部署。DS-Lite技術需要網絡中部署IPv6技術，技術相對復雜，工作量較大，部署周期較長，但有利于推動IPv6技術部署。

圖5 IT支撐系統改造點

在進行網絡層面IPv6技術部署時，為保障業務的正常開展和網絡的日常運維，必須需同步IP、IT支撐系統進行全面的IPv6改造。

運營商一旦決定部署過渡技術，一般來說都需要1～2年的時間進行系統改造、技術方案驗證、持續推進部署等，需要投入大量的人力物力。因此，運營商需要結合IPv4地址消耗情況、業務場景和演進策略等綜合因素選擇合適的方案。

1 Yamagata I,Shirasaki Y,Nakagawa A,et al.NAT444 Draft-Shirasaki-NAT444-06.IETF Internet-Draft,July 2012

2 Durand A,Droms R,Woodyatt J,et al.Dual-Stack Lite Broadband Deployments Following IPv4 Exhaustion.RFC6333,August 2011

3 Yamagata I,Miyakawa S,Nakagawa A,et al.Common Requirements for Carrier-Grade NATs(CGNs).RFC6888,April 2013

4 Rekhter Y,Moskowitz B,Karrenberg D,et al.Address Allocation for Private Internets.RFC1918,February 1996

5 Weil J,Kuarsingh V,Donley C,et al.IANA-Reserved IPv4 Prefix for Shared Address Space.RFC6598,April 2012

6 Srisuresh P,Holdrege M.IP Network Address Translator(NAT)Terminology and Considerations.RFC2663,August 1999

7 Storer B,Dos Santos M,Toutain L,et al.Softwire Hub and Spoke Deployment Framework with Layer Two Tunneling Protocol Version 2(L2TPv2).RFC5571,June 2009