基于SDN架構的IPv6過渡技術設計與實現

孫 瓊 ，解沖鋒 ，趙慧玲 ，盧緒山 ，劉樹成

（1.中國電信股份有限公司北京研究院 北京 100035；2.華為技術有限公司 深圳 518129）

1 引言

隨著運營商IPv4地址的日益緊缺，IPv4向IPv6過渡已成為運營商的必經之路。IPv6能夠從根本上解決IPv4地址不足的問題，恢復業務的端到端特性，從而保證業務的持續發展。然而，IPv4向IPv6過渡并不是一蹴而就的。由于IPv4與IPv6并不兼容，必須引入IPv6過渡技術才能實現IPv4到IPv6的轉換，一方面實現過渡期間IPv4地址的復用，從而節省IPv4公網地址消耗；另一方面實現IPv4與IPv6的轉換及網絡的跨越。

雖然過渡技術有很多種，包括隧道類、翻譯類等，并且適用于不同的應用場景，但究其實質均為流表的處理問題，實現將IPv6地址、端口信息與IPv4地址及端口信息的映射，并按照隧道或翻譯方式予以實現。該實現思路與SDN（software defined networking，軟件定義網絡）的流表處理不謀而合。

SDN采用控制與轉發分離的思路，控制器（controller）具有全局視角，統一實現策略的制定、流表的下發等操作，而轉發器（switch）接收來自控制器的請求，執行相關流表的操作。SDN早期是在斯坦福大學提出的OpenFlow基礎上發展起來的，目前已廣泛受到包括思科、Juniper、華為等在內的業界主流廠商和運營商的深度參與，并有ONF、NFV、ITU-T、IETF、BBF等多個標準化組織制定相關標準。

雖然SDN技術已得到業界的廣泛關注，但如何將SDN技術與IPv6過渡技術相結合，從而解決運營商在IPv6過渡時期的復雜性和業務開展問題，目前還沒有進行深入研究。本文深入研究了在運營商網絡中將IPv6與SDN相結合的應用場景及實施優勢，并首次提出了Openv6系統實現架構與關鍵技術，重點研究了現網部署實施的可行性。

2 基于SDN架構的IPv6過渡技術設計

2.1 業務需求

在IPv4向IPv6過渡時期，存在多種復雜的應用場景和過渡技術，運營商對不同的過渡技術進行選擇、切換以及管理時都會存在不同的需求。通常，由IPv4向IPv6的過渡需要經歷IPv4主導、IPv4/IPv6雙棧以及IPv6主導3個不同的階段，在不同的階段又有多種應用場景并存。因此，在整個IPv4向IPv6的過渡時期，存在如下業務承載需求。

（1）不同過渡技術間的切換

在IPv4向IPv6過渡的不同時期，需根據網絡中當前設備的支持情況、網絡中IPv4/IPv6流量的變化情況、IPv4剩余地址的數量等多個因素，選擇合適的過渡技術。例如，在網絡中IPv6支持情況較好、終端對過渡技術支持較好時，可以采用基于IPv6的過渡技術（如 DS-Lite等），以更好地適應將來的發展；若網絡中當前設備及終端的IPv6支持能力較低，則可以采用一些基于雙棧的過渡技術（如NAT444等），以降低對前期網絡中IPv6能力的要求。這些技術的選擇需要因地制宜，不能一概而論。

（2）多種過渡技術的共存

在IPv4與IPv6的同一過渡時期，可能存在多種過渡技術用于不同的應用場景。例如，隧道類過渡技術可解決IPv4地址的后向兼容性問題，翻譯類過渡技術可以解決IPv4與IPv6應用互通的問題。當多種過渡技術共存時，對設備的實現提出了一定的要求。當前設備在實現多種技術共存時還存在一定程度上的限制，如多技術疊加時設備資源（如存儲空間等）無法靈活共享，需要為不同的技術開辟一個獨立的計算與存儲空間等。因此，當前設備實現無法最大程度地充分利用設備的硬件資源與計算資源。

（3）統一地址池的管理

在IPv6過渡時期，不同的設備、過渡技術所使用的IPv4地址池通常是單獨管理的，不同的過渡技術通過不同的實例進行管理和配置。但由于在IPv6過渡時期，過渡技術的共存、選擇和遷移是隨著IPv6和IPv4的流量變化而變化的，因此，需要對IPv4地址池不斷進行調配，并根據業務量的變化進行調整。此外，由于運營商現有的IPv4地址資源已非常零散，多種過渡技術的引入無疑會進一步加劇地址池的碎片化，使得地址池的管理和維護更加復雜。

（4）網絡設備的虛擬化

在IPv6過渡時期，不同的過渡設備在進行相關的流表處理時，都需要消耗大量的計算資源、存儲資源等，用于存儲用戶的映射信息等內容，這些內容會隨用戶流量、業務狀況的變化而變化。網絡功能的虛擬化能夠更有效地實現過渡資源的集約化管理。

（5）服務質量的協同控制

隨著網絡智能化技術的逐步增強，運營商在網絡中實現業務服務質量的動態調整、路徑優化、業務自動化部署的能力大大提高。然而，隨著IPv6在現網中的引入，網絡中地址轉換點的增加使得用戶、業務的識別與調整的復雜度進一步增大。

2.2 當前主流過渡技術的模塊化實現

當前，多種過渡技術對用戶側設備有不同的要求，如DS-Lite為純IPv6接入過渡技術，一方面要求用戶側設備實現隧道的封裝等功能，另一方面僅申請IPv6地址即可；NAT444作為雙棧接入過渡技術，用戶側設備通常包括NAT功能，同時也需要申請 IPv4和IPv6地址；MAP、LAFT6過渡技術則需要在家庭網關中包含NAT及隧道功能。這些模塊在多種過渡技術中是可以復用的。表1、表2分別總結了當前過渡技術在用戶側和網絡側的相關功能模塊。

通過多個功能模塊的疊加、組合和復用可以實現多種過渡技術，通過控制面的策略下發可以實現多種過渡的切換，從而可以比較靈活地實現不同業務場景的適配。

表1 當前過渡技術在用戶側的相關功能模塊

表2 當前過渡技術在網絡側的相關功能模塊

2.3 基于SDN的IPv6過渡技術功能架構

引入基于SDN的IPv6過渡技術后的系統架構如圖1所示，網絡邊緣轉發設備內置控制代理（control agent）模塊，用于轉發面與控制面的協議交互。

·轉發面主要實現通用IPv6過渡技術的模塊化操作，統一實現多種類型過渡技術的轉換處理。轉發面和控制面的協議交互可以在OpenFlow協議基礎上進行擴展，也可以在現有協議（如RADIUS、Netconf等）基礎上進行擴展。

·控制面主要實現不同過渡技術的下發、流表/規則的下發與控制以及過渡期地址資源的管理。

·應用層則主要通過與控制面的交互，實現對不同過渡技術的管理與配置。

2.4 功能模塊組成

基于SDN的IPv6網絡參考架構包括三大功能模塊，分別為:應用功能模塊、SDN控制器相關功能模塊和轉發節點相關功能模塊。

（1）應用功能模塊

應用層主要提供IPv6演進技術插件、地址池及網絡資源管理、服務質量的動態調控及其他第三方業務的開放功能。

其中，應用層為IPv4向IPv6過渡中的各種技術提供插件，主要是方便靈活配置網絡轉發節點，以適應過渡技術的不同場景和不同階段；地址池及網絡資源管理功能為運營商提供地址池管理、資源管理的統一界面，并能夠與控制面交互地址的相關信息；服務質量的動態調控與差異化管理功能，為特定用戶、業務提供帶寬、路徑的差異化提供能力；第三方業務開放接口為第三方提供業務管理能力。此外，應用層還可提供綜合的業務運營和管理功能，包括網絡管理、系統管理、計費、營業、賬務和客戶服務等。

（2）SDN控制器相關功能模塊

控制器層主要包括控制協議功能、過渡技術編排、映射表項下發、對網絡資源的管理、網絡虛擬化以及基礎協議相關功能。

其中，控制協議功能提供對轉發設備的控制協議（如OpenFlow等），與轉發節點建立控制協議連接，其他功能模塊可以通過控制協議對轉發節點進行控制；過渡技術的編排功能支持對指定的過渡技術進行編排，下發給指定的轉發設備，并進行相應的配置管理；網絡資源管理功能支持對映射表項、設備資源占用情況的統計查詢，并可基于當前資源的使用情況確定下發的轉發設備列表，以實現負載均衡和冗余備份，且能在資源不足時動態調整路徑，并下發給相應的轉發器，同時支持針對各種IPv6過渡技術，對地址資源（包括地址和端口）進行統一管理，包括地址的資源分配、地址資源回收、地址資源再分配等；網絡虛擬化功能能夠實現對網絡的抽象，屏蔽物理網絡細節。

此外，控制器還可以更細粒度地控制轉發面映射表，映射表項的下發支持基于轉發層上送的首個分組及過渡策略來確定相應的映射表項，并下發給轉發設備；支持對特定映射表項的生成、更改與刪除。同時，網絡協議層還可提供傳統路由器具備的路由協議棧，使SDN控制器能夠代替轉發節點對外運行傳統路由協議。

圖1 基于SDN的IPv6過渡體系組網架構

（3）網絡側轉發節點功能模塊

網絡側轉發節點功能模塊主要包括基礎路由功能、控制協議、控制代理、流轉發面及其他支撐模塊。

其中，基礎路由功能運行IGP路由協議，負責將基本路由打通，在控制器能夠控制轉發節點之前，建立控制通道以及網絡拓撲收集；控制協議通過與控制器的控制協議層對應，負責與控制器建立和維持控制協議的連接，如SNMP、OpenFlow等協議；控制代理負責向SDN控制器注冊、上報信息，接收SDN控制器下發的控制信息和轉發表項，并下發到轉發面以指導轉發；流轉發面可實現對報文的轉發和處理，實現IPv6過渡映射表的統一存儲和處理。

（4）用戶側轉發節點功能模塊

用戶側轉發節點功能模塊主要包括基本轉發及模塊化實現、基本模塊的編排、控制代理和監測模塊。

其中，基本轉發及模塊化功能負責基本的IPv6轉發、不同基本模塊的實現（包含NAT、隧道等基本單元模塊）；基本模塊的編排可以支持不同的模塊化組合，并可以接受不同過渡技術的模式及基于特定模塊的編排；控制代理負責向控制器注冊、上報信息；監測模塊負責對本地轉發情況、地址端口占用情況進行監控。

3 關鍵技術

3.1 流表選擇性映射技術

在IPv6過渡技術中，面向單流的過渡技術 （如DS-Lite、NAT444、NAT64等）是在流表到達轉發器后才發起新建流表的請求，這對于轉發器和控制器之間的設備接口、帶寬會有很大的壓力。對于這類技術，應用SDN技術的主要優勢在于，可以較為便捷地實現狀態信息的設備間同步。而由于狀態信息的同步對于短連接的業務和長連接的業務會有較大的差異，短連接的業務在連接重新建立后可以繼續原有的業務體驗，而長連接的業務在連接重新建立后會中斷原有的業務體驗。因此，流表選擇性映射技術可以選擇配置長連接的業務，將這類業務的映射流量在多個轉發器之間進行同步。

流表選擇性映射機制的實現如圖2所示，數據流的實現過程介紹如下:

（1）由編排層向控制器通告需要進行狀態同步的目的地址，并由控制器將該請求下發給轉發器；

（2）數據流到達轉發器；

（3）轉發器查找本地狀態同步映射表，若找到，轉發器向控制器請求獲取流表；

（4）控制器向轉發器備份組統一發送數據流；

（5）數據流經過轉發器轉發。

圖2 流表選擇性映射機制的實現

由控制器下發給轉發器的狀態同步表項的ACL匹配規則可以基于特定的目的地址，也可以基于一定的協議（如TCP及端口等），在收到協議時向控制器發起新建流表的請求。在該方案中，如果控制器發生宕機，取消由控制器下發的ACL匹配規則，從而可以實現由SDN轉發器向傳統轉發器的轉換。

該方案不僅可以大大降低基于每流狀態的DS-Lite/NAT444方案中控制器的處理壓力，同時也適用于與現有過渡設備的共存，當控制器發生宕機時不會受到較大的影響。

3.2 地址池自動化管理技術

當一個控制器同時管理多個轉發器時，多個轉發器的地址池可以采用虛擬化管理的方式實現，即將一個地址池劃分為多個子地址池單元，控制器在收到一個關于新建狀態表項的請求時，基于不同的過渡技術在不同的地址池單元中進行分配，地址池單元可以不連續排列，從而可以提高地址池的整體利用率，如圖3所示。

3.3 設備狀態組管理

為了實現轉發器間的負載均衡和冗余備份，需要在控制器中建立轉發器的負載均衡組和冗余備份組。其中，位于負載均衡組內的轉換設備具有近乎相同的狀態表數量，狀態信息不在多個設備間共有；位于冗余備份組內的轉換設備同時保存相同的狀態表，如圖4所示。

4 試驗與驗證

為了驗證該架構的性能，在真實環境中進行測試，測試環境如下:

圖3 地址池自動化管理技術示意

圖4 設備狀態組管理示意

·在運行Open vSwitch的普通商用硬件上實現基于SDN架構的IPv6過渡技術；

·IPv6過渡技術的應用運行在配置為Intel Xeon E5-2407 CPU、32 GB內存的計算機上；

·數據面運行在配置為Intel Core i5-2400 CPU、4 GB內存的計算機上；

·所有硬件平臺上安裝64 bit CentOS作為操作系統。該系統部署在一個約有1000人使用的網絡中，系統架構如圖5所示。

收集了一周工作時間時的數據，數據呈現如圖6、圖7所示。圖6展示了對于用戶體驗的重要參數——流建立時間的驗證，流建立時間指用戶建立一個新的會話需要消耗的時間，如用戶打開一個新網頁所需的時間。圖6（a）展示了在不同的時間段收集到的流建立時間的數據，圖6（b）展示了該數據的統計結果，即流建立時間小于0.7 ms的百分比。可以看出，該架構的流建立時間是可商用、可部署的。

類似的，圖7展示了另一個重要參數——數據面的分組時延，這個參數可以反映用戶真實的體驗，如VoIP的時延情況。圖7（a）展示了在不同時間段收集到的數據面的分組時延的數據，圖7（b）展示了該數據的統計結果，即數據面的分組時延小于4 ms的百分比。可以看出，該架構的數據面分組時延同樣是可商用、可部署的。

5 部署與實施考慮

基于SDN的IPv6過渡技術在部署時要充分考慮與現有網絡設備的兼容性，如圖8所示。IPv6過渡技術的流表可以本地生成，也可以采用首個分組上送的方式由控制器生成。

圖5 真實環境中的系統架構

圖6 流建立時間

圖7 數據面的分組時延

圖8 基于SDN的IPv6過渡技術的部署

在實際部署時，考慮到IPv6過渡設備會在SDN技術完全成熟前進行部署，因此需采用分階段的部署策略，具體介紹如下。

第一階段，現網中已部署部分IPv6過渡設備，此時基于SDN的IPv6過渡設備可以首先在網絡側新增設備中實現。在過渡技術的選擇上，盡可能與已部署的過渡技術保持一致。針對新引入的過渡技術，可以首先在新設備中支持。此外，控制器可采用在同一城域網內集中式部署的模式，增加協議接口適配模塊，以實現與現有設備的互通。該階段由于全網并沒有完全支持SDN技術，對于某些新業務的開展，只能指定在特定的設備和路徑中予以實現。

第二階段，逐漸在家庭網關中引入SDN技術，從而可以更好地適配新業務的發展。同時，可逐步升級現網中的已有設備，使得控制器能夠完全掌握全網的資源配置情況，同時編排層也能完成與現網支撐系統的配合，且對用戶的實際端口及地址的使用情況有了更為清晰的認識。此時可逐漸根據實際需求調整特定過渡技術的選擇以及對部署位置、資源進行靈活調配。

第三階段，全網逐漸全面引入SDN技術，為了更好地支撐IPv6的發展，在SDN技術中也會更多地引入網絡智能化、虛擬化等技術，以更好地支持物聯網、云計算、移動互聯網等應用的發展。

1 Bagnulo M,Matthews P,Beijnum I.Stateful NAT64:Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers.draft-ietf-behave-v6v4-xlate-stateful-11(Work in Progress),March 30,2010

2 Huang B,Deng H.Prefix NAT:Host based IPv6 Translation.draft-huang-behave-pnat-01 (Work in Progress),February 19,2010

3 Boucadair M,Jacquenet C,Grimault J L,et al.Deploying Dual-Stack Lite (DS-Lite)in IPv6 Network.draft-boucadairdslite-interco-v4v6-03(Work in Process),February 24,2010

4 Li X,Bao C,Chen M,et al.The CERNET IVI Translation Design and Deployment for the IPv4/IPv6 Coexistence and Transition.draft-xli-behave-ivi-07(Work in Progress),January 6,2010

5 Li X,Bao C,Zhang H.Address-Sharing Stateless Double IVI.draft-xli-behave-divi-01(Work in Process),October 26,2009

6 Bush R.The A+P Approach to the IPv4 Address Shortage.draftymbk-aplusp-05,October 27,2009