雙棧用戶的PPPoE接入及網(wǎng)絡(luò)部署

張書民 田海建 許 靜

山東省郵電規(guī)劃設(shè)計院有限公司 濟南 250031

概述

IANA及APNIC可分配的IPv4公有地址已于2011年上半年分配完畢,國內(nèi)各運營商申請的IPv4地址也將陸續(xù)耗盡。為解決IPv4地址枯竭后網(wǎng)絡(luò)和業(yè)務(wù)的可持續(xù)發(fā)展問題,運營商紛紛開始試點布局IPv6。PPPoE接入方案是目前國內(nèi)外比較普遍采用的接入方案,過渡初期,PC終端操作系統(tǒng)大多都是同時支持IPv4和IPv6雙棧,只支持純IPv6協(xié)議棧的較少。因此,研究雙棧環(huán)境下PPPoE接入認證技術(shù)及相關(guān)網(wǎng)絡(luò)部署,對于實現(xiàn)IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)順利過渡非常必要。

1 PPPoE接入的基本流程

PPPoE接入方案基于PPPoE和AAA架構(gòu)對終端設(shè)備進行接入控制,是目前國內(nèi)外普遍采用的接入方案。

1.1 IPv6單棧用戶的PPPoE接入流程

IPv4環(huán)境下,PPPoE協(xié)議簇包括PPPoE發(fā)現(xiàn)協(xié)議、LCP協(xié)議、NCP協(xié)議中的IPCP協(xié)議。在PPPoE鏈路建立過程中,依次建立虛擬鏈路、配置鏈路層相關(guān)參數(shù)、配置網(wǎng)絡(luò)層相關(guān)參數(shù)。PPPoE鏈路建立過程可分為兩個階段:發(fā)現(xiàn)階段和會話階段,會話階段是在同一個PPPoE接入認證控制鏈路域內(nèi)與BRAS協(xié)商唯一的PPPoE Session-ID,會話階段包括PPP鏈路建立和PPP網(wǎng)絡(luò)層配置兩個協(xié)商過程以及PPPoE的認證過程[1]。

IPv6環(huán)境下PPPoE鏈路建立過程與IPv4環(huán)境下PPPoE鏈路建立過程沒有本質(zhì)的區(qū)別。PPPoE的前兩個階段,PPPoE虛擬鏈路建立階段和PPPoE數(shù)據(jù)鏈路建立是完全一致的,網(wǎng)絡(luò)層配置階段也是相似的,區(qū)別就是在網(wǎng)絡(luò)層配置階段使用IPv6CP來配置網(wǎng)絡(luò)層參數(shù)。PPPoE認證成功后,進入NCP配置階段,純IPv6網(wǎng)絡(luò)開始進行網(wǎng)絡(luò)層配置,使用的協(xié)議為IPv6CP。

典型的PPPoE鏈路建立報文交互過程如圖1所示。

圖1 典型的PPPoE鏈路建立報文交互過程

PPP標準RFC5072僅僅通過PPP的NCP(IPv6CP)協(xié)商Interface-ID,不做其他額外工作。這個Interface-ID的目的是用來創(chuàng)建終端的Link-local地址,即后64位采用NCP協(xié)商的ID,前64位采用FE80::/64[2-3]。在整個PPPoE建立完連接后,終端設(shè)備并沒有獲得一個完整的全局IPv6地址,IPv6終端獲得全局IPv6地址可通過兩種方式獲得[1,4]。

一種方式是PPPoE+ND,即PPPoE認證成功后,通過ND方式獲取IPv6前綴,此前綴和協(xié)商好的接口ID組合成全局IPv6地址。PPPoE連接完成后,PC發(fā)起NDRS,BRAS收到NDRS請求后,回應(yīng)NDRA下傳IPv6前綴,PC收到NDRA后,自動生成IPv6公網(wǎng)地址,完成IPv6公網(wǎng)地址的配置。對于DNS地址,如果PC的PPPoE邏輯接口設(shè)定DNS地址自動獲取(O標志位置1,主機使用DHCPv6獲取除地址以外的其他參數(shù)),PC則會通過DHCPv6協(xié)議發(fā)送Information Request請求報文,攜帶DNS Recursive Name Server option(option-code為OPTION_DNS_SERVERS[5]),BRAS通過DHCPv6的Reply報文回應(yīng)請求報文,下傳DNS地址,完成PPPoE邏輯接口IPv6協(xié)議配置。

另一種方式是PPPoE+DHCPv6方式,即PPPoE認證成功后,通過DHCPv6方式下發(fā)IPv6地址前綴或全局IPv6地址。PPPoE連接完成后,PC通過DHCPv6協(xié)議報文發(fā)送Solicit多播報文尋找DHCPv6服務(wù)器,BRAS發(fā)送Advertise單播報文響應(yīng),表示它可以提供地址和參數(shù)配置服務(wù);PC再以單播的方式向BRAS發(fā)送Request請求報文,請求服務(wù)器為其分配IPv6前綴(option-code為OPTION_IAPREFIX[6])及DNS地址,BRAS使用Reply報文確認分配IPv6前綴以及DNS地址。PC根據(jù)獲取的IPV6前綴生成IPv6公網(wǎng)地址,完成PPPoE邏輯接口的IPv6協(xié)議配置。PC也可以直接通過DHCPv6獲取IPv6地址和DNS地址,完成PPPoE邏輯接口的IPv6協(xié)議配置。

IPv4中,DHCPv4協(xié)議分配網(wǎng)關(guān)地址,而在IPv6中,DHCPv6 Server不分配缺省網(wǎng)關(guān),缺省網(wǎng)關(guān)通過RA報文獲得。在ND協(xié)議的RS-RA報文交互中,RA報文的源IPv6地址即為IPv6主機的網(wǎng)關(guān)地址,而且該地址類型必須是路由器的鏈路本地地址。同時,IPv6主機收到路由器通告報文時,會以路由器的鏈路-本地地址為下一跳創(chuàng)建一條默認路由,路由器的生存期字段指定了該默認路由的有效期,當(dāng)此字段值為0時,表示此默認路由器不可再作為默認路由器。

1.2 雙棧用戶的PPPoE接入流程

向IPv6過渡初期,終端操作系統(tǒng)大多都需要同時支持IPv4和IPv6雙棧,只支持純IPv6的協(xié)議棧較少,因此研究雙棧用戶的接入流程具有重要的意義。

雙棧用戶同時擁有IPv4和IPv6兩個地址,PPPoE雙棧用戶在NCP協(xié)商階段同時進行IPCP和IPv6CP的協(xié)商,其他階段與IPv6用戶的PPPoE基本流程相比沒有變化。實際網(wǎng)絡(luò)中,根據(jù)終端工作模式的不同,雙棧用戶的接入流程略有不同。

家庭網(wǎng)關(guān)(CPE)的工作模式可分為橋接模式和路由模式兩種。對于橋接型的CPE,ISP直接為用戶PC分配IP地址,完成用戶的接入認證;對于路由型的CPE,ISP為CPE分配IP地址,完成接入認證,CPE再為用戶PC分配地址并進行相關(guān)配置。

1) 家庭網(wǎng)關(guān)工作在橋接模式。這種模式下,由PC發(fā)起PPPoE連接,家庭網(wǎng)關(guān)只需二層轉(zhuǎn)發(fā)用戶和BRAS間的報文。

對于IPv4,BRAS通過IPCP為終端分配IPv4地址并下發(fā)DNS等參數(shù);對于IPv6,BRAS通過IPv6CP為終端分配接口ID,并通過ND協(xié)議分配IPv6前綴或者DHCPv6協(xié)議分配IPv6地址。橋接模式下雙棧用戶的PPPoE接入流程(ND協(xié)議分配IPv6前綴)如圖2所示。

圖2 橋接模式下雙棧用戶的PPPoE接入流程

2) 家庭網(wǎng)關(guān)工作在路由模式。這種模式下,由家庭網(wǎng)關(guān)發(fā)起PPPoE連接,在家庭網(wǎng)關(guān)WAN側(cè)和LAN側(cè)分別進行不同的配置,接入流程如圖3所示。

在WAN側(cè),BRAS使用DHCPv6-PD機制為家庭網(wǎng)關(guān)分配IPv6前綴。家庭網(wǎng)關(guān)發(fā)送Solicit報文攜帶IA-PD選項請求BRAS為其分配IPv6前綴,BRAS發(fā)送Advertise報文響應(yīng),并在Request和Reply報文交互之后完成家庭網(wǎng)關(guān)的前綴分配。

在LAN側(cè),家庭網(wǎng)關(guān)使用ND協(xié)議為用戶分配前綴或DHCPv6協(xié)議為用戶分配IPv6地址,封裝PPPoE頭和Ethernet頭,轉(zhuǎn)發(fā)用戶IPv6數(shù)據(jù)報文。

與橋接模式相比,路由模式的前幾步只是配置了CPE的WAN口的IPv4地址和IPv6地址,PC并沒有完成地址配置。為給用戶PC分配IPv4和IPv6地址并配置信息,CPE需要調(diào)用DHCPv4完成PC的IPv4地址配置,調(diào)用DHCPv6完成IPv6地址配置。

圖3 路由模式下雙棧用戶的PPPoE接入流程

對于PPPoE接入,無論橋接型CPE還是路由型CPE,用戶的IPv4接入和IPv6接入都不受接入網(wǎng)絡(luò)的影響,差別僅在于PPPoE撥號的起點分別在PC和CPE。兩種模式下雙棧PPPoE用戶的地址分配過程如表1。

表1 不同模式下雙棧PPPoE用戶的地址分配

2 雙棧用戶的PPPoE部署

在實際的寬帶接入中,用戶終端必須完成接入認證、獲得IP地址、DNS服務(wù)器等信息后才能訪問服務(wù)器。用戶訪問網(wǎng)絡(luò),首先由終端(PC或家庭網(wǎng)關(guān))發(fā)起PPPoE連接請求,由支持IPv6的BRAS終結(jié)用戶IPv6的PPP請求,在AAA、DNS的配合下完成用戶的接入認證。

2.1 相關(guān)設(shè)備及系統(tǒng)的功能要求

雙棧用戶終端接入網(wǎng)絡(luò)訪問應(yīng)用服務(wù)器時,相關(guān)的設(shè)備和系統(tǒng)必須同時支持IPv4、IPv6相關(guān)功能。涉及的設(shè)備和系統(tǒng)必須支持雙棧運行,具體的要求如下。

終端:對于橋接模式下的PC終端需支持IPv6協(xié)議和PPPoE撥號,支持IPCP/IPv6CP協(xié)議,支持DHCPv4、DHCPv6等功能;路由模式的家庭網(wǎng)關(guān)在支持以上功能的同時還需支持DHCPV6-PD功能,根據(jù)匯聚層過渡部署方案選擇支持隧道功能。對于PC終端采用Windows XP操作系統(tǒng)的,由于XP操作系統(tǒng)不支持IPv6CP協(xié)議和DHCPv6協(xié)議,所以不支持雙棧PPPoE撥號,需要額外的撥號終端軟件支持。

接入網(wǎng):PPPoE不受二層接入網(wǎng)的影響,可直接透傳到BRAS,終結(jié)PPP幀,因此,現(xiàn)有的二層接入網(wǎng)只需升級或替換支持IPv6的安全策略。

BRAS:BRAS是雙棧用戶PPPoE接入的關(guān)鍵設(shè)備,需要支持PPPoE、DHCPv4、DHCPv6和DHCPV6-PD、RADIUS等功能,支持無狀態(tài)和有狀態(tài)的地址分配。

AAA:支持IPv6的接入認證、授權(quán)和計費。

DNS:支持AAAA記錄查詢。

2.2 關(guān)鍵節(jié)點部署方案及策略

2.2.1 BRAS部署

BRAS是PPPoE接入的核心設(shè)備和部署關(guān)鍵節(jié)點,根據(jù)現(xiàn)網(wǎng)設(shè)備對IPv6的支持情況,對BRAS的部署方案不同。

1) 已支持IPv6的BRAS。如運營商的BRAS已經(jīng)支持IPv6并能雙棧運行,用戶終端可發(fā)起PPPoE撥號,完成IPv4和IPv6的地址分配和終端配置,完成雙棧用戶的PPPoE接入認證。

2) 需升級支持IPv6的BRAS。如運營商的BRAS可通過升級支持IPv6,需對BRAS進行升級,開啟雙棧,并完成用戶的接入認證。

3) 不能升級支持IPv6的BRAS。如運營商BRAS不能升級支持IPv6,可選用支持IPv6的BRAS替換老舊BRAS;過渡初期為保護現(xiàn)網(wǎng)投資,可以配合使用L2TP隧道完成IPv6用戶的接入。

邊緣路由器不支持IPv6的情況下,可以通過L2TP協(xié)議接入到其他支持IPv6并開啟雙棧的BRAS。原BRAS作為LAC,遠端BRAS作為LNS,LAC和LNS之間建立L2TP隧道。PPPoE通過L2TP接入時,PPPoE與LAC端交互不變,L2TP協(xié)議本身的交互不變,只有PPPoE用戶與LNS端交互發(fā)生變化,LNS需要為PPPoE用戶分配IPv6地址或者前綴。典型的用戶接入模型如圖4所示。

圖4 典型的用戶接入模型

2.2.2 DNS部署

為支持雙棧用戶訪問網(wǎng)絡(luò),DNS系統(tǒng)需要能夠同時支持IPv4和IPv6域名解析。目前DNS系統(tǒng)大多支持IPv6地址的記錄,在小規(guī)模試點階段,為避免與現(xiàn)有IPv4域名系統(tǒng)相互影響,可考慮建立獨立的IPv4/IPv6雙棧域名管理系統(tǒng)為雙棧用戶進行域名解析。若DNS服務(wù)器中同時有A記錄和AAAA記錄,則為終端返回IPv4地址和IPv6地址,終端根據(jù)操作系統(tǒng)的默認選擇IPv4或IPv6地址進行訪問。

目前DNS承載網(wǎng)絡(luò)尚不支持IPv6,這種情況下,可采用IPv4封裝的DNS請求,為用戶進行地址解析。后期通過對DNS承載網(wǎng)絡(luò)的交換機和路由器升級支持IPv6,可使承載網(wǎng)具備支持IPv6訪問的能力。

關(guān)于IPv6主機獲取DNS參數(shù)的方式,除了采用DHCPv6協(xié)議外,RFC6106還提出使用RA option進行DNS下發(fā)[7]?；赗A Option的DNS配置可以使主機在同一個RA報文中獲取DNS信息,也使網(wǎng)絡(luò)不必運行DHCPv6,這在IPv6主機地址配置方式為無狀態(tài)地址自動配置,或者網(wǎng)絡(luò)中根本不支持DHCPv6、主機沒有DHCPv6客戶端的情況下,是一種有效的備選方式。這樣即使網(wǎng)絡(luò)不支持DHCPv6,也可以完成主機的基本參數(shù)配置。但如果網(wǎng)絡(luò)要求額外的參數(shù)而必須部署DHCPv6,對于基于RA的DNS配置則不是必需的。

雙棧主機可以分別使用IPv4和IPv6進行DNS解析,根據(jù)DNS服務(wù)器中攜帶的地址決定使用IPv4或IPv6進行訪問。但目前部署純IPv6的DNS仍有困難,雙棧客戶端可以借助IPv4 DHCP SERVER下發(fā)DNS服務(wù)器地址進行IPv6地址解析,而不需要單獨的DHCPv6 SERVER下發(fā)DNS服務(wù)器地址。

3 IPv6 PPPoE部署存在的問題

在IPv4時代,用戶上網(wǎng)的所有參數(shù)在PPP協(xié)議的NCP提供全部解決方案。首先PPP的LCP階段實現(xiàn)用戶上網(wǎng)認證,認證通過后進入PPP的NCP階段,協(xié)商上網(wǎng)需要的終端地址、DNS地址和缺省網(wǎng)關(guān)地址。雙棧環(huán)境下卻存在一些問題。

1) 終端對IPv6支持能力不足。Windows XP及其以前的Windows系統(tǒng)均不支持IPv6CP,也不支持DHCPv6客戶端功能;而現(xiàn)有寬帶用戶中采用Windows XP系統(tǒng)的仍占很高的比例,部署IPv6將對用戶造成一定的影響。

2) IPv6在NCP階段僅協(xié)商Interface-ID,不能獲得完整的IPv6地址,終端接口地址或者路由型家庭網(wǎng)關(guān)WAN口地址依然需要通過ND或者DHCPv6獲得,這導(dǎo)致用戶認證授權(quán)時間延長。

3) 在雙棧終端的地址分配機制中,BRAS并不能同時完成IPv4和IPv6地址的分配,BRAS在下發(fā)一個IP地址后即用accounting-start消息上報計費,而不會等待另一個地址分配完成,不能對IPv4和IPv6業(yè)務(wù)進行同步計費。

4) 只有對流量的統(tǒng)計屬性,但是不能區(qū)分是IPv4還是IPv6流量,無法滿足運營商針對IPv4和IPv6流量分別計費的要求。

5) 雙棧運行使網(wǎng)絡(luò)更加復(fù)雜,故障排除更加困難,這給網(wǎng)絡(luò)運維帶來了很大的挑戰(zhàn)。

4 結(jié)束語

互聯(lián)網(wǎng)業(yè)務(wù)的快速發(fā)展,使IPv4地址耗盡速度和IPv6部署進程加快。雙棧技術(shù)作為IPv4網(wǎng)絡(luò)向IPv6過渡的主要方式,會使雙棧用戶在現(xiàn)網(wǎng)中的比例逐步提高。由于IPv6與IPv4協(xié)議不兼容,向IPv6過渡必然會影響現(xiàn)有IPv4用戶,且由于寬帶用戶規(guī)模龐大,部署IPv6后出現(xiàn)的問題將會造成較大范圍的影響?，F(xiàn)網(wǎng)中PPPoE作為主要的認證方式,部署IPv6后PPPoE方式仍將繼續(xù)沿用,雙棧用戶PPPoE接入的流程有待進一步優(yōu)化,其他存在的問題和對用戶造成的影響需要在網(wǎng)絡(luò)試點中逐步發(fā)現(xiàn)并解決。在向IPv6過渡過程中,完成用戶的接入認證只是用戶使用IPv6網(wǎng)絡(luò)的第一步,要實現(xiàn)IPv6環(huán)境下網(wǎng)絡(luò)的可運營、可管理,需要網(wǎng)絡(luò)支撐系統(tǒng)、運維支撐系統(tǒng)的同步升級。這將是一個漫長、復(fù)雜的過程,需要綜合考慮投資成本、網(wǎng)絡(luò)現(xiàn)狀及技術(shù)發(fā)展趨勢,選擇適合的方式進行網(wǎng)絡(luò)過渡。在IPv6網(wǎng)絡(luò)部署過程中,需要不斷發(fā)現(xiàn)并解決問題,總結(jié)經(jīng)驗,使IPv6網(wǎng)絡(luò)部署對現(xiàn)有IPv4用戶的影響最小化,以推動網(wǎng)絡(luò)向IPv6平滑演進。

參考文獻

[1]楊國良,李陽春,伍佑明,等.IPv6技術(shù)、部署與業(yè)務(wù)應(yīng)用[M].北京:人民郵電出版社,2011

[2]胡捷,王茜,陳運清.IPv6過渡期的用戶接入認證[C]//下一代互聯(lián)網(wǎng)與應(yīng)用研討會論文集,2011:114-117

[3]Broadband Forum TR-187_Issue-2.IPv6 for PPP Broadband Access[S].2013

[4]陳琦.IPv6環(huán)境下的PPPoE接入技術(shù)研究[J].電信科學(xué),2010(7):14-16

[5]IETF RFC 3646.DNS Conf i guration options for Dynamic Host Conf i guration Protocol for IPv6[S].2003

[6]IETF RFC 3633.IPv6 Pref i x Options for Dynamic Host Conf i guration Protocol(DHCP)version 6[S].2003

[7]IETF RFC 6106.IPv6 Router Advertisement Options for DNS Conf i guration[S].2010