5G SA網絡引入IPv6的思路探討

馬晨昊/MA Chenhao，解沖鋒/XIE Chongfeng，鄭偉/ZHENG Wei，李聰/LI Cong

（1.中國電信股份有限公司研究院，北京 102209；2.中國電信股份有限公司江蘇分公司，江蘇 南京，210037）

(1.China Telecom Research Institute, Beijing 102209, China;2.China Telecom Jiangsu Branch, Nanjing 210037, China)

作為新一版互聯網網絡層協議，IPv6在全球受到越來越多的重視。根據谷歌最新統計，現在全球約有30%的用戶開始使用IPv6，其中以歐美發達國家的IPv6發展最為領先。在2016年，IETF就發表聲明，要求新的協議制定或協議擴展不要兼容IPv4，而要基于IPv6。在中國，自從2017年底中共中央辦公廳和國務院辦公廳發布IPv6行動計劃發布以來，在運營商和OTT（指互聯網公司越過運營商）等產業各界的協作下，中國IPv6發展迅速，分配了IPv6地址的用戶數、IPv6活躍用戶數和流量增長迅速。與此同時，作為新一代移動通信技術，5G也處于商用化部署的關鍵期。選擇合適的網絡協議和最佳功能配置是發展5G的關鍵。5G和IPv6是構建中國新一代信息基礎設施的兩項重要技術支柱，它們在新時期的相遇和融合，是信息技術發展的必然。幸運的是，在3GPP標準設計和設備實現上，5G已能良好地支持IPv6協議；但是5G網絡引入IPv6協議的技術路線，在3GPP的相關標準中并沒有詳細和明確的說明。例如，如何發揮IPv6的技術優勢來提升網絡的綜合能力？如何處理IPv6和IPv4的關系？等。5G網絡引入IPv6涉及端、管、云等多個環節，如果處理不好，會對未來5G網絡甚至互聯網的發展產生不利影響。在5G SA部署過程中，是延續傳統繼續部署雙棧，還是破舊立新，直接采用IPv6單棧？針對以上問題，本文中，我們在分析5G網絡引入IPv6面臨的挑戰的基礎上，重點介紹和分析了不同的IPv6過渡方案，特別論述了5G SA網絡用戶面引入IPv6單棧的新型技術方案，并對其組網架構、冗余備份、端口映射和溯源方案做了詳細介紹。在以上論述的基礎上，提出了運營商選擇IPv6演進路線的策略建議。

1 5G引入IPv6的主要問題及可選技術方案

5G引入IPv6主要涉及3個層面：用戶面、控制面和承載面。用戶面是與用戶數據傳輸相關的層面，它直接面向用戶終端并直接為用戶提供接入服務，是IP地址消耗最大的層面；控制面是指核心網設備之間的互連并且進行核心網協議交互的層面；承載面是指城域網、骨干網等用于承載控制面和用戶面的網絡。每個層面都涉及到IPv6引入，策略上也會有所不同。考慮到篇幅因素，我們主要討論用戶面的IPv6引入問題。5G引入IPv6時，所使用的技術方案原則上不影響5G原有功能和性能，并且盡可能發揮IPv6的技術優勢來創建能力更高、成本更低的網絡。當前5G引入IPv6的需要考慮如下幾個因素：

1）海量多業務承載。5G需要承載的業務更加多樣，不僅支持傳統的寬帶上網業務，還要支持物聯網（IoT）、移動邊緣計算（MEC）、車用無線通用技術（V2X）等新興業務，這主要對IP網絡層提出IP地址數足夠多、連接足夠多、業務保持高穩定互通的要求。

2）高性能保障。5G網絡性要求更為苛刻，同時4K/8K高清視頻、遠程醫療、云游戲、遠程駕駛、工業控制等增強移動寬帶（eMBB）/超可靠低時延通信（URLLC）應用需求也日趨緊迫，它們對網絡提出了超低時延、超大帶寬的要求。而這些性能需求與網絡用戶面緊密相關，需要用戶面提供高效的數據處理和轉發。

3）安全可溯源。由于面向的場景更加多樣，5G的連接數將會達到一個較高的數量級，所傳遞的內容也將更為復雜。出于安全考慮，用戶面須提供完善的尋址方案和溯源方案，以確保用戶和終端的訪問行為可追溯。

目前中國的IPv6部署主要采用雙棧方式。網絡給用戶終端分配和維護IPv4地址和IPv6地址[1]，支持IPv6業務和IPv4業務的訪問，兩種協議邏輯上獨立。由于當前IPv4地址極其稀缺，因此移動網絡通常給用戶分配私有IPv4地址，并在網絡中部署支持網絡地址轉換（NAT）的設備進行公私有地址的轉換。隨著時間的推移，雙棧技術方案也日益暴露其缺點，例如：雙棧并沒有解決地址不足問題，有些場景下用戶的私有地址也發生沖突；此外，雙協議棧的維護成本高等。

IPv6單棧方案是以IPv6為基礎協議建立的終端編址和業務承載體系。該方案構建在翻譯技術的基礎上，在終端只有IPv6地址的情況下，支持對IPv6和IPv4業務的訪問。該方案的核心是NAT64/DNS64（DNS指域名系統）技術。NAT64[2]是一種有狀態的網絡地址與協議轉換技術，用于IPv6客戶端和IPv4業務端傳輸控制協議（TCP）、用戶數據報協議（UDP）、Inernet控制報文協議（ICMP）下的 IPv6與IPv4網絡地址和協議轉換，實現只擁有IPv6地址的終端發起連接訪問IPv4側網絡資源。

在IPv6單棧網絡中，終端從網絡側只獲得IPv6地址，終端上存在支持IPv6的應用客戶端，也存在只支持IPv4的應用客戶端。如圖1所示，當終端發起連接訪問普通IPv6網站或其他服務器時，流量將會匹配IPv6默認路由并直接轉發至IPv6路由器處理，正常訪問IPv6網絡中的資源。

當客戶端去訪問只支持IPv4協議棧的網站或服務器時，其目的IPv4地址需要由DNS64[3]服務器添加IPv6前綴Pref64來合成IPv6地址。其過程為：終端向支持DNS64的DNS遞歸服務器發出AAAA類解析請求時，如果權威服務器返回的記錄為RCODE=3（名字錯誤，表示請求中的域不存在），說明該域名對應的服務器為IPv4單棧服務器。此時DNS64繼續查詢，發出A類請求查詢，并獲得A類查詢結果。DNS64支持將DNS查詢信息中的 A記錄（IPv4地址）合成到 AAAA記錄（IPv6地址）中，即為IPv4 應用服務器的IPv4地址通過添加IPv6前綴Pref64映射成了IPv6地址，并將生成的AAAA類結果返回給客戶端。

在有些情況下，IPv4網絡側的IPv4地址沒有經過DNS64的處理直接到達IPv6單棧客戶端里。此時，支持RFC7050協議[4]的DNS64服務器會把前綴Pref64下發至終端，終端可使用本地合成前綴的方式將目的IPv4地址合并成IPv6地址。

在獲得AAAA類的解析結果后的該流量將被路由轉發至NAT64路由器上，IPv6與IPv4地址和協議在NAT64上進行合成轉換，從而實現訪問IPv4網絡中的資源。需要補充說明的是，NAT64設備中將IPv4地址合成IPv6地址采用的前綴Pref64與DNS64中采用的合成前綴Pref64是一致的。

2 5G SA引入IPv6單棧的技術方案

2.1 5G組網方案

結合3GPP的5G標準[5]和IPv6單棧的思路，我們建議的組網方案如圖2所示。在IPv6單棧接入的環境下，終端只被分配了IPv6地址。為了支持IPv6單棧終端訪問支持IPv4協議的網站或者應用，在5G的用戶面功能（UPF）位置部署支持NAT64設備，并在部署的DNS服務器上升級支持DNS64和RFC7050協議，通過IPv4和IPv6翻譯實現對于IPv4網站或者應用的訪問。對于NAT64和DNS64的部署方式，NAT64的部署可采取分布式、集中式或混合式。我們建議運營商根據實際需求選擇具體部署方式。

在實際的部署中NAT64存在兩種形態：插卡式NAT64設備和具備NAT64功能的專用設備。它們的部署方案也因此略有不同，具體介紹如下：

1）插卡式NAT64設備。插卡式NAT64方案如圖3所示，NAT64板卡插于用戶邊緣路由器（CE）路由器上。正常狀態下，板卡之間負載分擔，若一塊板卡發生故障，正常板卡承擔全部業務。設備的冗余建議采用熱備的方式備份，并且配置一致，同步NAT64會話信息，主備切換后用戶無感知。在尋址和路由方面，我們建議不同的CE配置不同的IPv4地址池，配置相同的IPv6合成前綴Pref64。在IPv6側發布相同的IPv6合成前綴Pref64，在IPv4側由于IPv4地址池不同，因此發布不同的IPv4路由。

2）具備NAT64功能的專用設備。專用設備方案如圖4所示，建議將設備側掛于CE上路由器，設備之間通過接口互聯。設備的冗余采用“1+1”的方式，正常狀態下兩臺設備之間負載分擔，若一臺故障，另一臺設備提供冗余。兩臺設備間通過熱備方式備份，并且同步NAT64會話信息，主備切換后用戶無感知。在尋址和路由方面和上述方案一樣，主備設備配置不同的IPv4地址池和相同的IPv6合成前綴Pref64，相互備份的兩臺NAT64設備在IPv6側發布相同的IPv6合成前綴Pref64，在IPv4側發布不同的路由。

NAT64功能除了用上述的專用硬件方式實現外，也可以采用虛擬化技術來實現。虛擬化NAT64的組網方案和物理設備的功能相同，和其他設備的互連接口也相同；不同之處僅在于NAT64功能在虛擬機上實現，考慮到篇幅，在此不做詳述。

2.2 端口映射方案

圖2 5G 獨立組網網絡架構圖

圖3 插卡式NAT64/運營商級NAT（CGN）方案

圖4 專用的NAT64設備方案

由于IPv4資源稀少，因此在NAT64中用戶的IPv6地址和IPv4地址并不是一一對應的。通常情況下，多個用戶共享復用單個IPv4地址，此時需要進行地址變換和端口層面的映射，并動態建立映射會話。基于端口級建立映射會話，在溯源系統中需要存儲大量的用戶連接信息表。這會對NAT64設備、溯源系統以及設備間的交互接口都帶來很大的壓力。

為了減小溯源日志的數據量，我們建議使用用戶動態分配“IPv4地址+端口段”（簡稱“IPv4端口段”）的方式，即采用用戶IPv6地址和IPv4端口段進行動態映射的方式，將映射從端口級提到端口段級。具體方式列舉如下。

1）當IPv6終端發起訪問IPv4應用的請求時（數據上行）：

（1）對于目的IPv6地址，在NAT64中做IPv6和IPv4協議和地址轉換，此過程為無狀態；

（2）對于IPv6終端的源地址，在收到用戶終端發出的首個數據包時，NAT64為源IPv6地址從資源池中動態選取一個可用的IPv4端口段，將源IPv6地址變換為該IPv4端口段所在的IPv4地址，并將該IPv6數據包及后續使用該IPv6地址的數據包的源端口變換為該IPv4端口區間內的端口，利用該端口段在NAT64中建立和維護TCP和UDP的會話映射，在使用完畢后釋放該IPv4端口段。

2）當數據流返回時（數據下行）：

（1）對于目的IPv4地址，根據NAT64設備中的映射會話將目的地址從IPv4轉換成IPv6地址，同時進行端口和協議的轉換；

（2） 對 于 源IPv4地 址，在NAT64中添加NAT64的映射前綴Pref64，做IPv4到IPv6地址和協議的轉換。

此外，為了支持從IPv4訪問IPv6的需求，我們建議NAT64需要同時支持通過手工配置靜態映射關系，實現IPv4網絡主動發起連接訪問IPv6網絡。

2.3 漫游考慮

IPv6單棧對5G網絡漫游的影響可以從兩個場景來分析：運營商內的省間漫游和出國漫游。對于第一種場景，運營商在各省的網絡均具為IPv6單棧配置，因此漫游用戶在不改動終端配置的情況下可以使用IPv6單棧省份的環境，此時對于本地路由、回歸屬路由都沒有特別要求；對于第二種情況，如果被訪地的運營商網絡不是IPv6單棧，此時終端可自動開啟雙棧模式，這樣可以使用非IPv6單棧的網絡環境訪問互聯網。

2.4 溯源方案

在5G IPv6單棧環境中，由于NAT64目前采用的是有狀態轉換方式，在設備的運行過程中，NAT64設備需要實時保持IPv6地址和端口與IPv4地址和端口段間的映射關系。為了支持訪問溯源，我們建議將NAT64中映射表同步至日志服務器。

溯源方案如圖5所示，在5G IPv6單棧網絡中建立地址轉換日志系統，其中包括SYSLOG日志服務器、數據采集設備、溯源查詢服務器。多個服務器協同實現整個用戶溯源的流程，數據采集設備采集用戶和訪問日志信息，NAT64設備上傳用戶地址轉換記錄，兩個信息相關聯形成可供溯源功能的日志。NAT64地址轉換日志系統根據需求對現有系統進行相應擴展，完成用戶地址映射信息的SYSLOG方式采集。此外，地址轉換系統應能夠滿足用戶級的地址映射信息采集的功能和性能要求。

溯源系統的查詢過程就是通過給定的公網地址+端口號、映射關系建立的時間戳等信息來查詢用戶的源IPv6地址。這個源IPv6地址在IPv6單棧網絡中是用戶終端的公網IPv6地址。

3 IPv6單棧的產業發展現狀

IPv6單棧是網絡發展的國際趨勢。微軟、谷歌、蘋果和思科等支持IPv6單棧的發展，特別是谷歌和蘋果等在其iOS和Android終端產品中很早就實現了IPv6單棧的支持，即在給終端分配IPv6單棧地址的情況下，也可完成原有雙棧的功能。在運營商方面，T-mobile、Sprint、Reliance Jio、Orange、SK、Telstra和Rogers等在4G時期就已經部署或者試驗了IPv6單棧技術；但在中國，對于IPv6單棧技術的規模驗證仍然缺乏，因此需要加強規模部署的研究和現網實驗。

4 運營商5G網絡引入IPv6的路線選擇

IPv6單棧方案也可以解決網絡中IP地址不足帶來的編址問題。在傳統網絡中，不僅公有IPv4地址被耗盡，而且私有IPv4地址也緊缺，甚至會發生私有地址復用的現象。新興業務如IoT、V2X和MEC等，對于編址提出了更高的要求，需要采用IPv6來解決編址問題。從雙棧演進為IPv6單棧方案，在運維方面簡化了網絡管理，減少了訪問控制列表（ACL）、路由配置和管理工作量。在安全方面，單棧替代雙棧，減少協議暴露面，降低了安全風險。終端采用唯一的公有IPv6地址也增強了溯源能力。

在當前激烈的市場競爭中，運營商注重業務的互通性和用戶的體驗。在設備能力具備及部署合理的前提下，IPv6單棧技術方案可滿足運營商這方面的要求。我們建議運營商根據自己的IPv4地址富余量、產業情況、政府政策及終端支持等因素綜合考慮來選擇路線。下面對IPv6單棧技術與IPv4/IPv6雙棧技術的分析對比，具體如表1所示。

5 結束語

圖5 日志溯源系統組成示意圖

表1 雙棧方案和IPv6單棧方案的對比

移動網絡只給終端分配IPv6地址。在單IPv6地址的情況下，移動終端不但能支持IPv6單棧業務，也能支持對IPv4/IPv6雙棧及IPv4單棧業務的訪問，使用戶體驗不會因為沒有IPv4地址而發生變化。需要說明的是，IPv6單棧技術本身不提倡廣泛使用NAT64，而是希望實現NAT64轉化的流量在總流量中的占比越來越少，而端到端的IPv6流量占比越來越大，因此使OTT的業務向IPv6進一步遷移。本文中，我們對5G引入IPv6的思路進行了探討，介紹了IPv6單棧下5G的基本技術、組網方案、映射和溯源方案，為5G運營商的IP網絡演進技術路線的選擇提供參考。5G IPv6單棧化將是網絡向IPv6演進的重要一步，除了技術的因素外，OTT企業和運營商各方的協同合作也是最終關鍵的關鍵。

致謝

本研究的實驗工作得到了國家下一代互聯網工程中心李震博士的協助，在此謹致謝意！