基于6to4Tunnel機制的跨域部署企業園區組網設計

溫瓊林 劉波 李香泉 席奇

摘 要：為滿足純IPv4向純IPv6網絡過渡階段的企業組網需求，文章在eNSP （Enterprise NetworkSimulation Platform）仿真平臺下設計了一種基于6to4 Tunnel機制的跨域部署企業園區組網方案。在路由設備部署雙出口，在電信網絡通道部署6to4 Tunnel以用于IPv6單播流量傳輸，在聯通網絡通道部署MPLS/BGP VPN網絡，以MD（Multicast Domains）方案部署IPv4組播業務。對出口的公網IPv4地址如何為本地網絡申請IPv6前綴，對6in4數據包封裝機制如何封裝IPv6數據包，以及對MD 方案中Share-Group組地址配置與MTI（Multicast Tunnel Interface）等配置過程進行了分析。仿真結果表明，組網實現了在過渡階段利用6to4 Tunnel解決傳播IPv6孤島間流量的可行性，以及MD VPN 傳播組播IPv4流量的可靠性，能夠較好地滿足現階段企業園區網絡的建設需求。

關鍵詞：IPv4; 6to4;IPv6;過渡技術;MD VPN

中圖分類號：TP393.0 文獻標識碼：A 文章編號：2095-9699（2023）06-0131-06

隨著信息技術的高速發展，越來越多的上網設備接入互聯網，傳統IP網絡下的IPv4地址面臨枯竭[1]。IPv6網絡的出現使得所有網絡設備的地址需求能夠得到滿足。然而，Internet從IPv4向IPv6過渡不可能一蹴而就，如何進行漸進的，無縫的過渡成了當前一個迫切需要解決的問題[2]。鑒于此，6to4 Tunnel 機制應運而生，使用此機制解決的主要問題是：一些孤立的IPv6站點，如何在Internet服務提供商還沒有IPv6互連服務的條件下進行相互通信[1]。6to4技術能夠滿足IPv6過渡階段企業組網的需求;同時，考慮到企業實時視頻、多媒體點播等網絡擴展業務的需求，通過在網絡中部署組播VPN，使公網能夠承載私網組播數據并隔離，實現私網組播數據通過公網進行傳輸。BGP MPLSVPN 技術是一種應用廣泛的3 層VPN （Layer3VPN，L3VPN） 技術[3]，本文通過部署BGP MPLSVPN 技術中MD（Multicast Domains）方案來實現，因其易部署，可控性好，在現實網絡部署中得到了廣泛的應用。

目前解決IPv6孤島問題的主要方案包括雙棧技術[4]、IPv6 over IPv4手動隧道[5]、GRE 隧道[6]、6to4自動隧道[7]等。雙棧技術需要所有設備都支持雙棧，GRE隧道相較于前者多了GRE頭部，開銷增大，6to4 Tunnel可以自動獲得隧道終點的IPv4地址，相較于前幾種有一定優勢。隨著科技的發展，IPv6最終會取代IPv4成為主流，在這樣的背景下，6to4 Tunnel的運用對企業園區網絡過渡顯然具有非凡的意義[8-9]。

1 6to4 Tunnel機制

在6to4網絡架構中，將網絡設備的角色分為邊界路由器，運營商路由器，中繼路由器。在兩個邊界路由器之間通過公共網絡出接口構建6to4Tunnel來跨運營商IPv4公共網絡實現與IPv6網絡通信。

6to4 Tunnel中使用了2002：：/16的6to4地址空間，該隧道技術定義了一種特殊的 IPv6 地址（6to4）地址，該地址的前綴中蘊含了邊界路由器的IPv4 地址。6to4 定義了一個網絡前綴2002：：/16用于表達這個6to4網絡整體[10]。邊界路由器通過出口公共IPv4地址的十六進制值加在2002：：后，即映射出了一個前綴長度為48的6to4網絡前綴，仍然可以繼續分割至最小前綴數為64的子網段，用于區分出這個6to4子網的子網。6to4 Tunnel傳輸的數據包是6in4封裝機制的數據包，即將IPv6數據包接在IPv4數據包頭之后，這個IPv4地址也就是其內嵌的IPv4地址，其數據包可像普通IPv4 地址一樣在公共IPv4網絡中轉發。

隨著IPv6網絡的發展，普通IPv6 網絡需要與6to4 網絡通過IPv4 網絡互通，這可以通過6to4中繼路由器方式實現。所謂6to4 中繼，就是通過6to4隧道轉發的IPv6報文的目的地址，而不是6to4 地址，但轉發的下一跳是6to4 地址，該下一跳路由器稱之為6to4 中繼。隧道的IPv4目的地址依然可以從下一跳的6to4 地址中獲得。

2 MD VPN技術

MD 方案實現的組播VPN，簡稱為MDVPN。該方案僅需要PE（Provider Edge）路由設備具有支持多實例功能，不用升級已有的CE（Customer Edge）和P路由設備，并且無需修改CE設備和P設備上原PIM（Protocol IndependentMulticast）配置，MD 方案對于CE設備和P設備是透明的。MD 方案的組播VPN 需要運行在以PIM-ASM（PIM-Any-Source Multicast）組播分發樹為基礎的公網隧道。

基于組播域方案的IPv4組播VPN（MulticastVPN，MVPN）在公網上為每個VPN 分配一個組播組地址，稱為共享組地址，然后各PE利用這個組播地址建立組播隧道，通過這個組播隧道進行私網組播協議和數據報文的按需分發[11]。PE 上的私網PIM 實例加入根據Share-Group建立的組播分發樹，用于將VPN 內的PIM 協議報文和數據報文分發給其他同屬于一個VPN 的PE，這個組播分發樹稱之為Share MDT（Share-Multicast DistributionTree）。VPN 使用Share-Group，唯一標識一棵Share-MDT。

對于VPN 實例，公網傳輸是透明的，私網數據通過組播隧道MT（Multicast Tunnel）傳輸。私網數據傳輸在PE 上的MTI（Multicast TunnelInterface）處完成了無縫連接。VPN 實例只知道將私網數據從MTI發出，然后遠端就能從MTI接收。MTI作為一個虛擬接口，成為私網和公網間傳播數據的通道。

3 企業組網設計

3.1 組網需求與網絡結構設計

以規模較大的某公司為例，設有總、分公司，并分別設置IPv4、IPv6雙棧網絡，需要跨越公共運營商的IPv4網絡通信，同時需要傳輸組播流量，設置雙運營商通道，要求分別部署6to4 Tunnel技術與MD VPN來為公司業務提供高效可靠的網絡互通。基于企業的上述需求，文章采用了網絡仿真工具平臺eNSP[12]，設計的一種企業網絡結構如圖1所示。

3.2 具體網絡規劃

由圖1可見，AS200為電信運營商網絡區域，R4、R6作為公司出口邊界路由器，在電信網絡出接口經過AR 路由器搭建6to4 Tunnel網絡。AS100區域為聯通運營商網絡區域，R4、R6為CE設備，R1、R3為PE設備，該區域作為MD VPN 骨干網絡，總公司設有組播源，P 設備R2 的lookback0接口作為公網C-RP，R6的lookback0接口作為site-a VPN 的私網C-RP。設備IP分配如表1所示。

4 過程分析

4.1 運營商域內網絡配置

依據網絡設計，對照表1完成網絡設備接口IP地址配置，運營商域內網絡通過運行OSPF協議實現網絡互通，聯通、電信運營商網絡區域都采用單區域area0完成網段宣告，其中R1、R2、R3和AR1、AR2、AR3均運行area0，宣告各直連網段如下：

[R1-ospf-1]dis this

ospf 1

area 0.0.0.0

network 1.1.1.1 0.0.0.0network 192.168.12.0 0.0.0.255

#

4.2 6to4 Tunnel建立配置

6to4隧道屬于一種自動隧道，隧道使用內嵌在IPv6地址中的IPv4地址建立。IPv4 的傳輸路徑充當了 IPv6 的數據鏈路層，可看作一條點到點的虛擬鏈路[13-14]。在邊界設備與6to4網絡相連的接口上必須配置6to4地址，在邊界設備與IPv4網絡相連的接口上必須配置IPv4地址。為了支持路由協議，也需要配置Tunnel接口的網絡地址。

首先在邊界路由器R4、R6上配置IPv4、IPv6雙棧協議，使路由器在IPv4、IPv6網絡上均能互通。以R4設備舉例，配置如下：

[R4]IPv6

//全局使能IPv6

interface GigabitEthernet0/0/2

IPv6 enable

//接口使能IPv6

ip address 192.168.24.4 255.255.255.0

IPv6 address 2002：C801：104：：FFFF/64

//IPv6地址配置

在邊界路由器R4、R6配置6to4隧道。

interface Tunnel0/0/0

//創建Tunnel接口

IPv6 enable

//使能接口的IPv6功能

IPv6 address auto link-local

//設置生成Tunnel接口鏈路本地IPv6地址

tunnel-protocol IPv6-IPv4 6to4

//指定Tunnel為6to4隧道模式source 200.1.1.4

//指定Tunnel的源地址

IPv6 route-static 2002：： 16 Tunnel0/0/0？

//配置到2002：：/16的靜態路由

此時指定的Tunnel接口的IPv6地址的前綴， 應該與邊界設備所屬的6to4網絡的地址前綴相同。查看6to4 Tunnel運行狀態如圖2所示。

4.3 MD VPN 建立配置

在聯通運營商網絡上配置MPLS/BGP VPN，確保VPN 網絡正常運行、單播路由暢通。

PE設備R1、R3建立MP-BGP 鄰居關系。并在聯通運營商網絡路由器R1、R2、R3與私網路由器R4、R6啟動組播功能和PIM SM 功能，在R1、R2和R2、R3間分別建立公網實例組播，R4、R1和R3、R6之間分別建立使能IPv4地址族的VPN 實例組播。在各R1、R3上為同一使能IPv4地址族的VPN 實例配置相同的Share-Group 地址、相同的MTI（Multicast Tunnel Interface）。

以R1設備舉例，配置如下：

[R1]bgp 100

peer 3.3.3.3 as-number 100

peer 3.3.3.3 connect-interface LoopBack0

//指定環回口與R3建立IBGP鄰居關系

IPv4-family unicast

//進入IPv4單播視圖

undo synchronization

peer 3.3.3.3 enable

IPv4-family vpnv4

//進入VPNv4視圖

policy vpn-target

peer 3.3.3.3 enable

//與R3建立MP-BGP VPN 通道

PE設備R1、R3分別創建VPN 實例，并綁定接口。

[R4]ip vpn-instance site-a

IPv4-family

route-distinguisher 20：20

//RD值20：20

vpn-target 10：10 export-extcommunity

vpn-target 10：10 import-extcommunity

//出入方向RT值均為10：10

multicast routing-enable

//全局使能組播功能

interface GigabitEthernet0/0/0

ip binding vpn-instance site-a

//物理接口下綁定VPN 實例site-a

ip address 192.168.14.1 255.255.255.0

pim sm

//啟動PIM SM 功能

mpls lsr-id 1.1.1.1

//設置LSR-ID

mpls

mpls ldp

//MPLS使能LDP功能

ospf 2 vpn-instance site-a

//OSPF新建進程，綁定site-a實例

import-route bgp

//引入BGP網絡，使私網路由互通

area 0.0.0.0

network 192.168.14.0 0.0.0.255

bgp100

IPv4-family vpn-instance site-a

import-route ospf 2

//引入私網路由

[R4]ip vpn-instance site-a

IPv4-family

multicast routing-enable

multicast - domain source - interface

LoopBack0

multicast-domain share-group 239.1.1.1

binding mtunnel 0

//配置Share-Group地址，并綁定MTI

interface MTunnel0

ip binding vpn-instance site-a

配置R2 的Loopback0 接口為C-BSR

（Candidate-BSR）和C-RP（為所有組服務）。配置R6的Loopback0為私網site-a的C-BSR 和C-RP（為所有組服務）。以R2為例，配置如下：

[R2]pim

c-bsr LoopBack0

c-rp LoopBack0

查看組播VPN 在Mtunnel接口上可以正常建立鄰居，說明組播VPN 通道建立成功，見圖3。

5 結果驗證

5.1 6to4隧道數據測試與分析

在邊界路由器R6 查看IPv6 路由，存在前往2002：：/16的路由，在PC2上發送ping包給總部PC的IPv6網段進行測試連通性，結果如圖4所示，IPv6單播流量互訪成功。

PC2訪問2002：c804：406：：/48網絡時：數據包到達R6后，R6發現目的地址是IPv6地址，而且是2002開頭的地址，這是個6to4的IPv6地址，于是從該地址中抽離出c804：406，得到200.4.4.6 這個IPv4地址。

R6在原始IPv6報文的基礎上加裝IPv4頭部，IPv4頭部的源地址為6to4 Tunnel的源地址200.4.4.6，而目的地址為200.1.1.4。數據包被路由到R4后，R4將外層的IPv4頭部剝除，將里頭的IPv6報文轉發給PC3，具體數據包如圖5所示。

5.2 組播IPv4測試與分析

為檢測組播業務部署情況，在R3上查看PIM協議組播路由表的內容，顯示內容如圖6所示。在R3上查看私網組播轉發表項，顯示信息如圖7所示。在分部PC1端口抓取的組播數據如圖8所示。

分析可知，R3上存在PIM 組播路由表，（S，G）表項（10.1.1.1，224.8.8.8），組播源為總部組播源10.1.1.1，目的組為224.8.8.8，（S， G）表項的入接口為MTunnel0，（S， G）表項的出接口為GE0/0/0，協議類型為PIM-SM，私網RP 為6.6.6.6，即R6loopback0口，組播鄰居為R1，實現了組播數據公私網隔離傳輸，提高了數據傳輸的安全性和可靠性。

6 結語與展望

為滿足純IPv4網絡向純IPv6網絡過渡階段的企業組網需求，在eNSP仿真平臺設計了一種基于6to4 Tunnel機制的跨域部署企業園區組網方案。在出口路由設備部署雙出口，電信網絡通道部署6to4 Tunnel，聯通網絡通道部署MPLS/BGP VPN網絡，以MD（Multicast Domains）方案部署IPv4組播業務。結果表明，組網設計較好地滿足了IPv6過渡階段企業組網需求，建立6to4 Tunnel傳輸IPv6單播流量，為組播IPv4流量提供安全可靠的VPN通道，同時能夠承載組播業務，是當前IPv6化企業網絡組網方案的較好選擇。

在本設計方案中，IPv6孤島網絡地址規劃中只能使用2002開頭的IPv6地址，滿足6to4隧道的IPv6地址和隧道兩側局域網地址都要與本端隧道有相同的網絡前綴（前48位相同），前綴長度位>=48;同時需要注意的是，6to4隧道不支持運行動態路由協議，通過使用IPv6 over IPv4自動隧道或6to4隧道中繼來解決這個問題是后續研究的主要工作和內容。

參考文獻：

[1]勞鳳丹. IPv6的研究及校園網IPv6網絡的建立[D].北京：中國農業大學，2005.

[2]周玲.實現IPv4向IPv6過渡的隧道技術6to4[J].計算機工程應用，2002（18）： 156-158，168.

[3]王達.華為MPLS VPN學習指南[M].北京：人民郵電出版社，2018.

[4]陳彬.基于大二層結構的IPv6雙棧技術在校園網絡中的應用：以云南師范大學為例[J].云南師范大學學報（自然科學版），2022， 42（6）：32-34.

[5]盧航.IPv6技術的特點及部署方法[J].長春工程學院學報（自然科學版），2007，8（3）：70-74.

[6]陶駿，劉晴晴，佘星星.基于 GRE 隧道和 BFFH 模式的MPLS VPN 網絡構建[J].湖南文理學報（自然科學版），2022，34（2）：17-22.

[7]李清平，陳巧妮，孟祥芳. 4over6 隧道技術的應用及網絡性能分析[J].成都大學學報（自然科學版），2016，35（3）：263-266.

[8]劉大偉，陳亮，丁琳琦，等.HCIE 路由交換學習指南[M].北京：人民郵電出版社，2017.

[9]朱仕耿.HCNP路由交換學習指南[M].北京：人民郵電出版社，2017.

[10]郝海濤，黨小超.IPv4 到IPv6 的過渡技術與6to4Tunnel的實現[J].福建電腦，2006（3）：19-20.

[11]龔鐵柱.一種基于MPLS VPN網絡的IPv6組播過渡技術[J].信息技術，2009，33（10）：141-142，146.

[12]李永芳.基于BGP MPLS VPN 企業跨域組網仿真設計[J].實驗室研究與探索，2021，40（3）：121-128.

[13]劉春暉.組播 VPN 業務關鍵技術研究與實踐[J].廣東通信技術，2014（17）：76-79.

[14]李靈.基于 IGMPv3 和 PIM-SSM 協議的特定源組播技術的設計與實現[D].重慶：重慶大學，2013.

責任編輯：肖祖銘