張書民 田海建 許 靜

山東省郵電規(guī)劃設計院有限公司 濟南 250031

概述

IANA及APNIC可分配的IPv4公有地址已于2011年上半年分配完畢,國內(nèi)各運營商申請的IPv4地址也將陸續(xù)耗盡。為解決IPv4地址枯竭后網(wǎng)絡和業(yè)務的可持續(xù)發(fā)展問題,運營商紛紛開始試點布局IPv6。PPPoE接入方案是目前國內(nèi)外比較普遍采用的接入方案,過渡初期,PC終端操作系統(tǒng)大多都是同時支持IPv4和IPv6雙棧,只支持純IPv6協(xié)議棧的較少。因此,研究雙棧環(huán)境下PPPoE接入認證技術及相關網(wǎng)絡部署,對于實現(xiàn)IPv4網(wǎng)絡向IPv6網(wǎng)絡順利過渡非常必要。

1 PPPoE接入的基本流程

PPPoE接入方案基于PPPoE和AAA架構對終端設備進行接入控制,是目前國內(nèi)外普遍采用的接入方案。

1.1 IPv6單棧用戶的PPPoE接入流程

IPv4環(huán)境下,PPPoE協(xié)議簇包括PPPoE發(fā)現(xiàn)協(xié)議、LCP協(xié)議、NCP協(xié)議中的IPCP協(xié)議。在PPPoE鏈路建立過程中,依次建立虛擬鏈路、配置鏈路層相關參數(shù)、配置網(wǎng)絡層相關參數(shù)。PPPoE鏈路建立過程可分為兩個階段:發(fā)現(xiàn)階段和會話階段,會話階段是在同一個PPPoE接入認證控制鏈路域內(nèi)與BRAS協(xié)商唯一的PPPoE Session-ID,會話階段包括PPP鏈路建立和PPP網(wǎng)絡層配置兩個協(xié)商過程以及PPPoE的認證過程[1]。

IPv6環(huán)境下PPPoE鏈路建立過程與IPv4環(huán)境下PPPoE鏈路建立過程沒有本質(zhì)的區(qū)別。PPPoE的前兩個階段,PPPoE虛擬鏈路建立階段和PPPoE數(shù)據(jù)鏈路建立是完全一致的,網(wǎng)絡層配置階段也是相似的,區(qū)別就是在網(wǎng)絡層配置階段使用IPv6CP來配置網(wǎng)絡層參數(shù)。PPPoE認證成功后,進入NCP配置階段,純IPv6網(wǎng)絡開始進行網(wǎng)絡層配置,使用的協(xié)議為IPv6CP。

典型的PPPoE鏈路建立報文交互過程如圖1所示。

圖1 典型的PPPoE鏈路建立報文交互過程

PPP標準RFC5072僅僅通過PPP的NCP(IPv6CP)協(xié)商Interface-ID,不做其他額外工作。這個Interface-ID的目的是用來創(chuàng)建終端的Link-local地址,即后64位采用NCP協(xié)商的ID,前64位采用FE80::/64[2-3]。在整個PPPoE建立完連接后,終端設備并沒有獲得一個完整的全局IPv6地址,IPv6終端獲得全局IPv6地址可通過兩種方式獲得[1,4]。

一種方式是PPPoE+ND,即PPPoE認證成功后,通過ND方式獲取IPv6前綴,此前綴和協(xié)商好的接口ID組合成全局IPv6地址。PPPoE連接完成后,PC發(fā)起NDRS,BRAS收到NDRS請求后,回應NDRA下傳IPv6前綴,PC收到NDRA后,自動生成IPv6公網(wǎng)地址,完成IPv6公網(wǎng)地址的配置。對于DNS地址,如果PC的PPPoE邏輯接口設定DNS地址自動獲取(O標志位置1,主機使用DHCPv6獲取除地址以外的其他參數(shù)),PC則會通過DHCPv6協(xié)議發(fā)送Information Request請求報文,攜帶DNS Recursive Name Server option(option-code為OPTION_DNS_SERVERS[5]),BRAS通過DHCPv6的Reply報文回應請求報文,下傳DNS地址,完成PPPoE邏輯接口IPv6協(xié)議配置。

另一種方式是PPPoE+DHCPv6方式,即PPPoE認證成功后,通過DHCPv6方式下發(fā)IPv6地址前綴或全局IPv6地址。PPPoE連接完成后,PC通過DHCPv6協(xié)議報文發(fā)送Solicit多播報文尋找DHCPv6服務器,BRAS發(fā)送Advertise單播報文響應,表示它可以提供地址和參數(shù)配置服務;PC再以單播的方式向BRAS發(fā)送Request請求報文,請求服務器為其分配IPv6前綴(option-code為OPTION_IAPREFIX[6])及DNS地址,BRAS使用Reply報文確認分配IPv6前綴以及DNS地址。PC根據(jù)獲取的IPV6前綴生成IPv6公網(wǎng)地址,完成PPPoE邏輯接口的IPv6協(xié)議配置。PC也可以直接通過DHCPv6獲取IPv6地址和DNS地址,完成PPPoE邏輯接口的IPv6協(xié)議配置。

IPv4中,DHCPv4協(xié)議分配網(wǎng)關地址,而在IPv6中,DHCPv6 Server不分配缺省網(wǎng)關,缺省網(wǎng)關通過RA報文獲得。在ND協(xié)議的RS-RA報文交互中,RA報文的源IPv6地址即為IPv6主機的網(wǎng)關地址,而且該地址類型必須是路由器的鏈路本地地址。同時,IPv6主機收到路由器通告報文時,會以路由器的鏈路-本地地址為下一跳創(chuàng)建一條默認路由,路由器的生存期字段指定了該默認路由的有效期,當此字段值為0時,表示此默認路由器不可再作為默認路由器。

1.2 雙棧用戶的PPPoE接入流程

向IPv6過渡初期,終端操作系統(tǒng)大多都需要同時支持IPv4和IPv6雙棧,只支持純IPv6的協(xié)議棧較少,因此研究雙棧用戶的接入流程具有重要的意義。

雙棧用戶同時擁有IPv4和IPv6兩個地址,PPPoE雙棧用戶在NCP協(xié)商階段同時進行IPCP和IPv6CP的協(xié)商,其他階段與IPv6用戶的PPPoE基本流程相比沒有變化。實際網(wǎng)絡中,根據(jù)終端工作模式的不同,雙棧用戶的接入流程略有不同。

家庭網(wǎng)關(CPE)的工作模式可分為橋接模式和路由模式兩種。對于橋接型的CPE,ISP直接為用戶PC分配IP地址,完成用戶的接入認證;對于路由型的CPE,ISP為CPE分配IP地址,完成接入認證,CPE再為用戶PC分配地址并進行相關配置。

1) 家庭網(wǎng)關工作在橋接模式。這種模式下,由PC發(fā)起PPPoE連接,家庭網(wǎng)關只需二層轉發(fā)用戶和BRAS間的報文。

對于IPv4,BRAS通過IPCP為終端分配IPv4地址并下發(fā)DNS等參數(shù);對于IPv6,BRAS通過IPv6CP為終端分配接口ID,并通過ND協(xié)議分配IPv6前綴或者DHCPv6協(xié)議分配IPv6地址。橋接模式下雙棧用戶的PPPoE接入流程(ND協(xié)議分配IPv6前綴)如圖2所示。

圖2 橋接模式下雙棧用戶的PPPoE接入流程

2) 家庭網(wǎng)關工作在路由模式。這種模式下,由家庭網(wǎng)關發(fā)起PPPoE連接,在家庭網(wǎng)關WAN側和LAN側分別進行不同的配置,接入流程如圖3所示。

在WAN側,BRAS使用DHCPv6-PD機制為家庭網(wǎng)關分配IPv6前綴。家庭網(wǎng)關發(fā)送Solicit報文攜帶IA-PD選項請求BRAS為其分配IPv6前綴,BRAS發(fā)送Advertise報文響應,并在Request和Reply報文交互之后完成家庭網(wǎng)關的前綴分配。

在LAN側,家庭網(wǎng)關使用ND協(xié)議為用戶分配前綴或DHCPv6協(xié)議為用戶分配IPv6地址,封裝PPPoE頭和Ethernet頭,轉發(fā)用戶IPv6數(shù)據(jù)報文。

與橋接模式相比,路由模式的前幾步只是配置了CPE的WAN口的IPv4地址和IPv6地址,PC并沒有完成地址配置。為給用戶PC分配IPv4和IPv6地址并配置信息,CPE需要調(diào)用DHCPv4完成PC的IPv4地址配置,調(diào)用DHCPv6完成IPv6地址配置。

圖3 路由模式下雙棧用戶的PPPoE接入流程

對于PPPoE接入,無論橋接型CPE還是路由型CPE,用戶的IPv4接入和IPv6接入都不受接入網(wǎng)絡的影響,差別僅在于PPPoE撥號的起點分別在PC和CPE。兩種模式下雙棧PPPoE用戶的地址分配過程如表1。

表1 不同模式下雙棧PPPoE用戶的地址分配

2 雙棧用戶的PPPoE部署

在實際的寬帶接入中,用戶終端必須完成接入認證、獲得IP地址、DNS服務器等信息后才能訪問服務器。用戶訪問網(wǎng)絡,首先由終端(PC或家庭網(wǎng)關)發(fā)起PPPoE連接請求,由支持IPv6的BRAS終結用戶IPv6的PPP請求,在AAA、DNS的配合下完成用戶的接入認證。

2.1 相關設備及系統(tǒng)的功能要求

雙棧用戶終端接入網(wǎng)絡訪問應用服務器時,相關的設備和系統(tǒng)必須同時支持IPv4、IPv6相關功能。涉及的設備和系統(tǒng)必須支持雙棧運行,具體的要求如下。

終端:對于橋接模式下的PC終端需支持IPv6協(xié)議和PPPoE撥號,支持IPCP/IPv6CP協(xié)議,支持DHCPv4、DHCPv6等功能;路由模式的家庭網(wǎng)關在支持以上功能的同時還需支持DHCPV6-PD功能,根據(jù)匯聚層過渡部署方案選擇支持隧道功能。對于PC終端采用Windows XP操作系統(tǒng)的,由于XP操作系統(tǒng)不支持IPv6CP協(xié)議和DHCPv6協(xié)議,所以不支持雙棧PPPoE撥號,需要額外的撥號終端軟件支持。

接入網(wǎng):PPPoE不受二層接入網(wǎng)的影響,可直接透傳到BRAS,終結PPP幀,因此,現(xiàn)有的二層接入網(wǎng)只需升級或替換支持IPv6的安全策略。

BRAS:BRAS是雙棧用戶PPPoE接入的關鍵設備,需要支持PPPoE、DHCPv4、DHCPv6和DHCPV6-PD、RADIUS等功能,支持無狀態(tài)和有狀態(tài)的地址分配。

AAA:支持IPv6的接入認證、授權和計費。

DNS:支持AAAA記錄查詢。

2.2 關鍵節(jié)點部署方案及策略

2.2.1 BRAS部署

BRAS是PPPoE接入的核心設備和部署關鍵節(jié)點,根據(jù)現(xiàn)網(wǎng)設備對IPv6的支持情況,對BRAS的部署方案不同。

1) 已支持IPv6的BRAS。如運營商的BRAS已經(jīng)支持IPv6并能雙棧運行,用戶終端可發(fā)起PPPoE撥號,完成IPv4和IPv6的地址分配和終端配置,完成雙棧用戶的PPPoE接入認證。

2) 需升級支持IPv6的BRAS。如運營商的BRAS可通過升級支持IPv6,需對BRAS進行升級,開啟雙棧,并完成用戶的接入認證。

3) 不能升級支持IPv6的BRAS。如運營商BRAS不能升級支持IPv6,可選用支持IPv6的BRAS替換老舊BRAS;過渡初期為保護現(xiàn)網(wǎng)投資,可以配合使用L2TP隧道完成IPv6用戶的接入。

邊緣路由器不支持IPv6的情況下,可以通過L2TP協(xié)議接入到其他支持IPv6并開啟雙棧的BRAS。原BRAS作為LAC,遠端BRAS作為LNS,LAC和LNS之間建立L2TP隧道。PPPoE通過L2TP接入時,PPPoE與LAC端交互不變,L2TP協(xié)議本身的交互不變,只有PPPoE用戶與LNS端交互發(fā)生變化,LNS需要為PPPoE用戶分配IPv6地址或者前綴。典型的用戶接入模型如圖4所示。

圖4 典型的用戶接入模型

2.2.2 DNS部署

為支持雙棧用戶訪問網(wǎng)絡,DNS系統(tǒng)需要能夠同時支持IPv4和IPv6域名解析。目前DNS系統(tǒng)大多支持IPv6地址的記錄,在小規(guī)模試點階段,為避免與現(xiàn)有IPv4域名系統(tǒng)相互影響,可考慮建立獨立的IPv4/IPv6雙棧域名管理系統(tǒng)為雙棧用戶進行域名解析。若DNS服務器中同時有A記錄和AAAA記錄,則為終端返回IPv4地址和IPv6地址,終端根據(jù)操作系統(tǒng)的默認選擇IPv4或IPv6地址進行訪問。

目前DNS承載網(wǎng)絡尚不支持IPv6,這種情況下,可采用IPv4封裝的DNS請求,為用戶進行地址解析。后期通過對DNS承載網(wǎng)絡的交換機和路由器升級支持IPv6,可使承載網(wǎng)具備支持IPv6訪問的能力。

關于IPv6主機獲取DNS參數(shù)的方式,除了采用DHCPv6協(xié)議外,RFC6106還提出使用RA option進行DNS下發(fā)[7]。基于RA Option的DNS配置可以使主機在同一個RA報文中獲取DNS信息,也使網(wǎng)絡不必運行DHCPv6,這在IPv6主機地址配置方式為無狀態(tài)地址自動配置,或者網(wǎng)絡中根本不支持DHCPv6、主機沒有DHCPv6客戶端的情況下,是一種有效的備選方式。這樣即使網(wǎng)絡不支持DHCPv6,也可以完成主機的基本參數(shù)配置。但如果網(wǎng)絡要求額外的參數(shù)而必須部署DHCPv6,對于基于RA的DNS配置則不是必需的。

雙棧主機可以分別使用IPv4和IPv6進行DNS解析,根據(jù)DNS服務器中攜帶的地址決定使用IPv4或IPv6進行訪問。但目前部署純IPv6的DNS仍有困難,雙?？蛻舳丝梢越柚鶬Pv4 DHCP SERVER下發(fā)DNS服務器地址進行IPv6地址解析,而不需要單獨的DHCPv6 SERVER下發(fā)DNS服務器地址。

3 IPv6 PPPoE部署存在的問題

在IPv4時代,用戶上網(wǎng)的所有參數(shù)在PPP協(xié)議的NCP提供全部解決方案。首先PPP的LCP階段實現(xiàn)用戶上網(wǎng)認證,認證通過后進入PPP的NCP階段,協(xié)商上網(wǎng)需要的終端地址、DNS地址和缺省網(wǎng)關地址。雙棧環(huán)境下卻存在一些問題。

1) 終端對IPv6支持能力不足。Windows XP及其以前的Windows系統(tǒng)均不支持IPv6CP,也不支持DHCPv6客戶端功能;而現(xiàn)有寬帶用戶中采用Windows XP系統(tǒng)的仍占很高的比例,部署IPv6將對用戶造成一定的影響。

2) IPv6在NCP階段僅協(xié)商Interface-ID,不能獲得完整的IPv6地址,終端接口地址或者路由型家庭網(wǎng)關WAN口地址依然需要通過ND或者DHCPv6獲得,這導致用戶認證授權時間延長。

3) 在雙棧終端的地址分配機制中,BRAS并不能同時完成IPv4和IPv6地址的分配,BRAS在下發(fā)一個IP地址后即用accounting-start消息上報計費,而不會等待另一個地址分配完成,不能對IPv4和IPv6業(yè)務進行同步計費。

4) 只有對流量的統(tǒng)計屬性,但是不能區(qū)分是IPv4還是IPv6流量,無法滿足運營商針對IPv4和IPv6流量分別計費的要求。

5) 雙棧運行使網(wǎng)絡更加復雜,故障排除更加困難,這給網(wǎng)絡運維帶來了很大的挑戰(zhàn)。

4 結束語

互聯(lián)網(wǎng)業(yè)務的快速發(fā)展,使IPv4地址耗盡速度和IPv6部署進程加快。雙棧技術作為IPv4網(wǎng)絡向IPv6過渡的主要方式,會使雙棧用戶在現(xiàn)網(wǎng)中的比例逐步提高。由于IPv6與IPv4協(xié)議不兼容,向IPv6過渡必然會影響現(xiàn)有IPv4用戶,且由于寬帶用戶規(guī)模龐大,部署IPv6后出現(xiàn)的問題將會造成較大范圍的影響?，F(xiàn)網(wǎng)中PPPoE作為主要的認證方式,部署IPv6后PPPoE方式仍將繼續(xù)沿用,雙棧用戶PPPoE接入的流程有待進一步優(yōu)化,其他存在的問題和對用戶造成的影響需要在網(wǎng)絡試點中逐步發(fā)現(xiàn)并解決。在向IPv6過渡過程中,完成用戶的接入認證只是用戶使用IPv6網(wǎng)絡的第一步,要實現(xiàn)IPv6環(huán)境下網(wǎng)絡的可運營、可管理,需要網(wǎng)絡支撐系統(tǒng)、運維支撐系統(tǒng)的同步升級。這將是一個漫長、復雜的過程,需要綜合考慮投資成本、網(wǎng)絡現(xiàn)狀及技術發(fā)展趨勢,選擇適合的方式進行網(wǎng)絡過渡。在IPv6網(wǎng)絡部署過程中,需要不斷發(fā)現(xiàn)并解決問題,總結經(jīng)驗,使IPv6網(wǎng)絡部署對現(xiàn)有IPv4用戶的影響最小化,以推動網(wǎng)絡向IPv6平滑演進。

參考文獻

[1]楊國良,李陽春,伍佑明,等.IPv6技術、部署與業(yè)務應用[M].北京:人民郵電出版社,2011

[2]胡捷,王茜,陳運清.IPv6過渡期的用戶接入認證[C]//下一代互聯(lián)網(wǎng)與應用研討會論文集,2011:114-117

[3]Broadband Forum TR-187_Issue-2.IPv6 for PPP Broadband Access[S].2013

[4]陳琦.IPv6環(huán)境下的PPPoE接入技術研究[J].電信科學,2010(7):14-16

[5]IETF RFC 3646.DNS Conf i guration options for Dynamic Host Conf i guration Protocol for IPv6[S].2003

[6]IETF RFC 3633.IPv6 Pref i x Options for Dynamic Host Conf i guration Protocol(DHCP)version 6[S].2003

[7]IETF RFC 6106.IPv6 Router Advertisement Options for DNS Conf i guration[S].2010