溫瓊林 劉波 李香泉 席奇

摘 要：為滿足純IPv4向純IPv6網(wǎng)絡(luò)過渡階段的企業(yè)組網(wǎng)需求，文章在eNSP （Enterprise NetworkSimulation Platform）仿真平臺下設(shè)計了一種基于6to4 Tunnel機(jī)制的跨域部署企業(yè)園區(qū)組網(wǎng)方案。在路由設(shè)備部署雙出口，在電信網(wǎng)絡(luò)通道部署6to4 Tunnel以用于IPv6單播流量傳輸，在聯(lián)通網(wǎng)絡(luò)通道部署MPLS/BGP VPN網(wǎng)絡(luò)，以MD（Multicast Domains）方案部署IPv4組播業(yè)務(wù)。對出口的公網(wǎng)IPv4地址如何為本地網(wǎng)絡(luò)申請IPv6前綴，對6in4數(shù)據(jù)包封裝機(jī)制如何封裝IPv6數(shù)據(jù)包，以及對MD 方案中Share-Group組地址配置與MTI（Multicast Tunnel Interface）等配置過程進(jìn)行了分析。仿真結(jié)果表明，組網(wǎng)實現(xiàn)了在過渡階段利用6to4 Tunnel解決傳播IPv6孤島間流量的可行性，以及MD VPN 傳播組播IPv4流量的可靠性，能夠較好地滿足現(xiàn)階段企業(yè)園區(qū)網(wǎng)絡(luò)的建設(shè)需求。

關(guān)鍵詞：IPv4; 6to4;IPv6;過渡技術(shù);MD VPN

中圖分類號：TP393.0 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-9699（2023）06-0131-06

隨著信息技術(shù)的高速發(fā)展，越來越多的上網(wǎng)設(shè)備接入互聯(lián)網(wǎng)，傳統(tǒng)IP網(wǎng)絡(luò)下的IPv4地址面臨枯竭[1]。IPv6網(wǎng)絡(luò)的出現(xiàn)使得所有網(wǎng)絡(luò)設(shè)備的地址需求能夠得到滿足。然而，Internet從IPv4向IPv6過渡不可能一蹴而就，如何進(jìn)行漸進(jìn)的，無縫的過渡成了當(dāng)前一個迫切需要解決的問題[2]。鑒于此，6to4 Tunnel 機(jī)制應(yīng)運(yùn)而生，使用此機(jī)制解決的主要問題是：一些孤立的IPv6站點，如何在Internet服務(wù)提供商還沒有IPv6互連服務(wù)的條件下進(jìn)行相互通信[1]。6to4技術(shù)能夠滿足IPv6過渡階段企業(yè)組網(wǎng)的需求;同時，考慮到企業(yè)實時視頻、多媒體點播等網(wǎng)絡(luò)擴(kuò)展業(yè)務(wù)的需求，通過在網(wǎng)絡(luò)中部署組播VPN，使公網(wǎng)能夠承載私網(wǎng)組播數(shù)據(jù)并隔離，實現(xiàn)私網(wǎng)組播數(shù)據(jù)通過公網(wǎng)進(jìn)行傳輸。BGP MPLSVPN 技術(shù)是一種應(yīng)用廣泛的3 層VPN （Layer3VPN，L3VPN） 技術(shù)[3]，本文通過部署B(yǎng)GP MPLSVPN 技術(shù)中MD（Multicast Domains）方案來實現(xiàn)，因其易部署，可控性好，在現(xiàn)實網(wǎng)絡(luò)部署中得到了廣泛的應(yīng)用。

目前解決IPv6孤島問題的主要方案包括雙棧技術(shù)[4]、IPv6 over IPv4手動隧道[5]、GRE 隧道[6]、6to4自動隧道[7]等。雙棧技術(shù)需要所有設(shè)備都支持雙棧，GRE隧道相較于前者多了GRE頭部，開銷增大，6to4 Tunnel可以自動獲得隧道終點的IPv4地址，相較于前幾種有一定優(yōu)勢。隨著科技的發(fā)展，IPv6最終會取代IPv4成為主流，在這樣的背景下，6to4 Tunnel的運(yùn)用對企業(yè)園區(qū)網(wǎng)絡(luò)過渡顯然具有非凡的意義[8-9]。

1 6to4 Tunnel機(jī)制

在6to4網(wǎng)絡(luò)架構(gòu)中，將網(wǎng)絡(luò)設(shè)備的角色分為邊界路由器，運(yùn)營商路由器，中繼路由器。在兩個邊界路由器之間通過公共網(wǎng)絡(luò)出接口構(gòu)建6to4Tunnel來跨運(yùn)營商IPv4公共網(wǎng)絡(luò)實現(xiàn)與IPv6網(wǎng)絡(luò)通信。

6to4 Tunnel中使用了2002：：/16的6to4地址空間，該隧道技術(shù)定義了一種特殊的 IPv6 地址（6to4）地址，該地址的前綴中蘊(yùn)含了邊界路由器的IPv4 地址。6to4 定義了一個網(wǎng)絡(luò)前綴2002：：/16用于表達(dá)這個6to4網(wǎng)絡(luò)整體[10]。邊界路由器通過出口公共IPv4地址的十六進(jìn)制值加在2002：：后，即映射出了一個前綴長度為48的6to4網(wǎng)絡(luò)前綴，仍然可以繼續(xù)分割至最小前綴數(shù)為64的子網(wǎng)段，用于區(qū)分出這個6to4子網(wǎng)的子網(wǎng)。6to4 Tunnel傳輸?shù)臄?shù)據(jù)包是6in4封裝機(jī)制的數(shù)據(jù)包，即將IPv6數(shù)據(jù)包接在IPv4數(shù)據(jù)包頭之后，這個IPv4地址也就是其內(nèi)嵌的IPv4地址，其數(shù)據(jù)包可像普通IPv4 地址一樣在公共IPv4網(wǎng)絡(luò)中轉(zhuǎn)發(fā)。

隨著IPv6網(wǎng)絡(luò)的發(fā)展，普通IPv6 網(wǎng)絡(luò)需要與6to4 網(wǎng)絡(luò)通過IPv4 網(wǎng)絡(luò)互通，這可以通過6to4中繼路由器方式實現(xiàn)。所謂6to4 中繼，就是通過6to4隧道轉(zhuǎn)發(fā)的IPv6報文的目的地址，而不是6to4 地址，但轉(zhuǎn)發(fā)的下一跳是6to4 地址，該下一跳路由器稱之為6to4 中繼。隧道的IPv4目的地址依然可以從下一跳的6to4 地址中獲得。

2 MD VPN技術(shù)

MD 方案實現(xiàn)的組播VPN，簡稱為MDVPN。該方案僅需要PE（Provider Edge）路由設(shè)備具有支持多實例功能，不用升級已有的CE（Customer Edge）和P路由設(shè)備，并且無需修改CE設(shè)備和P設(shè)備上原PIM（Protocol IndependentMulticast）配置，MD 方案對于CE設(shè)備和P設(shè)備是透明的。MD 方案的組播VPN 需要運(yùn)行在以PIM-ASM（PIM-Any-Source Multicast）組播分發(fā)樹為基礎(chǔ)的公網(wǎng)隧道。

基于組播域方案的IPv4組播VPN（MulticastVPN，MVPN）在公網(wǎng)上為每個VPN 分配一個組播組地址，稱為共享組地址，然后各PE利用這個組播地址建立組播隧道，通過這個組播隧道進(jìn)行私網(wǎng)組播協(xié)議和數(shù)據(jù)報文的按需分發(fā)[11]。PE 上的私網(wǎng)PIM 實例加入根據(jù)Share-Group建立的組播分發(fā)樹，用于將VPN 內(nèi)的PIM 協(xié)議報文和數(shù)據(jù)報文分發(fā)給其他同屬于一個VPN 的PE，這個組播分發(fā)樹稱之為Share MDT（Share-Multicast DistributionTree）。VPN 使用Share-Group，唯一標(biāo)識一棵Share-MDT。

對于VPN 實例，公網(wǎng)傳輸是透明的，私網(wǎng)數(shù)據(jù)通過組播隧道MT（Multicast Tunnel）傳輸。私網(wǎng)數(shù)據(jù)傳輸在PE 上的MTI（Multicast TunnelInterface）處完成了無縫連接。VPN 實例只知道將私網(wǎng)數(shù)據(jù)從MTI發(fā)出，然后遠(yuǎn)端就能從MTI接收。MTI作為一個虛擬接口，成為私網(wǎng)和公網(wǎng)間傳播數(shù)據(jù)的通道。

3 企業(yè)組網(wǎng)設(shè)計

3.1 組網(wǎng)需求與網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

以規(guī)模較大的某公司為例，設(shè)有總、分公司，并分別設(shè)置IPv4、IPv6雙棧網(wǎng)絡(luò)，需要跨越公共運(yùn)營商的IPv4網(wǎng)絡(luò)通信，同時需要傳輸組播流量，設(shè)置雙運(yùn)營商通道，要求分別部署6to4 Tunnel技術(shù)與MD VPN來為公司業(yè)務(wù)提供高效可靠的網(wǎng)絡(luò)互通。基于企業(yè)的上述需求，文章采用了網(wǎng)絡(luò)仿真工具平臺eNSP[12]，設(shè)計的一種企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。

3.2 具體網(wǎng)絡(luò)規(guī)劃

由圖1可見，AS200為電信運(yùn)營商網(wǎng)絡(luò)區(qū)域，R4、R6作為公司出口邊界路由器，在電信網(wǎng)絡(luò)出接口經(jīng)過AR 路由器搭建6to4 Tunnel網(wǎng)絡(luò)。AS100區(qū)域為聯(lián)通運(yùn)營商網(wǎng)絡(luò)區(qū)域，R4、R6為CE設(shè)備，R1、R3為PE設(shè)備，該區(qū)域作為MD VPN 骨干網(wǎng)絡(luò)，總公司設(shè)有組播源，P 設(shè)備R2 的lookback0接口作為公網(wǎng)C-RP，R6的lookback0接口作為site-a VPN 的私網(wǎng)C-RP。設(shè)備IP分配如表1所示。

4 過程分析

4.1 運(yùn)營商域內(nèi)網(wǎng)絡(luò)配置

依據(jù)網(wǎng)絡(luò)設(shè)計，對照表1完成網(wǎng)絡(luò)設(shè)備接口IP地址配置，運(yùn)營商域內(nèi)網(wǎng)絡(luò)通過運(yùn)行OSPF協(xié)議實現(xiàn)網(wǎng)絡(luò)互通，聯(lián)通、電信運(yùn)營商網(wǎng)絡(luò)區(qū)域都采用單區(qū)域area0完成網(wǎng)段宣告，其中R1、R2、R3和AR1、AR2、AR3均運(yùn)行area0，宣告各直連網(wǎng)段如下：

[R1-ospf-1]dis this

ospf 1

area 0.0.0.0

network 1.1.1.1 0.0.0.0network 192.168.12.0 0.0.0.255

#

4.2 6to4 Tunnel建立配置

6to4隧道屬于一種自動隧道，隧道使用內(nèi)嵌在IPv6地址中的IPv4地址建立。IPv4 的傳輸路徑充當(dāng)了 IPv6 的數(shù)據(jù)鏈路層，可看作一條點到點的虛擬鏈路[13-14]。在邊界設(shè)備與6to4網(wǎng)絡(luò)相連的接口上必須配置6to4地址，在邊界設(shè)備與IPv4網(wǎng)絡(luò)相連的接口上必須配置IPv4地址。為了支持路由協(xié)議，也需要配置Tunnel接口的網(wǎng)絡(luò)地址。

首先在邊界路由器R4、R6上配置IPv4、IPv6雙棧協(xié)議，使路由器在IPv4、IPv6網(wǎng)絡(luò)上均能互通。以R4設(shè)備舉例，配置如下：

[R4]IPv6

//全局使能IPv6

interface GigabitEthernet0/0/2

IPv6 enable

//接口使能IPv6

ip address 192.168.24.4 255.255.255.0

IPv6 address 2002：C801：104：：FFFF/64

//IPv6地址配置

在邊界路由器R4、R6配置6to4隧道。

interface Tunnel0/0/0

//創(chuàng)建Tunnel接口

IPv6 enable

//使能接口的IPv6功能

IPv6 address auto link-local

//設(shè)置生成Tunnel接口鏈路本地IPv6地址

tunnel-protocol IPv6-IPv4 6to4

//指定Tunnel為6to4隧道模式source 200.1.1.4

//指定Tunnel的源地址

IPv6 route-static 2002：： 16 Tunnel0/0/0？

//配置到2002：：/16的靜態(tài)路由

此時指定的Tunnel接口的IPv6地址的前綴， 應(yīng)該與邊界設(shè)備所屬的6to4網(wǎng)絡(luò)的地址前綴相同。查看6to4 Tunnel運(yùn)行狀態(tài)如圖2所示。

4.3 MD VPN 建立配置

在聯(lián)通運(yùn)營商網(wǎng)絡(luò)上配置MPLS/BGP VPN，確保VPN 網(wǎng)絡(luò)正常運(yùn)行、單播路由暢通。

PE設(shè)備R1、R3建立MP-BGP 鄰居關(guān)系。并在聯(lián)通運(yùn)營商網(wǎng)絡(luò)路由器R1、R2、R3與私網(wǎng)路由器R4、R6啟動組播功能和PIM SM 功能，在R1、R2和R2、R3間分別建立公網(wǎng)實例組播，R4、R1和R3、R6之間分別建立使能IPv4地址族的VPN 實例組播。在各R1、R3上為同一使能IPv4地址族的VPN 實例配置相同的Share-Group 地址、相同的MTI（Multicast Tunnel Interface）。

以R1設(shè)備舉例，配置如下：

[R1]bgp 100

peer 3.3.3.3 as-number 100

peer 3.3.3.3 connect-interface LoopBack0

//指定環(huán)回口與R3建立IBGP鄰居關(guān)系

IPv4-family unicast

//進(jìn)入IPv4單播視圖

undo synchronization

peer 3.3.3.3 enable

IPv4-family vpnv4

//進(jìn)入VPNv4視圖

policy vpn-target

peer 3.3.3.3 enable

//與R3建立MP-BGP VPN 通道

PE設(shè)備R1、R3分別創(chuàng)建VPN 實例，并綁定接口。

[R4]ip vpn-instance site-a

IPv4-family

route-distinguisher 20：20

//RD值20：20

vpn-target 10：10 export-extcommunity

vpn-target 10：10 import-extcommunity

//出入方向RT值均為10：10

multicast routing-enable

//全局使能組播功能

interface GigabitEthernet0/0/0

ip binding vpn-instance site-a

//物理接口下綁定VPN 實例site-a

ip address 192.168.14.1 255.255.255.0

pim sm

//啟動PIM SM 功能

mpls lsr-id 1.1.1.1

//設(shè)置LSR-ID

mpls

mpls ldp

//MPLS使能LDP功能

ospf 2 vpn-instance site-a

//OSPF新建進(jìn)程，綁定site-a實例

import-route bgp

//引入BGP網(wǎng)絡(luò)，使私網(wǎng)路由互通

area 0.0.0.0

network 192.168.14.0 0.0.0.255

bgp100

IPv4-family vpn-instance site-a

import-route ospf 2

//引入私網(wǎng)路由

[R4]ip vpn-instance site-a

IPv4-family

multicast routing-enable

multicast - domain source - interface

LoopBack0

multicast-domain share-group 239.1.1.1

binding mtunnel 0

//配置Share-Group地址，并綁定MTI

interface MTunnel0

ip binding vpn-instance site-a

配置R2 的Loopback0 接口為C-BSR

（Candidate-BSR）和C-RP（為所有組服務(wù)）。配置R6的Loopback0為私網(wǎng)site-a的C-BSR 和C-RP（為所有組服務(wù)）。以R2為例，配置如下：

[R2]pim

c-bsr LoopBack0

c-rp LoopBack0

查看組播VPN 在Mtunnel接口上可以正常建立鄰居，說明組播VPN 通道建立成功，見圖3。

5 結(jié)果驗證

5.1 6to4隧道數(shù)據(jù)測試與分析

在邊界路由器R6 查看IPv6 路由，存在前往2002：：/16的路由，在PC2上發(fā)送ping包給總部PC的IPv6網(wǎng)段進(jìn)行測試連通性，結(jié)果如圖4所示，IPv6單播流量互訪成功。

PC2訪問2002：c804：406：：/48網(wǎng)絡(luò)時：數(shù)據(jù)包到達(dá)R6后，R6發(fā)現(xiàn)目的地址是IPv6地址，而且是2002開頭的地址，這是個6to4的IPv6地址，于是從該地址中抽離出c804：406，得到200.4.4.6 這個IPv4地址。

R6在原始IPv6報文的基礎(chǔ)上加裝IPv4頭部，IPv4頭部的源地址為6to4 Tunnel的源地址200.4.4.6，而目的地址為200.1.1.4。數(shù)據(jù)包被路由到R4后，R4將外層的IPv4頭部剝除，將里頭的IPv6報文轉(zhuǎn)發(fā)給PC3，具體數(shù)據(jù)包如圖5所示。

5.2 組播IPv4測試與分析

為檢測組播業(yè)務(wù)部署情況，在R3上查看PIM協(xié)議組播路由表的內(nèi)容，顯示內(nèi)容如圖6所示。在R3上查看私網(wǎng)組播轉(zhuǎn)發(fā)表項，顯示信息如圖7所示。在分部PC1端口抓取的組播數(shù)據(jù)如圖8所示。

分析可知，R3上存在PIM 組播路由表，（S，G）表項（10.1.1.1，224.8.8.8），組播源為總部組播源10.1.1.1，目的組為224.8.8.8，（S， G）表項的入接口為MTunnel0，（S， G）表項的出接口為GE0/0/0，協(xié)議類型為PIM-SM，私網(wǎng)RP 為6.6.6.6，即R6loopback0口，組播鄰居為R1，實現(xiàn)了組播數(shù)據(jù)公私網(wǎng)隔離傳輸，提高了數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?/p>

6 結(jié)語與展望

為滿足純IPv4網(wǎng)絡(luò)向純IPv6網(wǎng)絡(luò)過渡階段的企業(yè)組網(wǎng)需求，在eNSP仿真平臺設(shè)計了一種基于6to4 Tunnel機(jī)制的跨域部署企業(yè)園區(qū)組網(wǎng)方案。在出口路由設(shè)備部署雙出口，電信網(wǎng)絡(luò)通道部署6to4 Tunnel，聯(lián)通網(wǎng)絡(luò)通道部署MPLS/BGP VPN網(wǎng)絡(luò)，以MD（Multicast Domains）方案部署IPv4組播業(yè)務(wù)。結(jié)果表明，組網(wǎng)設(shè)計較好地滿足了IPv6過渡階段企業(yè)組網(wǎng)需求，建立6to4 Tunnel傳輸IPv6單播流量，為組播IPv4流量提供安全可靠的VPN通道，同時能夠承載組播業(yè)務(wù)，是當(dāng)前IPv6化企業(yè)網(wǎng)絡(luò)組網(wǎng)方案的較好選擇。

在本設(shè)計方案中，IPv6孤島網(wǎng)絡(luò)地址規(guī)劃中只能使用2002開頭的IPv6地址，滿足6to4隧道的IPv6地址和隧道兩側(cè)局域網(wǎng)地址都要與本端隧道有相同的網(wǎng)絡(luò)前綴（前48位相同），前綴長度位>=48;同時需要注意的是，6to4隧道不支持運(yùn)行動態(tài)路由協(xié)議，通過使用IPv6 over IPv4自動隧道或6to4隧道中繼來解決這個問題是后續(xù)研究的主要工作和內(nèi)容。

參考文獻(xiàn)：

[1]勞鳳丹. IPv6的研究及校園網(wǎng)IPv6網(wǎng)絡(luò)的建立[D].北京：中國農(nóng)業(yè)大學(xué)，2005.

[2]周玲.實現(xiàn)IPv4向IPv6過渡的隧道技術(shù)6to4[J].計算機(jī)工程應(yīng)用，2002（18）： 156-158，168.

[3]王達(dá).華為MPLS VPN學(xué)習(xí)指南[M].北京：人民郵電出版社，2018.

[4]陳彬.基于大二層結(jié)構(gòu)的IPv6雙棧技術(shù)在校園網(wǎng)絡(luò)中的應(yīng)用：以云南師范大學(xué)為例[J].云南師范大學(xué)學(xué)報（自然科學(xué)版），2022， 42（6）：32-34.

[5]盧航.IPv6技術(shù)的特點及部署方法[J].長春工程學(xué)院學(xué)報（自然科學(xué)版），2007，8（3）：70-74.

[6]陶駿，劉晴晴，佘星星.基于 GRE 隧道和 BFFH 模式的MPLS VPN 網(wǎng)絡(luò)構(gòu)建[J].湖南文理學(xué)報（自然科學(xué)版），2022，34（2）：17-22.

[7]李清平，陳巧妮，孟祥芳. 4over6 隧道技術(shù)的應(yīng)用及網(wǎng)絡(luò)性能分析[J].成都大學(xué)學(xué)報（自然科學(xué)版），2016，35（3）：263-266.

[8]劉大偉，陳亮，丁琳琦，等.HCIE 路由交換學(xué)習(xí)指南[M].北京：人民郵電出版社，2017.

[9]朱仕耿.HCNP路由交換學(xué)習(xí)指南[M].北京：人民郵電出版社，2017.

[10]郝海濤，黨小超.IPv4 到IPv6 的過渡技術(shù)與6to4Tunnel的實現(xiàn)[J].福建電腦，2006（3）：19-20.

[11]龔鐵柱.一種基于MPLS VPN網(wǎng)絡(luò)的IPv6組播過渡技術(shù)[J].信息技術(shù)，2009，33（10）：141-142，146.

[12]李永芳.基于BGP MPLS VPN 企業(yè)跨域組網(wǎng)仿真設(shè)計[J].實驗室研究與探索，2021，40（3）：121-128.

[13]劉春暉.組播 VPN 業(yè)務(wù)關(guān)鍵技術(shù)研究與實踐[J].廣東通信技術(shù)，2014（17）：76-79.

[14]李靈.基于 IGMPv3 和 PIM-SSM 協(xié)議的特定源組播技術(shù)的設(shè)計與實現(xiàn)[D].重慶：重慶大學(xué)，2013.

責(zé)任編輯：肖祖銘