1、ICS 3304040Y口中华人民共和国通信行业标准YD,T 1 656-2007采用边界网关协议多协议扩展(BGPMP)的基于IPv6骨干网的IPv4网络互联(4 over 6)技术要求Technical Requirement for Interconnection of IPv4 Network over IPv6Backbone(4 over 6)Via Border Gateway Protocal Multi-ProtocolExtenslons(BGP-MP)2007-07-20发布 2007_12_01实施中华人民共和国信息产业部发布目 次前言l范围12规范性引用文件13定义和
2、缩略语l4 4 over 6机制概述25 4 OVer 6数据平面处理36 4 ovcr 6控制平面处理47 4 over 6机制示例68可扩展性69双栈接入710安全考虑7fju 罱本标准主要依据最新研究成果制定完成,还参考了相关国内外标准。本标准与l(EncapsulationoningressPE)IV!(Decapsuhdon on egss PE)l一!二,一!璺!唑:!PacketPayload,一( OriginalIPv4packet 图3 IPv4in-IPv6的封装和解封装方法6 40ver6控制平面处理4 over 6机制中,控制平面主要解决隧道端点发现和网络可达性信息传
3、输的问题。在本标准所定义的4 over6机制中,40ver 6控制平面通过对边界网关协议多协议扩展BGPMP再进行4 over6扩展来实现。作为AFBR,PE路由器之问基于IPv6骨干网建立BGP的邻居关系,通过BGP的多协议扩展携带不同神类的路由信息。4BGPMP协议规定,在建立BGP邻居关系时使用OPEN消息的下列两个参数的组合标识BGP实体的能力:地址簇标识符AFI和后续地址簇标识符SAFI。由于传输上述4 over 6隧道端点和目的地址是BGP-MP实体的一个新能力,即4 over 6能力,因此需要定义新的AFI,SAFI组合。由于4 over 6所需要传输的目的地址是IPv4网络地址
4、,因此AFI使用已经定义的AFI_IP4=1。而基于申请定义SAFI的先来先服务原则,本标准申请定义SAFI_4 OVer6=67。基于上述定义,4 over6的BGP-MP协议在OPEN消息中使用AFI,SAFll=(AFI_IP4=I,SAFI_4 over 6=67标识发出该BGP-MP消息的BGP实体的4 over 6能力。在BGP建立了邻居关系的基础上,在BGP UPDATE消息中的路径属性包含下一跳的AFI、SAFI以及下一跳地址和网络层可达性信息。在使用BGPMP的UPDATE消息传输隧道端点和网络可达性信息时。仍然使用上述AFT和SAP。与此同时,在路径属性中的下-Egh网络地
5、址必须是4 over6虚接口的IPv6地址,而网络可达性信息NLRI包含了目的IPv4网络地址和掩码。该Update分组如图4所示。Addr,ssFamilyIdentifier(20ems):AFI_IP4=ISubscqtientAFI f1蚴SgFl_4078酷267Lg山DfNextHop(1 oem):16NetHop:IPv6Addressof40ver6ViaualInterfaceNmofSNPAs(1 oc)h鹕曲offirstSNPA(I t)crtt)Fisst SNPA(variable)LengthofsecondSNPA(1 octet)SccoadSNPA(var
6、iab|e)Lg血ofLastSIqPA(1 octa)LastSNPA(variable)NLRI(va,-iable):DesdaalionIPv4iqctworkddle嚣固4 BGP协议的4 ove,r6扩展当4 over6路由器的v4路由信息发生变化时,路由管理模块通知BGP协议,启动了40ver6功能的BGP协议发送Update分组到其他Peer路由器。对端40ver 6路由器收到Update分组后,更新本地维护的封装表的同时。更新本地IPv4路由表,把相应目的IPv4遗址的出接口置为本地40ver 6虚接13。对于配置有路由反射器(Route Reflection简写为RR)的场
7、景,PE路由器分为RR和非RR两种。每个RR连接多个非RR,这些非RR称为该RR的客户端路由器。所有RR之间建立全连接的Full-mesh结构。因此每个RR的IBGPPeer分为两种,即RR和客户端路由器,其中客户端路由器把所连接的IPv4网络中的IPv4路由变化通过IBGP报文通告对应的RR。如果一个RR收到其他RR通过IBGP发来的4 over6路由,将其转发给所有的客户端路由器。而如果一个RR收到客户端路由嚣通过IBGP发来的4 over 6路由,则将其转发给所有的IBGP Peer。任何一个远端IPv4网络中的路由变化,可以经过最多3步传到整个网络,即远端出口客户端PE路由器、RR以及
8、网络中任意入口客户端PE路由器。因此,本标准所定义的40ver6机制能够支持配置有路由反射器的场景。5YD厂r 1656_20077 40ver6机制示例基于如上定义的4 over 6数据平面和控制平面的处理过程,下面以图5为例说明4 over 6机制的实际工作过程。PE2从CE2学习到到达目的IPv4网络NetB和NetC的路由信息,更新本地的IPv4路由表(PE2IPv4 Routing table),进而产生本地封装表(PE2 Encapsulation诅ble),并将本地封装表发送给BGP-MP模块。PE2的BGP-MP模块把目的IPv4网络NetB和NetC的可达性信息以及隧道端点信
9、息(PE2的40ver6VIF)通过BGPUpdate消息发送到PEl。PEl在接收到BGP更新分组后,把NetB和NetC的网络地址以及隧道端点(PE2的4 over 6 VIF)存储到封装表(PEl Encapsulation table),并在本地IPv4路出表中增加相关信息,把目的地址为NetB和NetC的转发接口置为本地4 over6VIF,即PElVIF。Control Row图5 4 over6机制示倒在完成上述路由信息交互后,PEl和PE2分别维护了如图所示的封装表和路由表。来自源网络NetA的目的地址在网络NetB内部的v4分组到达PEl后,PEl在坤v4转发表中进行路由查找
10、,发现对应转发接口为本地VIF接口,交由本地v接口处理。VIF接口处理中,查找封装表,找到对应的IPv6地址(即PE2的40ver 6虚接口的IPv6地址),将该地址作为目的IPv6地址并将本地4 OVer6虚接口的IPv6地址作为源地址进行封装,进而发送到IPv6网络。PE2收到封装后的分组后,进行解封装,并根据原始IPv4分组的目的地址查找IPv4转发表,转发到目的网络NetB。8可扩展性40Ver6机制不需要更改P路由器,只需要对PE路由器的功能进行扩展,即所有AFBR的操作全部在PE路由器上完成,因此具有较高的可扩展性。此外,4 over 6路由器不需要维护每流状态,只需要增加40ve
11、r6的路由信息。由于AFBR之间需要使用BGP进行邻居交互,因此对PE路由器的数量可扩展性与自治系统边界路6YD厂r 1 656-2007由器ASBR的数量可扩展性相同。如果采用了路由器反射Router Reflector(RR)技术,则理论上对PE路由器的数量是没有限制的。9双栈接入边缘网络可能通过不同的地址簇接入骨干网,如图6所示。在这种双栈接入的情况下,cE透过配置适当的默认路由、策略路由或者优先级设置来选择具体采用哪个骨干网的接入方式。对于PE从CE学习路由的方式,可以通过手工配置的方法或者使用路由协议与cE交互,但需要使用路由过滤机制保证IPv4接入网络是末端网络而不是穿通网络,即过滤掉通过CE所学习到的目的地址不属于该接入网络的路由。圈6 IPv4网络通过IPv4v6骨干网多点接入互联网10安全考虑虽然4 over 6数据分组在40ver6边界路由器中需要处理分组的封装,使得40ver6边界路由器的处理负载增加,但由于4 over 6边界路由器不需要进行资源分配和状态维护,因此具有较小的负载,并具有一定抗DDoS攻击的能力。此外,由于分组封装机制较为简单,因此如果采用硬件实现,将进一步增强4OVer 6边界路由器的抗攻击能力。BGP Peers之间的控制会话和隧道分组传输还可以进一步扩展采用IPSec来实现以增加安全性。7
