隧道技術-高級計算機網(wǎng)絡.ppt

1、隧道技術l基本原理l網(wǎng)狀隧道機制l主機間隧道機制l星形隧道機制l兩次翻譯和隧道技術l隧道機制總結(jié)隧道技術基本原理隧道技術是通過對報文的封裝/解封裝，使得兩個同構網(wǎng)絡能在一個異構網(wǎng)絡的兩邊橋接起來，實現(xiàn)相互通信。汽車過江的例子：A，B兩地之間隔江相望，江面沒有橋梁設施，在A地有一輛汽車需要到B地去，江面上有大型輪渡，A地的汽車要過江就可以把車開上輪渡，由輪渡載它過江然后在開下輪渡從而到達B地。A和B就相當于兩個同構的網(wǎng)絡，AB之間的江就相當于一個異構網(wǎng)絡，通過把汽車裝載在輪船上（封裝）運過江然后把汽車卸下輪船（解封裝）從而實現(xiàn)了A和B的汽車互通。隧道技術基本原理PayloadScr addr|H

2、1 IPv6 addrDst addr|H2 IPv6 addrHost1Host2PayloadScr addr|R1 IPv4 addrDst addr|R2 IPv4 addrPayloadScr addr|H1 IPv6 addrDst addr|H2 IPv6 addrR1R2IPv6地址 標準格式 將128位地址按16位劃分為8段，每段用冒號隔開。每段是16位表示為一 個4位的十六進制數(shù)，十六進制不區(qū)分大小寫。假設一個128位的二進制IPv6地址為：0010 0000 1000 0010 0001 0000 1000 0100 1000 0100 0100 0000 0000 00

3、00 0000 00000000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0010 0000 1011 1000 0101 0000將每一段轉(zhuǎn)化為一個4位的十六進制數(shù)并用冒號隔開：2082：1084：8440：0000：0000：0000：0020：B850壓縮格式 標準格式中包含了大量的“0”，甚至成段的全為“0”。為了簡化輸入可將整段“0”壓縮為一個。上述地址可簡化為：2082：1084：8440：0：0：0:20: B850當?shù)刂分写嬖谝欢位蚨喽芜B續(xù)為0時，為了縮短地址長度，可用“：”（兩個冒號）表示，但是一個IPv6地址中只允許出現(xiàn)一個

4、“：”，上述地址可進一步簡化為：2082：1084：8440：20：B850IPv6地址與IPv4地址對比IPv4地址地址IPv6地址地址地址位數(shù)12832地址格式表示點分十進制冒號分十六進制地址劃分五類地址劃分總IP地址按傳輸類型劃分環(huán)路地址127.0.0.1：1多點傳送地址224.0.0.0/4FF00：/64隧道技術l基本原理l網(wǎng)狀隧道機制l主機間隧道機制l星形隧道機制l兩次翻譯和隧道技術l隧道機制總結(jié)網(wǎng)狀隧道機制6to4隧道機制6to4隧道機制用于解決IPv6孤島穿越IPv4網(wǎng)絡實現(xiàn)相互通信，以及IPv6孤島穿越IPv4網(wǎng)絡與IPv6網(wǎng)絡相互通信。6to4將IPv6子網(wǎng)的地址與6to4

5、路由器的IPv4地址耦合：IPv6子網(wǎng)的地址使用48位的固定前綴（2002：846d：010a：/48），其中嵌套32位IPv4地址為本子網(wǎng)鏈接6to4路由器IPv4地址，這樣兩個IPv6孤島通信時6to4路由器需要對數(shù)據(jù)包進行封裝所需的目的地址就可以從IPv6的目的地址中提取出來。網(wǎng)狀隧道機制 IPv6子網(wǎng)與IPv6互聯(lián)網(wǎng)進行通信時要在6to4路由器和6to4中繼之間建立隧道，在這種情況下，6to4路由器就要提前學習到中繼的IPv4地址，用來作為封裝的目的地址。同時6to4中繼需要向每一個IPv6孤島宣告本地前綴2002：IPv4ADDR：/48。每一個6to4中繼都需將IPv6客戶網(wǎng)所有的

6、/48前綴宣告到全球IPv6 RIB和FIB。全球的RIB和FIB就需要承受大規(guī)模這樣的/48的前綴，因此6to4并不能成為一個可持續(xù)發(fā)展的網(wǎng)絡解決方案。網(wǎng)狀隧道機制網(wǎng)狀軟線 網(wǎng)狀軟線是一種網(wǎng)狀穿越場景下由路由器到路由器的隧道機制，它應用的場景是I-IP（Internal IP）主干網(wǎng)下E-IP(External IP)客戶網(wǎng)間的互聯(lián)。網(wǎng)狀軟線保持了IPv4和IPv6編址的獨立性。通過擴展MP-BGP協(xié)議實現(xiàn)客戶網(wǎng)E-IP路由信息在I-IP主干網(wǎng)邊路由器AFBR間的傳播。網(wǎng)狀軟線機制中AFBR需要維護映射關系。E-IP前綴前綴I-IP地址地址net2 AFBR2net3AFBR3net4AFB

7、R4net1net2net3net4AFBR3AFBR2AFBR1AFBR4隧道技術l基本原理l網(wǎng)狀隧道機制l主機間隧道機制l星形隧道機制l兩次翻譯和隧道技術l隧道機制總結(jié)主機間隧道機制 6over4機制 主要應用于IPv4網(wǎng)絡中的獨立的支持IPv6的主機與IPv6互聯(lián)互通。其主要思想是利用IPV4組播在支持IPv6的主機之間建立虛擬“局域網(wǎng)”。也就是一條IPv6 over IPv4隧道。由于6over4要求主機和網(wǎng)絡基礎設施都需要支持組播，還有很復雜的故障模式（數(shù)據(jù)層面上就是一個節(jié)點可能收到并非發(fā)給自己的數(shù)據(jù)包），除此之外還存在攻擊ND協(xié)議的安全問題，基于這些原因，6over4并沒有大規(guī)模應

8、用。 ISATAP機制 ISATAP是另外一種IPv6端用戶穿越IPv4網(wǎng)絡的隧道機制。它將IPv4網(wǎng)絡看作一個非廣播的點到多點的鏈路。一個人ISATAP主機使用IPv6本地鏈路地址，其前綴是fe80:5efe/96,后接主機32位IPv4地址。當封裝IPv6數(shù)據(jù)包時，源和目的IPv4地址可以直接從IPv6地址中提取出來。ISATAP的優(yōu)點在于數(shù)據(jù)層面是無狀態(tài)的，但作為星形隧道機制時控制層面的復雜度仍然很高。而且存在和6over4相似的安全問題。隧道技術l基本原理l網(wǎng)狀隧道機制l主機間隧道機制l星形隧道機制l兩次翻譯和隧道技術l隧道機制總結(jié)星形隧道機制星形軟線機制 星形軟線采用L2TP-ove

9、r-UDP-over-IPv4/IPv6的隧道。解決IPv4/IPv6域內(nèi)的主機或家庭網(wǎng)絡通過IPv4與IPv6邊界的匯集節(jié)點訪問IPv6/IPv4互聯(lián)網(wǎng)的問題，適用于IPv4-over-IPv6和IPv6-over-IPv4兩種場景。這種方案在隧道內(nèi)層使用L2TP隧道虛擬出數(shù)據(jù)鏈路層的環(huán)境，在二層環(huán)境上形成點到點的IP層鏈接，包括獲取IP地址。星形軟線的數(shù)據(jù)層面需要維護的映射表是每用戶級的。 星形隧道機制星形IPv6-over-IPv4場景下的過渡機制 星形網(wǎng)絡場景下的一個IP-IP的解決方法是6RD。6RD技術將6to4隧道應用到星形IPv6-over-IPv4場景下，使得6to4隧道的一

10、端集中為IPv4與IPv6邊界路由器6RDBR，另一端則為大量分散的家庭網(wǎng)絡CPE設備或主機。稱為6RDCE?；?to4，6RD的封裝是無狀態(tài)的，BR無需記錄地址映射關系6RD為6to4技術進行擴展，用ISP實際可變前綴取代2002：/16的固定前綴，即CE側(cè)的IPv6網(wǎng)絡或主機使用NSP：CE_IPv4_addr:/的前綴；而在BR的IPv6側(cè)ISP前綴的 路由發(fā)布到全網(wǎng)中。CEBR星形隧道機制星形IPv4-over-IPv6場景下的過渡機制 DS-lite是結(jié)合IPv4 in IPv6隧道和改進版的IPv4網(wǎng)絡地址轉(zhuǎn)換（NAT）（即以tunnel-id/IPv6地址為NAT表索引）技術，

11、由地址族過渡路由器單元（AFTR）設備和B4基本橋接寬帶設備（常為家庭網(wǎng)關或用戶終端）協(xié)作完成IPv4和IPv6業(yè)務承載。 Lightweight 4over6 Lightweight 4over6是對DS-lite技術的一種改進方案，是輕量級的IPv4-over-IPv6技術。 星形隧道機制 BR設備為支持DS-lite的路由型網(wǎng)關：對內(nèi)開啟動態(tài)主機配置協(xié)議（DHCP）v4系統(tǒng)功能，為內(nèi)部終端分配私有IPv4地址（若B4為軟終端，則固化私有IPv4地址）；對外根據(jù)點對點協(xié)議（PPP）發(fā)起向AFTR請求，AFTR通過遠程用戶撥號認證系統(tǒng)（RADIUS）認證后，利用DHCPv6系統(tǒng)為其分配IPv

12、6地址，B4發(fā)起建立至AFTR的IPv4 in IPv6隧道。用戶訪問IPv4業(yè)務時，將通過家庭網(wǎng)關將IPv4流量封裝到IPv6隧道中，傳送至網(wǎng)絡側(cè)的AFTR設備進行解封裝和NAT，實現(xiàn)業(yè)務訪問；用戶訪問IPv6業(yè)務時，則直接通過Native IPv6網(wǎng)絡實現(xiàn)。 星形隧道機制 Lightweight 4over6 Lightweight 4over6是對DS-lite技術的一種改進方案，是輕量級的IPv4-over-IPv6技術。Lightweight 4over6(以下簡稱LAFT6)是結(jié)合了有狀態(tài)和無狀態(tài)的優(yōu)點，充分利用CPE的NAT44功能，將AFTR的集中NAT44下放到CPE上執(zhí)行，

13、增加CPE的公網(wǎng)IPv4地址和端口的分配及管理機制。LwAFTR不在進行基于流的映射信息管理，而進行基于用戶的映射信息管理。 隧道技術l基本原理l網(wǎng)狀隧道機制l主機間隧道機制l星形隧道機制l兩次翻譯和隧道技術l隧道機制總結(jié)兩次翻譯和隧道技術 理論上講IPvY-IPvX-IPvY穿越場景下，可以通過在入口隧道端點處做一次IPvY-IPvX翻譯，在出口處做一次IPvX-IPvY翻譯，然而這種方式IPv6-IPv4-IPv6場景下并不可行。盡管第一次翻譯時可以將IPv6地址轉(zhuǎn)換成IPv4地址，但是在第二次翻譯的時候，將32位的IPv4地址恢復成128位的IPv6地址是不可能的。 隧道保留原始數(shù)據(jù)包保

14、持了內(nèi)部IPv4的透明性，而翻譯是做不到的，由于IPv4和IPv6協(xié)議的差異，翻譯技術并不能保留原始協(xié)議頭的所有信息，大部分字段都被保留了，而有一部分會丟失。此外兩次翻譯要比隧道暴露更多內(nèi)部IPv4的地址信息。隧道技術l基本原理l網(wǎng)狀隧道機制l主機間隧道機制l星形隧道機制l兩次翻譯和隧道技術l隧道機制總結(jié)隧道機制總結(jié)隧道機制隧道機制適用場景適用場景封裝方式封裝方式地址映射地址映射異構地址路由異構地址路由問題問題6to4網(wǎng)狀IPv6-over-IPv4IP-in-IP無狀態(tài)地址映射，IPv4嵌入IPv6BR將IPv6孤島的路由發(fā)布到IPv6網(wǎng)絡中路由擴展問題，前綴不能聚合Softwire Mes

15、h網(wǎng)狀IPv6-over-IPv4IPv4-over-IPv6IP-in-IP/GRE/L2TPMPLS/IPse（E-IP前綴，I-IP前綴）映射，每用戶擴展MP-BGP在I-IP中傳輸E-IP前綴無6PE網(wǎng)狀IPv6-over-IPv4IP-in-MPLSE-IP前綴和I-IP前綴映射成MPLS標簽擴展MP-BGP在I-IP中傳輸E-IP前綴只適用于MPLS設施6over4端到端IPv6-over-IPv4Ethernet over IPv4-multicast無無IPv4設施需要支持組播ISATAP端到端/星形IPv6-over-IPv4NBMA-Over-IPv4本地鏈路地址或全球可達

16、地址前綴的無狀態(tài)映射ND分配前綴控制層面上臂三層IP-IP更復雜星形軟線星形IPv6-over-IPv4IPv4-over-IPv6L2TP-over-UDP（E-IP前綴，I-IP前綴）映射，每用戶匯聚點向用戶發(fā)布E-IP路由管理L2TP-over-UDP隧道太復雜6RD星形IPv6-over-IPv4IP-in-IP無狀態(tài)地址映射，IPv4嵌入IPv6BR點向用戶發(fā)布IPv6路由無Teredo星形IPv6-over-IPv4IPv4 NAT穿越IP-in-UDPi-n-IP無狀態(tài)自動映射，IPv4地址和端口嵌入IPv6中繼向用戶發(fā)布路由控制信令太復雜Dual-satck lite星形（用戶

17、側(cè)使用私有IPv4）IPv4-over-IPv6IP-in-IP（IPv6地址，私有IPv4地址，端口）-（公有地址，端口）綁定，每流AFTR向用戶發(fā)布IPv4路由應用層翻譯，每流的狀態(tài)維護，外部不能訪問4over6星形（用戶側(cè)使用公有IPv4）IPv4-over-IPv6IP-in-IPIPv4地址-IPv6地址（+端口段）每用戶匯聚點想用戶發(fā)布IPv4路由地址利用率沒有Dual-satck lite高，維護每用戶狀態(tài)MAP-E星形（用戶側(cè)使用公有IPv4）IPv4-over-IPv6IP-in-IP無狀態(tài)映射，IPv4地址+端口嵌入IPv6IPv6路由支持耦合尋址，BR向用戶發(fā)布IPv4路

18、由靈活性低，利用率低我國過渡技術的研究進展清華大學針對IPv6過渡中存在的根本問題和現(xiàn)有技術方案的不足，在IPv6過渡翻譯技術方面首次提出了IVI：無狀態(tài)IPv4/IPv6翻譯技術，參與IETF Behave和V6OPS工作組的工作，已經(jīng)提交了12項RFC草案，其中五項已經(jīng)正式發(fā)布，在IPv6過渡隧道技術方面，首次提出了IPv4-over-IPv6 網(wǎng)狀體系結(jié)構過渡技術，推動IETF成立了專門工作組Softwire,已提交7項標準草案，其中三項正式發(fā)布，并且在100所學校的校園網(wǎng)進行了實現(xiàn)。中國電信針對可運營的過渡部署需求，完善相關NAT44，DS-Lite和雙棧等技術的開發(fā)與部署，實現(xiàn)IPv4資源與IPv6網(wǎng)絡的互通，與清華大學合作研究LAFT 4over6，現(xiàn)已經(jīng)成為IETF主流的新型過渡技術之一。中國電信針對內(nèi)容提供商升級緩慢的現(xiàn)狀，自主研發(fā)了面向ICP網(wǎng)站的IPv6平滑遷移平臺Smart6。Smart6利用協(xié)議翻譯技術將IPv6的訪問請求報文在IDC入口處轉(zhuǎn)換成IPv4報文，從而使IPv6用戶請求以IPv4的形式去