More Related Content
More from Cisco Russia (20)
IPv6 в сетях ШПД
- 1. IPv6 в сетях ШПД
Денис Михайловский
Системный инженер
Департамент по работе с операторами связи
Март 2013
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1
- 2. • Развитие IPv6 в сетях ШПД
• Основы IPv6
• IPv6 Dual Stack Subscriber
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
- 3. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 3
- 4. • Исчерпание пространства IPv4 в условиях роста абонентской
базы
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
- 5. • Prefixes | Transit AS – соотношение IPv6 к IPv4 по данным APNIC Labs
• Content – процент ipv6 web сайтов от top 500 сайтов выбранной страны
• Users – данные Google Research и APNIC Labs
Source: 6lab.cisco.com
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
- 6. • Сконцентрироваться только на внедрении и адаптации
функционала NAT
• Начать подготовку к этапу длительного (или постоянного?)
сосуществования двух адресных пространств в ШПД
• Сейчас настало актуальное время для внедрения IPv6
• Появилось понимание и практическая готовность индустрии как на
уровне архитектур (TR-177 BBF) так и в реальных доступных сегодня
продуктах и решениях
• Есть ipv6 контент: Google, YouTube, Yandex, Facebook, VK, World of
Warcraft, …
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
- 7. • Внедрение IPv6 подразумевает управляемое назначение IPv6
адреса абоненту в сети ШПД
• Получение и настройка IPv6 адреса на абонентских
устройствах происходит автоматически без участия самого
абонента
• По факту абоненту нужно выдать два адреса IPv4 и IPv6
(Dual Stack), т.к. далеко не весь контент доступен по IPv6
• Как следствие, внедрение IPv6 не решает проблемы
исчерпания IPv4, все равно необходимо назначать IPv4
адреса на сессии (можно использовать NAT)
• А можно ли выдать абоненту только IPv6? (ответ далее)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
- 8. ipv4
ipv6
• Если операционная система абонентcкого хоста смогла
автоматически настроить IPv4 и IPv6 стеки, то такой хост
называется Native Dual Stack
• Каждый стек полностью автономен:
IPv4: address, mask, default GW, DNS
IPv6: address, mask, default GW, DNSv6
• Использование IPv6 стека хостом определяется возможностью
разрешения FQDN в DNSv6, т.е. при прочих равных условиях
стек IPv6 имеет больший приоритет; откат в IPv4 происходит в
случае невозможности осуществить Quad-A resolve
• Поддержка только в современных ОС: Windows 7/Vista, Mac
OS X, Linux
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
- 9. ipv4 NAT44
ipv6
ipv4
ipv6
NAT64
ipv6 ipv4
ipv6
NAT64
ipv4
ipv6
ipv6
• На текущий момент времени отказаться от IPv4 адресации
технически возможно, но плохо реализуемо на практике:
прозрачность работы приложений поверх NAT64 – главная проблема
• Однако в перспективе NAT64 позволит отказаться от IPv4 адресации
у абонента, когда все устройства абонента научаться поддерживать
IPv6, а также основной и массовый контент будет доступен через
IPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
- 10. 2013 2014 2015
ipv4
ipv4 ipv4 NAT
ipv4 NAT
NAT
44
44
44
ipv6 ipv6 ipv6
Время
• Ежегодный темп роста полосы пропускания и абонентской базы
требует постоянных инвестиций не только в инфраструктуру
ШПД, но и в NAT44
• Доступность и миграция сервисов в IPv6 не позволяет
разгрузить NAT44 устройства со временем
• В будущем при сопоставимой доступности контента в IPv6 с
IPv4, необходимо будет полностью перестроить сеть для
перехода в IPv6, при этом инфраструктура NAT44 становится
бесполезной
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
- 11. 2013 2014 2015
ipv4 NAT ipv4 NAT ipv4 NAT
ipv4
44 44 44
ipv6 ipv6 ipv6 ipv6
Время
• Растущая доступность сервисов через IPv6 стек, естественным
образом снижает требования к NAT44 с течением времени
несмотря на общий рост полосы, т.к. все больше и больше
трафика маршрутизируется в IPv6 natively
• При разумном подходе и планировании сегодня, можно
существенным образом снизить затраты в недалеком будущем,
перестраивая сеть ШПД в IPv6 Only и переиспользуя NAT44
устройства в режиме NAT64
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
- 12. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 12
- 13. Global Unicast Address (GUA)
001 Routing Prefix Subnet ID Interface ID
48-bit 16-bit 64-bit
45-bit
Link Local (FE80::/64)
1111 1110 10 Zeros Interface ID
10-bit 54-bit 64-bit
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
- 14. MAC address
EUI-64 address
inserting
FF:FE
U/L bit
Modified
EUI-64 address
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
- 15. • ND (Neighbor Discovery Protocol)
ICMPv6
Stateless Auto Address Configuration (SLAAC)
• DHCPv6 Stateless
DHCPv6 Informational
• DHCPv6 Stateful
DHCP NA (Non-temporary Address)
DHCP PD (Prefix Delegation)
• DNSv6
AAAA записи (или Quad-A)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
- 16. • Обмен информационным сообщениями (Echo, Reply )
• Обмен сообщениями об ошибках (MTU mismatch, Destination
Unreachable, Time Exceed, etc)
• Функции address resolution и Duplicate Address Detection (DAD)
• Функции обнаружения маршрутизаторов и других хостов
Router Solicit
Router Advertisement (флаги и опции: M, O, Prefix Information, IsRouter, etc)
Neighbor Solicit
Neighbor Advertisement
• Stateless Auto Address Configuration (SLAAC)
Считается одним из главных достижений IPv6, клиент может настроить
свой адрес автоматически без вовлечения протоколов работающих по
принципу client/server
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
- 17. • Два режима работы Stateless или Stateful
• Stateless – не используется для назначения адреса.
Применяется для получения дополнительных параметров (DNS,
WINS, etc)
• Stateful – применяется для назначения адресов и получения
дополнительных параметров. Использование разных IA (Identity
Association) со стороны клиента для указания типа адреса
который ему необходим:
IA_TA (temp addr), IA_NA (non-temp addr), IA_PD (delegated prefix)
• DHCPv6 позволяет клиенту запрашивать и делегировать
префиксы для подключенных к нему хостам
Клиент – RR (Requesting Router)
Маршрутизатор/BNG – DR (Delegating Router)
• Stateful DHCPv6 не отменят необходимости использовать ND
Некоторые параметры доступны только по ND (например, netmask, option
router, и проч)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
- 18. • RA message:
• Flags:
- M (Managed Address Config)
- O (Other Config)
• Prefix Information Options:
- Prefix (or complete address)
- Prefix length
- IsRouter flag
- On-link flag
- Adv-Intervals and Lifetimes
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
- 19. © 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 19
- 20. • Что такое Dual Stack Subscriber?
• Это абонент, который был авторизован для использования
двух стеков IPv6 и IPv4 одновременно
• Аналогично обычным dual stack интерфейсам в
маршрутизаторах, только процесс ручной конфигурации
заменен процессом аутентификации
• С точки зрения ААА – такой абонент выглядит как одна
сессия (acct-start, acct-interim, acct-stop), но при этом у
абонента два адреса из разных AF
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
- 21. • PPP доступ PPP Session
IPv4
Dual-stack IPv6 и IPv4 внутри общей PPP IPv6
сессии; v4 и v6 NCP протоколы работают
независимо друг от друга
Аутентификация не зависит от протокола
NCP, т.к. осуществляется на уровне LCP
VLAN
• IPoE доступ IPv4 Session
IPv6 Session
Что такое «сессия»?: Вопросы :
L2 Session
- У абонента есть два адреса IPv4 и IPv6, как IPv4
объединить их в одну сессию? IPv6
- Что использовать для аутентификации?
(ответы на след. слайдах)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
- 22. Bridged CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON
PPPoE Username
Or Line-Id
RADIUS
PPP LCP Access-Request
Link Local RADIUS Framed-IP-Address
(Int_ID) Access-Accept Framed-IPv6-Prefix
PPP IPv6CP
ND Router Solicit (optional)
SLAAC
/64 prefix + Int_ID RA with M=0, O=1,
ND Router Advertisement Prefix, IsRouter=1
DHCPv6 Inform
DHCPv6 Reply (DNS6)
GUA, mask, GW <- ND
DNS6 <- DHCPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
- 23. Bridged CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON
PPPoE Username
Or Line-Id
RADIUS
PPP LCP Access-Request
Link Local RADIUS Framed-IP-Address
(Int_ID) Access-Accept Stateful-IPv6-Address
PPP IPv6CP
GUA info must be
taken from dhcpv6 RA with M=1, O=1,
ND Router Advertisement IsRouter=1
DHCPv6 (IA_NA) Solicit
IA_NA /128
DHCPv6 Advertise DNS6
DHCPv6 Request
DHCPv6 Reply (IA_NA, DNS6)
GUA and DNS6 <- DHCPv6
Mask, GW <- ND
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
- 24. Routed CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON
PPPoE Username
Or Line-Id
RADIUS
PPP LCP Access-Request
RADIUS Framed-IP-Address
Access-Accept Framed-IPv6-Prefix
Link Local Delegated-IPv6-Prefix
(Int_ID) PPP IPv6CP
ND Router Solicit (optional)
SLAAC RA with M=0, O=1,
/64 prefix + Int_ID ND Router Advertisement Prefix, IsRouter=1
WAN GUA, mask, DHCPv6 Inform
GW
Link Local
(Int_ID)
DHCPv6 Reply (DNS6)
RS
DHCPv6 Solicit (IA_PD)
IA_PD
DHCPv6 Advertise (IA_PD, /56) /56
SLAAC
/64 prefix + Int_ID DHCPv6 Request/Reply
RA RA with M=0, O=1,
Prefix, IsRouter=1
DHCPv6 Inform
DHCPv6 Reply (DNS6)
LAN GUA, mask, GW <- ND
DNS6 <- DHCPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
- 25. Routed CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON
PPPoE Username
Or Line-Id
RADIUS
PPP LCP Access-Request
RADIUS Framed-IP-Address
Access-Accept Stateful-IPv6-Address
Link Local
(Int_ID)
PPP IPv6CP Delegated-IPv6-Prefix
RA with M=1, O=1,
WAN GUA must be taken ND Router Advertisement IsRouter=1
from dhcpv6
RS
DHCPv6 Solicit (IA_NA, IA_PD) IA_NA /128
IA_PD /56
WAN GUA, mask, DHCPv6 Advertise (NA /128, PD /56) DNS6
GW
DHCPv6 Request/Reply
SLAAC
/64 prefix + Int_ID
RA RA with M=0, O=1,
Prefix, IsRouter=1
DHCPv6 Inform
DHCPv6 Reply (DNS6)
LAN GUA, mask, GW <- ND
DNS6 <- DHCPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
- 26. • В PPPoE объединить разные AF в одну сессию просто, т.к.
есть понятие интерфейса на уровне РРР
• В IPoE подобное понятие абонентского интерфейса может
быть ассоциировано с VLAN, в таком случае сеть доступа
должна быть построена согласно модели 1:1 VLAN (VLAN per
subscriber/CPE)
• В случае модели N:1 VLAN для IPoE единственным общим
идентификатором по ассоциации пакетов разных AF может
быть source MAC адрес абонента/CPE.
• Это означает, что при любой модели доступа (1:1 или N:1)
Dual Stack IPoE абонент с точки зрения BNG должен всегда
быть L2-connected.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
- 27. Bridged CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON
Link Local
(Int_ID)
RA with M=1, O=1,
ND Router Advertisement IsRouter=1
GUA must be MAC
taken from dhcpv6 Or Line-Id
DHCPv6 (IA_NA) Solicit RADIUS
Access-Request
RADIUS Framed-IP-Address
Access-Accept Stateful-IPv6-Address
IA_NA /128
DHCPv6 Advertise DNS6
DHCPv6 Request
DHCPv6 Reply (IA_NA, DNS6)
GUA and DNS6 <- DHCPv6
Mask, GW <- ND
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
- 28. Routed CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON
Link Local
(Int_ID) RA with M=1, O=1,
ND Router Advertisement IsRouter=1
WAN GUA must be
taken from dhcpv6
Link Local MAC
Or Line-Id
(Int_ID)
RS RADIUS
DHCPv6 Solicit (IA_NA, IA_PD) Access-Request
RADIUS Framed-IP-Address
Access-Accept Stateful-IPv6-Address
Delegated-IPv6-Prefix
DHCPv6 Advertise (NA /128, PD /56)
IA_NA /128
DHCPv6 Request IA_PD /56
DNS6
WAN GUA, mask, GW DHCPv6 Reply
RA RA with M=0, O=1,
Prefix, IsRouter=1
SLAAC
/64 prefix + Int_ID
DHCPv6 Inform
DHCPv6 Reply (DNS6)
LAN GUA, mask, GW <- ND
DNS6 <- DHCPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
- 29. • PPPoE and IPoE DHCPv6 Server
DHCPv6 Proxy
• v4/v6 Dual Stack
DHCPv6 RADIUS proxy
Single subscriber session
NA and PD
Single authentication
Single accounting instance • Full feature support (QoS, ACL,
Aggregated and separate counters uRPF, …)
• v6 Subscriber Address Assignment • Common VRF for both AFs
methods
V4
Home Subscriber Session CGN V4
NAT44 Internet
V4/V6 Dual Stack
Subscriber
V6
V6 Internet
Subscriber Session
© 2011 Cisco and/or its affiliates. All rights reserved.
AF: Address Family PD: Prefix Delegation Cisco Confidential 29
NA: Non Temporary Address
- 30. DS Client AAA
Аутентификация происходит один
раз для обоих address families
AF1 bring up starts инициируется первой AF1
Access Request
Сообщение accounting start
Access Accept посылается один раз после
AF1 bring up completes
установления первой AF1
IP address in AF1 assigned to client Содержит информацию об адресе
Accounting Start
AF1 framed-address
установленной AF1
Периодические interim accounting
Accounting Interim (Periodic) сообщения содержат статистику по
AF2 bring up starts and AF1 packet/byte count populated установленной AF1
completes
Triggered interim accounting
IP address in AF2 assigned to client
Accounting Interim (Triggered) посылается в момент инициализации
AF1 and AF2 framed addresses второй AF2
AF1 packet/byte count Содержит информацию об адресах обоих
AF
Accounting Interim (Periodic) Периодические interim accounting
сообщения содержат статистику по
AF1 and AF2 packet/byte count
обоим AF
Для каждой AF и агрегированную
Partial call flow. Interaction with other servers such as DHCP are omitted статистику
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
- 31. Задержанный Accounting Start
DS Client AAA
AF1 bring up starts
Access Request
Access Accept
AF1 bring up completes
IP address in AF1 assigned to client
Accounting Start
опционально может быть
Accounting Start
задержан на
AF2 bring up starts and delayed определенное время для
completes
IP address in AF2 assigned to client
консолидации
Accounting Start информации об обоих AF
AF1 and AF2 framed addresses
в одном сообщении
Accounting Interim (Periodic)
AF1 and AF2 packet/byte count
Partial call flow. Interaction with other servers such as DHCP are omitted
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
- 32. IPv6 client address assignment models
Supported Local Address
Assignment functions
single session
DHCPv6 PD DHCPv6 NA for NA and PD Local DHCPv6
addresses to
Server w/ and w/
same sub
out PD
(stateless (PPPoE only),
stateful)
DHCPv6 PD Link Local
SLAAC
DHCPv6 proxy
w/ and w/out PD
DHCP
DHCPv6 NA
DHCPv6
SLAAC + Stateless DHCPv6 (PPPoE)
RADIUS proxy
AAA w/ and w/out PD
SLAAC
SLAAC + Stateless DHCPv6 (IPoE)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
- 33. IPv6 для IPoE доступа
1:1 VLAN сценарий
Узел доступа BNG
Абонент 1
1:1 VLANs
Абонент 2
802.1Q
• 1:1 VLAN модель похожа на PPPoE
• От узла доступа не требуется поддержки функционала IPv6
• Аутентификация на BNG/ААА выполняется по VLAN-tag или double
tag
• Использование QinQ на уровне доступа/агрегации
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
- 34. IPv6 для IPoE доступа
N:1 VLAN сценарий
BNG
Узел доступа
Абонент 1
N:1 VLAN
Абонент 2
802.1Q
• MAC адрес – это единственный ключ для ассоциации двух AF с одной сессией
• Аутентификация может быть инициирована обеими AF, для IPv4 – есть хорошо
известные options 82, для IPv6 существуют аналоги, в DHCPv6 – это опции 18
(interface-ID) и 37 (agent-ID).
• Устройство доступа должно обладать функциональностью LDRA (Lightweight
DHCPv6 Relay Agent), инжектируя опции 18 и 37
• При инициализации второй AF, BNG будет сравнивать MAC-адрес источника
запроса, ассоциируя обе AF с одной сессией, при этом повторной авторизации
не происходит.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34