IPv6 в сетях ШПД

IPv6 в сетях ШПД
Денис Михайловский
Системный инженер
Департамент по работе с операторами связи
Март 2013

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 1

•  Развитие IPv6 в сетях ШПД

•  Основы IPv6
•  IPv6 Dual Stack Subscriber


•  Исчерпание пространства IPv4 в условиях роста абонентской
базы


•  Prefixes | Transit AS – соотношение IPv6 к IPv4 по данным APNIC Labs

•  Content – процент ipv6 web сайтов от top 500 сайтов выбранной страны

•  Users – данные Google Research и APNIC Labs
Source: 6lab.cisco.com

•  Сконцентрироваться только на внедрении и адаптации
функционала NAT
•  Начать подготовку к этапу длительного (или постоянного?)
сосуществования двух адресных пространств в ШПД
•  Сейчас настало актуальное время для внедрения IPv6
•  Появилось понимание и практическая готовность индустрии как на
уровне архитектур (TR-177 BBF) так и в реальных доступных сегодня
продуктах и решениях
•  Есть ipv6 контент: Google, YouTube, Yandex, Facebook, VK, World of
Warcraft, …


•  Внедрение IPv6 подразумевает управляемое назначение IPv6
адреса абоненту в сети ШПД
•  Получение и настройка IPv6 адреса на абонентских
устройствах происходит автоматически без участия самого
абонента
•  По факту абоненту нужно выдать два адреса IPv4 и IPv6
(Dual Stack), т.к. далеко не весь контент доступен по IPv6
•  Как следствие, внедрение IPv6 не решает проблемы
исчерпания IPv4, все равно необходимо назначать IPv4
адреса на сессии (можно использовать NAT)
•  А можно ли выдать абоненту только IPv6? (ответ далее)


ipv4
ipv6

•  Если операционная система абонентcкого хоста смогла
автоматически настроить IPv4 и IPv6 стеки, то такой хост
называется Native Dual Stack
•  Каждый стек полностью автономен:
IPv4: address, mask, default GW, DNS
IPv6: address, mask, default GW, DNSv6

•  Использование IPv6 стека хостом определяется возможностью
разрешения FQDN в DNSv6, т.е. при прочих равных условиях
стек IPv6 имеет больший приоритет; откат в IPv4 происходит в
случае невозможности осуществить Quad-A resolve
•  Поддержка только в современных ОС: Windows 7/Vista, Mac
OS X, Linux

ipv4 NAT44

ipv6
ipv4
ipv6

NAT64
ipv6 ipv4

ipv6
NAT64
ipv4
ipv6
ipv6

•  На текущий момент времени отказаться от IPv4 адресации
технически возможно, но плохо реализуемо на практике:
прозрачность работы приложений поверх NAT64 – главная проблема
•  Однако в перспективе NAT64 позволит отказаться от IPv4 адресации
у абонента, когда все устройства абонента научаться поддерживать
IPv6, а также основной и массовый контент будет доступен через
IPv6

2013 2014 2015

ipv4
ipv4 ipv4 NAT
ipv4 NAT
NAT
44
44
44
ipv6 ipv6 ipv6

Время
•  Ежегодный темп роста полосы пропускания и абонентской базы
требует постоянных инвестиций не только в инфраструктуру
ШПД, но и в NAT44
•  Доступность и миграция сервисов в IPv6 не позволяет
разгрузить NAT44 устройства со временем
•  В будущем при сопоставимой доступности контента в IPv6 с
IPv4, необходимо будет полностью перестроить сеть для
перехода в IPv6, при этом инфраструктура NAT44 становится
бесполезной

2013 2014 2015

ipv4 NAT ipv4 NAT ipv4 NAT
ipv4
44 44 44
ipv6 ipv6 ipv6 ipv6

Время

•  Растущая доступность сервисов через IPv6 стек, естественным
образом снижает требования к NAT44 с течением времени
несмотря на общий рост полосы, т.к. все больше и больше
трафика маршрутизируется в IPv6 natively
•  При разумном подходе и планировании сегодня, можно
существенным образом снизить затраты в недалеком будущем,
перестраивая сеть ШПД в IPv6 Only и переиспользуя NAT44
устройства в режиме NAT64


Global Unicast Address (GUA)
001 Routing Prefix Subnet ID Interface ID
48-bit 16-bit 64-bit
45-bit

Link Local (FE80::/64)
1111 1110 10 Zeros Interface ID
10-bit 54-bit 64-bit


MAC address

EUI-64 address

inserting
FF:FE

U/L bit

Modified
EUI-64 address


•  ND (Neighbor Discovery Protocol)
ICMPv6
Stateless Auto Address Configuration (SLAAC)

•  DHCPv6 Stateless
DHCPv6 Informational

•  DHCPv6 Stateful
DHCP NA (Non-temporary Address)
DHCP PD (Prefix Delegation)

•  DNSv6
AAAA записи (или Quad-A)


•  Обмен информационным сообщениями (Echo, Reply )

•  Обмен сообщениями об ошибках (MTU mismatch, Destination
Unreachable, Time Exceed, etc)
•  Функции address resolution и Duplicate Address Detection (DAD)
•  Функции обнаружения маршрутизаторов и других хостов
Router Solicit
Router Advertisement (флаги и опции: M, O, Prefix Information, IsRouter, etc)
Neighbor Solicit
Neighbor Advertisement

•  Stateless Auto Address Configuration (SLAAC)
Считается одним из главных достижений IPv6, клиент может настроить
свой адрес автоматически без вовлечения протоколов работающих по
принципу client/server


•  Два режима работы Stateless или Stateful

•  Stateless – не используется для назначения адреса.
Применяется для получения дополнительных параметров (DNS,
WINS, etc)
•  Stateful – применяется для назначения адресов и получения
дополнительных параметров. Использование разных IA (Identity
Association) со стороны клиента для указания типа адреса
который ему необходим:
IA_TA (temp addr), IA_NA (non-temp addr), IA_PD (delegated prefix)

•  DHCPv6 позволяет клиенту запрашивать и делегировать
префиксы для подключенных к нему хостам
Клиент – RR (Requesting Router)
Маршрутизатор/BNG – DR (Delegating Router)

•  Stateful DHCPv6 не отменят необходимости использовать ND
Некоторые параметры доступны только по ND (например, netmask, option
router, и проч)

•  RA message:
•  Flags:
- M (Managed Address Config)
- O (Other Config)
•  Prefix Information Options:
- Prefix (or complete address)
- Prefix length
- IsRouter flag
- On-link flag
- Adv-Intervals and Lifetimes


•  Что такое Dual Stack Subscriber?

•  Это абонент, который был авторизован для использования
двух стеков IPv6 и IPv4 одновременно
•  Аналогично обычным dual stack интерфейсам в
маршрутизаторах, только процесс ручной конфигурации
заменен процессом аутентификации
•  С точки зрения ААА – такой абонент выглядит как одна
сессия (acct-start, acct-interim, acct-stop), но при этом у
абонента два адреса из разных AF


•  PPP доступ PPP Session
IPv4
Dual-stack IPv6 и IPv4 внутри общей PPP IPv6
сессии; v4 и v6 NCP протоколы работают
независимо друг от друга
Аутентификация не зависит от протокола
NCP, т.к. осуществляется на уровне LCP

VLAN

•  IPoE доступ IPv4 Session
IPv6 Session
Что такое «сессия»?: Вопросы :
L2 Session
-  У абонента есть два адреса IPv4 и IPv6, как IPv4
объединить их в одну сессию? IPv6

-  Что использовать для аутентификации?
(ответы на след. слайдах)


Bridged CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON

PPPoE Username
Or Line-Id
RADIUS
PPP LCP Access-Request

Link Local RADIUS Framed-IP-Address
(Int_ID) Access-Accept Framed-IPv6-Prefix
PPP IPv6CP

ND Router Solicit (optional)

SLAAC
/64 prefix + Int_ID RA with M=0, O=1,
ND Router Advertisement Prefix, IsRouter=1

DHCPv6 Inform
DHCPv6 Reply (DNS6)

GUA, mask, GW <- ND
DNS6 <- DHCPv6


Ethernet, DSL, GPON

PPPoE Username
Or Line-Id
RADIUS

Link Local RADIUS Framed-IP-Address
(Int_ID) Access-Accept Stateful-IPv6-Address
PPP IPv6CP

GUA info must be
taken from dhcpv6 RA with M=1, O=1,
ND Router Advertisement IsRouter=1

DHCPv6 (IA_NA) Solicit
IA_NA /128
DHCPv6 Advertise DNS6

DHCPv6 Request

DHCPv6 Reply (IA_NA, DNS6)

GUA and DNS6 <- DHCPv6
Mask, GW <- ND


Routed CPE Узел доступа BNG Radius AAA DHCPv6
Ethernet, DSL, GPON

PPPoE Username
Or Line-Id
RADIUS

RADIUS Framed-IP-Address
Access-Accept Framed-IPv6-Prefix
Link Local Delegated-IPv6-Prefix
(Int_ID) PPP IPv6CP
ND Router Solicit (optional)
SLAAC RA with M=0, O=1,
/64 prefix + Int_ID ND Router Advertisement Prefix, IsRouter=1

WAN GUA, mask, DHCPv6 Inform
GW
Link Local
(Int_ID)
DHCPv6 Reply (DNS6)

RS
DHCPv6 Solicit (IA_PD)
IA_PD
DHCPv6 Advertise (IA_PD, /56) /56
SLAAC
/64 prefix + Int_ID DHCPv6 Request/Reply

RA RA with M=0, O=1,
Prefix, IsRouter=1
DHCPv6 Inform
DHCPv6 Reply (DNS6)

LAN GUA, mask, GW <- ND
DNS6 <- DHCPv6

Ethernet, DSL, GPON

PPPoE Username
Or Line-Id
RADIUS

Access-Accept Stateful-IPv6-Address
Link Local
(Int_ID)
PPP IPv6CP Delegated-IPv6-Prefix
RA with M=1, O=1,
WAN GUA must be taken ND Router Advertisement IsRouter=1
from dhcpv6

RS
DHCPv6 Solicit (IA_NA, IA_PD) IA_NA /128
IA_PD /56
WAN GUA, mask, DHCPv6 Advertise (NA /128, PD /56) DNS6
GW
DHCPv6 Request/Reply
SLAAC
/64 prefix + Int_ID
Prefix, IsRouter=1
DHCPv6 Inform
DHCPv6 Reply (DNS6)

DNS6 <- DHCPv6


•  В PPPoE объединить разные AF в одну сессию просто, т.к.
есть понятие интерфейса на уровне РРР
•  В IPoE подобное понятие абонентского интерфейса может
быть ассоциировано с VLAN, в таком случае сеть доступа
должна быть построена согласно модели 1:1 VLAN (VLAN per
subscriber/CPE)
•  В случае модели N:1 VLAN для IPoE единственным общим
идентификатором по ассоциации пакетов разных AF может
быть source MAC адрес абонента/CPE.
•  Это означает, что при любой модели доступа (1:1 или N:1)
Dual Stack IPoE абонент с точки зрения BNG должен всегда
быть L2-connected.


Ethernet, DSL, GPON

Link Local
(Int_ID)
RA with M=1, O=1,

GUA must be MAC
taken from dhcpv6 Or Line-Id
DHCPv6 (IA_NA) Solicit RADIUS
Access-Request


IA_NA /128
DHCPv6 Advertise DNS6

DHCPv6 Request

DHCPv6 Reply (IA_NA, DNS6)

GUA and DNS6 <- DHCPv6
Mask, GW <- ND


Ethernet, DSL, GPON

Link Local
(Int_ID) RA with M=1, O=1,

WAN GUA must be
taken from dhcpv6
Link Local MAC
Or Line-Id
(Int_ID)
RS RADIUS
DHCPv6 Solicit (IA_NA, IA_PD) Access-Request
Delegated-IPv6-Prefix
DHCPv6 Advertise (NA /128, PD /56)
IA_NA /128
DHCPv6 Request IA_PD /56
DNS6
WAN GUA, mask, GW DHCPv6 Reply

Prefix, IsRouter=1
SLAAC
/64 prefix + Int_ID

DHCPv6 Inform
DHCPv6 Reply (DNS6)

DNS6 <- DHCPv6


•  PPPoE and IPoE DHCPv6 Server
DHCPv6 Proxy
•  v4/v6 Dual Stack
DHCPv6 RADIUS proxy
Single subscriber session
NA and PD
Single authentication
Single accounting instance •  Full feature support (QoS, ACL,
Aggregated and separate counters uRPF, …)

•  v6 Subscriber Address Assignment •  Common VRF for both AFs
methods

V4
Home Subscriber Session CGN V4
NAT44 Internet
V4/V6 Dual Stack
Subscriber
V6
V6 Internet
Subscriber Session

© 2011 Cisco and/or its affiliates. All rights reserved.
AF: Address Family PD: Prefix Delegation Cisco Confidential 29
NA: Non Temporary Address

DS Client AAA

Аутентификация происходит один
раз для обоих address families
AF1 bring up starts инициируется первой AF1
Access Request
Сообщение accounting start
Access Accept посылается один раз после
AF1 bring up completes
установления первой AF1
IP address in AF1 assigned to client Содержит информацию об адресе
Accounting Start
AF1 framed-address
установленной AF1
Периодические interim accounting
Accounting Interim (Periodic) сообщения содержат статистику по
AF2 bring up starts and AF1 packet/byte count populated установленной AF1
completes
Triggered interim accounting
IP address in AF2 assigned to client
Accounting Interim (Triggered) посылается в момент инициализации
AF1 and AF2 framed addresses второй AF2
AF1 packet/byte count Содержит информацию об адресах обоих
AF
Accounting Interim (Periodic) Периодические interim accounting
сообщения содержат статистику по
AF1 and AF2 packet/byte count
обоим AF
Для каждой AF и агрегированную
Partial call flow. Interaction with other servers such as DHCP are omitted статистику


Задержанный Accounting Start

DS Client AAA

AF1 bring up starts
Access Request
Access Accept
AF1 bring up completes
Accounting Start
опционально может быть
Accounting Start
задержан на
AF2 bring up starts and delayed определенное время для
completes
консолидации
Accounting Start информации об обоих AF
AF1 and AF2 framed addresses
в одном сообщении

Accounting Interim (Periodic)
AF1 and AF2 packet/byte count

Partial call flow. Interaction with other servers such as DHCP are omitted


IPv6 client address assignment models

Supported Local Address
Assignment functions
single session
DHCPv6 PD DHCPv6 NA for NA and PD Local DHCPv6
addresses to
Server w/ and w/
same sub
out PD
(stateless (PPPoE only),
stateful)
DHCPv6 PD Link Local
SLAAC
DHCPv6 proxy
w/ and w/out PD
DHCP
DHCPv6 NA
DHCPv6
SLAAC + Stateless DHCPv6 (PPPoE)
RADIUS proxy
AAA w/ and w/out PD

SLAAC
SLAAC + Stateless DHCPv6 (IPoE)


IPv6 для IPoE доступа
1:1 VLAN сценарий
Узел доступа BNG

Абонент 1

1:1 VLANs
Абонент 2

802.1Q

•  1:1 VLAN модель похожа на PPPoE

•  От узла доступа не требуется поддержки функционала IPv6

•  Аутентификация на BNG/ААА выполняется по VLAN-tag или double
tag
•  Использование QinQ на уровне доступа/агрегации


IPv6 для IPoE доступа
N:1 VLAN сценарий
BNG
Узел доступа

Абонент 1

N:1 VLAN

Абонент 2

802.1Q

•  MAC адрес – это единственный ключ для ассоциации двух AF с одной сессией

•  Аутентификация может быть инициирована обеими AF, для IPv4 – есть хорошо
известные options 82, для IPv6 существуют аналоги, в DHCPv6 – это опции 18
(interface-ID) и 37 (agent-ID).
•  Устройство доступа должно обладать функциональностью LDRA (Lightweight
DHCPv6 Relay Agent), инжектируя опции 18 и 37
•  При инициализации второй AF, BNG будет сравнивать MAC-адрес источника
запроса, ассоциируя обе AF с одной сессией, при этом повторной авторизации
не происходит.


Источник: TR-177-BBF


IPv6 в сетях ШПД

Recommended

Recommended

More Related Content

What's hot

What's hot (7)

More from Cisco Russia

More from Cisco Russia (20)

IPv6 в сетях ШПД