NGI用戶接入及管理需求分析和部署策略

　　基于IPv6協(xié)議構(gòu)建的NGI網(wǎng)絡(luò)，在骨干網(wǎng)層面的實(shí)施方案比較成熟，相對來說也較容易實(shí)現(xiàn)。國家已經(jīng)通過相關(guān)部門提供資金正在進(jìn)行CNGI網(wǎng)絡(luò)建設(shè)。

　　在骨干網(wǎng)絡(luò)建成后，最緊迫的需求則來自于基于IPv6的用戶駐地網(wǎng)CPN建設(shè)以及提供CPN用戶到NGI骨干網(wǎng)絡(luò)的接入。實(shí)現(xiàn)了IPv6用戶端到端連接后才可以開展各種業(yè)務(wù)和應(yīng)用，用戶接入和網(wǎng)上應(yīng)用才是促使網(wǎng)絡(luò)演進(jìn)的根本動力，是IPv6產(chǎn)業(yè)順利發(fā)展的基本保證。因此NGI網(wǎng)絡(luò)用戶接入及管理技術(shù)顯得越來越重要，成為IPv6產(chǎn)業(yè)鏈中很關(guān)鍵的一個(gè)環(huán)節(jié)。

　　一、運(yùn)營商對用戶接入及用戶管理方面的要求

　　對于網(wǎng)絡(luò)運(yùn)營商來說，針對采用ADSL/LAN方式接入NGI的用戶，可以從以下幾個(gè)方面提出對用戶接入和管理的要求。

　　1.在CPE路由器和BRAS設(shè)備之間采用功能完善且符合標(biāo)準(zhǔn)的認(rèn)證方式

　　以當(dāng)前主要應(yīng)用于IPv4網(wǎng)絡(luò)上的PPPoE認(rèn)證方式為例，PPPoE配合Radius可以實(shí)現(xiàn)對用戶接入的完善管理和控制，包括用戶賬號管理、上網(wǎng)時(shí)長統(tǒng)計(jì)、流量采集、流向分析等功能。由于用戶的所有通信都必須經(jīng)過運(yùn)營商的BRAS設(shè)備，因此可以很好地對用戶上網(wǎng)行為進(jìn)行跟蹤、分析和控制，必要情況下可以進(jìn)行追查；而同時(shí)，NGI也是提供面向用戶、面向業(yè)務(wù)的QoS服務(wù)，采用PPPoE方式則可以對每個(gè)用戶進(jìn)行很好地隔離，并在BRAS設(shè)備上實(shí)現(xiàn)對用戶和業(yè)務(wù)的區(qū)分、標(biāo)記及策略實(shí)施，很好地實(shí)現(xiàn)NGI網(wǎng)絡(luò)用戶接入和管理。此外，PPPoE協(xié)議中的IPv6CP可以實(shí)現(xiàn)CPE和BRAS之間的本地鏈路地址無狀態(tài)自動配置，為實(shí)現(xiàn)CPN網(wǎng)段可達(dá)提供下一跳地址。因此在IPv6業(yè)務(wù)推廣初期，PPPoE是一種成熟可用的接入、認(rèn)證和管理技術(shù)。

　　PPPoE認(rèn)證的缺點(diǎn)是不利于開展組播業(yè)務(wù)。在BRAS上需要對所有組播組成員進(jìn)行多個(gè)單播媒體流復(fù)制，對BRAS性能要求很高，增加成本。不過在IPv6領(lǐng)域這個(gè)制約暫時(shí)影響不大，首先是目前絕大多數(shù)路由器尚不支持IPv6組播，無法開展組播業(yè)務(wù)，當(dāng)IPv6組播技術(shù)成熟后，芯片技術(shù)也會相應(yīng)發(fā)展，BRAS處理能力會有所提高，復(fù)制組播流的問題可一定程度緩解。另外，現(xiàn)在的趨勢也促使廠家提出了其它解決方案，例如將組播流進(jìn)行旁路，不經(jīng)BRAS，或者通過DSLAM進(jìn)行組播復(fù)制，從而在根本上避免了PPP方式下開展組播業(yè)務(wù)對BRAS性能帶來的影響。

　　2.BRAS需要具備雙棧接入能力，并同時(shí)提供給用戶雙棧接入

　　從IPv4過渡到IPv6一定是個(gè)漸進(jìn)過程，用戶需要具備同時(shí)接入IPv4和IPv6網(wǎng)絡(luò)的能力，在不中斷IPv4網(wǎng)絡(luò)訪問的前提下逐漸培養(yǎng)用戶使用IPv6業(yè)務(wù)的習(xí)慣。此外，目前IPv6環(huán)境下也無法完全脫離IPv4，如BRAS到Radius服務(wù)器之間采用經(jīng)過擴(kuò)展的基于IPv4的Radius協(xié)議，用戶端的DNS地址解析過程也需要通過IPv4承載，而且截止到目前，SNMP協(xié)議也是基于IPv4傳送的。

　　關(guān)于雙棧接入的另一個(gè)重要需求是最好支持L2TP隧道方式。此時(shí)靠近用戶側(cè)的第一個(gè)BRAS無需支持IPv6，只需支持IPv4L2TP的LAC（L2TPAccessconcentrator）功能，遠(yuǎn)程連接到一臺支持雙棧、被配置為IPv4 LNS（L2TP Network server）的BRAS上，這樣，用戶可以通過L2TP方式接入IPv6網(wǎng)絡(luò)。此方式非常適合IPv6推廣初期用戶不多且駐地分散的情況。在極限情況下，理論上每個(gè)省甚至全國只需在網(wǎng)絡(luò)核心位置配置一臺雙棧 BRAS，配置為IPv4 L2TP LNS，其他所有分散在各地的BRAS配置為IPv4 L2TP LAC，即可實(shí)現(xiàn)全國范圍內(nèi)有IPv6應(yīng)用需求的用戶接入NGI網(wǎng)絡(luò)。L2TP隧道接入方式見圖1。


圖1L2TP隧道方式接入

　　3.在BRAS設(shè)備上要求采用Radius擴(kuò)展屬性實(shí)現(xiàn)用戶的AAA功能

　　作為Radius客戶機(jī)，BRAS接收到用戶名和口令信息后，將信息經(jīng)MD5加密以UDP協(xié)議傳輸?shù)絉adius服務(wù)器進(jìn)行認(rèn)證授權(quán)，通過AccessAccept消息允許合法用戶接入網(wǎng)絡(luò)，并發(fā)送Accounting Start計(jì)費(fèi)信息。除此之外，在IPv6網(wǎng)絡(luò)環(huán)境下，Radius擴(kuò)展屬性必須支持IPv6地址分配功能，可為CPN分配地址前綴、缺省網(wǎng)關(guān)以及DNS等信息，并在BRAS上動態(tài)生成對應(yīng)每用戶前綴的路由表項(xiàng)。

　　通過Radius服務(wù)器統(tǒng)一進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)利于運(yùn)營商建設(shè)統(tǒng)一的后臺管理系統(tǒng)，提供與運(yùn)營支撐系統(tǒng)開放的接口，避免二次開發(fā)，降低運(yùn)維成本。

　　4.優(yōu)選采用前綴代理方式為個(gè)人家庭網(wǎng)絡(luò)動態(tài)分配地址前綴

　　采用動態(tài)分配前綴地址給CPN用戶的方案，設(shè)備需要符合相關(guān)協(xié)議和標(biāo)準(zhǔn)（RFC3769）。作為Requestingrouter的CPE路由器可向作為Delegatingrouter的BRAS動態(tài)協(xié)商前綴、缺省網(wǎng)關(guān)、DNS等信息，通過前綴代理向CPN分配一個(gè)大于等于/64的網(wǎng)段。動態(tài)分配地址前綴的做法來自于IPv4網(wǎng)絡(luò)的運(yùn)營經(jīng)驗(yàn)，主要出于降低運(yùn)維成本考慮。

　　5.現(xiàn)階段優(yōu)選采用鄰居發(fā)現(xiàn)（NeighborDiscovery）方式為CPN內(nèi)網(wǎng)終端主機(jī)分配接口地址（無狀態(tài)地址自動配置）

　　在CPE路由器內(nèi)側(cè)的用戶駐地網(wǎng)方面，與傳統(tǒng)IPv4的DHCP功能不同，目前對CPN內(nèi)部的IPv6終端更多地是采用鄰居發(fā)現(xiàn)方式實(shí)現(xiàn)無狀態(tài)地址自動配置。假設(shè)內(nèi)部組建一個(gè)/64網(wǎng)絡(luò)，家庭網(wǎng)絡(luò)將擁有64比特的接口ID，可以擁有多達(dá)264個(gè)IP地址或網(wǎng)絡(luò)設(shè)備，即使用戶更換了ISP導(dǎo)致前綴改變，接口標(biāo)識（InterfaceID）依然維持不變。CPN網(wǎng)絡(luò)設(shè)備之間繼續(xù)通過Neighborsolicitation和Neighboradvertisement相互感知對方的存在并獲得對方IP地址與MAC地址的對應(yīng)關(guān)系，類似于IPv4環(huán)境下的地址解析協(xié)議（ARP）。

　　有些公司對此有不同看法，在思科的“LargeScaleDeploymentSuggested solution”技術(shù)白皮書中他們建議沿襲IPv4 CPN模式，此時(shí)CPE設(shè)備應(yīng)起到承上啟下的作用，即DHCP Client Upstream和DHCP Server Downstream。上行方向可從運(yùn)營商獲得動態(tài)配置信息（前綴代理機(jī)制），下行方向應(yīng)為終端實(shí)現(xiàn)動態(tài)配置(DHCPv6機(jī)制)，還需要包括DHCP中繼/DHCP 代理、DNS 中繼等功能。采用DHCP有狀態(tài)地址配置的優(yōu)勢在于可為終端設(shè)備提供更多的配置信息，如用戶對地址有特殊要求，為了安全和隱私不愿通過EUI-64方式將MAC地址作為終端的Interface ID，或者用戶希望通過DHCPv6實(shí)現(xiàn)與DNS的動態(tài)關(guān)聯(lián)。

　　綜合對比鄰居發(fā)現(xiàn)和DHCPv6，目前的實(shí)現(xiàn)以鄰居發(fā)現(xiàn)方式居多。最新版的Windows2003還沒有提供對DHCPv6客戶端軟件的支持，市場上也沒有成熟的DHCPv6服務(wù)器端軟件，許多支持IPv6的CPE設(shè)備在現(xiàn)有軟件版本下無法提供對內(nèi)網(wǎng)側(cè)接口DHCPv6服務(wù)器進(jìn)程的支持。相比較而言，鄰居發(fā)現(xiàn)方式采用ICMPv6協(xié)議，符合現(xiàn)有標(biāo)準(zhǔn)，因此是現(xiàn)階段推薦的方式。需要說明的是，目前鄰居發(fā)現(xiàn)只能提供給終端用戶接口地址、缺省網(wǎng)關(guān)地址（路由器內(nèi)側(cè)接口的本地鏈路地址）等信息，用戶端的DNS仍然需要靜態(tài)配置。

　　6.運(yùn)營商需要具備對用戶進(jìn)行隔離、賬號/端口綁定的能力

　　參照IPv4運(yùn)營模式，在BRAS上需要具備對每CPN用戶的隔離，實(shí)現(xiàn)端口賬號綁定，避免用戶賬號的盜用和濫用，實(shí)現(xiàn)賬號的唯一性�？刹捎玫募夹g(shù)方式有多種，如現(xiàn)有IPv4網(wǎng)絡(luò)環(huán)境下的PPPoE+、VBAS、DHCPOption82、VLANStacking、PUPV等，建議采用每用戶每VLAN方式（PUPV）。在NGI CPN用戶較多時(shí)，要求BRAS的以太接口具備VLAN Stacking功能。

　　7.具備針對用戶、業(yè)務(wù)、應(yīng)用提供不同QoS的能力

　　IPv6業(yè)務(wù)開展中用戶通過CPE路由器構(gòu)建家庭網(wǎng)絡(luò)，實(shí)現(xiàn)數(shù)據(jù)、語音、視頻等各種形式通信，即我們現(xiàn)在所說的三網(wǎng)合一（Tripleplay）業(yè)務(wù)。不同業(yè)務(wù)和應(yīng)用對網(wǎng)絡(luò)性能指標(biāo)要求不一樣，數(shù)據(jù)業(yè)務(wù)的E-Mail、FTP以及Web瀏覽對網(wǎng)絡(luò)性能的要求低于組播流媒體，更低于即時(shí)交互的語音應(yīng)用，這就要求運(yùn)營商提供不同的QoS機(jī)制，在網(wǎng)絡(luò)擁塞情況下，保障各種業(yè)務(wù)能夠順利開展并且性能可被用戶接受。初期可以通過設(shè)備的隊(duì)列調(diào)度、速率限制、流量整形來實(shí)現(xiàn)，理論上更完善的解決方案則是層次化QoS，針對每個(gè)前綴地址、每個(gè)終端接口地址、每個(gè)相同地址中不同連接端口號進(jìn)行不同的隊(duì)列調(diào)度和帶寬分配，提供針對不同用戶、業(yè)務(wù)和應(yīng)用的不同接入帶寬、時(shí)延、丟包等特性,或者隨著標(biāo)準(zhǔn)的成熟采用COPS協(xié)議，支持不同用戶對應(yīng)不同Profile，用戶可動態(tài)申請網(wǎng)絡(luò)帶寬，配合CAC機(jī)制，實(shí)現(xiàn)完善的端到端QoS保障。

　　8.安全方面

　　要求BRAS可對每個(gè)PPP會話上的TCP/UDP連接數(shù)進(jìn)行限制，防止用戶私自經(jīng)營網(wǎng)吧等非法活動，或者避免用戶受病毒感染過量建立會話導(dǎo)致對網(wǎng)絡(luò)資源的占用。另外也最好具備一定的uRPF功能。

　　二、終端用戶對接入及管理方面的需求

　　在IPv6環(huán)境下，終端用戶對用戶接入和管理有著不同的需求。

　　1.CPE路由器作為用戶網(wǎng)絡(luò)和運(yùn)營商的分界點(diǎn)，在接入層面，用戶上網(wǎng)的認(rèn)證、授權(quán)和控制，都需要在CPE的上行方向?qū)崿F(xiàn)。

　　(1)IPv6商業(yè)模式將與傳統(tǒng)的IPv4不同，用戶將實(shí)現(xiàn)永遠(yuǎn)在線的連接方式，而且用戶希望盡量采用固定的地址前綴。在此模式下，CPN網(wǎng)絡(luò)中的所有IPv6終端要求在任何時(shí)候都是IP可達(dá)的，可以實(shí)現(xiàn)任何網(wǎng)段、任何終端之間的實(shí)時(shí)通信和連接。

　　(2)用戶對于接入計(jì)費(fèi)的要求，可能更多地希望采取包月方式，運(yùn)營商根據(jù)前綴大小、接入帶寬高低等參數(shù)按月收取用戶的NGI網(wǎng)絡(luò)接入費(fèi)用，可以與用戶的固定電話號碼綁定，實(shí)現(xiàn)統(tǒng)一收費(fèi)；用戶在NGI網(wǎng)絡(luò)上享用的其它應(yīng)用和增值服務(wù)，將依靠業(yè)務(wù)層實(shí)現(xiàn)計(jì)費(fèi)，可以與用戶的包月賬號綁定，作為包月費(fèi)用之外的額外費(fèi)用，與包月費(fèi)用同時(shí)收��；NGI接入主要作為多種可盈利業(yè)務(wù)的承載平臺，接入費(fèi)用只是其中一部分（類似用戶的基本月租費(fèi)）。

　　(3)對于以個(gè)人用戶為主的家庭網(wǎng)絡(luò)，應(yīng)該獲得/64前綴，對于企業(yè)用戶，以分配/48前綴為宜。

　　(4)用戶需要具備同時(shí)接入IPv4和IPv6網(wǎng)絡(luò)的能力，對于IPv4網(wǎng)絡(luò)采用目前最成熟的方式接入，用戶內(nèi)網(wǎng)采用私有地址，經(jīng)NAT實(shí)現(xiàn)與互聯(lián)網(wǎng)連接。

　　(5)CPE路由器最好具備一定的安全功能和防攻擊能力，如擴(kuò)展ACL、ICMP速率限制、TCP半連接數(shù)量限制等。

　　2.對于單個(gè)的IPv6終端，可以是主機(jī)、家電、汽車、電話，終端設(shè)備的接入管理主要針對CPN網(wǎng)關(guān)設(shè)備而言，運(yùn)營商一般不需要參與，主要是在業(yè)務(wù)層面負(fù)責(zé)管理。

　　(1)主機(jī)終端應(yīng)可通過多種接入介質(zhì)實(shí)現(xiàn)網(wǎng)絡(luò)連接，如WLAN方式。

　　(2)非主機(jī)終端接入和管理需要采取更靈活的配置方式，實(shí)現(xiàn)智能的認(rèn)證授權(quán)，減少人工參與。

　　(3)非主機(jī)終端需內(nèi)嵌完整IPv6協(xié)議棧，可基于Web進(jìn)行遠(yuǎn)程控制。

　　三、NGI網(wǎng)絡(luò)用戶接入及管理的部署策略建議

　　目前IPv6用戶接入和管理發(fā)展現(xiàn)狀與IPv4相比還有較大差距。新技術(shù)的引入需要逐步進(jìn)行，并在實(shí)踐中不斷成熟和完善。雖然存在不足，但運(yùn)營商從ADSL和LAN接入著手部署IPv6網(wǎng)絡(luò)商業(yè)應(yīng)用仍然值得嘗試，尤其適合于已經(jīng)通過ADSL/LAN方式接入互聯(lián)網(wǎng)的個(gè)人用戶和中小企業(yè)�；�于對IPv6ADSL/LAN接入技術(shù)試驗(yàn)和研究所獲得的成果，我們可以制定出切實(shí)可行的方式，部署策略建議如下。

　　1.現(xiàn)階段部署IPv6商業(yè)應(yīng)用，必須具備雙棧接入的能力，使用戶在接入IPv4網(wǎng)絡(luò)的前提下嘗試使用IPv6，在IPv6應(yīng)用逐漸增多的前提下，培養(yǎng)用戶對IPv6的興趣和使用習(xí)慣，從而達(dá)到培育市場的目的。

　　2.當(dāng)前的主要目的是普及和推廣IPv6應(yīng)用，使之逐漸被用戶所接受�，F(xiàn)階段不宜對IPv6提出過多技術(shù)、性能、功能上的要求，以免在技術(shù)推廣初期就因缺陷過多導(dǎo)致IPv6夭折。

　　3.用戶端盡量采用CPE路由器作為用戶家庭網(wǎng)絡(luò)的網(wǎng)關(guān)。

　　(1)路由器基于專有操作系統(tǒng)，并可對網(wǎng)絡(luò)安全進(jìn)行增強(qiáng)配置，具備更強(qiáng)的路由功能、策略實(shí)施功能、QoS功能。運(yùn)營商可通過業(yè)務(wù)打包方式進(jìn)行捆綁銷售，避免單獨(dú)購買價(jià)格過高，增加用戶負(fù)擔(dān)。

　　(2)主機(jī)直接進(jìn)行IPv6PPPoE撥號不成熟，而且與CPE路由器對地址的分配有本質(zhì)區(qū)別。

　　(3)路由器做網(wǎng)關(guān)更符合今后家庭網(wǎng)絡(luò)的發(fā)展方向。個(gè)人用戶通過PC機(jī)作為家庭網(wǎng)絡(luò)網(wǎng)關(guān)，只能提供IPv6基本功能，適合于家庭網(wǎng)絡(luò)尚未普及，只有主機(jī)上網(wǎng)的情況。雖然微軟下一代操作系統(tǒng)“Longhom”也計(jì)劃支持IPv6PPPoE撥號，但是前綴地址、接口地址、DNS地址、缺省網(wǎng)關(guān)地址的上、下行分配方式以及哪臺設(shè)備提供家庭網(wǎng)絡(luò)的網(wǎng)關(guān)設(shè)備、如何實(shí)現(xiàn)網(wǎng)關(guān)功能都還沒有明確，尚沒有相關(guān)標(biāo)準(zhǔn)或草案對這些需求進(jìn)行規(guī)范。

　　4.如果業(yè)務(wù)開展初期用戶量不大，可以相對集中地設(shè)置IPv6BRAS，通過基于IPv4的L2TP隧道方式擴(kuò)展IPv6用戶接入覆蓋范圍，降低設(shè)備投資成本，利于業(yè)務(wù)的滾動發(fā)展。

----《通信世界》