隧道技术-高级计算机网络.ppt

1、隧道技术,基本原理 网状隧道机制 主机间隧道机制 星形隧道机制 两次翻译和隧道技术 隧道机制总结,隧道技术基本原理,隧道技术是通过对报文的封装/解封装，使得两个同构网络能在一个异构网络的两边桥接起来，实现相互通信。 汽车过江的例子： A，B两地之间隔江相望，江面没有桥梁设施，在A地有一辆汽车需要到B地去，江面上有大型轮渡，A地的汽车要过江就可以把车开上轮渡，由轮渡载它过江然后在开下轮渡从而到达B地。 A和B就相当于两个同构的网络，AB之间的江就相当于一个异构网络，通过把汽车装载在轮船上（封装） 运过江然后把汽车卸下轮船（解封装）从而实现了A和B的汽车互通。,隧道技术基本原理,Host1,Hos

2、t2,R1,R2,IPv6地址,标准格式 将128位地址按16位划分为8段，每段用冒号隔开。每段是16位表示为一 个4位的十六进制数，十六进制不区分大小写。 假设一个128位的二进制IPv6地址为： 0010 0000 1000 0010 0001 0000 1000 0100 1000 0100 0100 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 0010 0000 1011 1000 0101 0000 将每一段转化为一个4位的十六进制数并用冒号隔开： 2082：1084：8440：

3、0000：0000：0000：0020：B850 压缩格式 标准格式中包含了大量的“0”，甚至成段的全为“0”。为了简化输入可将整段“0”压缩为一个。上述地址可简化为： 2082：1084：8440：0：0：0:20: B850 当地址中存在一段或多段连续为0时，为了缩短地址长度，可用“：”（两个冒号）表示，但是一个IPv6地址中只允许出现一个“：”，上述地址可进一步简化为： 2082：1084：8440：20：B850,IPv6地址与IPv4地址对比,隧道技术,基本原理 网状隧道机制 主机间隧道机制 星形隧道机制 两次翻译和隧道技术 隧道机制总结,网状隧道机制,6to4隧道机制 6to4隧道

4、机制用于解决IPv6孤岛穿越IPv4网络实现相互通信，以及IPv6孤岛穿越IPv4网络与IPv6网络相互通信。6to4将IPv6子网的地址与6to4路由器的IPv4地址耦合：IPv6子网的地址使用48位的固定前缀（2002：846d：010a：/48），其中嵌套32位IPv4地址为本子网链接6to4路由器IPv4地址，这样两个IPv6孤岛通信时6to4路由器需要对数据包进行封装所需的目的地址就可以从IPv6的目的地址中提取出来。,网状隧道机制,IPv6子网与IPv6互联网进行通信时要在6to4路由器和6to4中继之间建立隧道，在这种情况下，6to4路由器就要提前学习到中继的IPv4地址，用来作

5、为封装的目的地址。同时6to4中继需要向每一个IPv6孤岛宣告本地前缀2002：IPv4ADDR：/48。,每一个6to4中继都需将IPv6客户网所有的/48前缀宣告到全球IPv6 RIB和FIB。全球的RIB和FIB就需要承受大规模这样的/48的前缀，因此6to4并不能成为一个可持续发展的网络解决方案。,网状隧道机制,网状软线 网状软线是一种网状穿越场景下由路由器到路由器的隧道机制，它应用的场景是I-IP（Internal IP）主干网下E-IP(External IP)客户网间的互联。 网状软线保持了IPv4和IPv6编址的独立性。通过扩展MP-BGP协议实现客户网E-IP路由信息在I-I

6、P主干网边路由器AFBR间的传播。网状软线机制中AFBR需要维护映射关系。,net1,net2,net3,net4,AFBR3,AFBR2,AFBR1,AFBR4,隧道技术,基本原理 网状隧道机制 主机间隧道机制 星形隧道机制 两次翻译和隧道技术 隧道机制总结,主机间隧道机制,6over4机制 主要应用于IPv4网络中的独立的支持IPv6的主机与IPv6互联互通。其主要思想是利用IPV4组播在支持IPv6的主机之间建立虚拟“局域网”。也就是一条IPv6 over IPv4隧道。由于6over4要求主机和网络基础设施都需要支持组播，还有很复杂的故障模式（数据层面上就是一个节点可能收到并非发给自己

7、的数据包），除此之外还存在攻击ND协议的安全问题，基于这些原因，6over4并没有大规模应用。 ISATAP机制 ISATAP是另外一种IPv6端用户穿越IPv4网络的隧道机制。它将IPv4网络看作一个非广播的点到多点的链路。一个人ISATAP主机使用IPv6本地链路地址，其前缀是fe80:5efe/96,后接主机32位IPv4地址。当封装IPv6数据包时，源和目的IPv4地址可以直接从IPv6地址中提取出来。ISATAP的优点在于数据层面是无状态的，但作为星形隧道机制时控制层面的复杂度仍然很高。而且存在和6over4相似的安全问题。,隧道技术,基本原理 网状隧道机制 主机间隧道机制 星形隧道

8、机制 两次翻译和隧道技术 隧道机制总结,星形隧道机制,星形软线机制 星形软线采用L2TP-over-UDP-over-IPv4/IPv6的隧道。解决IPv4/IPv6域内的主机或家庭网络通过IPv4与IPv6边界的汇集节点访问IPv6/IPv4互联网的问题，适用于IPv4-over-IPv6和IPv6-over-IPv4两种场景。这种方案在隧道内层使用L2TP隧道虚拟出数据链路层的环境，在二层环境上形成点到点的IP层链接，包括获取IP地址。星形软线的数据层面需要维护的映射表是每用户级的。,星形隧道机制,星形IPv6-over-IPv4场景下的过渡机制 星形网络场景下的一个IP-IP的解决方法是

9、6RD。6RD技术将6to4隧道应用到星形IPv6-over-IPv4场景下，使得6to4隧道的一端集中为IPv4与IPv6边界路由器6RDBR，另一端则为大量分散的家庭网络CPE设备或主机。称为6RDCE。基于6to4，6RD的封装是无状态的，BR无需记录地址映射关系6RD为6to4技术进行扩展，用ISP实际可变前缀取代2002：/16的固定前缀，即CE侧的IPv6网络或主机使用NSP：CE_IPv4_addr:/的前缀；而在BR的IPv6侧ISP前缀的 路由发布到全网中。,CE,BR,星形隧道机制,星形IPv4-over-IPv6场景下的过渡机制 DS-lite是结合IPv4 in IPv

10、6隧道和改进版的IPv4网络地址转换（NAT）（即以tunnel-id/IPv6地址为NAT表索引）技术，由地址族过渡路由器单元（AFTR）设备和B4基本桥接宽带设备（常为家庭网关或用户终端）协作完成IPv4和IPv6业务承载。 Lightweight 4over6 Lightweight 4over6是对DS-lite技术的一种改进方案，是轻量级的IPv4-over-IPv6技术。,星形隧道机制,BR设备为支持DS-lite的路由型网关：对内开启动态主机配置协议（DHCP）v4系统功能，为内部终端分配私有IPv4地址（若B4为软终端，则固化私有IPv4地址）；对外根据点对点协议（PPP）发起

11、向AFTR请求，AFTR通过远程用户拨号认证系统（RADIUS）认证后，利用DHCPv6系统为其分配IPv6地址，B4发起建立至AFTR的IPv4 in IPv6隧道。用户访问IPv4业务时，将通过家庭网关将IPv4流量封装到IPv6隧道中，传送至网络侧的AFTR设备进行解封装和NAT，实现业务访问；用户访问IPv6业务时，则直接通过Native IPv6网络实现。,星形隧道机制,Lightweight 4over6 Lightweight 4over6是对DS-lite技术的一种改进方案，是轻量级的IPv4-over-IPv6技术。Lightweight 4over6(以下简称LAFT6)是

12、结合了有状态和无状态的优点，充分利用CPE的NAT44功能，将AFTR的集中NAT44下放到CPE上执行，增加CPE的公网IPv4地址和端口的分配及管理机制。LwAFTR不在进行基于流的映射信息管理，而进行基于用户的映射信息管理。,隧道技术,基本原理 网状隧道机制 主机间隧道机制 星形隧道机制 两次翻译和隧道技术 隧道机制总结,两次翻译和隧道技术,理论上讲IPvY-IPvX-IPvY穿越场景下，可以通过在入口隧道端点处做一次IPvY-IPvX翻译，在出口处做一次IPvX-IPvY翻译，然而这种方式IPv6-IPv4-IPv6场景下并不可行。尽管第一次翻译时可以将IPv6地址转换成IPv4地址，

13、但是在第二次翻译的时候，将32位的IPv4地址恢复成128位的IPv6地址是不可能的。 隧道保留原始数据包保持了内部IPv4的透明性，而翻译是做不到的，由于IPv4和IPv6协议的差异，翻译技术并不能保留原始协议头的所有信息，大部分字段都被保留了，而有一部分会丢失。此外两次翻译要比隧道暴露更多内部IPv4的地址信息。,隧道技术,基本原理 网状隧道机制 主机间隧道机制 星形隧道机制 两次翻译和隧道技术 隧道机制总结,隧道机制总结,我国过渡技术的研究进展,清华大学针对IPv6过渡中存在的根本问题和现有技术方案的不足，在IPv6过渡翻译技术方面首次提出了IVI：无状态IPv4/IPv6翻译技术，参与

14、IETF Behave和V6OPS工作组的工作，已经提交了12项RFC草案，其中五项已经正式发布，在IPv6过渡隧道技术方面，首次提出了IPv4-over-IPv6 网状体系结构过渡技术，推动IETF成立了专门工作组Softwire,已提交7项标准草案，其中三项正式发布，并且在100所学校的校园网进行了实现。 中国电信针对可运营的过渡部署需求，完善相关NAT44，DS-Lite和双栈等技术的开发与部署，实现IPv4资源与IPv6网络的互通，与清华大学合作研究LAFT 4over6，现已经成为IETF主流的新型过渡技术之一。中国电信针对内容提供商升级缓慢的现状，自主研发了面向ICP网站的IPv6平滑迁移平台Smart6。Smart6利用协议翻译技术将IPv6的访问请求报文在IDC入口处转换成IPv4报文，从而使IPv6用户请求以IPv4的形式去访问IPv4内容资源。,我国过渡技术的研究进展,中国移动倡导把IP流量向IPv6牵引的理念，提出了PNAT（Prefix base NAT）过渡