IPv6 в сетях ШПД

Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 1

IPv6 в сетях ШПД

Денис Михайловский Системный инженер

Март 2013

Департамент по работе с операторами связи

© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2

•  Развитие IPv6 в сетях ШПД

•  Основы IPv6

•  IPv6 Dual Stack Subscriber

Cisco Confidential 3 © 2011 Cisco and/or its affiliates. All rights reserved.


•  Исчерпание пространства IPv4 в условиях роста абонентской базы


•  Prefixes | Transit AS – соотношение IPv6 к IPv4 по данным APNIC Labs

•  Content – процент ipv6 web сайтов от top 500 сайтов выбранной страны

•  Users – данные Google Research и APNIC Labs Source: 6lab.cisco.com


•  Сконцентрироваться только на внедрении и адаптации функционала NAT

•  Начать подготовку к этапу длительного (или постоянного?) сосуществования двух адресных пространств в ШПД

•  Сейчас настало актуальное время для внедрения IPv6 •  Появилось понимание и практическая готовность индустрии как на уровне архитектур (TR-177 BBF) так и в реальных доступных сегодня продуктах и решениях

•  Есть ipv6 контент: Google, YouTube, Yandex, Facebook, VK, World of Warcraft, …


•  Внедрение IPv6 подразумевает управляемое назначение IPv6 адреса абоненту в сети ШПД

•  Получение и настройка IPv6 адреса на абонентских устройствах происходит автоматически без участия самого абонента

•  По факту абоненту нужно выдать два адреса IPv4 и IPv6 (Dual Stack), т.к. далеко не весь контент доступен по IPv6

•  Как следствие, внедрение IPv6 не решает проблемы исчерпания IPv4, все равно необходимо назначать IPv4 адреса на сессии (можно использовать NAT)

•  А можно ли выдать абоненту только IPv6? (ответ далее)


•  Если операционная система абонентcкого хоста смогла автоматически настроить IPv4 и IPv6 стеки, то такой хост называется Native Dual Stack

•  Каждый стек полностью автономен: IPv4: address, mask, default GW, DNS IPv6: address, mask, default GW, DNSv6

•  Использование IPv6 стека хостом определяется возможностью разрешения FQDN в DNSv6, т.е. при прочих равных условиях стек IPv6 имеет больший приоритет; откат в IPv4 происходит в случае невозможности осуществить Quad-A resolve

•  Поддержка только в современных ОС: Windows 7/Vista, Mac OS X, Linux

ipv4 ipv6


•  На текущий момент времени отказаться от IPv4 адресации технически возможно, но плохо реализуемо на практике: прозрачность работы приложений поверх NAT64 – главная проблема

•  Однако в перспективе NAT64 позволит отказаться от IPv4 адресации у абонента, когда все устройства абонента научаться поддерживать IPv6, а также основной и массовый контент будет доступен через IPv6

ipv4 ipv6

ipv4 ipv6

ipv6 ipv4 ipv6

ipv6 ipv6

NAT44

NAT64

NAT64 ipv4


•  Ежегодный темп роста полосы пропускания и абонентской базы требует постоянных инвестиций не только в инфраструктуру ШПД, но и в NAT44

•  Доступность и миграция сервисов в IPv6 не позволяет разгрузить NAT44 устройства со временем

•  В будущем при сопоставимой доступности контента в IPv6 с IPv4, необходимо будет полностью перестроить сеть для перехода в IPv6, при этом инфраструктура NAT44 становится бесполезной

ipv4 ipv4 ipv6

NAT 44

ipv4

ipv6

NAT 44

ipv4

ipv6

NAT 44

Время

2013 2014 2015


•  Растущая доступность сервисов через IPv6 стек, естественным образом снижает требования к NAT44 с течением времени несмотря на общий рост полосы, т.к. все больше и больше трафика маршрутизируется в IPv6 natively

•  При разумном подходе и планировании сегодня, можно существенным образом снизить затраты в недалеком будущем, перестраивая сеть ШПД в IPv6 Only и переиспользуя NAT44 устройства в режиме NAT64

ipv4 ipv4

ipv6

NAT 44

ipv4

ipv6

ipv4

ipv6

Время

2013 2014 2015

ipv6 NAT 44

NAT 44



Global Unicast Address (GUA)

001 Routing Prefix Subnet ID Interface ID

48-bit 16-bit 64-bit

Link Local (FE80::/64)

1111 1110 10 Zeros Interface ID

10-bit 54-bit 64-bit

45-bit


MAC address

EUI-64 address

inserting FF:FE

U/L bit

Modified EUI-64 address


•  ND (Neighbor Discovery Protocol) ICMPv6 Stateless Auto Address Configuration (SLAAC)

•  DHCPv6 Stateless DHCPv6 Informational

•  DHCPv6 Stateful DHCP NA (Non-temporary Address) DHCP PD (Prefix Delegation)

•  DNSv6 AAAA записи (или Quad-A)


•  Обмен информационным сообщениями (Echo, Reply )

•  Обмен сообщениями об ошибках (MTU mismatch, Destination Unreachable, Time Exceed, etc)

•  Функции address resolution и Duplicate Address Detection (DAD)

•  Функции обнаружения маршрутизаторов и других хостов Router Solicit Router Advertisement (флаги и опции: M, O, Prefix Information, IsRouter, etc) Neighbor Solicit Neighbor Advertisement

•  Stateless Auto Address Configuration (SLAAC) Считается одним из главных достижений IPv6, клиент может настроить свой адрес автоматически без вовлечения протоколов работающих по принципу client/server


•  Два режима работы Stateless или Stateful

•  Stateless – не используется для назначения адреса. Применяется для получения дополнительных параметров (DNS, WINS, etc)

•  Stateful – применяется для назначения адресов и получения дополнительных параметров. Использование разных IA (Identity Association) со стороны клиента для указания типа адреса который ему необходим:

IA_TA (temp addr), IA_NA (non-temp addr), IA_PD (delegated prefix)

•  DHCPv6 позволяет клиенту запрашивать и делегировать префиксы для подключенных к нему хостам Клиент – RR (Requesting Router) Маршрутизатор/BNG – DR (Delegating Router)

•  Stateful DHCPv6 не отменят необходимости использовать ND Некоторые параметры доступны только по ND (например, netmask, option router, и проч)


•  RA message: •  Flags:

- M (Managed Address Config) - O (Other Config)

•  Prefix Information Options: - Prefix (or complete address) - Prefix length - IsRouter flag - On-link flag - Adv-Intervals and Lifetimes



•  Что такое Dual Stack Subscriber?

•  Это абонент, который был авторизован для использования двух стеков IPv6 и IPv4 одновременно

•  Аналогично обычным dual stack интерфейсам в маршрутизаторах, только процесс ручной конфигурации заменен процессом аутентификации

•  С точки зрения ААА – такой абонент выглядит как одна сессия (acct-start, acct-interim, acct-stop), но при этом у абонента два адреса из разных AF


•  PPP доступ Dual-stack IPv6 и IPv4 внутри общей PPP сессии; v4 и v6 NCP протоколы работают независимо друг от друга Аутентификация не зависит от протокола NCP, т.к. осуществляется на уровне LCP

•  IPoE доступ Что такое «сессия»?: Вопросы : -  У абонента есть два адреса IPv4 и IPv6, как объединить их в одну сессию? -  Что использовать для аутентификации? (ответы на след. слайдах)

PPP Session

IPv4 IPv6

VLAN

IPv6 Session

L2 Session

IPv4 IPv6

IPv4 Session


PPPoE RADIUS

Access-Request

RADIUS Access-Accept

PPP LCP

PPP IPv6CP

Bridged CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON

DHCPv6

ND Router Advertisement

Username Or Line-Id

Framed-IP-Address Framed-IPv6-Prefix

RA with M=0, O=1, Prefix, IsRouter=1

GUA, mask, GW <- ND DNS6 <- DHCPv6

Link Local (Int_ID)

ND Router Solicit (optional)

DHCPv6 Inform

DHCPv6 Reply (DNS6)

SLAAC /64 prefix + Int_ID


PPPoE RADIUS

Access-Request


PPP LCP

PPP IPv6CP


DHCPv6

Username Or Line-Id

Framed-IP-Address Stateful-IPv6-Address

GUA and DNS6 <- DHCPv6 Mask, GW <- ND

Link Local (Int_ID)

DHCPv6 (IA_NA) Solicit

DHCPv6 Request

DHCPv6 Reply (IA_NA, DNS6)

DHCPv6 Advertise IA_NA /128

DNS6

ND Router Advertisement RA with M=1, O=1,

IsRouter=1

GUA info must be taken from dhcpv6


PPPoE RADIUS

Access-Request


PPP LCP

PPP IPv6CP

RA

Routed CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON

DHCPv6

DHCPv6 Solicit (IA_PD)

DHCPv6 Inform

DHCPv6 Reply (DNS6)

ND Router Advertisement

Username Or Line-Id

Framed-IP-Address Framed-IPv6-Prefix Delegated-IPv6-Prefix

RA with M=0, O=1, Prefix, IsRouter=1 SLAAC

/64 prefix + Int_ID



Link Local (Int_ID)

ND Router Solicit (optional)

RS

DHCPv6 Inform

DHCPv6 Reply (DNS6)

DHCPv6 Advertise (IA_PD, /56) DHCPv6 Request/Reply

IA_PD /56

Link Local (Int_ID)

LAN GUA, mask, GW <- ND DNS6 <- DHCPv6

WAN GUA, mask, GW


PPPoE RADIUS

Access-Request


PPP LCP

PPP IPv6CP

RA


DHCPv6

DHCPv6 Solicit (IA_NA, IA_PD)

DHCPv6 Inform

DHCPv6 Reply (DNS6)

Username Or Line-Id

Framed-IP-Address Stateful-IPv6-Address Delegated-IPv6-Prefix

IA_NA /128 IA_PD /56

DNS6

WAN GUA must be taken from dhcpv6



Link Local (Int_ID)

RS

DHCPv6 Advertise (NA /128, PD /56) DHCPv6 Request/Reply


IsRouter=1

WAN GUA, mask, GW



•  В PPPoE объединить разные AF в одну сессию просто, т.к. есть понятие интерфейса на уровне РРР

•  В IPoE подобное понятие абонентского интерфейса может быть ассоциировано с VLAN, в таком случае сеть доступа должна быть построена согласно модели 1:1 VLAN (VLAN per subscriber/CPE)

•  В случае модели N:1 VLAN для IPoE единственным общим идентификатором по ассоциации пакетов разных AF может быть source MAC адрес абонента/CPE.

•  Это означает, что при любой модели доступа (1:1 или N:1) Dual Stack IPoE абонент с точки зрения BNG должен всегда быть L2-connected.


DHCPv6 (IA_NA) Solicit RADIUS Access-Request



DHCPv6

MAC Or Line-Id

Framed-IP-Address Stateful-IPv6-Address

GUA and DNS6 <- DHCPv6 Mask, GW <- ND

DHCPv6 Request

DHCPv6 Reply (IA_NA, DNS6)

DHCPv6 Advertise IA_NA /128 DNS6


IsRouter=1

Link Local (Int_ID)

GUA must be taken from dhcpv6


RADIUS Access-Request


RA


DHCPv6

DHCPv6 Inform

DHCPv6 Reply (DNS6)

DHCPv6 Advertise (NA /128, PD /56)

MAC Or Line-Id

Framed-IP-Address Stateful-IPv6-Address Delegated-IPv6-Prefix

IA_NA /128 IA_PD /56

DNS6 WAN GUA, mask, GW



RS

DHCPv6 Request

DHCPv6 Reply

DHCPv6 Solicit (IA_NA, IA_PD)


IsRouter=1

Link Local (Int_ID)

WAN GUA must be taken from dhcpv6

Link Local (Int_ID)



•  PPPoE and IPoE

•  v4/v6 Dual Stack Single subscriber session Single authentication Single accounting instance

Aggregated and separate counters

•  v6 Subscriber Address Assignment methods

DHCPv6 Server DHCPv6 Proxy DHCPv6 RADIUS proxy NA and PD

•  Full feature support (QoS, ACL, uRPF, …)

•  Common VRF for both AFs

Home

V4/V6 Dual Stack Subscriber

V4 Subscriber Session

V6 Subscriber Session

V4 Internet

CGN NAT44

V6 Internet

AF: Address Family NA: Non Temporary Address

PD: Prefix Delegation


DS Client AAA

AF1 bring up starts

Access Request Access Accept

AF1 bring up completes IP address in AF1 assigned to client Accounting Start

Accounting Interim (Periodic) AF1 packet/byte count populated AF2 bring up starts and

completes

Accounting Interim (Triggered) AF1 and AF2 framed addresses

AF1 packet/byte count

AF1 framed-address

Accounting Interim (Periodic) AF1 and AF2 packet/byte count

Аутентификация происходит один раз для обоих address families инициируется первой AF1

Сообщение accounting start посылается один раз после установления первой AF1 Содержит информацию об адресе установленной AF1

Периодические interim accounting сообщения содержат статистику по установленной AF1

Partial call flow. Interaction with other servers such as DHCP are omitted

Triggered interim accounting посылается в момент инициализации второй AF2 Содержит информацию об адресах обоих AF

Периодические interim accounting сообщения содержат статистику по обоим AF Для каждой AF и агрегированную статистику

IP address in AF2 assigned to client


Задержанный Accounting Start

DS Client AAA

AF1 bring up starts

Access Request Access Accept

AF1 bring up completes IP address in AF1 assigned to client

Accounting Start AF1 and AF2 framed addresses

Accounting Interim (Periodic) AF1 and AF2 packet/byte count

Partial call flow. Interaction with other servers such as DHCP are omitted

IP address in AF2 assigned to client

Accounting Start опционально может быть задержан на определенное время для консолидации информации об обоих AF в одном сообщении

Accounting Start delayed AF2 bring up starts and

completes


Local DHCPv6 Server w/ and w/out PD (stateless (PPPoE only), stateful)

DHCP

DHCPv6 proxy w/ and w/out PD

AAA

DHCPv6 RADIUS proxy w/ and w/out PD

DHCPv6 NA DHCPv6 PD

DHCPv6 PD Link Local SLAAC

SLAAC

Supported Local Address Assignment functions

IPv6 client address assignment models

DHCPv6 NA

SLAAC + Stateless DHCPv6 (PPPoE)

single session for NA and PD addresses to same sub

SLAAC + Stateless DHCPv6 (IPoE)


IPv6 для IPoE доступа 1:1 VLAN сценарий

•  1:1 VLAN модель похожа на PPPoE

•  От узла доступа не требуется поддержки функционала IPv6

•  Аутентификация на BNG/ААА выполняется по VLAN-tag или double tag

•  Использование QinQ на уровне доступа/агрегации

Абонент 1

BNG Узел доступа

Абонент 2

1:1 VLANs

802.1Q


IPv6 для IPoE доступа N:1 VLAN сценарий

•  MAC адрес – это единственный ключ для ассоциации двух AF с одной сессией

•  Аутентификация может быть инициирована обеими AF, для IPv4 – есть хорошо известные options 82, для IPv6 существуют аналоги, в DHCPv6 – это опции 18 (interface-ID) и 37 (agent-ID).

•  Устройство доступа должно обладать функциональностью LDRA (Lightweight DHCPv6 Relay Agent), инжектируя опции 18 и 37

•  При инициализации второй AF, BNG будет сравнивать MAC-адрес источника запроса, ассоциируя обе AF с одной сессией, при этом повторной авторизации не происходит.

Абонент 1

802.1Q

N:1 VLAN

Узел доступа

Абонент 2

BNG


Источник: TR-177-BBF

Thank you.

Technology

IPv6 в сетях ШПД