ipv6 в сетях ШПД
TRANSCRIPT
Cisco Confidential © 2011 Cisco and/or its affiliates. All rights reserved. 1
IPv6 в сетях ШПД
Денис Михайловский Системный инженер
Март 2013
Департамент по работе с операторами связи
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
• Развитие IPv6 в сетях ШПД
• Основы IPv6
• IPv6 Dual Stack Subscriber
Cisco Confidential 3 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 4
• Исчерпание пространства IPv4 в условиях роста абонентской базы
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5
• Prefixes | Transit AS – соотношение IPv6 к IPv4 по данным APNIC Labs
• Content – процент ipv6 web сайтов от top 500 сайтов выбранной страны
• Users – данные Google Research и APNIC Labs Source: 6lab.cisco.com
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 6
• Сконцентрироваться только на внедрении и адаптации функционала NAT
• Начать подготовку к этапу длительного (или постоянного?) сосуществования двух адресных пространств в ШПД
• Сейчас настало актуальное время для внедрения IPv6 • Появилось понимание и практическая готовность индустрии как на уровне архитектур (TR-177 BBF) так и в реальных доступных сегодня продуктах и решениях
• Есть ipv6 контент: Google, YouTube, Yandex, Facebook, VK, World of Warcraft, …
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 7
• Внедрение IPv6 подразумевает управляемое назначение IPv6 адреса абоненту в сети ШПД
• Получение и настройка IPv6 адреса на абонентских устройствах происходит автоматически без участия самого абонента
• По факту абоненту нужно выдать два адреса IPv4 и IPv6 (Dual Stack), т.к. далеко не весь контент доступен по IPv6
• Как следствие, внедрение IPv6 не решает проблемы исчерпания IPv4, все равно необходимо назначать IPv4 адреса на сессии (можно использовать NAT)
• А можно ли выдать абоненту только IPv6? (ответ далее)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 8
• Если операционная система абонентcкого хоста смогла автоматически настроить IPv4 и IPv6 стеки, то такой хост называется Native Dual Stack
• Каждый стек полностью автономен: IPv4: address, mask, default GW, DNS IPv6: address, mask, default GW, DNSv6
• Использование IPv6 стека хостом определяется возможностью разрешения FQDN в DNSv6, т.е. при прочих равных условиях стек IPv6 имеет больший приоритет; откат в IPv4 происходит в случае невозможности осуществить Quad-A resolve
• Поддержка только в современных ОС: Windows 7/Vista, Mac OS X, Linux
ipv4 ipv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 9
• На текущий момент времени отказаться от IPv4 адресации технически возможно, но плохо реализуемо на практике: прозрачность работы приложений поверх NAT64 – главная проблема
• Однако в перспективе NAT64 позволит отказаться от IPv4 адресации у абонента, когда все устройства абонента научаться поддерживать IPv6, а также основной и массовый контент будет доступен через IPv6
ipv4 ipv6
ipv4 ipv6
ipv6 ipv4 ipv6
ipv6 ipv6
NAT44
NAT64
NAT64 ipv4
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 10
• Ежегодный темп роста полосы пропускания и абонентской базы требует постоянных инвестиций не только в инфраструктуру ШПД, но и в NAT44
• Доступность и миграция сервисов в IPv6 не позволяет разгрузить NAT44 устройства со временем
• В будущем при сопоставимой доступности контента в IPv6 с IPv4, необходимо будет полностью перестроить сеть для перехода в IPv6, при этом инфраструктура NAT44 становится бесполезной
ipv4 ipv4 ipv6
NAT 44
ipv4
ipv6
NAT 44
ipv4
ipv6
NAT 44
Время
2013 2014 2015
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 11
• Растущая доступность сервисов через IPv6 стек, естественным образом снижает требования к NAT44 с течением времени несмотря на общий рост полосы, т.к. все больше и больше трафика маршрутизируется в IPv6 natively
• При разумном подходе и планировании сегодня, можно существенным образом снизить затраты в недалеком будущем, перестраивая сеть ШПД в IPv6 Only и переиспользуя NAT44 устройства в режиме NAT64
ipv4 ipv4
ipv6
NAT 44
ipv4
ipv6
ipv4
ipv6
Время
2013 2014 2015
ipv6 NAT 44
NAT 44
Cisco Confidential 12 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 13
Global Unicast Address (GUA)
001 Routing Prefix Subnet ID Interface ID
48-bit 16-bit 64-bit
Link Local (FE80::/64)
1111 1110 10 Zeros Interface ID
10-bit 54-bit 64-bit
45-bit
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
MAC address
EUI-64 address
inserting FF:FE
U/L bit
Modified EUI-64 address
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 15
• ND (Neighbor Discovery Protocol) ICMPv6 Stateless Auto Address Configuration (SLAAC)
• DHCPv6 Stateless DHCPv6 Informational
• DHCPv6 Stateful DHCP NA (Non-temporary Address) DHCP PD (Prefix Delegation)
• DNSv6 AAAA записи (или Quad-A)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
• Обмен информационным сообщениями (Echo, Reply )
• Обмен сообщениями об ошибках (MTU mismatch, Destination Unreachable, Time Exceed, etc)
• Функции address resolution и Duplicate Address Detection (DAD)
• Функции обнаружения маршрутизаторов и других хостов Router Solicit Router Advertisement (флаги и опции: M, O, Prefix Information, IsRouter, etc) Neighbor Solicit Neighbor Advertisement
• Stateless Auto Address Configuration (SLAAC) Считается одним из главных достижений IPv6, клиент может настроить свой адрес автоматически без вовлечения протоколов работающих по принципу client/server
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 17
• Два режима работы Stateless или Stateful
• Stateless – не используется для назначения адреса. Применяется для получения дополнительных параметров (DNS, WINS, etc)
• Stateful – применяется для назначения адресов и получения дополнительных параметров. Использование разных IA (Identity Association) со стороны клиента для указания типа адреса который ему необходим:
IA_TA (temp addr), IA_NA (non-temp addr), IA_PD (delegated prefix)
• DHCPv6 позволяет клиенту запрашивать и делегировать префиксы для подключенных к нему хостам Клиент – RR (Requesting Router) Маршрутизатор/BNG – DR (Delegating Router)
• Stateful DHCPv6 не отменят необходимости использовать ND Некоторые параметры доступны только по ND (например, netmask, option router, и проч)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 18
• RA message: • Flags:
- M (Managed Address Config) - O (Other Config)
• Prefix Information Options: - Prefix (or complete address) - Prefix length - IsRouter flag - On-link flag - Adv-Intervals and Lifetimes
Cisco Confidential 19 © 2011 Cisco and/or its affiliates. All rights reserved.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 20
• Что такое Dual Stack Subscriber?
• Это абонент, который был авторизован для использования двух стеков IPv6 и IPv4 одновременно
• Аналогично обычным dual stack интерфейсам в маршрутизаторах, только процесс ручной конфигурации заменен процессом аутентификации
• С точки зрения ААА – такой абонент выглядит как одна сессия (acct-start, acct-interim, acct-stop), но при этом у абонента два адреса из разных AF
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 21
• PPP доступ Dual-stack IPv6 и IPv4 внутри общей PPP сессии; v4 и v6 NCP протоколы работают независимо друг от друга Аутентификация не зависит от протокола NCP, т.к. осуществляется на уровне LCP
• IPoE доступ Что такое «сессия»?: Вопросы : - У абонента есть два адреса IPv4 и IPv6, как объединить их в одну сессию? - Что использовать для аутентификации? (ответы на след. слайдах)
PPP Session
IPv4 IPv6
VLAN
IPv6 Session
L2 Session
IPv4 IPv6
IPv4 Session
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 22
PPPoE RADIUS
Access-Request
RADIUS Access-Accept
PPP LCP
PPP IPv6CP
Bridged CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON
DHCPv6
ND Router Advertisement
Username Or Line-Id
Framed-IP-Address Framed-IPv6-Prefix
RA with M=0, O=1, Prefix, IsRouter=1
GUA, mask, GW <- ND DNS6 <- DHCPv6
Link Local (Int_ID)
ND Router Solicit (optional)
DHCPv6 Inform
DHCPv6 Reply (DNS6)
SLAAC /64 prefix + Int_ID
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 23
PPPoE RADIUS
Access-Request
RADIUS Access-Accept
PPP LCP
PPP IPv6CP
Bridged CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON
DHCPv6
Username Or Line-Id
Framed-IP-Address Stateful-IPv6-Address
GUA and DNS6 <- DHCPv6 Mask, GW <- ND
Link Local (Int_ID)
DHCPv6 (IA_NA) Solicit
DHCPv6 Request
DHCPv6 Reply (IA_NA, DNS6)
DHCPv6 Advertise IA_NA /128
DNS6
ND Router Advertisement RA with M=1, O=1,
IsRouter=1
GUA info must be taken from dhcpv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 24
PPPoE RADIUS
Access-Request
RADIUS Access-Accept
PPP LCP
PPP IPv6CP
RA
Routed CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON
DHCPv6
DHCPv6 Solicit (IA_PD)
DHCPv6 Inform
DHCPv6 Reply (DNS6)
ND Router Advertisement
Username Or Line-Id
Framed-IP-Address Framed-IPv6-Prefix Delegated-IPv6-Prefix
RA with M=0, O=1, Prefix, IsRouter=1 SLAAC
/64 prefix + Int_ID
SLAAC /64 prefix + Int_ID
RA with M=0, O=1, Prefix, IsRouter=1
Link Local (Int_ID)
ND Router Solicit (optional)
RS
DHCPv6 Inform
DHCPv6 Reply (DNS6)
DHCPv6 Advertise (IA_PD, /56) DHCPv6 Request/Reply
IA_PD /56
Link Local (Int_ID)
LAN GUA, mask, GW <- ND DNS6 <- DHCPv6
WAN GUA, mask, GW
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 25
PPPoE RADIUS
Access-Request
RADIUS Access-Accept
PPP LCP
PPP IPv6CP
RA
Routed CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON
DHCPv6
DHCPv6 Solicit (IA_NA, IA_PD)
DHCPv6 Inform
DHCPv6 Reply (DNS6)
Username Or Line-Id
Framed-IP-Address Stateful-IPv6-Address Delegated-IPv6-Prefix
IA_NA /128 IA_PD /56
DNS6
WAN GUA must be taken from dhcpv6
SLAAC /64 prefix + Int_ID
RA with M=0, O=1, Prefix, IsRouter=1
Link Local (Int_ID)
RS
DHCPv6 Advertise (NA /128, PD /56) DHCPv6 Request/Reply
ND Router Advertisement RA with M=1, O=1,
IsRouter=1
WAN GUA, mask, GW
LAN GUA, mask, GW <- ND DNS6 <- DHCPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 26
• В PPPoE объединить разные AF в одну сессию просто, т.к. есть понятие интерфейса на уровне РРР
• В IPoE подобное понятие абонентского интерфейса может быть ассоциировано с VLAN, в таком случае сеть доступа должна быть построена согласно модели 1:1 VLAN (VLAN per subscriber/CPE)
• В случае модели N:1 VLAN для IPoE единственным общим идентификатором по ассоциации пакетов разных AF может быть source MAC адрес абонента/CPE.
• Это означает, что при любой модели доступа (1:1 или N:1) Dual Stack IPoE абонент с точки зрения BNG должен всегда быть L2-connected.
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 27
DHCPv6 (IA_NA) Solicit RADIUS Access-Request
RADIUS Access-Accept
Bridged CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON
DHCPv6
MAC Or Line-Id
Framed-IP-Address Stateful-IPv6-Address
GUA and DNS6 <- DHCPv6 Mask, GW <- ND
DHCPv6 Request
DHCPv6 Reply (IA_NA, DNS6)
DHCPv6 Advertise IA_NA /128 DNS6
ND Router Advertisement RA with M=1, O=1,
IsRouter=1
Link Local (Int_ID)
GUA must be taken from dhcpv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 28
RADIUS Access-Request
RADIUS Access-Accept
RA
Routed CPE Radius AAA BNG Узел доступа Ethernet, DSL, GPON
DHCPv6
DHCPv6 Inform
DHCPv6 Reply (DNS6)
DHCPv6 Advertise (NA /128, PD /56)
MAC Or Line-Id
Framed-IP-Address Stateful-IPv6-Address Delegated-IPv6-Prefix
IA_NA /128 IA_PD /56
DNS6 WAN GUA, mask, GW
SLAAC /64 prefix + Int_ID
RA with M=0, O=1, Prefix, IsRouter=1
RS
DHCPv6 Request
DHCPv6 Reply
DHCPv6 Solicit (IA_NA, IA_PD)
ND Router Advertisement RA with M=1, O=1,
IsRouter=1
Link Local (Int_ID)
WAN GUA must be taken from dhcpv6
Link Local (Int_ID)
LAN GUA, mask, GW <- ND DNS6 <- DHCPv6
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 29
• PPPoE and IPoE
• v4/v6 Dual Stack Single subscriber session Single authentication Single accounting instance
Aggregated and separate counters
• v6 Subscriber Address Assignment methods
DHCPv6 Server DHCPv6 Proxy DHCPv6 RADIUS proxy NA and PD
• Full feature support (QoS, ACL, uRPF, …)
• Common VRF for both AFs
Home
V4/V6 Dual Stack Subscriber
V4 Subscriber Session
V6 Subscriber Session
V4 Internet
CGN NAT44
V6 Internet
AF: Address Family NA: Non Temporary Address
PD: Prefix Delegation
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 30
DS Client AAA
AF1 bring up starts
Access Request Access Accept
AF1 bring up completes IP address in AF1 assigned to client Accounting Start
Accounting Interim (Periodic) AF1 packet/byte count populated AF2 bring up starts and
completes
Accounting Interim (Triggered) AF1 and AF2 framed addresses
AF1 packet/byte count
AF1 framed-address
Accounting Interim (Periodic) AF1 and AF2 packet/byte count
Аутентификация происходит один раз для обоих address families инициируется первой AF1
Сообщение accounting start посылается один раз после установления первой AF1 Содержит информацию об адресе установленной AF1
Периодические interim accounting сообщения содержат статистику по установленной AF1
Partial call flow. Interaction with other servers such as DHCP are omitted
Triggered interim accounting посылается в момент инициализации второй AF2 Содержит информацию об адресах обоих AF
Периодические interim accounting сообщения содержат статистику по обоим AF Для каждой AF и агрегированную статистику
IP address in AF2 assigned to client
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 31
Задержанный Accounting Start
DS Client AAA
AF1 bring up starts
Access Request Access Accept
AF1 bring up completes IP address in AF1 assigned to client
Accounting Start AF1 and AF2 framed addresses
Accounting Interim (Periodic) AF1 and AF2 packet/byte count
Partial call flow. Interaction with other servers such as DHCP are omitted
IP address in AF2 assigned to client
Accounting Start опционально может быть задержан на определенное время для консолидации информации об обоих AF в одном сообщении
Accounting Start delayed AF2 bring up starts and
completes
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 32
Local DHCPv6 Server w/ and w/out PD (stateless (PPPoE only), stateful)
DHCP
DHCPv6 proxy w/ and w/out PD
AAA
DHCPv6 RADIUS proxy w/ and w/out PD
DHCPv6 NA DHCPv6 PD
DHCPv6 PD Link Local SLAAC
SLAAC
Supported Local Address Assignment functions
IPv6 client address assignment models
DHCPv6 NA
SLAAC + Stateless DHCPv6 (PPPoE)
single session for NA and PD addresses to same sub
SLAAC + Stateless DHCPv6 (IPoE)
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 33
IPv6 для IPoE доступа 1:1 VLAN сценарий
• 1:1 VLAN модель похожа на PPPoE
• От узла доступа не требуется поддержки функционала IPv6
• Аутентификация на BNG/ААА выполняется по VLAN-tag или double tag
• Использование QinQ на уровне доступа/агрегации
Абонент 1
BNG Узел доступа
Абонент 2
1:1 VLANs
802.1Q
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 34
IPv6 для IPoE доступа N:1 VLAN сценарий
• MAC адрес – это единственный ключ для ассоциации двух AF с одной сессией
• Аутентификация может быть инициирована обеими AF, для IPv4 – есть хорошо известные options 82, для IPv6 существуют аналоги, в DHCPv6 – это опции 18 (interface-ID) и 37 (agent-ID).
• Устройство доступа должно обладать функциональностью LDRA (Lightweight DHCPv6 Relay Agent), инжектируя опции 18 и 37
• При инициализации второй AF, BNG будет сравнивать MAC-адрес источника запроса, ассоциируя обе AF с одной сессией, при этом повторной авторизации не происходит.
Абонент 1
802.1Q
N:1 VLAN
Узел доступа
Абонент 2
BNG
© 2011 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 35
Источник: TR-177-BBF
Thank you.