【通信行业标准(YD)】 采用边界网关协议多协议扩展(BGP-MP)的基于IPv6骨干网的IPv4网络互联(4 over 6)技术要求

ICS3304040
中华人民共和国通信行业标准
YD/T 1656-2007
采用边界网关协议多协议扩展（BGP-MP）的基于 IPv6 骨干网的 IPv4 网络互联（4over6）技术要求
Technical Requirement for Interconnection of IPv4 Network over IPv6Backbone(4 over 6) Via Border Gateway Protocal Multi-ProtocolExtensions(BGP-MP)
2007-07-20发布
2007-12-01实施
中华人民共和国信息产业部　发布前
范围·
2规范性引用文件
3定义和缩略语
44over6机制概述
4over6数据平面处理…
64over6控制平面处理
4over6机制示例.
可扩展性
双栈接入·
10安全考虑·
YD/T1656-2007
本标准主要依据最新研究成果制定完成，还参考了相关国内外标准。本标准与《IPv4-IPv6过渡中互联互通技术要求》配套使用。本标准由中国通信标准化协会提出并归口。YD/T1656-2007
本标准起草单位：清华大学、比威网络技术有限公司、信息产业部电信研究院、华为技术有限公司、中国移动通信集团公司
本标准主要起草人：崔勇、徐明伟、吴建平、李星、徐恪、付立政、何宝宏、蒋林涛、刘宏明、陈洪飞、段晓东
1范围
采用边界网关协议多协议扩展（BGP-MP）的YD/T1656-2007
基于IPv6骨干网的IPv4网络互联（4over6）技术要求本标准对在IPv4网络向IPv6网络过渡中可能出现的基于IPv6骨干网进行Pv4网络互联互通的过渡技术4over6机制做了规范性描述。本标准中所涉及的过渡技术主要适用于IPv6网络逐步成熟的阶段，尤其是IPv6成为大规模骨干网络的情形下，大量IPv4接入网络通过大规模IPv6骨干网进行互联互通的情况。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。IPv4-IPv6过渡中互联互通技术要求IETFRFC2473
3定义和缩略语
下列定义和缩略语适用于本标准。3.1定义
封装（encapsulation）
Pv6规范的通用分组隧道
把一种协议的完整数据分组作为内容数据，完整地放到另一协议数据分组内的过程称为封装。解封装（decapsulation）
把封装过的数据分组内的内容数据恢复成原来的协议数据分组的过程称为解封装。节点（node）
实现IPv4或IPv6的网络设备。
路由器（router）
负责转发最终目标地址不是它本身的数据分组的节点。4over6路由器
支持4over6功能的路由器。
P路由器（PRouter）
传输网中网络服务提供商所拥有的网络服务提供商内部骨干路由器。PE路由器（PERouter）
传输网中网络服务提供商所拥有的提供网络接入功能的边缘路由器。入口PE路由器（ingressPERouter）按照4over6封装规则对数据分组进行封装的4over6路由器。1
YD/T1656-2007
出口PE路由器（EgressPERouter）对按照4over6封装规则封装过的数据分组进行解封装的4over6路由器。CE路由器（CERouter）
客户接入网络中的边缘路由器。链路（link）
相邻节点之间通信所依赖的数据链路层连接，例如Ethermet、PPP链路、顿中继、ATM网络。接口(interface)
节点到链路的连接点。
4over6虚接口（4over6Virtual Interface）位于4over6路由器上支持4over6功能的虚拟接口，该接口需要配置IPv4地址和IPv6地址。地址簇（AddressFamily）
IPv4和IPv6分别构成IPv4地址簇和IPv6地址簇。地址簇边界路由器（AFBR，AddressFamilyBorderRouter）运行IPv4/v6双协议栈的路由器，该路由器同时分别连接IPv4地址簇网络和IPv6地址簇网络。在本标准所定义的4over6机制中，AFBR具体实现在具有4over6功能的PE路由器上。3.2缩略语
BGP-MP
44over6机制概述
Border GatewayProtocol
Multi-ProtocolextensiontoBGPInternet Protocol
Internet Protocol Version 4
Internet Protocol Version 6
边界网关协议
边界网关协议多协议扩展
互联网协议
互联网协议版本4
互联网协议版本6
随着IPv6技术的快速发展和纯IPv6骨干网络的建成，大量IPv4网络需要通过IPv6骨干网来实现互联互通的需求日益增多。如图1所示，在IPv4/v6互联的网络拓扑上，一些只运行IPv6协议栈的P路由器构成了纯IPv6骨干网。然而，由于现有大量IPv4应用将在一定时期内仍然广泛使用，因此该纯IPv6骨于网需要向边界网络提供IPv4协议栈接入。CE1
4over6
图1使用4over6机制传输的网络拓扑CE2
PE路由器作为地址簇边界路由器AFBR，同时运行IPv6和IPv4双协议栈。PE路由器在骨干网内使用IPv6协议连接纯IPv6骨于网，对接入网络则使用Pv4协议栈与边缘网络的IPv4单协议栈CE路由器连接，从而对已有IPv4网络提供接入服务。因此，需要设计一种机制，使得在CE路由器上只运行IPv42
协议，而IPv6骨干网作为传送IPv4分组的传输网络。YD/T1656-2007
目前大多数Pv4/IPv6网络过渡方案都主要是解决基于IPv4骨干网的小规模IPv6接入网络之间的互联问题以及IPv4/IPv6网络之间的互联互通性问题。IPv6通用隧道、基于MPLS的隧道和DSTM技术等虽然能够在一定程度上实现IPv4网络通过IPv6主干网进行互联，但由于存在可扩展性差、协议机制复杂或者对网络核心改动很大等问题，部署和实现这些机制是困难的，其管理维护负担已超出了可控范围。本标准提出了基于Pv6的IPv4网络互联机制（简称4over6机制），解决IPv4网络通过纯IPv6骨干网络实现互联的问题。
与其他类似机制相比，4over6机制不需要手工配置端到端隧道，具备对网络和端系统的透明特性，能够自适应的动态选路，是一种IPv4/v6异构网络自动传输机制，具有较小的网络管理及维护负担，适应于大规模复杂网络拓扑。本标准提出的4over6机制主要解决mesh间题，而不涉及对Hub&Spoke场景的支持。
总体来说，4over6机制包括控制平面和数据平面两方面的问题。控制平面需要解决的问题是如何通过隧道端点发现机制来建立4over6隧道。由于多个PE路由器连接到IPv6传输网上，为了准确地封装IPv4分组并转发到某个出口PE路由器，入口PE路由器需要知道具体哪个PE路由器是出口路由器。本标准扩展BGP-MP协议，在IPv6骨干网上携带IPv4目的网络的信息和隧道端点信息并发送到IPv6骨干网的另一端，以此来在PE路由器上建立无状态的4over6隧道。PE与CE之间可以通过域内或域间IPv4路由协议来交互IPv4路由，也可以由CE路由器配置缺省路由到PE路由器，视具体使用场景而定。在建立4over6隧道的基础上，数据平面主要关注包括封装和解封装的分组转发处理。在入口PE路由器找到恰当的出口路由器后，入口路由器需要采用某一特定的封装机制来封装并转发原始IPv4分组。出口路由器从IPv6传输网络收到封装分组后，出口路由器对分组进行解封装，并转发到相应的IPv4目的网络。由于4over6机制主要运行在PE路由器上，且只涉及对IPv4分组最外层头部的封装处理，因此也同样适用于Pv4网络中使用NAT机制的场景。54over6数据平面处理
4over6数据平面主要包括下面3个部分：（1）入口PE路由器将接收到的IPv4分组用IPv6头部封装；（2）封装后的分组在IPv6骨干网中传输；（3）出口PE路由器把分组解封装为原来的IPv4分组格式。由于封装后的4over6数据分组在IPv6骨干网传输时，是对IPv6骨干网透明的，所以这类封装的数据分组就如同正常的IPv6数据分组一样在骨干网当中传输。基于4over6的分组传输特点，数据分组的封装和解封装需要在双栈路由器AFBR上完成，因此，在本标准所提出的4over6机制中，由ISP提供的接入路由器PE实现AFBR的分组封装和解封装的功能。在具体实现中，每个4over6PE路由器维护一个4over6虚接口，该虚接口通过维护4over6封装表，用于处理分组的封装和解封装。该封装表的每个表项中包含了目的IPv4网络的地址和掩码，以及需要转发到的出口PE路由器的4over6虚接口IPv6地址。如图2所示，IPv4分组到达4over6入口PE路由器，入口PE路由器在查找IPy4转发表后，发现应进入本地的4over6虚接口处理；在4over6虚接口处理中，通过查找4over6封装表对该分组进行封装，封装的目的IPv6地址是4over6出口PE路由器的虚接口IPv6地址，而源IPv6地址是4over6入口PEYD/T1656-2007
路由器的虚接口IPv6地址：封装后的IPv6分组通过IPv6骨于网发送到出口PE路由器；出口路由器对分组进行解封装后，再通过查找IPv4转发表将原始IPv4分组转发到相应的目的IPv4网络。因此，为了进行正确的4over6数据处理，需要将目的IPv4网络地址的转发接口置为4over6虚接口，并且需要自动维护4over6封装表，这些在4over6控制平面来完成。IPy4>Encap
Payload
√IPv6(v4)
PayloadbZxz.net
>Decap
Payload
图24over6数据平面处理
Payload
数据分组的封装和解封装采用IPv4-in-IPv6的方法，如图3所示，具体封装、解封装以及分组分片和ICMP分组的相应处理可以参见RFC2473和《IPv4-IPv6过渡中互联互通技术要求》。除了规范性引用文件所描述的4over6的封装方法，对其他已有封装方法如GRE隧道方法、IPSec、MPLS隧道以及PPVPN隧道等，4over6机制将来可以通过进一步扩展进行支持。此外，对于将来出现的IPv4overIPv6封装技术，本标准也可扩展采用。
1IPv4Header1
Packet Payload
Original IPy4 Packet
(Encapsulation on ingress PE)< Tunnel IPv6 Headers ><
Original IPv4Packet
jIPv6 Headej Extension i tPv4 Header jHeaders
Tunnel IPv6Packet
Packet Payload
i(Decapsulation on egress PE)1Pv4Header1
Packet Payload
Original IPv4 Packet
图3tPv4-in-IPv6的封装和解封装方法64over6控制平面处理
4over6机制中，控制平面主要解决隧道端点发现和网络可达性信息传输的问题。在本标准所定义的4over6机制中，4over6控制平面通过对边界网关协议多协议扩展BGP-MP再进行4over6扩展来实现。作为AFBR，PE路由器之间基于IPv6骨干网建立BGP的邻居关系，通过BGP的多协议扩展携带不同种类的路由信息。
YD/T1656-2007
BGP-MP协议规定，在建立BGP邻居关系时使用OPEN消息的下列两个参数的组合标识BGP实体的能力：地址簇标识符AF和后续地址簇标识符SAFI。由于传输上述4over6隧道端点和目的地址是BGP-MP实体的一个新能力，即4over6能力，因此需要定义新的[AFI,SAFI}组合。由于4over6所需要传输的目的地址是IPv4网络地址，因此AFI使用已经定义的AFL_IP4=1。而基于申请定义SAFI的先来先服务原则，本标准申请定义SAFI_4over6=67。基于上述定义，4over6的BGP-MP协议在OPEN消息中使用[AFI,SAFI)=（AFI_IP4=l,SAFI_4over6=67)标识发出该BGP-MP消息的BGP实体的4over6能力。
在BGP建立了邻居关系的基础上，在BGPUPDATE消息中的路径属性包含下一跳的AFI、SAFI以及下一跳地址和网络层可达性信息。在使用BGP-MP的UPDATE消息传输隧道端点和网络可达性信息时，仍然使用上述AF和SAF。与此同时，在路径属性中的下一跳网络地址必须是4over6虚接口的IPv6地址，而网络可达性信息NLRI包含了目的IPv4网络地址和掩码。该Update分组如图4所示。AddressFamily Identifier(2 octets): AFL_IP4=1SubBequentAFI ! octet): SAFL_4OVER6=67Length of Next Hop (1 octet): 16Next Hop:IPv6 Address of 4over6Virtual InterfaceNumberof SNPAs (1octet)
Leagth of first SNPA(I pctet)First SNPA (variable)
Length of second SNPA (1 octet)Second SNPA (variable)
Length of Last SNPA (1 octet)Last SNPA (variable)
NLRI(variable):Destination IPv4 Network Address图4BGP协议的4over6扩展
当4over6路由器的IPv4路由信息发生变化时，路由管理模块通知BGP协议，启动了4over6功能的BGP协议发送Update分组到其他Peer路由器。对端4over6路由器收到Update分组后，更新本地维护的封装表的同时，更新本地IPv4路由表，把相应目的Pv4地址的出接口置为本地4over6虚接口。对于配置有路由反射器（RouteReflection简写为RR）的场景，PE路由器分为RR和非RR两种。每个RR连接多个非RR，这些非RR称为该RR的客户端路由器。所有RR之间建立全连接的Full-mesh结构。因此每个RR的BGPPeer分为两种，即RR和客户端路由器，其中客户端路由器把所连接的IPv4网络中的IPv4路由变化通过BGP报文通告对应的RR。如果一个RR收到其他RR通过IBGP发来的4OVer6路由，将其转发给所有的客户端路由器。而如果一个RR收到客户端路由器通过BGP发来的4over6路由，则将其转发给所有的IBGPPeer。任何一个远端IPv4网络中的路由变化，可以经过最多3步传到整个网络，即远端出口客户端PE路由器、RR以及网络中任意入口客户端PE路由器。因此，本标准所定义的4over6机制能够支持配置有路由反射器的场景。5
YD/T1656-2007
74over6机制示例
基于如上定义的4over6数据平面和控制平面的处理过程，下面以图5为例说明4over6机制的实际工作过程。PE2从CE2学习到到达目的IPv4网络NetB和NetC的路由信息，更新本地的IPv4路由表(PE2IPv4Routingtable），进而产生本地封装表（PE2Encapsulationtable），并将本地封装表发送给BGP-MP模块。PE2的BGP-MP模块把目的IPv4网络NetB和NetC的可达性信息以及隧道端点信息（PE2的4over6VIF）通过BGPUpdate消息发送到PE1。PE1在接收到BGP更新分组后，把NetB和NetC的网络地址以及隧道端点（PE2的4over6VIF）存储到封装表（PE1Encapsulationtable），并在本地IPv4路虫表中增加相关信息，把目的地址为NetB和NetC的转发接口置为本地4over6VIF，即PE1VIF。ControlFlow
PE1 Encapsulation table
IPy4 addr
IPv6 addr
PE2VIF
PE2VIF
PE1 IPv4 Routing table
OUTPUTIF
PEIVIF
PEIVIF
Payload
D:BS:APayload
DataFlow
PE2Encapsulationtable
IPv4addr
IPv6 addr
PE2VIF
PE2VIF
PE2IPv4Routingtable
NEXTHOP
Payload
D:PE2s:PE1D:BS:APayload
图54over6机制示例
在完成上述路由信息交互后，PE1和PE2分别维护了如图所示的封装表和路由表。来自源网络NetA的目的地址在网络NetB内部的IPv4分组到达PE1后，PE1在IPv4转发表中进行路由查找，发现对应转发接口为本地VIF接口，交由本地VIF接口处理。VIF接口处理中，查找封装表，找到对应的IPv6地址（即PE2的4over6虚接口的IPv6地址），将该地址作为目的IPv6地址并将本地4over6虚接口的IPv6地址作为源地址进行封装，进而发送到Pv6网络。PE2收到封装后的分组后，进行解封装，并根据原始IPv4分组的目的地址查找IPv4转发表，转发到目的网络NetB。8可扩展性
4over6机制不需要更改P路由器，只需要对PE路由器的功能进行扩展，即所有AFBR的操作全部在PE路由器上完成，因此具有较高的可扩展性。此外，4over6路由器不需要维护每流状态，只需要增加4over6的路由信息。
由于AFBR之间需要使用BGP进行邻居交互，因此对PE路由器的数量可扩展性与自治系统边界路6
YD/T1656-2007
由器ASBR的数量可扩展性相同。如果采用了路由器反射RouterReflector（RR）技术，则理论上对PE路由器的数量是没有限制的。
9双栈接入
边缘网络可能通过不同的地址簇接入骨干网，如图6所示。在这种双栈接入的情况下，CE通过配置适当的默认路由、策略路由或者优先级设置来选择具体采用哪个骨干网的接入方式。对于PE从CE学习路由的方式，可以通过手工配置的方法或者使用路由协议与CE交互，但需要使用路由过滤机制保证IPv4接入网络是末端网络而不是穿通网络，即过滤掉通过CE所学习到的目的地址不属于该接入网络的路由。PEI
图6[Pv4网络通过IPv4/N6骨干网多点接入互联网10安全考虑
虽然4over6数据分组在4over6边界路由器中需要处理分组的封装，使得4over6边界路由器的处理负载增加，但由于4over6边界路由器不需要进行资源分配和状态维护，因此具有较小的负载，并具有一定抗DDoS攻击的能力。此外，由于分组封装机制较为简单，因此如果采用硬件实现，将进一步增强4over6边界路由器的抗攻击能力。BGPPeers之间的控制会话和隧道分组传输还可以进一步扩展采用IPSec来实现以增加安全性。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。