如何建设IPv6骨干网络


前言

身为ISP的工程师或规划者,若希望建置一个支援IPv6的骨干网路,所有系统整合商与原厂工程师都会表示,“只要把设备上已有的IPv6功能打开即可。”这说法的确是真的;建置支援IPv6的骨干并不复杂,复杂的是如何依据骨干所需提供的服务,做好对应的规画设计。所以除平常大家都会想到的网路传输设备,包括伺服器主机及一些服务伺服器等,都需同步转移到IPv6,才能真正提供完整的支援与服务。因此本文将分别针对IPv6骨干技术、接取技术与DNS作简单的介绍。

根据骨干所使用的技术以及建置时所设定目标的不同,建置IPv6所需处理的状况都不尽相同。一般而言,可分类如表一所列的各种不同层级。
表一:IPv6骨干网路布建的层级
  一般骨干网路 MPLS 骨干网路
高度布建 Dual Stack Backbone Dual Stack Backbone
中度布建 IPv6 专属网路 6PE+IPv4 Router
低度布建 Tunneling IPv6 Tunneling IPv6

随着不同程度的布建目标,可能出现从低度布建到高度布建等不同的建置结果。然而不论是哪种程度,都可宣称所建置出的骨干网路是“IPv6 Ready”。布建目标端视建置者对所需成本及花费与时间的评估而定,并无所谓高下可言。

IPv6骨干技术

虽然在MPLS骨干网路上建置IPv6服务会比较单纯,然而就现有教育学术网路及ISP业者所拥有的骨干网路来看,国内大半的服务网路都没有建置MPLS骨干。因此在布建IPv6服务时,可能有比多的选择,但相对来说方法也较为复杂。而有些网路厂商的设备虽号称全部机型都支援IPv6功能,但也不是全部机型都能达到令人满意的效率,企业往往在花费许多经费作相关设备或是软体扩充之后,才发现只能承受不到100Mbps的IPv6流量。因此规划者在规画下一代服务时必需做好完整评估。在近一年内尚难期待会有大量IPv6流量及路由出现的情形下,何时才是骨干设备更替与投资的恰当时机?这点的确值得规划者深思。因此,在骨干设备能大举更替之前,可考虑一种变通方法,即避开大笔投资在骨干设备,只在末端接取设备上启动IPv6功能,并利用穿隧连结Tunneling)的方式传递IPv6封包。如此可避免全部骨干必须一起升级的投资考量,在提供IPv6服务的同时,依然能争取骨干汰换的时间。

穿隧方式

适用情境:IPv6流量低、需求客数或布建点数少、设备无法全部支援时。
这做法有其缺点:作为穿隧服务的边缘端Edge)设备,在加解封包标头Header)时,是否有足够的转送效率?虽然答案通常是否定的,但这种布建方式可以保证,就算IPv6的流量可能造成塞车或当机时,也只会影响接取端的设备,而不会影响骨干核心的设备,或许勉强可称得上是一种没鱼虾也好的布建方式。

独立线路

适用情境:IPv6流量不高、可随客户要求延伸PoP点、不希望骨干设备一次全部启动IPv6功能时。
除了利用少数的末端设备建立穿隧式的IPv6服务外,有些规划者会考虑利用独立线路提供IPv6测试运转平台,这也是国内外一些ISP所选择的运转方式。这种方式能及早累积商业运转的经验与知识,而缺点则在于必须维护一个独立的线路与系统。当然,前提是需要有独立的多余线路可供使用。

双轨骨干

适用情境:网路设备可应付Dual-Stack相关功能与流量需求时。
若能顺利排除设备的极限,全面建置Dual-Stack的骨干当然是上上之选。事实上,在IETF最早的设计,就已把IPv4与IPv6共存的Dual-Stack运作模式,视为未来Internet的真正运作方式。所以只要网路设备足以应付流量需求,全面启动IPv6服务将是骨干所必须面临的选择。在概念上,Dual-Stack的骨干并不代表IPv4与IPv6的路由会混杂在一起。尽管二者将共享频宽,但就网路设备的使用来说,路由表与流量政策可以是南辕北辙、完全不同。

IPv6 PE

适用情境:PE设备支援IPv6、MBGP时。
至于已拥有MPLS骨干网路的工程师,大概只需考虑末端的设备是否具有支援IPv6 PE的功能,就可大大方方地启动IPv6服务。因为在启动PE上面的IPv6功能时,位于MPLS的核心路由器-通称为P路由器,并不需要具有IPv6功能。亦即只要PE支援IPv6与MBGP,就可透过BGP的延伸格式去交换VPN中的IPv6相关路由资讯,而建立起支援IPv6 VPN的MPLS骨干网路。
上述几种状况,就是大型骨干网路规划者在面对建置IPv6环境的课题时,可能遇到的情形。不过,或许由于网路管理上习惯性的分工,负责骨干的设计师有可能并不负责管理相关应用服务伺服器及接取部分,因此通常规划者的考虑也会停在网路设备的设计而不需兼顾其他部分。
因此对诸如校园网路的规划者、学术骨干维护团队或一肩统管整体网路与网路服务的人员而言,这样的考虑显然不足。对这些总合性的规划者来说,只拥有一个“可以转送IPv6封包”的网路并不能满足业务需求。在建置的同时,必须同步建立出末端使用者能直接利用的环境,其中包括网路、基础应用服务,及使用者可能面对的各种不同存取地点与方式。

接取技术与DNS

此时必须回头看看,一个真正可以称为IPv6 Ready的骨干到底需要哪些环节?或者说哪些元件?
先回顾IETF为了让使用者能顺利从IPv4过渡到IPv6,设计哪些工具?在RFC 2893中明确提到,在转移过程中设计以下5种工具:
1、双协定同步运作Dual Stack)
2、手动让IPv6穿过IPv4网域的穿隧Configured Tunneling)
3、与IPv4相容的IPv6位址IPv4 Compatible IPv6 Addresses)
4、让IPv6通过IPv4网域自动穿隧Automatic Tunneling)
5、协定转译
以现阶段评估来看,设计同步运作的IPv4、IPv6双轨制,就等于宣告未来IPv4将永远存在,也许是逐渐凋零。而与IPv4相容的IPv6位址,因应用层仅止于端点对端点的通讯,加上不具扩充延展性,未来恐怕不易获得骨干维护者的青睐,将仅止于个别使用者间的小规模应用。相关应用请见图一。

图一:IPv4-to-IPv6的可能状况


 

图一即为各项转移工具应用的约略示意图,上方的环境,代表两个已经布建IPv6协定的区域网路,透过路由设备穿透尚且无法提供IPv6功能的骨干。其中同时使用到IETF所定义的:双协定同步运作Dual Stack)hc4与手动让IPv6穿过IPv4网域的穿隧Configured Tunneling)等两项功能。面对未来各个大型骨干陆续建置IPv6服务,却无法以IPv6直接连接其他骨干时,就可能需要使用手动设定的穿隧服务。此时因为所有隧道都必须手动建立,因此需要大量的管理、规画及设定工作。初期是相当麻烦的一件事,如同前文所述,大半设备启动穿隧服务时,其效能及设备最大容许量,通常都无法承担较大的IPv6流量,当然更别提任何诸如群播Multicasting)、语音或其他需要做精准流量控制的服务。同样地,一个大量使用穿隧服务来互联的网路,一旦面临路由问题,往往需要较多时间来侦错及还原问题发生的症结点。至于图一中间的部分,则较偏使用者应用方向的端点对端点连结。只有当两个跑双协定同步运作Dual Stack)的端点知道相互要连结的位址时,才能利用IPv4相容的IPv6位址IPv4-compatible Address)进行穿过IPv4网域的IPv6连通,这点较不属骨干所应担心的部分,故不加赘述。
真正需要注意的是图一中下方的环境,当校园或企业真正建置IPv6环境后,除使用者的设备会改成支援双协定同步运作外,许多新建立的资源当然得支援IPv6,或更极端地只把新资源放在IPv6协定上,这是相当可能的,因为在IPv6协定中,有相当多的功能不仅做得比IPv4好,甚至还有些是过去无法提供的服务。如此会面临一个问题:一旦使用者回到家中,假设家中的ADSL线路并不提供IPv6连接服务;可是当必须使用位在公司或校园中的资源时,该如何?图二就是解答。

图二:Dual-Addressing的应用


网管者可能会选择手动为这些移动的使用者Mobile Users)建立固定的穿隧服务。但拨接或ADSL所使用的IP每次都不一样,手动设定似乎会非常麻烦,甚至近乎不可行。该怎么处理这个问题?答案就在转移工具的第4项:让IPv6通过IPv4网域自动穿隧Automatic Tunneling)服务。在这项服务中,必须透过拥有合法IP的闸道器做窗口,统一接收穿过只有IPv4网际网路而来的穿隧连结需求,自动在闸道路由器Gateway Router)与移动的使用者间建立连结,便可不被使用者所在IPv4环境限制存取位于公司或校园中的IPv6资源。
或许又发现另一个问题:位于公司或校园外部的使用者,除非设定好IPv6资源的固定位址,否则怎能知道该到哪里存取资源?除此,若使用IPv6位址的资源并非使用固定IP,笔者指的是IPv6的IP,又如何从外部存取?这答案就简单了!事实上,因为长达128位元的IPv6位址已几乎不可能记忆,再加上IPv6协定中所设计的自动设定位址功能,因此未来DNS将扮演更吃重的角色。透过动态DNS的登录,所有使用者/伺服器都可在上线取得IPv6位址之后,再到DNS登录自己的位址,以提供服务与连结。譬如,各位可能不用记住朋友使用IP Phone的位址,而只需简单输入“Phone.王大明.idv.tw”,就可透过网路电话与这位王先生联络。
虽然IETF早有相关定义,但为了方便读者记忆,在此必须使用一个新词:Dual-Addressing来继续解释这个观念。
为达到完整布建,除原先“合法”IPv6位址之外,还需结合所选定闸道路由器IPv4位址,建立一个以2002为开头的IPv6位址。以TANet台湾学术网路)为例,此架构本身并不会与合法IPv6位址相冲突,反而可单纯让各校或各单位先行建置校园内的IPv6位址;透过建置,让各单位提前自行建立好相关应用的IPv6 DNS。请参见表二,其中对于位址应如何定义有清楚的解释。

表二:Global Unicast Addressing Plan


简介到此,读者应该可以建置出真正支援IPv6,而又不被使用者批评为丢三落四的网路;也不会变成回家后不能收信办公、离开公司无法使用档案伺服器资源的藉口。当然,还有些建置时的可能状况并未提到,比如有只支援IPv6的伺服器,也有些资源可能永远也不会支援IPv6,或不值得各位花太多时间资源去转移到IPv6。这时各位只需使用一些免费或由网路设备担任的NAT-PT闸道,也就是文中所提到的:协定转译,就可轻易解决这个问题。

结论

国内IPv6的发展,相较于亚洲其他国家、欧洲来说,已起步甚晚。而北美的骨干业者,从去年起也陆续有相当大的动作,表现出对IPv6的企图心。透过全球的格网运算连结,或许可以在学术网路上看到较鲜明的IPv6色彩。不过不论是国内或国外,还是有相当多的ISP已在积极规画,如何不在IPv6的发展中缺席。这从国内过去半年内,就有3个单位申请到正式IPv6位址,足资证明。当然,建立骨干网路实在是兹事体大,且不论技术或管理上,都还有相当多的细节无法在区区数千字短文中介绍完毕。只希望能有抛砖引玉之效,为提升国内网路环境与技术水准共同努力。

相关内容