IPv6组网及配置规范介绍

• 修订考虑的因素
– 城域网组网方案 – 互联网接入业务实现方案 – 技术成熟、部署发杂性和部署成本等
22
与2010版组网与策略规范的比较
城域网的IPv6改造（续） • 改造点
– 城域网CR、BRAS、SR等设备开启双栈 – 部署CGN和AFTR
• 功能要求
– 支持公网双栈、私网双栈、轻型双栈三种用户接入方式
• 公网双栈：为用户分配IPv4公有地址、IPv6地址或前缀 • 私网双栈：为用户分配IPv4私有地址、IPv6地址或前缀 • 轻型双栈：为用户分配IPv6地址或前缀
IPv6组网及配置规范介绍
广州研究院
2013年9月
1
内容说明 • 《ChinaNet组网与策略规范（2013版）》
– 修订《ChinaNet组网与策略规范（2010版）》
• 《中国电信IP城域骨干网组网与策略规范（2013版）》
– 修订《中国电信IP城域骨干网组网与策略规范（2010版）》
• 《中国电信城域网设备IPv6配置要求》
– 2012年编制并下发
2
目
录
ChinaNet组网与策略规范
——IPv6改造方案
2
1
IP城域骨干网组网与策略规范
3
城域网设备IPv6配置要求
ChinaNet的IPv6改造方案 • 骨干C、D、RR全网设备开启双栈 • 路由功能
– 域内运行ISIS/ISISv6，开启多拓扑功能，支持IPv4和IPv6按照不同拓 扑进行SPF计算 – 域间运行eBGP4+
6
与2010版组网策略的比较 • 网络组织结构保持不变
– ChinaNet国内网络和国际网络组织不变 – 与CN2、城域网、MCE、其他运营商及客户的互联方式不变
• IPv4路由策略、安全策略、地址规划不变 • 新增的IPv6相关内容
– 增加IPv6路由策略： • IGP路由策略 • IPv6路由的BGP Community组织策略 • IPv6 BGP路由策略 – 增加IPv6网络安全策略：数据平面、控制层面、管理层面 – 引用IPv6地址规划 – 定义IPv6 Community类型分配
12
IPv6的BGP路由策略
• AS号4134由IPv4和IPv6逻辑网络共用 • 采用BGP4+作为IBGP和EBGP路由协议，承载IPv4和IPv6的路由信息
– C/D/N/E设备分别与城域网、移动分组域、IDC以及国内运营商建立IPv6的 BGP Peer – IPv4和IPv6分别建立BGP Peer关系 • 通过IPv4 peer承载IPv4路由 • 通过IPv6 Peer承载IPv6路由 – IPv6的BGP路由采用与IPv4相同的Local Pref.和MED参考值 – IPv6采用一级路由反射，建立3个cluster，分片区进行IPv6的路由反射， RR的部署策略与IPv4保持一致 – IPv6的BGP采用64位扩展Community – IPv6的BGP路由不使用缺省路由 – IPv6 BGP路由的聚合策略 • ChinaNet和城域网的网络地址进行统一聚合，路由前缀尽量小 • 对业务平台地址，以省为单位进行路由聚合，路由前缀尽量小 • 对于用户地址，以省为单位进行路由聚合，路由 前缀尽量小
允许对ChinaNet网络及地址进行IPv6 Ping操作 用白名单允许省级网管对ChinaNet网络及设备IPv6地址的Telnet、SSH、SNMP端口的访问 允许对ChinaNet网络及设备IPv6地址的UDP32678-33678端口（Traceroute）的访问 不允许采用其他方式访问ChinaNet网络及设备地址 16
• C/D/N/E路由器面向城域网、IDC、MCE以及其他运营商的端口采用过滤技术拒 绝目的地址明显非法的数据包
– – – RFC4291：::1/128（loopback） RFC4193：FC00::/7 其他IETF保留地址： 0000::/8、0100::/8、0200::/7、0400::/6、0800::/5、1000::/4、 4000::/3、6000::/3、8000::/3、A000::/3、C000::/3、E000::/4、F000::/5、F800::/6、 FE00::/9、FEC0::/10
D C
D
广州、深圳、无锡、苏州、南京、杭州、 福州等全部C、D节点
….
… D 全部C设备 RR …. 设备开启双栈
D
改造现状：已经完成ChinaNet国内骨干网的双栈改造，国际网络暂未改造， 4 目前通过CT-CNGI访问国际国内IPv6资源，IPv4保持不变
目
录
ChinaNet组网与策略规范
——组网规范修订要点
• 接收路由
– 使用的Local Pref.与IPv4的策略保持一致 – 重置IPv6 Community属性
15
IPv6数据平面安全策略
• Loopback地址采用前缀长度/128的IPv6地址 • 链路地址采用/127的IPv6地址 • 使用IPv4的黑洞触发路由器，用来发布IPv6黑洞路由
– – – IPv6黑洞路由的Community采用4134:1000400091 RR上修改黑洞路由的next-hop为0100::FFFF/64（RFC6666） 所有网络边缘设备配置静态路由 • IPv6 route static 0100::FFFF 64 null0
7
IPv6的IGP策略 • ChinaNet骨干网使用ISIS作为IPv6的IGP协议
– IPv6的设备和链路信息在ISIS的Level-2通告 – ISIS Metric与IPv4保持一致
• 设备的loopback端口的IPv6路由信息按照/128进行通告 • 链路的IPv6路由信息按照/127进行通告 • C/D/N/E设备开启多拓扑功能
• 限制城域网/IDC/MCE/其他运营商地址对ChinaNet网络及设备的访问
– – – –
控制层面及管理层面安全策略
• 控制层面安全策略
– – – – ISIS的安全策略比照IPv4执行 BGP的安全策略参照IPv4路由策略 IPv6 BGP的TTL安全检查、AS-Path长度以及邻居MD5安全认证参照IPv4执行 在路由器上应部署CoPP、LPTS、CPCAR等类似技术或其他流量限制技术，增强设备 本身的安全性，仅允许必要的IPv6源地址访问设备上特定应用
• 路由发布控制
– 根据Community属性控制是否发布路由、设置local Pref.、MED、as-path等 BGP属性 – 设置步骤：
• 创建community列表，可用通配符 • 创建route-map，对匹配或不匹配的路由进行相应操作 • 应用到BGP邻居
• IPv4路由采用原有Community、IPv6采用新定义的Community
字段
协议 预留位 有效范 围
取值 范围
0-9
描述
0代表IPv4路由 1代表IPv6路由 1.2-9预留
备注
路由归 属
路由大 类 路由小 类
000用于后续定义 缺省值000 999 描述路由的发布范围，分成无 1.缺省的发布范围为0 限制(0)、国内（1）、国际 0-9 2.黑洞路由仅在网内有效 （2）、全球（3）、电信网内 3.预留5-9作为 （4） 第1位取0，表示未指定路由地域，后两位也 取值0； 第1位取1，表示国内路由，后两位表示大区 000描述IPv6路由的归属地 和省市； 999 第1位取2-6，表示各大洲路由，后两位表示 接入点和设备 第1位取值7-9预留； 分成用户路由(1)、平台路由 0-9 (2)、网络路由(3)、互联网路 0：表示未设定,5-8预留 由(4)、特殊路由（9)等 分别对应路由大类的各小类路 0-9 0: 未设定小类 由
• 发送路由
– ChinaNet向城域网/IDC/MCE发送IPv6的国内路由和城域网/IDC/MCE路由
• 暂不考虑接收用户自带的IPv6地址，待相关业务模式确定 后再明确
14
与其他运营商间的互联路由策略 • 向其他运营商广播时，需尽量进行路由聚合，路由前缀长 度原则上应小于等于/36
• 原则上只接收其他运营商广播的前缀长度/36以下（含）的 IPv6路由，路由条数应不超过200条
8
IPv4路由的BGP Community组织策略 采用32为Community值，采用格式：AS号码:设定值
a. 国内路由的Community格式
b. 国际路由的Community格式
AS号码和设定值长度都为16位，取值范围都是0~65535
业务类型 普通路由 国内差异化 国际差异化 全球差异化 电信网内
13
与城域网/IDC/MCE间的互联路由策略 • 接收路由
– C/D设备接收的IPv6路由不应超过20条，路由前缀长度应小于等于/37 – 使用本省的汇总地址段进行模糊匹配，保证城域网和IDC向ChinaNet发布路 由的合法性 – 使用local preference与IPv4保持一致 – 重置IPv6 Community属性
城域网 VIP专线 IDC业务 公网业务平台 运营商客户 运营商伙伴(T&P) 移动分组域(C网)
0 10 20 30 40 50 60
1 11 21 31 41 51 61
2 12 22 32 42 52 62
3 13 23 33 43 53 63
4 14 24 34 44 54 64
9
IPv6路由的BGP Community组织策略 • IPv6 BGP Community采用64位扩展的Community格式：类型 :AS号:设定值
大类 (编码)
11
BGP Community的组织策略
• IPv6 BGP Community的设置原则、路由发布控制、部署原则等与IPv4路 由相同 • Community设置
– 接收路由时按照编码规范重置Community属性 – 重置Community属性发生在建立eBGP邻居关系的骨干网设备
小类 (编码） 固网宽带(1) 移动宽带(2) 用户路由 VIP专线(3) (1) 大客户专线(4) …… 公网业务(1) CDN(2) 平台路由 iTV(3) (2) IMS(4) 支撑系统(5) …… 城域网(1) IDC(2) 网络路由 移动分组域(3) (3) ChinaNet骨干(4) …… Customer运营商(1) 上联Transit运营商 (2) 互联网路由(4) 对等peer运营商（3） 付费peer运营商（4） …… …… …… 黑洞路由(1) 特殊路由 DDoS流量清洗(2) (9) VNH(3) ……
– 支持用户溯源
20
目
录
ChinaNet组网与策略规范 IP城域骨干网组网与策略规范——组网规范源自订要点312
城域网设备IPv6配置要求
修订说明 • 修订背景
– 城域网进行IPv6改造，用于承载IPv4和IPv6业务流量
• 修订《中国电信IP城域骨干网组网与策略规范（2010版） 》
– 删除原有第9章“IPv6”，增加第4章“互联网接入业务实现” – 其他基本上继承了2010版规范的文档结构
• 管理层面安全策略
– 通过IPv6登录设备的安全要求与IPv4相同
17
目
录
ChinaNet组网与策略规范 IP城域骨干网组网与策略规范
——IPv6改造方案
3
1
2
城域网设备IPv6配置要求
城域网的IPv6改造
• 城域网下一代互联网部署重点关注CR/BRAS/MSE/SR/CGN/AFTR等设备
19
有效范围
路由大类
类型：16位
范围：0-65535 类型：AS号码 ：
AS号：16位
范围：0-65535
设定值： 32位
协议 预留 范围： 0-4294967295 路由归属 路由小类
类型：长度16位，采用设备的缺省类型值，不单独定义
10
IPv6路由的BGP Community组织策略（续） • IPv6 BGP Community各字段的定义
2
1
IP城域骨干网组网与策略规范
3
城域网设备IPv6配置要求
修订说明 • 修订背景
– ChinaNet骨干网进行IPv6改造，用于承载IPv4和IPv6业务流量
• 修订ChinaNet组网与策略规范（2010版）
– 继承2010版规范的文档结构 – 增加IPv6组网策略小节
• 修订考虑的因素
– IPv6承载需求 – 现有网络架构 – IPv6改造方案、技术成熟度、成本和复杂性等