《新華三：2025 IPv6技術白皮書（85頁）.pdf》由會員分享，可在線閱讀，更多相關《新華三：2025 IPv6技術白皮書（85頁）.pdf（85頁珍藏版）》請在三個皮匠報告上搜索。

1、IPv6 技術白皮書 Copyright 2022 新華三技術有限公司 版權所有，保留一切權利。非經本公司書面許可，任何單位和個人不得擅自摘抄、復制本文檔內容的部分或全部，并不得以任何形式傳播。除新華三技術有限公司的商標外，本手冊中出現的其它公司的商標、產品標識及商品名稱，由各自權利人擁有。本文中的內容為通用性技術信息，某些信息可能不適用于您所購買的產品。i 目 錄 1 概述 1 2 IPv6 技術優勢 1 2.1 充足的地址空間 1 2.2 層次化的地址結構 1 2.3 簡化報文頭 2 2.4 靈活的擴展頭 2 2.4.1 IPv6 擴展頭類型 2 2.4.2 IPv6 擴展頭的報文格式 3

2、 2.5 強大的鄰居發現協議 4 2.6 內置安全性 4 3 基于 IPv6 的協議擴展 5 3.1 IPv6 全球單播地址配置方式 5 3.1.2 無狀態地址自動配置 5 3.1.3 有狀態地址自動配置（DHCPv6）8 3.2 IPv6 DNS 12 3.2.1 IPv6 DNS 簡介 12 3.2.2 天窗問題避免 12 3.3 IPv6 路由 14 3.3.1 RIPng 14 3.3.2 OSPFv3 16 3.3.3 IPv6 IS-IS 20 3.3.4 IPv6 BGP（即 BGP4+）21 3.3.5 IPv4 和 IPv6 路由協議異同點總結 22 3.4 雙棧策略路由 2

3、2 3.5 IPv6 組播 22 3.5.1 IPv6 組播簡介 22 3.5.2 IPv6 組播地址 23 3.5.3 IPv6 組播 MAC 地址 26 3.5.4 IPv6 組播協議 27 3.6 網絡安全 28 3.6.1 一次認證雙棧放行 28 3.6.2 SAVI&SAVA&SMA 30 ii 3.6.3 微分段 36 3.7 VXLAN/EVPN VXLAN 支持 IPv6 39 4 過渡技術 41 4.1 雙棧技術 41 4.2 隧道技術 41 4.3 AFT 42 4.3.1 AFT 簡介 42 4.3.2 AFT 前綴轉換方式 43 4.3.3 AFT 的優缺點 44 4.

4、4 6PE 45 4.5 6vPE 45 5 IPv6 演進IPv6+47 5.1 IPv6+概述 47 5.2 SRv6 47 5.2.1 SRv6 基本概念 47 5.2.2 SRv6 技術優勢 47 5.2.3 SRv6 基本轉發機制 48 5.2.4 SRv6 報文轉發方式 49 5.2.5 G-SRv6 49 5.2.6 SRv6 高可靠性 52 5.2.7 SRv6 VPN 52 5.3 網絡切片 55 5.3.1 網絡切片概述 55 5.3.2 網絡切片的價值 55 5.3.3 網絡切片的技術方案 55 5.3.4 基于 Slice ID 的網絡切片實現原理 56 5.4 iFI

5、T 57 5.4.1 iFIT 概述 57 5.4.2 技術優點 58 5.4.3 應用場景 58 5.4.4 網絡框架 59 5.4.5 工作機制 60 5.5 BIER 62 5.5.1 概述 62 5.5.2 網絡模型 63 5.5.3 基本概念 64 iii 5.5.4 三層網絡架構 65 5.5.5 報文封裝格式 65 5.5.6 BIER 控制平面 68 5.5.7 BIER 轉發過程 69 6 IPv6 部署方案 70 6.1 IPv6 升級改造方案 70 6.1.1 新建 IPv6 網絡 70 6.1.2 部分設備支持雙棧 71 6.1.3 網絡邊界進行地址翻譯 71 6.1.

6、4 升級改造方案對比 72 6.2 園區網全面 IPv6 化部署方案 73 6.3 金融網絡 IPv6 改造方案 74 6.4 電子政務外網 IPv6+應用 78 6.4.1 SRv6 應用 78 6.4.2 網絡切片應用 79 6.4.3 可視化應用 80 1 1 概述概述 IPv6（Internet Protocol Version 6，互聯網協議版本 6）是網絡層協議的第二代標準協議，也被稱為 IPng（IP Next Generation，下一代互聯網協議）。IPv6 不僅解決了 IPv4 地址空間不足的問題，還在 IPv4 協議的基礎上進行了一些改進，例如，通過擴展頭提高 IPv6

7、協議的可擴展性、內置安全性解決網絡安全問題。IPv6 可以為互聯網和物聯網提供更加廣泛的連接，實現萬物互聯，打造數字化基礎設施，促進物聯網、工業互聯網、人工智能等新應用、新領域的創新。在 5G、物聯網等新興領域飛速發展的今天，IPv6 協議的魅力不斷展現，IPv6 協議獲得了更加廣闊的發展空間。本文在講解IPv6技術的優勢、基于IPv6的應用協議擴展后，將介紹IPv6協議的發展方向（即IPv6+），并提供幾種常見的 IPv6 部署方案，以幫助用戶理解和部署 IPv6 協議。2 IPv6 技術優勢技術優勢 2.1 充足的地址空間 IPv6 地址的長度是 128 比特（16 字節），可以提供超過

8、3.41038個地址。在萬物互聯的需求下，IPv6具有足夠大的地址空間，可以為每一個具有聯網需求的終端提供 IPv6 地址，而不用擔心地址耗盡，極大地增強了互聯網的服務能力。2.2 層次化的地址結構 IPv6 的地址空間采用了層次化的地址結構，地址管理更加便捷，且有利于路由快速查找，借助路由聚合，還可以有效減少 IPv6 路由表占用的系統資源。IPv6 地址使用多層等級結構。地址注冊機構分配 IPv6 地址范圍后，服務提供商、組織機構可以根據各自的需要在該 IPv6 地址范圍內分層級、更加精細地劃分地址范圍，以管理所轄范圍內的地址分布。如圖 1 所示，IPv6 地址由以下幾部分組成：網絡前綴：

9、由 CNNIC（China Internet Network Information Center，中國互聯網絡信息中心）和 ISP 分配。子網 ID：組織機構根據需要分層級劃分地址范圍。例如，先根據地域分別為省、市分配地址范圍，再按照業務類型分配地址范圍。接口 ID：網絡中主機的標識。圖1 IPv6 地址結構 網絡前綴 主機域接口ID網絡部分省標識子網ID市標識業務標識 2 2.3 簡化報文頭 通過將 IPv4 報文頭中的某些字段裁減或移入到擴展報文頭，減小了 IPv6 基本報文頭的長度。IPv6使用固定長度的基本報文頭，從而簡化了轉發設備對 IPv6 報文的處理，提高了轉發效率。盡管 IP

10、v6地址長度是 IPv4 地址長度的四倍，但 IPv6 基本報文頭的長度只有 40 字節，為 IPv4 報文頭長度（不包括選項字段）的兩倍。圖2 IPv4 報文頭和 IPv6 基本報文頭格式比較 2.4 靈活的擴展頭 IPv6 取消了 IPv4 報文頭中的選項字段，并引入了多種擴展報文頭，在提高處理效率的同時還大大增強了 IPv6 的靈活性，為 IP 協議提供了良好的擴展能力。IPv4 報文頭中的選項字段最多只有 40字節，而 IPv6 擴展報文頭的大小只受到 IPv6 報文大小的限制。2.4.1 IPv6 擴展頭類型 IPv6 支持的擴展頭如表 1 所示。擴展頭使得 IPv6 協議具有良好的

11、擴展性。根據業務需要，IPv6 不僅可以定義新的擴展頭，還可以在已有擴展頭中定義新的子擴展頭。表1 IPv6 擴展頭 擴展頭名稱 類型值 處理節點 用途 逐 跳 選 項 頭（Hop-by-Hop Options Header）0 報文轉發路徑上的所有節點 用于巨型載荷告警、路由器告警、預留資源（RSVP）路由頭（Routing Header）43 目的節點及報文必須經過的中間節點 用來指定報文必須經過的中間節點 分段頭（Fragment Header）44 目的節點 當IPv6報文的長度超過報文經過路徑的PMTU（Path MTU，路徑MTU）時，源節點將通過分段頭對該IPv6報文進行分片 在

12、IPv6中，僅源節點可以對報文進行分片，中Basic IPv6 headerVer0113Traffic classFlow labelPayload lengthNext headerHop limitSource address(128 bits)Destination address(128 bits)311523VerIHLToSTotal length073311523IdentificationFragment offsetFTTLProtocolHeader checksumSource address(32 bits)Destination address(32 bits)Op

13、tionsPaddingIPv4 header 3 擴展頭名稱 類型值 處理節點 用途 間節點不可以對報文進行分片 PMTU 是從源節點到目的節點的報文轉發路徑上最小的 MTU 封裝安全載荷頭（Encapsulating Security Payload Header，ESP Header）50 目的節點 用來提供數據加密、數據來源認證、數據完整性校驗和抗重放功能 認證頭（Authentication Header）51 目的節點 用來提供數據來源認證、數據完整性校驗和抗重放功能，它能保護報文免受篡改，但不能防止報文被竊聽，適合用于傳輸非機密數據 AH提供的認證服務要強于ESP 目 的 選 項

14、 頭（Destination Options Header）60 目的節點、路由頭中指定的中間節點 用來攜帶傳遞給目的節點、路由頭中指定中間節點的信息。例如，移動IPv6中，目的選項頭可以用于在移動節點和家鄉代理之間交互注冊信息 2.4.2 IPv6 擴展頭的報文格式 一個 IPv6 報文可以攜帶 0 個、1 個或多個擴展頭。如圖 3 所示，IPv6 通過 Next header 字段標明下一個擴展頭的類型。例如，IPv6 基本報文頭中的 Next header 字段取值為 43 時，表示緊跟在 IPv6基本報文頭后的擴展頭為路由頭；路由頭中的 Next header 字段取值為 44 時，表

15、示路由頭后的擴展頭為分段頭。最后一個擴展頭的 Next header 字段用來標識 Payload 類型。例如，取值為 6，表示 Payload 為 TCP報文；取值為 17，表示 Payload 為 UDP 報文。4 圖3 IPv6 擴展頭的報文格式 2.5 強大的鄰居發現協議 IPv6 的鄰居發現協議是通過一組 ICMPv6（Internet Control Message Protocol for IPv6，IPv6 互聯網控制消息協議）消息實現的，管理著鄰居節點間（即同一鏈路上的節點）信息的交互。它代替了ARP（Address Resolution Protocol，地址解析協議）、I

16、CMPv4 路由器發現和 ICMPv4 重定向消息，并提供了一系列其他功能：地址解析：獲取同一鏈路上鄰居節點的鏈路層地址，功能與 IPv4 的 ARP 相同。鄰居可達性檢測：在獲取到鄰居節點的鏈路層地址后，檢測鄰居節點的狀態，驗證鄰居節點是否可達。重復地址檢測：當節點獲取到一個 IPv6 地址后，驗證該地址是否已被其他節點使用，與 IPv4的免費 ARP 功能相似。路由器發現/前綴發現：節點獲取鄰居路由器的信息、所在網絡的前綴、以及其他配置參數。節點獲取到所在網絡前綴后，可以根據該前綴自動生成 IPv6 地址，該過程稱為 IPv6 地址無狀態自動配置。重定向功能：當網絡中存在更優的路徑時，路由

17、器向主機發送 ICMPv6 重定向報文，通知主機選擇更好的下一跳進行后續報文的發送。該功能與 IPv4 的 ICMP 重定向消息的功能相同。2.6 內置安全性 IPv4 協議本身未提供加密、認證等安全功能，需要與其他安全協議（如 IPsec）配合使用，或由應用協議來提供安全性，增加了應用協議設計的復雜度。IPv6 協議在設計時便充分考慮了安全問題，Extension headerVer0113Traffic classFlow labelPayload lengthNext headerHop limitSource address(128 bits)Destination address(1

18、28 bits)311523Next headerExtension headerNext headerPayloadBasic IPv6 header 5 在 IPv6 協議中定義了 ESP 頭和認證頭，通過 ESP 頭和認證頭為報文傳輸提供端到端的安全性?；?IPv6 協議的應用可以直接繼承 IPv6 協議的安全功能，為解決網絡安全問題提供了標準，并提高了不同 IPv6 應用之間的互操作性。3 基于基于 IPv6 的協議擴展的協議擴展 用于設備管理的協議（Telnet、SSH、SNMP 等）、高可靠性機制（VRRP、M-LAG 等）、安全協議（802.1X、端口安全等）無需改動或稍做修改

19、即可支持 IPv6。但是，還有一些 IPv4 網絡中運行的應用層協議、路由協議、組播協議、安全協議等，為了適應 IPv6 協議，需要進行一些擴展。本節介紹這些協議在 IPv6 網絡中的擴展方式。3.1 IPv6全球單播地址配置方式 節點可以通過如下方式獲取 IPv6 全球單播地址：手工配置：用戶手工為節點上的接口指定 IPv6 單播地址。無狀態地址自動配置：節點通過鄰居發現協議獲取到網絡前綴后，根據該前綴自動生成 IPv6單播地址。有狀態地址自動配置：節點通過 DHCPv6 協議從 DHCPv6 服務器獲取 IPv6 單播地址。不同 IPv6 全球單播地址配置方式的適用場景如表 2 所示。表2

20、 不同 IPv6 全球單播地址配置方式的適用場景 地址配置方式 優缺點 適用場景 前綴長度要求 手工配置 優點：無需協議報文交互 缺點：手工配置工作量，且無法動態調整 鏈 路 本 地 地 址 或Loopback接口地址 無要求，可自定義 無狀態地址自動配置 優點：無需額外部署服務器，實現較為簡單 缺點：無法精確控制為節點分配的IPv6地址 對終端訪問行為無強管控需求。例如物聯網終端（視頻監控、路燈等）固定為64位 有狀態地址自動配置 優點：可以精確控制分配給節點的IPv6地址，并記錄地址分配信息 缺點：需要在網絡中部署DHCPv6服務器，實現較為復雜 對終端訪問行為有強管控需求。例如校園網、辦

21、公區等 無要求，可自定義 無狀態地址自動配置和有狀態地址自動配置可以配合使用。例如，通過無狀態地址自動配置獲取IPv6 地址后，使用有狀態地址自動配置獲取其他網絡配置參數（如 DNS 服務器地址等）。3.1.2 無狀態地址自動配置 1.無狀態地址自動配置工作機制 無狀態地址自動配置通過 IPv6 的鄰居發現協議實現，其工作過程為：(1)路由器通過以下兩種方式通告前綴信息：6 路由器周期性地向所有節點的多播地址（FF02:1）發送 RA（Router Advertisement）消息，其中包括 IPv6 前綴、前綴的生命期、跳數限制等信息。節點啟動時，向所有路由器的多播地址（FF02:2）發送

22、RS（Router Solicitation）消息，路由器接收到 RS 消息后，向所有節點的多播地址（FF02:1）應答 RA 消息。前綴的生命期包括如下兩種：有效生命期：表示前綴有效期。在有效生命期內，通過該前綴自動生成的地址可以正常使用；有效生命期過期后，通過該前綴自動生成的地址變為無效，將被刪除。首選生命期：表示首選通過該前綴無狀態自動配置地址的時間。首選生命期過期后，節點通過該前綴自動配置的地址將被廢止。節點不能使用被廢止的地址建立新的連接，但是仍可以接收目的地址為被廢止地址的報文。首選生命期必須小于或等于有效生命期。(2)節點將路由器返回的 RA 消息中的地址前綴與本地的接口 ID

23、組合，生成 IPv6 單播地址。節點還會根據 RA 消息返回的配置信息自動配置節點，例如將 RA 消息中的跳數限制設置為本地發送的 IPv6 報文的最大跳數。(3)節點對生成的 IPv6 單播地址進行重復地址檢測。檢測方法為：節點在本地鏈路上，發送 NS（Neighbor Solicitation，鄰居請求）消息，NS 消息的目的地址為根據前綴自動生成的 IPv6單播地址的被請求節點多播地址。如果節點沒有接收到 NA（Neighbor Advertisement，鄰居通告）消息，則認為該地址不存在沖突，可以使用；否則，認為該地址存在沖突，不會使用該地址。被請求節點（Solicited-Node

24、）多播地址主要用于獲取同一鏈路上鄰居節點的鏈路層地址及實現重復地址檢測。每一個單播或任播 IPv6 地址都有一個對應的被請求節點地址。其格式為：FF02:0:0:0:0:1:FFXX:XXXX 其中，FF02:0:0:0:0:1:FF 為 104 位固定格式；XX:XXXX 為單播或任播 IPv6 地址的后 24 位。2.IEEE EUI-64 格式的接口 ID 節點自動根據本地信息生成借口 ID，不同接口的 IEEE EUI-64 格式接口 ID 的生成方法不同：所有 IEEE 802 接口類型（例如，以太網接口、VLAN 接口）：IEEE EUI-64 格式的接口 ID 是從接口的鏈路層地

25、址（MAC 地址）變化而來的。IPv6 地址中的接口 ID 是 64 位，而 MAC 地址是 48 位，因此需要在 MAC 地址的中間位置（從高位開始的第 24 位后）插入十六進制數FFFE（1111111111111110）。為了使接口 ID 的作用范圍與原 MAC 地址一致，還要將Universal/Local(U/L)位（從高位開始的第 7 位）進行取反操作。最后得到的這組數就作為EUI-64 格式的接口 ID。7 圖4 MAC 地址到 EUI-64 格式接口 ID 的轉換過程 Tunnel 接口：IEEE EUI-64 格式的接口 ID 的低 32 位為 Tunnel 接口的源 IPv

26、4 地址，ISATAP隧道的接口 ID 的高 32 位為 0000:5EFE，其他隧道的接口 ID 的高 32 位為全 0。其他接口類型（例如，Serial 接口）：IEEE EUI-64 格式的接口 ID 由設備隨機生成。3.自動生成接口 ID 不斷變化的 IPv6 地址 接口根據無狀態地址自動配置自動生成IPv6全球單播地址時，如果接口是IEEE 802類型的接口（例如，以太網接口、VLAN 接口），其接口 ID 是由 MAC 地址根據一定的規則生成，此接口 ID 具有全球唯一性。對于不同的前綴，接口 ID 部分始終不變，攻擊者通過接口 ID 可以很方便地識別出通信流量是由哪臺設備產生的，

27、并分析其規律，會造成一定的安全隱患。在無狀態地址自動配置時，如果自動生成接口 ID 不斷變化的 IPv6 地址，則可以加大攻擊的難度，從而保護網絡。為此，設備提供了臨時地址功能，進行無狀態地址自動配置，IEEE 802 類型的接口可以同時生成兩類地址：公共地址：地址前綴采用 RA 報文攜帶的前綴，接口 ID 由 MAC 地址產生。接口 ID 始終不變。臨時地址：地址前綴采用 RA 報文攜帶的前綴，接口 ID 由系統根據 MD5 算法計算產生。接口ID 不斷變化。指定優先選擇臨時地址后，系統將優先選擇臨時地址作為報文的源地址。當臨時地址的有效生命期過期后，這個臨時地址將被刪除，同時，系統會通過

28、MD5 算法重新生成一個接口 ID 不同的臨時地址。所以，該接口發送報文的源地址的接口 ID 總是在不停變化。如果生成的臨時地址因為 DAD 沖突不可用，就采用公共地址作為報文的源地址。4.前綴重新編址 當用戶需要切換到新的網絡前綴時，利用無狀態地址自動配置可以方便、透明地實現前綴重新編址。前綴重新編址的過程為：(1)路由器在本地鏈路上通過 RA 消息發布舊的 IPv6 前綴，將該前綴的有效生命期和首選生命期降低到接近于 0 的值。(2)路由器在本地鏈路上通過 RA 消息發布新的 IPv6 前綴。(3)節點上同時存在新舊兩個前綴生成的兩個 IPv6 地址新 IPv6 地址和舊 IPv6 地址。

29、使用舊IPv6 地址的連接仍然可以被處理，新建立的連接使用新 IPv6 地址。當舊 IPv6 地址的有效生命期結束后，該地址不再使用，節點僅使用新 IPv6 地址通信。MAC地址：0012-3400-ABCD二進制表示：000000000001001000110100000000001010101111001101插入FFFE：0000000000010010001101001111111111111110000000001010101111001101設置U/L位：0000001000010010001101001111111111111110000000001010101111001101

30、EUI-64地址：0212:34FF:FE00:ABCD 8 3.1.3 有狀態地址自動配置（DHCPv6）DHCPv6（Dynamic Host Configuration Protocol for IPv6，支持 IPv6 的動態主機配置協議）針對IPv6 編址方案設計，用來為主機分配 IPv6 前綴、IPv6 地址和其他網絡配置參數。1.DHCPv6 的優點 與其他 IPv6 地址分配方式（手工配置、無狀態地址自動配置）相比，DHCPv6 具有以下優點：更好地控制地址的分配。通過 DHCPv6 不僅可以記錄為主機分配的地址，還可以為特定主機分配特定的地址，以便于網絡管理。為 DHCPv6

31、 客戶端分配前綴，DHCPv6 客戶端再作為路由器將前綴通告給主機，以便于主機無狀態自動配置 IPv6 地址。通過這種方式，可以減少 DHCPv6 服務器管理的 IPv6 地址數量，并實現全網絡的自動配置和管理。除了 IPv6 前綴、IPv6 地址外，還可以為主機分配 DNS 服務器、域名后綴等網絡配置參數。2.DHCPv6 地址/前綴分配過程 DHCPv6 服務器為客戶端分配地址/前綴的過程分為兩類：交互兩個消息的快速分配過程 圖5 地址/前綴快速分配過程 如圖 5 所示，地址/前綴快速分配過程為：a.DHCPv6 客戶端在向 DHCPv6 服務器發送的 Solicit 消息中攜帶 Rapi

32、d Commit 選項，標識客戶端希望服務器能夠快速為其分配地址/前綴和其他網絡配置參數。b.如果 DHCPv6 服務器支持快速分配過程，則直接返回 Reply 消息，為客戶端分配 IPv6 地址/前綴和其他網絡配置參數。如果 DHCPv6 服務器不支持快速分配過程，則采用交互四個消息的分配過程為客戶端分配 IPv6 地址/前綴和其他網絡配置參數。交互四個消息的分配過程 圖6 交互四個消息的分配過程 DHCPv6 clientDHCPv6 server(1)Solicit(contains a Rapid Commit option)(2)Reply(1)SolicitDHCPv6 clien

33、tDHCPv6 server(2)Advertise(3)Request(4)Reply 9 交互四個消息分配過程的簡述如表 3。表3 交互四個消息的分配過程 步驟 發送的消息 說明(1)Solicit DHCPv6客戶端發送該消息，請求DHCPv6服務器為其分配IPv6地址/前綴和網絡配置參數(2)Advertise 如果Solicit消息中沒有攜帶Rapid Commit選項，或Solicit消息中攜帶Rapid Commit選項，但服務器不支持快速分配過程，則DHCPv6服務器回復該消息，通知客戶端可以為其分配的地址/前綴和網絡配置參數(3)Request 如果DHCPv6客戶端接收到多

34、個服務器回復的Advertise消息，則根據消息接收的先后順序、服務器優先級等，選擇其中一臺服務器，并向該服務器發送Request消息，請求服務器確認為其分配地址/前綴和網絡配置參數(4)Reply DHCPv6服務器回復該消息，確認將地址/前綴和網絡配置參數分配給客戶端使用 3.地址/前綴租約更新過程 DHCPv6 服務器分配給客戶端的 IPv6 地址/前綴具有一定的租借期限，該租借期限稱為租約。租借期限由有效生命期決定。地址/前綴的租借時間到達有效生命期后，DHCPv6 客戶端不能再使用該地址/前綴。在有效生命期到達之前，如果 DHCPv6 客戶端希望繼續使用該地址/前綴，則需要申請延長地

35、址/前綴租約。圖7 通過 Renew 更新地址/前綴租約 如圖 7 所示，地址/前綴租借時間到達時間 T1（推薦值為首選生命期的一半）時，DHCPv6 客戶端會向為它分配地址/前綴的 DHCPv6 服務器發送 Renew 報文，以進行地址/前綴租約的更新。如果客戶端可以繼續使用該地址/前綴，則 DHCPv6 服務器回應續約成功的 Reply 報文，通知 DHCPv6客戶端已經成功更新地址/前綴租約；如果該地址/前綴不可以再分配給該客戶端，則 DHCPv6 服務器回應續約失敗的 Reply 報文，通知客戶端不能獲得新的租約。圖8 通過 Rebind 更新地址/前綴租約 DHCPv6 client

36、DHCPv6 server(1)Renew(2)ReplyT1(1)RenewDHCPv6 clientDHCPv6 server(2)Rebind(3)ReplyT1T2 10 如圖 8 所示，如果在 T1 時發送 Renew 請求更新租約，但是未收到 DHCPv6 服務器的回應報文，則 DHCPv6 客戶端會在 T2（推薦值為首選生命期的 0.8 倍）時，向所有 DHCPv6 服務器組播發送Rebind 報文請求更新租約。如果客戶端可以繼續使用該地址/前綴，則 DHCPv6 服務器回應續約成功的 Reply 報文，通知 DHCPv6 客戶端已經成功更新地址/前綴租約；如果該地址/前綴不可以

37、再分配給該客戶端，則 DHCPv6 服務器回應續約失敗的 Reply 報文，通知客戶端不能獲得新的租約；如果 DHCPv6 客戶端未收到服務器的應答報文，則到達有效生命期后，客戶端停止使用該地址/前綴。4.DHCPv6 選項介紹 Option 17 Option 17 稱為廠商自定義選項（Vendor-specific Information），是 RFC 中規定的保留選項，設備作為 DHCPv6 服務器時，可以利用該選項攜帶額外的網絡參數（例如 TFTP 服務器名稱、地址或設備的配置文件名等）并發送給 DHCPv6 客戶端，以便為 DHCPv6 客戶端提供相應的服務。為了提供可擴展性，通過

38、Option 17 為客戶端分配更多的信息，Option 17 采用子選項的形式，通過不同的子選項為用戶分配不同的網絡配置參數，目前每個廠商自定義選項下最多配置 16個子選項內容。Option 18 Option 18 稱為接口 ID 選項（Interface ID），設備接收到 DHCPv6 客戶端發送的 DHCPv6請求報文后，在該報文中添加 Option 18 選項（DHCPv6 中繼會在 Relay-forwad 報文中添加Option 18 選項），并轉發給 DHCPv6 服務器。服務器可根據 Option 18 選項中的客戶端信息選擇合適的地址池為 DHCPv6 客戶端分配 IPv

39、6 地址。圖 9 為 Option 18 選項格式。圖9 Option 18 選項格式 各字段的解釋如下：Option code：Option 編號，取值為 18。Option length：Option 字段長度。Port index：DHCPv6 設備收到客戶端請求報文的端口索引。VLAN ID：第一層 VLAN 信息。Second VLAN ID：第二層 VLAN 信息。選項格式中的 Second VLAN ID 字段為可選，如果 DHCPv6 報文中不含有 Second VLAN，則 Option 18 中也不包含 Second VLAN ID 內容。DUID：缺省為設備本身的 DUI

40、D 信息，可通過命令行配置為其它 DUID 信息。Option 37 Option codeOption length07152331Port indexVLAN IDSecond VLAN ID(option)DUID(variable)11 Option 37 稱為遠程 ID 選項（Remote ID），設備接收到 DHCPv6 客戶端發送的 DHCPv6 請求報文后，在該報文中添加 Option 37 選項（DHCPv6 中繼會在 Relay-forwad 報文中添加Option 37 選項），并轉發給 DHCPv6 服務器。服務器可根據 Option 37 選項中的信息對DHCPv6

41、客戶端定位，為分配 IPv6 地址提供幫助。圖 10 為 Option 37 選項格式。圖10 Option 37 選項格式 各字段的解釋如下：Option code：Option 編號，取值為 37。Option length：Option 字段長度。Enterprise number：企業編號。Port index：DHCPv6 設備收到客戶端請求報文的端口索引。VLAN ID：第一層 VLAN 信息。Second VLAN ID：第二層 VLAN 信息。選項格式中的 Second VLAN ID 字段為可選，如果 DHCPv6 報文中不含有 Second VLAN，則 Option 37

42、 中也不包含 Second VLAN ID 內容。DUID：缺省為設備本身的 DUID 信息，可通過命令行配置為其它 DUID 信息。Option 79 Option 79 稱為客戶端鏈路地址選項（Client link layer address）。DHCPv6 請求報文經過第一個 DHCPv6 中繼時，該 DHCPv6 中繼會學習報文的源 MAC 地址，即 DHCPv6 客戶端的MAC 地址。DHCPv6 中繼生成和請求報文對應的 Relay-Forward 報文時，會將學到的 MAC地址添加到報文的 Option 79 選項中，再將該報文轉發給 DHCPv6 服務器。DHCPv6 服務器

43、可根據 Option 79 選項中的信息學習 DHCPv6 客戶端的 MAC 地址，為 IPv6 地址/IPv6 前綴分配或客戶端合法性認證提供幫助。圖 11 為 Option 79 選項格式。圖11 Option 79 選項格式 各字段的解釋如下：Option code：Option 編號，取值為 79。Option codeOption length07152331Port indexVLAN IDSecond VLAN ID(option)DUID(variable)Enterprise numberLink-layer address(variable)Option length07O

44、ption code152331Link-layer type(16 bits)12 Option length：Option 字段長度。Link-layer type：客戶端鏈路層地址類型。Link-layer address：客戶端鏈路層地址。3.2 IPv6 DNS 3.2.1 IPv6 DNS 簡介 DNS（Domain Name System，域名系統）是一種用于 TCP/IP 應用程序的分布式數據庫，提供域名與 IP 地址之間的轉換。通過域名系統，用戶進行某些應用時，可以直接使用便于記憶的、有意義的域名，而由網絡中的域名解析服務器將域名解析為正確的 IP 地址。在 IPv6 網絡中

45、，DNS 主要使用 AAAA 和 PTR 記錄來實現域名與 IPv6 地址的轉換。AAAA 記錄：用來將域名映射為 IPv6 地址，實現正向地址解析。PTR 記錄：用來將 IPv6 地址映射為域名，實現反向地址解析。3.2.2 天窗問題避免 在 IPv4 網絡向 IPv6 網絡遷移的過程中，IPv4 網絡和 IPv6 網絡在一段時期內將共存。IPv4 和 IPv6共存網絡中，用戶訪問 IPv6 網頁時，可能會出現天窗問題。天窗問題是指用戶訪問 IPv6 網頁時，如果網頁中包含其他網站的鏈接（簡稱為外鏈），且該網站屬于未進行 IPv6 改造升級的 IPv4 網絡，則 IPv6 網頁訪問會出現響應

46、緩慢、部分內容無法顯示、部分功能無法使用等情況。1.避免雙棧終端訪問 IPv6 網頁的天窗問題 如圖 12 所示，天窗問題出現的原因為：雙棧終端訪問 IPv6 網頁時，對于其中包含的 IPv4 網站鏈接，雙棧終端將其視為 IPv6 網址，向 DNS 服務器請求 AAAA 記錄。由于 IPv4 網站不存在對應的AAAA 記錄，導致域名解析失敗。圖12 天窗問題產生的原因示意圖 雙棧終端IPv6網絡IPv4網絡IPv6網站ipv6-IPv4網站ipv4-DNS server(1)請求ipv6-的AAAA記錄(2)應答AAAA記錄，IPv6地址為1:1(3)雙棧終端與IPv6網站建立連接，獲取IPv

47、6網頁內容(4)請求ipv4-的AAAA記錄(5)應答空的AAAA記錄 13 可以通過 IPv6 域名解析失敗、IPv6 連接建立失敗后，嘗試進行 IPv4 域名解析、建立 IPv4 連接的方式解決天窗問題。具體工作過程為：(1)雙棧終端優先發送 IPv6 DNS 請求，請求 IPv6 網頁內嵌域名的 AAAA 記錄。(2)雙棧終端隨后發送 IPv4 DNS 請求，請求 IPv6 網頁內嵌域名的 A 記錄。(3)如果雙棧終端接收到域名服務器回復的 AAAA 記錄，則雙棧終端向 AAAA 記錄中的 IPv6 地址發送連接建立請求，與內嵌網站建立 IPv6 連接。(4)如果雙棧終端未收到 AAAA

48、 記錄，或與 AAAA 記錄中的 IPv6 地址建立連接失敗，則雙棧終端向 A 記錄中的 IPv4 地址發送連接建立請求，與內嵌網站建立 IPv4 連接。2.避免 IPv6 單棧終端訪問 IPv6 網頁的天窗問題 IPv6 單棧終端訪問 IPv6 網頁時，對于其中包含的 IPv4 網站鏈接，客戶端瀏覽器會向本地 DNS 服務器發送請求外鏈域名的 IPv6 DNS 請求報文。由于 DNS 服務器不存在 IPv4 網站鏈接的 AAAA 記錄，域名解析失敗，進而出現天窗問題。為了解決上述場景中的天窗問題，需要部署 LB 設備并在LB 設備上配置外鏈代理功能。如圖 13 所示，在 LB 設備上配置外鏈

49、代理功能后，LB 設備在響應 IPv6 客戶端訪問主站頁面的請求時，會同時向客戶端返回外鏈改寫的腳本文件?？蛻舳藶g覽器執行該腳本文件，對 IPv4 外鏈域名進行改寫。然后，客戶端向本地 DNS 服務器查詢改寫后的外鏈域名。本地 DNS 服務器根據查詢的域名將 DNS 請求重定向至 LB 設備，由 LB 設備代替 IPv6 客戶端請求外鏈資源，并將外鏈資源返回給客戶端。具體工作過程為：(1)IPv6 Host瀏覽器執行腳本文件，將外鏈域名改寫為http:/。(2)IPv6 Host向Local DNS server發送查詢域名http:/的DNS請求報文。Local DNS server 根據查

50、詢結果通知 IPv6 Host 解析該域名的權威 DNS 服務器為LB device。(3)IPv6 Host向LB device發送查詢域名http:/的DNS請求報文。(4)LB device 收到包含改寫后域名的 DNS 請求報文后，代替 IPv6 Host 向 DNS sever 發送查詢原始外鏈域名 http:/ 的 DNS 請求報文，獲取外鏈資源的 IPv4 地址。(5)LB device 根據外鏈資源的 IPv4 地址獲取外鏈資源。(6)LB device 將收到的外鏈資源發送給 IPv6 Host。瀏覽器解析獲取到的外鏈資源即可將正常的網頁展示給用戶。14 圖13 外鏈代理流程

51、圖 3.3 IPv6路由 IPv4 網絡中常見的路由協議包括 RIP、OSPF、IS-IS 和 BGP。這些路由協議需要進行一定的演變和擴展才能應用于 IPv6 網絡。擴展后的路由協議稱為 RIPng、OSPFv3、IPv6 IS-IS 和 IPv6 BGP。IPv4 網絡和 IPv6 網絡的路由協議在應用場景、路由思路、優劣勢等方面并無本質區別，只是為了適應 IPv6 地址及 IPv6 網絡特點，調整了部分路由工作機制。3.3.1 RIPng RIP 有兩個版本：RIP-1 和 RIP-2。RIP-1 是有類別路由協議（Classful Routing Protocol），它只支持以廣播方式

52、發布協議報文。RIP-1的協議報文無法攜帶掩碼信息，它只能識別 A、B、C 類這樣的自然網段的路由，因此 RIP-1 不支持不連續子網。RIP-2 是一種無類別路由協議（Classless Routing Protocol），與 RIP-1 相比，它有以下優勢：支持路由標記，在路由策略中可根據路由標記對路由進行靈活的控制。報文中攜帶掩碼信息，支持路由聚合和 CIDR。支持指定下一跳，在廣播網上可以選擇到最優下一跳地址。支持組播方式發送更新報文，減少資源消耗。在路由更新報文中增加一個認證 RTE（Route Entries，路由表項）以支持對協議報文進行驗證，并提供明文驗證和 MD5 驗證兩種方

53、式，增強安全性。RIPng 在工作機制上與 RIP-2 基本相同，但為了支持 IPv6 地址格式，RIPng 對 RIP-2 做了一些改動。1.報文的不同 路由信息中的目的地址和下一跳地址長度不同。RIP-2 報文中路由信息的目的地址和下一跳地址只有 32 比特，而 RIPng 均為 128 比特。IPv6 HostLB deviceVSIP10:10IPv6主網站IPv4外鏈網站Internet Local DNS server主站出口DNS serverWeb severWeb sever :8080IPv6流量IPv4流量 15 報文長度不同。RIP-2 對報文的長度有限制，規定每個報文

54、最多只能攜帶 25 個 RTE，而 RIPng 對報文長度、RTE 的數目都不作規定，報文的長度與發送接口設置的 IPv6 MTU 有關。報文格式不同。RIP-2 報文結構如圖 14 所示，由頭部（Header）和多個 RTE 組成。圖14 RIP-2 報文 RIPng 報文結構如圖 15 所示。與 RIP-2 一樣，RIPng 報文也是由 Header 和多個 RTE 組成。與 RIP-2 不同的是，在 RIPng 里有兩類 RTE，分別是：下一跳 RTE：位于一組具有相同下一跳的 IPv6 前綴 RTE 的前面，它定義了下一跳的 IPv6地址。IPv6 前綴 RTE：位于某個下一跳 RTE

55、 的后面。同一個下一跳 RTE 的后面可以有多個不同的 IPv6 前綴 RTE。它描述了 RIPng 路由表中的目的 IPv6 地址、路由標記、前綴長度以及度量值。圖15 RIPng 報文 下一跳 RTE 的格式如圖 16 所示，其中，IPv6 next hop address 表示下一跳的 IPv6 地址。圖16 下一跳 RTE 格式 CommandAFIIP addressVersionUnusedSubnet maskNext hopRoute tagMetric071531RouteEntriesHeaderCommandNexthop RTEIPv6 prefix RTEVersio

56、nUnusedIPv6 prefix RTEIPv6 prefix RTEIPv6 prefix RTE071531RouteEntriesHeaderIPv6 next hop address(16 octets)Must be zeroMust be zero0 xFF071531 16 IPv6 前綴 RTE 的格式如圖 17 所示，各字段的解釋如下：IPv6 prefix：目的 IPv6 地址的前綴。Route tag：路由標記。Prefix lenth：IPv6 地址的前綴長度。Metric：路由的度量值。圖17 IPv6 前綴 RTE 格式 報文的發送方式不同。RIP-2 可以根據

57、用戶配置采用廣播或組播方式來周期性地發送路由信息；RIPng 使用組播方式周期性地發送路由信息。2.安全認證不同 RIPng 自身不提供認證功能，而是通過使用 IPv6 提供的安全機制來保證自身報文的合法性。因此，RIP-2 報文中的認證 RTE 在 RIPng 報文中被取消。3.與網絡層協議的兼容性不同 RIP-2 不僅能在 IP 網絡中運行，也能在 IPX 網絡中運行；RIPng 只能在 IPv6 網絡中運行。3.3.2 OSPFv3 OSPFv3 在工作機制上與 OSPFv2 基本相同，但為了支持 IPv6 地址格式，OSPFv3 對 OSPFv2 做了一些改動。1.OSPFv3 與 O

58、SPFv2 的相同點 OSPFv3 在協議設計思路和工作機制與 OSPFv2 基本一致：報文類型相同：包含 Hello、DD、LSR、LSU、LSAck 五種類型的報文。區域劃分相同。LSA 泛洪和同步機制相同：為了保證 LSDB 內容的正確性，需要保證 LSA 的可靠泛洪和同步。路由計算方法相同：采用最短路徑優先算法計算路由。網絡類型相同：支持廣播、NBMA、P2MP 和 P2P 四種網絡類型。鄰居發現和鄰接關系形成機制相同：OSPF路由器啟動后，便會通過 OSPF接口向外發送Hello報文，收到 Hello 報文的 OSPF 路由器會檢查報文中所定義的參數，如果雙方一致就會形成鄰居關系。形

59、成鄰居關系的雙方不一定都能形成鄰接關系，這要根據網絡類型而定，只有當雙方成功交換 DD 報文，交換 LSA 并達到 LSDB 的同步之后，才形成真正意義上的鄰接關系。DR 選舉機制相同：在 NBMA 和廣播網絡中需要選舉 DR 和 BDR。IPv6 prefix(16 octets)Route tagPrefix lengthMetric071531 17 2.OSPFv3 與 OSPFv2 的不同點 為了支持在 IPv6環境中運行，指導 IPv6報文的轉發，OSPFv3對 OSPFv2做出了一些必要的改進，使得 OSPFv3 可以獨立于網絡層協議，而且只要稍加擴展，就可以適應各種協議，為未來

60、可能的擴展預留了充分的可能。OSPFv3 與 OSPFv2 不同主要表現在：基于鏈路的運行。OSPFv2 是基于網絡運行的，兩個路由器要形成鄰居關系必須在同一個網段。OSPFv3 的實現是基于鏈路，一條鏈路可以包含多個子網，節點即使不在同一個子網內，只要在同一鏈路上就可以直接通信。使用鏈路本地地址。OSPFv3 的路由器使用鏈路本地地址作為發送報文的源地址。一臺路由器可以學習到這條鏈路上相連的所有其它路由器的鏈路本地地址，并使用這些鏈路本地地址作為下一跳來轉發報文。但是在虛連接上，必須使用全球范圍地址作為 OSPFv3 協議報文的源地址。由于鏈路本地地址只在本鏈路上有意義且只能在本鏈路上泛洪，

61、因此鏈路本地地址只能出現在Link LSA 中。鏈路支持多實例復用。如圖 18 所示，OSPFv3 支持在同一鏈路上運行多個實例，實現鏈路復用并節約成本。圖18 鏈路支持多實例復用示意圖 Device A、Device B、Device C和 Device D連接到同一個廣播網上，它們共享同一條鏈路。在Device A的Interface A、Device B的Interface B、Device C的Interface C上指定實例1；在Device A的Interface A、Device B的Interface B、Device D的Interface D上指定實例2，實現了 Devic

62、e A、Device B 和 Device C 可以建立鄰居關系，Device A、Device B 和 Device D 可以建立鄰居關系。這是通過在 OSPFv3 報文頭中添加 Instance ID 字段來實現的。如果接口配置的 Instance ID與接收的 OSPFv3 報文的 Instance ID 不匹配，則丟棄該報文，從而無法建立鄰居關系。通過 Router ID 唯一標識鄰居。Device ADevice BDevice CDevice DInterface BInterface AInterface CInterface DInstance 1Instance 2 18 在

63、 OSPFv2 中，當網絡類型為點到點或者通過虛連接與鄰居相連時，通過 Router ID 來標識鄰居路由器，當網絡類型為廣播或 NBMA 時，通過鄰居接口的 IP 地址來標識鄰居路由器。OSPFv3 取消了這種復雜性，無論對于何種網絡類型，都是通過 Router ID 來唯一標識鄰居。認證的變化。OSPFv3 協議除了自身可以提供認證功能外，還可以通過使用 IPv6 提供的安全機制來保證自身報文的合法性。Stub 區域的支持。由于 OSPFv3 支持對未知類型 LSA 的泛洪，為防止大量未知類型 LSA 泛洪進入 Stub 區域，對于向 Stub 區域泛洪的未知類型 LSA 進行了明確規定：

64、只有當未知類型 LSA 的泛洪范圍是區域或鏈路而且 U 比特沒有置位時，未知類型 LSA 才可以向 Stub 區域泛洪。報文的不同。OSPFv3 報文封裝在 IPv6 報文中，每一種類型的報文均以一個 16 字節的報文頭部開始。與 OSPFv2 一樣，OSPFv3 的五種報文都有同樣的報文頭，只是報文中的字段有些不同。OSPFv3 的 LSU 和 LSAck 報文與 OSPFv2 相比沒有什么變化，但 OSPFv3 的報文頭、Hello與 OSPFv2 略有不同，報文的改變包括以下幾點：版本號從 2 升級到 3。報文頭的不同：與 OSPFv2 報文頭相比，OSPFv3 報文頭長度只有 16 字

65、節，去掉了認證字段，但增加了 Instance ID 字段。Instance ID 字段用來支持在同一條鏈路上運行多個實例，且只在鏈路本地范圍內有效。Hello 報文的不同：與 OSPFv2 Hello 報文相比，OSPFv3 Hello 報文去掉了網絡掩碼字段，增加了 Interface ID 字段，用來標識發送該 Hello 報文的接口 ID。Option 字段不同。在 OSPFv2 中，Option 字段出現在每一個 Hello 報文、DD 報文以及每一個 LSA 中。在 OSPFv3 中，Option 字段只在 Hello 報文、DD 報文、Router LSA、Network LSA

66、、Inter Area Router LSA 以及 Link LSA 中出現。OSPFv2 的 Option 字段如圖 19 所示。圖19 OSPFv2 Option 字段格式 OSPFv3 的 Option 字段如圖 20 所示。圖20 OSPFv3 Option 字段格式 從上圖可以看出，與 OSPFv2相比，OSPFv3的 Option字段增加了R比特、V比特。其中：R 比特：用來標識設備是否是具備轉發能力的路由器。如果 R 比特置 0，則表示該節點的路由信息將不會參加路由計算。如果當前設備不想轉發目的地址不是本地地址的報文，可以將 R 比特置 0。DNODCEAN/PMCEMT0801

67、824DCMCERVN 19 V 比特：如果 V 比特置 0，該路由器或鏈路不會參加路由計算。LSA 類型格式不同。OSPFv3 支持七種類型的 LSA。OSPFv3 LSA 與 OSPFv2 LSA 的異同如表 4 所示。表4 OSPFv3 與 OSPFv2 LSA 的異同點 OSPFv2 LSA OSPFv3 LSA 與 OSPFv2 LSA 異同點說明 Router LSA Router LSA 名稱相同，作用也類似，但是不再描述地址信息，僅僅用來描述路由域的拓撲結構 Network LSA Network LSA Network Summary LSA Inter Area Prefi

68、x LSA 作用類似，名稱不同 ASBR Summary LSA Inter Area Router LSA AS External LSA AS External LSA 作用與名稱完全相同 無 Link LSA 新增LSA Intra Area Prefix LSA 新增LSA OSPFv3 新增了 Link LSA 和 Intra Area Prefix LSA。Router LSA 不再包含地址信息，使能 OSPFv3 的路由器為它所連接的每條鏈路產生單獨的Link LSA，將當前接口的鏈路本地地址以及路由器在這條鏈路上的一系列 IPv6 地址信息向該鏈路上的所有其它路由器通告。Rou

69、ter LSA 和 Network LSA 中不再包含路由信息，這兩類 LSA 中所攜帶的路由信息由Intra Area Prefix LSA 來描述，該類 LSA 用來公告一個或多個 IPv6 地址前綴。LSA 處理方式不同。OSPFv3 擴大了 LSA 的泛洪范圍。LSA 的泛洪范圍已經被明確地定義在 LSA 的 LS Type 字段。目前，有三種 LSA 泛洪范圍：鏈路本地范圍：LSA 只在本地鏈路上泛洪，不會超出這個范圍，該范圍適用于新定義的 Link LSA。區域范圍：LSA的泛洪范圍僅僅覆蓋一個單獨的 OSPFv3區域。Router LSA、Network LSA、Inter Ar

70、ea Prefix LSA、Inter Area Router LSA 和 Intra Area Prefix LSA 都是區域范圍泛洪的 LSA。自治系統范圍：LSA 將被泛洪到整個路由域，AS External LSA 就是自治系統范圍泛洪的LSA。支持對未知類型 LSA 的處理方式不同。在 OSPFv2 中，收到類型未知的 LSA 將直接丟棄。OSPFv3 在 LSA 的 LS Type 字段中增加了一個 U 比特位來位標識對未知類型 LSA 的處理方式：如果 U 比特置 1，則對于未知類型的 LSA 按照 LSA 中的 LS Type 字段描述的泛洪范圍進行泛洪。如果 U 比特置 0，

71、對于未知類型的 LSA 僅在鏈路范圍內泛洪。LSA 格式不同。為了適應 IPv6 地址長度和地址類型等需求，OSPFv3 對 LSA 頭及各類 LSA 的格式進行了調整，詳細介紹請參見OSPFv3 技術白皮書。20 3.3.3 IPv6 IS-IS 為了支持在IPv6環境中運行，指導IPv6報文的轉發，IPv6 IS-IS采用NLPID（Network Layer Protocol Identifier，網絡層協議標識符）值 142（0 x8E）來標識 IPv6 協議，并通過對 IS-IS TLV 進行簡單的擴展，使其能夠處理 IPv6 的路由信息。1.IPv6 IS-IS 新增 TLV TL

72、V（Type-Length-Value）是 LSP（Link State PDU，鏈路狀態協議數據單元）中的一個可變長字段值。為了支持 IPv6 路由的處理和計算，IS-IS 新增了兩個 TLV，分別是：IPv6 可達性 TLV（IPv6 Reachability TLV）類型值為 236（0 xEC），通過定義路由信息前綴、度量值等信息來說明網絡的可達性。IPv6 IS-IS中的 IPv6 可達性 TLV 對應于 IS-IS 中的普通可達性 TLV 和擴展可達性 TLV，格式如圖 21 所示。圖21 IPv6 可達性 TLV 主要字段的解釋如下：Type：取值為 236，表示該 TLV 是

73、IPv6 可達性 TLV。Length：TLV 長度。Metric：度量值，使用擴展的 Metric 值，取值范圍為 04261412864。度量值大于4261412864 的 IPv6 可達性信息都被忽略掉。U：up/down 狀態標志位，用來防止路由環路。當某條路由從 Level-2 路由器傳播到 Level-1路由器時，這個位被置為 1，從而保證了該路由不會被回環。X：外部路由引入標識，取值 1 表示該路由是從其它協議引入的。S：當 TLV 中不攜帶 Sub-TLV 時，S 位置“0”；當 S 位置“1”時，表示 IPv6 前綴后面跟隨 Sub-TLV 信息。Reserve：保留位。Pr

74、efix Length：IPv6 路由的前綴長度。Prefix：該路由器可以到達的 IPv6 路由前綴。Sub-TLV Length/Sub-TLVs：Sub-TLV 字段長度以及 Sub-TLVs 字段，該選項用于以后擴展用。IPv6 接口地址 TLV 類型值為 232（0 xE8），它對應于 IPv4 中的 IP Interface Address TLV，只不過把原來的 32比特的 IPv4 地址改為 128比特的 IPv6 地址。IPv6 接口地址 TLV 對應于 IS-IS中的 IPv4 接口地址 TLV，格式如圖 22 所示。Type=236Metric.U X SReserveP

75、refix LengthPrefix.Sub-TLV Length(*)Sub-TLVs(*).Length.Metric0 1234567890 123456789 0 1234567890 1*:if present 21 圖22 IPv6 接口地址 TLV 主要字段的解釋如下：Type：取值為 232，表示該 TLV 類型是 IPv6 接口地址 TLV。Length：TLV 長度。Interface Address：使能 IPv6 IS-IS 功能接口的 IPv6 地址，Hello 報文中接口 IPv6 地址TLV 填入的是接口的 IPv6 鏈路本地地址，LSP 報文中填入的是接口的非

76、IPv6 鏈路本地地址，即接口的 IPv6 全球單播地址。2.IPv6 IS-IS 鄰接關系 IS-IS 使用 Hello 報文來發現同一條鏈路上的鄰居路由器并建立鄰接關系，當鄰接關系建立完畢后，將繼續周期性地發送 Hello 報文來維持鄰接關系。為了支持 IPv6 路由，建立 IPv6 鄰接關系，IPv6 IS-IS 對 Hello 報文進行了擴充：NLPID 是標識 IS-IS 支持何種網絡層協議的一個 8 比特字段，IPv6 IS-IS 對應的 NLPID 值為142（0 x8E）。如果設備支持 IPv6 IS-IS 功能，那么它必須在 Hello 報文中攜帶該值向鄰居通告其支持 IPv

77、6。在 Hello 報文中添加 IPv6 接口地址 TLV，Interface Address 字段填入使能了 IPv6 IS-IS 功能接口的 IPv6 鏈路本地地址。3.3.4 IPv6 BGP（即 BGP4+）IPv6 BGP 利用 BGP 的多協議擴展屬性，來實現在 IPv6 網絡中跨自治系統傳播 IPv6 路由。BGP-4 中與 IPv4 網絡層協議相關的信息由 Update 消息攜帶，這些信息是：NLRI 和 NEXT_HOP屬性等路徑屬性。為實現對 IPv6 的支持，IPv6 BGP 在 NLRI 和 NEXT_HOP 屬性基礎上進行了擴展：引入兩個新的路徑屬性 MP_REACH

78、_NLRI 和 MP_UNREACH_NLRI，用以代替 BGP-4 的NLRI 字段，以提供對 IPv6 地址前綴的 BGP 路由的支持。下一跳信息新增對 IPv6 地址的支持，下一跳信息中不僅可以攜帶全球單播 IPv6 地址，還可以攜帶鏈路本地地址。IPv6 BGP 的下一跳信息通過 MP_REACH_NLRI 屬性攜帶，而不是在NEXT_HOP 屬性中攜帶。在尚未完全演進的 IPv4/IPv6混合網絡中，IPv6 BGP提供了通過BGP IPvX會話承載 IPv6的能力，使得設備可以在 IPv4 會話上交互 IPv6 BGP 路由，亦可以在 IPv6 會話上交互 IPv4 BGP 路由，

79、為IPv4/IPv6 網絡提供了擴展支持 IPv6/IPv4 流量轉發的能力。Type=232Interface Address 1(*).Interface Address 1(*).Length.Interface Address 1(*).Interface Address 1(*).Interface Address 1(*).Interface Address 2(*).0 1234567890 123456789 0 1234567890 1*:if present 22 3.3.5 IPv4 和 IPv6 路由協議異同點總結 IPv4 和 IPv6 路由協議的主要異同點如所示。表

80、5 IPv4 和 IPv6 路由協議的主要異同點 協議類型 相同點 主要差異點 RIP/RIPng 路由計算思路、基本工作機制相同 報文格式的差異（組播地址、UDP 端口、協議報文格式）路由下一跳處理的差異 RIPng 的安全控制由 IPv6 報頭實現 OSPFv2/OSPFv3 路由計算思路、基本工作機制相同 OSPFv3 修改了 LSA 的種類和格式，使其支持發布 IPv6 路由信息 OSPFv3 修改部分協議流程，使其獨立于網絡協議，大大提高了可擴展性 OSPFv3 支持處理未知類型 LSA，提高了協議對未來擴展的適應性 IS-IS/IPv6 IS-IS 協議架構相同 IPv6 IS-I

81、S 在 Hello 報文中新定義了支持 IPv6 的網絡層協議標識符 NLPID（類型值為 142）IPv6 IS-IS 新增 IPv6 接口地址 TLV 和 IPv6 可達性TLV BGP-4/IPv6 BGP 協議架構相同 IPv6 BGP 擴展 Open 消息，使其支持 IPv6 能力協商 IPv6 BGP 擴展了支持 IPv6 地址的MP_REACH_NLRI、MP_UNREACH_NLRI 和Nexthop 屬性 3.4 雙棧策略路由 與按照報文目的地址查找路由表進行轉發的路由協議不同，策略路由是一種依據用戶制定的策略進行轉發的機制。策略路由可以對于滿足一定條件（例如 ACL 規則）

82、的報文，執行指定的操作（設置報文的下一跳、出接口、缺省下一跳和缺省出接口等）。雙棧策略路由與單棧策略路由（包括 IPv4 策略路由和 IPv6 策略路由）在報文的轉發流程上基本相同，主要區別在于單棧策略路由只能處理IPv4或IPv6一種報文，而雙棧策略路由支持同時處理IPv4和 IPv6 兩種報文。在雙協議棧節點使用雙棧策略路由可以減少配置的復雜度，同時節省一定的驅動資源。3.5 IPv6組播 3.5.1 IPv6 組播簡介 組播是指在 IP 網絡中將數據包以盡力傳送的形式發送到某個確定的節點集合（即組播組），其基本思想是：源主機（即組播源）只發送一份數據，其目的地址為組播組地址；組播組中的所

83、有接收者都可收到同樣的數據拷貝，并且只有組播組內的主機可以接收該數據，其它主機無法接收。23 組播技術有效地解決了單點發送、多點接收的問題，實現了 IP 網絡中點到多點的高效數據傳送，能夠大量節約網絡帶寬、降低網絡負載。作為一種與單播和廣播并列的通信方式，組播的意義不僅在于此。更重要的是，可以利用網絡的組播特性方便地提供一些新的增值業務，如在線直播、網絡電視、遠程教育、遠程醫療、網絡電臺、實時視頻會議等互聯網的信息服務領域。IPv6 組播與 IPv4 組播的最大不同在于 IPv6 組播地址機制的極大豐富，而其它諸如組成員管理、組播報文轉發以及組播路由建立等與 IPv4 組播基本相同。因此，本文

84、將重點介紹組播地址對 IPv6 的支持情況；對于 IPv6 組播協議，只對其與 IPv4 組播協議的異同進行大致的介紹。3.5.2 IPv6 組播地址 在介紹 IPv6 組播地址之前，先簡單回顧一下 IPv6 的地址結構：IPv6 地址的長度為 128 比特，每個IPv6 地址被分為 8 組，每組的 16 比特用 4 個十六進制數來表示，組和組之間用冒號隔開，例如：FEDC:BA98:7654:3210:FEDC:BA98:7654:3210。1.IPv6 組播地址格式 IPv6 組播地址用來標識一組接口，通常這些接口屬于不同的節點。一個節點可能屬于 0 到多個組播組。發往組播地址的報文被組播

85、地址標識的所有接口接收。圖23 IPv6 組播地址格式 如圖 23 所示，IPv6 組播地址中各字段的含義如下：0 xFF：最高 8 比特為 11111111，標識此地址為 IPv6 組播地址。Flags：4 比特，該字段中各位的取值及含義如表 6 所示。表6 Flags 字段各位的取值及含義 位 取值及含義 0位 保留位，必須取0 R位 取 0 表示非內嵌 RP 的 IPv6 組播地址 取 1 表示內嵌 RP 的 IPv6 組播地址（此時 P、T 位也必須置 1）P位 取 0 表示非基于單播前綴的 IPv6 組播地址 取 1 表示基于單播前綴的 IPv6 組播地址（此時 T 位也必須置 1）

86、T位 取 0 表示由 IANA 永久分配的 IPv6 組播地址 取 1 表示非永久分配的 IPv6 組播地址 Scope：4 比特。用來標識該 IPv6 組播組的應用范圍，其取值及含義如表 7 所示。Group ID(112 bits)0 xFFFlags07111531Scope0R P T 24 表7 Scope 字段的取值及其含義 取值 含義 0、F 保留（Reserved）1 接口本地范圍（Interface-Local Scope）2 鏈路本地范圍（Link-Local Scope）3 子網本地范圍（Subnet-Local Scope）4 管理本地范圍（Admin-Local Sc

87、ope）5 站點本地范圍（Site-Local Scope）6、7、9D 未分配（Unassigned）8 機構本地范圍（Organization-Local Scope）E 全球范圍（Global Scope）Group ID：112 比特，IPv6 組播組標識號。用來在由 Scope 字段所指定的范圍內唯一標識 IPv6組播組，該標識可能是永久分配的或臨時的，這由 Flags 字段的 T 位決定。2.預留的 IPv6 組播地址 根據 RFC 4291，目前已被預留的 IPv6 組播地址如表 8 所示。表8 預留的 IPv6 組播地址列表 名稱 地址 說明 保留組播地址 FF0X:不能分配給

88、任何組播組 所有節點組播地址 FF01:1（節點本地）FF02:1（鏈路本地）-所有路由器組播地址 FF01:2（節點本地）FF02:2（鏈路本地）FF05:2（站點本地）-被請求節點組播地址 FF02:1:FFXX:XXXX 在被請求節點單播或任播IPv6地址的低24位前增加 地 址 前 綴 FF02:1:FF00:/104 而 得，如4037:01:800:200E:8C6C對應于FF02:1:FF0E:8C6C 表 8 中的 X 代表 0F 的任意一個十六進制數。3.基于單播前綴的 IPv6 組播地址 RFC 3306 中規定了一種動態分配 IPv6 組播地址的方式基于單播前綴的 IPv

89、6 組播地址。這種IPv6 組播地址中包含了其組播源網絡的單播地址前綴，通過這種方式分配全局唯一的組播地址。25 圖24 基于單播前綴的 IPv6 組播地址格式 基于單播前綴的 IPv6 組播地址的格式如圖 24 所示，其中各字段的含義如下：Flags：R 位置 0，P、T 位則分別置 1，表示基于單播前綴的組播地址。Scope：如 1.圖 23 表 7 所示。Reserved：8 比特。保留字段，必須為 0。Plen：8 比特。表示網絡前綴的有效長度（單位為比特）。Network prefix：64 比特。表示該組播地址所屬子網的單播前綴，有效長度由 Plen 字段指定。Group ID：3

90、2 比特。表示 IPv6 組播組標識號。例 如：單 播 前 綴 為3FFE:FFFF:1:/48 的 網 絡 分 配 基 于 單 播 前 綴 的 組 播 地 址 為FF3X:30:3FFE:FFFF:1:/96（X 表示任意合法的 Scope）。4.內嵌 RP 地址的 IPv6 組播地址 地址格式 嵌入式 RP（Rendezvous Point，匯集點）是 IPv6 PIM 中特有的 RP 發現機制，該機制使用內嵌 RP 地址的 IPv6 組播地址，使得組播路由器可以直接從該地址中解析出 RP 的地址。圖25 內嵌 RP 地址的 IPv6 組播地址格式 如圖 25 所示，內嵌 RP 地址的 I

91、Pv6 組播地址使用基于單播前綴的 IPv6 組播地址格式，其中各字段的含義如下：Flags：R、P 和 T 位均置 1，表示內嵌 RP 地址的組播地址。Scope：如 1.圖 23 表 7 所示。Reserved：4 比特。保留字段，必須為 0。RIID：4 比特。表示 RP 地址的接口 ID。Plen：8 比特。表示 RP 地址前綴的有效長度（單位為比特）。Network prefix：64 比特。表示 RP 地址前綴，有效長度由 Plen 字段指定。Group ID：32 比特。表示 IPv6 組播組標識號。Network prefix(64 bits)0 xFFFlags0711153

92、1ScopeReserved23PlenGroup ID(32 bits)Network prefix(64 bits)0 xFFFlags07111531ScopeReserved23PlenGroup ID(32 bits)RIID19 26 計算規則 內嵌于 IPv6 組播地址中的 RP 地址的計算規則如下：a.先將 IPv6 組播地址 Network prefix 字段的前 Plen 位作為 RP 地址的網絡前綴。b.再將 IPv6 組播地址 RIID 字段填充到 RP 地址的最低 4 位。c.最后，將 RP 地址的所有剩余位補 0。例如：對于 IPv6 組播地址 FF7E:F40:2

93、001:DB8:BEEF:FEED:1234，內嵌于其中的 RP 地址的前綴為 Network prefix 字段的前 Plen（這里為 0 x40=64 bits）位，最低 4 位為 RIID（0 xF），其余位均為 0，如圖 26 所示。圖26 嵌入式 RP 計算舉例 應用舉例 假設網絡管理員想在 2001:DB8:BEEF:FEED:/64 網段中設置 RP，則內嵌 RP地址的 IPv6 組播地址為 FF7X:Y40:2001:DB8:BEEF:FEED:/96，可分配 32 比特的 Group ID，內嵌于其中的 RP 地址為 2001:DB8:BEEF:FEED:Y/64。如果網絡管

94、理員想在 IPv6 組播地址中保留更多可分配的 Group ID，可以選擇更短的 RP 地址前綴：譬如取 Plen=0 x20=32 bits，則此時內嵌 RP 地址的 IPv6 組播地址為FF7X:Y20:2001:DB8:/64，可分配 64 比特的 Group ID，內嵌于其中的 RP 地址為2001:DB8:Y/32。X 表示任意合法的 Scope，Y 代表 1F 的任意一個十六進制數。5.IPv6 SSM 組播地址 IPv6 SSM（Source-Specific Multicast，指定信源組播）組播地址也使用基于單播前綴的 IPv6 組播地址格式，其中的 Plen 字段和 Net

95、work prefix 字段均取 0。IPv6 SSM 組播地址范圍為 FF3X:/32（X 表示任意合法的 Scope）。3.5.3 IPv6 組播 MAC 地址 IPv6 組播 MAC 地址以 0 x3333 開頭，低 32 位為 IPv6 組播地址的低 32 位，最終形成 48 比特的組播 MAC 地址。如圖 27 所示，IPv6 組播地址 FF1E:F30E:101 所對應的組播 MAC 地址為33-33-F3-0E-01-01。FF7E:0F40:2001:0DB8:BEEF:FEED:0000:12342001:0DB8:BEEF:FEED:0000:0000:0000:000FM

96、ulticast address with embedded RP addressResulting RP address 27 圖27 IPv6 組播地址的 MAC 地址映射舉例 3.5.4 IPv6 組播協議 IPv6 支持的組播協議包括 MLD（Multicast Listener Discovery Protocol，組播偵聽者發現協議）、MLD Snooping（Multicast Listener Discovery Snooping，組播偵聽者發現協議窺探）、IPv6 PIM（IPv6 Protocol Independent Multicast，IPv6 協議無關組播）和 IP

97、v6 MBGP（IPv6 Multicast BGP，IPv6組播 BGP）等。1.組播組管理協議 MLD 源自 IGMP（Internet Group Management Protocol，互聯網組管理協議），MLD 有兩個版本：MLDv1 源自 IGMPv2，MLDv2 源自 IGMPv3。與 IGMP 采用 IP 協議號為 2 的報文類型不同，MLD 采用 ICMPv6（IP 協議號為 58）的報文類型，包括 MLD 查詢報文（類型值 130）、MLDv1 報告報文（類型值 131）、MLDv1 離開報文（類型值132）和 MLDv2 報告報文（類型值 143）。MLD 協議與 IGM

98、P 協議除報文格式不同外，協議行為完全相同。2.組播路由協議 IPv6 PIM 與 PIM 除報文中 IP 地址結構不同外，其它協議行為基本相同，IPv6 PIM 也支持如下四種模式：IPv6 PIM-DM（IPv6 Protocol Independent Multicast-Dense Mode，IPv6 協議無關組播密集模式）IPv6 PIM-SM（IPv6 Protocol Independent Multicast-Sparse Mode，IPv6 協議無關組播稀疏模式）IPv6 PIM-SSM（IPv6 Protocol Independent Multicast Source-S

99、pecific Multicast，IPv6 協議無關組播指定源組播）IPv6 BIDIR-PIM（IPv6 Bidirectional Protocol Independent Multicast，IPv6 雙向協議無關組播，簡稱 IPv6 雙向 PIM）IPv6 PIM 發送鏈路本地范圍的協議報文（包括 PIM Hello、Join-Prune、Assert、Bootstrap、Graft、Graft-Ack 和 State-refresh 報文）時，報文的源 IPv6 地址使用發送接口的鏈路本地地址；IPv6 PIM發送全球范圍的協議報文（包括 Register、Register-Sto

100、p 和 C-RP Advertisement 報文）時，報文的源 IPv6 地址使用發送接口的全球單播地址。IPv6 組播并不支持 MSDP 協議，如果需要接收來自其它 IPv6 PIM 域的組播數據，有以下兩種實現方式：FF1E00000000000000000000F30E01010101aF30E48-bit MAC address333332 bitsmapped128-bit IPv6 address16-bit MAC address prefix 28 通過其它方式（譬如廣告等）直接獲取其它 IPv6 PIM 域內的組播源地址，使用 IPv6 PIM-SSM發起指定源組的加入。使

101、用嵌入式 RP 機制，通過嵌入 RP 地址的 IPv6 組播地址來獲取其它 IPv6 PIM 域內的 RP 地址，向其它域內的 RP 發起組加入。對于域間 IPv6 組播路由信息的傳遞，則可以使用 IPv6 的 MBGP 協議，其與 IPv4 的 MBGP 協議也基本相同。3.二層組播協議 MLD Snooping MLD Snooping 與 IGMP Snooping 協議基本相同。IPv6 PIM Snooping IPv6 PIM Snooping 與 PIM Snooping 協議基本相同。組播 VLAN 組播 VLAN，對于 IPv4 組播和 IPv6 組播，處理原理相同。3.6

102、網絡安全 3.6.1 一次認證雙棧放行 1.概述 在 IPv4 網絡完全過渡到 IPv6 網絡之前，若用戶主機同時支持 IPv4 和 IPv6 兩種協議，可能會產生兩種地址協議類型的流量分別觸發對應協議棧的 IPoE Web 認證或 Portal 認證。如果用戶只通過IPv4 或 IPv6 其中一種認證，就只能訪問對應協議棧的網絡資源。如果用戶需要進行兩次不同協議類型的認證，又會增加用戶上網操作的復雜度。IPoE Web 認證或 Portal 認證支持雙棧技術可以很好地解決上述問題，它可以實現一次認證雙棧放行，即當雙棧用戶通過任意一個協議棧（IPv4 或 IPv6）流量觸發認證并成功上線后，它

103、的另外一個協議棧流量無需認證即被放行。圖28 一次認證雙棧放行示意圖 該技術為 IPv6 網絡帶來如下技術價值：用戶第一協議棧通過認證用 戶 第一協議 棧訪問網絡資源用戶 第二協 議棧訪問網絡資源123Portal serverAAA serverDHCP serverInternet(IPv4&IPv6)雙棧用戶無需認證直接 29 對于用戶，兩個協議棧上線只需要完成一次認證過程，提升使用體驗。對于服務器，用戶雙棧上線只需要進行一次認證，減輕了 AAA 服務器和 Portal 服務器的認證壓力。對于管理員，同一用戶的 IPv4 和 IPv6 協議棧作為一個雙棧用戶進行處理，降低了網絡管理和維護

104、的復雜度。2.IPoE Web 認證支持雙棧技術 在 IPoE Web 雙棧認證組網中，雙棧用戶上線的基本過程如下：(1)用戶通過第一協議棧（如 IPv4）上線時，在認證頁面中輸入用戶名和密碼，認證通過后可訪問相應協議棧的網絡資源。設備上記錄該用戶的 MAC 地址、用戶名和認證狀態等信息。(2)用戶通過第二協議棧（如 IPv6）上線時，設備根據用戶的 MAC 地址判斷該用戶的另一協議棧是否已上線。如上線，則視為同一用戶，第二協議棧無需再次認證，直接放行。根據用戶兩個協議棧上線方式的不同，IPoE Web 雙棧認證支持如下三種典型應用場景：動態雙棧用戶上線：雙棧用戶可以通過未知源 IPv4 報文

105、、未知源 IPv6 報文、DHCPv4 報文、DHCPv6 報文或 ND RS 報文觸發動態上線。該方式多用于移動終端非固定 IP 的場景。例如，學生通過移動智能終端接入校園網。靜態雙棧用戶上線：雙棧用戶可以通過 IPv4 報文、IPv6 報文、ARP 報文 NS 報文或 NA 報文觸發靜態上線。該方式多用于終端 IP 地址固定的場景。例如，學生在宿舍通過固定網口接入校園網?；旌想p棧用戶上線：雙棧用戶的一個協議棧采用靜態方式上線，另一個協議棧采用動態方式上線。該方式多用于網絡中同時存在固定 IP 和非固定 IP 終端的場景。例如，某高校的原有的 IPv4網絡用戶采用靜態 IPv4 地址方式，學

106、校對現網進行 IPv6 改造升級后，使得原有 IPv4 用戶可以接入 IPv6 網絡，同時希望用戶的 IPv6 地址通過 DHCPv6 動態分配，即采用靜態 IPv4+動態 IPv6 的混合地址分配方式。3.Portal 認證支持雙棧技術 在 Portal 雙棧認證組網中，管理員根據現網的實際需求，在使能了 Portal 認證的接口上開啟 Portal支持雙棧認證功能后，該接口上的用戶只需要通過 IPv4 Portal 或 IPv6 Portal 認證中的任何一種，就可以訪問 IPv4 和 IPv6 兩種協議棧對應的網絡資源。Portal 雙棧用戶上線的基本過程如下：(1)雙棧用戶的第一協議棧

107、（IPv4 或 IPv6）報文觸發 Portal 認證后，用戶在 Portal Web 認證頁面中輸入用戶名和密碼，之后若通過IPv4或IPv6 Portal認證，則可訪問對應協議棧的網絡資源。(2)設備將通過 IPv4 Portal認證或 IPv6 Portal認證的用戶 MAC地址和 IP地址記錄在 Portal用戶表項中。(3)設備收到該用戶的第二協議棧（IPv6 或 IPv4）任意報文時，如果報文中的源 MAC 地址與記錄在 Portal 用戶表項中的 MAC 地址相同，則允許其訪問對應協議棧的網絡資源，不需要再次進行認證。僅當接口上同時開啟了直接認證方式的 IPv4 和 IPv6 P

108、ortal 認證功能，Portal 支持雙棧認證功能才會生效。30 3.6.2 SAVI&SAVA&SMA 1.概述 真實 IPv6 源地址驗證是指，通過對報文的 IPv6 源地址進行驗證，丟棄偽造 IPv6 源地址的報文，提升 IPv6 網絡的安全性。SAVI&SAVA 均屬于真實 IPv6 源地址驗證技術，分別部署在不同的網絡位置，能夠滿足不同粒度的安全需求。根據在網絡中部署位置的不同，真實 IPv6 源地址驗證功能分為如下三種類型：SAVI（Source Address Validation Improvement，源地址有效性驗證）：部署在接入網，在接入層面提供主機粒度的源地址驗證，保

109、證主機只使用合法分配的 IPv6 地址。SAVA（Source Address Validation Architecture，源地址驗證架構）：部署在骨干網連接接入網的邊界設備上，在管理域內提供 IPv6 前綴粒度的保護能力，以保護核心設備不被仿冒源地址的非法主機攻擊。SMA（State Machine based Anti-spoofing，基于狀態機的偽造源地址檢查）：部署在 AS 間，在 AS 域間提供 AS 粒度的源地址驗證能力，以保護本 AS 內的主機和服務器不被仿冒源地址的非法主機攻擊。圖29 SAVI&SAVA&SMA 在網絡中部署位置示意圖 2.SAVI 為了防止 IPv6

110、源地址非法的 DHCPv6 協議報文、ND 協議報文和 IPv6 數據報文形成攻擊，可以在設備上開啟 SAVI 功能。設備在其它安全功能的配合下，生成綁定表項，并根據該綁定表項對報文IPv6 源地址進行檢查。如果報文信息與某綁定表項匹配，則認為該報文為合法報文，正常轉發；否則將該報文丟棄。與 SAVI 配合使用的安全功能包括 DHCPv6 Snooping、ND Snooping 和 IP Source Guard 中 IPv6靜態綁定表項功能。穿越自治系統自治系統自治系統接入網絡接入網絡SAVASAVI接入網內管理域內自治系統間SMA 31 圖30 SAVI 原理圖 3.SAVA SAVA

111、是一種根據設備的路由信息檢查攻擊報文的技術，用來防范基于 IPv6 源地址欺騙的攻擊，主要部署在與接入網相連的骨干網內邊界設備上。在設備的接入網側接口上開啟 SAVA 功能后，設備會為該接入網絡中的所有的網絡前綴生成 SAVA 表項。該接口收到 IPv6 報文后，如果存在報文 IPv6源地址對應的 SAVA 表項，則認為該 IPv6 源地址合法，轉發該報文；否則，表示報文 IPv6 源地址不應該存在于接入網絡中，報文非法，被丟棄。以邊界設備 B 為例，SAVA 表項生成過程如圖 31 所示，分為如下幾個步驟：(1)邊界設備 A 和 B 分別從本地學習的、到達接入網絡的路由信息中獲取用戶前綴，這

112、些路由信息包括與接入網絡相連的直連路由、靜態路由和動態路由。本例中以靜態路由為例來說明。(2)邊界設備 A 為本地學習的、到達接入網絡的路由信息打上特定的 Tag，并將此路由信息引入骨干網的動態路由協議中。(3)邊界設備 B 通過動態路由協議學習到設備 A 發布的帶有 Tag 的路由信息。如果路由信息中的Tag 值與邊界設備 B 上配置的同步遠端路由條目的 Tag 值相同，則邊界設備 B 從該路由信息中獲取邊界設備 A 學習到的合法用戶前綴信息，用于生成 SAVA 表項。(4)邊界設備 B 將根據本地路由和遠端同步路由獲取到的所有的合法用戶前綴信息來生成與該接口綁定的 SAVA 表項。SAVA

113、 表項信息包含合法用戶前綴、前綴長度和綁定的接口。非法主機IP：100:2VLAN：10MAC：3-3-3Interface BInterface A我的IPv6地址是100:1，我要訪問網絡合法主機信息與綁定表項匹配，允許通過非法主機信息與綁定表項不匹配，不允許通過，丟棄查找綁定表項我的IPv6地址是100:1，我要訪問網絡合法主機IP：100:1VLAN：10MAC：2-2-2GatewayIPMACVLAN接口100:12-2-210Interface A100:23-3-310Interface B 32 圖31 SAVA 表項生成過程 4.SMA SMA（State Machine

114、based Anti-spoofing，基于狀態機的偽造源地址檢查）是一種 IPv6 自治系統間端到端的源地址驗證方案，用來防止偽造源 IPv6 地址的攻擊。(1)體系結構 SMA 體系結構主要由 ACS（AS Control Server，AS 控制服務器）和 AER（AS Edge Router，AS 邊界路由器）構成，如圖 32 所示。邊界設備B邊界設備AAA:/64BB:/64Interface 1AA:1/6412413同步遠端路由Tag 100用戶前綴接口AA:/64Interface 1BB:/64Interface 1SAVA表項目的地址出接口AA:/64Interface 1

115、路由表Interface 2接入網絡骨干網Interface 1BB:1/64開啟SAVA功能的接口目的地址出接口BB:/64Interface 1路由表目的地址出接口TagAA:/64Interface 1100路由表目的地址出接口TagAA:/64Interface 2100路由表 33 圖32 SMA 體系結構 子信任聯盟：彼此信任的一組 AD（Addrees Domain，地址域）組成的集合，通過子信任聯盟號來標識，比如上圖中的 sub-alliance 1。信任聯盟：SMA 體系中所有 AD 的集合。AD（Addrees Domain，地址域）：同一個機構下所管理的所有 IP 地址部

116、署的范圍，是子信任聯盟管理的對象，通過地址域編號來標識，比如，上圖中的 AD 1101、AD 1200 和AD 1201。同一個子聯盟內的不同的地址域可以分成不同的地址域層級，最多可以劃分為 4層。比如，上圖中的 Level 0、Level 1 和 Level 2。其中，Level 0 為最高地址級別，Level 2 為最低地址級別。例如，首先以縣市為單位劃分多個一級地址域，再以機構為單位劃分多個二級地址域（比如學校、企事業單位），以樓宇或部門為單位劃分三級地址域。邊界地址域：當前層級的地址域中與其他層級相連的地址域。比如，上圖中的 AD 1201。非邊界地址域：除了邊界地址域的其他地址域。當

117、一個地址域劃分了更低級別的地址域后，原地址域中所有的設備都必須從屬于更低級別的地址域中。如上圖所示，Level 0 的地址域中劃分了低一級別的地址域 Level 1，那么屬于 Level 0 的所有設備都必須從屬于劃分后的 Level 2 地址域。ACS（AS Control Server，AS 控制服務器）：每個層級的地址域都需要有相應的 ACS，用于和其它地址域內的 ACS 交互信息，并向本地址域內的 AER 宣告與更新注冊信息、前綴信息以及狀態機信息。具體來講，ACS 具有如下功能：ACS 6AER cACS5AER bsub-alliance 1AD 1101ACS 4AER eEgr

118、essLevel 1ACS 2AER dAD 1200AD 1201Edge ADAD 1200AD 1100EgressLevel 1EgressLevel 2EgressLevel 2Level 1Level 1Level 2Level 2Level 0Ingress 34 與屬于相同信任聯盟中各子信任聯盟的其他 ACS 建立連接，交互各地址域內的 IPv6 地址前綴、狀態機等信息。向本地址域 AER 宣告和更新聯盟映射關系、地址前綴信息以及標簽信息。AER（AS Edge Router，AS 邊界路由器）：負責接收 ACS 通告的 IPv6 地址前綴、標簽等信息，并在地址域之間轉發報文。

119、一個 AER 可以是多個不同層級 ACS 的邊界路由器。AER上的接口分為兩類：Ingress 接口：連接到本地址域內部未使能 SMA 特性的路由器的接口。Egress 接口：連接其他地址域的 AER 的 Egress 接口。目前，設備只能作為 AER。為了提高安全性，ACS 與 ACS 之間、ACS 與 AER 之間的通信均可配置為基于 SSL（Secure Sockets Layer，安全套接字層）的連接。(2)工作原理 SMA 通過在 AER 上檢查報文的源 IPv6 地址和報文標簽實現對偽造源 IPv6 地址攻擊的防御。AER 接收到報文后，處理過程如圖 33 所示。a.檢查接收報文的

120、接口類型是否為 Ingress。若接口類型是 Ingress，則進入步驟 b。若接口類型是 Egress，則進入步驟 c。b.檢查報文源地址前綴是否屬于當前地址域。若屬于當前地址域，則繼續按照 IPv6 路由表轉發該報文。若不屬于當前地址域，則丟棄報文。c.檢查報文目的 IPv6 地址是否屬于本子聯盟：若不屬于本子聯盟，則繼續按照 IPv6 路由表轉發該報文。若屬于本子聯盟，則進入步驟 d。d.檢查報文的目的 IPv6 地址是否屬于本地址域以及本域內更低級別地址域：若不屬于，則繼續按照 IPv6 路由表轉發該報文。若屬于，則進入步驟 e。e.校驗報文的子聯盟內標簽。校驗成功，進入步驟 f。校驗

121、失敗，丟棄該報文。f.檢查報文是否需要向本地域內更低級別的地址域轉發。若不需要，刪除報文標簽后，繼續按照 IPv6 路由表轉發該報文。若需要，則將報文標簽替換為低級別地址域標簽，繼續按照 IPv6 路由表轉發該報文。低級別地址域內的 AER 收到報文后，繼續按照如上步驟進行處理。35 圖33 AER 接收報文時的處理過程 當 AER 收到源自本地址域的報文并發往其他地址域時，處理過程如圖 34 所示。a.判斷報文源地址前綴是否屬于當前地址域：若屬于，對報文添加標簽后，繼續按照 IPv6 路由表轉發該報文。若不屬于，則進入步驟 b。b.檢查報文是否由低級別地址域發往高級別地址域。若是，則需要校驗

122、標簽，進入步驟 c。若不是，則繼續按照 IPv6 路由表轉發該報文。c.校驗報文的子聯盟內的標簽：檢查接收報文的接口類型是否為Ingress？是AER接收到報文是繼續按照IPv6路由表轉發該報文檢查報文源地址前綴是否屬于當前地址域？檢查報文目的IPv6地址是否屬于本子聯盟？否檢查報文目的IPv6地址是否屬于本子聯盟？檢查報文目的IPv6地址是否屬于本地址域以及本域內更低級別地址域？是檢查報文的子聯盟內標簽是否校驗成功？檢查報文是否需要向本地址域內更低級別的地址域轉發？否否否是是丟棄該報文否否刪除報文標簽后，繼續按照IPv6路由表轉發該報文是將報文標簽替換為低級別地址域標簽，繼續按照IPv6路由

123、表轉發該報文是否 36 校驗成功，替換為高級別地址域標簽后，繼續按照 IPv6 路由表轉發該報文。校驗失敗，丟棄該報文。圖34 AER 發送報文時的處理過程 3.6.3 微分段 1.微分段簡介 隨著數據中心的不斷發展，數據中心網絡內部的流量（即東西向流量）在不斷增加，數據中心網絡流量從以前的南北向流量為主轉變為東西向流量為主。網絡管理員也需要對東西向流量進行安全防控。如果將數據中心內部東西向流量全部繞行傳統的集中式防火墻，很難滿足數據中心靈活可擴展部署的要求，防火墻容易稱為數據中心性能和擴容的瓶頸。微分段對網絡端點（例如數據中心網絡中的服務器、虛擬機，或園區網中的各種終端上線用戶）進行分組，并

124、部署組間策略，通過組間策略對分屬不同組的網絡端點之間的通信進行安全管控。這種工作機制決定了它具有管控粒度細和占用 ACL 資源少的優點。2.微分段優勢 分布式安全：微分段方案實現了分布式的安全控制，東西向流量不需要集中轉發到防火墻后再進行安全隔離，減少了網絡帶寬的消耗，可以防止集中式的防火墻成為流量瓶頸。更精細、靈活的安全隔離：傳統的 VLAN 或 IP 子網只能實現不同 VLAN 或子網間的隔離，同一 VLAN 或子網內的網絡端點無法隔離。同時，當不同子網共用同一個網關設備時，網關設備上保存了到各子網的路由信息。在這種情況下，無法完全實現不同子網內不同網絡端點之間的隔離。微分段可基于離散 I

125、P、IP 地址段等進行精細分組，在不同分組之間相應實現更靈活的安全防控。檢查報文源地址前綴是否屬于當前地址域？否收到源自本地址域的報文并發往其他地址域是檢查報文是否由低級別地址域發往高級別地址域？是否繼續按照IPv6路由表轉發該報文檢查報文的子聯盟內標簽是否校驗成功？替換為高級別地址域標簽后，繼續按照IPv6路由表轉發該報文是否 37 降低 ACL 資源占用：相較于傳統的安全管控技術（主要是利用 ACL 的安全管控），微分段技術能夠顯著降低對 ACL 資源的占用。圖35 ACL 資源占用示意圖 如圖 35 所示，在 IPv6 網絡中，如果期望禁止 Host A 和 Host B 互通：使用 A

126、CL 時，需要匹配報文的 IP 地址。IPv6 地址長度為 128bits，同時匹配源、目的 IP地址時需要占用 256bits 長度的 ACL 資源。對雙向流量同時進行管控時，則需要占用兩條長度為 256bits 的 ACL 資源。使用微分段時，僅需匹配報文所屬的微分段 ID。微分段 ID 長度為 16bits，同時匹配源、目的微分段所需的 ACL 資源僅為 32bits。對雙向流量同時進行管控時，也僅需兩條長度為32bits 的 ACL 資源。3.微分段實現原理 微分段技術中使用到以下概念：微分段是一組網絡端點的集合，它通過全局唯一的 ID 來標識。網絡管理員可以基于 IP 地址、IP 網

127、段、MAC 地址等對網絡端點來劃分微分段，以便在網絡設備上實現基于微分段 ID 對網絡端點進行流量管控。GBP（Group Based Policy，組策略）是基于微分段的流量控制策略。通過部署 GBP，可以對屬于不同微分段的網絡端點之間的通信進行安全管控，相同微分段內的網絡端點則可以互訪，GBP 不控制相同微分段內的流量。GBP 可以通過報文過濾、QoS 策略（MQC）或策略路由實現。微分段是一種源端控制策略，即在源端設備上配置微分段功能，實現對流量的安全管控。微分段功能由三部分組成：(1)將網絡端點加入微分段。根據應用場景和部署方式的不同，可以通過如下方式將網絡端點加入微分段：靜態 IP

128、微分段、靜態 AC 微分段、認證授權微分段和路由通告微分段。Host A10:10:2微分段1Host B10:0:3微分段2Device1源微分段目的微分段2動作Deny12Deny微分段10:10:2源IPv6目的IPv610:10:3動作Deny10:10:210:10:3DenyACL10:10:2 微分段110:10:2 微分段2 38(2)創建基于微分段 ID 的 ACL。(3)使用 GBP，即通過報文過濾、QoS 策略（MQC）或策略路由引用基于微分段 ID 的 ACL，實現對屬于不同微分段的網絡端點之間的通信進行安全管控。在源端設備上完成上述配置，源端設備接收到報文后，根據報文

129、所屬的微分段 ID，查找匹配的 ACL規則，再通過 ACL 關聯到 GBP。GBP 對命中 ACL 的報文進行流量控制。綜上所述，微分段是生效在報文轉發路徑中的源端設備上的。當 GBP 判決結果為丟棄時，報文將被直接丟棄，不會再經由中間網絡轉發至目的端，這就避免了帶寬浪費。圖36 源端流量控制示意圖 4.微分段的典型應用舉例 微分段可以應用在 EVPN VXLAN 數據中心網絡中。通過命令行手工部署或 SDN 控制器自動部署微分段、ACL 和 GBP。對東西向的流量進行管控時，微分段成員的部署方式為：在所有 Leaf 上為 VM 的 IP 地址配置全網統一的靜態 IP 微分段。在 Leaf 1

130、 和 Leaf 2 上都配置：微分段 1 成員為 192:168:1:0/120。微分段 2 成員為 192:168:2:0/120。微分段 3 成員為 192:168:3:0/120。對南北向的流量進行管控時，微分段成員的部署方式為：Border 上存在到達 Internet 和防火墻的靜態缺省路由和 OA（辦公自動化）網絡（即192:168:20:0/120）的網段路由，通過 BGP 將該路由通告給所有 Leaf，以實現數據中心通過Border 與外部通信。為了實現南北向流量管控，需要在所有 Leaf 上配置全網統一的靜態 IP 微分段：由于 Border 會通告缺省路由，所以在 Leaf

131、 1 和 Leaf 2 上均配置微分段 4，成員為 0:0/0。由于 Border 會通告網段路由，所以 Leaf 1 和 Leaf 2 上均配置微分段 5，成員為192:168:20:0/120。ACL 和 GBP 則按需配置，允許或禁止各微分段間互訪的流量通過。dropdropGBPGBP 39 圖37 EVPN VXLAN 數據中心網絡 3.7 VXLAN/EVPN VXLAN支持IPv6 VXLAN（Virtual eXtensible LAN，可擴展虛擬局域網絡）是基于 IP 網絡、采用“MAC in UDP”封裝形式的二層 VPN 技術。VXLAN 需要手工建立 VXLAN 隧道。

132、EVPN（Ethernet Virtual Private Network，以太網虛擬專用網絡）VXLAN 是一種二層 VPN 技術，控制平面采用 MP-BGP 通告 EVPN 路由信息，數據平面采用 VXLAN 封裝方式轉發報文。EVPN VXLAN 通過 EVPN 路由自動建立 VXLAN 隧道。VXLAN/EVPN VXLAN 可以基于已有的服務提供商或企業 IP 網絡，為分散的站點網絡提供二層互聯，實現不同租戶的業務隔離。通過網關功能，還可以實現站點網絡之間的三層互聯。VXLAN/EVPN VXLAN 技術將已有的三層物理網絡作為 Underlay 網絡，在其上構建出虛擬的二層網絡，即

133、 Overlay 網絡。Overlay 網絡通過封裝技術、利用 Underlay 網絡提供的三層轉發路徑，實現租戶二層報文跨越三層網絡在不同站點間傳遞。對于租戶來說，Underlay 網絡是透明的，同一租戶的不同站點就像工作在一個局域網中。站點網絡和 Underlay 網絡均可以是 IPv6 網絡。BorderSpine 1Leaf 1VM 1192:168:1:2/128VM 2192:168:1:3/128VM 3192:168:2:2/128VM 4192:168:3:2/128VM 5192:168:3:3/128VM 6192:168:3:4/128FWEVPN VXLAN微分段1微

134、分段2微分段3InternetLeaf 2Spine 2OA192:168:20:0/120BGP通告缺省路由和網段路由1:靜態缺省路由指向Internet或防火墻2:網段路由指向OA等VM間互訪流量VM與Internet間互訪流量BGP通告路由 40 圖38 VXLAN/EVPN VXLAN 網絡模型示意圖 如圖 38 所示，VXLAN/EVPN VXLAN 的典型網絡模型中包括如下幾部分：用戶終端（Terminal）：用戶終端設備可以是 PC 機、無線終端設備、服務器上創建的 VM（Virtual Machine，虛擬機）等。不同的用戶終端可以屬于不同的 VXLAN。屬于相同 VXLAN的

135、用戶終端處于同一個邏輯二層網絡，彼此之間二層互通；屬于不同 VXLAN 的用戶終端之間二層隔離。VXLAN 通過 VXLAN ID 來標識，VXLAN ID 又稱 VNI（VXLAN Network Identifier，VXLAN 網絡標識符），其長度為 24 比特。VTEP（VXLAN Tunnel End Point，VXLAN 隧道端點）：VXLAN 的邊緣設備。VXLAN 的相關處理都在 VTEP 上進行，例如識別以太網數據幀所屬的 VXLAN、基于 VXLAN 對數據幀進行二層轉發、封裝/解封裝報文等。VXLAN 隧道：兩個 VTEP 之間的點到點邏輯隧道。VTEP 為數據幀封裝

136、VXLAN 頭、UDP 頭和 IP 頭后，通過 VXLAN 隧道將封裝后的報文轉發給遠端 VTEP，遠端 VTEP 對其進行解封裝。核心設備：IP 核心網絡中的設備（如圖 38 中的 P 設備）。核心設備不參與 VXLAN 處理，僅需要根據封裝后報文的目的 IP 地址對報文進行三層轉發。VSI（Virtual Switch Instance，虛擬交換實例）：VTEP 上為一個 VXLAN 提供二層交換服務的虛擬交換實例。VSI 可以看作 VTEP 上的一臺基于 VXLAN 進行二層轉發的虛擬交換機，它具有傳統以太網交換機的所有功能，包括源 MAC 地址學習、MAC 地址老化、泛洪等。VSI 與

137、VXLAN 一一對應。AC（Attachment Circuit，接入電路）：VTEP 連接本地站點的物理電路或虛擬電路。在 VTEP上，與 VSI 關聯的三層接口或以太網服務實例（service instance）稱為 AC。其中，以太網服Underlay networkOverlay networkVTEP 1VTEP 2VXLAN tunnelIP核心網絡PTerminalTerminalVSI/VXLAN 10VSI/VXLAN 20VSI/VXLAN 10VSI/VXLAN 20Site 1Site 2TerminalTerminal 41 務實例在二層以太網接口上創建，它定義了一系

138、列匹配規則，用來匹配從該二層以太網接口上接收到的數據幀。4 過渡技術過渡技術 IPv6 網絡的部署不是一蹴而就的，在一段時間內 IPv4 網絡會與 IPv6 網絡共存。過渡技術用來解決IPv4 網絡與 IPv6 網絡共存和互通的問題。常用的過渡技術包括雙棧、隧道、協議轉換（AFT）和6PE。4.1 雙棧技術 雙棧技術是一種最簡單直接的過渡機制。雙棧技術是指網絡中的節點同時支持 IPv4 和 IPv6 兩個協議棧，這樣的節點稱為雙協議棧節點。當雙協議棧節點配置 IPv4 地址和 IPv6 地址后，就可以在相應接口上轉發 IPv4 和 IPv6 報文。當一個上層應用同時支持 IPv4 和 IPv6

139、 協議時，根據協議要求可以選用 TCP 或 UDP 作為傳輸層的協議，但在選擇網絡層協議時，它會優先選擇 IPv6 協議棧。雙棧技術是所有過渡技術的基礎。雙棧技術具有如下優點：技術成熟，不必為不同類型的用戶單獨部署網絡配置。開銷相對較小，保護用戶投資。過渡平滑，通過 IPv6 優選逐步提高 IPv6 流量占比。實現快速業務互訪，互通性好，降低了跨協議訪問時的地址轉換損耗。雙棧技術的缺點為：改造工作量大，需完成整網的 IPv4 和 IPv6 部署，配置管理也較為復雜。設備性能要求高，需考慮設備硬件資源表項共享問題。要求雙協議棧節點擁有一個全球唯一的 IPv4 地址和 IPv6 地址，實際上沒有解

140、決 IPv4 地址資源匱乏的問題。4.2 隧道技術 隧道是一種封裝技術，它利用一種網絡協議來傳輸另一種網絡協議，即利用一種網絡傳輸協議，將其他協議產生的數據報文封裝在它自己的報文中，然后在網絡中傳輸。IPv6 over IPv4 隧道和 IPv4 over IPv6 隧道可以用于連接 IPv6 或 IPv4 的信息孤島，解決 IPv4 網絡與 IPv6 網絡共存問題：IPv6 over IPv4 隧道：如圖 39 所示，將 IPv6 報文封裝到 IPv4 報文中，實現 IPv6 節點跨越 IPv4網絡進行互通。IPv6 over IPv4 隧道包括 IPv6 over IPv4 手動隧道、IP

141、v4 兼容 IPv6 自動隧道、6to4 隧道、ISATAP 隧道和 6RD 隧道。42 圖39 IPv6 over IPv4 隧道示意圖 IPv4 over IPv6 隧道：如圖 40 所示，將 IPv4 報文封裝到 IPv6 報文中，實現 IPv4 節點跨越 IPv6網絡進行互通。圖40 IPv4 over IPv6 隧道示意圖 隧道技術可以實現不同數據中心網絡、不同站點網絡穿越骨干網互通，互通過程對于骨干網來說是透明的，多用于廣域網。隧道技術的優點為：原有網絡拓撲和路由幾乎無需調整，可以短期內快速實現少量 IPv6 站點間的業務互訪。僅需對 IPv4 和 IPv6 網絡的邊界設備進行升級

142、，改造范圍小，成本低，且技術比較成熟。隧道技術的缺點為：無法實現跨協議的應用互訪，需與協議轉換技術配合使用。隧道技術為軟件功能實現，大規模組網時需消耗設備 CPU、內存等資源，設備性能成為瓶頸。運維工作量大，界面不清晰，不推薦大規模部署。4.3 AFT 4.3.1 AFT 簡介 AFT（Address Family Translation，地址族轉換）提供了 IPv4 和 IPv6 地址之間的相互轉換功能，使 IPv4 網絡和 IPv6 網絡可以直接通信。IPv6 networkIPv6 over IPv4 tunnelIPv6 networkIPv6 hostIPv6 hostDevice

143、ADevice BIPv4 networkIPv6 headerIPv6 dataIPv6 headerIPv6 dataIPv4 headerIPv6 headerIPv6 dataIPv4 networkIPv4 over IPv6 tunnelIPv4 networkIPv4 hostIPv4 hostDevice ADevice BIPv6 networkIPv4 headerIPv4 dataIPv4 headerIPv4dataIPv6 headerIPv4 headerIPv4 data 43 AFT 作用于 IPv4 和 IPv6 網絡邊緣設備上，所有的地址轉換過程都在該設備上

144、實現，對 IPv4 和 IPv6網絡內的用戶來說是透明的，即用戶不必改變目前網絡中主機的配置就可實現 IPv6 網絡與 IPv4 網絡的通信。節點不具備升級 IPv6 能力時，在 IPv4 與 IPv6 網絡邊界點增加協議轉換設備，可以快速實現IPv4/IPv6 節點的跨協議互訪。4.3.2 AFT 前綴轉換方式 AFT 支持三種前綴轉換方式，包括 NAT64 前綴轉換、IVI 前綴轉換和 General 前綴轉換。1.NAT64 前綴轉換 NAT64 前綴是長度為 32、40、48、56、64 或 96 位的 IPv6 地址前綴，用來構造 IPv4 節點在 IPv6網絡中的地址，以便 IPv

145、4 主機與 IPv6 主機通信。網絡中并不存在帶有 NAT64 前綴的 IPv6 地址的主機。如圖 41 所示，NAT64 前綴長度不同時，地址轉換方法有所不同。其中，NAT64 前綴長度為 32、64 和 96 位時，IPv4 地址作為一個整體添加到 IPv6 地址中；NAT64 前綴長度為 40、48 和 56 位時，IPv4 地址被拆分成兩部分，分別添加到 6471 位的前后。6471 位為保留位，必須設置為 0。圖41 對應 IPv4 地址帶有 NAT64 前綴的 IPv6 地址格式 AFT 構造 IPv4 節點在 IPv6 網絡中的地址示例如表 9 所示。表9 IPv4 地址帶有 N

146、AT64 前綴的 IPv6 地址示例 IPv6 前綴 IPv4 地址 嵌入 IPv4 地址的 IPv6 地址 2001:db8:/32 192.0.2.33 2001:db8:c000:221:2001:db8:100:/40 192.0.2.33 2001:db8:1c0:2:21:2001:db8:122:/48 192.0.2.33 2001:db8:122:c000:2:2100:2001:db8:122:300:/56 192.0.2.33 2001:db8:122:3c0:0:221:2001:db8:122:344:/64 192.0.2.33 2001:db8:122:344:

147、c0:2:2100:2001:db8:122:344:/96 192.0.2.33 2001:db8:122:344:192.0.2.33 NAT64 prefix3103947556371799510311111987All zerosIPv4 address00NAT64 prefixAll zerosv4(24)00(8)NAT64 prefixAll zerosv4(16)00v4(16)NAT64 prefixAll zeros(8)00v4(24)NAT64 prefixAll zeros00IPv4 addressNAT64 prefixIPv4 address127 44 2.

148、IVI 前綴轉換 IVI 前綴是長度為 32 位的 IPv6 地址前綴。IVI 地址是 IPv6 主機實際使用的 IPv6 地址，這個 IPv6地址中內嵌了一個 IPv4 地址，可以用于與 IPv4 主機通信。由 IVI 前綴構成的 IVI 地址格式如圖 42所示。圖42 IVI 地址格式 3.General 前綴 General 前綴與 NAT64 前綴類似，都是長度為 32、40、48、56、64 或 96 位的 IPv6 地址前綴，用來構造 IPv4 節點在 IPv6 網絡中的地址。如圖 43 所示，General 前綴與 NAT64 前綴的區別在于，General 前綴沒有 64 到

149、71 位的 8 位保留位，IPv4 地址作為一個整體添加到 IPv6 地址中。圖43 對應 IPv4 地址帶有 General 前綴的 IPv6 地址格式 4.3.3 AFT 的優缺點 AFT 的優點為：僅需要升級 IPv4 和 IPv6 網絡邊緣設備，改造范圍小，短期內可以快速完成 IPv4 向 IPv6 升級改造。業務系統無需做 IPv6 改造升級。AFT 的缺點為：AFT 與業務強耦合，對于部分協議，不僅要對報文頭中的源和目的地址進行轉換，還需要與ALG（Application Level Gateway，應用層網關）協同工作，識別出應用層數據載荷中的地址信息并進行地址轉換，增加了處理的

150、復雜度。并且，協議轉換時，可能造成協議信息的丟失。破壞了 Internet 節點的對等性。溯源困難。IVI prefix3103947556371799510311111987SuffixIPv4 addressFF1273103947556371799510311111987127IPv4 addressAll zerosIPv4 addressAll zerosAll zerosAll zerosAll zerosIPv4 addressIPv4 addressIPv4 addressIPv4 addressGeneral prefixGeneral prefixGeneral prefi

151、xGeneral prefixGeneral prefixGeneral prefix 45 4.4 6PE 如圖 44 所示，6PE（IPv6 Provider Edge，IPv6 供應商邊緣）是一種過渡技術，它采用 MPLS（Multiprotocol Label Switching，多協議標簽交換）技術實現通過 IPv4 骨干網連接隔離的 IPv6 用戶網絡。當 ISP 希望在自己原有的 IPv4/MPLS 骨干網的基礎上，為用戶網絡提供 IPv6 流量轉發能力時，可以采用 6PE 技術方便地達到該目的。圖44 6PE 組網圖 6PE 的主要思想是：6PE 設備從 CE（Customer

152、 Edge，用戶網絡邊緣）設備接收到用戶網絡的 IPv6 路由信息后，為該路由信息分配標簽，通過 MP-BGP 會話將帶有標簽的 IPv6 路由信息發布給對端的 6PE設備。對端 6PE 設備將接收到的 IPv6 路由信息擴散到本地連接的用戶網絡。從而，實現 IPv6用戶網絡之間的路由信息發布。為了隱藏 IPv6 報文、使得 IPv4 骨干網中的設備能夠轉發 IPv6 用戶網絡的報文，在 IPv4 骨干網絡中需要建立公網隧道。公網隧道可以是 GRE 隧道、MPLS LSP、MPLS TE 隧道等。6PE 設備轉發 IPv6 報文時，先為 IPv6 報文封裝 IPv6 路由信息對應的標簽（內層標

153、簽），再為其封裝公網隧道對應的標簽（外層標簽）。骨干網中的設備根據外層標簽轉發報文，意識不到該報文為 IPv6 報文。對端 6PE 設備接收到報文后，刪除內層和外層標簽，將原始的 IPv6報文轉發到本地連接的用戶網絡。借助 6PE 技術，IPv4 網絡運營商僅需對 IPv4 和 IPv6 網絡的邊界設備進行升級，使其支持 IPv4/IPv6雙協議棧，就可利用自己原有的 IPv4/MPLS 網絡為分散的 IPv6 孤島用戶提供接入能力。6PE 技術的優點是部署所需的改造范圍小，但缺點是配置復雜，不利于后續進行維護。4.5 6vPE 6vPE 即 IPv6 MPLS L3VPN，其典型組網環境如圖

154、 45 所示。6vPE 組網中，服務提供商骨干網為IPv4 網絡。VPN 內部及 CE 和 PE 之間運行 IPv6 協議，骨干網中 PE 和 P 設備之間運行 IPv4 協議。PE 需要同時支持 IPv4 和 IPv6 協議，連接 CE 的接口上使用 IPv6 協議，連接骨干網的接口上使用IPv4 協議。PE 從 CE 接收到 IPv6 路由后，為其分配私網標簽，并通過 VPNv6 路由將私網標簽和IPv6 路由信息發布給遠端 PE。PE 通過 IPv4 骨干網轉發 IPv6 報文時，為 IPv6 報文封裝私網標簽，以實現在 IPv4 網絡上透明傳輸 IPv6 報文，達到 IPv6 網絡通過

155、 IPv4 網絡互通的目的。IPv6 networkCustomer siteCE6PE6PE PIPv4/MPLS networkIBGPCEIPv6 networkCustomer site 46 圖45 IPv6 MPLS L3VPN 應用組網圖 圖46 IPv6 MPLS L3VPN 報文轉發示意圖 如圖 46 所示，IPv6 MPLS L3VPN 的報文轉發過程為：(1)Site 1 發出一個目的地址為 2001:2:1 的 IPv6 報文，由 CE 1 將報文發送至 PE 1。(2)PE 1 根據報文到達的接口及目的地址查找 VPN 實例的路由表項，匹配后將報文轉發出去，同時打上公

156、網和私網兩層標簽。(3)MPLS 網絡利用報文的外層標簽，將報文傳送到 PE 2。（報文在到達 PE 2 前一跳時已經被剝離外層標簽，到達 PE 2 時僅含內層標簽）(4)PE 2 根據內層標簽和目的地址查找 VPN 實例的路由表項，確定報文的出接口，將報文轉發至CE 2。(5)CE 2 根據正常的 IPv6 轉發過程將報文傳送到目的地。6vPE 用來通過 IPv4 網絡連接孤立的 IPv6 站點，要求骨干網絡支持 MPLS L3VPN，部署負責，不利于后期維護。VPN 1CEIPv6 Site 1VPN 2CECECEIPv6 Site 3VPN 2PEVPN 1IPv6 Site 2IPv

157、6 Site 4PEPEPPPPIPv4 networkCE 1Site 1PE 1PPPE 2CE 2Site 22001:1:1/962001:2:12001:2:1Layer2Layer12001:2:1/962001:2:1Layer22001:2:1 47 5 IPv6 演進演進IPv6+5.1 IPv6+概述 IPv6+是面向 5G 和云時代的智能 IP 技術。IPv6+對 IPv6 協議進行了創新，在 IPv6 協議基礎上增加了智能識別與控制，具有可編程路徑、快速業務發放、自動化運維、質量可視化、SLA 保障和應用感知等特點。IPv6+技術創新體系的發展分為三個階段：IPv6+1

158、.0：主要為 SRv6 基礎特性，包括 TE、VPN、FRR 等目前廣泛應用的特性。IPv6+2.0：針對 5G 與云時代的新業務與新功能需求，進一步進行一系列的技術創新，包含但不局限于 iFIT、BIER、網絡切片、G-SRv6、SFC（service function chaining，業務鏈）、DetNet 確定性網絡等。IPv6+3.0：重點是 APN6（application-aware IPv6 networking，感知應用的 IPv6 網絡）。APN6在“IPv6+”2.0 的基礎上進一步實現網絡能力與業務需求的無縫結合。利用 SRv6 的路徑可編程特點，將應用信息（應用標識、

159、對網絡性能的需求等）攜帶在 SRv6 報文中，使網絡感知到應用及其需求，以便為其提供相應 SLA 保障。目前，我司支持的 IPv6+協議創新包括 SRv6、網絡切片、iFIT、BIER：SRv6（Segment Routing IPv6，IPv6 段路由）：新一代網絡承載技術。SRv6 是 IPv6+的關鍵技術，它通過 IPv6 擴展頭，實現網絡路徑靈活編排。目前，我司支持 SRv6 基礎特性、G-SRv6和 SFC。網絡切片：將一個物理網絡劃分為多個邏輯網絡，實現一網多用、業務隔離。iFIT（in-situ Flow Information Telemetry）：一種直接測量網絡性能指標的檢

160、測技術，通過 gRPC上報檢測結果，以實現網絡可視化。BIER（Bit Index Explicit Replication，位索引顯式復制技術）：一種新型的組播轉發技術架構，實現 IPv6 組播流量轉發的同時，簡化了網絡協議，并提供了良好的組播業務擴展性。5.2 SRv6 SRv6 是基于 IPv6 和源路由（Source Routing）的新一代網絡承載技術，它簡化了傳統的復雜網絡協議，實現應用級的 SLA 保障。SRv6 具有強大的網絡可編程能力，是實現網絡自動化的基石。SRv6能夠將網絡分片的數據面進行統一，既具備 IPv6 的靈活性和強大的可編程能力，又可以為智能 IP網絡切片、確定

161、性網絡、業務鏈等應用提供強有力的支撐。5.2.1 SRv6 基本概念 SRv6 是指在 IPv6 網絡中使用 Segment Routing，將 IPv6 地址作為 SID，SRv6 節點根據 SID 對報文進行轉發。SRv6 將 SID 列表封裝在 IPv6 報文的 SRH（Segment Routing Header，SR 報文頭）中，以控制報文轉發路徑。5.2.2 SRv6 技術優勢 SRv6 技術具有如下優勢：簡化維護 48 僅需要在源節點上控制和維護路徑信息，網絡中其他節點不需要維護路徑信息。智能控制 SRv6 基于 SDN 架構設計，跨越了應用和網絡之間的鴻溝，能夠更好地實現應用驅

162、動網絡。SRv6 中轉發路徑、轉發行為、業務類型均可控。部署簡單 SRv6 基于 IGP 和 BGP 擴展實現，無須使用 MPLS 標簽，不需要部署標簽分發協議，配置簡單。在 SRv6 網絡中，不需要大規模升級網絡設備，就可以部署新業務。在 DC（Data Center，數據中心）和 WAN（廣域網）中，只需網絡邊界設備及特定網絡節點支持 SRv6，其他設備支持 IPv6 即可。適應 5G業務需求 隨著 5G業務的發展，IPv4 地址已經無法滿足運營商的網絡需求?？赏ㄟ^在運營商網絡中部署 SRv6，使所有設備通過 IPv6 地址轉發流量，實現 IPv6 化網絡，以滿足 5G 業務需求。易于實現

163、 VPN 等新業務 SRv6 定義了多種類型的 SID，不同 SID 具有不同的作用，指示不同的轉發動作。通過不同的SID 操作，可以實現 VPN 等業務處理。日后，用戶還可以根據實際需要，定義新的 SID 類型，具有很好的擴展性。5.2.3 SRv6 基本轉發機制 如圖 47 所示，將 SRv6 報文簡化，以便于理解 SRv6 的轉發原理，其中：IPv6 Destination Address：IPv6報文的目的地址，簡稱 IPv6 DA。在普通 IPv6報文里，IPv6 DA 是固定不變的。在 SRv6 中，IPv6 DA 僅標識當前報文的下一個節點，是不斷變換的。SRH(SL=n-1)：

164、SRv6 報文的 SID 列表。通過 SL 和 Segment List 字段共同決定 IPv6 DA 的取值。圖47 SRv6 報文簡化示意圖 如圖 48 所示，在 SRv6 中，每經過一個 SRv6 節點，SL 字段減 1，IPv6 DA 信息變換一次：如果 SL=n-1，則 IPv6 DA 為 SID n-1=x。如果 SL=1，則 IPv6 DA 為 SID 1=b。如果 SL=0，則 IPv6 DA 為 SID 0=a。IPv6 Destination Address=Segment List n-1SRH(SL=n-1)IPv6 DA=SID n-1SRH(SL=n-1)49 圖4

165、8 SRH 處理過程示意圖 5.2.4 SRv6 報文轉發方式 SRv6 報文支持 SRv6 BE 和 SRv6 TE Policy 兩種轉發方式：SRv6 BE（SRv6 Best Effort）是指通過 IGP 協議發布 Locator 網段，SRv6 網絡中的節點按最短路徑優先算法計算到達 Locator 網段的最優路由。該路由對應的路徑為 SRv6 BE 路徑。公網 BGP 路由或者 VPN 實例的 BGP 路由迭代到 SRv6 BE 路徑后，可以實現將公網流量或VPN 流量引入 SRv6 BE 路徑。SRv6 TE Policy 是指報文的入口節點通過不同的引流方式，將公網流量或 V

166、PN 流量引入SRv6 TE Policy 轉發。SRv6 TE Policy 對應的路徑為 SRv6 TE 路徑。5.2.5 G-SRv6 1.產生背景 在 SRv6 TE Policy 組網場景中，管理員需要將報文轉發路徑上的 SRv6 節點的 128-bit SRv6 SID添加到 SRv6 TE Policy 的 SID 列表中。因此，路徑越長，SRv6 TE Policy 的 SID 列表中 SRv6 SID數目越多，SRv6 報文頭開銷也越大，導致設備轉發效率低、芯片處理速度慢。在跨越多個 AS 域的場景中，端到端的 SRv6 SID 數目可能更多，報文開銷問題更加嚴峻。Gener

167、alized SRv6（G-SRv6）通過對 128-bit SRv6 SID 進行壓縮，在 SRH 的 Segment List 中封裝更短的 SRv6 SID（G-SID），來減少 SRv6 報文頭的開銷，從而提高 SRv6 報文的轉發效率。同時，G-SRv6 支持將 128-bit SRv6 SID 和 G-SID 混合編排到 Segment List 中。2.G-SRv6 簡介 部署SRv6時，通常會規劃出一個地址塊，專門用于SRv6 SID的分配，這個地址塊稱為SID Space。在一個 SRv6 域中，SRv6 SID 均從 SID Space 中分配，具有相同的前綴（即公共前綴

168、Common Prefix）。因此，Segment List 中 SRv6 SID 的公共前綴是冗余信息。G-SRv6 將 Segment List 中SRv6 SID 的 Common Prefix 移除，僅攜帶 SRv6 SID 中的可變部分，即壓縮 SID（G-SID），可以有效減少 SRv6 報文頭開銷。報文轉發過程中，在根據 SRH 頭中的 Segment List 替換報文的目的地址時，將 G-SID 與 Common Prefix 拼接形成新的目的地址，繼續查表轉發。G-SRv6 對 SRv6 SID 進行壓縮時，既要保證高效壓縮，又要兼顧網絡規模等需求。綜合考慮，32比特是當前

169、較為理想的壓縮后 SID 長度。NetworkSID n-1SID 1SID 0.IPv6 DA=xSRH(SL=n-1)IPv6 DA=bSRH(SL=1)IPv6 DA=aSRH(SL=0)50 3.G-SID 格式 如圖 49 所示，SRv6 SID 的 Locator 部分可以細分為 Common Prefix 和 Node ID，其中 Common Prefix 表示公共前綴地址；Node ID 表示節點標識。具有相同 Common Prefix 的 SRv6 SID 可以進行壓縮，形成32-bit G-SID。32-bit G-SID由128-bit SRv6 SID中的Node

170、ID和Function組成。128-bit SRv6 SID 和 32-bit G-SID 的轉換關系為：128-bit SRv6 SID Common Prefix+32-bit G-SID+0(Args&MBZ)圖49 支持壓縮的 SRv6 SID 格式圖 4.G-SRv6 報文格式 圖50 G-SRv6 報文格式示意圖 如果下一個節點的SRv6 SID需要進行壓縮，則路由協議在發布本節點的SRv6 SID時，會為該SRv6 SID 添加 COC 標記，標識本 SRv6 SID 之后是 G-SID。報文中不會攜帶 COC 標記，COC 是 SRv6 SID 本身的轉發行為，為了方便理解，在

171、報文結構中標識出 SRv6 SID 是否具有 COC 標記。如圖 50 所示，G-SRv6 可以將 G-SID 和 128-bit SRv6 SID 混合編排在 SRH 的 Segment List 中。為準確定位 G-SID，需要在原本封裝 128-bit SRv6 SID 的位置封裝 4 個 32-bit G-SID。如果封裝的G-SID 不足 4 個，即不足 128 比特，則需要用 0 補齊，對齊 128 比特。128 比特中封裝的 G-SIDCommon PrefixNode IDFunctionArgs&MBZLocatorG-SIDVersionTraffic ClassFlow

172、Label128-bit SRv6 SIDSegments Left Routing Type Next headerHdr Ext Len Flags Last Entry Tag Source Address(128 bits)Payload LengthNext Header=43Hop Limit128-bit SRv6 SID(COC)Destination Address(128 bits)128-bit SRv6 SIDG-SID a0G-SID a1(COC)G-SID a2(COC)G-SID a3(COC)G-SID b0(COC)G-SID b1(COC)G-SID b2

173、(COC)G-SID b3(COC)G-SID c0G-SID c1(COC)G-SID c2(COC)G-SID c3(COC)128-bit SRv6 SID 51 稱為一組 G-SID。多個連續的 G-SID 組成一段壓縮路徑，稱為 G-SID List。G-SID List 中可以包含一組或多組 G-SID。G-SID 在 Segment List 中的排列規則為：(2)G-SID List的前一個 SRv6 SID 為攜帶 COC標記的 128-bit SRv6 SID，標識下一個 SID為 32-bit G-SID。(3)除 G-SID List 中的最后一個 G-SID 外，其余

174、 G-SID 必須攜帶 COC 標記，標識下一個 SID 為32-bit G-SID。(4)G-SID List 的最后一個 G-SID 必須是未攜帶 COC 標記的 32-bit G-SID，標識下一個 SID 為128-bit SRv6 SID。(5)G-SID List結束的下一個SRv6 SID為128-bit SRv6 SID，其可以是未攜帶COC標記的SRv6 SID，也可以是攜帶 COC 標記的 SRv6 SID。5.通過 G-SID 計算目的地址 圖51 G-SID 組成示意圖 如圖 51 所示，使用 G-SID 計算目的地址的方法為將 Segment List 中的 G-SI

175、D 與 Common Prefix拼接形成新的目的地址。其中：Common Prefix：公共前綴，由管理員手工配置。G-SID：按照 32 比特進行壓縮的 SID，從 SRH 中獲取。SI（SID Index）：用于在一組 G-SID 中定位 G-SID。SI 為目的地址的最低兩位，取值為 03。每經過一個對 SID 進行壓縮的節點，SI 值減 1。如果 SI 值為 0，則將 SL 值減 1。在 Segment List 的一組 G-SID 中，G-SID 按照 SI 從小到大的順序從左到右依次排列，即最左側的 G-SID的 SI 為 0，最右側的 G-SID 的 SI 為 3。0：若 Co

176、mmon Prefix、G-SID 和 SI 的位數之和不足 128 比特，則中間位使用 0 補齊。如果 SRv6 節點上管理員部署的 Common Prefix 為 A:0:0:0:/64、SRv6 報文中的當前的 G-SID 為1:1，該 G-SID 對應的 SI為 3，則組合成的目的地址為 A:0:0:0:1:1:3。SRv6 節點收到 G-SRv6 報文后，不同情況下，報文目的地址計算方法為：如果當前報文的目的地址在Segment List中為攜帶COC標記的128-bit SRv6 SID，則表示下一個SID為G-SID，將SL1，根據SL1值定位所處的G-SID組，并按照上述方法根

177、據SI3對應的 32-bit G-SID 計算目的地址。如果當前報文的目的地址在 Segment List中為攜帶COC標記的32-bit G-SID，則表示下一個SID 為 G-SID：如果SI0，則將SI1，根據報文當前的SL值定位所處的G-SID組，并按照上述方法根據SI1對應的 32-bit G-SID 計算目的地址。Destination Address(128 bits)Common PrefixG-SID0SIA:0:0:0:1:103 52 如果 SI0，則將 SL1、將 SI 值重置，即將 SI 設置為 3，根據報文當前的 SL 值定位所處的 G-SID 組，并按照上述方法根

178、據SI3對應的 32-bit G-SID 計算目的地址。如果當前報文的目的址在Segment List中是未攜帶COC標記的 32-bit G-SID，則將SL1，同時查找SL1對應的 128-bit SRv6 SID，并使用該 SRv6 SID 替換 IPv6 頭中的目的地址。如果當前報文的目的址在 Segment List 中是未攜帶 COC 標記的 128-bit SRv6 SID，則將 SL1，同時查找SL1對應的 128-bit SRv6 SID，并使用該 SRv6 SID 替換 IPv6 頭中的目的地址。5.2.6 SRv6 高可靠性 為了保證SD-WAN網絡中業務流量的穩定，SR

179、v6提供了高可靠性措施，避免業務流量長時間中斷，提高網絡質量。SRv6 提供以下功能保證網絡的可靠性：TI-LFA FRR（Topology-Independent Loop-free Alternate，拓撲無關無環備份快速重路由）：高保護率的 FRR 保護能力，TI-LFA FRR 原理上支持任意拓撲保護，能夠彌補傳統隧道保護技術的不足。SRv6 防微環：解決全互聯組網中 IGP 協議在無序收斂時產生的環路，支持正切防微環和回切防微環，消除微環導致的網絡丟包、時延抖動和報文亂序等一系列問題。中間節點保護：解決 SRv6 TE Policy 場景由于嚴格節點約束導致的 TI-LFA FRR

180、保護失效問題。尾節點保護：在雙歸接入場景中，解決 SRv6 TE Policy 的尾節點發生單點故障，引起的報文轉發失敗問題。5.2.7 SRv6 VPN 傳統 VPN 網絡中通過部署 LDP/RSVP-TE 等標簽分發協議，在公網中建立虛擬專用通信網絡。這種方式部署復雜，維護成本較高。通過在公網部署 SRv6 VPN 可以解決上述問題。SRv6 VPN 是通過 SRv6 隧道承載 IPv6 網絡中的 VPN 業務的技術，控制平面采用 MP-BGP 通告 VPN 路由信息，數據平面采用 SRv6 封裝方式轉發報文。租戶的物理站點分散在不同位置時，SRv6 VPN 可以基于已有的服務提供商或企業

181、 IP 網絡，為同一租戶的不同物理站點提供二層或三層互聯。根據 VPN 業務種類，SRv6 VPN 分為：L3VPN 業務：IP L3VPN over SRv6 和 EVPN L3VPN over SRv6 L2VPN 業務：EVPN VPWS over SRv6 和 EVPN VPLS over SRv6 1.IP L3VPN over SRv6 如圖 52 所示，IP L3VPN over SRv6 通過 MP-BGP 在 IPv6 骨干網上發布用戶站點的 IPv4/IPv6 私網路由，使用 PE 間的 SRv6 路徑承載私網報文，從而實現通過 IPv6 骨干網連接屬于同一個 VPN、位于

182、不同地理位置的用戶。53 圖52 IP L3VPN over SRv6 組網示意圖 2.EVPN L3VPN over SRv6 如圖 53 所示，EVPN L3VPN over SRv6 通過 MP-BGP 在 IPv6 骨干網上使用 EVPN 的 IP 前綴路由發布用戶站點的 IPv4/IPv6 私網路由，使用 PE 間的 SRv6 路徑承載私網報文，從而實現通過 IPv6骨干網連接屬于同一個 VPN、位于不同地理位置的用戶。圖53 EVPN L3VPN over SRv6 組網示意圖 3.EVPN VPWS over SRv6 EVPN VPWS over SRv6 是指通過 SRv6

183、隧道承載 EVPN VPWS 業務，通過 IPv6 網絡透明傳輸用戶二層數據，實現用戶網絡穿越 IPv6 網絡建立點到點連接。如圖 54 所示，PE 之間通過 EVPN 路由發布 SRv6 SID，建立 SRv6 隧道。該 SRv6 隧道作為 PW，封裝并轉發站點網絡之間的二層數據報文。PE 1PE 2PCE 1CE 2VPN 1VPN 1MP-BGPSRv6 VPNPE 1PE 2PCE 1CE 2VPN 1VPN 1MP-BGPSRv6 VPN 54 圖54 EVPN VPWS over SRv6 組網示意圖 4.EVPN VPLS over SRv6 EVPN VPLS over SRv

184、6 是指通過 SRv6 隧道承載 EVPN VPLS 業務，通過 IPv6 網絡透明傳輸用戶二層數據，實現用戶網絡穿越 IPv6 網絡建立點到多點連接。如圖 55 所示，PE 之間通過 EVPN 路由發布 SRv6 SID，建立 SRv6 隧道。該 SRv6 隧道作為 PW，封裝并轉發站點網絡之間的二層數據報文。圖55 EVPN VPLS over SRv6 組網示意圖 5.公網 IP over SRv6 如圖 56 所示，公網 IP over SRv6 通過 MP-BGP 在 IPv6 骨干網上發布用戶站點的 IPv4/IPv6 路由，使用 PE 間的 SRv6 路徑承載用戶報文，從而實現通

185、過 IPv6 骨干網連接位于不同地理位置的用戶。圖56 公網 IP over SRv6 組網示意圖 PE 1PE 2PSRv6 tunnelEVPN routesCE 1CE 2ACACPE 1PE 2PSRv6 tunnelEVPN routesCE 1CE 2ACACPE 1PE 2PCE 1CE 2BGPSRv6 55 5.3 網絡切片 5.3.1 網絡切片概述 網絡切片是指在同一個物理網絡的基礎上，網絡管理員通過各種切片技術為特定業務或用戶上劃分出多個邏輯網絡，即切片網絡。每個切片網絡都有自己的網絡拓撲、SLA（Service Level Agreement）需求、安全和可靠性要求。切

186、片網絡最大化地利用現網的網絡設施資源，為不同業務、行業或用戶提供差異化網絡服務。5.3.2 網絡切片的價值 網絡切片的價值體現在如下幾個方面：滿足差異化 SLA 需求：對于運營商或者大型企業而言，當前不同業務通過一張網絡承載，不斷涌現的新業務對這張網絡提出了差異化 SLA 的需求，例如自動駕駛業務對時延，抖動的要求十分嚴格，但帶寬需求不大，而 VR 和高清視頻等業務又對網絡帶寬需求極大，對時延并無特殊需求。傳統的物理網絡無法滿足差異化 SLA 要求，而建設獨立的專網成本過高，部署網絡切片方案為不同業務按需提供不同切片網絡可以滿足上述需求。滿足網絡資源隔離的需求：一些行業用戶需要安全可靠且獨享的

187、網絡資源，運營商也希望為不同等級的用戶提供安全隔離措施，避免部分普通客戶搶占網絡資源，造成其他優質用戶體驗下降問題，網絡切片方案可以在數據平面、控制平面和管理層面為不同用戶分配不同資源。滿足靈活定制拓撲的需求：隨著云網融合技術的發展，虛擬機可以跨數據中心隨時遷移，網絡的連接關系更加靈活復雜，網絡切片方案中通過部署 Flex-Algo 技術滿足網絡拓撲靈活動態的變化需求。5.3.3 網絡切片的技術方案 網絡切片并非特指某一種網絡技術，而是利用多種網絡技術實現的一整套解決方案。為了實現在物理網絡上劃分邏輯網絡的功能，滿足不同用戶和業務的資源隔離、差異化 SLA 以及靈活拓撲的需求，網絡切片方案中包

188、含但不限于表 10 中所列的技術。表10 網絡切片技術 技術名稱 實現層級 說明 MDC 管理平面 控制平面 數據平面 通過虛擬化技術將一臺物理設備劃分成多臺邏輯設備，每臺邏輯設備就稱為一臺MDC（Multitenant Device Context，多租戶設備環境）。每臺MDC擁有自己專屬的軟硬件資源，獨立運行，獨立轉發，獨立提供業務。對于用戶來說，每臺MDC就是一臺獨立的物理設備。MDC之間相互隔離，不能直接通信，具有很高的安全性。Flex-Algo 控制平面 Flex-Algo（Flexible Algorithm，靈活算法）是一種在IGP協議基礎上運行的靈活算法，它允許用戶自定義IGP

189、路徑算法的度量類型，例如Cost開銷、鏈路時延值或TE度量值，利用SPF算法計算到達目的地址的最短路徑。計算最短路徑時，Flex-Algo還允許用戶使用的鏈路的親和屬性和SRLG（Shared Risk Link Group，共享風險鏈路組）作為約束條件來限制最終拓撲必須包含或排除某些鏈路。56 技術名稱 實現層級 說明 因此，參與不同Flex-Algo算法的網元可以組成多個獨立的邏輯拓撲，物理網絡中部署多個Flex-Algo算法可以按需劃分成多個獨立的網絡切片。FlexE 數據平面 FlexE（Flexible Ethernet，靈活的以太網）技術基于高速以太網接口，通過以太網MAC速率和P

190、HY速率的解耦，實現靈活控制接口速率。FlexE通過一個或捆綁多個IEEE 802.3標準的高速物理接口提供大帶寬，再根據業務帶寬需求，將上述物理接口的總帶寬靈活分配給各FlexE業務接口。每一個FlexE業務接口就可以為切片網絡轉發數據。子接口切片 數據平面 子接口切片是一種小粒度的網絡切片技術。通過在高速率端口上創建子接口，并為這些子接口配置子接口切片帶寬，利用接口的隊列資源，實現子接口上數據轉發的隔離。這些配置了子接口切片帶寬的子接口稱為切片子接口。切片子接口獨享為其分配的帶寬，并使用獨立的隊列進行調度。Slice ID切片 數據平面 基于Slice ID的網絡切片是一種應用在SRv6組

191、網場景中的網絡切片技術方案，它通過全局唯一的Slice ID來標識和劃分切片網絡。在切片網絡中轉發的業務報文將攜帶Slice ID，設備轉發該報文時先查詢FIB表找到出接口，再根據Slice ID從對應出接口上切片通道轉發報文。采用 Slice ID 切片技術的網絡切片方案因為支持的切片數量多（可達千級），配置實現簡單，轉發接口所需 SRv6 SID 少（所有網絡切片僅需一套 SRv6 Locator 資源）等優勢成為網絡切片當前推薦方案。下面僅以基于 Slice ID 的網絡切片方案為例，介紹網絡切片的基本原理。5.3.4 基于 Slice ID 的網絡切片實現原理 Slice ID 是實現

192、網絡切片的關鍵：本方案通過在設備上配置全局唯一的 Slice ID 來創建切片實例，即虛擬設備，實現物理設備到切片網絡中的映射；在設備接口上的配置 Slice ID 來創建不同切片網絡使用的的數據轉發通道，并為該數據通道分配獨享帶寬資源；最后，由同一 Slice ID 來標識的虛擬設備和數據轉發通道組成切片網絡。在數據轉發過程中，網絡切片里轉發的報文也必須攜帶 Slice ID。同時 SRv6 TE Policy 需要與 Slice ID 關聯。SRv6 TE Policy 可以通過如下方法與 Slice ID 關聯：通過配置手工指定。從對等體發布的 BGP IPv6 SR Policy 路由

193、中學習。以 L3VPNv4 over SRv6 TE Policy 組網為例，介紹基于 Slice ID 的網絡切片方案的報文轉發過程。在 SRv6 網絡中存在 Slice ID 1 和 Slice ID 2 分別用來表示兩個切片網絡。PE 1、P 和 PE 2 的轉發接口上均存在分別與 Slice ID 1 和 Slice ID 2 關聯的網絡切片通道 1 和網絡切片通道 2。VPN 1 中兩個站點 CE 1 和 CE 2 之間的流量使用 SRv6 TE Policy 承載，SRv6 TE Policy 關聯了 Slice ID 1。CE 1 訪問 CE 2 的報文轉發過程為：57(1)CE

194、 1 向 PE 1 發送 IPv4 單播報文。PE 1 接收到 CE 1 發送的報文之后，查找 VPN 實例路由表，該路由的出接口為 SRv6 TE Policy。PE 1 為報文封裝如下信息：封裝 SRH 頭，在 SRH 頭中攜帶 SRv6 TE Policy 的 SID List。封裝 HBH 擴展頭，在 HBH 擴展頭中攜帶 SRv6 TE Policy 關聯的 Slice ID 1。封裝 IPv6 基本報文頭。(2)PE 1 將報文轉發給 P，轉發時根據 Slice ID 信息在出接口上查找與其對應的網絡切片通道，并通過該通道轉發報文。(3)中間 P 備根據 SRH 信息轉發報文，轉發

195、時根據 Slice ID 在出接口上查找與其對應的網絡切片通道，并通過該通道轉發報文。(4)報文到達尾節點 PE 2 之后，PE 2 使用報文的 IPv6 目的地址查找 Local SID 表，匹配到 End SID，PE 2 將報文 SL 減 1，IPv6 的目的地址更新為 End.DT4 SID。PE 2 根據 End.DT4 SID查找 Local SID 表，執行 End.DT4 SID 對應的轉發動作，即解封裝報文去掉 IPv6 報文頭，并根據 End.DT4 SID 匹配 VPN 1，在 VPN 1 的路由表中，查表轉發，將報文發送給 CE 2。圖57 基于 Slice ID 的網

196、絡切片方案的報文轉發過程 5.4 iFIT 5.4.1 iFIT 概述 iFIT 是一種應用于 MPLS（Multiprotocol Label Switching，多協議標簽交換）、SR-MPLS（Segment Routing MPLS，MPLS 段路由）、SRv6、G-SRv6（Generalized SRv6，通用 SRv6）和 G-BIER（Generalized BIER，通用位索引顯式復制）網絡的、測量網絡性能指標的測量技術，它直接測量業務報文的真實丟包率和時延等參數，具有部署方便、統計精度高等優點。CE 1CE 2PE 1PE 2PVPN 1VPN 1SRv6 TE Polic

197、ySA=CE 1,DA=CE 2PayloadSA=CE 1,DA=CE 2PayloadSA=CE 1,DA=CE 2PayloadSRHHBH(Slice ID)SA=PE 1,DA=PSA=CE 1,DA=CE 2PayloadSRHHBH(Slice ID)SA=PE 1,DA=PE 2網絡切片通道2網絡切片通道1轉發接口網絡切片報文轉發路徑 58 iFIT 對 G-SRv6 和 G-BIER 網絡的支持情況與設備的型號有關，請以設備的實際情況為準。5.4.2 技術優點 相較于傳統丟包測量技術，iFIT 具有以下優勢：檢測精度高：直接對業務報文進行測量，測量數據可以真實反映網絡質量狀況

198、。部署簡單：中下游設備可以根據 iFIT 報文生成測量信息?？焖俣ㄎ还收瞎δ埽篿FIT 提供了隨流檢測功能，可以真正實時地檢測用戶流的時延，丟包情況?？梢暬δ埽篿FIT 通過可視化界面展示性能數據，具備快速發現故障點的能力。支持路徑自發現功能：iFIT 在網絡中的入節點對于用戶關心的業務流程增加報文頭，下游設備可以根據 iFIT 報文頭自動識別該業務流并生成統計測量信息；分析器可以通過該功能感知業務流量在網絡中的實時路徑?；谟布崿F，對于網絡影響較小，可擴展性強。5.4.3 應用場景 iFIT 支持以下兩種測量類型：端到端測量和逐點測量，這兩種測量類型適用于不同應用場景。端到端測量 當用戶

199、希望測量整個網絡的丟包和時延性能時，可以選擇端到端測量類型。端到端測量會測量流量在進入網絡的設備（流量入口）和離開網絡的設備（流量出口）之間是否存在丟包以及時延參數。如圖 58 所示，iFIT 可用于直接測量流量從 Ingress（入節點）到達 Egress（出節點）時，是否有丟包、時延，以及丟包率和時延值。圖58 端到端測量應用示意圖 逐點測量 Ingress無需支持iFITEgressAnalyzer 目標流（真實業務流量）測量數據測量點Transit network 59 當用戶希望準確定位每個網絡節點的丟包和時延性能時，可以選擇逐跳測量類型。當根據測量結果發現端到端統計場景有丟包或者時

200、延不滿足業務要求時，可以將端到端之間的網絡劃分為多個更小的測量區段，測量每兩個網元之間是否存在丟包、時延值，進一步定位影響網絡性能的網元位置。如圖59所示，iFIT可同時測量流量從Ingress到達Egress時，Ingress和Transmit（中間節點）之間、Transmit 和 Egress 之間任意兩個接口間是否有丟包、時延，以及丟包率和時延值。圖59 逐點測量應用示意圖 5.4.4 網絡框架 如 5.4.3 圖 58、5.4.3 圖 59 所示，iFIT 網絡框架中主要涉及三個對象：目標流、目標流穿越的網絡（Transit network）和統計系統。1.目標流 目標流是 iFIT

201、統計的目標對象。根據生成方式不同目標流分為靜態目標流和動態目標流兩種。靜態目標流：靜態目標流是入節點上手工配置的流匹配規則，在入節點上使用命令行配置完iFIT 靜態目標流，且開啟 iFIT 測量功能后，入節點會生成一個 iFIT 靜態目標流。設備支持的匹配規則包括五元組（源 IP 地址/網段、源端口、目的 IP 地址/網段、目的端口、協議類型）、DSCP、VPN 和下一跳參數。iFIT 報文頭中包含 DeviceID、FlowID、測量周期、測量類型、是否需要測量時延、是否需要測量丟包等重要參數。其中：DeviceID：設備的標識。在 iFIT 測量網絡中，設備 ID 用來唯一標識一臺設備 F

202、lowID：FlowID 由入節點自動生成，會封裝到 iFIT 報文頭中傳遞給中間節點和出節點，用于在 iFIT 測量網絡中與設備標識 DeviceID 一起唯一的標識一條目標流。Ingress不支持iFIT的設備EgressAnalyzer 目標流（真實業務流量）測量數據測量點Transit networkTransmit 端到端測量逐點測量逐點測量逐點測量逐點測量逐點測量 60 測量周期：設備按周期進行 iFIT 測量，從開始一次測量，到收集并上報該次測量數據的時間間隔稱為一個測量周期。測量類型：表示本次測量是端到端測量還是逐點測量。動態目標流：動態目標流是設備動態學習到的業務流。對于入節

203、點，如果設備收到的報文匹配靜態目標流的配置，則入節點會生成一個和靜態流Flow ID 相同的動態目標流。對于中間節點和出節點，則通過解析收到的報文，根據報文中攜帶的 iFIT 報文頭動態學習生成動態目標流。設備以 iFIT 報文頭中的“DeviceID+FlowID”作為劃分動態目標流的依據。如果在指定時間內沒有收到相同“DeviceID+FlowID”的報文，則認為該動態目標流已經老化，設備會將該動態目標流刪除。iFIT 對 DeviceID 的支持情況與設備的型號有關，請以設備的實際情況為準。對于支持 DeviceID 參數的產品，“DeviceID+FlowID”用于標識一條 iFIT

204、流。對于不支持 DeviceID 參數的產品，用 FlowID 標識一條 iFIT 流。2.測量點 測量點（Detection point）：實施 iFIT 測量的接口。用戶可根據測量需求指定測量點。3.目標流穿越網絡 目標流穿越網絡是傳輸目標流的網絡，目標流既不在該網絡內產生，也不在該網絡內終結。目前支持的目標流穿越網絡只能是三層網絡。網絡內的設備必須路由可達。4.統計系統 統計系統指的是完成 iFIT 性能統計的所有設備的集合。它包含了以下角色：入節點（Ingress）：目標流進入目標流穿越網絡的設備，它負責對目標流進行篩選，為目標流添加 iFIT 報文頭，收集目標流的統計數據并上報給 A

205、nalyzer。中間節點（Transmit）：根據報文是否包含 iFIT 報文頭來判斷是否為 iFIT 目標流，對于 iFIT目標流，再根據 iFIT 頭中攜帶的測量類型，決定是否需要收集目標流的統計數據并上報給Analyzer。出節點（Egress）：根據報文是否包含 iFIT 報文頭來判斷是否為 iFIT 目標流，對于 iFIT 目標流，收集目標流的統計數據并上報給 Analyzer，去掉報文中的 iFIT 報文頭。分析器（Analyzer）：負責收集入節點、中間節點、出節點上送的統計數據并完成數據的匯總和計算。5.4.5 工作機制 1.時間同步機制 iFIT 以時間同步為基礎。在測量開始

206、前，要求所有參與 iFIT 測量的設備時間已經同步，從而確保各個設備能夠基于相同的周期進行報文統計和上報。如果時間不同步，會導致 iFIT 計算結果不準確。61 分析器和iFIT設備的時間同步與否不影響計算結果，但為了便于管理和維護，建議分析器和所有iFIT設備的時間均保持同步。iFIT 使用 PTP（Precision Time Protocol，精確時間協議）協議進行時間同步。關于 PTP 功能的具體描述和配置請參見“網絡管理和監控配置指導”中的“PTP”。2.丟包測量機制 iFIT 丟包計算依據報文守恒原理，即每個周期內、從入節點進入的報文總數應該等于出節點發送的報文總數。如果不相等，則

207、說明目標流穿越網絡內存在丟包現象。3.時延測量機制 iFIT 時延測量機制原理為：每個測量點會記錄目標流中每個報文經過自己的時間戳 t0；在下游測量點匹配該報文，并記錄該報文經過自己的時間戳 t1。最終兩個測量點分別將兩個時間戳上報給分析器，由分析器計算時延。4.測量數據上報機制 iFIT 采用 gRPC（Google Remote Procedure Call，Google 遠程過程調用）協議將測量數據從 iFIT設備推送給 iFIT 分析器。iFIT 目前支持 gRPC Dial-out 模式，iFIT 設備作為 gRPC 客戶端，iFIT 分析器作為 gRPC 服務器（在gRPC 協議中

208、也稱為采集器）。設備支持按照以下兩個周期將測量數據從 iFIT 設備推送給 iFIT 分析器，請根據需要選擇使用一種即可：gRPC 訂閱周期：如果管理員配置 gRPC 訂閱時配置了采樣周期，則不管采樣路徑是周期采樣路徑還是事件觸發采樣路徑，設備主動和分析器建立 gRPC 連接后，均會按照 gRPC 訂閱周期將設備上訂閱的 iFIT 統計數據推送給分析器。iFIT 測量周期：如果管理員配置 gRPC 訂閱時未配置采樣周期，且采樣路徑是周期采樣路徑，因為缺少采樣周期配置，設備無法將 iFIT 統計數據推送給分析器；如果管理員配置 gRPC 訂閱時未配置采樣周期，且采樣路徑是事件觸發采樣路徑，設備主

209、動和分析器建立 gRPC 連接后，設備按照 iFIT 測量周期定時將設備上訂閱的 iFIT 統計數據推送給分析器。iFIT 的周期采樣路徑為 ifit/flowstatistics/flowstatistic。iFIT 的事件觸發采樣路徑為 insuitoam/measurereport（該路徑包含了 iFIT 的測量結果）和insuitoam/flowinfo（該路徑包含了 iFIT 流的信息）。關于 gRPC 的詳細介紹請參見“Telemetry 配置參考”中的“gRPC”。關于 iFIT 采樣路徑的詳細介紹請參見 iFIT 的 NETCONF API 文檔。5.工作流程 下面以逐點測量場

210、景為例，說明 iFIT 的工作機制。（端到端測量的流程與此類似，只是不需要部署中間節點。）以圖 60 所示組網為例，目標流穿越網絡中有四臺設備，其中三臺支持 iFIT，在這三臺設備上部署iFIT 功能，iFIT 的工作流程如下：(1)Analyzer 和所有 iFIT 設備之間通過 PTP 協議完成時間的同步。(2)iFIT 設備對目標流報文進行 iFIT 處理。62 a.在目標流穿越網絡的入接口（入節點上用戶手工綁定目標流的接口），iFIT 會解析流經該接口的報文，按照規則完成目標流的匹配，給目標流報文添加 iFIT 報文頭，統計目標流報文個數，同時按周期將報文計數和時間戳等信息通過 gRP

211、C 連接上報給分析器。b.在目標流穿越網絡的傳輸接口（在目標流穿越網絡中支持 iFIT 的設備上，目標流的流入接口和流出接口），對于包含 iFIT 報文頭的報文，iFIT 會統計這些報文的個數，同時按周期將報文計數和時間戳等信息通過 gRPC 連接上報給分析器。c.在目標流穿越網絡的出接口（目標流離開目標流穿越網絡的接口，可能為出節點上目標流的流入接口，也可能是目標流的流出接口，具體是流入接口還是流出接口不同設備支持情況不同，請以設備實際情況為準），iFIT 會解析流經該接口的報文，按照規則完成目標流的匹配，對于包含 iFIT 報文頭的報文，iFIT 統計目標流報文個數，同時按周期將報文計數和

212、時間戳等信息通過 gRPC 連接上報給分析器，去掉目標流報文中的 iFIT 報文頭，繼續轉發。(3)分析器對相同周期、相同實例、相同流量進行丟包分析，計算時延。圖60 iFIT 工作機制示意圖 5.5 BIER 5.5.1 概述 1.產生背景 傳統 IP 組播和組播 VPN 技術中，設備需要為每條組播流量分別建立組播分發樹，分發樹中的每一個節點都需要感知組播業務，并保留組播流狀態。例如，公網 PIM 組播中，需要為每條組播流量建立一個 PIM 的組播分發樹；在 NG MVPN 中，需要為每條組播流量建立 P2MP 隧道，也相當于建Ingress不支持iFIT的設備EgressAnalyzer

213、目標流（真實業務流量）測量數據測量點Transit networkTransmit 111222PTP時間同步3端到端測量逐點測量逐點測量逐點測量逐點測量逐點測量 63 立一個 P2MP 組播樹。隨著組播業務的大規模部署，待維護的組播分發樹的數量也急劇增加，組播節點上需要保留大量的組播流狀態，當網絡發生變化的時候，會導致組播表項收斂緩慢。同時，單播路由協議、組播路由協議、MPLS 協議等多協議在承載網絡上并存，增加了承載網絡控制平面的復雜度，使得故障收斂速度慢，運維困難，難以向 SDN 架構網絡演進。BIER 是一種新型的組播轉發技術架構，通過將組播報文要到達的目的節點集合以 BS（Bit S

214、tring，位串）的方式封裝在報文頭部發送，使得網絡中間節點無需感知組播業務和維護組播流狀態，可以較好地解決傳統 IP 組播技術存在的問題，提供了良好的組播業務擴展性。在 BIER 網絡中，組播報文的轉發依靠 BFR（Bit Forwarding Router，位轉發路由器）上通過 BIER技術建立的 BIFT（Bit Index Forwarding Table，位索引轉發表），實現組播報文只需根據位串進行復制和轉發。目前，我司支持 G-BIER（Generalized BIER，通用位索引顯式復制）和 BIERv6（Bit Index Explicit Replication IPv6 E

215、ncapsulation，IPv6 封裝的比特索引顯式復制）兩種封裝類型。2.技術優點 BIER 具有如下幾方面的技術優點：良好的組播業務擴展性 BFR 上采用 BIER 技術建立的 BIFT 是獨立于具體的組播業務的公共轉發表，使得網絡中間節點無需感知組播業務，不需要維護特定組播業務的組播流狀態。公網組播和私網組播報文均可通過 BIFT 轉發，具有良好的組播業務擴展性。簡化業務部署和運維 由于網絡中間節點不感知組播業務，因此部署組播業務不涉及中間節點，組播業務變化對中間節點沒有影響，簡化了網絡的部署和運維。簡化承載網絡的控制平面 在承載網絡的中間節點上，不需要運行 PIM 協議，控制平面協議

216、統一為單播路由協議 IGP 和BGP，簡化了承載網絡的控制平面協議。利于 SDN 架構網絡演進 部署組播業務不需要操作網絡中間節點，只需在入口節點為組播報文添加上指示后續組播復制的 BIER 封裝。BIER 封裝中攜帶標識組播出口節點的位串，中間節點根據位串實現組播復制和轉發，有利于 SDN 架構網絡的演進。5.5.2 網絡模型 BIER 網絡的基本元素為支持 BIER 轉發的 BFR（Bit Forwarding Router，位轉發路由器）。如圖 61所示，BIER 的典型網絡模型中包括以下幾個部分：BFIR（Bit Forwarding Ingress Router，位轉發入口路由器）：

217、組播數據流量進入 BIER 域的節點，負責對進入 BIER 網絡的報文進行 BIER 封裝。Transit BFR：組播數據流量在 BIER 域中轉發的中間節點，負責對 BIER 報文進行轉發。BFER（Bit Forwarding Egress Router，位轉發出口路由器）：組播數據流量出 BIER 域的節點，負責對 BIER 報文進行解封裝，并轉發給組播接收者。其中，BFIR 和 BFER 統稱為 BIER 邊緣設備。64 圖61 BIER 典型網絡模型 5.5.3 基本概念 BIER域和BIER子域：在一個路由域或者管理域內所有BFR的集合稱為BIER域（Domain）。一個 BIE

218、R 域可以劃分為一個或者多個 BIER 子域（Sub-domain），Sub-domain 也可簡稱為SD。每個 BIER 子域通過一個唯一的 Sub-domain ID 來標識。BFR ID：用來在一個 BIER 子域中唯一標識一臺 BIER 邊緣設備，Transit BFR 無需配置 BFR ID。BFR prefix：相當于路由協議中的 Router ID，用來標識 BFR。在同一個 BIER 子域中，每個BFR 必須配置唯一的 BFR 前綴，且該前綴必須是 BIER 子域內路由可達的。目前 BFR prefix只支持配置為 Loopback 口的地址。BS（Bit String，比特串

219、）：BIER 封裝用一個特定長度的 BS 來表示 BIER 報文的目的邊緣設備。Bit String 從最右邊開始，每一個比特位對應一個 BFR ID。比特位置 1，表示該比特位對應的 BFR ID 所標識的 BIER 邊緣設備，為組播報文轉發的目的邊緣設備。BSL（Bit String Length，比特串長度）：用來表示 BIER 封裝中的比特串長度。SI（Set Identifier，集標識）：當一個 BIER 子域內使用的 BSL 長度不足以表示該子域內配置的 BFR ID 的最大值時，需要將 Bit String 分成不同的集合，每個集合通過 SI 來標識。比如，BIER 子域內 B

220、FR ID 最大值為 1024，假如 BSL 設置為 256，就需要將 BIER 子域分為四個集合，分別為 SI 0，SI 1、SI 2 和 SI 3。BIRT（Bit Index Routing Table，位索引路由表）：BFR 上結合 IGP/BGP 協議交互的 BIER屬性信息（Sub-domain ID、BSL、BFR ID）與 IGP/BGP 路由信息生成的 BIER 路由表項，用于指導 BIER 報文的轉發。F-BM（Forwarding-Bit Mask，轉發位串掩碼）：用來表示 BFR 往下一跳鄰居復制發送組播報文時，通過該鄰居能到達的BIER子域邊緣節點集合。F-BM是BF

221、R通過將該鄰居所能到達的所有 BIER 子域邊緣節點的 Bit String 進行“或”操作后得到。BIFT（Bit Index Forwarding Table，位索引轉發表）：BIER 子域內的組播流量通過查詢 BIFT來實現逐跳轉發。每張 BIFT 都由三元組（BSL，SD，SI）確定。BIFT 是 BFR 將 BIRT 表項中經過相同鄰居不同表項進行合并生成，每條表項記錄了一個下一跳鄰居和對應的 F-BM。Receiver 1Receiver 2SourceBFIRTransit BFRBFERBFERBIER Domain 65 5.5.4 三層網絡架構 IETF RFC 8279

222、將 BIER 網絡架構分為 Underlay、BIER 和 Overlay 三層。(1)Underlay 層 Underlay 層為傳統 IP 路由層，通過 IGP 協議（目前僅支持 IS-IS）的擴展 TLV 屬性攜帶 BFR的 BIER 屬性信息在 BIER 子域內進行泛洪。BFR 根據 IGP 算法生成到本子域內其它 BFR 前綴的路由，也就是到每個 BFR 的路由，從而建立 BIER 子域內節點之間的鄰居關系以及節點之間的最佳轉發路徑。(2)BIER 層 BIER 層作為 BIER 轉發的核心層，在控制平面對 BIER 轉發所需的 IGP 協議進行了擴展，用于生成指導組播報文在 BIE

223、R 域內完成轉發的 BIFT。BIFT 生成過程如下：a.BFR 通過 IGP 協議將 BIER 層配置的 BIER 信息進行通告。b.BFR 基于 IGP 協議通告的 BIER 信息，在 BFR 之間的最佳轉發路徑上生成 BIFT。在轉發平面，當封裝有 BIER 頭的組播報文在 BIER 層進行轉發時，BFR 根據 BIER 頭中的信息查找 BIFT 表項完成報文復制轉發。(3)Overlay 層 Overlay 層在控制平面主要負責組播業務控制面信息交互，比如 BFIR 和 BFER 之間用戶組播的加入和離開信息，建立組播流與 BFER 對應關系的組播轉發表項。在轉發平面，當組播報文到達

224、BFIR 時確定目的 BFER 集合，并完成該組播報文對應的 BIER頭的封裝；當攜帶有 BIER 頭的組播報文到達 BFER 節點時，解封裝 BIER 頭并完成后續的組播報文轉發。5.5.5 報文封裝格式 RFC 8279 中對 BIER 定義了多種封裝類型，不同的封裝類型報文格式不相同。目前，我司支持G-BIER 和 BIERv6 封裝類型。G-BIER（Generalized BIER，通用位索引顯式復制）為中國移動攜手新華三、華為、中興等廠商提出的一種通用 BIER 封裝方案，它根據 IPv6 網絡的特點對 RFC 定義的標準的 BIER 頭進行適配性修改，與 IPv6 實現了更好的融

225、合。BIERv6（Bit Index Explicit Replication IPv6 Encapsulation，IPv6 封裝的比特索引顯式復制）是基于 Native IPv6 的全新組播方案，BIERv6 結合了 IPv6 和 BIER 的優勢，可以無縫融入SRv6 網絡，簡化了協議復雜度。將 BIER 承載報文的封裝類型配置為 BIERv6 時，需要 BIER子域內的所有的 BFR 均支持 SRv6。1.G-BIER 報文封裝格式 對 G-BIER 報文的封裝是通過在組播數據報文前面添加新的 IPv6 基本頭和 G-BIER 頭實現的。如圖62 所示，IPv6 基本頭中 Next H

226、eader 取值為 60，表明下一個報文頭為 DOH（Destination Options Header，目的選項頭）。對于 G-BIER 報文，IPv6 基本頭中有如下約定：Source Address：源地址需要配置為 BFIR 的組播服務源地址，該源地址由 BFIR 的前綴地址和組播服務 ID 值共同生成。BFIR 的前綴地址用來標識 BFIR 的網絡位置，組播服務 ID 用來標識不同的 MVPN 實例。組播報文在轉發過程中，該源地址保持不變。66 Destination Address：目的地址需要配置為專門用于 BIER 轉發的 MPRA（Multicast Policy Rese

227、rved Address，組播策略保留地址），該地址要求在子域內路由可達。當 BFR 收到 IPv6報文中的目的地址為本地配置 MPRA，則表示需要對該報文進行 G-BIER 轉發。圖62 G-BIER 的報文封裝示意圖 G-BIER 報文中的 BIER 頭主要包含以下幾個部分：Next Header：8bits，用來標識下一個報文頭的類型。Hdr Ext Len：8bits，表示 IPv6 擴展頭長度。Option Type：8bits，選項類型為 G-BIER。Option Length：8bits，選項長度。BSL：4bits，取值用 17 來代表不同比特串長度，取值與比特串長度的對應關

228、系如下：1：表示比特串長度為 64bits。2：表示比特串長度為 128bits。3：表示比特串長度為 256bits。4：表示比特串長度為 512bits。5：表示比特串長度為 1024bits。6：表示比特串長度為 2048bits。7：表示比特串長度為 4096bits。SD：8bits，BIER 子域 ID。SI：8bits，集標識。Rsv：保留字段。31BSL新的IPv6基本頭DOH組播報文Source Address(128 bits)Destination Address(128 bits)Ver0113Traffic ClassFlow LabelPayload LengthN

229、ext HeaderHop Limit311523071523Next headerHdr Ext LenOption TypeOption LengthG-BEIR頭部SDSIRSVTTLRsvVersionRsvEntropyOAMRsvDSCPRsv Bit String(First 32 bits)Bit String(Last 32 bits)67 TTL：8bits，和 IP 報文中的 TTL 意義相同，可以用來防止環路。Version：4bits，版本號，目前只支持 0。Entropy：20bits，用來在存在等價路徑時，進行路徑的選擇。擁有相同 Bit String 和 Ent

230、ropy值的報文，選擇同一條路徑。OAM：4bits，缺省值為 0，可用于 OAM 功能。DSCP：7bits，報文自身的優先等級，決定報文傳輸的優先程度。Bit String：位串。2.BIERv6 報文封裝格式 對 BIERv6 報文的封裝是通過在組播數據報文前面添加新的 IPv6 基本頭和 BIERv6 頭實現的。如圖63 所示，IPv6 基本頭中 Next Header 取值為 60，表明下一個報文頭為 DOH（Destination Options Header，目的選項頭）。對于 BIERv6 報文，IPv6 基本頭中有如下約定：Source Address：源地址需要配置為 BI

231、ERv6 隧道的源地址，在組播報文在公網中轉發時，該源地址保持不變。有關 BIERv6 隧道源地址的詳細介紹，請參見“IP 組播配置指導”中的“組播 VPN”。Destination Address：目的地址需要配置為專門用于 BIER 轉發的 End.BIER SID，該地址要求在子域內路由可達，可通過 end-bier locator 命令進行配置。BIERv6 頭主要包含以下幾個部分：Next Header：8bits，用來標識下一個報文頭的類型。Hdr Ext Len：8bits，表示 IPv6 擴展頭長度。Option Type：8bits，選項類型為 BIERv6。Option L

232、ength：8bits，表示 BIERv6 報文頭長度。BIFT-ID：20bits，位索引轉發表 ID，用來唯一標識一張 BIFT。TC：3bits，Traffic Class，流量等級，用于 QoS。S：1bits，可視為保留字段。TTL：8bits，表示報文經過 BIERv6 轉發處理的跳數。每經過一個 BIERv6 轉發節點后，TTL值減 1。當 TTL 為 0 時，報文被丟棄。Nibble：4bits，保留字段，目前只支持 0。Version：4bits，BIERv6 報文版本號，目前只支持 0。BSL：4bits，取值用 17 來代表不同比特串長度，取值與比特串長度的對應關系如下：

233、1：表示比特串長度為 64bits。2：表示比特串長度為 128bits。3：表示比特串長度為 256bits。4：表示比特串長度為 512bits。5：表示比特串長度為 1024bits。6：表示比特串長度為 2048bits。7：表示比特串長度為 4096bits。Entropy：20bits，用來在存在等價路徑時，進行路徑的選擇。擁有相同 Bit String 和 Entropy值的報文，選擇同一條路徑。68 OAM：2bits，缺省為 0，可用于 OAM 功能。Rsv：2bits，保留字段，缺省為 0。DSCP：6bits，報文自身的優先等級，決定報文傳輸的優先程度。Proto：6bi

234、ts，下一層協議標識，用于標識 BIERv6 報文頭后面的 Payload 類型。BFIR ID：16bits，BFIR 的 BFR ID 值。圖63 BIERv6 的報文封裝示意圖 5.5.6 BIER 控制平面 在 BFR 上配置的 BIER 信息（SD、BFR prefix、BFR ID 等），通過 IGP 協議在 BIER 域內泛洪。IGP根據鄰居泛洪的 BIER 信息計算 BIER 最短路徑樹（以 BFIR 為根，Transit BFR 和 BFER 為葉子）。BFR 根據 BIER 最短路徑樹，生成 BIRT，最終進一步生成用于指導 BIER 轉發的 BIFT。如圖 64 所示，B

235、IER 域中包含支持 BIER 和不支持 BIER 的節點（Device G）。對于不支持 BIER 的節點，會將其所有的子節點作為葉子節點加入到 BIER 最短路徑樹，如果子節點不支持 BIER，則繼續往下迭代到支持 BIER 的子節點。比如，Device G 不支持 BIER，Device G 會將子節點 Device C和 Device E 的 BIER 信息傳遞給 Device B，在 Device B 上生成下一跳鄰居為非直連鄰居 Device C和 Device E 的 BIFT 表項信息。新的IPv6基本頭BIERv6頭組播報文Source Address(128 bits)De

236、stination Address(128 bits)Ver0113Traffic ClassFlow LabelPayload LengthNext HeaderHop Limit311523 Bit String(First 32 bits)07311523 Bit String(Last 32 bits)Next headerBIFT IDTCVersionNibbleEntropyBSLOAMProtoDSCPRsvHdr Ext LenOption TypeOption LengthTTLSBFIR ID 69 圖64 BIER 控制平面 BIFT 5.5.7 BIER 轉發過程 組

237、播報文到達 BFIR，BFIR 查找組播轉發表得到該組播表項對應的 BIFT-ID 和 BS，BS 即組播報文穿越 BIER 域后到達的全部 BFER 集合。BFIR 根據 BIFT-ID 匹配到指定 BIFT，并根據報文頭中攜帶的 Bit String 與 BIFT 表項匹配計算后復制轉發。BIER 報文到達 BFER 節點后解封成組播報文，根據組播地址查找組播轉發表進行轉發。當 BIER 轉發過程中需要經過非 BIER 節點，即 BFR 的下一跳鄰居為非直連鄰居時，可以通過特定的技術來穿越非 BIER 節點。特定的技術取決于 BIER 封裝的外層封裝（比如，MPLS 封裝依靠 LSP穿過非

238、 BIER 節點，IPv6 封裝可以按普通 IPv6 單播路由到非直連 BIER 鄰居）。下面以具體的示例來說明 BIER 轉發過程。如圖 65 所示，BIER 子域中的每臺設備都根據 IGP 協議計算生成了 BIFT。Device D 和 Device E 的下游存在某個組播組的接收者，Device A 作為 BFIR 通過BGP MVPN路由收集到Device D和Device E上與Device A處于相同BIER子域的MVPN信息。當 Device A 收到發往該組播組的組播報文時，BIER 轉發過程如下：(1)Device A 收到 IP 組播報文后，查找組播轉發表項，得到該組播表項

239、對應的 BIFT-ID 和 BS，根據 BIFT-ID 找到對應的 BIFT 表，將 BS 與 BIFT 表中每行表項 F-BM 進行“位與”操作，復制組播報文并按照 BIER 報文格式封裝（封裝的 BS 為“位與”計算后得到的值），發送給下一跳鄰居 Device B。(2)Device B 收到 BIER 報文后，根據 BIER 頭中的 BIFT-ID 和 BS，執行與步驟(1)相同的步驟，發現下一跳鄰居為 Device C 和 Device E，需要經過非 BIER 的節點 Device G。此時，可以通過特定的技術穿越非 BIER 節點，復制組播報文并按照 BIER 報文格式封裝后，發給

240、 Device C和 Device E。(3)Device C 收到 BIER 報文后，執行與步驟(1)相同的操作，將組播報文復制一份，并按照 BIER報文格式封裝后，發給 Device D 和 Device F。Receiver 1SourceDevice ABFR ID:4BS:1000Device DBIER DomainDevice BDevice CDevice EDevice FBFR ID:3BS:0100BFR ID:1BS:0001BFR ID:2BS:0010Device GReceiver 2Receiver 3NBRF-BM0:1000A0:0111BNBRF-BM0:

241、0011C0:0100E0:1000ANBRF-BM0:0001D0:0010F0:0100E0:1000BNBRF-BM0:0011C0:0100E0:1000BNBRF-BM0:0001D0:1110CNBRF-BM0:1101C0:0010F 70(4)Device D、Device E 和 Device F 收到 BIER 報文后，發現只有本節點對應的 F-BM 與上游發送的 BIER 報文中的 BS 進行“位與”操作后不為 0，表明本節點為 BFER，需要結束 BIER轉發。此時，Device D、Device E 和 Device F 分別從 BIER 頭部解封裝出組播報文后，根據

242、組播路由表項繼續轉發給下游接收者。圖65 BIER 報文轉發過程示意圖 6 IPv6 部署方案部署方案 6.1 IPv6升級改造方案 IPv6 升級改造方案包括如下幾種：新建 IPv6 網絡 部分設備支持雙棧 網絡邊界進行地址翻譯 6.1.1 新建 IPv6 網絡 新建 IPv6 網絡方案是指按照現有的網絡建設模式組建全新的 IPv6 網絡，網絡中的設備均支持 IPv4和 IPv6 雙棧，該網絡僅用來處理 IPv6 流量。全新的 IPv6 網絡中可以部署新業務，以實現業務創新。IP組播報文Device BDevice GDevice CDevice EDevice DDevice FBFR I

243、D:4BS:1000Sub DomainSourceIP組播報文IP組播報文(S,G)(S1,G1)OutListIFType=BIERBSL:SD:SI=3:1:0BitString=0111IP組播報文Device AIP組播報文BIER BS=0010IP組播報文BIER BS=0001IP組播報文BIER BS=0011IP組播報文BIER BS=0111IP組播報文BIER BS=0100BFR ID:1BS:0001BFR ID:2BS:0010BFR ID:3BS:0100注：為了簡化示意BIER轉發過程，此處BS長度使用4bits進行演示，實際取值以設備支持情況為準 71 圖6

244、6 新建 IPv6 網絡示意圖 6.1.2 部分設備支持雙棧 新建 IPv6 網絡方案是指僅網絡出口、防火墻、核心設備、部分匯聚/接入設備支持雙棧，IPv6 用戶通過這些雙棧節點進行通信。圖67 部分設備支持雙棧示意圖 6.1.3 網絡邊界進行地址翻譯 網絡邊界進行地址翻譯方案是指在位于IPv4與IPv6網絡邊界的防火墻上開啟AFT等地址轉換協議，對 IPv4 和 IPv6 地址進行相互轉換，從而實現 IPv6 用戶訪問 IPv4 網絡。出口路由防火墻核心匯聚接入服務器區InternetWANIPv6用戶IPv6流量橙色設備為雙棧節點出口路由防火墻核心匯聚接入服務器區InternetWANIP

245、v6用戶IPv6流量橙色設備為雙棧節點IPv4用戶IPv4流量藍色設備為IPv4節點 72 圖68 網絡邊界進行地址翻譯示意圖 6.1.4 升級改造方案對比 IPv6 網絡的三種升級改造方案對比如所示。表11 升級改造方案對比表 升級改造方案 新建 IPv6 網絡 部分設備支持雙棧 網絡邊界進行地址翻譯 改造成本 高 中 低 改造難度 低 高 低 改造工作量 中 中 低 改造風險 低 高 中 對原有業務影響 無影響，IPv6業務完全重新部署 有影響，IPv4和IPv6應用復用雙棧網絡 無影響，原有IPv4業務不需要進行地址轉換 單點設備壓力 低 IPv4和IPv6兩張網絡，由不同的設備處理IP

246、v4和IPv6流量 中 網絡、防火墻等各節點需部署雙棧協議，設備資源表項共享 高 地址轉換的節點成為網絡瓶頸 運維復雜度 IPv4/IPv6運維界面分離，運維簡單 IPv4/IPv6運維界面混合，運維復雜 延續IPv4運維方式，運維簡單 適用場景 業務系統重要、架構復雜，改造難度大的網絡（如金融網銀業務等）具有業務創新需求的網絡 結構清晰、簡單的網絡 資金預算緊張，或希望盡量減少IPv6對現網沖擊的網絡 出口路由防火墻核心匯聚接入服務器區InternetWANIPv6用戶IPv6流量橙色設備為雙棧節點IPv4用戶IPv4流量藍色設備為IPv4節點地址翻譯 73 6.2 園區網全面IPv6化部署

247、方案 園區網全面 IPv6 化的典型部署方案如圖 69 所示。具體部署方法為：在互聯網出口區：防火墻、IPS、LB、應用控制、流量分析等設備全面支持 IPv6。全面支持 AFT 等地址轉換協議。在校園云數據中心：Underlay、Overlay 網絡支持 IPv6。虛擬化、云平臺全面支持 IPv6。部署 AFT 等地址轉換協議。在管理控制服務器區：安全態勢感知支持 IPv6。認證授權、網管服務器支持 IPv6。在有線、無線園區網：支持 IPv6 地址分配，IPv6 路由協議。支持 IPv6 準入（BRAS 或 ADCampus）。支持有線、無線接入 SAVA 和域內 SAVA，防止源地址假冒攻

248、擊。在 DMZ 區域：設置 DNS64、對外 IPv6 化網站群等。74 圖69 園區網全面 IPv6 化典型組網 6.3 金融網絡IPv6改造方案 如圖 70 所示，金融網絡由以下幾部分組成：互聯網接入區：通過 ISP 的 Internet 線路完成用戶的網絡接入功能，該區域部署廣域網接入路由器，實現多 ISP 的多條 Internet 線路接入。DMZ（Demilitarized Zone，隔離區）區：為用戶提供 Web 服務的服務器位于 DMZ 區。通過防火墻和 IPS，實現互聯網與 DMZ 區隔離；DMZ 區內部署路由器和交換機，實現本區域內所有設備的互聯互通；通過負載均衡設備，優化業

249、務響應速度并保證 Web 業務高可用性。核心交換區：連接 DMZ 區和互聯網業務后臺區、數據中心內網服務器區?；ヂ摼W業務后臺區：主要提供門戶、網銀、互聯網金融業務的應用處理。數據中心內網服務器區：包含多個業務區，主要為 APP 服務器或 DB 提供數據服務?；ヂ摼W出口區DMZ區域有線、無線園區網BRAS融合IoT AP校園云數據中心管理控制服務器無線控制器DHCP/AAA/SDN控制器/安全態勢感知/智能運維平臺運營商IPv6網絡 75 圖70 金融網絡架構示意圖 可以通過以下幾種方案實現金融網絡從 IPv4 到 IPv6 網絡的升級：完全新建純 IPv6 區：新建純 IPv6 的互聯網接入區

250、和 DMZ 區?；ヂ摼W接入區和 DMZ 區通過IPv6 對外提供 Web 服務，通過 IPv4 和后端業務后臺區、內網業務區數據拉通 InternetGTMGTMGTMGTMLCLC服務器負載均衡服務器負載均衡核心交換區ISP 1ISP 2ISP 3ISP 4互聯網業務后臺區數據中心內網業務分區Web服務器區SERVER互聯網接入區DMZ區 76 圖71 完全新建純 IPv6 區 新建 IPv6 Web 服務器集群：改造互聯網接入區和 DMZ 區支持雙棧，原有 IPv4 Web 服務器集群和新建的 IPv6 Web 服務器集群共用雙棧網絡。IPv6數據流InternetGTMGTMGTMGTM

251、LCLC服務器負載均衡服務器負載均衡核心交換區InternetGTMGTMGTMGTMLCLC服務器負載均衡服務器負載均衡ISP 1ISP 2ISP 3ISP 4ISP 1ISP 2ISP 3ISP 4互聯網業務后臺區數據中心內網業務分區IPv4 Web服務器區IPv6 Web服務器區SERVERSERVERIPv4IPv6IPv4IPv4數據流 77 圖72 新建 IPv6 Web 服務器集群 原 Web 服務器集群網絡升級為雙棧網絡：改造互聯網接入區、DMZ 區和 Web 服務器集群網絡支持雙棧。InternetGTMGTMGTMGTMLCLC服務器負載均衡服務器負載均衡核心交換區ISP

252、1ISP 2ISP 3ISP 4互聯網業務后臺區數據中心內網業務分區IPv4 Web服務器區SERVERSERVERIPv4IPv4IPv6+IPv6 Web服務器區IPv6數據流IPv4數據流 78 圖73 原 Web 服務器集群網絡升級為雙棧網絡 6.4 電子政務外網IPv6+應用 6.4.1 SRv6 應用 電子政務外網中 SRv6 的部署方案如圖 74 所示。訪問互聯網的上網流量通過 EVPN over SRv6 承載，為上網用戶分配相應 VPN 權限，并通過SRv6 隧道進行流量承載。公共業務流量可以使用公網地址，直接通過 SRv6 進行承載。專網流量進行相應 EVPN 的劃分，保證

253、專網專用，業務邏輯隔離。所有路徑都可以由 SDN 控制器進行動態調整，保證資源利用率最優。InternetGTMGTMGTMGTMLCLC服務器負載均衡服務器負載均衡核心交換區ISP 1ISP 2ISP 3ISP 4互聯網業務后臺區數據中心內網業務分區IPv4/v6 Web服務器區SERVERIPv4IPv4IPv6+IPv6數據流IPv4數據流 79 圖74 電子政務外網的 SRv6 應用 6.4.2 網絡切片應用 電子政務外網中網絡切片的部署方案如圖 75 所示。綜合運用多種網絡切片技術，將骨干網帶寬細化，形成多通道。根據不同的業務需求（時延/抖動/丟包等），通過控制器進行不同策略的下發，

254、實現對通道的多樣性利用?？梢愿鶕枨鬄椴煌瑢＞W（例如應急指揮網絡、視頻會議網絡、公文下載網絡等）分配不同的帶寬，保障在同一拓撲中，一個專網的流量不會因為另一個專網流量的擁塞而丟包?？筛鶕蛻舻臉I務需求靈活編排 SRv6 轉發路徑，提升網絡智能性。市電子政務外網EVPN over SRv6政務云數據中心A含部門政務外網A轉網政務云數據中心B互聯網出口區縣政務外網區縣政務外網部門政務外網A部門政務外網B公共業務流量專網業務流量上網流量 80 圖75 電子政務外網的網絡切片應用 6.4.3 可視化應用 電子政務外網中可視化的部署方案如圖 76 所示。通過基于 iFIT 和 Telemetry 技術的可視化方案可以實現：質量可視，規劃支撐：周期性的數據收集，形成現網報表數據，為擴容及后續規劃等提供數據支撐。隨需而動，智能運維：根據現網業務狀態，實現網絡路徑等智能調優，保障關鍵業務質量。精準定位、快速排障：業務出現問題時，通過網絡分析器上的圖形展示可快速定界和解決問題。Telemetry 的詳細介紹，請參見Telemetry 技術白皮書。81 圖76 電子政務外網的可視化應用 網絡分析器iFIT端到端檢測部署點iFIT逐跳檢測部署點IngressTransmitTransmitEgress