IPv6解决方案_DAD-Proxy及替代方案技术白皮书V1[1].0_20110926[2]

DAD-Proxy及其替代方案技术白皮书文档版本01发布日期2011-09-30华为技术有限公司DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究2版权所有©华为技术有限公司2011。保留一切权利。非经本公司书面许可，任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部，并不得以任何形式传播。商标声明和其他华为商标均为华为技术有限公司的商标。本文档提及的其他所有商标或注册商标，由各自的所有人拥有。注意您购买的产品、服务或特性等应受华为公司商业合同和条款的约束，本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。除非合同另有约定，华为公司对本文档内容不做任何明示或默示的声明或保证。由于产品版本升级或其他原因，本文档内容会不定期进行更新。除非另有约定，本文档仅作为使用指导，本文档中的所有陈述、信息和建议不构成任何明示或暗示的担保。华为技术有限公司地址：深圳市龙岗区坂田华为总部办公楼邮编：518129网址：客户服务邮箱：support@huawei.com客户服务电话：4008302118DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究3目录1问题的场景.............................................................................................................................62基于协议扩展的解决方案.......................................................................................................93基于BNG产品的替代方案.....................................................................................................104结论......................................................................................................................................12附录A参考文献........................................................................................................................13附录B缩略语............................................................................................................................14DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究4附图目录图1ND协议中的DAD机制..........................................................................................................6图2BBF接入网IPoE架构..........................................................................................................7图3接入网N:1-VLAN中DAD机制失效.......................................................................................8图4DADProxy的消息传递机制.................................................................................................9图5BRAS产品的数据转发流程................................................................................................10DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究5DAD-Proxy及其替代方案技术白皮书关键词：IPv6,ND,DAD,水平分割,SplitHorizon,N:1-VLAN,DAD-Proxy摘要：本文针对宽带接入网中由于水平分割导致在N:1-VLAN场景下DAD机制失效的问题，给出了两种解决方案：IETF提出的在BNG设备节点上提供DADProxy方案作为ND协议中DAD机制在宽带接入网中的扩展，已成为6man工作组文稿；以及基于BRAS产品的替代方案，不仅可实用地解决上述问题，还可容忍不同线路上用户CPE/用户主机使用相同的LLA地址。DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究61问题的场景任何IPv6节点（Node）在其接口的任意IPv6地址生效之前，均需通过ND协议中的DAD（DuplicateAddressDetection）过程来检测和判定其地址在同一链路（Link）上是否存在重复的冲突；图1显示的是ND协议中的DAD机制：在节点A任意接口尝试使用任意IPv6地址之前，先发送NS-DAD报文，其IPv6源地址为未定义（::）地址，其IPv6目的地址为Solicited-Node组播地址，同时其NS消息中目标地址字段（TargetAddressField）为被检测的IPv6地址；当同一链路上使用相同IPv6地址的节点B收到该NS-DAD报文后，将发现地址存在冲突；节点B反馈NA-DAD报文，其IPv6目的地址为同链路所有节点（link-localscopeall-nodes）组播地址（FF02::1）；节点A收到NA-DAD后，其先前尝试的IPv6将不能使用；若节点A进行DAD的IPv6地址为接口自动生成的本地链路地址（LLA-Link-LocalAddress），节点A将自动的随机生成新的LLA地址，并重新开始新的DAD过程；当节点A没有（或不再）收到同一链路其他节点反馈的NA-DAD报文，其DAD尝试的IPv6地址将视为可用，并在接口上进行初始化。NodeARouterNodeCNodeBNS-DADNA-DAD图1ND协议中的DAD机制在宽带论坛（BBF）定义的接入网架构中，由于水平分割（SplitHorizon）的影响，不同线路的用户设备出于信息隔离的需要，不能相互通信；因此，当多个用户线DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究7路加入同一（旨在提供相同业务的）N:1-VLAN中，作为IPv6节点的用户CPE（或用户主机）将无法收到来自其他线路的IPv6节点发出的NS-DAD报文，或在检测到IPv6地址冲突后无法反馈NA-DAD报文，从而导致了ND协议中DAD机制的失效。BNG-BroadbandNetworkGatewayPE-ProviderEdgeRouterEAN-EthernetAggregationNodeAN-AccessNodeAN-AccessNodeRouted-CPEBridged-CPECPE-CustomerPremiseEquipmentRG-ResidentialGateway图2BBF接入网IPoE架构图2是BBF定义的接入网IPoE架构，在这个架构中，用户CPE（或用户主机）通常采用自动方法生成LLA地址，可能同时参与协议报文的通信和数据报文的转发。特别是在Unnumbered模式下，LLA还作为路由型CPE（即Routed-CPE/RG）的网络侧WAN接口地址，成为宽带网络网关BNG（即PE路由器）上的路由表中指向CPE连接的家庭网络的回程路由的下一跳。另一方面LLA也是CPE对外通信协议（如必备的DHCPv6-PD）报文的源地址。因此，可以说CPE-WAN接口的LLA无论在转发平面还是控制平面均具有重要的地位。然而，同一N:1-VLAN中不同线路的用户CPE（或用户主机）的LLA存在以下两种冲突的原因和可能性：MAC地址相同导致LLA地址冲突:由于运营商的特意部署、设备的错误实现或山寨设备等原因，不同线路上用户CPE（或用户主机）的MAC地址偶尔相同，导致经过通用算法自动生成的LLA地址相同；恶意仿造导致LLA地址冲突：在不信任（Untrusted）用户网络中，恶意用户仿造的LLA地址与其他线路上用户CPE（或用户主机）的LLA地址相同。DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究8BNG–BroadbandNetworkGatewayPE–ProviderEdgeRouterEAN–EthernetAggregationNodeAN–AccessNodeN:1–VLANforServiceSplitHorizonRouted-CPESplitHorizonBridged-CPENS-DADmessageNA-DADmessage图3接入网N:1-VLAN中DAD机制失效图3示出了宽带接入网中N:1-VLAN中DAD机制失效的原因。在宽带接入网中，对于二层的MAC地址冲突往往可以通过AN设备上使用VMAC（Virtual-MAC）地址的替换技术来解决，即通过VMAC方法来保证二层地址的寻址唯一性；但对于三层LLA地址的冲突则需要相应的三层技术解决方案，下文将探讨业界针对上述问题的两种解决方法。DAD-proxy及其替代方案技术白皮书内部公开Copyright©2011华为技术有限公司版权所有，侵权必究92基于协议扩展的解决方案针对上述问题，BBFTR-177推荐的解决方案是IETF6man工作组文稿draft-ietf-6man-dad-proxy-01提供的DADProxy，其基本思想为：在BNG上建立代理服务器（Proxy）和针对同一VLAN的LLA与MAC地址的映射表（BindingTable）；通过BNG的参与来协助完成水平分割条件下同一N:1-VLAN中不同用户线路上IPv6节点所需的（尝试使用LLA地址前的）DAD过程。CPE1CPE2BNG(a)(b)(c)(d)(e)(f)NS-DADNS-DADNA-DAD(a)CPE1generatesatentativeLLA(b)CPE1performsDADforthisLLAthroughNS-DADmessage(c)BNGupdatesitsBindingTablewiththeassociationbetweenLLAanditsMACaddress(d)CPE2generatesasametentativeLLAthroughNS-DADmessage(e)CPE2performsDADforthisLLA(f)BNGinformsCPE2thatDADfailsthroughNA-DADmessage图4DADProxy的消息传递机制图4中是DADProxy的具体通信机制。由于BNG上建立了LLA与MAC地址的映射表，并主动承担起检测所有线路上用户CPE（或用户主机）发出的NS-DAD消息和反馈地址冲突存在时的NA-DAD消息的任务，因此，同一