2024IPv6技術(shù)白皮書-新華三集團(tuán)

IPv6技術(shù)白皮書目錄概述 1IPv6技術(shù)勢(shì) 1充足的地址空間 1層次化的地址結(jié)構(gòu) 1簡(jiǎn)化報(bào)文頭 2靈活的擴(kuò)展頭 2IPv6擴(kuò)展頭類型 2IPv6擴(kuò)展頭的報(bào)文格式 3強(qiáng)大的鄰居發(fā)現(xiàn)協(xié)議 4內(nèi)置安全性 4基于IPv6協(xié)擴(kuò)展 5IPv6全球單播地址配置方式 5無(wú)狀態(tài)地址自動(dòng)配置 5有狀態(tài)地址自動(dòng)配置（DHCPv6） 8IPv6DNS 12IPv6DNS簡(jiǎn)介 12天窗問(wèn)題避免 12IPv6路由 14RIPng 14OSPFv3 16IPv6IS-IS 20IPv6BGP（即BGP4+） 21IPv4和IPv6路由協(xié)議異同點(diǎn)總結(jié) 22雙棧策略路由 22IPv6組播 22IPv6組播簡(jiǎn)介 22IPv6組播地址 23IPv6組播MAC地址 26IPv6組播協(xié)議 27網(wǎng)絡(luò)安全 28一次認(rèn)證雙棧放行 28SAVI&SAVA&SMA 30微分段 36VXLAN/EVPNVXLAN支持IPv6 39過(guò)技術(shù) 41雙棧技術(shù) 41隧道技術(shù) 41AFT 42AFT簡(jiǎn)介 42AFT前綴轉(zhuǎn)換方式 43AFT的優(yōu)缺點(diǎn) 444.46PE 454.56vPE 45IPv6演進(jìn)——IPv6+ 47IPv6+概述 475.2SRv6 47SRv6基本概念 47SRv6技術(shù)優(yōu)勢(shì) 47SRv6基本轉(zhuǎn)發(fā)機(jī)制 48SRv6報(bào)文轉(zhuǎn)發(fā)方式 495.2.5G-SRv6 49SRv6高可靠性 52SRv6VPN 52網(wǎng)絡(luò)切片 55網(wǎng)絡(luò)切片概述 55網(wǎng)絡(luò)切片的價(jià)值 55網(wǎng)絡(luò)切片的技術(shù)方案 55基于SliceID的網(wǎng)絡(luò)切片實(shí)現(xiàn)原理 56iFIT 57iFIT概述 57技術(shù)優(yōu)點(diǎn) 58應(yīng)用場(chǎng)景 58網(wǎng)絡(luò)框架 59工作機(jī)制 60BIER 625.5.1概述 62網(wǎng)絡(luò)模型 63基本概念 64三層網(wǎng)絡(luò)架構(gòu) 65報(bào)文封裝格式 65BIER控制平面 68BIER轉(zhuǎn)發(fā)過(guò)程 69IPv6部署案 70IPv6升級(jí)改造方案 70新建IPv6網(wǎng)絡(luò) 70部分設(shè)備支持雙棧 71網(wǎng)絡(luò)邊界進(jìn)行地址翻譯 71升級(jí)改造方案對(duì)比 72園區(qū)網(wǎng)全面IPv6化部署方案 73金融網(wǎng)絡(luò)IPv6改造方案 74電子政務(wù)外網(wǎng)IPv6+應(yīng)用 78SRv6應(yīng)用 78網(wǎng)絡(luò)切片應(yīng)用 79可視化應(yīng)用 80概述IPv6（InternetProtocol66）IPng（IPNextGeneration。IPv6IPv4IPv4IPv6IPv65GIPv6本文在講解P6P6P6（即P6并提供幾種常見(jiàn)的IPv6IPv6IPv6技術(shù)優(yōu)勢(shì)充足的地址空間IPv6128（163.4×1038IPv6層次化的地址結(jié)構(gòu)IPv6IPv6IPv6IPv61IPv6InternetNetworkInformationCenter）ISP圖1IPv6地址結(jié)構(gòu)網(wǎng)絡(luò)前綴省標(biāo)識(shí)市標(biāo)識(shí)網(wǎng)絡(luò)前綴省標(biāo)識(shí)市標(biāo)識(shí)業(yè)務(wù)標(biāo)識(shí)主機(jī)域子網(wǎng)ID

接口ID簡(jiǎn)化報(bào)文頭IPv4IPv6IPv6IPv6IPv6IPv4IPv640IPv4（不圖2IPv4報(bào)文頭和IPv6基本報(bào)文頭格式比較0 3 7

15

310

11 15 23 31VerIHLToSTotallengthIdentificationFFragmentoffsetTTLProtocolHeaderchecksumSourceaddress(32bits)Destinationaddress(32bits)OptionsPaddingVerTrafficVerTrafficclassFlowlabelPayloadlengthNextheaderHoplimitSourceaddress(128bits)Destinationaddress(128bits)BasicIPv6header靈活的擴(kuò)展頭IPv6IPv4IPv6IPIPv4IPv6IPv6IPv6擴(kuò)展頭類型IPv61IPv6IPv6不表1IPv6擴(kuò)展頭擴(kuò)展頭名稱類型值處理節(jié)點(diǎn)用途逐跳選項(xiàng)頭（Hop-by-HopOptionsHeader）0報(bào)文轉(zhuǎn)發(fā)路徑上的所有節(jié)點(diǎn)用于巨型載荷告警、路由器告警、預(yù)留資源（RSVP）路由頭（RoutingHeader）43目的節(jié)點(diǎn)及報(bào)文必須經(jīng)過(guò)的中間節(jié)點(diǎn)用來(lái)指定報(bào)文必須經(jīng)過(guò)的中間節(jié)點(diǎn)分段頭（FragmentHeader）44目的節(jié)點(diǎn)當(dāng)IPv6報(bào)文的長(zhǎng)度超過(guò)報(bào)文經(jīng)過(guò)路徑的PMTU（PathMTU，路徑MTU）時(shí)，源節(jié)點(diǎn)將通過(guò)分段頭對(duì)該IPv6報(bào)文進(jìn)行分片在IPv6中，僅源節(jié)點(diǎn)可以對(duì)報(bào)文進(jìn)行分片，中擴(kuò)展頭名稱類型值處理節(jié)點(diǎn)用途間節(jié)點(diǎn)不可以對(duì)報(bào)文進(jìn)行分片PMTU是從源節(jié)點(diǎn)到目的節(jié)點(diǎn)的報(bào)文轉(zhuǎn)發(fā)路徑上最小的MTU（EncapsulatingSecurityPayloadHeader，ESPHeader）50目的節(jié)點(diǎn)用來(lái)提供數(shù)據(jù)加密、數(shù)據(jù)來(lái)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和抗重放功能（AuthenticationHeader）51目的節(jié)點(diǎn)用來(lái)提供數(shù)據(jù)來(lái)源認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和抗重放功能，它能保護(hù)報(bào)文免受篡改，但不能防止報(bào)文被竊聽(tīng)，適合用于傳輸非機(jī)密數(shù)據(jù)AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP目的選項(xiàng)頭（DestinationOptionsHeader）60目的節(jié)點(diǎn)、路由頭中指定的中間節(jié)點(diǎn)用來(lái)攜帶傳遞給目的節(jié)點(diǎn)、路由頭中指定中間節(jié)點(diǎn)的信息。例如，移動(dòng)IPv6中，目的選項(xiàng)頭可以用于在移動(dòng)節(jié)點(diǎn)和家鄉(xiāng)代理之間交互注冊(cè)信息IPv6擴(kuò)展頭的報(bào)文格式IPv60個(gè)、13IPv6Nextheader基本報(bào)文頭中的Nextheader43IPv6Nextheader44最后一個(gè)擴(kuò)展頭的Nextheader字段用來(lái)標(biāo)識(shí)Payload類型。例如，取值為6，表示Payload為TCP報(bào)文；取值為17，表示Payload為UDP報(bào)文。圖3IPv6擴(kuò)展頭的報(bào)文格式0 3 11 15 23 31Sourceaddress(128bits)Sourceaddress(128bits)BasicIPv6headerExtensionheaderExtensionheaderPayloadNextheaderNextheaderDestinationaddress(128bits)HoplimitNextheaderPayloadlengthFlowlabelTrafficclassVer強(qiáng)大的鄰居發(fā)現(xiàn)協(xié)議IPv6的鄰居發(fā)現(xiàn)協(xié)議是通過(guò)一組ICMPv6（InternetControlMessageProtocolforIPv6，IPv6互聯(lián)（ResolutionICMPv4ICMPv4IPv4ARPIPv6IPv4的免費(fèi)ARP功能相似。IPv6IPv6ICMPv6IPv4ICMP內(nèi)置安全性IPv4（如IPsec）IPv6IPv6ESPESPIPv6IPv6IPv6IPv6的協(xié)議擴(kuò)展SSHSNMP等（VRRPM-LAG等（802.1XIPv6IPv4IPv6IPv6IPv6全球單播地址配置方式節(jié)點(diǎn)可以通過(guò)如下方式獲取IPv6全球單播地址：IPv6IPv6單播地址。DHCPv6DHCPv6IPv6IPv62所示。表IPv6地址配置方式優(yōu)缺點(diǎn)適用場(chǎng)景前綴長(zhǎng)度要求手工配置優(yōu)點(diǎn)：無(wú)需協(xié)議報(bào)文交互缺點(diǎn)：手工配置工作量，且無(wú)法動(dòng)態(tài)調(diào)整鏈路本地地址或Loopback接口地址無(wú)要求，可自定義無(wú)狀態(tài)地址自動(dòng)配置優(yōu)點(diǎn)：無(wú)需額外部署服務(wù)器，實(shí)現(xiàn)較為簡(jiǎn)單缺點(diǎn)：無(wú)法精確控制為節(jié)點(diǎn)分配的IPv6地址對(duì)終端訪問(wèn)行為無(wú)強(qiáng)（固定為64位有狀態(tài)地址自動(dòng)配置優(yōu)點(diǎn)：可以精確控制分配給節(jié)點(diǎn)的IPv6地址，并記錄地址分配信息缺點(diǎn)：需要在網(wǎng)絡(luò)中部署DHCPv6服務(wù)器，實(shí)現(xiàn)較為復(fù)雜對(duì)終端訪問(wèn)行為有強(qiáng)管控需求。例如校園網(wǎng)、辦公區(qū)等無(wú)要求，可自定義無(wú)狀態(tài)地址自動(dòng)配置和有狀態(tài)地址自動(dòng)配置可以配合使用。例如，通過(guò)無(wú)狀態(tài)地址自動(dòng)配置獲取IPv6DNS。無(wú)狀態(tài)地址自動(dòng)配置無(wú)狀態(tài)地址自動(dòng)配置通過(guò)IPv6的鄰居發(fā)現(xiàn)協(xié)議實(shí)現(xiàn)，其工作過(guò)程為：（FF02::1）RA（RouterAdvertisement）消IPv6（FF02::2）RS（RouterSolicitation）消息，RS（FF02::1）RA前綴的生命期包括如下兩種：RAIDIPv6RARAIPv6IPv6NS（NeighborSolicitationNSIPv6NA（NeighborAdvertisement被請(qǐng)求節(jié)點(diǎn)（Solicited-Node）多播地址主要用于獲取同一鏈路上鄰居節(jié)點(diǎn)的鏈路層地址及實(shí)現(xiàn)重復(fù)地址檢測(cè)。每一個(gè)單播或任播IPv6地址都有一個(gè)對(duì)應(yīng)的被請(qǐng)求節(jié)點(diǎn)地址。其格式為：FF02:0:0:0:0:1:FFXX:XXXX其中，F(xiàn)F02:0:0:0:0:1:FF為104位固定格式；XX:XXXX為單播或任播IPv6地址的后24位。IEEEEUI-64ID節(jié)點(diǎn)自動(dòng)根據(jù)本地信息生成借口ID，不同接口的IEEEEUI-64格式接口ID的生成方法不同：所有E802VN：EEU64D是（MAC）IPv6ID64MAC地48MAC24F1DACUniversal/Local(U/L)7）ID。6圖4MAC地址到EUI-64格式接口ID的轉(zhuǎn)換過(guò)程MAC地址： 0012-3400-ABCD00000000000100100011010000000000101010111100110100000000000100100000000000010010001101000000000010101011110011010000000000010010001101001111111111111110000000001010101111001101插入FFFE：00000010000100100011010011111111111111100000000010101011110011010000001000010010001101001111111111111110000000001010101111001101EUI-64地址： 0212:34FF:FE00:ABCDTunnelIEEEEUI-64ID32位為TunnelIPv4隧道的接口ID的高32位為0000:5EFE，其他隧道的接口ID的高32位為全0。Serial）：IEEEEUI-64IDIDIPv6地址IPv6IEEE802VLAN接口）IDMACID具有IDIDIDIPv6IEEE802RAIDMACIDRAIDMD5ID不斷變化。MD5IDIDDAD沖RAIPv60RAIPv6前綴。節(jié)點(diǎn)上同時(shí)存在新舊兩個(gè)前綴生成的兩個(gè)IPv6IPv6IPv6IPv6IPv6IPv6有狀態(tài)地址自動(dòng)配置（DHCPv6）DHCPv6（DynamicHostConfigurationProtocolforIPv6，支持IPv6的動(dòng)態(tài)主機(jī)配置協(xié)議）針對(duì)IPv6編址方案設(shè)計(jì)，用來(lái)為主機(jī)分配IPv6前綴、IPv6地址和其他網(wǎng)絡(luò)配置參數(shù)。DHCPv6與其他IPv6地址分配方式（手工配置、無(wú)狀態(tài)地址自動(dòng)配置）相比，DHCPv6具有以下優(yōu)點(diǎn)：DHCPv6DHCPv6DHCPv6IPv6DHCPv6IPv6IPv6DNSDHCPv6地址/DHCPv6服務(wù)器為客戶端分配地址/前綴的過(guò)程分為兩類：圖5地址/前綴快速分配過(guò)程Solicit(containsaCommitoption)ReplySolicit(containsaCommitoption)Reply如圖5所示，地址/前綴快速分配過(guò)程為：DHCPv6DHCPv6服務(wù)器發(fā)送的SolicitRapidCommitDHCPv6ReplyIPv6地址/DHCPv6IPv6/圖6交互四個(gè)消息的分配過(guò)程SolicitAdvertiseRequestReplyDHCPv6SolicitAdvertiseRequestReply交互四個(gè)消息分配過(guò)程的簡(jiǎn)述如表3。表3交互四個(gè)消息的分配過(guò)程步驟發(fā)送的消息說(shuō)明(1)SolicitDHCPv6客戶端發(fā)送該消息，請(qǐng)求DHCPv6服務(wù)器為其分配IPv6地址/前綴和網(wǎng)絡(luò)配置參數(shù)(2)Advertise如果Solicit消息中沒(méi)有攜帶RapidCommit選項(xiàng)，或Solicit消息中攜帶RapidCommit選項(xiàng)，但服務(wù)器不支持快速分配過(guò)程，則DHCPv6服務(wù)器回復(fù)該消息，通知客戶端可以為其分配的地址/前綴和網(wǎng)絡(luò)配置參數(shù)(3)Request如果DHCPv6客戶端接收到多個(gè)服務(wù)器回復(fù)的Advertise消息，則根據(jù)消息接收的先后順序、服務(wù)器優(yōu)先級(jí)等，選擇其中一臺(tái)服務(wù)器，并向該服務(wù)器發(fā)送Request消息，請(qǐng)求服務(wù)器確認(rèn)為其分配地址/前綴和網(wǎng)絡(luò)配置參數(shù)(4)ReplyDHCPv6服務(wù)器回復(fù)該消息，確認(rèn)將地址/前綴和網(wǎng)絡(luò)配置參數(shù)分配給客戶端使用地址/DHCPv6IPv6地址//DHCPv6長(zhǎng)地址圖通過(guò)RenewT1(1)Renew(2)ReplyDHCPv6client DHCPv6T1(1)Renew(2)Reply如7T1（時(shí)，DHCPv6/DHCPv6Renew//DHCPv6ReplyDHCPv6/DHCPv6器回應(yīng)續(xù)約失敗的Reply圖通過(guò)RebindDHCPv6client DHCPv6serverT1T1(1)Renew……T2(2)Rebind(3)Reply如8T1RenewDHCPv6DHCPv60.8DHCPv6/DHCPv6功的ReplyDHCPv6/DHCPv6服務(wù)器回應(yīng)續(xù)約失敗的ReplyDHCPv6DHCPv6Option17Option17（Vendor-specificRFCDHCPv6（TFTPDHCPv6DHCPv6服務(wù)。Option1717個(gè)子選項(xiàng)內(nèi)容。Option18Option18ID（InterfaceID）DHCPv6DHCPv6Option18（DHCPv6Relay-forwadOption18選項(xiàng)DHCPv6Option18DHCPv6IPv69Option18圖9Option18選項(xiàng)格式0 7 15 23 31OptioncodeOptionlengthPortindexVLANIDSecondVLANID(option)DUID(variable)各字段的解釋如下：Optioncode：Option18。Optionlength：OptionPortindex：DHCPv6VLANVLAN信息。SecondVLANIDVLANSecondVLANIDDHCPv6報(bào)文中不含有SecondVLANOption18SecondVLANID內(nèi)容。DUIDDUIDDUIDOption37Option37ID（RemoteID）DHCPv6DHCPv6請(qǐng)Option37（DHCPv6中繼會(huì)在Relay-forwad）DHCPv6Option37IPv610Option37圖10Option37選項(xiàng)格式0 7 15 23 31OptioncodeOptionlengthEnterprisenumberPortindexVLANIDSecondVLANID(option)DUID(variable)各字段的解釋如下：Optioncode：Option37。Optionlength：OptionEnterprisenumberPortindex：DHCPv6VLANVLAN信息。SecondVLANIDVLANSecondVLANIDDHCPv6報(bào)文中不含有SecondVLANOption37SecondVLANID內(nèi)容。DUIDDUIDDUIDOption79Option79（Clientlinklayeraddress）DHCPv6DHCPv6DHCPv6MACDHCPv6DHCPv6中繼生成和請(qǐng)求報(bào)文對(duì)應(yīng)的Relay-ForwardMACOption79DHCPv6DHCPv6Option79DHCPv6MACIPv6地址/IPv611Option79圖11Option79選項(xiàng)格式0 7 15 23 31OptioncodeOptionlengthLink-layertype(16bits)Link-layeraddress(variable)各字段的解釋如下：Optioncode：Option79。Optionlength：OptionLink-layertypeLink-layeraddressIPv6DNSIPv6DNS簡(jiǎn)介DNS（DomainNameSystemTCP/IPIPIP在IPv6網(wǎng)絡(luò)中，DNS主要使用AAAA和PTR記錄來(lái)實(shí)現(xiàn)域名與IPv6地址的轉(zhuǎn)換。AAAAIPv6PTRIPv6天窗問(wèn)題避免在IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)遷移的過(guò)程中，IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)在一段時(shí)期內(nèi)將共存。IPv4和IPv6共存網(wǎng)絡(luò)中，用戶訪問(wèn)IPv6網(wǎng)頁(yè)時(shí)，可能會(huì)出現(xiàn)天窗問(wèn)題。P6（IPv6IPv4IPv6IPv6如12IPv6IPv4IPv6DNSAAAAIPv4圖12天窗問(wèn)題產(chǎn)生的原因示意圖雙棧終端IPv6網(wǎng)絡(luò)IPv4網(wǎng)站IPv4雙棧終端IPv6網(wǎng)絡(luò)IPv4網(wǎng)站IPv4網(wǎng)絡(luò)DNSserverIPv6IPv6IPv4IPv4IPv6DNSIPv6AAAAIPv4DNSIPv6A如果雙棧終端接收到域名服務(wù)器回復(fù)的AAAAAAAAIPv6地址IPv6AAAAAAAAIPv6AIPv4IPv4IPv6IPv6IPv6IPv6IPv4DNS服IPv6DNSDNSIPv4AAAA記LBLB如13LBIPv6IPv4DNSDNSDNSLBLBIPv6IPv6Host。IPv6Host向LocalDNSserver發(fā)送查詢域名的LocalDNSserverIPv6HostDNSLBdevice。IPv6HostLBdevice發(fā)送查詢域名DNS文。LBdeviceDNSIPv6HostDNSsever發(fā)送查詢DNSIPv4地址。LBdeviceIPv4LBdeviceIPv6Host。瀏覽器解析獲取到的外鏈資源即可將正常的網(wǎng)頁(yè)展示給用戶。圖13外鏈代理流程圖LocalDNSserver主站出口LocalDNSserver主站出口DNSserverWebseverIPv4外鏈網(wǎng)站④⑤②InternetVSIP10::10③IPv6Host⑥LBdeviceWebseverIPv6主網(wǎng)站 流量流量:8080IPv6路由IPv4RIP、OSPF、IS-ISBGP和擴(kuò)展才能應(yīng)用于IPv6RIPngIPv6IS-ISIPv6BGP。IPv4IPv6IPv6IPv6RIPngRIP有兩個(gè)版本：RIP-1和RIP-2。RP1CasfloungPoolRP1A、BCRIP-1RP2lasessRoungPoocl，與RP1報(bào)文中攜帶掩碼信息，支持路由聚合和CIDR。RTE（RouteEntries）MD5RIPngRIP-2IPv6RIPngRIP-2動(dòng)。RIP-2報(bào)文中路由信息的目的地址和下一跳地址只有32比特，而RIPng均為128比特。RIP-2對(duì)報(bào)文的長(zhǎng)度有限制，規(guī)定每個(gè)報(bào)文最多只能攜帶25個(gè)RTE，而RIPng對(duì)報(bào)文長(zhǎng)度、RTE的數(shù)目都不作規(guī)定，報(bào)文的長(zhǎng)度與發(fā)送接口設(shè)置的IPv6MTU有關(guān)。RIP-2報(bào)文結(jié)構(gòu)如圖14所示，由頭部（Header）和多個(gè)RTE組成。圖14RIP-2報(bào)文CommandVersionUnusedAFICommandVersionUnusedAFIRoutetagIPaddressSubnetmaskNexthopMetricHeaderRouteEntriesRIPng15RIP-2RIPngHeaderRTE組成。RIP-2RIPngRTEIPv6IPv6地址。IPv6IPv6前綴RIPngIPv6圖15RIPng報(bào)文CommandVersionUnusedNexthopRTECommandVersionUnusedNexthopRTEIPv6prefixRTEIPv6prefixRTEIPv6prefixRTEIPv6prefixRTEHeaderRouteEntries下一跳RTE的格式如圖16所示，其中，IPv6nexthopaddress表示下一跳的IPv6地址。圖16RTE格式0 7 15 31IPv6nexthopaddress(16octets)MustbezeroMustbezero0xFFIPv6前綴RTE的格式如圖17所示，各字段的解釋如下：IPv6prefixIPv6RoutetagPrefixlenth：IPv6Metric圖17IPv6前綴RTE格式0 7 15 31IPv6prefix(16octets)RoutetagPrefixlengthMetricRIP-2可以根據(jù)用戶配置采用廣播或組播方式來(lái)周期性地發(fā)送路由信息；RIPng使用組播方式周期性地發(fā)送路由信息。RIPng自身不提供認(rèn)證功能，而是通過(guò)使用IPv6提供的安全機(jī)制來(lái)保證自身報(bào)文的合法性。因此，RIP-2RIPngRIP-2不僅能在IP網(wǎng)絡(luò)中運(yùn)行，也能在IPX網(wǎng)絡(luò)中運(yùn)行；RIPng只能在IPv6網(wǎng)絡(luò)中運(yùn)行。OSPFv3OSPFv3OSPFv2IPv6OSPFv3OSPFv2做OSPFv3OSPFv2OSPFv3在協(xié)議設(shè)計(jì)思路和工作機(jī)制與OSPFv2基本一致：Hello、DD、LSR、LSU、LSAckLSALSDBLSANBMAP2MP和P2PSFPF接口向外發(fā)送HloHelloOSPF成功交換DDLSALSDBDR選舉機(jī)制相同：在NBMADRBDR。OSPFv3OSPFv2P6P6SF3對(duì)PF2OSPFv3OSPFv3與OSPFv2不同主要表現(xiàn)在：OSPFv2是基于網(wǎng)絡(luò)運(yùn)行的，兩個(gè)路由器要形成鄰居關(guān)系必須在同一個(gè)網(wǎng)段。OSPFv3OSPFv3OSPFv3由于鏈路本地地址只在本鏈路上有意義且只能在本鏈路上泛洪，因此鏈路本地地址只能出現(xiàn)在LinkLSA中。如圖18所示，OSPFv3支持在同一鏈路上運(yùn)行多個(gè)實(shí)例，實(shí)現(xiàn)鏈路復(fù)用并節(jié)約成本。圖18鏈路支持多實(shí)例復(fù)用示意圖DeviceA DeviceBInterfaceAInterfaceAInterfaceBInterfaceCInterfaceDDeviceC DeviceD Instance1 Instance2DeviceADeviceB、DeviceC和DeviceD在DeviceA的InterfaceA、DeviceB的InterfaceB、DeviceC的InterfaceC1；在DeviceA的InterfaceA、DeviceB的InterfaceB、DeviceD的InterfaceD2，DeviceADeviceB和DeviceCDeviceADeviceBDeviceD這是通過(guò)在OSPFv3報(bào)文頭中添加InstanceID字段來(lái)實(shí)現(xiàn)的。如果接口配置的InstanceID與接收的OSPFv3報(bào)文的InstanceID不匹配，則丟棄該報(bào)文，從而無(wú)法建立鄰居關(guān)系。通過(guò)RouterIDOSPFv2RouterIDNBMAIPRouterID來(lái)唯一標(biāo)識(shí)鄰居。OSPFv3協(xié)議除了自身可以提供認(rèn)證功能外，還可以通過(guò)使用IPv6提供的安全機(jī)制來(lái)保證自身報(bào)文的合法性。StubOSPFv3LSALSAStubStubLSALSAULSA才可以向StubOSPFv3IPv616OSPFv2OSPFv3OSPFv3LSU和LSAckOSPFv2相比沒(méi)有什么變化，但OSPFv3HelloOSPFv22。OSPFv2OSPFv316InstanceIDInstanceIDHelloOSPFv2HelloOSPFv3HelloInterfaceIDHelloID。Option在OSPFv2中，Option字段出現(xiàn)在每一個(gè)Hello報(bào)文、DD報(bào)文以及每一個(gè)LSA中。OSPFv3OptionHelloDDRouterLSANetworkLSA、InterAreaRouterLSA以及LinkLSAOSPFv2的Option字段如圖19所示。圖19OSPFv2Option字段格式0 8DNODCEAN/PMCEMTOSPFv3的Option字段如圖20所示。圖20OSPFv3Option字段格式0 18 24DCRNMCEV從上圖可以看出，與OSPFv2OSPFv3的Option字段增加了RVRR0以將R0。VV0LSAOSPFv3支持七種類型的LSA。OSPFv3LSA與OSPFv2LSA的異同如表4所示。表4OSPFv3與OSPFv2LSA的異同點(diǎn)OSPFv2LSAOSPFv3LSA與OSPFv2LSA異同點(diǎn)說(shuō)明RouterLSARouterLSA域的拓?fù)浣Y(jié)構(gòu)NetworkLSANetworkLSANetworkSummaryLSAInterAreaPrefixLSA作用類似，名稱不同ASBRSummaryLSAInterAreaRouterLSAASExternalLSAASExternalLSA作用與名稱完全相同無(wú)LinkLSA新增LSAIntraAreaPrefixLSA新增LSAOSPFv3新增了LinkLSA和IntraAreaPrefixLSA。RouterLSAOSPFv3LinkIPv6RouterLSA和NetworkLSALSAIntraAreaPrefixLSA來(lái)描述，該類LSA用來(lái)公告一個(gè)或多個(gè)IPv6地址前綴。LSAOSPFv3LSALSALSALSType字LSALSA。LA的泛洪范圍僅僅覆蓋一個(gè)單獨(dú)的F3ouerSeokA、InterAreaPrefixLSA、InterAreaRouterLSAIntraAreaPrefixLSA都是區(qū)域范圍泛洪L(zhǎng)SA。LSAASExternalLSALSA。LSAOSPFv2LSALSALSType字段中增加了一個(gè)ULSA如果U1LSALSA中的LS如果U0LSALSAIPv6OSPFv3LSALSAOSPFv3IPv6IS-IS為了支持在P6P6P6SS采用NPNeokaerPooclIdentifierIPv6IS-ISIPv6IPv6IS-ISTLVLSP（LinkStateIPv6IS-ISIPv6可達(dá)性Reachability3（xP6SIPv6TLVIS-ISTLVTLV21所示。圖21IPv6可達(dá)性TLV01234567890123456789012345678901Type=236LengthMetric....MetricUXSReservePrefixLengthPrefix...Sub-TLVLength(*)Sub-TLVs(*)...*:ifpresent主要字段的解釋如下：236IPv6。MetricMetric0～4261412864IPv6Level-2Level-1路由器時(shí)，這個(gè)位被置為1，從而保證了該路由不會(huì)被回環(huán)。X1SVSubTVS0S1P6ReservePrefixLength：IPv6PrefixIPv6展用。IPv6232（0xE8）IPv4IPInterfaceAddressTLV32比特的IPv4128比特的IPv6IPv6接口地址TLVIS-IS中的IPv4接口地址TLV22圖22IPv6接口地址TLV01234567890123456789012345678901Type=232LengthInterfaceAddress1(*)....InterfaceAddress1(*)....InterfaceAddress1(*)....InterfaceAddress1(*)..InterfaceAddress1(*)..InterfaceAddress2(*)..*:ifpresent主要字段的解釋如下：232IPv6接口地址。InterfaceAddressIPv6IS-ISIPv6地址，HelloIPv6地址IPv6LSPIPv6IPv6IPv6IS-ISIS-ISHelloHelloIPv6IPv6IPv6IS-IS對(duì)HelloNLPIDIS-IS8IPv6IS-ISNLPID值為1420xEP6SSHlloIPv6。HelloIPv6接口地址AddressIPv6IS-IS功能IPv6IPv6BGP（BGP4+）IPv6BGP利用BGP的多協(xié)議擴(kuò)展屬性，來(lái)實(shí)現(xiàn)在IPv6網(wǎng)絡(luò)中跨自治系統(tǒng)傳播IPv6路由。BGP-4中與IPv4網(wǎng)絡(luò)層協(xié)議相關(guān)的信息由Update消息攜帶，這些信息是：NLRI和NEXT_HOP屬性等路徑屬性。IPv6IPv6BGP在NLRI和NEXT_HOPMP_REACH_NLRIMP_UNREACH_NLRIBGP-4的NLRI字段，以提供對(duì)IPv6地址前綴的BGP路由的支持。IPv6IPv6IPv6BGPMP_REACH_NLRINEXT_HOPP46P6BP提供了通過(guò)BPPX會(huì)話承載P6IPv4IPv6BGPIPv6IPv4BGPIPv4/IPv6IPv6/IPv4IPv4IPv6路由協(xié)議異同點(diǎn)總結(jié)IPv4和IPv6路由協(xié)議的主要異同點(diǎn)如所示。表5IPv4和IPv6路由協(xié)議的主要異同點(diǎn)協(xié)議類型相同點(diǎn)主要差異點(diǎn)RIP/RIPng路由計(jì)算思路、基本工作機(jī)制相同報(bào)文格式的差異（組播地址、UDP文格式）路由下一跳處理的差異RIPngIPv6OSPFv2/OSPFv3路由計(jì)算思路、基本工作機(jī)制相同OSPFv3LSAIPv6路由信息OSPFv3議，大大提高了可擴(kuò)展性O(shè)SPFv3來(lái)擴(kuò)展的適應(yīng)性IS-IS/IPv6IS-IS協(xié)議架構(gòu)相同IPv6IS-IS在Hello報(bào)文中新定義了支持IPv6的網(wǎng)NLPID（142）IPv6IS-IS新增IPv6接口地址和IPv6可達(dá)性TLVBGP-4/IPv6BGP協(xié)議架構(gòu)相同IPv6BGPOpenIPv6能力協(xié)商IPv6BGPIPv6和Nexthop屬性雙棧策略路由ACL設(shè)置包括IPv4IPv6IPv4或IPv6IPv4IPv6在雙協(xié)議棧節(jié)點(diǎn)使用雙棧策略路由可以減少配置的復(fù)雜度，同時(shí)節(jié)省一定的驅(qū)動(dòng)資源。IPv6組播IPv6組播簡(jiǎn)介P（IPIPv6IPv4IPv6IPv4IPv6的IPv6IPv4IPv6組播地址IPv6IPv61288164FEDC:BA98:7654:3210:FEDC:BA98:7654:3210。IPv6IPv60圖23IPv6組播地址格式007111531GroupID(112bits)ScopeFlags0xFFTPR0如圖23所示，IPv6組播地址中各字段的含義如下：0xFF8IPv6Flags：46所示。表6Flags字段各位的取值及含義位取值及含義0位保留位，必須取0R位0RPIPv61RPIPv6（P、T1）P位0IPv6組播地址1IPv6組播地址（T1）T位0IANAIPv6組播地址1IPv6Scope：4IPv67表7Scope字段的取值及其含義取值含義0、F保留（Reserved）1接口本地范圍（Interface-LocalScope）2鏈路本地范圍（Link-LocalScope）3子網(wǎng)本地范圍（Subnet-LocalScope）4管理本地范圍（Admin-LocalScope）5站點(diǎn)本地范圍（Site-LocalScope）6、7、9～D未分配（Unassigned）8機(jī)構(gòu)本地范圍（Organization-LocalScope）E全球范圍（GlobalScope）GroupScopeIPv6組播組，該標(biāo)識(shí)可能是永久分配的或臨時(shí)的，這由Flags字段的T位決定。IPv6根據(jù)RFC4291，目前已被預(yù)留的IPv6組播地址如表8所示。表IPv6名稱地址說(shuō)明保留組播地址FF0X::不能分配給任何組播組所有節(jié)點(diǎn)組播地址節(jié)點(diǎn)本地）鏈路本地）-所有路由器組播地址節(jié)點(diǎn)本地）鏈路本地）站點(diǎn)本地）-被請(qǐng)求節(jié)點(diǎn)組播地址FF02::1:FFXX:XXXX在被請(qǐng)求節(jié)點(diǎn)單播或任播IPv6地址的低24位前增加地址前綴FF02::1:FF00::/104而得，如4037::01:800:200E:8C6C 對(duì) 應(yīng) 于FF02::1:FF0E:8C6C表8中的X代表0～F的任意一個(gè)十六進(jìn)制數(shù)。IPv6RFC3306中規(guī)定了一種動(dòng)態(tài)分配IPv6組播地址的方式——基于單播前綴的IPv6組播地址。這種IPv6組播地址中包含了其組播源網(wǎng)絡(luò)的單播地址前綴，通過(guò)這種方式分配全局唯一的組播地址。圖24IPv60 7 11 15 23 310xFFFlagsScopeReservedPlenNetworkprefix(64bits)GroupID(32bits)基于單播前綴的IPv6組播地址的格式如圖24所示，其中各字段的含義如下：Flags：R0，P、T1Scope：如1237所示。Reserved：8。Plen：8（。Networkprefix：64Plen定。GroupID：32IPv6例如：?jiǎn)尾デ熬Y為3FFE:FFFF:1::/48的網(wǎng)絡(luò)分配基于單播前綴的組播地址為FF330FEFF19（Xcpe內(nèi)嵌RPIPv6RP（RendezvousPointIPv6PIMRP內(nèi)嵌RPIPv6RP圖25內(nèi)嵌RP地址的IPv6組播地址格式0 7 11 15 19 23 310xFFFlagsScopeReservedRIIDPlenNetworkprefix(64bits)GroupID(32bits)如25RPIPv6IPv6Flags：R、PT1RPScope：如1237所示。Reserved：4。RIID：4RPID。Plen：8RP。Networkprefix：64RPPlenGroupID：32IPv6內(nèi)嵌于IPv6組播地址中的RP地址的計(jì)算規(guī)則如下：IPv6NetworkprefixPlenRPIPv6RIIDRP4最后，將RP。IPv6FF7E:F40:2001:DB8:BEEF:FEED::1234RP的前綴為Neokpix字段的前Pe（x0=64bis4R0x，026圖26RPMulticastaddresswithembeddedRPaddressResultingRPaddress

FF7E:0F40:2001:0DB8:BEEF:FEED:0000:12342001:0DB8:BEEF:FEED:0000:0000:0000:000F2001:DB8:BEEF:FEED::/64RP，則內(nèi)嵌RP地址的IPv6組播地址為FF7X:Y40:2001:DB8:BEEF:FEED::/9632GroupRP2001:DB8:BEEF:FEED::Y/64。IPv6GroupIDRP地址前綴：譬如取Plen0x2032bitsRPIPv6FF7X:Y20:2001:DB8::/6464GroupIDRPX表示任意合法的Scope，Y代表1～F的任意一個(gè)十六進(jìn)制數(shù)。IPv6SSMIPv6SSM（Source-SpecificMulticastIPv6組播PlenNetworkprefix。IPv6SSMFF3X::/32（X表示任意合法的Soe。IPv6MAC地址IPv6MAC0x3333323248播MAC地址。如圖27所示，IPv6組播地址FF1E::F30E:101所對(duì)應(yīng)的組播地址為33-33-F3-0E-01-01。圖27IPv6組播地址的MAC地址映射舉例128-bitIPv6addressFF1E00000000000000000000F30E0101… 32bits …mappeda0101F30Ea0101F30E333316-bitMACaddressprefixIPv6組播協(xié)議IPv6MLD（MulticastListenerDiscoveryProtocol、LDSnopnulicastLiseerisoeySnoopngP6P（PProtocolIndependentMulticast，IPv6）IPv6MBGP（IPv6MulticastBGP，IPv6組播BGP）LD（neetoupaagentPocoLDMLDv1源自IGMPv2，MLDv2源自IGMPv3。IGMPIP2MLDICMPv6（IP58）D30、D131、1和D2（14DPIPv6PIMPIMIPPIM模式：IPv6PIM-DM（IPv6ProtocolIndependentMulticast-DenseMode，IPv6）IPv6PIM-SM（IPv6ProtocolIndependentMulticast-SparseMode，IPv6）IPv6PIM-SSM（IPv6ProtocolIndependentMulticastSource-SpecificMulticast，IPv6協(xié)議）IPv6BIDIR-PIM（IPv6BidirectionalProtocolIndependentMulticast，IPv6IPv6PIM）IPv6PIM（PIMHelloJoin-PruneAssertBootstrapGraft、Graft-AckState-refresh報(bào)文IPv6PIM（包括RegisterRegister-Stop和C-RPAdvertisement）IPv6IPv6MSDPIPv6PIM方式：IPv6PIMIPv6PIM-SSM發(fā)起指定源組的加入。RPRPIPv6IPv6PIMRP地址，向其它域內(nèi)的RPIPv6IPv6MBGPIPv4MBGPMLDSnoopingMLDSnooping與IGMPSnooping協(xié)議基本相同。IPv6PIMSnoopingIPv6PIMSnooping與PIMSnooping組播VLAN組播VLAN，對(duì)于IPv4組播和IPv6組播，處理原理相同。網(wǎng)絡(luò)安全一次認(rèn)證雙棧放行概述IPv4IPv6IPv4IPv6IPoEWebPortalIPv4IPv6IPoEWebPortal（IPv4或IPv6）AAAserverPortalserverDHCPserverInternetAAAserverPortalserverDHCPserverInternet(IPv4&IPv6)雙棧用戶23協(xié)議棧訪無(wú)需該技術(shù)為IPv6網(wǎng)絡(luò)帶來(lái)如下技術(shù)價(jià)值：AAA服務(wù)器和Portal壓力。IPv4IPv6IPoEWeb在IPoEWeb雙棧認(rèn)證組網(wǎng)中，雙棧用戶上線的基本過(guò)程如下：IPv4）MAC（MAC根據(jù)用戶兩個(gè)協(xié)議棧上線方式的不同，IPoEWeb雙棧認(rèn)證支持如下三種典型應(yīng)用場(chǎng)景：IPv4IPv6DHCPv4NDRSIPIPv4IPv6ARPNSNAIPIP和非固定IPIPv4IPv4IPv6IPv4IPv6IPv6DHCPv6IPv4+動(dòng)IPv6PortalPortalPortalPortalIPv4PortalIPv6PortalIPv4IPv6Portal雙棧用戶上線的基本過(guò)程如下：（IPv4PortalPortalWebIPv4或IPv6PortalIPv4PortalIPv6PortalMACIPPortal用戶（IPv6IPv4）MAC錄在PortalMACIPv4IPv6PortalPortalSAVI&SAVA&SMA概述IPv6IPv6IPv6IPv6根據(jù)在網(wǎng)絡(luò)中部署位置的不同，真實(shí)IPv6源地址驗(yàn)證功能分為如下三種類型：AddressImprovementIPv6AddressArchitecture網(wǎng)的邊界設(shè)備上，在管理域內(nèi)提供IPv6S（SaecineasdAnipoinS間，ASASAS圖29SAVI&SAVA&SMA穿越自治系統(tǒng)穿越自治系統(tǒng)SMA自治系統(tǒng)間自治系統(tǒng)自治系統(tǒng)SAVA管理域內(nèi)SAVI接入網(wǎng)絡(luò)接入網(wǎng)絡(luò)接入網(wǎng)內(nèi)SAVIIPv6DHCPv6NDIPv6IPv6與SAVI配合使用的安全功能包括DHCPv6Snooping、NDSnooping和IPSourceGuard中IPv6靜態(tài)綁定表項(xiàng)功能。圖30SAVI原理圖合法主機(jī)IP：100::1VLAN：10MAC：2-2-2

我的IPv6地址是100::1，我要訪問(wèn)網(wǎng)絡(luò)合法主機(jī)信息與綁定表項(xiàng)匹配，允許通過(guò)IPMACIPMACVLAN接口100::12-2-210InterfaceA100::23-3-310InterfaceB

InterfaceInterfaceB

Gateway非法主機(jī)IP：100::2VLAN：10MAC：3-3-3

我的IPv6地址是100::1

非法主機(jī)信息與綁定表項(xiàng)不匹配，不允許通過(guò)，丟棄SAVAIPv6會(huì)為該接入網(wǎng)絡(luò)中的所有的網(wǎng)絡(luò)前綴生成IPv6源地址對(duì)應(yīng)的IPv6IPv6以邊界設(shè)備B為例，SAVA表項(xiàng)生成過(guò)程如圖31所示，分為如下幾個(gè)步驟：ABATagBATagBTagBASAVAB口綁定的SAVASAVA圖31SAVA表項(xiàng)生成過(guò)程1路由表目的地址1路由表目的地址出接口邊界設(shè)備AAA::/64 Interface1路由表目的地址 出接AA::/64 Interface1Tag100Interface1AA::1/64接入網(wǎng)絡(luò)骨干網(wǎng)AA::/64BB::/64Interface1BB::1/64開(kāi)啟SAVA功能的接口Interface2路由表邊界設(shè)備B目的地址路由表出接口1 目的地址BB::/64出接口Interface1AA::/64 Interface2Tag100同步遠(yuǎn)端路由Tag1003SAVA表項(xiàng)用戶前綴 接口4AA::/64 Interface1BB::/64 Interface12SMASMA（StateMachinebasedAnti-spoofingIPv6IPv6SMAControlServer，ASEdgeRouter，AS）32AD1101Level1ACS4AEReLevel0EgressLevel1AD1101Level1ACS4AEReLevel0EgressLevel1sub-alliance1AD1100ACS2AERdAD1201EdgeADAD1200Level2ACS5Level2EgressLevel2IngressLevel1ACS6AERcEgressLevel2AERbAD1200子信任聯(lián)盟：彼此信任的一組AD（AddreesDomain）sub-alliance。SMAADAD（AddreesDomainIPADAD1200和AD12014Level0、Level1和Level2Level0Level2（AD1201。Level0Level1Level0Level2AASConlSee，ASC，用ACS交互信息，并向本地址域內(nèi)的AERACSACSIPv6地AERAASEdeoueASCSP6AERACSIngressSMAEgressAER的Egress。ACS與ACSACSAERSSL（SecureSocketsLayer，安全套接字層）的連接。SMA通過(guò)在AER上檢查報(bào)文的源IPv6地址和報(bào)文標(biāo)簽實(shí)現(xiàn)對(duì)偽造源IPv6地址攻擊的防御。AER33檢查接收?qǐng)?bào)文的接口類型是否為Ingress。Ingress。若接口類型是Egress。若屬于當(dāng)前地址域，則繼續(xù)按照IPv6IPv6若不屬于本子聯(lián)盟，則繼續(xù)按照IPv6若屬于本子聯(lián)盟，則進(jìn)入步驟。IPv6IPv6e。f。若不需要，刪除報(bào)文標(biāo)簽后，繼續(xù)按照IPv6IPv6低級(jí)別地址域內(nèi)的AER圖33AER接收?qǐng)?bào)文時(shí)的處理過(guò)程AERAER接收到報(bào)文檢查接收?qǐng)?bào)文的接口類型是否為Ingress？是檢查報(bào)文源地址前綴是否屬于當(dāng)前地址域？否否是檢查報(bào)文目的IPv6地址是否屬于本子聯(lián)盟？ 否是檢查報(bào)文目的IPv6地址是否屬于本子聯(lián)盟？否是檢查報(bào)文目的IPv6地址域內(nèi)更低級(jí)別地址域？否是檢查報(bào)文的子聯(lián)盟內(nèi)標(biāo)簽是否校驗(yàn)成功？否是檢查報(bào)文是否需要向本地址域內(nèi)更低級(jí)別的地址域轉(zhuǎn)發(fā)？否是刪除報(bào)文標(biāo)簽后，繼續(xù)按照IPv6路由表轉(zhuǎn)發(fā)該報(bào)文丟棄該報(bào)文繼續(xù)按照IPv6路由表轉(zhuǎn)發(fā)該報(bào)文將報(bào)文標(biāo)簽替換為低級(jí)別地址域標(biāo)簽，繼續(xù)按照將報(bào)文標(biāo)簽替換為低級(jí)別地址域標(biāo)簽，繼續(xù)按照IPv6路由表轉(zhuǎn)發(fā)該報(bào)文當(dāng)AER收到源自本地址域的報(bào)文并發(fā)往其他地址域時(shí)，處理過(guò)程如圖34所示。若屬于，對(duì)報(bào)文添加標(biāo)簽后，繼續(xù)按照IPv6。若是，則需要校驗(yàn)標(biāo)簽，進(jìn)入步驟。IPv6IPv6收到源自本地址域的報(bào)文并發(fā)往其他地址域檢查報(bào)文源地址前綴是否屬于當(dāng)前地址域？否收到源自本地址域的報(bào)文并發(fā)往其他地址域檢查報(bào)文源地址前綴是否屬于當(dāng)前地址域？否是域發(fā)往高級(jí)別地址域？否是檢查報(bào)文的子聯(lián)盟內(nèi)標(biāo)簽是否校驗(yàn)成功？否是替換為高級(jí)別地址域標(biāo)簽后，繼續(xù)按照IPv6路由表轉(zhuǎn)發(fā)該報(bào)文繼續(xù)按照IPv6路由表轉(zhuǎn)發(fā)該報(bào)文微分段（進(jìn)ACLVLANIP子網(wǎng)只能實(shí)現(xiàn)不同VLANVLANIP、IP降低CLCLACL圖35ACL資源占用示意圖ACL源IPv6目的IPv6動(dòng)作10:10::210:10::3Deny10:10::310:10::2DenyDevice10:10::2Device10:10::2微分段110:10::2微分段2微分段1

HostB10:0::3微分段源微分段目的微分段動(dòng)作微分段源微分段目的微分段動(dòng)作12Deny21Deny如35IPv6HostA和HostB互通：ACLIPIPv6128bitsIP256bitsACL256bitsACLIDIDACL32bitsACL微分段技術(shù)中使用到以下概念：IDIP地址、IPMACIDGBP（GroupBasedPolicy）GBP，可以對(duì)GBPGBPQoS（MQC）微分段是一種源端控制策略，即在源端設(shè)備上配置微分段功能，實(shí)現(xiàn)對(duì)流量的安全管控。微分段功能由三部分組成：IP微分段、靜態(tài)ACIDACL。QoS（MQC）IDACL在源端設(shè)備上完成上述配置，源端設(shè)備接收到報(bào)文后，根據(jù)報(bào)文所屬的微分段ID，查找匹配的ACL規(guī)則，再通過(guò)ACL關(guān)聯(lián)到GBP。GBP對(duì)命中ACL的報(bào)文進(jìn)行流量控制。綜上所述，微分段是生效在報(bào)文轉(zhuǎn)發(fā)路徑中的源端設(shè)備上的。當(dāng)GBP判決結(jié)果為丟棄時(shí)，報(bào)文將被直接丟棄，不會(huì)再經(jīng)由中間網(wǎng)絡(luò)轉(zhuǎn)發(fā)至目的端，這就避免了帶寬浪費(fèi)。圖36源端流量控制示意圖dropdropdropGBPGBP微分段可以應(yīng)用在EVPNVXLANSDNACLGBP。Leaf上為VMIPIPLeaf1Leaf21192:168:1::0/120。2192:168:2::0/120。3192:168:3::0/120。BorderInternetOA（）（即BGP為了實(shí)現(xiàn)南北向流量管控，需要在所有Leaf上配置全網(wǎng)統(tǒng)一的靜態(tài)IP微分段：由于BorderLeaf1Leaf240::0/0。由于BorderLeaf1Leaf25192:168:20::0/120。ACL和GBP則按需配置，允許或禁止各微分段間互訪的流量通過(guò)。 VM VM間互訪流量 VM與Internet間互訪流量 BGP通告路由Internet1:靜態(tài)缺省路由指向Internet或防火墻2:網(wǎng)段路由指向OA等192:168:20::0/120EVPNVXLANFWBorderBGP通告Spine1Spine2Leaf1Leaf2VM1VM2VM3192:168:2::2/128VM4192:168:3::2/128VM5VM6192:168:1::2/128192:168:1::3/128192:168:3::3/128192:168:3::4/128微分段1 微分段2 微分段3VXLAN/EVPNVXLAN支持VXLAN（VirtualeXtensibleIPMACin裝形式的二層VPNVXLANVXLANEVPN（EthernetVirtualPrivateNetwork，以太網(wǎng)虛擬專用網(wǎng)絡(luò)）VXLAN是一種二層VPN技術(shù)，控制平面采用MP-BGP通告EVPN路由信息，數(shù)據(jù)平面采用VXLAN封裝方式轉(zhuǎn)發(fā)報(bào)文。EVPNVXLAN通過(guò)EVPN路由自動(dòng)建立VXLAN隧道。VXLAN/EVPNVXLANIPVXLANUnderlayOverlayOverlay網(wǎng)絡(luò)通過(guò)封裝技術(shù)、利用Underlay現(xiàn)租戶二層報(bào)文跨越三層網(wǎng)絡(luò)在不同站點(diǎn)間傳遞。對(duì)于租戶來(lái)說(shuō)，Underlay網(wǎng)絡(luò)是透明的，同一租戶的不同站點(diǎn)就像工作在一個(gè)局域網(wǎng)中。站點(diǎn)網(wǎng)絡(luò)和Underlay網(wǎng)絡(luò)均可以是IPv6網(wǎng)絡(luò)。圖38VXLAN/EVPNVXLAN網(wǎng)絡(luò)模型示意圖VSI/VXLAN10VSI/VXLAN10VSI/VXLAN10VSI/VXLAN20VSI/VXLAN20TerminalVXLANtunnelTerminalTerminalTerminalOverlaynetworkVTEP1VTEP2Site2PIP核心網(wǎng)絡(luò)Site1Underlaynetwork如圖38所示，VXLAN/EVPNVXLAN的典型網(wǎng)絡(luò)模型中包括如下幾部分：PC機(jī)、無(wú)線終端設(shè)備、服務(wù)器上創(chuàng)建的VM（VirtualMachineVXLANVXLANVXLANVANLANDVNDNIVLN24

VXLANNetworkIdentifier，VE（VNunelEdPinVLNVANLAN處理都在VTEP上進(jìn)行，例如識(shí)別以太網(wǎng)數(shù)據(jù)幀所屬的VXLANVXLANVXLANVTEPVTEPVXLANUDP頭IPVXLANVTEPVTEPIP（38P設(shè)備VXLANIPVS（ialSichnsaceVP上為一個(gè)VANVSIVTEP上的一臺(tái)基于VXLAN有傳統(tǒng)以太網(wǎng)交換機(jī)的所有功能，包括源MACMACVSI與VXLANCircuitVTEP上，與VSI關(guān)聯(lián)的三層接口或以太網(wǎng)服務(wù)實(shí)例（serviceinstance）稱為AC。其中，以太網(wǎng)服過(guò)渡技術(shù)IPv6IPv4IPv6IPv4IPv6（AFT）6PE。雙棧技術(shù)IPv4IPv6IPv4IPv6IPv4IPv6IPv4IPv6TCPUDPIPv6雙棧技術(shù)是所有過(guò)渡技術(shù)的基礎(chǔ)。雙棧技術(shù)具有如下優(yōu)點(diǎn)：IPv6IPv6改造工作量大，需完成整網(wǎng)的IPv4IPv6IPv4IPv6IPv4隧道技術(shù)IPv6overIPv4IPv4overIPv6IPv6IPv4IPv4網(wǎng)絡(luò)IPv6IPv6overIPv439IPv6IPv4IPv6IPv4IPv6overIPv4IPv6overIPv4IPv46RDIPv4header IPv6headerIPv6IPv4header IPv6headerIPv6dataIPv6headerIPv6dataIPv6networkIPv4networkIPv6overIPv4IPv6networkDeviceA DeviceBIPv6dataIPv6headerIPv6host IPv6hostIPv4overIPv640IPv4IPv6IPv4IPv6網(wǎng)絡(luò)進(jìn)行互通。IPv6header IPv4IPv6header IPv4header IPv4dataIPv4headerIPv4dataIPv4networkIPv6networkIPv4overIPv6IPv4networkDeviceA DeviceBIPv4dataIPv4headerIPv4host IPv4host隧道技術(shù)的優(yōu)點(diǎn)為：IPv6IPv4IPv6CPUAFTAFT簡(jiǎn)介AFT（AddressFamilyTranslation）IPv4IPv6IPv4IPv6AFTIPv4IPv6IPv4IPv6IPv6IPv4網(wǎng)節(jié)點(diǎn)不具備升級(jí)IPv6能力時(shí)，在IPv4與IPv6網(wǎng)絡(luò)邊界點(diǎn)增加協(xié)議轉(zhuǎn)換設(shè)備，可以快速實(shí)現(xiàn)IPv4/IPv6節(jié)點(diǎn)的跨協(xié)議互訪。AFT前綴轉(zhuǎn)換方式AFT支持三種前綴轉(zhuǎn)換方式，包括NAT64前綴轉(zhuǎn)換、IVI前綴轉(zhuǎn)換和General前綴轉(zhuǎn)換。NAT644048566496IPv6IPv4IPv6IPv4IPv6主機(jī)通信。網(wǎng)絡(luò)中并不存在帶有主機(jī)。如4132、64和96P4P6T644048和5664～7164～71。圖41IPv4NAT64IPv60

39 47 55 63 71 79

95103111119

127NAT64prefixIPv4address00AllzerosNAT64prefixv4(24)00(8)AllzerosNAT64prefixv4(16)00v4(16)AllzerosNAT64prefix(8)00v4(24)AllzerosNAT64prefix00IPv4addressAllzerosIPv4addressIPv4addressNAT64prefixAFT構(gòu)造IPv4節(jié)點(diǎn)在IPv6網(wǎng)絡(luò)中的地址示例如表9所示。表9IPv4地址帶有NAT64前綴的IPv6地址示例IPv6前綴IPv4地址嵌入IPv4地址的IPv6地址2001:db8::/3232001:db8:c000:221::2001:db8:100::/4032001:db8:1c0:2:21::2001:db8:122::/4832001:db8:122:c000:2:2100::2001:db8:122:300::/5632001:db8:122:3c0:0:221::2001:db8:122:344::/6432001:db8:122:344:c0:2:2100::2001:db8:122:344::/9632001:db8:122:344::32.IVI前綴轉(zhuǎn)換IVI32IPv6IVIIPv6IPv6IPv6IPv4IPv4IVIIVI42所示。圖42IVI地址格式0

39 47 55 63 71

87 95103111

127IVIprefixFFIPv4addressSuffix3.General前綴General4048566496IPv6IPv4IPv643General64718IPv4IPv6圖43IPv4GeneralIPv60

39 47 55 63 71

87 95103111

127GeneralprefixIPv4addressAllzerosGeneralprefixIPv4addressAllzerosGeneralprefixIPv4addressAllzerosGeneralprefixIPv4addressAllzerosGeneralprefixIPv4addressAllzerosIPv4addressIPv4addressGeneralprefixAFT的優(yōu)缺點(diǎn)GeneralprefixAFT的優(yōu)點(diǎn)為：IPv4IPv6IPv4IPv6升級(jí)改造。IPv6AFT的缺點(diǎn)為：AFTLevelInternet6PE如圖44所示，6PE（IPv6ProviderEdge，IPv6供應(yīng)商邊緣）是一種過(guò)渡技術(shù)，它采用MPLS（MultiprotocolLabelSwitchingIPv4IPv6用ISPIPv4/MPLSIPv66PE圖446PE組網(wǎng)圖CECEIPv4/MPLSnetworkCEIBGPIPv6networkCustomersite6PE6PEIPv6networkCustomersiteP6PE的主要思想是：6PEIPv6MP-BGPIPv66PE6PEIPv6IPv6IPv6IPv4IPv6IPv4GREMPLSLSPMPLSTE6PEP6P6P6，再IPv66PEIPv6借助EP4P4和P6P4P6IPv4/MPLSIPv66PE技術(shù)6vPE6vPEIPv6MPLSL3VPN456vPEVPNCEPE之間運(yùn)行IPv6PE和P設(shè)備之間運(yùn)行IPv4PEIPv4IPv6CEIPv6IPv4PECEIPv6VPNv6路由信息發(fā)布給遠(yuǎn)端PEPEIPv4IPv6IPv6IPv4IPv6IPv6IPv4圖45IPv6MPLSL3VPN應(yīng)用組網(wǎng)圖VPN1VPN1IPv6SiteVPN2IPv6Site3IPv4networkP PCECEPEPECEPPPECEIPv6Site2VPN2IPv6SiteVPN1圖46IPv6MPLSL3VPN報(bào)文轉(zhuǎn)發(fā)示意圖Site1

CE1

CE2 Site2PPP2001:1::1/96PE1PE22001:2::1/962001:2::1Layer1Layer22001:2::1Layer22001:2::12001:2::1如圖46所示，IPv6MPLSL3VPN的報(bào)文轉(zhuǎn)發(fā)過(guò)程為：Site12001:2::1IPv6CE1PE1。PE1VPNMPLSPE2。PE2PE2）PE2VPNCE2。CE2IPv66vPEIPv4IPv6MPLSL3VPNIPv6演進(jìn)——IPv6+IPv6+概述IPv6+5GIPIPv6+IPv6IPv6SLAIPv6+技術(shù)創(chuàng)新體系的發(fā)展分為三個(gè)階段：IPv6+1.0SRv6TEVPN、FRRIPv6+2.05G不局限于iFITBIERG-SRv6SFC（servicefunctionchaining、DetNetIPv6networkingIPv6網(wǎng)絡(luò)APN6在“IPv6+”2.0SRv6SRv6SLA目前，我司支持的IPv6+協(xié)議創(chuàng)新包括SRv6、網(wǎng)絡(luò)切片、iFIT、BIER：SRSmentRoungP6，P6R6是P6IPv6SRv6G-SRv6SFC。iFiniulownfoaonemeRC上報(bào)檢測(cè)結(jié)果，以實(shí)現(xiàn)網(wǎng)絡(luò)可視化。IndexExplicitReplicationIPv6SRv6SRv6IPv6（SourceRouting）SLASRv6SRv6IPv6IPSRv6基本概念SRv6IPv6網(wǎng)絡(luò)中使用SegmentIPv6地址作為節(jié)點(diǎn)根據(jù)SIDSRv6SIDIPv6RoutingSRv6技術(shù)優(yōu)勢(shì)SRv6技術(shù)具有如下優(yōu)勢(shì)：僅需要在源節(jié)點(diǎn)上控制和維護(hù)路徑信息，網(wǎng)絡(luò)中其他節(jié)點(diǎn)不需要維護(hù)路徑信息。SRv6基于SDN架構(gòu)設(shè)計(jì)，跨越了應(yīng)用和網(wǎng)絡(luò)之間的鴻溝，能夠更好地實(shí)現(xiàn)應(yīng)用驅(qū)動(dòng)網(wǎng)絡(luò)。SRv6中轉(zhuǎn)發(fā)路徑、轉(zhuǎn)發(fā)行為、業(yè)務(wù)類型均可控。SRv6IGP和BGPMPLSSRv6DC（DataCenter，和WAN（）SRv6IPv65G5GIPv4SRv6IPv6IPv65G易于實(shí)現(xiàn)VPNSRv6定義了多種類型的SID，不同SID具有不同的作用，指示不同的轉(zhuǎn)發(fā)動(dòng)作。通過(guò)不同的SID操作，可以實(shí)現(xiàn)VPN等業(yè)務(wù)處理。日后，用戶還可以根據(jù)實(shí)際需要，定義新的SID類型，具有很好的擴(kuò)展性。SRv6基本轉(zhuǎn)發(fā)機(jī)制如圖47所示，將SRv6報(bào)文簡(jiǎn)化，以便于理解SRv6的轉(zhuǎn)發(fā)原理，其中：IPv6DestinationAddress：IPv6報(bào)文的目的地址，簡(jiǎn)稱IPv6DAIPv6DA是固定不變的。在SRv6中，IPv6DASRH(SL=n-1)<SegmentList[0]=a,SegmentList[1]=b,…,SegmentList[n-1]=x>：SRv6報(bào)文的SIDSLSegmentListIPv6DA圖47SRv6報(bào)文簡(jiǎn)化示意圖SRH(SL=n-1)<SegmentList[0]=a,SegmentList[1]=b,…SRH(SL=n-1)<SegmentList[0]=a,SegmentList[1]=b,…SegmentList[n-1]=x>IPv6DestinationAddress=SegmentList[n-1]SRH(SL=n-1)<SID[0]=a,SID[1]=b,…SID[n-1]=x>IPv6DA=SID[n-1]如圖48所示，在SRv6中，每經(jīng)過(guò)一個(gè)SRv6節(jié)點(diǎn)，SL字段減1，IPv6DA信息變換一次：如果SL=n-1IPv6DASID[n-1]=x。如果SL=1IPv6DASID[1]=b。如果SL=0IPv6DASID[0]=a。圖48SRHSID[n-1]

...

SID[1] SID[0]IPv6DA=xSRH(SL=n-1IPv6DA=xSRH(SL=n-1)<SID[0]=a,SID[1]=b,...,SID[n-1]=x>IPv6DA=bSRH(SL=1)<SID[0]=a,SID[1]=b,...,SID[n-1]=x>IPv6DA=aSRH(SL=0)<SID[0]=a,SID[1]=b,...,SID[n-1]=x>NetworkSRv6報(bào)文轉(zhuǎn)發(fā)方式SRv6報(bào)文支持SRv6BE和SRv6TEPolicy兩種轉(zhuǎn)發(fā)方式：SRv6BE（SRv6BestEffort）IGPLocatorSRv6LocatorSRv6BE公網(wǎng)BGPVPNBGPSRv6BESRv6BE路徑。SRv6TEPolicyVPNSRv6TEPolicy轉(zhuǎn)發(fā)。SRv6TEPolicy對(duì)應(yīng)的路徑為SRv6TE路徑。G-SRv6SRv6TEPolicySRv6128-bitSRv6SIDSRv6TEPolicySIDTEPolicySIDSRv6SIDSRv6AS域SRv6SIDGeneralizedSRv6（G-SRv6）128-bitSR