基于6to4Tunnel机制的跨域部署企业园区组网设计

温琼林 刘波 李香泉 席奇

摘 要：为满足纯IPv4向纯IPv6网络过渡阶段的企业组网需求，文章在eNSP （Enterprise NetworkSimulation Platform）仿真平台下设计了一种基于6to4 Tunnel机制的跨域部署企业园区组网方案。在路由设备部署双出口，在电信网络通道部署6to4 Tunnel以用于IPv6单播流量传输，在联通网络通道部署MPLS/BGP VPN网络，以MD（Multicast Domains）方案部署IPv4组播业务。对出口的公网IPv4地址如何为本地网络申请IPv6前缀，对6in4数据包封装机制如何封装IPv6数据包，以及对MD 方案中Share-Group组地址配置与MTI（Multicast Tunnel Interface）等配置过程进行了分析。仿真结果表明，组网实现了在过渡阶段利用6to4 Tunnel解决传播IPv6孤岛间流量的可行性，以及MD VPN 传播组播IPv4流量的可靠性，能够较好地满足现阶段企业园区网络的建设需求。

关键词：IPv4; 6to4;IPv6;过渡技术;MD VPN

中图分类号：TP393.0 文献标识码：A 文章编号：2095-9699（2023）06-0131-06

随着信息技术的高速发展，越来越多的上网设备接入互联网，传统IP网络下的IPv4地址面临枯竭[1]。IPv6网络的出现使得所有网络设备的地址需求能够得到满足。然而，Internet从IPv4向IPv6过渡不可能一蹴而就，如何进行渐进的，无缝的过渡成了当前一个迫切需要解决的问题[2]。鉴于此，6to4 Tunnel 机制应运而生，使用此机制解决的主要问题是：一些孤立的IPv6站点，如何在Internet服务提供商还没有IPv6互连服务的条件下进行相互通信[1]。6to4技术能够满足IPv6过渡阶段企业组网的需求;同时，考虑到企业实时视频、多媒体点播等网络扩展业务的需求，通过在网络中部署组播VPN，使公网能够承载私网组播数据并隔离，实现私网组播数据通过公网进行传输。BGP MPLSVPN 技术是一种应用广泛的3 层VPN （Layer3VPN，L3VPN） 技术[3]，本文通过部署BGP MPLSVPN 技术中MD（Multicast Domains）方案来实现，因其易部署，可控性好，在现实网络部署中得到了广泛的应用。

目前解决IPv6孤岛问题的主要方案包括双栈技术[4]、IPv6 over IPv4手动隧道[5]、GRE 隧道[6]、6to4自动隧道[7]等。双栈技术需要所有设备都支持双栈，GRE隧道相较于前者多了GRE头部，开销增大，6to4 Tunnel可以自动获得隧道终点的IPv4地址，相较于前几种有一定优势。随着科技的发展，IPv6最终会取代IPv4成为主流，在这样的背景下，6to4 Tunnel的运用对企业园区网络过渡显然具有非凡的意义[8-9]。

1 6to4 Tunnel机制

在6to4网络架构中，将网络设备的角色分为边界路由器，运营商路由器，中继路由器。在两个边界路由器之间通过公共网络出接口构建6to4Tunnel来跨运营商IPv4公共网络实现与IPv6网络通信。

6to4 Tunnel中使用了2002：：/16的6to4地址空间，该隧道技术定义了一种特殊的 IPv6 地址（6to4）地址，该地址的前缀中蕴含了边界路由器的IPv4 地址。6to4 定义了一个网络前缀2002：：/16用于表达这个6to4网络整体[10]。边界路由器通过出口公共IPv4地址的十六进制值加在2002：：后，即映射出了一个前缀长度为48的6to4网络前缀，仍然可以继续分割至最小前缀数为64的子网段，用于区分出这个6to4子网的子网。6to4 Tunnel传输的数据包是6in4封装机制的数据包，即将IPv6数据包接在IPv4数据包头之后，这个IPv4地址也就是其内嵌的IPv4地址，其数据包可像普通IPv4 地址一样在公共IPv4网络中转发。

随着IPv6网络的发展，普通IPv6 网络需要与6to4 网络通过IPv4 网络互通，这可以通过6to4中继路由器方式实现。所谓6to4 中继，就是通过6to4隧道转发的IPv6报文的目的地址，而不是6to4 地址，但转发的下一跳是6to4 地址，该下一跳路由器称之为6to4 中继。隧道的IPv4目的地址依然可以从下一跳的6to4 地址中获得。

2 MD VPN技术

MD 方案实现的组播VPN，简称为MDVPN。该方案仅需要PE（Provider Edge）路由设备具有支持多实例功能，不用升级已有的CE（Customer Edge）和P路由设备，并且无需修改CE设备和P设备上原PIM（Protocol IndependentMulticast）配置，MD 方案对于CE设备和P设备是透明的。MD 方案的组播VPN 需要运行在以PIM-ASM（PIM-Any-Source Multicast）组播分发树为基础的公网隧道。

基于组播域方案的IPv4组播VPN（MulticastVPN，MVPN）在公网上为每个VPN 分配一个组播组地址，称为共享组地址，然后各PE利用这个组播地址建立组播隧道，通过这个组播隧道进行私网组播协议和數据报文的按需分发[11]。PE 上的私网PIM 实例加入根据Share-Group建立的组播分发树，用于将VPN 内的PIM 协议报文和数据报文分发给其他同属于一个VPN 的PE，这个组播分发树称之为Share MDT（Share-Multicast DistributionTree）。VPN 使用Share-Group，唯一标识一棵Share-MDT。

对于VPN 实例，公网传输是透明的，私网数据通过组播隧道MT（Multicast Tunnel）传输。私网数据传输在PE 上的MTI（Multicast TunnelInterface）处完成了无缝连接。VPN 实例只知道将私网数据从MTI发出，然后远端就能从MTI接收。MTI作为一个虚拟接口，成为私网和公网间传播数据的通道。

3 企业组网设计

3.1 组网需求与网络结构设计

以规模较大的某公司为例，设有总、分公司，并分别设置IPv4、IPv6双栈网络，需要跨越公共运营商的IPv4网络通信，同时需要传输组播流量，设置双运营商通道，要求分别部署6to4 Tunnel技术与MD VPN来为公司业务提供高效可靠的网络互通。基于企业的上述需求，文章采用了网络仿真工具平台eNSP[12]，设计的一种企业网络结构如图1所示。

3.2 具体网络规划

由图1可见，AS200为电信运营商网络区域，R4、R6作为公司出口边界路由器，在电信网络出接口经过AR 路由器搭建6to4 Tunnel网络。AS100区域为联通运营商网络区域，R4、R6为CE设备，R1、R3为PE设备，该区域作为MD VPN 骨干网络，总公司设有组播源，P 设备R2 的lookback0接口作为公网C-RP，R6的lookback0接口作为site-a VPN 的私网C-RP。设备IP分配如表1所示。

4 过程分析

4.1 运营商域内网络配置

依据网络设计，对照表1完成网络设备接口IP地址配置，运营商域内网络通过运行OSPF协议实现网络互通，联通、电信运營商网络区域都采用单区域area0完成网段宣告，其中R1、R2、R3和AR1、AR2、AR3均运行area0，宣告各直连网段如下：

[R1-ospf-1]dis this

ospf 1

area 0.0.0.0

network 1.1.1.1 0.0.0.0network 192.168.12.0 0.0.0.255

#

4.2 6to4 Tunnel建立配置

6to4隧道属于一种自动隧道，隧道使用内嵌在IPv6地址中的IPv4地址建立。IPv4 的传输路径充当了 IPv6 的数据链路层，可看作一条点到点的虚拟链路[13-14]。在边界设备与6to4网络相连的接口上必须配置6to4地址，在边界设备与IPv4网络相连的接口上必须配置IPv4地址。为了支持路由协议，也需要配置Tunnel接口的网络地址。

首先在边界路由器R4、R6上配置IPv4、IPv6双栈协议，使路由器在IPv4、IPv6网络上均能互通。以R4设备举例，配置如下：

[R4]IPv6

//全局使能IPv6

interface GigabitEthernet0/0/2

IPv6 enable

//接口使能IPv6

ip address 192.168.24.4 255.255.255.0

IPv6 address 2002：C801：104：：FFFF/64

//IPv6地址配置

在边界路由器R4、R6配置6to4隧道。

interface Tunnel0/0/0

//创建Tunnel接口

IPv6 enable

//使能接口的IPv6功能

IPv6 address auto link-local

//设置生成Tunnel接口链路本地IPv6地址

tunnel-protocol IPv6-IPv4 6to4

//指定Tunnel为6to4隧道模式source 200.1.1.4

//指定Tunnel的源地址

IPv6 route-static 2002：： 16 Tunnel0/0/0？

//配置到2002：：/16的静态路由

此时指定的Tunnel接口的IPv6地址的前缀， 应该与边界设备所属的6to4网络的地址前缀相同。查看6to4 Tunnel运行状态如图2所示。

4.3 MD VPN 建立配置

在联通运营商网络上配置MPLS/BGP VPN，确保VPN 网络正常运行、单播路由畅通。

PE设备R1、R3建立MP-BGP 邻居关系。并在联通运营商网络路由器R1、R2、R3与私网路由器R4、R6启动组播功能和PIM SM 功能，在R1、R2和R2、R3间分别建立公网实例组播，R4、R1和R3、R6之间分别建立使能IPv4地址族的VPN 实例组播。在各R1、R3上为同一使能IPv4地址族的VPN 实例配置相同的Share-Group 地址、相同的MTI（Multicast Tunnel Interface）。

以R1设备举例，配置如下：

[R1]bgp 100

peer 3.3.3.3 as-number 100

peer 3.3.3.3 connect-interface LoopBack0

//指定环回口与R3建立IBGP邻居关系

IPv4-family unicast

//进入IPv4单播视图

undo synchronization

peer 3.3.3.3 enable

IPv4-family vpnv4

//进入VPNv4视图

policy vpn-target

peer 3.3.3.3 enable

//与R3建立MP-BGP VPN 通道

PE设备R1、R3分别创建VPN 实例，并绑定接口。

[R4]ip vpn-instance site-a

IPv4-family

route-distinguisher 20：20

//RD值20：20

vpn-target 10：10 export-extcommunity

vpn-target 10：10 import-extcommunity

//出入方向RT值均为10：10

multicast routing-enable

//全局使能组播功能

interface GigabitEthernet0/0/0

ip binding vpn-instance site-a

//物理接口下绑定VPN 实例site-a

ip address 192.168.14.1 255.255.255.0

pim sm

//启动PIM SM 功能

mpls lsr-id 1.1.1.1

//设置LSR-ID

mpls

mpls ldp

//MPLS使能LDP功能

ospf 2 vpn-instance site-a

//OSPF新建进程，绑定site-a实例

import-route bgp

//引入BGP网络，使私网路由互通

area 0.0.0.0

network 192.168.14.0 0.0.0.255

bgp100

IPv4-family vpn-instance site-a

import-route ospf 2

//引入私网路由

[R4]ip vpn-instance site-a

IPv4-family

multicast routing-enable

multicast - domain source - interface

LoopBack0

multicast-domain share-group 239.1.1.1

binding mtunnel 0

//配置Share-Group地址，并绑定MTI

interface MTunnel0

ip binding vpn-instance site-a

配置R2 的Loopback0 接口为C-BSR

（Candidate-BSR）和C-RP（为所有组服务）。配置R6的Loopback0为私网site-a的C-BSR 和C-RP（为所有组服务）。以R2为例，配置如下：

[R2]pim

c-bsr LoopBack0

c-rp LoopBack0

查看组播VPN 在Mtunnel接口上可以正常建立邻居，说明组播VPN 通道建立成功，见图3。

5 结果验证

5.1 6to4隧道数据测试与分析

在边界路由器R6 查看IPv6 路由，存在前往2002：：/16的路由，在PC2上发送ping包给总部PC的IPv6网段进行测试连通性，结果如图4所示，IPv6单播流量互访成功。

PC2访问2002：c804：406：：/48网络时：数据包到达R6后，R6发现目的地址是IPv6地址，而且是2002开头的地址，这是个6to4的IPv6地址，于是从该地址中抽离出c804：406，得到200.4.4.6 这个IPv4地址。

R6在原始IPv6报文的基础上加装IPv4头部，IPv4头部的源地址为6to4 Tunnel的源地址200.4.4.6，而目的地址为200.1.1.4。数据包被路由到R4后，R4将外层的IPv4头部剥除，将里头的IPv6报文转发给PC3，具体数据包如图5所示。

5.2 组播IPv4测试与分析

为检测组播业务部署情况，在R3上查看PIM协议组播路由表的内容，显示内容如图6所示。在R3上查看私网组播转发表项，显示信息如图7所示。在分部PC1端口抓取的组播数据如图8所示。

分析可知，R3上存在PIM 组播路由表，（S，G）表项（10.1.1.1，224.8.8.8），组播源为总部组播源10.1.1.1，目的组为224.8.8.8，（S， G）表项的入接口为MTunnel0，（S， G）表项的出接口为GE0/0/0，协议类型为PIM-SM，私网RP 为6.6.6.6，即R6loopback0口，组播邻居为R1，实现了组播数据公私网隔离传输，提高了数據传输的安全性和可靠性。

6 结语与展望

为满足纯IPv4网络向纯IPv6网络过渡阶段的企业组网需求，在eNSP仿真平台设计了一种基于6to4 Tunnel机制的跨域部署企业园区组网方案。在出口路由设备部署双出口，电信网络通道部署6to4 Tunnel，联通网络通道部署MPLS/BGP VPN网络，以MD（Multicast Domains）方案部署IPv4组播业务。结果表明，组网设计较好地满足了IPv6过渡阶段企业组网需求，建立6to4 Tunnel传输IPv6单播流量，为组播IPv4流量提供安全可靠的VPN通道，同时能够承载组播业务，是当前IPv6化企业网络组网方案的较好选择。

在本设计方案中，IPv6孤岛网络地址规划中只能使用2002开头的IPv6地址，满足6to4隧道的IPv6地址和隧道两侧局域网地址都要与本端隧道有相同的网络前缀（前48位相同），前缀长度位>=48;同时需要注意的是，6to4隧道不支持运行动态路由协议，通过使用IPv6 over IPv4自动隧道或6to4隧道中继来解决这个问题是后续研究的主要工作和内容。

参考文献：

[1]劳凤丹. IPv6的研究及校园网IPv6网络的建立[D].北京：中国农业大学，2005.

[2]周玲.实现IPv4向IPv6过渡的隧道技术6to4[J].计算机工程应用，2002（18）： 156-158，168.

[3]王达.华为MPLS VPN学习指南[M].北京：人民邮电出版社，2018.

[4]陈彬.基于大二层结构的IPv6双栈技术在校园网络中的应用：以云南师范大学为例[J].云南师范大学学报（自然科学版），2022， 42（6）：32-34.

[5]卢航.IPv6技术的特点及部署方法[J].长春工程学院学报（自然科学版），2007，8（3）：70-74.

[6]陶骏，刘晴晴，佘星星.基于 GRE 隧道和 BFFH 模式的MPLS VPN 网络构建[J].湖南文理学报（自然科学版），2022，34（2）：17-22.

[7]李清平，陈巧妮，孟祥芳. 4over6 隧道技术的应用及网络性能分析[J].成都大学学报（自然科学版），2016，35（3）：263-266.

[8]刘大伟，陈亮，丁琳琦，等.HCIE 路由交换学习指南[M].北京：人民邮电出版社，2017.

[9]朱仕耿.HCNP路由交换学习指南[M].北京：人民邮电出版社，2017.

[10]郝海涛，党小超.IPv4 到IPv6 的过渡技术与6to4Tunnel的实现[J].福建电脑，2006（3）：19-20.

[11]龚铁柱.一种基于MPLS VPN网络的IPv6组播过渡技术[J].信息技术，2009，33（10）：141-142，146.

[12]李永芳.基于BGP MPLS VPN 企业跨域组网仿真设计[J].实验室研究与探索，2021，40（3）：121-128.

[13]刘春晖.组播 VPN 业务关键技术研究与实践[J].广东通信技术，2014（17）：76-79.

[14]李灵.基于 IGMPv3 和 PIM-SSM 协议的特定源组播技术的设计与实现[D].重庆：重庆大学，2013.

责任编辑：肖祖铭