IPv6在MDCN网络的试点及业务应用测试.doc

研发项目结题报告项目名称及编号IPv6在MDCN网络的试点及业务应用测试主要研究单位及负责人（联系方式）其他研究单位及负责人（联系方式）是否集团级重点项目(是/否)是是否联合研发项目（是/否）； 是项目经费（万元）项目起止时间专业类别IP（按填写说明1）研究类别关键词索引（35个）IPV6 6VPE平滑过渡 双栈该项目在研究单位内部的评审结果优秀（按填写说明3）该项目在研究单位内部的评审意见：描述评审专家组对该项目在技术先进性，创新性，取得的总体效益，可推广性等方面的评价。本次研发项目基于吉林移动MDCN支撑网技术先进、业务轻载、业务多样的特点，基于MDCN现网进行IPv4/IPv6双栈升级综合实验，全面验证IPv6基础组网协议、6PE/6VPE隧道技术、IPv6固定和WLAN接入认证、IPv6防火墙网络安全防范等新技术，不仅验证MDCN双栈升级能力，探索MDCN升级和运维技术规范，还为中国移动网络向IPv6迁移积累经验、培养人才。项目研究成果简介：1、简要总结该项目的目的和意义，解决的问题、解决方案、项目研究成果、专利、标准、新技术试验等方面目标及其承担单位的完成情况。2、若项目输出无软件成果，则填“无”；若有软件成果，则填写软件名称，并对软件总体情况、软件版权归属情况、软件版权登记号、后续推广对象（不限于公司内部）、应用前景等情况予以说明。1、 IPv6是下一代互联网的核心技术，IPv4地址资源将分配完毕，运营商网络必然向IPv6演进，地址资源问题将导致运营商的网络从基础网络层面发生重大变革，除城域网和骨干网要向IPv6演进外，承载支撑业务系统的MDCN网络将首先受到影响，由于IPv6的演进技术标准还不成熟，更缺乏运营规范，吉林移动计划通过这次新技术实验，验证IPv6相关基础协议的基本组网特性，通过验证IPv6的相关VPN、安全和固定和移动终端接入方案，发现现行技术方案中的缺陷，实现技术、规范和标准的创新。IPv6测试第一阶段和第二阶段测试主要测试了IPv6的各种动态路由协议及其路由属性、各种过渡技术和各种形态的用户上线接入。通过本次测试的数据分析，得出以下结论：吉林移动MDCN网支持由IPv4向IPv6平滑过渡。吉林移动MDCN网支持IPv4和IPv6双栈技术，可以很好的支持IPv6的各种协议应用，包括静态IPv6路由、OSPFv3路由协议、ISISv6路由协议、BGP4+路由协议、6PE、6VPE、IPv6路由策略、IPv6策略路由、双PE接入、双RR特性以及各种形态的用户上线接入。吉林移动MDCN网向IPv6过渡方案。MDCN网所有P和PE均升级到最新版本以支持IPv4和IPv6双栈特性，并在所有P和PE设备上部署双栈。保持MDCN网现网IPv4配置，保证IPv4业务正常。P和PE设备使能IS-IS对IPv6的支持，配置为多拓扑，使用IS-ISv6路由协议传递IPv6路由，保证全网IPv6路由互通。PE和CE之间运行OSPFv3路由协议传递IPv6路由，PE向CE下发IPv6缺省路由。MDCN全网部署BGP4+和6VPE，使用BGP4+传递公网IPv6业务，使用6VPE传递VPNv6业务。枢纽楼和苏北的P设备兼做RR并配置undo policy vpn-target接收所有VPN实例路由。所有PE均和两台RR建立IBGP IPv6 Peer和IBGP VPNv6 peer，并引入OSPFv3路由，通过BGP4+和6VPE和其他PE交换IPv6业务路由。BGP4+和6VPE继承了BGP丰富的路由属性和强大的路由策略，可以根据后期业务需要进行灵活部署。 2、无软件成果该项目的专利情况：1、没有的话填“无”，有的话填写专利名称及申请号或授权号。2、对于我公司自有专利，请对专利的应用价值及应用前景予以说明。如：（1）对外许可的可能性及潜在的许可对象；（2）在保障公司业务正常开展方面及增强公司选择供应商/合作商自主性方面的具体作用。3、对该项目涉及领域的专利风险予以介绍。并对项目实施过程中为降低专利侵权风险采取的必要措施予以介绍（如，因专利风险或其他相关知识产权问题已进行的方案调整或规避设计、重要讨论会结论、合作方承诺等）。无该项目研究中发现的问题及今后工作建议：Ospfv3协议不支持安全认证ISIS路由协议v4、v6拓扑不一致6over4隧道不支持MPLS网络配置6PE和6VPE时会reset BGP IPv4 peer如研究中发现的新问题、对现有企业标准规范的符合度，即在现有的企业标准（企业标准的名称和编号）基础上所需新增的功能要求（如业务流程的改变、设备新增的功能要求等）。项目研究成果的主体内容（3000字以上，可附在表格后）：1、研究成果主体内容：附在表格后2、请项目负责人填写“项目对企业绩效贡献的量化路径图”和“项目特征指标的年度预期数值表”：1）项目对企业绩效贡献的量化路径图项目特征指标（PAV）指标名称项目应用前指标现状值：PAVc项目应用1年后指标预期值：PAVe1此项目带来的指标变动量：PAV企业特征指标网络及生产类（EAV-PS）指标名称项目应用前指标现状值（EAVc）项目应用1年后指标预期值（EAVe）此项目应用带来的指标变动量（EAV）企业特征指标市场及财务类（EAV-MF）指标名称项目应用前指标现状值（EAVc）项目应用1年后指标预期值（EAVe）此项目应用带来的指标变动量（EAV）企业绩效指标（EPV）指标名称项目应用前指标现状值：EAVc项目应用1年后指标预期值：EAVe此项目应用带来的指标变动量：EAV营运收入营运支出资本开支注：1） 填写各项指标数值时，请在数值后一并填写指标数值的度量单位（如RMB万元、万人、%等）和指标数值对应的应用范围（如XX地市、X省全省、31省全网等）。2） 项目特征指标是本项目应用后产生的主要可量化成效，最多不超过3个。如传输灾难性设备故障抢修系统项目应用的可量化直接成效表现为“缩短故障处理时间”，此即项目特征指标。其EAVc为××小时，其EAVe为××分钟，其EAV=EAVe EAVc。3） 企业特征指标是本项目应用后对企业生产（产品及服务）和经营（市场及财务）带来的可量化成效，分为“网络及生产类（EAV-PS）”和“市场及财务类（EAV-MF）”，指标清单请见本模板附件1。如传输灾难性设备故障抢修系统通过缩短故障定位时间，使“客户网络类投诉解决及时率”从×小时降低到×小时，使设备故障抢修时间缩短，由原来需要投入×人耗时×小时降低为×人耗时×小时，全省每年节省人工成本××万元。其中“客户网络类投诉解决及时率”为EAV-PS指标，“人工成本”就属于EAV-MF指标。4） 以上指标中，项目特征指标和企业特征指标的名称和数值都为必填项。企业绩效指标为选填项。建议项目经理尽量填全以更好地体现本项目对企业的贡献。2）项目特征指标的年度预期数值表项目特征指标（PAV）的名称：项目应用前指标现状值：PAVc项目应用1年后指标预期值：PAVe1项目应用2年后指标预期值：PAVe2项目应用3年后指标预期值：PAVe3项目应用4年后指标预期值：PAVe4项目应用5年后指标预期值：PAVe5项目应用6年后指标预期值：PAVe6项目应用7年后指标预期值：PAVe7项目应用8年后指标预期值：PAVe8项目应用9年后指标预期值：PAVe9项目应用10年后指标预期值：PAVe10注：1） 填写以上项目特征指标数值时，请在数值后一并填写指标数值的度量单位（如RMB万元、万人、%等）和指标数值对应的应用范围（如XX地市、X省全省、31省全网等）。2） 对于某些项目，若项目成果所依附的业务或网络在若干年后将退网，则请在预计的退网年度予以注明。如：应用于TDM交换机的某项目成果，预计该TDM交换机在X年后退网，则请在“项目应用X年后指标预期值”中填上“退网”。“研发项目结题报告”的填写说明：1、“项目专业类别”指：无线、传输、IP、核心网、网管、业务支撑、管理信息系统、市场研究、通信电源、数据业务、终端和卡、总体、其他。2、“项目研究类别”指：超前研究、相关网络解决方案、新产品开发、现有业务优化、其他。3、“研究单位内部评审结果”指：优秀、通过。4、“文章主体”：根据不同研发项目的研究类别实施不同的主体要求，具体如下：1）超前研究类项目主体包括：ü 背景情况ü 技术特点分析ü 标准化情况ü 其他运营商应用情况（可选）ü 技术发展趋势ü 引入策略分析ü 其他补充说明2）相关网络解决方案类项目主体包括：ü 背景情况ü 技术方案：概述、网络解决方案（如果涉及到网络方面的改造，信令改造，路由改造等，应有详细的描述）、设备及系统改造/建设要求、码号资源需求ü 效果（解决了哪些问题）ü 本省应用推广情况ü 其他补充说明3）新产品开发类项目主体包括：ü 业务及功能简介：业务概述、业务主要功能介绍ü 技术实现方案：包括业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程、码号要求等ü 业务申请和开通：包括用户范围及业务使用范围、业务申请与注销等ü 业务商务模式及资费：包括商务模式、业务资费模式、业务收费方式等ü 市场前景分析ü 其他补充说明4）现有业务优化类项目主体包括：ü 业务及功能简介：业务概述、业务主要功能介绍ü 现有业务存在的问题：现有缺陷分析、解决问题的思路ü 原有业务方案/流程：业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程 ü 优化后的方案/流程：业务实现组网结构图、相关系统（平台、终端）功能和要求、业务实现流程ü 优化后达到的效果，产生的经济效益ü 其他补充说明 5）其他类项目主体，参考1）4）的项目主体要求，阐述清楚项目背景、实现方案、解决的问题、取得的社会和经济效益等。MDCN网络IPv6测试报告2011年11月目 录1试验概况32试验组织32.1试验组织管理原则32.2试验分组及人员构成33试验方案33.1试验测试组网33.2试验内容34试验数据分析35试验结论36试验问题及分析37试验输出标准和专利情况38其他31 试验概况IPv6是下一代互联网的核心技术，IPv4地址资源将分配完毕，运营商网络必然向IPv6演进，地址资源问题将导致运营商的网络从基础网络层面发生重大变革，除城域网和骨干网要向IPv6演进外，承载支撑业务系统的MDCN网络将首先受到影响，由于IPv6的演进技术标准还不成熟，更缺乏运营规范，吉林移动计划通过这次新技术实验，验证IPv6相关基础协议的基本组网特性，通过验证IPv6的相关VPN、安全和固定和移动终端接入方案，发现现行技术方案中的缺陷，实现技术、规范和标准的创新。本次新技术实验基于吉林移动MDCN支撑网技术先进、业务轻载、业务多样的特点，基于MDCN现网进行IPv4/IPv6双栈升级综合实验，全面验证IPv6基础组网协议、6PE/6VPE隧道技术、IPv6固定和WLAN接入认证、IPv6防火墙网络安全防范等新技术，不仅验证MDCN双栈升级能力，探索MDCN升级和运维技术规范，还为中国移动网络向IPv6迁移积累经验、培养人才。2 试验组织2.1 试验组织管理原则从易到难，把握节奏，有序2.2 试验分组及人员构成吉林移动齐心跃测试总负责人吉林移动李红明、薛冰IPv6安全特性测试华为刘伟、熊良彪现网业务技术支持及风险避免华为祝汉雨测试方案设计及测试华为刘磊华为资源协调华为甘立国、张琦测试方案技术保障3 试验方案3.1 试验测试组网本次实验设计吉林移动MDCN网全网设备，MDCN拓扑图如下：另外需要配合测试的设备列表如下：华为S93032现网设备，需要提供支持IPv6的版本华为E1000E-X2新增防火墙，需要支持IPv6的版本华为ME60 AC2新增WIFI AC，需要支持IPv6的版本华为S39281新增交换机，用于PC、服务器接入华为W603SN1新增WIFI AP，用于验证WIFI 接入3.2 试验内容1. IPv6地址有效性2. 静态IPv6路由有效性3. OSPFv3路由协议有效性4. ISISv6路由协议有效性5. BGP4+路由协议有效性6. MP-BGP IPv6 VPN协议有效性7. 6over4手动隧道有效性8. 6to4自动隧道有效性9. 6PE隧道有效性10. 策略路由有效性11. PPPoE双栈接入有效性12. DHCP双栈接入有效性13. L2TP双栈接入有效性14. WLAN双栈接入有效性15. 双RR、双PE有效性16. MDCN全网部署IPv6有效性17. IPv6安全功能有效性18. IPv6默认包过滤19. IPv6域间ACL6包过滤20. NATPT静态映射时IPv6和IPv4协议互转21. NATPT动态映射时IPv6和IPv4协议互转22. NATPT转换时ACLv6包过滤23. NATPT对DNS IPv6 AAAA报文和DNS IPv4 A报文互转24. 防火墙生成CGA地址并对ND报文进行安全验证25. 防火墙IPV6静态路由 26. 防火墙能通过OSPFv3协议正确发布路由27. 防火墙能通过BGP4+协议正确发布路由28. 防火墙能通过IS-IS IPV6协议正确发布路由4 试验数据分析5 试验结论本次吉林移动IPv6测试第一阶段和第二阶段测试主要测试了IPv6的各种动态路由协议及其路由属性、各种过渡技术和各种形态的用户上线接入。通过本次测试的数据分析，得出以下结论：1、 吉林移动MDCN网支持由IPv4向IPv6平滑过渡。吉林移动MDCN网支持IPv4和IPv6双栈技术，可以很好的支持IPv6的各种协议应用，包括静态IPv6路由、OSPFv3路由协议、ISISv6路由协议、BGP4+路由协议、6PE、6VPE、IPv6路由策略、IPv6策略路由、双PE接入、双RR特性以及各种形态的用户上线接入。2、 吉林移动MDCN网向IPv6过渡方案。MDCN网所有P和PE均升级到最新版本以支持IPv4和IPv6双栈特性，并在所有P和PE设备上部署双栈。保持MDCN网现网IPv4配置，保证IPv4业务正常。P和PE设备使能IS-IS对IPv6的支持，配置为多拓扑，使用IS-ISv6路由协议传递IPv6路由，保证全网IPv6路由互通。PE和CE之间运行OSPFv3路由协议传递IPv6路由，PE向CE下发IPv6缺省路由。MDCN全网部署BGP4+和6VPE，使用BGP4+传递公网IPv6业务，使用6VPE传递VPNv6业务。枢纽楼和苏北的P设备兼做RR并配置undo policy vpn-target接收所有VPN实例路由。所有PE均和两台RR建立IBGP IPv6 Peer和IBGP VPNv6 peer，并引入OSPFv3路由，通过BGP4+和6VPE和其他PE交换IPv6业务路由。BGP4+和6VPE继承了BGP丰富的路由属性和强大的路由策略，可以根据后期业务需要进行灵活部署。3、 本次吉林移动IPv6安全测试主要测试了防火墙基于IPV6的基本业务转发及安全特性、静态动态路由，NAT-PT V4-V6的IP地址转换以及即时通讯软件，FTP等常规移动业务。吉林移动安全产品防火墙支持由IPv4向IPv6平滑过渡。吉林移动防火墙安全解决方案支持整网IPv6，IPV6网络访问IPV4网络，IPV4网络访问IPV6网络，通过ACL包过滤，ALG等功能实现不同IP网络彼此业务通讯，同时可以很好的支持IPv6的各种协议应用，包括静态IPv6路由、OSPFv3路由协议、ISISv6路由协议、BGP4+路由协议、IPv6路由策略等各种形态的用户上线接入。6 试验问题及分析6.1 Ospfv3协议不支持安全认证OSPFv3路由协议使用了与OSPFv2路由协议相同的实现机制，但是不兼容OSPFv2。OSPFv3主要提供了IPv6的支持，遵循的标准为RFC2740。OSPFv3协议自身不再提供认证功能，而是通过使用IPv6报文头提供的安全机制来保证自身报文的合法性。所以，OSPFv2报文中的认证字段，在OSPFv3报文头中被取消。在网络中，需要保障路由传递的安全性和可靠性，下面提供一种华为设备的OSPFv3安全认证的配置方案。BRAS1和BRAS3均通过Eth-Trunk2.174端口建立OSPFv3邻居关系，分别测试了正常情况下、string-key inbound和outbound不匹配的情况下peer的建立情况。6.2 ISIS路由协议双栈拓扑IS-IS最初是国际标准化组织ISO（the International Organization for Standardization）为它的无连接网络协议CLNP（ConnectionLess Network Protocol）设计的一种动态路由协议。为了提供对IP的路由支持，IETF在RFC1195中对IS-IS进行了扩充和修改，使它能够同时应用在TCP/IP和OSI环境中，称为集成化IS-IS（Integrated IS-IS或Dual IS-IS）。IS-IS采用了TLV三元组编码，可扩展性好，便于支持新特性。IS-IS对IPv6特性的支持就是通过增加TLV类型实现。IS-IS对IPv6的实现存在如下限制：在SPF计算中，IPv4和IPv6的混合拓扑被看成是一个集成的拓扑，这就要求所有的IPv6和IPv4的拓扑信息必须一致。但是，IPv4和IPv6协议在网络中的部署可能不一致，所以IPv6和IPv4的拓扑信息可能不同。如果在一个集成拓扑中进行SPF计算，选用同样的最短路径转发报文，就会导致不支持IPv6的ME设备收到IPv6报文时因无法转发而将其丢弃。多拓扑MT（Multi-Topology）用来解决上述问题。IS-IS MT是指在一个IS-IS域内运行多个独立的IP拓扑，例如IPv4和IPv6拓扑，不同拓扑运行各自的SPF计算。这有利于在路由计算中根据实际组网情况来单独考虑IPv4和IPv6网络，实现网络的相互屏蔽。这会多占用部分内存资源，但是考虑到IS-IS路由数量不会太大，这个问题几乎可以忽略。在实际部署中建议使用多拓扑，以避免IPv6计算路由错误。需要注意的是，全网设备部署IS-IS时必须保持选择的拓扑一致，既如果选择集成拓扑就全网都配置成集成拓扑，如果选择多拓扑就全网部署成多拓扑。否则可能会造成IPv6路由计算错误。6.3 6over4隧道不支持MPLS网络6over4隧道是过渡技术中比较古老的方案，不能适应复杂的网络。6over4隧道在IPv4向IPv6过渡技术中应用极少，几乎没有哪个网络选择这种过渡技术。在华为设备实现上，6over4隧道不支持建立在MPLS网络上。目前主流的网络均为MPLS网络，使6over4的应用更加受限。关于6over4隧道不支持建立在MPLS网络上的具体原因请参考我写的MPLS网络不支持6over4隧道报告。6.4 6over4手动隧道、6to4自动隧道和6PE隧道比较1999年，业界发布了RFC2529，简称6over4隧道。6over4隧道是一种将IPv6报文作为负载封装在IPv4报文中传播的一种隧道技术。6over4隧道主要有6over4手动隧道、6over4自动隧道、6to4隧道、6to4隧道中继。6over4隧道是IPv4向IPv6过渡技术中最早产生的过渡技术之一，是一种古老的过渡技术。在张伟所写的IPv6过渡技术发展分析一文中将6over4隧道方案评价为：把过渡技术的研究方向引入一种歧途，看上去很理想，实际部署上捉襟见肘。几乎没有哪个网络选择这种过渡技术。2006年发布的RFC4798简称6PE。6PE隧道技术基于MP-BGP，提供了一种在IPv4网络上封装IPv6报文，穿越MPLS网络的隧道技术。6PE隧道可实现MP-to-MP隧道自动建立，可以结合其他动态路由协议，继承了强大的MP-BGP的各种优势，适应复杂的大型网络。6PE隧道技术在不同厂家设备的互通性方面非常成熟，是全球公认最佳的IPv4骨干网穿越方案。吉林移动MDCN网部署了MPLS，不支持部署6over4隧道。但是吉林MDCN网全网支持IPv4&IPv6双栈，另外6PE隧道比6over4隧道存在巨大的技术优势。吉林移动MDNC网IPv6公网业务可以使用双栈或者6PE隧道，完全没有必要考虑6over4隧道。三种隧道各种特性对比请见下表：6over4手动隧道6to4自动隧道6PE隧道隧道类型P-to-PMP-to-MPMP-to-MP隧道端特殊地址IPv4兼容的IPv6地址IPv4映射的IPv6地址普通IPv6地址支持MPLS网络不支持不支持支持支持动态路由协议仅支持OSPFv3不支持支持路由属性OSPFv3路由属性不支持支持路由策略OSPFv3路由策略不支持丰富路由策略6.5 配置6PE和6VPE时reset BGP IPv4 peer6PE和6VPE是指在启动MPLS的IPv4网络上传输IPv6数据。6PE和6VPE不需要核心P设备支持IPv6，仅需要在PE设备上支持IPv6。PE使用MP-BGP会话在骨干网上交换IPv6路由，使用双层标签，第一层标签上出口PE路由器指定的LDP标签，第二层标签上指定PE IPv6标签。这种处理方式类似于MP-BGP VPNv4，相当于把IPv6或者VPNv6数据当作VPNv4数据来处理，数据的载体都是使能MPLS的IPv4网络。因此，6PE和6VPE在实际配置时，是在PE之间使用IPv4地址建立peer，传递IPv6数据。如果原网络中PE之间已经存在IPv4的peer，现在又增加了使用同样IPv4地址的peer，相当于使用同样的一对IPv4地址建立了多条隧道。这样一对IPv4地址在新增或者删除隧道时，就会造成reset已经建立的peer。这个reset的过程很短暂，大约3-10S后会peer的状态会恢复成establish，但是足够影响现网的业务。这是几乎完美的6PE和6VPE的瑕疵。想达到配置6PE和6VPE时不reset原来建立的peer目前是无法实现的。那么如何避免配置6PE和6VPE时对现网业务的影响？一般承载网都是双平面结构，2台RR，所有PE都和RR建立邻居关系。如果一个平面出现问题，流量可以经过第二平面。这种保护为我们提供了规避reset BGP IPv4 peer的方式。在现网部署6PE和6VPE时，可以采用逐平面使能6PE和6VPE的配置顺序。配置第一平面时，第一平面业务短暂中断，业务流量可以从第二平面转发；待第一平面业务恢复后，再进行第二平面的配置。吉林移动MDCN网部署6PE和6VPE时就是采用这种方式，保证了业务流量没有中断。6.6 真正的MP-BGP IPv6目前实现PE和PE之间传递IPv6路由是通过6PE方式实现。这种方式不是真正的MP-BGPIPv6。如果PE和PE之间的整个网络都支持IPv6，是不是没有必要使用6PE方式，可以直接使用IPv6地址建立peer传递IPv6路由这种真正的MP-BGP IPv6？目前来说，理论上是可以的。目前国际上已经有成熟的MPLS for IPv6协议，使用这种协议可以实现真正的MP-BGP IPv6。现在还是IPv4向IPv6过渡的初级阶段，网络的主题是IPv4网络。IPv4完成向IPv6过渡还需要漫长的过程，可能是5年甚至更长。一种协议从理论成熟，到开发出成熟的产品需要投入大量的人力、财力和时间，非一朝一夕可以完成。现在依靠主体的IPv4网络，6PE完全可以实现PE之间的IPv6路由交换，直到核心骨干网不再支持IPv4。在此之前，研发可以投入更多的力量到其他较急迫的过渡技术中，按照从急到缓的原则开发支持过渡技术的产品。我司后期的版本将会实现基于MPLS for IPv6的真正的MP-BGP IPv6方案。如果可以实现真正MP-BGP IPv6，可以同时解决6.5的reset BGP IPv4 peer的问题。因为使用IPv6地址建立peer，不会对IPv4的peer产生影响。6.7 SEND功能以及在吉林移动网络中应用IPv6邻居发现是通过ND（Neighbor Discovery）协议实现的。SEND协议是ND的增强，通过引入新的消息类型和选项字段，在地址所有权证明、消息保护和路由器授权方面提高了ND的安全性。CGA是通过公钥结合HASH算法生成的一个IPv6地址，节点通过验证CGA地址，丢弃与CGA不符的报文，防范欺骗性攻击。结合RSA签名机制，还可以实现报文的完整性保护。吉林移动安全解决方案中的安全产品防火墙，需要实现与MDCN CMNET 以及IMS网络之间的互访问，同时防火墙之间也要实现SEND之间的验证，以保证整个网络的安全性。针对安全的保护机制，我们可以在链路中通过CGA进行链路地址配置验证，来实现保护彼此之间链路的安全性。 6.8 NAT-PT 功能以及在吉林移动网络中应用IPv6的应用是个循序渐进的过程，在很长时间内，IPv4网络和IPv6网络会同时存在且需要相互通信。在IPv4网络完全过渡到IPv6网络之前，两个网络之间直接的通信可以通过NAT-PT来实现。NAT-PT提供了IPv4和IPv6地址之间的相互转换功能，其中NAT-PT主要有两种机制实现IPV4与IPV6之间的地址转换静态映射静态映射是指采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换。动态映射动态映射是指动态地创建IPv6地址与IPv4地址的对应关系来实现IPv6地址与IPv4地址的转换。和静态映射不同，动态映射中IPv6和IPv4地址之间不存在固定的一一对应关系。针对业界IPV6与IPV4之间互访的业务，防火墙基于此设计NAT-PT之间互访实现过程：判断是否进行NAT-PT转换：NAT-PT设备接收到IPv6网络主机（IPv6 host）发送给IPv4网络主机（IPv4 host）的报文后，判断该报文是否要转发到IPv4网络。如果报文目的IPv6地址前缀与设备上预先配置的NAT-PT前缀相同，则该报文需要转发到IPv4网络，需要进行NAT-PT转换。转换源IP地址：设备根据IPv6侧配置的静态或者动态映射，进行IPv6地址到IPv4地址的转换，将报文的源IPv6地址转换为IPv4地址。转换目的IP地址：设备根据IPv4侧配置的静态映射将目的IPv6地址转换为IPv4地址。如果没有配置静态映射，那么，如果报文中的目的IPv6地址的低32位可以直接转换为合法的IPv4地址，则直接转换为目的IPv4地址；否则，转换不成功。转发报文并记录映射关系：报文的源IPv6地址和目的IPv6地址都转换为IPv4地址后，设备按照正常的转发流程将报文转发到IPv4网络中的主机。同时，将IPv6地址与IPv4地址的映射关系保存在设备中。根据记录的映射关系转发应答报文：IPv4网络主机发送给IPv6网络主机的报文到达NAT-PT设备后，设备将根据已保存的映射关系进行相反的转换，从而将报文发送给IPv6网络主机。吉林移动MDCN与CMNET IMS之间部署安全产品防火墙，实现了从MDCN中IPV6网络，到CMNET以及IMS中IPV4网络，之间的静态以及动态的地址映射。这样实现了IPV6与IPV4网络共存时，彼此之间的互相访问。同时我们也要注意到，随着IPV6技术的发展，NAT-PT作为一种过渡性的技术，会被NAT64功能逐步替代，我们新产品也会支持NAT64的功能，同时我们会根据业界技术的发展，有针对的开发新的功能以满足运营商在未来IPV6网络中的应用。6.9 IPV6网络中的IMS应用 IMS工具是移动公司自己的一个即时通讯软件。此软件主要用于移动内部，彼此之间的沟通和交流。传统的IMS通讯网络是在IPV4端到端的网络，即P2P网络。随着IPV6网络的逐步普及，必然出现IPV4孤岛。针对此问题，我们提出了相应的解决方案：1.通讯软件进行定向升级开发，支持IPV6地址的识别，这样，整个IMS通讯网，采用全方位的IPV6通讯，这样做的好处是方便维护，网络拓扑简单。2.IMS仍然采用IPV4的地址设置，但需要通过防火墙进行地址转换，当然现在所说的IMS客户端和服务器端处在IPV4网络，而中间的网络采用IPV6网络。针对这个方案，我们防火墙采用了两次地址转换的方式进行，也就是我们在测试用例所列出来的，首先IMS客户端进行IPV4设置并拨号，然后到达防火墙A的IPV4地址侧，防火墙通过NATPT技术（NAT64）进行第一次的地址转换,这样经过防火墙的地址转换后，就变成了IPV6网络，途中经过相应的路由转换，最终到达IPV6的终端，也就是防火墙的IPV6测，此时防火墙做第2次的NATPT(NAT64)转换，经过处理，最终IPV6报文又转换成了IPV4的报文，这样就实现了IPV4信息孤岛的彼此通讯。我们着重看下下边的例子：其中IMS客户端处于FWA的左侧，IMS server处于FWB的右侧.ims客户端配置的IPV4地址是115.1.1.2 IMS的服务器端配置的IP地址：211.141.45.122。FWA需要进行V4到V6的地址映射：NATPT: sip 600:6.6060115.1.1.2:6060 -> 500:6.5060115.1.1.10:5060 FWB需要进行对V6到V4的地址映射：NATPT: sip 600:6.6060211.141.45.122:6328 -> 500:6.5060211.141.45.4:5060当然，采用此解决方案只是其中的一种考虑，我们还可以通过IPV4 over IPv6的方法进行。7 试验输出标准和专利情况8 其他