Microsoft Word - A doc - PDF 免费下载

IPv4/IPv6 转换网关的数据模型研究张伟建, 张雪洁河海大学计算机及信息工程学院, 江苏南京 (210098) E-mail:wjzhang@hhu.edu.cn 摘要 : 在 IPv4 网络向 Ipv6 网络过渡过程中, 转化网关因其在配置过程中无损已有的网络环境成为目前甚至是相当长一段时期内的最优选择本文对现有的三种 IPv4/IPv6 转换网关进行了深入分析, 并详细描述了每种类型的连接结构和地址转化流程, 在此基础上提出了基于 NAT-PT 机制的通用地址数据模型关键词 :IPv4;IPv6; 转换网关 ;NAT-PT; 数据模型中图分类号 :TP393 1. 引言下一代互联网络协议 IPv6 正被加速认可和应用推广, 现有 IPv4 网络向 Ipv6 网络过渡机制的研究越来越具有重要的实际意义在已被 IETF 所定义的诸多过渡机制中, 由于转化网关在配置过程中无损已有的网络环境, 且便于实施, 因此成为目前甚至是相当长一段时期内的最优选择转换网关以 NAT-PT(Network Address Translation - Protocol Translation) [1] 机制为基础, 因此通常也称为 NAT-PT, 它处于 IPv4 网络和 IPv6 网络的交界点上, 同时接收来自 IPv4 和 IPv6 两种网络的数据包, 根据需要在 IPv4 地址与 IPv6 地址之间进行地址转换协议 ( 语义 ) 转换 [2], 并且依据不同的需求定义不同的应用层网关 IPv4 网络实现向 Ipv6 网络的过渡首先要解决的是 IP 地址异构问题, 地址转换是解决该问题最便捷最直接的办法, 也为建立和实现其他协议通信奠定基础, 因此 NAT-PT 中负责 IP 地址转换的 NAT 模块显得尤为重要本文在全面分析 NAT-PT 的基础上, 提出了一种通用地址数据模型, 并用该数据模型表达了各类转换网关的地址转换流程, 最后阐明了进一步的工作 2. 转换网关的分类转换网关 NAT-PT 主要进行地址和协议的翻译, 其基本思想是 : 在进行 IPv4/IPv6 地址转换的同时, 对 IPv4 报文和 IPv6 报文进行报头格式和相应语义的翻译依据会话发起方式和地址转换方式的不同, 转换网关可以分为以下两大类 : Traditional NAT-PT( 传统型转换网关 ), 仅允许 v6 的网络去访问 v4 的网络, 也就是说会话的建立是单向的具体可分为 Basic NAT-PT( 基本型 ) 和 NAPT-PT ( 端口型 ) 两类 Bi-Directional NAT-PT( 双向型转换网关 ), 必须有 DNS-ALG 支持才能实现 3. 转换网关地址数据模型 3.1 概述与 IPv4 网络中 NAT 网关的作用类似,IPv4_IPv6 转换网关 NAT-PT 通过自带的地址池完成 IPv6 地址与 IPv4 地址的映射转换, 实现由 IPv6 节点发起的对 IPv4 节点的访问根据映射规则将 IPv6 节点地址和地址池中的某一空闲地址绑定 ( 即实现地址映射 ), 绑定后的源地址目的地址构成新的同构地址数据包, 完成会话 NAT-PT 结构如图 1 所示 - 1 -

DNSv4 IPv4 网络 NAT-PT IPv6 网络 DNSv6 ( 地址池,Ti) R1 S1 S2 图 1 NAT-PT 模型完整结构图假定 : 节点 S1 的 IPv6 地址 :1080::8:800:200C:3561; 节点 S2 的 IPv6 地址 :1080::8:800:200C:3562; 节点 R1 的 IPv4 地址 :126.112.23.26; Basic NAT-PT 的地址池为一个 IPv4 的子网 :134.128.123.0/24 3.2 地址数据模型 3.2.1 基于 Basic NAT-PT 的地址数据模型定义 1:SA 表示数据包中的源地址,DA 表示目的地址定义 2:IPv6 网络节点用 S 表示,IPv4 网络中节点用 R 表示, 地址池中地址用 T 表示定义 3:Si.A(Ri.A) 表示节点 Si(Ri) 的地址 ;Ti 表示转换地址池的地址,i=1,2 定义 4: 地址数据模型由两个或多个数据元构成, 数据元包括一个或两个基本数据信息, 基本数据信息由字符数字组成, 基本数据信息用. 间隔, 并允许使用 IPv4 映像地址进行表达, 如 :(S6.A,PREFIX::R6.A) [3] 根据图 1, 节点 S1 发起的对 R1 访问数据包的地址数据模型如下 : (SA,DA)=(S1.A,PREFIX::R1.A) 式 1 当数据包经过 Basic NAT-PT 时, 假设地址池中可用映射地址为 T1, 则实行的地址映射规则如下 : (S1.A,PREFIX: :R1.A) (T1,R1.A) 式 2 当 IPv4 地址池中的 v4 地址和 v6 端节点的数目一样多时,v4 地址可以一对一的静态分配给 v6 端节点的 IPv6 地址当 IPv4 地址池中的地址个数少于 v6 的端节点的数目时, 至少 [4] 需要对部分地址进行映射地址的动态分配 [5] 假设 IPv6 中 S1 节点需要和 IPv4 中 R1 节点进行通信, 数据流程如下 : (1) 根据式 1,S1 节点发送数据包如下 : (S1.A, PREFIX: :R1.A)= (1080::8:800:200C:3561,PREFIX: :126.112.23.26) 前缀 PREFIX::/96 由 Basic NAT-PT 预确定的, 包含这个前缀的报文就会被路由到该网关这个预先设置的前缀, 只需要在 IPv6 网络内可路由即可, 井且有多个选择 - 2 -

(2) 上述报文达到该网关之后, 根据式 2 映射成同构 IPv4 地址如下 : (1080::8:800:200C:3561,PREFIX::126.112.23.26) (134.128.123.66,126.112.23.26) 如果这个报文不是会话初始化时的报文, 那么该网关已经存储了和这个会话相关的一些信息, 包括己绑定的 IPv4 地址和其它一些转换的参数否则, 默认丢弃这个报文如果这个报文是会话初始化报文,Basic NAT-PT 从 IPv4 地址池中选择一个可用 IPv4 地址分配 ( 比如 : 134.128.123.12), 然后这个数据包被翻译成 IPv4 在会话期间会存储翻译的一些参数,IPv6 到 IPv4 的映射由 Basic NAT-PT 来保存 [6] (3) 返回来的数据可以被 Basic NAT-PT 识别出属于同一个会话该网关使用这些状态信息来翻译数据包, 最后的回馈数据包地址如下 : (SA,DA)=(PREFIX::R1.A,S1.A)=(PREFIX::126.112.23.26,1080::8:800:200C:3561) 3.2.2 基于 NAPT-PT 的地址数据模型定义 5:Si.Pj 表示节点 Si 的 TCP 端口地址 Pj,i j=1,2,i j 65535 根据图 1, 节点 S1 发起的对 R1 访问数据包的地址数据模型如下 : (SA,SA.Pj,DA,DA.Pk)=(S1.A,S1.P1,PREFIX::R1.A,R1.P2) 式 3 当数据包经过 NAPT-PT 时, 假设地址池中可用映射地址为 T1, 则实行的地址映射规则如下 : (S1.A,S1.P1,PREFIX::R1.A, R1.P2) (T1,T1.P3,R1.A,R1.P2) 式 4 假设 IPv6 中 S1 节点需要和 IPv4 中 R1 节点进行通信, 源 TCP 端口 =2128, 目的 TCP 端口 =266, 映射地址 134.128.123.66,TCP 端口 =1025 数据流程如下 [7] : (1) 根据式 3,S1 节点发送数据包如下 : (S1.A,S1.P1,R1.A,R1.P2)=(1080::8:800:200C:3561,2128, PREFIX::126.112.23.26,266) (2) 当报文到 NAPT-PT 时,NAPT-PT 分配一个包含 TCP 端口的 IPv4 地址为源地址和源 TCP 端口, 根据式 4 映射成同构 IPv4 地址如下 : (1080::8:800:200C:3561,2128, PREFIX::126.112.23.26,266) ( 134.128.123.66, 1025, 126.112.23.26,266) (3) 返回来的数据可以被 NAPT-PT 识别出属于同一个会话,NAPT-PT 使用这些状态信息来翻译数据包, 最后回馈的数据包地址如下 : (SA,SA.Pj,DA,DA.Pk)=(PREFIX::126.112.23.26,266,1080::8:800:200C:3561,2128) 映射地址 126.112.23.26 可以处理 63k TCP 和 63KUDP 会话, 但是同一种服务或是说使用同一种端口来提供服务的服务器一次只能有一个, 因此 IPv6 中 S2 节点发起的访问的映射地址依然是 126.112.23.26, 只是端口发生了改变上文中是以 TCP 为例说明了 NAPT 的地址模型转换流程, 上述步骤也适用于 UDP ICMP 在 UDP 中, 利用 UDP 的源端口和目的端口地址进行 NAPT 操作, 在 ICMP 中利用其协议头的标示符字段进行 NAPT 操作 3.2.3 基于 Bi-Directional NAT-PT 的地址数据模型定义 6:DNSv4 表示 IPv4 网络中 DNS 服务器,DNSv4.A 表示节点 DNSv4 的地址 ;DNSv6 表示 IPv6 网络中 DNS 服务器,DNSv6.A 表示节点 DNSv6 的地址 - 3 -

定义 7:Di 表示 IPv4 或 IPv6 网络中的域名,Di.A 表示该域名的解析地址根据图 1,IPv6 节点 S1 发起的对 R1( 假定对应域名 D1) 访问数据包的地址数据模型如下 : (SA,Di,DNSv6.A) (SA,Di,DNSv4.A) (S1.A,PREFIX::D1.A)=(S1.A,PREFIX::R1.A) 式 5 当数据包经过 Bi-Direction NAT-PT 时, 实行的地址映射规则见式 2 IPv4 节点 R1 发起的对 S1( 假定对应域名 D2) 访问数据包的地址数据模型如下 : (SA,Di,DNSv4.A) (SA,Di,DNSv6.A) (R1.A,Ti.A)=(PREFIX::R1.A,S1.A) 式 6 对于 v6 to v4 的访问 (1)IPv6 节点 S1 要与 IPv4 节点 R1 建立连接, 但是不知道 R1 节点的 IPv6 地址, 于是发出 DNS 请求 (Request) 问 IPv6 域名的地址,DNS 请求 (request) 转给 IPv6 DNS, 但在 IPv6 DNS 中找不到 R1 的记录 (record) [8] [9] (2) 于是 IPv6 DNS 将此 Request 转发出去, 被 DNS-ALG 拦截 (3)DNS-ALG 将 Request 中的 A6 改为 A, 往 IPv4 网络送出 (4)IPv4 DNS 接收到此 Request, 假定回复 R1 的地址为 142.125.27.8 (5)DNS-ALG 接收到地址信息后, 向 NAT-PT 要 prefix, 把它加上后变成 IPV6 地址 : prefix::142.125.27.8 (6)DNS-ALG 将 A 改为 A6 之后继续把 DNS Reply 送回给 IPv6 DNS 再转给节点 S1 (7)S1 现在知道 R1 的 IPv6 地址为 prefix::142.125.27.8, 所以送出数据包 (SA,DA)= (1080::8:800:200C:3561,prefix::142.125.27.8) (8) 途中经过 NAT-PT, NAT-PT 看到这是一个建立新连接的数据包, 于是从 IPv4 地址池中找一个没有用掉的地址给 S1, 假设是 134.128.123.66, 并且建立地址映射 (9)NAT-PT 透过将数据包改成 IPv4 的格式 : (SA,DA)=(134.128.123.66,142.125.27.8) 对于 v4 to v6 的访问与之类似, 只是在 DNS 查询便进行了地址映射操作, 这里便不再累述 3.2.4 基于 NAT-PT 的通用地址数据模型通过对上述三种基于 NAT-PT 转换网关转换地址数据模型的深入分析, 不难看出, 包含源地址源端口地址目的地址目的端口地址转换地址转换端口地址域名以及 DNS 服务器 ( 含 IPv4 和 IPv6) 地址的 9 元组可共同组成通用地址数据模型定义 8: 通用地址数据模型 :(Si.A,Si.Pj,Dk.A,Dk.Pl,Tm,Tm.Pn,Dx,DNSv4.A,DNSv6.A), i j k l m n x i=1,2 在应用到某一具体类型 NAT-PT 时, 可依据地址数据模型定义, 将相应空缺的数据元指空, 这样便可实现上述的地址数据转化流程, 详见表 1 表 1 数据元信息表目的端转换端口地 DNS v4 DNS v6 源地址源端口地址目的地址转换地址域名口地址址服务器服务器 Si.A Si.Pj Dk.A Dk.Pl Tm Tm.Pn Dx DNSv4.A DNSv6.A - 4 -

3.3 采用通用地址数据模型的优点通过上述分析可见, 采取通用地址数据模型更易于各类 NAT-PT 网关原理的表达, 体现数据地址的转换过程, 并可直接筛选所需数据元信息, 直观表达三种网关的特点和异同基于 Basic NAT-PT 的地址数据模型实现了 IPv6 对 IPv4 网络的稳定通信, 但由于要与转换地址一一对应, 这样不仅大量消耗本已紧张的 Tm 地址资源, 且很容易出现由于可用 Tm 映射地址不足而导致无法转换 IPv6 地址, 从而妨碍二者的通信基于 NAPT-PT 的地址数据模型通过 Pn( 含 TCP UDP 或 ICMP 等 ) 端口的判别, 实现了大量 IPv6 与一个 IPv4 地址的映射, 极大拓展了地址转换的范围, 在一定程度上缓解了 IPv4 地址紧张的矛盾但由于 Si 依然是 IPv6 节点, 因此该网关仅仅拓展了由 Si 访问 Dk 节点的通信能力, 与 Basic NAT-PT 一样无法实现双向通信基于 Bi-Directional NAT-PT 的地址数据模型通过增加 DNSv4.A,DNSv6.A 数据元的判别实现了 IPv4/IPv6 的双向访问, 访问过程中所采用的地址数据模型即与基于 Basic NAT-PT 的模型相同通过模型分析, 可判断出一旦 DNS-ALG 出错或者暂时无法访问, 则不能实现双向访问 4. 结论本文针对现存的 IPv4/IPv6 转换网关的三种类型, 提出了通用地址数据模型, 并从数据信息转换流程表达等各方面进行了全面阐述与比较, 说明了每种网关类型适用的范围和情形下一步的工作主要体现在以该数据模型为基础, 继续深入分析表达和解决相关地址数据信息在协议转换安全协议 ( 如 DNSSEC IPSEC 等 ) 通过转换网关时所产生的问题 - 5 -

参考文献 [1] Tsirt sis G. Network address translation protocol translation(nat2pt) RFC2766 [ EB/ OL ]. http :// www. faqs. org/rfcs/ rfcs2766,2005209210. [2] Nordmark E. Stateless IP/ ICMP translation algorithm(siit) RFC2765 [ EB/ OL ]. http :/ / www. faqs. org/ rfcs/rfcs2765, 2005209210. [3] Hinden R. IP Version 6,addressing architecture RFC2373[ EB/ OL ]. http :/ / www. faqs. org/ rfcs/ rfcs2373,2005209210. [4] 杨怡, 陶军. 基于 NAT_PT 和 PROXY 的 HTTP 过渡方案的研究与改进 [J]. 计算机工程与应用,200604:149-154. [5] 刘冠蓉, 陈爽. NAT 代理服务器穿透方法的研究 [J]. 计算机技术与发展,2006 年第 16 卷 ( 第 6 期 ):74-76. [6] 陈霄, 徐明伟. 基于随机 Petr i 网的 NAT-PT 协议的性能分析 [J]. 清华大学学报 ( 自然科学版 ),2006 年第 46 卷 ( 第 7 期 ):1278-1281. [7] 陈沫, 王春峰, 殷昭印等 (etal). 基于 IXP2400 网络处理器的高性能 IPv4/IPv6 互通网关 [J]. 计算机工程,2006 年 5 月第 32 卷 ( 第 10 期 ):91-93. [8] 敦亚南, 王振兴, 郭润. 利用 NAT-PT 网关实现 IPv6 与 IPv4 网络互通 [J]. 计算机应用,2006 年 6 月第 26 卷 :226-227. [9] 鹿凯宁, 高磊. 基于 NAT2PT 的 IPv4 /IPv6 综合组网技术研究与设计 [J]. 大连理工大学学报,2005 年 10 月第 45 卷 :S09-S11. Data Model Research of IPv4/IPv6 Translation Gateway Zhang Weijian, Zhang Xuejie Computer and Information Engineering College, Hohai University, Nanjing(210098) Abstract During the transition from IPv4 to IPv6, the translation gateway has been the best choice for its lossless configuration to network. This paper thoroughly analyses the present three categories of IPv4/IPv6 translation gateway,and the general address data model is brought forward with the description of conjunction architecture and the address translation flow for every NAT-PT. Keywords: IPv4; IPv6; Translation Gateway; Data Model; NAT-PT 作者简介 : 张伟建 (1979-), 男, 硕士研究生, 工程师, 主研方向 : 计算机网络 ; 张雪洁 (1979-), 女, 博士生 - 6 -

Microsoft Word - A200805-1284.doc