（通信与信息系统专业论文）多核平台下natpt系统的资源管理方案.pdf

虫塞摘噩 中文摘要 摘要：在i p v 6 网络逐渐替代i p v 4 的过程中将有一个很长的过渡阶段，在此过渡时 期内，就需要很多很强大、灵活的机制来保证i p v 6 网络与i p v 4 网络的通信。n a t - p t 就是一种解决纯i p v 6 网络与纯i p v 4 网络相互通信的过渡机制。 本论文基于多核多线程处理器平台，在具体产品上设计并实现了完整的 n a t - p t 协议底层数据资源管理方案，经过测试验证，此方案可以完全支持多核系 统下n a t - p t 转换所需要的数据操作，对临界资源的并发操作进行了合理的保护， 并达到了很高的处理性能。 相对通用处理器或网络处理器的解决方案，多核平台在成本和性能上都很占 优势，更适合应用于大吞吐量的骨干网中。但目前多核处理器平台上的网络设备 开发大多还处于实验阶段，而且在此协议的实现中涉及到了众多数据资源的处理 特别是大量地址转换表项的存储及查找，多核环境下又需要考虑临界资源的并发 操作保护，导致资源管理更加复杂。本文全面地考虑了这些问题，提出了一个比 较合理的整体解决方案。 本文重点涉及到各种资源的分配方案设计以及多核环境下并发资源的保护机 制。文章对n a t - p t 报文处理流程中所涉及到的底层数据资源进行了整理与分析， 在n a t - p t 实现中，会涉及到以下几种数据的处理：v 6 前缀资源、v 4 地址池资源、 v 6 侧动态分配策略、v 4 侧动态分配策略、地址映射表、v 6 服务器映射表、会话 表。这几种数据资源配合起来支撑了n a t - p t 报文处理的整个过程。根据每种资源 的特点，分别定义了其结构及数据存储方式，并且对资源查找流程进行了完整的 设计，在存储及查找效率上都满足了n a t - p t 系统的转发数据流要求。同时也考虑 到了多核系统下的软件处理特点，对多核系统下各种临界资源的并发操作选择合 理的方式进行了保护，既保证了数据操作的安全性，又尽量地减少了对性能的影 响。 在详细设计和编码实现的基础上，通过在实际产品上进行的测试结果表明： 本文提出并实现的资源管理方案完全满足了对n a t - p t 协议的支持，能够支撑系统 的正常转发，各种资源管理功能都通过了验证，而且最小包情况下的转发速率v 4 到v 6 方向达到8 0 0 m b i t s ，v 6 到v 4 方向达到9 0 0 m b i t s ，此性能已达到国内厂商 的先进水平。 关键词：多核；i p v 6 ；n a t - p t ；临界资源 分类号：t p 3 9 3 j 匕宝交适厶堂亟堂僮诠塞 一 a b s t r a c t a b s t r a c t ：t h e r ew i l lb eal o n gi n t e r i mo nt h eu p g r a d ef r o mi p v 4t oi p v 6 ，s oi t w o u l db en e c e s s a r yt od e v e l o p s m o o t ht r a n s i t i o nm e c h a n i s m st o e n s u r et h e o o m m u n i c a t i o nb e t w e e nt h ei p v 4n e t w o r ka n di p v 6 n a t - it i so n eo ft h et r a n s i t i o n m e c h a n i s m sf o rt h ec o m m u n i c a t i o nb e t w e c np u r e i p v 4n e t w o r ka n dp u r e - i p v 6n e t w o r k s e v r e r a lr e s e a r c hi n s t i t u t i o n sa n dc o m p a n i e si nt h ew o r l da r ed o i n gt h er e s e a r c ho n t h ea p p l i c a t i o no fn 随吼b u tm o s to ft h e ma l er u n n i n g o ng e n e r a lp u r p o s ep r o c e s s o r o rn e t w o r kp r o c e s s o r t h e ya r er e s t r i c t e db yp e r f o r m a n c eo re x p a n s i b i l i t y , c a nn o tm e e t t h ed e m a n do fi n t e r n e tb a c k b o n e t h i sp a p e rp r e s e n t sac o m p l e t eu n d e r l y i n gd a t ar e s o u r c em a n a g e m e n ts c h e m e f o r n a t - p t , w h i c hc a nf u l l ys u p p o r t sd a t ao p e r a t i o nf o rn a t - p t c o n v e r s i o no nm u l t i - c o r e s y s t e m ，a n dr e a c h e sav e r yh i g hp r o c e s s i n gp e r f o r m a n c e t h i ss c h e m e i sb a s e do n m u l t i c o r em u l t i t h r e a d e dp r o c e s s o rp l a t f o r m m u l t i - c o r e p l a t f o r m s h a v em o r e a d v a n t a g e st h a nt h er e l a t i v ep r e v i o u ss o l u t i o n so nc o s ta n dp e r f o r m a n c e b u ta t t h e p r e s e n tt i m et h ed e v e l o p m e n to fn e t w o r ke q u i p m e n to nt h ep l a t f o r m o fm u l t i _ c o r e p r o c e s s o r si ss t i l li nt h ee x p e r i m e n t a ls t a g e ，p r o d u c t sa r es t i l li m m a t u r e t h er e a l i z a t i o n o ft h ep r o t o c o li n v o l v e dal o to fd a t u mt ob ed e a l t ，e s p e c i a l l ym a n y a d d r e s sc o n v e r s i o n t a b l e sn e e dt ob es t o r a g e da n df o u n d i nm u l t i - c o r ee n v i r o n m e n t ，w ea l s on e e dt o c o n s i d e rt h ep r o t e c t i o no ft h ec o n c u r r e n to p e r a t i o no nt h ec r i t i c a l r e s o u r c e s s ot h e r e s o u r c em a n a g e m e n tw i l lb em o r ec o m p l i c a t e d i nt h i sp a p e r c o m p r e h e n s i v e l y c o n s i d e r i n ga l lo ft h e s ei s s u e s ，w ep r o p o s e am o r er e a s o n a b l eo v e r a l ls o l u t i o n t h i sp a p e rf o c u s e so bt h ep r o g r a m m ed e s i g n e df o rt h er e s o u r c e sa l l o c a t i o na n d t h e p r o t e c t i o nm e c h a n i s mo fc r i t i c a l r e s o u r c e si nm u l t i c o r ee n v i r o n m e n t t h i sa r t i c l e a n a l y z e st h ef o l l o w i n gd a t ar e s o u r c e si n v o l v e di nt h en a t - p tp a c k e tp r o c e s s ：v 6p r e f i x r e s o u r c e s v 4a d d r e s sp o o lr e s o u r c e s ，v 6 b o u n dd y n a m i ca l l o c a t i o ns t r a t e g y , v 4 - b o u n d d y n a m i ca l l o c a t i o ns t r a t e g y ，a d d r e s sm a p p i n gt a b l e ，v 6s e r v e rm a p p i n gt a b l e ，a n d s e s s i o nt a b l e a l lo ft h e s es u p p o r tt h ew h o l ep r o c e s so fn a t - i t a c c o r d i n gt ot h e c h a r a c t e r i s t i c so fe a c ht y p eo fr e s o u r c e s ，w ed e f i n ei t ss t r u c t u r ea n dd a t as t o r a g et om e e t t h er e q u i r e m e n t so fa l lt h en a t - p td a t af l o wa sm u c ha sp o s s i b l ei ns t o r a g ea n d s e a r c h e f f i c i e n c y a l s ot a k i n g i n t oa c c o u n tt h em u l t i c o r es y s t e m s o f t w a r eh a n d l i n g c h a r a c t e r i s t i c s ，w ed e s i g nar e a s o n a b l ew a y t op r o t e c tt h ec r i t i c a lr e s o u r c e s ，n o to n l yt o e n s u r et h es a f e t yo ft h eo p e r a t i o n ，b u ta l s ot or e d u c et h ee f f e c to nt h ep e r f o r m a n c eo f t h es y s t e ma sf a ra sp o s s i b l e b a s e do nd e t a i l e dd e s i g na n dc o d i n gi m p l e m e n t a t i o n ，t h et e s tr e s u l t so nt h ea c t u a l p r o d u c t ss h o wt h a tt h es c h e m ec a nf u l l ys u p p o r tt h en a r - p tp r o t o c 0 1 a n da l s or e a l i z e t h en o r m a lf u n c t i o no ft h ew h o l es y s t e m a n da l lk i n d so ff u n c t i o n sh a v ep a s s e dt h e v e r i f i c a t i o n i nt h es m a l l e s tp a c k e tl e n g t h ，f o r w a r d i n gr a t ei nv 4 t o v 6d i r e c t i o n r e a c h e st o8 0 0 m b i t s ，i nv 6 - t o v 4d i r e c t i o nr e a c h e st o9 0 0 m b i t s t h i sp e r f o r m a n c eh a s r e a c h e dt h ea d v a n c e dl e v e la m o n gt h ed o m e s t i cm a n u f a c t u r e r s k e y w o r d s ：m u l t i c o r e ，i p v 6 ，n 肝凡c r i t i c a lr e s o u r c e s c l a s s n 0 ：t p 3 9 3 v 学位论文版权使用授权书 本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特 授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索， 并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国 家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 学位论文作者签名：弓璃 签字同期：眵年 月9 日 导师签名： 签字日期： 毋年易月8 日 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研 究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或 撰写过的研究成果，也不包含为获得北京交通大学或其他教育机构的学位或证书 而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示了谢意。 学位论文作者签名：弓呻 签字同期：娜年石月9r 致谢 本论文的工作是在我的导师陈常嘉教授的悉心指导下完成的，陈常嘉教授严 谨的治学态度和科学的工作方法给了我极大的帮助和影响。在此衷心感谢两年来 陈常嘉老师对我的关心和指导。 陈常嘉教授悉心指导我们完成了实验室的科研工作，胡师舜老师在学习上和 生活上都给予了我很大的关心和帮助，在此向陈常嘉教授和胡师舜老师表示衷心 的谢意。 陈常嘉教授对于我的科研工作和论文都提出了许多的宝贵意见，在此表示衷 心的感谢。 在实验室工作及撰写论文期间，郑毅师兄、张敏师姐对我的论文提出了很多 宝贵的意见。另外本项目组的同学都对我论文中的研究工作给予了热情帮助，在 此向他们表达我的感激之情。 另外也感谢我的父母，是他们的理解和支持使我能够在学校专心完成我的字 业及论文。 1 引言 本章介绍了多核环境下n a t - p t 实现的研究背景、实现意义及业内相关厂商的 开发现状，并概括了论文的主要工作和组织结构。 1 1 研究背景 现有i n t e m e t 的基础是i p v 4 ，到目前为止有近3 0 年的历史了。随着i n t e r n e t 的日益膨胀，i p v 4 的局限性越来越明显。i p v 4 主要的不足表现在地址空间不足， 现有的i p v 4 地址已经十分紧缺，虽然使用分配临时的i p v 4 地址或网络地址翻译 ( n a t i l 】) 等地址使用技术，在一定程度上缓解了i p v 4 地址不足的状况，但同时 也增加了地址解析和处理方面的开销，导致某些高层应用失效，而且仍然无法回 避i p v 4 地址即将被分配殆尽这个问题。 随着个人电脑市场的急剧扩大、还有个人移动计算设备的上网、网上娱乐服 务的增加、多媒体数据流的加入、以及出于安全性等方面的需求都迫切要求新一 代婵协议的出现。为了彻底解决i p v 4 存在的问题，i e t f 从1 9 9 5 年开始，着手研 究开发下一代网络协议，即i p v 6 。i p v 6 具有长达1 2 8 位的地址空间，可以彻底解 决i p v 4 地址不足的问题，此外，i p v 6 还采用分级地址模式、高效i p 包头、服务质 量、主机地址自动配置、认证和加密等许多技术【2 j 。 i p v 6 作为i p v 4 的未来替代协议，与i p v 4 相比，i p v 6 网络具有更大的优势： 近似无限的地址空间；层次化的网络结构，提高了路由效率；提供了端到端的安 全特性。这些都成为了i p v 6 网络快速、广泛部署的理由。 但是，在相当一段时间内，i p v 4 网络与i p v 6 网络势必共存并相互协作，即i p v 4 网络到i p v 6 网络的过渡时期。因此，在此过渡时期内，就需要很多很强大、灵活 的机制【3 】来保证i p v 6 网络与i p v 4 网络的通信。在这个阶段，需要解决两个方面的 过渡问题： 1 1i p v 6 网络和i p v 4 网络之间的通信； 2 1i p v 6 “小岛”之间的通信。 对于像中国这样严重缺乏i p v 4 地址、因而也更迫切需要发展i p v 6 的国家，对 于解决第二个问题还有一个突出的难点，那就是运营商的网络普通不支持i p v 6 ， 而用户上网只能获得i p v 4 私有地址。在这种情况下，i p v 6 终端用户如何通过运营 商的公网实现基于i p v 6 的端到端通信成为一个突出的问题。 在过渡初期要解决的是小规模i p v 6 网络之间的通信，随后是l p v 6 网络之间的 ：j e 夏銮垣太堂亟堂焦途塞 通信，随后是l p v 6 网络大规模的i p v 4 网络之间的通信。如下图所示： v 6 孤岛 v 6 孤岛 v 6 孤岛v 6 孤岛 图1 1i p v 4 到i p v 6 网络的过渡 f i g u r e1 1t r a n s i t i o nf r o mi p v 4t oi p v 6 h v 4 h v 6 的共存过渡技术可以归纳为三类：双协议栈技术、隧道技术、协议 转换技术。下面是三种过渡技术的综合比较： 1 ) 隧道技术：以现有i p v 4 路由体系来传递l p v 6 数据，是过渡阶段最易于采 用的技术，适用于i p v 6 主机网络间的互通，但不能解决i p v 4 和i p v 6 网 络的互通问题。 2 1 协议转换：在通信中间设备完成i p v 4 和i p v 6 网络之间分组地址转换和协 议翻译，分组路由对端节点透明，适用于i p v 4 和i p v 6 网络的互通，但是 对许多协议，特别是应用层协议需要应用层网关的辅助。 3 1 双协议栈技术：同时运行i p v 4 和i p v 6 两套协议栈，完全兼容i p 、r 4 和i p v 6 ， 适用于任何i p v 4 、i p v 6 网络，但不能解决i p v 4 地址耗尽的问题，需要运 行两套协议栈，增加了网络的复杂性。 i e t f 的n g t r a n 工作组已经提出了几种解决方案以保证i p v 6 节点与i p v 4 节 点的相互通信：s i i t l 4 i ( s t a t e l e s si p i c m pt r a n s l a t i o n ) 、n a t - p t l 5 l ( n e t w o r ka d d r e s s t r a n s l a t i o n p r o t o c o l t r a n s l a t i o n ) 、 b i s l 6 l ( b u m p i n t h e s t a c k ) 、 b i a 7 l ( b u m p i n t h e a p i ) 、t r t 8 l ( t r a n s p o r tr e l a yt r a n s l a t o r ) 、s o c k s 6 4g a t e w a y l 9 1 。 在本文中，将主要讨论s l i t 以及由其发展而来的n a t - p t 技术及其实现。 在另一方面，从硬件的角度来看，传统单核处理器的性能提升空间越来越小； 其处理速度已经远远无法满足现代网络的发展，而网络处理器虽然处理速度可以 达到要求，但是其不仅开发难度大，而且对于需求的修改过程通常周期比较长， 拖慢了对需要的响应速度，无法满足现代网络中不断增长的需求及更新换代的要 求。在这种情况下，多核多线程处理器i l o j 就成了在网络处理设备中最好吮一种选 择，既可以达到满意的处理速度，又可以方便快速地应对需求的改变。在实现过 程中我们采用了r m i 公司的多核芯片x l r 7 3 2 1 1 1 】，达到了理想的性能要求。 1 2 研究现状 n a t - f - r 是由i e t f 组织于2 0 0 0 年标准化的网络协议，r f c 2 7 6 6 对这种设备的 功能和实现进行了详细描述。虽然会在i p v 6 的部署过程中n a r - p t 设备应用会为 i p v 6 网络带来一定的局限性，但在今后i p v 4 向i p v 6 过渡过程中n a t - p t 仍然是一 种有效的v 4 与v 6 互通技术，国内外对n a t - p t 设备的理论研究相对成熟，许多 国内外设备厂商也相应地各自实现了支持n a t - p t 技术的设备，这证明n a t - p t 技 术在v 4 与v 6 网络的过渡阶段是可行而且必要的。 利用n a t - p t 转换机制，i p v 6 节点与i p v 4 节点可以在不需要对本地软件实现 有任何的修改或增加其它软件的情况下实现应用程序的互访，比如双栈实现。只 需要将支持n a t - p t 转换功能的路由器放置在i p v 4 网络与i p v 6 网络的边界，让 n a t - p t 实现i p v 6 报文与i p v 4 报文的翻译，就可以完成i p v 6 网络与i p v 4 网络的 互访，与其他互通技术相比，更容易管理与部署，n a t - p t 把s i l t 协议转换技术 和i p v 4 网络中动态地址转换技术( n a t ) 结合在一起，它利用了s i l t 技术的工作机 制，同时又利用传统的i p v 4 下的n a t 技术来动态地给访问i p v 4 节点的i p v 6 节点 分配i p v 4 地址，很好地解决了s i l t 技术中全局i p v 4 地址池规模有限的问题。同 时，通过传输层端口转换技术，使多个i p v 6 主机共用一个i p v 4 地址。 但是，目前的实现大都基于通用处理器或a s i c ，处理速度不够快或者价格较 高。在多核多线程平台上实现的n a t - p t 设备目前国内外的设备厂商都还在处理开 发与试验阶段。 1 3 主要研究内容 本文基于实验室与公司合作的丌发项目“n a t - p t 基于多核分布式实现，作 者在项目中负责数据管理模块，此模块负责n a t - p t 协议处理中的底层数据处理、 3 各种数据表项的存储及查找操作，支撑了整个的报文处理流程。本文在此基础上 详细阐述了在多核多线程平台下n a t - p t 实现中底层资源管理的研究与实现，经过 实际测试，其整体处理性能达到了业内厂商的先进水平，基本满足了大流量网络 处理的要求。 本论文研究的主要内容是：在深入研究n a t - p t 协议及其实现方式的基础上， 根据报文的处理流程，对n a t - p t 报文处理流程中所涉及到的底层数据资源进行了 整理与分析，根据每种资源的特点，分别定义了其结构及数据存储方式。同时考 虑了多核系统下的软件处理特点，提出了一个完整的底层数据资源管理方案并在 具体产品上进行了实现，使其适应多核多线程系统的要求，并能够稳定的支撑整 个n a t - p t 协议处理的底层数据流。 在n a t - p t 实现中，会涉及到以下几种数据的处理：v 6 前缀资源、v 4 地址池 资源、v 6 侧动态分配策略、v 4 侧动态分配策略、地址映射表、v 6 服务器映射表、 会话表。这几种数据资源配合起来支撑了n a t - p t 报文处理的整个过程，这就要求 考虑到各种资源分配的情况，并设计出合理的方案以保证数据处理的效率及处理 的稳定性与安全性。 当一个v 6 或v 4 报文进入n a t - p t 系统处理，会根据以上几种数据管理的配 置来分配合适的资源给该报文并决定其转发的流程。因此数据管理方案的效率直 接决定了整个系统的性能。而且由于v 4 地址的稀缺性，地址与端口的分配方案也 就变得尤其重要，如何在尽量减少地址占用的情况下保证在大流量下的服务质量， 也对分配方式提出了更高的要求。 另外由于多核系统的并发性特点，在资源管理设计中必须要考虑到对临界资 源的保护，在对所使用的多核c p u 特点有了深入了解的基础上，灵活的采用了各 种保护方式，使其既能够对并发的处理提供足够安全的操作，又尽量的减少了保 护的范围，最大限度的提高了系统处理的效率。 本论文设计和实现的系统力图达到以下几点： 1 ) 深入掌握n a t - p t 协议及其转换流程 2 ) 对多核平台下的数据资源操作进入深入研究 3 ) 设计并实现一个完整的多核平台下n a t - p t 资源管理方案 4 ) 该方案可以完全支持多核系统下n a t - p t 转换所需要的数据操作 5 ) 该方案能够完善的支持多核下的并发访问，确保不会产生冲突 6 ) 该方案可以达到既定的性能要求，高于业内厂商指标 经过不断的对方案的优化，在最后的性能测试中，我们在多核处理器上所实 现的n a t - p t 系统v 6 向v 4 方向的转发速率达到了9 0 0 m b i t s ，v 4 向v 6 方向的转 发速率达到了7 9 0 m b i t s ，达到了业内的先进标准，超越了同档次的华为高端路由 4 器n e 4 0 。 1 4 论文组织结构 全文共分6 章： 第一章为引言，主要介绍了论文的课题来源、项目背景及主要的工作情况。 第二章为n a t - p t 协议的介绍，主要介绍了s i l t 技术及其到n a t - p t 协议的 过渡，并对n a t - p t 网关的实现方式、a l g 的作用进行了详细分析，并对其应用 场景及局限性作了简单介绍。 第三章具体阐述了整个n a t - p t 资源管理的设计方案，对多核系统下所采用的 资源管理模型及各种资源的数据结构和之间的关联进行了详细的分析与设计。 第四章描述了在设计方案的基础上数据管理模块的实现，分几个子模块详细 描述了该模块的具体流程。 第五章分几个测试方案对数据管理模块的各种功能及所达到的性能标准进行 了实际测试与分析。 第六章为结论与展望。 2n a l t - p t 协议实现原理 n e t w o r ka d d r e s st r a n s l a t i o n p r o t o c o lt r a n s l a t i o n ( n a t - p t ) 是一种i p v 6 与i p v 4 网络的转换协议，由r f c 2 7 6 6 定义。它实现了纯i p v 6 节点与纯i p v 4 节点之间的 通信。 2 1n a t - p t 技术概述 n a t - p t 是一种纯i p v 6 节点和i p v 4 节点间的互通方式，它是基于由r f c 2 7 6 5 定义的s i i t ( s t a t e l e s si p i c m pi r a a s l a t i o n ) 技术发展起来的，利用了s i i t 技术的工 作机制，同时又利用传统的i p v 4 下的n a t 技术，动态的给访问v 4 节点的v 6 节 点分配v 4 地址，很好的解决了s i l t 技术中全局i p v 4 地址池规模有限的问题，做 到了地址的复用，并在产品上得到了实现。 所有包括地址、协议在内的转换工作都由网络设备来完成。采用n a t - p t 方式 进行过渡的优点是不需要进行i p v 4 ，i p v 6 节点的升级改造，缺点是i p v 4 节点访问 i p v 6 节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较 大，一般在其他互通方式无法使用的情况下使用。 2 1 1s i i t 技术 i p v 4 和i p v 6 协议的不兼容性要求对i p ( 包括i p v 4 和i p v 6 ) 、i c m p 、t c p 以及 u d p 协议进行翻译，在i p v 6 中，i c m p 协议的t v p e 、c o d e 值以及校验和的计算方 法都与i p v 4 的情形有很大的差异。因此需要对协议报文进行转换。 在n a t - p t 的实现中协议部分的转换算法是基于s l i t 描述的算法的改造，s l i t 也就是无状态i p i c m p 转换算法( s t a t e l e s si p i c m pt r a n s l a t i o n ) 。s l i t 技术由 r f c 2 7 6 5 定义，规定了i p v 4 报文头部f 1 3 j 与i p v 6 报文头部( 包括i c m p 头部) 的转换 算法。 转换算法包括如下几个大的方面： 1 ) i p v 4 头部到i p v 6 头部的转换 如果i p v 4 数据包头部的标识字段中d f = 1 且m f = 0 ，说明此数据包不是分片 包，则转换过后的i p v 6 头部应该构造为： v e r s i o n ：6 ，t r a f f i cc l a s s ：默认情况下直接拷贝i p v 4 头部中的t o s 字段，但具体实现中也 6 需要提供忽略t o s 字段而将此字段置为全0 的功能 f l o wl a b e l ：黄为全o p a y l o a dl e n g t h ：i p v 4 头部中的总长度字段减去i p v 4 头部长度及选项长度( 如 果存在的话) n e x th e a d e r ：从i p v 4 头部的协议字段中拷贝 h o pl i m i t ：转换时从i p v 4 头部的t t l 字段拷贝，但由于转换本身也起到了一 个路由器的功能，因此作为包转发过程中的一步，需要在转换之前将i p v 4 的1 t r l 字段减1 或在转换之后将i p v 6 的h o pl i m i t 减1 s o u r c e a d d r e s s ：低3 2 位从i p v 4 头部源地址拷贝，高9 6 位是由系统定义的映 射前缀 d e s t i n a t i o n a d d r e s s ：低3 2 位从i p v 4 头部目的地址拷贝，高9 6 位是由系统定 义的转换前缀 如果i p v 4 选项存在的话，那么将在转换中被直接忽略掉，然而，如果选项中 存在一个未过期的源站路由选项的话，则此i p v 4 包需要被丢弃，同时需要发送一 个“目的不可达源路由失败( t y p e3 c o d e5 ) ”的i c m p v 4 差错报文。 如果d f = 0 ，说明此数据包是分片包，在协议转换过程中应该加入以下两个 部分： p a y l o a dl e n g t h ：在上述计算结果的基础上再加上8 ( 分片扩展头的长度) n e x th e a d e r ：4 4 ( 分片扩展头1 其中分片扩展头的设置如下： n e x th e a d e r ：从i p v 4 头部的协议字段中拷贝 f r a g m e n to f f s e t ：由i p v 4 头部中的分片偏移值直接拷贝 mf l a g ：从i p v 4 头部中的m f 位直接拷贝 i d e n t i f i c a t i o n ：低1 6 位从i p v 4 头部的i d 字段中拷贝，高1 6 位置为0 2 ) i p v 6 头部到i p v 4 头部的转换 如果接受到的i p v 6 数据包没有分片扩展头，则i p v 4 头部的各个字段应该构造 为： v e r s i o n ：4 i n t e r n e th e a d e rl e n g t h ：5 ( 无i p v 4 选项字段) t y p eo fs e r v i c ea n dp r e c e d e n c e ：默认情况下，直接拷贝i p v 6 头部中的t r a f f c c l a s s 字段，但具体实现中也需要提供忽略t r a f f i cc l a s s 字段而将此字段置为全 ，0 的功能 t o t a ll e n g t h ：i p v 6 头部中的负载长度加上i p v 4 的头部长度 i d e n t i f i c a t i o n ：置为全0 t i m et ol i v e ：转换时从i p v 6 头部的h o p l i m i t 字段拷贝，但由于转换本身也 起到了一个路由器的功能，因此作为包转发过程中的一步，需要在转换之前将 i p v 6 的h o pl i m i t 字段减1 或在转换之后将i p v 4 的t t l 字段减1 p r o t o c o l ：从i p v 6 头部中的下一跳字段直接拷贝 h e a d e rc h e c k s u m ：在i p v 4 头部创建后重新计算 s o u r c ea d d r e s s ：如果i p v 6 源地址是由i p v 4 转换过的地址，则从i p v 6 源地址 的低3 2 位直接拷贝，否则，将置为全0 d e s t i n a t i o na d d r e s s ：从i p v 6 目的地址的低3 2 位直接拷贝 如果i p v 6 数据包中包含分片扩展头，则以下各字段作相应改动： t o t a ll e n 毋h ：在以上计算结果的基础之上再减去8 ( 分片扩展头的长度) i d e n t i f i c a t i o n ：从i p v 6 的分片扩展头的标识字段的低1 6 位直接拷贝 f l a g s ：m f 标志从分片扩展头中的m 标志位直接拷贝，d f 标志被设为0 来允 许此报文被v 4 路由器分片 f r a g m e n to f f s e t ：从i p v 6 的分片扩展头的分片偏移字段直接拷贝 p r o t o c o l ：从分片扩展头的下一跳字段中直接拷贝 3 ) u d p 头部的转换 在i p v 4 报文中，u d p 头部校验和可以不填写，即u d p 头部校验和可以是0 。 但是在i p v 6 协议中，i p v 6 头部没有校验和，为了保证u d p 数据包的正确性，u d p 头部中校验和字段必须填写。 如果一个u d p 包被分片，但是u d p 头部的校验和为o ，作为一个无状态的转 换设备来说，它不可能计算出一个有效的校验和。不过，我们认为这种情况是恶 意的攻击。当转换设备收到这种报文的时候，转换设备应该丢弃该报文并生成一 个系统相关事件( 事件至少需要记录i p 地址和端口号) 。 如果转换设备收到一个未分片的i p v 4u d p 报文并且校验和为o ，转换设备必 须计算u d p 校验和，而且转换设备应该记录有多少个这样的u d p 校验和被计算。 钔i c m p 头部的转换 在i p v 6 中，i c m p 的校验和计算包含一个伪头部( 源地址，目的地址，协议号， i c m p 包长度) ，而在i p v 4 中，i c m p 的头部校验和的计算不包含伪头部。所以， 所有经过转换设备的i c m p 的校验和都需要重新计算。 i c m p 头部的转换，除了校验和之外，剩下的就是i c m p 的t y p e 值和c o d e 值 需要转换，在此不再赘述。 5 ) i c m p v 4 v 6 差错报文的转换 对于i c m p v 4 v 6 差错报文来说，除了要转换t y p e 与c o d e 之外，由于其差错 报文中包含了i p v 4 v 6 头部，错误消息中的i p v 4 v 6 头部也需要被转换，就像普通 8 的i p v 4 v 6 头部被转换一样。转换错误消息中的i p v 4 v 6 头部可能导致数据包的长 度变化，那么正常的i p v 4 v 6 头部的有效载荷长度也需要更新。 s l i t 技术是对i p i c m p 报文进行协议转换的技术，它并不记录一个流的状态 ( 无状态) ，由于使用特定的地址空间来完成i p v 4 地址与i p v 6 地址的转换。s i l t 需 要有一个全局的i p v 4 地址池给与i p v 4 节点通信的i p v 6 节点分配i p v 4 地址。因为 s l i t 无法进行地址复用，所以地址池的空间限制了i p v 6 节点的数量。同时，当s i l t 的i p v 4 地址池中的地址分配完后，新的i p v 6 节点如果需要同i p v 4 节点通信，就 会因为没有足够的i p v 4 地址空间导致s i l t 无法进行协议转换，造成通信中断。在 n a t - p t 协议中对此进行了改进。 2 1 2 从s l i t 到n a t - p t n a t - p t 技术由r f c 2 7 6 6 定义，是基于s i l t 的地址转换技术发展起来的，利 用了s l i t 技术的工作机制，同时又利用传统的i p v 4 下的n a t 技术来动态的给访 问v 4 节点的v 6 节点分配v 4 地址，很好的解决了s i l t 技术中全局i p v 4 地址池规 模有限的问题。 n a t ( n e t w o r ka d d r e s st r a n s l a t i o n ，网络地址转换) 作为一种i p v 6 的过渡解决手 段，可以用来减少对全球合法注册地址的需求。在n a t 的定义中，它是一种将i p 地址从一组透明地址转换到另一组的方法，具体地说，就是在内部专用网络中使 用私有地址( 不可路由) ，而当内部节点要与外界网络发生联系时，就在边缘路由器 或者防火墙处，将私有地址替换成公网地址( 可路由) ，从而在外部公共网上正常使 用。 n a t 网络地址转换有两种主要类型：静态转换( s t a t i ct r a n s l a t i o n ) ，动态转换 ( d y n a m i ct r a n s l a t i o n ) 。 静态转换是最简单的一种转换方式，它在n a t 表中为每一个需要转换的私有 地址创建了固定的转换条目，映射了唯一的公网地址。私有地址就会转化为对应 的公网地址。 动态转换，增加了网络管理的复杂性，但也提供了很大的灵活性。它将可用 的公网地址集定义成n a t 池( n a tp 0 0 1 ) 。对于要与外界进行通信的内部节点，如 果还没有建立转换映射，边缘路由器或者防火墙将会动态的从n a t 池中选择公网 地址对私有进行转化。每个转换条目在连接建立时动态建立，而在连接终止时会 被回收。这样，网络的灵活性大大增强了，所需要的公网地址进一步减少。 n a t - p t 技术将i p v 6 地址看作传统n a t 中的私网地址，而将i p v 4 地址看作 n a t 中的公网地址，利用了n a t 的思想，并结合了s i l t 的协议转换技术，实现 9 了i p v 6 与i p v 4 地址之间的转换。 2 2n a t - p t 的实现方式 要提供v 4 网络到v 6 网络的地址映射相对简单，由于v 6 地址空间巨大，可 以静态的为v 4 网络分配一个v 6 网络前缀，这样就可将3 2 b i t 的v 4 网络的地址空 间整体的映射为v 6 网络中的一个网段地址空间。在v 6 网络内，只要目的地址包 含了此v 6 地址前缀，就可以认为此报文将被路由到i p v 4 网络。 相比之下，要实现v 6 网络到v 4 网络的地址映射就要复杂的多，也正是由于 v 6 地址空间的巨大，因此绝不可能为每一个v 6 节点都分配一个v 4 地址，在解决 方案中，有以下三种不同的映射方式： 1 ) s t a t i cn 解p to p e r a t i o n ( 静态映射) 静态的n a t - p t 实现使用静态的转换规则来实现一个v 6 地址与一个v 4 地址 之间的映射，在路由器上为指定的i p v 6 节点静态的分配一个v 4 地址，如果有多 个l p v 6 节点与i p v 4 节点需要进行通信时，就需要配置多个静态的n a t - p t 映射。 通常情况下当i p v 6 网络中的某个节点提供的服务需要固定的口地址的时候， 就需要采用静态的n a t p t 地址转换机制，在这样的地址映射方式下，能够保证 v 6 网络节点访问v 4 网络，也能够保证v 4 网络节点对v 6 网络服务的访问。比如 应用场景中的v 4 和v 6 的d n s 服务器就需要用静态映射来实现。 在下图中显示了i p v 6 节点a 是如何与i p v 4 节点c 通过n a t - p t 服务通信的。 n a t - p t 设备给a 节点的i p v 6 地址2 0 0 1 ：0 d b 8 ：b