2015IPv6-清华大学计算机科学与技术系博士_刘聪_面向IPv6过渡的通用应用层翻译.pdf

面向面向 IPv6 过渡的通用应用层翻译过渡的通用应用层翻译 刘 聪 清华大学 2015年9月7日 报告提纲 通用翻译器设计2 3 研究背景1 实验室简介 2 IPv6过渡介绍 1 Dual stack 2 Tunneling 3 Translation IPv4 IPv6 Transition 4over6 mesh 6RD DS Lite 4RD LW4o6 DSTM SIIT NAT PT DNS64 NAT64 IVI BITS PNAT IPv4 IPv6翻译技术 技术背景 在IPv6过渡过程中 IPv6 单栈 用户逐渐增加 原有IPv4资源 依然存在需求 原有IPv4业务数量巨大 升级成本高 升级难以立刻完成 翻译技术 连通不同IP协议的网络用户 网络层翻译 替换报文头部 进行地址 转换 单次翻译 通过一定规则 将IPv4地址 与IPv6地址进行映射 含传输层端口修改 应用层内容透明传输 典型协议 NAT64 DNS64 IPv4 Internet IPv6 ISP Network IPv6 Host NAT64 翻译器翻译器 跨层IP地址嵌入问题 INVITE sip destino SIP 2 0 Via SIP 2 0 UDP 2001 1 5060 branch Contact Content Length 312 c IN IP6 2001 1 m audio 8000 RTP AVP 98 97 8 0 3 101 Text EPRT 2 2001 2 5282 FTP SIP HTTP HTML 许多现有协议中 应用层内容 包含IP地址信息 IPv4 literal 在特定领域 应用中集中存在 如 http网站 SIP及FTP等特定应用 协议种类繁多 规则多变 不同 协议使用IPv4 IPv6地址及域名规 则不同 纯网络层翻译可能导致应用故 障或功能受限 跨层IP地址嵌入问题 INVITE sip destino SIP 2 0 Via SIP 2 0 UDP 2001 1 5060 branch Contact Content Length 312 c IN IP6 2001 1 m audio 8000 RTP AVP 98 97 8 0 3 101 Text EPRT 2 2001 2 5282 FTP SIP HTTP HTML FTP SIP a 建立控制信道 b 通过控制信道协商一组IP地址 和端口 用于创建数据信道 网络层翻译 可以正常工作 c 通信一方连接b 提供的IP地址及 端口 作为数据信道 网络层翻译 无法正常工作 IPv6用户点击用户点击 无法访问无法访问 跨层IP地址嵌入问题 INVITE sip destino SIP 2 0 Via SIP 2 0 UDP 2001 1 5060 branch Contact Content Length 312 c IN IP6 2001 1 m audio 8000 RTP AVP 98 97 8 0 3 101 Text EPRT 2 2001 2 5282 FTP SIP HTTP HTML HTTP a IPv6用户 浏览器打开页面 网络层翻译 可以正常工作 b 访问页面中包含IPv4地址的url 资源 如图片 超链接等 网络层翻译 无法正常工作 跨层IP地址嵌入问题 首页含IPv4地址的标签数 网 站 占 比 4309个中国个中国各级各级政府网站中嵌入政府网站中嵌入 IPv4地址情况统计地址情况统计 2014 RFC6586 With 1 000 top sites 0 2 needed an IPv4 literal to render all components in their top page With 10 000 top sites this number increases to 2 政府网站 我们对4309个中国各级政府网 站统计显示 49 7 在其首页嵌 入IPv4地址链接 导致IPv6用户 访问失败 11 3 包含IPv4地址图片 导致本 页面异常 站点数量多 规模小 内容升级缓慢 解决方案 应用层网关 传统方法的困难 应用层协议种类繁多 格式多样 许多应用使用私有协议 无法制定ALG 标准 应用层网关 解决跨层问题 对应用层内容进行修 改 需要针对特定协议设计不同的应用层 网关 FTP ALG RFC 6384 是否有一种更 通用通用的应用层 翻译方法 翻译器部署场景 ICP Network IPv4 Server IPv4 Internet IPv6 ISP Network IPv6 Internet IPv4 ISP side Translation ICP side Translation IPv6 NAT64 User DNS64 IPv6 ISP Network IPv6 Only User IPv4 IPv6 IPv6 IPv4 GALT NAT64 ISP侧翻译 传统网络层翻译技术主要针对翻译器位于 ISP网络的场景 为应用层处理带来困难 需要同时支持多种协议的应用层翻译 无法支持ICP私有协议 无法灵活制定翻译规则 ICP侧翻译 针对特定ICP应用 易于 进行灵活 复杂的内容 翻译 只需支持特定的少量协 议 报告提纲 通用翻译器设计2 3 研究背景1 实验室简介 11 设计目标及思路 设计思路 主动配置协议格式 协议格式自动分析无法保证正确性 需要为每个协议提供协议格式配置 基于每报文处理 许多情况下 IPv4 IPv6翻译工作较为简单 局部修改 基于每报文处理以提高效率 降低对proxy的要求 设计目标 面向ICP侧的应用层翻译 由ICP控制及配置 将IPv4服务对外转换为IPv6或双栈 能够支持多种协议 易于支持新 协议 减少重复工作 ICP网络 IPv4服务器 IPv6互联网 IPv6用户 IPv6 报文应用层翻 译网关 IPv4 报文 系统架构设计 主要模块 协议解析器生成及应用层报文处理引 擎 报文输出报文输入 报文修改器 报文处理引擎报文处理引擎 解析器生成解析器生成 协议解析器 GALANG 协 议描述语言 流状态管理 NAT64网络层翻 译 TCP流管理 协议分类器 修改算法可在线性时 间内高效修改报文 针对TCP流进行优 化 提高处理性能 根据网络层 传输 层与应用层内容对 报文智能分类 集中管理每流状态 含NAT64状态及应 用层处理状态 采用通用协议描述 语言对协议格式 翻译规则进行描述 由协议描述自动生成 可执行解析器 对报 文内容进行解析 并 生成修改操作 通用协议解析 Intermediate Representation Lexical Rules Grammar C Parser GALANG Description lex yacc Executable Parser Input from operator 协议解析语言 通过统一的协议描述语言 描述协议格式及翻译规则 语言基于lex yacc 采用巴科斯范式 BNF 嵌入C代码执行特定操作 支持的协议格式多样 报文处理操作灵活 针对IPv4 IPv6翻译 对语法进行简化 相比传统lex yacc方式 协议描 述大大缩短 大量减少正则表达式与C代码的书写 易于学习 解析器生成 由管理员指定的协议描述 自动 生成协议解析器的可执行代码 对简化的协议描述自动补全词法 语 法规则 进而通过lex yacc生成C 代 码 通用协议解析 SIP example 词法规则 正则表 达式 自动生成 简化特定TAG 处理方式 提供简化的翻译 操作指定方式 报文处理 报文解析 通过自动生成的协议解析器对 报文解析 自动找出所有待修改的字段 并给出修改目标值 报文修改 通过一个线性时间修改算法 实现对报文内容的高效修改 TCP处理 缓存操作 对于重复包 跳过解析 直接应 用修改 缓存报文 对于跨报文字段 缓存上一个报 文 当收到下一个报文后一并修 改 原型系统实现 协议协议GALANG描述长度描述长度flex bison描述长度描述长度 FTP1461 HTTP25125 SIP16103 我们在Linux平台实现了翻译器原型系统 核心系统约9000行C 代码 包含有状态NAT64模块 应用层报文处理引擎 及协议解析器生成 模块 设计了FTP HTTP SIP解析及翻译规则 FTP SIP 支持数据流创建 HTTP URL转换 对应关系已知 IPv4地址转IPv6地址 对应关系未知 IPv4地址转域名 描述文件相比 原方法简化80 实验测试 每秒请求数接近纯 NAT64处理 处理带宽达到 1Gbps 报文处理延迟较小 应用层翻译器对于FTP SIP及HTTP可以正确地进行内容翻 译 性能良好 相对于纯网络层翻译额外代价较小 总结 在IPv6过渡阶段 跨协议网络访问是重要需求 纯网络层翻译无法全面支持现有协议 ICP侧应用层翻译有助于短期内提供IPv6支持 保 证现有服务的访问质量 通用协议描述提供了简单易行的协议格式描述与翻译 规则配置方法 轻量级报文处理引擎支持灵活 高效的报文处理及修 改 通过真实系统测试 证明了系统正确 高效 报告提纲 实验室简介3 2 研究背景1 通用翻译器设计 20 欢迎大家交流合作 实验室负责老师 崔勇 教授 cuiyong IETF工作组主席 中国通标协理事 副主席 教育部新世纪人才和北京市科技新星 发表100多篇学术论文 50余项国家发明专利授权 实验室研究方向 下一代互联网与IPv6 无线移动互联网 互联网安全 近期研究成果 Dynamic Allocation of Shared IPv4 Addresses RFC 7618 2015 8 Lightweight 4over6 An Extension to the Dual Stack Lite Architecture RFC 7596 2015 7 DHCPv4 over DHCPv6 DHCP 4o6 Transport RFC 7341 2014 8 Handling Unknown DHCPv6 Messages RFC 7283 2014 7 Yong Cui Zeqi Lai Xin Wang etc Qu