IPv6过渡技术—翻译技术.doc

一、翻译技术IPv4/IPv6翻译技术能够成功实现IPv4网络与IPv6网络之间互访问题。翻译技术可以分为无状态翻译技术（stateless translation）和有状态翻译技术（stateful translation）两种，其中有状态地址翻译通过存储相应的地址、端口状态映射表来实现IPv4地址的复用，在这种方式中，状态表是基于连接（session）而建立的，因而状态表非常庞大，且动态性显著。而在无状态地址翻译中，IPV4地址和端口范围直接内嵌到IPV6地址中，这样就不需要有状态表来维护地址、端口的对应关系，但这种无状态的方式中IPv6地址格式受限，不能够支持灵活的IPv6地址分配。1、有状态的翻译技术（1）NAT-PT技术为了实现IPv6与IPv4的互访，IETF（互联网工程任务组）在早期设计了NAT-PT（Network Address Translation-Protocol Translation）的解决方案（RFC2766）。NAT-PT是一种有状态的4-6报文翻译，它通过IPv6与IPv4的网络地址与协议转换，实现了IPv6网络与IPv4网络的双向互访。协议转换的目的是实现IPv4和IPv6协议头之间的转换；地址转换则是为了让IPv6和IPv4网络中的主机能够识别对方。NAT-PT可以实现纯IPv6节点和纯IPv4节点之间通信，如图1所示。NAT-PT使用网关设备连接IPV6和IPv4网络。当IPv4和IPv6节点互相访问时，NAT-PT网关实现两种协议的转换翻译和地址的映射。NAT-PT网关在工作时, 将维护一个IPv4地址池。与系统NAT方式一样，NAT-PT网关支持为IPv6网络中的节点动态分配IPv4 地址, 维护地址映射关系, 并且完成IPV4协议和IPV6协议的转换1。图1 NAT-64基本场景但NAT-PT在实际网络应用中面临各种缺陷，IETF推荐不再使用，在RFC4966中被置为“historic”状态2，理由如下： 拓扑限制和扩展性问题； 记录优选问题：IPv6 Host在和双栈主机通信时，DNS会同时返回两个记录，一个IPv6记录，一个是由IPv4记录被DNS-ALG转换后的IPv6记录，IPv6 Host选的可能不是最优的； 继承NAT的相关问题：复杂的ALG（Application Level Gateway，应用层网关）、分片报文转换复杂。（2）NAT-64技术为了解决NAT-PT中的各种缺陷，同时实现IPv6与IPv4之间的网络地址与协议转换技术，IETF重新设计一项新的解决方案： NAT64与DNS64技术。NAT64是一种有状态的网络地址与协议转换技术，一般只支持通过IPv6网络侧用户发起连接访问IPv4侧网络资源。但NAT64也支持通过手工配置静态映射关系，实现IPv4网络主动发起连接访问IPv6网络。它主要解决在IPv6 接入网环境下，IPv6-only 终端可以访问IPv4-only 业务。DNS64则主要是配合NAT64工作，将DNS查询信息中的A记录（IPv4地址）合成到AAAA记录（IPv6地址）中，返回合成的AAAA记录用户给IPv6侧用户。NAT64解决了NAT-PT中的大部分缺陷，同时配合DNS64的协同工作，而不需要在IPv6客户端或IPv4服务器端做任何修改。NAT64 基本场景如图2 所示3。图2 NAT-64基本场景图2 中，NAT64是部署在IPv6网络和IPv4网络之间的双栈路由器，负责IPv6数据包与IPv4数据包之间的翻译。因此，NAT64拥有至少一个IPv6前缀和一个IPv4公有地址池。NAT64收到终端发来的IPv6数据包后，翻译模块从IPv4公有地址池中选择一个IPv4地址及未使用的端口与源主机IPv6地址作映射，结果记录在BIB （binding information base）中，从而实现源地址翻译；目的地址的翻译则是直接去掉特定的IPv6前缀。接着，NAT64使用SIIT（stateless IP/ICMP translation）翻译算法将IPv6包头翻译为IPv4 包头，翻译后的IPv4 数据包便从NAT64的IPv4接口转发到外部IPv4网络中， 从而实现对IPv4服务的访问。IPv6 主机获得目的IPv4主机对应的IPv6地址需要借助于DNS64设备。DNS64是双栈的，当源主机进行AAAA查询时，它会向目的主机所在网络的DNS服务器发送AAAA/A 查询请求，如果DNS64收到的是A记录，那么它会通过添加特定IPv6 网络前缀的方法将其合成为AAAA记录，并返回给源主机。NAT64网关和DNS64 配置了相同的IPv6前缀。NAT64克服了NAT-PT的缺点，实现了DNS-ALG和翻译模块的解耦合， 只需改动网络侧，实现了IPv6终端对IPv4网络的访问。但它不能支持IPv4主机发起的到IPv6主机的通信。2、无状态的翻译技术IVI技术IVI是清华大学提出的基于特殊地址前缀的、无状态的IPv4/v6翻译技术。“IVI”去掉右边的“I”是罗马字母4，去掉左边的“I”是罗马字母6，即试图实现“IPV4和IPv6互访”的技术。它的主要思想是运营商保留一段IPv4地址（称为IVI4地址），将其惟一映射为一段特殊的IPv6地址（称为IVI6地址），可以实现这部分地址的无状态转换。获得IVI6地址的用户可以直接访问全球IPv6网络，通过IVI网关翻译器可将地址转换IVI4地址，可以和全球IPv4网络通信，实现IPv4和IPv6 的互访3。IVI功能主要有两个：一个是地址映射，即通过统一的规则实现IPv4地址与IPv6地址的一一映射，以进行地址的翻译；另一个是协议翻译，即根据标准规定，实现IPv4/ICMP协议和IPv6/ICMP协议各字段的对译，同时更新TCP/UDP协议的相关字段，完成完整数据包翻译操作4。IVI 技术的基本工作场景如图3 所示。图3 IVI基本工作场景图中，IVI 网关与两侧的R1、R2 路由器通过IGP/BGP 实现路由可达， 同时IVI 与R1 之间为IPv6路由，IVI 与R2 之间为IPv4 路由，并不增加全球IPv4/IPv6路由表的规模。在IPv6网络中，每个IVI Server都要部署一个相应的IVI DNS64。IVI DNS64用于IPv4和IPv6之间的IVI地址解析。所有从IPv6主机发起的向IPv4服务器或主机的访问首先从IVI DNS64获得一个对应的IVI IPv6地址，该段地址的路由指向其对应的IVI网关，IPv6数据包统一经过网关，源地址和目的地址均转换为IVI IPv4地址，再转发到IPv4网络中。IVI 通过内嵌IPv4地址的方法实现到IPv6地址的映射，地址格式特殊，映射格式如图4所示。图4 IVI地址映射格式0-31：属于某ISP的前缀，32-39：0XFF IVI标识，40-71：为IPv4公网地址假设地址如下：LIR=2001:250:ff00: /40该ISP的IVI服务的客户IPv4地址映射：202.38.108.0/24 2001:250: ffca: 266c:/64该ISP的非IVI服务的客户IPv4地址映射：202.38.96.0/20 2001:250:ffca:2660:/60其他ISP的IVI服务的客户IPv4地址映射：0.0.0.0 2001:250:ff00:/4018.181.0.31/32 2001:250:ff12:b500:1f00:/72IVI支持IPv6主机发起的通信，也支持从IPv4主机发起的通信。以IVI6主机访问全球IPv4主机为例分析其过程，如下图5所示5：图5 IVI交互示例：IPv6端发起的与IVI IPv4 server的连接 由于IVI6地址格式特殊，无法使用无状态IPv6地址自动配置机制， 因此IPv6主机通过静态配置或DHCPv6选项得到IVI6地址、默认网关及DNS服务器地址信息； IPv6主机向IVI DNS进行AAAA查询，IVI DNS是双栈设备，它存放了IVI主机的IVI4地址和对应的IVI6 地址，当它收到AAAA查询请求后，先向目标网络发送AAAA查询请求，如果AAAA记录不存在，再发送A查询请求，并将得到的A记录按照IVI 映射的规则将其转换为AAAA记录，并返回给源IVI6主机； 该IPv6主机发送数据包，当到达IVI网关后，数据包被IVI翻译器无状态地转换为IPv4数据包。其中，地址翻译是根据IVI6地址格式取出嵌入其中的IPv4 地址，包头的翻译是根据SIIT算法。翻译后的IPv4数据包路由到IPv4网络中，实现IPv6主机对IPv4主机的访问。IVI网关不需要通过DNS来查找IPv4、IPv6的对应关系，而是能够通过一对一的映射直接找到对应的地址，大大减轻网关设备的负担和效率。同时，它也支持端到端地址透明性，可以进行增量化部署。IVI技术进行一对一地址映射，因此会占用大量的IPv4地址。在该技术的基础上，清华大学又提出了Double IVI技术，支持1N有状态地址转换，可以实现IPv4地址的复用和普通IPv6主机对IPv4 主机的单向访问。在翻译技术中，IVI翻译技术目前而言最具部署前景。与NAT64等翻译技术一样，IVI提供了IPv4与IPv6不同协议族之间的通信。在数据转发层面，IVI机制与NAT64，SIIT机制也较为类似，都需要面对应用层网关解析净荷地址语义问题。但与其他翻译技术相比，IVI具有自己的特点，如表1 所示。 地址映射方面IVI地址映射保持了通信的无状态且地址利用率高。IVI定义了特殊的地址格式( ISPPrefix: FF:IPv4ADDR: : )，从IPv6地址中取出一段与IPv4地址进行映射。而NAT64等技术进行地址映射时，由于NAT的使用，需要维护大量的NAT 表项。这对状态同步以及可扩展性会有不良影响。 路由控制方面与NAT64等翻译技术仅支持单向发起通信不同，IVI技术支持双向发起通信。这是由IVI地址映射以及路由机制决定的：对于IPv4网络发起通信的情况，配置了下一跳指向IVI翻译装置的IPv4路由器向IPv4网络宣告地址前缀a。其中，a为参与IVI地址映射的IPv4地址块前缀。而翻译装置与目的IPv6主机之间通过IPv6网络路由进行通信；而对于IPv6网络发起通信的情况，配置了下一跳指向IVI翻译装置的IPv6路由器向ISP的IPv6网络宣告ISPprefix: FF: : /40 前缀，使需要经过翻译到达IPv4网络的IPv6 流量到达IVI 翻译装置。翻译装置与目的主机之间通过IPv4网络中的路由进行通信。这种路由机制下，IVI的双向通信是有条件的：ISP接入网支持IPv6。如果ISP 网络为IPv4网络，由于发起通信时，翻译装置无法获取对端ISP prefix合成IVI的IPv6地址，因而不能完成通信需求。参考文献1 林子杰. IPv4/IPv6过渡技术及方案浅谈. 海南省通信学会学术年会论文集.2007,151