IPv過(guò)渡技術(shù)—翻譯技術(shù)

1、一、翻譯技術(shù)IPv4/IPv6翻譯技術(shù)能夠成功實(shí)現(xiàn)IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)之間互訪(fǎng)問(wèn)題。翻譯技術(shù)可以分為無(wú)狀態(tài)翻譯技術(shù)（stateless translation）和有狀態(tài)翻譯技術(shù)（stateful translation）兩種，其中有狀態(tài)地址翻譯通過(guò)存儲(chǔ)相應(yīng)的地址、端口狀態(tài)映射表來(lái)實(shí)現(xiàn)IPv4地址的復(fù)用，在這種方式中，狀態(tài)表是基于連接（session）而建立的，因而狀態(tài)表非常龐大，且動(dòng)態(tài)性顯著。而在無(wú)狀態(tài)地址翻譯中，IPV4地址和端口范圍直接內(nèi)嵌到IPV6地址中，這樣就不需要有狀態(tài)表來(lái)維護(hù)地址、端口的對(duì)應(yīng)關(guān)系，但這種無(wú)狀態(tài)的方式中IPv6地址格式受限，不能夠支持靈活的IPv6地址分配。1、

2、有狀態(tài)的翻譯技術(shù)（1）NAT-PT技術(shù)為了實(shí)現(xiàn)IPv6與IPv4的互訪(fǎng)，IETF（互聯(lián)網(wǎng)工程任務(wù)組）在早期設(shè)計(jì)了NAT-PT（Network Address Translation-Protocol Translation）的解決方案（RFC2766）。NAT-PT是一種有狀態(tài)的4-6報(bào)文翻譯，它通過(guò)IPv6與IPv4的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換，實(shí)現(xiàn)了IPv6網(wǎng)絡(luò)與IPv4網(wǎng)絡(luò)的雙向互訪(fǎng)。協(xié)議轉(zhuǎn)換的目的是實(shí)現(xiàn)IPv4和IPv6協(xié)議頭之間的轉(zhuǎn)換；地址轉(zhuǎn)換則是為了讓IPv6和IPv4網(wǎng)絡(luò)中的主機(jī)能夠識(shí)別對(duì)方。NAT-PT可以實(shí)現(xiàn)純IPv6節(jié)點(diǎn)和純IPv4節(jié)點(diǎn)之間通信，如圖1所示。NAT-PT使用網(wǎng)關(guān)設(shè)備

3、連接IPV6和IPv4網(wǎng)絡(luò)。當(dāng)IPv4和IPv6節(jié)點(diǎn)互相訪(fǎng)問(wèn)時(shí)，NAT-PT網(wǎng)關(guān)實(shí)現(xiàn)兩種協(xié)議的轉(zhuǎn)換翻譯和地址的映射。NAT-PT網(wǎng)關(guān)在工作時(shí), 將維護(hù)一個(gè)IPv4地址池。與系統(tǒng)NAT方式一樣，NAT-PT網(wǎng)關(guān)支持為IPv6網(wǎng)絡(luò)中的節(jié)點(diǎn)動(dòng)態(tài)分配IPv4 地址, 維護(hù)地址映射關(guān)系, 并且完成IPV4協(xié)議和IPV6協(xié)議的轉(zhuǎn)換1。圖1 NAT-64基本場(chǎng)景但NAT-PT在實(shí)際網(wǎng)絡(luò)應(yīng)用中面臨各種缺陷，IETF推薦不再使用，在RFC4966中被置為“historic”狀態(tài)2，理由如下： 拓?fù)湎拗坪蛿U(kuò)展性問(wèn)題； 記錄優(yōu)選問(wèn)題：IPv6 Host在和雙棧主機(jī)通信時(shí)，DNS會(huì)同時(shí)返回兩個(gè)記錄，一個(gè)IPv6記錄，

4、一個(gè)是由IPv4記錄被DNS-ALG轉(zhuǎn)換后的IPv6記錄，IPv6 Host選的可能不是最優(yōu)的； 繼承NAT的相關(guān)問(wèn)題：復(fù)雜的ALG（Application Level Gateway，應(yīng)用層網(wǎng)關(guān)）、分片報(bào)文轉(zhuǎn)換復(fù)雜。（2）NAT-64技術(shù)為了解決NAT-PT中的各種缺陷，同時(shí)實(shí)現(xiàn)IPv6與IPv4之間的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，IETF重新設(shè)計(jì)一項(xiàng)新的解決方案： NAT64與DNS64技術(shù)。NAT64是一種有狀態(tài)的網(wǎng)絡(luò)地址與協(xié)議轉(zhuǎn)換技術(shù)，一般只支持通過(guò)IPv6網(wǎng)絡(luò)側(cè)用戶(hù)發(fā)起連接訪(fǎng)問(wèn)IPv4側(cè)網(wǎng)絡(luò)資源。但NAT64也支持通過(guò)手工配置靜態(tài)映射關(guān)系，實(shí)現(xiàn)IPv4網(wǎng)絡(luò)主動(dòng)發(fā)起連接訪(fǎng)問(wèn)IPv6網(wǎng)絡(luò)。它主

5、要解決在IPv6 接入網(wǎng)環(huán)境下，IPv6-only 終端可以訪(fǎng)問(wèn)IPv4-only 業(yè)務(wù)。DNS64則主要是配合NAT64工作，將DNS查詢(xún)信息中的A記錄（IPv4地址）合成到AAAA記錄（IPv6地址）中，返回合成的AAAA記錄用戶(hù)給IPv6側(cè)用戶(hù)。NAT64解決了NAT-PT中的大部分缺陷，同時(shí)配合DNS64的協(xié)同工作，而不需要在IPv6客戶(hù)端或IPv4服務(wù)器端做任何修改。NAT64 基本場(chǎng)景如圖2 所示3。圖2 NAT-64基本場(chǎng)景圖2 中，NAT64是部署在IPv6網(wǎng)絡(luò)和IPv4網(wǎng)絡(luò)之間的雙棧路由器，負(fù)責(zé)IPv6數(shù)據(jù)包與IPv4數(shù)據(jù)包之間的翻譯。因此，NAT64擁有至少一個(gè)IPv6前綴

6、和一個(gè)IPv4公有地址池。NAT64收到終端發(fā)來(lái)的IPv6數(shù)據(jù)包后，翻譯模塊從IPv4公有地址池中選擇一個(gè)IPv4地址及未使用的端口與源主機(jī)IPv6地址作映射，結(jié)果記錄在BIB （binding information base）中，從而實(shí)現(xiàn)源地址翻譯；目的地址的翻譯則是直接去掉特定的IPv6前綴。接著，NAT64使用SIIT（stateless IP/ICMP translation）翻譯算法將IPv6包頭翻譯為IPv4 包頭，翻譯后的IPv4 數(shù)據(jù)包便從NAT64的IPv4接口轉(zhuǎn)發(fā)到外部IPv4網(wǎng)絡(luò)中， 從而實(shí)現(xiàn)對(duì)IPv4服務(wù)的訪(fǎng)問(wèn)。IPv6 主機(jī)獲得目的IPv4主機(jī)對(duì)應(yīng)的IPv6地址需要

7、借助于DNS64設(shè)備。DNS64是雙棧的，當(dāng)源主機(jī)進(jìn)行AAAA查詢(xún)時(shí)，它會(huì)向目的主機(jī)所在網(wǎng)絡(luò)的DNS服務(wù)器發(fā)送AAAA/A 查詢(xún)請(qǐng)求，如果DNS64收到的是A記錄，那么它會(huì)通過(guò)添加特定IPv6 網(wǎng)絡(luò)前綴的方法將其合成為AAAA記錄，并返回給源主機(jī)。NAT64網(wǎng)關(guān)和DNS64 配置了相同的IPv6前綴。NAT64克服了NAT-PT的缺點(diǎn)，實(shí)現(xiàn)了DNS-ALG和翻譯模塊的解耦合， 只需改動(dòng)網(wǎng)絡(luò)側(cè)，實(shí)現(xiàn)了IPv6終端對(duì)IPv4網(wǎng)絡(luò)的訪(fǎng)問(wèn)。但它不能支持IPv4主機(jī)發(fā)起的到IPv6主機(jī)的通信。2、無(wú)狀態(tài)的翻譯技術(shù)IVI技術(shù)IVI是清華大學(xué)提出的基于特殊地址前綴的、無(wú)狀態(tài)的IPv4/v6翻譯技術(shù)。“IVI

8、”去掉右邊的“I”是羅馬字母4，去掉左邊的“I”是羅馬字母6，即試圖實(shí)現(xiàn)“IPV4和IPv6互訪(fǎng)”的技術(shù)。它的主要思想是運(yùn)營(yíng)商保留一段IPv4地址（稱(chēng)為IVI4地址），將其惟一映射為一段特殊的IPv6地址（稱(chēng)為IVI6地址），可以實(shí)現(xiàn)這部分地址的無(wú)狀態(tài)轉(zhuǎn)換。獲得IVI6地址的用戶(hù)可以直接訪(fǎng)問(wèn)全球IPv6網(wǎng)絡(luò)，通過(guò)IVI網(wǎng)關(guān)翻譯器可將地址轉(zhuǎn)換IVI4地址，可以和全球IPv4網(wǎng)絡(luò)通信，實(shí)現(xiàn)IPv4和IPv6 的互訪(fǎng)3。IVI功能主要有兩個(gè)：一個(gè)是地址映射，即通過(guò)統(tǒng)一的規(guī)則實(shí)現(xiàn)IPv4地址與IPv6地址的一一映射，以進(jìn)行地址的翻譯；另一個(gè)是協(xié)議翻譯，即根據(jù)標(biāo)準(zhǔn)規(guī)定，實(shí)現(xiàn)IPv4/ICMP協(xié)議和IPv

9、6/ICMP協(xié)議各字段的對(duì)譯，同時(shí)更新TCP/UDP協(xié)議的相關(guān)字段，完成完整數(shù)據(jù)包翻譯操作4。IVI 技術(shù)的基本工作場(chǎng)景如圖3 所示。圖3 IVI基本工作場(chǎng)景圖中，IVI 網(wǎng)關(guān)與兩側(cè)的R1、R2 路由器通過(guò)IGP/BGP 實(shí)現(xiàn)路由可達(dá)， 同時(shí)IVI 與R1 之間為IPv6路由，IVI 與R2 之間為IPv4 路由，并不增加全球IPv4/IPv6路由表的規(guī)模。在IPv6網(wǎng)絡(luò)中，每個(gè)IVI Server都要部署一個(gè)相應(yīng)的IVI DNS64。IVI DNS64用于IPv4和IPv6之間的IVI地址解析。所有從IPv6主機(jī)發(fā)起的向IPv4服務(wù)器或主機(jī)的訪(fǎng)問(wèn)首先從IVI DNS64獲得一個(gè)對(duì)應(yīng)的IVI

10、IPv6地址，該段地址的路由指向其對(duì)應(yīng)的IVI網(wǎng)關(guān)，IPv6數(shù)據(jù)包統(tǒng)一經(jīng)過(guò)網(wǎng)關(guān)，源地址和目的地址均轉(zhuǎn)換為IVI IPv4地址，再轉(zhuǎn)發(fā)到IPv4網(wǎng)絡(luò)中。IVI 通過(guò)內(nèi)嵌IPv4地址的方法實(shí)現(xiàn)到IPv6地址的映射，地址格式特殊，映射格式如圖4所示。圖4 IVI地址映射格式0-31：屬于某ISP的前綴，32-39：0XFF IVI標(biāo)識(shí)，40-71：為IPv4公網(wǎng)地址假設(shè)地址如下：LIR=2001:250:ff00: /40該ISP的IVI服務(wù)的客戶(hù)IPv4地址映射：202.38.108.0/24 > 2001:250: ffca: 266c:/64該ISP的非IVI服務(wù)的客戶(hù)IPv4地址映射：

11、202.38.96.0/20 > 2001:250:ffca:2660:/60其他ISP的IVI服務(wù)的客戶(hù)IPv4地址映射：0.0.0.0 > 2001:250:ff00:/4018.181.0.31/32 > 2001:250:ff12:b500:1f00:/72IVI支持IPv6主機(jī)發(fā)起的通信，也支持從IPv4主機(jī)發(fā)起的通信。以IVI6主機(jī)訪(fǎng)問(wèn)全球IPv4主機(jī)為例分析其過(guò)程，如下圖5所示5：圖5 IVI交互示例：IPv6端發(fā)起的與IVI IPv4 server的連接 由于IVI6地址格式特殊，無(wú)法使用無(wú)狀態(tài)IPv6地址自動(dòng)配置機(jī)制， 因此IPv6主機(jī)通過(guò)靜態(tài)配置或DHCP

12、v6選項(xiàng)得到IVI6地址、默認(rèn)網(wǎng)關(guān)及DNS服務(wù)器地址信息； IPv6主機(jī)向IVI DNS進(jìn)行AAAA查詢(xún)，IVI DNS是雙棧設(shè)備，它存放了IVI主機(jī)的IVI4地址和對(duì)應(yīng)的IVI6 地址，當(dāng)它收到AAAA查詢(xún)請(qǐng)求后，先向目標(biāo)網(wǎng)絡(luò)發(fā)送AAAA查詢(xún)請(qǐng)求，如果AAAA記錄不存在，再發(fā)送A查詢(xún)請(qǐng)求，并將得到的A記錄按照IVI 映射的規(guī)則將其轉(zhuǎn)換為AAAA記錄，并返回給源IVI6主機(jī)； 該IPv6主機(jī)發(fā)送數(shù)據(jù)包，當(dāng)?shù)竭_(dá)IVI網(wǎng)關(guān)后，數(shù)據(jù)包被IVI翻譯器無(wú)狀態(tài)地轉(zhuǎn)換為IPv4數(shù)據(jù)包。其中，地址翻譯是根據(jù)IVI6地址格式取出嵌入其中的IPv4 地址，包頭的翻譯是根據(jù)SIIT算法。翻譯后的IPv4數(shù)據(jù)包路由到

13、IPv4網(wǎng)絡(luò)中，實(shí)現(xiàn)IPv6主機(jī)對(duì)IPv4主機(jī)的訪(fǎng)問(wèn)。IVI網(wǎng)關(guān)不需要通過(guò)DNS來(lái)查找IPv4、IPv6的對(duì)應(yīng)關(guān)系，而是能夠通過(guò)一對(duì)一的映射直接找到對(duì)應(yīng)的地址，大大減輕網(wǎng)關(guān)設(shè)備的負(fù)擔(dān)和效率。同時(shí)，它也支持端到端地址透明性，可以進(jìn)行增量化部署。IVI技術(shù)進(jìn)行一對(duì)一地址映射，因此會(huì)占用大量的IPv4地址。在該技術(shù)的基礎(chǔ)上，清華大學(xué)又提出了Double IVI技術(shù)，支持1N有狀態(tài)地址轉(zhuǎn)換，可以實(shí)現(xiàn)IPv4地址的復(fù)用和普通IPv6主機(jī)對(duì)IPv4 主機(jī)的單向訪(fǎng)問(wèn)。在翻譯技術(shù)中，IVI翻譯技術(shù)目前而言最具部署前景。與NAT64等翻譯技術(shù)一樣，IVI提供了IPv4與IPv6不同協(xié)議族之間的通信。在數(shù)據(jù)轉(zhuǎn)發(fā)層

14、面，IVI機(jī)制與NAT64，SIIT機(jī)制也較為類(lèi)似，都需要面對(duì)應(yīng)用層網(wǎng)關(guān)解析凈荷地址語(yǔ)義問(wèn)題。但與其他翻譯技術(shù)相比，IVI具有自己的特點(diǎn)，如表1 所示。 地址映射方面IVI地址映射保持了通信的無(wú)狀態(tài)且地址利用率高。IVI定義了特殊的地址格式( ISPPrefix: FF:IPv4ADDR: : )，從IPv6地址中取出一段與IPv4地址進(jìn)行映射。而NAT64等技術(shù)進(jìn)行地址映射時(shí)，由于NAT的使用，需要維護(hù)大量的NAT 表項(xiàng)。這對(duì)狀態(tài)同步以及可擴(kuò)展性會(huì)有不良影響。 路由控制方面與NAT64等翻譯技術(shù)僅支持單向發(fā)起通信不同，IVI技術(shù)支持雙向發(fā)起通信。這是由IVI地址映射以及路由機(jī)制決定的：對(duì)于I

15、Pv4網(wǎng)絡(luò)發(fā)起通信的情況，配置了下一跳指向IVI翻譯裝置的IPv4路由器向IPv4網(wǎng)絡(luò)宣告地址前綴a。其中，a為參與IVI地址映射的IPv4地址塊前綴。而翻譯裝置與目的IPv6主機(jī)之間通過(guò)IPv6網(wǎng)絡(luò)路由進(jìn)行通信；而對(duì)于IPv6網(wǎng)絡(luò)發(fā)起通信的情況，配置了下一跳指向IVI翻譯裝置的IPv6路由器向ISP的IPv6網(wǎng)絡(luò)宣告ISPprefix: FF: : /40 前綴，使需要經(jīng)過(guò)翻譯到達(dá)IPv4網(wǎng)絡(luò)的IPv6 流量到達(dá)IVI 翻譯裝置。翻譯裝置與目的主機(jī)之間通過(guò)IPv4網(wǎng)絡(luò)中的路由進(jìn)行通信。這種路由機(jī)制下，IVI的雙向通信是有條件的：ISP接入網(wǎng)支持IPv6。如果ISP 網(wǎng)絡(luò)為IPv4網(wǎng)絡(luò)，由于發(fā)起通信時(shí)，翻譯裝置無(wú)法獲取對(duì)端ISP prefix合成IVI的IPv6地址，因而不能完成通信需求。參考文獻(xiàn)1 林子杰. IPv4/IPv6過(guò)渡技術(shù)及方案淺談. 海南省通信學(xué)會(huì)學(xué)術(shù)年會(huì)論文集.2007,15