面向NAT用戶(hù)的IPV6過(guò)渡機(jī)制研究

1、面向 NT 用戶(hù)的 IPV6 過(guò)渡機(jī)制研究XX:TP393XX:XX:1009-3044(20XX)27-7653-02IPv6 取代 IPv4 已成為必定,XX 絡(luò)界的研究熱點(diǎn)是怎樣由IPv4 向 IPv6 的成功平滑過(guò)渡。 在現(xiàn)階段 , 解決過(guò)渡問(wèn)題的基本技術(shù)主要有三種 :IPv4/IPv6 協(xié)議轉(zhuǎn)換和雙協(xié)議棧及隧道技術(shù)。 其中 遂道技術(shù)是一種重要的過(guò)渡技術(shù),絕大多數(shù)隧道基于 IPv6-In-IPv4 封裝方式,就是將IPv6 分組封裝在 IPv4 分組中,利用已有的 IPv4 路由體系進(jìn)行傳輸,解決被IPv4XX 絡(luò)分離的兩個(gè)IPv6XX 絡(luò)或節(jié)點(diǎn)之間通信的問(wèn)題。 但 IPv6-In-I

2、Pv4 報(bào)文無(wú)法通過(guò) IPv4XX 絡(luò)中大量存在的 NT 設(shè)備 , 因此這類(lèi)隧道不能在有NT的環(huán)境中使用。但我國(guó)的現(xiàn)狀是8000 多萬(wàn)個(gè)上 XX 用戶(hù)只有3000 多萬(wàn)個(gè) IPv4 地址。除了采納動(dòng)態(tài)分配緩解地址緊張外,更多的則是采納 NT 技術(shù)來(lái)解決這個(gè)問(wèn)題。在 IPv4 向 IPv6 的過(guò) 渡時(shí)期 ,如何為這些 NT 用戶(hù)提供 IPv6 接入服務(wù),使得它們能和其他 IPv6 節(jié)點(diǎn)實(shí)現(xiàn)互通互訪(fǎng),是一個(gè)切實(shí)需要解決的問(wèn)題。幾種面向 NT 用戶(hù)的遂道技術(shù)分析國(guó)際上現(xiàn)有的隧道機(jī)制中微軟公司提出的 Teredo 協(xié)議和中科院計(jì)算所提出的 Silkrod 協(xié)議是專(zhuān)為 NT 用戶(hù)設(shè)計(jì)的過(guò)渡技術(shù)。它們都采

3、納 IPv6-in-UDP 隧道 ,也就是將 IPv6 報(bào)文封裝在IPv4UDP 載荷中的方式實(shí)現(xiàn)NT 用戶(hù)和 IPv6XX 絡(luò)的互連。Teredo 的地址獵取過(guò)程Teredo 的客戶(hù)端產(chǎn)生一個(gè)IPv6 的路由請(qǐng)求報(bào)文,并將其封裝在 IPv4 的 UDP 數(shù)據(jù)包的凈荷里通過(guò)現(xiàn)有的 IPv4XX 絡(luò)發(fā)給Teredo 服務(wù)器 ,服務(wù)器收到這個(gè)路由請(qǐng)求后 ,向客戶(hù)端返回一個(gè)包含有一個(gè)IPv6 的地址前綴以及Teredo 客戶(hù)端經(jīng)過(guò)NT 設(shè)備映射后的公有IPv4 地址和端口號(hào)的路由信息 ,根據(jù)這個(gè)返回的路由宣告消息客戶(hù)端生成一個(gè)結(jié)構(gòu)如圖 1 的 IPv6 地址。然后 ,Teredo 客戶(hù)端會(huì)定期地發(fā)送

4、單一的氣泡數(shù)據(jù)包 （ 由 IPv6 報(bào)頭組成 ,并且不包含IPv6 有效載荷,為維持或建立一個(gè)NT 映射而發(fā)送 ） 到 Teredo 服務(wù)器。 Teredo 服務(wù)器會(huì)在不回復(fù)的情況下丟棄該數(shù)據(jù)包。這個(gè)周期性的數(shù)據(jù)包會(huì)重新刷新NT 的轉(zhuǎn)換表。來(lái)維持這種映射關(guān)系。Teredo 的局限性在 Teredo 機(jī)制中同一鏈路上客戶(hù)端之間的通信是不受限的其它類(lèi)型的通信則依賴(lài)于客戶(hù)端的所屬的 NT 類(lèi)型。 而對(duì)于對(duì)稱(chēng)NT 類(lèi)型 ,則根據(jù)數(shù)據(jù)包中的目的地址來(lái)轉(zhuǎn)換它的私有地址及端口 ,如果目的地址不同,那么經(jīng)過(guò)轉(zhuǎn)換后的外部地址和外部端口也會(huì)不同。這樣隧道另一端IPv4 地址的變化就會(huì)引起NT 用戶(hù)本身隧道參數(shù)的變

5、化。但Teredo 協(xié)議一個(gè)隱含的假定是用戶(hù)配置了 IPv6 地址后,內(nèi)嵌其中的隧道參數(shù)是不會(huì)發(fā)生變化的。顯然如果存在對(duì)稱(chēng)類(lèi)型NT 的情況 ,從用戶(hù) IPv6 地址中獲得的隧道參數(shù)則是不正確的,這就導(dǎo)致了Teredo 服務(wù)對(duì)對(duì)稱(chēng)NT 用戶(hù)的不適用。Teredo 的實(shí)現(xiàn)相對(duì)比較復(fù)雜,與現(xiàn)有的XX 絡(luò)結(jié)構(gòu)很難兼容。因?yàn)椴粌H需要增設(shè)Teredo 服務(wù)器來(lái)協(xié)助 Teredo 客戶(hù)端建立連接 ,而且還要求Teredo 客戶(hù)端所要訪(fǎng)問(wèn)的一般IPv6 站點(diǎn)附近的路由器有Teredo 中繼功能 , 即該路由器不但要能識(shí)別Teredo 格式的特別 IPv6 地址,還要向所在XX 絡(luò)廣播 Teredo格式的地址的

6、可達(dá)性,并能和Teredo 服務(wù)器共同完成穿透NT的功能。這必定需要對(duì)所有的 IPv6 XX 絡(luò)入口處的路由器進(jìn)行升級(jí)。Silkrod 遂道技術(shù) 4Silkrod 協(xié)議是由中科院計(jì)算所提出的,能支持所有類(lèi)型的NT 用戶(hù)與 IPv6 XX 絡(luò)進(jìn)行互連,能為用戶(hù)分配固定不變的IPv6地址 ,而 具 有 更高 的 安 全 性 。 雖 然 Silkrod 隧 道也 采納 IPv6-In-UDP 隧道的方式實(shí)現(xiàn)NT 用戶(hù)與IPv6XX 絡(luò)互聯(lián)的。 但不同的是它為NT 用戶(hù)分配的 IPv6 地址沒(méi)有采納固定格式的前綴 ,而且地址中也沒(méi)有嵌入 NT 映射地址或映射端口等信息。Silkrod 協(xié)議的體系結(jié)構(gòu)如

7、圖 2 。Silkrod 體系簡(jiǎn)介初始化過(guò)程中,客戶(hù)端向?qū)Ш狡靼l(fā)送一個(gè)接入請(qǐng)求報(bào)文, 由導(dǎo)航器為其選擇一個(gè)路由距離最近的隧道服務(wù)器, 將服務(wù)器的IPv4 地址返回給客戶(hù)端?？蛻?hù)端然后向指定的隧道服務(wù)器發(fā)送一個(gè)地址請(qǐng)求報(bào)文 ,報(bào)文內(nèi)容為身份認(rèn)證信息以及創(chuàng)建IPv6 地址所需要的接口標(biāo)識(shí)符,當(dāng)服務(wù)器收到請(qǐng)求報(bào)文后對(duì)客戶(hù)端的身份進(jìn)行認(rèn)證,通過(guò)認(rèn)證后便為其構(gòu)造一個(gè)IPv6 地址 ,接著在映射表中添加該地址和隧道參數(shù)之間的映射關(guān)系,然后將地址和更新過(guò)的身份認(rèn)證信息作為響應(yīng)報(bào)文的內(nèi)容再返回給客戶(hù)端。 客戶(hù)端再對(duì)服務(wù)器的身份進(jìn)行認(rèn)證,當(dāng)通過(guò)認(rèn)證后配置IPv6 地址,并建立另一端為服務(wù)器的 IPv6-In-U

8、DP 隧道。 在此之后,客戶(hù)端就可以通過(guò)該隧道和 IPv6 XX 絡(luò)上的其他節(jié)點(diǎn)進(jìn)行端到端的通信 ,服務(wù)器在數(shù)據(jù)轉(zhuǎn)發(fā)過(guò)程中要檢查數(shù)據(jù)包的合法性:一個(gè)是以目的 IPv6 地址為入口查找映射表,如果沒(méi)有這個(gè)入口,表明數(shù)據(jù)包是一個(gè)非法數(shù)據(jù)包,作丟棄處理;另一個(gè)是檢查從IPv4 接口收到的數(shù)據(jù)包,以源IPv6 地址為入口查找映射表,如果沒(méi)有這個(gè)入口或者這個(gè)入口對(duì)應(yīng)的隧道參數(shù)和數(shù)據(jù)包的源IPv4 地址、 源 UDP端口不一致,則表明數(shù)據(jù)包為非法數(shù)據(jù)包,也作丟棄處理。 在只有源或目的是合法用戶(hù)的情況下,數(shù)據(jù)包才能通過(guò)上述檢查,從而大大增強(qiáng)了 XX 絡(luò)的安全性。服務(wù)器在運(yùn)行過(guò)程中 ,會(huì)周期性地向?qū)Ш狡鲌?bào)告負(fù)

9、載信息如CPU 利用率、帶寬利用率、用戶(hù)數(shù)目等。對(duì)這些信息進(jìn)行統(tǒng)計(jì)和分析則有導(dǎo)航器負(fù)責(zé),以便系統(tǒng)治理員能動(dòng)態(tài)掌握服務(wù)器的運(yùn)行狀況,在客戶(hù)端建立遂道之前給予指導(dǎo)。Silkrod 地址構(gòu)造客戶(hù)端的 IPv6 地址是由 64 位的地址前綴和 64 位的接口標(biāo)識(shí)符組合構(gòu)成,地址前綴由隧道服務(wù)器確定,因?yàn)樗淼婪?wù)器在部署的時(shí)候都會(huì)分配一個(gè)全球唯一的 64 位地址前綴用于構(gòu)造客戶(hù)端 IPv6 地址 ,所以客戶(hù)端只要確定了選擇接入的隧道服務(wù)器 ,64 位的地址前綴也隨之確定而不再發(fā)生變化 ,IEEE 定義了 64 位的 Eui-64 編碼,用來(lái)表示XX 絡(luò)適配器的地址,如圖 3 所示。參考 Pppv6 生成

10、接口標(biāo)識(shí)符的方法,如果客戶(hù)端有EUI-64地址,哪么只要將它的“U ”位取反 ,就可以得到接口標(biāo)識(shí)符 ;如果有 Eui-48 地址哪么在其中間添加值為“ 0 xfffe ”的 16 位比特 , 成為一個(gè)EUI-64地址后 ,再將 “ U ” 位取反便可得到接口標(biāo)識(shí)符;如果沒(méi)有EUI-48或EUI-64地址 ,就將機(jī)器序列號(hào)等數(shù)值轉(zhuǎn)換成64 位編碼。采納這種方式生成的接口標(biāo)識(shí)符不僅具有固定性,而且具有唯一性,從而保證了 IPv6 地址的唯一性。 雖然客戶(hù)端可以獲得一個(gè)固定不變的 IPv6 地址 ,但必須在有一個(gè)IPv6 的域名的前提下,客戶(hù)端才可以被其它節(jié)點(diǎn)主動(dòng)的去訪(fǎng)問(wèn)。隧道維護(hù)和狀態(tài)信息治理當(dāng)

11、客戶(hù)端完成初始化過(guò)程后會(huì)以一定的時(shí)間間隔周期性的向隧道服務(wù)器發(fā)送IPv6-In-UDP 報(bào)文 ,一般發(fā)送默認(rèn)周期為 30s對(duì)于狀態(tài)信息的治理服務(wù)器通常采納客戶(hù)端顯式通知的方式 ,盡 可能多地刪除那些不再使用的信息 ,從而降低因維護(hù)信息對(duì)系統(tǒng) 資源的消耗。 例如如果客戶(hù)端在下線(xiàn)之前向服務(wù)器發(fā)送一個(gè)中斷 連接請(qǐng)求,哪么服務(wù)器收到請(qǐng)求后便會(huì)刪除對(duì)應(yīng)的映射關(guān)系。但這種方式不能較好地處理客戶(hù)端異常下線(xiàn)的情況。 對(duì)于異常下 線(xiàn)的情況Silkrod 則采納客戶(hù)端維護(hù)UDP 會(huì)話(huà)的過(guò)程來(lái)治理狀態(tài)信息。 服務(wù)器會(huì)為每個(gè)建立的映射關(guān)系設(shè)定一個(gè)計(jì)時(shí)器,一旦如果收到的收到來(lái)自客戶(hù)端的數(shù)據(jù)包就會(huì)刷新計(jì)時(shí)器重新計(jì)時(shí)。如果收到的是一個(gè)空數(shù)據(jù)包, 哪么服務(wù)器除了刷新計(jì)時(shí)器外將不作任何其他處理。如果計(jì)時(shí)器一旦超時(shí) ,服務(wù)器就認(rèn)為客戶(hù)端已經(jīng)下線(xiàn),便刪除對(duì)應(yīng)的映射關(guān)系。 采納這種方式可使隧道服務(wù)器上維護(hù)的都是處于活動(dòng)狀態(tài)的映射關(guān)系 ,使治理更加高效。Silkrod 的不足Silkrod 在解決 Teredo 問(wèn)題的同時(shí)也付出了一定的代價(jià)。它的不足之處在于兩個(gè)客戶(hù)端之間通信時(shí),從源客戶(hù)端發(fā)出的數(shù)據(jù)包必須先到達(dá)隧道服務(wù)器,再由隧道服務(wù)器轉(zhuǎn)發(fā)給目標(biāo)客戶(hù)端而相應(yīng)的返回的數(shù)據(jù)包也必須由隧道服務(wù)器的中轉(zhuǎn),才能到達(dá)源客戶(hù)端。 所