（计算机软件与理论专业论文）基于nat用户的ipv6隧道技术研究.pdf

南京邮电大学硕士研究生毕业论文 摘要 摘要 基于n a t 用户的隧道技术存在诸如不支持对称型n a t 用户，不提供端到端的i p v 6 双 向连接，安全机制不完善易受攻击。针对这些问题，在深入研究各种过渡技术的基础上， 通过改进s i l k r o a d 的地址映射关系表，从而解决对称型n a t 用户之间直接通信的问题。 介绍了i p v 4 与i p v 6 之间的差异；探讨了各种过渡技术的原理、应用条件与环境及各 自的局限性；深入研究基于n a t 用户的隧道技术t e r e d o 协议、s i l k r o a d 协议。在此基础上， 提出改进方案。该改进方案核心是针对对称型n a t 用户不能从服务器上获得对端隧道参 数，而其本质原因是因为通信目的p 的不同所映射的外部i p 亦不同。所以通过在地址映 射表中增加目的i p ，以记录不同的外部映射p ，并与客户端信息保持同步。从而实现对称 型n a t 用户之间的i p v 6 通信。为了验证改进方案，在3 g 综合平台中搭建了实验网络， 验证了对称型n a t 用户的通信过程，及通信过程中随着客户端的增加服务器的性能变化。 实验结果表明对称型n a t 用户可以直接通信，而随着客户端的增加服务器的负荷也随之加 重。 与原地址映射关系相比，改进后的映射关系由源i p v 6 地址，外部映射地址及目的i p v 6 地址组成，从而解决对称型n a t 用户可以获得对端隧道参数，实现对称型n a t 用户之间 直接通信。 关键词：隧道技术；对称型n a t 用户；t e r e d o 协议；s i l k r o a d 协议 南京邮电大学硕士研究生毕业论文 a b s t r a c t a b s t r a c t b a s eo nn a tw a sl e s sr e s e a r c h e dr e l a t i v e l ya th o m ea n da b r o a d ，a n di ss t i l li m p r o v e d s u c ha sf a i lo fs y m m e t r i cn a tu s e r s ，w i t h o u to ft w o w a ye n d t o - e n di p v 6c o n n e c t i v i t y s e r v i c e ，a n ds e c u r i t ym e c h a n i s m si m p e r f e c tv u l n e r a b l e t os o l v et h e s ep r o b l e m s ，i n d e p t hs t u d y o fav a r i e t yo ft r a n s i t i o n a lt e c h n o l o g i e s ，a c c o r d i n gt oi m p r o v i n gs i l k r o a da d d r e s sm a p p i n gt a b l e ， s oa st os o l v et h ep r o b l e mt h a ts y m m e t r i cn a th o s td i r e c tc o m m u n i c a t i o ne a c ho t h e r t oi n t r o d u c et h ed i f f e r e n c eb e t w e e ni p v 4a n di p v 6 ；t oe x p l o r eav a r i e t yo ft r a n s i t i o n a l t e c h n o l o g i e st h e o r y ，a p p l i c a t i o nc o n d i t i o n sa n dt h ee n v i r o n m e n ta n dt h e i ro w nl i m i t a t i o n s ； i n - d e p t hs t u d yo ft e r e d op r o t o c o la n ds i l k r o a dp r o t o c o lb a s e do nt h en a tt t m n e l i n gt e c h n o l o g y o nt h i sb a s i s ，p r o p o s e dt oi m p r o v em e t h o d a i m i n ga tt h es y m m e t r i cn a th o s t sc a nn o to b t a i n f r o mt h es e r v e r - s i d et u n n e lp a r a m e t e r s ，w h i c hr o o tr e a s o n sa r et h em a p i n gd i f f e r e n ti p 、) r i m d i f f e r e n td e s t i n a t i o n s oa c c o r d i n gt oa d d i n gt h ed e s t i n a t i o n si pi nt h ea d d r e s sm a p p i n gt a b l e ， t h es e r v e rr e c o r dd i f f e r e n te x t e r n a l m a p p i n gi p ，a n d c l i e n ti n f o r m a t i o nt om a i n t a i n s y n c h r o n i z a t i o n s ot h a ts y m m e t r i cn a t f o ri p v 6c o m m u n i c a t i o nc a l lc o m m u n i c a t e d i no r d e rt o v e r i f yt h a tt h ei m p r o v e dm o t h e d ，i na ni n t e g r a t e dp l a t f o r mt ob u i l d 。3 ge x p e r i m e n t a ln e t w o r k ，t o v e r i f yt h es y m m e t r i cn a t t h eu s e r sc o m m u n i c a t i o np r o c e s s t h ee x p e r i m e n t a lr e s u l t ss h o wt h a t s y m m e t r i cn a th o s t sc a nc o m m u n i c a t ed i r e c t l y ，w h i l es e r v e rp l a y l o a da l s oi n c r e a s e 、) l ，i 缸1t h e c o u n to fc l i e n t s b yi m p r o v e dt h ea d d r e s sm a p p i n gr e l a t i o n s h i po ns e r v e rt h a tt h ed e s t i n a t i o ni pi n s e r ti n t o t h ea d d r e s sm a p p i n gt a b l e s oa st os o l v et h es y m m e t r i cn a tu s e r sc a nt u n n e lt ot h ec l i e n t p a r a m e t e r s ，u s e r sa c h i e v es y m m e t r i cn a t d i r e c tc o m m u n i c a t i o ne a c ho t h e r k e yw o r d s ：t u n n e lt e c h n o l o g y ；s y m m e t r i cn a t ；t e r e d op r o t o c o l ；s i l k r o a dp r o t o c o l i i 南京邮电大学学位论文独创性声明 本人声明所呈交的学位论文是我个人在导师指导下进行的研究工 作及取得的研究成果。尽我所知，除了文中特别加以标注和致谢的 地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包括为获得南京邮电大学或其他教育机构的学位或证书而使用过的 材料。与我一同工作的同学对本研究所作的任何贡献均己在论文中 作了明确的说明并表示了谢意。 南京邮电大学学位论文使用授权声明 名落1 硝 0 7 fo 南京邮电大学、中国科学技术信息研究所、国家图书馆有权保留本 人所送交学位论文的复印件和电子文档，可以采用影印、缩印、或 其他复制手段保存论文。本人电子文档的内容和纸制论文的内容相 一致。除在保密期内的保密论文外，允许论文被查阅和借阅，可以 公布( 包括刊登) 论文的全部或部分内容。论文的公布( 包括刊登) 授权南京邮电大学研究生部办理。 南京邮电大学硕士研究生毕业论文第一章绪论 1 1 研究的背景与意义 第一章绪论 随着i n t e r n e t 网的广泛应用，与其相关的网络技术也逐渐不能满足用户的需求，尤为 突出的是i p 地址的匮乏，因此i p v 6 即将取代i p v 4 已是不争的事实，但整个i n t e m e t 网上 使用i p v 4 的路由器数量太大，从i p v 4 到i p v 6 的过渡想一步到位是不可能的，新旧网络 的彻底更换只能采用逐步演进的办法。也就是说在相当长的一段时间里，两者将会相互共 存。因此，要想实现i p v 4 平滑过渡到i p v 6 ，那么i p v 6 必需要能向后兼容，即i p v 6 系统 能够转发和接收i p v 4 分组。目前主要有两种策略来解决m v 4 到i p v 6 的过渡问题，分别是 双协议栈和隧道技术。 其中隧道技术是过渡时期最易采取的一种重要技术，它的实质是封装，即将一种协议 类型的分组封装在另一种协议类型的分组中，前者将后者看作它的数据链路层。因为对封 装和被封装的协议类型没有具体要求，所以隧道具有很好的灵活性。利用隧道可以在不建 设网络基础设施的情况下扩展新的网络。因此，在从i p v 4 向i p v 6 过渡时期，隧道技术被 广泛采用。目前，用于过渡的绝大多数隧道技术都是基于i p v 6 i n l p v 4 封装方式，也就是 将i p v 6 分组封装在i p v 4 分组中，利用已有的i p v 4 路由体系进行传输，从而解决被i p v 4 网络分离的两个i p v 6 网络或节点之间如何通信的问题。但是，i p v 6 i n l p v 4 报文无法通 过i p v 4 网络中大量存在的n a t ( n e t w o r ka d d r e s st r a n s l a t i o n , n a t ) 设备。因此，这类隧道 不能在有n a t 的环境中使用。而目前的网络中由于i p 地址的紧缺，很多区域网都采用n a t 技术，特别是像我国这种网络起步相对较晚的国家来说，n a t 技术的应用就更加普遍。所 以急需一种能在i p v 6 网络下穿越部署在i p v 4 网络中的n a t 设备的隧道技术。 目前微软公司提出的t e r e d o 协议是面向n a t 用户设计的隧道技术，但是存在不能为 用户分配固定的i p v 6 地址、不支持对称类型的n a t 用户、不能有效防止非法用户利用 t e r e d o 服务和i p v 6 网络互连等不足之处。c i s c o 公司在推进i p v 6 的进程中对隧道技术也 做了大量的研究，但到目前为止对n a t 用户下的隧道技术还没有提出一个完整与成熟的理 论。 国内方面目前中国科学院技术研究所对此隧道技术有一定的研究，并在t e r e d o 协议 的基础上，针对其不足之处提出一种新的i p v 6 隧道技术，并命名为s i l k r o a d 。此协议相 南京邮电大学硕士研究生毕业论文第一章绪论 对t e r e d o 而言有一定的改进，解决了t e r e d o 不能为n a t 用户分配固定i p v 6 地址的问题， 并针对对称型n a t 用户之间通信作了一定的研究，但是未能彻底解决对称型n a t 用户直接 通信的问题，且通信开销很大，在实际的应用中可能对网络的传输效率造成比较大的影响， 所以有待进一步的改迸。 本文既是在t e r e d o 协议与s i l k r o a d 协议的基础上，针对其不足研究了对称型n a t 用 户不能直接通信的根本原因，从而解决对称型n a t 用户之间的直接通信问题。 1 2 研究的内容 在对现有的i p v 4 向i p v 6 过渡中所采用各种过渡技术研究分析的基础上得出，除 m i c r o s o f t 提出的t e r e d o 协议外，其它过渡技术都不支持i p v 4 主机穿越n a t 设备接入i p v 6 网络。 研究目前在支持n a t 设备穿越方面最具代表性的两个协议，t e r e d o 及s i l k r o a d 。对其 网络架构、隧道报文封装格式及通信过程进深入研究，得出t c r c d o 协议完全不支持对称型 n a t 用户接入i p v 6 网络；而s i l k r o a d 协议针对这一点提出主机到服务器的隧道模式，通过 服务器的中转来解决对称型n a t 用户的穿越问题，但是这会造成服务器承担过大的流量处 理，且成为整个通信过程中的瓶颈。所以两协议都没有从根本上解决对称型n a t 用户的穿 越问题。 本文旨在提出一种解决方案，使基于对称型n a t 用户可以直接通过隧道服务接入i p v 6 网络。故在t e r e d o 与s i l k r o a d 的基础上提出以下几点改进： 1 、把s i l k r o a d 协议中的有状态服务器的外部地址映射关系通过添加目的口来记录因 通信目标主机的不同而产生不同的外部映射地址，从而外部地址映射关系表也由一对一改 成一对多的关系 2 、为了让对称型n a t 用户像其它n a t 类型一样，只需从服务器上获取通信对方的参 数就可以无需通过隧道服务器中转而直接传输到通信对方。在客户端初始化的过程中，客 户端的地址映射关系始终保持与隧道服务器一致。 1 3 论文的结构 论文共分为五章，其结构如下： 第一章绪论。介绍了目前在i p v 4 向i p v 6 过渡的过程中，所采取的各种过渡技术基本 2 南京邮电大学硕士研究生毕业论文 第一章绪论 都未考虑到i p v 4 网络中n a t 设备的存在，导致这些技术实际应用当中的局限性很大。正 是在这种背景下，对穿越n a t 设备的隧道技术研究变得炙手可热。 第二章背景知识与研究现状。介绍了i p v 6 的发展现状，详细说明了过渡技术普遍采用 的双协议栈技术、协议翻译技术、隧道技术。n a t 类型及各类型对隧道技术的影响。 第三章基于n a t 用户下的隧道技术研究。对支持穿越n a t 设备的隧道技术，t e r e d o 协议、s i l k r o a d 协议的网络架构及其通信原理作了详细研究，并指出其各自的优缺点。 第四章基于n a t 用户下隧道技术的改进。在分析研究t e r e d o 与s i l k r o a d 两协议的基 础上，提出新的地址映射关系用于解决对称型n a t 用户的通信问题。并对初始化过程作了 相应的改进。 第五章实验过程与性能分析。通过实验对改进后的协议进行验证，并得出实验结果。 第六章结束语。对论文进行了总结，并展望了未来的研究工作。 3 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 2 1i p v 6 发展现状 2 1 1i p v 4 的局限性 第二章背景知识与研究现状 网络的普及尤如台风般的速度席卷整个地球的每一个角落，在我国上网人群更是成指 数级增长。但是网络的飞速发展也给当今网络技术带来挑战，i p v 4 技术是当今应用最为广 泛的互联网技术。但是它的最初设计是为科学研究，并未想到在商业领域会得到如此广泛 的应用，用户对网络服务的要求也越来越高，用户需要网络保证服务质量、保证安全性、 支持移动通信等等，而这些都是i p v 4 最初设计时所未能考虑到的。所以当初的一些设计 在如今看来已经成为网络发展的瓶颈。其中最明显的就是当初3 2 位i p 地址的设计已经远 远不能满足需求。由于历史的原因使用d 地址的分配也非常的不匀衡，如作为互联网发源 地的美国得到大量的i p ，而像互联网起步较晚但其发展迅速的欧洲及亚洲国家p 地址却 是严重不足。而互联网的普及致使大量的用户迫切需要接入i n t e m e t 。为此产生了一些短期 解决办法，如针对最初对口地址分类而导致i p 地址利用率低的问题，提出无分类地址 c i d r ，这在一定程度上提高了i p 地址的使用率。但是这还远远不能满足人们的需求，所 以后来为了把私有i p 也派上用途，随之产生了n a t 技术，使用多个用户共享同一个公有 i p 接入i n t e r n e t 。但是n a t 技术也破坏了t c p i p 协议的端到端特性。使得位于n a t 之后 的用户不能被外界的用户主动访问。 这两种技术虽然都在一定程度上解决了口地址短缺的问题，特别是在p 地址严重不 足的发展中国家，n a t 技术应用更是广泛，归根结底这两种技术都只是一个短期的解决方 案，因为随着需要接入i n t e m e t 用户的增多，接入终端也不再是计算机这么单一了，像各 种手持设备如手机、p d a 及家用电器等都有接入i n t e m e t 的需求。综上所述，对现有的互 联网通信协议i p v 4 进行一次大的升级是完全有必要的，而i p v 6 正是为此应运而生。 2 1 2i p v 6 的新特性 相比i p v 4 ，i p v 6 有如下新的特性： 1 、i p v 6 数据包头格式不一样。i p v 4 的数据包头格式【1 1 如图2 1 所示，而i p v 6 的包头 格式2 1 见图2 2 。从图2 2 可以看出，在i p v 6 中，使用流量标志代替了i p v 4 中的服务类型 4 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 字段，通过给该字段赋予不同的优先级实现差异化的服务，比原字段更具有灵活性。有关 于i p v 6 流标签的定义及使用在r f c 文档中有详细说明【3 】。在传输的过程中，1 p v 4 允许在 中间节点对包进行重新分割，但在i p v 6 中，对包的分割只能通过发送端进行。在传输开始 前，发送端发送测试用数据包至接收端，通过传输过程得出合理的m t u ( m a x i m u m t r a n s m i s s i o nu n i t ，m t u ) ，然后对包进行分割，传输过程中不再进行分割。这种分割方式可 以降低传输中中间节点的开销，提高传输效率。 版本号( 4 b i t )头标长度( 4 b i t )服务类型( 8 b i t )数据包长度( 1 6 b i t ) 标识( 1 6 b i t )偏移量 生存时间( 8 b i t ) 传输协议( 8 b i t )头标校验和( 1 6 b i t ) 发送地址( 3 2 b i t ) 目的地址( 3 2 b i t ) 选项( 8 b i t )填充 图2 1i p v 4 的数据包头格式 版本号( 4 b i t )优先级( 4 b i t )流量标志( 2 4 b i t ) 数据长度( 1 6 b i t )下一报头( 8 b i t )跳数限制( 8 b i t ) 发送地址( 1 2 8 b i t ) 目的地址( 1 2 8 b i t ) 图2 2i p v 6 的数据包头格式 2 、i p v 6 和i p v 4 采用的寻址结构不一样。i p v 4 地址共3 2 位，每8 位划分为一个位段， 每个位段被转换为相应的十进制的值，并用点号隔开，如1 9 2 1 6 8 0 1 是一个合法的i p v 4 地址。而在i p v 6 寻址结构中，针对i p v 4 中地址短缺的问题，i p v 6 提出使用1 2 8 位的地址 长度代替口v 4 中的3 2 位地址长度，以此来解决i p 地址耗尽的问题。 ( 1 ) 全球单播地址，其格式如图2 3 所示。其中全球路由前缀是用来标识一个站点( 由 多个子网所组成) ；子网i d 是站点内的链路标识，用于标识某一个子网；接口i d 是用来标 5 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 识链路上的某一个接口，且规定这个标识在子网内具有唯一性，通常建议采用修订的 e u i 6 4 格式的m a c 地址，e u i 6 4 格式就是在4 8 位m a c 的第2 5 位开始插入十六位 0 x f f f c 形成e u i 一6 4 格式的m a c 地址。 n 比特m 比特1 2 8 一n m 比特 全球路由前缀子网i d接口i d 图2 3 全球单播地址格式 ( 2 ) 链路本地单播地址。它相当于i p v 4 中的私有地址，作用范围仅限于本链路，不能 被任何路由器所转发。如图2 4 所示，其中头十比特标明它是链路本地单播地址。 1 0 比特5 4 比特6 4 比特 1 1 1 1 1 1 1 0 1 00 00 o接口i d 图2 4 链路本地单播地址格式 ( 3 ) 站点本地单播地址。这个地址在r f c 标准文档【4 】中已不推荐使用了，因为它的使 用会带来一些其它的问题。 ( 4 ) 组播地址。在i p v 6 中取消了广播地址，其格式如图2 5 所示。前8 比特标明它是 组播地址，4 比特标记中前3 比特设为0 第四比特t = o 表示永久组播地址，当t - - 1 时表明 它是非永久组播地址；范围目前已定义四种如图2 6 所示。 8 比特4 比特4 比特1 1 2 比特 1 1 1 11 1 1 10 0 0 t 范围组播i d 图2 - 5 组播地址格式 0 0 0 1节点本地 o o l 0 链路本地 0 1 0 1 站点本地 1 0 0 0组织本地 图2 - 6 组播地址种类 ( 5 ) 任意播地址，其格式如图2 7 所示，其中子网前缀标识某一特定的链路，语法格式 除接接口标识部分设置为0 为其余部分与单播地址是一样的。发往子网路由的任意播报文 会被转发到子网的每一台路由器。 n 比特1 2 8 - n 比特 子网前缀0 0 0 0 图2 7 任意播地址地址格式 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 ( 6 ) 链路环回地址，0 ：0 ：0 ：0 ：0 ：0 ：0 ：1 与p v 4 的环回地址1 2 7 0 0 1 一样作为节点发往自己 数据包的目的i p 地址。 2 、i p v 6 采用邻居发现协议( n e i g h b o rd i s c o v e r yp r o t o c o l ，n d p ) 来完成一系列的网络 管理功能，并定义了新的i c m p v 6 协议来辅助其运行。它使用一系列i p v 6 控制信息报文 ( i c 脚v 6 ) 来实现相邻节点( 同一链路上的节点) 的交互管理，并在一个子网中保持网络 层地址和链路层地址之间的映射。邻居发现协议中定义了5 种类型的信息：路由器宣告、 路由器请求、路由重定向、邻居请求和邻居宣告。通过这些信息，实现了对以下功能的支 持： ( 1 ) 路由器发现，即帮助主机来识别本地路由器。 ( 2 ) 前缀发现，节点使用此机制来确定指明链路本地地址的地址前缀以及必须发送给 路由器转发的地址前缀。 ( 3 ) 参数发现，帮助节点确定诸如本地链路m t u 之类的信息；资料地址自动配置【5 】： 用于i p v 6 节点自动配置。 ( 4 ) 地址解析，替代了a r p ( a d d r e s sr e s o l u t i o np r o t o c 0 1 ) 和r a r p ( r e v e r s ea d d r e s s r e s o l u t i o np r o t o c 0 1 ) ，帮助节点从目的口地址中确定本地节点( 即邻居) 的链路层地址。 ( 5 ) 下一跳确定，可用于确定包的下一个目的地。 ( 6 ) 邻居不可达检测，帮助节点确定邻居( 目的节点或路由器) 是否可达。 ( 7 ) 重复地址检测，帮助节点确定它想使用的地址在本地链路上是否已被占用。 ( 8 ) 重定向，有时节点选择的转发路由器对于待转发的包而言并非最佳，这种情况下， 该转发路由器可以对节点进行重定向，使它将包发送给更佳的路由器。 3 、i p v 6 实现“即插即用”。它是指无需任何人工干预，就可以将一个节点插入i p v 6 网络并在网络中启动，i p v 6 使用了两种不同的机制来支持即插即用网络连接：启动协议 ( b o o t s t r a pp r o t o c o l ，b o o t p ) 和动态主机配置协议( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l ， d h c p ) 。这两种机制允许口节点从特殊的b o o t p 服务器或d h c p 服务器获取配置信息。 这些协议采用“状态自动配置”( s t a t e f u l a u t o c o n f i g u r a t i o n ) ，即服务器必须保持每个节点的 状态信息，并管理这些保存的信息。 状态自动配置的问题在于，用户必须保持和管理特殊的自动配置服务器以便管理所有 “状态”，即所容许的连接及当前连接的相关信息。对于有足够资源来建立和保持配置服 务器的机构，该系统可以接受；但是对于没有这些资源的小型机构，工作情形较差。 7 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 2 2 过渡技术策略研究 2 2 1 双协议栈技术 双协议栈技术6 1 是使i p v 6 节点与i p v 4 节点兼容的最直接方式，应用对象是主机、路 由器等通信节点，如图2 8 所示，在主机与路由器都实现了p v 4 与i p v 6 ，当数据包交到网 络层时会根据其目的地址是i p v 4 还是i p v 6 而进行封装，再查相应的路由表转发出去。 应用层 传输层( t c p u d p ) 亟亟匝 网络层接口 图2 8 双协议栈模式 双协议栈不仅用于建设双栈网络，也是过渡技术的基础。双栈网络的建设有两种模式： 其一是完全双栈网络，即所有网络设备、用户终端都支持m v 4 ，i p v 6 双协议栈，用户通信 既可使用i p v 4 协议栈也可使用i p v 6 协议栈；其二是有限双栈网络，网络中部分网络设备、 用户终端采用双协议栈，这些用户可使用i p v 4 或i p v 6 与其它用户互联互通，但新增的网 络设备和用户终端则仅使用i p v 6 协议栈，应用也基于i p v 6 协议栈。隧道、协议翻译等过 渡技术都是基于双协议栈技术的。这是因为，只有具有双协议栈的设备才能既与i p v 4 网络 互通，也可与i p v 6 网络互通，差别在于隧道、翻译等技术提供一种协议栈对另一种协议栈 的替换，也就是将一种协议的流量转换或封装为另一种流量，而双协议栈网络只能提供基 本的i p v 4 流量到i p v 4 流量的转发，或者i p v 6 流量到i p v 6 流量的转发。 双协议栈的过渡解决方案是一个理想方案，这种方式对i p v 4 和i p v 6 提供了完全的兼 容，理论原理也是十分简单。但由于需要双路由基础设施，而要对目前口v 4 网络中的所有 路由器进行升级，从而实现i p v 4 与i p v 6 的互通过，这个代价太大，结果可能会阻碍1 p v 6 网络的升级。 2 2 2 协议翻译技术 双协议栈技术因为升级成本过高，且增加了整个网络的复杂度。针对这一点n a t - p t 技术7 1 有所改进，在实现i p v 4 与i p v 6 互通的同时不需要双协议栈的支持，这样可以大大 节约升级成本。其网络架构如图2 - 9 所示。从图中可以看到在i p v 4 网络与i p v 6 网络交界 8 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 处配置了一台具有i p v 4 网络i d 的边界路由器，如1 2 0 1 4 0 2 2 2 4 ，目的是完成地址转换与 协议翻译。它的通信过程是当节点i p v 6 一a 欲与节点口v 4 c 通信时，节点i p v 6 a 构造一个 源i p v 6 地址为：f e d c ：b a 9 8 ：7 6 5 4 ：3 2 1 0 ，目的i p v 6 地址为：p r e f i x ：1 3 2 1 4 6 2 4 3 3 0 ，其 中p r e f i x 是一个广告路由前缀，即根据这个前缀报文可以被路由到边界路由器， 1 3 2 1 4 6 2 4 3 3 0 是目的主机的口v 4 地址。当报文被路由到边界路由时，边界路由器会从地 址池中动态的分配一个以1 2 0 1 4 0 2 2 2 4 为网络d 的i p v 4 地址来替换源i p v 6 地址，把目 的i p v 6 地址的前缀去掉得到目的碑v 4 地址。最后再进行协议转换，在这个转换过程中会 涉及i p v 6 头翻译成i p v 4 头与报头中校验和的重新计算、传输层t c p u d p 中的端口转换及 应用层的相关转换，其中对应用层的转换是要应用层网关( a l g ) 协助完成。 dns服务器dns服务器 图2 9n a t p t 网络架构图 n a t - p t 过渡技术在无需双协议栈的支持下完成了i p v 6 与i p v 4 之间的互通，相对于单 纯使用双协议栈而言有了一定实际应用价值。但是它的缺点在于i p v 4 节点访问i p v 6 节点 的实现方法比较复杂；它的安全机制较为薄弱【8 】；网络设备进行协议转换、地址转换的处 理开销较大；要求i p v 4 节点拥有公有m ，即它也不支持n a t 设备的穿越；不仅涉及到网 络层还涉及到大量传输层、应用层设备的升级，所以这项技术也没有得到广泛的应用。 2 2 3 隧道技术 双协议栈技术、协议翻译技术都因其各自的缺点都未得到广泛应用。但是它们的出现 并不是没有价值，它的价值在于通过改造很小部分网络设备成双协议栈，以隧道技术实现 i p v 4 报文穿越i p v 6 网络，同理i p v 6 报文也可以通过隧道穿越i p v 4 网络。 隧道技术提供了一种以现有i p v 4 i p v 6 路由体系来传递i p v 6 i p v 4 数据的方法：将 i p v 6 i p v 4 包作为无结构意义的数据，封装在i p v 4 i p v 6 包中，被i p v 4 i p v 6 网络传输，如图 9 自糸m 电太学研究生毕业论文第二章口识；研究现状 2 1 0 所示 汁踅 图21 0n a tp t 网络架构图 根据建立方式的不同，隧道技术可分为手工配置隧道和自动配置隧道两类。隧道技术 巧妙地利用了现有的i p “网络，它的意义在于提供了一种使i p v 6 的节点间能够在过渡期 间通信的方法，但他不能解决i p v 6 节点与i p v 4 节点问互通的问题。隧道技术以隧道端所 采用的设备来分9 l 主要有以下四类，如图2 1 1 所示。 l 竺1 i 型坚竺型竺州而。j i i 习 图2 1 l 隧道模式 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 r o u t e rt or o u t e rt u n n e l ，即隧道两端都是路由器，这种模式应用面较为广泛，因为这种 模式下隧道两端的参数变动不大，所以一般也会采用手动方式来配置隧道参数。 h o s tt or o u t e rt u n n e l ，即隧道的其中一端是主机另一端是路由器，这种隧道模式优点 在于当隧道的一端无法在路由器建立时，可以通过把主机的一端作为隧道端口，比如 s i l k d r o a d 协议就是采用h o s tt or o u t e rt u n n e l 的模式。其缺点在于由于主机的不同导致隧道 参数的改变，给隧道管理带来一定的困难。 。 r o u t e rt oh o s tt u n n e l ，即隧道的其中一端是主机另一端是路由器，如果隧道是双向隧 道那么这两种隧道模式其实就是一种模式。 h o s tt oh o s tt u n n e l ，即隧道的两端都是主机，这种隧道模式一般较少采用，因为它会 给获取对端隧道参数带来很大的困难。在t e r e d o 协议中使用的就是这种隧道模式，所以它 只有通过把对端隧道参数内嵌于客户端i p v 6 地址中。这种地址会给安全带来一定的隐患。 目前应用较为广泛的隧道技术有以下几种： 1 、6 0 v e r 4 技术 6 0 v e r 4 技术【1 0 1 是一种点到点、点到路由和路由到点的自动隧道技术，它被用作通过 i p v 4 内部网的i p v 6 节点之间的单点或多点连接。这种隧道端点的i p v 4 地址采用邻居发现 的方法确定。与手工配置隧道不同的是，它不需要任何地址配置；而与自动隧道不同的是 它不要求使用与i p v 4 兼容的i p v 6 地址。 6 0 v e r 4 主机使用有效单播地址的6 4 位前缀，以及接口标识符：w w x x ：y y z z ，这 里：w w x x ：y y z z 是主机为每个6 0 v e r 4 接口自动配置链路本地地址f e 8 0 ：w 嗍：y y z z 。 但是采用这种机制的前提是i p v 4 网络基础设施支持i p v 4 多播。在i p v 4 多播域中可以是采 用全球唯一的i p v 4 地址的网络，也可以是一个私有的i p v 4 网络的一部分。这种机制适用 于i p v 6 路由器没有直接连接的物理链路上的孤立i p v 6 主机，使得它们能够将i p v 4 广播域 作为它们的虚拟链路，成为功能完全的i p v 6 站点。其配置如图2 1 2 。但是，由于它需要在 i p v 4 多播网络中才能正常工作，所以它没有得到广泛采用。 南京w 屯大学硕士日究生毕n 论女 第一章背 识目研究现状 图2 1 26 0 v e r 4 目b 置图 2 、6 t 0 4 隧道技术 6 t 0 4 隧道技术1 是一种采用r o u t e rt or o u t e r 隧道模式的自动隧道技术，它为i p v 6 站 点之间提供了一种跨i p v 4 网络的单播i p v 6 通信机制。这种机制把i p v 4 网络作为i p v 6 网 络中单播点到点的数据链路层，并要求站点采用特殊的i p v 6 地址。从其网络架构( 如图 2 1 2 所示) 可以看出它定义了三种通信实体：6 1 0 4 主机，一个拥有6 1 0 4 地址的标准i p v 6 主机；6 t 0 4 路由器，个支持6 1 0 4 伪接口且拥有公有i p v 4 地址的边界i p v 6 路由器：6 1 0 4 中继器，一个支持6 t 0 4 主机到纯i p v 6 主机之间通信的i p v 6 路由器。 6 1 0 4 主机采用如图2 。1 3 所示的地址格式，其中2 0 0 2 标识这是一个6 1 0 4 流， w w x x y y z z 是6 t 0 4 路由器的公有i p v 4 地址，s l a ( s i t e l e v e l a g g r e g a t i o n i d e n t i f i e r , s l a ) 是在r f c 标准文档中定义的站点聚集标识，i n t e r f a c ei d 采用e u i 6 4 所定义的m a c 地 址。从它的地址格式中可以看出隧道两端的参数，即6 t 0 4 路由器的1 p v 4 地址被集成在6 t 0 4 地址中。在d n s 服务器中也会为之建直相应的记录。这种地址分配方法，可以使得其它 域的边界路由器自动地区分隧道接收端点是否在本域内。 图21 36 1 0 4 地址格式 南京邮电大学硕士研究生毕业论文 第二章背景知识与研究现状 由于这种机制下隧道端点的i p , p 4 地址可以从i p v 6 地址中提取，所以，隧道的建立是 自动的。6 t 0 4 不会在i p v 4 的路由表中引入新的条目，在i p v 6 的路由表中只增加一条表项。 采用6 t 0 4 机制的i p v 6i s p 只需要做很少的管理工作，这种机制很适用于运行i p v 6 的站点 之间的通信。 以图2 1 4 为例，6 t 0 4 主机之间的通信过程如下：6 t 0 4 主机d 在获得站点2 的6 t 0 4 主机c 的地址后向其发送数据包，该数据包被路由6 t 0 4 路由器a ，路由器a 发现数据包的 目的地址含有6 t 0 4 前缀2 0 0 2 ，于是从数据包的i p v 6 源地址和目的地址中提出隧道两端的 i p v 4 地址( 也就是i p v 6 地址中的n l a 部分) ，然后用i p v 4 头部封装数据包，封装后的报文 其目的地址为站点2 的6 t 0 4 路由器b 的i p v 4 地址，从而建立一条从a 到b 的隧道。作为 隧道端点的路由器b 收到数据包后对其进行解封装，去掉口v 4 头部，得到一个i p v 6 数据 包，然后发送，数据包最后到达站点2 的6 t 0 4 主机c 。 6 t 0 4 路由罂a 站点2 图2 1 46 t 0 4 网络配置图 6 t 0 4 中继路由器通常位于i p v 6 主干网，除了具有6 t 0 4 路由器的功能外，它还负责向 i p v 6 主干网宣告它对其他6 t 0 4 站点的可达性，同时向其他6 t 0 4 路由器宣告它对主干网内 各站点的可达性。6 t 0 4 中继路由器用于6 t 0 4 主机和纯i p v 6 主机之间的通信。以图2 1 4 为 例，站点2 的6 t 0 4 主机获得主干网上某个纯i p v 6 主机的地址后向其发送数据包，该数据 包被路由至本站点的6 t 0 4 路由器b ，路由器b 通过查找路由表得到下一跳的i p v 6 地址为 中继路由器c 的6 t 0 4 地址，从该地址提取出c 的i p v 4 地址，以此作为目的i p v 4 地址对数 据包封装，建立一条从b 到c 的隧道。c 收到b 数据包后解封装，得到一个i p v 6 数据包 1 3 南京邮电人学硕士研究生毕业论文 第二章背景知识与研究现状 并发往主干网，最终到达目的i p v 6 主机。 综上所述，6 t 0 4 隧道技术在升级成本方面较为廉价，只需升级很少一部分i p v 6 路由器， 实现原理也并不复杂且管理较为方便。所以目前它有应用较为广泛。6 t 0 4 采用的是r o u t e r t or o u t e r 隧道模式，解决了两个孤立的i p v 6 站点跨越i p v 4 网络的通信，但也因此对于i p v 4 网络接入i p v 6 网络服务无能为力。而对位于n a t 之后的i p v 4 主机获得接入i p v 6 网络服 务更是无能为力。 3 、6 i n 4 4 i n 6 技术 与6 t 0 4 隧道技术相比，6 i n 4 1 3 1 4 i n 6 1 1 4 1 隧道技术是为了解决i p v 4 站点中的主机接入口v 6 网络，或是i p v 6 站点中的主机接入i p v 4 网络。这是隧道技术中最为简单的技术，因为6 i n 4 与4 i n 6 原理基本相当，所以这里就只介绍6 i n 4 技术。 6 i n 4 隧道技术的基本原理就是把需要传输的i p v 6 数据包作为i p v 4 的负载，其它都完 全保持不变，其封装过程如图2 1 5 所示。 i p v 6 头部 传输层头部 ( t c p t r d p ) 数据部分 i p v 4 头部 i p v 6 头部 传输层头部 o f c p u d p ) 数据部分 图2 - 1 56 i n 4 封装过程 这个过程其实是很简单的，对于i p v 6 报文，如果有扩展头的话那也全部作的i p v 4 的 数据部分进行封装。重点在于封装后报文如果大于m t u 时，是应该分片，还是报源点说 数据包太大及如果在隧道中发生错误又如何发送i c m p v 4 报文他等问题。r f c 标准文档给 出的算法如图2 1 6 所示。 1 4 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 图2 1 66 i n 4 报文处理过程 解封装过程就是封装的逆过程，在这个过程中重点在于解封装节点在收到报文时，首 先要判断一下是否要进行封装报文的重组，因为封装报文在隧道中也可能会被分片处理。 如果是在封装节点被分片的，则不在解封装节点进行重组，之后就进行解封装，再转交给 i p v 6 模块进行相应的处理。 这项技术原理简单但是其实现过程却比较复杂，特别在在获取对端隧道参数时完全要 依靠手工来配置，这在很多实际应用中，尤其是存在n a t 用户的网络中实现起来是不太可 能的。 2 3n a t 及其对隧道技术影响 2 3 1n a t 的技术原理 n a t 技术【1 5 1 的出现是为了解决i p v 4 公有地址短缺而出现的。它的基本原理是：在内 部网络中使用内部地址即私有口，通过n a t 技术把内部地址翻译成合法的公有i p 地址在 1 5 南京邮电大学硕士研究生毕业论文第二章背景知识与研究现状 i n t e m e t 上使用，其具体的做法是当内部主机a 向外部主机b 发送一数据包时，首先到达 n a t 网关，把i