IPv4／IPv6安全网关的应用与分析

1、ipv4ipv6安全网关的应用与分析 ipv6取代ipv4已经成为公认的事实，然而这将是一个长久的、渐进的过程。ipv6的部署大致要经受一个过程。初始阶段，在ipv4的网络海洋中，会浮现若干局部零散的ipv6孤岛，为了保持通信，这些孤岛通过跨越ipv4的隧道彼此衔接。随着ipv6规模的应用，本来的孤岛逐渐聚合成为了骨干的ipv6 internet网络，形成于ipv4骨干网并存的局面。在ipv6骨干上可以引入了大量的新业务，同时可以充分发挥ipv6的优势。为了实现ipv6和ipv4网络资源的互访，还需要转换服务器以实现ipv6和ipv4的互通。最后，ipv4骨干网逐步萎缩成局部的孤岛，通过隧道衔

2、接，ipv6占领主导地位，具备全球范围的连通性。 ipv6提供无数过渡技术来实现这个渐进过程。这些过渡技术主要围围着解决两类问题：ipv6孤岛互通技术实现ipv6网络和ipv6网络的互通；ipv6和ipv4互通技术实现两个不同网络之间相互拜访资源。因此我们提出研制ipv4/ipv6互联网关，通过协议地址翻译的机制来解决ipv4和ipv6的互联互通问题，实现ipv4向ipv6的平滑过渡。该设备可应用在城域网、校内网、企业网和其他专用网络上，实现各级子网对现有ipv6/ipv4资源的平安拜访。图1-1为ipv4/ipv6网关的典型应用场景。图1-2为ipv4/ipv6网关组网的衔接状况。图1-1

3、ipv4/ipv6平安网关的典型应用场景图1-2 ipv4/ipv6平安网关组网2 ipv4/ipv6平安网关原理ipv4/ipv6平安网关主要由四部分构成，分离为机械结构部分、路由器电器部分、一次电源和通风散热系统。机械部分包括主机箱和配线架，主机箱可以外购或者根据机械尺寸定制，配线架采纳19英寸机箱的标准配线架；一次电源和电源厂家商议定制；通风散热系统由两组风扇组成，负责网关主机框和电源的散热；路由器电器将采纳主控板、交换板、电源冗余设计等模块实现模块化结构设计，具有平滑的可升级能力。ipv4/ipv6平安网关的体系结构1-3所示。图1-3 ipv4/ipv6网关体系结构平安网关主要包括支

4、撑子系统，路由协议处理子系统（主要是bgp4+代理），ipv4/ipv6互连网关核心功能处理子系统、ip转发子系统（分布式结构），操作管理子系统等等。图1-4给出了在该体系结构下，ip分组流淌的暗示图。图1-4 ip分组处理流程暗示图操作与管理子系统操作与管理子系统（oam子系统）是囫囵ipv4/ipv6互连网关的控制核心。它需要实现对囫囵ipv4/ipv6互连网关系统的控制和管理。操作与管理子系统的主要功能包括：提供多种用户操作界面，包括控制台、虚拟终端和snmp网络管理；实现被管理模块之间的信息交互；提供分布式支持；实现错误检测和错误复原功能；提供一套完美的运行时调试接口。ip转发子系统转

5、发子系统实现ipv4/ipv6互连网关系统中路由器的基本功能ip分组的转发。该子系统实现ipv6、icmpv6和neighbor discovery三个主要协议以及ipv4协议栈中的相应协议，并能够同时支持单处理器平台和分布式多处理器平台的ip分组转发。路由协议处理子系统路由协议处理子系统主要实现ipv4/ipv6互连网关上的bgp4+的代理，4to6过渡协议需要支持ipv4路由表向ipv6传扬，并从ipv6网络中学习ipv4路由表。该部分主要实现4to6过渡协议中的路由处理机制，包括组播路由的支持。支撑子系统支撑子系统是囫囵ipv4/ipv6互连网关系统上层应用实体的服务提供者。从协议角度看

6、，它为bgp4+代理以及网管协议snmp提供服务；从系统角度来看，它是操作和管理系统的一种手段。支撑子系统将实现它的三个组成部分的协议规范要求，实现了端到端的数据传输，并且提供了一种远程登录拜访的手段。ipv4/ipv6平安网关核心功能处理子系统平安网关核心功能处理主要是实现ipv4/ipv6网络过渡机制和过渡技术，目前包括协议翻译转换技术、隧道技术、4to6过渡技术以及应用层网关技术。平安网关3个主要的部分：报文翻译，dns应用层网关，ftp应用层网关。图1-5 nat_pt的总体结构图报文翻译报文翻译部分是nat_pt的最基础部分。它负责举行ipv4和ipv6报文之间的翻译。详细的实现主要

7、针对tcp、udp和icmp三种不同类型的报文举行翻译。因为tcp自己的特性，在地址映射的时光上，还有tcp建立衔接的时候，对动态地址池的操作都和udp、icmp有所区分。dns应用层网关dns应用层网关部分是为了支持dns的ipv6扩展功能的。它主要对针对目的端口/源端口=53的dns_udp报文举行翻译的。dns应用层网关的主要功能是支持外部的ipv4主机对ipv6域内服务器的拜访。这样，当外部的dnsv4的查询报文通过路由器的时候，将被翻译后送到ipv6域内的ipv6 dns服务器。同样ipv6域内的ipv6 dns服务器的dnsv6回复报文，也将被翻译后返回给原ipv4主机。ftp应用

8、层网关因为ftp的ipv6扩展功能和现有的ipv4ftp指令不相同，不彻低兼容，所以需要对ftp的指令作翻译。同时的因为tcp报文的负荷长度有所变动，所以还需要对一个ftp的衔接的全部tcp数据报的挨次号举行修正。ftp应用层网关部分主要对针对目的端口/源端口=21的ftp_tcp报文举行翻译。3 ipv4/ipv6平安网关解决计划按照ipv4/ipv6平安网关的原理和市场需求，从性能，可扩展性以及高牢靠性的角度动身，推举采纳研祥（evoc）的网络系统平台npc-8205作为解决计划的硬件平台，在此牢靠的平台上实现ipv4/ipv6平安网关。npc-8205是一款基于intlel新一代服务器j

9、asperforest平台的高端网络应用系统产品。实行的服务器平台，北桥集成在cpu里面，大大提高了cpu对内存和外设的拜访速度。全模块化的网络设计，可灵便挑选光电组合，并在千兆，万兆之间灵便切换。主板支持两颗cpu，支持12个dimm内存槽，6个sata接口。支持cf卡，板载pci扩展槽和两个pci-e扩展槽。整机支持三个全模块的网络扩展，支持两个2.5寸抽拉硬盘位，支持液晶屏显示，板载2千兆电口，1个串口，2个，前面板可扩展两个pci e设备，支持冗余电源。采纳jasper foreast平台具有以下优点：（1）支持超线程：第三代超线程技术。（2）支持虚拟化设备输入/输出 (vt-d)：在

10、之前以虚拟化cpu为主的基础上增强设备输入/输出的虚拟化，能有效提高虚拟机的性能和效率。（3）内核加速模式(turbo mode)：内核运行动态加速。可以按照需要开启、关闭以及加速单个内核的运行。这样动态的调节可以提高系统和cpu整体的能效比率。（4）cache的设计：采纳三级全内含式cache设计，l1的设计和core 微架构一样；l2采纳超低延迟的设计，每个内核256kb；l3采纳分享式设计，被片上全部内核分享。（5） 集成了内存控制器(imc)：从芯片组上移到cpu片上，支持多通道ddr3内存，内存读取的延迟大幅度削减，内存带宽大幅提升，最多可达三倍。（6）qpi：“迅速通道互联”，取代前端(fsb)的一种点到点衔接技术，20位宽的qpi衔接其带宽可达惊人的每秒25.6gb，远非fsb可比。qpi最初能够发放异彩的是支持多个处理器的服务器平台，qpi可以用于多处理器之间的互联。自由切换的光电口模块设计不打开箱盖，挺直在前面板操作，就可以在光口模块和电口模块间随意更换。可以灵便的