面向NAT用户的IPV6过渡机制研究

1、面向 NT 用户的 IPV6 过渡机制研究XX:TP393XX:XX:1009-3044(20XX)27-7653-02IPv6 取代 IPv4 已成为必定,XX 络界的研究热点是怎样由IPv4 向 IPv6 的成功平滑过渡。 在现阶段 , 解决过渡问题的基本技术主要有三种 :IPv4/IPv6 协议转换和双协议栈及隧道技术。 其中 遂道技术是一种重要的过渡技术,绝大多数隧道基于 IPv6-In-IPv4 封装方式,就是将IPv6 分组封装在 IPv4 分组中,利用已有的 IPv4 路由体系进行传输,解决被IPv4XX 络分离的两个IPv6XX 络或节点之间通信的问题。 但 IPv6-In-I

2、Pv4 报文无法通过 IPv4XX 络中大量存在的 NT 设备 , 因此这类隧道不能在有NT的环境中使用。但我国的现状是8000 多万个上 XX 用户只有3000 多万个 IPv4 地址。除了采纳动态分配缓解地址紧张外,更多的则是采纳 NT 技术来解决这个问题。在 IPv4 向 IPv6 的过 渡时期 ,如何为这些 NT 用户提供 IPv6 接入服务,使得它们能和其他 IPv6 节点实现互通互访,是一个切实需要解决的问题。几种面向 NT 用户的遂道技术分析国际上现有的隧道机制中微软公司提出的 Teredo 协议和中科院计算所提出的 Silkrod 协议是专为 NT 用户设计的过渡技术。它们都采

3、纳 IPv6-in-UDP 隧道 ,也就是将 IPv6 报文封装在IPv4UDP 载荷中的方式实现NT 用户和 IPv6XX 络的互连。Teredo 的地址猎取过程Teredo 的客户端产生一个IPv6 的路由请求报文,并将其封装在 IPv4 的 UDP 数据包的净荷里通过现有的 IPv4XX 络发给Teredo 服务器 ,服务器收到这个路由请求后 ,向客户端返回一个包含有一个IPv6 的地址前缀以及Teredo 客户端经过NT 设备映射后的公有IPv4 地址和端口号的路由信息 ,根据这个返回的路由宣告消息客户端生成一个结构如图 1 的 IPv6 地址。然后 ,Teredo 客户端会定期地发送

4、单一的气泡数据包 （ 由 IPv6 报头组成 ,并且不包含IPv6 有效载荷,为维持或建立一个NT 映射而发送 ） 到 Teredo 服务器。 Teredo 服务器会在不回复的情况下丢弃该数据包。这个周期性的数据包会重新刷新NT 的转换表。来维持这种映射关系。Teredo 的局限性在 Teredo 机制中同一链路上客户端之间的通信是不受限的其它类型的通信则依赖于客户端的所属的 NT 类型。 而对于对称NT 类型 ,则根据数据包中的目的地址来转换它的私有地址及端口 ,如果目的地址不同,那么经过转换后的外部地址和外部端口也会不同。这样隧道另一端IPv4 地址的变化就会引起NT 用户本身隧道参数的变

5、化。但Teredo 协议一个隐含的假定是用户配置了 IPv6 地址后,内嵌其中的隧道参数是不会发生变化的。显然如果存在对称类型NT 的情况 ,从用户 IPv6 地址中获得的隧道参数则是不正确的,这就导致了Teredo 服务对对称NT 用户的不适用。Teredo 的实现相对比较复杂,与现有的XX 络结构很难兼容。因为不仅需要增设Teredo 服务器来协助 Teredo 客户端建立连接 ,而且还要求Teredo 客户端所要访问的一般IPv6 站点附近的路由器有Teredo 中继功能 , 即该路由器不但要能识别Teredo 格式的特别 IPv6 地址,还要向所在XX 络广播 Teredo格式的地址的

6、可达性,并能和Teredo 服务器共同完成穿透NT的功能。这必定需要对所有的 IPv6 XX 络入口处的路由器进行升级。Silkrod 遂道技术 4Silkrod 协议是由中科院计算所提出的,能支持所有类型的NT 用户与 IPv6 XX 络进行互连,能为用户分配固定不变的IPv6地址 ,而 具 有 更高 的 安 全 性 。 虽 然 Silkrod 隧 道也 采纳 IPv6-In-UDP 隧道的方式实现NT 用户与IPv6XX 络互联的。 但不同的是它为NT 用户分配的 IPv6 地址没有采纳固定格式的前缀 ,而且地址中也没有嵌入 NT 映射地址或映射端口等信息。Silkrod 协议的体系结构如

7、图 2 。Silkrod 体系简介初始化过程中,客户端向导航器发送一个接入请求报文, 由导航器为其选择一个路由距离最近的隧道服务器, 将服务器的IPv4 地址返回给客户端。客户端然后向指定的隧道服务器发送一个地址请求报文 ,报文内容为身份认证信息以及创建IPv6 地址所需要的接口标识符,当服务器收到请求报文后对客户端的身份进行认证,通过认证后便为其构造一个IPv6 地址 ,接着在映射表中添加该地址和隧道参数之间的映射关系,然后将地址和更新过的身份认证信息作为响应报文的内容再返回给客户端。 客户端再对服务器的身份进行认证,当通过认证后配置IPv6 地址,并建立另一端为服务器的 IPv6-In-U

8、DP 隧道。 在此之后,客户端就可以通过该隧道和 IPv6 XX 络上的其他节点进行端到端的通信 ,服务器在数据转发过程中要检查数据包的合法性:一个是以目的 IPv6 地址为入口查找映射表,如果没有这个入口,表明数据包是一个非法数据包,作丢弃处理;另一个是检查从IPv4 接口收到的数据包,以源IPv6 地址为入口查找映射表,如果没有这个入口或者这个入口对应的隧道参数和数据包的源IPv4 地址、 源 UDP端口不一致,则表明数据包为非法数据包,也作丢弃处理。 在只有源或目的是合法用户的情况下,数据包才能通过上述检查,从而大大增强了 XX 络的安全性。服务器在运行过程中 ,会周期性地向导航器报告负

9、载信息如CPU 利用率、带宽利用率、用户数目等。对这些信息进行统计和分析则有导航器负责,以便系统治理员能动态掌握服务器的运行状况,在客户端建立遂道之前给予指导。Silkrod 地址构造客户端的 IPv6 地址是由 64 位的地址前缀和 64 位的接口标识符组合构成,地址前缀由隧道服务器确定,因为隧道服务器在部署的时候都会分配一个全球唯一的 64 位地址前缀用于构造客户端 IPv6 地址 ,所以客户端只要确定了选择接入的隧道服务器 ,64 位的地址前缀也随之确定而不再发生变化 ,IEEE 定义了 64 位的 Eui-64 编码,用来表示XX 络适配器的地址,如图 3 所示。参考 Pppv6 生成

10、接口标识符的方法,如果客户端有EUI-64地址,哪么只要将它的“U ”位取反 ,就可以得到接口标识符 ;如果有 Eui-48 地址哪么在其中间添加值为“ 0 xfffe ”的 16 位比特 , 成为一个EUI-64地址后 ,再将 “ U ” 位取反便可得到接口标识符;如果没有EUI-48或EUI-64地址 ,就将机器序列号等数值转换成64 位编码。采纳这种方式生成的接口标识符不仅具有固定性,而且具有唯一性,从而保证了 IPv6 地址的唯一性。 虽然客户端可以获得一个固定不变的 IPv6 地址 ,但必须在有一个IPv6 的域名的前提下,客户端才可以被其它节点主动的去访问。隧道维护和状态信息治理当

11、客户端完成初始化过程后会以一定的时间间隔周期性的向隧道服务器发送IPv6-In-UDP 报文 ,一般发送默认周期为 30s对于状态信息的治理服务器通常采纳客户端显式通知的方式 ,尽 可能多地删除那些不再使用的信息 ,从而降低因维护信息对系统 资源的消耗。 例如如果客户端在下线之前向服务器发送一个中断 连接请求,哪么服务器收到请求后便会删除对应的映射关系。但这种方式不能较好地处理客户端异常下线的情况。 对于异常下 线的情况Silkrod 则采纳客户端维护UDP 会话的过程来治理状态信息。 服务器会为每个建立的映射关系设定一个计时器,一旦如果收到的收到来自客户端的数据包就会刷新计时器重新计时。如果收到的是一个空数据包, 哪么服务器除了刷新计时器外将不作任何其他处理。如果计时器一旦超时 ,服务器就认为客户端已经下线,便删除对应的映射关系。 采纳这种方式可使隧道服务器上维护的都是处于活动状态的映射关系 ,使治理更加高效。Silkrod 的不足Silkrod 在解决 Teredo 问题的同时也付出了一定的代价。它的不足之处在于两个客户端之间通信时,从源客户端发出的数据包必须先到达隧道服务器,再由隧道服务器转发给目标客户端而相应的返回的数据包也必须由隧道服务器的中转,才能到达源客户端。 所