專(zhuān)利名稱(chēng):異構(gòu)網(wǎng)絡(luò)系統(tǒng)中實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換的裝置及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及在多協(xié)議標(biāo)簽交互虛擬專(zhuān)用網(wǎng)網(wǎng)絡(luò)中����,虛擬專(zhuān)用網(wǎng)與采用異種協(xié)議的公網(wǎng)之間的互訪技術(shù),尤其涉及采用IPV4 (或IPV6)協(xié)議的虛擬 專(zhuān)用網(wǎng)與采用IPV6 (或IPV4)協(xié)議的公網(wǎng)構(gòu)成的異構(gòu)網(wǎng)絡(luò)系統(tǒng)中實(shí)現(xiàn)網(wǎng)絡(luò) 地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換的裝置及方法���。
背景技術(shù):
IPV6作為未來(lái)笫三代移動(dòng)通信的重要協(xié)議之一����,對(duì)于運(yùn)營(yíng)商來(lái)說(shuō)���,其 極具吸引力的特點(diǎn)有兩個(gè) 一是IPV6所采用的128位地址格式���,使其具有 龐大地址空間;二是IPV6對(duì)移動(dòng)數(shù)據(jù)業(yè)務(wù)具有較強(qiáng)的支持能力��,克服了移 動(dòng)IPV4固有的一些缺點(diǎn)�。MPLS (Multiprotocol Label Switch,多協(xié)議標(biāo)簽交換)是一種4吏得不同 的網(wǎng)絡(luò)傳輸技術(shù)在同 一個(gè)平臺(tái)上統(tǒng)一起來(lái)的技術(shù),它能夠減少網(wǎng)絡(luò)的復(fù)雜 度��,并兼容主流的網(wǎng)絡(luò)技術(shù),代表了未來(lái)網(wǎng)絡(luò)發(fā)展的一種趨勢(shì)����。MPLS結(jié)合 了 IP路由選擇的豐富性和幀中繼或ATM的逐跳標(biāo)簽交換的簡(jiǎn)單性,以提供 面向連接的轉(zhuǎn)發(fā)與IP網(wǎng)絡(luò)的無(wú)縫結(jié)合���?;贛PLS的VPN (Virtual Private Network,虛擬專(zhuān)用網(wǎng)絡(luò))是將用戶(hù) 和服務(wù)提供商之間的無(wú)連接的VPN與網(wǎng)絡(luò)核心內(nèi)的面向連接的VPN結(jié)合起 來(lái)的一種技術(shù)�,它使用MP-BGP發(fā)布用戶(hù)的路由選擇信息和MPLS標(biāo)簽, 并通過(guò)VRF隔離不同VPN的路由��,同時(shí)也解決了不同VPN之間地址空間 重疊的問(wèn)題���。MPLS VPN是一種基于MPLS技術(shù)的IP-VPN�����,是在網(wǎng)絡(luò)路由和交換設(shè) 備上應(yīng)用MPLS技術(shù),簡(jiǎn)化核心路由器的路由選擇方式�����,利用結(jié)合傳統(tǒng)路由 技術(shù)的標(biāo)記交換實(shí)現(xiàn)的IP虛擬專(zhuān)用網(wǎng)絡(luò)(IP VPN)�����,可用來(lái)構(gòu)造寬帶的 Intranet、 Extranet,滿(mǎn)足多種靈活的業(yè)務(wù)需求���。采用MPLS VPN技術(shù)可以把現(xiàn)有的IP網(wǎng)絡(luò)分解成邏輯上隔離的網(wǎng)絡(luò)����,這種邏輯上隔離的網(wǎng)絡(luò)的應(yīng)用可以是千變?nèi)f化的可以是用在解決企業(yè)互連�����、政府相同/不同部門(mén)的互連�、 也可以時(shí)用來(lái)提供新的業(yè)務(wù)一如為IP電話業(yè)務(wù)專(zhuān)門(mén)開(kāi)辟一個(gè)VPN、以此解 決IP網(wǎng)絡(luò)地址不足和QoS的問(wèn)題��,也可以為用MPLS VPN為IPv6提供開(kāi)展 業(yè)務(wù)的可能��。目前��,使用MPLS的骨干網(wǎng)越來(lái)越多�,因此必須考慮如何在MPLS上集 成IPv6。在MPLS網(wǎng)絡(luò)中�����,轉(zhuǎn)發(fā)是根據(jù)標(biāo)記進(jìn)行的,這就不需要數(shù)據(jù)層面 支持IPv6的數(shù)據(jù)轉(zhuǎn)發(fā)�,即無(wú)需核心網(wǎng)絡(luò)軟硬件的升級(jí),只需要邊緣路由具 有配置IPv6的能力即可�����。NAT—PT (網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換�����,Network Address Translation &Protocol Translation)技術(shù)是類(lèi)似于IPV4網(wǎng)絡(luò)中的NAT (網(wǎng)絡(luò)地址轉(zhuǎn)換) 技術(shù)�����,即一種地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換技術(shù)����,與NAT不同的是,NAT一PT用于IPV6 單協(xié)議網(wǎng)絡(luò)域內(nèi)主機(jī)與IPV4單協(xié)議網(wǎng)絡(luò)域內(nèi)主機(jī)之間的端到端連接�,而 IPV4的NAT是IPV4的私有網(wǎng)絡(luò)域內(nèi)主機(jī)與IPV4公共網(wǎng)絡(luò)主機(jī)之間的連 接。因此NAT—PT涉及到的轉(zhuǎn)換技術(shù)是IPV6和IPV4地址間的轉(zhuǎn)換以及IPV6 和IPV4協(xié)議之間的轉(zhuǎn)換����。NAT—PT是一種純IPV6節(jié)點(diǎn)和IPV4節(jié)點(diǎn)間的互通方式��,所有包括地址、 協(xié)議在內(nèi)的轉(zhuǎn)換工作都由網(wǎng)絡(luò)設(shè)備來(lái)完成���。支持NAT一PT的網(wǎng)關(guān)路由器應(yīng) 具有地址池�,例如具有IPV4地址池����,在從IPV6向IPV4域中轉(zhuǎn)發(fā)包時(shí)使用, 地址池中的地址是用來(lái)轉(zhuǎn)換IPV6報(bào)文中的源地址的�����。此外網(wǎng)關(guān)路由器需要 DNS一ALG應(yīng)用層網(wǎng)關(guān)的支持��,在IPV6節(jié)點(diǎn)訪問(wèn)IPV4節(jié)點(diǎn)時(shí)發(fā)揮作用��。如 果沒(méi)有DNS_ALG的支持����,只能實(shí)現(xiàn)由IPV6節(jié)點(diǎn)發(fā)起的與IPV4節(jié)點(diǎn)之間 的通信,反之則不行����。在組網(wǎng)的時(shí)候,如果處于IPV6網(wǎng)絡(luò)的主機(jī)需要連接到IPV4網(wǎng)絡(luò)中的 主機(jī)�����,IPV6主才幾可以認(rèn)為IPV4主機(jī)的所對(duì)應(yīng)的IPv6地址為NAT_PT前綴 十IPV4主機(jī)地址。如IPV4主機(jī)地址為10.18.34.1����, NAT—PT設(shè)備設(shè)定的前 綴為2222::/64,則IPV4主機(jī)對(duì)應(yīng)的IPv6地址就是2222::10.18.34.1或 2222::0al2:2201。但是��,當(dāng)IPV4網(wǎng)絡(luò)中的主機(jī)需要訪問(wèn)IPV6網(wǎng)絡(luò)中的主機(jī)的時(shí)候就不 能按照這種方法來(lái)做��,IPV4主機(jī)可以按照IPV6主機(jī)所對(duì)應(yīng)的域名來(lái)訪問(wèn)�����, 這就需要用到DNS—ALG功能��。IPV4端主機(jī)10.18.34.117需要訪問(wèn)IPV6端 主機(jī)2000::1�, IPV4主機(jī)所對(duì)應(yīng)的域名為www.ipv4.com.cn, IPV6主機(jī)所對(duì) 應(yīng)的域名為www.ipv6.com.cn�����。首先IPV4主機(jī)發(fā)送DNS請(qǐng)求1給它的DNS 服務(wù)器����,請(qǐng)求www.ipv6.com.cn這個(gè)域名所對(duì)應(yīng)的IPV4地址��,IPV4的DNS 服務(wù)器發(fā)現(xiàn)沒(méi)有這個(gè)資源記錄,于是它轉(zhuǎn)發(fā)這個(gè)DNS請(qǐng)求給IPV6的DNS 服務(wù)器�����。需要注意到����,NAT一PT設(shè)備上必須配置兩個(gè)DNS服務(wù)器的地址映 射關(guān)系,如10.18.34.252 => 2000::2,即IPV6的DNS服務(wù)器所對(duì)應(yīng)的IPV4 地址為10.1834.252��。隨著IPV6的發(fā)展����,逐步地將有相當(dāng)數(shù)量的IPV6網(wǎng)絡(luò)開(kāi)始建設(shè),但是 在一定的時(shí)間內(nèi)��,IPV4網(wǎng)絡(luò)和IPV6網(wǎng)絡(luò)將共存�。在過(guò)渡時(shí)期,會(huì)出現(xiàn)這樣 以下的兩種網(wǎng)絡(luò)結(jié)構(gòu)�����, 一個(gè)IPV4VPN,但是與之相連的公網(wǎng)是IPV6網(wǎng)絡(luò); 另外一種情況與"M目反���,即IPV6 VPN網(wǎng)絡(luò)與IPV4公網(wǎng)互連���。這就存在一個(gè)題。對(duì)于這個(gè)問(wèn)題�,NAT^PT只是作為IPV4網(wǎng)絡(luò)向IPV6網(wǎng)絡(luò)過(guò)渡的時(shí)候采 用的一種手段�,NAT—PT自身有一定的局限性,由于轉(zhuǎn)換相當(dāng)耗費(fèi)系統(tǒng)資源 和時(shí)間���,所以NAT_PT設(shè)備注定不能作為核心的設(shè)備��,只能用于邊緣協(xié)議 和地址的轉(zhuǎn)換?���,F(xiàn)有解決方法是在用戶(hù)網(wǎng)邊緣路由器(CE����, Custom Edge Router)設(shè)備上進(jìn)行NAT—PT轉(zhuǎn)換,這需要CE設(shè)備支持NAT_PT功能����,但 是�,多個(gè)CE的NAT^PT大大提高了升級(jí)和維護(hù)的難度��。特別的��,對(duì)于第二 種情況�����,IPV6 VPN網(wǎng)絡(luò)與IPV4公網(wǎng)互連時(shí)����,為每一個(gè)CE分配一定的V4 網(wǎng)絡(luò)地址也是一種浪費(fèi)�。發(fā)明內(nèi)容本發(fā)明所要解決的技術(shù)問(wèn)題在于,提供一種實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換 的異構(gòu)網(wǎng)絡(luò)系統(tǒng)及方法�。在網(wǎng)絡(luò)協(xié)議類(lèi)型不一樣的MPLS VPN網(wǎng)絡(luò)與公網(wǎng) 之間,在運(yùn)營(yíng)商邊緣路由器上實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換技術(shù)����,從而實(shí)現(xiàn) VPN網(wǎng)*各與 >網(wǎng)之間互訪。
本發(fā)明提供一種實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換的異構(gòu)網(wǎng)絡(luò)系統(tǒng)��,所述系統(tǒng)包括一個(gè)公網(wǎng)����、鄰接公網(wǎng)的運(yùn)營(yíng)商邊緣路由器PE�����、與PE相接的用戶(hù)網(wǎng)邊緣 路由器CE�、以及與CE鄰接的采用不同于公網(wǎng)協(xié)議的虛擬專(zhuān)用網(wǎng)VPN�����,所 述異構(gòu)網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)在于����,PE與公網(wǎng)相連的接口、 PE與CE相連的接口 均采用支持網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換NAT一PT功能的接口 ��,所述PE包括NAT一PT管理模塊�,用于提供NA1^PT相關(guān)命令,負(fù)責(zé)管理轉(zhuǎn)換條目表 的生成��、刪除��、老化�����,并通過(guò)虛擬專(zhuān)用網(wǎng)標(biāo)識(shí)VPN ID來(lái)區(qū)分地址重疊的 VPN的轉(zhuǎn)換條目�����;路由管理模塊,用于將NAT_PT地址池的公網(wǎng)地址路由或者VPN地址 路由通過(guò)路由協(xié)議分別通告到公網(wǎng)或者VPN;報(bào)文轉(zhuǎn)發(fā)模塊��,用于判斷報(bào)文是否需要進(jìn)行NAT—PT轉(zhuǎn)換��,需要時(shí)�����, 查找轉(zhuǎn)換條目�����,并根據(jù)NAT一PT轉(zhuǎn)換條目����,正確的進(jìn)行才艮文轉(zhuǎn)換及轉(zhuǎn)發(fā)���。其中��,所述公網(wǎng)或虛擬專(zhuān)用網(wǎng)的協(xié)議是IPV4協(xié)議或IPV6協(xié)議��,但公網(wǎng) 與虛擬專(zhuān)用網(wǎng)的協(xié)議必須是異種類(lèi)型的��。所述NAT一PT管理模塊生成的路由轉(zhuǎn)換條目中包括虛擬專(zhuān)用網(wǎng)標(biāo)識(shí)零�����,在將某一虛擬專(zhuān)用網(wǎng)的地址轉(zhuǎn)換為公網(wǎng)地址的轉(zhuǎn)換條目中是一個(gè)確定的 能標(biāo)識(shí)該虛擬專(zhuān)用網(wǎng)的非零數(shù)值����。所述PE支持域名服務(wù)系統(tǒng)一應(yīng)用層網(wǎng)關(guān)DNS一ALG,使得IPV4側(cè)主機(jī) 能夠在不確認(rèn)對(duì)應(yīng)IPV6側(cè)主機(jī)轉(zhuǎn)換后地址情況下�,訪問(wèn)該IPV6側(cè)主機(jī)。所述NAT—PT管理模塊包括NAT_PT命令處理模塊����、轉(zhuǎn)換條目管理模 塊,其中����,NAT—PT命令處理模塊配置關(guān)于轉(zhuǎn)換規(guī)則的命令,將相關(guān)的信息 通告給路由模塊和接入控制列表模塊���;轉(zhuǎn)換條目管理模塊�����,響應(yīng)NAT一PT 命令處理模塊�����,對(duì)轉(zhuǎn)換條目進(jìn)行創(chuàng)建���、刪除����、顯示的操作���。所述報(bào)文轉(zhuǎn)發(fā)模塊包括驅(qū)動(dòng)NAT—PT處理模塊���、微碼NAT_PT處理模 塊,其中����,微碼NAT一PT處理模塊通過(guò)查找路由模塊和接入控制列表模塊��, 進(jìn)行NAT—PT相關(guān)處理����,查找轉(zhuǎn)換條目,進(jìn)行報(bào)文轉(zhuǎn)發(fā)��,如果沒(méi)有查找到 轉(zhuǎn)換條目且需要?jiǎng)?chuàng)建的時(shí)候,將報(bào)文通過(guò)驅(qū)動(dòng)NAT PT處理模塊交給轉(zhuǎn)換條目管理模塊進(jìn)行處理�。所述NAT—PT管理模塊配置的轉(zhuǎn)換規(guī)則為將某個(gè)VPN中的地址或者某些符合接入控制列表ACL匹配條件的VPN 地址轉(zhuǎn)換為 一個(gè)公網(wǎng)主機(jī)地址或者公網(wǎng)地址池中的某些^>網(wǎng)地址,并將轉(zhuǎn)換 后的地址添加到公網(wǎng)路由表中��;將某個(gè)公網(wǎng)中的地址或者某些符合ACL匹配條件的公網(wǎng)地址轉(zhuǎn)換為異 種協(xié)議類(lèi)型的網(wǎng)絡(luò)地址���,并將轉(zhuǎn)換后的地址同時(shí)加到異種協(xié)議類(lèi)型的公網(wǎng)路 由表和對(duì)應(yīng)PE上的各個(gè)相關(guān)VPN的路由表中����。所述PE具有VPN前綴配置命令����,為每個(gè)VPN分別配置一個(gè)96位掩碼 長(zhǎng)度的IPV6前綴,要求各個(gè)VPN的前綴路由不能一樣�����,同時(shí)將該前綴添加 到夂^網(wǎng)路由中��。所述報(bào)文轉(zhuǎn)發(fā)4莫塊����,通過(guò)孩i:碼NAT—PT處理模塊對(duì)4艮文處理,查找路 由操作,如果路由有NAT一PT屬性�����,判斷報(bào)文需要進(jìn)行NAT一PT轉(zhuǎn)換�,則 查找轉(zhuǎn)換條目,進(jìn)入到NAT—PT處理流程����,繼續(xù)根據(jù)該數(shù)據(jù)包的源/目的地 址等信息查找是否存在轉(zhuǎn)換條目,如果源\目的地址的轉(zhuǎn)換條目都能夠查找 到����,則直接轉(zhuǎn)發(fā),如果查找不到且肯定不能由上層轉(zhuǎn)換條目管理模塊生成轉(zhuǎn) 換條目��,則報(bào)文丟棄���。本發(fā)明還提供一種基于上述異構(gòu)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換 的方法�����,用于使IPV4虛擬專(zhuān)用網(wǎng)和IPV6公網(wǎng)之間協(xié)議類(lèi)型不同的情況下 實(shí)現(xiàn)互訪,所述IPV4虛擬專(zhuān)用網(wǎng)依次經(jīng)過(guò)用戶(hù)網(wǎng)邊^(qū)i洛由器CE���、運(yùn)營(yíng)商邊 緣路由器PE與IPV6公網(wǎng)相連接�,所述方法包括如下步驟(a)配置PE與CE相連接口和PE與公網(wǎng)相連接口為支持網(wǎng)絡(luò)地址轉(zhuǎn) 換協(xié)議轉(zhuǎn)換NAT一PT功能接口 ;(b )在PE上配置NAT_PT地址池�,將該地址池中地址配置為公網(wǎng)IPV6 地址,綁定接入控制列表ACL后形成動(dòng)態(tài)規(guī)則�,或在PE上配置虛擬路由轉(zhuǎn) 發(fā)實(shí)例VRF NAT—PT靜態(tài)轉(zhuǎn)換規(guī)則,利用動(dòng)態(tài)規(guī)則或靜態(tài)轉(zhuǎn)換規(guī)則����,將VPN 地址生成NAT—PT路由并將其寫(xiě)入IPV6公網(wǎng)路由表;(c) 在PE上配置指定某個(gè)公網(wǎng)IPV6地址的靜態(tài)規(guī)則�����,將生成的(d) 在PE上配置公網(wǎng)IPV6地址進(jìn)行轉(zhuǎn)換的動(dòng)態(tài)規(guī)則�,將生成的 NAT一PT路由寫(xiě)入IPV4公網(wǎng)路由表和各個(gè)IPV4 VPN的路由表中;(e) 在PE上配置針對(duì)各個(gè)IPV4 VPN的96位長(zhǎng)IPV6 NAT_PT前綴�, 將對(duì)應(yīng)的NAT一PT路由寫(xiě)入IPV6公網(wǎng)路由表中;(f) PE上的報(bào)文收發(fā)模塊��,根據(jù)收到的報(bào)文的目的地址查找路由屬性���, 進(jìn)行NAT—PT轉(zhuǎn)換處理流程��,生成和查找轉(zhuǎn)換條目�,對(duì)報(bào)文進(jìn)行NAT—PT 轉(zhuǎn)換后轉(zhuǎn)發(fā)。進(jìn)一步地�����,步驟(b)中所述地址池用于利用動(dòng)態(tài)規(guī)則將VPN的主機(jī)地 址轉(zhuǎn)換為IPV6公網(wǎng)地址��,所述靜態(tài)轉(zhuǎn)換規(guī)則��,用于將VPN網(wǎng)絡(luò)中的特定主 機(jī)地址轉(zhuǎn)換為一個(gè)IPV6公網(wǎng)地址����,所述地址池和靜態(tài)轉(zhuǎn)換規(guī)則轉(zhuǎn)換后的 IPV6公網(wǎng)地址不同。進(jìn)一步地�����,步驟(f)中對(duì)于從IPV4VPN網(wǎng)絡(luò)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的 步驟��,包括(1) 查找VPN路由���,如果查找到的路由屬性為NAT一PT路由����,則報(bào)文 進(jìn)入NATJPT處理流程�����;(2) 針對(duì)目的地址��,查找到目的地址轉(zhuǎn)換條目�����,如找不到����,則丟棄報(bào)文;(3) 查找源地址轉(zhuǎn)換條目���,如果找不到����,則通過(guò)動(dòng)態(tài)規(guī)則從地址池生 成轉(zhuǎn)換條目����,所生成的轉(zhuǎn)換條目需要包括VPNID字段,如果沒(méi)有得到源地 址轉(zhuǎn)換條目����,則報(bào)文丟棄�;(4) 按得到的源/目的地址的轉(zhuǎn)換條目��,進(jìn)行報(bào)文轉(zhuǎn)換�,轉(zhuǎn)換成功之后, 報(bào)文轉(zhuǎn)發(fā)����。進(jìn)一步地,步驟(2 )中的所述目的轉(zhuǎn)換條目���,是由配置了的IPV6到IPV4 的靜態(tài)規(guī)則產(chǎn)生的�����;或是由于IPV6網(wǎng)絡(luò)先前訪問(wèn)過(guò)該VPN中的主機(jī)����,通過(guò) 地址池已經(jīng)形成的一條轉(zhuǎn)換條目���;或是通過(guò)DNS—ALG生成的轉(zhuǎn)換條目���。進(jìn)一步地,步驟(f)中對(duì)于從IPV6公網(wǎng)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的步驟��,
包括U)查找公網(wǎng)路由,如果查找到的路由屬性為NAT—PT路由����,則報(bào)文 進(jìn)入NAT_PT處理流程����;(2) 針對(duì)目的地址查找目的地址轉(zhuǎn)換條目,如果找不到轉(zhuǎn)換條目�����,但擁有指定前綴����,通過(guò)去除前綴生成目的地址轉(zhuǎn)換條目,如果最務(wù)農(nóng)然沒(méi)能得 到目的地址轉(zhuǎn)換條目���,則報(bào)文丟棄����;(3) 查找源地址轉(zhuǎn)換條目�,如果找不到,通過(guò)動(dòng)態(tài)規(guī)則生成轉(zhuǎn)換條目���, 如果最終沒(méi)有能夠得到轉(zhuǎn)換條目����,報(bào)文丟棄;(4) 按得到的源/目的地址的轉(zhuǎn)換條目�����,進(jìn)行報(bào)文轉(zhuǎn)換����,轉(zhuǎn)換成功之后, 報(bào)文轉(zhuǎn)發(fā)�����。本發(fā)明還提供一種基于上述異構(gòu)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換 的方法��,用于使IPV6虛擬專(zhuān)用網(wǎng)和IPV4公網(wǎng)之間協(xié)議類(lèi)型不同的情況下 實(shí)現(xiàn)互訪�,所述IPV6虛擬專(zhuān)用網(wǎng)依次經(jīng)過(guò)用戶(hù)網(wǎng)邊緣路由器CE、運(yùn)營(yíng)商邊 全4^由器PE與IPV4公網(wǎng)相連接�����,包括如下步驟(a)配置PE與CE相連接口和PE與公網(wǎng)相連接口為支持NAT—PT功 能接口�����;(b )在PE上配置NAT—PT地址池,將該地址池中地址配置為公網(wǎng)IPV4 地址�����,綁定ACL后形成動(dòng)態(tài)規(guī)則�,或在PE上配置虛擬路由轉(zhuǎn)發(fā)實(shí)例VRF NAT_PT靜態(tài)轉(zhuǎn)換規(guī)則����,利用動(dòng)態(tài)規(guī)則或靜態(tài)轉(zhuǎn)換規(guī)則,將IPV6 VPN地址 生成NAT—PT路由并將其寫(xiě)入IPV4公網(wǎng)路由表�;(c )在PE上配置指定某個(gè)公網(wǎng)IPV4地址的靜態(tài)規(guī)則�,生成NAT一PT 路由并導(dǎo)入到IPV6公網(wǎng)路由表中和各個(gè)IPV6 VPN路由表中����;(d) 在PE上配置96位長(zhǎng)的IPV6地址前綴�����,將對(duì)應(yīng)的IPV6 NAT—PT 路由寫(xiě)入IPV6公網(wǎng)路由表和各個(gè)IPV6 VPN路由表��;(e) PE上的報(bào)文轉(zhuǎn)發(fā)模塊根據(jù)收到的報(bào)文的目的地址查找路由屬性��, 進(jìn)行NAT_PT轉(zhuǎn)換處理流程,生成和查找轉(zhuǎn)換條目�����,對(duì)4艮文進(jìn)行NAT一PT 轉(zhuǎn)換后轉(zhuǎn)發(fā)����。 進(jìn)一步地,步驟(b)中所述地址池用于利用動(dòng)態(tài)規(guī)則將VPN的主機(jī)地 址轉(zhuǎn)換為IPV4公網(wǎng)地址���,所述靜態(tài)轉(zhuǎn)換規(guī)則�,用于將VPN網(wǎng)絡(luò)中的特定主 機(jī)地址轉(zhuǎn)換為一個(gè)V4公網(wǎng)地址��,所述地址池和靜態(tài)轉(zhuǎn)換規(guī)則轉(zhuǎn)換后的IPV4 乂〉網(wǎng)地址不同��。進(jìn)一步地�,步驟(e)中對(duì)于從IPV6 VPN網(wǎng)絡(luò)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā) 的步驟,包括(1) 查找VPN路由�����,如果查找到的路由屬性為NAT一PT路由�,則報(bào) 文進(jìn)入NAT一PT處理流程;(2) 針對(duì)目的地址查找目的地址轉(zhuǎn)換條目,如果找不到轉(zhuǎn)換條目�����,但 擁有指定前綴����,則通過(guò)去除前綴生成目的地址轉(zhuǎn)換條目,如果最終依然沒(méi)能 得到目的地址轉(zhuǎn)換條目�,則報(bào)文丟棄;(3) 查找源地址轉(zhuǎn)換條目���,如果找不到則通過(guò)動(dòng)態(tài)規(guī)則從地址池生成 轉(zhuǎn)換條目,所生成的轉(zhuǎn)換條目需要包括VPNID字段�����,如果沒(méi)有得到源地址 轉(zhuǎn)換條目�,則報(bào)文丟棄;(4) 按得到進(jìn)一步地�,的源/目的地址的轉(zhuǎn)換條目,進(jìn)行報(bào)文轉(zhuǎn)換��,轉(zhuǎn) 換成功之后�,報(bào)文轉(zhuǎn)發(fā)。進(jìn)一步地,步驟(e)中對(duì)于從IPV4公網(wǎng)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的步驟�����, 包括(1) 查找公網(wǎng)路由�����,如果查找到的路由屬性為NAT一PT路由�,則報(bào)文 進(jìn)入NAT一PT處理流程;(2) 針對(duì)目的地址��,查找到目的地址轉(zhuǎn)換條目���,找不到則丟棄報(bào)文����;(3) 查找源地址轉(zhuǎn)換條目�,如果找不到,則通過(guò)動(dòng)態(tài)規(guī)則從地址池生 成轉(zhuǎn)換條目���,如果沒(méi)有得到源地址轉(zhuǎn)換條目��,則報(bào)文丟棄�����;(4) 按得到的源/目的地址的轉(zhuǎn)換條目���,進(jìn)行報(bào)文轉(zhuǎn)換����,轉(zhuǎn)換成功之后�����, 進(jìn)行報(bào)文轉(zhuǎn)發(fā)����。進(jìn)一步地,步驟(2)中的所述目的地址轉(zhuǎn)換條目�,是由配置了的IPV6 到IPV4的靜態(tài)規(guī)則產(chǎn)生的�;或是由于IPV6網(wǎng)絡(luò)先前訪問(wèn)過(guò)該IPV4網(wǎng)絡(luò)中 的主機(jī),通過(guò)地址池已經(jīng)形成的一條轉(zhuǎn)換條目����;或是通過(guò)DNS一ALG生成的 轉(zhuǎn)換條目^儀MFUS VPJN私,WJ給"K 本發(fā)明提出的基于VRF的NAT—PT方法,僅需對(duì)PE設(shè)備進(jìn)行升級(jí)��,由PE 設(shè)備統(tǒng)一進(jìn)行NAT—PT,實(shí)現(xiàn)了網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換��,使得用戶(hù)側(cè)CE設(shè) 備無(wú)須支持NAT一PT功能���。這不但減少了用戶(hù)的升級(jí)維護(hù)成本��,而且使得 管理更為靈活���。
圖1是MPLS IPV4 VPN私有網(wǎng)絡(luò)訪問(wèn)IPV6 Internet網(wǎng)絡(luò)的組網(wǎng)示意圖; 圖2是MPLS IPV6 VPN私有網(wǎng)絡(luò)訪問(wèn)IPV4 Internet網(wǎng)絡(luò)的組網(wǎng)示意圖; 圖3是VRF NAT一PT模塊組成圖; 圖4是IPV4 VPN往IPV6公網(wǎng)的出報(bào)文轉(zhuǎn)發(fā)流程圖�����;圖5是IPV6公網(wǎng)往IPV4 VPN的入報(bào)文轉(zhuǎn)發(fā)流程圖����; 圖6是IPV6 VPN往IPV4公網(wǎng)的出報(bào)文轉(zhuǎn)發(fā)流程圖; 圖7是IPV4公網(wǎng)往IPV6 VPN的入報(bào)文轉(zhuǎn)發(fā)流程圖�����。
具體實(shí)施方式
下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明所述的技術(shù)方案作進(jìn)一步的詳細(xì) 描述�����。于虛擬路由轉(zhuǎn)發(fā)實(shí)例(VRF, Virtual Routing Forwarding Instance)的 PE-NAT—PT。所述異構(gòu)網(wǎng)絡(luò)系統(tǒng)����,在硬件上由一個(gè)標(biāo)準(zhǔn)的MPLS VPN環(huán)境 構(gòu)成,VPN同時(shí)通過(guò)PE (運(yùn)營(yíng)商邊緣路由器���,Provider Edge Router)鏈接 到公網(wǎng)�,且VPN網(wǎng)絡(luò)和公網(wǎng)協(xié)議類(lèi)型不一樣����,其具體組網(wǎng)環(huán)境如圖1、圖2 所示����。圖1中顯示了 IPV4的VPN1、 VPN2通過(guò)PE連接到公網(wǎng)V6 Internet, 圖2中IPV6的VPN1 ���、 VPN2通過(guò)PE連接到公網(wǎng)V4 Internet�����。本發(fā)明區(qū)別于一般的NAT—PT功能,將VPN ID字段融合到報(bào)文轉(zhuǎn)換條 目中�,能夠?qū)崿F(xiàn)VPN用戶(hù)地址和公網(wǎng)地址之間的地址轉(zhuǎn)換��。更進(jìn)一步的���,
為不同的V4 VPN設(shè)定不同的VPN前綴,即能夠?qū)崿F(xiàn)對(duì)來(lái)自V6公網(wǎng)的數(shù) 據(jù)包的V6的目的地址通過(guò)前綴進(jìn)行轉(zhuǎn)換�,同時(shí)也能夠清晰的確定發(fā)往哪個(gè) V4VPN,方便了網(wǎng)絡(luò)管理�。在本發(fā)明實(shí)施時(shí),只需要對(duì)現(xiàn)有的MPLS VPN環(huán)境中的PE進(jìn)行升級(jí)�, 使其支持NAT—PT,對(duì)其他設(shè)備完全透明��,就可實(shí)現(xiàn)VPN和公網(wǎng)之間的網(wǎng) 絡(luò)地址轉(zhuǎn)換協(xié)i義轉(zhuǎn)換�,而無(wú)需在用戶(hù)側(cè)的用戶(hù)網(wǎng)邊緣路由器CE上分別配置, 減少了用戶(hù)的升級(jí)維護(hù)成本�,而管理更為靈活。本實(shí)施例所述的基于VRF的PE-NAT_PT涉及到以下才莫塊NAT一PT管 理模塊�、路由管理模塊、報(bào)文轉(zhuǎn)發(fā)模塊�����。其中1) NAT一PT管理模塊提供NAT—PT相關(guān)命令���,并負(fù)責(zé)管理轉(zhuǎn)換條目 表等表的生成��、刪除��、老化����,并通過(guò)虛擬專(zhuān)用網(wǎng)標(biāo)識(shí)VPNID來(lái)區(qū)分地址重 疊的VPN的轉(zhuǎn)換條目,其中��,所述地址重疊是指兩個(gè)VPN可以使用同一 IPV4或IPV6的地址�����,可以采用VPN ID來(lái)進(jìn)行區(qū)分��;2) 路由管理模塊負(fù)責(zé)將NAT一PT地址池的公網(wǎng)地址路由或者私網(wǎng)地 址路由通過(guò)路由協(xié)議分別通告到公網(wǎng)或者私網(wǎng)��;3) 報(bào)文轉(zhuǎn)發(fā)模塊判斷報(bào)文是否需要進(jìn)行NAT一PT轉(zhuǎn)換���,如需要?jiǎng)t查 找轉(zhuǎn)換條目����,并根據(jù)NAT—PT轉(zhuǎn)換條目�����,正確的進(jìn)行才艮文轉(zhuǎn)換����,然后查找 路由,進(jìn)行凈艮文轉(zhuǎn)發(fā)�����。這里實(shí)際上有兩次查找路由的過(guò)程�,第一次查找路由,發(fā)現(xiàn)路由條目有 NAT—PT屬性����,那么報(bào)文則進(jìn)行NAT—PT處理流程。在報(bào)文轉(zhuǎn)換之后��,報(bào)文 在某種程度上就像本地發(fā)送的報(bào)文�,需要對(duì)轉(zhuǎn)換后的目的地址再查找一次路 由,進(jìn)行轉(zhuǎn)發(fā)��。進(jìn)一步的��,本實(shí)施例還支持DNS_ALG (域名服務(wù)系統(tǒng)一應(yīng)用層網(wǎng)關(guān)����, Domain Name System & Application Level Gateway) ���。 DNS一ALG的一個(gè)重要 功能,就是能夠支持IPV4側(cè)主機(jī)能夠在不確認(rèn)對(duì)應(yīng)IPV6側(cè)主機(jī)轉(zhuǎn)換后地 址的情況下�,訪問(wèn)該IPV6側(cè)主機(jī)。鑒于VPN的特點(diǎn)����, 一般較少會(huì)給VPN 中的主機(jī)分配域名,本發(fā)明還能夠支持IPV4 VPN訪問(wèn)IPV6公網(wǎng)的 DNS—ALG�����。
普通的DNS—ALG實(shí)現(xiàn)過(guò)程為通過(guò)設(shè)置DNS server進(jìn)行域名到地址之 間的查找�,DNS SERVER之間的報(bào)文交互經(jīng)過(guò)PE的時(shí)候,PE將報(bào)文中的 經(jīng)過(guò)域名解析之后的真實(shí)地址取出�����,用從地址池中分配的一個(gè)地址替換���,生 成轉(zhuǎn)換條目����。當(dāng)發(fā)起訪問(wèn)的主機(jī)使用DNS SERVER告知的替換之后的目的 地址進(jìn)行訪問(wèn)的時(shí)候,報(bào)文經(jīng)過(guò)PE自然能夠查找到對(duì)應(yīng)的目的地址轉(zhuǎn)換條 目�����。圖3顯示了本實(shí)施方案涉及的各個(gè)相關(guān)模塊之間的層次結(jié)構(gòu)及其相互 關(guān)系�。圖3中主要包括路由模塊��、NAT一PT模塊和接入控制列表(ACL,Access Control List)模塊�,以及操作、管理和維護(hù)模塊OAM (Operation, Administration & Maintenance)�����。所述NAT—PT模塊��,又包括NAT—PT命令 處理模塊�、轉(zhuǎn)換條目管理模塊、驅(qū)動(dòng)NAT_PT處理模塊�、微碼NAT1PT處 理模塊。圖3中斜線填充的箭頭和黑色箭頭表示用于各種配置操作的配置流�����,空 心的箭頭表示用于報(bào)文轉(zhuǎn)發(fā)相關(guān)操作的轉(zhuǎn)發(fā)流�����。在配置流中,OAM模塊與NA1^PT命令處理模塊相互交互實(shí)現(xiàn)相關(guān)命 令的配置等��;配置關(guān)于轉(zhuǎn)換規(guī)則等命令��,需要將相關(guān)的信息通告給路由模塊 和ACL模塊��;另外���,轉(zhuǎn)換條目管理模塊���,要響應(yīng)NAT—PT命令處理模塊, 對(duì)轉(zhuǎn)換條目進(jìn)行創(chuàng)建�����、刪除��、顯示等操作��。在轉(zhuǎn)發(fā)流中���,孩支碼NAT—PT處理模塊通過(guò)查找路由模塊和ACL模塊�, 進(jìn)行NAT—PT相關(guān)處理,查找轉(zhuǎn)換條目�,進(jìn)行報(bào)文轉(zhuǎn)發(fā)。如果沒(méi)有查找到 轉(zhuǎn)換條目且需要?jiǎng)?chuàng)建的時(shí)候����,將報(bào)文通過(guò)驅(qū)動(dòng)NAT_PT處理模塊交給轉(zhuǎn)換 條目管理模塊進(jìn)行處理。驅(qū)動(dòng)NATUPT處理模塊��,只是一個(gè)墊層��,它實(shí)際上只是將上層NAT一PT 轉(zhuǎn)換條目處理模塊的信息重新精簡(jiǎn)之后組織給微碼來(lái)使用��,其條目的創(chuàng)建和 刪除都由上層觸發(fā)�。另外���,就是一些NAT一PT上層模塊和微碼之間的接口 墊層���,相關(guān)信息和報(bào)文的傳遞。轉(zhuǎn)換條目保存在轉(zhuǎn)換條目管理模塊�。在報(bào)文到達(dá)PE之后,首先是微碼NAT一PT處理模塊對(duì)報(bào)文處理���,查找 路由操作��,如果找到的路由條目有NAT—PT屬性���,該報(bào)文進(jìn)入到NAT—PT 處理流程�。微碼模塊繼續(xù)根據(jù)該數(shù)據(jù)包的源/目的地址等信息查找是否存在
轉(zhuǎn)換條目(這里查找的轉(zhuǎn)換條目可能是直接訪問(wèn)上層轉(zhuǎn)換條目管理模塊保存 轉(zhuǎn)換條目的存儲(chǔ)空間�����,也可能是由上層寫(xiě)給驅(qū)動(dòng)層面之后��,驅(qū)動(dòng)層為微碼訪 問(wèn)特地維護(hù)的���,這需^照不同設(shè)備的體系結(jié)構(gòu)來(lái)決定了�,例如���,有些路由 器就同時(shí)存在這兩種情況)��。如果源\目的地址的轉(zhuǎn)換條目都能夠查找到�����, 則直接轉(zhuǎn)發(fā)����。如果查找不到且肯定不能由上層轉(zhuǎn)換條目管理模塊生成轉(zhuǎn)換條目,則報(bào)文丟棄���。比如�,V4 VPN訪問(wèn)V6公網(wǎng)的情況��,如果發(fā)現(xiàn)目的V4 地址無(wú)法查找到轉(zhuǎn)換條目的情況�����,因?yàn)檫@個(gè)轉(zhuǎn)換條目只能由靜態(tài)條目生成����, 或者前期動(dòng)態(tài)已經(jīng)生成過(guò)�。否則的話,將^L文通過(guò)驅(qū)動(dòng)層上送給轉(zhuǎn)換條目控 制管理模塊進(jìn)行轉(zhuǎn)換條目的生成���。另夕卜��,部分微碼不能轉(zhuǎn)換的報(bào)文也許要上 送處理�。比如ICMP包����、分片包�����、FTP����、 DNS等報(bào)文�����?���;谏鲜鰧?duì)PE的設(shè)置,在對(duì)采用異種協(xié)議的公網(wǎng)和私網(wǎng)之間實(shí)現(xiàn) NAT一PT功能時(shí)���,本實(shí)施例需具有如下特點(diǎn)l)首先�����,在普通NAT—PT轉(zhuǎn)換條目中新定義了 VPNID字段�,用來(lái)區(qū) 分不同VPN的轉(zhuǎn)換條目��。2)其次�,支持NAT一PT轉(zhuǎn)換規(guī)則綁定到VPN�。這里的規(guī)則包括靜態(tài)規(guī) 則和動(dòng)態(tài)規(guī)則����。換為一個(gè)公網(wǎng)主機(jī)地址或者公網(wǎng)地址池中的某些地址。上述轉(zhuǎn)換后的地址需 要添加到公網(wǎng)路由表中�。也可以將某個(gè)公網(wǎng)中的地址或者某些符合ACL匹配條件的公網(wǎng)地址轉(zhuǎn) 換為異種協(xié)議類(lèi)型的網(wǎng)絡(luò)地址。將這些轉(zhuǎn)換后的地址同時(shí)加到異種協(xié)iJC類(lèi)型 的公網(wǎng)路由表和對(duì)應(yīng)PE上的各個(gè)相關(guān)VPN的路由表中����,這樣的好處是方便 性,比如�����, 一個(gè)公網(wǎng)地址轉(zhuǎn)換之后����,在各個(gè)VPN中和采用異種協(xié)議類(lèi)型的 />網(wǎng)中都使用一個(gè)相同的地址���,避免了重復(fù)配置�。對(duì)于將公網(wǎng)地址轉(zhuǎn)換為VPN地址的轉(zhuǎn)換條目����,轉(zhuǎn)換條目中的VPN ID 字段可以為零���。對(duì)于將某個(gè)VPN中的地址轉(zhuǎn)換為一個(gè)公網(wǎng)地址的轉(zhuǎn)換條目, 其中的VPNID有意義���,需要具體賦不同值來(lái)區(qū)別不同的VPN�。3 )設(shè)定NAT—PT前綴��。PE中需要新增VPN前綴配置命令��,為每個(gè)VPN分別配置一個(gè)96位掩 碼長(zhǎng)度的IPV6前綴��,要求各個(gè)VPN的前綴路由不能一樣����,同時(shí)將該前綴添 加到公網(wǎng)路由中。這樣接收到來(lái)自IPV6公網(wǎng)的數(shù)據(jù)包通過(guò)查找公網(wǎng)路由�����,就能夠走到 NAT_PT處理流程中��。由于前綴的唯一性�,就能夠確認(rèn)數(shù)據(jù)包發(fā)往哪個(gè)VPN。 當(dāng)然,依然可以配置不針對(duì)VPN的NAT一PT前綴�����,將其同時(shí)寫(xiě)入各個(gè)IPV6 VPN路由表和IPV6公網(wǎng)路由表中��。這樣各個(gè)IPV6 VPN和IPV6公網(wǎng)就能 夠統(tǒng)一使用該前綴訪問(wèn)IPV4公網(wǎng)了 ���。4)相應(yīng)的路由協(xié)議必須支持通告NAT—PT路由���。對(duì)于訪問(wèn)公網(wǎng)的情況, 配置相應(yīng)的路由協(xié)議���,通告NAT—PT地址池或者靜態(tài)規(guī)則指定地址的公網(wǎng) 路由�。本實(shí)施例主要是為了解決MPLS VPN網(wǎng)絡(luò)和公網(wǎng)之間存在網(wǎng)絡(luò)協(xié)議類(lèi) 型不一樣的情況下���,VPN直接訪問(wèn)公共網(wǎng)絡(luò)以及VPN網(wǎng)絡(luò)內(nèi)部互訪的問(wèn)題�。 下面分別對(duì)IPV4 VPN和IPV6公共網(wǎng)絡(luò)之間互訪�、以及IPV6 VPN和IPV4 公共網(wǎng)絡(luò)之間互訪的情形進(jìn)行說(shuō)明。本實(shí)施例中�,如圖l所示的網(wǎng)絡(luò)系統(tǒng)中���,通過(guò)NAT-PT支持IPV4VPN 和IPV6公共網(wǎng)絡(luò)之間協(xié)議類(lèi)型不同的情況下互訪的主要步驟如下第一步����、配置PE與CE相連接口和PE與公網(wǎng)相連接口為支持NATJPT 功能接口。第二步���、在PE上配置NAT一PT地址池�����,該地址池中地址為公網(wǎng)IPV6 地址��,綁定ACL后形成動(dòng)態(tài)規(guī)則�����,用于轉(zhuǎn)換VPN中的主機(jī)地址���。同時(shí)也可 以配置VRF NAT一PT靜態(tài)轉(zhuǎn)換規(guī)則,將VPN網(wǎng)絡(luò)中的特定主機(jī)地址轉(zhuǎn)換為 一個(gè)IPV6公網(wǎng)地址����。注意配置的地址池和靜態(tài)規(guī)則配置的轉(zhuǎn)換后的IPV6 公網(wǎng)地址不能相同。生成NAT一PT路由并將其寫(xiě)入IPV6公網(wǎng)路由表�。第三步、在PE上配置指定某個(gè)公網(wǎng)IPV6地址的靜態(tài)規(guī)則,將生成的NAT么���、
第四步���、在PE上配置公網(wǎng)IPV6地址進(jìn)行轉(zhuǎn)換的動(dòng)態(tài)規(guī)則,將生成的 NAT—PT路由同時(shí)寫(xiě)入到IPV4公網(wǎng)路由表和各個(gè)IPV4 VPN的路由表中��。按以上規(guī)則生成的NAT—PT路由在路由表中均已作出標(biāo)示以便識(shí)別�, 各個(gè)轉(zhuǎn)換條目可以通過(guò)加入VPNID來(lái)進(jìn)行識(shí)別。這里���,動(dòng)態(tài)和靜態(tài)轉(zhuǎn)換條 目生成的路由只是用來(lái)對(duì)收到報(bào)文之后進(jìn)行路由查找確定走到NAT一PT流 程使用��,因?yàn)閳?bào)文轉(zhuǎn)換之后還需要進(jìn)行查路由操作���,此時(shí)的路由條目才是一 般意義上的路由條目概念。另外��,動(dòng)態(tài)規(guī)則是在實(shí)際分配時(shí)才生成路由�,但也可能由于設(shè)M系架 構(gòu)的不同存在區(qū)別。比如分布式機(jī)架���,路由同步的問(wèn)題���,可能會(huì)在配置動(dòng)態(tài) 規(guī)則的時(shí)候就生成����,同步到各個(gè)線卡上���。第五步、在PE上配置針對(duì)各個(gè)IPV4 VPN的96位長(zhǎng)IPV6 NAT一PT前 綴�,將對(duì)應(yīng)的NA1^PT路由寫(xiě)入IPV6公網(wǎng)路由表中。第六步�、PE的報(bào)文收發(fā)模塊,根據(jù)收到的報(bào)文的目的地址查找路由屬 性�����,進(jìn)行NAT一PT轉(zhuǎn)換處理流程����,生成和查找轉(zhuǎn)換條目,對(duì)報(bào)文進(jìn)行NAT_PT 轉(zhuǎn)換后轉(zhuǎn)發(fā)��。下面��,結(jié)合圖4和圖5�,對(duì)第六步中NAT一PT報(bào)文轉(zhuǎn)發(fā)流程具體處理流 程進(jìn)行描述�。A���、對(duì)于從IPV4 VPN網(wǎng)絡(luò)收到的數(shù)據(jù)包��,具體處理流程如圖4所示����, 包括1) 首先��,查找VPN路由�����,如果查找到的路由屬性為NAT—PT路由�����,則 報(bào)文進(jìn)入NAT_PT處理流程�����。2) 針對(duì)目的地址(V6地址)�����,查找到目的轉(zhuǎn)換條目,找不到則丟棄報(bào) 文��。這里的目的地址轉(zhuǎn)換條目�����,其可能由以下幾個(gè)地方產(chǎn)生可能是配置了 IPV6到IPV4的靜態(tài)規(guī)則����;也可能是由于IPV6網(wǎng)絡(luò)先前訪問(wèn)過(guò)該VPN中的 主機(jī)�,通過(guò)地址池已經(jīng)形成了一條轉(zhuǎn)換條目;當(dāng)然也可能是通過(guò)DNS—ALG 生成的轉(zhuǎn)換條目����。PE中的轉(zhuǎn)換條目是分為IPV4到IPV6的地址轉(zhuǎn)換條目和IPV6到IPV4
的地址轉(zhuǎn)換條目,為了說(shuō)明方便�,可根據(jù)來(lái)源與目的的不同而稱(chēng)為源地址 轉(zhuǎn)換條目和目的地址轉(zhuǎn)換條目。3) 接著���,查找源地址轉(zhuǎn)換條目���,如果找不到,則通過(guò)動(dòng)態(tài)規(guī)則從地址 池生成轉(zhuǎn)換條目�。注意��,筌于VPN之間地址重疊的情況�����,這里生成的轉(zhuǎn)換 條目需要包括VPNID字段�。如果沒(méi)有得到源地址轉(zhuǎn)換條目����,報(bào)文丟棄。4) 得到源/目的地址的轉(zhuǎn)換條目����,進(jìn)行報(bào)文轉(zhuǎn)換,轉(zhuǎn)換成功之后����,報(bào)文 轉(zhuǎn)發(fā)。B����、對(duì)于從IPV6公網(wǎng)收到的數(shù)據(jù)包,具體處理流程如圖5所示����,包括1) 首先�����,查找公網(wǎng)路由����,如果查找到的路由屬性為NAT一PT路由�,則 報(bào)文進(jìn)入NAT_PT處理流程,該路由屬性可以由路由表中特殊字段的不同 位來(lái)標(biāo)示路由屬性信息���,比如地址路由,PPP路由等等信息���。2) 針對(duì)目的地址(V4地址)查找目的地址轉(zhuǎn)換條目(地址��,端口 ����,無(wú) 所謂VPNID)�����。如果找不到轉(zhuǎn)換條目�,但是確是擁有指定前綴���,通過(guò)去除前 綴來(lái)生成目的地址轉(zhuǎn)換條目(該條目包含VPNID字段)。注意這里的前綴 是區(qū)分VPN的�,可以確定報(bào)文發(fā)往那個(gè)VPN。如果最終依然沒(méi)能得到目的 地址轉(zhuǎn)換條目�����,則報(bào)文丟棄�。3) 接著,進(jìn)行源地址轉(zhuǎn)換條目的查找�����。如果找不到��,通過(guò)動(dòng)態(tài)規(guī)則生 成轉(zhuǎn)換條目����。如果最終沒(méi)有能夠得到轉(zhuǎn)換條目,纟艮文丟棄�。4) 得到源/目的地址的轉(zhuǎn)換條目,進(jìn)行報(bào)文轉(zhuǎn)換���,轉(zhuǎn)換成功之后���,報(bào)文 轉(zhuǎn)發(fā)�。本實(shí)施例中�,如圖2所示的網(wǎng)絡(luò)系統(tǒng)中,通過(guò)NAT一PT支持IPV6VPN 和IPV4公共網(wǎng)絡(luò)之間協(xié)議類(lèi)型不同的情況下互訪的主要步驟如下第一步�、配置PE與CE相連接口和PE與公網(wǎng)相連接口為支持NAT—PT 功能接口。第二步�、在PE上配置NAT一PT地址池,該地址池中地址為公網(wǎng)IPV4 地址����,綁定ACL后形成動(dòng)態(tài)規(guī)則,用于轉(zhuǎn)換VPN中的主機(jī)地址����。同時(shí)也可 以配置VRF NAT PT靜態(tài)轉(zhuǎn)換規(guī)則��,將VPN網(wǎng)絡(luò)中的特定主才幾地址轉(zhuǎn)換為
一個(gè)V4公網(wǎng)地址�����。注意配置的地址池和靜態(tài)規(guī)則配置的轉(zhuǎn)換后的IPV4公 網(wǎng)地址不能相同�����。生成NAT一PT路由寫(xiě)入IPV4公網(wǎng)路由表。第三步��、在PE上配置指定某個(gè)公網(wǎng)IPV4地址的靜態(tài)規(guī)則����,將生成的 NAT_PT路由,同時(shí)導(dǎo)入到IPV6公網(wǎng)路由表中和各個(gè)IPV6 VPN路由表中���。第四步�����、在PE上配置96位長(zhǎng)的IPV6地址前綴�����,將對(duì)應(yīng)的IPV6 NAT—PT 路由寫(xiě)入IPV6公網(wǎng)路由表和各個(gè)IPV6 VPN路由表中���。第五步、PE上的報(bào)文收發(fā)模塊�����,根據(jù)收到的報(bào)文的目的地址查找路由 屬性,進(jìn)行NAT—PT轉(zhuǎn)換處理流程��,生成和查找轉(zhuǎn)換條目����,對(duì)報(bào)文進(jìn)行 NAT_PT轉(zhuǎn)換后轉(zhuǎn)發(fā)。下面���,結(jié)合圖6和圖7,對(duì)第五步中NAT—PT報(bào)文轉(zhuǎn)發(fā)流程具體處理流 程進(jìn)行描述�。C���、 對(duì)于從IPV6 VPN網(wǎng)絡(luò)收到的數(shù)據(jù)包����,具體處理流程如圖6所示�, 包括1) 首先,查找VPN路由�,如果查找到的路由屬性為NAT—PT路由, 則報(bào)文進(jìn)入NAT-PT處理流程�����。2) 針對(duì)目的地址(V4地址)查找目的地址轉(zhuǎn)換條目(地址�,端口,無(wú) 所謂VPNID)���。如果找不到轉(zhuǎn)換條目����,但確是擁有指定前綴�,通過(guò)去除前 綴生成目的地址轉(zhuǎn)換條目。注意這里的前綴是不區(qū)分VPN的����,所有的IPV6 VPN都共用一個(gè)相同前綴。也就是說(shuō)針對(duì)某個(gè)IPV4公網(wǎng)地址來(lái)說(shuō)�,在各個(gè) IPV6 VPN中使用相同的轉(zhuǎn)換條目。如果最終依然沒(méi)能得到目的地址轉(zhuǎn)換條 目��,報(bào)文丟棄���。3) 接著���,查找源地址轉(zhuǎn)換條目,如果找不到�����,則通過(guò)動(dòng)態(tài)規(guī)則從地址 池生成轉(zhuǎn)換條目。注意��,鑒于VPN之間地址重疊的情況�,這里生成的轉(zhuǎn)換 條目需要包括VPNID字段。如果沒(méi)有得到源地址轉(zhuǎn)換條目�����,報(bào)文丟棄���。4) 得到源/目的地址的轉(zhuǎn)換條目��,進(jìn)行報(bào)文轉(zhuǎn)換��,轉(zhuǎn)換成功之后���,報(bào)文 轉(zhuǎn)發(fā)。D��、 對(duì)于從IPV4公網(wǎng)收到的數(shù)據(jù)包�,具體處理流程如圖7所示,包括: l)首先���,查找公網(wǎng)路由���,如果查找到的路由屬性為NAT—PT路由,則 報(bào)文進(jìn)入NAT—PT處理流程�。2) 針對(duì)目的地址(V6地址),查找到目的地址轉(zhuǎn)換條目�����,如果找不到����, 則丟棄報(bào)文。這里的目的地址轉(zhuǎn)換條目的產(chǎn)生����,可能由以下幾個(gè)地方可能 是配置了 IPV6到IPV4的靜態(tài)規(guī)則;也可能是由于IPV6網(wǎng)絡(luò)先前訪問(wèn)過(guò) IPV4主機(jī)���,通過(guò)地址池已經(jīng)形成了一條轉(zhuǎn)換條目�����;當(dāng)然�,也可能是通過(guò) DNS—ALG生成的轉(zhuǎn)換條目����。3) 接著��,查找源地址轉(zhuǎn)換條目��,如果找不到����,則通過(guò)動(dòng)態(tài)規(guī)則從地址 池生成轉(zhuǎn)換條目��。如果沒(méi)有得到源地址轉(zhuǎn)換條目�,則報(bào)文丟棄。4) 得到源/目的地址的轉(zhuǎn)換條目����,進(jìn)行報(bào)文轉(zhuǎn)換,轉(zhuǎn)換成功之后��,報(bào)文 轉(zhuǎn)發(fā)�。下面給出兩種應(yīng)用環(huán)境的具體實(shí)施例。第 一種情況�,是通過(guò)NAT—PT支持MPLS IPV4 VPN私有網(wǎng)絡(luò)訪問(wèn)IPV6 公網(wǎng),其具體組網(wǎng)環(huán)境如圖l所示����。在原有的MPLSVPN網(wǎng)絡(luò)配置環(huán)境下���, 進(jìn)行如下步驟1) 配置PE2與CE3相連接口支持NAT一PT功能,配置PE2與IPV6公 網(wǎng)相連接口支持NAT_PT功能�。2) 在PE2上配置NAT_PT地址池ipv6 natpt pool internet-pool6 2000:: 1 2000:: 100 prefix-length 96ipv6啤t pool intemet-pooW 100. U. 1 100. U. 100 prefix-length 24ipv6 natpt v4v6 source list 1 pool intemet-pool6 overload3 )連接pe2的所有ipv4 vpn和非vpn主機(jī)訪問(wèn)ipv6公網(wǎng)可以統(tǒng)一4吏用 該地址池�����。ipv6 natpt v6v4 source list 2 pool internet-pool44) ipv6公網(wǎng)設(shè)備訪問(wèn)連接pe2的所有ipv4 vpn和非vpn主機(jī)���,訪問(wèn)可 以統(tǒng)一使用該地址池分配地址���。設(shè)定訪問(wèn)vpnl的NAT一PT前綴
ipv6 natpt prefix 3001 ::/96 vpnl 設(shè)定訪問(wèn)vpn2的NAT一PT前綴 ipv6 natpt prefix 3002::/96 vpn2 設(shè)定訪問(wèn)非vpn網(wǎng)絡(luò)的NAT一PT前綴 ipv6 natpt prefix 3003::/96設(shè)定ipv6公網(wǎng)地址3000:: 64.233.167.99轉(zhuǎn)換為IPV4地址IO丄Uipv6 natpt v6v4 source 3000:: 64.233.167.99 10.1.1.15)假設(shè)ce3下某個(gè)VPN2主機(jī)10.1.2.1訪問(wèn)ipv6公網(wǎng)地址3000:: 64.233.167.99。 同時(shí)ce3下某個(gè)VPN1主機(jī)10.1.2.1也訪問(wèn)EPV6公網(wǎng)主機(jī) zte.com.cn (3000:: 64.233.167.100)�。ce3下聯(lián)接主機(jī)Hostl(10丄2.1)也訪問(wèn)ipv6 公網(wǎng)地址3000:: 64.233.167.99。另外���,IPV6公網(wǎng)主機(jī)通過(guò)前綴訪問(wèn)VPN1 主機(jī)10.1.2.2�。使用show ipv6 nat translations命令觀察如下TypeIPV4 IPV6 VPN10.1.1.13000:: 64.233.167.99—Icmp10丄2.11112000: :11 5000—Icmp10.1.2.11182000: :1 | 50011Icmp10.1.2.11152000::11 50022Dns跳l.l.l3000:: 64.233.167.100—Icmp10.1.2.23001:: 10.1.2.21第二種情況�����,是通過(guò)NAT—PT支持MPLS IPV6 VPN私有網(wǎng)絡(luò)訪問(wèn)IPV4 公網(wǎng)��,如圖2所示,在原有的MPLS VPN網(wǎng)絡(luò)配置環(huán)境下��,進(jìn)行采用如下 步驟1)配置PE2與CE3相連接口支持NAT_PT功能����,配置PE2與公網(wǎng)相 連接口支持NAT_PT功能。2 )在PE2上配置NAT PT地址池ipv6 natpt pool intemet-pooW 100.1. U 100.1丄100 prefix-length 24ipv6 natpt pool intemet-pool6 1111:: 1 1111:: 100 prefix-length 96ipv6 natpt v6v4 source list 1 pool intemet-pool4 overload3 )連接pe2的所有IPV6 VPN和非VPN主機(jī)訪問(wèn)IPV4 乂i^網(wǎng)可以統(tǒng)一 ^使用該地址池����。ipv6 natpt v4v6 source list 2 pool intemet-pool6以統(tǒng)一使用該地址池分配地址。設(shè)定訪問(wèn)IPV6 VPN和非VPN網(wǎng)絡(luò)訪問(wèn)IPV4公網(wǎng)的NAT—PT前綴 ipv6 natpt prefix 4003::/96設(shè)定IPV4公網(wǎng)地址64.233.167.99轉(zhuǎn)換為IPV6地址5000:: lO丄l.lipv6 natpt v4v6 source 64.233.167.99 5000:: 10.1.1.15 )假設(shè)CE3下某個(gè)VPN1主機(jī)3000:: 1訪問(wèn)IPV4公網(wǎng)主機(jī)zte.com (64.233.167.119)�����。同時(shí)ce3下某個(gè)VPN2主機(jī)3000:: 1也訪問(wèn)IPV4公網(wǎng)主 機(jī)64.233.167.99 (目的地址5000:: 10.1丄l)�。ce3下連接的主機(jī)host1(4000:: 1) 也訪問(wèn)IPV4公網(wǎng)地址4003:: 64.233.167.200。使用show ipv6 nat translations命令觀察如下TypeIPV4IPV6VPN64.233.167.995000:: 10.U.1—Icmp100.1.U|50003000::1 | 171IcmpIOO丄U |50013000:: 11 252Icmp跳l.U |50024000:: 1 1 35—Dns64.233.167.119llll::l—Icmp64.233.167.200德:64.233.167.200—綜上所述�����,使用本發(fā)明提出的基于VRF的PE-NAT一PT設(shè)備和方法��,可
以方便的支持異種協(xié)議類(lèi)型的MPLS VPN私網(wǎng)主機(jī)和公網(wǎng)互通��,而且只需 要對(duì)現(xiàn)有的MPLS VPN環(huán)境中的PE進(jìn)行升級(jí),對(duì)其他設(shè)備完全透明���,減少 了用戶(hù)的升級(jí)維護(hù)成本��,而且使得管理更為靈活����。
權(quán)利要求
1��、一種實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換的異構(gòu)網(wǎng)絡(luò)系統(tǒng)���,所述系統(tǒng)包括一個(gè)公網(wǎng)、鄰接公網(wǎng)的運(yùn)營(yíng)商邊緣路由器PE���、與PE相接的用戶(hù)網(wǎng)邊緣路由器CE���、以及與CE鄰接的采用不同于公網(wǎng)協(xié)議的虛擬專(zhuān)用網(wǎng)VPN,其特征在于�����,PE與公網(wǎng)相連的接口���、PE與CE相連的接口均采用支持網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換NAT_PT功能的接口�,所述PE包括NAT_PT管理模塊,用于提供NAT_PT相關(guān)命令�,負(fù)責(zé)管理轉(zhuǎn)換條目表的生成、刪除��、老化���,并通過(guò)虛擬專(zhuān)用網(wǎng)標(biāo)識(shí)VPN ID來(lái)區(qū)分地址重疊的VPN的轉(zhuǎn)換條目�����;路由管理模塊�,用于將NAT_PT地址池的公網(wǎng)地址路由或者VPN地址路由通過(guò)路由協(xié)議分別通告到公網(wǎng)或者VPN��;報(bào)文轉(zhuǎn)發(fā)模塊����,用于判斷報(bào)文是否需要進(jìn)行NAT_PT轉(zhuǎn)換,需要時(shí)����,查找轉(zhuǎn)換條目,并根據(jù)NAT_PT轉(zhuǎn)換條目�,正確的進(jìn)行報(bào)文轉(zhuǎn)換及轉(zhuǎn)發(fā)�����。
2�����、 如權(quán)利要求l所述的系統(tǒng)��,其特征在于�,所述公網(wǎng)或虛擬專(zhuān)用網(wǎng)的 協(xié)議是IPV4協(xié)議或IPV6協(xié)議��,但公網(wǎng)與虛擬專(zhuān)用網(wǎng)的協(xié)議必須是異種類(lèi)型的���。
3、 如權(quán)利要求l所述的系統(tǒng)����,其特征在于,所述NAT一PT管理模塊生 成的路由轉(zhuǎn)換條目中包括虛擬專(zhuān)用網(wǎng)標(biāo)識(shí)VPNID���,所述VPNID在將公網(wǎng)地 址轉(zhuǎn)換為虛擬專(zhuān)用網(wǎng)地址的轉(zhuǎn)換條目中為零���,在將某一虛擬專(zhuān)用網(wǎng)的地址轉(zhuǎn) 換為公網(wǎng)地址的轉(zhuǎn)換條目中是一個(gè)確定的能標(biāo)識(shí)該虛擬專(zhuān)用網(wǎng)的非零數(shù)值。
4、 如權(quán)利要求1或3所述的系統(tǒng)���,其特征在于�,所述PE支持域名服務(wù) 系統(tǒng)一應(yīng)用層網(wǎng)關(guān)DNS_ALG,使得IPV4側(cè)主^L能夠在不確認(rèn)對(duì)應(yīng)IPV6側(cè)主 機(jī)轉(zhuǎn)換后地址情況下���,訪問(wèn)該IPV6側(cè)主機(jī)�����。
5��、 如權(quán)利要求l所述的系統(tǒng)�,其特征在于���,所述NAT一PT管理模塊包 括NAT一PT命令處理模塊���、轉(zhuǎn)換條目管理模塊,其中��,NAT一PT命令處理 模塊配置關(guān)于轉(zhuǎn)換規(guī)則的命令��,將相關(guān)的信息通告給路由模塊和接入控制列 表模塊�;轉(zhuǎn)換條目管理模塊����,響應(yīng)NAT一PT命令處理模塊�,對(duì)轉(zhuǎn)換條目進(jìn)行 創(chuàng)建、刪除�、顯示的操作。
6����、 如權(quán)利要求1或5所述的系統(tǒng),其特征在于����,所述報(bào)文轉(zhuǎn)發(fā)模塊包 括驅(qū)動(dòng)NAT—PT處理模塊、微碼NAT—PT處理模塊�����,其中�,微碼NAT—PT 處理模塊通過(guò)查找路由模塊和接入控制列表模塊�����,進(jìn)行NAT_PT相關(guān)處理�����, 查找轉(zhuǎn)換條目,進(jìn)行報(bào)文轉(zhuǎn)發(fā)����,如果沒(méi)有查找到轉(zhuǎn)換條目且需要?jiǎng)?chuàng)建的時(shí)候, 將報(bào)文通過(guò)驅(qū)動(dòng)NAT一PT處理模塊交給轉(zhuǎn)換條目管理模塊進(jìn)行處理�����。
7�、 如權(quán)利要求5所述的系統(tǒng),其特征在于���,所述NAT^PT管理模塊配 置的轉(zhuǎn)換規(guī)則為將某個(gè)VPN中的地址或者某些符合接入控制列表ACL匹配條件的VPN 地址轉(zhuǎn)換為 一個(gè)公網(wǎng)主機(jī)地址或者公網(wǎng)地址池中的某些公網(wǎng)地址��,并將轉(zhuǎn)換 后的地址添加到公網(wǎng)路由表中�;將某個(gè)公網(wǎng)中的地址或者某些符合ACL匹配條件的公網(wǎng)地址轉(zhuǎn)換為異 種協(xié)議類(lèi)型的網(wǎng)絡(luò)地址�����,并將轉(zhuǎn)換后的地址同時(shí)加到異種協(xié)議類(lèi)型的公網(wǎng)路 由表和對(duì)應(yīng)PE上的各個(gè)相關(guān)VPN的路由表中��。
8����、 如權(quán)利要求l所述的系統(tǒng)�,其特征在于��,所述PE具有VPN前綴配 置命令���,為每個(gè)VPN分別配置一個(gè)96位掩碼長(zhǎng)度的IPV6前綴�����,要求各個(gè) VPN的前綴路由不能一樣���,同時(shí)將該前綴添加到公網(wǎng)路由中。
9��、 如權(quán)利要求1所述的系統(tǒng)���,其特征在于���,所述報(bào)文轉(zhuǎn)發(fā)模塊����,通過(guò) 微碼NAT—PT處理模塊對(duì)報(bào)文處理����,查找路由操作���,如果路由有NAT一PT屬 性�����,判斷報(bào)文需要進(jìn)行NAT一PT轉(zhuǎn)換�����,則查找轉(zhuǎn)換條目����,進(jìn)入到NAT—PT處 理流程�,繼續(xù)根據(jù)該數(shù)據(jù)包的源/目的地址等信息查找是否存在轉(zhuǎn)換條目,如 果源\目的地址的轉(zhuǎn)換條目都能夠查找到��,則直接轉(zhuǎn)發(fā)���,如杲查找不到且肯定 不能由上層轉(zhuǎn)換條目管理模塊生成轉(zhuǎn)換條目�,則報(bào)文丟棄��。
10、 一種基于權(quán)利要求1所述異構(gòu)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)實(shí)現(xiàn)互訪�����,所述IPV4虛擬專(zhuān)用網(wǎng)依次經(jīng)過(guò)用戶(hù)網(wǎng)邊緣路由器CE���、運(yùn)營(yíng)商邊 緣路由器PE與IPV6公網(wǎng)相連接���,其特征在于,包括如下步驟(a)配置PE與CE相連接口和PE與公網(wǎng)相連接口為支持網(wǎng)絡(luò)地址轉(zhuǎn) 換協(xié)議轉(zhuǎn)換NAT PT功能接口 ����; (b )在PE上配置NAT一PT地址池,將該地址池中地址配置為公網(wǎng)IPV6 地址��,綁定接入控制列表ACL后形成動(dòng)態(tài)規(guī)則�����,或在PE上配置虛擬路由轉(zhuǎn) 發(fā)實(shí)例VRFNAT一PT靜態(tài)轉(zhuǎn)換規(guī)則��,利用動(dòng)態(tài)規(guī)則或靜態(tài)轉(zhuǎn)換規(guī)則�����,將VPN 地址生成NAT_PT路由并將其寫(xiě)入IPV6公網(wǎng)路由表���;(c) 在PE上配置指定某個(gè)公網(wǎng)IPV6地址的靜態(tài)規(guī)則��,將生成的 NAT—PT路由同時(shí)導(dǎo)入到IPV4公網(wǎng)路由表中和各個(gè)IPV4 VPN的路由表中�����;(d) 在PE上配置公網(wǎng)IPV6地址進(jìn)行轉(zhuǎn)換的動(dòng)態(tài)規(guī)則��,將生成的 NAT一PT路由寫(xiě)入IPV4公網(wǎng)路由表和各個(gè)IPV4 VPN的路由表中���;(e) 在PE上配置針對(duì)各個(gè)IPV4 VPN的%位長(zhǎng)IPV6 NAT一PT前綴, 將對(duì)應(yīng)的NAT—PT路由寫(xiě)入IPV6 7>網(wǎng)路由表中��;(f )PE上的報(bào)文收發(fā)模塊�����,根據(jù)收到的報(bào)文的目的地址查找路由屬性�����, 進(jìn)行NAT一PT轉(zhuǎn)換處理流程,生成和查找轉(zhuǎn)換條目����,對(duì)報(bào)文進(jìn)行NATLPT 轉(zhuǎn)換后轉(zhuǎn)發(fā)。
11�����、 如權(quán)利要求10所述的方法�,其特征在于,步驟(b)中所述地址 池用于利用動(dòng)態(tài)規(guī)則將VPN的主機(jī)地址轉(zhuǎn)換為IPV6公網(wǎng)地址��,所述靜態(tài)轉(zhuǎn) 換規(guī)則�����,用于將VPN網(wǎng)絡(luò)中的特定主機(jī)地址轉(zhuǎn)換為一個(gè)IPV6公網(wǎng)地址����,所 述地址池和靜態(tài)轉(zhuǎn)換規(guī)則轉(zhuǎn)換后的IPV6公網(wǎng)地址不同。
12���、 如權(quán)利要求IO所述的方法��,其特征在于��,步驟(f)中對(duì)于從IPV4 VPN網(wǎng)絡(luò)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的步驟�����,包括(1) 查找VPN路由���,如杲查找到的路由屬性為NAT—PT路由,則報(bào)文 進(jìn)入NAT一PT處理流程���;(2) 針對(duì)目的地址��,查找到目的地址轉(zhuǎn)換條目����,如找不到�,則丟棄報(bào)文;(3) 查找源地址轉(zhuǎn)換條目���,如果找不到,則通過(guò)動(dòng)態(tài)規(guī)則從地址池生 成轉(zhuǎn)換條目���,所生成的轉(zhuǎn)換條目需要包括VPNID字段,如果沒(méi)有得到源地 址轉(zhuǎn)換條目����,則報(bào)文丟棄��;(4) 按得到的源/目的地址的轉(zhuǎn)換條目�,進(jìn)行報(bào)文轉(zhuǎn)換�����,轉(zhuǎn)換成功之后�����, 報(bào)文轉(zhuǎn)發(fā)�。
13、 如權(quán)利要求12所述的方法���,其特征在于���,步驟(2)中的所述目 的轉(zhuǎn)換條目,是由配置了的IPV6到IPV4的靜態(tài)規(guī)則產(chǎn)生的�����;或是由于IPV6 網(wǎng)絡(luò)先前訪問(wèn)過(guò)該VPN中的主機(jī)���,通過(guò)地址池已經(jīng)形成的一條轉(zhuǎn)換條目����; 或是通過(guò)DNS一ALG生成的轉(zhuǎn)換條目。
14���、 如權(quán)利要求IO所述的方法�,其特征在于���,步驟(f)中對(duì)于從IPV6 公網(wǎng)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的步驟,包括(1) 查找公網(wǎng)路由��,如果查找到的路由屬性為NAT—PT路由���,則報(bào)文 進(jìn)入NAT一PT處理流程�����;(2) 針對(duì)目的地址查找目的地址轉(zhuǎn)換條目���,如果找不到轉(zhuǎn)換條目,但 擁有指定前綴�,通過(guò)去除前綴生成目的地址轉(zhuǎn)換條目�����,如果最g然沒(méi)能得 到目的地址轉(zhuǎn)換條目���,則才艮文丟棄;(3) 查找源地址轉(zhuǎn)換條目���,如果找不到����,通過(guò)動(dòng)態(tài)規(guī)則生成轉(zhuǎn)換條目�����, 如果最終沒(méi)有能夠得到轉(zhuǎn)換條目���,報(bào)文丟棄��;(4) 按得到的源/目的地址的轉(zhuǎn)換條目����,進(jìn)行報(bào)文轉(zhuǎn)換����,轉(zhuǎn)換成功之后��, 報(bào)文轉(zhuǎn)發(fā)���。
15、 一種基于權(quán)利要求1所述異構(gòu)網(wǎng)絡(luò)系統(tǒng)實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn) 換的方法���,用于使IPV6虛擬專(zhuān)用網(wǎng)和IPV4公網(wǎng)之間協(xié)議類(lèi)型不同的情況下 實(shí)現(xiàn)互訪��,所述IPV6虛擬專(zhuān)用網(wǎng)依次經(jīng)過(guò)用戶(hù)網(wǎng)邊,由器CE����、運(yùn)營(yíng)商邊 緣路由器PE與IPV4公網(wǎng)相連接����,其特征在于�,包括如下步驟(a)配置PE與CE相連接口和PE與公網(wǎng)相連接口為支持NAT^PT功 能接口;(b )在PE上配置NAT_PT地址池���,將該地址池中地址配置為公網(wǎng)IPV4 地址����,綁定ACL后形成動(dòng)態(tài)規(guī)則,或在PE上配置虛擬路由轉(zhuǎn)發(fā)實(shí)例VRF NAT—PT靜態(tài)轉(zhuǎn)換規(guī)則�����,利用動(dòng)態(tài)規(guī)則或靜態(tài)轉(zhuǎn)換規(guī)則��,將IPV6VPN地址 生成NAT_PT路由并將其寫(xiě)入IPV4公網(wǎng)路由表����;(c)在PE上配置指定某個(gè)公網(wǎng)IPV4地址的靜態(tài)規(guī)則,生成NAT一PT 路由并導(dǎo)入到IPV6公網(wǎng)路由表中和各個(gè)IPV6 VPN路由表中���;(d) 在PE上配置96位長(zhǎng)的IPV6地址前綴���,將對(duì)應(yīng)的IPV6 NAT_PT 路由寫(xiě)入IPV6公網(wǎng)路由表和各個(gè)IPV6 VPN路由表;(e) PE上的報(bào)文轉(zhuǎn)發(fā)模塊根據(jù)收到的報(bào)文的目的地址查找路由屬性�, 進(jìn)行NAT—PT轉(zhuǎn)換處理流程,生成和查找轉(zhuǎn)換條目��,對(duì)報(bào)文進(jìn)行NAT一PT 轉(zhuǎn)換后轉(zhuǎn)發(fā)��。
16����、 如權(quán)利要求15所述的方法����,其特征在于����,步驟(b)中所述地址 池用于利用動(dòng)態(tài)規(guī)則將VPN的主機(jī)地址轉(zhuǎn)換為IPV4公網(wǎng)地址,所述靜態(tài)轉(zhuǎn) 換規(guī)則���,用于將VPN網(wǎng)絡(luò)中的特定主機(jī)地址轉(zhuǎn)換為一個(gè)V4公網(wǎng)地址�����,所述 地址池和靜態(tài)轉(zhuǎn)換規(guī)則轉(zhuǎn)換后的IPV4公網(wǎng)地址不同�。
17�、 如權(quán)利要求15所述的方法,其特征在于����,步驟(e)中對(duì)于從IPV6 VPN網(wǎng)絡(luò)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的步驟��,包括(1) 查找VPN路由��,如果查找到的路由屬性為NAT^PT路由�����,則報(bào) 文進(jìn)入NAT一PT處理流程;(2) 針對(duì)目的地址查找目的地址轉(zhuǎn)換條目���,如果找不到轉(zhuǎn)換條目���,但 擁有指定前綴,則通過(guò)去除前綴生成目的地址轉(zhuǎn)換條目����,如果最務(wù)農(nóng)然沒(méi)能 得到目的地址轉(zhuǎn)換條目,則報(bào)文丟棄��;(3) 查找源地址轉(zhuǎn)換條目��,如杲找不到則通過(guò)動(dòng)態(tài)規(guī)則從地址池生成 轉(zhuǎn)換條目��,所生成的轉(zhuǎn)換條目需要包括VPNID字段�����,如果沒(méi)有得到源地址 轉(zhuǎn)換條目���,則報(bào)文丟棄���;(4) 按得到的源/目的地址的轉(zhuǎn)換條目����,進(jìn)行報(bào)文轉(zhuǎn)換��,轉(zhuǎn)換成功之后�����, 報(bào)文轉(zhuǎn)發(fā)����。
18、 如權(quán)利要求15所述的方法��,其特征在于����,步驟(e)中對(duì)于從IPV4 公網(wǎng)收到的數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)的步驟,包括(1) 查找公網(wǎng)路由�����,如果查找到的路由屬性為NAT一PT路由��,則報(bào)文 進(jìn)入NAT一PT處理流程����;(2) 針對(duì)目的地址,查找到目的地址轉(zhuǎn)換條目����,找不到則丟棄報(bào)文;(3) 查找源地址轉(zhuǎn)換條目�,如果找不到,則通過(guò)動(dòng)態(tài)規(guī)則從地址池生 成轉(zhuǎn)換條目�,如果沒(méi)有得到源地址轉(zhuǎn)換條目,則報(bào)文丟棄�; (4)按得到的源/目的地址的轉(zhuǎn)換條目,進(jìn)行報(bào)文轉(zhuǎn)換����,轉(zhuǎn)換成功之后, 進(jìn)行報(bào)文轉(zhuǎn)發(fā)���。
19���、如權(quán)利要求18所述的方法���,其特征在于,步驟(2)中的所述目 的地址轉(zhuǎn)換條目���,是由配置了的IPV6到IPV4的靜態(tài)規(guī)則產(chǎn)生的����;或是由于 IPV6網(wǎng)絡(luò)先前訪問(wèn)過(guò)該IPV4網(wǎng)絡(luò)中的主機(jī)��,通過(guò)地址池已經(jīng)形成的一條轉(zhuǎn) 換條目���;或是通過(guò)DNS—ALG生成的轉(zhuǎn)換條目�。
全文摘要
本發(fā)明公開(kāi)了實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換的異構(gòu)網(wǎng)絡(luò)系統(tǒng)及方法���,基于虛擬路由轉(zhuǎn)發(fā)實(shí)例的PE-NAT_PT�����,VPN通過(guò)運(yùn)營(yíng)商邊緣路由器PE鏈接到公網(wǎng)�����,且和公網(wǎng)協(xié)議類(lèi)型不一樣���,只需對(duì)現(xiàn)有的MPLSVPN環(huán)境中的PE進(jìn)行升級(jí),使其支持NAT_PT���,對(duì)其他設(shè)備完全透明����,就可實(shí)現(xiàn)VPN和公網(wǎng)之間的網(wǎng)絡(luò)地址轉(zhuǎn)換協(xié)議轉(zhuǎn)換�����,減少了用戶(hù)的升級(jí)維護(hù)成本���。本發(fā)明將VPNID字段融合到報(bào)文轉(zhuǎn)換條目中����,能夠?qū)崿F(xiàn)VPN用戶(hù)地址和公網(wǎng)地址之間的地址轉(zhuǎn)換��。更進(jìn)一步�,為不同V4VPN設(shè)定不同的VPN前綴,既能夠?qū)崿F(xiàn)對(duì)來(lái)自V6公網(wǎng)的數(shù)據(jù)包的V6的目的地址通過(guò)前綴進(jìn)行轉(zhuǎn)換���,也能清晰確定發(fā)往哪個(gè)V4VPN���,方便了網(wǎng)絡(luò)管理�����。
文檔編號(hào)H04L29/06GK101150566SQ200610127258
公開(kāi)日2008年3月26日 申請(qǐng)日期2006年9月19日 優(yōu)先權(quán)日2006年9月19日
發(fā)明者軼 鄭, 煒 錢(qián) 申請(qǐng)人:中興通訊股份有限公司