本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域,特別是涉及一種基于多重NAT純IPv6網(wǎng)絡(luò)實驗平臺的IVI過渡方法及網(wǎng)絡(luò)系統(tǒng)。
背景技術(shù):
IANA的IPv4地址池已于2011年2月消耗殆盡。IPv6標(biāo)準(zhǔn)經(jīng)過了很長一段時間的標(biāo)準(zhǔn)化工作,是目前唯一的下一代互聯(lián)網(wǎng)的替代方案。但由于IPv6和IPv4的地址結(jié)構(gòu)是互不兼容的,需要存在一種機制IPv4網(wǎng)絡(luò)到IPv6網(wǎng)絡(luò)的過渡,并解決IPv4和IPv6網(wǎng)絡(luò)共存期間的網(wǎng)絡(luò)訪問問題。
IPv4/IPv6的過渡機制大致分為3類:翻譯,封裝和雙棧。
封裝技術(shù)就是把原始的IP報文完整封裝到一個新的不同的IP協(xié)議的報文內(nèi)部,如把IPv6的包封裝在IPv4的包中。這樣,使IPv6孤島之間可以通過IPv4的基礎(chǔ)設(shè)施進(jìn)行連接。但是,它無法使IPv4和IPv6網(wǎng)絡(luò)之間進(jìn)行通信。
雙棧技術(shù)實際上等同于在物理資源上同時并行的運行IPv4協(xié)議棧和IPv6協(xié)議棧,而IPv4和IPv6網(wǎng)絡(luò)之間并沒有聯(lián)通。這為可擴展性帶來了很大的難題。另外,骨干路由器運行雙棧會加重現(xiàn)有的負(fù)擔(dān)。如果采用雙棧技術(shù),還要要求所有的基礎(chǔ)設(shè)施都升級到IPv4/IPv6雙棧。然而,很多舊設(shè)備不支持IPv6,并且設(shè)備的升級將導(dǎo)致過渡期前的巨大遷移成本。
翻譯技術(shù)(IVI)保證了IPv4和IPv6之間的相互溝通。這就保證了在IPv4基礎(chǔ)設(shè)施隨著過渡的進(jìn)程逐漸消失的時候,生育的IPv4網(wǎng)絡(luò)仍然能夠和新生的IPv6網(wǎng)絡(luò)通信。因此翻譯技術(shù)可以作為一種共存的策略和長期的過渡方案。
NAT(Network Address Translation)是1994年提出的。當(dāng)在專用網(wǎng)內(nèi)部的一些主機本來已經(jīng)分配到了本地IP地址(即僅在本專用網(wǎng)內(nèi)使用的專用地址),但現(xiàn)在又想和因特網(wǎng)上的主機通信(并不需要加密)時,可使用NAT方法。
技術(shù)實現(xiàn)要素:
本發(fā)明要解決的技術(shù)問題是:如何讓具備純IPv6地址的用戶可以訪問IPv4/IPv6網(wǎng)絡(luò)資源。
根據(jù)本發(fā)明一方面,提出了一種基于多重NAT純IPv6網(wǎng)絡(luò)的IVI過渡方法,該方法包括:
步驟S1:客戶主機通過DHCP協(xié)議從DHCP服務(wù)器獲得純IPv6地址,并將IPv6報文發(fā)送到IVI翻譯器;
步驟S2:所述IVI翻譯器將符合第一預(yù)定條件的IPv6報文翻譯成IPv4報文轉(zhuǎn)發(fā)給Panabit服務(wù)器,不符合第一預(yù)定條件的IPv6報文直接進(jìn)行轉(zhuǎn)發(fā);其中,所述第一預(yù)定條件包括所述IPv6報文中目的IP地址為IVI格式的IPv6地址;
步驟S3:所述Panabit服務(wù)器將接收到的符合第二預(yù)定條件的IPv4報文轉(zhuǎn)發(fā)給VPN入口服務(wù)器,將不符合第二預(yù)定條件的IPv4報文直接進(jìn)行轉(zhuǎn)發(fā);第二預(yù)定條件包括:IPv4報文的目的IP地址屬于國外運營商所有。
其中步驟S1包括:
步驟S10:客戶主機從DHCP服務(wù)器獲取IVI格式的IPv6地址;
步驟S11:客戶主機通過DNS64服務(wù)器獲取訪問網(wǎng)站的IPv6地址;
步驟S12:客戶主機將訪問請求封裝成IPv6報文發(fā)送給IVI翻譯器。
其中步驟S2包括:
步驟S20:如果IPv6報文的目的IP不符合第一預(yù)定條件,則IVI翻譯器將該IPv6報文直接轉(zhuǎn)發(fā);
步驟S21:如果IPv6報文的目的IP符合第一預(yù)定條件,則IVI翻譯器將IPv6報文翻譯成IPv4報文,并轉(zhuǎn)發(fā)給所述Panabit服務(wù)器。
其中步驟S3包括:
步驟S30:VPN入口服務(wù)器與VPN出口服務(wù)器建立加密的VPN隧道;
步驟S31:Panabit服務(wù)器將符合第二預(yù)定條件的IPv4報文轉(zhuǎn)發(fā)給VPN入口服務(wù)器;
步驟S32:Panabit服務(wù)器將不符合第二預(yù)定條件的IPv4報文直接進(jìn)行轉(zhuǎn)發(fā)。
其中,VPN入口服務(wù)器對接收到的報文進(jìn)行封裝后,通過所述加密的VPN隧道轉(zhuǎn)發(fā)給VPN出口服務(wù)器。
根據(jù)本發(fā)明第二方面,提出了一種基于多重NAT純IPv6網(wǎng)絡(luò)的IVI過渡網(wǎng)絡(luò)系統(tǒng),該系統(tǒng)包括:
DHCP服務(wù)器,用于響應(yīng)來自客戶主機的IP地址請求,返回符合IVI格式的IPv6地址;
DNS64服務(wù)器,用于根據(jù)客戶主機的請求將訪問網(wǎng)站的IPv4地址翻譯成IPv6地址;
IVI翻譯器,用于將從客戶主機接收到的IPv6報文翻譯成IPv4報文后轉(zhuǎn)發(fā)至Panabit服務(wù)器,或者直接進(jìn)行轉(zhuǎn)發(fā);
Panabit服務(wù)器,用于將接收到的IPv4報文轉(zhuǎn)發(fā)至VPN服務(wù)器或者直接分流轉(zhuǎn)發(fā);
VPN入口服務(wù)器,用于將Panabit服務(wù)器轉(zhuǎn)發(fā)的IPv4報文進(jìn)行加密后轉(zhuǎn)發(fā)到加密的VPN隧道中。
其中DNS64服務(wù)器用于為客戶主機提供DNS解析服務(wù),包括:
當(dāng)客戶主機所訪問的網(wǎng)站有IPv6地址時,直接向客戶主機返回網(wǎng)站的IPv6地址;
當(dāng)客戶主機所訪問的網(wǎng)站沒有IPv6地址時,將網(wǎng)站的IPv4地址翻譯成符合IVI地址格式的IPv6地址并返回轉(zhuǎn)換結(jié)果。
其中IVI翻譯器將符合第一預(yù)定條件的IPv6報文翻譯成IPv4報文并進(jìn)行轉(zhuǎn)發(fā),所述第一預(yù)定條件包括IPv6報文中目的IP地址為IVI格式的IPv6地址。
其中Panabit服務(wù)器用于識別符合第二預(yù)定條件的IPv4報文并對識別結(jié)果進(jìn)行流量分流,第二預(yù)定條件包括IPv4報文的目的IP地址屬于國外運營商所有。
其中VPN入口服務(wù)器當(dāng)收到來自Panabit服務(wù)器轉(zhuǎn)發(fā)的報文后將其進(jìn)行加密并發(fā)送到VPN隧道中一
本發(fā)明通過采用IVI技術(shù),實現(xiàn)具備純IPv6地址的用戶與IPv4/IPv6網(wǎng)路資源的互聯(lián)互通的;采用VPN技術(shù),進(jìn)一步確保IPv6用戶訪問網(wǎng)絡(luò)資源時不受鏈路性能(帶寬、延時等)的影響,具備良好的用戶體驗。本發(fā)明提出的方法和系統(tǒng)能夠有效解決具備純IPv6地址的用戶同時訪問IPv4/IPv6網(wǎng)絡(luò)資源的問題。
附圖說明
圖1為本發(fā)明中基于多重NAT純IPv6網(wǎng)絡(luò)的IVI過渡網(wǎng)絡(luò)系統(tǒng)的物理架構(gòu)圖;
圖2為本發(fā)明中基于多重NAT純IPv6網(wǎng)絡(luò)的IVI過渡方法的流程圖。
具體實施方式
為使本發(fā)明實施例的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合本發(fā)明實施例中的附圖,對本發(fā)明實施例中的技術(shù)方案進(jìn)行清楚、完整的描述,顯然,所描述的實施例僅僅是本發(fā)明一部分實施例,而不是全部的實施例?;诒景l(fā)明的實施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他的實施例,都屬于本發(fā)明保護(hù)的范圍。
本發(fā)明提出了一種基于多重NAT純IPv6網(wǎng)絡(luò)實驗平臺的IVI過渡方法,包括:
步驟S1:客戶主機通過DHCP協(xié)議從DHCP服務(wù)器獲得全網(wǎng)唯一的IPv6地址,并配置在本機的網(wǎng)卡上,該主機發(fā)送的報文的源IP地址為該IPv6地址,并將待發(fā)送的報文發(fā)送到上連的IVI翻譯器;
步驟S2:IVI翻譯器將符合第一預(yù)定條件的IPv6報文翻譯成IPv4報文轉(zhuǎn)發(fā)給Panabit服務(wù)器,不符合第一預(yù)定條件的IPv6報文直接通過IPv6網(wǎng)關(guān)轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)中去;
步驟S3:Panabit服務(wù)器接收到的IPv4報文,如果符合第二預(yù)定條件則轉(zhuǎn)發(fā)給VPN入口服務(wù)器,不符合第二預(yù)定條件的IPv4報文則直接通過IPv4出口網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā)。
其中步驟S1包括:
步驟S10:客戶主機從DHCP服務(wù)器獲取IVI格式的IPv6地址;
步驟S11:客戶主機通過DNS64獲取訪問網(wǎng)站的IPv6地址;
步驟S12:客戶主機將訪問請求封裝成IPv6報文發(fā)送給上連的IVI翻譯器。
第一預(yù)定條件包括:IPv6報文中目的IP地址為IVI格式的IPv6地址。
其中步驟S2包括:
步驟S20:如果IPv6報文的目的IP不符合第一預(yù)定條件,則IVI翻譯器將該報文直接轉(zhuǎn)發(fā);
步驟S21:如果IPv6報文的目的IP符合第一預(yù)定條件,則IVI翻譯器首先將IPv6報文翻譯成IPv4報文,并轉(zhuǎn)發(fā)給上連的Panabit服務(wù)器。
第二預(yù)定條件包括:IPv4報文的目的IP地址屬于國外運營商所有。
其中步驟S3包括:
步驟S30:VPN入口服務(wù)器與位于國外的VPN出口服務(wù)器建立加密的VPN連接;
步驟S31:Panabit服務(wù)器將符合第二預(yù)定條件的IPv4報文轉(zhuǎn)發(fā)給VPN入口服務(wù)器,VPN入口服務(wù)器對接收到的報文進(jìn)行封裝后,通過S30建立的加密隧道轉(zhuǎn)發(fā)給VPN出口服務(wù)器;
步驟S32:Panabit服務(wù)器將不符合條件二的IPv4報文直接進(jìn)行轉(zhuǎn)發(fā)。
本發(fā)明還提供了一種基于多重NAT純IPv6網(wǎng)絡(luò)實驗平臺的IVI過渡網(wǎng)絡(luò)系統(tǒng),該系統(tǒng)包括:
DHCP服務(wù)器,用于響應(yīng)來自客戶主機的IP地址請求,返回符合IVI地址格式的IPv6地址;
DNS46服務(wù)器,用來將沒有IPv6地址的網(wǎng)站的IPv4地址翻譯成IPv6地址;
IVI翻譯器,用來將流經(jīng)其的IPv6報文翻譯成IPv4報文,或者直接進(jìn)行轉(zhuǎn)發(fā);
Panabit服務(wù)器,用于將接收到的IPv4報文轉(zhuǎn)發(fā)至VPN服務(wù)器或者直接分流轉(zhuǎn)發(fā);其中,所述Panabit服務(wù)器提供精確的流量識別功能并根據(jù)識別結(jié)果進(jìn)行流量分流;所述Panabit服務(wù)器可以基于端口進(jìn)行流量識別及分類,例如,將常見的53端口報文識別為DNS協(xié)議報文,80端口分類為HTTP報文等;更進(jìn)一步,所述Panabit服務(wù)器還可以基于DPI技術(shù),進(jìn)一步對DNS及HTTP協(xié)議進(jìn)行劃分,比如報文中包含www.google.com字段,需要轉(zhuǎn)發(fā)給VPN入口服務(wù)器等;
VPN入口服務(wù)器,主要將Panabit轉(zhuǎn)發(fā)的報文進(jìn)行加密后轉(zhuǎn)發(fā)到加密的VPN隧道中。
其中DHCP服務(wù)器實現(xiàn)下述功能:當(dāng)收到客戶主機的IP地址請求報文時,返回符合IVI地址格式的IPv6地址作為響應(yīng)。
其中DNS46服務(wù)器的主要功能在于為客戶主機提供DNS解析服務(wù);
當(dāng)客戶主機所訪問的網(wǎng)站有IPv6地址時,直接向客戶主機返回網(wǎng)站的AAAA記錄;
當(dāng)客戶主機所訪問的網(wǎng)站沒有IPv6地址是,需要將網(wǎng)站的A記錄翻譯成符合IVI地址格式的AAAA記錄并返回轉(zhuǎn)換結(jié)果。
其中IVI翻譯器實現(xiàn)下述功能:將符合第一預(yù)定條件的IPv6報文翻譯成IPv4報文并進(jìn)行轉(zhuǎn)發(fā)。
其中Panabit服務(wù)器實現(xiàn)下述功能:識別符合第二預(yù)定條件的IPv4報文并對識別結(jié)果進(jìn)行流量分流。
其中VPN服務(wù)器實現(xiàn)下述功能:當(dāng)收到來自Panabit轉(zhuǎn)發(fā)的報文后將其進(jìn)行加密并發(fā)送到VPN加密隧道中。
下面通過具體的實施例詳細(xì)說明本發(fā)明的技術(shù)細(xì)節(jié)。
如圖1所示,本發(fā)明公開的一種基于多重NAT純IPv6網(wǎng)絡(luò)的IVI過渡網(wǎng)絡(luò)系統(tǒng),包括:
DHCP服務(wù)器:當(dāng)收到客戶主機的IP地址請求報文時,返回符合IVI地址格式的IPv6地址作為響應(yīng)。
DNS64務(wù)器:其主要功能在于為客戶主機提供DNS解析服務(wù):
當(dāng)客戶主機所訪問的網(wǎng)站有IPv6地址時,直接向客戶主機返回網(wǎng)站的IPV6地址;
當(dāng)客戶主機所訪問的網(wǎng)站沒有IPv6地址時,需要將網(wǎng)站的IPv4地址翻譯成符合IVI地址格式的IPv6地址并返回轉(zhuǎn)換結(jié)果。
IVI翻譯器:將符合第一預(yù)定條件的IPv6報文翻譯成IPv4報文并進(jìn)行轉(zhuǎn)發(fā)。
Panabit服務(wù)器:識別符合第二預(yù)定條件的IPv4報文并對識別結(jié)果進(jìn)行流量分流。
VPN服務(wù)器:當(dāng)收到來自Panabit轉(zhuǎn)發(fā)的報文后將其進(jìn)行加密并發(fā)送到VPN加密隧道中。
如圖2所示,本發(fā)明公開的一種基于多重NAT純IPv6網(wǎng)絡(luò)實驗平臺的IVI過渡方法,包括以下具體步驟:
步驟S101:客戶主機從DHCP服務(wù)器獲取IVI格式的本機IPv6地址;
步驟S102:當(dāng)客戶主機要訪問網(wǎng)站時,客戶主機向DNS64服務(wù)器發(fā)送DNS解析請求以解析網(wǎng)站的IP地址;
步驟S103:如果網(wǎng)站具備IPv6地址,則DNS64服務(wù)器直接返回網(wǎng)站的IPv6地址;
步驟S104:如果網(wǎng)站不具備IPv6地址,則要將網(wǎng)站的IPv4地址翻譯成符合IVI地址格式的IPv6地址并返回轉(zhuǎn)換結(jié)果給客戶主機;
步驟S105:客戶發(fā)送訪問網(wǎng)站資源的HTTP請求,如果IPv6報文的目的IP不符合第一預(yù)定條件,則IVI翻譯器將該報文直接通過IPv6網(wǎng)關(guān)進(jìn)行轉(zhuǎn)發(fā);
步驟S106:如果IPv6報文的目的IP符合第一預(yù)定條件,則IVI翻譯器首先將IPv6報文翻譯成IPv4報文,并轉(zhuǎn)發(fā)給上連的Panabit服務(wù)器;
步驟107:VPN入口服務(wù)器與VPN出口服務(wù)器建立加密的VPN連接;
步驟S108:Panabit服務(wù)器將符合第二預(yù)定條件的IPv4報文轉(zhuǎn)發(fā)給VPN入口服務(wù)器;
步驟S109:Panabit服務(wù)器將不符合條件二的IPv4報文直接進(jìn)行轉(zhuǎn)發(fā)。
本發(fā)明提出的方法和系統(tǒng)能夠有效解決用戶主機只具備純IPv6地址但需要同時訪問IPv4/IPv6網(wǎng)絡(luò)資源的應(yīng)用場景。
以上所述的具體實施例,對本發(fā)明的目的、技術(shù)方案和有益效果進(jìn)行了進(jìn)一步詳細(xì)說明,應(yīng)理解的是,以上所述僅為本發(fā)明的具體實施例而已,并不用于限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi),所做的任何修改、等同替換、改進(jìn)等,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。