3.3.3 IPv4/IPv6 協定轉換技術
IPv4/IPv6協定轉換技術為 IPv4網絡與 IPv6網絡之間的互訪提供了可能。在過渡期間,IPv4和 IPv6共存的過程中,面臨的一個主要問題是IPv6與 IPv4之間如何互通。由于兩者的不相容性,是以無法實作兩種不相容網絡之間的互訪,是以 IPv6/IPv4協定轉換技術孕育而生。協定轉換技術流程如圖 3-16所示。
圖3-16 協定轉換技術流程示意
1. NAT-PT技術
IETF在早期設計了 NAT-PT的解決方案:RFC2766、NAT-PT通過 IPv6與IPv4的網絡位址與協定轉換,實作了 IPv6網絡與 IPv4網絡的雙向互訪。
網絡位址轉換—協定轉換(NetworkAddressTranslation-ProtocolTranslation,NAT-PT):由無狀态協定轉換技術(StatelessIP/ICMPTranslation,SIIT)和動态位址協定轉換技術結合與演進而來,SIIT提供一對一的 IPv4位址和 IPv6位址的映射轉換,NAT-PT支援在 SIIT的基礎上實作多對一或多對多的位址轉換。NAT-PT分為靜态和動态兩種形式。
(1) 靜态 NAT-PT
靜态 NAT-PT提供一對一的 IPv6位址和 IPv4位址的映射轉換。IPv6單協定網絡域内的節點要通路 IPv4單協定網絡域内的每一個 IPv4位址,都必須在 NAT-PT網關中配置。每一個目的 IPv4在 NAT-PT網關中被映射成一個具有預定義 NAT-PT字首的IPv6位址。在這種模式下,每一個IPv6映射到IPv4位址需要一個源IPv4位址。靜态配置适合經常線上,或者需要提供穩定連接配接的主機。
(2) 動态 NAT-PT
在動态 NAT-PT中,NAT-PT網關向 IPv6網絡通告一個 96位的位址字首,并結合主機 32位的 IPv4位址作為對 IPv4網絡中的主機的辨別。從 IPv6網絡中的主機向 IPv4網絡發送的封包,其目的位址字首與 NAT-PT釋出的位址字首相同,這些封包都被路由到NAT-PT網關,由 NAT-PT網關對封包頭進行修改,取出其中的IPv4位址資訊,替換目的位址。同時,NAT-PT網關定義了 IPv4位址池,它從位址池中取出一個位址來替換IPv6封包的源位址,進而完成從 IPv6位址到 IPv4位址的轉換。動态 NAT-PT支援多個 IPv6位址映射為一個 IPv4位址,節省了 IPv4位址的空間。
NAT-PT支援 IPv4和 IPv6兩種協定的互相翻譯和轉換,但是存在如下問題。屬于同一會話的請求和響應都必須通過同一 NAT-PT裝置才能進行轉換,比較适合單一出口裝置的環境;不能轉換 IPv4封包頭的可選項部分;缺少端到端的安全性。是以,NAT-PT逐漸被廢棄,不推薦使用。為了解決 NAT-PT中的各種缺陷,同時實作 IPv6與 IPv4之間的 NAT-PT技術,IETF重新設計了新的解決方案:NAT64與 DNS64技術。
2. NAT64與DNS64技術
NAT64是一種有狀态的網絡位址與協定轉換技術,一般隻支援通過 IPv6網絡側使用者發起連接配接通路 IPv4網絡側的資源。但 NAT64也支援通過手動配置靜态映射關系,實作 IPv4網絡主動發起連接配接通路 IPv6網絡。NAT64可實作 TCP、UDP、ICMP下的IPv6與IPv4網絡位址與協定轉換。DNS64則主要是配合 NAT64工作,是将 DNS查詢資訊中的 A記錄(IPv4位址)合成到 AAAA記錄(IPv6位址)中,傳回合成的 AAAA記錄給 IPv6側使用者。DNS64也解決了 NAT-PT中的 DNS-ALG存在的缺陷。NAT64是 IPv6網絡發展初期的一種過渡解決方案,在 IPv6發展前期會被廣泛部署應用,而後期則會随着 IPv6網絡的發展壯大逐漸退出曆史舞台。
NAT64與DNS64技術的流程如圖 3-17所示。
圖3-17 NAT64與DNS64技術的流程
NAT64與DNS64技術的流程如下。
(1) IPv6主機發起到 DNS64伺服器的 IPv6域名解析請求(IPv6主機配置的DNS位址是DNS64),IPv6域名解析為
www.abc.com。
(2) DNS64伺服器觸發到 DNS伺服器中查詢 IPv6位址。
(3) 若能查詢到,則傳回域名對應的IPv6位址;若查詢不到,則傳回 IPv6空。
(4) DNS64伺服器再次觸發到 DNS伺服器中查詢 IPv4位址。
(5) DNS伺服器傳回IPv4記錄(192.168.1.1)。
(6) DNS64伺服器合成IPv6位址(64::FF9B::192.168.1.1),并傳回給IPv6主機。
(7) IPv6主機發起目的位址為 64::FF9B::192.168.1.1的 IPv6資料包;由于NAT64在 IPv6域内通告配置的 IPv6位址字首,是以這個資料包轉發到 NAT64路由器上。
(8) NAT64執行位址轉換與協定轉換,目的位址轉換為 192.168.1.1,源位址根據位址狀态轉換(3ffe:100:200:1::1)→(172.16.1.1),在IPv4域内路由到IPv4伺服器。
(9) IPv4資料包傳回,目的位址為172.16.1.1。
(10) NAT64根據已有記錄進行轉換,目的位址轉換為 3ffe:100:200:1::1,源位址為 64::FF9B::192.168.1.1,發送到 IPv6主機,流程結束。
協定轉換技術對現有IPv4環境做少量改造(通常是更換出口網關),即可實作對外支援 IPv6通路,部署簡單便捷。
3. IVI
除 NAT-PT、NAT64與 DNS64技術之外,IVI也是一種基于營運商路由字首的無狀态IPv4/IPv6協定轉換技術。IVI方案是由 CERNET2的研究人員清華大學李星教授提出的,對應 RFC6052。IVI的主要思路是,從全球 IPv4位址空間(IPG4)中,取出一部分位址映射到全球 IPv6位址空間(IPG6)中。在 IPG4中,每個營運商取出一部分IPv4位址,以在IVI過渡中使用,被取出的這部分位址稱為IVI4(i)位址,且不能配置設定給實際的主機使用。IVI的位址映射規則是在 IPv6位址中插入IPv4位址。位址的 0~31位為 ISP的 /32位的 IPv6字首,32~39位設定為 FF,表示這是一個IVI映射位址。40~71位表示插入的全局IPv4空間(IVIG4)的位址格式,如 IPv4/24映射為 IPv6/64,而 IPv4/32映射為 IPv6/72。目前,國内有很多位址協定轉換裝置都是基于 IVI技術研發的,重點解決企業 Web的 IPv6改造問題。