IPv4到IPv6的过渡技术

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

IPv4到IPv6的过渡技术
由于Internet的规模以及目前网络中数量庞大的IPv4用户和设备,IPv4到v6的过渡不可能一次性实现。

而且,目前许多企业和用户的日常工作越来越依赖于Internet,它们无法容忍在协议过渡过程中出现的问题。

所以IPv4到v6的过渡必须是一个循序渐进的过程,在体验IPv6带来的好处的同时仍能与网络中其余的IPv4用户通信。

能否顺利地实现从IPv4到IPv6的过渡也是IPv6能否取得成功的一个重要因素。

实际上,IPv6在设计的过程中就已经考虑到了IPv4到IPv6的过渡问题,并提供了一些特性使过渡过程简化。

例如,IPv6地址可以使用IPv4兼容地址,自动由IPv4地址产生;也可以在IPv4的网络上构建隧道,连接IPv6孤岛。

目前针对IPv4-v6过渡问题已经提出了许多机制,它们的实现原理和应用环境各有侧重,这一部分里将对IPv4-v6过渡的基本策略和机制做一个系统性的介绍。

在IPv4-v6过渡的过程中,必须遵循如下的原则和目标:
·保证IPv4和IPv6主机之间的互通;
·在更新过程中避免设备之间的依赖性(即某个设备的更新不依赖于其它设备的更新);
·对于网络管理者和终端用户来说,过渡过程易于理解和实现;
·过渡可以逐个进行;
·用户、运营商可以自己决定何时过渡以及如何过渡。

??? 本章就支持IPv4向IPv6过渡的主要技术进行讨论,讨论主要分三个方面:
1、IP层的过渡策略与技术
2、链路层对IPv6的支持
3、IPv6对上层的影响
IP层的过渡策略与技术
对于IPV4向IPV6技术的演进策略,业界提出了许多解决方案。

特别是IETF组织专门成立了一个研究此演变的研究小组NGTRANS,已提交了各种演进策略草案,并力图使之成为标准。

纵观各种演进策略,主流技术大致可分如下几类:
图13 IPV4/IPV6演进策略分类
双栈策略
实现IPv6结点与IPv4结点互通的最直接的方式是在IPv6结点中加入IPv4协议栈。

具有双协议栈的结点
称作“IPv6/v4结点”,这些结点既可以收发IPv4分组,也可以收发IPv6分组。

它们可以使用IPv4与IPv4结点互通,也可以直接使用IPv6与IPv6结点互通。

双栈技术不需要构造隧道,但后文介绍的隧道技术中要用到双栈。

IPv6/v4结点可以只支持手工配置隧道,也可以既支持手工配置也支持自动隧道。

双栈方式的工作过程可以简单描述为:
·若目的地址是一个IPv4地址,则使用IPv4;
·若目的地址是“IPv4兼容”IPv6地址,则将IPv6分组封装在IPv4报文里;
·若目的地址是其它类型的兼容地址,则使用IPv6,有可能要进行封装。

后文在介绍隧道技术时将详细讨论IPv6分组如何封装在IPv4分组里。

双栈方式要考虑的一个主要问题是地址,涉及双栈结点的地址配置和如何通过DNS获取通信对端的地址。

·双栈结点的地址配置
由于双栈结点同时支持IPv4/v6协议,因此必须配置IPv4和IPv6地址。

结点分别使用IPv4机制(如DHCP)获取IPv4地址,使用IPv6协议机制(如无状态自动配置)获取IPv6地址。

结点的IPv4和IPv6地址之间不必有关联,但是对于支持自动隧道的双栈结点,必须配置有与IPv4地址兼容的IPv6地址,地址格式是96为0加IPv4地址。

·通过DNS获取通信对端的地址
用户给应用层提供的只是通信对端的名字而不是地址,这就要求系统中提供名字与地址之间的映射。

无论是在IPv4中还是在IPv6中,这个任务都是由DNS完成的。

对于IPv6地址,定义了新的记录类型“A6”和“AAAA”。

由于IPv4/v6结点要能够直接与IPv4和IPv6结点通信,因此必须提供对IPv4“A”、
IPv6“A6/AAAA”类记录的解析库。

但是仅仅有解析库还不够,还必须对返回给应用层的地址类型做出决定。

在查询到IP地址之后,解析库向应用层返回的IP地址可以有三个选择:
·只返回IPv6地址;
·只返回IPv4地址;
·返回IPv6和IPv4地址。

对前两种情况,应用层将分别使用IPv6或IPv4与对端通信;对第三种情况,应用层必须做出选择使用哪个地址,即使用哪个IP协议。

具体选择哪一个地址与应用的环境有关。

双栈技术要求在原有的IPV4节点上开发:
(1)IPV6、ICMPV6和邻居发现等程序;
(2)上层TCP、UDP对IPV6的处理软件;
(3)修改与各种高层应用程序接口的Socket库,以便支持IPV6地址和接口的扩充;
(4)支持IPV6的DNS。

??????
优点:互通性好,易于理解。

缺点:每个IPV6节点都需要使用一个内嵌IPV4地址的IPV6地址,这样比较浪费IPV4
地址。

适用情况:一般适用于V4地址不缺乏的企业或运营商,起临时过渡支持V6网络的作用。

?? 隧道技术
在IPV6发展初期,必然有许多局部的纯IPV6网络,这些IPV6网络被IPV4骨干网络隔离开来,为了使这些孤立的“IPV6岛”互通,就采取隧道技术的方式来解决。

利用穿越现存IPV4因特网的隧道技术将许多个“IPV6孤岛”连接起来,逐步扩大IPV6的实现范围,这就是目前国际IPV6试验床6Bone的计划。

工作机理:在IPV6网络与IPV4网络间的隧道入口处,路由器将IPV6的数据分组封装入IPV4中,IPV4分组的源地址和目的地址分别是隧道入口和出口的IPV4地址。

在隧道的出口处再将IPV6分组取出转发给目的节点。

优点:隧道技术只要求在隧道的入口和出口处进行修改,对其它部分没有要求,因而非常容易实现。

缺点:V4网络只不过是V6网络间的构造隧道的外部环境,并不能实现IPV4节点与IPV6节点间的直接通信,只能实现V6与V6间的互通。

隧道技术在实践中有四种具体形式:构造隧道、自动配置隧道、组播隧道以及6to4。

9.2.2.1 构造隧道(Configured Tunneling)
∙构造隧道的IPV6-in-IPV4的隧道目的端IPV4地址是由封装IPV6分组的IPV4节点预先配置的,隧道可以是单向的,也可以是双向的。

双向配置的隧道在实际运行中就像一个虚拟的点到点的连接。

∙缺点:由于隧道只能预先配置,因此只能适应于比较稳定,不易变化的网络,且网络规模不能太大。

∙9.2.2.2 自动配置隧道(Automatic Tunneling)
∙自动配置的IPV6-in-IPV4的隧道目的端IPV4地址是不需要事先配置,使用这种隧道机制的节点必须使用IPV4兼容的IPV6地址作为其目的地址,隧道端口就根据这个IPV4兼容地址直接产生隧道端口的IPV4目的地址,然后建立隧道。

∙缺点:IPV6节点在访问目的IPV6节点时,目的节点的V6地址必须是IPV4兼容地址,显然这限制了网络的适用范围。

∙9.2.2.3 组播隧道(Multicast Tunneling)
IPV4组播隧道使用的IPV4隧道目的端口IPV4地址是通过邻居发现机制来获得的。

这种隧道配置技术要求IPV4网络支持组播。

9.2.2.4 6to4
提出6to4的目的是为IPv4网络中的IPv6孤岛提供互通的手段,并且使手工配置隧道的工作两尽量少。

这种方式要求每个IPv6孤岛至少有一个全网唯一的IPv4地址。

6to4的基本思路是,任何一个IPv6孤岛都使用其全网唯一的IPv4地址构造自己的IPv6地址前缀,因此前缀也是全网唯一的。

每个孤岛的出口路由器从IPv6目的地址中提取出隧道末端的IPv4地址,因此隧道的构造过程可以自动进行。

可见6to4的关键是在IPv4地址和IPv6地址之间定义了一种映射,与“IPv4兼容”IPv6地址不同,在6to4中,IPv4到IPv6地址的映射是把IPv4地址作为IPv6地址前缀的一部分。

6to4中的地址构成方法如下图所示:
即2002:v4ADDR::/48。

我们通过下图中的例子说明6to4的工作过程,图中两个有6to4地址前缀的IPv6网络要通过IPv4网络互通。

图14 6to4的应用举例
假设主机A要向B发起通信,它首先要向DNS查询B的v6地址,发出v6分组。

分组到达6to4边缘路由器后,边缘路由器从v6分组的源和目的地址中提取出对应于IPv6域A和B的v4地址,将v6分组封装在v4分组中,在v4网络中进行转发,到达IPv6域B的边缘路由器,该路由器对v4分组进行解封装,将提取出的IPv6分组转发给主机B。

可见,在上述过程中,除了DNS和6to4边缘路由器中要添加额外的功能外,对网络中的其它部分没有任何改动。

TB(Tunnel Broker,隧道代理)
对于独立的v6用户,要通过现有的IPv4网络连接IPv6网络上,必须使用隧道技术。

但是手工配置隧道的扩展性很差,TB的主要目的就是简化隧道的配置,提供自动的配置手段。

对于已经建立起IPv6的ISP来说,使用TB技术为网络用户的扩展提供了一个方便的手段。

从这个意义上说,TB可以看作是一个虚拟的IPv6 ISP,它为已经连接到IPv4网络上的用户提供连接到IPv6网络的手段,而连接到IPv4网络上的用户就是TB的客户。

TB的结构如下图所示。

图15 TB的结构
·隧道代理:负责根据用户(双栈结点)的要求建立、更改和拆除隧道。

为了均衡负载,TB可以在多个隧道服务器中选择一个作为TEP。

TB还负责将用户的IPv6地址和名字信息存放到DNS里;
·隧道服务器:是一个双栈服务器,是连接到IPv6网络上的隧道末端。

它从隧道代理处接收命令,对隧道进行必要的操作。

下面简单介绍TB方式的工作原理。

第1步,双栈结点向TB提供身份和认证信息,因此TB也可以实现接入控制功能;
第2步,双栈结点通过认证之后,向TB提供自己的IPv4地址(即隧道端口的IPv4地址)、名字(用于在DNS里建立IPv6地址与名字之间的对应关系)、类型(主机或路由器),如果双栈结点是一个路由器,还要告诉TB它需要多少IPv6地址,这样TB才有可能分配一个合适的地址前缀;
第3步,TB在收到双栈结点提供的这些信息后,根据一些规则(如负载均衡)选定一个隧道服务器作为隧道的末端;同时为双栈结点分配一个IPv6地址前缀,地址前缀的长度一般为48(对site)、64(对子网)或128(对主机);给隧道分配一个生存时间,将分配的IPv6地址前缀在DNS中进行注册;对隧道服务器进行配置,并且把相关的配置信息(包括DNS名字和隧道参数等)通知双栈主机。

这样就在IPv4的网络上建立起隧道,主机可以通过隧道服务器接入IPv6网络。

双栈转换机制(DSTM)
DSTM的目标是实现新的IPv6网络与现有的IPv4网络之间的互通。

使用DSTM,IPv6网络中的双栈结点与一个IPv4网络中的IPv4主机可以互相通信。

DSTM的基本组成部分包括:
·DHCPv6服务器,为IPv6网络中的双栈主机分配一个临时的IPv4全网唯一地址,同时保留这个临时分配的IPv4地址与主机IPv6永久地址之间的映射关系,此外提供IPv6隧道的隧道末端(TEP)信息;
·动态隧道端口DTI:每个DSTM主机上都有一个IPv4端口,用于将IPv4报文打包到IPv6报文里;·DSTM Deamon:与DHCPv6客户端协同工作,实现IPv6地址与IPv4地址之间的解析。

DSTM中各组成部分的示意图如下图所示。

图16 DSTM的组成示意图
我们通过下面的工作原理图简单说明DSTM的工作过程。

假设一个DSTM主机要与对端通信,步骤如下:
第1步:DSTM主机向DNS发出查询信息,要求返回对端的IPv4地址;
第2步:DNS返回对端的IPv4地址,DNS不要求必须处在DSTM域里;
第3步:应用层发出的第一个IPv4数据包到达DTI;
第4步:DSTM主机向DHCPv6服务器发出请求,请求一个临时的IPv4地址;
第5步:DHCPv6服务器返回一个IPv4地址;
第6步:DTI将IPv4分组打包,发给DSTM边缘路由器(即TEP);
第7步:TEP将分组拆包,同时记录IPv4地址与IPv6地址的对应信息;
第8步:TEP将IPv4分组发给通信对端;
图17 DSTM的工作过程
对于从对端发给DSTM主机的IPv4分组,由于在DSTM边缘路由器里已经有IPv4地址和IPv6地址的对应信息,因此DSTM边缘路由器接收到以后,将IPv4分组打包到IPv6分组里,发给DSTM主机。

可见,使用DSTM 之后,对于应用层来说是透明的,应用层仍通过IPv4地址工作;对于网络来说也是透明的,DSTM域的网络上只跑IPv6分组,而IPv4网络上只跑IPv4分组。

协议转换技术
∙其主要思想是在V6节点与V4节点的通信时需借助于中间的协议转换服务器,此协议转换服务器的主要功能是把网络层协议头进行V6/V4间的转换,以适应对端的协议类型。

∙优点:能有效解决V4节点与V6节点互通的问题。

∙??? 缺点:不能支持所有的应用。

这些应用层程序包括:① 应用层协议中如果包含有IP地址、端口等信息的应用程序,如果不将高层报文中的IP地址进行变换,则这些应用程序就无法工作,如FTP、STMP等。

② 含有在应用层进行认证、加密的应用程序无法在此协议转换中工作。

∙9.2.5.1 SIIT(Stateless IP/ICMP Translation)
∙此技术单独对IP分组和ICMP分组报文进行协议转换,不记录一个流的状态,所以是“无状态”
的。

其工作机理如下:
IPV4到IPV6的头标转换
∙其工作机理如下图所示:

图18 IPV4到IPV6的头标转换模型
V4主机A要访问V6主机B,A的V4地址是没有限定的全球V4地址,B的V6地址必须是形如::FFFF:0:a.b.c.d 的IPV4翻译地址,且低32位是SIIT分配的全球V4地址。

当A发出的访问B的分组到达SIIT时,分组中目的地址是B的低32位地址,SIIT判断出此地址属于其管理的IPV6-Only节点的IPV4地址空间,因此做相应的V4-V6的协议分组头转换,把源地址转换成IPV4的映射地址,目的地址转换成IPV4的翻译地址,再把此IPV6分组传给主机B。

IPV6到IPV4的头标转换
∙B访问A,发出的分组中源地址是B的翻译地址,目的地址是A的映射地址,当IPV6的分组到达SIIT协议转换器时,SIIT判断出目的地是IPV4的映射地址,就要对该分组进行V6-V4的协议分组头转换,再把转换后的V4分组传给主机A。

SIIT的局限
∙??? SIIT技术需要有一个备用的全局IPV4地址池来给与IPV4节点通信的IPV6节点分配IPV4地址,这个备用的全局IPV4地址池不能很大,因为IPV4地址空间优先。

这样,当SIIT中备用的
IPV4地址池分配完时,如果有新的IPV6节点需要同IPV4节点通信,就会因为没有剩余的IPV4
地址空间而导致SIIT无法进行协议转换,造成通信失败。

显然此技术应用的网络规模不能很大。

同时,SIIT还具有协议转换技术所共有的缺点。

9.2.5.2 NAT-PT
∙NAT-PT是Network Address Traslation-Protocol Translation的缩写,它是通过SIIT协议转换技术和IPV4网络中动态地址翻译技术(NAT)相结合的一种技术。

它利用了SIIT技术的工作机制,同时又利用传统的IPV4下的NAT技术来动态地给访问IPV4节点的IPV6节点分配IPV4地址,很好地解决了SIIT技术中备用全局IPV4地址池规模有限的问题。

NAT-PT 处于IPv6和IPv4网络的交界处,可以实现IPv6主机与IPv4主机之间的互通。

协议转换的目的是实现IPv4和IPv6协议头之间的转换;地址转换则是为了让IPv6和IPv4网络中的主机能够识别对方,也
就是说,IPv4网络中的主机用一个IPv4地址标识IPv6网络中的一个主机,反过来,IPv6网络中的主机用一个IPv6地址标识IPv4网络中的一个主机。

当一台IPv4主机要与IPv6对端通信时,NAT-PT从IPv4地址池中分配一个IPv4池地址标识IPv6对端。

在IPv4与IPv6主机通信的全过程中,由NAT-PT负责处理IPv4池地址与IPv6主机之间的映射关系。

在NAT-PT中可以选择使用ALG(Application Level Gateway,应用层网关),因为NAT-PT只能对IP头中的地址进行转换,而有些应用在净荷中包含有IP地址,此时只能通过ALG对分组净荷中的IP地址进行格式转换。

∙我们通过下图的实例说明NAT-PT的工作过程。

∙图19 NAT-PT应用举例
主机B要与A通信,首先要向v6网络中的DNS发出请求对A 进行名字解析,这个请求在途径NAT-PT时,NAT-PT上的DNS-ALG对其内容进行修改,把“A”类型请求转换成“AAAA”或“A6”类,转发给IPv6网络内的DNS。

DNS返回的应答中包含的是A的v6地址,这个应答在途径NAT-PT时,又被DNS-ALG修改,把“AAAA”或“A6”类转成“A”类,同时从IPv4地址池中分配一个地址,替换应答中的IPv6地址,并记录地址池地址与IPv6地址之间的映射信息。

主机B在收到DNS应答之后,就可以以正常的方式进行通信。

数据分组在经过NAT-PT时,NAT-PT对分组头信息进行修改,由于在NAT-PT中已经记录了v4地址池地址与IPv6地址之间的映射信息,因此可以按照原有记录的信息对地址进行转换。

对于主机B如何在IPv6网络中进行标识的问题,采用的方法是,NAT-PT向IPv6网络中广播一个96位的地址前缀,用96位地址前缀加上32位主机IPv4地址作为对v4网络中主机的标识。

从IPv6网络中的主机发给IPv4网络中的分组,其目的地址前缀与NAT-PT发布的地址前缀相同,这些分组都被路由到NAT-PT处,由NAT-PT对分组头进行修改,替换源和信宿地址,向主机B转发。

∙优点:解决了SIIT技术中备用全局IPV4地址池分配地址不足的问题。

缺点:① 带来了传统IPV4采用NAT技术所具有的缺陷:那就是只能由IPV6节点访问IPV4节点,反之,则不能;② 同时具有协议转换技术所共有的缺陷。

SOCKS64
下图是SOCKS网关机制的示意图
图20 SOCKS64工作机制示意图
在图中,客户端C向目的端D发起连接,通过两个新增的功能块实现SOCKS网关机制。

一个是在客户端里引入SOCKS库,这个过程称为“socks化”(socksifying),它处在应用层和socket 之间,对应用层的socket API和DNS名字解析API进行替换;
另一个是SOCKS网关,它安装在IPv6/v4双栈结点上,是一个增强型的SOCKS服务器,能实现客户端C和目的端D之间任何协议组合的中继。

当C上的SOCKS库发起一个请求后,由网关产生一个相应的线程负责对连接进行中继。

SOCKS库与网关之间通过SOCKS(SOCKSv5)协议通信,因此它们之间的连接是“SOCKS 化”的连接,不仅包括业务数据也包括控制信息;而G和D之间的连接未作改动,属于正常连接。

D上的应用程序并不知道C的存在,它认为通信对端是G。

SOCKS网关机制的关键是名字解析的实现。

由于通信双方的地址格式不同,因此在名字解析的过程中必须进行一些处理。

SOCKS网关机制中使用了DNS名字解析代理的方法。

仍以图中的情况为例,具体操作过程如下:
·C上的应用程序要获得D的IP地址(IPvX),调用名字解析函数,其中包含D的名字信息;
·但是真正的DNS解析并不在这个时候完成,只是把名字信息记录在SOCKS库的映射表里,之后选择一个“伪”IPvX地址返回给应用层,这个伪地址信息也记录在映射表里;
·应用层用收到的伪地址信息作为对端地址调用API开始通信;
·SOCKS库检查地址信息,看它是否属于伪地址,若属于,则从映射表里查找出对应的名字信息;
·名字信息通过SOCKS API发送给SOCKS网关;
·网关调用API进行真正的DNS解析,得到对端的IPvY地址;
·网关使用得到的IP地址,调用API与对端通信。

通过上面的描述可以发现,应用层无须改动,由SOCKET库将应用层发出的socket调用改为由SOCKS客户主机向SOCKS服务器发出的socket调用。

SOCKS64机制的一个限制是连接必须由内部发起,因此是单向的。

SOCKS64网关是一个双栈主机,它可以同时和IPV4或IPV6节点进行通信,SOCKS64的客户只与SOCKS64网关直接通信,与IPV4或IPV6节点的通信实际上由SOCKS64网关来完成。

优点:这种机制不需要修改DNS或者地址映射,可满足IPV4与IPV6节点的互操作。

缺点:由于所有互操作都靠SOCKS64双栈代理服务器来转发完成,SOCKS64代理服务器相当于高层软件网关,实现的代价很大,并需要在客户端支持SOCKS代理的软件,对于用户来讲不是透明的,只能作为临时
性的过渡技术。

传输层中继(Transport Relay)
∙与SOCKS64的工作机理相似,只不过是在传输层中继器进行传输层的“协议翻译”,而SOCKS64是在网络层进行协议翻译。

它相对于SOCKS64,可以避免“IP分组分片”和“ICMP报文转换”带来的问题,因为每个连接都是真正的IPV4或IPV6连接。

但同样无法解决网络应用程序数据中含
有网络地址信息所带来的地址无法转换的问题。

应用层代理网关(ALG)
∙ALG是Application Level Gateway的简称,与SOCKS64、传输层中继等技术一样,都是在V4与V6间提供一个双栈网关,提供“协议翻译”的功能,只不过ALG是在应用层级进行协议翻译。

这样可以有效解决应用程序中带有网络地址的问题,但ALG必须针对每个业务编写单独的ALG代理,同时还需要客户端应用也在不同程序上支持ALG代理,灵活性很差。

显然,此技术必须与其它过
渡技术综合使用,才有推广意义。

过渡策略总结
· 双栈、隧道是主流
· 所有的过渡技术都是基于双栈实现的
· 不同的过渡策略各有优劣、应用环境不同
· 网络的演进过程中将是多种过渡技术的综合
· 根据运营商具体的网络情况进行分析
由不同的组织或个人提出的IPV4向IPV6平滑过渡策略技术很多,它们都各有自己的优势和缺陷。

因此,最好的解决方案是综合其中的几种过渡技术,取长补短,同时,兼顾各运营商具体的网络设施情况,并考虑成本的因素,为运营商设计一套适合于他自己发展的平滑过渡解决方案。

相关文档
最新文档