第 35卷第 Z1期 通 信 学 报 Vol.35 No. Z1
2014年 10月 Journal on Communications October 2014
非对称的 IPv6 地址
翻译技术的实现与分析
张宇烜,闫屾,徐希炜
1. 北京邮电大学 信息网络中心,北京 100876;2. 潍坊职业学院,山东 潍坊 261041
摘 要:非对称的 IPv6地址翻译方法可以对任意长度前缀的 IPv6地址进行透明地翻译。通过使用 Netfilter框架
实现非对称 IPv6地址翻译技术,对该翻译方法做了定性和定量的分析。在局域网,通过对比不同环境中地址翻
译的效率和局域网中可容纳的主机数量规模,给出了在实际环境中运用此技术的相关建议。
关键词:IPv6;网络地址转换;IPv6网络前缀翻译
中图分类号:TP393.2 文献标识码:A 文章编号:1000-436X2014Z1-0141-05
IETF提出 RFC6296作为 IPv6地址翻译的解
1 引言
决方案。RFC6296描述了种无状态的 IPv6地址
全球互联网正在经历从 IPv4至 IPv6的过渡,前缀翻译方法。该方案在不同 IPv6前缀之间互相转
IPv4私有地址到 IPv4公有地址的地址转换技术换,以达到无状态透明的 IPv6地址前缀转换,保证
NAT44曾被用以应对 IP地址短缺的问题。虽然了 IPv6地址的 1:1翻译。然而,RFC6296对于地址
IPv6提供了足够的地址空间,解决了 IPv4地址不足前缀长度有要求与限制,只能实现前缀等长的 IPv6
的问题。但是 IPv6地址转换技术仍然拥有技术应用地址之间的转换,不能对任意 IPv6地址执行翻译,
的价值。现阶段,IPv6地址空间的分配和使用仍然并且 RFC6296翻译方案不能为网络提供相关的安
受制于运营商。但是 IPv6地址在满足可用性的同时,全保障机制。
还需要具有健壮性和易用性。在这个背景下,地址这种背景下,文献3提出了种半状态非对称
翻译技术NAT有天然的优势。RFC5902中指出,的任意 IPv6前缀地址翻译方案PANAT,用以实现
地址翻译技术可以防止重编码,有效解决私有网络种在不同前缀长度的 IPv6地址之间互相转换的
的多宿主问题,同时还有安全保障。通过与应用层地址翻译方案。相比于 RFC6296,PANAT通过减
网关ALG、防火墙等技术的结合,NAT技术可以少翻译过程中的存储记录,压缩存储表项,实现了
提供隐藏网络拓扑、追踪可疑流量等功能。 任意前缀长度的 IPv6地址空间的翻译和转换。同
收稿日期:2014-10-14
基金项目:国防科技重大专项移动互联网 IPv6应用示范基金资助项目2012ZX03002016-002
第 35卷第 Z1期 通 信 学 报 Vol.35 No. Z1
2 01 14 42年1 0月 Journ通 al o n信 Co mm 学 u n报 ica tions Octob第 er3 2 50卷 14
时,PANAT避免了重新计算伪头,保证在转换过程在载入翻译模块前,可以通过手动配置对转换
中转换地址对传输层和应用层透明。通过算法设前缀进行修改。当模块载入 Linux内核时,通过对
非对称的 IPv6 地址翻译技术的实现与分析
计,PANAT可以兼容 RFC62697。本文对 PANAT前缀变量的初始化和系统函数注册,翻译模块拥有
方法进行了具体的实现,在真实环境中,对于常用了相关的处理数据分组的权限。模块可以对网卡上
张宇烜,闫屾,徐希炜
前缀进行了随机地址翻译实验,评估了在不同条件的所有数据分组进行过滤和翻译操作。
1. 北京邮电大学 信息网络中心,北京 100876;2. 潍坊职业学院,山东 潍坊 261041
下 PANAT部署对于 IPv6地址空间的要求,给出了当数据分组从内网进入转换网关时,翻译模
不同前缀长度在 PANAT翻译方法中可使用的主机块首先查找数据库,当发现流量目的地址为内网
摘 要:非对称的 IPv6地址翻译方法可以对任意长度前缀的 IPv6地址进行透明地翻译。通过使用 Netfilter框架
数量上限。 地址时,数据分组正常路由,翻译模块不执行翻
实现非对称 IPv6地址翻译技术,对该翻译方法做了定性和定量的分析。在局域网,通过对比不同环境中地址翻
译算法。当目的地址为外网地址时,翻译模块对
译的效率和局域网中可容纳的主机数量规模,给出了在实际环境中运用此技术的相关建议。
2 非对称地址翻译方案的实现
目的地址进行地址翻译,将翻译特征记录数据库
关键词:IPv6;网络地址转换;IPv6网络前缀翻译
PANAT方案基于 Linux内核中的 Netfilter组后进行正常路由。当用 IPv6数据分组从外部网络
中图分类号:TP393.2 文献标识码:A 文章编号:1000-436X2014Z1-0141-05
件开发,可完成任意前缀长度的 IPv6地址的转换与进入转换网关时,翻译模块检查数据分组的目的
翻译。当安装完成后,PANAT作为内核模块,在地址。通过查找数据库,当且仅当存在唯特征
Linux内核网络栈中运行。PANAT方案是基于值时,翻译模块恢复相关的原始地址信息,恢复
HOOK模型来处理数据分组的。 目的地址,完成地址翻译。当报文从内网向外网
HOOK的数据分组处理模型属于 Netfilter架发送,如果数据库查找失败,则意味着出现重复
构。Netfilter在网络协议栈的关键位置定义了 5个翻译地址的现象,模块发出相关地址重复消息,
HOOK处理点,利用 HOOK处理模型,开发者可通知内网主机修改自身的网络地址。同时模块丢
以快速开发自定义的网络处理模块。 PANAT方案通弃数据分组,向管理员报告错误。当报文从外网
过 HOOK模型,在数据分组被路由前后,完成 IPv6向内网发送时,如果数据库查找失败,模块直接
地址的检查和翻译。PANAT的整体工作流程如图 1丢弃数据分组,向管理员报告错误。
所示。 此外,还利用 PANAT方案中校验和不变的特
IETF提出 RFC6296作为 IPv6地址翻译的解
1 引言
决方案。RFC6296描述了种无状态的 IPv6地址
全球互联网正在经历从 IPv4至 IPv6的过渡,前缀翻译方法。该方案在不同 IPv6前缀之间互相转
IPv4私有地址到 IPv4公有地址的地址转换技术换,以达到无状态透明的 IPv6地址前缀转换,保证
NAT44曾被用以应对 IP地址短缺的问题。虽然了 IPv6地址的 1:1翻译。然而,RFC6296对于地址
IPv6提供了足够的地址空间,解决了 IPv4地址不足前缀长度有要求与限制,只能实现前缀等长的 IPv6
的问题。但是 IPv6地址转换技术仍然拥有技术应用地址之间的转换,不能对任意 IPv6地址执行翻译,
的价值。现阶段,IPv6地址空间的分配和使用仍然并且 RFC6296翻译方案不能为网络提供相关的安
受制于运营商。但是 IPv6地址在满足可用性的同时,全保障机制。
还需要具有健壮性和易用性。在这个背景下,地址这种背景下,文献3提出了种半状态非对称
翻译技术NAT有天然的优势。RFC5902中指出,的任意 IPv6前缀地址翻译方案PANAT,用以实现
地址翻译技术可以防止重编码,有效解决私有网络种在不同前缀长度的 IPv6地址之间互相转换的
的多宿主问题,同时还有安全保障。通过与应用层地址翻译方案。相比于 RFC6296,PANAT通过减
网关ALG、