论文部分内容阅读
摘要由于面临IPv4地址严重短缺的问题,NAT技术应运而生。NAT技术是一种将私有地址转换成公有地址的技术,它大大缓解了IP地址短缺的局面,并得到广泛的采用。而这不是根本的解决方法。IPv6即将取代IPv4已是不争的事实。新一代网络代替旧有的网络需要一个过渡的过程。我们在过渡时期采用隧道技术是目前主流技术之一,但它不能够很好的支持NAT用户接入到IPv6的网络,几乎都不允许隧道中出现NAT设备,这样就给NAT用户连入IPv6带来了困难。微软公司为NAT专门设计了一个解决方案——Teredo。它采用UDP封装方式,克服了传统IPv4封装难以穿越NAT/PT网关的问题。但它存在一定的不足,比如不支持对称NAT用户等。而中国中科院提出的silkroad技术能够支持对称NAT,对身份认证的支持,实现了较高的安全性。
关键词IPv6;过渡;NAT;隧道;Teredo
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)11-0064-02
经过几十年的发展,IPv4逐渐暴露出许多问题。其中最为严重的就是IP地址不足。IPv4中规定IP地址的总长度为32位,理论上大约有40亿个地址,但由于种种原因(分类编址,以及部分具有特殊意义的地址),实际上可用的地址严重缩水。而且由于因特网技术在各个国家的起步时间的不同,导致IPv4网络地址分配极为不均,大部分的A类地址都在美国。而我国因特网技术起步时间较晚,所以导致真正可分配到的IP地址的数量根本就无法满足日益增长的对于IP地址的需求。此外随着因特网的迅猛发展,物联网技术的出现,连接到因特网的终端设备也从原来的个人计算机逐渐扩展到了平板电脑、手机、甚至是一些家用电器上。这样使得本来就严重不足的IPv4地址更加的捉襟见肘。这个问题已经严重制约到了因特网技术的进一步发展。
为了缓解该问题,NAT技术应运而生。NAT技术是一种将私有地址转换成公有地址的技术,它不仅大大缓解了IP地址短缺的局面,而且还能够隐藏网络内部主机,有效地防止来自于外部网络的攻击。因此,它被我们广泛的使用在了IPv4的网络当中。可以说NAT用户是因特网上面一个非常庞大、不可忽视的群体。然而,NAT技术在缓和了IPv4地址不足问题的同时,也带来了许多不良影响。
1)使用NAT地址转换会使路由器处理数据包延迟增大,降低了网络的通信效率。
2)NAT违反了IP的体系结构,因为IP协议中规定一个IP地址对应一个网络接口,而在NAT中,某个地址可能会对应的是某个网络内部成千上万个主机,这样可能会导致外部的节点无法主动访问NAT用户。
3)NAT将Internet的无连接服务变成了有连接服务,因为NAT必须包含所有经过它的连接信息。因此NAT技术不是解决IP地址不足的根本方法。
而IPv6正是能够从根本上解决地址枯竭问题的方法。这个新的IP协议将地址长度由原先的32位增加到了128位,大大拓展了地址空间。同时,IPv6针对IPv4中存在的不足对报头字段进行了全新的设计与安排,在移动性、服务质量、安全性等方面提供了更为可靠的保障。但由于现有的网络上的大部分服务、网络设备、终端设备上的操作系统都是基于IPv4的,并不支持IPv6,所以要在短时间内从IPv4的网络转换到IPv6的网络是不可能的。中间必然要经历一个漫长的过渡时期,在这个时期内,IPv4网络与IPv6网络将并存且还要彼此之间进行通信,这使得人们不得不开发出能够让IPv4网络与IPv6网络互联互通的技术。包括:双协议栈技术,隧道技术,NAT/PT(网络地址转换/协议转换技术)等。这些技术各有其特点与适用环境。比如隧道技术是目前主流的技术之一,它是把IPv6的数据包封装在IPv4的隧道里面传输,从而建立了端到端的IPv6通信机制。现有的隧道技术有手工配置隧道和6to4、ISATAP、Tunnel Broker等自动隧道技术。
由于NAT用户的数量极为庞大,让这部分用户能够获得IPv6网络连接的话,比如可以把移动手机客户端的NAT用户连入IPV6的网络中来。而对于这类用户,移动运营商为他们提供的只能是私有的IPv4地址,如果能让他们可以通过IP网络进行通信将大大降低手机通信的费用,这样会促使大量的用户参与到IPv6的网络中来,进而加快IPv6网络体系的建设,最终让全球的IPv4的网络演化成IPv6网络。
然而,绝大部分的隧道技术都不太支持NAT用户接入到IPv6的网络,几乎都不允许隧道中出现NAT设备,这样就给NAT用户连入IPv6带来了困难。微软公司为NAT专门设计了一个解决方案——Teredo(又称为面向IPv6的IPv4 NAT网络地址转换穿越),是一项IPv6/IPv4过渡技术,能够实现在处于单个或者多个IPv4 NAT后的主机之间的IPv6自动隧道。它采用UDP封装方式,克服了传统的IPv4封装难以穿越NAT/PT网关的问题。它主要包括以下的组件。
1)Teredo 客户端(支持IPv4/IPv6双栈结点)。
2)Teredo服务器(也就是IPv4/IPv6双栈结点,可以在IPv4网络与IPv6网络之间传输数据流)。
3)Teerdo中继(即双栈路由器,跨越IPv4网络,从IPv6的网络上的客户端提供连接)。
4)Teerdo气泡数据包(即用来在NAT/PT内创建映射的IPv6数据包)。
5)Teredo服务前缀:使用前缀3FFE:831F::/32,其他为Teredo server、flags和Teredo client的外部地址、端口等编码信息。
客户端的初始化设置通过发送一系列路由请求消息给Teredo服务器以确定一个Teredo地址,服务器在收到这个请求之后向客户端返回一个经过NAT/PT映射之后的公有IPv4地址和端口号的路由信息以及IPv6的地址前缀(3FFE:831F::/32),然后客户端就可以利用服务器返回的消息生成IPv6地址了,接着就可以将此IPv6的包通过隧道发送到Teredo中继。
Teredo客户端会定期地(一般默认每隔30秒钟)发送单一的气泡数据包到Teredo服务器。Teredo服务器会在不回复的情况下丢弃该数据包。这个周期性的数据包会重新刷新NAT的转换表。否则,这个映射就无效并被删除。
尽管Teredo服务在Windows 7上是可用的且它的接口默认状态下可用,但它一般并不是处于活动状态。我们可以通过ipconfig /all 命令中查看到Teredo隧道伪接口,但此接口处于断开状态。可以使用netsh interface teredo set state [type] [servername] [refreshinterval] [ clientport] 命令启用Teredo接口。其中type可设置的参数有disabled、client、enterpriseclient或server;servername可用于设置服务器名称;refreshinterval是以秒计的刷新时间;clientport为客户端使用的UDP端口号。
当然,Teredo技术也存在某些局限性。
1)Teredo客户端每次和服务器初始化通信时总是被NATPT转换成不同的公有地址和端口号信息,所以每次获得的地址都不尽相同,这样容易造成当外部用户想主动向NAT用户发起连接的时候往往非常困难。
2)Teredo是不支持对称NAT的(即根据不同的外部目标地址将内部地址和端口号映射到不同的外部地址和端口号的NAT)的,这将导致使用对称NAT的用户将无法采用teredo隧道技术与IPv6连接。
3)Teredo的工作原理相对复杂,且很难和现有的网络兼容,我们不仅需要设置专门的Teredo服务器来帮助Teredo客户端建立连接,还要求Teredo客户端所要访问的IPv6站点相邻的路由器提供Teredo中继功能,也就是说Teredo中继不仅要能够识别带有Teredo服务前缀的IPv6地址,还要向所在网络公告这个Teredo格式地址的可达性,以此让它们知道该中继可以把数据包转发给相应的Teredo客户端。这样才能和Teredo服务器共同完成穿透NAT网关的功能。这样也给Teredo服务的实现与部署带来一定的困难。
4)因为Teredo采用UDP来承载IPv6数据包(IPv6-in-UDP),如果我们在传输层要求用到TCP协议来保障传输的可靠性时,Teredo就无法支持了。
5)最后,前面提到的Teredo中继它是无状态(stateless)的,也就是说它上面并不会维护与用户相关的信息,也就无法提供对合法用户的验证。而它负责转发NAT用户与IPv6网络之间传送的数据包,这样可能导致非合法的用户也可以使用该中继提供的服务,甚至让一些黑客通过这种方式获得对某个IPv6网络的连接,以此进一步对该网络进行攻击。因此,Teredo技术是有一定的安全隐患的。
为此,中国科学院的研究人员针对Teredo存在的不足,提出了一种基于C/S隧道模式和服务器的有状态特性IPv6 隧道技术Silkroad. 这种技术使位于NAT后的IPv6/ IPv4双协议栈主机能够使用自己的IPv4私有地址,穿越IPv4网络,和其他的IPv6主机建立连接,从而实现了一个面向NAT用户的IPv6隧道接入系统,为NAT用户向IPv6过渡提供了解决方案。
Silkroad协议在网络中引入隧道服务器,负责为NAT用户分配IPv6地址,然后作为一个中继转发用户和IPv6网络之间的数据流。Silkroad协议支持所有类型的NAT和IPv6网络进行互连(包括之前所提到过的、Teredo不能够支持的对称NAT用户),能为用户分配固定不变的IPv6地址,并且具有更高的安全性。但该技术不够成熟,无法真正解决对称NAT的用户之间的IPv6通信问题,且在实际的网络传输过程中会消耗掉较多的网络资源。有待进一步的改进。由于文章篇幅关系,不作赘述。
基于IPv6的网络时代终将到来,如何在这个时期实现平滑过渡,比如让庞大的NAT用户群体连入IPV6的网络中来,将会对IPv6网络的普及有重大意义。上文中所提到过的Teredo是一种主流的、能够实现在处于单个或者多个IPv4 NAT后的主机之间的IPv6自动隧道技术,但它存在一定的不足,比如不支持对称NAT用户,兼容性较差、安全性较差等。而中国中科院提出的silkroad技术虽然能够支持对称NAT,对身份认证的支持,实现了较高的安全性。但存在通信开销过大,不支持TCP通信、不够成熟等问题。因此要完美地解决和实现NAT用户的IPv6通信还有一段路要走。这也要求我们在将来的研究中要继续不断改良目前已有的算法与技术。
参考文献
[1]刘伟杰,张娟.基于IPv4/IPv6隧道技术的NAT研究[J].计算机与数字工程,2008(08).
[2]吴贤国,刘敏.面向NAT用户的IPv6隧道技术研究[J].计算机学报,2007(01).
[3]王其磊.NAT内网连通IPv6的设计与实现[D].大连理工大学,2011.
关键词IPv6;过渡;NAT;隧道;Teredo
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2014)11-0064-02
经过几十年的发展,IPv4逐渐暴露出许多问题。其中最为严重的就是IP地址不足。IPv4中规定IP地址的总长度为32位,理论上大约有40亿个地址,但由于种种原因(分类编址,以及部分具有特殊意义的地址),实际上可用的地址严重缩水。而且由于因特网技术在各个国家的起步时间的不同,导致IPv4网络地址分配极为不均,大部分的A类地址都在美国。而我国因特网技术起步时间较晚,所以导致真正可分配到的IP地址的数量根本就无法满足日益增长的对于IP地址的需求。此外随着因特网的迅猛发展,物联网技术的出现,连接到因特网的终端设备也从原来的个人计算机逐渐扩展到了平板电脑、手机、甚至是一些家用电器上。这样使得本来就严重不足的IPv4地址更加的捉襟见肘。这个问题已经严重制约到了因特网技术的进一步发展。
为了缓解该问题,NAT技术应运而生。NAT技术是一种将私有地址转换成公有地址的技术,它不仅大大缓解了IP地址短缺的局面,而且还能够隐藏网络内部主机,有效地防止来自于外部网络的攻击。因此,它被我们广泛的使用在了IPv4的网络当中。可以说NAT用户是因特网上面一个非常庞大、不可忽视的群体。然而,NAT技术在缓和了IPv4地址不足问题的同时,也带来了许多不良影响。
1)使用NAT地址转换会使路由器处理数据包延迟增大,降低了网络的通信效率。
2)NAT违反了IP的体系结构,因为IP协议中规定一个IP地址对应一个网络接口,而在NAT中,某个地址可能会对应的是某个网络内部成千上万个主机,这样可能会导致外部的节点无法主动访问NAT用户。
3)NAT将Internet的无连接服务变成了有连接服务,因为NAT必须包含所有经过它的连接信息。因此NAT技术不是解决IP地址不足的根本方法。
而IPv6正是能够从根本上解决地址枯竭问题的方法。这个新的IP协议将地址长度由原先的32位增加到了128位,大大拓展了地址空间。同时,IPv6针对IPv4中存在的不足对报头字段进行了全新的设计与安排,在移动性、服务质量、安全性等方面提供了更为可靠的保障。但由于现有的网络上的大部分服务、网络设备、终端设备上的操作系统都是基于IPv4的,并不支持IPv6,所以要在短时间内从IPv4的网络转换到IPv6的网络是不可能的。中间必然要经历一个漫长的过渡时期,在这个时期内,IPv4网络与IPv6网络将并存且还要彼此之间进行通信,这使得人们不得不开发出能够让IPv4网络与IPv6网络互联互通的技术。包括:双协议栈技术,隧道技术,NAT/PT(网络地址转换/协议转换技术)等。这些技术各有其特点与适用环境。比如隧道技术是目前主流的技术之一,它是把IPv6的数据包封装在IPv4的隧道里面传输,从而建立了端到端的IPv6通信机制。现有的隧道技术有手工配置隧道和6to4、ISATAP、Tunnel Broker等自动隧道技术。
由于NAT用户的数量极为庞大,让这部分用户能够获得IPv6网络连接的话,比如可以把移动手机客户端的NAT用户连入IPV6的网络中来。而对于这类用户,移动运营商为他们提供的只能是私有的IPv4地址,如果能让他们可以通过IP网络进行通信将大大降低手机通信的费用,这样会促使大量的用户参与到IPv6的网络中来,进而加快IPv6网络体系的建设,最终让全球的IPv4的网络演化成IPv6网络。
然而,绝大部分的隧道技术都不太支持NAT用户接入到IPv6的网络,几乎都不允许隧道中出现NAT设备,这样就给NAT用户连入IPv6带来了困难。微软公司为NAT专门设计了一个解决方案——Teredo(又称为面向IPv6的IPv4 NAT网络地址转换穿越),是一项IPv6/IPv4过渡技术,能够实现在处于单个或者多个IPv4 NAT后的主机之间的IPv6自动隧道。它采用UDP封装方式,克服了传统的IPv4封装难以穿越NAT/PT网关的问题。它主要包括以下的组件。
1)Teredo 客户端(支持IPv4/IPv6双栈结点)。
2)Teredo服务器(也就是IPv4/IPv6双栈结点,可以在IPv4网络与IPv6网络之间传输数据流)。
3)Teerdo中继(即双栈路由器,跨越IPv4网络,从IPv6的网络上的客户端提供连接)。
4)Teerdo气泡数据包(即用来在NAT/PT内创建映射的IPv6数据包)。
5)Teredo服务前缀:使用前缀3FFE:831F::/32,其他为Teredo server、flags和Teredo client的外部地址、端口等编码信息。
客户端的初始化设置通过发送一系列路由请求消息给Teredo服务器以确定一个Teredo地址,服务器在收到这个请求之后向客户端返回一个经过NAT/PT映射之后的公有IPv4地址和端口号的路由信息以及IPv6的地址前缀(3FFE:831F::/32),然后客户端就可以利用服务器返回的消息生成IPv6地址了,接着就可以将此IPv6的包通过隧道发送到Teredo中继。
Teredo客户端会定期地(一般默认每隔30秒钟)发送单一的气泡数据包到Teredo服务器。Teredo服务器会在不回复的情况下丢弃该数据包。这个周期性的数据包会重新刷新NAT的转换表。否则,这个映射就无效并被删除。
尽管Teredo服务在Windows 7上是可用的且它的接口默认状态下可用,但它一般并不是处于活动状态。我们可以通过ipconfig /all 命令中查看到Teredo隧道伪接口,但此接口处于断开状态。可以使用netsh interface teredo set state [type] [servername] [refreshinterval] [ clientport] 命令启用Teredo接口。其中type可设置的参数有disabled、client、enterpriseclient或server;servername可用于设置服务器名称;refreshinterval是以秒计的刷新时间;clientport为客户端使用的UDP端口号。
当然,Teredo技术也存在某些局限性。
1)Teredo客户端每次和服务器初始化通信时总是被NATPT转换成不同的公有地址和端口号信息,所以每次获得的地址都不尽相同,这样容易造成当外部用户想主动向NAT用户发起连接的时候往往非常困难。
2)Teredo是不支持对称NAT的(即根据不同的外部目标地址将内部地址和端口号映射到不同的外部地址和端口号的NAT)的,这将导致使用对称NAT的用户将无法采用teredo隧道技术与IPv6连接。
3)Teredo的工作原理相对复杂,且很难和现有的网络兼容,我们不仅需要设置专门的Teredo服务器来帮助Teredo客户端建立连接,还要求Teredo客户端所要访问的IPv6站点相邻的路由器提供Teredo中继功能,也就是说Teredo中继不仅要能够识别带有Teredo服务前缀的IPv6地址,还要向所在网络公告这个Teredo格式地址的可达性,以此让它们知道该中继可以把数据包转发给相应的Teredo客户端。这样才能和Teredo服务器共同完成穿透NAT网关的功能。这样也给Teredo服务的实现与部署带来一定的困难。
4)因为Teredo采用UDP来承载IPv6数据包(IPv6-in-UDP),如果我们在传输层要求用到TCP协议来保障传输的可靠性时,Teredo就无法支持了。
5)最后,前面提到的Teredo中继它是无状态(stateless)的,也就是说它上面并不会维护与用户相关的信息,也就无法提供对合法用户的验证。而它负责转发NAT用户与IPv6网络之间传送的数据包,这样可能导致非合法的用户也可以使用该中继提供的服务,甚至让一些黑客通过这种方式获得对某个IPv6网络的连接,以此进一步对该网络进行攻击。因此,Teredo技术是有一定的安全隐患的。
为此,中国科学院的研究人员针对Teredo存在的不足,提出了一种基于C/S隧道模式和服务器的有状态特性IPv6 隧道技术Silkroad. 这种技术使位于NAT后的IPv6/ IPv4双协议栈主机能够使用自己的IPv4私有地址,穿越IPv4网络,和其他的IPv6主机建立连接,从而实现了一个面向NAT用户的IPv6隧道接入系统,为NAT用户向IPv6过渡提供了解决方案。
Silkroad协议在网络中引入隧道服务器,负责为NAT用户分配IPv6地址,然后作为一个中继转发用户和IPv6网络之间的数据流。Silkroad协议支持所有类型的NAT和IPv6网络进行互连(包括之前所提到过的、Teredo不能够支持的对称NAT用户),能为用户分配固定不变的IPv6地址,并且具有更高的安全性。但该技术不够成熟,无法真正解决对称NAT的用户之间的IPv6通信问题,且在实际的网络传输过程中会消耗掉较多的网络资源。有待进一步的改进。由于文章篇幅关系,不作赘述。
基于IPv6的网络时代终将到来,如何在这个时期实现平滑过渡,比如让庞大的NAT用户群体连入IPV6的网络中来,将会对IPv6网络的普及有重大意义。上文中所提到过的Teredo是一种主流的、能够实现在处于单个或者多个IPv4 NAT后的主机之间的IPv6自动隧道技术,但它存在一定的不足,比如不支持对称NAT用户,兼容性较差、安全性较差等。而中国中科院提出的silkroad技术虽然能够支持对称NAT,对身份认证的支持,实现了较高的安全性。但存在通信开销过大,不支持TCP通信、不够成熟等问题。因此要完美地解决和实现NAT用户的IPv6通信还有一段路要走。这也要求我们在将来的研究中要继续不断改良目前已有的算法与技术。
参考文献
[1]刘伟杰,张娟.基于IPv4/IPv6隧道技术的NAT研究[J].计算机与数字工程,2008(08).
[2]吴贤国,刘敏.面向NAT用户的IPv6隧道技术研究[J].计算机学报,2007(01).
[3]王其磊.NAT内网连通IPv6的设计与实现[D].大连理工大学,2011.