結(jié)合DNS-ALG的NAT-PT技術(shù)研究與實(shí)現(xiàn)

王子龍，陳光武

（蘭州交通大學(xué) 光電技術(shù)與智能控制教育部重點(diǎn)實(shí)驗(yàn)室，甘肅 蘭州 730070）

0 引言

隨著IPv4局限性的日益突出，IPv6技術(shù)應(yīng)運(yùn)而生，IPv6技術(shù)不僅解決了IPv4地址空間不足、路由擁塞、安全性不足等多種問題，而且還在其基礎(chǔ)上增加了一些新的特性?，F(xiàn)有的網(wǎng)路中很大一部分仍然使用的是IPv4，要在短時(shí)間內(nèi)將其取代是不可能的，所以采取一些必要的過渡措施在所難免，這個(gè)過渡期也將是長(zhǎng)期而復(fù)雜的。然而如何去實(shí)現(xiàn)IPv4網(wǎng)路平穩(wěn)過渡到IPv6網(wǎng)路，這將是人們所要思考的問題。本文結(jié)合當(dāng)前IPv4/IPv6過渡的需求，在GNS3下模擬了 IPv6與 IPv4網(wǎng)絡(luò)通信的過程，并借助wireshark抓包工具對(duì)實(shí)驗(yàn)結(jié)果進(jìn)行了詳細(xì)的解析，為NAT-PT技術(shù)的可行性研究提供依據(jù)。

1 仿真軟件和NAT-PT簡(jiǎn)介

1.1 GNS3介紹

GNS3是一款具有圖形化界面并支持多平臺(tái)的網(wǎng)絡(luò)虛擬軟件。可以通過它來(lái)完成相關(guān)的網(wǎng)絡(luò)實(shí)驗(yàn)?zāi)M，同時(shí)它也可以用于虛擬體驗(yàn)Cisco網(wǎng)路操作系統(tǒng)IOS或者是檢驗(yàn)將要在真實(shí)的路由器上部署的相關(guān)配置。本文采用Cisco7200型號(hào)的路由器作為NAT-PT網(wǎng)關(guān)，DNS服務(wù)器采用Simple DNS Plus軟件實(shí)現(xiàn)。

1.2 NAT-PT簡(jiǎn)介

NAT-PT（網(wǎng)路地址轉(zhuǎn)換-協(xié)議轉(zhuǎn)換）是一種附帶協(xié)議轉(zhuǎn)換器的網(wǎng)路地址轉(zhuǎn)換器，它在IPv4/IPv6地址轉(zhuǎn)換的同時(shí)也在IPv4分組和IPv6分組間進(jìn)行包頭和語(yǔ)義的翻譯。它把SIIT（無(wú)狀態(tài)IP/ICMP轉(zhuǎn)換）技術(shù)和IPv4網(wǎng)路中動(dòng)態(tài)NAT技術(shù)結(jié)合起來(lái)，很好地解決了SIIT中全局IPv4地址池規(guī)模有限的問題。另外，NAT-PT還使用了一些特定的應(yīng)用層網(wǎng)關(guān)為一些需要在上層協(xié)議中內(nèi)嵌IP地址的應(yīng)運(yùn)提供了協(xié)議轉(zhuǎn)化[1]。NAT-PT主要用于在沒有IPv6服務(wù)器為IPv6主機(jī)服務(wù)，或者其他不適合使用隧道技術(shù)的場(chǎng)景。NAT-PT可分為靜態(tài)、動(dòng)態(tài)和結(jié)合DNS-ALG的動(dòng)態(tài)NAT-PT，但靜態(tài)技術(shù)需要在路由器上配置的 IPv6和IPv4地址一一對(duì)應(yīng)，其配置復(fù)雜，維護(hù)不便，更重要的是需要消耗大量的IPv4地址，所以并不是一個(gè)較好過渡方案。

動(dòng)態(tài)NAT-PT使用一個(gè)IPv4地址池為IPv6節(jié)點(diǎn)動(dòng)態(tài)的在每個(gè)回話跨越網(wǎng)路邊界時(shí)分配一個(gè)IPv4地址，NAT-PT網(wǎng)關(guān)綁定并記錄這一對(duì)IPv4與IPv6地址和端口的映射關(guān)系（稱為會(huì)話信息）[2]，為后續(xù)報(bào)文提供透明路由。如圖1所示，當(dāng)IPv6節(jié)點(diǎn)PC2想與IPv4節(jié)點(diǎn)PC1通信時(shí)，節(jié)點(diǎn)PC2會(huì)創(chuàng)建一個(gè)源地址為 2000::2，目的地址為 2002::c0a8:2(即地址2002::192.168.0.2)的數(shù)據(jù)包，此報(bào)文被發(fā)送到NAT-PT網(wǎng)關(guān)時(shí)，路由器查看其目的地址的地址前綴 2002::與配置的前綴是否相同，相同則對(duì)此報(bào)文進(jìn)行轉(zhuǎn)換然后再轉(zhuǎn)發(fā)，否則丟棄[3]。但是動(dòng)態(tài)NAT-PT技術(shù)仍然存在不足，下面就其缺點(diǎn)和改進(jìn)方案進(jìn)行分析。

圖1 網(wǎng)路拓?fù)?/p>

2 結(jié)合DNS-ALG的NAT-PT實(shí)現(xiàn)

動(dòng)態(tài) NAT-PT技術(shù)雖然從技術(shù)上解決了節(jié)省IPv4地址的問題，但它只能實(shí)現(xiàn)IPv6節(jié)點(diǎn)與IPv4節(jié)點(diǎn)的單向通信，而且某些應(yīng)用在凈載荷中是含有IP地址的，此時(shí)只能通過 ALG對(duì)報(bào)文凈載荷中的IP地址進(jìn)行格式轉(zhuǎn)換，通過 DNS-ALG的動(dòng)態(tài)NAT-PT，不但可以做到IPv4和IPv6網(wǎng)路中任何一方主動(dòng)發(fā)起連接，而且還可以做到基于DNS名稱訪問對(duì)方主機(jī)。實(shí)驗(yàn)中將名稱與IPv4地址的映射稱為A記錄，把名稱與IPv6地址的映射稱為AAAA記錄[4]。結(jié)合圖1所示拓?fù)?，下面以?jié)點(diǎn)PC2與節(jié)點(diǎn)PC1通信進(jìn)行詳細(xì)分析。

2.1 實(shí)驗(yàn)解析

1)首先PC2要向IPv4區(qū)域中的DNS服務(wù)器發(fā)出請(qǐng)求對(duì)PC1進(jìn)行名稱解析，請(qǐng)求報(bào)文的源地址為2000::2，目的地址為 2002::c0a8:102(即地址2002::192.168.1.2)。

2) 請(qǐng)求報(bào)文到達(dá) NAT-PT網(wǎng)關(guān)之后，NAT-PT設(shè)備對(duì)報(bào)文頭部進(jìn)行轉(zhuǎn)換，從IPv4地址池中分配一個(gè)地址192.168.2.2，替換請(qǐng)求報(bào)文中的IPv6源地址2000::2，其目的地址轉(zhuǎn)換為 192.168.1.2，并記錄其映射關(guān)系。同時(shí)對(duì)其內(nèi)容進(jìn)行修改，把AAAA類型請(qǐng)求轉(zhuǎn)換成A類型[4]，然后將此報(bào)文轉(zhuǎn)發(fā)給IPv4網(wǎng)路中的DNS服務(wù)器。

3) IPv4側(cè)的DNS服務(wù)器收到報(bào)文以后，查詢自己的記錄表，解析出 PC1的 IPv4地址是192.168.0.2，于是 IPv4服務(wù)器向 PC2以源地址為192.168.1.2，目的地址為192.168.2.2的報(bào)文進(jìn)行回應(yīng)，此報(bào)文被路由到NAT-PT設(shè)備中去。

4) 報(bào)文到達(dá) NAT-PT設(shè)備以后，報(bào)文頭部被NAT-PT設(shè)備進(jìn)行轉(zhuǎn)換，同時(shí)，DNS-ALG將其中的DNS應(yīng)答部分也進(jìn)行轉(zhuǎn)換，把A記錄轉(zhuǎn)換成AAAA記錄，PC2收到此 DNS應(yīng)答之后，就知道了 PC1的標(biāo)識(shí) IPv4地址是 192.168.0.2，于是發(fā)起到 PC1的連接，報(bào)文的源地址為 2000::2，目的地址為2002::192.168.0.2。

5) 報(bào)文到達(dá) NAT-PT設(shè)備后，由于在 NAT-PT設(shè)備中已經(jīng)有 IPv4地址 192.168.2.2與 IPv6地址2000::2的會(huì)話記錄，因此可以按照此會(huì)話記錄對(duì)地址進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的報(bào)文源地址為 192.168.2.2，目的地址為192.168.0.2。

6) 報(bào)文到達(dá)PC1之后，PC1對(duì)此報(bào)文進(jìn)行回復(fù)，應(yīng)答報(bào)文的源地址為 192.168.0.2，目的地址為192.168.2.2。

7) 應(yīng)答報(bào)文到達(dá) NAT-PT設(shè)備以后，NAT-PT設(shè)備再按照原有的記錄對(duì)此報(bào)文進(jìn)行轉(zhuǎn)換，轉(zhuǎn)換后的報(bào)文源地址為 2002::192.168.0.2，目的地址為2000::2，并將報(bào)文路由到PC2，完成一次通信。

2.2 查看地址轉(zhuǎn)換表

在NAT-PT網(wǎng)關(guān)上使用命令debug ipv6 nat 查看PC2 ping PC1 時(shí)在NAT-PT網(wǎng)關(guān)內(nèi)部發(fā)生的地址轉(zhuǎn)換，整個(gè)轉(zhuǎn)換過程可分為PC2與IPv4_DNS服務(wù)器之間報(bào)文地址的轉(zhuǎn)換和PC2與PC1之間報(bào)文地址的轉(zhuǎn)換兩部分。

2.3 測(cè)試結(jié)果

在IPv6主機(jī)上ping IPv4主機(jī)的域名pc1.cisco，會(huì)直接去訪問DNS服務(wù)器，利用域名成功實(shí)現(xiàn)訪問IPv4主機(jī)。上述實(shí)驗(yàn)實(shí)現(xiàn)了 IPv6主機(jī)通過域名訪問IPv4主機(jī)，進(jìn)一步實(shí)驗(yàn)參照?qǐng)D1在IPv6網(wǎng)絡(luò)中添加一臺(tái)IPv6_DNS服務(wù)器，讓所有從IPv4域中發(fā)出的，目的是解析IPv6域中的主機(jī)的DNS解析請(qǐng)求被NAT-PT轉(zhuǎn)發(fā)到IPv6_DNS服務(wù)器，從而實(shí)現(xiàn)全網(wǎng)域名的通信。

3 結(jié)語(yǔ)

重點(diǎn)論述了結(jié)合DNS-ALG的NAT-PT技術(shù)的工作機(jī)制和實(shí)現(xiàn)原理，解決了IPv6主機(jī)和IPv4主機(jī)通過域名的訪問以及相關(guān)的地址轉(zhuǎn)換和協(xié)議翻譯，從而實(shí)現(xiàn)了IPv6主機(jī)和IPv4主機(jī)的透明通信，達(dá)到了預(yù)期的要求。NAT-PT技術(shù)通過上層協(xié)議的映射使大量的IPv6主機(jī)使用同一個(gè)IPv4地址，從而節(jié)省了寶貴的IPv4地址，為IPv4網(wǎng)路向IPv6網(wǎng)路的過渡提供了比較完整的解決方案。

[1] IETF RFC 2766. Network Address Translation-Protocol Translation(NAT-PT)[S].USA:[s.n.]:2000.

[2] 楊林,楊勇.基于IPv4過渡時(shí)期NAT技術(shù)應(yīng)用研究[J].通信技術(shù),2012,45(06):42-44.

[3] 周利利,張平,梁祖華.IPv4/IPv6過渡技術(shù)在校園網(wǎng)中的應(yīng)用[J].通信技術(shù),2009,42(02):212-214.

[4] IETF RFC 2694.DNS extensions to Network Address Translators(DNS-ALG)[S].USA:[s.n.]:1999.

[5] 馬義濤,薛質(zhì),王軼駿.關(guān)于TCP穿越NAT技術(shù)的研究與分析[J].信息安全與通信保密,2008,35(04):47-49.