IVI翻譯機(jī)制在Netfilter框架中的設(shè)計(jì)與實(shí)現(xiàn)*

王相林，朱 晨，沈清姿，陳國(guó)峰

（杭州電子科技大學(xué)計(jì)算機(jī)學(xué)院 杭州 310018）

1 引言

隨著人們對(duì)網(wǎng)絡(luò)應(yīng)用及其服務(wù)性能要求的提高，IPv4（internet protocol version 4）[1]顯現(xiàn)出許多難以克服的不足，IPv4向下一代網(wǎng)絡(luò)協(xié)議 IPv6（internet protocol version 6）[2～4]的過渡刻不容緩。由于IPv4向IPv6的過渡得經(jīng)歷一段相當(dāng)長(zhǎng)的時(shí)間，所以在短時(shí)間內(nèi)Intranet不可能實(shí)現(xiàn)將所有資源轉(zhuǎn)移至IPv6，如何選取一種IPv6過渡策略，實(shí)現(xiàn)IPv4向IPv6的平滑過渡成為目前所必須面對(duì)的重要問題。2008年12月，李星教授團(tuán)隊(duì)提出了“基于無狀態(tài)地址映射的IPv4與IPv6網(wǎng)絡(luò)互連技術(shù)——IVI”[5～7]，IVI翻譯機(jī)制可以實(shí)現(xiàn)純IPv6節(jié)點(diǎn)與純IPv4節(jié)點(diǎn)之間的相互通信，且具有高效的翻譯性能。本文的設(shè)計(jì)思路是基于Netfilter框架以擴(kuò)展模塊形式配合使用Xtables-addons插件，在Linux內(nèi)核中實(shí)現(xiàn)了IVI翻譯機(jī)制，并對(duì)其匹配模塊、目標(biāo)模塊兩大模塊的具體實(shí)現(xiàn)進(jìn)行詳細(xì)分析，并將其應(yīng)用于真實(shí)網(wǎng)絡(luò)中進(jìn)行測(cè)試，為Intranet設(shè)計(jì)實(shí)現(xiàn)了一種相對(duì)平滑的IPv6過渡方案。

2 IPv4向IPv6過渡技術(shù)的研究現(xiàn)狀及進(jìn)展

在IPv4網(wǎng)絡(luò)向IPv6網(wǎng)絡(luò)過渡的時(shí)期，改變整個(gè)網(wǎng)絡(luò)硬件基礎(chǔ)架構(gòu)顯得很困難，而通過軟件形式來更新則顯得相對(duì)容易且更加實(shí)際。在這期間產(chǎn)生了多種過渡策略，IVI過渡策略就是其中重要的一種。

2.1 主要的過渡技術(shù)

（1）雙協(xié)議棧技術(shù)

雙協(xié)議棧（dual stack）技術(shù)[8]是主機(jī)在同一網(wǎng)絡(luò)接口上同時(shí)啟用IPv4與IPv6協(xié)議棧，并分別配置IPv4地址與IPv6地址，然后通過這兩套協(xié)議棧來各自訪問IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)。當(dāng)數(shù)據(jù)分組屬于IPv4網(wǎng)絡(luò)時(shí)，就走IPv4協(xié)議棧流程，而當(dāng)數(shù)據(jù)分組是IPv6網(wǎng)絡(luò)時(shí)，則通過IPv6協(xié)議棧，兩種協(xié)議同時(shí)存在，互不影響[9,10]。

（2）隧道技術(shù)

隧道技術(shù)[11]是一種利用現(xiàn)有IPv4網(wǎng)絡(luò)來傳遞IPv6數(shù)據(jù)分組的技術(shù)[12～14]，它通過將IPv6數(shù)據(jù)分組封裝在IPv4數(shù)據(jù)分組中，配合雙棧技術(shù)穿越IPv4網(wǎng)絡(luò)實(shí)現(xiàn)IPv6接入；同樣，IPv4數(shù)據(jù)分組也可以封裝在IPv6數(shù)據(jù)分組中，然后穿越IPv6網(wǎng)絡(luò)完成IPv4接入。

（3）翻譯技術(shù)

翻譯技術(shù)不同于雙棧技術(shù)與隧道技術(shù)，其可以實(shí)現(xiàn)IPv4與IPv6的直接通信。目前主要的翻譯技術(shù)包括：SIIT（無狀態(tài)IP/ICMP翻譯技術(shù)）、NAT-PT（網(wǎng)絡(luò)地址翻譯與協(xié)議翻譯技術(shù)）和IVI翻譯技術(shù)。

2.2 IVI翻譯機(jī)制的研究現(xiàn)狀及進(jìn)展

IVI翻譯機(jī)制是在對(duì)SIIT技術(shù)與NAT技術(shù)進(jìn)行改進(jìn)優(yōu)化后產(chǎn)生的方案，它是一種無狀態(tài)地完成N到N映射的NAT機(jī)制（這里的N為特定IPv4子網(wǎng)與IPv6子網(wǎng)的規(guī)模），主要用于完成IPv4和IPv6之間的相互翻譯。

IVI機(jī)制的主要思路是在尚未被分配出去的全球IPv4中取出一部分與IPv6地址中特定的一部分 （稱為IVI6地址）進(jìn)行一一映射，在這個(gè)范圍內(nèi)的每一個(gè)IPv4地址都有一個(gè)對(duì)應(yīng)的IPv6地址，使用這部分地址的用戶既可以訪問IPv4資源又能訪問IPv6資源，具有很大的優(yōu)越性。隨著IPv6資源的不斷補(bǔ)充與豐富，必將吸引更多的用戶放棄原來已占有的IPv4地址而加入到IVI6地址的隊(duì)伍中去，被釋放出的這部分IPv4地址又經(jīng)過IVI算法映射被吸引到IVI6地址中，隨著IVI6地址的不斷擴(kuò)大，當(dāng)IVI6地址達(dá)到全球IPv4的規(guī)模時(shí)，就完成過渡。

IVI機(jī)制的出現(xiàn)源自于我國(guó)的CERNET（China education and research network）。起初，這只是一個(gè)單純的想法，主要目的是希望能提供出一種新的網(wǎng)絡(luò)地址轉(zhuǎn)換算法用來代替已被廢棄的NAT-PT（network address translation-protocol translation）技術(shù)，這種新的網(wǎng)絡(luò)地址轉(zhuǎn)換算法必須是無狀態(tài)的，這可以用于克服網(wǎng)絡(luò)規(guī)模無法擴(kuò)大的問題，同時(shí)還要求必須能完成端到端的透明通信。

IVI的命名來源于羅馬字符，是字符4（Ⅳ）和字符6（Ⅵ）的一個(gè)結(jié)合體。CERNET在定義IVI策略時(shí)，制定了一系列其需要遵守的原則，具體如下：

·必須同時(shí)支持由IPv6側(cè)或IPv4側(cè)發(fā)起的通信；

·必須沿用目前已存在的IPv4以及IPv6的路由系統(tǒng)，無需增加全球路由表的規(guī)模；

·必須能滿足大規(guī)模部署的需求；

·由于IPv4地址非常緊缺，所以它必須有效地使用IPv4地址；

·必須是無狀態(tài)的，以適應(yīng)網(wǎng)絡(luò)的不斷升級(jí)；

·翻譯網(wǎng)關(guān)必須與DNS功能相分離。

IVI地址由 40位 LIR（local internet registry，本地互聯(lián)網(wǎng)注冊(cè)處）前綴、32位IPv4嵌入地址以及全零3部分構(gòu)成，IVI地址構(gòu)成如圖1所示。

IVI機(jī)制必須置于Linux系統(tǒng)內(nèi)核中才能得以實(shí)現(xiàn)，每一臺(tái)裝載并啟用IVI機(jī)制的Linux主機(jī)即成為一個(gè)IVI網(wǎng)關(guān)。IVI機(jī)制在內(nèi)核中的系統(tǒng)結(jié)構(gòu)如圖2所示。

3 基于Netfilter框架IVI擴(kuò)展模塊的設(shè)計(jì)與實(shí)現(xiàn)

本文的設(shè)計(jì)思路是通過向Netfilter框架添加IVI擴(kuò)展模塊的形式實(shí)現(xiàn)IVI網(wǎng)關(guān)，添加方法采用了Xtables-addons插件技術(shù)。IVI擴(kuò)展模塊主要包括以下幾個(gè)部分：IVI匹配模塊、IVI目標(biāo)模塊以及這兩個(gè)模塊的頭文件等。其中IVI匹配模塊細(xì)分為IVI用戶空間匹配模塊（模塊文件命名為libxt_ivimt.c）和IVI內(nèi)核空間匹配模塊（模塊文件命名為xt_ivimt.c）。IVI目標(biāo)模塊則類似地分為IVI用戶空間目標(biāo)模塊 （模塊文件命名為libxt_ivitg.c）和IVI內(nèi)核空間目標(biāo)模塊（模塊文件命名為xt_ivitg.c）。其中兩個(gè)用戶空間模塊主要作為用戶接口實(shí)現(xiàn)內(nèi)核與用戶的交互，用于提取用戶輸入的參數(shù)、選項(xiàng)等數(shù)據(jù)，對(duì)其進(jìn)行檢測(cè)，然后以合理的形式傳給相應(yīng)的內(nèi)核空間模塊去處理，而兩個(gè)內(nèi)核空間模塊用于接收來自用戶空間模塊傳入的信息，然后在內(nèi)核中調(diào)用相應(yīng)的功能函數(shù)對(duì)數(shù)據(jù)分組進(jìn)行匹配與目標(biāo)處理。IVI擴(kuò)展模塊整體框架如圖3所示。

3.1 Netfilter擴(kuò)展模塊機(jī)制

新一代Linux內(nèi)核防火墻Netflter/IPtables的開放框架給了開發(fā)者在內(nèi)核中添加擴(kuò)展模塊的可能性[15～18]。要完成所需添加的擴(kuò)展模塊，首先必須寫出一個(gè)內(nèi)核模塊然后注冊(cè)到這個(gè)框架中去。同時(shí)根據(jù)新特性的不同類別，還要寫出一個(gè)IPtables用戶空間模塊。通過擴(kuò)展模塊的功能實(shí)現(xiàn)，可以對(duì)一個(gè)特定的數(shù)據(jù)分組進(jìn)行匹配、丟棄、追蹤或接收，也可以對(duì)一系列相關(guān)的數(shù)據(jù)流進(jìn)行整合。

原先對(duì)Netfilter進(jìn)行模塊擴(kuò)展時(shí)最常用的方法是patch-o-matic[19]，這種方法是將內(nèi)核擴(kuò)展模塊以打補(bǔ)丁形式置于內(nèi)核，然后對(duì)內(nèi)核進(jìn)行重新編譯來完成擴(kuò)展模塊的添加，由于操作費(fèi)時(shí)繁瑣，且極易出錯(cuò)，目前這種方法已經(jīng)過時(shí)。最新的方法則是采用Xtables-addons這一強(qiáng)大的插件來完成，使用這種方法主要有兩個(gè)優(yōu)點(diǎn)。

（1）操作簡(jiǎn)單高效

由于該插件是置于內(nèi)核外編譯的，用戶只需將編寫好的擴(kuò)展模塊文件置于該框架中，并在配置文件中添加幾行配置信息，然后對(duì)其進(jìn)行重新編譯安裝，整個(gè)過程中無需重啟電腦或者進(jìn)行內(nèi)核模塊加載就可以完成對(duì)擴(kuò)展模塊的編譯與安裝。

（2）通用性強(qiáng)

Xtables-addons提供了一組可以與內(nèi)核相融的代碼，相融代碼其實(shí)就是一大串定義集，它們可以將在原開發(fā)平臺(tái)使用的功能函數(shù)進(jìn)行修改并使其映射到當(dāng)前正在使用的內(nèi)核中。例如，當(dāng)前內(nèi)核版本為2.6.24，開發(fā)者使用了內(nèi)核版本為2.6.18的功能函數(shù)，通過融合代碼就可以實(shí)現(xiàn)將老版本的功能函數(shù)映射到新版本內(nèi)核中正常使用，這樣就屏蔽了底層內(nèi)核平臺(tái)的差異。

陰離子聚合被廣泛用在聚合物的合成過程,一般用強(qiáng)堿(KOH或n-BuONa)作為引發(fā)劑.一般情況下,大位阻基團(tuán)取代的環(huán)氧化合物通過聚合得到的聚合物其分子量低,主要是由于剛性大位阻基團(tuán)阻礙了鏈增長(zhǎng).對(duì)于環(huán)氧化合物而言,陰離子引發(fā)是很好的聚合方式,適當(dāng)改變條件可以得到較高聚合度的聚醚.

3.2 IVI用戶空間匹配模塊的設(shè)計(jì)與實(shí)現(xiàn)

IVI用戶空間匹配模塊主要接收從用戶空間傳入的關(guān)于匹配信息的選項(xiàng)及參數(shù)，該模塊工作流程如圖4（a）所示，主要實(shí)現(xiàn)的結(jié)構(gòu)體包括以下幾部分。

·struct xtables_match：匹配模塊的主體結(jié)構(gòu)體，里面注冊(cè)了多個(gè)功能函數(shù)。

·ivimt_mt4(6)_opts：用于對(duì)該模塊中匹配區(qū)域的選項(xiàng)進(jìn)行可選項(xiàng)設(shè)置。

·ivimt_mt4(6)_parse函數(shù)：檢測(cè)輸入?yún)?shù)的正確性，并且寫入將共享給內(nèi)核空間程序的信息。

3.3 IVI內(nèi)核空間匹配模塊的設(shè)計(jì)與實(shí)現(xiàn)

當(dāng)用戶空間匹配模塊從命令行中獲得用戶輸入的選項(xiàng)及參數(shù)，然后復(fù)制到與內(nèi)核空間擴(kuò)展匹配模塊共享的數(shù)據(jù)區(qū)后，用戶空間匹配模塊的使命也就完成了，接下去的工作由內(nèi)核空間擴(kuò)展匹配模塊來完成。內(nèi)核空間擴(kuò)展匹配模塊主要完成的工作包括：

·接收每一個(gè)IP數(shù)據(jù)分組，然后察看匹配模塊相關(guān)的表；

·通知Netfilter匹配模塊是否匹配上了這個(gè)IP數(shù)據(jù)分組。

3.4 IVI用戶空間目標(biāo)模塊的設(shè)計(jì)與實(shí)現(xiàn)

IVI用戶空間目標(biāo)模塊與IVI用戶空間匹配模塊極為相似，不同的是，這一模塊接收的是用戶空間在目標(biāo)區(qū)域輸入的選項(xiàng)與參數(shù)，該模塊工作流程如圖5（a）所示。主要實(shí)現(xiàn)的結(jié)構(gòu)體包括以下幾部分。

圖5 IVI目標(biāo)模塊工作流程

·struct xtables_target：目標(biāo)模塊的主體結(jié)構(gòu)體，里面注冊(cè)了多個(gè)目標(biāo)功能執(zhí)行函數(shù)。

·ivitg_tg4(6)_opts：用于對(duì)該模塊中目標(biāo)區(qū)域的選項(xiàng)進(jìn)行可選項(xiàng)設(shè)置。

·ivitg_tg4(6)_parse函數(shù)：檢測(cè)命令行中目標(biāo)區(qū)域輸入?yún)?shù)的正確性，并且寫入將共享給內(nèi)核空間程序的信息。

3.5 IVI內(nèi)核空間目標(biāo)模塊的設(shè)計(jì)與實(shí)現(xiàn)

IVI內(nèi)核空間目標(biāo)模塊是整個(gè)擴(kuò)展模塊中真正完成不同協(xié)議之間翻譯目標(biāo)動(dòng)作的模塊，也是最核心的模塊，它從用戶空間獲得用戶輸入的目標(biāo)動(dòng)作信息，執(zhí)行用戶的翻譯工作，包括地址翻譯和協(xié)議翻譯。內(nèi)核空間目標(biāo)模塊主要完成的工作如下。

（1）對(duì)已經(jīng)匹配上的 skb（sk_buff，網(wǎng)絡(luò)報(bào)文的控制結(jié)構(gòu)）數(shù)據(jù)分組進(jìn)行合理性檢測(cè)，同時(shí)取出其網(wǎng)絡(luò)層首部。

（2）生成一個(gè)新的skb數(shù)據(jù)結(jié)構(gòu)，根據(jù)翻譯算法，將原skb里的字段值轉(zhuǎn)化成相應(yīng)的值，然后存放于新的skb結(jié)構(gòu)體中，翻譯工作主要在這一步完成。

（3）當(dāng)所有字段及數(shù)據(jù)轉(zhuǎn)化拷貝結(jié)束以后，丟棄原有的skb結(jié)構(gòu)體進(jìn)行，釋放內(nèi)存，同時(shí)讓新的skb數(shù)據(jù)結(jié)構(gòu)進(jìn)入正常的協(xié)議棧，進(jìn)行再發(fā)送。

該模塊工作流程如圖5（b）所示。主要實(shí)現(xiàn)的功能函數(shù)包括：target函數(shù)（在網(wǎng)絡(luò)內(nèi)核中實(shí)現(xiàn)地址轉(zhuǎn)換及協(xié)議翻譯功能）；check函數(shù) （對(duì)用戶空間輸入信息進(jìn)行合法性檢查）；destroy函數(shù)（釋放動(dòng)態(tài)分配的資源）。

4 IVI網(wǎng)關(guān)實(shí)驗(yàn)測(cè)試

本文實(shí)驗(yàn)采用將202.115.8.0/24網(wǎng)段作為映射到IVI6網(wǎng)絡(luò)的IPv4地址段，同時(shí)將IVI6中的前綴規(guī)定為2001:250:6400::/40，IVI網(wǎng)關(guān)實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)淙鐖D6所示。系統(tǒng)測(cè)試環(huán)境的搭建后，就可以進(jìn)行實(shí)驗(yàn)測(cè)試工作，包括ICMP測(cè)試、DNS測(cè)試、HTTP測(cè)試等。

4.1 ICMP測(cè)試

（1）IPv6主機(jī)到IPv4主機(jī)的可達(dá)性測(cè)試

ICMP分為ICMPv4版本和ICMPv6版本，其中ping命令采用了ICMPv4協(xié)議，而ping6命令則采用ICMPv6協(xié)議。該部分測(cè)試可在IPv6實(shí)驗(yàn)網(wǎng)IVI6-PC2主機(jī)上，通過ping6命令來訪問IPv4實(shí)驗(yàn)網(wǎng)中的IVI4-PC1主機(jī)來完成，結(jié)果如圖 7（a）所示。

圖中收到了 I CMPv6回送回答（echo reply）報(bào)文說明IVI網(wǎng)關(guān)對(duì)IPv4數(shù)據(jù)分組和IPv6數(shù)據(jù)分組可以進(jìn)行正常轉(zhuǎn)換，實(shí)現(xiàn)IPv6主機(jī)對(duì)IPv4主機(jī)的訪問。

（2）IPv4主機(jī)到IPv6主機(jī)的可達(dá)性測(cè)試

在測(cè)試IPv4主機(jī)到IPv6主機(jī)的可達(dá)性時(shí)，可通過在IPv4實(shí)驗(yàn)網(wǎng)絡(luò)IVI4-PC1主機(jī)上，使用ping命令來訪問IVI6-PC2的IPv4映射地址，結(jié)果如圖7（b）所示。

圖中收到了ICMPv4回送回答報(bào)文說明通過IVI網(wǎng)關(guān)可以實(shí)現(xiàn)IPv4主機(jī)對(duì)IPv6主機(jī)的訪問。

（3）測(cè)試結(jié)果對(duì)比

圖 7（a）與圖 7（b）是在 IPv4 主 機(jī) IVI4-PC1 和 IPv6 主機(jī)IVI6-PC2之間兩個(gè)方向上的測(cè)試，即IPv4 ping IPv6與IPv6 ping6 IPv4，測(cè)試結(jié)果對(duì)比見表1。

表1 使用ping命令的網(wǎng)絡(luò)時(shí)延對(duì)比

由IPv4主機(jī)ping IPv6主機(jī)的平均網(wǎng)絡(luò)時(shí)延是0.187 ms，而由IPv6主機(jī)ping6 IPv4主機(jī)的平均網(wǎng)絡(luò)時(shí)延是0.189 ms。從測(cè)試的數(shù)據(jù)結(jié)果可以看出，兩者網(wǎng)絡(luò)時(shí)延非常接近，幾乎相等，這是由于IVI策略對(duì)地址的翻譯是無狀態(tài)一一映射的，所以IVI網(wǎng)關(guān)在兩個(gè)方向上的翻譯性能是相同的。

4.2 DNS測(cè)試

這部分測(cè)試主要是為了驗(yàn)證IVI-DNS對(duì)DNS報(bào)文轉(zhuǎn)換是否正常。測(cè)試方式為：在IPv6實(shí)驗(yàn)網(wǎng)絡(luò)的IVI6-PC2主機(jī)上訪問IPv4實(shí)驗(yàn)網(wǎng)絡(luò)的IVI4-PC1主機(jī)域名host4a.edu.cn，結(jié)果如圖8所示。

圖8是IPv6網(wǎng)絡(luò)主機(jī)通過域名ping IPv4網(wǎng)絡(luò)主機(jī)IVI4-PC1的過程。由于是通過域名進(jìn)行訪問的，所以首先就需要域名解析。主機(jī)IVI6-PC2首先利用ICMPv6去ping6 IPv4的域名，由于該域名表示的是一臺(tái)IPv4主機(jī)，IPv6 DNS服務(wù)器本地解析失敗，所以DNS查詢報(bào)文通過IVI-DNS代理轉(zhuǎn)發(fā)到 IPv4 DNS，IPv4 DNS對(duì) host4a.edu.cn進(jìn)行域名解析后返回DNS應(yīng)答報(bào)文，被IVI-DNS截獲后將DNS查詢報(bào)文中的A資源記錄（IPv4地址形式的）翻譯成AAAA資源記錄 （IPv6地址形式的），同時(shí)將解析得到的IPv4地址修改為添加指定IVI前綴后的IPv6地址，最后將修改過的DNS應(yīng)答報(bào)文返回給IVI6-PC2，這樣IVI6-PC2就知道了域名host4a.edu.cn在IPv6網(wǎng)絡(luò)中的IVI映射地址。在主機(jī)IVI6-PC2看來，IVI4-PC1就好像是IPv6網(wǎng)絡(luò)中的一臺(tái)主機(jī)，然后兩者就實(shí)現(xiàn)了透明通信。該過程驗(yàn)證了IVI-DNS對(duì)DNS報(bào)文的翻譯功能，實(shí)驗(yàn)表明IVI-DNS能夠?qū)NS A類型與DNS AAAA類型以及IPv4地址與IPv6地址實(shí)現(xiàn)正常轉(zhuǎn)換。

4.3 HTTP測(cè)試

首先在IVI4-PC1主機(jī)上搭建支持IPv6訪問的Web服務(wù)器，然后在IVI6-PC2主機(jī)上使用瀏覽器訪問IPv4網(wǎng)絡(luò)主機(jī)上的IPv4網(wǎng)站，在瀏覽器地址欄中輸入：http://host4a.edu.cn，測(cè)試結(jié)果如圖9所示。

5 結(jié)束語(yǔ)

在添加IVI擴(kuò)展模塊上采用了最新的Xtables-addons插件方法來取代過時(shí)的patch-o-matic方法，為以后進(jìn)行擴(kuò)展模塊開發(fā)提供了良好的借鑒；同時(shí)，擴(kuò)展了ICMP的回送請(qǐng)求和回答報(bào)文類型的翻譯，實(shí)現(xiàn)了對(duì)ping命令的支持，通過ping命令實(shí)驗(yàn)驗(yàn)證了ICMP回送請(qǐng)求和回答報(bào)文翻譯的可行性；針對(duì)TCP和UDP校驗(yàn)和字段的計(jì)算需要考慮偽首部的問題，提出了一種校驗(yàn)和更新算法，實(shí)驗(yàn)驗(yàn)證該更新算法是合理可行的。

IVI翻譯機(jī)制可以有效地解決在IPv4與IPv6網(wǎng)絡(luò)共存時(shí)期IPv4主機(jī)與IPv6主機(jī)相互通信的問題，由于IVI網(wǎng)關(guān)是無狀態(tài)翻譯的，具有良好的翻譯性能。同時(shí)IVI擴(kuò)展模塊在內(nèi)核調(diào)用時(shí)是作為一個(gè)可加載的模塊使用，可以十分方便地集成于現(xiàn)有內(nèi)核中，具有很大的靈活性。本文所研究的IVI網(wǎng)關(guān)適合于在中大規(guī)模Intranet中使用，為廣泛部署Intranet過渡網(wǎng)絡(luò)提供實(shí)際應(yīng)用參考。

1 Postel J.Internet Protocol.RFC791,September 1981

2 周遜.IPv6—下一代互聯(lián)網(wǎng)的核心（第一版）.北京：電子工業(yè)出版社，2003

3 Silvia Hagen.IPv6精髓.北京：清華大學(xué)出版社，2004

4 http://www.nav6tf.org/

5 Li X,Bao C,Chen M,et al.The CERNET IVI Translation Design and Deployment for the IPv4/IPv6 Coexistence and Transition.RFC6219,May 2011

6 Carpenter B,Moore K.Connection of IPv6 Domains via IPv4 Clouds.RFC3056,February 2001

7 Toutain B J,Medina L,Dupont O,et al.Dual Stack Transition Mechanism(DSTM).IETF Internet Draft,Jan 2002

8 邢寧.基于隧道技術(shù)的IPv6承載網(wǎng)過渡方案分析與測(cè)試.北京郵電大學(xué)碩士學(xué)位論文，2010

9 Nordmark E.Stateless IP/ICMP Translation Algorithm (SIIT).RFC2765,February 2000

10 Zhu Yuncheng,Chen Maoke,Zhang Hong,et al.Stateless mapping and multiplexing of IPv4 addresses in migration to IPv6 internet.Proceedings of Global Telecommunications Conference,New Orleans,USA,2008:1～5

11 Gilligan R,Nordmark E.Transition Mechanisms for IPv6 Hosts and Routers.RFC1993,August 1996

12 Templin F,Gleeson T,Thaler D.Intra-Site Automatic Tunnel Addressing Protocol(ISATAP).RFC5214,March 2008

13 Narten T,Nordmark E,Simpson W.Neighbor Discovery for IP Version 6(IPv6).RFC2461,December 1998

14 Carpenter B,Jung C.Transmission of IPv6 over IPv4 Domains Without Explicit Tunnels.RFC2529,March 1999

15 楊剛，陳蜀宇.Linux中基于Netfilter/Iptables的防火墻研究.計(jì)算機(jī)工程與設(shè)計(jì)，2007(17)

16 周珂，高仲合.Linux下Netfilter/Iptables防火墻的研究與實(shí)現(xiàn).網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2007(12)

17 周增國(guó)，李忠明.Linux平臺(tái)下Netfilter/Iptables包過濾防火墻的研究與應(yīng)用.網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2008(1)

18 熊忠陽(yáng)，張逢貴，張玉芳.Linux下基于Netfilter個(gè)人內(nèi)核防火墻的設(shè)計(jì)與實(shí)現(xiàn).計(jì)算機(jī)應(yīng)用，2009(s1)

19 孫有越.IPv6網(wǎng)絡(luò)部署中若干關(guān)鍵問題的研究.北京郵電大學(xué)博士學(xué)位論文，2004