IPv4/IPv6安全网关原理及应用分析

1 引言

IPv6取代IPv4已经成为公认的事实，然而这将是一个长期的、渐进的过程。IPv6的部署大致要经历一个过程。初始阶段，在IPv4的网络海洋中，会出现若干局部零散的IPv6孤岛，为了保持通信，这些孤岛通过跨越IPv4的隧道彼此连接。随着IPv6规模的应用，原来的孤岛逐渐聚合成为了骨干的IPv6 Internet网络，形成于IPv4骨干网并存的局面。在IPv6骨干上可以引入了大量的新业务，同时可以充分发挥IPv6的优势。为了实现IPv6和IPv4网络资源的互访，还需要转换服务器以实现IPv6和IPv4的互通。最后，IPv4骨干网逐步萎缩成局部的孤岛，通过隧道连接，IPv6占据主导地位，具备全球范围的连通性。
　　
IPv6提供很多过渡技术来实现这个渐进过程。这些过渡技术主要围绕着解决两类问题：IPv6孤岛互通技术——实现IPv6网络和IPv6网络的互通；IPv6和IPv4互通技术——实现两个不同网络之间互相访问资源。因此我们提出研制IPv4/IPv6互联网关，通过协议地址翻译的机制来解决IPv4和IPv6的互联互通问题，实现IPv4向IPv6的平滑过渡。该设备可应用在城域网、校园网、企业网和其他专用网络上，实现各级子网对现有IPv6/IPv4资源的安全访问。图1-1为IPv4/IPv6网关的典型应用场景。图1-2为IPv4/IPv6网关组网的连接情况。

 
图1-1  IPv4/IPv6安全网关的典型应用场景

 
图1-2 IPv4/IPv6安全网关组网

2 IPv4/IPv6安全网关原理

IPv4/IPv6安全网关主要由四部分构成，分别为机械结构部分、路由器电器部分、一次电源和通风散热系统。机械部分包括主机箱和配线架，主机箱可以外购或者按照机械尺寸定制，配线架采用19英寸机箱的标准配线架；一次电源和电源厂家协商定制；通风散热系统由两组风扇组成，负责网关主机框和电源的散热；路由器电器将采用主控板、交换板、电源冗余设计等模块实现模块化结构设计，具有平滑的可升级能力。IPv4/IPv6安全网关的体系结构如图1-3所示。

                          
图1-3 IPv4/IPv6网关体系结构

安全网关主要包括支撑子系统，路由协议处理子系统（主要是BGP4+代理），IPv4/IPv6互连网关核心功能处理子系统、IP转发子系统（分布式结构），操作管理子系统等等。图1-4给出了在该体系结构下，IP分组流动的示意图。


图1-4  IP分组处理流程示意图

操作与管理子系统

操作与管理子系统（OAM子系统）是整个IPv4/IPv6互连网关的控制核心。它需要实现对整个IPv4/IPv6互连网关系统的控制和管理。操作与管理子系统的主要功能包括：提供多种用户操作界面，包括控制台、虚拟终端和SNMP网络管理；实现被管理模块之间的信息交互；提供分布式支持；实现错误检测和错误恢复功能；提供一套完善的运行时调试接口。

IP转发子系统

转发子系统实现IPv4/IPv6互连网关系统中路由器的基本功能—IP分组的转发。该子系统实现IPv6、ICMPv6和Neighbor Discovery三个主要协议以及IPv4协议栈中的相应协议，并能够同时支持单处理器平台和分布式多处理器平台的IP分组转发。

路由协议处理子系统

路由协议处理子系统主要实现IPv4/IPv6互连网关上的BGP4+的代理，4to6过渡协议需要支持IPv4路由表向IPv6传播，并从IPv6网络中学习IPv4路由表。该部分主要实现4to6过渡协议中的路由处理机制，包括组播路由的支持。

支撑子系统

支撑子系统是整个IPv4/IPv6互连网关系统上层应用实体的服务提供者。从协议角度看，它为BGP4+代理以及网管协议SNMP提供服务；从系统角度来看，它是操作和管理系统的一种手段。支撑子系统将实现它的三个组成部分的协议规范要求，实现了端到端的数据传输，并且提供了一种远程登录访问的手段。

IPv4/IPv6安全网关核心功能处理子系统

安全网关核心功能处理主要是实现IPv4/IPv6网络过渡机制和过渡技术，目前包括协议翻译转换技术、隧道技术、4to6过渡技术以及应用层网关技术。安全网关3个主要的部分：报文翻译，DNS应用层网关，FTP应用层网关。

 
图1-5  NAT_PT的总体结构图

报文翻译

报文翻译部分是NAT_PT的最基础部分。它负责进行IPv4和IPv6报文之间的翻译。具体的实现主要针对TCP、UDP和ICMP三种不同类型的报文进行翻译。由于TCP自己的特性，在地址映射的时间上，还有TCP建立连接的时候，对动态地址池的操作都和UDP、ICMP有所区别。

DNS应用层网关

DNS应用层网关部分是为了支持DNS的IPv6扩展功能的。它主要对针对目的端口/源端口=53的DNS_UDP报文进行翻译的。DNS应用层网关的主要功能是支持外部的IPv4主机对IPv6域内服务器的访问。这样，当外部的DNSv4的查询报文通过路由器的时候，将被翻译后送到IPv6域内的IPv6 DNS服务器。同样IPv6域内的IPv6 DNS服务器的DNSv6回复报文，也将被翻译后返回给原IPv4主机。

FTP应用层网关

由于FTP的IPv6扩展功能和现有的IPv4FTP命令不相同，不完全兼容，所以需要对FTP的命令作翻译。同时的由于TCP报文的负荷长度有所变动，所以还需要对一个FTP的连接的所有TCP数据报的顺序号进行修正。FTP应用层网关部分主要对针对目的端口/源端口=21的FTP_TCP报文进行翻译。

3 IPv4/IPv6安全网关解决方案

根据IPv4/IPv6安全网关的原理和市场需求，从性能，可扩展性以及高可靠性的角度出发，推荐采用研祥（EVOC）的网络系统平台NPC-8205作为解决方案的硬件平台，在此可靠的平台上实现IPv4/IPv6安全网关。

NPC-8205是一款基于Intlel新一代服务器JasperForest平台的高端网络应用系统产品。采取的服务器平台，北桥集成在CPU里面，大大提高了CPU对内存和外设的访问速度。全模块化的网络设计，可灵活选择光电组合，并在千兆，万兆之间灵活切换。主板支持两颗CPU，支持12个DIMM内存槽，6个SATA接口。支持CF卡，板载PCI扩展槽和两个PCI-E扩展槽。整机支持三个全模块的网络扩展，支持两个2.5寸抽拉硬盘位，支持液晶屏显示，板载2千兆电口，1个串口，2个USB，前面板可扩展两个PCI –E设备，支持冗余电源。

采用JASPER FOREAST平台具有以下优点：

（1）支持超线程：第三代超线程技术。

（2）支持虚拟化设备输入/输出 (VT-d)：在之前以虚拟化CPU为主的基础上增加设备输入/输出的虚拟化，能有效提高虚拟机的性能和效率。

（3）内核加速模式(Turbo Mode)：内核运行动态加速。可以根据需要开启、关闭以及加速单个内核的运行。这样动态的调整可以提高系统和CPU整体的能效比率。

（4）Cache的设计：采用三级全内含式Cache设计，L1的设计和Core 微架构一样；L2采用超低延迟的设计，每个内核256KB；L3采用共享式设计，被片上所有内核共享。

（5） 集成了内存控制器(IMC)：从芯片组上移到CPU片上，支持多通道DDR3内存，内存读取的延迟大幅度减少，内存带宽大幅提升，最多可达三倍。

（6）QPI：“快速通道互联”，取代前端总线(FSB)的一种点到点连接技术，20位宽的QPI连接其带宽可达惊人的每秒25.6GB，远非FSB可比。QPI最初能够发放异彩的是支持多个处理器的服务器平台，QPI可以用于多处理器之间的互联。

自由切换的光电口模块设计

不打开箱盖，直接在前面板操作，就可以在光口模块和电口模块间任意更换。可以灵活的搭配出光口不同数量。电口不同数量。光口模块和电口模块混合同时使用。

 
（应用原理图）

4.结束语

综上可见，研祥（EVOC）的网络系统平台NPC-8205作为实现IPv4/IPv6安全网关解决方案的硬件平台，解决了IPv4/IPv6安全网关对对计算性能，存储性能，可靠性能，扩展性能的需求，是一个比较优秀的解决方案。