NAT-PT技术在IPv4和IPv6互联中的实现

1 引言
    IPv6推广应用初期网络资源相当匮乏，使用者主要是研究IPv6的科研工作者。IPv6的推广普及需吸引大量普通网络用户，仅靠IPv6网络的优异性能是不够的，还需建立大量的可用资源，在短时间内是不可能的。而IPv4网络具有丰富的资源。如能通过转换网关实现IPv6与IPv4网络的无缝连接，实现IPv4与IPv6网络的资源共享，这不仅增加了IPv6网络对用户的吸引力，并具有较高的经济和应用价值。

2 NAT－PT转换网关方案
2．1 NAT-PT的位置位置和功能结构
    NAT-PT在Linux协议栈中所处的位置如图1所示，整个NAT-PT模块由3部分构成，NAT维护映射表和地址池，其中DNS-ALG处于应用层，而NAT和PT处于IP层，工作在Linux内核，但NAT和PT只是在一个Linux内核模块工作，整个NAT-PT网关是一个包含NAT-PT功能的 Linux系统。

    图2为NAT-PT的功能结构图。NAT负责IPv4和IPv6地址的映射转换，如存储并维护IPv4地址池；为将要建立的连接选择合适的地址；保持同一通信期间IPv4到IPv6地址的映射、维护。PT负责在两种版本的协议之间进行转换，主要工作是在IP报头的对应字段，根据IPv4和IPv6在语义上的不同定义进行转换，并对上层协议进行适当的转换(如TCP、UDP及ICMP)，从而构建新的数据包。应用级网关ALG负责转换负载中包含IP地址的典型应用，其中DNS-ALG是双向NAT-PT必须具备的功能。[!--empirenews.page--]
2．2 NAT．PT的通信过程
    下面分析NAT-PT在网络中的通信过程，图3为通信模型及其基本配置。

    (1)从IPv4到IPv6的通信当IPv4主机B初次与IPv6主机A通信时，首先向本地网络的DNS服务器发送一个对A名字的查询请求，此请求记录是“A”，本地DNS服务器无此名字记录，此查询通过NAT-PT转交，则被DNS-ALG截获，然后将“A”记录改为“AAAA”记录，并直接将转换后的查询记录递交给IPv6网络的 DNS服务器，IPv6的DNS服务器返回：
    主机A AAAA 200 1：250：2000：3：：3
    DNS-ALG将该应答截获，并将“AAAA”记录改为“A”记录，同时在地址映射表中查找此IPv6地址的映射地址，如果有，则直接用映射的IPv4地址替换DNS应答中的IPv6地址，并返回应答给IPv4主机B；如果没有，则向NAT模块请求分配一个映射地址给此IPv6地址，NAT确认映射表中没有关于此IPv6地址的映射表项后，在地址池中分配一个空闲的IPv4地址(比如202．115．9．249)映射给该IPv6地址，并在映射表中添加此绑定表项，最后把分配的IPv4地址返回给DNS-ALG，这时候DNS应答变为：
    主机A A 202．115．9．249
    DNS-ALG将此DNS应答返回给IPv4主机B。IPv4主机B此时就可以建立与IPv6主机A的通信，这里假定IPv4主机B发起的是TCP通信，则：源地址=202．115．8．3，源TCP端口=1 025；目的地址=202．115．9．249，目的TCP端口=80。
    此数据包被路由器转发给NAT-PT，协议翻译模块PT转换源包的IP报头和TCP校验，在源地址前添加IPv6前缀，转换为IPv4映射的IPv6地址，并根据NAT地址映射表中202．115．9．249与2001：250：2000：3：：3的映射关系，将包翻译为：源地址=2001：250： 2000：3：：202．1 15．8．3，源TCP端口=1 025；目的地址=2001：250：2000：3：：3，目的TCP端口=80。
    这样，IPv4主机B可以与IPv6主机进行通信。对于在此映射表项生存期内的后续通信，将继续利用此表项，映射表项超时后将被删除，映射表项超时机制的引入一是为了释放地址资源和内存，另外还可以减少拒绝服务攻击(DoS)的风险。[!--empirenews.page--]
    (2)从IPv6到IPv4的通信IPv6主机可以从IPv4网络中的DNS服务器获得：IPv4主机的名字解析，但如果在IPv6DNS服务器中缓存适当的。IPv4主机的名字解析表，则可以提高通信的效率，这样，IPv6主机就可以从本地的IPv6 DNS服务器获得关于IPv4主机的名字解析。如果IPv6DNS服务器采用上述方案，则：在图3中，若IPv6主机A试图与IPv4主机B建立通信，则 A首先发送一个对IPv4主机B的名字查询请求到本地IPv6网络的DNS服务器，这个请求记录为“AAAA”或“A6‘’记录，由于主机B可能在本地 DNS有IPv4地址或IPv6地址映射，DNS-ALG将把此“AAAA”或“A6”查询不加修改地转交给本地DNS，若本地DNS应答返回的是一个 “AAAA”或“A6”记录，那么DNS－ALG将把此应答不作修改地返回给IPv6主机A。若DNS返回一个“A”记录，即：
    主机B A 202．115．8．3
    DNS-ALG则对应答返回的IPv4地址进行修改，在IPv4地址前面加上IPv6前缀，变为：
       主机B AAAA 200 1：250：2000：3：：202．1 1 5．8．3
    或 主机B A6 2001：250：2000：3：：202．115．8．3
    如果IPv6 DNS服务器中没有缓存IPv4主机的名字解析表，则DNS-ALG将把该“AAAA”或“A6”请求记录修改为“A”记录，并将转换后的名字解析请求转发给IPv4网络的DNS服务器，则IPv4网络的DNS服务器返回如下应答：
    主机B A 202．115．8．3
    DNS－ALG截获此应答，并将其修改为：
       主机B AAAA 2001：250：2000：3：：202.1 15．8．3
    或 主机B A6 2001：250：2000：3：：202．115．8．3
    至此，名字解析成功。仅仅这样IPv6主机还无法与IPv4主机建立通信，还须将IPv6主机源地址修改为IPv4地址，NAT-PT的PT模块截获了主机A的名字查询请求后将在地址映射表中查询是否有与该IPv6地址匹配的IPv4地址绑定，若没有，NAT将在IPv4地址池中分配一个空闲的IPv4地址(比如202．115．9．249)映射给该IPv6地址，并在映射表中添加此绑定表项，此时，IPv6主机A就可以与IPv4主机B建立通信。
    IPv4节点同IPv6节点通信类似，这里假定A与B进行TCP通信：源地址=2001：250：2000：3：：3，源TCP端口=1 025；目的地址=2001：250：2000：3：：202．115．8．3；目的TCP端口=80。
    IPv6主机A发送的数据包被路由器转发给NAT-PT，协议翻译模块PT转换源包的IPv6报头和TCP校验，并根据NAT地址映射表中202． 115．9．249与2001：250：2000：3：：3的映射关系，将数据包翻译成：源地址=202．115．9．249，源TCP端口=1 025；目的地址=202．115．8．3．目的TCP端口=80。这样，IPv6主机A可与IPv4主机B通信。映射表项生存期内的后续通信，将继续利用此表项，映射表项超时后删除。

3 结束语
    由于IPv4资源丰富，而IPvr6资源很少，如果能实现IPv6／IPv4网络的互操作，使 IPv6网络中的主机能够访问IPv4网络资源，从而减小网络升级成本，加快IPv6的推广普及，因此必须研发IPv4／IPv6转换网关。NAT-PT 方案可实现IPv4与IPv6的双向通信功能。利用NAT-PT技术设计IPv4／IPv6转换网关，并对其测试，从而实现IPv4与IPv6的双向通信。