IPv6网络-基础、安全、过渡与部署（第8章） .ppt

8.4.2 NAT和NAPT 1．NAT NAT最初用于解决IPv4地址短缺问题，允许一个内网中只有一个合法的Internet地址，在内部网络中可以使用专用IP地址，通过设置硬件的或软件的NAT，把内网的专用IP地址转换为外网上可以使用的公用IP地址 NAT的另一个主要作用是对外网屏蔽了内网结点的地址，实现内网和外网之间的隔离，起到了网络安全作用 NAT有3种类型：静态NAT、动态NAT、网络地址端口转换 对于IPv4向IPv6过渡机制来讲，这里的内网和外网可以分别对应IPv4网络或IPv6网络 2．NAPT 从IPv6主机经NAPT网关发送至IPv4主机上，再从IPv4主机经NAPT网关发送至IPv6主机上 NAPT网关将从自己的地址池中抽取出一个IPv4地址及一个端口号。这里假定使用了地址120.10.40.10。在从NAPT发至PC-A的后续包中，其源地址是120.10.40.10，端口号为1025；其目的地址是120.140.160.101，端口号为23 8.4.3 NAT-PT 1．NAT-PT基本原理 NAT-PT技术是一种地址和协议转换技术 NAT-PT技术是在进行IPv4/IPv6地址转换的同时，进行IPv4/IPv6协议的转换 适用于纯IPv4结点和纯IPv6结点之间的通信 NAT-PT只允许IPv6网络的结点去访问IPv4网络，进程的建立是单向的 2．DNS-ALG与NAT-PT相结合 IPv4和IPv6的DNS在记录格式等方面有所不同，为了实现IPv4网络和IPv6网络之间的DNS查询和响应，可以将应用层网关DNS-ALG与NAT-PT结合，作为IPv4和IPv6网络之间的翻译器 8.4.4 SIIT转换机制 无状态IP/ICMP转换（Stateless IP/ICMP Translation，SIIT）用于对IP协议和ICMP协议进行协议转换 这种转换不记录流的状态，因而是无状态的 SIIT技术使用特定的地址空间来完成IPv4地址与IPv6地址的转换，需要一个IPv4地址池，由于SIIT不提供地址复用，地址池的空间限制了IPv6结点的数量 8.4.5 BIS、SOCKS64、BIA转换机制 1．BIS BIS技术在IPv4协议栈中添加了3个特殊的扩展模块：扩展域名解析模块用于扩展原有的域名解析功能，使其支持IPv6地址查询；地址映射模块用于实现IPv4地址与IPv6地址之间的映射；转换模块用于实现IPv4数据报与IPv6数据报之间的转换 2．SOCKS64 SOCKS64技术是对原有防火墙安全会话转换协议（SOCKS）的扩展，并将其应用到IPv4/IPv6网关技术下，来实现IPv4结点和IPv6结点之间的通信，相当于网络层的代理。SOCKS64增加了两个新的功能部件，即SOCKS64网关和SOCKS64客户端 SOCKS64不需要修改DNS，也不需要地址映射，可以用于多种环境，实现纯IPv4结点和纯IPv6结点之间的通信 但是，由于SOCKS64需要使用SOCKS代理服务器，同时需要在客户端安装支持SOCKS代理的软件，因此，SOCKS64对用户来说并不是透明的 3．BIA BIA技术通过在双栈主机的Socket API模块和TCP/IP模块之间添加一些特殊的扩展模块，来实现数据报的转换。BIA添加了一个API转换器，包括域名解析模块、地址映射模块和函数映射模块 BIA技术与BIS类似，只是在API层次而不是在协议栈的层次上进行分组的翻译，实现起来比BIS要简单一些 8.5 IVI转换技术 8.5.1 IVI转换技术概述 8.5.2 IVI地址格式 8.5.3 IVI路由 8.5.4 IVI工作原理 8.5.1 IVI转换技术概述 IVI是在“IPv4网络到IPv6网络”和“IPv6网络到IPv4网络”场景下的一个特定前缀和无状态地址映射机制。在罗马数字中，“IV”表示数字4，“VI”表示数字6，因此“IVI”表示IPv4和IPv6之间的转换 在IVI机制中，ISP的IPv4地址子集被嵌入到ISP的IPv6地址中。因此，通过使用这些IVI地址，主机可以直接与全球IPv6网络进行通信，也可以采用无状态转换器与全球IPv4网络进行通信 无论是IPv4网络还是IPv6网络，都可以发起这种通信。同时，IVI机制还支持端到端的透明地址和可扩展部署 IVI的早期设计是部署在CERNET中的无状态转换 IVI机制提出了如下几点要求 为了实现CERNET2和IPv4网络之间的通信，在CERNET和CERNET2主干网之间设计并安装了IVI转换器，并对IVI机制提出了如下几点要求 1）应当同时支持IPv4和IPv6发起的对IPv6网络中IPv6客户端/服务器的通信 2）应当沿用目前的IPv4和IPv