本发明涉及互联网技术领域,更具体的,涉及一种基于私网(VPN隧道及IVI)接入的IPv6地址访问IPv4资源的方法和系统,支持有线纯IPv6、有线双栈、无线纯IPv6和无线双栈四种接入方式。
背景技术:
现有的互联网主要是基于IPv4协议,这一协议成功的促成了互联网的迅速发展。但是,随着互联网用户的数量不断增加,以及对互联网应用的要求不断提高,IPv4的不足逐渐凸显出来。不断增长的对互联网地址资源的巨大需求与IPv4地址空间不足之间的矛盾越来越深,目前可用的IPv4地址已经枯竭。而采用长度为128字节IP地址的IPv6协议,则彻底解决了IPv4地址不足的难题,并且在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进,IPv6也成为下一代互联网络协议采用的核心标准之一。但是IPv6协议无法兼容目前的IPv4协议,也就是说无法从IPv4直接切换到IPv6,而这需要一个慢慢过渡的过程。在很长的过渡期内,IPv6和IPv4必须共存,IPv6地址和IPv4地址也必须共存,同时还必须使新安装的IPv6系统能够向后兼容。
IPv4/IPv6过渡技术是用来在IPv4向IPv6演进的过渡期内,保证业务共存和互操作的。目前成熟的IPv4/IPv6过渡技术可以分成三类:
(1)双栈技术
通过节点对IPv4和IPv6双协议栈的支持来实现两种业务的共存。
(2)隧道技术
通过在IPv4网络中部署隧道,实现在IPv4网络上对IPv6业务的承载,保证业务的共存和过渡,已定义的隧道技术种类很多,主要包括手工配置隧道、兼容地址自动配置隧道、6over4、6to4、MPLS隧道、ISATAP、隧道代理等技术。
(3)IPv4/IPv6互操作技术
通过对数据包的转换实现在网络过渡期中IPv4节点和IPv6节点之间的相互访问。目前主要的技术包括SIIT、NAT-PT、BIS、BIA、IVI等。
其中,IVI(IVI的说法灵感来源于罗马字码,IV是四,VI是六,用于表示一种无状态的IPv4与IPv6的地址转换技术)是一个特定前缀和无状态地址映射的方案,这种地址映射和转换机制是通过一个连接IPv4和IPv6网络的IVI网关来实现的。它使用了NAT-PT中的SIIT(Stateless IP/ICMP Translation,无状态IP/ICMP翻译)技术,这种无状态转换是在IVI网关中实现的。它在IPv4到IPv6的映射和IPv6到IPv4的映射是无状态的,通过这种翻译技术,IPv6用户可以透明地访问IPv4网,IPv4用户可以有条件地访问IPv6网。
如上所述,IVI服务使用的是无状态地址转换,但是其有两个缺点,一是需要一个真实的公网IPv4地址用来转换,第二就是IVI技术只支持IPv6源地址为特定IPv6前缀下的IVI地址,而不是任意的IVI地址。这使得IVI的应用有很大的局限性。
技术实现要素:
为了解决上述现有技术中存在的不足,本发明提出了一种实现IPv6地址访问IPv4资源的系统和方法,使得IPv6地址可以通过VPN隧道及IVI访问IPv4资源,本发明使得在有线纯IPv6、双栈或无线纯IPv6、双栈环境下任意访问IPv6、IPv4网络成为可能。
根据本发明的一方面,提出一种实现IPv6地址访问IPv4资源的系统,该系统包括:IPv6客户端、VPN服务器、IVI服务器和路由器,其中:
所述IPv6客户端配置有IPv6地址;
所述VPN服务器与IPv6客户端通过隧道通信,与IVI服务器通过网线连接,所述VPN服务器用于接收所述IPv6客户端发送的IPv6数据包并将该IPv6数据包转发给所述IVI服务器、接收所述IVI服务器发送的IPv6数据包并将该IPv6数据包转发给所述IPv6客户端,所述VPN服务器同时作为访问IPv6网络的入口路由器;
所述IVI服务器与所述VPN服务器和所述路由器分别通过网线连接,用于对所接收到的IPv4地址中的IVI4地址与IPv6地址中的IVI6地址进行互相转换;
所述路由器与所述IVI服务器通过网线连接,作为访问IPv4网络的入口路由器;
其中,所述IVI4地址为私网地址。
所述IPv6客户端包括有线纯IPv6客户端、无线纯IPv6客户端、有线双栈客户端和无线双栈客户端,其中有线纯IPv6客户端和无线纯IPv6客户端只配置有IPv6地址,而不配置IPv4地址,有线双栈客户端和无线双栈客户端同时配置有IPv6地址和IPv4地址。
所述VPN服务器具有两个接口:eth0接口和eth1接口,其中,所述eth0接口连接所述IVI服务器,用于接收所述IVI服务器发送的IPv4数据包,eth1接口连接所述IPv6客户端,用于接收所述IPv6客户端发送的IPv6数据包。
所述IVI服务器包括第一网卡和第二网卡,所述第一网卡对应的第一网络接口用于接收并转发IPv4数据包到路由器,所述第二网卡对应的第二网络接口用于接收并转发IPv6数据包到路由器。
所述IVI服务器工作时,自动虚拟出两个虚拟网络接口:第一虚拟网络接口和第二虚拟网络接口,所述第一虚拟网络接口用于接收所述eth0接口转发的IPv4数据包,并将所述IPv4数据包中的源地址和目的地址转换为IVI6地址;所述第二虚拟网络接口用于接收所述eth1接口转发的IPv6数据包,并将IPv6数据包中源地址和目的地址中的IVI6地址转换为IPv4地址。
所述VPN服务器位于AC控制器。
纯IPv6客户端的用户数据到达AC控制器后,AC控制器将所述用户数据指向portal网关,由portal网关推送给portal服务器,portal服务器对所述用户数据进行认证后,转发至IVI服务器。
有线双栈IPv6客户端和无线双栈IPv6客户端的用户数据到达AC控制器后,由AC控制器进行认证之后,分别转发至IPv4网络和IVI服务器。
根据本发明另一方面,提供了一种实现IPv6地址访问IPv4资源的方法,该方法包括以下步骤:
步骤S1,为IVI服务器申请一个公网地址,并为IVI服务器指定一段私网地址;
步骤S2,为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器;
步骤S3,AC控制器接收IPv6客户端发送的IPv6访问请求数据包,将IPv6访问请求数据包指向portal网关,由portal网关推送给portal服务器,所述portal服务器对其认证后转发给所述IVI服务器;
步骤S4,所述portal服务器对IPv6访问请求数据包认证后,,将其转发至IVI服务器,并由IVI服务器转发,以同时访问IPv6和IPv4网络。
根据本发明第三方面,提供了一种实现IPv6地址访问IPv4资源的方法,该方法包括以下步骤:
步骤S1,为IVI服务器申请一个公网地址,并为IVI服务器指定一段私网地址;
步骤S2,为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器;
步骤S3,AC控制器接收有线双栈IPv6客户端发送的IPv6访问请求数据包,AC控制器对所述IPv6访问请求数据包进行认证后转发。
本发明的上述技术方案,通过VPN隧道技术在IVI服务器上实现了利用私网地址在IPv6和IPv4之间的地址转换,使得在IPv6客户端在访问IPv4资源时,IVI地址转换不需要消耗IPv4的公网地址,缓解IPv4资源的消耗问题。
附图说明
图1为IVI翻译技术中IVI4地址与IVI6地址映射关系示意图;
图2为IVI6地址的128位结构图;
图3为根据本发明一实施例中通过隧道和地址转换实现IPv6地址访问IPv4资源的系统结构图;
图4为根据本发明一实施例中通过隧道和地址转换实现IPv6地址访问IPv4资源的方法流程示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。根据本发明的实施例,能够实现在纯IPv6环境下任意地点访问IPv4网络。
IVI是一种基于SIIT的协议转换技术,可以解决IPv6网络与IPv4网络数据包的网络层翻译。IVI的主要思路是从全球IPv4地址空间(IPG4)中,取出一部分地址映射到全球IPv6地址空间(IPG6)中,如图1所示。在IPG4中,每个运营商取出一部分IPv4地址,用来在IVI过渡转换中使用,被取出的这部分IPv4地址称为IVI4地址,这部分地址不能分配给实际的真实主机使用。随着过渡转换的进行,IVI4的范围逐渐被扩大,当所有的IPv4地址都不被真实主机使用时,过渡完成。
IVI的地址映射规则是在IPv6地址中插入IPv4地址,如图2所示,图2中,第0-31位为表示ISP(Internet Service Provider,互联网服务提供商)的IPv6前缀,第32-39位设置为FF,表示这是一个IVI映射地址,第40-71位表示插入的全局IPv4空间(IVIG4)的地址格式,如IPv4/24映射为IPv6/64而IPv4/32映射为IPv6/72。
在以往的IVI应用中,IVI4地址均为可以直接访问internet的IPv4地址,也就是公网地址。这样做是为了解决IVI数据包返回时的路由问题。但是这样其实本质上并没有缓解IPv4资源的消耗问题。在本发明中,IVI4地址使用的是私网地址如192.168.1.0/24等,之后由IVI服务器使用SNAT(即源地址转换)方法将数据包的原地址,即IVI4地址,修改为本机的公网地址。这样就可以使用私网地址完成IVI转换而不需要再消耗珍贵的公网地址了。
目前绝大部分的VPN软件都是基于IPv4网络的,在IPv6环境下不可用。为了使VPN可以支持IPv6地址,需要为其打上一个IPv6补丁。如图3所示,本发明在IPv6客户端和IVI服务器之间利用VPN软件建立一个虚拟隧道,并为隧道两端的虚拟网卡配置IVI6地址,这样客户端内与IVI相关的数据,都可以从这个虚拟通道经AC(Access Controller,接入)控制器的转发到达IVI服务器。通过这个虚拟隧道,IVI的地址转换服务就脱离了客户端本地IPv6地址的限制,为任何可以连接AC控制器的客户端提供IVI服务,这使得IVI服务的应用范围得到了大大的扩展。
根据本发明的一实施例,提出了一种通过隧道和地址转换实现IPv6地址访问IPv4资源的系统,如图3所示,该系统包括:IPv6客户端、VPN服务器、IVI服务器和路由器。
其中,所述IPv6客户端包括有线纯IPv6客户端、无线纯IPv6客户端、有线双栈客户端和无线双栈客户端,其中有线纯IPv6客户端和无线纯IPv6客户端只配置有IPv6地址,而不配置IPv4地址,有线双栈客户端和无线双栈客户端同时配置有IPv6地址和IPv4地址;
所述VPN服务器与IPv6客户端通过隧道通信,与IVI服务器通过网线连接,所述VPN服务器用于接收所述IPv6客户端发送的IPv6数据包并将该IPv6数据包转发给所述IVI服务器、接收所述IVI服务器发送的IPv6数据包并将该IPv6数据包转发给所述IPv6客户端,所述VPN服务器同时作为访问IPv6网络的入口路由器;
所述隧道是通过现有技术中常用的隧道技术来建立的;
所述VPN服务器具有两个接口:eth0接口和eth1接口,其中,所述eth0接口连接所述IVI服务器,用于接收所述IVI服务器发送的IPv6数据包,eth1接口连接所述IPv6客户端,用于接收所述IPv6客户端发送的IPv6数据包;所述VPN服务器位于AC控制器上;
所述IVI服务器与所述VPN服务器和所述路由器分别通过网线连接,用于对所接收到的IPv4地址中的IVI4地址与IPv6地址中的IVI6地址进行互相转换,可同时访问IPv6和IPv4网络;
所述IVI服务器进一步包括网卡eth0和网卡eth1,即两个网络接口,所述网卡eth0对应的第一网络接口用于接收并转发IPv4数据包到路由器,所述网卡eth1对应的第二网络接口用于接收并转发IPv6数据包到路由器;
所述IVI服务器工作时,自动虚拟出两块网卡,即虚拟出两个虚拟网络接口,一个是网卡IVI0对应的第一虚拟网络接口,用于接收所述网卡eth0对应的第一网络接口转发的IPv4数据包,并将所述IPv4数据包中的源地址和目的地址转换为IVI6地址;另一个是网卡IVI1对应的第二虚拟网络接口,用于接收所述网卡eth1对应的第二网络接口转发的IPv6数据包,并将IPv6数据包中源地址和目的地址中的IVI6地址转换为IPv4地址。
所述路由器与所述IVI服务器通过网线连接,作为访问IPv4网络的入口路由器。
图4为根据本发明一实施例的通过隧道和地址转换实现IPv6地址访问IPv4资源的方法流程示意图。如图4所示,无线客户端用户想使用纯IPv6网络,接入SSID:A时,纯IPv6网络用户数据到达AC控制器,AC将数据指向H3C portal服务器,H3C portal服务器推送给H3C portal server,H3C Portal sever对其进行二女争认证,通过认证后,纯IPv6用户数据通过IVI转发,可同时访问IPv6和IPv4网络。无线客户端用户想使用IPv4网络,接入SSID:B,用户可以同时获得IPv4和IPv6的地址。有线双栈用户数据到达AC控制器后进行认证转发。
根据本发明另一实施例,提供了一种实现IPv6地址访问IPv4资源的方法,其包括:
步骤S1,为IVI服务器申请一个公网地址,并为IVI服务器指定一段私网地址;
步骤S2,为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器;
步骤S3,AC控制器接收IPv6客户端发送的IPv6访问请求数据包,将IPv6访问请求数据包指向portal网关,由portal网关推送给portal服务器,所述portal服务器对其认证后转发给所述IVI服务器;
步骤S4,所述portal服务器对IPv6访问请求数据包认证后,,将其转发至IVI服务器,并由IVI服务器转发,以同时访问IPv6和IPv4网络。
根据本发明另一实施例,提供了一种实现IPv6地址访问IPv4资源的方法,其包括:
步骤S1,为IVI服务器申请一个公网地址,并为IVI服务器指定一段私网地址;
步骤S2,为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器;
步骤S3,AC控制器接收有线双栈IPv6客户端发送的IPv6访问请求数据包,AC控制器对所述IPv4访问请求数据包进行认证后转发。
以上所述的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,以上所述仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
原文链接:https://www.xjishu.com/zhuanli/62/201610709456.html