基于翻译的IPv6过渡关键技术及部署

蔡广平 钟炜

摘要：阐述了几种重要的基于翻译的过渡技术，分析了其工作原理、技术特点、主要应用场景以及各技术的优缺点，同时探讨了实际部署基于翻译的IPv6过渡技术应考虑的相关问题。基于翻译的IPv6过渡技术可以延长IPv4使用期限，实现IPv6和IPv4互联互通，能够最大限度地保护投资者利益，确保网络平滑演进与过渡。选择何种过渡方案涉及很多因素，需根据网络特点等具体情况，选择适合的过渡技术。

关键词：IPv6过渡； 翻译技术； 应用场景

Abstract： In this paper， we describe several important IPv6 transition technologies based on translation. We describe the working principle， technical characteristics， and advantages and limitations of each technique. We also discuss typical scenarios in which these techniques might be used. IPv6 transition technologies based on translation extend the lifetime of the IPv4 network and allow communication between IPv4 and IPv6. They protect network to the greatest possible extent， and ensure the smooth transition from IPv4 to IPv6. When choosing IPv6 transition technologies， many factors need to be taken into account. Transition technologies must be selected according to the networks individual characteristics.

Key words： IPv6 transition； translation technology； application scenarios

由于IPv4地址耗尽，2011年以来中国IPv4地址数量几乎没有新增，而三网融合、云计算和移动互联网又需要大量的IP地址。通过发展IPv6来解决这一问题，业界早已达成共识，但是IPv6地址和IPv4地址并不兼容，运营商网络、业务平台、终端以及内容提供商网络都无法在短期内全面支持IPv6，并且运营商网络基础不同，不同区域面临的问题不尽相同，因此如何经济、高效、平滑地过渡到IPv6是目前所面临的难题。IPv6过渡技术方案众多，但归结起来主要有三大类：双栈、隧道、翻译。在向IPv6网络演进初期，内容提供商和应用服务仍然以IPv4为主，如果新增用户只采用IPv6地址，基于双栈和隧道的过渡技术则不能解决IPv6用户访问IPv4 因特网的问题；若为新增用户分配双栈地址，又无法解决IPv4地址耗尽的问题；此外，由于全网均为双栈仅为理论方案，因此在整个网络向IPv6演进过程中，通过隧道或双栈技术均无法实现IPv4和IPv6网络的互访互通，而基于翻译的过渡技术可以解决此类关键问题。文章结合IPv6过渡技术开发与测试实际，探讨基于翻译的IPv6过渡关键技术，并分析各自特点，给出了典型部署，以及实际部署中应考虑的相关问题。

1 NAT444

NAT44是IPv4-IPv4的网络地址转换（NAT）技术，早在1994年已被提出（RFC1931）。当时NAT提出的背景是：在某一段时间内，一个局域网内只有少部分主机需要访问外部网络，大部分主机只需要访问域内网络，甚至有些主机从不访问外部网络。因此，在该局域网内可使用互联网数字分配机构（IANA）预留的局部地址（RFC1918），此类地址在不同的局域网内可以重复使用。当域内某些主机需要访问外部网络时，通过NAT将局部地址转换为全球唯一的全局地址，局域网只需要少量的全局地址。这些全局地址在不同的时刻可由域内不同的主机占用，极大地减少了对全局地址的占用，达到节省IPv4地址的目的。NAT44应用已非常普遍，是各类小型家用路由器的基本功能之一。

NAT444是指部署在运营商网络内的NAT44设备，网络模型如图1所示。因特网服务提供商（ISP）网络和用户网络均为IPv4网络，服务提供商将IANA预留的局部地址分为两类：用户级局部地址和运营级局部地址。在用户终端设备（CPE）和运营级设备各作一次NAT44，在用户级将用户级局部地址翻译为运营级局部地址，在运营级再将运营级局部地址翻译为全局公有地址。由于作了两次NAT，因此把运营级NAT44称之为NAT444，也称为电信级NAT（CGN）或大规模NAT（LSN）。NAT444设备具有大容量、高性能的特点，可满足高速数据吞吐需求；其机间或板间采用1：1或1：N安全备份，满足电信级设备高可靠性要求；地址规划与分配方式灵活多样，用户地址与端口号可预分配，与网管系统、AAA服务器、日志管理等配套可解决因引入NAT对用户溯源、用户行为分析等运维管理造成的影响。

NAT444主要优点为：

·NAT444实现了运营级IPv4地址复用与共享，可有效解决IPv4地址枯竭问题。

·用户网络和运营商接入网络都可以保持现有IPv4网络不变，只需在汇聚层或核心层增加NAT444设备即可，无需进行大规模设备替换，投资成本低、投资风险低。

·用户和运营商网络都为IPv4单栈，NAT444技术方案成熟，运维成本低。

·部署方式灵活，还可方便地和其他IPv6过渡技术配合使用，如IPv6快速部署（6RD）或双栈。

因此NAT444不但适用于IPv6过渡初期，也可作为中长期演进方案。图2给出了NAT444和6RD配合使用模型。图3为NAT44和双栈配合使用模型。

NAT444主要不足为：

·并未正真引入IPv6网络，在过渡后期还需要进行设备更替。

·NAT破坏了IP网络端对端通信的特点，对一些应用协议处理比较复杂。

·需对网管系统、行为分析系统等运维系统进行升级。

2 DS-LITE

双栈指的是IPv4和IPv6协议栈，如果网络节点支持双栈，则该节点既可以处理IPv4分组，又可以处理IPv6分组。双栈是理论上较完美的IPv6过渡方案，但实际中一方面全网双栈是不现实的；另一方面对于新建网络，若采用双栈需同时占用IPv4和IPv6地址，并不能解决IPv4地址短缺的问题，若采用IPv6单栈，演进早期IPv6用户无法访问内容丰富的IPv4内容提供商网络。轻量级双栈（DS-LITE），旨在解决IPv4主机穿越运营商的纯IPv6网络（如接入网、汇聚网）访问IPv4内容提供商网络，以及通过IPv4-IPv4 NAT实现运营级IPv4地址复用，以解决IPv4地址匮乏问题[1]。

DS-LITE网络模型如图4所示，其中ISP 网络为纯IPv6网络，用户网络中可能只有IPv4主机，也可能存在IPv6主机或双栈主机（当双栈主机用IPv6地址访问网络时可视为IPv6主机；反之可视为IPv4主机），为IPv4主机分配局部地址，对于IPv6主机地址分配和访问IPv6网络按照IPv6协议进行转发与处理。B4（基于桥接的宽带网关）和地址族过渡路由器（AFTR）是DS-LITE的两个主要模块，都支持双栈。

B4是DS-LITE用户接入模块，存在于CPE或者直接驻留在终端设备中（如在无线应用场景中，无线终端不经CPE而直接接入ISP网络），主要完成如下几方面的功能：

·隧道建立，隧道封装/解封装

B4设备与AFTR之间建立多点对点的IPv4-in-IPv6（4in6）隧道，通过手动配置或DHCPv6等方式，B4可以获取AFTR地址。对于来自IPv4主机的IPv4报文，B4完成隧道封装；对于来自AFTR的4in6报文，B4完成隧道解封装。

·分片和重组

封装4in6隧道后报文长度可能会超过最大传输单元（MTU），通过路径MTU发现协议（RFC1191）并不能可靠地解决这一问题。一种解决方法是增大B4与AFTR间链路的MTU值，另一种方法是采用分片与重组。B4需支持分片与重组，对于来自用户的报文，封装隧道后进行分片；对来自AFTR的4in6分片报文，在隧道解封装前进行重组。

·DNS代理

运营商为B4仅分配IPv6地址，B4通过DHCPv6只能获取到域名系统（DNS）服务器的IPv6地址，而不能获取到IPv4地址，因此B4需要支持DNS代理，实现基于IPv4的DNS相关服务。

AFTR是ISP网络中4in6隧道的汇聚点，主要可以完成如下几方面的功能：

·隧道建立，隧道封装/解封装

AFTR与B4建立点对多点的IPv4-in-IPv6隧道，AFTR完成来自B4隧道报文的解封装以及发往B4的IPv4报文的隧道封装。

·分片和重组

与B4类似，AFTR需对来自B4的4in6分片报文先重组再解封装；对发往B4的报文，封装隧道后若超过MTU，需要进行分片。

·NAT44转换

这是AFTR的主要功能，将IPv4局部地址转换为IPv4全局地址，其转换原理、转换方式等与NAT44相同。但与NAT44不同的是：B4的IPv6地址（Softwire ID）也是NAT映射关系生成的主要因素之一，不同的B4下可以使用完全相同的IPv4局部地址。因此当两个相同的IPv4局部地址所属的Softwire ID不同时，所生成的NAT会话不同[2]。

DS-LITE 作为向IPv6演进的主要方案之一，主要优点为：

·剥离了ISP网络、用户网络、因特网之间的耦合，ISP网络发展IPv6网络不受用户网络和因特网的影响，可独立地直接演进到纯IPv6网络。

·为IPv4主机分配局部地址，不同B4下IPv4地址可完全相同，能够有效解决IPv4地址短缺问题。

·用户可以自主地决定是否采用IPv6网络，并且当用户过渡到IPv6时，对ISP网络无额外要求。

·对于IPv6用户直接按照IPv6协议处理，并且可以获得更好的用户体验。

·4in6隧道可以在任意节点终结，AFTR部署灵活。

DS-LITE主要不足为：

·CPE等用户接入设备需要更新升级，增加成本。

·因在AFTR需要做NAT44转换，因此DS-LITE会继承NAT44的一些不足。

·不能解决IPv6主机访问IPv4网络的问题。

3 NAT64

由于向IPv6网络演进初期因特网仍然以IPv4为主，因此存在IPv6用户无法访问内容丰富的IPv4因特网问题。早在2000年因特网工程任务组（IETF）就提出IPv6-IPv4协议转换的附带协议转换器的网络地址转换器（NAT-PT）技术（RFC2766），以解决这一问题。然而由于NAT-PT在实际应用中存在如与DNS耦合太紧等诸多缺陷，IETF于2007年废弃了NAT-PT（RFC4966），不再推荐使用，为此IEFT又推出了NAT64[2]。

NAT64是一种IPv6-IPv4间的AFT，是一种有状态的网络地址和协议转换技术，因此NAT64又称为Stateful NAT64或Stateful AFT[3]。

NAT64模型如图5所示，IPv6客户端和IPv4 服务器分别位于纯IPv6、纯IPv4网络中。NAT64 至少有一个接口与IPv6网络相接，一个接口与IPv4网络相接，且支持双栈。DNS64是将域名解析的A（32 bits IPv4地址）查询记录翻译成AAAA（128 bits IPv6地址）查询记录，供IPv6客户端使用，其中由A到AAAA的地址翻译格式由RFC6205规定。

NAT64和DNS64配合，可实现IPv6 客户端访问IPv4 服务器，具体流程为：

（1）IPv6 客户端向DNS64发起某WWW地址（不妨称为X）的AAAA域名查询请求。

（2）DNS64查询本地域名系统，若X对应的AAAA存在，则向IPv6 客户端返回AAAA；若本地域名系统不存在，DNS64发起X的A域名查询请求，获得A域名后将A记录转换为AAAA记录，然后将AAAA记录返回给IPv6 主机。

（3）IPv6 客户端获得IPv4服务器对应的AAAA后，向IPv4 服务器发起建链请求，该建链报文的SIPv6为IPv6 客户端的IPv6地址，DIPv6为AAAA记录对应的IPv6地址，在IPv6网络内该报文必须路由到NAT64。

（4）NAT64对建链报文进行IPv6-IPv4转转，其中DIPv4是从IPv6报文的DIPv6中通过约定格式解析获取（RFC6205），SIPv4是按既定的NAT64规则从NAT64 IP池中获取一个IPv4公网地址，此外也可对源端口号等作相应的转换。

（5）IPv4 服务器响应IPv6 客户端的请求。

（6）NAT64对来自IPv4 服务器的报文通过查询IPv6-IPv4转换状态（NAT64会话）进行IPv4-IPv6转换，将IPv4报文转换为IPv6报文；若NAT64未查询IPv6-IPv4转换状态，则丢弃报文。

由上述过程可见，对于IPv6 客户端和IPv4 服务器感知不到NAT64是否存在以及报文是否作了NAT64，对于IPv6 客户端访问IPv4 服务器的方式与访问位于纯IPv6网络的IPv6 服务器的方式完全一样，因此NAT64对客户端和服务器端都不可见。

一般情况下，在NAT64的应用场景中需IPv6主机首先向IPv4主机发起通信，如图6所示。但通过设定NAT64静态映射规则等方式，也可实现IPv4主机首先向IPv6主机发起通信[4-5]。

NAT64主要优点为：

·IPv6用户可以访问内容丰富的IPv4 因特网，实现IPv6和IPv4网络的互通互访。

·可以为新增用户直接分配IPv6地址，无需占用已枯竭的IPv4地址，网络业务发展不受限于IPv4地址的枯竭。

·IPv6用户可直接访问纯IPv6的网络服务和应用。

·运营商网络可以只支持IPv6单栈，无需支持IPv4。

·通常只能由IPv6主机发起通信，安全性高。

NAT64主要不足为：

·运营商需要升级DNS，以支持A记录与AAAA记录间的翻译。

·NAT64同NAT44一样为有状态翻译，因此同样会存在因翻译带来的不足。

4 IVI

IVI是另一种基于翻译的过渡技术，罗马数字用IV表示4，用VI表示6，因此用IVI表示IPv6-IPv4翻译，或IPv4/IPv6融合与互联互通。IVI同NAT64一样，是IPv6和IPv4协议族间的转换，但由于IVI通过事先设定的算法来实现IPv6-IPv4转换，无需在转换设备上维护IPv6-IPv4的映射关系，是种无状态的翻译技术，因此IVI也称为无状态地址族转换（Stateless AFT）或被称为无状态NAT64（Stateless NAT64）[6]。

IVI的基本思想是：将IPv6主机地址在IPv4网络中映射的IPv4地址内嵌在IPv6主机的IPv6地址中，IVI通过对IPv6主机的IPv6地址解析，就可以直接获取到与之对应的IPv4地址，即IPv6主机地址必须是可以翻译出IPv4地址的IPv6地址，因此运营商需为IPv6 主机分配特殊的IPv6地址，可通过手动配置或DHCPv6动态分配。IPv4主机在IPv6网络中映射的IPv6地址必须包含IPv4主机地址，即必须是由IPv4主机地址转换得到的IPv6地址，通常由IVI DNS完成IPv4主机地址到IPv6地址的转换，IVI DNS工作原理与DNS64相同，完成A记录和AAAA记录的相互转换。IPv6主机地址格式、IPv4主机映射成的IPv6地址格式均由RFC6205规定，这两类地址的前缀必须使用运营商的路由前缀。

IVI主要应用场景如图7所示，它支持IPv6本地网络（IPv6 Network）访问IPv4因特网（IPv4 Internet）、IPv4因特网访问IPv6本地网络、IPv6本地网络访问IPv4本地网络、IPv4本地网络访问IPv6本地网络。但对于IPv4本地网络与IPv6本地网络的互访，通常需二者为同一运营商所管理。IVI支持IPv6主机发起的通信，也支持从IPv4主机发起的通信。

IVI的主要优点为：

·运营商可直接部署纯IPv6网络，有利于IPv6发展。

·可实现IPv6网络与IPv4网络的互通互访问。

·IVI为无状态翻译，IPv6和IPv4主机都可以首先发起通信。

·通常只需翻译IP层，无需修改传输层，实现简单效率高，例如安全备份无需相互同步状态等。

·部署性价比高于NAT64。

IVI主要不足为：

·IPv6主机地址与IPv4地址的映射为1：1（在其他文献中有IVI通过端口复用等方式实现1：N，但实现比较复杂并未出现在RFC6219），IVI并不能解决IPv4地址枯竭问题。

·运营商需要升级DNS，以支持A记录与AAAA记录的翻译。

·尽管为IVI为无状态，但仍需ALG支持某些应用协议。

·安全性不及NAT64。

5 基于翻译的过渡技术部署

CGN（在此将NAT444、DS-LITE、NAT64、IVI等基于翻译的过渡技术都称为CGN）设备形态按照与既有设备的关系可分为独立式和插卡式两类，独立式是指CGN设备与现有设备（如宽带远程接入服务器（BRAS）或核心路由器（CR）等相互独立，以旁挂于现有设备的方式部署；插卡式指现有设备提供空闲插槽，CGN设备以板卡形式与现有设备融合部署。按照部署层面不同，CGN部署分为集中式部署和分布式部署，集中式指CGN设备部署在网络流量出口，如城域网核心层或移动分组域承载CE层；分布式指CGN设备部署在业务控制层，如BRAS。表1列出CGN设备的4种典型部署。

下面以NAT444部署为例，说明CGN部署对现网的影响，网络拓扑如图8所示。NAT444部署在城域网业务控制层，其中宽带用户接入BRAS节点采用插卡分布式部署，大客户业务路由器（SR）节点采用独立分布式部署，提供大流量的NAT转换，并与AAA服务器、日志服务器等配套系统一起解决用户溯源、单点认证、行为分析等问题，实现运营级NAT 服务。

对于SR旁挂NAT444独立部署，用户上行流经SR通过策略路由把需要NAT的流导入NAT444独立设备，并作NAT后再次返回SR经CR接入骨干网；然后再返回下行流通过路由引导到NAT444。此外，该场景中插卡式和独立式部署都采用1：1安全备份，独立设备采用机间备份、插卡式采用板间备份，当主设备M出现故障，自动切换到备设备S。

AAA服务器从网管系统接收用户地址映射关系信息，存储在本地并维护各NAT444的用户映射关系。网管系统对NAT444统一管理，如统一生成用户地址映射关系表以及地址池，端口块大小等参数信息，通过简单网络管理协议（SNMP）等协议下发配置信息到NAT444设备或AAA服务器。NAT444生成NAT日志，如每生成或老化一条NAT映射规则时则会产生一条日志信息，并及时上传给日志服务器。日志服务器管理NAT日志信息，对日志信息分析统计，提供管理接口，响应用户查询日志信息。可见引入NAT需要对现网AAA服务器、网管系统等配套设备进行升级。此外，实际部署还需考虑安全管理、故障管理、性能需求以及机箱、线缆、环境等要素。

6 结束语

由于IPv4地址资源枯竭，过渡到IPv6 是网络发展的必然趋势。但是运营商网络、业务平台、终端以及内容提供商网络都无法短期内全面支持IPv6，因此向IPv6过渡是长期的过程。基于翻译的IPv6过渡技术可以延长IPv4使用期限、实现IPv6和IPv4互联互通，最大限度地保护投资者利益，确保网络平滑演进与过渡。此外，选择何种过渡方案涉及很多因素，需根据网络特点等具体情况，选择适合的过渡技术。

参考文献

[1] DURAND A， DROMS R， WOODYATT J. Dual-stack lite broadband deployments following IPv4 exhaustion[S] .IETF RFC 6333 .2011.

[2] 刘腾飞，秦雅娟，王利利. 代理移动IPv6下子网移动方案的实现与分析[J].重庆邮电学院学报（自然科学版）， 2013 （3）：372-378.

[3] BAGNULO M， MATTHEWS P，VAN BEIJNUM I. Stateful NAT64： Network address and protocol translation from IPv6 clients to IPv4 servers[S]. IETF RFC 6146.2011.

[4] 吴大鹏. IPv6的发展与现状[J]. 数字通信，2010（2）：16-19.

[5] 陈建军， 邱伟， 黄孟俊， 赵宏钟， 付强. 基于距离单元筛选的扩展目标检测新方法[J].雷达科学与技术， 2012（3）：294-300.

[6] LI X， BAO C，BAKER F. IP/ICMP translation algorithm[S]. IETF RFC 6145.2011.