CN105530159A - 一种实现跨IPv6和IPv4的VPN互访的方法和*** - Google Patents

一种实现跨IPv6和IPv4的VPN互访的方法和*** Download PDF

Info

Publication number
CN105530159A
CN105530159A CN201610036602.1A CN201610036602A CN105530159A CN 105530159 A CN105530159 A CN 105530159A CN 201610036602 A CN201610036602 A CN 201610036602A CN 105530159 A CN105530159 A CN 105530159A
Authority
CN
China
Prior art keywords
ipv4
address
vpn
ipv6
nat64
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201610036602.1A
Other languages
English (en)
Other versions
CN105530159B (zh
Inventor
杨帅
刘磊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fiberhome Telecommunication Technologies Co Ltd
Original Assignee
Wuhan FiberHome Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuhan FiberHome Networks Co Ltd filed Critical Wuhan FiberHome Networks Co Ltd
Priority to CN201610036602.1A priority Critical patent/CN105530159B/zh
Publication of CN105530159A publication Critical patent/CN105530159A/zh
Application granted granted Critical
Publication of CN105530159B publication Critical patent/CN105530159B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/10Mapping addresses of different types
    • H04L61/103Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/251Translation of Internet protocol [IP] addresses between different IP versions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2521Translation architectures other than single NAT servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5061Pools of addresses

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明适用于互联网通讯领域,提供了一种实现跨IPv6和IPv4的VPN互访的方法和***,在IPv6侧VPN发起针对IPv4侧VPN的数据的访问消息时,所述方法包括:根据DNS64服务器解析目的标识,得到目的地址,所述目的地址被携带在所述数据的访问消息中;根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;剥离目的地址的前缀,得到合法的目的IPv4地址;根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。应用本发明在不同VPN间通过NAT64互相访问的方法和***,可以很方便的实现不同VPN间的互访,其配置简单方便,安全性能高。

Description

一种实现跨IPv6和IPv4的VPN互访的方法和***
技术领域
本发明属于互联网通讯领域,尤其涉及一种实现跨IPv6和IPv4的VPN互访的方法。
背景技术
IPv6是解决IPv4地址耗尽问题的根本解决方案,但是由于现有IPv4用户存量很大,绝大部分现网也还不支持IPv6应用,使得现网从IPv4向IPv6演进的难度较大。为了保证用户和业务平稳过渡,我们预计整个演进周期将是个长期的过程,也就是说IPv6将会与IPv4长期共存。因此,IPv6过渡方案显得尤为重要。而且,由于互联网技术的高速发展,三层VPN被企业、政府等等得到了被广泛的使用,被用来网络的隔离,但是在实际的应用场景中跨VPN之间还可能会存在相互间访问的需求。
然而,现在技术中VPN间IPv6<->IPv4网络中存在实现复杂、管理起来难度大的问题。
发明内容
本发明实施例的目的在于提供一种实现跨IPv6和IPv4的VPN互访的方法和***,以解决现有技术中VPN间IPv6与IPv4网络互传的实现方法复杂、管理起来难度大的问题。
本发明实施例是这样实现的,一种实现跨IPv6和IPv4的VPN互访的方法,在IPv6侧VPN发起针对IPv4侧VPN的数据的访问消息时,所述方法包括:
根据DNS64服务器解析目的标识,得到目的地址,所述目的地址被携带在所述数据的访问消息中;根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;剥离目的地址的前缀,得到合法的目的IPv4地址;根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。
优选的,所述根据NAT64地址池进行源IPv6地址到IPv4地址的转换,具体为:
从与IPv6侧ACL服务器绑定的NAT64地址池中选出空闲的IPv4地址作为在IPv4侧VPN中使用,并作为数据的访问消息的源IPv4地址。
优选的,所述数据的访问消息转发后还包括:
建立从IPv6到IPv4,以及从IPv4到IPv6的两个NAT64会话表,所述两个NAT64会话表建立映射关系,其中,
IPv6侧的会话表中保存:源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN、协议类型;
IPv4侧的会话表中保存:源IPv4地址、源端口、目的IPv4地址、目的端口、IPv4侧VPN。
优选的,所述两个NAT64会话表保存在NAT64服务器上。
优选的,在IPv4侧VPN服务器收到响应消息时,所述方法还包括:
匹配IPv4侧的会话表,如果匹配成功,则根据IPv4侧的会话表得到相应的IPv6侧的源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN;
把响应消息中携带的IPv4地址转换成IPv6地址,通过IPv6网络转发该响应消息。
优选的,基于所述数据的访问消息建立的会话的后续数据包转发时,所述方法还包括:
匹配两个NAT64会话表中与之会话方向相对应的一个会话表,若匹配成功,则完成地址转化后转发数据包;若匹配失败,则丢弃该数据包。
优选的,在发送所述数据的访问消息之前,还包括:
配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定。
优选的,所述完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定,具体包括:
将IPv6侧ACL序列号与NAT64地址池范围和VPN序列号绑定,其中,所述VPN序列号具体为各IPv4侧VPN所、IPv6侧VPN所对应到标识。
优选的,所述配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,具体包括:
配置IPv6侧VPN中的DNS64服务器,使其拥有解析IPv4侧VPN中目的终端地址的能力;
配置IPv4侧VPN中的DNS64服务器,使其拥有解析IPv6侧VPN中目的终端地址的能力;
为NAT64服务器配置可供其使用的空闲地址池。
另一方面,本发明实施例还提供了一种实现跨IPv6和IPv4的VPN互访的***,包括IPv6侧源终端、IPv6侧DNS64服务器、NAT64服务器、IPv4侧目的终端,所述源终端连接DNS64服务器,并通过NAT64服务器与所述目的终端建立数据链路,其中,所述目的终端和所述DNS46服务器相连,具体的:
所述源终端通过DNS64服务器获得目的地址,并携带在数据的访问消息中发送给NAT64服务器;
所述NAT64服务器根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
所述NAT64服务器根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;
所述NAT64服务器剥离目的地址的前缀,得到合法的目的IPv4地址;
所述NAT64服务器根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。
本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的有益效果包括:应用本发明在不同VPN间通过NAT64互相访问的方法和***,可以很方便的实现不同VPN间的互访,其配置简单方便,安全性能高。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例提供的一种跨IPv6和IPv4的VPN互访示意图。
图2是本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程图;
图3是本发明实施例提供的一种跨IPv6和IPv4的VPN互访***架构图;
图4是本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程图;
图5是本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
实施例一
如图2所示为本发明提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程示意图,在IPv6侧VPN发起针对IPv4侧VPN的数据的访问消息时,参考如图1所示的***架构图,所述方法包括以下步骤:
在步骤201中,根据DNS64服务器解析目的标识,得到目的地址,所述目的地址被携带在所述数据的访问消息中;
在步骤202中,根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
在步骤203中,根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址,并选择一个未使用的端口作为源端口。
在步骤204中,剥离目的地址的前缀,得到合法的目的IPv4地址;
在步骤205中,根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。
应用本发明在不同VPN间通过NAT64互相访问的方法,可以很方便的实现不同VPN间的互访,其配置简单方便,安全性能高。
结合本发明实施例,存在一种优选的实现方案,其中,所述根据NAT64地址池进行源IPv6地址到IPv4地址的转换,具体为:
从与IPv6侧ACL服务器绑定的NAT64地址池中选出空闲的IPv4地址作为在IPv4侧VPN中使用,并作为数据的访问消息的源IPv4地址。
结合本发明实施例,存在一种优选的实现方案,其中,所述数据的访问消息转发后还包括:
建立从IPv6到IPv4,以及从IPv4到IPv6的两个NAT64会话表,所述两个NAT64会话表建立映射关系,其中,
IPv6侧的会话表中保存:源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN、协议类型;
IPv4侧的会话表中保存:源IPv4地址、源端口、目的IPv4地址、目的端口、IPv4侧VPN、协议类型。
结合本发明实施例,存在一种优选的实现方案,其中,所述两个NAT64会话表保存在NAT64服务器上。
结合本发明实施例,存在一种优选的实现方案,其中,在IPv4侧VPN服务器收到响应消息时,所述方法还包括:
匹配IPv4侧的会话表,如果匹配成功,则根据IPv4侧的会话表得到相应的IPv6侧的源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN;
把响应消息中携带的IPv4地址转换成IPv6地址,通过IPv6网络转发该响应消息。
结合本发明实施例,存在一种优选的实现方案,其中,基于所述数据的访问消息建立的会话的后续数据包转发时,所述方法还包括:
匹配两个NAT64会话表中与之会话方向相对应的一个会话表,若匹配成功,则完成地址转化后转发数据包;若匹配失败,则丢弃该数据包。
结合本发明实施例,存在一种优选的实现方案,其中,在发送所述数据的访问消息之前,还包括:
配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定。其中VPN序列号包括IPv4侧和IPv6侧。
结合本发明实施例,存在一种优选的实现方案,其中,所述完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定,具体包括:
将IPv6侧ACL序列号与NAT64地址池范围和VPN序列号绑定,其中,所述VPN序列号具体为各IPv4侧VPN所、IPv6侧VPN所对应到标识。
结合本发明实施例,存在一种优选的实现方案,其中,所述配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,具体包括:
配置IPv6侧VPN中的DNS64服务器,使其拥有解析IPv4侧VPN中目的终端地址的能力;
配置IPv4侧VPN中的DNS64服务器,使其拥有解析IPv6侧VPN中目的终端地址的能力;
为NAT64服务器配置可供其使用的空闲地址池。
实施例二
如图3所示为本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的***架构图,包括IPv6侧源终端、IPv6侧DNS64服务器、NAT64服务器、IPv4侧目的终端,所述源终端连接DNS64服务器,并通过NAT64服务器与所述目的终端建立数据链路,其中,所述目的终端和所述DNS46服务器相连,具体的:
所述源终端通过DNS64服务器获得目的地址,并携带在数据的访问消息中发送给NAT64服务器;
所述NAT64服务器根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
所述NAT64服务器根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;
所述NAT64服务器剥离目的地址的前缀,得到合法的目的IPv4地址;
所述NAT64服务器根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。
由于本实施例所述***和实施例一所述方法出于一个总的发明构思,因此,本实施例中各装置和服务器还可以用与实现实施例一及其扩展方案中的各方法步骤,在此不一一赘述。
实施例三
本发明实施例提供了一种不同VPN间IPv6网络向IPv4网络的互相访问的方法。具体包括如下步骤:
S401、配置前缀(prefix)、IPv6侧VPN和IPv4侧VPN,并配置分配给源IPv6的NAT64地址池。
为了实现跨VPN间IPv6<->IPv4实现互相访问,必须有给源IPv6和目的IPv6转换的地址或者地址池。本发明的实施例实现在网络中配置一个IPv6的VPN和IPv4的VPN;然后在为该IPv6VPN配置一个或者多个地址池,即NAT64地址池,这个地址池主要是用来作为源IPv6转换为IPv4网络的源IPv4用的;prefix主要用于目的IPv6地址的匹配,当目的地址匹配该前缀时,则剥离该前缀得到一个IPv4地址作为IPv4网络的目的地址。
S402、收到IPv6侧的数据包访问时,根据NAT64地址池和prefix转换成相应的源IPv4地址和目的IPv4地址。
在经过步骤S401配置IPv6侧VPN对应的NAT64地址池,当网络中的一个VPN发起向其他VPN的数据包访问是,如果符合NAT64ACL跟NAT64地址池的匹配规则(或者静态会话映射),则从NAT64地址池中选择一个未用的IPv4地址和IPv4VPN,目的地址的转换则通过Prefix匹配规则剥离该前缀得到一个IPv4地址(或者通过静态映射)。
S403、根据步骤S202得到2个方向的会话表(IPv6方向、IPv4方向),并把数据包中的IPv6头部转换成IPv4头部。
S404、在IPv4VPN网络转发该IPv4数据包。
S405、当IPv4VPN收到一个IPv4数据包时,如果与之前生成的会话表信息不匹配则抛弃,匹配则进行以下步骤。
S406、把该IPv4包转换成相应的IPv6数据包(IPv4头部转换成IPv6头部,协议包校验和修改等等),从S203中创建的IPv6方向会话表中获取IPv6侧的VPN。
S407、在IPv6VPN网络转发该IPv6数据包.
实施例四
本发明VPN间通过NAT64实现互访的方法实施二如图4说明如下,并结合详细实施情况加以描述:
S501、配置VPN、对应的NAT64地址池、配置前缀。
该步骤与实施例三中步骤S401相同,为实现NAT64转换,必须配置地址池及IPv4侧VPN和IPv6侧VPN。
实际应用,当NAT64设备收到一个IPv6数据包时,首先要用目的IPv6地址与配置的prefix匹配,如果不匹配则不进行NAT64转换。
S502、配置ACL序列号与VPN和地址池绑定。
实际应用中,出于安全性或权限考虑,对于该VPN内部的某些主机不需要进行NAT64转换。同时,为了避免NAT64转换的地址发生冲突,NAT64可以根据用户访问服务的需要为不同的VPN分配不同的地址池,IPv6网络通过NAT64访问IPv4网络时可以通过NAT64规则预先配置。
S503、收到IPv6或IPv4包。
S504、收到在一个IPv6包后,根据NAT64规则得到NAT64地址池,进行源地址的NAT64转换(静态映射也可以),如果没有找到匹配的规则,则不进行NAT64转换。
由步骤S502可以得到,NAT64可以根据用户访问的情况为不同的VPN分配不同的NAT64地址池,所以在确定进行NAT64转换后,需要通过NAT64规则确定转换的NAT64地址池;把源IPv6地址转换成地址池里面相应的源IPv4地址和IPv4侧目的地址。
S505、根据匹配的prefix得到IPv4侧的目的IP地址。
S506、根据得到的IPv4的源IP、目的IP、IPv4VPN和IPv6的源IPv6、目的IPv6、IPv6侧VPN创建一个IPv4侧的会话表和IPv6测的会话表。
步骤S505、S506与实施例三中S402—S404类似,对数据包的目的IPv6地址转换成相应的目的IPv4地址,通过IPv4协议栈传送到目的主机。
结合步奏S505、S506,继续如图3所示,当VPN31的用户2000::2发起对www.ipv6.com访问时,通过IPv6网络和DNS64Server得到该域名的ip为64:FF9B::0800:0002,然后在经过NAT64设备,NAT64设备根据ACL匹配规则得到地址池为9.0.0.29.0.0.10,从地址池地址中选择未使用的地址9.0.0.2,同时得到地址池的VPN31,目的IPv6地址剥离前缀后得到目的地址为8.0.0.2,IPv6头部转换成IPv4头部,然后通过VPN32通过IPv4协议栈查找路由转发出去。
方向 VPN 源IPv6/IP 目的IPv6/IP
IPv6 31 2000::1 64:FF9B::0800:0002
IPv4 32 9.0.0.2 8.0.0.2
S507、把IPv6头部转换成IPv4头部根据得到的源IP和目的IP在IPv4VPN中进行数据转发。
S508、收到IPv4包后,根据该IPv4包的源IP、目的IP和端口信息去匹配IPv4侧的会话表项,如果匹配则进行NAT64转换。
如步骤S506所述,NAT64设备纪录IPv6侧会话,后续从IPv6侧和IPv4侧如果能够匹配NAT64会话表项,则进行地址转换,把IPv6的头部转换成IPv4的头部(从IPv4回应的包则把IPv4头部转换成IPv6头部)。
S509、根据查询得到的会话把IPv4头部转换成IPv6头部。
S510、在IPv6VPN中进行数据包的转发。
结合步骤S508、S510,继续如图3所示,当收到VPN42中8.0.0.2访问9.0.0.2时,通过NAT64设备后,因为有IPv4侧的会话表存在,得到转换后的IPv6的VPN41、源64:FF9B::0800:0002、目的2000::1;通过得到的IPv6的地址把IPv4头部转换成IPv6头部。
本发明实现网络设备智能安装的***及其方法,能实现网络设备的自动配置和升级;也可以只需要少量的操作对在网设备进行二次升级,同时对设备进行简单的管理,简化了操作人员现场进行网络设备配置的工作量,极大的提高了网络部署效率。
本领域普通技术人员还可以理解,实现上述实施例方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中,所述的存储介质,包括ROM/RAM、磁盘、光盘等。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (10)

1.一种实现跨IPv6和IPv4的VPN互访的方法,其特征在于,在IPv6侧VPN发起针对IPv4侧VPN的数据的访问消息时,所述方法包括:
根据DNS64服务器解析目的标识,得到目的地址,所述目的地址被携带在所述数据的访问消息中;
根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;
剥离目的地址的前缀,得到合法的目的IPv4地址;
根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。
2.根据权利要求1所述的方法,其特征在于,所述根据NAT64地址池进行源IPv6地址到IPv4地址的转换,具体为:
从与IPv6侧ACL服务器绑定的NAT64地址池中选出空闲的IPv4地址作为在IPv4侧VPN中使用,并作为数据的访问消息的源IPv4地址。
3.根据权利要求1所述的方法,其特征在于,所述数据的访问消息转发后还包括:
建立从IPv6到IPv4,以及从IPv4到IPv6的两个NAT64会话表,所述两个NAT64会话表建立映射关系,其中,
IPv6侧的会话表中保存:源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN、协议类型;
IPv4侧的会话表中保存:源IPv4地址、源端口、目的IPv4地址、目的端口、IPv4侧VPN,协议类型。
4.根据权利要求3所述的方法,其特征在于,所述两个NAT64会话表保存在NAT64服务器上。
5.根据权利要求3所述的方法,其特征在于,在IPv4侧VPN服务器收到响应消息时,所述方法还包括:
匹配IPv4侧的会话表,如果匹配成功,则根据IPv4侧的会话表得到相应的IPv6侧的源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN;
把响应消息中携带的IPv4地址转换成IPv6地址,通过IPv6网络转发该响应消息。
6.根据权利要求3任一所述的方法,其特征在于,基于所述数据的访问消息建立的会话的后续数据包转发时,所述方法还包括:
匹配两个NAT64会话表中与之会话方向相对应的一个会话表,若匹配成功,则完成地址转化后转发数据包;若匹配失败,则丢弃该数据包。
7.根据权利要求1-6任一所述的方法,其特征在于,在发送所述数据的访问消息之前,还包括:
配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定。
8.根据权利要求7所述的方法,其特征在于,所述完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定,具体包括:
将IPv6侧ACL序列号与NAT64地址池范围和VPN序列号绑定,其中,所述VPN序列号具体为各IPv4侧VPN所、IPv6侧VPN所对应到标识。
9.根据权利要求7所述的方法,其特征在于,所述配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,具体包括:
配置IPv6侧VPN中的DNS64服务器,使其拥有解析IPv4侧VPN中目的终端地址的能力;
配置IPv4侧VPN中的DNS64服务器,使其拥有解析IPv6侧VPN中目的终端地址的能力;
为NAT64服务器配置可供其使用的空闲地址池。
10.一种实现跨IPv6和IPv4的VPN互访的***,其特征在于,包括IPv6侧源终端、IPv6侧DNS64服务器、NAT64服务器、IPv4侧目的终端,所述源终端连接DNS64服务器,并通过NAT64服务器与所述目的终端建立数据链路,其中,所述目的终端和所述DNS46服务器相连,具体的:
所述源终端通过DNS64服务器获得目的地址,并携带在数据的访问消息中发送给NAT64服务器;
所述NAT64服务器根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
所述NAT64服务器根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;
所述NAT64服务器剥离目的地址的前缀,得到合法的目的IPv4地址;
所述NAT64服务器根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问消息的转发。
CN201610036602.1A 2016-01-19 2016-01-19 一种实现跨IPv6和IPv4的VPN互访的方法和*** Active CN105530159B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610036602.1A CN105530159B (zh) 2016-01-19 2016-01-19 一种实现跨IPv6和IPv4的VPN互访的方法和***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610036602.1A CN105530159B (zh) 2016-01-19 2016-01-19 一种实现跨IPv6和IPv4的VPN互访的方法和***

Publications (2)

Publication Number Publication Date
CN105530159A true CN105530159A (zh) 2016-04-27
CN105530159B CN105530159B (zh) 2018-12-18

Family

ID=55772161

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610036602.1A Active CN105530159B (zh) 2016-01-19 2016-01-19 一种实现跨IPv6和IPv4的VPN互访的方法和***

Country Status (1)

Country Link
CN (1) CN105530159B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506718A (zh) * 2016-10-27 2017-03-15 赛尔网络有限公司 基于多重NAT纯IPv6网络的IVI过渡方法及网络***
CN106713528A (zh) * 2017-03-15 2017-05-24 烽火通信科技股份有限公司 一种家庭网关及IPv6主机访问网络服务器的方法
CN106790098A (zh) * 2016-12-26 2017-05-31 广东睿哲科技股份有限公司 一种基于HTTP ALG与NAT64技术的IPv4/IPv6互通***
CN109120739A (zh) * 2018-08-24 2019-01-01 下代互联网重大应用技术(北京)工程研究中心有限公司 一种IPv6地址访问IPv4资源的方法、设备、***及介质
CN111147383A (zh) * 2018-11-02 2020-05-12 华为技术有限公司 报文转发的方法、发送报文的装置和接收报文的装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1700683A (zh) * 2004-05-21 2005-11-23 华为技术有限公司 实现混合站点虚拟专用网的方法
CN1852212A (zh) * 2005-09-09 2006-10-25 华为技术有限公司 一种提供虚拟专用网站点之间通信的方法
CN101043411A (zh) * 2006-03-24 2007-09-26 华为技术有限公司 混合网络中实现移动vpn的方法及***
CN101052207A (zh) * 2006-04-05 2007-10-10 华为技术有限公司 一种可移动虚拟专用网的实现方法及***
CN101083598A (zh) * 2007-06-22 2007-12-05 杭州华三通信技术有限公司 一种虚拟私有网的路由引入方法、***和运营商边缘设备
CN101150566A (zh) * 2006-09-19 2008-03-26 中兴通讯股份有限公司 异构网络***中实现网络地址转换协议转换的装置及方法
US20120201250A1 (en) * 2009-10-15 2012-08-09 Huawei Technologies Co., Ltd. Method, apparatus and system for implementing multi-party communication
CN102904814A (zh) * 2012-10-19 2013-01-30 福建星网锐捷网络有限公司 数据传输方法、源pe、目的pe和数据传输***

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1700683A (zh) * 2004-05-21 2005-11-23 华为技术有限公司 实现混合站点虚拟专用网的方法
CN1852212A (zh) * 2005-09-09 2006-10-25 华为技术有限公司 一种提供虚拟专用网站点之间通信的方法
CN101043411A (zh) * 2006-03-24 2007-09-26 华为技术有限公司 混合网络中实现移动vpn的方法及***
CN101052207A (zh) * 2006-04-05 2007-10-10 华为技术有限公司 一种可移动虚拟专用网的实现方法及***
CN101150566A (zh) * 2006-09-19 2008-03-26 中兴通讯股份有限公司 异构网络***中实现网络地址转换协议转换的装置及方法
CN101083598A (zh) * 2007-06-22 2007-12-05 杭州华三通信技术有限公司 一种虚拟私有网的路由引入方法、***和运营商边缘设备
US20120201250A1 (en) * 2009-10-15 2012-08-09 Huawei Technologies Co., Ltd. Method, apparatus and system for implementing multi-party communication
CN102904814A (zh) * 2012-10-19 2013-01-30 福建星网锐捷网络有限公司 数据传输方法、源pe、目的pe和数据传输***

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
S. RÉPÁS, P. FARNADI, G. LENCSE: "Performance and Stability Analysis of Free NAT64 Implementations with Different Protocols", 《ACTA TECHNICA JAURINENSIS》 *
吕游: "对NAT64的研究及设计实现", 《中国优秀硕士学位论文全文数据库》 *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506718A (zh) * 2016-10-27 2017-03-15 赛尔网络有限公司 基于多重NAT纯IPv6网络的IVI过渡方法及网络***
CN106506718B (zh) * 2016-10-27 2019-07-09 下一代互联网重大应用技术(北京)工程研究中心有限公司 基于多重NAT纯IPv6网络的IVI过渡方法及网络***
CN106790098A (zh) * 2016-12-26 2017-05-31 广东睿哲科技股份有限公司 一种基于HTTP ALG与NAT64技术的IPv4/IPv6互通***
CN106790098B (zh) * 2016-12-26 2020-11-10 睿哲科技股份有限公司 一种基于HTTP ALG与NAT64技术的IPv4/IPv6互通***
CN106713528A (zh) * 2017-03-15 2017-05-24 烽火通信科技股份有限公司 一种家庭网关及IPv6主机访问网络服务器的方法
CN106713528B (zh) * 2017-03-15 2019-08-13 烽火通信科技股份有限公司 一种家庭网关及IPv6主机访问网络服务器的方法
CN109120739A (zh) * 2018-08-24 2019-01-01 下代互联网重大应用技术(北京)工程研究中心有限公司 一种IPv6地址访问IPv4资源的方法、设备、***及介质
CN111147383A (zh) * 2018-11-02 2020-05-12 华为技术有限公司 报文转发的方法、发送报文的装置和接收报文的装置
US11991012B2 (en) 2018-11-02 2024-05-21 Huawei Technologies Co., Ltd. Packet forwarding method, packet sending apparatus, and packet receiving apparatus

Also Published As

Publication number Publication date
CN105530159B (zh) 2018-12-18

Similar Documents

Publication Publication Date Title
CN103200069B (zh) 一种报文处理的方法和设备
CN105530159A (zh) 一种实现跨IPv6和IPv4的VPN互访的方法和***
CN106559292A (zh) 一种宽带接入方法和装置
EP2913983A2 (en) Method and system for managing ipv6 address conflict automatically
CN104168184A (zh) 报文转发方法及设备
CN103636167A (zh) 在基站中,一种开站配置方法、基站及服务器
CN104079486A (zh) 一种网关及其传送数据的方法
CN103618801A (zh) 一种p2p资源共享的方法、设备及***
CN103716213A (zh) 在固定接入网中和在用户设备中运行的方法
CN104219125A (zh) 信息为中心网络icn中转发报文的方法、装置及***
CN107968749A (zh) 实现QinQ路由终结的方法、交换芯片及交换机
CN103731349A (zh) 一种以太网虚拟化互联邻居间报文转发方法和边缘设备
CN104333610A (zh) 一种IPv6地址分配方法和装置
CN107547665A (zh) 一种dhcp地址分配的方法、设备及***
CN109194525A (zh) 一种网络节点配置方法及管理节点
US20130212241A1 (en) System and method for operating network based on network virtualization
CN101707569A (zh) Nat业务报文处理的方法及装置
CN104243631A (zh) 一种IPv4地址与IPv6地址有状态转换的方法及设备
CN105323229A (zh) 一种基于cpe的数据传输方法、网元、平台及***
EP2675117A1 (en) Routing method and device for host in multi-homing site
CN107920020A (zh) 报文处理方法和网关
CN107360089A (zh) 一种路由建立方法、业务数据转换方法及装置
CN103685032A (zh) 报文转发方法及网络地址转换服务器
CN106027354B (zh) Vpn客户端的回流方法及装置
JP2019537383A (ja) マルチキャストデータパケットの転送

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20190123

Address after: 430074 No. 6, High-tech Fourth Road, Donghu High-tech Development Zone, Wuhan City, Hubei Province

Patentee after: Fenghuo Communication Science &. Technology Co., Ltd.

Address before: 430074 3rd Floor, Optical Communication Building, 67 Guanggu Pioneer Street, Donghu Development Zone, Wuhan City, Hubei Province

Patentee before: Wuhan Fenghuo Network Co., Ltd.