CN113422843A - 一种实现nat64的方法 - Google Patents
一种实现nat64的方法 Download PDFInfo
- Publication number
- CN113422843A CN113422843A CN202110683556.5A CN202110683556A CN113422843A CN 113422843 A CN113422843 A CN 113422843A CN 202110683556 A CN202110683556 A CN 202110683556A CN 113422843 A CN113422843 A CN 113422843A
- Authority
- CN
- China
- Prior art keywords
- ipv6
- nat64
- traffic
- ipv4
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 24
- 101000652292 Homo sapiens Serotonin N-acetyltransferase Proteins 0.000 claims abstract description 6
- 102100030547 Serotonin N-acetyltransferase Human genes 0.000 claims abstract description 6
- 230000009471 action Effects 0.000 claims description 5
- 238000011161 development Methods 0.000 abstract description 2
- 238000012423 maintenance Methods 0.000 abstract description 2
- 238000013519 translation Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/251—Translation of Internet protocol [IP] addresses between different IP versions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2557—Translation policies or rules
Abstract
本发明涉及NAT网关领域,具体提供了一种实现NAT64的方法,NAT网关添加新的命令用于配置NAT64,所述命令既添加NAT64的openflow规则,又添加NAT46的openflow规则;当进入的流量是TPv6且匹配NAT64规则时,IPv6的数据包就转换成IPv4的数据包,相应的源IP和目标IP设置成NAT64带的两个IPv4地址参数,然后重新送到openflow pipeline,此时该流量就好像是正常的IPv4流量,所有的NAT、SNAT、DNAT、ACL和QoS规则对它都可以起作用。与现有技术相比,本发明的一种实现NAT64的方法,大大降低部署和运维成本,在开源软件基础上实现,开发部署快。把多处功能集中在一个设备上,减少资源占用和部署复杂性,具有良好的推广价值。
Description
技术领域
本发明涉及NAT网关领域,具体提供一种实现NAT64的方法。
背景技术
NAT英文全称是“Network Address Translation”,中文意思是“网络地址转换”,它是一个IETF(Internet Engineering Task Force,Internet工程任务组)标准,允许一个整体机构以一个公用IP(Internet Protocol)地址出现在Internet上。顾名思义,它是一种把内部私有网络地址(IP地址)翻译成合法网络IP地址的技术。
NAT64即把IPv6的地址转换成IPv4的地址,目前NAT64主要靠防火墙来实现,但是硬件的防火墙设备极其昂贵。开源的Linux防火墙并没有提供NAT64的功能。
发明内容
本发明是针对上述现有技术的不足,提供一种实用性强的实现NAT64的方法。
本发明解决其技术问题所采用的技术方案是:
一种实现NAT64的方法,NAT网关添加新的命令用于配置NAT64,所述命令既添加NAT64的openflow规则,又添加NAT46的openflow规则;
当进入的流量是TPv6且匹配NAT64规则时,IPv6的数据包就转换成IPv4的数据包,相应的源IP和目标IP设置成NAT64带的两个IPv4地址参数,然后重新送到openflowpipeline,此时该流量就好像是正常的IPv4流量,所有的NAT、SNAT、DNAT、ACL和QoS规则对它都可以起作用;
当该IPv4的反向流量从内网返回后,相应的被添加的NAT46规则将匹配到它,这时NAT46 action就会把该IPv4的数据包转换成IPv6的数据包,源IP和目标IP也将设置成NAT46所带的那两个IPv6的地址,然后重新送到openflow pipeline,此时所有IPv6的规则能对它起作用。
作为优选,所述的NAT网关外网接口配置IPv6地址。
进一步的,交换机需把外网来的IPv6的流量路由到NAT网关来,NAT网关需要把通过nat46转换的IPv6包路由给交换机。
进一步的,做NAT64转换流量时,管理员需下达配置命令,所述命令在NAT网关被执行后就会添加相应的NAT64和NAT46的规则。
进一步的,外网交换机收到外网来的IPv6流量需要通过IPv6路由到NAT网关,NAT网关收到IPv6的包后如果不匹配已设置的NAT64规则,就把它通过内网网口路由到内网交换机,所以内网交换机也得配置IPv6地址和路由,NAT网关的内网接口也得配置IPv6地址和路由。
进一步的,当外网进来的IPv6的流量匹配到NAT64的规则时,NAT网关就会把它转换成IPv4的包,针对IPv4的相关规则将能应用到新的被转换的IPv4包上。
进一步的,当内网出来的流量是IPv6的时候,也需要通过内网交换机路由到NAT网关,然后再通过外网数据接口路由到外网交换机。
进一步的,当从内网出来流量是IPv4的时,且匹配到NAT46规则,该规则就会把IPv4的数据包转换成IPv6的数据包,然后重新过openflow pipeline;那些为IPv6设置的ACL和QoS规则这时可以应用到被转换的IPv6包上,最后该IPv6包被路由到外网交换机并最终到达目的地。
进一步的,当从内网出来的IPv4流量没有匹配到nat46规则时,将通过其它设定的规则。
本发明的一种实现NAT64的方法和现有技术相比,具有以下突出的有益效果:
本发明避免采购昂贵的防火墙硬件设备来实现NAT64,大大降低部署和运维成本。在开源软件基础上实现,开发部署快。把多处功能集中在一个设备上,减少资源占用和部署复杂性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
附图1是一种实现NAT64的方法的流程示意图。
具体实施方式
为了使本技术领域的人员更好的理解本发明的方案,下面结合具体的实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例都属于本发明保护的范围。
下面给出一个最佳实施例:
如图1所示,本实施例中的一种实现NAT64的方法,
在NAT网关上来实现NAT64功能。在开源的OVS里实现两个新的openflow actionnat64和nat46,nat64带两个IPv4地址参数来指定要转换到的IPv4源地址和目标地址,该action会把IPv6的包转换成IPv4的包,并让新的包重新通过openflow pipeline,这样确保新的IPv4被当做新的流被openflow处理,也允许新的IPv4包可以通过conntrack做原来IPv4的NAT,SNAT和DNAT。nat46则带两个IPv6地址做参数,它用来把IPv4的包转换成IPv6的包,并让新的包重新通过openflow pipeline,以便IPv6的openflow规则仍然能够对它发挥作用。
NAT网关添加新的命令用于配置NAT64,该命令将既添加nat64的openflow规则,又添加nat46的openflow规则,当进入的流量是IPv6的且匹配nat64规则时,该IPv6的数据包就转换成IPv4的数据包,相应的源IP和目标IP设置成na64带的两个IPv4地址参数,然后重新送到openflow pipeline,此时该流量就好像是正常的IPv4流量,所有的NAT,SNAT,DNAT,ACL和QoS规则对它都可以起作用。当该IPv4的反向流量从内网返回后,相应的被添加的NAT46规则将匹配到它,这时nat46 action就会把该IPv4的数据包转换成IPv6的数据包,源IP和目标IP也将设置成nat46所带的那两个IPv6的地址,然后重新送到openflowpipeline,此时所有IPv6的规则如ACL和QoS也都能对它起作用。
具体步骤为:
S1、NAT网关外网接口需要配置IPv6地址以便交换机能把IPv6的流量路由给它。
S2、外网交换机必须既支持IPv4路由,又支持IPv6路由。因为NAT网关既要处理IPv4,又要处理IPv6,所以必须配置两个网关IP,一个是IPv4的,一个是IPv6的,交换机需要把外网来的IPv6的流量路由到NAT网关来,NAT网关需要把通过NAT46转换的IPv6包路由给交换机。
S3、管理员必须为需要做nat64转换的流量下配置命令,该命令在NAT网关被执行后就会添加相应的nat64和nat46的规则。
S4、外网交换机收到外网来的IPv6流量需要通过IPv6路由到NAT网关。
S5、NAT网关收到IPv6的包后如果不匹配已设置的nat64规则,就把它通过内网网口路由到内网交换机,所以内网交换机也得配置IPv6地址和路由,NAT网关的内网接口也得配置IPv6地址和路由。
S6、当外网进来的IPv6的流量匹配到nat64的规则时,NAT网关就会把它转换成IPv4的包,针对IPv4的相关规则将能应用到新的被转换的IPv4包上。
S7、当内网出来的流量是IPv6的时,也需要通过内网交换机路由到NAT网关,然后再通过外网数据接口路由到外网交换机。
S8、当从内网出来流量是IPv4的时,且匹配到nat46规则,该规则就会把IPv4的数据包转换成IPv6的数据包,然后重新过openflow pipeline。那些为IPv6设置的ACL和QoS规则这时可以应用到被转换的IPv6包上,最后该IPv6包被路由到外网交换机并最终到达目的地。
S9、当从内网出来的IPv4流量没有匹配到nat46规则时,它将通过其它设定的规则,如ACL,NAT,SNAT等。
上述具体的实施方式仅是本发明具体的个案,本发明的专利保护范围包括但不限于上述具体的实施方式,任何符合本发明的一种实现NAT64的方法权利要求书的且任何所述技术领域普通技术人员对其做出的适当变化或者替换,皆应落入本发明的专利保护范围。
尽管已经示出和描述了本发明的实施例,对于本领域的普通技术人员而言,可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型,本发明的范围由所附权利要求及其等同物限定。
Claims (9)
1.一种实现NAT64的方法,其特征在于,NAT网关添加新的命令用于配置NAT64,所述命令既添加NAT64的openflow规则,又添加NAT46的openflow规则;
当进入的流量是TPv6且匹配NAT64规则时,IPv6的数据包就转换成IPv4的数据包,相应的源IP和目标IP设置成NAT64带的两个IPv4地址参数,然后重新送到openflow pipeline,此时该流量就好像是正常的IPv4流量,所有的NAT、SNAT、DNAT、ACL和QoS规则对它都可以起作用;
当该IPv4的反向流量从内网返回后,相应的被添加的NAT46规则将匹配到它,这时NAT46 action就会把该IPv4的数据包转换成IPv6的数据包,源IP和目标IP也将设置成NAT46所带的那两个IPv6的地址,然后重新送到openflow pipeline,此时所有IPv6的规则能对它起作用。
2.根据权利要求1所述的一种实现NAT64的方法,其特征在于,所述的NAT网关外网接口配置IPv6地址。
3.根据权利要求2所述的一种实现NAT64的方法,其特征在于,交换机需把外网来的IPv6的流量路由到NAT网关来,NAT网关需要把通过nat46转换的IPv6包路由给交换机。
4.根据权利要求3所述的一种实现NAT64的方法,其特征在于,做NAT64转换流量时,管理员需下达配置命令,所述命令在NAT网关被执行后就会添加相应的NAT64和NAT46的规则。
5.根据权利要求4所述的一种实现NAT64的方法,其特征在于,外网交换机收到外网来的IPv6流量需要通过IPv6路由到NAT网关,NAT网关收到IPv6的包后如果不匹配已设置的NAT64规则,就把它通过内网网口路由到内网交换机,所以内网交换机也得配置IPv6地址和路由,NAT网关的内网接口也得配置IPv6地址和路由。
6.根据权利要求5所述的一种实现NAT64的方法,其特征在于,当外网进来的IPv6的流量匹配到NAT64的规则时,NAT网关就会把它转换成IPv4的包,针对IPv4的相关规则将能应用到新的被转换的IPv4包上。
7.根据权利要求6所述的一种实现NAT64的方法,其特征在于,当内网出来的流量是IPv6的时候,也需要通过内网交换机路由到NAT网关,然后再通过外网数据接口路由到外网交换机。
8.根据权利要求7所述的一种实现NAT64的方法,其特征在于,当从内网出来流量是IPv4的时,且匹配到NAT46规则,该规则就会把IPv4的数据包转换成IPv6的数据包,然后重新过openflow pipeline;那些为IPv6设置的ACL和QoS规则这时可以应用到被转换的IPv6包上,最后该IPv6包被路由到外网交换机并最终到达目的地。
9.根据权利要求8所述的一种实现NAT64的方法,其特征在于,当从内网出来的IPv4流量没有匹配到nat46规则时,将通过其它设定的规则。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110683556.5A CN113422843A (zh) | 2021-06-21 | 2021-06-21 | 一种实现nat64的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110683556.5A CN113422843A (zh) | 2021-06-21 | 2021-06-21 | 一种实现nat64的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113422843A true CN113422843A (zh) | 2021-09-21 |
Family
ID=77789410
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110683556.5A Pending CN113422843A (zh) | 2021-06-21 | 2021-06-21 | 一种实现nat64的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113422843A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104135446A (zh) * | 2014-07-15 | 2014-11-05 | 武汉绿色网络信息服务有限责任公司 | 基于SDN实现IPv4向IPv6过渡的系统及方法 |
CN106790098A (zh) * | 2016-12-26 | 2017-05-31 | 广东睿哲科技股份有限公司 | 一种基于HTTP ALG与NAT64技术的IPv4/IPv6互通系统 |
CN107995117A (zh) * | 2017-12-13 | 2018-05-04 | 迈普通信技术股份有限公司 | 一种报文转发方法及板卡 |
CN109981820A (zh) * | 2019-03-29 | 2019-07-05 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
CN210867778U (zh) * | 2019-12-31 | 2020-06-26 | 天津瑞利通科技有限公司 | 一种能够进行IPv4与IPv6地址转化的系统 |
-
2021
- 2021-06-21 CN CN202110683556.5A patent/CN113422843A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104135446A (zh) * | 2014-07-15 | 2014-11-05 | 武汉绿色网络信息服务有限责任公司 | 基于SDN实现IPv4向IPv6过渡的系统及方法 |
CN106790098A (zh) * | 2016-12-26 | 2017-05-31 | 广东睿哲科技股份有限公司 | 一种基于HTTP ALG与NAT64技术的IPv4/IPv6互通系统 |
CN107995117A (zh) * | 2017-12-13 | 2018-05-04 | 迈普通信技术股份有限公司 | 一种报文转发方法及板卡 |
CN109981820A (zh) * | 2019-03-29 | 2019-07-05 | 新华三信息安全技术有限公司 | 一种报文转发方法及装置 |
CN210867778U (zh) * | 2019-12-31 | 2020-06-26 | 天津瑞利通科技有限公司 | 一种能够进行IPv4与IPv6地址转化的系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9967185B1 (en) | Interface for extending service capabilities of a network device | |
Durand et al. | Dual-stack lite broadband deployments following IPv4 exhaustion | |
US7782897B1 (en) | Multimedia over internet protocol border controller for network-based virtual private networks | |
EP2230822B1 (en) | Establishing a connection traversing a network address translation gateway | |
US7380011B2 (en) | Methods and systems for per-session network address translation (NAT) learning and firewall filtering in media gateway | |
US8701179B1 (en) | Secure network address translation | |
US8498295B1 (en) | Modular lightweight tunneling mechanisms for transitioning between network layer protocols | |
US9185072B2 (en) | Stateless NAT44 | |
WO2015127752A1 (zh) | 数据报文处理方法及装置 | |
US9491042B1 (en) | Requesting high availability for network connections through control messages | |
WO2016000513A1 (zh) | 更新业务流报文的处理方式的方法及装置 | |
Othman et al. | Implementation and performance analysis of SDN firewall on POX controller | |
KR20180104377A (ko) | 패킷 광 전송 네트워크를 통한 클라우드 간 가상 네트워킹 제공 방법 | |
JP2004522335A (ja) | ルールにアクセスするためにインデックスを用いたファイアウォール | |
CN102413124A (zh) | 一种实现网络增强隔离区的方法 | |
EP3011708B1 (en) | System for the routing of data to computer networks | |
Cox et al. | Ryuretic: A modular framework for Ryu | |
CN111404821A (zh) | 一种基于SDN的IPv4和IPv6互联系统 | |
CN106059803A (zh) | 一种在计算节点上实现虚拟机南北向通信的方法 | |
Pawar et al. | Segmented proactive flow rule injection for service chaining using SDN | |
CN113422843A (zh) | 一种实现nat64的方法 | |
CN109088953B (zh) | 一种Linux网关代理转换IP的方法及装置 | |
Cisco | Feature-By-Feature Router Configuration | |
Cisco | Cisco IOS Switching Services Configuration Guide Cisco IOS Release 12.0 | |
Durand et al. | RFC 6333: Dual-stack lite broadband deployments following IPv4 exhaustion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210921 |