CN113542452A - 基于算法映射的实时IPv4-IPv6溯源方法及系统 - Google Patents
基于算法映射的实时IPv4-IPv6溯源方法及系统 Download PDFInfo
- Publication number
- CN113542452A CN113542452A CN202111080109.7A CN202111080109A CN113542452A CN 113542452 A CN113542452 A CN 113542452A CN 202111080109 A CN202111080109 A CN 202111080109A CN 113542452 A CN113542452 A CN 113542452A
- Authority
- CN
- China
- Prior art keywords
- ipv6
- ipv4
- translation
- mapping
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/251—Translation of Internet protocol [IP] addresses between different IP versions
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请涉及一种基于算法映射的实时IPv4‑IPv6溯源方法及系统,通过构建IPv4/IPv6地址映射表,并将所述IPv4/IPv6地址映射表配置于所述核心IPv4/IPv6翻译设备;通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文;接收IPv6报文,并通过所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址是否匹配IPv6翻译前缀D;若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端;本技术能够兼容所有IPv6终端访问IPv4资源,可部署在核心网、数据中心。
Description
技术领域
本公开涉及应用通信技术领域,尤其涉及一种基于算法映射的实时IPv4-IPv6溯源方法及系统。
背景技术
目前全球IPv4地址已经被分配完毕,但是在未来,全球还有大量人口尚未接入互联网,新兴的云计算和物联网应用也在蓬勃发展,因此IP地址的需求非常强烈。作为下一代互联网网络层的核心协议,IPv6协议于1998年12月被互联网工程任务组(IETF)公布。与IPv4相比,IPv6有2128的地址空间,能够满足当前和未来的庞大地址需求,同时有更好的安全性、优化的分层编址和路由机制、更好的端到端特性、更好的服务质量和移动性支持等优势。
但是,IPv6协议不能与IPv4兼容,即,使用IPv6协议的计算机无法与原有使用IPv4协议的计算机通信。因此为了向IPv6演进,需要使IPv6网络和IPv4网络之间可以共存和互联互通,因此必须要用到IPv4/IPv6翻译技术。IETF国际标准RFC6144、RFC6052、RFC7915分别定义了IPv4/IPv6翻译技术的框架、地址翻译规则和协议翻译规则。基于这些规范,主流的IPv4/IPv6翻译技术包括无状态翻译技术IVI和有状态翻译技术NAT64。
无状态翻译技术IVI(例如RFC6219)不保存任何连接状态,通过事先配置好的IPv4/IPv6地址映射规则来实现翻译,因此有很好的实时可溯源性,即如果已知映射后的IPv4地址,通过IPv4/IPv6地址映射规则,则可以实时反向计算出对应的用户真实IPv6地址,这个计算过程与任何中间状态或时间无关,是随时间恒定的。但基于RFC6052/RFC7915/RFC6219标准的无状态翻译技术无法直接应用于纯IPv6用户网络下。这是因为基于上述标准的无状态翻译技术要求用户终端的IPv6地址符合RFC6052规定的固定格式,才能和IPv4地址之间建立基于算法的映射关系,但终端获得的IPv6地址在一些情况下无法满足这个条件(比如SLAAC地址,后64位不符合RFC6052的格式)。如果终端操作系统内嵌了一个IPv4/IPv6翻译模块(如Android/iOS/MacOS等),再将IPv6翻译回IPv4,则不会有上述问题,但Windows操作系统目前尚未集成该模块。
与之相对应的,有状态翻译技术NAT64支持任意的用户IPv6地址接入,但是它需要为每一条新的IPv6会话动态选择一个IPv4地址和端口,并保存每一条IPv6会话翻译为IPv4会话的地址和端口映射状态,即保存每一条IPv6/IPv4翻译的动态连接状态,这也是“有状态”名称的由来。保存基于连接的IPv4/IPv6地址和端口映射状态会带来严重的性能开销(包括计算开销、存储开销、同步开销等),更重要的是,由于其动态映射特性,只能通过查询大量的连接表状态或海量连接日志的方式进行IPv4-IPv6方向的溯源,需要耗费大量的计算资源和存储资源,而且存在数据丢失则无法溯源的风险。如果接入的IPv6用户比较多,上述成本和风险的急剧增高会使NAT64方案运维所需资源耗费巨大。CGN、NAT64、DS-LITE隧道技术和464XLAT双重翻译技术均存在上述问题。
因此,现有的基于标准的IPv4/IPv6翻译技术无法兼顾有效实时溯源和任意IPv6终端兼容。为解决上述问题,专利《一种基于算法映射的实时IPv4-IPv6溯源方法IPv6客户机访问IPv4服务器的方法,CN103856580B》提出了一种基于算法映射的实时IPv4-IPv6溯源方法将任意IPv6地址无状态映射为私有地址的算法,可以解决实时溯源和任意IPv6终端兼容的问题,可以部署在IPv4服务器端,使其可以被全球IPv6互联网终端访问。但该方法使用IPv4私有地址,无法部署在核心网。目前仍没有研究成果可以在核心网场景下,同时实现有效实时溯源和兼容任意IPv6终端。
发明内容
有鉴于此,本公开提出了一种基于算法映射的实时IPv4-IPv6溯源方法,通过在核心IPv4/IPv6翻译设备上增加一套可自由灵活定义语义、可通过统计测量闭环负反馈调整、可提供无需日志查询的高性能实时溯源API、可高效复用IPv4地址的IPv4/IPv6地址映射表系统,可以兼容所有IPv6终端访问IPv4资源,可应用于IPv4网站和应用系统快速升级IPv6访问等场景,可部署在核心网、数据中心等位置。
根据本公开的一方面,提供了一种基于算法映射的实时IPv4-IPv6溯源方法,包括如下步骤:
根据整体翻译参数和映射规则构建IPv4/IPv6地址映射表,并将所述IPv4/IPv6地址映射表配置于所述核心IPv4/IPv6翻译设备;
通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文;
接收IPv6报文,并通过所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址是否匹配用于目标IPv4服务器的IPv6翻译前缀D;
若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端。
在一种可能的实现方式中,优选地,
所述整体翻译参数包括:用于IPv6终端映射的IPv4地址池L,GMA算法复用比R,GMA算法连续参数M,用于目标IPv4服务器的IPv6翻译前缀D;
所述映射规则包括:默认规则集合和用户语义定制规则;
其中,所述默认规则集合具备指定IPv6前缀为::/0的规则,用于匹配未定义语义的流量;如果,
所述默认规则集合如果有IPv6地址空间的重叠,则按照IPv6最长前缀匹配规则选择;如果,
所述默认规则集合和用户自定义规则集合有冲突,按照用户自定义规则优先处理。
在一种可能的实现方式中,优选地,
所述通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文,包括:
IPv4服务器根据翻译前缀D以及RFC6052映射规则,在DNS服务器上发布AAAA记录;
IPv6终端访问IPv4服务器前缀,对IPv4服务器的域名发出DNS AAAA请求,获得所述AAAA记录对应的IPv6地址S6;
IPv6终端发出IPv6报文。
在一种可能的实现方式中,优选地,
若是所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址不匹配用于目标IPv4服务器的IPv6翻译前缀D,则:
直接将报文发送到IPv6互联网。
在一种可能的实现方式中,优选地,
所述若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端,包括:
通过所述IPv4/IPv6翻译设备,在所述IPv4/IPv6地址映射表中查询与源地址匹配的映射规则;
根据查询得到的映射规则,并按照RFC7915协议翻译所述源地址,将翻译后的IPv4报文发送到IPv4互联网;
统计并上报本次翻译行为和参数。
在一种可能的实现方式中,优选地,
还包括:
IPv4服务器收到IPv4报文并回复;
通过所述IPv4/IPv6翻译设备收到IPv4报文,检查目标地址是否在地址池L中:
是,则通过所述IPv4/IPv6翻译设备根据目标地址查询映射状态;
否,则视业务逻辑,丢弃或做正常IPv4转发。
在一种可能的实现方式中,优选地,
还包括:
通过所述IPv4/IPv6翻译设备根据目标端口P4C和GMA算法;
计算出对应的PSID,并联合目标地址,查询IPv4/IPv6映射规则中对应的IPv6前缀。
在一种可能的实现方式中,优选地,
还包括:
通过所述IPv4/IPv6翻译设备,将根据目标地址查询的映射状态和IPv4/IPv6映射规则中对应的IPv6前缀进行对比匹配;
如果匹配,则通过所述IPv4/IPv6翻译设备翻译IPv4报文并发送至所述IPv6终端;
否,则视业务逻辑,丢弃或做正常IPv4转发。
在一种可能的实现方式中,优选地,
还包括:
统计并上报本次翻译行为和参数。
根据本公开的另一方面,提供了一种基于算法映射的实时IPv4-IPv6溯源系统,
包括:
处理器;
用于存储处理器可执行指令的存储器;
其中,所述处理器被配置为执行所述可执行指令时实现权利要求1至9中任意一项所述的基于算法映射的实时IPv4-IPv6溯源方法。
本发明的技术效果:
本申请通过构建IPv4/IPv6地址映射表构建IPv4/IPv6地址映射表,并将所述IPv4/IPv6地址映射表配置于所述核心IPv4/IPv6翻译设备;通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文;接收IPv6报文,并通过所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址是否匹配用于目标IPv4服务器的IPv6翻译前缀D;若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端;能够兼容所有IPv6终端访问IPv4资源,可应用于IPv4网站和应用系统快速升级IPv6访问等场景,可部署在核心网、数据中心等位置。
通过本发明的实施例记载的技术实施方案,本技术针对现有的IPv4/IPv6翻译技术无法兼顾有效实时溯源和任意IPv6终端兼容的缺点,可以兼容所有IPv6终端,且无需日志查询就可以进行高性能实时溯源,解决了上述问题。
同时,本发明提供定制IPv4/IPv6映射语义的接口,以及根据统计结果闭环调整的机制,使管理员和用户根据实际需求灵活调整映射表项,例如按照国别、地理位置、运营商等信息来对IPv6地址进行分类,以及针对重要客户分配固定IPv4映射地址资源的能力,使同时实现灵活的业务需求和精准的双向监管成为可能。
根据下面参考附图对示例性实施例的详细说明,本公开的其它特征及方面将变得清楚。
附图说明
包含在说明书中并且构成说明书的一部分的附图与说明书一起示出了本公开的示例性实施例、特征和方面,并且用于解释本公开的原理。
图1示出为本发明基于算法映射的实时IPv4-IPv6溯源方法的实施流程示意图;
图2示出为本发明实施方法所涉及的应用系统;
图3示出为本发明核心IPv4/IPv6翻译设备的组成结构示意图。
具体实施方式
以下将参考附图详细说明本公开的各种示例性实施例、特征和方面。附图中相同的附图标记表示功能相同或相似的元件。尽管在附图中示出了实施例的各种方面,但是除非特别指出,不必按比例绘制附图。
在这里专用的词“示例性”意为“用作例子、实施例或说明性”。这里作为“示例性”所说明的任何实施例不必解释为优于或好于其它实施例。
另外,为了更好的说明本公开,在下文的具体实施方式中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本公开同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未作详细描述,以便于凸显本公开的主旨。
实施例1
如图1所示,公开提出了一种基于算法映射的实时IPv4-IPv6溯源方法,通过在核心IPv4/IPv6翻译设备上增加一套可自由灵活定义语义、可通过统计测量闭环负反馈调整、可提供无需日志查询的高性能实时溯源API、可高效复用IPv4地址的IPv4/IPv6地址映射表系统,可以兼容所有IPv6终端访问IPv4资源,可应用于IPv4网站和应用系统快速升级IPv6访问等场景,可部署在核心网、数据中心等位置。
根据本公开的一方面,提供了一种基于算法映射的实时IPv4-IPv6溯源方法,包括如下步骤:
100、根据整体翻译参数和映射规则构建IPv4/IPv6地址映射表,并将所述IPv4/IPv6地址映射表配置于所述核心IPv4/IPv6翻译设备。
如图2所示,本申请提出的基于算法映射的实时IPv4-IPv6溯源方法涉及到应用系统,包括如下主体/模块:IPv6终端,IPv4服务器,DNS64设备(RFC6147)、核心IPv4/IPv6翻译设备,翻译业务的用户管理界面,翻译设备和业务的网管系统,有IPv6溯源需求的带外管理/监管系统。
其中,IPv4服务器可以通过IPv4互联网与DNS64设备(RFC6147)和核心IPv4/IPv6翻译设备进行通信,实现数据的传输。
IPv6终端可以通过IPv6互联网/接入网与DNS64设备(RFC6147)和核心IPv4/IPv6翻译设备进行通信,实现数据的传输。
核心IPv4/IPv6翻译设备,可以通过有线或者无线的方式与用户界面、网管系统以及带外管理/监管系统进行通信,实现数据输入/输出。
首先,配置核心IPv4/IPv6翻译设备,并根据整体翻译参数和映射规则构建IPv4/IPv6地址映射表。
其中,IPv4/IPv6地址映射表为双向索引地址映射表。映射表中每一行的字段包括:本行映射语义、IPv6前缀、IPv6前缀长度、映射后IPv4地址、映射后的IPv4 PSID。其中:
如图3所示,为核心IPv4/IPv6翻译设备的组成结构,其中的IPv4高效复用的无状态IPv4/IPv6翻译,使用RFC7597/RFC7599中普遍使用的GMA算法,即:
P = (R * M) * i + M * PSID + j;
PSID = trunc((P modulo (R * M)) / M);
整个映射不保存任何连接状态:IPv6终端侧的IPv6地址映射使用上述静态映射表映射为IPv4地址和端口;IPv4服务器侧的IPv4地址映射使用RFC6052映射到镜像IPv6地址;整个翻译过程遵循RFC7915进行协议翻译。
其次,上述整体翻译参数包括:用于IPv6终端映射的IPv4地址池L,GMA算法复用比R,GMA算法连续参数M,用于目标IPv4服务器的IPv6翻译前缀D。
上述映射规则包括默认规则集合和用户语义定制规则:
默认规则集合可根据翻译设备部署位置和用户语义灵活指定。例如,翻译设备部署在运营商核心网侧,用于给某些IPv4服务提供IPv6互联网访问的能力,则可以根据IPv6来源国别、地理位置、运营商等信息对全球IPv6地址进行分类,并对应到不同的(IPv4地址,PSID)对上去。
有了上述默认规则集合后,用户可以通过管理界面根据自己的语义定制自己的映射表,构建用户语义定制规则,叠加在默认映射规则集合上。
本实施例中,IPv4/IPv6地址映射表可根据管理员和用户语义,如国别、地理位置、运营商等信息自由定义,提供自由定义的上层接口和管理系统。
如图3所示,映射规则是默认规则集合和用户语义定制规则组成的规则集合。
上述默认规则如果有IPv6地址空间的重叠,按照IPv6最长前缀匹配规则选择;如果默认规则集合和用户自定义规则集合有冲突,按照用户自定义规则优先处理。须注意的是,默认规则集合一定要有一条指定IPv6前缀为::/0的规则,用于匹配未定义语义的流量。
如图3所示,本申请除了基于默认规则集合和用户语义定制规则的映射表,还可以获取uyingshe的带外数据、经过自适应算法进行数据调整等功能模块。
核心IPv4/IPv6翻译设备的IPv4/IPv6地址映射表提供离线溯源API,即其用户接口层包括一个实时带外查询API端口,只要输入IPv4地址A4和端口P4C,无需查询任何日志,不会影响任何翻译设备的性能,就可以实时查询到对应的IPv6前缀和相应的语义,因此可做到很好的性能和可扩展性,可方便的在服务器、安全系统、审计系统等处应用,实时定位源IPv6地址范围。
IPv4/IPv6地址映射表提供高性能实时溯源API,无需查询任何日志,不会影响任何翻译设备的性能,简单高效。
根据GMA算法,如果复用比R为1,则只输入IPv4地址就可以定位源IPv6地址范围。除此之外,还具备实时溯源查询接口等。
上述技术描述不局限于图中所述,本技术领域可以明确其技术实施含义,不再赘述。
200、通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文。
如图2所示,IPv4服务器S4根据步骤100整体翻译参数中对应的翻译前缀D,根据RFC6052映射规则,在DNS服务器上发布自己的AAAA记录。
300、接收IPv6报文,并通过所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址是否匹配用于目标IPv4服务器的IPv6翻译前缀D。
IPv6终端访问IPv4服务器前缀,对IPv4服务器的域名发出DNS AAAA请求,获得步骤2中AAAA记录对应的IPv6地址S6。IPv6终端发出IPv6报文,源地址是自己的IPv6地址C6,源端口是P6C;目标地址是S6,目标端口是IPv4服务端口P6S。
400、若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端。
IPv4/IPv6翻译设备收到IPv6报文,检查目标地址S6是否匹配前缀D。如果匹配,说明是访问IPv4服务的报文,此时通过核心IPv4/IPv6翻译设备查询源地址C6匹配规则;如果不匹配,说明是访问IPv6服务的报文,直接将报文发送到IPv6互联网。
因此,本申请通过构建IPv4/IPv6地址映射表构建IPv4/IPv6地址映射表,并将所述IPv4/IPv6地址映射表配置于所述核心IPv4/IPv6翻译设备;通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文;接收IPv6报文,并通过所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址是否匹配用于目标IPv4服务器的IPv6翻译前缀D;若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端;能够兼容所有IPv6终端访问IPv4资源,可应用于IPv4网站和应用系统快速升级IPv6访问等场景,可部署在核心网、数据中心等位置。
通过本发明的实施例记载的技术实施方案,本技术针对现有的IPv4/IPv6翻译技术无法兼顾有效实时溯源和任意IPv6终端兼容的缺点,可以兼容所有IPv6终端,且无需日志查询就可以进行高性能实时溯源,解决了上述问题。
同时,本发明提供定制IPv4/IPv6映射语义的接口,以及根据统计结果闭环调整的机制,使管理员和用户根据实际需求灵活调整映射表项,例如按照国别、地理位置、运营商等信息来对IPv6地址进行分类,以及针对重要客户分配固定IPv4映射地址资源的能力,使同时实现灵活的业务需求和精准的双向监管成为可能。
在一种可能的实现方式中,优选地,所述整体翻译参数包括:用于IPv6终端映射的IPv4地址池L,GMA算法复用比R,GMA算法连续参数M,用于目标IPv4服务器的IPv6翻译前缀D。
根据GMA算法和地址映射表,在兼容所有IPv6终端的情况下,高效复用IPv4地址。
所述映射规则包括:默认规则集合和用户语义定制规则。其中,所述默认规则集合具备指定IPv6前缀为::/0的规则,用于匹配未定义语义的流量;如果,所述默认规则集合如果有IPv6地址空间的重叠,则按照IPv6最长前缀匹配规则选择;如果,所述默认规则集合和用户自定义规则集合有冲突,按照用户自定义规则优先处理。
在一种可能的实现方式中,优选地,在步骤200中,所述通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文,包括:
IPv4服务器根据翻译前缀D以及RFC6052映射规则,在DNS服务器上发布AAAA记录;IPv6终端访问IPv4服务器前缀,对IPv4服务器的域名发出DNS AAAA请求,获得所述AAAA记录对应的IPv6地址S6;IPv6终端发出IPv6报文,源地址是自己的IPv6地址C6,源端口是P6C;目标地址是S6,目标端口是IPv4服务端口P6S。
IPv6终端发出IPv6报文。
IPv4/IPv6翻译设备收到IPv6报文,检查目标地址S6是否匹配前缀D。如果匹配,说明是访问IPv4服务的报文,则IPv4/IPv6翻译设备查询源地址C6匹配规则;如果不匹配,说明是访问IPv6服务的报文,直接将报文发送到IPv6互联网。
在一种可能的实现方式中,优选地,在步骤300中,若是所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址不匹配用于目标IPv4服务器的IPv6翻译前缀D,则:直接将报文发送到IPv6互联网。
如果所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址不匹配用于目标IPv4服务器的IPv6翻译前缀D,说明是访问IPv6服务的报文,直接将报文发送到IPv6互联网。
在一种可能的实现方式中,优选地,在步骤400中,所述若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端,包括:
通过所述IPv4/IPv6翻译设备,在所述IPv4/IPv6地址映射表中查询与源地址匹配的映射规则;
在IPv4/IPv6地址映射表中按照最长前缀匹配的规则,先查询用户自定义映射表,再查询默认映射表,查询C6匹配的最优规则Y。根据步骤100中的定义,一定可以找到最优规则Y。
根据查询得到的映射规则,并按照RFC7915协议翻译所述源地址,将翻译后的IPv4报文发送到IPv4互联网;核心IPv4/IPv6翻译设备按照规则Y中的参数(IPv4地址A4,PSIDI4)翻译源地址C6:翻译后的IPv4源地址映射为A4,源端口映射为GMA算法中I4允许的某个端口P4C,并存储或更新源地址和端口的映射状态(C6,P6C<-->A4,P4C)。
核心IPv4/IPv6翻译设备按照目标IPv4/IPv6翻译规则,将目标地址S6映射为IPv4服务器地址S4,按照RFC7915进行协议翻译,并最终将翻译后的报文发送到IPv4互联网。
统计并上报本次翻译行为和参数。
第一次利用核心IPv4/IPv6翻译设备的统计/测量模块将翻译行为和报文的时间戳等参数记录并上报。
根据对地址映射表中每一条映射统计频次,可以看到其在线连接、在线用户和历史统计数值。这些结果可以指导用户或管理员对已有的地址映射表进行手动或自动的调整,形成闭环负反馈调整机制。
在一种可能的实现方式中,优选地,还包括:
IPv4服务器收到IPv4报文并回复;回复报文的源地址是S4,目标地址是A4,目标端口是P4C;
通过所述IPv4/IPv6翻译设备收到IPv4报文,检查目标地址是否在地址池L中:是,则通过所述IPv4/IPv6翻译设备根据目标地址查询映射状态;如果查询到,则核心IPv4/IPv6翻译设备根据目标端口P4C和GMA算法,计算出对应的PSID,并联合目标地址A4,查询IPv4/IPv6映射规则中对应的IPv6前缀;否则视业务逻辑,丢弃或做正常IPv4转发;若是目标地址不在地址池L中,则视业务逻辑,丢弃或做正常IPv4转发。
在一种可能的实现方式中,优选地,还包括:
通过所述IPv4/IPv6翻译设备根据目标端口P4C和GMA算法;
计算出对应的PSID,并联合目标地址A4,查询IPv4/IPv6映射规则中对应的IPv6前缀。
计算IPv6前缀的目的在于和上述根据目标地址查询的映射状态进行匹配。
在一种可能的实现方式中,优选地,还包括:
通过所述IPv4/IPv6翻译设备,将根据目标地址查询的映射状态和IPv4/IPv6映射规则中对应的IPv6前缀进行对比匹配;IPv4/IPv6翻译设备对比根据目标地址查询的映射状态中的IPv6终端地址C6和从IPv4/IPv6映射规则中查询到的对应的IPv6前缀尽心匹配;如果匹配,则通过所述IPv4/IPv6翻译设备翻译IPv4报文并发送至所述IPv6终端;目标地址翻译为的映射状态的C6,目标端口映射为从IPv4/IPv6映射规则中查询到的映射状态的P6C;源地址翻译根据RFC6052,将S4映射为S6,端口不变。协议翻译按照RFC7915执行;最后将报文发送到IPv6终端;如果不匹配,则视业务逻辑,丢弃或做正常IPv4转发。
在一种可能的实现方式中,优选地,还包括:
统计并上报本次翻译行为和参数。
第二次利用核心IPv4/IPv6翻译设备的统计/测量模块将翻译行为和报文的时间戳等参数记录并上报。
根据对地址映射表中每一条映射统计频次,可以看到其在线连接、在线用户和历史统计数值。这些结果可以指导用户或管理员对已有的地址映射表进行手动或自动的调整,形成闭环负反馈调整机制。
需要说明的是,尽管以具体映射规则如RFC6052/RFC7915等映射规则作为示例介绍了映射翻译过程如上,但本领域技术人员能够理解,本公开应不限于此。事实上,用户完全可根据IETF指定协议和/或IPv4/IPv6的地址实际应用场景灵活设定翻译规则,只要可以按照上述技术方法实现本申请的技术功能即可。
在技术中,上述IPv4/IPv6地址映射表的实现算法、用户配置界面的实现方式、翻译设备部署位置等细节,本发明不进行限定。
实时溯源查询和带外查询API接口,可采用NETCONF、Restful API、gRPC、CLI、WEB界面展示等接口实现,本发明也不进行限定。
实施例2
更进一步地,根据本公开的另一方面,还提供了一种基于算法映射的实时IPv4-IPv6溯源系统。
参阅图,本公开实施例溯源系统包括处理器以及用于存储处理器可执行指令的存储器。其中,处理器被配置为执行可执行指令时实现前面任一所述的一种基于算法映射的实时IPv4-IPv6溯源方法。
此处,应当指出的是,处理器的个数可以为一个或多个。同时,在本公开实施例的溯源系统中,还可以包括输入装置和输出装置。其中,处理器、存储器、输入装置和输出装置之间可以通过总线连接,也可以通过其他方式连接,此处不进行具体限定。
存储器作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序和各种模块,如:本公开实施例的一种基于算法映射的实时IPv4-IPv6溯源方法所对应的程序或模块。处理器通过运行存储在存储器中的软件程序或模块,从而执行溯源系统的各种功能应用及数据处理。
输入装置可用于接收输入的数字或信号。其中,信号可以为产生与设备/终端/服务器的用户设置以及功能控制有关的键信号。输出装置可以包括显示屏等显示设备。
以上已经描述了本公开的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。本文中所用术语的选择,旨在最好解释各实施例的原理、实际应用或对市场中的技术的技术改进,或者使本技术领域的其它普通技术人员能理解本文披露的各实施例。
Claims (10)
1.一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,包括如下步骤:
根据整体翻译参数和映射规则构建IPv4/IPv6地址映射表,并将所述IPv4/IPv6地址映射表配置于所述核心IPv4/IPv6翻译设备;
通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文;
接收IPv6报文,并通过所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址是否匹配用于目标IPv4服务器的IPv6翻译前缀D;
若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端。
2.根据权利要求1所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,所述整体翻译参数包括:用于IPv6终端映射的IPv4地址池L,GMA算法复用比R,GMA算法连续参数M,用于目标IPv4服务器的IPv6翻译前缀D;所述映射规则包括:默认规则集合和用户语义定制规则;其中,所述默认规则集合具备指定IPv6前缀为::/0的规则,用于匹配未定义语义的流量;如果,所述默认规则集合如果有IPv6地址空间的重叠,则按照IPv6最长前缀匹配规则选择;如果,所述默认规则集合和用户自定义规则集合有冲突,按照用户自定义规则优先处理。
3.根据权利要求2所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,所述通过IPv6终端获取IPv4服务器发送的DNS AAAA记录,并发出IPv6报文,包括:IPv4服务器根据翻译前缀D以及RFC6052映射规则,在DNS服务器上发布AAAA记录;IPv6终端访问IPv4服务器前缀,对IPv4服务器的域名发出DNS AAAA请求,获得所述AAAA记录对应的IPv6地址S6;IPv6终端发出IPv6报文。
4.根据权利要求1所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,若是所述核心IPv4/IPv6翻译设备检查所述IPv6报文中的目标地址不匹配用于目标IPv4服务器的IPv6翻译前缀D,则:直接将报文发送到IPv6互联网。
5.根据权利要求1所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,所述若是匹配,则基于所述IPv4/IPv6地址映射表,通过所述核心IPv4/IPv6翻译设备翻译所述IPv6报文并将翻译结果发送至所述IPv6终端,包括:通过所述IPv4/IPv6翻译设备,在所述IPv4/IPv6地址映射表中查询与源地址匹配的映射规则;根据查询得到的映射规则,并按照RFC7915协议翻译所述源地址,将翻译后的IPv4报文发送到IPv4互联网;统计并上报本次翻译行为和参数。
6.根据权利要求5所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,还包括:IPv4服务器收到IPv4报文并回复;通过所述IPv4/IPv6翻译设备收到IPv4报文,检查目标地址是否在地址池L中:是,则通过所述IPv4/IPv6翻译设备根据目标地址查询映射状态;否,则视业务逻辑,丢弃或做正常IPv4转发。
7.根据权利要求6所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,还包括:通过所述IPv4/IPv6翻译设备根据目标端口P4C和GMA算法;计算出对应的PSID,并联合目标地址,查询IPv4/IPv6映射规则中对应的IPv6前缀。
8.根据权利要求7所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,还包括:通过所述IPv4/IPv6翻译设备,将根据目标地址查询的映射状态和IPv4/IPv6映射规则中对应的IPv6前缀进行对比匹配;如果匹配,则通过所述IPv4/IPv6翻译设备翻译IPv4报文并发送至所述IPv6终端;否,则视业务逻辑,丢弃或做正常IPv4转发。
9.根据权利要求8所述的一种基于算法映射的实时IPv4-IPv6溯源方法,其特征在于,还包括:统计并上报本次翻译行为和参数。
10.一种基于算法映射的实时IPv4-IPv6溯源系统,其特征在于,包括:处理器;用于存储处理器可执行指令的存储器;其中,所述处理器被配置为执行所述可执行指令时实现权利要求1至9中任意一项所述的基于算法映射的实时IPv4-IPv6溯源方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111080109.7A CN113542452B (zh) | 2021-09-15 | 2021-09-15 | 基于算法映射的实时IPv4-IPv6溯源方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111080109.7A CN113542452B (zh) | 2021-09-15 | 2021-09-15 | 基于算法映射的实时IPv4-IPv6溯源方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113542452A true CN113542452A (zh) | 2021-10-22 |
| CN113542452B CN113542452B (zh) | 2021-12-24 |
Family
ID=78123076
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111080109.7A Active CN113542452B (zh) | 2021-09-15 | 2021-09-15 | 基于算法映射的实时IPv4-IPv6溯源方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113542452B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113923188A (zh) * | 2021-12-08 | 2022-01-11 | 北京英迪瑞讯网络科技有限公司 | 用于IPv6/IPv4访问的无状态灵活映射算法 |
| CN114143113A (zh) * | 2021-12-09 | 2022-03-04 | 北京英迪瑞讯网络科技有限公司 | 适用于IPv6/IPv4访问服务的安全溯源装置 |
| CN116033030A (zh) * | 2023-01-06 | 2023-04-28 | 钛信(上海)信息科技有限公司 | 一种用于混合云网络部署的容器管理方法及装置 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856580A (zh) * | 2014-03-26 | 2014-06-11 | 清华大学 | 一种IPv6客户机访问IPv4服务器的方法 |
| CN104734963A (zh) * | 2015-03-24 | 2015-06-24 | 电子科技大学 | 一种基于SDN的IPv4和IPv6网络互连方法 |
-
2021
- 2021-09-15 CN CN202111080109.7A patent/CN113542452B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103856580A (zh) * | 2014-03-26 | 2014-06-11 | 清华大学 | 一种IPv6客户机访问IPv4服务器的方法 |
| CN104734963A (zh) * | 2015-03-24 | 2015-06-24 | 电子科技大学 | 一种基于SDN的IPv4和IPv6网络互连方法 |
Non-Patent Citations (2)
| Title |
|---|
| O. TROAN, ED.等: "Mapping of Address and Port with Encapsulation (MAP-E)", 《RFC 7597》 * |
| X. LI等: "Mapping of Address and Port using Translation (MAP-T) draft-ietf-softwire-map-t-01", 《RFC 7599》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113923188A (zh) * | 2021-12-08 | 2022-01-11 | 北京英迪瑞讯网络科技有限公司 | 用于IPv6/IPv4访问的无状态灵活映射算法 |
| CN114143113A (zh) * | 2021-12-09 | 2022-03-04 | 北京英迪瑞讯网络科技有限公司 | 适用于IPv6/IPv4访问服务的安全溯源装置 |
| CN116033030A (zh) * | 2023-01-06 | 2023-04-28 | 钛信(上海)信息科技有限公司 | 一种用于混合云网络部署的容器管理方法及装置 |
| CN116033030B (zh) * | 2023-01-06 | 2023-08-11 | 钛信(上海)信息科技有限公司 | 一种用于混合云网络部署的容器管理方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113542452B (zh) | 2021-12-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113542452B (zh) | 基于算法映射的实时IPv4-IPv6溯源方法及系统 | |
| US11356410B2 (en) | Packet transmission method and device, and computer readable storage medium | |
| US8861525B1 (en) | Cloud-based network protocol translation data center | |
| CN106899710B (zh) | Ip地址转换方法、ip地址转换装置以及网关系统 | |
| CN105577852B (zh) | 用于生成功能地址的系统和方法 | |
| CN111988266B (zh) | 一种处理报文的方法 | |
| US10952228B2 (en) | Traffic scheduling and processing method, user side translator and core translator | |
| US9819641B2 (en) | Method of and a processing device handling a protocol address in a network | |
| KR20130136530A (ko) | 원격 서버에 질의하는 것에 의한 플로우 라우팅 프로토콜 | |
| CN112887229A (zh) | 一种会话信息同步方法及装置 | |
| US20040153502A1 (en) | Enhanced DNS server | |
| US8510419B2 (en) | Identifying a subnet address range from DNS information | |
| CN113645326B (zh) | 用于IPv4/IPv6访问的准无状态自适应映射方法 | |
| CN105100300A (zh) | 网络地址转换nat的方法及装置 | |
| US10079799B2 (en) | Using domain name server queries for managing access control lists | |
| CN114363183A (zh) | 一种业务链地址池切片处理方法、装置及系统 | |
| RU2635216C1 (ru) | Способ маршрутизации IP-пакетов при использовании VPLS совместно с DHCP в сети с коммутацией пакетов | |
| EP3228048B1 (en) | Method and apparatus for routing data to cellular network | |
| CN114915492B (zh) | 一种流量转发方法、装置、设备及介质 | |
| US20220311735A1 (en) | Carrier grade network address translation architecture and implementation | |
| CN111147345B (zh) | 云环境网络隔离装置、方法及云系统 | |
| CN110768849B (zh) | 一种网络数据查看方法及系统 | |
| CN107426345B (zh) | 内网设备的全球地址获取方法、装置和存储介质 | |
| Pittner | CUSTOMIZING APPLICATION HEADERS FOR IMPROVED WARFIGHTING COMMUNICATIONS | |
| CN118300981A (zh) | 一种网络地址转换网关配置方法及云管理平台 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |