CN113923186A - Ipv6网络通信方法、装置及系统 - Google Patents
Ipv6网络通信方法、装置及系统 Download PDFInfo
- Publication number
- CN113923186A CN113923186A CN202010575876.4A CN202010575876A CN113923186A CN 113923186 A CN113923186 A CN 113923186A CN 202010575876 A CN202010575876 A CN 202010575876A CN 113923186 A CN113923186 A CN 113923186A
- Authority
- CN
- China
- Prior art keywords
- address
- network
- data packet
- connection
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5092—Address allocation by self-assignment, e.g. picking addresses at random and testing if they are already in use
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/604—Address structures or formats
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/668—Internet protocol [IP] address subnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供了一种IPV6网络通信方法、装置及系统。该方法包括:网络设备接收终端向数据网络发送的上行数据包,该上行数据包用于请求建立业务连接。接着将上行数据包的源IP地址修改为第一IP地址,并向数据网络发送修改后的上行数据包,其中该第一IP地址包括数据网络向网络设备配置的IPV6前缀;另外,网络设备还可以生成该业务连接的连接跟踪信息,其中该连接跟踪信息指示了来自数据网络并且属于该业务连接的下行数据包的目的IP地址为第一IP地址。根据本申请的技术方案,网络安全设置可识别出属于终端发起的业务连接的下行数据包,不会阻塞终端向数据网络发起的业务连接,确保终端能够访问该数据网络以实现特定的业务。
Description
技术领域
本申请实施例涉及通信领域,尤其涉及IPV6网络通信方法、装置及系统。
背景技术
运行在互联网协议第六版(internet protocol version 6,IPV6)全路由模式下的网络设备,可以接收多个数据网络各自为该网络设备配置的IPV6前缀。终端可以生成其自身的互联网协议(internet protocol,IP)地址,其中该IP地址可以包括该网络设备接收的其中一个IPV6前缀。
在一个终端的IP地址并未包括一个数据网络向网络设备配置的IPV6前缀的情况下,为了确保该终端能够访问该数据网络以实现特定的业务,通常需要利用该网络设备对该终端与该数据网络交互的数据包的源IP地址和/或目的IP地址进行修改。同时,为了避免属于该终端发起的业务连接的下行数据包,被网络设备启用的网络安全设置终结/丢弃,需要关闭网络安全设置,但这又会带来网络安全隐患。
发明内容
本申请实施例中提供了一种IPV6网络通信方法、装置及系统,即使终端的IP地址并未包括数据网络向网络设备配置的IPV6前缀,该网络设备启用的网络安全设置也可识别出属于该终端发起的业务连接的下行数据包,不会阻塞该终端向该数据网络发起的业务连接,确保该终端能够访问该数据网络以实现特定的业务。
第一方面,提供了一种IPV6网络通信方法,该方法可以由通信装置执行。该通信装置可以是网络设备,也可以是部署在网络设备中的芯片或片上系统。该方法包括:通信装置首先接收终端向第一数据网络发送的上行数据包,其中该上行数据包用于请求建立业务连接。接着将上行数据包的源IP地址修改为第一IP地址,并向第一数据网络发送修改后的上行数据包,其中该第一IP地址包括第一数据网络向网络设备配置的IPV6前缀;另外,该通信装置还可以生成该业务连接的连接跟踪信息,其中该连接跟踪信息指示了来自第一数据网络并且属于该业务连接的下行数据包的目的IP地址为第一IP地址。
如此,对于来自数据网络并且属于该业务连接的下行数据包,即使网络设备启用网络安全设置,网络安全设置也可根据该业务连接所包括的连接跟踪信息的指示,识别出该下行数据包为属于该业务连接的下行数据包,即属于该业务连接的下行数据包会被网络安全设置确定为属于终端发起的业务连接的数据包,该下行数据包并不会被网络安全设置终结/丢弃,确保终端能够通过网络设备访问数据网络以实现相应的业务。
换而言之,即使终端的IP地址并未包括数据网络向网络设备配置的IPV6前缀,该网络设备启用的安全设置也可识别出属于该终端发起的业务连接的下行数据包,不会阻塞该终端向该数据网络发起的业务连接,确保该终端能够访问该数据网络以实现特定的业务。
第二方面,提供了一种通信装置,该通信装置包括用于执行以上第一方面中各个步骤的单元或手段(means)。
第三方面,提供了一种通信装置,该通信装置包括处理器和接口电路。该处理器用于通过接口电路与其它装置通信,并执行以上第一方面提供的方法。
第四方面,提供了一种通信装置,该通信装置包括处理器,该处理器与存储器相连,用于调用该存储器中存储的程序,以执行如第一方面提供的方法。该存储器可以位于该通信装置之内,也可以位于该通信装置之外。
第五方面,提供了一种网络设备,包括以上任一方面中提供的通信装置。
第六方面,提供了一种网络系统,包括终端、第一数据网络,以及以上任一方面中提供的通信装置/网络设备。在一些可能的设计中,该网络系统还可以包括第二数据网络,该终端的IP地址包括该第二数据网络向网络设备配置的IPV6前缀。
第七方面,提供了一种计算机可读存储介质,用于存储指令,当该指令被通信装置的处理器执行时,使得该通信装置实现第一方面中提供的方法。
第八方面,提供了一种计算机程序,该计算机程序在被处理器执行时,用于执行以上第一方面提供的方法。
第九方面,提供了一种计算机程序产品。该计算机程序产品可以包括第七方面提供的计算机可读存储介质,该计算机可读存储介质中包括第八方面中提供的计算机程序。
第十方面,提供了一种芯片,该芯片包括处理器,用于实现上述各个方面中提供的通信装置的功能,例如,接收或处理上述第一方面的方法中所涉及的数据和/或信息。在一种可能的设计中,该芯片还包括存储器,用于保存程序指令和/或数据。
以上各个方面中,处理器可以通过硬件来实现,也可以通过软件来实现。当处理器通过硬件实现时,该处理器可以是逻辑电路、集成电路等。当处理器通过软件来实现时,该处理器可以是通用处理器,通过读取存储器中存储的软件代码来实现;其中,该存储器可以集成在处理器中,也可以位于该处理器之外独立存在。
以上各个方面中,通信装置所包括的处理器的数量可以为一个或多个,存储器的数量可以为一个或多个。存储器可以与处理器集成在一起,或者存储器与处理器分离设置。在具体实现过程中,存储器可以与处理器集成在同一块芯片上,也可以分别设置在不同的芯片上,本申请实施例中对存储器的类型以及存储器与处理器的设置方式不做限定。
以上各个方面中,信息传输或接收过程可以为处理器收发信息的过程。例如发送上行数据包的过程,可以为从处理器输出上行数据包;接收上行数据包的过程,可以为处理器接收上行数据包。具体地,处理器输出的上行数据包可以输出给发射器,处理器接收的上行数据包可以来自接收器。其中,发射器和接收器可以统称为收发器。
以上各方面中,来自终端的上行数据包的源IP地址可以为第二IP地址,该第二IP地址包括第二数据网络向网络设备配置的第二IPV6前缀。相应的,通信装置可以根据第一IPV6前缀对第二IP地址进行IPV6至IPV6网络前缀转换(IPv6-to-IPv6 Network PrefixTranslation,NPTV6)以得到第一IP地址。如此,将来自终端的上行数据包的源IP地址修改为第一IP地址之后,修改后的上行数据包相对于修改前的上行数据包的应用层校验和相同,无需重新计算修改后的上行数据包的应用层校验和。
以上各方面中,通信装置还可以接收来自第一数据网络并且属于该业务连接的下行数据包,并将该下行数据包的目的IP地址修改为来自终端的上行数据包的源IP地址,然后向该终端发送修改后的下行数据包。如此,使得终端与数据网络之间能够完成建立业务连接并根据该业务连接实现特定的业务。
以上各方面中,当通信装置接收到来自第一数据网络并且属于该业务连接的下行数据包时,还可以将该连接跟踪信息的连接状态置为表示连接成功的指示信息。
以上各方面中,第一数据网络可以包括但不限于互联网协议电视(internetprotocol television,IPTV)网络或云虚拟现实(cloud virtual reality,Cloud VR)网络。
以上各方面中,第二数据网络可以包括但不限于互联网。
附图说明
图1为本申请实施例的技术方案适用的业务场景的示意图。
图2为一种包括IPV6前缀的IP地址的结构示意图。
图3为本申请实施例中提供的一种通信方法的流程图。
图4为本申请实施例中终端与数据网络进行通信的过程示意图。
图5为本申请实施例中提供的一种通信装置的结构示意图。
具体实施方式
下面将结合附图,对本申请实施例中的技术方案进行描述。
图1为本申请实施例的技术方案适用的业务场景的示意图。如图1所示,网络设备10可以分配服务集标识(service set identifier,SSID),配置ETH0、ETH1、ETH2等多个以太网接口,以及配置WAN0、WAN1、WAN2等多个广域网接口。可以理解,图1中网络设备10的结构并不构成对网络设备的具体结构的限定,网络设备10可能配置更多或更少的以太网接口,配置更多或更少的广域网接口,各个以太网接口以及各个广域网接口的标识可以被替换为真实值。
网络设备10可以连接一个或多个用于支持特定业务的数据网络。比如,网络设备10可以通过多个不同的广域网接口,分别与互联网、IPTV网络以及Cloud VR网络等用于支持特定业务的数据网络连接。不同的数据网络可以向网络设备10配置不同的IPV6前缀,具体的可以是数据网络中的上层服务器、网络管理设备或其他设备配置的。
其中,数据网络可以根据其自身向网络设备配置的IPV6前缀,维护一条该数据网络到网络设备10的路由。相应的,对于待发送至与网络设备10连接的终端的下行数据包,当且仅当该下行数据包的目的IP地址包括该IPV6前缀的情况下,该数据网络才可以根据该IPV6前缀对应的路由,将下行数据包发送至网络设备10。
配置了无线通信模块的终端,可以根据网络设备10分配的SSID与网络设备10连接。比如,手机、虚拟现实(Virtual Reality,VR)设备可以根据网络设备10分配的SSID连接到网络设备10。配置了用于连接通信线缆的接口装置的终端,可以通过相应的通信线缆与网络设备10的以太网接口连接。比如,个人计算机(personal computer,PC)、机顶盒(settop box,STB)可以通过相应的通信线缆与网络设备10的以太网接口连接。可以理解,前述的各种终端可能与网络设备10直接连接,也可能连接到接入点(access point,AP);其中AP可以根据网络设备10分配的SSID连接到网络设备10,或者通过相应的通信线缆与网络设备10的以太网接口连接。连接到网络设备10的终端还可以为其它类型,比如为增强现实(augmented reality,AR)设备。
其中,终端可以根据网络设备10配置的其中一个IPV6前缀生成其自身的IP地址。如图2所示,终端生成的IP地址可以包括网络部分和接口部分。接口部分可以包括终端根据其自身的MAC地址生成的长度为64bit的接口标识。网络部分可以包括网络设备10配置的其中一个IPV6前缀,可选地还可以包括长度为16bit的子网标识;例如网络部分可以包括长度为16bit的子网标识和长度为48bit的IPV6前缀。
可以理解,网络设备10可以对业务连接进行跟踪,生成业务连接的连接跟踪信息(或者称为连接记录项)。其中,连接跟踪信息可以包括上行连接信息和下行连接信息,还可以包括协议类型及协议号等其它信息。上行连接信息至少可以包括来自终端并且属于该业务连接的上行数据包的源IP地址和目的IP地址;下行连接信息至少可以包括网络设备10期望接收的并且属于该业务连接的下行数据包的源IP地址和目的IP地址。
另外,依赖于业务连接的协议类型,上行连接信息和下行连接信息还可能包括一项或多项其它信息。比如,对于一个传输控制协议(transmission control protocol,TCP)连接的连接跟踪信息,其上行连接信息还可以包括:属于该TCP连接的上行数据包的源端口号和目的端口号,其下行连接还可以包括:网络设备10期望接收的并且属于该业务连接的下行数据包的源端口号和目的端口号。
网络设备10可以启用网络安全设置,其中网络安全设置可以包括但不限于防火墙或应用层网关(application layer gateway,ALG)。对于来自数据网络的下行数据包,网络安全设置可以根据网络设备10生成的连接跟踪信息,确定该下行数据包是否属于终端发起的业务连接。比如,可以获取来自数据网络的下行数据包的连接信息,该连接信息可以包括但不限于下行数据包的源IP地址和目的IP地址;然后将该下行数据包的连接信息与网络设备生成的各条连接跟踪信息的下行连接进行匹配;如果存在一条连接跟踪信息的下行连接信息与该下行数据包的连接信息相同,则说明该下行数据包的属于该条连接跟踪信息对应的业务连接,相应的可以确定该下行数据包属于终端发起的业务连接。
如果下行数据包被确定为属于终端发起的业务连接,该下行数据包会被网络设备10转发到相应的终端;反之,该下行数据包会被网络安全设置终结/丢弃,使得该下行数据包不会被网络设备10转发给相应的终端。换而言之,网络设备10可以通过启用网络安全设置,允许终端向数据网络发起的业务连接,阻塞数据网络向终端发起的业务连接,实现对来自数据网络并且可能用于攻击终端的下行数据包进行过滤,避免入侵者利用数据网络攻击终端。
如果终端的IP地址未包括数据网络向网络设备10配置的IPV6前缀,当网络设备10接收到该终端向该数据网络发送的上行数据包,并且该上行数据包用于请求建立业务连接时,网络设备10需要将该上行数据包的源IP地址修改的新IP地址,新IP地址包括该数据网络向网络设备10配置的IPV6前缀。如此,修改后的上行数据包被发送至该数据网络之后,该数据网络可以将属于该业务连接的下行数据包发送至网络设备10,其中该下行数据包的目的IP地址为新IP地址。
此种情况下,该上行数据包所属的业务连接的连接跟踪信息中,下行连接信息可以指示该业务连接的下行数据包的目的IP地址为终端的IP地址,即网络设备10期望接收的并且属于该业务连接的下行数据包的目的IP地址为终端的IP地址。然而,属于该业务连接的下行数据包的目的IP地址为新IP地址,网络安全设置无法根据该业务连接的连接跟踪信息,识别出属于该业务连接的下行数据包,或者说属于该业务连接的下行数据包会被错误的确定为不属于终端发起的业务连接的下行数据包,从而导致属于该业务连接的下行数据包被网络设备启用的网络安全设置终结/丢弃。相应的,为了避免属于终端发起的业务连接的下行数据包被网络安全设置终结/丢弃,需要关闭网络安全设置。
有鉴于此,本申请实施例中至少提供了一种通信方法、装置及系统。网络设备首先接收终端向数据网络发送的上行数据包,其中该上行数据包用于请求建立业务连接。接着将上行数据包的源IP地址修改为第一IP地址,并向数据网络发送修改后的上行数据包,其中该第一IP地址包括数据网络向网络设备配置的IPV6前缀;另外,该网络设备还可以生成该业务连接的连接跟踪信息,其中该连接跟踪信息指示了来自数据网络并且属于该业务连接的下行数据包的目的IP地址为第一IP地址。如此,对于来自数据网络并且属于该业务连接的下行数据包,网络安全设置可以根据该业务连接的连接跟踪信息的指示,识别出该下行数据包为属于该业务连接的下行数据包,或者说属于该业务连接的下行数据包会被网络安全设置确定为属于终端发起的业务连接的数据包,该下行数据包并不会被网络安全设置终结/丢弃,确保终端能够通过网络设备访问数据网络以实现相应的业务。
换而言之,即使终端的IP地址并未包括数据网络向网络设备配置的IPV6前缀,该网络设备启用的安全设置也可识别出属于该终端发起的业务连接的下行数据包,不会阻塞该终端向该数据网络发起的业务连接,确保该终端能够访问该数据网络以实现特定的业务。
图3为本申请实施例中提供的一种通信方法的流程图。如图3所示,该方法至少可以包括如下各个步骤。
步骤301,网络设备接收终端向数据网络发送的上行数据包。
其中,该上行数据包的源IP地址可以包括或者不包括该数据网络向网络设备配置的IPV6前缀,并且该上行数据包用于请求建立业务连接。该业务连接可以包括但不限于TCP连接或者用户数据报协议(user datagram protocol,UDP)连接,比如还可以包括控制报文协议(internet control message protocol,ICMP)连接。该上行数据包的源IP地址为终端的IP地址。
其中,该数据网络可以包括但不限于互联网、IPTV网络或者Cloud VR网络。
步骤303,网络设备将该上行数据包的源IP地址修改为第一IP地址,并向该数据网络发送修改后的上行数据包。
其中,该第一IP地址包括该数据网络向网络设备配置的IPV6前缀。如此,使得该数据网络能够将属于该业务连接并且目的IP地址为第一IP地址的下行数据包发送至网络设备。
步骤305,生成该业务连接的连接跟踪信息。
其中,该连接跟踪信息指示了来自该数据网络并且属于该业务连接的下行数据包的目的IP地址为第一IP地址。网络安全设置可以根据该业务连接的连接跟踪信息的指示,识别出属于该业务连接的下行数据包,并不会终结/丢弃属于该业务连接的下行数据包,确保该终端能够访问该数据网络以实现相应业务。
综上可见,即使终端的IP地址并未包括数据网络向网络设备配置的IPV6前缀,该网络设备启用的网络安全设置也可识别出属于该终端发起的业务连接的下行数据包,不会阻塞该终端向该数据网络发起的业务连接,确保该终端能够访问该数据网络以实现特定的业务。
下面结合图1所示的业务场景,对终端与数据网络进行通信的过程进行示例性描述。以STB的IP地址包括互联网向网络设备配置的IPV6前缀,STB访问IPTV网络以实现相应的IPTV业务为例,STB与IPTV网络进行通信的过程可以包括如下步骤401至步骤411。其中,可以利用其它数据网络替换如图4所示实施例中的互联网和/或IPTV网络,利用其它类型的终端替换STB,得到与如图4所示实施例基于相同构思的技术方案。
步骤401,IPTV网络向网络设备配置第一IPV6前缀,互联网向网络设备配置第二IPV6前缀。
步骤402,网络设备将第二IPV6前缀发送至STB。
可以理解,网络设备可能连接多种类型的终端,多种类型的终端均可能需要访问互联网,但是仅存在一种或多种特定类型的终端需要访问其它数据网络,导致网络设备与互联网交互的数据包的数量,远大于网络设备与其它数据网络交互的数据包的数量。
相应的,为了降低网络设备的负载,使得网络设备对数量相对较少的数据包的源IP地址/目的IP地址进行修改,在一种可能的实施方式中,网络设备可以仅对来自互联网的第二IPV6前缀进行广播,使得包括STB在内的各个终端各自生成的IP地址均包括第二IPV6前缀。
步骤403,STB根据第二IPV6前缀生成其自身的IP地址。
其中,STB生成的IP地址可以包括第二IPV6前缀和长度为64bit的接口标识,该接口标识是STB根据其自身的媒体接入控制(media access control,MAC)地址生成的。为了方便描述,后续各个步骤中将STB生成的IP地址称为第二IP地址。
步骤404,STB向数据网络发送用于请求建立业务连接的上行数据包。
可以理解,网络设备接收到来自STB的上行数据包之后,可以根据该上行数据包中携带的有效载荷(Payload),识别该上行数据包是否为用于请求建立业务连接的上行数据包。或者,可以从该上行数据包中获取该上行数据包的连接信息,比如获取该上行数据包的源IP地址以及目的IP地址等信息;然后根据该连接信息,确定网络设备中是否已经存在该上行数据包所属的业务连接的连接跟踪信息;如果否,则说明该上行数据包为用于请求建立业务连接的上行数据包。
当网络设备接收到来自STB并且用于请求建立业务连接的上行数据包时,可以执行步骤405,根据该上行数据包的目的IP地址确定用于接收该上行数据包的数据网络。
如果用于接收该上行数据包的数据网络为互联网,该上行数据包可以通过网络设备与数据网络之间的高速互联网(high speed internet,HSI)业务流量通道传输至互联网,这里不再赘述网络设备10对该上行数据包的相关处理过程。
如果用于接收该上行数据包的数据网络为IPTV网络,网络设备可以执行步骤406,根据第一IPV6前缀对该上行数据包的源IP地址进行转换,得到第一IP地址。
这里,可以对上行数据包的源IP地址(即第二IP地址)进行NTPV6,即基于RFC6292算法对上行数据包的源IP地址进行转换。
对于网络设备10得到的第一IP地址,后续过程中利用第一IP地址替换该上行数据包的源IP地址之后,不会改变该上行数据包的应用层校验和(checksum),无需重新计算修改后的上行数据包的应用层校验和。
另外,如果第一IPV6前缀的长度不大于48bit,则仅需要对第二IP地址的高64bit进行修改,完全不需要对第二IP地址的接口标识进行修改;如果第一IPV6前缀的长度大于48bit,则需要对第二IP地址的高64bit进行修改,以及对接口标识的其中16bit进行修改。如此,第一IP地址的接口部分与第二IP地址的接口标识相同或高度相似,第一IP地址的接口部分能够较为准确的表达STB的MAC地址。对于修改后的上行数据包,极易根据第一IP地址的接口部分对该上行数据包进行溯源,有利于快速确定出发送该上行数据包的终端为STB。
示例性的,互联网向网络设备配置的第二IPV6前缀为2015:2015:0:6a,IPTV网络向网络设备配置的第一IPV6前缀为2002:0:0:0,STB生成的接口标识为6987:9945:8ec1:1065。STB向IPTV网络发送的上行数据包,其源IP地址为2015:2015:0:6a:6987:9945:8ec1:1065。根据第一IPV6前缀“2002:0:0:0”对第二IP地址2015:2015:0:6a:6987:9945:8ec1:1065进行NPTV6,得到的第一IP地址则为2002:0:0:0:8a19:9945:8ec1:106。网络设备在后续过程中将上行数据包的源IP地址由2015:2015:0:6a:6987:9945:8ec1:1065替换为2002:0:0:0:8a19:9945:8ec1:1065之后,并不改变上行数据包的应用层校验和。第一IP地址的接口部分“8a19:9945:8ec1:1065”,与接口标识“6987:9945:8ec1:1065”的相似度较高,易于根据第一IP地址的接口部分定位到发送上行数据包的STB。
步骤407,网络设备生成该业务连接的连接跟踪信息。
其中,该连接跟踪信息的下行连接信息,可以指示属于该业务连接的下行数据包的目的IP地址为第一IP地址。网络设备还可以将该连接跟踪信息的连接状态置为新增(NEW),或者说将该连接跟踪信息的连接状态置为表示新增连接的指示信息。
本申请实施例中,对于一个业务连接的连接跟踪信息,其上行连接信息的目的IP地址与其下行连接信息的源IP地址相同。其上行连接信息的源IP地址为来自终端并且属于该业务连接的上行数据包的源IP地址,即上行连接信息的源IP地址为终端生成的第二IP地址;其下行连接信息的目的IP地址为修改后的上行数据包的源IP地址,即下行连接信息的目的IP地址为网络设备生成的第一IP地址。
以STB向IPTV网络发送用于请求建立业务连接的上行数据包为例,网络设备可以获取该上行数据包的源IP地址IP_1和目的IP地址IP_2,网络设备对IP_1进行NPTV6可得到第一IP地址IP_3。网络设备生成的该业务连接的连接跟踪信息如下表1所示。
表1
源IP地址 | 目的IP地址 | |
上行连接信息 | IP_1 | IP_2 |
下行连接信息 | IP_2 | IP_3 |
如上表1所示,该业务连接的连接跟踪信息中,上行连接信息包括的目的IP地址与下行连接信息包括的源IP地址均为IP_2。上行连接信息所包括的源IP地址与下行连接信息所包括的目的IP地址并不相同;其中上行连接信息所包括的源IP地址为来自终端并且属于该业务连接的上行数据包的源IP地址IP_1,下行连接信息所包括的目的IP地址为第一IP地址IP_3。也就是说,下行连接信息指示了网络设备期望接收的并且属于该业务连接的下行数据包的目的IP地址为IP_3。
具体实现时,可以将NPTV6/RFC6292算法嵌入网络设备中用于实现对业务连接进行连接跟踪的功能模块,使得网络设备生成的连接跟踪信息中,下行连接信息所包括的目的IP地址为利用NPTV6/RFC6292算法对终端的IP地址进行转换所得到的第一IP地址,从而使得网络设备可以启用网络安全设置阻塞数据网络发起的业务连接。具体地,网络设备能够兼容防火墙、ALG、端口映射等各种应用层安全技术。
步骤408,网络设备将上行数据包的源IP地址修改为第一IP地址,并向IPTV网络发送修改后的上行数据包。换而言之,终端向IPTV网络发送的上行数据包,即IPTV业务流量,可以通过网络设备10与IPTV网络之间的IPTV业务流量通道传输至IPTV网络。
步骤409,网络设备接收IPTV网络向网络设备发送的属于该业务连接的下行数据包。
其中,属于该业务连接的下行数据包的目的IP地址为第一IP地址。
步骤410,网络设备确定是否已经存在该下行数据包所属的业务连接的连接跟踪信息。
在一种可能的实施方式中,网络设备可以获取来自数据网络的连接信息,其中该连接信息至少可以包括该下行数据包的源IP地址和目的IP地址。如果网络设备生成的各条连接跟踪信息中,存在一条连接跟踪信息的下行连接信息与该下行数据包的连接信息相同,则可确定该条连接跟踪信息为该下行数据包所属的业务连接的连接跟踪信息,或者说确定已经存在该下行数据包所属的业务连接的连接跟踪信息。相应的,网络设备启用的网络安全设置,可以确定该下行数据包属于终端发起的业务连接的下行数据包,网络安全设置不会终结/丢弃该下行数据包,网络设备可以执行以下步骤411和步骤412。
步骤411,将下行数据包所属业务连接的连接跟踪信息的连接状态置为表示连接成功的指示信息。比如将连接跟踪信息的指示信息由NEW置为ESTABLISHED。
其中,网络设备仅在首次接收到属于STB发起的某个业务连接的下行数据包时,将该下行数据包所属业务连接的连接跟踪信息的连接状态置为表示连接成功的指示信息,使得网络安全设置能够感知STB已经成功与IPTV网络建立业务连接。
步骤412,将下行数据包的目的IP地址修改为第二IP地址,并向STB发送修改后的下行数据包。
网络设备可以根据该业务连接的连接跟踪信息,将该下行数据包的目的IP地址修改为:该业务连接的连接跟踪信息的上行连接信息所包括的源IP地址。或者,网络设备可以将第一IP地址和第二IP地址的对应关系注册到网络地址转换(Network AddressTranslation,NAT)表中,根据NAT表中记录的对应关系将下行数据包的目的IP地址由第一IP地址修改为第二IP地址。属于该业务连接的下行数据包能够被发送至STB,使得STB与IPTV网络之间能够完成建立业务连接并根据该业务连接实现IPTV业务。
与前述方法实施例基于相同的构思,本申请实施例中还提供了一种通信装置500,该通信装置500包括用以实现以上任一种方法中由网络设备所执行的各个步骤的单元或手段。
如图5所示,通信装置500可以包括:接收单元501,用于接收终端向第一数据网络发送的上行数据包,其中该上行数据包用于请求建立业务连接。处理单元502,用于将该上行数据包的源IP地址修改为第一IP地址,其中该第一IP地址包括第一数据网络向网络设备配置的第一IPV6前缀;还用于生成该业务连接的连接跟踪信息,其中该连接跟踪信息指示了来自第一数据网络并且属于该业务连接的下行数据包的目的IP地址为第一IP地址。发送单元503,用于向第一数据网络发送修改后的上行数据包。
应理解以上通信装置中单元的划分仅仅是一种逻辑功能的划分,实际实现时可以全部或部分集成到一个物理实体上,也可以物理上分开。且通信装置中的单元可以全部以软件通过处理元件调用的形式实现;也可以全部以硬件的形式实现;还可以部分单元以软件通过处理元件调用的形式实现,部分单元以硬件的形式实现。例如,各个单元可以为单独设立的处理元件,也可以集成在装置的某一个芯片中实现,此外,也可以以程序的形式存储于存储器中,由通信装置的某一个处理元件调用并执行该单元的功能。此外这些单元全部或部分可以集成在一起,也可以独立实现。这里所述的处理元件又可以成为处理器,可以是一种具有信号的处理能力的集成电路。在实现过程中,上述方法的各步骤或以上各个单元可以通过处理器元件中的硬件的集成逻辑电路实现或者以软件通过处理元件调用的形式实现。
在一个例子中,以上任一个通信装置中的单元可以是被配置为实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific IntegratedCircuit,ASIC),或,一个或多个微处理器(digital signal processor,DSP),或,一个或者多个现场可编程门阵列(Field Programmable Gate Array,FPGA),或这些集成电路形式中至少两种的组合。再如,当通信装置中的单元可以通过处理元件调度程序的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,CPU)或其它可以调用程序的处理器。再如,这些单元可以集成在一起,以片上系统(system-on-a-chip,SOC)的形式实现。
以上用于接收的单元是一种该通信装置的接口电路,用于从其它装置接收信号。例如,当该通信装置以芯片的方式实现时,该接收单元是该芯片用于从其它芯片或装置接收信号的接口电路。以上用于发送的单元是一种该通信装置的接口电路,用于向其它装置发送信号。例如,当该通信装置以芯片的方式实现时,该发送单元是该芯片用于向其它芯片或装置发送信号的接口电路。
在一种实现中,网络设备实现以上方法中各个步骤的单元可以通过处理元件调度程序的形式实现,例如用于网络设备的装置包括处理元件和存储元件,处理元件调用存储元件存储的程序,以执行以上方法实施例中网络设备执行的方法。存储元件可以为处理元件处于同一芯片上的存储元件,即片内存储元件,也可以为与处理元件处于不同芯片上的存储元件,即片外存储元件。
网络设备实现以上方法中各个步骤的单元可以集成在一起,以片上系统的形式实现,例如,基带装置包括SOC芯片,用于实现以上网络设备执行的方法。该芯片内可以集成至少一个处理元件和存储元件,由处理元件调用存储元件的存储的程序的形式实现以上网络设备执行的方法;或者,该芯片内可以集成至少一个集成电路,用于实现以上网络设备执行的方法;或者,可以结合以上实现方式,部分单元的功能通过处理元件调用程序的形式实现,部分单元的功能通过集成电路的形式实现。
可见,以上用于网络设备的通信装置可以包括至少一个处理元件和接口电路,其中至少一个处理元件用于执行以上方法实施例中提供的任一种由网络设备执行的方法。处理元件可以以第一种方式:即调用存储元件存储的程序的方式执行网络设备执行的部分或全部步骤;也可以以第二种方式:即通过处理器元件中的硬件的集成逻辑电路结合指令的方式执行网络设备执行的部分或全部步骤;当然,也可以结合第一种方式和第二种方式执行以上网络设备执行的部分或全部步骤。
这里的处理元件同以上描述,可以是通用处理器,例如CPU,还可以是被配置为一个或多个集成电路,例如:一个或多个ASIC,或,一个或多个微处理器DSP,或,一个或者多个FPGA等,或这些集成电路形式中至少两种的组合。
存储元件可以是一个存储器,也可以是多个存储元件的统称。
本申请实施例中还提供了一种IPV6网络通信系统,包括终端、数据网络,以及本申请任意一个实施例中提供的通信装置/网络设备。可以理解,该通信系统中可以包括一个或多个相同或不同类型的终端,以及包括一个或多个各自用于支持实现不同的业务的数据网络。
需要说明的是,除非另有说明,本申请中的“/”表示或的意思,例如,A/B可以表示A或B。本申请中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系;例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。此外,对于单数形式“a”,“an”和“the”出现的元素(element),除非上下文另有明确规定,否则其不意味着“一个或仅一个”,而是意味着“一个或多于一个”。例如,“a device”意味着对一个或多个这样的device。再者,“至少一个(at least one of).......”意味着后续关联对象中的一个或任意组合,例如“A、B和C中的至少一个”包括A,B,C,AB,AC,BC,或ABC等情况。根据X确定Y并不意味着仅仅根据X确定Y,还可以根据X和其它信息确定Y。
需要说明的是,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”,除非是以其他方式另外特别强调。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本申请实施例的范围。
应当理解的是,在本申请实施例的各种实施例中,上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
最后需要说明的是,以上实施例仅用以说明本申请的技术方案,而未对其限制;尽管参照前述实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解,依然可以对前述各个实施例中所提供的技术方案进行修改,或者对其中部分技术特征进行等同替换,而这些修改或替换,并不使相应技术方案的本质脱离本申请各个实施例中所提供技术方案的精神和范围。
Claims (10)
1.一种IPV6网络通信方法,其特征在于,应用于网络设备,包括:
接收终端向第一数据网络发送的上行数据包;其中,所述上行数据包用于请求建立业务连接;
将所述上行数据包的源互联网协议IP地址修改为第一IP地址,并向所述第一数据网络发送修改后的所述上行数据包;其中,所述第一IP地址包括所述第一数据网络向所述网络设备配置的第一互联网协议第六版IPV6前缀;以及,
生成所述业务连接的连接跟踪信息;其中,所述连接跟踪信息指示了来自所述第一数据网络并且属于所述业务连接的下行数据包的目的IP地址为所述第一IP地址。
2.根据权利要求1所述的方法,其特征在于,
所述上行数据包的源IP地址为第二IP地址,所述第二IP地址包括第二数据网络向所述网络设备配置的第二IPV6前缀;
在所述将所述上行数据包的源IP地址修改为第一IP地址之前,所述方法还包括:
根据所述第一IPV6前缀,对所述第二IP地址进行IPV6至IPV6网络前缀转换NPTV6,得到第一IP地址。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
接收来自所述第一数据网络并且属于所述业务连接的下行数据包;
将所述下行数据包的目的IP地址修改为所述上行数据包的源IP地址;以及,将所述连接跟踪信息的连接状态置为表示连接成功的指示信息;
向所述终端发送修改后的所述下行数据包。
4.根据权利要求2或3所述的方法,其特征在于,
所述第一数据网络包括互联网协议电视IPTV网络或云虚拟现实VR网络;
所述第二数据网络包括互联网。
5.一种通信装置,其特征在于,包括:
接收单元,用于接收终端向第一数据网络发送的上行数据包;其中,所述上行数据包用于请求建立业务连接;
处理单元,用于将所述上行数据包的源互联网协议IP地址修改为第一IP地址;其中,所述第一IP地址包括所述第一数据网络向网络设备配置的第一互联网协议第六版IPV6前缀;
所述处理单元,还用于生成所述业务连接的连接跟踪信息;其中,所述连接跟踪信息指示了来自所述第一数据网络并且属于所述业务连接的下行数据包的目的IP地址为所述第一IP地址;
发送单元,用于向所述第一数据网络发送修改后的所述上行数据包。
6.根据权利要求5所述的通信装置,其特征在于,
所述上行数据包的源IP地址为第二IP地址,所述第二IP地址包括第二数据网络向所述网络设备配置的第二IPV6前缀;
所述处理单元,还用于根据所述第一IPV6前缀,对所述第二IP地址进行IPV6至IPV6网络前缀转换NPTV6,得到第一IP地址。
7.根据权利要求5所述的通信装置,其特征在于,
所述接收单元,还用于接收来自所述第一数据网络并且属于所述业务连接的下行数据包;
所述处理单元,还用于将所述下行数据包的目的IP地址修改为所述上行数据包的源IP地址;以及,将所述连接跟踪信息的连接状态置为表示连接成功的指示信息;
所述发送单元,还用于向所述终端发送修改后的所述下行数据包。
8.根据权利要求6或7中任一所述的通信装置,其特征在于,
所述第一数据网络包括互联网协议电视IPTV网络或云虚拟现实VR网络;
所述第二数据网络包括互联网。
9.一种通信装置,其特征在于,包括处理器和接口电路,所述处理器用于通过所述接口电路与其它装置通信,并执行权利要求1至4中任一项所述的方法。
10.一种IPV6网络系统,其特征在于,包括终端、第一数据网络以及权利要求5至9中任一项所述的通信装置。
Priority Applications (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010575876.4A CN113923186A (zh) | 2020-06-22 | 2020-06-22 | Ipv6网络通信方法、装置及系统 |
PCT/CN2021/098155 WO2021259032A1 (zh) | 2020-06-22 | 2021-06-03 | Ipv6网络通信方法、装置及系统 |
JP2022579034A JP2023530190A (ja) | 2020-06-22 | 2021-06-03 | IPv6ネットワーク通信方法、装置、及びシステム |
KR1020237001765A KR20230026424A (ko) | 2020-06-22 | 2021-06-03 | IPv6 네트워크 통신 방법, 장치 및 시스템 |
EP21828119.4A EP4156626A4 (en) | 2020-06-22 | 2021-06-03 | IPV6 NETWORK COMMUNICATION METHOD, APPARATUS AND SYSTEM |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010575876.4A CN113923186A (zh) | 2020-06-22 | 2020-06-22 | Ipv6网络通信方法、装置及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113923186A true CN113923186A (zh) | 2022-01-11 |
Family
ID=79231233
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010575876.4A Pending CN113923186A (zh) | 2020-06-22 | 2020-06-22 | Ipv6网络通信方法、装置及系统 |
Country Status (5)
Country | Link |
---|---|
EP (1) | EP4156626A4 (zh) |
JP (1) | JP2023530190A (zh) |
KR (1) | KR20230026424A (zh) |
CN (1) | CN113923186A (zh) |
WO (1) | WO2021259032A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550318A (zh) * | 2022-09-26 | 2022-12-30 | Oppo广东移动通信有限公司 | IPv6地址配置方法及装置、设备、存储介质 |
CN116668408A (zh) * | 2023-08-01 | 2023-08-29 | 华中科技大学 | 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022334A (zh) * | 2022-05-13 | 2022-09-06 | 深信服科技股份有限公司 | 流量分配方法、装置、电子设备及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100303027A1 (en) * | 2008-06-13 | 2010-12-02 | Media Patents, S.L. | Method for sending data packets in a data network during handover of a mobile node |
US20160262087A1 (en) * | 2015-03-02 | 2016-09-08 | Qualcomm Incorporated | Mobile access point connection switching |
CN106464744A (zh) * | 2014-05-13 | 2017-02-22 | 瑞典爱立信有限公司 | 用于提供ip地址转换服务的系统和方法 |
EP3310015A1 (en) * | 2016-10-11 | 2018-04-18 | Secucloud GmbH | Network filtering using router connection data |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8619797B2 (en) * | 2009-05-12 | 2013-12-31 | Futurewei Technologies, Inc. | Using internet protocol version six (IPv6) tunnel for access identifier transport |
CN106888450B (zh) * | 2016-11-09 | 2019-01-08 | 中国移动通信有限公司研究院 | 信息处理方法及装置 |
-
2020
- 2020-06-22 CN CN202010575876.4A patent/CN113923186A/zh active Pending
-
2021
- 2021-06-03 WO PCT/CN2021/098155 patent/WO2021259032A1/zh unknown
- 2021-06-03 JP JP2022579034A patent/JP2023530190A/ja active Pending
- 2021-06-03 EP EP21828119.4A patent/EP4156626A4/en active Pending
- 2021-06-03 KR KR1020237001765A patent/KR20230026424A/ko unknown
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20100303027A1 (en) * | 2008-06-13 | 2010-12-02 | Media Patents, S.L. | Method for sending data packets in a data network during handover of a mobile node |
CN106464744A (zh) * | 2014-05-13 | 2017-02-22 | 瑞典爱立信有限公司 | 用于提供ip地址转换服务的系统和方法 |
US20160262087A1 (en) * | 2015-03-02 | 2016-09-08 | Qualcomm Incorporated | Mobile access point connection switching |
EP3310015A1 (en) * | 2016-10-11 | 2018-04-18 | Secucloud GmbH | Network filtering using router connection data |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115550318A (zh) * | 2022-09-26 | 2022-12-30 | Oppo广东移动通信有限公司 | IPv6地址配置方法及装置、设备、存储介质 |
CN116668408A (zh) * | 2023-08-01 | 2023-08-29 | 华中科技大学 | 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 |
CN116668408B (zh) * | 2023-08-01 | 2023-10-13 | 华中科技大学 | 一种IPv6容器云平台真实地址编码验证与溯源方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
EP4156626A1 (en) | 2023-03-29 |
JP2023530190A (ja) | 2023-07-13 |
EP4156626A4 (en) | 2023-09-27 |
WO2021259032A1 (zh) | 2021-12-30 |
KR20230026424A (ko) | 2023-02-24 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8036108B2 (en) | Method and apparatus for providing gateway to transmit IPv6 packet in a wireless local area network system | |
JP3531367B2 (ja) | トランスレータ | |
CN113923186A (zh) | Ipv6网络通信方法、装置及系统 | |
CN110417840B (zh) | 一种信息处理方法及装置 | |
US20130322438A1 (en) | System and method for identifying frames | |
EP2323349B1 (en) | Communication terminal with multiple virtual network interfaces | |
US20130182651A1 (en) | Virtual Private Network Client Internet Protocol Conflict Detection | |
US8724630B2 (en) | Method and system for implementing network intercommunication | |
US20170041226A1 (en) | Method and system for forwarding internet protocol (ip) data packets at a multiple wan network gateway | |
US7023847B2 (en) | Network address translation based mobility management | |
US9503276B2 (en) | Method and system to reduce wireless network packets for centralised layer two network | |
NO337810B1 (no) | Framgangsmåte og system for adressering og ruting i krypterte kommunikasjonslinker | |
CN114338269A (zh) | 数据传输方法、装置、宽带现场总线设备、系统及介质 | |
WO2011082584A1 (zh) | 数据报文分类处理的实现方法、网络及终端 | |
WO2016119269A1 (zh) | 一种业务流数据包的处理方法及装置 | |
US20030031173A1 (en) | Multilayer internet protocol (MLIP) for peer-to-peer service of private internet and method for transmitting/receiving MLIP packet | |
US7505418B1 (en) | Network loopback using a virtual address | |
US11765237B1 (en) | Session-based remote direct memory access | |
WO2022179410A1 (zh) | 一种IPv6地址生成方法及相关装置 | |
US6901508B2 (en) | Method for expanding address for Internet protocol version 4 in Internet edge router | |
TW201947889A (zh) | 功能擴展式有線網路裝置 | |
CN102238084B (zh) | 一种跨域报文的转发方法、装置、路由设备和客户端 | |
Ma et al. | Industrial Internet of Things Multi-Protocol Convergence Gateway Research and Experiment | |
KR20170001654A (ko) | Sdn 스위치를 이용한 네트워크 주소 변환 방법 | |
CN114531417A (zh) | 一种通信方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |