通过NAT64实现ipv6 client 访问ipv4 Server

已于 2022-03-10 16:34:45 修改
阅读量4.8k 收藏 13
点赞数 3
分类专栏: IPV6/IPV4 文章标签: ipv6
于 2022-03-09 15:12:17 首次发布
原文链接:https://www.cnblogs.com/coding-my-life/p/13977644.html
版权

目录

背景

IPv6出来已经很多年,虽然距离普及还很远,但项目里要加上,IPv6最大的问题是包格式与IPv4不兼容。

   0                   1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |Version|  IHL  |Type of Service|          Total Length         |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |         Identification        |Flags|      Fragment Offset    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |  Time to Live |    Protocol   |         Header Checksum       |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                       Source Address                          |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Destination Address                        |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                    Options                    |    Padding    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |Version| Traffic Class |           Flow Label                  |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |         Payload Length        |  Next Header  |   Hop Limit   |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                                                               |
   +                                                               +
   |                                                               |
   +                         Source Address                        +
   |                                                               |
   +                                                               +
   |                                                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |                                                               |
   +                                                               +
   |                                                               |
   +                      Destination Address                      +
   |                                                               |
   +                                                               +
   |                                                               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

粗略一看,这个应该是兼容的啊。毕竟前4bit都是版本号,拿到数据包时,判断一下版本号,根据不同的版本号做不同的处理,即可做兼容,很多软件都是这么做的。
然而问题是,IP数据包涉及的不仅仅是软件,还有硬件,比如路由器。当一个数据包经过路由器时,它需要解析包头里的数据,得到目标地址,才知道数据包转发到哪里。如果这个包头格式不一样了,那这个数据包就无法正常转发。对于软件,可以重新发布一个版本来解决,但绝大部分的家用路由器,是不带更新功能的,那要让它支持Ipv6,只能扔掉买一个新的。在现实生活中,一个数据包的传输,可能会经过很多路由的,例如:

客户端 --------> 家庭路由 --------> 小区路由 --------> ISP主路由 --------> 服务器

当这个问题扩大到整个社会,就会有无数的家庭路由,无数的小区路由。ISP的主路由和服务器由于商业的驱动,可以及时更新,而无数的家庭路由,无数的小区路由,显然没法短时间内全部更新,也没必要更新。

目前的情况是,客户端、路由器都有可能支持IPv6,也有可能都不支持,因此IPv4和IPv6的兼容是必须得做的,不然就可能失去一部分用户了。
这个兼容是指“不管客户端以及所经过的路由是IPv4还是IPv6,不管服务器是IPv6还是IPv4,两者都能正常进行交互”。排除正常的条件((如:客户端为IPv6,服务器也是IPv6)的情况,需要特殊处理的情况为IPv4访问IPv6和IPv6访问IPv4。

ipv6 访问 ipv4

NAT64

既然IPv6和IPv4兼容性是由它们的IP报文不一样,那么可以弄一个专门转换报文的服务,即NAT64(Network Address Translation IPv6 to IPv4)。

注: 比如 DPVS中的 NAT64 功能。

一个IPv6客户端想把一个报文发往一个IPv4服务器,就需要一个包含IPv4地址的IPv6地址,这由一个特殊的DNS服务提供,即DNS64。

服务器只有ipv4地址,所以服务器的域名对应一个ipv4地址;
client是ipv6地址进行请求,需要返回一个ipv6地址,所以给服务器的ip + ipv6 前缀。

整体上:

NAT64 + DNS64 实现 ipv6 client 访问 ipv4 Server.
类似于:DNS中配置域名的4A 记录为 ipv6 的vip + DPVS中配置 NAT64(IPV6 VIP下挂IPv4 服务)。

现在有一个ipv6 client需要访问ipv4 服务器,则:需要给这台服务器配置NAT64和DNS64,否则用户就访问不了了。流程如下所示:

 DNS64
  ^   |
  |   |
  |   v
IPv6客户端 --------> IPv6路由器 --------> NAT64(192.168.0.101) --------> IPv4服务器(192.168.0.100)

1>运维部署一台NAT64服务器(自建,也可以是云服务商提供的服务器),配置好服务器的IPv4地址(以192.168.0.100为例)和IPv6前缀(一般是64:ff9b::/96 )

2>运维在DNS64服务器(DNS64服务器可能是自建,也可能是公共DNS64服务器,也可以是云服务商提供的服务器)把域名指向NAT64服务器的IPv4地址(以192.168.0.101为例)及前缀(必须和NAT64配置的前缀一致)

3>IPv6客户端需要和服务器通信,根据域名发起IPv6 DNS查询,由于服务器不支持IPv6,所以没有查询到。但是DNS64服务器发现了一个IPv4的地址,于是把这个IPv4加上前缀,得到一个IPv6地址,即64:ff9b::192.168.0.101,于是客户端往这个地址发请求。

4>NAT64收到IPv6数据包,会解析IP地址的前缀,发现和运维配置的前缀一致,于是把这个数据包转换为一个IPv4数据包,按NAT规则往配置好的服务器地址发送IPv4数据包

5>IPv4服务器收到IPv4数据包,返回IPv4数据包

6>NAT64收到服务器返回的数据包,按NAT规则转换为IPv6数据包,返回给IPv6客户端,完成了交互

注:

  • DNS64返回域名对应的4A记录, 需保证流量可以路由到NAT64服务器。

nat64 rfc

在这里插入图片描述
参考:nat64 rfc6146

dns64 rfc

在这里插入图片描述

参考:dns64 rfc6147

nat46

NAT64原本设计的目的是让IPv6客户端访问IPv4,而不是IPv4访问IPv6。
实际中,ipv4 访问 ipv6 的需求比较少。
因为IPv4是旧标准,既然服务器支持IPv6,说明是从IPv4升级而来的,那保留IPv4功能即可。直接是NAT44,而不需要NAT46。
但事情也不是这么绝对,因此虽然很少有人提及,但还是有NAT46这种东西的,
见:NAT64 - NAT46

Dual stack: 双栈

既然IPv4和IPv6不兼容,那就没必要让它们兼容。可以同时开启IPv4和IPv6,这样各走各的路,互不干扰。那这就需要同时实现IPv4和IPv6协议栈,即双栈(Dual Stack)。

~$ ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp2s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether b4:b5:2f:91:fe:21 brd ff:ff:ff:ff:ff:ff
    inet 192.168.3.6/24 brd 192.168.3.255 scope global dynamic noprefixroute enp2s0
       valid_lft 73235sec preferred_lft 73235sec
    inet6 fe80::f2a1:25a2:d365:468c/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

可以看到,网卡2有两个地址:inet 192.168.3.6和inet6 fe80::f2a1:25a2:d365:468c,说明支持双栈。
最简单的办法,同时

程序实现双栈

最简单的办法,同时开两个socket,一个IPv4,一个IPv6,问题是这样写代码有点复杂。

  • 范例
root@debian:/home# netstat -lp | grep master
tcp6       0      0 [::]:8182               [::]:*                  LISTEN      1458/./master
root@debian:/home# telnet 127.0.0.1 8182
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
^C^]
telnet> quit
Connection closed.
root@debian:/home# telnet -6 ::1 8182
Trying ::1...
Connected to ::1.
Escape character is '^]'.
^]
telnet> quit
  • Linux下,同一个程序以Dual Stack模式监听时,netstat只显示IPv6的监听(上面telnet测试就只grep到一个记录),而部分程序(如sshd)则显示两个,如下所示,猜测可能是开了两个socket监听而不是用双栈实现。
# linux
root@debian:/home# netstat -lp | grep sshd
tcp        0      0 0.0.0.0:ssh             0.0.0.0:*               LISTEN      595/sshd
tcp6       0      0 [::]:ssh                [::]:*                  LISTEN      595/sshd
  • 用::1去监听时,只能通过::1来连接,用127.0.0.1是不行的。用::监听则可以用::1或者127.0.0.1连接
  • 双栈虽然可以接受IPv4连接,但实际上是以IPv6模式来处理的,因此获得到的对端的IP地址为::ffff:192.0.2.1这种IPv4-mapped IPv6的格式,而不是原生的IPv4地址。
  • ::ffff:127.0.0.1虽然是一个IPv6地址,但它不是::1,而是是等同于127.0.0.1。即监听::ffff:127.0.0.1时,只能从127.0.0.1连接,用::1是连不上的。
  • ::ffff:c000:201和::ffff:192.0.2.1这两个地址是相同,把::ffff:c000:201用getaddrinfo解析,得到的就是::ffff:192.0.2.1,它们的转换算法:

查看一个域名是否支持ipv6的4A记录

想测试一个域名是否支持IPv6,有很多工具,比如nslookup -type=AAAA www.google.com 114.114.114.114;
也可以在线测试 :拨测:ipv6检测
在这里插入图片描述

客户端的连接处理

  • 服务端角度
    服务端如果需要对外部署的话,无论是自建服务器还是云服务器,在部署的时候都能够知道是否支持IPv6;
  • 客户端角度
    客户端是不能确定服务端是否启动ipv6以及到达服务端的链路是否支持ipv6的。
    公司可以发布一个支持IPv6的客户端,但即使查询IPv6的DNS成功,也无法保证客户端到服务器之间的所有设备都支持IPv6,DNS查询成功只是表示客户端到DNS服务器之间的IPv6链路是通的,与服务器不是同一条链路,直接用IPv6去连服务器可能会失败。
    IETF推荐的做法是:优先查询IPv6地址,然后是IPv4地址,一个个尝试去连接。没看错,就是for循环一个个去试。

参考

https://www.cnblogs.com/coding-my-life/p/13977644.html
https://www.h3c.com/cn/d_201908/1222492_30005_0.htm
legend050709ComeON
关注
  • 3
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
docker-ipv6nat:使用 IPv6 NAT 扩展 Docker,类似于 IPv4
08-05
docker-ipv6nat 该项目模仿 Docker 为 IPv4 执行 NAT 的方式并将其应用于 IPv6。 跳转到立即开始。 为什么我需要这个? 不幸的是,最初创建 Docker 时并没有考虑到 IPv6。 它是后来添加的,虽然已经走了很长一段路,但仍然没有人们想要的那么好用。 关于如何在容器化世界中使用 IPv6 的讨论仍在进行中。 请参阅下面链接的各种 GitHub 问题。 目前,您可以让 Docker 从您的(公共)池中为每个容器提供一个 IPv6 地址,但这有缺点: 为每个容器提供一个可公开路由的地址意味着如果没有进行额外的过滤( ),所有人都可以突然访问所有端口(甚至未公开/未发布的端口) 默认情况下,每个容器都会获得一个随机的 IPv6,导致无法正确做 DNS; 另一种方法是为每个容器分配一个特定的 IPv6 地址,这仍然是一个管理麻烦( ) 已发布的端
怎样解决IPv4网络和IPv6网络的共存互通?
vecloud的博客
06-17 9641
现在,业界一致认为IPv6技术是解决IP地址短缺问题的唯一可行的根本办法。但由于IPv6IPv4技术不兼容,且现有的IPv4设备和用户数量庞大,在网络演进过程中,需要解决异构网络的共存互通问题。 解决IPv4地址短缺问题的技术实质上有两个:一个是多级NAT(例如NAT444)技术,另一个是IPv6(完全相反)技术,两者完全相反。长期而言,NAT技术不能从根本上解决网络中地址不足的问题,反而会增加网络的复杂性。现在,业界一致认为IPv6技术是解决IP地址短缺问题的唯一可行的根本办法。但由于IPv6与I..
花了100块大洋搞懂 ipv6的用户如何访问ipv4 服务器
我活在当下,我巨他妈勇敢。
03-28 941
大家好,今天蓝胖子花了100多块搞懂了 ipv6的用户如何访问ipv4 服务器,将收获与大家分享下。ipv4ipv6的协议栈不同,这意味着,其对应的ip包的封装和解析不同,那么只支持ipv4的机器就无法直接与ipv6服务器进行通信。但目前已经有越来越多人使用ipv6进行通信,如果仅仅让服务器支持ipv4,这无疑会损失一大部分用户,特别是针对于海外业务。如何让服务器便捷支持ipv4ipv6都能同时进行访问,就成了我们需要思考的问题。这里我给出几个靠谱方案来解决此类问题。首先要知道一个http网络请求的流
基于eNSP的IPv6 IPv4互通技术-NAT64IPv6 over IPv4 ISATAP隧道配置实例
02-27
本资源为“基于eNSP的IPv6 IPv4互通技术-NAT64配置实例”和“IPv6 over IPv4 ISATAP隧道配置实例”,包含拓扑图、配置文件、相关数据包抓取。可供华为认证备考人员及计算机网络爱好者学习交流使用
Ipv6Ipv4的方法
热门推荐
youoran的专栏
08-11 1万+
在纯IPv6网络的用户如果需要访问IPv4的网络资源时,一般需要通过第三方软件来实现(Veno\六飞\IPV6VPN等),而现在大家可直接通过支持NAT64/DNS64服务器,来实现IPv6IPv4之间的NAT,从而实现在纯IPv6网络访问IPv4服务器资源(一般为Web服务或依靠域名的IPv4服务器),目前应该只支持TCP\UDP\ICMP等协议的NAT转换。 注意:NAT64为单向NA
IPV6联网小技巧
zhiliu的专栏
12-17 3602
IPV6联网小技巧 本文介绍如何使用IPV6上网以及如何通过IPV6访问IPV4的网站。
IPv6NAT-PT实验:IPv4IPv6地址转换的配置和验证
傻傻的心动的博客
06-05 4252
IPv6NAT-PT实验:IPv4IPv6地址转换的配置和验证
javaEE 初阶 — 关于 IPv4IPv6 协议、NAT(网络地址转换)、动态分配 IP 地址 的介绍
超烦豆先森
02-25 1629
IPv4IPv6NAT、动态分配 IP 地址
IPv6进阶:IPv6 过渡技术之 NAT64IPv6 节点主动访问 IPv4 节点-地址池方式)
qq_43416206的博客
06-28 983
3001::/96这个前缀是我们在配置的时候指定的NAT64地址前缀,而这个目的地址的最后32bits,也就是0A01:0101,换算成10进制就是10.1.1.1,因此当防火墙收到目的地址为3001::0A01:0101的IPv6数据包时,根据该地址的最后32bits计算得到IPv4地址, 这就是协议转换后的IPv4目的地址,而IPv4源地址则从NAT64地址池中挑一个。完成配置后,PC2即可访问PC1,但是问题是,PC2用什么目的地址来访问PC1?配置NAT64地址池,并配置NAT64策略;
NAT64——IPv6主机可以访问IPv4网络
SSR_ZZ的博客
11-02 1305
IPv6访问IPv4网络之NAT64
IPv6 协议还需要 NAT 吗?
m0_50654102的博客
05-10 6524
IPv6 解决了 IP 耗尽的问题,为机构、组织、公司、家庭等网络提供了充足的 IP 资源,从这个角度看是不是就不需要 NAT 协议了呢? 在没有 IPv6 之前,NAT 是 IP 资源耗尽的主流解决方案。在一个内网中的全部设备通过 NAT 协议共享一个外网的 IPv4 地址,是目前内外网对接的主要方式。IPv6 地址资源充足,可以给全球每个设备一个独立的地址。从这个角度看 IPv6 的确不需要 NAT 协议。 但是目前的情况,是 IPv6 网络还没有完全普及。尽管很多公司已经支持自己的互联网产品可以使用
通信与网络中的NAT-PT技术在IPv4IPv6互联中的实现
11-10
如能通过转换网关实现IPv6IPv4网络的无缝连接,实现IPv4IPv6网络的资源共享,这不仅增加了IPv6网络对用户的吸引力,并具有较高的经济和应用价值。  2 NAT-PT转换网关方案  2.1 NAT-PT的位置位置和功能结构...
NAT-PT技术在IPv4IPv6互联中的实现
07-29
NAT-PT及与其相关的网间协议转换技术,采用NAT-PT技术设计IPv4/IPv6转换网关。
Jool:适用于Linux的SIIT和NAT64
05-01
Jool的网站同时在两个单独的域中托管: (一次过几天可能会过时) (不适用于IPv6)文献资料。 您也可以。 您可能还想查看。学分网卡g 豪尔赫·卡诺·普恩特g 塞尔吉奥·阿德里安·卡萨斯·费尔南德斯 g 朱利奥·...
Elasticsearch初识与简单案例.pdf
04-29
Elasticsearch是一个基于Lucene的分布式全文搜索引擎,提供灵活且高效的搜索和分析功能。通过HTTP请求和客户端库,用户可以索引和搜索文档,执行复杂查询,进行数据分析,并享受高亮显示等特性。其高级功能如复合查询、聚合分析、滚动搜索等,使其适用于各种数据处理和分析场景。Elasticsearch还具有强大的监控和日志功能,确保集群稳定运行。总之,Elasticsearch是企业级搜索和分析的理想选择。
Python基于LSTM模型对全国的空气质量数据进行可视化分析预测源代码
最新发布
04-29
介绍 对全国2019年1月至2023年12月的空气质量数据进行分析,绘制时间序列图,展示每月/每季度的平均AQI变化趋势。绘制不同省份和城市的平均AQI热力图。分析不同污染物的浓度分布和趋势。绘制空气质量等级分布图。 需求说明 对空气质量数据进行数据分析,并使用LSTM模型进行预测。 安装教程 pip install jupyter pip install numpy pandas matplotlib seaborn 使用说明 在项目路径下打开终端输入jupyter notebook就行
百问网linux桌面GUI,基于LVGL 8.x。.zip
04-29
百问网linux桌面GUI,基于LVGL 8.x。
基于Vue开发的XMall商城前台页面 PC端.zip
04-29
基于Vue开发的XMall商城前台页面 PC端.zip
2019年中国民航大学电子设计竞赛E题-自动导航运输车
04-29
2019年中国民航大学电子设计竞赛E题-自动导航运输车 全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考
ipv6 端口映射 ipv4
09-25
IPv4是当前使用最广泛的互联网协议版本,但是由于IPv4地址资源有限,不足以满足日益增长的互联网用户需求,因此IPv6作为下一代互联网协议被广泛推广。IPv6IPv4不兼容,所以在将IPv6网络与IPv4网络连接时,需要通过端口映射来实现IPv6IPv4的端口映射主要有两种方式,一种是通过NAT64实现,另一种是通过代理服务器实现NAT64是一种网络地址转换技术,将IPv6网络的数据包转换为IPv4网络的数据包。在这种情况下,IPv6地址被映射到IPv4地址,IPv6端口则被映射到IPv4端口。当从IPv6网络发送数据包到IPv4网络时,NAT64将根据预设的映射规则进行数据包的转换与转发,确保数据包能够顺利到达IPv4网络。 另一种方式是通过代理服务器实现IPv6IPv4的端口映射。代理服务器作为一个中转站,接收来自IPv6网络的数据包,并将其转发到IPv4网络。在这种情况下,IPv6地址和端口信息被代理服务器IPv4地址和端口来代替,并通过代理服务器IPv4网络进行数据交互。 不论是通过NAT64还是代理服务器IPv6IPv4的端口映射都是为了实现IPv6网络与IPv4网络的互通。通过端口映射,IPv6用户可以访问IPv4资源,同时IPv4用户也可以访问IPv6资源,实现互联网的无缝连接。,从而更好地满足了互联网用户的需求。随着IPv6的推广和普及,IPv6IPv4的端口映射技术将会越来越重要和广泛应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值