IPv4/IPv6安全网关原理及应用分析

安全网关主要包括支撑子系统，路由协议处理子系统（主要是BGP4+代理），IPv4/IPv6互连网关核心功能处理子系统、IP转发子系统（分布式结构），操作管理子系统等等。图1-4给出了在该体系结构下，IP分组流动的示意图。

图1-4 IP分组处理流程示意图

操作与管理子系统

操作与管理子系统（OAM子系统）是整个IPv4/IPv6互连网关的控制核心。它需要实现对整个IPv4/IPv6互连网关系统的控制和管理。操作与管理子系统的主要功能包括：提供多种用户操作界面，包括控制台、虚拟终端和SNMP网络管理；实现被管理模块之间的信息交互；提供分布式支持；实现错误检测和错误恢复功能；提供一套完善的运行时调试接口。

IP转发子系统

转发子系统实现IPv4/IPv6互连网关系统中路由器的基本功能—IP分组的转发。该子系统实现IPv6、ICMPv6和Neighbor Discovery三个主要协议以及IPv4协议栈中的相应协议，并能够同时支持单处理器平台和分布式多处理器平台的IP分组转发。

路由协议处理子系统

路由协议处理子系统主要实现IPv4/IPv6互连网关上的BGP4+的代理，4to6过渡协议需要支持IPv4路由表向IPv6传播，并从IPv6网络中学习IPv4路由表。该部分主要实现4to6过渡协议中的路由处理机制，包括组播路由的支持。

支撑子系统

支撑子系统是整个IPv4/IPv6互连网关系统上层应用实体的服务提供者。从协议角度看，它为BGP4+代理以及网管协议SNMP提供服务；从系统角度来看，它是操作和管理系统的一种手段。支撑子系统将实现它的三个组成部分的协议规范要求，实现了端到端的数据传输，并且提供了一种远程登录访问的手段。

IPv4/IPv6安全网关核心功能处理子系统

安全网关核心功能处理主要是实现IPv4/IPv6网络过渡机制和过渡技术，目前包括协议翻译转换技术、隧道技术、4to6过渡技术以及应用层网关技术。安全网关3个主要的部分：报文翻译，DNS应用层网关，FTP应用层网关。

图1-5 NAT_PT的总体结构图

报文翻译

报文翻译部分是NAT_PT的最基础部分。它负责进行IPv4和IPv6报文之间的翻译。具体的实现主要针对TCP、UDP和ICMP三种不同类型的报文进行翻译。由于TCP自己的特性，在地址映射的时间上，还有TCP建立连接的时候，对动态地址池的操作都和UDP、ICMP有所区别。

DNS应用层网关

DNS应用层网关部分是为了支持DNS的IPv6扩展功能的。它主要对针对目的端口/源端口=53的DNS_UDP报文进行翻译的。DNS应用层网关的主要功能是支持外部的IPv4主机对IPv6域内服务器的访问。这样，当外部的DNSv4的查询报文通过路由器的时候，将被翻译后送到IPv6域内的IPv6 DNS服务器。同样IPv6域内的IPv6 DNS服务器的DNSv6回复报文，也将被翻译后返回给原IPv4主机。

FTP应用层网关

由于FTP的IPv6扩展功能和现有的IPv4FTP命令不相同，不完全兼容，所以需要对FTP的命令作翻译。同时的由于TCP报文的负荷长度有所变动，所以还需要对一个FTP的连接的所有TCP数据报的顺序号进行修正。FTP应用层网关部分主要对针对目的端口/源端口=21的FTP_TCP报文进行翻译。

来源：中电网