扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
一、概述
由于IPv6与IPv4相比具有诸多的优越性,IPv6代替IPv4已经成为网络发展的必然趋势。然而现有IPv4网络是如此的庞大,以至于短时间之内不可能将它全部废除。因此,需要寻找一种合适的过渡技术来解决这一难题。由于无状态IP/互联网控制消息协议翻译算法(SIIT)、网络地址翻译-协议转换器(NAT-PT)和栈内凸块(BIS)等过渡技术都存在着这样那样的缺点,隧道技术又不能解决IPv6节点与IPv4节点之间相互通信的问题,而在网络中应用代理服务既可以充分利用IP地址资源,又能够保证网络安全,尤其是全能代理协议SOCKS,它可以完成网页浏览、文件传输和远程登陆等所有工作的代理,是可用的功能最强大、应用最灵活、安全性较高的代理,因而基于具有强大功能的SOCKS代理的IPv4向IPv6过渡技术已经成为一种不错的选择。基于SOCKS的过渡技术分为两种。一种是API内凸块(BIA)技术,这种技术直接在双栈主机上实现IPv4和IPv6的地址转换;另一种是SOCKS64技术,这种技术是通过一个双栈网关来进行IPv4和IPv6的地址转换。
二、BIA技术
BIA技术在双栈主机的Socket API模块与TCP/IP模块之间加入一个API翻译器(如图1所示)。API翻译器包含三个模块:域名解析器,地址映射器和函数映射器。其中,域名解析器负责对IPv4应用程序的请求域名返回一个正确的应答,地址映射器在主机内部维护一张IPv4与IPv6地址对的表格(分配的IPv4地址来自IPv4地址池中,采用未使用的IPv4地址,如 0.0.0.1 ~ 0.0.0.255),函数映射器负责在IPv4的Socket API函数与IPv6的Socket API函数间相互翻译。
图1 采用BIA机制的双栈主机的结构模型
RFC3338中描述了采用BIA机制的双栈主机与IPv6主机之间相互通信的过程。其中双栈主机Dual Stack向IPv6主机Host6发起通信的过程如下:
?当双栈主机Dual Stack上的IPv4应用向它的域名服务器(DNS)发送查询目的主机的地址请求时,域名解析器拦截了这个请求,并产生一个新的查询请求转发给DNS来解析A和AAAA两种记录。
?DNS解析出Host6的AAAA记录后,将它返回给域名解析器。
?域名解析器要求地址映射器为IPv6地址分配一个IPv4地址。
?地址映射器在IPv4地址池中选择一个未用的保留地址,在映射表中注册后返回给域名解析器。
?域名解析器为分配的IPv4地址产生一条A记录,返回给IPv4应用程序。
?IPv4应用程序调用IPv4的Socket API函数,函数映射器对调用命令进行拦截,判断其是否来自于IPv6的应用。若不是,跳过翻译程序;否则,函数映射器向地址映射器请求该IPv4地址对应的IPv6地址,地址映射器从映射表中查找后将结果返回。函数映射器使用收到的这个AAAA型地址调用Host6上相应的IPv6 socket API函数。
?当函数映射器接收到Host6上IPv6 socket API函数的应答后,向地址映射器请求与Host6对应的IPv4地址。然后,函数映射器利用此IPv4地址继续完成socket API函数的调用。
由IPv6主机Host6发起到双栈主机Dual Stack的通信过程相对简单一些。Host6通过它的DNS解析Dual Stack的AAAA记录,然后向Dual Stack发送一个IPv6的数据包。为了通过调用IPv4的API函数和IPv4应用通信,函数映射器检测到IPv6数据包到达Dual Stack后,向地址映射器发送一个IPv4地址请求,并用返回的IPv4地址发起一个IPv4的Socket API调用。然后,函数映射器再向地址映射器请求与该IPv4地址对应的原来的IPv6地址,按照这个地址对Host6答复。
三、SOCKS64技术
SOCKS64技术是原有SOCKS协议(IETF RFC1928)的扩展,相当于IP层的代理,其原理如图2所示。它增加了两个新的功能部件*Socks Lib*和*Gateway*。*Socks Lib*是在客户机一端引入的,它位于应用层和Socket层之间,可以替代应用程序的Socket API和DNS域名解析API。在*Socks Lib*中有一个DNS域名解析代表,它在源节点(客户机C)全权代表到中继服务器(网关G)的域名解析行为。*Gateway*是安装在IPv6和IPv4双栈网关上的一个增强型的SOCKS服务器,可以完成客户机C(IPvX)和目的端D之间的任何协议组合类型的中继。当*Socks Lib*调用中继时,由父*Gateway*来产生出一个*Gateway*进程(线程)来负责中继连接。
图2 采用SOCKS64技术的网络通信原理
在SOCKS5中规定,IPv4地址、IPv6地址和域名的全限定域名(FQDN)信息可以用在SOCKS协议格式的地址类型(ATYP)域。SOCKS64技术就是利用这一点,通过DNS域名解析代表将FQDN信息用在ATYP域中从客户机C传到网关G来指出目的地D的位置。为此,SOCKS64技术也和BIA技术一样使用了IPv4中未使用的保留地址(称之为伪IP地址),并在*Socks Lib*(客户机C处)中引入一个映射表来管理伪IP地址和FQDN之间的映射。
客户机C[IPvX]使用SOCKS64技术通过双栈网关G[IPvX|IPvY]与目的主机D[IPvY]通信的过程如下:
?源节点(客户机C)上的应用尽力通过调用DNS域名解析函数来获得目的节点(目的地D)的IP地址信息。这时,目的地D的逻辑主机名(即FQDN)信息被作为被调用的API的一个参数传递给应用的*Socks Lib*。
?FQDN信息被注册到*Socks Lib*中的一个映射表内。*Socks Lib*选择一个伪IP地址回复给应用。
?应用利用收到的伪IP地址信息组织一个socket,并将socket用作API的一个参数来调用socket API启动通信。
?由于*Socks Lib*已经取代了这些socket API,真正的socket函数将不再调用,而是先检查socket的IP地址信息。如果该地址是伪IP地址,则从映射表中获取与该伪IP地址相匹配的登记过的FQDN信息。通过使用与调用的socket API相匹配的SOCKS命令(例如与connect()对应的CONNECT命令),FQDN信息被传送到中继服务器(网关G)上的*Gateway*。
?*Gateway*通过接收到的FQDN信息调用真正的DNS域名解析API从一个DNS服务器处获得一个真IP地址,并利用真IP地址信息创建一个socket。*Gateway*再将socket用作API的一个参数来调用socket API与目的地D通信。
四、技术比较分析
虽然BIA与SOCKS64都是为了使IPv4能够顺利过渡到IPv6的技术,都是基于SOCKS的技术,都是采用双栈主机思想,都需要使用伪IP地址,但是它们的出发点却各有侧重,也各有优缺点。
1.适用性
BIA与SOCKS64都可以使IPv4应用在不作任何修改的情况下与IPv6主机通信。BIA技术提供的是具有IPv4和IPv6协议的双栈主机直接与IPv6主机通信的解决方案,SOCKS64技术是提供了IPv4主机通过双栈网关与IPv6主机通信的解决方案。
2. 预留IP地址的使用
BIA与SOCKS64都使用预留IP地址。虽然BIA技术中的地址池可以在节点中以不同的粒度来实现,然而如果大量的IPv4应用和IPv6的主机通信时,可能耗尽可用地址,导致IPv4应用不能和IPv6的主机通信,所以需要对地址池内的地址进行有效管理。SOCKS64技术由于主要使用FQDN信息、通过DNS域名解析代表 在*Socks Lib*处负责域名管理工作,伪地址必须被作为临时值来处理,所以不需要为地址映射预留很大的地址空间,也不需要复杂的地址申请和垃圾收集机制。
3.对应用的支持
BIA与SOCKS64的初衷都是不需要修改IPv4应用而与IPv6主机通信。但是它们对应用的支持都不能达到尽善尽美。对于BIA来说,由于需要转换嵌在应用层协议中的IP地址(例如FTP),所以这种机制可能不适用于那些其负载中包含地址的新应用。BIA仅支持单播通信,如果要支持组播通信,还需要在函数映射模块中增加新的功能。BIA只是从语义上将IPv4 Socket API函数转换成相应的IPv6 Socket API函数,如果在API函数中转换内嵌于应用层协议的IP地址,其实现有赖于操作系统。由于IPv6的API具有新的高级参数,转换带有这种参数的IPv6 API是很困难的,因此接收到的带有高级参数的IPv6数据包会被丢弃。对于SOCKS64来说,虽然它是直接继承SOCKS机制的技术,但是在使用时仍有一定的问题。SOCKSv5协议由三个命令(CONNECT、BIND和UDP ASSOCIATE)组成,所有这三个命令在SOCKS64中都能使用。其中,主要的命令也是使用最频繁的命令CONNECT没有明确的弱点,可以不加考虑地随意使用它。而BIND命令基本上是为支持FTP类型应用的反向通道聚合而设计的,所以通常的BIND命令的使用可能会导致一些问题。UDP ASSOCIATE命令基本上是为简单UDP应用(如archie)而设计的,所以在支持同时使用TCP和UDP的一大类应用时通用性还不够。另外,如果有些应用使用了非常灵活的、特别的方式创建连接,SOCKS64技术就无能为力了。
4.DNS查询结果与另一端应用程序版本不匹配问题
对于BIA,若正在使用的服务器端应用不支持IPv6,但是它又运行在一台支持其他IPv6服务的主机上,而且这台主机还在DNS中以AAAA型记录出现,在DNS的查询结果和服务器应用的版本之间就出现了不匹配的情况。这时,使用BIA的IPv4客户端应用可能连接不到这个服务器端应用上。解决方法是尝试所有在DNS中列出的地址,而不应只尝试一次即宣告失败。但是对于UDP socket,即便可能,BIA也很难发现可工作的IP地址,因此应用必须重复尝试各种可能的地址,直到发现一个可用地址为止。另一种避免这种问题的方法是仅当通信对端的A型记录不存在时,BIA才发生作用。这样,一台采用BIA的双栈主机上的应用到另一台双栈主机的数据流只使用IPv4协议。对于SOCKS64则不存在这个问题。
5.安全性
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者