一种实现跨IPv6和IPv4的VPN互访的方法和系统的制作方法
【技术领域】
[00011本发明属于互联网通讯领域,尤其涉及一种实现跨IPv6和IPv4的VPN互访的方法。
【背景技术】
[0002] IPv6是解决IPv4地址耗尽问题的根本解决方案,但是由于现有IPv4用户存量很 大,绝大部分现网也还不支持IPv6应用,使得现网从IPv4向IPv6演进的难度较大。为了保证 用户和业务平稳过渡,我们预计整个演进周期将是个长期的过程,也就是说IPv6将会与 IPv4长期共存。因此,IPv6过渡方案显得尤为重要。而且,由于互联网技术的高速发展,三层 VPN被企业、政府等等得到了被广泛的使用,被用来网络的隔离,但是在实际的应用场景中 跨VPN之间还可能会存在相互间访问的需求。
[0003] 然而,现在技术中VPN间IPv6〈->IPv4网络中存在实现复杂、管理起来难度大的问 题。
【发明内容】
[0004] 本发明实施例的目的在于提供一种实现跨IPv6和IPv4的VPN互访的方法和系统, 以解决现有技术中VPN间IPv6与IPv4网络互传的实现方法复杂、管理起来难度大的问题。
[0005] 本发明实施例是这样实现的,一种实现跨IPv6和IPv4的VPN互访的方法,在IPv6侧 VPN发起针对IPv4侧VPN的数据的访问消息时,所述方法包括:
[0006] 根据DNS64服务器解析目的标识,得到目的地址,所述目的地址被携带在所述数据 的访问消息中;根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑定的 NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;根据NAT64地址池,将源 IPv6地址转换为能够在IPv4侧VPN中使用的源IPv4地址;剥离目的地址的前缀,得到合法的 目的IPv4地址;根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据的访问 消息的转发。
[0007] 优选的,所述根据NAT64地址池进行源IPv6地址到IPv4地址的转换,具体为:
[0008] 从与IPv6侧ACL服务器绑定的NAT64地址池中选出空闲的IPv4地址作为在IPv4侧 VPN中使用,并作为数据的访问消息的源I Pv4地址。
[0009] 优选的,所述数据的访问消息转发后还包括:
[0010] 建立从IPv6到IPv4,以及从IPv4到IPv6的两个NAT64会话表,所述两个NAT64会话 表建立映射关系,其中,
[0011] IPv6侧的会话表中保存:源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧 VPN、协议类型;
[0012] IPv4侧的会话表中保存:源IPv4地址、源端口、目的IPv4地址、目的端口、IPv4侧 VPN〇
[0013] 优选的,所述两个NAT64会话表保存在NAT64服务器上。
[0014] 优选的,在IPv4侧VPN服务器收到响应消息时,所述方法还包括:
[0015] 匹配IPv4侧的会话表,如果匹配成功,则根据IPv4侧的会话表得到相应的IPv6侧 的源IPv6地址、源端口、目的IPv6地址、目的端口、IPv6侧VPN;
[0016] 把响应消息中携带的IPv4地址转换成IPv6地址,通过IPv6网络转发该响应消息。
[0017] 优选的,基于所述数据的访问消息建立的会话的后续数据包转发时,所述方法还 包括:
[0018] 匹配两个NAT64会话表中与之会话方向相对应的一个会话表,若匹配成功,则完成 地址转化后转发数据包;若匹配失败,则丢弃该数据包。
[0019] 优选的,在发送所述数据的访问消息之前,还包括:
[0020] 配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,完成IPv6侧ACL序列号与NAT64地址池 和VPN序列号绑定。
[0021] 优选的,所述完成IPv6侧ACL序列号与NAT64地址池和VPN序列号绑定,具体包括:
[0022] 将IPv6侧ACL序列号与NAT64地址池范围和VPN序列号绑定,其中,所述VPN序列号 具体为各IPv4侧VPN所、IPv6侧VPN所对应到标识。
[0023] 优选的,所述配置IPv6侧VPN、IPv4侧VPN和NAT64地址池,具体包括:
[0024]配置IPv6侧VPN中的DNS64服务器,使其拥有解析IPv4侧VPN中目的终端地址的能 力;
[0025]配置IPv4侧VPN中的DNS64服务器,使其拥有解析IPv6侧VPN中目的终端地址的能 力;
[0026]为NAT64服务器配置可供其使用的空闲地址池。
[0027]另一方面,本发明实施例还提供了一种实现跨IPv6和IPv4的VPN互访的系统,包括 IPv6侧源终端、IPv6侧DNS64服务器、NAT64服务器、IPv4侧目的终端,所述源终端连接DNS64 服务器,并通过NAT64服务器与所述目的终端建立数据链路,其中,所述目的终端和所述 DNS46服务器相连,具体的:
[0028]所述源终端通过DNS64服务器获得目的地址,并携带在数据的访问消息中发送给 NAT64服务器;
[0029]所述NAT64服务器根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列 号绑定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
[0030] 所述NAT64服务器根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使 用的源IPv4地址;
[0031] 所述NAT64服务器剥离目的地址的前缀,得到合法的目的IPv4地址;
[0032] 所述NAT64服务器根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行 数据的访问消息的转发。
[0033]本发明实施例提供的一种实现跨I Pv6和I Pv4的VPN互访的方法的有益效果包括: 应用本发明在不同VPN间通过NAT64互相访问的方法和系统,可以很方便的实现不同VPN间 的互访,其配置简单方便,安全性能高。
【附图说明】
[0034]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例或现有技术描述 中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些 实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附 图获得其他的附图。
[0035]图1是本发明实施例提供的一种跨IPv6和IPv4的VPN互访示意图。
[0036]图2是本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程图; [0037]图3是本发明实施例提供的一种跨IPv6和IPv4的VPN互访系统架构图;
[0038]图4是本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程图; [0039]图5是本发明实施例提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程图。
【具体实施方式】
[0040]为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对 本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并 不用于限定本发明。
[0041] 为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
[0042] 实施例一
[0043] 如图2所示为本发明提供的一种实现跨IPv6和IPv4的VPN互访的方法的流程示意 图,在IPv6侧VPN发起针对IPv4侧VPN的数据的访问消息时,参考如图1所示的系统架构图, 所述方法包括以下步骤:
[0044]在步骤201中,根据DNS64服务器解析目的标识,得到目的地址,所述目的地址被携 带在所述数据的访问消息中;
[0045]在步骤202中,根据所述数据的访问消息中携带的源IPv6地址得到ACL的序列号绑 定的NAT64地址池,并根据ACL的序列号绑定的VPN得到IPv4侧的VPN;
[0046] 在步骤203中,根据NAT64地址池,将源IPv6地址转换为能够在IPv4侧VPN中使用的 源IPv4地址,并选择一个未使用的端口作为源端口。
[0047]在步骤204中,剥离目的地址的前缀,得到合法的目的IPv4地址;
[0048] 在步骤205中,根据所述目的IPv4地址在所述IPv4侧VPN通过IPv4协议栈进行数据 的访问消息的转发。
[0049] 应用本发明在不同VPN间通过NAT64互相访问的方法,可以很方便的实现不同