IPv6的NAT原理

it2022-05-05  176

在亿万互联网用户享受着Internet带来便利的同时,IPv4地址即将耗尽的问题却早在20年前就被网络专家们意识到了,并采取了措施延缓IPv4的消耗,这项措施就是NAT(网络地址转换)技术。NAT主要作用在于节约IP地址,而非所谓的增加IP的方向性以及隐藏私有IP,且IPv4的NAT打破了互联网本身的“互联”特性,使得一部分IP地址不再双向可达,NAT为无方向的IP协议增加了一个方向,特别是stateful的NAT类型。此时,IPv6时代已逐渐到来。 而IPv6的标准中不建议使用NAT,这是何缘由呢?我们已知IPv6地址数量巨大,只要在地球上,都可为蚂蚁配置IP设备,因此IPv4的一些修补手段将不再需要,为了保持协议本身以及相关标准的纯洁性,在IPv6中几乎不再建议使用NAT。虽然不再建议使用,但在某些必要情况下,还是可能需要实现IPv6的NAT。在RFC6296的标题是IPv6-to-IPv6 Network Prefix Translation中,描述了IPv6下的NAT的实现要点,给出了一个合理的建议,既保持了IP的无方向性,又可以满足NAT的语义,这就是IPv6之NAT stateless的缘由。 IPv6地址有将近128个可随意调配的位,其庞大的地址空间,一般的单位都会被分配到一个拥有很大量地址的网段,此网段拥有足够多的地址来和内网主机进行映射,即可用于映射的IP地址池容量巨大,且既然不想再使用非IP层的信息来保持信息,又要保持映射,那就要用纯IP层的信息,这样对上层影响最小。对于IPv6而言,NAT利用checksum算法来保持流标识信息,丝毫不管这个checksum是谁的checksum,因为它根本就不改变数据包的checksum… 接下来给大家讲解一下checksum无关性和自动转换,就是考虑a+b+c+d=X。其中X就是checksum,我们把a,b当成源IP地址的两部分,c,d当成目的IP地址的两部分,我们作源地址转换,将a和b都改变,比如a改变成了A,那么将b改成多少才能保持checksum的值X不变,求解即可。IPv6的建议NAT实现亦是上文这个原理,只是将其换为计算机布尔数域求解。既然可以不触动第四层的checksum值,那么NAT对第四层协议的影响也就减小了,虽然它还是解决不了诸如ESP/AH等穿越NAT的问题。基于以上算法,IPv6在做NAT的时候,在给定的子网网段内,可以自动生成一个新的IP地址供映射之用,从算法本身来看,冲突的可能性非常之小致于0。 既然IPv6的NAT机制“自动”为一个连接选择了一个IP地址,那么当返回包到来的时候,如何把地址转换为原地址呢?IPv6的NAT把地址“转换回去”这件事完全靠算法本身,而算法本身就能将转换后的地址再转回原来的,具有解的唯一性,在IPv6的NAT实现中,算法只针对IP地址中16位的地址信息进行自动生成,而其它的则需要手工显式配置,由于内网IPv6地址可以使用MAC地址映射成唯一的地址,且转换后的地址是唯一的,将这一切反过来,最后还是能映射回原始的IP地址的。 如果抛开地址转换这一说,仅仅考虑算法本身,那还是可以给出一个实际可以运行的代码的,该代码使用了计算checksum的算法: #include <stdio.h> #include <stdlib.h> #include <string.h>

//以下2个函数就是计算校验码的,具体的原理请参RFC1071/RFC1624/RFC1141。 static inline u_int16_t add16( u_int16_t a, u_int16_t b) { a += b; return a + (a < b); }

static inline u_int16_t csum16(const u_int16_t *buf, int len) { u_int16_t csum = 0; while(len–) csum = add16(csum, *buf++); return csum; }

int main(int argc, char **argv) {

u_int16_t buf[18] = {0}; int i = 0; memcpy(buf, "efghhijk", 8); memcpy(buf+4, "12345678", 8); memcpy(buf+8, "xxyywert", 8); memcpy(buf+12, "zxcvkljh", 8); //正确做法是打印16进制数据,此处为了简单,打印了字符串 printf("原始数据:%s 长度:%d\n", (char*)buf, strlen((char*)buf)); printf("原始数据的校验码:%X\n", csum16(buf, 16)); u_int16_t tip[3] = {0}; memcpy(tip, "#$!%", 4); u_int16_t tip_sum = csum16(tip, 2); printf("\nNAT规则: efghhijk1234/12 -〉efghhijk#$!%/12\n\n"); printf("固定从第9个字节开始修改4个字节为:%s 其校验码为:%X\n", (char*)tip, tip_sum); //定位固定修改后的动态修改的初始地址,注意,我们仅仅修改16位信息 u_int16_t* pcsum = buf + 4+2; //计算动态修改的值 *pcsum = ~add16( add16( ~(*pcsum), ~csum16(buf+4, 2) ), tip_sum ); printf("动态修改的值为:%X\n", *pcsum); memcpy(buf+4, tip, 4); //完成修改 printf("当前数据:%s 长度:%d\n", buf, strlen((char*)buf)); printf("当前校验码:%X\n", csum16(buf, 16)); printf("-------------以下是还原操作-------------\n"); printf("\n反向NAT规则: efghhijk#$!%/12 -〉efghhijk1234/12\n\n"); u_int16_t tip2[3] = {0}; memcpy(tip2, "1234", 4); printf("我们只需要记住原始数据被固定修改前的:%s\n", tip2); u_int16_t tip_sum2 = csum16(tip2, 2); u_int16_t* pcsum2 = buf+6; *pcsum2 = ~add16( add16( ~(*pcsum2), ~csum16(buf+4, 2) ), tip_sum2 ); //还原 memcpy(buf+4, tip2, 4); printf("原始数据:%s\n", (char *)buf); printf("原始校验码:%X\n", csum16(buf, 16));

}

运行结果如下: 把以上的原理套用在IPv6的NAT上,就是一种实现。


最新回复(0)