技術領域

本發明涉及互聯網通信領域，尤其涉及一種4-6-4混合協議網絡中分布式網關系統和訪問方法，尤其涉及一種IPv4和IPv6混合網絡中基于分布式網關的網絡訪問方法和系統。

背景技術

目前，應用層網關ALG(Application?Layer?Gateway)技術工作于TCP/IP協議的應用層，主要針對特定的應用層協議，如超文本傳輸協議(HTTP)，文本傳輸協議(FTP)，域名解析協議(DNS)，SIP協議等等。

當受信任網絡上的用戶打算連接到不受信任網絡(如Internet)上的服務時，該應用首先被引導至防火墻中的代理服務器。在代理服務器中，網絡封包中所攜帶的終端IP地址信息和端口信息將會被修改成網關代理的地址和IP，從而達到隱藏內部網絡主機地址和網絡拓撲的目的。

普通的ALG一般能夠提供如下功能：

1.允許客戶端應用使用動態TCP/UDP端口與服務端應用的已知端口通信，可以通過網關的端口范圍由防火墻配置管理。2.作為內部網絡與外部網絡通信的網關，轉換在網絡封包的應用層中攜帶的網絡層地址信息。3.識別在應用層中出現的控制命令并提供常規的安全控制。4.交換并同步多個網絡會話和數據流之間的信息。

有狀態NAT64網絡地址翻譯是一種允許IPv6主機與IPv4服務器之間進行通訊的機制，主要由IETF文檔RFC6146描述。該技術一般只支持通過IPv6網絡側用戶發起連接訪問IPv4側網絡資源，但也支持通過手工配置靜態映射關系，實現IPv4網絡主動發起連接訪問IPv6網絡。NAT64作為一個有狀態翻譯網關，需要維護一張IPv4與IPv6的映射關系表，并定時更新和去除已經通信完畢的映射狀態。

通過這個映射表，有狀態NAT64可以實現1:N的地址映射，即把多個IPv6地址和端口映射到一個IPv4地址上。有狀態NAT64是網絡層的協議翻譯技術，其映射表記錄了“IPv4地址+端口”與IPv6地址的映射表會話狀態。由于網絡封包進入網關之后，IPv4地址被網關翻譯成IPv6地址，如果通信封包中攜帶了轉換之前的IPv4地址信息，則需要網關作為ALG對封包的內容進行修改，把封包內攜帶的地址信息修改成映射之后的地址信息。

無狀態NAT64網絡地址翻譯與有狀態NAT64網絡地址翻譯相似，但是不需要維護一張映射狀態表，主要由IETF文檔RFC6145描述。無狀態NAT64網絡地址翻譯只支持1:1的映射關系，即每一個IPv4地址和端口對應特定的IPv6地址和端口。

由于是1:1的映射關系，在無狀態NAT64翻譯網關的兩側主機都能主動向另一側發起連接。其地址翻譯遵循一定的算法規則，每個通過網關的網絡封包根據這個規則進行IPv4和IPv6地址的互轉換，其算法描述主要由IETF文檔RFC6052描述。由于不需要定時維護映射狀態表，無狀態NAT64網絡地址翻譯比有狀態NAT64翻譯的效率更高，但是對IPv4地址塊的消耗大，同時也對IPv6地址格式有要求。由于IP地址經過網關之后會被改變，無狀態NAT64網關同時也需要做ALG，保證網絡兩側的主機能正常工作在各個應用層協議下。

4-6-4網絡是指通信的兩端為IPv4網絡，而通信過程中需要經過IPv6網絡的場景，該網絡場景同時由有狀態NAT64網絡地址翻譯設備PLAT(Provider?side?translator)和無狀態NAT64網絡地址翻譯設備CLAT(Customer?side?translator)組成的網絡，其應用場景見圖1所示。

4-6-4網絡的主要承載協議是IPv6協議，通過對IPv4封包的兩次轉換，達到讓IPv4網絡封包穿越IPv6網絡訪問IPv4服務器的目的。在4-6-4網絡中，IPv4網絡中的用戶主機發送出的IPv4封包經過CLAT的轉換變成IPv6封包，穿越IPv6網絡到達PLAT，PLAT通過相應規則把IPv6封包轉換成IPv4封包送達目的IPv4服務器。

現有技術中的4-6-4網絡的分布式網關部署方式見如圖1所示，客戶端請求消息首先被發送到CLAT網關處進行地址翻譯，而后經由IPv6網絡到達PLAT網關處進行第二次翻譯，期間IP地址要完成兩次轉換，在CLAT進行一次IPv4地址轉成IPv6地址，在PLAT把IPv6地址轉換成IPv4地址，此時網絡封包的源IPv4地址已經不是封包發出主機的IPv4地址，而是從PLAT映射地址池中通過算法計算得到的一個IPv4地址。