《2015ipv6-清华大学计算机科学与技术系博士_刘聪_面向ipv6过渡的通用应用层翻译》由会员分享,可在线阅读,更多相关《2015ipv6-清华大学计算机科学与技术系博士_刘聪_面向ipv6过渡的通用应用层翻译(22页珍藏版)》请在金锄头文库上搜索。
1、面向面向 IPv6 过渡的通用应用层翻译过渡的通用应用层翻译刘 聪 清华大学 2015年9月7日报告提纲通用翻译器设计23研究背景1实验室简介2IPv6过渡介绍1Dual stack2Tunneling3TranslationIPv4/IPv6 Transition 4over6 mesh, 6RD DS-Lite, 4RD, LW4o6DSTMSIIT, NAT-PT, DNS64 NAT64, IVI, BITS, PNATIPv4/IPv6翻译技术技术背景在IPv6过渡过程中,IPv6(单栈)用户逐渐增加,原有IPv4资源 依然存在需求 原有IPv4业务数量巨大,升级成本高,升级难以立刻
2、完成 翻译技术:连通不同IP协议的网络用户网络层翻译 替换报文头部,进行地址 转换 (单次翻译) 通过一定规则,将IPv4地址 与IPv6地址进行映射 含传输层端口修改 应用层内容透明传输 典型协议:NAT64 / DNS64IPv4 InternetIPv6 ISP NetworkIPv6 HostNAT64 翻译器翻译器跨层IP地址嵌入问题INVITE sip: SIP/2.0 Via: SIP/2.0/UDP 2001:1:5060;branch= Contact: Content-Length: 312 .c=IN IP6 2001:1 m=audio 8000 RTP/AVP 98
3、97 8 0 3 101 .TextEPRT |2|2001:2|5282|FTPSIPHTTP/HTML 许多现有协议中,应用层内容 包含IP地址信息 (IPv4 literal) 在特定领域/应用中集中存在:如 http网站、SIP及FTP等特定应用 协议种类繁多,规则多变;不同 协议使用IPv4/IPv6地址及域名规 则不同 纯网络层翻译可能导致应用故 障或功能受限跨层IP地址嵌入问题INVITE sip: SIP/2.0 Via: SIP/2.0/UDP 2001:1:5060;branch= Contact: Content-Length: 312 .c=IN IP6 2001:1
4、m=audio 8000 RTP/AVP 98 97 8 0 3 101 .TextEPRT |2|2001:2|5282|FTPSIPHTTP/HTML FTP/SIP: a. 建立控制信道 b. 通过控制信道协商一组IP地址 和端口,用于创建数据信道 网络层翻译:可以正常工作 c. 通信一方连接b.提供的IP地址及 端口,作为数据信道 网络层翻译:无法正常工作IPv6用户点击用户点击 无法访问无法访问跨层IP地址嵌入问题INVITE sip: SIP/2.0 Via: SIP/2.0/UDP 2001:1:5060;branch= Contact: Content-Length: 312
5、.c=IN IP6 2001:1 m=audio 8000 RTP/AVP 98 97 8 0 3 101 .TextEPRT |2|2001:2|5282|FTPSIPHTTP/HTML HTTP: a. (IPv6用户)浏览器打开页面 网络层翻译:可以正常工作 b. 访问页面中包含IPv4地址的url 资源 (如图片、超链接等) 网络层翻译:无法正常工作跨层IP地址嵌入问题首页含IPv4地址的标签数网 站 占 比4309个中国个中国各级各级政府网站中嵌入政府网站中嵌入 IPv4地址情况统计地址情况统计(2014)RFC6586 With 1,000 top sites, 0.2% need
6、ed an IPv4 literal to render all components in their top page. With 10,000 top sites, this number increases to 2%. 政府网站我们对4309个中国各级政府网 站统计显示,49.7%在其首页嵌 入IPv4地址链接,导致IPv6用户 访问失败 11.3%包含IPv4地址图片,导致本 页面异常站点数量多 规模小 内容升级缓慢解决方案:应用层网关传统方法的困难 应用层协议种类繁多,格式多样 许多应用使用私有协议,无法制定ALG 标准应用层网关 解决跨层问题:对应用层内容进行修 改 需要针对特
7、定协议设计不同的应用层 网关 FTP ALG: RFC 6384是否有一种更 通用通用的应用层 翻译方法?翻译器部署场景ICP NetworkIPv4 ServerIPv4 InternetIPv6 ISP NetworkIPv6 InternetIPv4ISP-side TranslationICP-side TranslationIPv6/NAT64 UserDNS64IPv6 ISP NetworkIPv6-Only UserIPv4IPv6IPv6IPv4GALTNAT64ISP侧翻译 传统网络层翻译技术主要针对翻译器位于 ISP网络的场景 为应用层处理带来困难 需要同时支持多种协议的
8、应用层翻译 无法支持ICP私有协议,无法灵活制定翻译规则ICP侧翻译 针对特定ICP应用,易于 进行灵活、复杂的内容 翻译 只需支持特定的少量协 议报告提纲通用翻译器设计23研究背景1实验室简介11设计目标及思路设计思路主动配置协议格式 协议格式自动分析无法保证正确性 需要为每个协议提供协议格式配置 基于每报文处理 许多情况下,IPv4/IPv6翻译工作较为简单 (局部修改) 基于每报文处理以提高效率,降低对proxy的要求设计目标面向ICP侧的应用层翻译 由ICP控制及配置 将IPv4服务对外转换为IPv6或双栈 能够支持多种协议,易于支持新 协议,减少重复工作ICP网络IPv4服务器IPv
9、6互联网IPv6用户IPv6 报文应用层翻 译网关IPv4 报文系统架构设计 主要模块:协议解析器生成及应用层报文处理引 擎报文输出报文输入报文修改器报文处理引擎报文处理引擎解析器生成解析器生成协议解析器GALANG 协议描述语言流状态管理NAT64网络层翻译TCP流管理协议分类器修改算法可在线性时 间内高效修改报文针对TCP流进行优 化,提高处理性能根据网络层、传输 层与应用层内容对 报文智能分类集中管理每流状态, 含NAT64状态及应 用层处理状态采用通用协议描述 语言对协议格式、 翻译规则进行描述由协议描述自动生成 可执行解析器,对报 文内容进行解析,并 生成修改操作通用协议解析Inte
10、rmediate RepresentationLexical RulesGrammarC+ ParserGALANG DescriptionlexyaccExecutable ParserInput from operator协议解析语言通过统一的协议描述语言,描述协议格式及翻译规则 语言基于lex/yacc,采用巴科斯范式 (BNF),嵌入C代码执行特定操作支持的协议格式多样,报文处理操作灵活 针对IPv4/IPv6翻译,对语法进行简化,相比传统lex/yacc方式,协议描 述大大缩短大量减少正则表达式与C代码的书写,易于学习解析器生成由管理员指定的协议描述,自动 生成协议解析器的可执行代码
11、对简化的协议描述自动补全词法、语 法规则,进而通过lex/yacc生成C+代 码通用协议解析 SIP example词法规则(正则表 达式)自动生成简化特定TAG 处理方式提供简化的翻译 操作指定方式报文处理报文解析通过自动生成的协议解析器对 报文解析自动找出所有待修改的字段, 并给出修改目标值报文修改通过一个线性时间修改算法, 实现对报文内容的高效修改TCP处理缓存操作对于重复包,跳过解析,直接应 用修改 缓存报文对于跨报文字段,缓存上一个报 文,当收到下一个报文后一并修 改原型系统实现协议协议GALANG描述长度描述长度flex/bison描述长度描述长度FTP1461HTTP25125S
12、IP16103 我们在Linux平台实现了翻译器原型系统 核心系统约9000行C+代码 包含有状态NAT64模块,应用层报文处理引擎,及协议解析器生成 模块 设计了FTP, HTTP, SIP解析及翻译规则 FTP,SIP: 支持数据流创建 HTTP: URL转换 对应关系已知:IPv4地址转IPv6地址 对应关系未知:IPv4地址转域名描述文件相比 原方法简化80%实验测试每秒请求数接近纯 NAT64处理处理带宽达到 1Gbps报文处理延迟较小 应用层翻译器对于FTP、SIP及HTTP可以正确地进行内容翻 译 性能良好,相对于纯网络层翻译额外代价较小总结 在IPv6过渡阶段,跨协议网络访问是
13、重要需求 纯网络层翻译无法全面支持现有协议 ICP侧应用层翻译有助于短期内提供IPv6支持,保 证现有服务的访问质量 通用协议描述提供了简单易行的协议格式描述与翻译 规则配置方法 轻量级报文处理引擎支持灵活、高效的报文处理及修 改 通过真实系统测试,证明了系统正确、高效报告提纲实验室简介32研究背景1通用翻译器设计20欢迎大家交流合作实验室负责老师:崔勇 教授 () IETF工作组主席,中国通标协理事、副主席 教育部新世纪人才和北京市科技新星 发表100多篇学术论文,50余项国家发明专利授权 实验室研究方向 下一代互联网与IPv6 无线移动互联网 互联网安全 近期研究成果 Dynamic Al
14、location of Shared IPv4 Addresses, RFC 7618, 2015.8 Lightweight 4over6: An Extension to the Dual-Stack Lite Architecture, RFC 7596, 2015.7 DHCPv4-over-DHCPv6 (DHCP 4o6) Transport, RFC 7341, 2014.8 Handling Unknown DHCPv6 Messages, RFC 7283, 2014.7 Yong Cui, Zeqi Lai, Xin Wang, etc. QuickSync: Improving Synchronization Efficiency for Mobile Cloud Storage Services, MobiCom 15, 2015 Yong Cui, Yuchi Chen, Jiangchuan Liu, etc. State Management in IPv4 to IPv6 Transition, accepted by IEEE Network, 2014.8. (SCI IF 3.720)谢谢!
