IPv6协议及安全浅谈

在IPv4网络中，NAT有无可取代的作用，通过NAT技术，内网主机实现了互联网访问的需求。在IPv6过渡技术中，NAT技术也有一席之地。NAT64一般与DNS64协同工作，不需要在IPv6客户端或IPv4服务器端做任何修改，实现不同网络之间互访。

NAT64：如名字所示，NAT64是一种网络地址与协议转换技术，通过地址翻译，实现IPv6节点访问IPv4网络。与NAT一样，NAT64也支持静态映射，实现IPv4网络主动发起连接访问IPv6网络。NAT64可实现TCP、UDP、ICMP协议下的IPv6与IPv4网络地址和协议转换。

DNS64：DNS64服务器本身也是是双栈主机，当IPv6主机向DNS64服务器查询域名时，如果所查询的域名没有AAAA记录，，则DNS64会将A记录(IPv4地址)合成到AAAA记录(IPv6地址)中，然后返回合成的AAAA记录用户给IPv6侧用户。

注：以下内容引用：http://bbs.ruijie.com.cn/thread-33426-1-1.html

NAT64和DNS64的流程如下：

1. IPv6主机发起到DNS64 server的IPv6域名解析请求(主机配置的DNS地址是DNS64)，解析域名为www.abc.com;
2. DNS64触发到DNS server中查询IPv6地址;
3. 若能查询到则返回域名对应的IPv6地址，若查询不到，则返回空;
4. DNS64再次触发到DNS server中查询IPv4地址;
5. DNS server返回www.abc.com的IPv4记录(192.168.1.1);
6. DNS64合成IPv6地址(64::FF9B::192.168.1.1)，并返回给IPv6主机;
7. IPv6主机发起目的地址为64::FF9B::192.168.1.1的IPv6数据包;由于NAT64在IPv6域内通告配置的IPv6 Prefix，因此这个数据包转发到NAT64设备上;
8. NAT64执行地址转换和协议转换，目的地址转换为192.168.1.1，源地址根据地址状态转换(3ffe:100:200:1::1)->(172.16.1.1);在IPv4域内路由到IPv4 server;
9. IPv4数据包返回，目的地址为172.16.1.1;
10. NAT64根据已有记录进行转换，目的地址转换为3ffe:100:200:1::1，源地址为加了IPv6前缀的IPv4 server地址64::FF9B::192.168.1.1，发送到IPv6主机，流程结束。

5、IPv6 安全

就IPv6安全性而已，尽管在设计之初就引入了安全的设计理念，如认证、加密扩展头部，结构化的地址规划等。但是IPv6本身设计上也不断进行更新，不同时期的实现都有所差异。如下图，类似NDP就有过几次变化。

(图片来源：https://www.blackhat.com/docs/sp-14/materials/arsenal/sp-14-Schaefer-Workshop-Slides.pdf)

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!