32 福 建 电 脑 2005年第 12期
DSTM过渡技术在下一代互联网络中的应用
吴文宣
(仰恩大学网络中心 福建 泉州 362014)
前言 :
互联网已经成为现代社会最重要的信息基础设施之一 .成
为语音、数据和视频等业务统一承载的网络。然而,随着应用的
普及化、商用化和宽带化。目前互联网技术存在的不足和缺陷正
逐渐暴露出来 ,成为进一步发展的瓶颈。为此 ,业界都在探讨和
实施向下一代互联网(NGI)的过渡和发展问题。然而,如何实现
IPv4/IPv6无缝隙过渡是一个相当复杂的技术问题.目前业界已
经提出了许多种不同的方法来解决这个问题 ,这包括双栈、SI.
IT、NA'l'__trl"、SOCKS64、BIA、Tunnel Broker、DSTM、6to4和 BIS等
等一系列过渡技术 .这些方法各 自适用于过渡过程中的不同情
况。下面我要谈的是一种比较具有代表性的过渡技术一 DSTM。
一
、DSTM 简述
应用双协议栈机制 DSTM (Dug Stack Transition Meeha.
nism)的目标在于解决纯 IPv6网络中的主机与其他 IPv4主机或
应用的连接问题.是使 IPv6节点与 IPv4节点兼容的最直接方
式 ,它的出发点是提供 IPv6节点一个获得 IPv4地址的方式 .从
而使之能够与纯 IPv4节点或者 IPv4应用程序通信。DSTM技术
通过使用 IPv4一over—IPv6隧道.实现了 IPv4流量在纯 IPv6网上
的传输.同时也提供一个为 IPv6/IPv4双栈节点分配临时 IPv4
地址的方法。
二、DSTM体系结构
图 l DSTM的体系结构
DSTM的体系结构 (如图 l所示)中包括三个主要组成部
分:DSTM服务器、网关O'EP)和一系列 DSTM节点。图 l中的的
DSTM服务器负责为 Ipv6网络中的主机分配和管理临时的 Ipv4
地址。分配地址的方法比较简单 .只要保证地址在本网络范围内
的唯一性就可以.为了减少对 Ipv4地址的需求.DSTM服务器可
以结合主机的端El为不同的主机分配同一个 Ipv4地址.这类似
Ipv4的 NAT IP地址转换功能。此外,DSTM服务器还需要维持
已经分配的 Ipv4地址和 Ipv6主机的 Ipv6地址之间的映射关
系。DSTM服务器分配给 Ipv6主机的 lpv4地址在一定的时间内
收回,如果主机还需要 ,必须重新中请。另一方面,DSTM服务器
和内部节点的通信必须使用 Ipv6协议.DSTM服务器可以提供
对节点请求的认订E。
图 I中的 Ipv6节点拥有 Ipv6和 Ipv4双协议栈、DSTM的客
户端程序和 Ipv4一Over—Ipv6的转换接 口。DSTM节点之间通信
时,由于全部在 Ipv6域内部 ,不需要使用 Ipv4的地址。DSTM节
点可以从以下的几方面检测到它何时将需要一个 Ipv4的节点:
(I)当 DNS查询结构返回一个 Ipv4地址时 :
(2)当一个应用程序打开一个 Ipv4的套接字时:
(3)或者一个 Ipv4的包已经发出,而没有得到接El的处理
时。
DSTM节点发送第一个 Ipv4包的时候.DSq’M的客户端程
序必须和 DSTM服务器联系.得临时的Ipv4地址和 TEP的 Ipv6
地址。将 Ipv4包封装在 Ipv6中的工作山 Ipv4一over—Ipv6 Inter.
face完成。
图 I中的TEP(Tunnel End Point)设备就是上面说明的网关
设备.它负责将内部封装在 Ipv6包中的 Ipv4包解封和将 Ipv6
网络外部进来的Ipv4包封装在 Ipv6包中。『l1于在 DSq’M域巾没
有 lpv4的路山器.所以 DSTM节点向 Ipv4发送的 Ipv4包必须
先封装在 Ipv6包中,发送到 rrEP设备.再m该设备去掉 Ipv6的
包头.转发到 Ipv4的网络中去。
三、DSTM通信过程
DSTM节点与 IPv4通信的过程如下:
lPv6l'wa~
lPv4 t ader
图2 DSTM通信过程
·DSTM节点向DSTM服务器淆求一个临时的IPv4地址。
·DSTM服务器在地址池中为该 DSTM节点保留一个 IPv4
地址 .并在应答消息中将该地址和地址的有效时间以及有关
DSTM网关(也就是 TEP)的信息发送给 DSTM节点。
·DSq’M节点使用中请来的地址配置其 IPv4堆栈 .并将所有
IPv4包都通过 lPv4-over-IPv6隧道送到 DSTM网关。
·DSTM网关将包拆封成 IPv4包发送出去。DSTM网关保留
一 个含有 intranet主机 IPv4和 IPv6地址的映射表 .并利用此映
射表来执行 IPv4包的封装和拆封。为保证双向通信,IPv4路由
必须要确保任何发往目的地的任何包都经过网关。
四、DSTM节点要求
网络上的每个主机都需要有一个 DSTM主机应用。现在,已
经有支持 FreeBSD、Linux和 Microsofl Windows 2000的 DSTM主
机应用。主机有 IPv6连接能力 ,因此在不需要进行 IPv4通信时
也可以有纯 IPv6应用。
1、IPv4协议栈的配置
当第一个 IPv4包需要发送时,DSTM客户机不管通过什么
方式 .必须与 DSTM服务器取得联系。随后,客户机从服务器那
里获得一个临时的 IPv4地址以及一个 TEP的IPv6地址。如果
允许的话.服务器还可以提供所使用的端 El范围。这些信息都用
来进行 Ipv4overlpv6接El的配置。只有 Ipv4ovedpv6的隧道接El
配置后 .IPv4协议栈的配置才宣告完成。
2、IPv4包转发
由于没有 IPv4路由设施 .DSTM节点不能直接在网络上发
送 IPv4包.所以 DSTM节点必须能建立与隧道端点 TEP之问的
Ipv4orerIpv6隧道。DSTM节点将 IPv4包封装进 IPv6包后,再通
过该隧道发给隧道端点 TEP(rrEP可以看作是一个特殊的 DS'I’M
节点 ).rrEP完成拆封工作后再将它们转发到 IPv4网络上。
在 DSTM节点上 .封装工作是山 Ipv40verlpv6接 El完成的。
所有的 IPv4流量都可以通过一个 IPv4路由表项指向这个接El。
具体的 IDv40verIpv6接El和有关路由表项要视应用而定。
3、DSTM 节点中 IPv4包的处理
为了保证 IPv4的连通性.在纯 IPv6域中的节点必须能动态
配置他们的IPv4栈(通过向服务器请求临时地址)。
当需要发送 IPv4包时.DSTM节点会把包交给 lpv40verlpv6
维普资讯
2005年第 12 期32 福建电脑
DSTM过渡技术在下一代互联网络中的应用
州泉
。且税文
4
吴机
络网学大回巴仰
前言:
互联网已经成为现代社会最重要的信息基础设施之一,成
为语音、数据和视频等业务统一承载的网络。然而,随着应用的
普及化、商用化和宽带化,目前互联网技术存在的不足和缺陷正
逐渐暴露出来,成为进一步发展的瓶颈。为此,业界都在探讨和
实施向下一代互联网 (NGI)的过渡和发展问题。然而,如何实现
IPv4/1Pv6 元缝隙过渡是一个相当复杂的技术问题,目前业界已
经提出了许多种不间的方法来解决这个问题,这包括双枝、,SI剖1-
I町T、川NA'川Tι、'-p肝r 、SOCKS6ω4、B剧IA 、,Tu
等一系列过渡技术.这些方法各自适用于过渡过程中的不同情
况。下面我要谈的是一种比较具有代表性的过渡技术一-DSTM 。
一、DSTM 简述
应用双协议找机制 DSTM (DuaI Stack Transítíon Mecha-
nísm)的目标在于解决纯 IPv6 网络中的主机与其他 IPv4 主机或
应用的连接问题,是使 IPv6 节点与 IPv4 节点兼容的最直接方
式,它的出发点是提供 IPv6 节点一个获得 IPv4 地址的方式,从
而使之能够与纯 IPv4 节点或者 IPv4 应用程序通信。 DSTM 技术
通过使用 IPv4-over-IPv6 隧道实现了 IPv4 流量在纯 IPv6 网上
的传输,同时也提供一个为 IPv6/1Pv4 双枝节点分配临时 IPv4
地址的方法。
二、DSTM 体系结构
图 1 DSTM 的体系结构
DSTM 的体系结构(如图 l 所示)中包括三个主要组成部
分: DSTM 服务器、网关(I'EP)和一系列。STM 节点。图 l 巾的的
DSTM 服务器负责为 Ipv6 网络中的主机分配和管理临时的 Ipv4
地址。分配地址的方法比较简单,只要保证地址在本网络范围内
的唯一性就可以,为了减少对 Ipv4 地址的需求,DSTM 服务器可
以结合主机的端口为不同的主机分配同一个 Ipv4 地址,这类似
Ipv4 的 NAT IP 地址转换功能。此外,DSTM 服务器还需要维持
已经分配的 Ipv4 地址和 Ipv6 主机的 Ipv6 地址之间的映射关
系。 DSTM 服务器分配给 Ipv6 主机的 Ipv4 地址在一定的时间内
收回,如果主机还需要,必须重新申请。另一方面,DSTM 服务器
和内部节点的通信必须使用 Ipv6 协议, DSTM 服务器可以提供
对节点请求的认证。
图 I 中的 Ipv6 节点拥有 Ipv6 和 Ipv4 双协议枝、DSTM 的客
户端程序和 Ipv4-over-Ipv6 的转换接口。 DSTM 节点之间通信
时,由于全部在 Ipv6 域内部,不需要使用 Ipv4 的地址。 DSTM 节
点可以从以下的几方面检测到它何时将需要一个 Ipv4 的节点:
(I)当 DNS 查询结构返回一个 Ipv4 地址时:
(2) 当一个应用程序打开一个 Ipv4 的套接字时:
(3) 或者一个 Ipv4 的包已经发出.而没有得到接口的处理
时。
DSTM 节点发送第一个 Ipv4 包的时候,DSTM 的客户端程
序必须和 DSTM 服务器联系,得临时的 Ipv4 地址和 TEP 的 Ipv6
地址。将 Ipv4 包封装在 Ipv6 中的工作出 Ipv4-over-Ipv6 Inter-
face 完成。
图 I 巾的 TEP(Tunnel End Poínt)设备就是·上面说明的网关
设备,它负责将内部封装在 Ipv6 包中的 Ipv4 包解封初将 Ipv6
网络外部进来的 Ipv4 包封装在 Ipv6 包中。由于在 DSTM 域中没
有 Ipv4 的路Ell器,所以 DSTM 节点向 Ipv4 发迭的 Ipv4 包必须
先封装在 Ipv6 包巾,发送到 TEP 设备,再由该设备去掉 Ipv6 的
包头,转发到 Ipv4 的网络中去。
三、DSTM 通信过程
DSTM 节点与 IPv4 通信的过程如下:
图 2 DSTM 通信过程
• DSTM 节点向 DSTM 服务器请求一个临时的 IPv4 地址。
• DSTM 服务器在地址池中为该 DSTM 节点保留一个 IPv4
地址,并在应答消息中将该地址和地址的有效时间以及有关
DSTM 网关(也就是 TEP)的信息发送给 DSTM 节点。
• DSTM 节点使用申请来的地址配置其 IPv4 堆枝,并将所有
IPv4 包都通过 IPv4-over-IPv6 隧道送到U DSTM 网关。
• DSTM 网关将包拆封成 IPv4 包发送出去。 DSTM 网关保留
一个含有 ìntranet 主机 IPv4 和 IPv6 地址的映射表,并利用此映
射表来执行 IPv4 包的封装和拆封。为保证双向通信, IPv4 路出
必须要确保任何发往目的地的任何包都经过网关。
四、DSTM 节点要求
网络上的每个主机都需要有一个 DSTM 主机应用。现在,已
经有支持 FreeBSD 、Lìnux 和 Mícrosoft Wíndows 20∞的 DSTM 主
机应用。主机有 IPv6 连接能力,因此在不需要进行 IPv4 通信时
也可以有纯 IPv6 应用。
1 、 IPv4 协议我的配置
当第一个 IPv4 包需要发送时,DSTM 客户机不管通过什么
方式,必须与 DSTM 服务器取得联系。随后,客户机从服务器那
里获得一个临时的 IPv4 地址以及一个 TEP 的 IPv6 地址。如果
允许的话,服务器还可以提供所使用的端口范围。这些信息都用
来进行 Ipv4overIpv6 接口的配置。只有 Ipv4overIpv6 的隧道接口
配置后,IPv4 协议桔的配置才宣告完成。
2 、 IPv4 包转发
由于没有 IPv4 路由设施, DSTM 节点不能直接在网络上发
送 IPv4 包,所以 DSTM 节点必须能建立与隧道端点 TEP 之间的
Ipv4overIpv6 隧道。 DSTM 节点将 IPv4 包封装进 IPv6 包后,再通
过该隧道发给隧道端点 TEP(TEP 可以看作是一个特殊的 DSTM
节点儿TEP 完成拆封工作后再将它们转发到 IPv4 网络上。
在 DSTM 节点上,封装工作是由 Ipv40verIpv6 接口完成的。
所有的 IPv4 流量都可以通过一个 IPv4 路由表项指向这个接口。
具体的 Ipv40verIpv6 接口和有关路由表项要视应用而定。
3 、 DSTM 节点中 IPv4 包的处理
为了保证 IPv4 的连通性,在纯 IPv6 域中的节点必须能动态
配置他们的 IPv4 枝(通过向服务器请求临时地址)。
当需要发送 IPv4 包时, DSTM 节点会把包交给 Ipv40verIpv6
2005年第 12期 福 建 电 脑 33
接 El。如果 lpv4overlPv6接口还没有配置(也就是还没有 IPv4地
址 ),处理过程就暂时停在这里.然后节点与 DSTM服务器联系
请求获得一个临时地址。一旦得到 IPv4地址 .所有通过该
IPv4overlpv6接LI转发的包都以这个临时地址作为 IPv4源地
址 ,IPv4包的其他域正常处理。
4、IPv6数 据 包结构
当 lpv4overlpv6接口将 IPv4包封装剑 IPv6包巾.它必须确
定 IPv6包的目的地址。通常这个地址是 rrEP地址。在 DSrrM节
点处。TEP地址_口』以是静态配置的.也可以是节点获得 IPv4地
址时从 DS FM服务器动态获得的。
TEP的 IPv6地址必须在 DS'I’M节点接受临时 IPv4地址时
r}j DS'I’M服务器提供。不过在使用 DSTM早期.也可以手工配置
DSq’M节点的 FEP,这种方法不宜推广使用.也不推荐作为长期
解决方案。
封装 IPv4的包时,Next header type域填 4。当隧道包到达
IPv6终点,IPv6包头被去掉,lfj IPv4栈来处理解封后的包。然后
TEP将使用普通 IPv4的方法来转发拆封后得到的 IPv4包。TEP
应该缓存这种 IPv4和 IPv6源地址的对应关系。
一 个封装包的 IPv6源地址应该是发送该 IPv6包的物理接
El的 IPv6地址。
五、DSTM服务器要求
DTSM服务器必须要记录中请地址的节点的 IPv6地址和临
时分配给它的 IPv4地址之问的对应关系。服务器分配出去的地
址都有一个使用期限,服务器把这个期限包含在回复给节点的
应答中。如果客户机需要长时间使用 IPv4地址,就得申请地址
续租了。
DSTM服务器负责 IPv4地址池分配。系统管理员耍确定地
址池。隧道端点 EP)IPv6地址的配置必须在 DSTM服务器上进
行。
在 IPv4的路山方面,必须保证 DSTM服务器所管理的 IPv4
全球地址池 ,能被路【I1到一个或多个此 DSTM域中的TEP。当分
配一个地址给 DSTM节点时.服务器消息应该包括TEP的 IPv6
地址。并且当TEP不能动态建立映射或者因为安全原因取消动
态映射.DSTM服务器可以负责配置TEP中的IPv4/IPv6映射
表。
DSTM的客户端和服务器的通信必须是 IPv6方式。DSTM
服务器也可以在没有客户端请求的情况下分配临时 IPv4地址。
DTSM服务器应该能够对 DTSM客户端进行认证。
六、DSTM实现 Ipv4向 Ipv6过渡阶段的相互通信的优点:
l、协议对网络是透明的。山于 IPv4包被完全封装在 Ipv6
中,所以在 Ipv6的网络中。不需要 Ipv4的路山器。
2、协议对应用程序是透明的。在双协议栈主机上的应用程
序和在 Ipv4上的应用程序一样.不需要进行任何修改 。
3、DHCPv6允许动态的分配 lpv4的地址。
4、没有新的协议。一切都足在已有协议的基础上实现。
5、山于没有 Ipv4路山器,网络容易管理。
七、DSTM实现 Ipv4向 IPv6阶段的相互通信的缺点:
l、不支持不对称路径。从 Ipv4节点返回的数据必须经过相
同的TEP设备,否则将不能正确到达 Ipv6的节点。因为只有哪
个节点保存这次通信才地址对应关系。
2、由于存在一定的网络延迟,可能不满足对实时业务的支
持。
3、还需要一定量的Ipv4地址,分配给 Ipv6节点,因此仍不
能完全很好地解决 IPv4地址资源不足的问题。
八、DSTM安全策略
DSTM机制可以使用所有已经定义的安全规范。对于 DNS,
可以使用 DNS安全扩展厦 新。而在地址分配方面,当连接是由
DsTM节点触发时,冈为 DSTM是一个 Intranet环境,所以对地
址池的 DoS危险是也很有限。Intranet DSTM中,如果布署了
DHCPv6.则可以使用 DHCPv6认证消息,而且由于TEP都位于
lntranet中,他们不作为开放的中继。最后.对于 DSTM节点的
1Pv4通信,一旦节点具有 1Pv4地址 ,IPsec就能被使用 。因此
DSTM不会破坏在任何点的端到端的通信安全。
1、控制有权接入业务的人
·在 DSTM服务器上过滤
对网络管理员来说。确保使用 DSTM服务器的主机允许控
制有权接人该业务的人非常重要。下面的过滤策略就应该应用
到 DSTM服务器上:
allow ipv6 tunnel
—
request from allowed
—
hosts to DSq’M
—
serve r
allow ipv6 tunne1
.
request from DSTM
—
server to TEP
allow ipv6 tunnel
_
reply from DSTM
—
server to allowed
— —
hosts
allow ipv6 tunnel
— .
delete from DSTM
—
server to allowed hosts
allow ipv6 tunne1
—
delete from DSTM
—
server to TEP
deny ipv6from any to any
·认证
现在还没有使用认证。因为基于 RCP的应用不支持认征。
将来计划使用隧道配置协议 (TSP)和 DHCPv6的应用应该支持
认证。
2 DTI(动态隧道接 口)问题
目前 .ENST提供的 DSTM应用需要 DSTM服务器和 TEP
在同一台机器上来保证 TEP上的隧道与服务器的分配相一致。
这些 DSrrM应用主要是基于 RPC的。现在.已经有了一些用于
服务器和 TEP之间建立隧道的通信协议的实际应用 ,虽然有些
只是预见性的想法(rsP and DHCPv6)。
如果 TEP与 DSTM服务器在物理上不是安装在同一台主
机上.那么它就使用动态隧道接口(DTI)来建立隧道。这个机制很
简单:当TEP收到有协议 Ipv4的 IPv6包he(也就是携带 IPv4包
的数据).它就 自动使用包内携带的信息(IPv6和 IPv4源和 目的
地址)创建一个 IPv4 in IPv6隧道。注意,这种情况下还没有方法
检查 rrEP所建立的隧道与 DSTM服务器的分配的对应关系.这
一 点非常重要。可能会出现下面的情况:一个主机(A)被分给一
个 IPv4地址与 IPv4网络通信使用用 TEP的 DTI创建的 IPv4
over IPv6隧道 .如果另一个主机(B)使用与 A相同的 IPv4源地
址发了一个 IPv4 in IPv6的包 .TEP和 A之问的隧道就会被破
坏掉了而备 TEP和 B之间的隧道所代替。这个弱点可能会被用
于地址欺骗攻击。不过目前正在考虑是否可以通过使用认证头
(AH)协议来解决这个问题。
3、网络中的过滤策略
支持 DSTM业务的 IPv6网络 中的所有设备都必须允许
IPv4按照 IPv4 in IPv6隧道方式传输。
4、监控
为了监控一个 DSTM激活的网络,系统管理员应该监测在
TEP上创建的隧道和 DSTM服务器所做的分配。系统应该能检
查与 DSTM服务器所做分配相对应的隧道.并在出现错误时发
出警告消息。
Jk,总结
在 IPv6成为整个网络世界的主流,Ipv6“海洋”和 Ipv4“小
岛”并存的情形下 ,采用 DSTM都可以很好地解决 Ipv4/Ipv6过
渡方面的诸多技术问题。虽然目前 DSTM技术还不是很成熟,尤
其是在安全方面还有许多问题值得探讨,但是通过使用 DsrrM
技术.可以明显地减少对 IPv4地址的需要、可以使 IPv4的应用
不需要进行修改就能直接运行在 IPv6主机上、不需要对 IPv4进
行任何管理、可以透明地转发任何类型的协议和应用。也正是由
于这种方法有着诸多的优点,所以它才 13益引人注 目。随着
DSTM技术的13益成熟.相信它能够在 IPv4/1Pv6过渡方面发挥
更大的作用.为 Ipv4过渡到 Ipv6的下一代互联网提供支持与服
务。 ‘
维普资讯
2005年第 12 期 福建电脑 33
接口。如果 lpv40verlPv6 接口还没有配置(也就是还没有 lPv4 地
址),处理过程就暂时停在这里,然后节点与 DSTM 服务器联系
请求获得一个临时地址 c 一旦得到 lPv4 地址,所有通过该
lPv40verlpv6 接口转发的包都以这个临时地址作为 lPv4 源地
·址, lPv4 包的其他域正常处理。
4 、 IPv6 数据包结构
当 lpv40verlpv6 接口将 lPv4 包封装到 lPv6 包巾,它必须确
定 lPv6 包的目的地址。通常这个地址是 TEP 地址。在 DSTM 节
点处,TEP 地址可以是静态配置的,也可以是节点获得 lPv4 地
址时从 DSTM 服务苦苦动态获得的。
TEP 的 lPv6 地址必须在 DSTM 节点接受临时 lPv4 地址时
巾 DSTM 服务{.~提供。不过在使用 DSTM 早期,也可以手工配置
DSTM 节点的 TEP,这种方法不宜推f使用,也不推荐作为长期
解决方案。
封装 lPv4 的但时, Nexl header Iype 域填 40 当隧道包到达
lPv6 终点, lPv6 包头被去掉, 10 lPv4 校来处理解封后的包。然后
TEP 将使用普通 lPv4 的方法来转发拆封后得到的 lPv4 包。 TEP
应该缓存这种 lPv4 和 lPv6 源地址的对应关系c
一个封装包的 lPv6 源地址应该是发送该 lPv6 包的物理接
口的 lPv6 地址。
五、DSTM 服务器要求
。TSM 服务器必须要记录申请地址的节点的 IPv6 地址和临
时分配给它的 lPv4 地址之间的对应关系。服务器分配出去的地
址都有一个使用期限,服务器把这个期限包含在回复给节点的
应答中。如果客户机需要长时间使用 lPv4 地址,就得申请地址
续租了。
DSTM 服务报负责 lPv4 地址池分配。系统管理员耍确定地
址池。隧道端点σEP) lPv6 地址的配置必须在 DSTM 服务器上进
行。
在 lPv4 的路由方面,必须保证 DSTM 服务榕所管理的 lPv4
全球地址池,能被路[11到一个或多个此 DSTM 域中的 TEP。当分
配一个地址给 DSTM 节点时,服务{.~消息应该包括 TEP 的 lPv6
地址。并且当 TEP 不能动态建立映射或者因为安全原因取消动·
态映射, DSTM 服务器可以负责配置 TEP 中的 lPv4/1Pv6 映射
表。
DSTM 的客户端和服务器的通信必须是 lPv6 方式。 DSTM
服务器也可以在没有客户端请求的情况下分配临时 lPv4 地址。
DTSM 服务器应该能够对 DTSM 客户端进行认证。
六、 DSTM 实现 Ipv4 向 Ipv6 过渡阶段的相互通信的优点:
l 、协议对网络是透明的。山于 lPv4 包被完全封装在 lpv6
中,所以在 lpv6 的网络中,不需要 lpv4 的路由器。
2、协议对应用程序是透明的。在双协议校主机上的应用程
序和在 lpv4 上的应用程序一样,不需要进行任何修改。
3 、 DHCPv6 允许动态的分配 lpv4 的地址。
4、没有新的协议,一切都是在已有协议的基础上实现。
5、由于没有 lpv4 路山器,网络容易管理。
七、DSTM 实现 Ipv4 向 IPv6 阶段的相互通信的缺点:
l 、不支持不对称路径。从 lpv4 节点返回的数据必须经过相
同的 TEP 设备,否则将不能正确到达 lpv6 的节点。因为只有哪
个节点保存这次通信才地址对应关系。
2、由于存在一定的网络延迟,可能不满足对实时业务的支
持。
3、还需要一定量的 lpv4 地址,分配给 lpv6 节点,因此仍不
能完全很好地解决 lPv4 地址资源不足的问题。
八、DSTM 安全策略
DSTM 机制可以使用所有已经定义的安全规范c 对于 DNS ,
可以使用 DNS 安全扩展/更新。 而在地址分配方面,当连接是由
DSTM 节点触发时,网为 DSTM 是一个 lnlranel 环境,所以对地
址池的 DoS 危险是也很有限c lnlranel DSTM 中,如果布署了
DHCPv6,则可以使用 DHCPv6 认证消息,而且由于 TEP 都位于
lnlranel 中,他们不作为开放的中继。最后,对于 DSTM 节点的
IPv4 通信,一且节点具有 IPv4 地址, lPsec 就能被使用,因此
DSTM不会破坏在任何点的端到端的通信安全。
1 、控制有权接入业务的人
·在 DSTM 服务<.n上过泼、
对网络管理员来说,确保使用 DSTM 服务<.n的主机允许控
制有权接入该业务的人非常重要。下面的过滤策略就应该应用
到 DSTM 服务器上:
allow ipv6 lunnel_requesl from aIlowed_hosls 10 DSTM_server
allow ipv6 lunnel_requesl from DSTM_server 10 TEP
allow ipv6 lunnelJeply from DSTM_server 10 allowed_hosls
aIlow ipv6 lunnel_delele from DSTM_server 10 aIlowed hosts
allow ipv6 lunnel_delele from DSTM_server 10 TEP
deny ipv6 from any 10 any
·认i正
现在还没有使用认证,因为基于 RCP 的应用不支持认证。
将来计划使用隧道配置协议口'SP)和 DHCPv6 的应用应该支持
认证。
2 DTI(动态隧道接口)问题
目前, ENST 提供的 DSTM 应用需要 DSTM 服务器和 TEP
在同一台机器上来保证 TEP 上的隧道与服务器的分配相一致。
这些 DSTM 应用主要是基于 RPC 的。现在,已经有了一些用于
服务器和 TEP 之间建立隧道的通信协议的实际应用,虽然有些
只是预见性的想法(fSP and DHCPv6)。
如果 TEP 与 DSTM 服务器在物理上不是安装在同一台主
机上,那么它就使用动态隧道接口 (DTI)来建立隧道。这个机制很
简单:当 TEP 收到有协议 Ipv4 的 IPv6 包时(也就是携带 IPv4 包
的数据讥它就自动使用包内携带的信息(IP丙和 IPv4 源和目的
地址)创建一个 IPv4 in IPv6 隧道。注意,这种情况下还没有方法
检查 TEP 所建立的隧道与 DSTM 服务榕的分配的对应关系,这
一点非常重要。可能会出现下面的情况:一个主机(A)被分给一
个 IPv4 地址与 IPv4 网络通信使用用 TEP 的 DTI 创建的 IPv4
over IPv6 隧道,如果另一个主机(B)使用与 A 相同的 IPv4 ì1草地
址发了一个 IPv4 in IP怖的包,TEP 和 A 之间的隧道就会被破
坏掉了而备 TEP 和 B 之间的隧道所代替。这个弱点可能会被用
于地址欺骗攻击。不过目前正在考虑是否可以通过使用认证头
(AH)协议来解决这个问题。
3、网络中的过滤策略
支持 DSTM 业务的 IPv6 网络中的所有设备都必须允许
IPv4 按照 IPv4 in IPv6 隧道方式传输。
4、监控
为了监控-个 DSTM 激活的网络,系统管理员应该监测在
TEP 上创建的隧道和 DSTM 服务器所傲的分配。系统应该能检
查与 DSTM 服务器所做分配相对应的隧道,并在出现错误时发
出警告消息。
八、总结
在 lPv6 成为整个网络世界的主流, Ipv6"海洋"和 Ipv4 ..小
岛"并存的情形下,采用 DSTM 都可以很好地解决 Ipv4/Ipv6 过
渡方面的诸多技术问题。虽然目前 DSTM 技术还不是很成熟,尤
其是在安全方面还有许多问题值得探讨,但是通过使用 DSTM
技术,可以明显地减少对 IPv4 地址的需要、可以使 IPv4 的应用
不需要进行修改就能直接运行在 IPv6 主机上、不需要对 IPv4 进
行任何管理、可以透明地转发任何类型的协议和应用。也正是由
于这种方法有着诸多的优点,所以它才日益引人注目。随着
DSTM 技术的日益成熟,相信它能够在 IPv4IIPv6 过渡方面发挥
更大的作用,为 Ipv4 过渡到 Ipv6 的下一代互联网提供支持与服
务。
