[发明专利]实现IPv6私网节点与公网节点之间通信的方法及路由转发设备

说明书

技术领域

本申请涉及网络节点通信技术领域，尤其涉及实现IPv6私网节点与公网节点之间通信的方法及路由转发设备。

背景技术

IPv6（互联网协议第六版）因其巨大的地址空间正逐步走向实用，虽然地址空间很大，但并不意味着网络内的IPv6地址都可以对外公开，即IPv6网络中也存在着私网的现象，如本地站点地址的应用。如何在实现IPv6私网节点与公网节点之间通信的同时，可以隐藏IPv6私网中各节点的IP地址不被公网所获知，而安全地用于私网内部的数据交换，在需要的时候又可以安全地同公网进行互通，使私网节点免受外部网络的攻击，是将来IPv6应用中需要解决的问题。

目前，在IPv4（互联网协议第四版）网络中是通过NAT（Network AddressTranslation，网络地址转换）来实现私网节点与公网节点之间的通信，并可以对私网节点IP地址进行隐藏，以保护私网节点免受外部网络的攻击，但这种解决方案仅以增强的网络状态作为补充，而忽略了IP地址端对端的重要性。结果是，由于存在NAT设备，由IPSec（Internet协议安全性）保证的端对端IP网络级安全无法应用到终端主机。如果在IPv6网络中也这样应用，必然影响IPv6端对端通信的便利。

此外，当存在NAT时，TCP/IP协议过程将发生变化，会影响数据包传输的安全性。一般在TCP/IP协议体系中，如果一个路由转发设备出现故障，不会影响到TCP协议的执行，因为只要几秒收不到应答，发送进程就会进入超时重传处理，而当存在NAT时，TCP/IP协议过程将发生变化，一些需要初始化从外部网络建立的TCP连接、和使用无状态协议（比如用户数据报协议UDP）的服务将被中断。除非具有NAT功能的路由转发设备作一些特别的处理，否则转发来的数据包将不能到达正确的目的地址。所以，如果将NAT应用在IPv6网络中，将会影响数据报文传输的安全性。

因此，在一个具有NAT功能的路由转发设备下的主机并没有建立真正的端对端连接，并且不能参与一些因特网协议，若将NAT应用于IPv6网络，会影响IPv6端对端通信的便利，也会影响数据报文传输的安全性，使得现有IPv4网络中通过NAT转换来实现IPv6私网节点与公网节点之间通信的方法并不适用于IPv6网络。

当IPv6网络日益成熟后，在IPv6私网节点与公网节点之间进行通信时，出于对私网安全的考虑，需要隐藏私网节点的IP地址，使得公网的攻击者无法确定私网节点的IP地址，从而无法发起有效的攻击，但目前还没有一种实现IPv6私网节点与公网节点之间通信的方案，可以有效隐藏IPv6私网节点的IP地址，以保护IPv6私网节点免受外部网络的攻击。

发明内容

有鉴于此，本申请提出一种实现IPv6私网节点与公网节点之间通信的方法，可以实现IPv6私网节点与公网节点之间进行数据交互，并有效保护私网节点免受外部网络的攻击。

本申请还提出一种路由转发设备，可以实现IPv6私网节点与公网节点之间进行数据交互，并有效保护私网节点免受外部网络的攻击。

为达到上述目的，本申请实施例的技术方案是这样实现的：

一种实现IPv6私网节点与公网节点之间通信的方法，包括：

路由转发设备接收到来自IPv6私网节点的报文，当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时，从所述路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀；所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀；

所述路由转发设备发送包含有所述地址前缀及其有效时间的路由器公告RA给所述私网节点；所述RA用于触发所述私网节点利用RA中的地址前缀，通过无状态自动地址配置，生成可聚合全球单播地址，所述可聚合全球单播地址用于所述私网节点与公网节点之间进行数据交互。

一种路由转发设备，包括：报文接收模块、地址前缀处理模块和路由器公告RA发送模块，其中：

报文接收模块，用于接收来自IPv6私网节点的报文；

地址前缀处理模块，用于当所述报文的源IP地址为私网地址、且目的IP地址为公网地址时，从本路由转发设备对应接口上配置的公网IPv6地址中选择一个IPv6地址并将其地址前缀作为所述私网节点访问公网时使用的地址前缀；所述地址前缀不同于所述私网节点前一次访问公网时使用的地址前缀；