公网客户端访问私网服务器的方法及路由器技术

本发明专利技术提出公网客户端访问私网服务器的方法及路由器，应用于DS-Lite组网中。方法包括：AFTR接收公网客户端发来的数据报文，报文的目的IP地址为私网服务器的公网IPv4地址，AFTR根据目的IP地址，在自身配置的私网服务器的域名及公网IPv4地址中，查询对应的域名；AFTR根据查询到的域名，向双栈DNS查询对应的私网IPv4地址，并获得B4设备的IPv6地址，以查询到的私网IPv4地址替换报文的目的IP地址，以查询到的IPv6地址作为隧道目的地址，将报文发送出去。本发明专利技术实现了DS-Lite组网下，公网客户端对私网服务器的访问。

【技术实现步骤摘要】
公网客户端访问私网服务器的方法及路由器
本专利技术涉及双栈精简（DS-Lite，DualStackLite）
，尤其涉及DS-Lite组网下公网客户端访问私网服务器的方法及地址族转换路由器（AFTR，AddressFamilyTransitionRouter）。
技术介绍
随着互联网的发展，IPv4地址已经耗尽，IPv6网络终将取代现有的IPv4网络而成为互联网的骨干网络，然而出于成本、技术限制等诸多原因，目前以IPv4地址提供服务的互联网主机仍将在相当长的时间里存在，现有的IPv4服务仍然得继续提供。为了更好地平衡因特网服务提供商（ISP，InternetServiceProvider）进行网络部署的投入产出，出现了一种轻量级的双栈技术：DS-Lite技术，支持该技术的节点可同时运行IPv4和IPv6两套协议栈。它使得IPv4服务能继续提供，又鼓励了IPv6服务的扩张，并简化了部署过程。图1为现有的DS-Lite组网模型，如图1所示：在运营商局端部署AFTR，用户侧部署基本桥接宽带（B4，BasicBridgingBroadBand）设备，AFTR和B4设备之间使用IPv6地址进行通信；AFTR上建立一个一对多的IPv4overIPv6隧道，B4设备上建立一对一的IPv4overIPv6隧道，这样，一个AFTR可以同时连接多个B4设备；B4设备连接的客户端（Client）使用私网IPv4地址，不同的B4设备用户之间的IPv4地址可以重叠；当连接到B4设备的Client发起到公网服务器（Server）的IPv4连接时，B4设备为IPv4报文封装IPv6报文头，送到AFTR；AFTR解封装IPv6报文，记录该报文来自的B4设备的IPv6地址，取出内层的IPv4报文，进行网络地址转换（NAT，NetworkAddressTransformation），将私网IP地址转为公网IP地址，发到公网Server。公网Server回应的报文到达AFTR时，先进行NAT，将公网IP地址转换为私网IP地址，然后根据NAT表项中记录的B4设备的IPv6地址封装Ipv6头，送回给对应的B4设备，完成整个通信过程。同时，为了进一步简化配置，DS-Lite协议定义了一种动态主机配置协议（DHCPv6，DynamicHostConfigurationProtocolVersion6）选项，B4设备可以使用该选项自动获取AFTR的域名并进一步根据域名通过域名服务器（DNS，DomainNameServer）解析出AFTR的IPv6地址。现有的DS-Lite组网中的报文处理过程，其实现方案都是遵循DS-Lite协议，其具体过程如下：在B4设备上手工指定IPv4overIPv6隧道的源/目的IPv6地址；当B4设备下的IPv4Client向公网的IPv4Server发起请求时，B4设备的出接口以隧道源IPv6地址作为封装源地址，以AFTR的IPv6地址作为封装目的地址，将封装形成的IPv6报文发往IPv6网络，最终到达AFTR；AFTR解封装，然后进行NAT，将转换地址后的IPv4报文发给公网IPv4Server。DS-Lite在AFTR上的实现可以分为DS-Lite隧道（Tunnel）和DS-LiteNAT两部分，其中DS-LiteTunnel完成多个B4设备对应一个AFTR的IPv4inIPv6封装/解封装，DS-LiteNAT对解封装后的报文进行源IPv4地址转换的处理。AFTR上的会话记录了报文的源/目的IP地址、源/目的端口、协议以及DS-Litetunnel对等体（peer），其中，DS-Litetunnelpeer用于记录封装报文的IPv6地址。DS-Lite隧道建立之后，对于来自B4设备的隧道报文，在IPv4overIPv6隧道基础上，增加了根据封装后报文的源IP地址确定TunnelID并创建会话的处理；对于将要发往B4设备的IPv4报文，需要根据所属会话来确定封装的IPv6报文头的目的地址。只要报文能够匹配会话，就能找到NAT表项和DS-LiteTunnelPeer，即可依照会话进行处理。现有技术的缺点如下：DS-Lite隧道只支持用户网络内的IPv4Client主动访问因特网上的IPv4Server，即从B4设备端先发起连接，因特网上的IPv4Client不能主动访问用户侧网络。但实际的网络中，私网server对外提供服务也是很常见的使用场景，现有技术无法实现公网client主动访问私网server。
技术实现思路
本专利技术提供公网Client访问私网Server的方法及AFTR，以实现DS-Lite组网下，公网Client可以访问私网Server。本专利技术的技术方案是这样实现的：一种公网客户端访问私网服务器的方法，应用于双栈DS精简组网中，对于每个私网服务器，IPv6网络的双栈域名服务器DNS上配置有该私网服务器的域名及私网IPv4地址，地址族转换路由器AFTR上配置有该私网服务器的域名及公网IPv4地址，该方法包括：AFTR接收公网客户端发来的数据报文，该报文的目的IP地址为私网服务器的公网IPv4地址，根据报文的目的IP地址，在自身配置的私网服务器的域名及公网IPv4地址中查询得到对应的域名；AFTR根据查询得到的域名，向双栈DNS查询得到该域名对应的私网IPv4地址，并获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址；AFTR以获得的私网IPv4地址替换报文的目的IP地址，以自身的DS精简隧道的源物理接口的IPv6地址作为隧道源地址，以获得的IPv6地址作为隧道目的地址，对报文进行隧道封装，将报文发送出去。所述DS精简组网中，对于每个私网服务器，IPv6网络的双栈DNS上还同时配置有该私网服务器的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址；所述获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址包括：AFTR根据查询到的域名，向双栈DNS查询得到该域名对应的私网IPv4地址的同时，查询得到该域名对应的B4设备的DS精简隧道的源物理接口的IPv6地址。所述DS精简组网中，对于每个私网服务器，AFTR上还同时配置有该私网服务器的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址；所述获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址包括：AFTR根据查询得到的域名，在自身配置的私网服务器的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址中，查询得到该域名对应的B4设备的DS精简隧道的源物理接口的IPv6地址；或者，AFTR在根据报文的目的IP地址查询得到对应的域名时，在自身配置的私网服务器的域名、公网IPv4地址及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址中，同时查询得到对应的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址。所述AFTR接收公网客户端发来的数据报文之后、查询得到对应的域名之前进一步包括：AFTR判断是否已存在与该报文对应的会话，若是，则按照会话中的网络地址转换NAT后的目的I本文档来自技高网...

【技术保护点】
一种公网客户端访问私网服务器的方法，应用于双栈DS精简组网中，对于每个私网服务器，IPv6网络的双栈域名服务器DNS上配置有该私网服务器的域名及私网IPv4地址，地址族转换路由器AFTR上配置有该私网服务器的域名及公网IPv4地址，其特征在于，该方法包括：AFTR接收公网客户端发来的数据报文，该报文的目的IP地址为私网服务器的公网IPv4地址，根据报文的目的IP地址，在自身配置的私网服务器的域名及公网IPv4地址中查询得到对应的域名；AFTR根据查询得到的域名，向双栈DNS查询得到该域名对应的私网IPv4地址，并获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址；AFTR以获得的私网IPv4地址替换报文的目的IP地址，以自身的DS精简隧道的源物理接口的IPv6地址作为隧道源地址，以获得的IPv6地址作为隧道目的地址，对报文进行隧道封装，将报文发送出去。

【技术特征摘要】
1.一种公网客户端访问私网服务器的方法，应用于双栈DS精简组网中，对于每个私网服务器，IPv6网络的双栈域名服务器DNS上配置有该私网服务器的域名及私网IPv4地址，地址族转换路由器AFTR上配置有该私网服务器的域名及公网IPv4地址，所述双栈DNS支持查询IPv4地址和IPv6地址，其特征在于，该方法包括：AFTR接收公网客户端发来的数据报文，该报文的目的IP地址为私网服务器的公网IPv4地址，根据报文的目的IP地址，在自身配置的私网服务器的域名及公网IPv4地址中查询得到对应的域名；AFTR根据查询得到的域名，向双栈DNS查询得到该域名对应的私网IPv4地址，并获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址；AFTR以获得的私网IPv4地址替换报文的目的IP地址，以自身的DS精简隧道的源物理接口的IPv6地址作为隧道源地址，以获得的IPv6地址作为隧道目的地址，对报文进行隧道封装，将报文发送出去。2.根据权利要求1所述的方法，其特征在于，所述DS精简组网中，对于每个私网服务器，IPv6网络的双栈DNS上还同时配置有该私网服务器的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址；所述获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址包括：AFTR根据查询到的域名，向双栈DNS查询得到该域名对应的私网IPv4地址的同时，查询得到该域名对应的B4设备的DS精简隧道的源物理接口的IPv6地址。3.根据权利要求1所述的方法，其特征在于，所述DS精简组网中，对于每个私网服务器，AFTR上还同时配置有该私网服务器的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址；所述获得与所述域名对应的基本桥接宽带B4设备的DS精简隧道的源物理接口的IPv6地址包括：AFTR根据查询得到的域名，在自身配置的私网服务器的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址中，查询得到该域名对应的B4设备的DS精简隧道的源物理接口的IPv6地址；或者，AFTR在根据报文的目的IP地址查询得到对应的域名时，在自身配置的私网服务器的域名、公网IPv4地址及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址中，同时查询得到对应的域名及下挂该私网服务器的B4设备的DS精简隧道的源物理接口的IPv6地址。4.根据权利要求1至3任一所述的方法，其特征在于，所述AFTR接收公网客户端发来的数据报文之后、查询得到对应的域名之前进一步包括：AFTR判断是否已存在与该报文对应的会话，若是，则按照会话中的网络地址转换NAT后的目的IP地址，对报文的目的IP地址进行NAT处理，按照会话中的隧道的源、目的IP地址，对报文进行隧道封装，将报文发送出去；否则，执行所述查询得到对应的域名的动作；且，所述获得与所述域名对应的B4设备的DS精简隧道的源物理接口的IPv6地址之后进一步包括：AFTR创建该报文对应的会话，会话内容包括：报文的源IP地址、NAT处理前的目的IP地址、NAT处理后的目的IP地址、源端口号、NAT处理前的目的端口号、NAT处理后的目的端口号、协议以及隧道的源、目的IP地址。5.根据权利要求4所述的方法，其特征在于，当AFTR判定不存在与该报文对应的会话时，所述查询得到对应的域名之后、向双栈DNS查询得到该域名对应的私网服务器的私网IPv4地址之前进一步包括：AFTR根据所述域名，判断自身是否已存在与该报文对应的DS精简服务器映射表项，若存在，则根据该表项中的IPv4地址，对报文的目的IP地址进行NAT处理，以自身的DS精简隧道的源物理接口的IPv6地址作为隧道源地址，以表项中的IPv6地址作为隧道目的地址，对报文进行隧道封装，将报文发送出去，并创建该报文对应的会话，会话内容包括：报文的源IP地址、NAT处理前的目的IP地址、NAT处理后的目的IP地址、源端口号、NAT处理前的目的端口号、NAT处理后的目的端口号、协议以及隧道的源、目的IP地址；否则，执行所述向双栈DNS查询得到该域名对应的私网服务器的私网IPv4地...

【专利技术属性】
技术研发人员：郗二军，梁力文，夏添，
申请(专利权)人：杭州华三通信技术有限公司，
类型：发明
国别省市：