IPv6 Web代理技术方案.docx

IPv6 Web代理方案说明代理技术引入ICP业务试点方案设计从目前看，大部分ICP都还没有明确的IPv6升级计划，全国范围内基本上没有IPv6 Ready的门户网站可以访问。为了及早在现网上试点IPv6技术，单靠等待ICP完成升级后再向试点用户提供服务并不能达到快速引入和试点的目的。比较快捷的办法是部署协议转换设备或应用层代理设备，由于NAT-PT使用过于复杂，并且对部署有特殊要求，对HTTP协议类的应用，建议采用应用层代理网关方式实现。根据试点推广的目的，需要解决的主要是IPv6用户访问IPv4信息源的问题，并且引入初期IPv6的用户数量不大，因此采用少量服务器就能够满足IPv6用户的访问需求。其中代理服务器放置在能够同时连接全球IPv6和IPv4的网络，服务器的数量可以根据访问需求灵活配置。对IPv6用户，原HTTP站点的URL可以采用带有IPv6标记的域名，比如google采用全新的域名对外提供服务，也可以采用和IPv4相同的域名，比如APNIC则采用同时提供IPv4和IPv6的访问。通过代理提供的IPv6服务也同样可以用全新的域名或统一的域名提供服务，方案如下：图45代理方案首先是将IPv6用户发起的HTTP请求吸引到代理服务器上，这需要利用域名解析机制来实现。要求在DNS系统中，增加一条AAAA记录，给站点的域名配置一个IPv6地址，指向代理服务器。当IPv6用户通过域名访问站点时，就能够解析到代理服务器的地址，把请求发向代理服务器。其次是在代理服务器上，配置代理转发选项。当IPv6用户访问站点通过域名解析把请求导航到代理服务器后，HTTP请求中会携带被访问URL的相对路径以及URL中Host信息。具体而言就是，对一个格式为:http://url_host/url_path/file_name这样的URL，HTTP的GET信息中携带url_path/file_name字符串，同时也把url_host捎带在host属性中，但要求浏览器支持HTTP 1.1以上版本。所谓转发配置就是建立一个影射表，把请球URL替换为另一个URL。比如将/news/index.html映射成/news/index.html，其中前者是向IPv6用户提供的可见URL名称，后者是代理服务器接收到请求后向IPv4网络发起的URL请求，这个发起过程对用户来说是透明的，并不可见。在完成以上两步配置以后，整个代理工作的流程就是：用户输入URL，/news/index.html；浏览器发出DNS请求，请求解析的IPv4地址和IPv6地址；DNS服务器返回两个地址，一个是的IPv4地址，另一个是对应的代理服务器IPv6地址；浏览器优先选择IPv6协议栈，向代理服务器发送请求 GET: news/index.html，host:代理服务器就收到请求后，通过host属性获得请求的真实目标站点，继续发出DNS请求，请求解析的IPv4和IPv6地址；DNS服务器向代理服务器返回IPv4地址和IPv6地址，其中IPv4地址指向真实的IPv4 Web服务器地址，而IPv6地址则指向自身；代理服务器获得真实地址后，通过IPv4协议栈向Web服务器发送请求，GET: news/index.html host:。Web服务器接收到请求后，通过IPv4协议栈向代理服务器返回响应页面；代理服务器把获得的页面再次通过IPv6协议发送给客户端浏览器，至此一个基本的页面请求完成。图46代理工作流程以上过程不难看出，对IPv6用户而言，输入URL后获得页面的过程体验与IPv4用户正常的访问流程完全一致。在代理过程中，当代理服务器接收到请求后，会再次发送DNS请求以获得站点的真实地址，因此外部域名服务器会同时返回两个地址，一个是指向自身的IPv6地址，另一个是站点的真实IPv4地址。代理服务器应当避免使用指向自身的IPv6地址，否则会出现死锁的情况。一种办法是在网络中过滤掉代理服务器发出的AAAA DNS请求，使得代理服务器只能收到站点的IPv4地址，另一种方法是控制代理服务器，优先选择IPv4协议栈获取页面，具体需视代理软件的实现方法而定。方案实施本项目按照以上方案进行了试点实施，在实验室组建了IPv6网络，以下称为试点网络。试点网络通过实验室出口以及CNGI POP点同时连接了全球IPv4网络和全球IPv6网络。试点网络的拓扑结构示意图如下：图47试点网络拓扑结构试点网络具有独立16位长度AS号码42565，一段2402:8800/32 IPv6地址。代理服务器所在网络分配2402:8800:01::/64地址，代理服务器的IPv6地址配置为2402:8800:01::02，IPv4地址配置为0。试点内容为21CN网站新闻频道，对应域名为。频道首页情况如下：图4821CN首页代理服