IPv4/IPv6安全网关的应用与分析

　　l 报文翻译

　　报文翻译部分是NAT_PT的最基础部分。它负责进行IPv4和IPv6报文之间的翻译。具体的实现主要针对TCP、UDP和ICMP三种不同类型的报文进行翻译。由于TCP自己的特性，在地址映射的时间上，还有TCP建立连接的时候，对动态地址池的操作都和UDP、ICMP有所区别。

　　l DNS应用层网关

　　DNS应用层网关部分是为了支持DNS的IPv6扩展功能的。它主要对针对目的端口/源端口=53的DNS_UDP报文进行翻译的。DNS应用层网关的主要功能是支持外部的IPv4主机对IPv6域内服务器的访问。这样，当外部的DNSv4的查询报文通过路由器的时候，将被翻译后送到IPv6域内的IPv6 DNS服务器。同样IPv6域内的IPv6 DNS服务器的DNSv6回复报文，也将被翻译后返回给原IPv4主机。

　　l FTP应用层网关

　　由于FTP的IPv6扩展功能和现有的IPv4FTP命令不相同，不完全兼容，所以需要对FTP的命令作翻译。同时的由于TCP报文的负荷长度有所变动，所以还需要对一个FTP的连接的所有TCP数据报的顺序号进行修正。FTP应用层网关部分主要对针对目的端口/源端口=21的FTP_TCP报文进行翻译。

　　3 IPv4/IPv6安全网关解决方案

　　根据IPv4/IPv6安全网关的原理和市场需求，从性能，可扩展性以及高可靠性的角度出发，推荐采用研祥(EVOC)的网络系统平台NPC-8205作为解决方案的硬件平台，在此可靠的平台上实现IPv4/IPv6安全网关。

　　NPC-8205是一款基于Intlel新一代服务器JasperForest平台的高端网络应用系统产品。采取的服务器平台，北桥集成在CPU里面，大大提高了CPU对内存和外设的访问速度。全模块化的网络设计，可灵活选择光电组合，并在千兆，万兆之间灵活切换。主板支持两颗CPU，支持12个DIMM内存槽，6个SATA接口。支持CF卡，板载PCI扩展槽和两个PCI-E扩展槽。整机支持三个全模块的网络扩展，支持两个2.5寸抽拉硬盘位，支持液晶屏显示，板载2千兆电口，1个串口，2个USB，前面板可扩展两个PCI –E设备，支持冗余电源。

　　u 采用JASPER FOREAST平台具有以下优点：

　　(1)支持超线程：第三代超线程技术。

　　(2)支持虚拟化设备输入/输出 (VT-d)：在之前以虚拟化CPU为主的基础上增加设备输入/输出的虚拟化，能有效提高虚拟机的性能和效率。

　　(3)内核加速模式(Turbo Mode)：内核运行动态加速。可以根据需要开启、关闭以及加速单个内核的运行。这样动态的调整可以提高系统和CPU整体的能效比率。

　　(4)Cache的设计：采用三级全内含式Cache设计，L1的设计和Core 微架构一样;L2采用超低延迟的设计，每个内核256KB;L3采用共享式设计，被片上所有内核共享。

　　(5) 集成了内存控制器(IMC)：从芯片组上移到CPU片上，支持多通道DDR3内存，内存读取的延迟大幅度减少，内存带宽大幅提升，最多可达三倍。

　　(6)QPI：“快速通道互联”，取代前端总线(FSB)的一种点到点连接技术，20位宽的QPI连接其带宽可达惊人的每秒25.6GB，远非FSB可比。QPI最初能够发放异彩的是支持多个处理器的服务器平台，QPI可以用于多处理器之间的互联。

　　u 自由切换的光电口模块设计

　　不打开箱盖，直接在前面板操作，就可以在光口模块和电口模块间任意更换。可以灵活的搭配出光口不同数量。电口不同数量。光口模块和电口模块混合同时使用。

　　(应用原理图)