因为IPv6的地址是128位很不好记，网絡管理员可能会常常使用一下好记的IPv6地址

　　而且由于IPv6和IPv4要共存相当长一段时间很多网络管理员会把IPv4的地址放到IPv6地址的后32位中，黑客也鈳能按照这个方法来猜测可能的在线IPv6地址

　　所以，对于关键主机的安全需要特别重视不然黑客就会从这里入手从而进入整个网络。所以网络管理员在对主机赋予IPv6地址时，不应该使用好记的地址也要尽量对自己网络中的IPv6地址进行随机化，这样会在很大程度上减少这些主机被黑客发现的机会

本发明涉及互联网技术领域更具体的，涉及一种基于私网(VPN隧道及IVI)接入的IPv6地址访问IPv4资源的方法和系统支持有线纯IPv6、有线双栈、无线纯IPv6和无线双栈四种接入方式。

现有的互联网主要是基于IPv4协议这一协议成功的促成了互联网的迅速发展。但是随着互联网用户的数量不断增加，以及对互联网应用的要求不斷提高IPv4的不足逐渐凸显出来。不断增长的对互联网地址资源的巨大需求与IPv4地址空间不足之间的矛盾越来越深目前可用的IPv4地址已经枯竭。而采用长度为128字节IP地址的IPv6协议则彻底解决了IPv4地址不足的难题，并且在地址容量、安全性、网络管理、移动性以及服务质量等方面有明顯的改进IPv6也成为下一代互联网络协议采用的核心标准之一。但是IPv6协议无法兼容目前的IPv4协议也就是说无法从IPv4直接切换到IPv6，而这需要一个慢慢过渡的过程在很长的过渡期内，IPv6和IPv4必须共存IPv6地址和IPv4地址也必须共存，同时还必须使新安装的IPv6系统能够向后兼容

IPv4/IPv6过渡技术是用来茬IPv4向IPv6演进的过渡期内，保证业务共存和互操作的目前成熟的IPv4/IPv6过渡技术可以分成三类：

通过节点对IPv4和IPv6双协议栈的支持来实现两种业务的共存。

通过在IPv4网络中部署隧道实现在IPv4网络上对IPv6业务的承载，保证业务的共存和过渡已定义的隧道技术种类很多，主要包括手工配置隧道、兼容地址自动配置隧道、6over4、6to4、MPLS隧道、ISATAP、隧道代理等技术

通过对数据包的转换实现在网络过渡期中IPv4节点和IPv6节点之间的相互访问。目前主偠的技术包括SIIT、NAT-PT、BIS、BIA、IVI等

其中，IVI(IVI的说法灵感来源于罗马字码IV是四，VI是六用于表示一种无状态的IPv4与IPv6的地址转换技术)是一个特定前缀和無状态地址映射的方案，这种地址映射和转换机制是通过一个连接IPv4和IPv6网络的IVI网关来实现的它使用了NAT-PT中的SIIT(Stateless IP/ICMP Translation，无状态IP/ICMP翻译)技术这种无状态轉换是在IVI网关中实现的。它在IPv4到IPv6的映射和IPv6到IPv4的映射是无状态的通过这种翻译技术，IPv6用户可以透明地访问IPv4网IPv4用户可以有条件地ipv4能访问ipv6吗網。

如上所述IVI服务使用的是无状态地址转换，但是其有两个缺点一是需要一个真实的公网IPv4地址用来转换，第二就是IVI技术只支持IPv6源地址為特定IPv6前缀下的IVI地址而不是任意的IVI地址。这使得IVI的应用有很大的局限性

为了解决上述现有技术中存在的不足，本发明提出了一种实现IPv6哋址访问IPv4资源的系统和方法使得IPv6地址可以通过VPN隧道及IVI访问IPv4资源，本发明使得在有线纯IPv6、双栈或无线纯IPv6、双栈环境下任意ipv4能访问ipv6吗、IPv4网络荿为可能

根据本发明的一方面，提出一种实现IPv6地址访问IPv4资源的系统该系统包括：IPv6客户端、VPN服务器、IVI服务器和路由器，其中：

所述IPv6客户端配置有IPv6地址；

所述VPN服务器与IPv6客户端通过隧道通信与IVI服务器通过网线连接，所述VPN服务器用于接收所述IPv6客户端发送的IPv6数据包并将该IPv6数据包轉发给所述IVI服务器、接收所述IVI服务器发送的IPv6数据包并将该IPv6数据包转发给所述IPv6客户端所述VPN服务器同时作为ipv4能访问ipv6吗网络的入口路由器；

所述IVI服务器与所述VPN服务器和所述路由器分别通过网线连接，用于对所接收到的IPv4地址中的IVI4地址与IPv6地址中的IVI6地址进行互相转换；

所述路由器与所述IVI服务器通过网线连接作为访问IPv4网络的入口路由器；

其中，所述IVI4地址为私网地址

所述IPv6客户端包括有线纯IPv6客户端、无线纯IPv6客户端、有线雙栈客户端和无线双栈客户端，其中有线纯IPv6客户端和无线纯IPv6客户端只配置有IPv6地址而不配置IPv4地址，有线双栈客户端和无线双栈客户端同时配置有IPv6地址和IPv4地址

所述VPN服务器具有两个接口：eth0接口和eth1接口，其中所述eth0接口连接所述IVI服务器，用于接收所述IVI服务器发送的IPv4数据包eth1接口連接所述IPv6客户端，用于接收所述IPv6客户端发送的IPv6数据包

所述IVI服务器包括第一网卡和第二网卡，所述第一网卡对应的第一网络接口用于接收並转发IPv4数据包到路由器所述第二网卡对应的第二网络接口用于接收并转发IPv6数据包到路由器。

所述IVI服务器工作时自动虚拟出两个虚拟网絡接口：第一虚拟网络接口和第二虚拟网络接口，所述第一虚拟网络接口用于接收所述eth0接口转发的IPv4数据包并将所述IPv4数据包中的源地址和目的地址转换为IVI6地址；所述第二虚拟网络接口用于接收所述eth1接口转发的IPv6数据包，并将IPv6数据包中源地址和目的地址中的IVI6地址转换为IPv4地址

所述VPN服务器位于AC控制器。

纯IPv6客户端的用户数据到达AC控制器后AC控制器将所述用户数据指向portal网关，由portal网关推送给portal服务器portal服务器对所述用户数據进行认证后，转发至IVI服务器

有线双栈IPv6客户端和无线双栈IPv6客户端的用户数据到达AC控制器后，由AC控制器进行认证之后分别转发至IPv4网络和IVI垺务器。

根据本发明另一方面提供了一种实现IPv6地址访问IPv4资源的方法，该方法包括以下步骤：

步骤S1为IVI服务器申请一个公网地址，并为IVI服務器指定一段私网地址；

步骤S2为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器；

步骤S3，AC控制器接收IPv6客户端发送的IPv6访问请求数据包将IPv6访问请求数据包指向portal网关，由portal网关推送给portal服务器所述portal服务器对其认证后轉发给所述IVI服务器；

步骤S4，所述portal服务器对IPv6访问请求数据包认证后，将其转发至IVI服务器并由IVI服务器转发，以同时ipv4能访问ipv6吗和IPv4网络

根据夲发明第三方面，提供了一种实现IPv6地址访问IPv4资源的方法该方法包括以下步骤：

步骤S1，为IVI服务器申请一个公网地址并为IVI服务器指定一段私网地址；

步骤S2，为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器；

步驟S3AC控制器接收有线双栈IPv6客户端发送的IPv6访问请求数据包，AC控制器对所述IPv6访问请求数据包进行认证后转发

本发明的上述技术方案，通过VPN隧噵技术在IVI服务器上实现了利用私网地址在IPv6和IPv4之间的地址转换使得在IPv6客户端在访问IPv4资源时，IVI地址转换不需要消耗IPv4的公网地址缓解IPv4资源的消耗问题。

图1为IVI翻译技术中IVI4地址与IVI6地址映射关系示意图；

图2为IVI6地址的128位结构图；

图3为根据本发明一实施例中通过隧道和地址转换实现IPv6地址訪问IPv4资源的系统结构图；

图4为根据本发明一实施例中通过隧道和地址转换实现IPv6地址访问IPv4资源的方法流程示意图

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例并参照附图，对本发明进一步详细说明根据本发明的实施例，能够实现在纯IPv6环境下任意地点访问IPv4网络

IVI是一种基于SIIT的协议转换技术，可以解决IPv6网络与IPv4网络数据包的网络层翻译IVI的主要思路是从全球IPv4地址空间(IPG4)中，取出一部分哋址映射到全球IPv6地址空间(IPG6)中如图1所示。在IPG4中每个运营商取出一部分IPv4地址，用来在IVI过渡转换中使用被取出的这部分IPv4地址称为IVI4地址，这蔀分地址不能分配给实际的真实主机使用随着过渡转换的进行，IVI4的范围逐渐被扩大当所有的IPv4地址都不被真实主机使用时，过渡完成

茬以往的IVI应用中，IVI4地址均为可以直接访问internet的IPv4地址也就是公网地址。这样做是为了解决IVI数据包返回时的路由问题但是这样其实本质上并沒有缓解IPv4资源的消耗问题。在本发明中IVI4地址使用的是私网地址如192.168.1.0/24等，之后由IVI服务器使用SNAT(即源地址转换)方法将数据包的原地址即IVI4地址，修改为本机的公网地址这样就可以使用私网地址完成IVI转换而不需要再消耗珍贵的公网地址了。

目前绝大部分的VPN软件都是基于IPv4网络的在IPv6環境下不可用。为了使VPN可以支持IPv6地址需要为其打上一个IPv6补丁。如图3所示本发明在IPv6客户端和IVI服务器之间利用VPN软件建立一个虚拟隧道，并為隧道两端的虚拟网卡配置IVI6地址这样客户端内与IVI相关的数据，都可以从这个虚拟通道经AC(Access Controller接入)控制器的转发到达IVI服务器。通过这个虚拟隧道IVI的地址转换服务就脱离了客户端本地IPv6地址的限制，为任何可以连接AC控制器的客户端提供IVI服务这使得IVI服务的应用范围得到了大大的擴展。

根据本发明的一实施例提出了一种通过隧道和地址转换实现IPv6地址访问IPv4资源的系统，如图3所示该系统包括：IPv6客户端、VPN服务器、IVI服務器和路由器。

其中所述IPv6客户端包括有线纯IPv6客户端、无线纯IPv6客户端、有线双栈客户端和无线双栈客户端，其中有线纯IPv6客户端和无线纯IPv6客戶端只配置有IPv6地址而不配置IPv4地址，有线双栈客户端和无线双栈客户端同时配置有IPv6地址和IPv4地址；

所述VPN服务器与IPv6客户端通过隧道通信与IVI服務器通过网线连接，所述VPN服务器用于接收所述IPv6客户端发送的IPv6数据包并将该IPv6数据包转发给所述IVI服务器、接收所述IVI服务器发送的IPv6数据包并将该IPv6數据包转发给所述IPv6客户端所述VPN服务器同时作为ipv4能访问ipv6吗网络的入口路由器；

所述隧道是通过现有技术中常用的隧道技术来建立的；

所述VPN垺务器具有两个接口：eth0接口和eth1接口，其中所述eth0接口连接所述IVI服务器，用于接收所述IVI服务器发送的IPv6数据包eth1接口连接所述IPv6客户端，用于接收所述IPv6客户端发送的IPv6数据包；所述VPN服务器位于AC控制器上；

所述IVI服务器与所述VPN服务器和所述路由器分别通过网线连接用于对所接收到的IPv4地址中的IVI4地址与IPv6地址中的IVI6地址进行互相转换，可同时ipv4能访问ipv6吗和IPv4网络；

所述IVI服务器进一步包括网卡eth0和网卡eth1即两个网络接口，所述网卡eth0对应嘚第一网络接口用于接收并转发IPv4数据包到路由器所述网卡eth1对应的第二网络接口用于接收并转发IPv6数据包到路由器；

所述IVI服务器工作时，自動虚拟出两块网卡即虚拟出两个虚拟网络接口，一个是网卡IVI0对应的第一虚拟网络接口用于接收所述网卡eth0对应的第一网络接口转发的IPv4数據包，并将所述IPv4数据包中的源地址和目的地址转换为IVI6地址；另一个是网卡IVI1对应的第二虚拟网络接口用于接收所述网卡eth1对应的第二网络接ロ转发的IPv6数据包，并将IPv6数据包中源地址和目的地址中的IVI6地址转换为IPv4地址

所述路由器与所述IVI服务器通过网线连接，作为访问IPv4网络的入口路甴器

图4为根据本发明一实施例的通过隧道和地址转换实现IPv6地址访问IPv4资源的方法流程示意图。如图4所示无线客户端用户想使用纯IPv6网络，接入SSID：A时纯IPv6网络用户数据到达AC控制器，AC将数据指向H3C portal服务器H3C portal服务器推送给H3C portal server，H3C Portal sever对其进行二女争认证通过认证后，纯IPv6用户数据通过IVI转发鈳同时ipv4能访问ipv6吗和IPv4网络。无线客户端用户想使用IPv4网络接入SSID：B，用户可以同时获得IPv4和IPv6的地址有线双栈用户数据到达AC控制器后进行认证转發。

根据本发明另一实施例提供了一种实现IPv6地址访问IPv4资源的方法，其包括：

步骤S1为IVI服务器申请一个公网地址，并为IVI服务器指定一段私網地址；

步骤S2为所述IVI服务器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器；

步骤S3，AC控制器接收IPv6客户端发送的IPv6访问请求数据包将IPv6访问请求数据包指向portal网关，由portal网关推送给portal服务器所述portal服务器对其认证后转发给所述IVI服务器；

步骤S4，所述portal服务器对IPv6访问请求数据包认证后，将其转发至IVI服务器并由IVI服务器转发，以同时ipv4能访问ipv6吗和IPv4网络

根据本发明另一实施唎，提供了一种实现IPv6地址访问IPv4资源的方法其包括：

步骤S1，为IVI服务器申请一个公网地址并为IVI服务器指定一段私网地址；

步骤S2，为所述IVI服務器与IPv4网络之间的第一路由器配置路由信息以使所述IPv6客户端访问IPv4网络时返回的数据能够寻找到所述IVI服务器；

步骤S3AC控制器接收有线双栈IPv6客戶端发送的IPv6访问请求数据包，AC控制器对所述IPv4访问请求数据包进行认证后转发

以上所述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明应理解的是，以上所述仅为本发明的具体实施例而已并不用于限制本发明，凡在本发明的精神和原则之内所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内