當前Internet的基礎技術IPv4面臨的兩個最大問題是地址資源耗盡和骨干路由器路由表規模爆炸，這兩個問題是IPv4協議本身存在的缺陷，只有對其進行較大的修改才能解決。經過多年的討論、各種方案的比較權衡，下一代IP協議目前已經基本制定完成，并分配了版本號6，稱為IPv6。
　　IPv6大規模普及面臨的一個關鍵問題：如何漸進地、無傷害地由基于IPv4的網絡過渡到基于IPv6的網絡，同時盡可能減少過渡的成本。IETF已成立專門的工作組NGTRANS來研究從IPv4向IPv6的過渡問題。目前提出的解決方案主要有三種：雙協議棧" title="協議棧">協議棧(Dual Stack) ^[5]、隧道(Tunnel)^[7]和網絡地址/協議翻譯(NAPT-PT)^[3]。
　　由于現有的IPv4網絡仍在工作而且工作得不錯，而升級到IPv6的成本很高，所以可以預測，最先升級到IPv6的肯定是那些IPv4很難滿足需求的特殊應用驅動的網絡，譬如第三代移動通信(3G)、信息家電等。這些網絡將會采用純粹的IPv6，而不是IPv4/IPv6共存的雙協議棧。
　　但是現有網絡資源絕大多數存在于IPv4網絡中，必須保證純IPv6網絡能夠與現有IPv4網絡通信。網絡地址翻譯/協議翻譯(NAT-PT)^[3]作為一種支持純IPv6網絡與現有IPv4 Internet透明通信的技術，具有其獨特的優勢。
1 IPv4向IPv6過渡機制研究現狀
　　在未來的一段時間里，IPv4與 IPv6將同時并存，相互作用。從IPv4到IPv6的演進必然是一個漸進的過程。引入IPv6技術并實現全球IPv6網絡互聯，仍然需要一段時間，才能使所有服務都實現對IPv6的支持。在這種情況下，可以預見，Internet由IPv4向IPv6過渡需要一個相當長的時間才能完成，完全升級。
　　目前，解決IPv4網絡向IPv6過渡問題成熟的技術主要有三種：
　　·雙協議棧技術" title="雙協議棧技術">雙協議棧技術(Dual Stack)；
　　·隧道技術" title="隧道技術">隧道技術(Tunnel)；
　　·協議翻譯技術(NAT-PT)。
1.1雙協議棧技術^[5](Dual Stack, RFC2893)
　　主機同時運行IPv4和IPv6兩套協議棧，同時支持兩套協議。IPv6和IPv4是功能相近的網絡層協議，兩者都基于相同的物理平臺，而且加載于其上的傳輸層協議TCP和UDP又沒有任何區別。由圖1所示的協議棧結構可以看出：如果一臺主機同時支持IPv4和IPv6兩種協議，那么該主機既能使用IPv4與支持IPv4協議的主機通信，又能使用IPv6與支持IPv6協議的主機通信，這就是雙協議棧技術的工作機理。

　　“雙?！边@個稱呼本身有些誤導。大多數IPv6實現并不提供兩個完全不同的TCP/IP棧分別為IPv4和IPv6服務，而是提供一個混合的棧，在兩套協議棧中共享大部分代碼。
1.2 隧道技術^[7] (Tunnel, RFC3053)
　　這種機制用來在IPv4網絡之上連接IPv6的站點，站點可以是一臺主機，也可以是多個主機。隧道技術將IPv6的分組封裝到IPv4的分組中，封裝后的IPv4分組將通過IPv4的路由體系傳輸，分組報頭的“協議”域設置為41，指示這個分組的負載是一個IPv6的分組，以便在適當的地方恢復出被封裝的IPv6分組并傳送給目的站點。隧道技術只要求在隧道的入口和出口處進行修改，對其它部分沒有要求，因而非常容易實現。但是隧道技術不能實現IPv4主機與IPv6主機的直接通信。
1.3 NAT-PT^[3]技術(Network Address Translation-Protocol Translation，RFC2766)
　　RFC1631詳細說明了NAT(Network Address Translator)技術的基本原理。雖然NAT技術是針對IPv4網絡提出的，但只要將IPv4地址和IPv6地址分別看作NAT技術中的內部地址和全局地址，就能適用于IPv6技術的演進，這時NAT就演進成了NAT-PT。利用轉換網關在IPv4和IPv6網絡之間轉換IP報頭的地址，同時根據協議不同對分組做相應的語義翻譯，就能使純IPv4和純IPv6站點之間透明通信。
2 基于NAPT-PT的方案中地址欺騙技術的研究與實現
2.1 什么是地址欺騙技術
　　由于當前的IPv6兼容IPv4的機制基于雙棧，要實現純IPv6主機對純IPv4主機的訪問，這時要做類似的地址欺騙和轉換。基于NAPT-PT的過渡方案是在純IPv4或純IPv6的網絡中提供一個或多個特殊的DNS[1～4]服務器作“地址欺騙”， 同時提供一個或多個雙棧的服務器做NAPT-PT網關。DNS服務器為整個站點服務，當純IPv6主機(ADDR6)發起一個DNS查詢時，如果DNS服務器發現目的主機只有IPv4地址(ADDR4)，將會返回該IPv4主機一個按某種策略選定的IPv6地址(ADDR46)作為查詢結果，同時通知NAPT-PT網關ADDR6、ADDR4和ADDR46這三個地址之間的對應關系，這樣NAPT-PT網關就可以根據這些信息進行地址/協議翻譯了。其中，ADDR46必須是站點內可以路由的。在邊界網關處將把目的地址是ADDR46的報文路由到相應的NAPT-PT網關。
2.2 地址欺騙解決方案
　　本方案是建立一張hash表，如表1所示。

　　同時提供一個配置文件：
　　其中與hash表有關的內容包括：
　　·欺騙用的公有IPv4地址，例如：210.25.132.120/29
　　·欺騙用的IPv6地址^[4]前綴，例如：CHEATING_IP6_ADDR_PF = 0x3f,0xfe,0x81,0xb1,0x00,0x01,0x03,0x00,0x00,0x00,0x00,0x00
　　NAT-PT解決方案如圖2所示。

　　首先，對于純IPv6主機(Host6)發起的訪問純IPv4主機(Host4)的情況：
　　(1)首先Host6對DNS 服務器發出對Host4的域名解析請求；
　　(2)DNS服務器解析出Host4的地址是ADDR4，同時發現它是一臺純IPv4主機；
　　(3)DNS服務器通過配置文件naptgw6.conf進行地址欺騙，將目的IPv4地址加上IPv6欺騙地址前綴組成ADDR46，作為目的主機的IPv6地址，返回給Host6，同時通知NAT-PT網關進行相應處理；
　　(4)NAT-PT網關通過hash算法得到hash表索引值，在hash表中相應位置保留源IPv6地址和源端口信息；
　　(5)hash算法得到的索引值作為Host6欺騙用的IPv4源端口值，同時NAT-PT網關通過配置文件naptgw6.conf選擇一個欺騙用IPv4地址ADDR64作為協議翻譯后的源地址；
　　(6)Host6向ADDR46發出IPv6報文，IPv6報文路由到支持雙棧的邊界路由器Router_dualstack，路由器Router_dualstack接收到IPv6報文，把它路由給NAT-PT網關，Router_dualstack的路由表如表2所示；

　　(7)NAT-PT網關發現該報文的目的地址是ADDR46，于是將源地址改為ADDR64，將目的地址改為ADDR4，然后做協議轉換，以IPv4數據報方式發給Host4。
　　對純IPv4主機(Host4)回訪純IPv6(Host6)的情況：
　　(1)Host4收到Host6發來的數據報，并返回IPv4數據報給ADDR64；
　　(2)返回IPv4數據報通過路由器Router_dualstack路由到NAT-PT網關，根據Host4源端口值在hash表中查到對應的表項作為目的IPv6地址和端口；
　　(3)同時源IPv4地址加欺騙前綴后地址變為ADDR46，隨后做協議轉換，通過NAT-PT網關以IPv6數據包方式發給Host6；
　　(4)Host6收到返回數據報，一次報文交換成功。
　　當Host4與Host6通信時過程正好相反。
2.3 實現負載均衡的方法
　　在最簡單的情況下，假設要使用兩個協議翻譯網關(GW1和GW2)實現負載均衡，只需要為GW1使用10.0.0.0/9和2001:1000:1::/64做地址欺騙，為GW2使用10.129.0.0/9和2001:1000:2::/64做地址欺騙，在邊緣IPv4/v6雙棧路由器如表3所示。

　　GW1和GW2理論上自動分配各一半的流量，而所有的設置只需要在網絡邊緣進行，程序代碼不需要做任何修改；對于被服務的站點也是透明的，只需更改DNS服務器的設置。
2.4數據結構
　　map_tbl數據結構的主要作用是記錄hash表中的數據，包括索引值、源IPv6地址和源IPv6端口，以及是否使用標志位。
　　map_tbl數據結構如下：
　　struct map_tbl[INDEX]
　　{　　
　　unsigned char　　　　used;
　　struct in6_addr　　src_ipv6_addr;
　　in_port_t　　　　　　src_port;
　　};
　　hash表存取地址的效率高低直接影響NAT-PT網關的連接速度，因此hash表中INDEX的算法很重要。為了盡量避免沖突，提高效率，hash函數涉及的參數有源IPv6地址、源IPv6端口、目的IPv4地址(欺騙用IPv6地址的8～11byte)、目的IPv4端口。這些參數對于每次新的連接都是變化的，通過這些參數相加計算出hash表的INDEX(16位)值，取1025～65535(去掉0～1024端口值)作為hash表的索引，同時標志位置為1表示已占用，算法計算公式如下所示：

???
　　hash程序的簡單處理流程如圖3所示。

　　對于hash表地址發生沖突的處理，通過檢驗標志位得知此索引處是否已存有欺騙地址，然后INDEX值自動加1，繼續檢驗標志位，直至發現沒有被占用INDEX。
2.5 方案測試
　　具體測試方案如表4～6所示。