標籤: 暫無標籤

IPv6是"Internet Protocol Version 6"的縮寫,也被稱作下一代互聯網協議,它是由IETF設計的用來替代現行的IPv4協議的一種新的IP協議。現在的互聯網大多數應用的是IPv4協議,但IPv4協議面臨著地址匱乏等一系列問題。在IPv6的設計過程中除解決了地址短缺問題以外,還考慮了在IPv4中解決不好的其它一些問題,主要有端到端IP連接、服務質量(QoS)、安全性、多播、移動性、即插即用等。

1 IPv6 -定義

IPv6IPv6

IPv6是IETF(互聯網工程任務組,Internet Engineering Task Force)設計的用於替代現行版本IP協議(IPv4)的下一代IP協議。

2 IPv6 -解釋

IPv6的提出最初是因為採用32位地址長度的IPv4協議,只有大約43億個地址,估計在2005~2010年間將被分配完畢。為了擴大地址空間,擬通過IPv6重新定義地址空間。IPv6採用128位地址長度,幾乎可以不受限制地提供地址。按保守方法估算IPv6實際可分配的地址,整個地球的每平方米面積上仍可分配1000多個地址。在IPv6的設計過程中除了一勞永逸地解決了地址短缺問題以外,還考慮了在IPv4中解決不好的其它問題,主要有端到端IP連接、服務質量(QoS)、安全性、多播、移動性、即插即用等。

3 IPv6 -背景與目標

IPv4技術

目前使用的第二代互聯網IPv4技術,核心技術屬於美國。它的最大問題是網路地址資源有限,從理論上講,編址1600萬個網路、40億台主機。但採用A、B、C三類編址方式后,可用的網路地址和主機地址的數目大打折扣,以至目前的IP地址近乎枯竭。其中北美佔有3/4,約30億個,而人口最多的亞洲只有不到4億個,中國只有3千多萬個,只相當於美國麻省理工學院的數量。地址不足,嚴重地制約了中國及其他國家互聯網的應用和發展。

突破限制

一方面是地址資源數量的限制,另一方面是隨著電子技術及網路技術的發展,計算機網路將進入人們的日常生活,可能身邊的每一樣東西都需要連入全球網際網路。在這樣的環境下,IPv6應運而生。單從數字上來說,IPv6所擁有的地址容量是IPv4的約8×10^28倍,達到2^128-1個。這不但解決了網路地址資源數量的問題,同時也為除電腦外的設備連入互聯網在數量限制上掃清了障礙。

地址浪費

但是與IPv4一樣,IPv6一樣會造成大量的IP地址浪費。準確的說,使用IPv6的網路並沒有2^128-1個能充分利用的地址。首先,要實現IP地址的自動配置,區域網所使用的子網的前綴必須等於64,但是很少有一個區域網能容納2^64個網路終端;其次,由於IPv6的地址分配必須遵循聚類的原則,地址的浪費在所難免。

經濟效益

IPv4實現的是人機對話,IPv6是擴展到任意事物之間的對話,它不僅可以為人類服務,還將服務於眾多硬體設備,如家用電器、感測器、遠程照相機、汽車等,它將是無時不在,無處不在的深入社會每個角落的真正的寬頻網。而且它所帶來的經濟效益將非常巨大。

國際標準

IPv6不可能解決所有問題,IPv6在發展中不斷完善,完善需要時間和成本,從長遠看,IPv6有利於互聯網的持續和長久發展。國際互聯網組織已經決定成立兩個專門工作組,制定相應的國際標準。

4 IPv6 -特點

IPv6IPv6

(1)IPV6地址長度為128比特,地址空間增大了2的96次方倍;

(2)靈活的IP報文頭部格式。使用一系列固定格式的擴展頭部取代了IPV4中可變長度的選項欄位。IPV6中選項部分的出現方式也有所變化,使路由器可以簡單路過選項而不做任何處理,加快了報文處理速度。

(3)IPV6簡化了報文頭部格式,欄位只有7個,加快報文轉發,提高了吞吐量;

(4)提高安全性。身份認證和隱私權是IPV6的關鍵特性。

(5)支持更多的服務類型;

(6)允許協議繼續演變,增加新的功能,使之適應未來技術的發展。

5 IPv6 -優勢

地址空間

IPv4中規定IP地址長度為32,即有2^32-1(符號^表示升冪,下同)個地址;而IPv6中IP地址的長度為128,即有2^128-1個地址。

使用更小的路由表

IPv6的地址分配一開始就遵循聚類(Aggregation)的原則,這使得路由器能在路由表中用一條記錄(Entry)表示一片子網,大大減小了路由器中路由表的長度,提高了路由器轉發數據包的速度。

服務質量

IPv6增加了增強的組播(Multicast)支持以及對流的支持(Flow Control),這使得網路上的多媒體應用有了長足發展的機會,為服務質量(QoS,Quality of Service)控制提供了良好的網路平台。

方便與快捷

IPv6加入了對自動配置(Auto Configuration)的支持。這是對DHCP協議的改進和擴展,使得網路(尤其是區域網)的管理更加方便和快捷。

更高的安全性

IPv6具有更高的安全性。在使用IPv6網路中用戶可以對網路層的數據進行加密並對IP報文進行校驗,極大的增強了網路的安全性。

6 IPv6 -操作方法

IPv6包由IPv6包頭(40位元組固定長度)、擴展包頭和上層協議數據單元三部分組成。

IPv6包擴展包頭中的分段包頭中指名了IPv6包的分段情況。其中不可分段部分包括:IPv6包頭、Hop-by-Hop選項包頭、目的地選項包頭(適用於中轉路由器)和路由包頭;可分段部分包括:認證包頭、ESP協議包頭、目的地選項包頭(適用於最終目的地)和上層協議數據單元。但是需要注意的是,在IPv6中,只有源節點才能對負載進行分段,並且IPv6超大包不能使用該項服務。

7 IPv6 -數據包

IPv6IPv6
包頭

IPv6包頭長度固定為40位元組,去掉了IPv4中一切可選項,只包括8個必要的欄位,因此儘管IPv6地址長度為IPv4的四倍,IPv6包頭長度僅為IPv4包頭長度的兩倍。

欄位

其中的各個欄位分別為:
Version(版本號):4位,IP協議版本號,值= 6。
Traffic Class(通信類別):8位,指示IPv6數據流通信類別或優先順序。功能類似於IPv4的服務類型(TOS)欄位。

流標記

Flow Label(流標記):20位,IPv6新增欄位,標記需要IPv6路由器特殊處理的數據流。該欄位用於某些對連接的服務質量有特殊要求的通信,諸如音頻或視頻等實時數據傳輸。在IPv6中,同一信源和信宿之間可以有多種不同的數據流,彼此之間以非「0」流標記區分。如果不要求路由器做特殊處理,則該欄位值置為「0」。

負載長度

Payload Length(負載長度):16位負載長度。負載長度包括擴展頭和上層PDU,16位最多可表示65535位元組負載長度。超過這一位元組數的負載,該欄位值置為「0」,使用擴展頭逐個跳段(Hop-by-Hop)選項中的巨量負載(Jumbo Payload)選項。

下一包頭

Next Header(下一包頭):8位,識別緊跟IPv6頭后的包頭類型,如擴展頭(有的話)或某個傳輸層協議頭(諸如TCP,UDP或著ICMPv6)。 

跳段數限制

Hop Limit(跳段數限制):8位,類似於IPv4的TTL(生命期)欄位。與IPv4用時間來限定包的生命期不同,IPv6用包在路由器之間的轉發次數來限定包的生命期。包每經過一次轉發,該欄位減1,減到0時就把這個包丟棄。

源地址

Source Address(源地址):128位,發送方主機地址。

目的地址

Destination Address(目的地址):128位,在大多數情況下,目的地址即信宿地址。但如果存在路由擴展頭的話,目的地址可能是發送方路由表中下一個路由器介面。

8 IPv6 -擴展包頭

擴展頭

IPv6包頭設計中對原IPv4包頭所做的一項重要改進就是將所有可選欄位移出IPv6包頭,置於擴展頭中。由於除Hop-by-Hop選項擴展頭外,其他擴展頭不受中轉路由器檢查或處理,這樣就能提高路由器處理包含選項的IPv6分組的性能。

通常,一個典型的IPv6包,沒有擴展頭。僅當需要路由器或目的節點做某些特殊處理時,才由發送方添加一個或多個擴展頭。與IPv4不同,IPv6擴展頭長度任意,不受40位元組限制,以便於日後擴充新增選項,這一特徵加上選項的處理方式使得IPv6選項能得以真正的利用。 但是為了提高處理選項頭和傳輸層協議的性能,擴展頭總是8位元組長度的整數倍。

目前,RFC 2460中定義了以下6個IPv6擴展頭:Hop-by-Hop(逐個跳段)選項包頭、目的地選項包頭、路由包頭、分段包頭、認證包頭和ESP協議包頭:

(一)Hop-by-Hop選項包頭包含分組傳送過程中,每個路由器都必須檢查和處理的特殊參數選項。其中的選項描述一個分組的某些特性或用於提供填充。這些選項有:

Pad1選項(選項類型為0),填充單位元組。PadN選項(選項類型為1),填充2個以上位元組。 Jumbo Payload選項(選項類型為194),用於傳送超大分組。使用Jumbo Payload選項,分組有效載荷長度最大可達4,294,967,295位元組。負載長度超過65,535位元組的IPv6包稱為「超大包」。 路由器警告選項(選項類型為5),提醒路由器分組內容需要做特殊處理。路由器警告選項用於組播收聽者發現和RSVP(資源預定)協議。

(二)目的地選項包頭指名需要被中間目的地或最終目的地檢查的信息。有兩種用法:

如果存在路由擴展頭,則每一個中轉路由器都要處理這些選項。
如果沒有路由擴展頭,則只有最終目的節點需要處理這些選項。

(三)路由包頭
類似於IPv4的鬆散源路由。IPv6的源節點可以利用路由擴展包頭指定一個鬆散源路由,即分組從信源到信宿需要經過的中轉路由器列表。

(四)分段包頭
提供分段和重裝服務。當分組大於鏈路最大傳輸單元(MTU)時,源節點負責對分組進行分段,並在分段擴展包頭中提供重裝信息。

(五)認證包頭
提供數據源認證、數據完整性檢查和反重播保護。認證包頭不提供數據加密服務,需要加密服務的數據包,可以結合使用ESP協議。

(六)ESP協議包頭
提供加密服務。

上層協議數據單元

層數據單元即PDU,全稱為Protocol Data Unit。PDU由傳輸頭及其負載(如ICMPv6消息、或UDP消息等)組成。而IPv6包有效負載則包括IPv6擴展頭和PDU,通常所能允許的最大位元組數為65535位元組,大於該位元組數的負載可通過使用擴展頭中的Jumbo Payload(見上文)選項進行發送。

9 IPv6 -應用

ipv6園區網解決方案 - china...ipv6園區網解決方案 - china...
IPv6 編址

從IPv4到IPv6最顯著的變化就是網路地址的長度。RFC 2373 和RFC 2374定義的IPv6地址,就像下面章節所描述的,有128位長;IPv6地址的表達形式一般採用32個十六進位數。

IPv6中可能的地址有2 ≈ 3.4×10個。也可以想象為16個因為32位地址每位可以取16個不同的值。

在很多場合,IPv6地址由兩個邏輯部分組成:一個64位的網路前綴和一個64位的主機地址,主機地址通常根據物理地址自動生成,叫做EUI-64(或者64-位擴展唯一標識)

IPv6安裝

1. Windows 2000操作系統

(1) 確認windows操作系統的補丁包已經升級到SP4。
(2) 下載補丁包「tcpipv6-sp4.exe」,並雙擊運行該自解壓文件。
(3) 依次打開「控制面板」、「網路和撥號連接」,右擊「本地連接」,再依次單擊「屬性」、「安裝」、「協議」,選擇「MSR IPv6 Protocol」協議,即可成功安裝IPv6協議棧。

2. Windows XP/Windows 2003 操作系統

(1) IPv6 協議棧的安裝
在 開始 --> 運行 處執行 ipv6 install
(2) IPv6 地址設置
在 開始 --> 運行 處執行 netsh 進入系統網路參數設置環境,然後執行
interface ipv6
畫面顯示:netsh interface ipv6>
然後再執行
interface ipv6>add address 「 本地連接 」 2001:da8:207::9402
(3) IPv6 默認網關設置
在上述系統網路參數設置環境中執行
interface ipv6 add route ::/0 「 本地連接 」 2001:da8:207::9401 publish=yes
(4) 網路測試命令
ping6 、 tracert6

3. Windows Vista 操作系統

(1) 開始——程序——附件——右鍵點擊「命令提示符」——以管理員身份運行
(2) netsh interface ipv6 isatap set state enabled回車
(3) netsh interface ipv6 isatap set router 隧道IP 回車

4. Linux 操作系統

(1) 安裝ipv6協議
modprobe ipv6
(2)IPv6 地址設置
ifconfig eth0 inet6 add 2001:da8:207::9402
(3) IPv6 默認網關設置
route -A inet6 add ::/0 gw 2001:da8:207::9401
(4) 網路測試命令
ping6 、 traceroute6

5. Solaris 操作系統

(1) 創建 IPv6 介面
touch /etc/hostname6.hme0
(2)添加 IPv6 地址
在 /etc/inet/ipnodes 文件中 , 加入如下一行 :
2001:da8:207::9402 ipv6.bnu.edu.cn bnu-ipv6
(3)設置 dns 查找順序
在 /etc/nsswitch.conf 文件中 , 修改 hosts 和 ipnodes 項如下 :
hosts: files dns
ipnodes: files dns
(4) 添加默認路由
route add -inet6 default 2001:da8:207::9401 -interface
(5) 測試命令
ping -A inet6 IPv6 目標地址
traceroute -A inet6 IPv6 目標地址

IPv6的ISATAP隧道和6to4隧道測試

1. ISATAP隧道點IP地址是 isatap.sjtu.edu.cn

用戶設置isatap隧道的終結點router為 isatap.sjtu.edu.cn
Windows XP/2003 設置如下:
C:\Documents and Settings\Administrator>netsh
netsh>int
netsh interface>ipv6
netsh interface>ipv6>install
netsh interface ipv6>isatap
netsh interface ipv6 isatap>set router isatap.sjtu.edu.cn(或是高端路由器的IP)
Vista 設置如下:
滑鼠右鍵點擊「開始->程序->附件->命令提示符」,選擇「以管理員身份運行」。
在新開啟的【命令提示符】窗口中執行以下兩條命令:
netsh interface ipv6 isatap set router isatap.sjtu.edu.cn
netsh interface ipv6 isatap set state enabled (部分Vista系統的電腦會在本地LAN中發出IPv6 RA,導致相鄰用戶不走隧道,此時最好在本地網卡上禁用IPv6選項)
Linux 設置如下:
ip tunnel add sit1 mode sit remote 202.120.58.150 local a.b.c.d
ifconfig sit1 up
ifconfig sit1 add 2001:da8:8000:d010:0:5efe:a.b.c.d/64
ip route add ::/0 via 2001:da8:8000:d010::1 metric 1
注意: 上面的 a.b.c.d 請使用你的真實IPv4地址代替
配置好之後 ipconfig后應該看到一個2001:da8:8000:d010 為前綴的v6地址,hostid為5efe:a.b.c.d,其中a.b.c.d為你的真實的IPV4地址。
推薦使用ISATAP隧道方式接入,不要和下面的另一種6TO4隧道同時使用。

2. 網路中心6to4隧道點IP地址是202.112.26.246

如果您無法使用ISATAP方式接入,可以考慮使用這種方式。
用戶設置6to4隧道的終結點relay為202.112.26.246
Windows XP/2003 設置如下:
C:\Documents and Settings\Administrator>netsh
netsh>int
netsh interface>ipv6
netsh interface>ipv6>install
netsh interface ipv6>6to4
netsh interface ipv6 6to4>set relay 202.112.26.246 enable
然後 ipconfig后應該看到一個2002:xx:xx為前綴的v6地址,hostid亦為xx:xx,
其中xx.xx為你的真實的IPV4地址轉化成得ipv6地址。
自動獲得的默認網關是2002:ca70:1af6::ca70:1af6

定址

在 Internet 協議版本 6 (IPv6) 中,地址的長度是 128 位。地址空間如此大的一個原因是將可用地址細分為反映 Internet 的拓撲的路由域的層次結構。另一個原因是映射將設備連接到網路的網路適配器(或介面)的地址。IPv6 提供了內在的功能,可以在其最低層(在網路介面層)解析地址,並且還具有自動配置功能。

10 IPv6 -文本表示形式

IPv6IPv6
冒號十六進位形式

這是首選形式 n:n:n:n:n:n:n:n。每個 n 都表示八個 16 位地址元素之一的十六進位值。例如:3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562.

壓縮形式

由於地址長度要求,地址包含由零組成的長字元串的情況十分常見。為了簡化對這些地址的寫入,可以使用壓縮形式,在這一壓縮形式中,多個 0 塊的單個連續序列由雙冒號符號 (::) 表示。此符號只能在地址中出現一次。例如,多路廣播地址 FFED:0:0:0:0:BA98:3210:4562 的壓縮形式為 FFED::BA98:3210:4562。單播地址 3FFE:FFFF:0:0:8:800:20C4:0 的壓縮形式為 3FFE:FFFF::8:800:20C4:0。環回地址 0:0:0:0:0:0:0:1 的壓縮形式為 ::1。未指定的地址 0:0:0:0:0:0:0:0 的壓縮形式為 ::。

混合形式

此形式組合 IPv4 和 IPv6 地址。在此情況下,地址格式為 n:n:n:n:n:n:d.d.d.d,其中每個 n 都表示六個 IPv6 高序位 16 位地址元素之一的十六進位值,每個 d 都表示 IPv4 地址的十進位值。

11 IPv6 -地址類型

IPv6IPv6
格式前綴

地址中的前導位定義特定的 IPv6 地址類型。包含這些前導位的變長欄位稱作格式前綴 (FP)。

IPv6 單播地址被劃分為兩部分。第一部分包含地址前綴,第二部分包含介面標識符。表示 IPv6 地址/前綴組合的簡明方式如下所示:ipv6 地址/前綴長度。

以下是具有 64 位前綴的地址的示例。
3FFE:FFFF:0:CD30:0:0:0:0/64.
此示例中的前綴是 3FFE:FFFF:0:CD30。該地址還可以以壓縮形式寫入,如 3FFE:FFFF:0:CD30::/64。
IPv6 定義以下地址類型:

單播地址

用於單個介面的標識符。發送到此地址的數據包被傳遞給標識的介面。通過高序位八位位元組的值來將單播地址與多路廣播地址區分開來。多路廣播地址的高序列八位位元組具有十六進位值 FF。此八位位元組的任何其他值都標識單播地址。

以下是不同類型的單播地址:

鏈路-本地地址。這些地址用於單個鏈路並且具有以下形式:FE80::InterfaceID。鏈路-本地地址用在鏈路上的各節點之間,用於自動地址配置、鄰居發現或未提供路由器的情況。鏈路-本地地址主要用於啟動時以及系統尚未獲取較大範圍的地址之時。

站點-本地地址。這些地址用於單個站點並具有以下格式:FEC0::SubnetID:InterfaceID。站點-本地地址用於不需要全局前綴的站點內的定址。

全局 IPv6 單播地址。這些地址可用在 Internet 上並具有以下格式:010(FP,3 位)TLA ID(13 位)Reserved(8 位)NLA ID(24 位)SLA ID(16 位)InterfaceID(64 位)。

任播地址

一組介面的標識符(通常屬於不同的節點)。發送到此地址的數據包被傳遞給該地址標識的所有介面。任播地址類型代替 IPv4廣播地址。

任播地址。一組介面的標識符(通常屬於不同的節點)。發送到此地址的數據包被傳遞給該地址標識的唯一一個介面。這是按路由標準標識的最近的介面。任一廣播地址取自單播地址空間,而且在語法上不能與其他地址區別開來。定址的介面依據其配置確定單播和任一廣播地址之間的差別。

通常,節點始終具有鏈路-本地地址。它可以具有站點-本地地址和一個或多個全局地址。

組播地址

IPv6中的組播在功能上與IPv4中的組播類似:表現為一組介面對看到的流量都很感興趣。

組播分組前8比特設置為FF。接下來的4比特是地址生存期:0是永久的,而1是臨時的。接下來的4比特說明了組播地址範圍(分組可以達到多遠):1為節點,2為鏈路,5為站點,8為組織,而E是全局(整個網際網路)。

12 IPv6 -路由

IPv6IPv6
路由機制

IPv6 的優點之一就是提供靈活的路由機制。由於分配 IPv4 網路 ID所用的方式,要求位於 Internet 中樞上的路由器維護大型路由表。這些路由器必須知道所有的路由,以便轉發可能定向到 Internet 上的任何節點的數據包。通過其聚合地址能力,IPv6 支持靈活的定址方式,大大減小了路由表的規模。在這一新的定址結構中,中間路由器必須只跟蹤其網路的本地部分,以便適當地轉發消息。

鄰居發現

鄰居發現提供以下一些功能:

路由器發現。這允許主機標識本地路由器。地址解析。這允許節點為相應的下一躍點地址解析鏈路層地址(替代地址解析協議 [ARP])。地址自動配置。這允許主機自動配置站點-本地地址和全局地址。鄰居發現將 Internet 控制消息協議用於 IPv6 (ICMPv6) 消息,這些消息包括:路由器廣告。在偽定期的基礎上或響應路由器請求由路由器發送。IPv6 路由器使用路由器廣告來公布其可用性、地址前綴和其他參數。路由器請求。由主機發送,用於請求鏈路上的路由器立即發送路由器廣告。鄰居請求。由節點發送,以用於地址解析、重複地址檢測,或用於確認鄰居是否仍可訪問。鄰居廣告。由節點發送,以響應鄰居請求或通知鄰居鏈路層地址中發生了更改。 重定向。由路由器發送,從而為某一發送節點指示指向特定目標的更好的下一躍點地址。

13 IPv6 -自動配置

IPv6IPv6
即插即用

IPv6 的一個重要目標是支持節點即插即用。也就是說,應該能夠將節點插入 IPv6 網路並且不需要任何人為干預即可自動配置它。

自動配置的類型

IPv6 支持以下類型的自動配置:

全狀態自動配置。此類型的配置需要某種程度的人為干預,因為它需要動態主機配置協議來用於 IPv6 (DHCPv6) 伺服器,以便用於節點的安裝和管理。DHCPv6 伺服器保留它為之提供配置信息的節點的列表。它還維護狀態信息,以便伺服器知道每個在使用中的地址的使用時間長度以及該地址何時可供重新分配。

無狀態自動配置。此類型配置適合於小型組織和個體。在此情況下,每一主機根據接收的路由器廣告的內容確定其地址。通過使用 IEEE EUI-64 標準來定義地址的網路 ID 部分,可以合理假定該主機地址在鏈路上是唯一的。

不管地址是採用何種方式確定的,節點都必須確認其可能地址對於本地鏈路是唯一的。這是通過將鄰居請求消息發送到可能的地址來實現的。如果節點接收到任何響應,它就知道該地址已在使用中並且必須確定其他地址。

IPv6 移動性

移動設備的迅速普及帶來了一項新的要求:設備必須能夠在 IPv6 Internet 上隨意更改位置但仍維持現有連接。為提供此功能,需要給移動節點分配一個本地地址,通過此地址總可以訪問到它。在移動節點位於本地時,它連接到本地鏈路並使用其本地地址。在移動節點遠離本地時,本地代理(通常是路由器)在該移動節點和正與其進行通信的節點之間傳遞消息。

14 IPv6 -安全

IPv6IPv6
拒絕服務攻擊

現實Internet上的各種攻擊、黑客、網路蠕蟲病毒弄得網民人人自危,每天上網開了實時防病毒程序還不夠,還要繼續使用個人防火牆,打開實時防木馬程序才敢上網衝浪。諸多人把這些都歸咎於IPv4網路。現在IPv6來了,它設計的時候充分研究了以前IPv4的各種問題,在安全性上得到了大大的提高。但是是不是IPv6就沒有安全問題了?答案是否定的。

目前,病毒和互聯網蠕蟲是最讓人頭疼的網路攻擊行為。但這種傳播方式在IPv6的網路中就不再適用了,因為IPv6的地址空間實在是太大了,如果這些病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘之機的其他主機,就猶如大海撈針。在IPv6的世界中,對IPv6網路進行類似IPv4的按照IP地址段進行網路偵察是不可能了。

所以,在IPv6的世界里,病毒、互聯網蠕蟲的傳播將變得非常困難。但是,基於應用層的病毒和互聯網蠕蟲是一定會存在的,電子郵件的病毒還是會繼續傳播。此外,還需要注意IPv6網路中的關鍵主機的安全。IPv6中的組發地址定義方式給攻擊者帶來了一些機會。例如,IPv6地址FF05::3是所有的DHCP伺服器,就是說,如果向這個地址發布一個IPv6報文,這個報文可以到達網路中所有的DHCP伺服器,所以可能會出現一些專門攻擊這些伺服器的拒絕服務攻擊。

IPv4到IPv6的過渡技術

不管是IPv4還是IPv6,都需要使用DNS,IPv6網路中的DNS伺服器就是一個容易被黑客看中的關鍵主機。也就是說,雖然無法對整個網路進行系統的網路偵察,但在每個IPv6的網路中,總有那麼幾台主機是大家都知道網路名字的,也可以對這些主機進行攻擊。而且,因為IPv6的地址空間實在是太大了,很多IPv6的網路都會使用動態的DNS服務。而如果攻擊者可以攻佔這台動態DNS伺服器,就可以得到大量的在線IPv6的主機地址。另外,因為IPv6的地址是128位,很不好記,網路管理員可能會常常使用一下好記的IPv6地址,這些好記的IPv6地址可能會被編輯成一個類似字典的東西,病毒找到IPv6主機的可能性小,但猜到IPv6主機的可能性會大一些。而且由於IPv6和IPv4要共存相當長一段時間,很多網路管理員會把IPv4的地址放到IPv6地址的后32位中,黑客也可能按照這個方法來猜測可能的在線IPv6地址。所以,對於關鍵主機的安全需要特別重視,不然黑客就會從這裡入手從而進入整個網路。所以,網路管理員在對主機賦予IPv6地址時,不應該使用好記的地址,也要盡量對自己網路中的IPv6地址進行隨機化,這樣會在很大程度上減少這些主機被黑客發現的機會。

以下這些網路攻擊技術,不管是在IPv4還是在IPv6的網路中都存在,需要引起高度的重視:報文偵聽,雖然IPv6提供了IPSEC最為保護報文的工具,但由於公匙和密匙的問題,在沒有配置IPsec的情況下,偷看IPv6的報文仍然是可能的;應用層的攻擊,顯而易見,任何針對應用層,如WEB伺服器,資料庫伺服器等的攻擊都將仍然有效;中間人攻擊,雖然IPv6提供了IPsec,還是有可能會遭到中間人的攻擊,所以應盡量使用正常的模式來交換密匙;洪水攻擊,不論在IPv4還是在IPv6的網路中,向被攻擊的主機發布大量的網路流量的攻擊將是會一直存在的,雖然在IPv6中,追溯攻擊的源頭要比在IPv4中容易一些。

15 IPv6 -過渡技術

IPv6IPv6
遵循的原則與目標

由於Internet的規模以及目前網路中數量龐大的IPv4用戶和設備,IPv4到v6的過渡不可能一次性實現。而且,目前許多企業和用戶的日常工作越來越依賴於Internet,它們無法容忍在協議過渡過程中出現的問題。所以IPv4到v6的過渡必須是一個循序漸進的過程,在體驗IPv6帶來的好處的同時仍能與網路中其餘的IPv4用戶通信。能否順利地實現從IPv4到IPv6的過渡也是IPv6能否取得成功的一個重要因素。

實際上,IPv6在設計的過程中就已經考慮到了IPv4到IPv6的過渡問題,並提供了一些特性使過渡過程簡化。例如,IPv6地址可以使用IPv4兼容地址,自動由IPv4地址產生;也可以在IPv4的網路上構建隧道,連接IPv6孤島。目前針對IPv4-v6過渡問題已經提出了許多機制,它們的實現原理和應用環境各有側重,這一部分里將對IPv4-v6過渡的基本策略和機製做一個系統性的介紹。

在IPv4-v6過渡的過程中,必須遵循如下的原則和目標:

保證IPv4和IPv6主機之間的互通;
在更新過程中避免設備之間的依賴性(即某個設備的更新不依賴於其它設備的更新);
對於網路管理者和終端用戶來說,過渡過程易於理解和實現;
過渡可以逐個進行;
用戶、運營商可以自己決定何時過渡以及如何過渡。

主要分三個方面:IP層的過渡策略與技術、鏈路層對IPv6的支持、IPv6對上層的影響。

對於IPV4向IPV6技術的演進策略,業界提出了許多解決方案。特別是IETF組織專門成立了一個研究此演變的研究小組NGtrans,已提交了各種演進策略草案,并力圖使之成為標準。縱觀各種演進策略,主流技術大致可分如下幾類:

雙棧策略

實現IPv6結點與IPv4結點互通的最直接的方式是在IPv6結點中加入IPv4協議棧。具有雙協議棧的結點稱作「IPv6/v4結點」,這些結點既可以收發IPv4分組,也可以收發IPv6分組。它們可以使用IPv4與IPv4結點互通,也可以直接使用IPv6與IPv6結點互通。雙棧技術不需要構造隧道,但後文介紹的隧道技術中要用到雙棧。 IPv6/v4結點可以只支持手工配置隧道,也可以既支持手工配置也支持自動隧道。

隧道技術

在IPV6發展初期,必然有許多局部的純IPV6網路,這些IPV6網路被IPV4骨幹網路隔離開來,為了使這些孤立的「IPV6島」互通,就採取隧道技術的方式來解決。利用穿越現存IPV4網際網路的隧道技術將許多個「IPV6孤島」連接起來,逐步擴大IPV6的實現範圍,這就是目前國際IPV6試驗床6Bone的計劃。

工作機理:在IPV6網路與IPV4網路間的隧道入口處,路由器將IPV6的數據分組封裝入IPV4中,IPV4分組的源地址和目的地址分別是隧道入口和出口的IPV4地址。在隧道的出口處再將IPV6分組取出轉發給目的節點。

隧道技術在實踐中有四種具體形式:構造隧道、自動配置隧道、組播隧道以及6to4。

TB(Tunnel Broker,隧道代理)

對於獨立的v6用戶,要通過現有的IPv4網路連接IPv6網路上,必須使用隧道技術。但是手工配置隧道的擴展性很差,TB的主要目的就是簡化隧道的配置,提供自動的配置手段。對於已經建立起IPv6的ISP來說,使用TB技術為網路用戶的擴展提供了一個方便的手段。從這個意義上說,TB可以看作是一個虛擬的IPv6 ISP,它為已經連接到IPv4網路上的用戶提供連接到IPv6網路的手段,而連接到IPv4網路上的用戶就是TB的客戶。

雙棧轉換機制(DSTM)

DSTM的目標是實現新的IPv6網路與現有的IPv4網路之間的互通。使用DSTM,IPv6網路中的雙棧結點與一個IPv4網路中的IPv4主機可以互相通信。DSTM的基本組成部分包括:

DHCPv6伺服器,為IPv6網路中的雙棧主機分配一個臨時的IPv4全網唯一地址,同時保留這個臨時分配的IPv4地址與主機IPv6永久地址之間的映射關係,此外提供IPv6隧道的隧道末端(TEP)信息;

動態隧道埠DTI:每個DSTM主機上都有一個IPv4埠,用於將IPv4報文打包到IPv6報文里;

DSTM deamon:與DHCPv6客戶端協同工作,實現IPv6地址與IPv4地址之間的解析。

協議轉換技術

其主要思想是在V6節點與V4節點的通信時需藉助於中間的協議轉換伺服器,此協議轉換伺服器的主要功能是把網路層協議頭進行V6/V4間的轉換,以適應對端的協議類型。

優點:能有效解決V4節點與V6節點互通的問題。

缺點:不能支持所有的應用。這些應用層程序包括:① 應用層協議中如果包含有IP地址、埠等信息的應用程序,如果不將高層報文中的IP地址進行變換,則這些應用程序就無法工作,如FTP、STMP等。② 含有在應用層進行認證、加密的應用程序無法在此協議轉換中工作。

SOCKS64

一個是在客戶端里引入SOCKS庫,這個過程稱為「socks化」(socksifying),它處在應用層和socket之間,對應用層的socket API和DNS名字解析API進行替換;

 另一個是SOCKS網關,它安裝在IPv6/v4雙棧結點上,是一個增強型的SOCKS伺服器,能實現客戶端C和目的端D之間任何協議組合的中繼。當C上的SOCKS庫發起一個請求后,由網關產生一個相應的線程負責對連接進行中繼。SOCKS庫與網關之間通過SOCKS(SOCKSv5)協議通信,因此它們之間的連接是「SOCKS化」的連接,不僅包括業務數據也包括控制信息;而G和D之間的連接未作改動,屬於正常連接。D上的應用程序並不知道C的存在,它認為通信對端是G。

傳輸層中繼(Transport Relay)

與SOCKS64的工作機理相似,只不過是在傳輸層中繼器進行傳輸層的「協議翻譯」,而SOCKS64是在網路層進行協議翻譯。它相對於SOCKS64,可以避免「IP分組分片」和「ICMP報文轉換」帶來的問題,因為每個連接都是真正的IPV4或IPV6連接。但同樣無法解決網路應用程序數據中含有網路地址信息所帶來的地址無法轉換的問題。

應用層代理網關(ALG)

ALG是Application Level Gateway的簡稱,與SOCKS64、傳輸層中繼等技術一樣,都是在V4與V6間提供一個雙棧網關,提供「協議翻譯」的功能,只不過ALG是在應用層級進行協議翻譯。這樣可以有效解決應用程序中帶有網路地址的問題,但ALG必須針對每個業務編寫單獨的ALG代理,同時還需要客戶端應用也在不同程序上支持ALG代理,靈活性很差。顯然,此技術必須與其它過渡技術綜合使用,才有推廣意義。

過渡策略總結

雙棧、隧道是主流
所有的過渡技術都是基於雙棧實現的
不同的過渡策略各有優劣、應用環境不同
網路的演進過程中將是多種過渡技術的綜合
根據運營商具體的網路情況進行分析
由不同的組織或個人提出的IPV4向IPV6平滑過渡策略技術很多,它們都各有自己的優勢和缺陷。因此,最好的解決方案是綜合其中的幾種過渡技術,取長補短,同時,兼顧各運營商具體的網路設施情況,並考慮成本的因素,為運營商設計一套適合於他自己發展的平滑過渡解決方案。

16 IPv6 -測試

IPv6IPv6

IPv6產品經過測試,獲得「IPv6 Ready」Logo,即表明該產品是業界公認的支持.
IPv6 Ready:Phase I 第一階段

基本測試(RFC2460, 2461, 2462, 2463)
測試對象:主機,路由器,交換機,應用終端,系統軟體,特殊設備通告設備、服務的互通性和一致性情況

IPv6 Ready:Phase II 第二階段
Phase II面向專業應用, 增加Core,IPsec,MIPv6等增強特性的測試,根據IPv6技術標準檢查和確保設備與服務的互通性和一致性.

Core測試
RFC: 1981,2460,2461,2462,2463
測試對象:主機,路由器

IPsec測試
RFC: 1829,1851,2401,2403,2404,2405,2406,2410,3566,3602
測試對象: End-Node(終端節點),SGW(信令網關)

MIPv6測試
RFC: 3775,3776
測試對象: MN(移動節點),CN(通信節點),HA(家鄉代理)

NEMO測試
RFC:3963,3775
測試對象:家鄉代理和移動路由器

DHCPv6測試
RFC:3315,3646,3736
測試對象:客戶端、伺服器和中繼代理

SIP測試
RFC: 3261,3264,4566,2617,3665
測試對象:SIP伺服器和SIP UA

17 IPv6 -地址設置及使用方法

IPv6IPv6

IPv6 協議棧的安裝及 IPv6 地址設置指南
1. Windows XP/Windows 2003 操作系統
(1) IPv6 協議棧的安裝
在 開始 --> 運行 處執行 ipv6 install
(2) IPv6 地址設置
在 開始 --> 運行 處執行 netsh 進入系統網路參數設置環境,然後執行
interface ipv6 add address 「 本地連接 」 2001:da8:207::9402
(3) IPv6 默認網關設置
在上述系統網路參數設置環境中執行[2]
interface ipv6 add route ::/0 「 本地連接 」 2001:da8:207::9401 publish=yes
(4) 網路測試命令
ping6 、 tracert6
2. Windows 2000 操作系統
(1) 下載 IPv6 軟體包
(2) 安裝 IPv6 軟體包
解壓后,執行 Hotfix
(3 ) 添加 IPv6 協議
從控制面板中,進入 網路和撥號連接 中,右擊 本地連接 ,點擊屬性,打開 本地連接屬性 窗口,點擊 安裝 按鈕,然後在彈出的窗口中,選擇 協議 , 並點擊 添加 ,在彈出的窗口中,你會發現 Microsoft IPv6 Protocol ,選擇這個選項,點擊 確定, Reboot 計算機,以使 IPv6 協議棧生效 。

(4)IPv6 地址設置
在 開始 --> 運行 處執行 ipv6 adu 4/2001:da8:207::9402
(5) IPv6 默認網關設置
在 開始 --> 運行 處執行 ipv6 rtu ::/0 4/2001:da8:207::9401
(6) 網路測試命令
ping6 、 tracert6
3. Linux 操作系統
(1) 安裝ipv6協議
modprobe ipv6
(2)IPv6 地址設置
ifconfig eth0 inet6 add 2001:da8:207::9402
(3) IPv6 默認網關設置
route -A inet6 add ::/0 gw 2001:da8:207::9401
(4) 網路測試命令
ping6 、 traceroute6
4. Solaris 操作系統
(1) 創建 IPv6 介面
touch /etc/hostname6.hme0
(2)添加 IPv6 地址
在 /etc/inet/ipnodes 文件中 , 加入如下一行 :
2001:da8:207::9402 ipv6.bnu.edu.cn bnu-ipv6
(3)設置 dns 查找順序
在 /etc/nsswitch.conf 文件中 , 修改 hosts 和 ipnodes 項如下 :
hosts: files dns
ipnodes: files dns
(4) 添加默認路由
route add -inet6 default 2001:da8:207::9401 -interface
(5) 測試命令
ping -A inet6 IPv6 目標地址
traceroute -A inet6 IPv6 目標地址

18 IPv6 -地址結構

IPv6的地址格式與IPv4不同,取消了IPv4地址分類的概念。IPv6的地址長度為128位,由8個地址節組成,每節包含16個地址位,地址節以4個十六進位數表示,地址節之間用冒號分隔,例如:B91C:FA81:FFFF:DE00:5564:9881:AACC:B48C。

IPv6中地址有三種類型:單點傳送(Unicast)、多點傳送(Multicast)、任意點傳送(ANYCAST),也有文獻稱之為單播、組播、泛播地址。所有類型的IPv6地址都是屬於介面(Interface)而不是節點(node)。

● 單點傳送地址:一個IPv6單點傳送地址被賦給某一個介面,而一個介面又只能屬於某一個特定的節點,因此一個節點的任意一個介面的單點傳送地址都可以用來標示該節點。

● 多點傳送地址:多點傳送地址是一個地址標識符對應多個介面的情況(通常屬於不同節點)。IPv6多點傳送地址用於表示一組節點,一個節點可能會屬於幾個多點傳送地址。這個功能被多媒體應用程序所廣泛使用,它們需要一個節點到多個節點的傳輸。

● 任意點傳送地址:任意點傳送地址也是一個標識符對應多個介面的情況。如果一個報文要求被傳送到一個任意點傳送地址,則它將被傳送到由該地址標識的一組介面中的最近一個(根據路由選擇協議距離度量方式決定)。 

IETF制定了推動IPv4向IPv6過渡的方案,包括三個機制:兼容IPv4的IPv6地址、雙IP協議棧和基於IPv4隧道的IPv6。

上一篇[手冢]    下一篇 [一個愛的故事]

相關評論

同義詞:暫無同義詞