網(wǎng)絡工程師培訓(3)-IPv6

1、下一代互聯(lián)網(wǎng)協(xié)議下一代互聯(lián)網(wǎng)協(xié)議IPv6IPv6下一代互聯(lián)網(wǎng)協(xié)議IPv6v為什么要引入IP？vIPv4的可擴展性問題vIPv6概述v鄰機發(fā)現(xiàn)機制vIPv6地址自動配置vIPv4/IPv6過渡vIPv6相關應用程序接口v總結(jié)主要內(nèi)容下一代互聯(lián)網(wǎng)協(xié)議IPv6v為什么要引入IP？vIPv4的可擴展性問題vIPv6概述v鄰機發(fā)現(xiàn)機制vIPv6地址自動配置vIPv4/IPv6過渡vIPv6相關應用程序接口v總結(jié)主要內(nèi)容1. 為什么引入IP 異構(gòu)性（Heterogeneity） 不同網(wǎng)絡的主機能夠進行通信，包括以太網(wǎng)、802.11無線局域網(wǎng)、令牌環(huán)網(wǎng)、點對點鏈路等 編址方案、媒介訪問協(xié)議、服務模型等不同

2、可擴展性（Scale） 網(wǎng)絡規(guī)模不斷擴大 幾百萬甚至幾十億個節(jié)點互連實現(xiàn)網(wǎng)絡互連尋址（Addressing）路由選擇（Routing）移動管理（Mobility）服務質(zhì)量管理（QoS）安全1. 為什么引入IP IP提供的是盡力傳送服務（best-effort） 無連接，分組攜帶足夠的信息能使網(wǎng)絡將分組傳送到目的地 不保證分組可靠到達目的地，可能出現(xiàn)分組的丟失，亂序服務模型路由器設計原則：使網(wǎng)絡盡可能的簡單端系統(tǒng)端系統(tǒng)1. 為什么引入IP 尋址模型Internet尋址應用進程（與端口號關聯(lián)）端口號（16bits）IP地址（32或者128bits）鏈路地址（MAC地址為48bits）發(fā)送數(shù)據(jù)的地址

3、或者端口包括發(fā)送數(shù)據(jù)方的源地址或者源端口，接收數(shù)據(jù)方的目的地址或者目的端口端口：在主機上標識應用進程，由程序或者系統(tǒng)指定IP地址：標識Internet上的某臺主機，由程序或者系統(tǒng)指定鏈路地址（MAC地址）：標識鏈路上的某個接口設備，目的MAC地址由ARP（IPv4）或者鄰機發(fā)現(xiàn)機制（IPv6）獲得路由器1. 為什么引入IP 數(shù)據(jù)傳輸流程Internet尋址運行運行FTP應用程序應用程序調(diào)用FTP應用層模塊，將內(nèi)容封裝在FTP協(xié)議中調(diào)用TCP模塊，將上層內(nèi)容封裝在TCP協(xié)議中調(diào)用IP模塊，對每個數(shù)據(jù)段加上IP分組頭對每個IP分組加上以太幀頭或幀尾將數(shù)據(jù)幀的二進制碼轉(zhuǎn)換成光電信號應用層（與端口綁定

4、，協(xié)議數(shù)據(jù)單元稱為消息）傳輸層：端口尋址，協(xié)議數(shù)據(jù)單元稱為TCP數(shù)據(jù)段網(wǎng)絡層：IP地址尋址，協(xié)議數(shù)據(jù)單元稱為IP分組數(shù)據(jù)鏈路層：MAC地址尋址，協(xié)議數(shù)據(jù)單元稱為數(shù)據(jù)幀物理層Seg1Seg2Seg3IPH Seg1IPH Seg2IPH Seg3FS IPH Seg1 FEFS IPH Seg2 FEFS IPH Seg3 FE下一代互聯(lián)網(wǎng)協(xié)議IPv6v為什么要引入IP？vIPv4的可擴展性問題vIPv6概述v鄰機發(fā)現(xiàn)機制vIPv6地址自動配置vIPv4/IPv6過渡vIPv6相關應用程序接口v總結(jié)主要內(nèi)容2. IPv4的可擴展性問題 IPv4地址長度為32比特，理論上IPv4地址的最大數(shù)量為2

5、32-1，大約為43億問題描述32 bits網(wǎng)絡號（NET）主機號（HOST）101010100101010100110011110011008 bits1708551204十進制表示(W.X.Y.Z)二進制表示2. IPv4的可擴展性問題 IPv4單播地址采用分類的方式進行分配 IP地址中網(wǎng)絡號或主機號為全0或全1的一般用做特殊處理，不用來標識網(wǎng)絡或主機問題描述 (128 191) (192 223)Class AClass BClass C(0127)Class DClass E（224-239）（240-247）HOSTHOSTHOSTNETHOSTHOSTNETNETHOST0 NET

6、 10 NET 110 NET 播地留地1110 11110 保 組址址單播地址隨著越來越多的設備接入Internet，IPv4地址資源出現(xiàn)衰竭跡象，有人預測到2010年IPv4地址將耗盡2. IPv4的可擴展性問題 采用層次結(jié)構(gòu) 劃分子網(wǎng) 無類別域間尋路 網(wǎng)絡地址轉(zhuǎn)換解決方案概述基本思想：為提高IP地址的利用率，對IP地址進行匯聚，以減少路由協(xié)議中路由選擇消息攜帶的和路由器的路由表中儲存的網(wǎng)絡號的數(shù)量最終的解決方案是采用IPv62. IPv4的可擴展性問題 子網(wǎng)subnet：將大的A/B/C類網(wǎng)絡劃分為多個小的子網(wǎng)，對外仍然表現(xiàn)為一個單獨的網(wǎng)絡，只有一個網(wǎng)絡號 IP地址=網(wǎng)絡號+子網(wǎng)ID+主

7、機號解決方案劃分子網(wǎng)子網(wǎng)號子網(wǎng)號2. IPv4的可擴展性問題 無類別域間尋路CIDR：Classless Inter-Domain Routing RFC1518，RFC1519 采用可變長度的網(wǎng)絡前綴(network prefix)來取代地址分類中網(wǎng)絡號長度固定的做法 具有相同前綴的IP地址組成CIDR Block，表示為A.B.C.D/N，其中N為前綴長度 例如/20 VLSM：Variable-Length Subnet Masking，等同于CIDR概念，置1的比特數(shù)量等于前綴長度 CIDR Block分配 IANA（Internet Assigned Numb

8、ers Authority）-RIRs（Regional Internet Registries）-ISPs（Internet Service Providers）-Subscribers解決方案無類別域間尋路2. IPv4的可擴展性問題 前綴匯聚： Prefix Aggregation 具有相同前綴的多個連續(xù)的CIDR Block可以匯聚成一個更短前綴路由 16個連續(xù)的/24的CIDR Block可以匯聚成一條/20的路由解決方案無類別域間尋路例如：CIDR Block /24/24，所有地址的高20位都是11000000 00000100 0001，

9、因此可以用一條路由表項/20來表示2. IPv4的可擴展性問題路由表結(jié)構(gòu) 在CIDR中，如果路由器上的路由表中有多條表項滿足要求，則采用前綴最長匹配規(guī)則解決方案無類別域間尋路對于目的地址為0的分組，匹配的路由表表項包括兩項（/16和/18），但是使用最長匹配規(guī)則選擇下一跳為R12. IPv4的可擴展性問題 網(wǎng)絡地址轉(zhuǎn)換NAT：Network Address Translation 實現(xiàn)網(wǎng)絡內(nèi)的多臺主機共享一個全局的IP地址 根據(jù)作用范圍的不同，分兩種IP地址 全局IP地址：用于Internet上的分組轉(zhuǎn)發(fā)，

10、要求在Internet范圍內(nèi)唯一， 私有IP地址：用于指定網(wǎng)絡內(nèi)的分組轉(zhuǎn)發(fā)，只要求在指定網(wǎng)內(nèi)部唯一解決方案網(wǎng)絡地址轉(zhuǎn)換內(nèi)部網(wǎng)絡NAT設備全局IP地址私有IP地址Internet2. IPv4的可擴展性問題 常用私有IP地址 - 55A single Class A network 172.16 .0.0- 172.31 .255.255 16 contiguous Class B networks - 192.168.255 .255 256 contiguous Class C networks解決方案網(wǎng)絡地址轉(zhuǎn)換2. IPv

11、4的可擴展性問題解決方案網(wǎng)絡地址轉(zhuǎn)換到Internet到內(nèi)部網(wǎng)絡源IP地址：目的IP地址：源IP地址：1目的IP地址：11NAT操作會改變分組的IP頭標，因此要重新計算檢驗和轉(zhuǎn)換表(自動生成) 基本網(wǎng)絡地址轉(zhuǎn)換2. IPv4的可擴展性問題解決方法：使用TCP或者UDP端口號來區(qū)分，也就是說NAT的依據(jù)不再僅僅是IP地址，還包括端口號問題：基本的地址轉(zhuǎn)換只使用IP地址信息，在只有一個全局IP地址的情況下，對于從Internet到內(nèi)部網(wǎng)絡上的分組，NAT設備無法知道分組所對應的內(nèi)部主機，或者同一臺內(nèi)部

12、主機上的應用Internet54Web serverabcNAT，，mapped to 1Request received and accepted. Destination: 1?解決方案網(wǎng)絡地址轉(zhuǎn)換2. IPv4的可擴展性問題 網(wǎng)絡地址和端口轉(zhuǎn)換NAPT：Network Address and Port Translation 最常用的一種NAT方式 使用IP地址和TCP/UDP端口號 端口號標識了同一臺主機上不

13、同的應用進程，例如FTP服務器進程一般運行在21號端口，web服務進程一般運行在80號端口，TCP/UDP根據(jù)端口號將數(shù)據(jù)投遞給相應的應用進程 NAPT操作不僅僅要修改分組的IP頭標，還要修改TCP/UDP頭標中的端口號 在NAT設備上，雖然內(nèi)部網(wǎng)絡所有的主機共享同一個全局IP地址，但是它們所使用的端口號不同解決方案網(wǎng)絡地址轉(zhuǎn)換2. IPv4的可擴展性問題Internet54Web serverabcNAT1Connection request to port 80 from c to source 10.0

14、.0.3, port 10.3, port 1025mapped to 1, port 2000Connection request from c forwarded to source 1, port 2000.Request received and accepted. 解決方案網(wǎng)絡地址轉(zhuǎn)換 網(wǎng)絡地址和端口轉(zhuǎn)換InternetWeb serverabcNAT響應發(fā)往 1:2000 將1: 2000轉(zhuǎn)換為 :

15、1025下一代互聯(lián)網(wǎng)協(xié)議IPv6v為什么要引入IP？vIPv4的可擴展性問題vIPv6概述v鄰機發(fā)現(xiàn)機制vIPv6地址自動配置vIPv4/IPv6過渡vIPv6相關應用程序接口v總結(jié)主要內(nèi)容3. IPv6概述為什么引入IPv6?IPv4可擴展性問題地址空間不足路由表急劇膨脹IPv6地址長度128比特采用層次結(jié)構(gòu)實時應用支持自動配置安全性移動性IPv4/IPv6過渡機制3. IPv6概述 IETF ： IP Version 6 Working Group 制訂IPv6規(guī)范和標準 IPv6 Operations 為運營IPv4/IPv6共存的Internet和在

16、已有的IPv4網(wǎng)絡或者新的網(wǎng)絡安裝中部署IPv6提供指導 其它IPv6相關工作組 6lowpan, mip6, mipshop, monami6, multi6, shim6 3GPP ： IP多媒體子系統(tǒng) (IMS)使用IPv6 ITU-T ：/ITU-T/index.html 在電信網(wǎng)絡中采用IPv6技術IPv6標準化進程3. IPv6概述6BONE：http:/1996年IETF建立的IPv6測試床2004年1月1日：不再分配3ffe前綴2006年6月6日：結(jié)束使命The IPv6 Forum：http:/倡導IPv6

17、，提升IPv6的市場和用戶意識IPv6 Ready Logo Program (Phase 2)WIDE：http:/www.wide.ad.jpKAME，USAGE，TAHI：實現(xiàn)和驗證IPv6Nautilus6：移動通信中的IPv6應用.IPv6 Cluster：歐洲IPv6研究和開發(fā)項目IPv6 Cluster Member：Euro6IX ，6NETMoonv6多家設備商參與部署的世界上最大的IPv6網(wǎng)絡國外IPv6研究和應用3. IPv6概述國內(nèi)IPv6部署3. IPv6概述基本頭標格式1）擴展地址空間，128位地址長度2）改善了選項功能，

18、簡化了頭標3）修訂了參數(shù)，增加了流標記域3. IPv6概述V6: 6 fields + 2 addrV4: 10 fields + 2 addr + optionsDeleted: Header length type of serviceidentification, flags, fragment offsetHeader ChecksumAdded:Traffic classFlow labelRenamed:length - Payload lengthProtocol - Next headertime to live - Hop LimitRedefined: Option mec

19、hanismIPv6和IPv4的比較Traffic class3. IPv6概述Version 4 bit IP version (6)Traffic Class 8 bit priority valueFlow Label 20 bitPayload Length 16 bit length of packetIncludes all extension headers plus user dataAllows for 216 1 (65,535) bytesOptional Extension Headers allow for larger packet sizesNext Header

20、 8 bit identifier of next headerHop Limit 8 bit value denoting number of hops left before packet is droppedSource Address 128 bit address of sending hostTarget Address 128 bit address of target hostIPv6基本頭標說明“流是指從某個源節(jié)點向（單播流是指從某個源節(jié)點向（單播或組播）目的節(jié)點發(fā)送的分組群或組播）目的節(jié)點發(fā)送的分組群中，源節(jié)點點要求中間路由器作中，源節(jié)點點要求中間路由器作特殊處理的那些分組

21、特殊處理的那些分組”。換句話。換句話說，流是指源節(jié)點、目的節(jié)點和說，流是指源節(jié)點、目的節(jié)點和流標記三者分別相同的分組的集流標記三者分別相同的分組的集合。合。 3. IPv6概述IPv6擴展頭標源IP地址目的IP地址8. IPv6尋址 IPv6基本頭標 中繼點選項頭標 信宿選項頭標 尋路頭標 分段頭標 認證頭標 封裝化安全凈荷 信宿選項頭標IPv6擴展頭標順序中間路由器處理目的節(jié)點處理8. IPv6尋址尋路頭標地址n保留地址0下一頭標頭標長度類型剩余中繼點數(shù) 格式.HLSL8. IPv6尋址 舉例尋路頭標3. IPv6概述 128位地址可產(chǎn)生2128個地址 理論上說，地球上每平方米有665,57

22、0,793,348,866,943,898,599個IPv6地址. 保守估計，地球上每平方米可用的IPv6地址數(shù)超過1600 表示方法采用十六進制冒號分割法 如1025:1ab6:0:0:0:87:a76f:1234 以上地址還可表示為1025:1ab6:87:a76f:1234 混合表示 :FFFF:8 地址前綴表示：IPv6地址/前綴長度 2001:da8:d800:3/64IPv6地址3. IPv6概述 IPv6地址空間分配:RFC4291 單播地址(Unicast) 標識單個接口,單播地址的分組被發(fā)送到該接口 組播地址(Multicast) 標識通常屬于不同節(jié)點

23、的一組接口,組播地址的分組被發(fā)送到所有的接口 任播地址(Anycast) 標識通常屬于節(jié)點上的一組接口,任播地址的分組被發(fā)送到最近的那個接口(依據(jù)路由協(xié)議度量的最近距離)IPv6地址類型IPv4地址空間分配單播地址、組播地址、廣播地址IPv6中沒有廣播地址,其功能被組播地址所代替3. IPv6概述 全局地址 站點局部(site-local)地址(FEC0:/48)(棄用) 鏈路局部(Link-local)地址(FE80:/64)單播地址Network PrefixLink-LocalSite-LocalGlobal3. IPv6概述 格式組播地址Flags: P=1,T=1Unicast Pr

24、efix: 3FFE:FFFF:1:/48Multicast prefix: FF3x:0030:3FFE:FFFF:0001:/96Where x is any valid scope, 0 x30=48 is the prefix len 3. IPv6概述 已定義的常用的組播地址 全節(jié)點地址： FF01:1(node-local)FF02:1(link-local) 全路由器地址: FF01:2(node-local)FF02:2(link-local)FF05:2(site-local) 被請求節(jié)點地址（Solicited-node address） FF02:0:0:0:0:1:FF

25、XX:XXXX (X為單播或者任播地址的低24比特部分) 例如: 4037:01:800:200E:8C6C FF02:1:FF0E:8C6C組播地址3. IPv6概述 任播地址（anycast address)：從單播地址空間中分配 子網(wǎng)路由器的任播地址任播地址3. IPv6概述 未指明地址：全0(:) 在以下兩種情況用作發(fā)送IPv6分組的網(wǎng)絡節(jié)點的地址 網(wǎng)絡節(jié)點還沒有配置地址 網(wǎng)絡接口配置的地址在本地鏈路上還不能確定是唯一的 回環(huán)地址（:1） 指代網(wǎng)絡節(jié)點本身 特殊用途IPv6地址3. IPv6概述IANA: Internet Assigned Numbers Authority 負責整個

26、Internet的IP地址分配和協(xié)調(diào)RIR：地區(qū)Internet注冊機構(gòu) AfriNIC：Africa Region APNIC：Asia/Pacific Region ARIN：North America Region LACNIC：Latin America and some Caribbean Islands RIPE NCC：Europe, the Middle East, and Central Asia 全局單播地址分配3. IPv6概述 APNIC分配的地址塊全局單播地址分配Last updated 2006-12-22 For APNICGlobal Unicast Prefi

27、x Assignment Date - - -2001:0200:/23 APNIC 01 Jul 992001:0C00:/23 APNIC 01 May 022001:0E00:/23 APNIC 01 Jan 032001:4400:/23 APNIC 11 Jun 042001:8000:/19 APNIC 30 Nov 042001:A000:/20 APNIC 30 Nov 042001:B000:/20 APNIC 08 Mar 063. IPv6概述 IPv6地址前綴分配過程全局單播地址分配RIR：Regional Internet Registrie NIR：National

28、 Internet Registries ISP：Internet service provider LIR：Local Internet Registrie3. IPv6概述全局單播地址分配3. IPv6概述 如果網(wǎng)絡節(jié)點為主機，需要配置或者處理 Link-local地址 單播和任播地址 回環(huán)地址 全節(jié)點組播地址 每個單播和任播地址所對應的被請求節(jié)點地址 節(jié)點所屬組的組播地址 如果網(wǎng)絡節(jié)點為路由器，除配置或者處理以上地址外，還需要配置或者處理 作為路由器的所有網(wǎng)絡接口的子網(wǎng)路由器任播地址 配置的其它的任播地址 全路由器組播地址 需配置或者處理的地址下一代互聯(lián)網(wǎng)協(xié)議IPv6v 為什么要引入IP

29、？v IPv4的可擴展性問題v IPv6概述v 鄰機發(fā)現(xiàn)機制v IPv6地址自動配置v IPv4/IPv6過渡v 總結(jié)主要內(nèi)容4. 鄰機發(fā)現(xiàn)機制 鄰機發(fā)現(xiàn)：Neighbor Discovery for IPv6 RFC 2461 地址解析 鄰機不可達檢測 重定向功能（Redirect） 路由器和前綴發(fā)現(xiàn)概述鄰機發(fā)現(xiàn)機制基于ICMPv6(Internet Control Message Protocol Version6)消息實現(xiàn)，因此基本頭標中的下一頭標值為584. 鄰機發(fā)現(xiàn)機制 ICMPv6消息 下一頭標值為58 用于鄰機發(fā)現(xiàn)時，中繼點限制設置為255 將鄰機發(fā)現(xiàn)限制在鏈路范圍內(nèi)概述4. 鄰

30、機發(fā)現(xiàn)機制MAC地址和IP地址 數(shù)據(jù)幀在鏈路上傳送使用MAC地址，源MAC地址為發(fā)送幀的接口的MAC地址，而目的MAC地址為同一鏈路上接收幀的接口的MAC地址 IP分組在網(wǎng)絡中傳輸使用IP地址，源IP地址為發(fā)送IP分組的主機的IP地址，而目的IP地址為接收IP分組的主機的IP地址地址解析IP數(shù)據(jù)鏈路層數(shù)據(jù)幀在不同鏈路上傳輸時，源和目的MAC地址變化，而源和目的IP地址不變IPA1MA1IP數(shù)據(jù)鏈路層IPA2MA21IP數(shù)據(jù)鏈路層IPA3MA3MA224. 鄰機發(fā)現(xiàn)機制 IP地址到MAC地址映射（地址解析） IPv4 組播地址：直接映射 IP組播地址的低23位映射到MAC地址的低23位，前面加上

31、01:00:5E 單播地址：地址解析協(xié)議ARP，鏈路層機制 IPv6 組播地址：直接映射，IP組播地址的低32位映射到MAC地址的低32位，前面加上33:33 單播地址：鄰機發(fā)現(xiàn)機制，基于ICMPv6的地址解析，網(wǎng)絡層機制地址解析01 00 5E 0+IP組播地址低23位4. 鄰機發(fā)現(xiàn)機制 地址解析協(xié)議ARP: Address Resolution Protocol RFC 826地址解析IPTCPHTTPDataE.g.PA(7B)SFD (1B)DA (6B)SA (6B)LEN(2B)PADLLC PDU0 to 1500 bytesSrc.IPDest.IP？由目的IP地址 目的MAC

32、地址FCS(4 B)分組到達IP層之前，首先由節(jié)點的物理接口硬件接收，需要指定該接口的MAC地址4. 鄰機發(fā)現(xiàn)機制首先，每個主機都有ARP緩存，用來存放一些IP地址與MAC地址的對應關系。主機根據(jù)分組頭上的目的IP地址查閱自己的ARP緩存，如果沒查到，就向廣播地址發(fā)送ARP請求。被請求的IP地址所對應的主機返回一個ARP響應。主機收到響應后，就可發(fā)送數(shù)據(jù)幀，并將該IP地址與MAC地址對存放在ARP緩存中地址解析目的IP地址所對應的主機和發(fā)送主機在同一個網(wǎng)絡內(nèi)vARP過程4. 鄰機發(fā)現(xiàn)機制 兩種方案 使用缺省路由：主機通過識別目的IP地址的網(wǎng)絡號，知道它是子網(wǎng)外的主機，直接發(fā)給缺省路由器 代理A

33、RP：路由器有ARP代理功能，它代理網(wǎng)絡外的主機響應ARP請求，可以實現(xiàn)路由器攔截目的IP地址為其代理的主機的分組地址解析目的IP地址所對應的主機和發(fā)送主機在兩個不同的網(wǎng)絡內(nèi)不論哪種方案，目的IP地址對應的MAC地址均為路由器的MAC地址vARP過程4. 鄰機發(fā)現(xiàn)機制 使用缺省路由 B根據(jù)D的IP地址的網(wǎng)絡號知道它不屬于NET N1，直接將分組發(fā)送到缺省路由器M1 如果在ARP Cache中沒有缺省路由器的MAC，則需要通過ARP過程來獲取 B發(fā)送幀到路由器，幀的SrcMAC=MB，SrcIP=N1B，DstMAC=M1，DstIP=N2D 路由器查找自己的ARP Cache，獲得D的MAC地

34、址，將分組向D轉(zhuǎn)發(fā)，在N2網(wǎng)絡上的幀的SrcMAC=M2，SrcIP=N1B，DstMAC=MD，DstIP=N2D地址解析路由器主機A主機B主機D主機CMAC M1NET N1MAC M2NET N2B 發(fā)送分組給 DvARP過程4. 鄰機發(fā)現(xiàn)機制 ARP幀格式地址解析PA(7B)SFD (1B)DA (6B)SA (6B)Type(2B)協(xié)議類型2B物理地址長度1B硬件類型2B協(xié)議地址長度1B操作2B發(fā)送者物理地址發(fā)送者IP地址目的物理地址目的IP地址PADCRC4B幀類型（Type）：ARP請求及響應為0X0806硬件類型：指發(fā)送者的網(wǎng)絡接口類型，如以太網(wǎng)為1協(xié)議類型：指發(fā)送者所采用的網(wǎng)

35、絡層協(xié)議類型，如IP協(xié)議為0X0800操作：ARP請求1，ARP響應2，RARP請求3，RARP響應44. 鄰機發(fā)現(xiàn)機制 功能：將IPv6地址解析成對應的MAC地址地址解析鄰機請求鄰機公告4. 鄰機發(fā)現(xiàn)機制用于地址解析的鄰機請求消息(NS: Neighbor Solicitation )地址解析消息格式v中繼點限制=255,將地址解析限制在鏈路范圍內(nèi)v目的地址為對象地址的solicited-node address,減少開銷FE80:A07:1FF:FE33:D692FF02:1:FFXX:XXXX-FF02:1:FF33:D692MAC: 33:33:FF:33:D6:92工作站請求PC的M

36、AC地址4. 鄰機發(fā)現(xiàn)機制用于地址解析的鄰機公告消息(NA:Neighbor Advertisement )地址解析消息格式v中繼點限制=255,將地址解析限制在鏈路范圍內(nèi)v目的地址為工作站IPv6地址PC應答自己的MAC地址4. 鄰機發(fā)現(xiàn)機制 與ARP機制相比較 兩者實現(xiàn)相同的功能 ARP是鏈路層協(xié)議，ARP請求幀在網(wǎng)絡內(nèi)廣播，所有主機的鏈路層模塊都必須接收和處理 IPv6的地址解析機制通過ICMPv6消息實現(xiàn)，是網(wǎng)絡層機制，而且用于地址解析的鄰機請求消息的目的地址為組播地址（對象地址的solicited-node address），該地址的低24位為對象地址的低24位，因此減少了處理該消息

37、的 主機的范圍地址解析主機根據(jù)ARP請求中包含的IP地址來決定是否回送ARP響應主機根據(jù)鄰機請求中包含的IP地址來決定是否回送鄰機公告4. 鄰機發(fā)現(xiàn)機制 鄰機不可達檢測NUD: Neighbor Unreachability Detection 檢測主機與其鄰近節(jié)點的可達性，包括主機到主機、主機到路由器、路由器到主機，只有需要發(fā)送分組時才執(zhí)行NUD過程 檢測方式 通過與鄰機正在進行的高層通信來確認是否可達，例如TCP確認數(shù)據(jù)段可以用于接收主機可達的指示 通過發(fā)送鄰機請求消息來看對方是否響應鄰機公告來確認是否可達 鄰機不可達檢測4. 鄰機發(fā)現(xiàn)機制鄰機緩存(Neighbor Cache)記錄與最近

38、發(fā)送了數(shù)據(jù)的鄰機相關信息鄰機緩存條目單播地址，是查找的關鍵字MAC地址ISRouter標志待發(fā)送的分組隊列指針可達性狀態(tài)INCOMPLETE：正在進行地址解析過程，發(fā)送了鄰機請求REACHABLE：在ReachableTime 時間內(nèi)收到鄰機可達的確認STALE：最近一次收到鄰機可達確認超過了ReachableTimeDELAY：最近DELAY_FIRST_PROBE_TIME 內(nèi)發(fā)送了一個分組，但是還沒有收到可達性確認（來自上層的確認指示）PROBE：發(fā)送鄰機請求開始可達性確認過程主機發(fā)送分組前，先根據(jù)目的地址檢查鄰機緩存中是否有相應的條目如果沒有，創(chuàng)建新條目，開始地址解析過程如果有，是否有

39、效（可達性狀態(tài)為REACHABLE），如果有效，則直接使用，否則對鄰機的可達性進行探測鄰機緩存4. 鄰機發(fā)現(xiàn)機制 鄰機緩存狀態(tài)轉(zhuǎn)移鄰機緩存INCOMPLETEREACHABLESTALEDELAYPROBE發(fā)送分組發(fā)送鄰機請求，開始地址解析過程地址解析失敗Delete收到可達性確認（上層確認或者被請求的鄰機公告）最近一次收到可達性確認超過ReachableTime 節(jié)點給鄰機發(fā)送一個分組 收到可達性確認在DELAY_FIRST_PROBE_TIME未 收到可達性確認發(fā)送鄰機請求發(fā)送MAX_UNICAST_SOLICIT個鄰機請求無相應收到可達性確認收到非請求的鄰機公告 、路由器公告以及路由器請

40、求、重定向、鄰機請求等4. 鄰機發(fā)現(xiàn)機制 路由器為特定的目的主機發(fā)送重定向消息將主機重定向到一個更優(yōu)的路由器或者告訴主機目的主機實際上是在同一鏈路上的鄰居節(jié)點重定向PC左路由器右路由器令牌環(huán)小型機重定向PC左路由器右路由器令牌環(huán)小型機“以后發(fā)往小型機的業(yè)務量應向右路由器重定向”重定向消息4. 鄰機發(fā)現(xiàn)機制重定向PC左路由器右路由器令牌環(huán)小型機“以后發(fā)往小型機的業(yè)務量應向右路由器重定向”重定向消息左路由器給PC機發(fā)送重定向消息4. 鄰機發(fā)現(xiàn)機制路由器通過路由器公告來告訴主機自己的存在，并且在該消息中包含有子網(wǎng)IPv6地址前綴信息路由器和前綴發(fā)現(xiàn)工作站PCMac小型機路由器“我是路由器”路由器公告

41、周期性發(fā)送4. 鄰機發(fā)現(xiàn)機制 路由器公告消息RA: Router Advertisement路由器和前綴發(fā)現(xiàn)消息格式中繼點限制為255，只在鏈路范圍內(nèi)有效目的地址為鏈路范圍內(nèi)全節(jié)點地址4. 鄰機發(fā)現(xiàn)機制 主機通過路由器請求消息實現(xiàn)路由器和子網(wǎng)IPv6前綴發(fā)現(xiàn)路由器和前綴發(fā)現(xiàn)4. 鄰機發(fā)現(xiàn)機制 路由器請求消息 主機向鏈路范圍內(nèi)全路由器組播地址發(fā)送路由器請求消息 路由器響應路由器公告消息路由器和前綴發(fā)現(xiàn)4. 鄰機發(fā)現(xiàn)機制 代理鄰機發(fā)現(xiàn)：Proxy Neighbor Discovery RFC2461移動環(huán)境下的鄰機發(fā)現(xiàn)主機A主機B路由器R主機A移動代理鄰機發(fā)現(xiàn)：攔截發(fā)往主機A的IP分組4. 鄰機發(fā)

42、現(xiàn)機制 代理鄰機發(fā)現(xiàn)過程移動環(huán)境下的鄰機發(fā)現(xiàn)主機AIP地址：IPAMAC地址：MACA主機B路由器RMAC地址：MACR鄰機請求(對象地址為IPA)鄰機公告(對象鏈路地址MACR)1）代理主機A的鄰機發(fā)現(xiàn)的路由器R加入IPA的被請求節(jié)點地址(Solicited-node Address)2）路由器R收到主機B發(fā)送的對象地址為IPA的鄰機請求消息，它應答鄰機公告消息，其中的對象鏈路地址為MACR此后，主機B發(fā)往IPA的分組將發(fā)送到路由器R，從而實現(xiàn)對到主機A的分組的攔截下一代互聯(lián)網(wǎng)協(xié)議IPv6v為什么要引入IP？vIPv4的可擴展性問題vIPv6概述v鄰機發(fā)現(xiàn)機制vIPv6地址自動配置vIPv4

43、/IPv6過渡vIPv6相關應用程序接口v總結(jié)主要內(nèi)容5. IPv6地址自動配置 無狀態(tài)(stateless)地址自動配置 RFC2462 不需要對主機進行手動配置 只需要很少的路由器配置 不需要額外的服務器 不易管理 有狀態(tài)(stateful)地址自動配置(DHCPv6) RFC3315 從服務器獲取接口地址和/或者DNS、WINS等配置信息 易于管理概述5. IPv6地址自動配置 IPv6接口標識 基于EUI-64地址 基于隨機接口標識 地址重復檢測無狀態(tài)地址自動配置IPv6前綴IPv6接口標識64 bits64 bits路由器公告發(fā)送路由器請求消息接收到路由器公告消息根據(jù)路由器公告消息中

44、的網(wǎng)絡前綴和生成IPv6接口標識，自動生成全局IPv6地址對生成的IPv6地址做地址重復檢測，以確定沒有被其它主機使用成功？使用生成的全局IPv6地址YN其它處理全局地址FE80IPv6接口標識64 bits64 bits鏈路局部地址5. IPv6地址自動配置 MAC地址，也稱為IEEE 802地址 U/L ：全局(0)還是本地管理(1) I/G：單播(0)還是組播(1) 對于一般的802網(wǎng)絡接口，U/L和I/G比特都設置為0無狀態(tài)地址自動配置EUI-64地址5. IPv6地址自動配置 EUI-64地址 RFC2373 一種新的網(wǎng)絡接口地址標準 為網(wǎng)絡接口卡制造商來提供了更多的地址空間 U/L

45、 ：全局(0)還是本地管理(1) I/G：單播(0)還是組播(1)無狀態(tài)地址自動配置EUI-64地址5. IPv6地址自動配置 802地址到EUI-64地址的映射 在802地址的company ID和extension ID之間插入16比特(0 xFFFE)無狀態(tài)地址自動配置EUI-64地址5. IPv6地址自動配置 EUI-64地址到IPv6接口標識的映射 EUI-64地址的U/L比特取反，I/G比特不變無狀態(tài)地址自動配置EUI-64地址5. IPv6地址自動配置 802地址到IPv6接口標識的映射無狀態(tài)地址自動配置EUI-64地址IPv6前綴IPv6接口標識64 bits64 bitsIP

46、v6地址5. IPv6地址自動配置無狀態(tài)地址自動配置EUI-64地址基于EUI-64生成鏈路局部地址實例IPv6接口標識FE80:對于同一鏈路或者網(wǎng)絡內(nèi)的節(jié)點之間的通信，包括鄰機發(fā)現(xiàn)機制，節(jié)點一般使用鏈路局部地址5. IPv6地址自動配置 隨機接口標識 RFC 3041從安全角度考慮，提供一定程度的匿名性 不包括網(wǎng)絡接口標識信息(MAC地址)隨機接口標識初始化過程 若不能存儲歷史信息 每次初始化IPv6協(xié)議棧的時候生成新隨機接口標識 若支持存儲歷史信息v 獲取歷史值，并且將其附到基于EUI-64地址的接口標識上v 對于1中生成的值計算一個128比特的MD5摘要v 取2中最左邊的64比特并且將第

47、6比特（最左邊的比特號為0）設置為0，生成一個全局的隨機接口標識1. 取2中最右邊的64比特并且將其保存，作為下一次計算的歷史值無狀態(tài)地址自動配置隨機接口標識5. IPv6地址自動配置 臨時地址 基于隨機接口標識的全局IPv6地址也被稱為臨時地址 由IPv6地址前綴隨機接口標識構(gòu)成 具有更小的valid和preferred lifetime 當valid lifetime過期后重新生成接口標識和臨時地址無狀態(tài)地址自動配置隨機接口標識Windows CE .NET 4.1及其以上版本生成基于隨機接口標識的臨時地址注意：為了保護隱私，Windows Vista和Windows Server Lon

48、ghorn缺省使用隨機接口標識生成非臨時地址5. IPv6地址自動配置 地址重復檢測DAD: Duplicate Address Detection 當采用自動地址配置時，需要避免多臺主機配置同一個IPv6地址。該功能由地址重復檢測機制來完成無狀態(tài)地址自動配置地址重復檢測5. IPv6地址自動配置無狀態(tài)地址自動配置地址重復檢測路由器公告生成IPv6地址(DAD地址)隨機延時01000msDAD地址狀態(tài)設置為不可用(IFA_F_TENTATIVE)DAD成功開始使用DAD地址發(fā)送鄰機請求的個數(shù)n=1發(fā)送間隔Tret=1000ms注意：在發(fā)送鄰機請求前，接口必須加入全節(jié)點組播地址(FF02:1)和

49、生成IPv6地址的solicited-node組播地址，即接收目的地址為這些IPv6地址的分組2.鄰機請求的對象地址域為需要DAD的地址，源地址為: 目的地址為對象地址的solicited-node組播地址3.上圖中給出的參數(shù)值是在Linux操作系統(tǒng)下的缺省值，這些參數(shù)可根據(jù)需要配置鄰機請求Solicited-node addr 0鄰機請求0 solicited-node addrPrefix 3FFE:3216:/64PC MAC 08:07:01:33:D6:92則有：PC 基于EUI-64的地址3FFE:3216:A07:1FF:FE33:D692PC Solicited_node ad

50、drFF02:1:FF33:D692PC5. IPv6地址自動配置 地址重復處理 當主機收到對象地址域為其正在做DAD檢測地址的鄰機請求時，如果請求的源地址類型為IPV6_ADDR_ANY(全0地址:)，則主機從接口上刪除這個地址，DAD檢測失敗，否則主機不處理此請求 當主機收到對象地址域為其正在做DAD檢測地址的鄰機公告時，則主機從接口上刪除這個地址（DAD檢測失?。?如果主機為某個IPv6地址完成DAD檢測后，收到來自其它主機發(fā)送的對象地址域為此IPv6地址的用作DAD檢測的鄰機請求（此時該請求的源地址為IPV6_ADDR_ANY），則主機應該向全節(jié)點地址（ff02:1）發(fā)送鄰機公告無狀態(tài)

51、地址自動配置地址重復檢測有多臺主機對同時對同一IPv6地址開始DAD過程檢測到地址重復檢測到地址重復5. IPv6地址自動配置無狀態(tài)地址自動配置地址狀態(tài)5. IPv6地址自動配置首先，主機為網(wǎng)絡接口自動配置鏈路局部地址 生成64比特的IPv6接口標識 48比特MAC地址64比特EUI-64地址IPv6接口標識 隨機接口標識 組合前綴FE80:/64和IPv6接口標識 DAD其次，主機為網(wǎng)絡接口自動配置全局地址 主機發(fā)送路由器請求消息，路由器響應路由器公告消息 生成64比特的IPv6接口標識 48比特MAC地址64比特EUI-64地址IPv6接口標識 隨機接口標識 組合路由器公告網(wǎng)絡前綴和IPv

52、6接口標識 DAD無狀態(tài)地址自動配置總結(jié)對于同一鏈路或者網(wǎng)絡內(nèi)的主機之間的通信，包括鄰機發(fā)現(xiàn)機制，主機一般使用鏈路局部 地址下一代互聯(lián)網(wǎng)協(xié)議IPv6v為什么要引入IP？vIPv4的可擴展性問題vIPv6概述v鄰機發(fā)現(xiàn)機制vIPv6地址自動配置vIPv4/IPv6過渡vIPv6相關應用程序接口v總結(jié)主要內(nèi)容6. IPv4/IPv6過渡過渡過程IPv4 OnlyIPv4IPv6IPv6IPv6IPv6IPv4IPv4IPv4IPv6 Only當前狀態(tài)6. IPv4/IPv6過渡 IPv4/IPv6雙協(xié)議棧 轉(zhuǎn)換機制 隧道技術IPv4/IPv6過渡機制6. IPv4/IPv6過渡機制 雙協(xié)議棧（Du

53、al Stack）IPv4/IPv6雙協(xié)議棧結(jié)構(gòu)PA(7B)SFD (1B)DA (6B)SA (6B)Type(2B)PADCRC4BIPv4/IPv6 Packet(01500B)0 x0800: IPv40 x86dd: IPv6FrameUDP/TCPCurrent (Linux, windowsXP)Next(windows Vista)網(wǎng)絡接口網(wǎng)絡接口6. IPv4/IPv6過渡機制IPv4/IPv6雙協(xié)議棧原理6. IPv4/IPv6過渡機制NAT-PT：Network Address Translation-Protocol Translation轉(zhuǎn)換機制interface E

54、thernet0/0 ipv6 address 3ffe:100:200:1:2/64interface Ethernet1/0 ip address !Entry for static mapping of v4 source-v6-ipv6 nat v4v6 source 3ffe:b00:1:1!Entry for mapping of v6 source-dynamic v4ipv6 nat v6v4 source list pt1 pool v4poolipv6 nat v6v4 pool v4pool 10.

55、50.10.1 0 prefix-length 24ipv6 nat prefix 3ffe:b00:1:/96!6. IPv4/IPv6過渡機制 IPv6 over IPv4 or IPv6-in-IPv4隧道封裝隧道技術隧道封裝通過將一個傳輸協(xié)議（IPv6）作為負載封裝在另一個協(xié)議（IPv4）中，實現(xiàn)被封裝的協(xié)議數(shù)據(jù)單元（IPv6）通過封裝協(xié)議的網(wǎng)絡（IPv4網(wǎng)絡）進行傳輸6. IPv4/IPv6過渡機制隧道技術協(xié)議體系結(jié)構(gòu)6. IPv4/IPv6過渡機制 IPv6 over IPv4 or IPv6-in-IPv4 Tunneling隧道技術隧道拓撲Router-Ro

56、uterHost-RouterRouter-HostHost-Host6. IPv4/IPv6過渡機制 隧道類型 手工配置隧道(Configured Tunneling) 對每個IPv6分組，都事先手工配置它所對應的隧道的端點，主要是用于隧道封裝所需的IPv4地址 自動配置隧道(Automatic Tunneling) 分組中所包含的IPv6地址決定隧道的端點，主要是指用于隧道封裝所需的IPv4地址隧道技術隧道類型這里討論的是IPv6分組如何通過IPv4網(wǎng)絡傳輸?shù)那闆r自動配置的本質(zhì)是建立一個IPv6地址到IPv4地址之間的映射關系6. IPv4/IPv6過渡機制隧道技術手工配置隧道6. IPv

57、4/IPv6過渡 6to4 ISATAP 6over4：需要IPv4組播支持 Teredo：IPv6/IPv4主機穿越IPv4 NAT隧道技術自動配置隧道6. IPv4/IPv6過渡機制 自動配置隧道時對應的地址隧道技術自動配置隧道Router-RouterHost-RouterRouter-HostHost-Host6to4地址ISATAP地址ISATAP地址、Teredo地址6. IPv4/IPv6過渡 通過IPv4網(wǎng)絡連接孤立的IPv6網(wǎng)絡的自動隧道技術 RouterRouter Tunneling，隧道的兩個端點為6to4路由器 6to4網(wǎng)絡中的IPv6主機使用6to4 IPv6地址：

58、包含了作為隧道端點的6to4路由器的IPv4地址自動配置隧道6to46. IPv4/IPv6過渡體系結(jié)構(gòu)自動配置隧道6to46to4主機：最少配置了一個6to4 IPv6地址6to4路由器：IPv6/IPv4雙棧路由器，執(zhí)行隧道封裝和解封裝操作，在6to4主機和其它的6to4路由器或者6to4 Relay路由器之間通過隧道轉(zhuǎn)發(fā)目的地址為6to4 IPv6地址的數(shù)據(jù)6to4 relay路由器：IPv6/IPv4雙棧路由器，在IPv6網(wǎng)絡的主機和6to4路由器之間轉(zhuǎn)發(fā)目的地址為6to4 IPv6地址的數(shù)據(jù)6. IPv4/IPv6過渡 6to4地址 6to4路由器在連接的6to4網(wǎng)絡中公告前綴200

59、2:V4ADDR:SubnetID:/64，主機根據(jù)該前綴自動配置6to4地址自動配置隧道6to46to4路由器IPv4地址前綴6. IPv4/IPv6過渡 實例自動配置隧道6to46to4路由器上路由表項： 2002:/16 其它6to4站點 缺省(:) 6to4 relay routerSrc=2002:C251:2E01:1:IDADst=2002:C253:6A06:2:IDBSrc=2002:C251:2E01:1:IDADst=2002:C253:6A06:2:IDBAB2002:C251:2E01:1:/642002:C253:6A06:2:/642002:C251:2E01:1

60、:IDA2002:C253:6A06:2:IDB6. IPv4/IPv6過渡 ISATAP: IntraSite Automatic Tunnel Addressing Protocol 通過多跳IPv4網(wǎng)絡在主機和IPv6路由器以及主機和主機之間傳輸IPv6分組的自動隧道技術 HostHost Tunneling HostRouter Tunneling自動隧道ISATAP6. IPv4/IPv6過渡 ISATAP地址自動隧道ISATAPISATAP IdentifierISATAP主機根據(jù)自己IPv4地址生成ISATAP鏈路局部地址，然后向ISATAP路由器發(fā)送路由器請求（已配置ISATA