第九章 IPv6網(wǎng)絡(luò)管理技術(shù).ppt

1、,第9章 IPv6網(wǎng)絡(luò)管理技術(shù),IPv6的起源、特點(diǎn)、相對(duì)于IPv4的優(yōu)勢(shì) IPv6的地址格式 IPv4和IPv6的過渡技術(shù) IPv6的地址分配和域名管理 IPv6路由協(xié)議中的RIPng和OSPFv3協(xié)議 IPv6的QoS,本章內(nèi)容,目前IPv4依然是使用最廣泛的互聯(lián)網(wǎng)協(xié)議版本，其IPv4設(shè)計(jì)的不足也日益明顯 地址空間不足和安全性不能滿足需要 地址空間的嚴(yán)重不足是最終決定重新設(shè)計(jì)基于更長(zhǎng)地址的IPv6的誘因 IPv6意圖取代IPv4，而IPv4在2013年仍然在網(wǎng)絡(luò)交通上占有較大份額。在2013年9月，通過IPv6使用Google服務(wù)的用戶百分率首次超過2%。,9.1 IPv6網(wǎng)絡(luò)簡(jiǎn)介,直到2

2、011年，IPv6仍處在部署的初期,主要的網(wǎng)絡(luò)改造由網(wǎng)站和運(yùn)營(yíng)商承擔(dān)，用戶端幾乎感覺不到IPv6的使用。 截至2013年12月，全球上網(wǎng)人數(shù)已達(dá)22.7億，IPv4僅能提供約2.5億個(gè)IP位置。雖然目前的網(wǎng)絡(luò)地址轉(zhuǎn)換及無類別域間路由等技術(shù)可延緩網(wǎng)絡(luò)位置匱乏之現(xiàn)象，但長(zhǎng)遠(yuǎn)來看，IPv6是將來的發(fā)展方向。 1. IPv4地址已經(jīng)耗盡：目前的辦法（專用地址、NAT等）并不能徹底解決IP地址不足的問題,9.1.1 IPv6的起源,2. IPv6的目標(biāo)： 幾乎可以不受限制地提供地址 更好的路由聚合，提高網(wǎng)絡(luò)的整體吞吐量 改善服務(wù)質(zhì)量、安全性有更好的保證 支持即插即用和移動(dòng)性 更好實(shí)現(xiàn)多播功能,9.1.1

3、 IPv6的起源,3. IPv6的特點(diǎn) （1）IPv6地址長(zhǎng)度為128位 （2）靈活的IP報(bào)文頭部格式 （3）IPv6簡(jiǎn)化了報(bào)文頭部格式 （4）提高安全性 （5）支持更多的服務(wù)類型 （6）允許協(xié)議繼續(xù)演變，增加新的功能。,9.1.1 IPv6的起源,4. IPv6對(duì)TCP/IP的影響 在Internet上，數(shù)據(jù)以分組的形式傳輸。IPv6定義了一種新的分組格式，目的是為了最小化路由器處理的報(bào)文首部。 由于IPv4報(bào)文和IPv6 報(bào)文首部有很大不同，因此這兩種協(xié)議無法互操作。 在大多數(shù)情況下，IPv6僅僅是對(duì)IPv4的一種保守?cái)U(kuò)展。除了嵌入了互聯(lián)網(wǎng)地址的應(yīng)用層協(xié)議（如FTP，新地址格式可能會(huì)與當(dāng)前

4、協(xié)議的語法沖突）以外，大多數(shù)傳輸層和應(yīng)用層協(xié)議幾乎不怎么需要修改就可以工作在IPv6上。,9.1.1 IPv6的起源,5. IPv6的發(fā)展 在制定IPv6標(biāo)準(zhǔn)的國(guó)際組織中，IPv6協(xié)議主要由IETF制定。 目前IETF負(fù)責(zé)IPv6標(biāo)準(zhǔn)制定的工作組主要有兩個(gè)：IPv6工作組(IPv6)和IPv6運(yùn)營(yíng)工作組(v6ops)，分別屬于傳輸領(lǐng)域和運(yùn)營(yíng)維護(hù)領(lǐng)域。 前者負(fù)責(zé)IPv6規(guī)范和標(biāo)準(zhǔn)的制定工作，后者負(fù)責(zé)演進(jìn)機(jī)制、工具和部署方面的標(biāo)準(zhǔn)化工作。,9.1.1 IPv6的起源,9.1.1 IPv6的起源,截至2013年6月底，我國(guó)IPv6地址數(shù)量為14607塊/32，位列世界第二位。表9-1是國(guó)內(nèi)外部分采用

5、IPv6技術(shù)的網(wǎng)站。,與IPv4相比，IPv6具有許多新的特點(diǎn)，如簡(jiǎn)化的IP包頭格式、主機(jī)地址自動(dòng)配置、認(rèn)證和加密以及較強(qiáng)的移動(dòng)支持能力等。 1.地址長(zhǎng)度 IPv6的128位地址長(zhǎng)度形成了一個(gè)巨大的地址空間，它能夠?yàn)樗锌梢韵胂蟪龅木W(wǎng)絡(luò)設(shè)備提供一個(gè)全球惟一的地址。 IPv6能為主機(jī)接口提供不同類型的地址配置，包括全球地址（Globally）、全球單播地址（unicast）、區(qū)域地址（on-site）、鏈路本地地址（link local address）、地區(qū)本地地址（site local address）、廣播地址（Broadcast）、多播群地址（multicast group addres

6、s）、任播地址（anycast address）、移動(dòng)地址（Mobility）、家鄉(xiāng)地址（home address）等，對(duì)運(yùn)營(yíng)商有著強(qiáng)大的吸引力。,9.1.2 IPv6與IPv4的比較,2.移動(dòng)性 移動(dòng)IPv6能夠通過簡(jiǎn)單的擴(kuò)展，滿足大規(guī)模移動(dòng)用戶的需求。 每個(gè)移動(dòng)設(shè)備設(shè)有一個(gè)固定的家鄉(xiāng)地址（home address），這個(gè)地址與設(shè)備當(dāng)前接入互聯(lián)網(wǎng)的位置無關(guān)。當(dāng)設(shè)備在家鄉(xiāng)以外的地方使用時(shí)，可以通過一個(gè)轉(zhuǎn)交地址來提供移動(dòng)節(jié)點(diǎn)當(dāng)前的位置信息。 移動(dòng)節(jié)點(diǎn)在家鄉(xiāng)以外的地方發(fā)送數(shù)據(jù)包時(shí)，使用一個(gè)家鄉(xiāng)地址目標(biāo)選項(xiàng)。目的是通過這個(gè)選項(xiàng)把移動(dòng)節(jié)點(diǎn)的家鄉(xiāng)地址告訴給包的接收者。由于在該數(shù)據(jù)包里包含家鄉(xiāng)地址的選項(xiàng)，

7、接收方通信節(jié)點(diǎn)在處理這個(gè)包時(shí)就可以用這個(gè)家鄉(xiāng)地址替換包內(nèi)的轉(zhuǎn)交地址。因此,發(fā)送給移動(dòng)節(jié)點(diǎn)的IPv6包就能夠透明地選路到該節(jié)點(diǎn)的轉(zhuǎn)交地址處。對(duì)通信節(jié)點(diǎn)和轉(zhuǎn)交地址之間的路由進(jìn)行優(yōu)化會(huì)使網(wǎng)絡(luò)的利用率更高。,9.1.2 IPv6與IPv4的比較,3. 內(nèi)置的安全特性 IPv6協(xié)議內(nèi)置安全機(jī)制，并已經(jīng)標(biāo)準(zhǔn)化，可支持對(duì)企業(yè)網(wǎng)的無縫遠(yuǎn)程訪問。 在安全性方面，IPv6同IP安全性（IPSec）機(jī)制和服務(wù)一致。除了必須提供網(wǎng)絡(luò)層這一強(qiáng)制性機(jī)制外，IPSec還提供兩種服務(wù)。其中，認(rèn)證報(bào)頭（AH）用于保證數(shù)據(jù)的一致性，而封裝的安全負(fù)載報(bào)頭（ESP）用于保證數(shù)據(jù)的保密性和數(shù)據(jù)的一致性。在IPv6包中，AH和ESP都是

8、擴(kuò)展報(bào)頭，可以同時(shí)使用，也可以單獨(dú)使用其中一個(gè)。,9.1.2 IPv6與IPv4的比較,4. 服務(wù)質(zhì)量 從協(xié)議的角度看， IPv6的優(yōu)點(diǎn)體現(xiàn)在能提供不同水平的服務(wù)。這主要是由于IPv6報(bào)頭中新增加了字段“業(yè)務(wù)級(jí)別”和“流標(biāo)記”。有了它們，在傳輸過程中，中間的各節(jié)點(diǎn)就可以識(shí)別和分開處理任何IP地址流。 在其他方面，IPv6也有助于改進(jìn)QoS。這主要表現(xiàn)在支持“實(shí)時(shí)在線”連接、防止服務(wù)中斷以及提高網(wǎng)絡(luò)性能方面。同時(shí)，更好的網(wǎng)絡(luò)和QoS也會(huì)提高客戶的期望值和滿意度。,9.1.2 IPv6與IPv4的比較,5. 自動(dòng)配置 IPv6支持無狀態(tài)和有狀態(tài)兩種地址的自動(dòng)配置方式。 無狀態(tài)地址自動(dòng)配置方式是獲得

9、地址的關(guān)鍵。在這種方式下，需要配置地址的節(jié)點(diǎn)使用一種鄰居發(fā)現(xiàn)機(jī)制獲得一個(gè)局部連接地址。一旦得到這個(gè)地址之后，它使用另一種即插即用的機(jī)制，在沒有任何人工干預(yù)的情況下，獲得一個(gè)全球惟一的路由地址。 有狀態(tài)配置機(jī)制如DHCPv6需要一個(gè)額外的服務(wù)器，因此也需要很多額外的操作和維護(hù)。,9.1.2 IPv6與IPv4的比較,9.1.3 IPv6的地址結(jié)構(gòu),1.IPv6格式 8段，每段用4位16進(jìn)制的數(shù)表示：,圖9-1 IPv6的地址格式,簡(jiǎn)化規(guī)則 （1）每一個(gè)段中開頭的0可以省略不寫，但末尾的0不能省略；如： 3ffe:1944:0100:000a:0000:00bc:2500:0d0b可簡(jiǎn)化為 3ff

10、e:1944:100:a:0:bc:2500:d0b （2）如果某段或連續(xù)幾段全是0，則可以使用一個(gè)“:”來代替，如： ff02:0000:0000:0000:0000:0000:0000:0005 簡(jiǎn)化后IPv6地址：ff02:5 （3）如果128位全部為0的地址，則可以使用一個(gè)“:”來表示。,9.1.3 IPv6的地址結(jié)構(gòu),2. IPv6地址的分類 單播地址：?jiǎn)尾サ刂窐?biāo)示一個(gè)網(wǎng)絡(luò)接口 協(xié)議會(huì)把送往地址的數(shù)據(jù)包投送給其接口。IPv6的單播地址可以有一個(gè)代表特殊地址名字的范疇，如link-local地址和唯一區(qū)域地址（ULA，unique local address）。單播地址包括可聚類的全球

11、單播地址、鏈路本地地址等。,9.1.3 IPv6的地址結(jié)構(gòu),任播地址：用來標(biāo)識(shí)一組節(jié)點(diǎn)中任何一個(gè)成員 任播是IPv6 特有的數(shù)據(jù)傳送方式，它像是IPv4的單點(diǎn)傳播與多點(diǎn)廣播的綜合，用來標(biāo)識(shí)一組節(jié)點(diǎn)中任何一個(gè)成員， 即源節(jié)點(diǎn)的數(shù)據(jù)流被轉(zhuǎn)發(fā)到組里最近的節(jié)點(diǎn)。 在任播中，在網(wǎng)絡(luò)位址和網(wǎng)絡(luò)節(jié)點(diǎn)中存在一對(duì)多的關(guān)系：每一個(gè)節(jié)點(diǎn)對(duì)應(yīng)一群接收節(jié)點(diǎn)，但在任何給定時(shí)間，只有其中之一可以接收到傳送端來的資訊。 任播像多點(diǎn)廣播一樣，會(huì)有一組接收節(jié)點(diǎn)的地址欄表，但指定為任播的數(shù)據(jù)包，只會(huì)傳送給距離最近或傳送成本最低(根據(jù)路由表來判斷)的其中一個(gè)接收地址，當(dāng)該接收地址收到數(shù)據(jù)包并進(jìn)行回應(yīng)，且加入后續(xù)的傳輸。該接收列表的其

12、他節(jié)點(diǎn)，會(huì)知道某個(gè)節(jié)點(diǎn)地址已經(jīng)回應(yīng)了，它們就不再加入后續(xù)的傳輸作業(yè),9.1.3 IPv6的地址結(jié)構(gòu),多播地址：用來標(biāo)識(shí)一組節(jié)點(diǎn) 多播地址也稱組播地址，用來標(biāo)識(shí)一組節(jié)點(diǎn)。多播地址也被指定到一群不同的接口，送到多播地址的數(shù)據(jù)包會(huì)被傳送到所有的地址。多播地址由皆為一的字節(jié)起始，亦即：它們的前置為FF00:/8。其第二個(gè)字節(jié)的最后四個(gè)比特用以標(biāo)明范疇。 因?yàn)閭鹘y(tǒng)方法是從MAC地址產(chǎn)生，故只有組群識(shí)別碼中的最低32位有使用。定義過的組群識(shí)別碼有用于所有節(jié)點(diǎn)的多播地址0 x1和用于所有路由器的0 x2。 另一個(gè)多播組群的地址為solicited-node多播地址，是由前置FF02:1:FF00:0/104

13、和剩余的組群識(shí)別碼（最低24位）所組成。,9.1.3 IPv6的地址結(jié)構(gòu),9.1.3 IPv6的地址結(jié)構(gòu),IPv6的計(jì)劃是創(chuàng)建未來互聯(lián)網(wǎng)擴(kuò)充的基礎(chǔ)，其目標(biāo)是取代IPv4。 雖然IPv6在1994年就已被IETF指定作為IPv4的下一代標(biāo)準(zhǔn)，由于早期的路由器、防火墻、企業(yè)的企業(yè)資源計(jì)劃系統(tǒng)及相關(guān)應(yīng)用程序皆須改寫，所以在世界范圍內(nèi)使用IPv6部署的公眾網(wǎng)與IPv4相比還非常的少 ，技術(shù)上仍以雙架構(gòu)并存居多。 預(yù)計(jì)在2025年以前IPv4仍會(huì)被支持，以便給新協(xié)議的修正留下足夠的時(shí)間。,9.1.4 IPv4向IPv6的過渡技術(shù),在IPv6完全取代IPv4前，需要一些轉(zhuǎn)換機(jī)制使得只支持IPv6的主機(jī)可以

14、連絡(luò)IPv4服務(wù)，并且允許孤立的IPv6主機(jī)及網(wǎng)絡(luò)可以借由IPv4設(shè)施連絡(luò)IPv6互聯(lián)網(wǎng)。 在IPv6主機(jī)和路由器與IPv4系統(tǒng)共存的時(shí)期時(shí)，過渡技術(shù)包含：雙棧、將IPv4嵌入IPv6地址、隧道機(jī)制、IPv4/IPv6報(bào)頭轉(zhuǎn)換等。,9.1.4 IPv4向IPv6的過渡技術(shù),9.1.4 IPv4向IPv6的過渡技術(shù),圖9-2 雙棧技術(shù),1.雙棧,9.1.4 IPv4向IPv6的過渡技術(shù),1.雙棧 雙棧是將IPv6視為一種IPv4的延伸，以共享代碼的方式去實(shí)現(xiàn)網(wǎng)絡(luò)堆棧，其可以同時(shí)支持IPv4和IPv6，一個(gè)實(shí)現(xiàn)雙堆棧的主機(jī)稱為雙堆棧主機(jī)。 實(shí)現(xiàn)IPv6結(jié)點(diǎn)與IPv4結(jié)點(diǎn)互通的最直接的方式是在IPv

15、6結(jié)點(diǎn)中加入IPv4協(xié)議棧。具有雙協(xié)議棧的結(jié)點(diǎn)稱作“IPv6/v4結(jié)點(diǎn)”，這些結(jié)點(diǎn)既可以收發(fā)IPv4分組，也可以收發(fā)IPv6分組。 它們可以使用IPv4與IPv4結(jié)點(diǎn)互通，也可以直接使用IPv6與IPv6結(jié)點(diǎn)互通。 目前大部分IPv6的實(shí)現(xiàn)使用雙堆棧。,9.1.4 IPv4向IPv6的過渡技術(shù),圖9-3 隧道技術(shù),2.隧道,9.1.4 IPv4向IPv6的過渡技術(shù),2.隧道 為了連通IPv6互聯(lián)網(wǎng)，一個(gè)孤立主機(jī)或網(wǎng)絡(luò)需要使用現(xiàn)存IPv4的基礎(chǔ)設(shè)施來攜帶IPv6數(shù)據(jù)包。這可由將IPv6數(shù)據(jù)包裝入IPv4數(shù)據(jù)包的隧道協(xié)議來完成，實(shí)際上就是將IPv4當(dāng)成IPv6的鏈接層。 其工作機(jī)理是在IPv6網(wǎng)絡(luò)

16、與IPv4網(wǎng)絡(luò)間的隧道入口處，路由器將IPv6的數(shù)據(jù)分組封裝入IPv4中，IPv4分組的源地址和目的地址分別是隧道入口和出口的IPv4地址。在隧道的出口處再將IPv6分組取出轉(zhuǎn)發(fā)給目的節(jié)點(diǎn)。,IPv6龐大的地址空間同時(shí)也為管理帶了許多問題，進(jìn)行IPv6地址規(guī)劃需要綜合考慮多方面的因素,包括對(duì)路由效率的影響,對(duì)未來網(wǎng)絡(luò)發(fā)展的影響,以及對(duì)運(yùn)營(yíng)商的影響等。 域名解析的操作只需要對(duì)DNS做簡(jiǎn)單的升級(jí)就可以支持IPv6的域名解析。,9.2 IPv6地址管理,9.2.1 IPv6地址分配和管理,圖9-4 IPv6地址格式的層次表示,IP 地址是一種公共的資源，不為任何組織或個(gè)人所擁有。 地址管理采用等級(jí)制

17、， IANA 向RIR（地區(qū)，以大洲以單位）分配地址。RIR 或 NIR（國(guó)家）向LIR（本地）分配地址。LIR接受 RIR 或 NIR 委派，向用戶分配地址。 通常，LIR 是一個(gè)服務(wù)供應(yīng)商。LIR 將自己所獲得的地址分配給終端用戶組織或其它的 ISP。 IANA會(huì)給一個(gè)機(jī)構(gòu)（ISP或研究團(tuán)體）分配一個(gè)較大的地址塊，如/48,/32等。 目前中國(guó)的公網(wǎng)IPv6地址主要是以2001: 及3FFE: 開頭的地址塊。,9.2.1 IPv6地址分配和管理,為了充分實(shí)現(xiàn)路由優(yōu)化，RIR 或NIR并不直接將全局 IPv6 地址分配給終端用戶組織。 全局 IPv6 地址，由與它們保持直接連接的服務(wù)供應(yīng)商進(jìn)

18、行分配。 IPv6也有類似IPv4私網(wǎng)地址： FEC0:/10，可以用來做實(shí)驗(yàn)用。 IPv6并不使用NAT技術(shù)，因?yàn)镮Pv6不缺地址；NAT技術(shù)的安全性，在IPv6中也有其他技術(shù)（IPSec、無狀態(tài)自動(dòng)配置）實(shí)現(xiàn)。 雖然IPv6網(wǎng)絡(luò)中也有DHCPv6，可以給主機(jī)分配地址。但目前因?yàn)闊o狀態(tài)配置技術(shù)對(duì)主機(jī)分配地址來說已經(jīng)足夠。,9.2.1 IPv6地址分配和管理,互聯(lián)網(wǎng)的根域名服務(wù)器已經(jīng)經(jīng)過改進(jìn)同時(shí)支持IPv6和IPv4，不需要為IPv6域名解析單獨(dú)建立一套獨(dú)立的域名系統(tǒng)。 IPv6的域名系統(tǒng)可以和傳統(tǒng)的IPv4域名系統(tǒng)結(jié)合在一起。最通用的域名服務(wù)軟件BIND已經(jīng)實(shí)現(xiàn)了對(duì)IPv6地址的支持，IPv

19、6地址和主機(jī)名之間的映射很容易解決。 解析IPv6地址的類型（type），即AAAA和A6類型為IPv6地址的逆向解析提供的反向域，即.識(shí)別上述新特性的域名服務(wù)器就可以為IPv6的地址-名字解析提供服務(wù)。,9.2.2 IPv6域名管理,1. 正向IPv6域名解析 IPv4的地址正向解析的資源記錄是A IPv6域名解析的正向解析目前有兩種資源記錄，即AAAA和A6記錄. AAAA資源記錄類型用來將一個(gè)合法域名解析為IPv6地址，與IPv4所用的A資源記錄類型相兼容。 AAAA用來表示域名和IPv6地址的對(duì)應(yīng)關(guān)系，并不支持地址的層次性。 IN AAAA FEC0:2AA:FF:FE3

20、F:2A1,9.2.2 IPv6域名管理,1. 正向IPv6域名解析 A6把一個(gè)IPv6地址與多個(gè)A6記錄建立聯(lián)系，每個(gè)A6記錄都只包含了IPv6地址的一部分，結(jié)合后拼裝成一個(gè)完整的IPv6地址。 “A6”記錄根據(jù)可聚集全局單播地址中的TLA、NLA和SLA項(xiàng)目的分配層次把128位的IPv6的地址分解成為若干級(jí)的地址前綴和地址后綴，構(gòu)成了一個(gè)地址鏈，從而支持地址聚集。 同時(shí)，用戶在改變ISP時(shí)，要隨ISP改變而改變其擁有的IPv6地址。如果手工修改用戶子網(wǎng)中所有在DNS中注冊(cè)的地址，是一件非常繁瑣的事情。而在用“A6”記錄表示的地址鏈中，只要改變地址前綴對(duì)應(yīng)的ISP名字即可。,9.2.2 IP

21、v6域名管理,2. 反向IPv6域名解析 IPv6域名解析中反向解析的地址表示形式有兩種。 一種是用.分隔的半字節(jié)16進(jìn)制數(shù)字格式，低位在前，高位在后，域后綴是IP6.INT.。 一種是二進(jìn)制串格式，以開頭，16進(jìn)制地址居中，地址后加，域后綴是IP6.ARPA.。,9.2.2 IPv6域名管理,IP6.INT域用于為IPv6提供逆向地址到主機(jī)名解析服務(wù)。逆向檢索也稱為指針檢索，根據(jù)IP地址來確定主機(jī)名。為了給逆向檢索創(chuàng)建名字空間，在IP6.INT域中，IPv6地址中所有的32位十六進(jìn)制數(shù)字都逆序分隔表示。例如，為地址FEC0:2AA:FF:FE3F:2A1C（完全表達(dá)式為：FEC0:0000:

22、0000:0000:02AA:00FF:FE3F:2A1C）查找域名時(shí)，在IP6.INT域中是：C.1.A.2.F.3.E.F.F.F.0.0.A.A....0.0.0.C.E.F.IP6.INT.,9.2.2 IPv6域名管理,以地址鏈形式表示的IPv6地址體現(xiàn)了地址的層次性，支持地址聚集和地址更改。 由于一次完整的地址解析要分成多個(gè)步驟進(jìn)行，需要按照地址的分配層次關(guān)系到不同的DNS服務(wù)器進(jìn)行查詢，并且所有的查詢都成功才能得到完整的解析結(jié)果。這勢(shì)必會(huì)延長(zhǎng)解析時(shí)間，出錯(cuò)的機(jī)會(huì)也增加。 因此，在技術(shù)方面IPv6協(xié)議需要進(jìn)一步改進(jìn)DNS地址鏈功能，提高IP

23、v6域名解析的速度才能為用戶提供理想的服務(wù)。,9.2.2 IPv6域名管理,IPv6路由協(xié)議相對(duì)IPv4只有很小的變化 目前各種常用的單播路由協(xié)議和組播協(xié)議都已經(jīng)支持IPv6 本小節(jié)主要介紹RIPng和OSPFv3,9.3 IPv6路由管理,9.3 IPv6路由管理,IETF在保留了RIP優(yōu)點(diǎn)的基礎(chǔ)上針對(duì)IPv6網(wǎng)絡(luò)修改形成了RIPng（RIP next generation，下一代路由選擇信息協(xié)議）。 RIPng主要用于在IPv6網(wǎng)絡(luò)中提供路由功能，是IPv6網(wǎng)絡(luò)中路由技術(shù)的一個(gè)重要組成協(xié)議。 RIPng對(duì)RIPv2進(jìn)行了改進(jìn)，主要體現(xiàn)在 : 1.報(bào)文的不同 2.安全認(rèn)證不同 3.與網(wǎng)絡(luò)層協(xié)

24、議的兼容性不同,9.3.1 RIPng,IETF在保留了RIP優(yōu)點(diǎn)的基礎(chǔ)上針對(duì)IPv6網(wǎng)絡(luò)修改形成了RIPng（RIP next generation，下一代路由選擇信息協(xié)議）。 RIPng主要用于在IPv6網(wǎng)絡(luò)中提供路由功能，是IPv6網(wǎng)絡(luò)中路由技術(shù)的一個(gè)重要組成協(xié)議。 RIPng對(duì)RIPv2進(jìn)行了改進(jìn)，主要體現(xiàn)在 : 1.報(bào)文的不同 2.安全認(rèn)證不同 3.與網(wǎng)絡(luò)層協(xié)議的兼容性不同,9.3.1 RIPng,1.報(bào)文的不同 （1）路由信息中的目的地址和下一跳地址長(zhǎng)度不同 RIPv2報(bào)文中路由信息中的目的地址和下一跳地址只有32比特，而RIPng均為128比特。 （2）報(bào)文長(zhǎng)度不同 RIPv2對(duì)

25、報(bào)文的長(zhǎng)度有限制，規(guī)定每個(gè)報(bào)文最多只能攜帶25個(gè)RTE，而RIPng對(duì)報(bào)文長(zhǎng)度、RTE的數(shù)目都不作規(guī)定，報(bào)文的長(zhǎng)度與發(fā)送接口設(shè)置的IPv6 MTU有關(guān)。 （3）報(bào)文格式不同 與RIPv2一樣，RIPng報(bào)文也是由頭部（Header）和多個(gè)路由表項(xiàng)（RTE）組成。,9.3.1 RIPng,9.3.1 RIPng,圖9-5 RIPv2、RIPng報(bào)文對(duì)比示意圖,與RIPv2不同的是，在RIPng里有兩類RTE，分別是： （1）下一跳RTE：位于一組具有相同下一跳的“IPv6前綴RTE”的前面，它定義了下一跳的IPv6地址。 （2）IPv6前綴RTE：位于某個(gè)“下一跳RTE”的后面。同一個(gè)“下一跳R

26、TE”的后面可以有多個(gè)不同的“IPv6前綴RTE”。它描述了RIPng路由表中的目的IPv6地址、路由標(biāo)記、前綴長(zhǎng)度以及度量值。 （3）下一跳RTE的格式如圖9-6所示， IPv6 next hop address表示下一跳的IPv6地址。 （4）報(bào)文的發(fā)送方式不同 RIPv2可以根據(jù)用戶配置采用廣播或組播方式來周期性地發(fā)送路由信息；RIPng使用組播方式周期性地發(fā)送路由信息。,9.3.1 RIPng,9.3.1 RIPng,圖9-7 IPv6前綴RTE格式,圖9-6下一跳RTE格式,2.安全認(rèn)證不同 RIPng自身不提供認(rèn)證功能，而是通過使用IPv6提供的安全機(jī)制來保證自身報(bào)文的合法性。因此

27、，RIPv2報(bào)文中的認(rèn)證RTE在RIPng報(bào)文中被取消。 3.與網(wǎng)絡(luò)層協(xié)議的兼容性不同 RIP不僅能在IP網(wǎng)絡(luò)中運(yùn)行，也能在IPX網(wǎng)絡(luò)中運(yùn)行；RIPng只能在IPv6網(wǎng)絡(luò)中運(yùn)行。,9.3.1 RIPng,9.3.1 RIPng,圖9-8 RIPng典型配置,OSPFv3除了提供對(duì)IPv6的支持外，還充分考慮了協(xié)議的網(wǎng)絡(luò)無關(guān)性以及可擴(kuò)展性，進(jìn)一步理順了拓?fù)渑c路由的關(guān)系，使得OSPF的協(xié)議邏輯更加簡(jiǎn)單清晰，大大提高了OSPF的可擴(kuò)展性。 拓?fù)洌褐笜?gòu)成網(wǎng)絡(luò)的成員間特定的排列方式。 路由：通過互聯(lián)的網(wǎng)絡(luò)把信息從源地址傳輸?shù)侥康牡刂返幕顒?dòng)。 比如說去一個(gè)地方有三種走法，放在拓?fù)浔韮?nèi)。根據(jù)某種規(guī)則，從三種

28、走法中選擇實(shí)際選擇走的路，放在路由表內(nèi)。,9.3.2 OSPFv3,1. OSPFv3協(xié)議規(guī)劃原則 （1）Router ID: OSPFv3使用的Router ID也是一個(gè)32bit的數(shù)值，僅用于在OSPFv3域中唯一標(biāo)識(shí)路由器。 （2）區(qū)域規(guī)劃方面，適當(dāng)注意設(shè)備數(shù)量不要太多。 （3）IPv6網(wǎng)絡(luò)中的地址塊都比較整齊，主機(jī)所在的業(yè)務(wù)地址與互聯(lián)地址都是64前綴的，很容易聚合；較小的網(wǎng)絡(luò)中可以不聚合。,9.3.2 OSPFv3,2. OSPFv3和OSPFv2的不同點(diǎn) （1）修改了LSA的種類和格式，使其支持發(fā)布IPv6路由信息 （2）修改部分協(xié)議流程，使其獨(dú)立于網(wǎng)絡(luò)協(xié)議，大大提高了可擴(kuò)展性 （3

29、）進(jìn)一步理順了拓?fù)渑c路由的關(guān)系 （4）提高了協(xié)議適應(yīng)性,9.3.2 OSPFv3,9.3.2 OSPFv3,圖9-9 OSPFv3典型配置,在IPv4設(shè)計(jì)之初，著重考慮的是技術(shù)的開放性，而對(duì)網(wǎng)絡(luò)信息安全問題幾乎沒有考慮，而把網(wǎng)絡(luò)安全問題留給應(yīng)用程序去解決，應(yīng)用層增加許多安全措施與安全技術(shù)。 當(dāng)前，大多數(shù)網(wǎng)絡(luò)攻擊都在網(wǎng)絡(luò)層進(jìn)行，為了更有效地抵御各種網(wǎng)絡(luò)攻擊，IPv6在網(wǎng)絡(luò)層實(shí)現(xiàn)了基本的安全功能，重點(diǎn)是IPSec和QoS。,9.4 IPv6安全管理,IPsec既可用于IPv4也可用于IPv6的安全性機(jī)制，該服務(wù)由IP層提供。 可以使用IPSec來要求與其他系統(tǒng)的交互以安全的方式進(jìn)行通過使用特定的安

30、全性算法和協(xié)議。 IPSec提供了必要的工具，用于一個(gè)系統(tǒng)與其他系統(tǒng)之間對(duì)彼此可接受的安全性進(jìn)行協(xié)商。 一個(gè)系統(tǒng)可能有多個(gè)可接受的加密算法，這些算法允許該系統(tǒng)使用它所傾向的算法或某些替代算法。,9.4.1 IPsec技術(shù),IPsec由兩大部分組成： （1）建立安全分組流的密鑰交換協(xié)議（IKE） ； （2）保護(hù)分組流的協(xié)議，包括加密分組流的封裝安全載荷協(xié)議（ESP協(xié)議）或認(rèn)證頭協(xié)議（AH協(xié)議）協(xié)議，用于保證數(shù)據(jù)的機(jī)密性、來源可靠性（認(rèn)證）、無連接的完整性并提供抗重播服務(wù)。,9.4.1 IPsec技術(shù),IPSec中可能考慮如下安全性服務(wù)： 訪問控制 如果沒有正確的密碼就不能訪問一個(gè)服務(wù)或系統(tǒng)。可以

31、調(diào)用安全性協(xié)議來控制密鑰的安全交換，用戶身份驗(yàn)證可以用于訪問控制。 無連接的完整性 使用IPSec，有可能在不參照其他包的情況下，對(duì)任一單獨(dú)的IP包進(jìn)行完整性校驗(yàn)。此時(shí)每個(gè)包都是獨(dú)立的，可以通過自身來確認(rèn)。此功能可以通過使用安全散列技術(shù)來完成，它與使用檢查數(shù)字類似，但可靠性更高，并且更不容易被未授權(quán)實(shí)體所篡改。,9.4.1 IPsec技術(shù),數(shù)據(jù)源身份驗(yàn)證 IPSec提供的一項(xiàng)安全性服務(wù)是對(duì)IP包內(nèi)包含的數(shù)據(jù)的來源進(jìn)行標(biāo)識(shí)。此功能通過使用數(shù)字簽名算法來完成。 對(duì)包重放攻擊的防御 作為無連接協(xié)議， IP很容易受到重放攻擊的威脅。重放攻擊是指攻擊者發(fā)送一個(gè)目的主機(jī)已接收過的包，通過占用接收系統(tǒng)的資源

32、，這種攻擊使系統(tǒng)的可用性受到損害。為對(duì)付這種花招， IPSec提供了包計(jì)數(shù)器機(jī)制。,9.4.1 IPsec技術(shù),加密 數(shù)據(jù)機(jī)密性是指只允許身份驗(yàn)證正確者訪問數(shù)據(jù)，對(duì)其他任何人一律不準(zhǔn)。它是通過使用加密來提供的。 有限的業(yè)務(wù)流機(jī)密性 有時(shí)候只使用加密數(shù)據(jù)不足以保護(hù)系統(tǒng)。只要知道一次加密交換的末端點(diǎn)、交互的頻度或有關(guān)數(shù)據(jù)傳送的其他信息，堅(jiān)決的攻擊者就有足夠的信息來使系統(tǒng)混亂或毀滅系統(tǒng)。通過使用IP隧道方法，尤其是與安全性網(wǎng)關(guān)共同使用， IPSec提供了有限的業(yè)務(wù)流機(jī)密性。,9.4.1 IPsec技術(shù),密碼功能和密鑰管理基礎(chǔ)設(shè)施 加密和身份驗(yàn)證算法：重要的密碼功能大致有5類，包括 對(duì)稱加密：采用單鑰

33、密碼系統(tǒng)的加密方法，同一個(gè)密鑰可以同時(shí)用作信息的加密和解密。常用的對(duì)稱加密有：DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES算法等 公共密鑰加密：使用兩個(gè)不同的密鑰：加密密鑰和解密密鑰。前者公開，簡(jiǎn)稱公鑰。后者保密，簡(jiǎn)稱私鑰。這兩個(gè)密鑰是數(shù)學(xué)相關(guān)的，用某用戶加密密鑰加密后所得的信息只能用該用戶的解密密鑰才能解密。RSA算法（由發(fā)明者Rivest，Shmir和Adleman姓氏首字母縮寫而來）是著名的公開密鑰加密算法。,9.4.1 IPsec技術(shù),密鑰交換：在Internet這樣的開放信道上要實(shí)現(xiàn)秘密共享難度很大。但是很有必要實(shí)現(xiàn)對(duì)共享秘密的處理，因?yàn)閮蓚€(gè)實(shí)體之間需要共享用于

34、加密的密鑰。共享密鑰有一些重要的加密算法，是以對(duì)除預(yù)定接受者之外的任何人都保密的方式來實(shí)現(xiàn)的。典型的密鑰交換協(xié)議是IKE（Internet Key Exchange），用于實(shí)現(xiàn)IPsec中的SA。 安全散列：散列是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的消息摘要的函數(shù)。SHA是公認(rèn)的最安全的散列算法之一。 數(shù)字簽名：公共密鑰加密RSA+安全散列SHA,9.4.1 IPsec技術(shù),安全性關(guān)聯(lián)： 安全關(guān)聯(lián)(SecurityAssociation,SA)是IPSec的基本概念。安全性關(guān)聯(lián)包含能夠唯一標(biāo)識(shí)一個(gè)安全性連接的數(shù)據(jù)組合。連接是單方向的，每個(gè)SA由目的地址和安全性參數(shù)索引( SPI)來定義。S

35、PI是說明使用SA的IP頭類型，如AH或ESP。SPI為3 2位，用于對(duì)SA進(jìn)行標(biāo)識(shí)及區(qū)分同一個(gè)目的地址所鏈接的多個(gè)SA。進(jìn)行安全通信的兩個(gè)系統(tǒng)有兩個(gè)不同的SA，每個(gè)目的地址對(duì)應(yīng)一個(gè)。 每個(gè)SA還包括與連接協(xié)商的安全性類型相關(guān)的多個(gè)信息。這意味著系統(tǒng)必須了解其SA、 與SA目的主機(jī)所協(xié)商的加密或身份驗(yàn)證算法的類型、密鑰長(zhǎng)度和密鑰生存期。,9.4.1 IPsec技術(shù),密鑰管理 密鑰管理不僅包括使用密鑰協(xié)議來分發(fā)密鑰，還包括在通信系統(tǒng)之間對(duì)密鑰的長(zhǎng)度、生存期和密鑰算法進(jìn)行協(xié)商。 ISAKMP（Internet Security Association Key Management Protocol

36、，Internet安全聯(lián)盟密鑰管理協(xié)議）為密鑰的安全交換定義了整個(gè)基本構(gòu)架。是一個(gè)應(yīng)用協(xié)議，協(xié)議中定義了用于系統(tǒng)之間協(xié)商密鑰交換的不同類型報(bào)文，它在傳輸層使用UDP。 但是ISAKMP只是特定機(jī)制所使用的框架，而沒有定義實(shí)際完成交換的機(jī)制和算法。 人工密鑰管理也是一個(gè)重要選項(xiàng)，而且在很多情況下是唯一的選項(xiàng)。,9.4.1 IPsec技術(shù),實(shí)現(xiàn)Ipsec IPSec用于保護(hù)IP數(shù)據(jù)報(bào)。它不一定要涉及用戶或應(yīng)用。用戶無需注意所有的數(shù)據(jù)報(bào)在發(fā)送到Internet之前，需要進(jìn)行加密或身份驗(yàn)證，所有的加密數(shù)據(jù)報(bào)都要由另一端的主機(jī)正確地解密。,9.4.1 IPsec技術(shù),實(shí)現(xiàn)IPsec的方式 將IPSec作

37、為IPv4棧或IPv6棧的一部分來實(shí)現(xiàn) 將IP安全性支持引入IP網(wǎng)絡(luò)棧，并且作為任何IP實(shí)現(xiàn)的一個(gè)必備部分。但是，這種方法也要求對(duì)整個(gè)實(shí)體棧進(jìn)行更新以反映上述改變。 將IPSec作為“棧中的一塊” ( BITS)來實(shí)現(xiàn) 將特殊的IPSec代碼插入到網(wǎng)絡(luò)棧中，在現(xiàn)有IP網(wǎng)絡(luò)軟件之下、本地鏈路軟件之上。換言之，這種方法通過一段軟件來實(shí)現(xiàn)安全性，該軟件截獲從現(xiàn)有IP棧向本地鏈路層接口傳送的數(shù)據(jù)報(bào)，對(duì)這些數(shù)據(jù)報(bào)進(jìn)行必要的安全性處理，然后再交給鏈路層。這種方法可用于將現(xiàn)有系統(tǒng)升級(jí)為支持IPSec的系統(tǒng)，且不要求重寫原有的IP棧軟件。,9.4.1 IPsec技術(shù),將IPSec作為“線路的一塊” ( BIT

38、W )來實(shí)現(xiàn) 使用外部加密硬件來執(zhí)行安全性處理功能。該硬件設(shè)備通常是作為一種路由器使用的IP設(shè)備，或者是安全性網(wǎng)關(guān)，此網(wǎng)關(guān)為位于它后面的所有系統(tǒng)發(fā)送的IP數(shù)據(jù)報(bào)服務(wù)。如果這樣的設(shè)備只用于一個(gè)主機(jī)，其工作情況與BITS方法類似，但如果一個(gè)BITW設(shè)備為多個(gè)系統(tǒng)服務(wù)，實(shí)現(xiàn)相對(duì)要復(fù)雜得多。 上述方法的適用情況不同。要求高級(jí)別安全性的應(yīng)用最好使用硬件方法實(shí)現(xiàn)；而如果系統(tǒng)不具備與新的IPSec兼容的網(wǎng)絡(luò)棧，應(yīng)用最好選擇BITS方法。,9.4.1 IPsec技術(shù),1. QoS簡(jiǎn)介 QoS（Quality of Service，服務(wù)質(zhì)量）是網(wǎng)絡(luò)的一種安全機(jī)制，是用來解決網(wǎng)絡(luò)延遲和阻塞等問題的一種技術(shù)。 現(xiàn)在

39、的路由器一般均支持QoS。 在IP網(wǎng)上實(shí)現(xiàn)實(shí)時(shí)多媒體應(yīng)用的問題焦點(diǎn)便集中在了如何傳輸這些時(shí)延敏感的業(yè)務(wù)上。IPv4網(wǎng)絡(luò)無法保障實(shí)時(shí)多媒體業(yè)務(wù)服務(wù)質(zhì)量，因此在IP網(wǎng)上實(shí)現(xiàn)QoS的機(jī)制已成為網(wǎng)絡(luò)研究熱點(diǎn)。 QoS在IPv4網(wǎng)絡(luò)中是可選項(xiàng)，而在IPv6網(wǎng)絡(luò)中是必選項(xiàng)。,9.4.2 QoS技術(shù),IPv6數(shù)據(jù)包中包含一個(gè)8位的業(yè)務(wù)流類別（Traffic Class）和20位的流標(biāo)簽（Flow Label）。 在RFC1883中定義了4位的優(yōu)先級(jí)字段，可以區(qū)分16個(gè)不同的優(yōu)先級(jí)。 允許發(fā)送業(yè)務(wù)流的源節(jié)點(diǎn)和轉(zhuǎn)發(fā)業(yè)務(wù)流的路由器在數(shù)據(jù)包上加上標(biāo)記，并進(jìn)行對(duì)不同的流進(jìn)行不同的處理。 在所選擇的鏈路上，可以根據(jù)開銷、帶寬、延時(shí)或其他特性對(duì)數(shù)據(jù)包進(jìn)行特殊的處理。,9.4.2 QoS技術(shù),1. QoS簡(jiǎn)介 QoS的3個(gè)主要參數(shù)為丟包率、延遲和抖動(dòng)。有效地控制這3個(gè)參數(shù)，就能夠提供高效的QoS。 實(shí)現(xiàn)QoS控制，一般有以下3個(gè)步驟： 第1步：設(shè)置路由器。確保為所