IPV6-技术简介及应用

IPv6技术 主要内容 l1: IPV6的概况 l2： IPV4向 IPV6过渡技术 l3: IPV6的发展现状及面临的问题 l4： IPV6相关问题的解决策略 l5： IPV6应用前景 1. IPV6的概况 l 近年来对 Internet的攻击时有发生，其主要 原因就是利用了目前 Internet协议 TCP/IP中 存在的安全漏洞。 IP protocol version6,简 称 IPv6，是为了解决现行 IP协议存在的问 题而提出来的新版本协议。 1.1 IPV6与 IPV4的区别 IPV6 IPV4 地址空 间 2128 个，足 够 大 232 ， 约 42亿 表示方法 冒号分十六 进 制 点分十 进 制 安全性 采用 标 准化的方法，以 支持全球范 围 的内部网 接入和虚 拟专 用网 几个可 选 方法，每 个方法都有由有限 的地址空 间 引起的 扩 展性 问题 移 动 IP网 络 配置 规 模可支持全球移 动 终 端 IPV6标 准的一个 完整的 组 成部分 可支持有限数量的 终 端，无 综 合的 标 准化解决方案 1.2 IPV6主要解决的问题 l地址短缺的问题 l路由速度慢的问题 l安全缺陷的问题 1.2.1 IPV4地址短缺的根源 l IPV4定义 IP地址的长度是 32bit，而 32bit 的空间十分有限。 l IPV4地址的分配不合理。 如：美国斯坦福大学有 1700万 IBM公司有 3300万 我国有 2.77亿 1.2.1 IPV6解决地址短缺 l IPv6采用 128位地址长度，几乎可以不受限制 地提供地址。按保守方法估算 IPv6实际可分配 的地址，整个地球每平方米面积上可分配 1000多个地址。 1.2.2 解决路由慢的问题 l IPV6通过更改报头结构来简化路由，加快路由速度。 l 若不指定路由器就不会打开处理扩展头部，改善了路 由性能。 l 在 IPv6的头部，有两个相应的优先权和流标识字段， 允许把数据报指定为某一信息流的组成部分，并可对 这些数据报进行流量控制。 1.2.2 IPV6的报头格式 1.2.3 IPv4的安全缺陷 l 数据包窃听 l IP欺骗 l 数据源认证 l 源路由选择欺骗 l TCP序列号欺骗 1.2.3 IPv6的安全协议 l IPV6实现了网络层的基本安全，采用 IPSec安 全技术。 l IPSec提供了两种安全机制：认证和加密。 认证机制是指 IP通信的数据接收方能够确认数据发 送方的真实身份以及数据在传输过程中是否遭到改 动。 加密机制通过对数据进行编码来保证数据的机密性 ，以防数据因在传输过程中被他人窃取而失密。封 装安全负载（ ESP）协议定义了加密和可选认证的 应用方法。 1.2.3 IPv6的安全保障 l IPv6将 IPSec集成到协议内部，从此 IPSec将 不再单独存在。 IPv6提供了以下安全保障： 1、端到端的安全保证 2、对内部网络的保密 3、通过安全隧道构建安全的 VPN 4、通过隧道嵌套实现网络安全 2. IPV4到 IPV6的过渡技术 l 从 IPv4到 IPv6的过渡方法有三种： 网络元素 /终端的双协议栈 网络中的隧道技术 翻译机制：翻译器是纯 IPv4主机和纯 IPv6主机之间的中间件 l 其中双协议栈和隧道技术是主要的方法，而翻译机制 由于效率比较低，只在不同 IP版本的元素之间进行通 信时才采用。 2.1 双协议栈技术 l IPv6和 IPv4是功能相近的网络层协议，两者 都基于相同的物理平台，而且加载于其上的 传输层协议 TCP和 UDP又没有任何区别。 应用程序 TCP/UDP协议 IPV6协议 IPV4协议 物理网络 2.2 隧道技术 l 利用隧道技术可以通过现有的运行 IPv4协议的 Internet 骨干网络（即隧道）将局部的 IPv6网络连接起来 。 l 路由器 将 IPv6的数据包封装在 IPv4的数据包中并在隧 道的另一端解除封装 l 隧道技术不能实现 IPv4主机与 IPv6主机的直接通信。 3.1 发展现状（中国） l 我国相关研究机构、高校、厂商及运营商也已陆续开 始跟踪与关注 IPv6技术发展，投入 IPv6技术研发， 并相继建成 IPv6试验床及实验网络，如 6Tnet （ IPv6 Telecom Trial Network ）下一代 IP 电信实验网 、湖南 IPv6实验网、中国电信集团 IPv6实验网、中 国高性能宽带信息网、中国教育与科研 CERNET IPv6试验网和中科院 IPv6城域网等。 l CERNET 国家网络中心于 1998 年 6 月加入 6Bone ， 同年 11 月成为其骨干网成员。 3.2 IPV6的应用中面临的问题 解决 IP地址问题，或者说采用 IPv6协议，一直 遇到很多阻力，导致其迟迟不能推行，阻力主 要来自于以下几个方面： l 1业界公司的不支持 l 2相关业务的缺乏 l 3全世界各国和国际机构的态度不一 3.2.1 业界公司的不支持 目前的现状是：国内的通信运营商对 IPv6基本 上持一种 “不拒绝，不支持 “的态度。原因是运 营上刚刚建立了全国性 IPv4网络，这笔投入实 在是太高了，现在还没有得到充分的投资回报 ，如果升级到 IPv6，必然要再花很多钱更新全 国的网络设备，别的不说，至少所有城市的核 心路由器要全部换新，成本太高。网络设备的 硬件改造和软件升级都需要进行投资，而且投 资的额度将会非常大。这个问题目前是任何企 业和机构都无法回避的。 3.2.2 相关业务的缺乏 从 IPv6移动技术的实现来看，数据业务其实是 推动 IPv6移动技术实现的一个最重要的动力源 。如果没有足够的需求必须要采用独立的合法 IP地址，那么运营商也就不会热衷于升级设备 或扩建基础设施。目前的问题是，移动互联网 络虽然发展很快，但终端用户大部分还只是需 要传统的语音业务，数据业务的需求还有很大 局限性。 3.2.3 全世界各国和国际机 构的态度不一 从全球范围来看，除了亚太和欧洲地区较为热 衷外，美国和 IETF似乎还未做好向 IPv6过渡 的准备。美国拥有 30亿以上的 IP地址，当然目 前是足够用了，所以过渡到 IPv6的压力较小， 当然随着手持设备的大量使用，在两三年内， 美国乃至全球都会感到 IP地址的缺乏：要知道 美国 IP地址的使用有严重的浪费现象。 IETF当然是 IPv6技术获得推进的关键性组织， 但它的思路似乎是等到技术细节完全确定后， 才在全球范围内推广使用 IPv6。但我国以及亚 太的一些国家，如韩国、日本等，已经不可能 再等了，尽早采用 IPv6是聪明之举。 4.IPV6 相关问题的解决策略 l 1 针对软硬件升级问题的解决策略 l 2 针对业务较为缺乏的解决策略 l 3 针对其它相关问题的解决策略 4.1 针对软硬件升级问题的 解决策略 在实现 IPv4向 IPv6过渡的过程中，应尽量使用 IPv4/IPv6兼容的过渡技术。首先在软件上进 行更新，然后逐步在硬件上进行升级。在建设 新网络时应充分考虑采用新技术（如 IPv6）的 可行性；搭建一定规模的实验网来了解新技术 并积累经验；在购买新的设备时，考虑该设备 是否支持 IPv6；促进新应用的创新和运用，特 别是在网络普及率高的大城市；在建设电信基 础设施的时候，考虑通过新技术（如 IPv6）来 实现基本的网络业务，并在此基础上开发出综 合的创新业务。 4.2 针对业务较为缺乏的解 决策略 随着以 IPv6协议为核心的下一代互联网的逐步 部署，厂商和运营商合作开发新型业务及应用 成为非常重要的工作。对于运营商来说，需要 明确用户在下一代互联网中的实际业务需求， 并研究制定下一代业务平台的体系架构，解决 在实施下一代业务中所需的关键技术，并制定 新型业务的规范，争取在下一代互联网的价值 链中占据有利地位。 对于设备制造商来说，根据运营商的业务需求 和网络业务现状，尽早开发出符合市场需求的 业务产品，使这些业务能充分发挥 IPv6协议的 新特性。另外，尽管 IPv6和 IPv4协议都是网络 层技术，但在支持业务方面， IPv6还需要解决 一些关键问题，如：业务质量、业务安全、用 户的标识与认证、用户状态及定位等，这些问 题需要在下一代互联网的背景下重新研究与解 决，而不能照搬传统 IPv4网络的解决方案。同 时应增加现有 IPv6网络上的资源，逐步把现有 IPv4网络上的资源转移到 IPv6网络上来。 4.3 针对其它相关问题的解 决策略 在 IPv6的部署只有少数国家取得实质进展、全 球发展局面尚未全面打开的时候，中国全面部 署的风险会很大；而任由产业界自我发展的方 式则可能使中国失去一次很好的发展机会。因 此，在国家的组织和产业界的共同努力下，搭 建较大规模的实验网、有序开发、积累经验是 中国目前 IPv6发展的最佳策略， CNGI项目正 是这一思想的体现。 5. IPV6应用前景 l 提供足够的地址空间 l IPv6将使互联网更具鲁棒性和安全性，同时也提高了 效率和可操作性 l 运营商则能简化网络结构，降低投资和运营的成本 l 实现端到端的实时通信 l 提供语音、数据和视频的融合业务 l 满足丰富的移动互联网业务需求 l 满足高速网络的发展需求 与 IPV6安全相关的技术文档 RFC 2402, IP Authentication Header RFC 2404, The Use of Hash Message Authentication Code Federal Information Processing Standard 180-1 within Encapsulating Security Payload and Authentication Header RFC 2406, IP Encapsulating Security Payload