（计算机应用技术专业论文）ipv6环境下防火墙技术研究.pdf

摘要 随着互联网络的迅猛发展，传统的i p v 4 技术所表现的诸多问题在很大程度 上制约着网络的扩展、应用以及管理。这些问题主要表现在地址空间匮乏、路由 表过大、网络管理与配置复杂、安全性能差等方面，i p v 6 技术的提出在很大程 度上解决了现有的网络问题，但其安全性能也不容乐观。 本文从i p v 6 的关键技术谈起，探讨了i p v 6 的地址格式、数据报头格式、即 插即用和移动i p v 6 以及i p v 6 过渡阶段的相关技术等问题。详细地分析了i p v 6 的安全体系结构i p s e c 的体系构成、工作方式、安全能力以及i p s e c 在i p v 6 中的实现方式；论述了i p s e c 中的身份验证头( a h ) 和封装安全净荷头( e s p ) 。 对i p s e c 在i p 报文的机密性、数据来源认证、完整性和抗重播等方面的能力进 行了研究。在此基础上给出了i p v 6 和防火墙相结合的几种方式。本文在对i p v 6 新特性进行分析的同时，从多个角度考察和归纳了i p v 6 在网络安全方面所引入 的若干新问题，以及攻击者可能采取的攻击手段等，并指出了由于采用了i p v 6 技术给现有的网络安全工具带来的危机。 基于上述问题，本文提出了在纯i p v 6 环境下的一种网络防火墙机制，论述 了这种机制所采用的体系结构屏蔽主机结构，并且就本机制中的包过滤防火 墙模块的工作方式和过滤规则等提出了自己的观点，堡垒主机模块主要针对的是 采用分片或i p s e c 机制的数据包进行处理和过滤。通过模拟纯i p v 6 中网络攻击 的方式对该机制进行了验证用以确定其能够正常运行。 关键词ti p v 6 ，i p s e c ，网络安全，防火墙，包过滤，堡垒主机 a b s t r a c t t og r e a te x t e n t ，a l o n gw i t hf a s td e v e l o p e di n t e m e t ，t h et r a d i t i o n a lt e c h n o l o g yo f i p v 4h a sm a n yp r o b l e m sw h i c hr e s t r i c tt h es p r e a da p p l i c a t i o na n dm a n a g eo fi n t e m e t t h e s ep r o b l e m sm a n i f e s tt h e m s e l v e si nt h es h o r to fa d d r e s ss p a c e ，t h eo v e r s i z er o u t e r t a b l e ，c o m p l i c a t e dm a n a g ea n de o n f i go fn e ta n dt h eb a ds e c u r i t y t og r e a te x t e n t , t h e i p v 6t e c h n o l o g ys e t t l e sm a n ye x i s t e dp r o b l e m so fn e t b u ti p v 6s t i l lh a sab a d s e c u r i t y t h ep a p e rr e f e r st ot h ea d d r e s sf o r m a to fl p v 6 h e a df o r m a to fu d pp l u ga n dp l a y i p v 6a n ds o m ep r o b l e m so fi p v 6t r a n s i t i o n t h ew o r k i n gs e c u r i t ya b i l i t yo fi p s e c ( s e c u r i t ys y s t e ms t r u c t u r eo fi p v 6 ) a n dt h er e a l i z a t i o nm o d eo f i p s e ca r ea n a l y z e di n d e t a i li nt h i sp a p e r t h i sp a p e rd i s c u s s e st h ea ha n de s po fi p s e c t h ec o n f i d e n t i a l i t y o fi pm e s s a g et h ea u t h e n t i c a t i o no fd a t as o u r c ea n di n t e g r a l i t ya b i l i t yo fi p s e ca r e d i s c u s s e di n t h i sp a p e r t h i sp a p e ra n a l y z e st h en e wc h a r a c t e r i s t i c so fi p v 6 ，a n d c o n c l u d e ss o m en e wp r o b l e m so fi p v 6a n dt h ep o s s i b l em e a n so ft h ea t t a c k e r sa n d i n d i c a t e st h ec r i s i sb i n g e do u tb yi p v 6t e c h n o l o g yi ns e c u r i t yt o o l s b a s e do nt h ep r o b l e m sa b o v e ，t h i sp a p e rb r i n g sf o r w a r dn e t w o r kf i r e w a l l m e c h a n i s mi np u r ei p v 6c i r c u m s t a n c ea n dd i s c u s s e st h es y s t e ms t r u c t u r eo ft h i s m e c h a n i s m ( m a i n f r a m es h i e l ds t r u c t u r e ) t h i sp a p e rb r i n g s f o r w a r dm yo w n s t a n d p o i n to ft h ew o r k i n ga n df i l t r a t i o nm e c h a n i s mo ff i l t r a t i o nf i r e w a l l t h ef o r t m a i n f r a m ea i m sa tt h ef i l t r a t i o na n dd i s p o s a lo ft h ed a t ao fi p s e cm e c h a n i s m t h i s p a p e rv a l i d a t e st h em e c h a n i s ma b o v eb ys i m u l a t i n gt h en e t w o r ka t t a c kw o r k i n go f p u r ei p v 6c i r c u m s t a n c e k e yw o r d s ：i p v 6 ，i p s e c ，n e t w o r ks e c u r i t y , f i r e w a l l ，f i l t r a t i o nm e c h a n i s m , b a s t i o nh o s t 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的 研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表 或撰写过的研究成果，也不包含为获得苤洼盘堂或其他教育机构的学位或证 书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 姗? 融t ? 飙1 年石月伊 学位论文版权使用授权书 本学位论文作者完全了解鑫鲞盘堂 有关保留、使用学位论文的规定。 特授权苤鲞盘堂可以将学位论文的全部或部分内容编入有关数据库进行检 索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校 向国家有关部门或机构送交论文的复印件和磁盘。 ( 保密的学位论文在解密后适用本授权说明) 导师签名： 签字日期：吵毒7 年名月f 7 日 上叩1日 乇 7 ， 、哏 ， 女红 氰 年 鉴介， 者 矿 储 坩 文 期 沦 日 位 字 学 签， 第一章绪论 第一章绪论 目前，人类正在向一个新的时代电子信息时代迈进，计算机网络在其中 占着举足轻重的地位。它正在改变着人们的生活方式。从战争到金融，从影视到 音乐，计算机网络无处不在。而随之而来的网络安全问题也影响着经济的发展、 社会的安定繁荣甚至是国家的安全。 i p v 6 口儿3 9 1 理论上解决了i p v 4 所面临的问题，但是在其安全性方面也不容乐 观。如果不能解决好这方面的问题，新一代的网络互联协议也将无法广泛部署。 i i 研究背景 很多曾经美好的事物随着时问的推移并不能成为永恒。i p v 4 作为网络互联 协议已经取得了空前的成就，它可以将全球的局域网连接起来成为对当今社会最 具影响力的网络i n t e r n e t 。但是随着i p v 4 互联网规模的不断扩大以及应用范围 的不断拓展，它的地址数量、移动性、服务质量以及安全性等这些在最初设计时 并没有考虑到的问题越来越制约着它的发展。因此，因特网工程任务组i e t f 推 出了新一代因特网互联协议i p v 6 。 到2 0 0 3 年6 月9 日美国国防部在一份i p v 6 提案中明确表示全面部署i p v 6 n 1 ， i p v 6 的发展已经是大势所趋。从i p v 6 的标准制定的那一刻起，i p v 6 的网络技术、 过渡技术、安全体系模型和安全技术、安全产品和服务等方面均得到了迅速的发 展，许多安全公司开始开发基于i p v 6 的安全产品。目前在i p v 6 安全性研究方面 以欧美和日韩等国为龙首，其中日本在这方面做得最好。 美国1 0 0 所大学和企业于1 9 9 6 年底联合发起i n t e r n e t 2 研究计划啪，其目 的在于利用现有的网络技术来探索高速网络环境下新一代网络应用，同时力图发 现现有网络体系结构理论的缺陷和不适应部分。i n t e cn e t c o r e 公司和n e u s o f t 合作进行了“下一代i p v 6 安全的模型”的研究项目。该项目结合了i n t e cn e t c o r e 的下一代平台技术、i p v 6 的相关网络技术和n e u s o f t 公司的防火墙安全技术， 研究倾向于解决i p v 6 问题的整个安全模型。 国外的许多公司都着手i p v 6 及其相关安全产品的研发。微软从w i n d o w s 2 0 0 0 开始提供对i p v 6 的支持，l i n u x 和f r e e b s d 目前的版本都提供了对i p v 6 的支持， 同时大量的应用软件也提供了对i p v 6 的支持。c h e c kp o i n tf i r e w a l l - i 是首先 支持i p v 6 的安全产品，c i s c o 、n o k i a 、n e c 等多家国家厂商均开始投入资金开 第一章绪论 发自己的产品。 在2 0 0 3 年1 1 月2 6 日召开的“中国i p v 6 应用服务研讨会上，中国工程院 邬贺铨副院长首次正式披露了中国下一代互联网示范工程( c h i n an e x t g e n e r a t i o ni n t e r n e t ) 的有关情况。2 0 0 4 年中国第一个i p v 6 主干网c e r n e t 2 试 验网正式开通并提供服务。i p v 6 及其安全技术的研究汇集了国内多家力量，包 括大专院校、研究机构和公司等学术机构和公司团体，这些实体间还进行了广泛 的合作。自从1 9 9 9 年1 2 月i a n a 开始分配正式的i p v 6 地址2 0 0 ：1 3 以来，华 为、中兴等国内知名网络设备供应商均推出其基于i p v 6 的网络产品和安全产品。 这些发展进一步推动了i p v 6 及其安全技术的研究。 综上所述，基于i p v 6 下一代网络安全技术的研究需求迫在眉睫。i p v 4 前进 的脚步已经被阻挡，过渡到i p v 6 是历史的必然。因此，有必要对i p v 6 协议的安 全性进行深层次的分析，构建基于i p v 6 的网络安全防御体系，为下一代网络的 普及和推广提供理论基础和技术支持。 1 2 课题的研究目标 本课题的研究目的在于通过对i p v 6 网络互联协议以及其安全性方面的研 究，发现其存在的安全隐患，并对现有的网络安全工具的研究来掌握解决下一代 网络互联协议下所存在的问题，并提出了在纯i p v 6 机制下的防火墙策略，进而 促进i p v 6 的普及，保障在安全的基础之上最大化其性能、效率和可扩展性。 i p v 6 将i p v 4 的地址从3 2 位一越扩展为1 2 8 位基本解决了地址空问匮乏的 问题；采用新型的数据报头格式简化了中间路径上路由器对数据的处理以及转 发；扩展头的引入为实现i p v 6 新技术提供了很多便利；选路扩展头的出现将选 路的工作安排到了数据包发送端，减轻了路由器的负担，简化了路由表；i p v 6 能更好地支持i p s e c 技术，这使得互联网的安全性能大大提高。 但是i p v 6 技术依然存在着问题，首先，i p v 6 使用了i p s e c 技术，但这仅仅 是一个网络层协议，也就是说该协议只负责网络层及其下层的网络安全，对于应 用层和传输层等上层来将，不能依靠i p s e c 负责其安全性。而下一代网络的特性 就是开放式接口增多，网络应用、网络速度和网络规模都在原来的基础上迅速地 增长，一方面i p v 4 网络所存在的一些安全性方面的问题，如网络窃听、d d o s 攻 击、中间人攻击、基于应用层的攻击以及蠕虫、木马等病毒，在i p v 6 中并没有 被解决，而这些攻击方式的原理并没有发生什么变化，因此即便是采用了i p s e c 技术也很难阻止攻击者对网络进行的破坏性攻击。i p v 6 引进新技术的同时，随 之而来的许多新的安全问题也出现了，这些新问题与在i p v 4 网络环境下所遇到 2 第一章绪论 的安全性问题将会截然不同，如扫描、恶意移动主机的非授权访问本地网络、扩 展头和分段信息的修改、信息窃听、地址伪造等等。另外如果基于i p v 6 技术通 信的节点如果没有用到i p s e c 技术将一样的遭受i p v 4 网络环境下相同的攻击。 另一方面i p v 6 技术不可能一蹴而就，i p v 4 和i p v 6 将会共存很长的时间，这就 大大地增加了网络的复杂性，并且可能出现新型的不为人知的攻击方式。 其次，移动i p v 6 技术的实现将是网络发展史上的一个里程碑，但是其中的 安全问题尤为突出，比如：到目前为止还没有一个满意的认证模式，产品的安全 功能内嵌困难，密钥的交换很困难等等。i p v 6 引入了一系列的新技术，这对传 统的基于i p v 4 的网络安全工具来说是一个巨大的挑战。i p s e c 加密和身份认证 技术使得传统的防火墙，i d s ，安全审计和安全扫描工具的实现变得难上加难。 因此有必要开发新一代的网络安全工具，以促进i p v 6 技术的推广。 本文的目标为： 对i p v 6 所采用的新技术进行深入地研究。本文对i p v 6 所采用的1 2 8 位 地址格式、i p v 6 数据报头格式、即插即用和移动i p 以及i p v 6 过渡的相 关技术进行了详细的介绍。 研究i p v 6 安全体系结构以及i p s e c 与防火墙结合的几种方案。i p v 6 通 过更好地支持i p s e c 机制，使得数据包的加密和身份认证技术的实现变 得更加容易，但是i p s e c 机制的引入也使得传统的防火墙等网络安全技 术面临着新的挑战。本文将对i p s e c 机制进行深入地研究，包括i p s e c 所采用的技术、s a 的两种模式、a h 身份认证和e s p 封装安全净荷头等并 对i p s e c 与防火墙的结合方案作详细地讨论。 通过对i p v 6 协议以及其安全性方面的研究，指出了i p v 6 所存在的安全 隐患，并且根据新形势下出现的新问题本文提出了一种在纯i p v 6 机制下 的防火墙策略。 1 3 课题的意义 以i p v 6 为核心的下一代互联网技术已经受到了全球范围内越来越多的重 视，许多国家政府己从本国通信产业长远发展的战略角度来看待其发展。本课题 所研究的内容同下一代互联网关系紧密，课题的研究成果将能够直接应用到下一 代互联网的部署之中，本课题的研究意义为： i p v 6 超大的地址空间将足以解决由于i p v 4 地址匮乏所带来的一系列问 题。其可以满足每个设备上网需求的同时也将彻底摆脱n a t ( n e t w o r k a d d r e s st r a n s l a t i o n ) 对于互联网的束缚，使互联网的服务模式恢复到 第一章绪论 对等( p e e r - t o - p e e r ) 的模式之下。 i p v 4 协议是一个不安全的协议，在其上所传送的数据包不但都以明文的 形式传输而且也无对数据源地址的认证。i p v 4 极易受到i ps n i f f e r 和 i ps p o o f i n g 的攻击，其无法承载关键、机密的应用。i p s e c ( i n t e r n e t p r o t o c o ls e c u r i t y ) 的出现在一定程度上弥补了i p v 4 在安全方面的不 足。可由于i p s e c 后于i p v 4 确定标准，i p s e c 在i p v 4 下的实现以“插 入”的方式存在，这使其难以标准化和统一化，以至于不同厂商的i p s e c 产品之间难以互通。另外n a t 的厂泛存在也是部署i p s e c 的一大障碍。 与之相比，a h 和e s p 都已成为了i p v 6 扩展包头( e x t e n s i o nh e a d e r s ) 中 的一员；n a t 在i p v 6 中也不存在，i p s e c 在i p v 6 中的实现要更加标准、 规范。基于i p s e c 的端对端的安全通信将使下一代互联网变得更加安全。 i p v 6 虽然采用了新技术来保障互联网络的安全性，但是其改变的只是网 络层的协议。i p s e c 只能对网络层以及下层加以保护，而对传统的基于 上层的攻击方式不会起太大的作用。并且i p v 6 的出现也引入了一系列的 问题，i p v 6 的易配置以及诸多方便用户的特性也给网络攻击者提供了攻 击本地网络的更好手段，另外数据加密和身份认证使得防火墙的实施变 得异常困难。 本文通过对这些问题的研究，提出了基于i p v 6 协议的防火墙策略，该策 略能够很好地解决i p v 6 所存在的某些问题，为i p v 6 能够大范围的普及 和推广来提供了良好地理论基础。 1 4 论文结构 根据课题的研究内容，本文可分为下面几部分： 第一章：介绍课题的研究背景、研究目标以及研究意义。 第二章：对i p v 6 协议和防火墙技术进行介绍，包括i p v 6 所采用的新技术、 如何解决i p v 4 所存在的问题等以及防火墙体系结构等。 第三章：一种基于i p v 6 的防火墙机制，指出了i p v 6 下存在的网络安全隐患， 并提出了一种防火墙机制。 第四章：在模拟的环境下测试防火墙的安全性能。 第五章：结论。 4 第二章i p v 6 协议及防火墙技术概况 第二章i p v 6 协议及防火墙技术概况 2 1i p v 6 协议概况 对i p v 4 的升级最早在r f c l 8 8 3 和r f c l 8 8 4 标准中进行了定义。其中前者 描述的是协议本身，而后者介绍的是i p v 6 的地址结构。目前r f c l 8 8 4 已经被 r f c2 3 7 3 代替。i p v 6 的变化主要体现在如下几个方面：扩展地址、简化头格式、 增强对于扩展和选项的支持、流标记、身份验证和保密。 1 ) 扩展地址 i n t e r n e t 经历了爆炸般的发展，在过去的l o 到1 5 年间，连接到i n t e r n e t 的网 络数量每年要增加一倍多。i p v 4 地址空间枯竭的问题产生于2 0 世纪9 0 年代， 究其原因是多方面的，主要还是因为i p v 4 所采用的寻址格式所导致。 i p v 4 的地址方案采用4 个字节共3 2 位数作为主机在网络上唯一的标识。但 是我们不能用全部的3 2 位来表示网络上的主机，那样的话，全球的网络设备将 会连接到一个大网络上，这是非常可怕的，所以研究人员将每个i p 地址分为两 部分：网络地址，用于指出该主机位于哪个网络( 同一个网络的主机使用同样的 网络地址) ；主机地址，指出网络上唯一的主机。这种安排方便了i p 的应用，但 也导致了地址危机。 i p 地址被分为5 类，但是只有三类被应用于i p 网络，这三类地址曾经被认 为足以应付将来的网络互联。其中a 类地址只有1 2 6 个，它们连接的主机最多 可以达到一千六百万台，多以经常被用于那些最大的实体，如政府机关等。b 类 地址大约有1 6 0 0 0 个，用于大型机构，如大型的公司和大学，理论上可支持6 5 0 0 0 台主机。c 类网络超过两百万个，每个网络上的主机数量不超过2 5 5 个，用于i p 网络的其他机构。如表2 1 所示： 表2 - 1i p v 4 地址类型 类型网络起始地址网络结束地址最大网路数最大主机数 网络 a 1 o 0 012 6 0 0 01 2 6 1 6 7 7 7 2 1 4 b12 8 0 o 01 9 1 2 5 5 0 01 6 3 8 46 5 3 6 c1 9 2 0 1 02 2 3 2 5 5 2 5 5 02 0 9 7 1 5 2 2 5 4 5 第二章i p v 6 协议及防火墙技术概况 理论上讲，i p v 4 能够容纳多达4 0 亿台主机，但是由于i p 地址的利用率不高 的原因，导致了地址空间的极大浪费。例如：无论申请人的网络上有1 0 0 台主机， 还是2 5 台或是2 台，他都将获得一个c 类的网络地址，这样就占据了2 5 4 个主 机地址。由于一个c 类地址只能容纳2 5 4 台主机，就p c 机的普及情况来看，很 多的企业或公司所拥有的主机数量都远远超出了2 5 4 ，假设申请i p 地址的公司 有2 0 0 0 台主机的话，他将得到一个拥有6 5 5 3 6 台主机地址的b 类网络地址，这 种情况造成了i p 地址的巨大浪费，同时也意味着b 类网络已经消耗殆尽。而且 那些幸运地得到了a 类地址的部门也很少能够高效地使用1 6 7 7 7 2 1 4 个主机地 址。以目前的发展速度来计算，所有的i p v 4 地址将于2 0 0 5 - 2 0 1 0 年之间分配完 毕。 2 ) i p v 6 地址格式 i p v 6 t 1 】将i p v 4 的地址长度从原来的3 2 位一越成为1 2 8 位，i p v 4 的地址通常 被分为网络标识、主机标识有时还有子网标识等几个部分。i p v 6 地址将拥有更 大的空间并且支持更多的字段。 i p v 6 地址的长度是i p v 4 的4 倍，表达起来的复杂程度也比较高，它的基本 表达方式为x ：x ：x ：x ：x ：x ：x ：x ，其中x 代表一个4 位的1 6 进制数，每个数字代 表4 位二进制数，这样算下来刚好是1 2 8 位。以下就是合法的i p v 6 地址： e d l f ：0 ：0 ：1 2 e a ：l ：4 3 2 3 ：1 1 1 1 ：8 9 7 3 ， 1 0 0 0 ：0 ：o ：0 ：0 ：0 ：o ：1 某些i p v 6 地址中出现连续的一长串0 的时候，可以使用空隙来表示这一长 串0 。如1 0 0 0 ：0 ：0 ：0 ：0 ：0 ：0 ：1 可以表示成：1 0 0 0 ：1 ，但是这种方式在一个i p v 6 地 址上只能表示一次。 在i p v 4 和i p v 61 3 6 都存在的环境里，可以用i p v 6 地址中的最低3 2 位来表示 i p v 4 地址，它的表达方式为：x ：x ：x ：x ：x ：x ：d d d d ，其中x 表示一个1 6 位整数， 而d 表示一个8 位的是进制数。如：0 ：0 ：0 ：0 ：0 ：0 ：1 2 7 0 0 1 就是一个合法的i p v 4 地址。由于i p v 6 地址被分为两部分子网前缀和接口标识符，i p v 6 节点地址 中指出了前缀的长度，该长度与i p v 6 地址间以斜杠划分，例如： e d l f ：0 ：0 ：1 2 e a ：1 ：4 3 2 3 ：1 1 1 1 ：8 9 7 3 6 0 i p v 6 地址可封为三种类型【3 j ：单播、泛播和组播。 单播地址( u n i c a s ta d d r e s s ) ：表示一个节点接口的1 2 8 位地址，一个接口 可以拥有多个i p v 6 网络接口，每个接口对应一个单播地址。功能不同的 节点，对待单播地址的方式也不同。如果该节点只是简单地确定整个地 址是否为全球唯一的i p v 6 单播地址，则将该地址的1 2 8 位当作是一个整 6 第二章i p v 6 协议及防火墙技术概况 体来看待，单播地址包括下面几种类型：可聚集全球地址、未指定地址 或全0 地址、返回地址、嵌有i p v 4 的i p v 6 地址、基于供应商和基于地 理位置的供应商地址、o s i 网络服务访问点( n s a p ) 地址、网络互联包 交换( i p x ) 地址。 组播( m u l t i c a s ta d d r e s s ) ：组播给应用程序提供两种服务：其一是多目传 送。许多应用都需要传送消息给多个接收方，例如交互式的会议和群发 邮件给多个接收方；其二是客户对服务器发出请求。在以太网中，多播 地址是一个4 8 位的标示符，定义了一组在这个应用程序应该接收到一个 分组的站点。在i p v 4 中，可以由d 类地址来实现，它的范围从2 2 4 0 0 0 到2 3 9 2 5 5 2 5 5 2 5 5 。在i p v 6 ，多播地址都有前缀f t 0 0 ：8 。 泛播( a n y c a s ta d d r e s s ) ：泛播地址与组播地址比较类似，不同的是，一 般只有一个节点接收到泛播地址的数据报，这个节点通常是离源节点最 近的。当数据包的目的地址为某网络上的i p v 6 泛播地址时，路由器将指 出离源节点最近的主机来接收该数据包，从而提高了路由的效率。比如： 在一个网络中的某台主机为了获取域名服务器的i p 地址，它发出一个请 求到泛播地址，对于该主机而言，任何的域名服务器对它都是适用的： 如果相应请求的是离自己最近的服务器的话将有利于节省路由的时间。 3 ) i p v 6 头格式 i p v 6 的报头结构如图2 - 1 所示1 9 j ： 版本业务流类别流标签 净荷长度下一个头跳极限 源口地址 目的i p 地址 数据报的数据部分 净荷 图2 - 1i p v 6 头文件格式 i p v 6 报头中唯一与i p v 4 相同的是版本号，这主要是为了能够和i p v 4 兼容； i p v 4 中的含有报头长度字段，因为i p v 4 头中有选项字段，也就是说它的报头长 度不是固定值，而i p v 6 头则是固定长度，因此不需要这个字段；服务类型字段 与i p v 6 中的流类别字段类似，但是在i p v 4 种服务类型并没有具体实现；下一个 7 第二章i p v 6 协议及防火墙技术概况 字段是1 6 位总长度，这与i p v 6 中的净荷长度有些类似，但是i p v 4 中的总长度 包括了报头的长度，路由器必须经过计算才能得知其数据的长度。i p v 6 的净荷 长度只包含扩展头的长度，无须这种计算。 1 6 位标识、3 位标志和1 3 位分段位移是用于i p v 4 数据报的分段。在i p v 6 中分段工作交给了源节点，而不是路由器，因此i p v 6 不再需要这些字段；生存 期字段变为了跳极限字段；协议字段指出了上层使用的是u d p 还是t c p 协议。 这个字段后来演变成为i p v 6 的下一个头字段，其中定义了下一个头是扩展头字 段还是上一层的协议；校验和字段用于计算i p v 4 报头的校验和，但是由于t c p 和u d p 等高层协议均进行了这种计算，该字段显得有些多余，因此i p v 6 将其舍 弃；i p v 6 保留了源地址和目的地址字段，只是将它们扩展成为1 2 8 位；选项字 段彻底消失，取而代之的是扩展头。 i p v 6 的分段只能由源节点和目的节点完成，这样就减少了路由器的开销。 分段的原因在于路径的最大传输单元m t u 。如果i p 层有一个数据报要发送，而 这个数据包大于链路层的m t u ，那么就必须对此数据报分段。但是问题在于源 节点虽然能够了解链路层的m t u 有多大，但确没办法知道整个路径的m t u 。 有两种方法可以减少对分段的需求。第一种是路径m t u 发现，路由器向目 的地发送一个包来报告该路由器链路上的m t u 值。如果包到了不需要进行分段 的链路，负责分段的路由器通过一个i c m p 报文来通知该路由器链路上的m t u 值，一直重复这个过程，直到确定最小的m t u 为止；另一种方法是规定所有支 持i p 的链路不需能够处理一个合理的最小长度的包。 i p v 6 中不允许路由器将数据报分段，却而代之的是发送i c m p v 6 出错包给源 节点。执行路径m t u 发现的节点只是将允许的最长数据报通过网络链路发送到 目的地。如果中间的一条链路无法处理这个包，尝试转发的路由器将向源节点发 送一个i c m p v 6 出错报文。然后源节点将发送一个更小的包，如此重复直到不再 受到i c m p v 6 出错报文为止，然后源节点使用新的m t u 作为路径m t u 。 i p v 4 数据报头包含了一个可变长的选项字段。ip 选项用于指示一些特殊的 功能。在最初的规范中没有定义这些选项，但最终增加了关于安全性和选路功能 的选项。选路选项中包括一个记录路由的功能，让每个处理包的路由器都将自己 的地址记录到该包中，另一个时间戳功能让每个路由器在包中记录自己的地址和 处理包的时间。另外还有源选路选项：“宽松源选路”指明包在发往其目的地的 过程中必须经过的一组路由器，而“严格源选路”则指定了该包只能由列出的路 由器处理。 但是问题出在大多数ip 数据报不包括选项，并且厂商按不包括选项的数据 报来优化路由器。ip 头如果不包括选项，则5 字节长，易于处理，尤其是在路 8 第二章i p v 6 协议及防火墙技术概况 由器设计优化了对这种头的处理之后。对于路由器的销售而言，性能是关键，且 由于大部分数据报不支持ip 选项，因此路由器往往把这种包作为特例，搁置起 来，只有在不会影响路由器总体性能时才加以处理。 i p v 6 中的扩展头字段减轻了路由器的负担。扩展头的思想是把选项字段放 到数据中去，而用下一个头字段来指明是否有扩展头和扩展头的类型。这样一来 除了规定必须由每个转发路由器进行处理的逐跳选项外，路由器就无须再对其他 选项进行处理，而是将其当作净荷进行转发。i p v 6 扩展头包括： 逐跳选项头：该扩展头要跟在i p v 6 头之后，包含数据报传输过程中所经 过的节点都必须检查的可选数据。目前只定义了巨型净荷选项。 选路头：选路头的出现基本上解决了i p v 4 网络路由表过大的问题。在互 联网或者内联网上传输i p v 4 包必须从一个网络选路到另一个网络以到 达目的地。选路机制可通过动态路由的形式来实现，但是最终还是要依 赖某个路由器察看其路由表并确定正确的路由。路由表包含网络列表和 连接到这些网络上的接口列表。路由器首先检查i p 数据报，通过对报头 的检查确定目的地址所在的网络或者可能在的网络，再通过检索路由表 确定所对应的接口，然后转发。现在所面临的问题在于路由表的长度将 随着网络数量的增长而变长。而路由表越长，路由器在表中查找正确的 路由的时间也就越长。对于诸如现在的i n t e r n e t 网络，出口的网络带宽对 于普通应用来说已经足够了，但是我们还是发现网络的速度并不如理论 所设想的那样快。由于i n t e m e t 骨干路由器上通常携带超过1 1 万个不同 网络地址的显式路由，用户的大量时间已经浪费到了路由器选路的问题 上了。i p v 4 的选路问题严重地影响了互联网的性能，这要比地址空间的 匮乏更须待解决。 i p v 6 使用选路扩展头进行网络间的路径选择。基本上解决了i p v 4 由于路由表过大所存在的问题。选路扩展头中列出了数据包需要经过路 径上的节点。i p v 6 报头所列的目的地址并不是最终的目的地址而是选路 头中的第一个地址，当数据报到达该地址所对应的节点后，该节点将对 选路头进行处理，然后将包转发给选路头所列的第二个地址，如此类推 直到包到达最终目的地。也就是说在i p v 6 中网络中的任何节点都应当具 有转发数据包的功能，而并不是只有路由器才能完成这个工作。 分段头：此扩展头包含一个分段偏移量、一个“更多段”标志和一个标 识字段，用于源节点对长度超出源端和目的端间路径m t u 的包进行分 段。分段扩展头的出现将原来由路由器处理的数据包分段工作交由发送 数据包的源节点来完成，这在一定程度上又减少了路由器的工作量。 9 第二章i p v 6 协议及防火墙技术概况 目的地址选项头：此扩展头包含只能由最终目的地节点所处理的选项。 身份验证头( a h ) - 此扩展头提供了一种机制，对i p v 6 头、扩展头和净 荷的某些部分进行加密的校验和计算。 封装安全性净荷头( e s p ) ：这是最后一个扩展头，不进行加密，它指明 剩余的净荷已经加密，并为已获得授权的目的节点提供足够的解密信息。 以上这些扩展头的长度都一样，而且几乎是相同，唯一的区别就在于下个头 字段选项。在没有扩展头的情况下，下一个头字段指明上层所用的协议类型，否 则指明下一个扩展头是什么类型。i p v 6 头就像链表一样被该字段链接起来。这 种头链接的构成如表2 - 2 所示： 表2 - 2 扩展头链接构成表 下一个字段值描述 o逐跳头 4 3选路头( r h ) 4 4分段头( f h ) 5 1身份验证头( a h ) 5 2封装安全性净荷( e s p ) 5 9 没有下一个头 6 0目的选项头 因特网控制报文协议i c m p 位于t c p i p 参考模型的网络层，是用来报告错 误信息和通知其他情况。i p v 4 升级到i p v 6 的过程中，i c m p 也经历了一定的修 改。i c m p v 6 e 1 3 】在r f c l 8 8 5 中定义。 l 江c 1 8 8 5 种定义了以下报文类型： 目的地不可达 包太长 超时 参数问题 回应请求 回应应答 ( 1 ) 目的地不可达1 4 1 。该报文由路由器或源主机在由于除业务流拥塞之外的 原因而无法转发一个包的时候产生。这种醋无报文有五个代码，包括： 0 ：没有到达目的地的路由。这个报文在路由器没有定义i p 包的目的路由时 产生，路由器将采用默认路由来发送无法利用路由器的路由表进行转发的 1 0 第二章i p v 6 协议及防火墙技术概况 包。 l ：与目的地的通信被管理员禁止。当被禁止的某类业务流欲到达防火墙内 部的一个主机时，包过滤防火墙将产生该报文。 2 ：不是邻居。当使用i p v 6 选路扩展头并严格限定路由时，将使用这个代码。 当列表中的下一个目的地与当前正执行转发的节点不能共享一个网络链路 时，将会产生该报文。 3 ：地址不可达。这个代码指出在把高层地址解析到链路层地址时遇到了一 些问题，或者在目的地网络的链路层上去往其目的地址时遇到了问题。 4 ：端口不可达。这种情况发生在高层协议没有侦听包目的端口的业务量， 且传输层协议又没有其他办法把这个问题通知源节点时。 ( 2 ) 包太长。当接受某包的路由器由于包长度大于将要转发到的链路的 m t u ，而无法对其进行转发时，将会产生包太长报文。该i c m p v 6 错误报文中 有一个字段指出导致该问题的链路m t u 值。在路经m t u 发现过程中这是一个 有用的错误报文。 ( 3 ) 超时。当路由器收到一个极限为l 的包时，它必须在转发该包之前减小 这个数值。如果在路由器减小该数值后，跳极限字段的值变为0 ( 或者是路由器 收到一个跳极限字段为0 的包) ，那么路由器将该包丢弃，并向源节点发送 i c m p v 6 超时报文。源节点在收到该报文后，可以认为最初的跳极限字段设置得 太小，也可以认为有一个选路循环导致包无法交付。这个报文通常用于实现诸如 t r a c er o u t e r 等“跟踪路由”功能。 ( 4 ) 参数问题。当i p v 6 头或扩展头中的某些部分有问题时，路由器由于无法 处理该包而会将该包丢弃。路由器产生一个i c m p 错误报文来指出问题的类型， 并通过一个指针指出在第几个字节遇到这种情况。 ( 5 )i c m p 回应功能【l5 1 。所有i p v 6 节点都需要支持两种报文：回应请求和应 答。回应请求报文可以向任何一个正确的i p v 6 地址发送，并在其中包含一个回 应请求标识符、一个顺序号和一些数据。尽管二者都是可选项，但回应请求标识 符和顺序号可以用来区分对应不同请求的响应。回应请求的数据也是一个选项， 并可用于诊断。当一个口v 6 节点收到一个回应请求报文后，它必须回送一个回 应应答报文。在应答中包含相同的请求标识符、顺序号和在最初的请求报文中携 带的数据。i c m p 回应请求应答报文对是p i n g 功能的基础。p i n g 是一个重要的 诊断功能，因为它提供了一种方法来决定一个特定的主机是否与其他一些主机连 接在相同的网络上。 4 ) 即插即用和移动i p 最初设计i p v 4 时并没有太多考虑是否易于使用的问题，一个使用i p v 4 的系 第二章i p v 6 协议及防火墙技术概况 统配置起来是一件非常复杂的事情，比如个人计算机想要连接到i n t e m e t 就必须 要配置其口地址、子网掩码、网关( 也就是默认的路由器) 、d n s 等等，这对 于非专业人士来说简直是一场噩梦。目前可以用d h c p 技术来解决上述的问题， 它所使用的是客户机服务器模型，客户机可以通过向d h c p 主机发出询问来自 动配置自己的i p 。不幸的是，d h c p 由于其与状态相关的特性而无法实现真正的 即插即用。用户不得不建立一个了解网络上所有主机的d h c p 服务器，并且要 使支持d h c p 的主机了解最近的d h c p 服务器。真正的即插即用，其实是移动 性问题的一部分，而这正是i p v 4 不能支持的。 i p v 6 则同时采用了状态自动配置( 采用d h c p v 6 ) 和无状态自动分配两种机 制来实现。两种类型的自动配置方法的结合比单独使用一种更易于实现i n t e m e t 连接的即插即用。网络上的节点首先根据接口e u i 6 4 标志创建一个临时的本地 链路地址，再使用其进行路由器发现，获取访问网络所需的前缀、网关、d n s 等配置信息并生成正式的网络地址。 i p v 6 的无状态自动配置通过邻居发现来具体实现，要求本地链路支持组播， 而且网络接口能够发送和接收多播。其过程如下： 需要进行自动配置的i p v 6 节点首先确定接口e u i 6 4 标志，并加入“所 有节点”多播组。然后，节点向其所在链路上的路由器发送一个请求报 文，该报文的目的地址为“所有路由器 地址f f 0 2 ：2 ，源地址则是该 节点自己的链路本地地址，并将跳数设置为2 5 5 以防止来自链路外的伪 造的路由器报文的攻击( 因为这些路由器请求报文不会被转发，而且由于 跳数是在每一次转发时减l ，故只有本地的数据报在到达目的地时才可 以拥有跳数2 5 5 。通过抛弃进来的跳数不是设置成的2 5 5 的探测数据 报，主机就能有效地防止自己受到来自链路以外的攻击) 。 当这些路由器接收到该报文后，就发送一个路由器广告报文作为应答。 路由器广告报文以请求节点的链路层地址为目的地址，以路由器接收到 该请求的接口的链路本地地址为源地址，并设置了m 和o 两个标识域 来控制主机所采用的自动配置方式当m 域为1 时，主机必须使用 d h c p v 6 进行状态自动配置；当m 域为0 时，主机使用无状态自动配 置，主机可以从路由器广告报文的选项中获得可用的前缀列表。当o 域 为l 时，主机即使使用无状态自动配置，但也必须与一个配置服务器联 系以取得其他的配置参数，如域名服务器地址等。路由器广告报文不仅 仅是对请求的应答，它还被路由器有规律地在“所有主机”多播地址上 发送。 发送请求数据报的节点对响应信息进行等待，如果在一个规定的时限内 第二章i p v 6 协议及防火墙技术概况 还没有收到该信息，它就重发请求。当3 次请求后还收不到响应，说明 该链路上没有路由器，这样该节点就只能使用链路本地地址与同一链路 上的其他节点进行通信；如果该节点收到了路由器广告报文，就用其接 口的4 8 位m a c 地址替换掉前缀的后面几位，构造一个i p v 6 地址。但 是，其他网络媒体可能没有唯一的m a c 地址，或者某些网络接口卡可 能错误地使用了它们无权