（计算机科学与技术专业论文）ipv6邻居发现协议安全问题研究.pdf

独创性声明 删删脚删删册f f f i j 川删 y 1 7 8 8 3 9 1 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：罗越日期：垫丝：堑：! 兰 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 日期：望：! ：! 兰 摘要 摘要 随着计算机网络的普及以及h n e 麟t 成指数倍的增长，口v 4 地址空间即将面 临着枯竭的危险。p v 6 是网络协议发展的下一阶段，它的发展是由p v 4 地址资 源的耗尽所推动的。随着口v 6 网络在我国高校校园网中广泛部署和试用，开展 m v 6 网络安全性研究具有十分重要的意义。本文主要研究校园网v 6 邻居发现 协议所存在的安全漏洞，并根据这些漏洞研究相应的检测系统，有效地阻止利用 这些漏洞发起的安全攻击。 p v 6 是网络层协议，需要将p 地址解析成数据链路层地址，使数据包能够 在二层链路上正确转发，在p v 6 网络中是使用邻居发现协议n d p ( n e i g h b o r d i s c o v e r yf o rpv e r s i o n6 ) 来实现此功能，与口v 4 网络中的地址解析协议舢强 ( a d d r e s sr e s o l u t i o np r o t o c 0 1 ) 相类似。但是n d p 是通过p 和i c m p v 6 的扩展 选项来实现的。邻居发现协议不仅提供了地址解析服务，还提供了可以简化用户 地址配置的服务，例如终端可以不需要d h c p 服务器，自动生成全局p v 6 地址。 本文研究的重点是在p v 6 网络环境中，重点分析邻居发现协议的主要功能， 分析邻居发现协议的各种漏洞，以及这些漏洞所带来的安全威胁。邻居发现协议 攻击的基本原理，概括的说，是扰乱本地终端之间邻居发现各过程次序，以及扰 乱终端获得正确的配置信息。终端与网关之间，没有一个有效的安全机制，来证 明网关设备的可靠性与正确性，因此终端设备无法判断所接收到的路由通告消息 以及邻居发现消息来源是否安全可靠。并且本文通过研究其攻击原理，设计相应 的安全防御机制，以此检测存在的安全威胁。通过在路由器( 或三层交换机) 开 发检测功能，并将存在威胁的检测结果发送至二层交换机，二层交换机通过数据 链路层地址定位攻击者并关闭相应端口，有效阻止攻击者利用协议漏洞给网络带 来的威胁。 关键词口v 6 ；邻居发现协议；口v 6 攻击检测；网络安全；网络问题 北京工业大学t 学硕士学位论文 i i a b s t r a c t a bs tra c t w m 吐圮p o p u l a r 时o f n e 触锄d 恤矶1 e t 缸髓a 懿p o n d a 畋m v 4 a d 血潞s p a c c 、砌融也el l 】l 僦o fd 印n 6i s 孤劬舶1 e tp r l 删0 fl l l en 融s t a g e i t s d e v e l o p m 咖b ym ed e p 0 i lo fma d ( h s 潞耐v 饥眦蹦删i l lm e 娜 n e t 融w 笛删d c p l o ) 删甜l dt e ：s t i n 吕c 孤黟o u tr e 卸c h 蹦m 棚，o 出呻i so f 乎嘲s j 印i 五c 锄c e 1 1 l i sp 啊s t i l d i 胬m e 伽坤u sn e 时。呔n d p 州曲b o rd i s c ) v t 巧p r | 咖c 0 1 ) 铂ea 【i s i 袱o f 呻1 1 i 塌硪m i t i e s ，锄da c c 0 她t 01 1 1 e 咖蛐也ed c 艴c 妇毋她 p l 删m e 锄蛐o f 脱m e l 】l 碉词) i 硒e & n 6i sam 呲h ) ，e r 珊呶i c 0 l i tn e e d 幻豫埘v e 口a d 血秘i l 哟l i l 】l 【l a 归a d ! 曲胬，m 肌 m ep 砌啪触硼血ec 啾恤血e 眦岍h lm e 蹦劬础i st 0l l s cm en d p 屯0 a c l l i e v et l l i s 知蛾h l a l 咄a 1 1 di t 萄加i 1 盯幻p v 4n e t l 破a d 由髑脚l 证0 i lp 1 1 咖c o lb l i t 恤 瑚i st l c 岫位咖o f 疋a n d 姗咖t 0 洲e v e n d pm t 吣p 州d c s a d d r e s s 髑o l l n i o n 簧r v i c e s ，a l ：p m 啊d 俗a d i 出e s s 嚣屯0s i l 坤l i 矽m eu s e rc o n 丘g u 蒯0 i lo f t 1 1 e 毗砌唧l e ，m e 锄n j n a lm a yi 赋n dd h i c p 吣a u ：删c a l l y 咎僦9 1 0 b a l 蹦槭n d p i s a l s o b u i l c b a s 。d o n m c 觚；t e d 吣础倒1 1 9 m c 雠地 f 钯吣o f t l l i sp 印盯i sm em 、，6 饿加，o 出即：v i ：m n e 鸸锄蛐o f 协em a i l lf i l 眦6 0 n so f a 眦砌锄i l y z e sm ev a r i o u s 训嬲曲i 瞄0 fn 珧a n dm c 咖1 删p a s 。db y 1 1 i 】e 删) i l i 6 髓h lg e i l e r a l ，m eb 嬲i cp r i n c i p l eo fn d pa t t a c k ，d i s 俯b i n gt 1 1 e1 1 e i g h b o r d i s c o v e 拶s e q u c i 】【c eb e t w e e i lm e1 0 c a lt e m l i n a l ，a n dd i s m p tt l l et e n n i n a la c c e s st 0m e c o 仃e c tc o n f i g u r a t i o ni n f o m a t i o n b 婀旧眦t e | 删a n d 留咖m e 把i s 似趾e 依= c t i v e 蛐m e 蛐幻凹l v em e 础a b i 岫a n d 砌d 毋o f m eg a t e w a yd e 峨m e 础吨m e 锄n j i l a lc 狮n md c 胞m l i n el h er a ( r o u t e ra d v e r t i s e m e n t ) m 岱鞠g e 绁l dm en ao j ；e j 四_ 1 b o r a d v e r t i s e m e n t ) m 铬s a = 萨i f i ti ss 硷和r e l 讪l es 0 c 器a n dl 量l i s 枷c l et 量d u 曲t 量l es 砌y o f n d p 删n c i p l e d 商印m e 印! p r i 删如珈时d e 向删弛0 d 勰屯0 d e c i 。c tm ep r i 黜0 f 吣l l 】r e a t s 1 ) e 、，e 1 0 p r i l 咖o f 触螂m e 姒衄缸蜘3 刚i 蛐，岫i s m c t e s t r e s u h s 湖t t o m e 岍2 刚地m es 、i 劬岫u g h 岫d a t a 敞l a 渺a d d 麟o f 此批协 s h l 疵i o w nt h e 叫，e 丘跏v d yp r 删t 1 1 ea t c a i c ko f u s e j i l g1 1 1 en e 础p r 删v u m 粕i l i 够 f k e ) 啊o r d sp v 6 ；n d p ；邛v 6a t t a c kd e t o c t i o n ；n e 帆o d ( s e c 耐t y ；n e t 、o r kp r o b l e m 1 n 北京t 业大学工学硕十学位论文 - 目录 目录 摘要i a b s t r a c t i 第l 章绪论1 1 1 研究背景”1 1 2 国内外相关研究现状和发展趋势“2 1 3 论文的组织结构_ 4 第2 章p v 6 协议基础”上”5 2 1m v 6 地址结构5 2 1 1p v 6 寻址5 2 1 2p v 6 单播地址6 2 1 3p v 6 组播地址8 2 2p v 6 邻居发现协议1 0 2 2 1 邻居发现协议消息格式1 1 2 2 2 邻居发现协议主要功能1 4 2 3 园区网三层结构1 8 2 4 交换机工作原理1 9 2 5 路由器工作原理1 9 2 6 本章小结1 9 第3 章邻居发现协议漏洞分析2 1 j 3 1 路由通告漏洞分析2 1 3 1 1 路由通告前缀欺骗2 2 3 1 2 路由通告网关欺骗2 3 3 1 3 路由通告中间人攻击2 3 3 2 邻居发现漏洞分析2 5 3 2 1 邻居发现地址欺骗2 5 3 2 2 邻居发现地址扫描2 7 3 2 3 邻居发现中间人攻击2 7 3 3 重复地址检测漏洞分析2 8 3 4 本章小结2 9 第4 章检测和防御机制设计3 l 4 1 邻居发现协议漏洞检测原理3 1 4 1 1 伪造路由通告检测原理：3 1 4 1 2 伪造邻居发现检测原理3 2 4 1 3 重复地址检测攻击检测原理3 2 4 1 4 检测防御机制3 2 4 2 邻居发现协议漏洞检测设计3 3 北京下业大学t 学硕七学位论文 4 2 1 选取检测接口3 3 4 2 2 定义检测目的地址3 5 4 2 3 安全检查”3 5 4 2 4 构造n d pn 0 t i 匆4 2 4 2 5 防御操作4 2 4 2 6 接入层交换机端口恢复功能4 3 4 2 7 分布层交换机检测过程4 4 4 2 8 接入层交换机检测过程4 6 4 2 9 漏洞检测整体过程4 7 4 3 本章小结4 7 第5 章模拟实现攻击检测4 9 5 1 测试环境”4 9 5 2 路由通告攻击检测5 0 5 2 1 发送伪造r a 消息一5 0 5 2 2 路由通告检测5 2 5 3 邻居发现攻击检测5 4 5 3 1 发送伪造n d 消息5 4 5 3 2 邻居发现检测5 6 5 4d a d 攻击检测5 7 5 5 分析总结5 9 结论6 1 参考文献”6 3 攻读学位期间发表的学术论文6 7 致谢6 9 第1 章绪论 1 1 研究背景 第1 章绪论 随着计算机网络的普及以及h l t e m e t 成指数倍的增长，p 地址空间即将面临 着枯竭的危险。口v 6 【lj 是网络协议发展的下一阶段，它的发展是由p v 4 地址资源 的耗尽所推动的。然而口v 6 的提出，并没有参考运维p v 4 网络的经验和当今流 行的p 服务。p v 6 最大的优势还是来自于他庞大的地址空间。虽然当前地址分 配的保守策略减缓了口v 4 地址的消耗，但是v 4 并不能抵挡住世界范围内网络 协议的采用和迅速增长的p 基础服务【2 】。 口v 6 与p v 4 一样，需要将p 地址解析成数据链路层地址，使数据包能够在 二层链路上正确转发。在p v 4 中这种转换是由地址解析协议卿( a d d r e s s r e s o l u t i o np r o t o c 0 1 ) 【3 】来完成的，但在p v 6 中使用了不同的地址解析协议【4 】一 邻居发现协议n d p ( n e i g h b o rd i s c o v e r ) ，f o rp v i c ；r s i o n6 ) 例。a r p 与n d p 虽 然都是用于地址解析，但最大的不同在于n d p 是通过网络控制信息协议i c v 6 ( i n t e m e tc o n t r o lm e s s a g ep r o t o c o lv e r s i o n6 ) 【6 】的扩展选项来实现的。而且邻居 发现协议不仅提供了地址解析服务，还提供了可以简化用户地址配置的服务，无 状态地址自动分配( 口v 6s t a t e l e s sa d d r e s sa u t o c o n f i g u r a t i o n ) 1 7 j ，用户可以不需 要d h c p ( d y n 锄i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) 【8 ，9 明艮务器自动生成全局讲v 6 地 址。无状态地址自动分配是利用网关设备周期的向本地网段终端设备发送路由通 告消息r a ( r o u t e r a d v e n i s 锄e n t ) ，终端设备收到路由通告消息，根据路由通告 消息中所包含的网段自动生成可路由的全球口v 6 地址，并根据路由通告消息里 的内容指定本地网关地址。虽然如此，除了采用邻居发现协议中的无状态地址自 动分配，为终端分配口v 6 地址，在口v 6 网络中还是可以利用d h c p 为终端分配 口v 6 地址。而且d h c p v 6 仍然是网络中不可或缺的一部分，因为在目前d h c p 、r 6 不仅可以分配地址，还可以提供其他的配置信息，例如d n s 【lo 】服务器地址信息 等。但是无论采用哪种地址分配方式，终端的网关地址都是通过邻居发现协议的 路由通告消息来获得的，l d h c p v 6 服务器不再为终端分配网关地址l l 。邻居发现 协议采用五种类型的控制信息报文来实现地址解析、无状态地址自动配置等功能 的【12 1 。 在v 4 网络中，出现了通过伪造疋地址与数据链路层地址( m a c ) 对应关 系的6 时报文，以此来实现对目标主机j 6 姻缓存的攻击。p v 6 虽然取消了触冲， 但是仍然面临着同样的威胁，与此同时也在研究一种新的安全机制，来防止邻居 发现协议攻击【m 1 6 j 。 北京丁业大学丁学硕十学何论文 t f 先后提出p s e c 认证头口s e ca h ( 口s e ca u t l l e n t i c a t i o nh e a d e r ) 【1 7 】和 安全邻居发现s e n d ( s e c u r en e i g h b o rd i s c o v e r ) r ) 【1 8 】来提高邻居发现协议的安全 性。因此可以利用p s e c 和s e n d 来保护邻居发现协议，前者能够保证邻居发现 协议数据包的可靠性和完整性，但需要手工为每个终端配置安全关系；后者通过 引入报文选项实现了报文和p 地址的绑定、报文加密和时效控制等，增强了邻 居发现协议的安全性，se _ n d 的安全也是建立在可信链路层的基础之上，仍然存 在着安全威胁，因此研究如何解决n d p 攻击是有意义的【四】。因此，p s e c 与s e n d 所存在的这些缺陷，不适合在园区网中部署。 园区网中情况复杂，既存在着固定的用户，也存在着像图书馆这样终端流动 较大的公共区域，需要合理的地址分配策略以及为用户提供一种安全机制【2 0 1 ， 一方面阻止终端用户使用邻居发现协议的漏洞进行攻击，另一方面可以有效保护 正常终端的网络访问。 1 2 国内外相关研究现状和发展趋势 协议的安全缺陷如何弥补，或是补救，是一个重要的研究课题。为抵御来自 网络内部的安全威胁，很多开发人员正在研究当前的m v 6 网络漏洞，并开发出 相应的安全防御产品以及防御策略。 目前，在口v 6 邻居发现协议的标准文本【5 】中指出可以使用p s e c 【2 1 】来保护邻 居发现协议。在口v 6 中，口s e c 作为必备协议，解决了网络层端到端的数据传输 安全问题，它作为新一代互联网安全标准，是m t f 为提高p 协议的安全性而专 门制定的，实际上，它是一种协议套件，可以“无缝 地为口提供安全特性， 如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证以及抗重播 攻击等。p s e c 通过所定义的一整套完善的安全机制，在身份认证报头( a h ) 1 2 2 j 和封装安全载荷报头( e s p ) 【2 3 】的支持下，可以为p v 6 网络环境下的网络层数 据提供各种安全服务。在两个可以信任的通信对等体间，p s e c 可以保护邻居发 现协谢2 4 ，2 5 1 。例如这两个对等体可以提前建立预共享密钥或证书公钥。在这种方 式下两个对等体会使用临时的口v 6 地址去建立一个口s e cs a ，然后获得真正的 口v 6 地址建立会话。一旦建立合法的口v 6 地址，将会创建新的p s e cs a 用于新 的p v 6 地址通信【2 睨引。由于需要对等体间建立初始p s e cs a ，因此需要假设在 相互信任的情况下。所以这不能完全防止攻击者的恶意攻击。虽然在邻居发现协 议的i 强c 文档中指出可以使用p s e c 来保护邻居发现协议，但由于邻居发现协 议是通过自动配置来实现的，如果使用p s e c 来建立安全连接，这需要在设备上 进行繁琐的手工操作，并且加上现有技术能力不够、安全基础设施不足等因素， 使得用p s e c 来解决p v 6 邻居发现协议的安全问题变得遥不可及【1 9 】。 第1 苹绪论 对于终端设备如何保证m a c 地址与口v 6 地址进行了安全绑定，即如何保 证用户保证本地的邻居表缓存，不会因为伪造的邻居发现协议消息而进行修改， 以此来防止基于虚假邻居发现协议漏洞而进行的攻击。通过使用s e n d 【1 8 】可以解 决许多关于地址欺骗的问题。s e n d 是一种不使用p s c c 来提供安全的邻居发现 机制。虽然在当前的v 6 标准中提出了可以通过p s e ca h 来提供一种安全的邻 居发现和地址自动配置的机制，但是在网络部署过程中，需要为每台终端进行额 外的口s c c 配置，这些口s e c 的配置工作量是巨大的，这在网络部署中是无法接 受的。 在口v 6 邻居信任模型和威胁【2 9 】中提出了s e n d 协议提供了安全的邻居发现 机制。它是通过一些i c m p 、，6 选项实现的： ( 1 ) c g a 和r s a 签名选项 c g a ( c r y p t o 鲫h i c a l l yg e i l e r a t c da d d r e s s ) 【3 0 1 是用公钥结合h 硒h 算法生成 的一个v 6 地址，公钥来源于l 峪a 【3 1 】算法的公私密钥对。n d p 报文发送者通 过引入c g a 并用私钥对消息签名就可以实现报文和口地址的绑定，接收者利 用c g a 的检测算法对报文的来源进行验证。这种机制能在网络层上有效地抵御 一些欺骗性攻击。 ( 2 ) 时间戳和当前会话标签选项 时间戳实际上是n d p 消息中的时间标签，接收者根据该标签对报文的时效 性进行判别：当前会话标签则是n d p 消息中由发送者生成的随机数，接收者在 应答时必须返回该随机数以表明应答是针对当前请求的。地址身份验证机制是通 过c g a 来完成。这两个选项可以增强报文的时效性，有效地抵御了重放攻击。 ( 3 ) 路由器的认证机制 为了防止路由器被冒充，s e n d 定义了单独的报文用于路由器认证。路由器 首先向信任锚( t r u s ta n c h o r ) 申请证书，在终端发出认证请求时出示该证书， 并在需要时提供信任锚的信息。这种机制实现了路由器的身份绑定，有效地防御 了路由器欺骗攻击。 c g a 技术能够解决由于伪造p 地址而造成对邻居发现协议的安全威胁，但 无法解决邻居发现协议的地址解析中伪造m a c 地址的攻击。目前只有少数厂家 考虑在设备上部署这种协议，而且c g a 存在产权保护问题，并不是所有的系统 软件都能获得许可，这将阻止c g a 的部署进程【l 9 1 。 目前v 6 网络还属于试运行和测试阶段，很多主流厂商在d v 6 协议方面虽 然能够实现基本功能，但是p v 6 地址分配协议存在着诸多漏洞，这些漏洞会带 来不同的网络攻击，目前主流厂商并没有针对这些攻击发布带有防御功能的产 品。 本文根据分析现有的邻居发现协议，发现其中的漏洞，以及以这些漏洞为目 北京t 业大学t 学硕+ 学位论文 标进行的网络攻击，并根据这些攻击进行相应的分析与检测，给出相应的防御方 案，及时发现攻击，并确定攻击者的位置，以便采取相应的防御措施，防止攻击 进一步扩大。 1 3 论文的组织结构 本文主要研究校园网p v 6 邻居发现协议所存在的安全漏洞，并根据这些漏 洞研究相应的检测系统，有效地阻止利用这些漏洞发起的安全攻击。用户访问网 络的所有数据都流经网络设备，所以，用户行为的特征一定可以在网络设备上得 到体现。因此这些漏洞检测都是基于网络设备进行开发的。 p v 6 环境下，因为主机地址空间的庞大，攻击者在发起攻击时可能先利用 伪造网关的方式，向终端发起网络攻击，并且目的地址为组播地址。攻击者还可 以利用邻居发现协议里的重复地址检测，发送伪造邻居通告消息使正常终端无法 获得p v 6 地址而不能访问网络。 归纳起来，本文的主要研究内容有： 第1 章，p v 6 背景介绍：介绍了p v 6 发展趋势以及邻居发现协议安全问题 研究现状。 第2 章，邻居发现协议：研究口v 6 网络中邻居发现协议主要功能，以及这 些功能的主要工作过程。 第3 章，邻居发现协议漏洞分析：研究邻居发现协议在实现这些功能中的安 全漏洞，分析这些漏洞可能带来的安全隐患。 第4 章，安全检测方案：分析邻居分配协议漏洞进行安全攻击特点，给出相 应安全防御系统，能够及时检测出存在的漏洞攻击，并进行相应防护。 第5 章，防御系统测试：建立实验环境，通过模拟试验，检查防御系统是否 可以实现攻击检测和防御。 结论，总结了本文的工作，并对文中提出的m v 6 邻居发现协议攻击检测系 统的优势和不足进行了阐述，同时对将来的研究工作进行了展望。 第2 章i p v 6 协议基础 第2 章 ip v 6 协议基础 2 1lp v 6 地址结构 m v 4 使用了3 2 位长的地址定义，但这远远不能满足网络服务以及网络用户 的迅速增长，在p v 6 网络中将3 2 位长的地址增加到1 2 8 位3 2 1 ，并且重新定义了 寻址架构，彻底解决了p v 4 地址严重不足的问题。 其中包括三种类型的p v 6 地址： ( 1 )单播( 3 3 l 一标识单个接口，目的地为单播地址的流量被转发到单个 接口； ( 2 )组播标识一组接口，目的地为组播地址的流量被转发到组里的 所有接口： ( 3 )任意播标识一组接口，目的地为任意播地址的流量被转发到组 里的最近接口【3 4 】。 在m v 4 中广播流量存在着种种不稳定因素，因此口v 6 不再考虑使用广播地 址，而是使用部分组播地址来实现广播的功能。 在本节中，只介绍与本文相关的单播地址以及组播地址。 2 1 1lp v 6 寻址 任何类型的口v 6 地址都是分配给接口而不是终端。一个口v 6 单播地址分配 给对应的一个接口，如果多个接口都属于一个终端，那么此终端的任何接口的单 播地址都可以用来标识这个终端。所有的接口都需要拥有至少一个l i i l l 【1 0 c a l 地 址( l i n k - l o c a l 地址是指在本链路有效的口v 6 单播地址，用于本地链路通信) ， 一个接口还可能会拥有任意类型( 单播、组播、任意播) 的多个p v 6 地址。接 口的l i l l l ( 1 0 c a l 地址只会在本地链路范围内使用，在与其它网络通信时，不会使 用l i l l l 【1 0 c a l 地址作为源或目的地址。在某些情况下，使用l i n k 1 0 c a l 地址方便 了点对点接口数据的传输。但对于这个地址模型也有例外：当多个物理接口在网 络层上可以被看作一个接口的时候，一个单播地址或者一系列单播地址可以分配 给多个物理接口。这样做的好处在于多个物理接口可以有效地实现负载均衡。 口v 6 大部分延续了口v 4 的模型，例如一个链路使用一个子网前缀；多个子 网前缀也已分配给同一个链路。 北京- t 业大学t 学硕七学位论文 2 1 2ip v 6 单播地址 单播地址：就是传统的一个网络接口的地址。送往一个单播地址的包将被传 送至该地址标识的接口上【3 3 1 。一个网络的基础功能是为连接到网络的设备和终 端提供单播地址可达性。网络提供的所有其他服务均建立在单播基础设施之上。 因此，在网络中无论是哪个p 版本，单播地址都是一个重要角色。口v 6 单播地 址可以被聚合成为任意位的网络前缀，类似于疋v 4 地址中的无类路由。m v 6 单 播地址按照地址范围分类可以分为三种：l i i l l 【1 0 c a l 地址、s i t e 1 0 c a l 地址、全局 单播地址。p v 6 单播地址功能与v 4 地址一样受制于c d r 【3 5 】，即在一个特定 边界上将地址分为两部分，地址的高位部分包含选路用的前缀，而地址的低位部 分包含网络接口标识符。 如图2 1 所示，p v 6 单播地址由网络前缀和接口组成。 图2 - 1 口v 6 单播地址结构 f i g u 豫2 - l 口v 6u i l i c 舔ta d d 他s sf r 锄 接口d 被i 强c 组织定义为：对于所有单播地址，除了那些以二进制值o o o 开始的以外，接口d 要求6 4 位长并以修改的h j i 6 4 各式构造。接口d 主要 用于在相同链路中标识不同接口，在同一个子网前缀中接口d 要求唯一。一个 网络终端，相同的接口d 可以分配给多个接口，只要这些接口属于不同的网络 前缀【3 6 】。因为s i t e 1 0 c a l 地址与本文研究内容无关，在此不作介绍。 2 1 2 1l i n k l o c a i 地址 当网络终端上线时，每个接口会缺省的配置一个l i i l l 【1 0 c a l l 地址，该地址专 门用来和相同链路上的其它口v 6 终端通信。l i i l l 【1 0 c a l 地址是邻居发现过程所需 要的，即使没有所有的其他单播地址，它总是会自动进行配置。l i n k - 1 0 c a l 地址 等价于口v 4 网络中缺省自动生成的“自动专用寻址( a p m a ) ”( 即1 6 9 2 5 4 o o 1 6 ) 。如图2 2 所示为l i l l l 【- l o c a l 地址结构。 第2 章i p v 6 协议基础 r 1 1 1 1 1 1 1 0 1 00接口i d 图2 - 2 口v 6l i l l k - l o c a l 地址结构 f i g l l 豫2 - 2i p v 6 “n k l o c a la d d r e s sf r 锄e 一个l i i l l 【1 0 c a l 地址由固定格式的网络前缀f e 8 0 ：6 4 组成，其中最高1 0 位 是1 1 1 1 1 1 1 0 1 0 ( 二进制) 后续的5 4 位为o 。在p v 6 中使用接口d 组成后续6 4 位地址，接口d 是基于数据链路层m a c 地址所产生。“n k 1 0 c a l 地址从其本质 和格式上讲，是独立于网络中所使用的全部寻址机制的。因此在网络进行重新编 址的过程中，链路本地通信不会受到影响。与其定义范围一致，l i l l k 1 0 c a l 地址 的作用域只是本地链接，用于在单个链路上对终端进行寻址，在链路之外 l i i l l 【1 0 c a l 地址没有任何意义，因此仅在同一个广播域中有效，而来自或发往 l i l l l 【1 0 c a l 地址的数据包不会被路由器转发。 2 1 2 2 全局地址 全局地址用于m v 6 因特网，它是全局唯一并且全局可路由的地址。全局地 址也称为可聚合的全局单播地址。r f c 3 5 8 7 【3 7 】中规定，坤v 6 地址最高3 位设置 为0 0 1 ( 二进制) 的可聚合全局单播地址，保留用作全局范围v 6 通信，等价于 p v 4 网络中的公共地址。如图2 3 所示为i 强c 3 5 8 7 中所定义的全局地址结构。 1一 r 全局路由前缀 子网i d接口i d 图2 3 口v 6 全局地址结构 f i g l 】鹏2 - 3 口v 6g l o b a la d d r e s sf 舳e 全局路由选择前缀由h l t 锄e t 地址授权委员会为一个服务提供商分配该前缀 的一部分，然后服务提供商为其用户分配一个子空间；基于r f c 3 1 7 7 p 剐建议， 其长度是4 8 位或更短。子网d 用于一个组织从其服务提供商处获得一个p v 6 全局地址前缀，用于本组织口v 6 网络的子网划分使用。接口d 用于标示该链路 上的网络终端。在p v 6 网络中一个终端可以拥有多个趴6 全局地址。在源地址 选择则中【3 9 】，如果存在多个全局m v 6 单播地址，则避开已废弃的地址，并且优 先选择公有地址而不是临时地址。 北京t 业大学t 学硕十学何论文 2 1 2 3 特殊地址 矾6 网络中也存在一些特殊用途的单播地址，这些地址不携带范围信息。以 下为特殊用途的叭6 地址： ( 1 ) 未指定地址：未指定地址( 0 ：0 ：0 ：0 ：0 ：o ：o ：o 或：) 仅用于表示某个地址 不存在。它等价于v 4 未指定地址o o 0 o 。未指定地址通常被用作临时性的数 据包的源地址。未指定地址永远不会指派给某个接口或用作目标地址。 ( 2 ) 环回地址：环回地址( 0 ：o ：0 ：0 ：o ：o ：o ：1 或：1 ) 用于标识环回接口，允 许终端将数据包发送给自己。它等价于m v 4 回路地址1 2 7 o o 1 。环回地址通常 被用作测试用途m 】。 2 1 3ip v 6 组播地址 组播是一种允许一个或多个发送者( 组播源) 发送同一报文到多个接收者的 技术。组播源将一份报文发送到特定组播地址，组播地址不同于单播地址，它并 不特定属于某单个主机，而是属于一组主机。一个组播地址表示一个群组，需要 接收组播报文者加入这个群组。这样，无论有多少个组播报文接收者，整个网络 中任何一条链路只传送单一的报文，大大节省了带剜4 1 1 。一个组播地址标识了 一组接口。向组播地址发送的数据包将被分发到该地址识别的所有组成员。p v 6 广阔的地址空间减少了来自不同源的组播流使用相同的组地址的情况，并且更加 明确地定义了控制域。邛v 6 组播地址结构如图2 4 所示，p v 6 组播地址的前缀 为f f o o ：8 ，后1 1 2 位为组d ，中间的两个4 位分别为标志和范围。 1 1 1 1 1 1 1 1 标志范围 组i d 图2 - 4 i p v 6 组播地址结构 f i g u 鹏2 _ 4 口v 6m u l d c 舔ta d d r e s sf m m e 地址开头的“f f ”标识该地址是一个组播地址，因此在p v 6 中很容易区分 组播地址。并且在p v 6 中不同的网络应用，将会采用不同的组播地址，并且对 组播地址的目的范围也进行了相关规定。 ( 1 )“标志”字段是一组四个标志“0 0 0 t ，高位顺序的三位是保留位， 必须为零。最后一位t 说明它是否被永久分配。如果t 值为零，说明它被永久 分配，否则为暂时分配。 第2 章i p v 6 协议基础 ( 2 ) “范围”字段是一个四位字段，用于限制多播组的范围。例如，值l 说明该多播组是一个本地多播组。值2 说明其范围是链路本地。其余组播范围如 表2 1 所示。 表2 1 范围数值定义 t a b l e2 一ld e f i i l i t i o no fe v e d ，p o i n t 范围范围描述 ( 十六进制)( 二进制) ( 范围) l0 0 0 l 接口本地 2o o l o 链路本地 30 0 1 1 子网本地 4 0 1 0 0 管理本地 50 1 0 l 站点本地 81 0 0 0 组织本地 e 1 1 1 0 全局本地 ( 3 ) “组m 字段长1 1 2 位，用于标识组播组。根据组播地址是临时的还 是熟知的以及地址的范围，同一个组播标识符可以表示不同的组。永久组播地址 用指定的赋予特殊含义的组标识符，组中的成员既依赖于组标识符，又依赖于范 围【4 2 1 。 组播地址不能被用作源地址。从f f 0 1 ：到f f o f ：的组播地址是保留的著名地 址，用于识别s i t e 1 0 c a l 和l i i l l 【1 0 c a l 作用域的所有终端。如表2 2 所示为p v 6 中常用的组播地址： 表2 - 2 常用组播地址 t a b i e2 2c 伽彻0 nm u i t i c a s ta d d r e s s 组播地址范围范围内的组 f f o l ：o ：o ：o ：o ：0 ：o ：1终端本地所有终端地址 f f 0 l ：o ：o ：0 ：0 ：o ：o ：2终端本地所有路由器地址 f f 0 2 ：o ：o ：o ：o ：0 ：o ：1链路本地所有终端地址 f f 0 2 ：o ：0 ：o ：o ：o ：0 ：2链路本地所有路由器地址 f f 0 2 ：0 ：0 ：o ：0 ：o ：l ：2 链路本地所有d h c p 代理 f f 0 2 ：0 ：0 ：o ：o ：1 ：f f x x ：x x x x链路本地被请求终端地址 在p v 6 中不仅对组播地址进行了改进，在r f c l 7 5 2 【4 3 1 中明确要求p v 6 设备 必须支持组播。因此，p v 6 网络中网络设备将普遍支持组播应用，同时由于部 北京t 业大学_ t 学硕十学位论文 分路由器不支持组播而带来的组播隧道问题也将不存在。由于m v 6 中取消了广 播，广播功能将有这些常用组播功能来实现。 在、r 6 网络环境中，6 有一个多播地址到m a c 地址的特殊映射。映射 是这样构成的：多播地址的低3 2 比特附加在前缀3 3 ：3 3 的后面，该前缀定义为 妒v 6 多播以太网前缀。如图2 。5 所示，所有节点多播地址f f 0 2 ：1 的低3 2 比特 o o ：o o ：o o ：0 1 附加在多播以太网前缀3 3 ：3 3 之后。 图2 - 5 二层组播地址 f i g u 鹏2 - 5m a c a d d s so f m u l t i c a s t 4 8 比特地址3 3 ：3 3 ：0 0 ：o o ：o o ：0 1 表示发送一个数据报到v 6 目的地f f 0 2 ：l 的以太网中用作目的地的m a c 地址。默认情况下本地链路上的所有p v 6 节点 都在监听，并且获得在以太网心地址中以3 3 ：3 3 ：0 0 ：0 0 ：0 0 ：0 1 作为目的地的任 何p v 6 数据包。 2 2ip v 6 邻居发现协议 在p v 6 子网中，需要保持网络层地址与数据链路层地址之间地址的相互映 射，才能保证数据包从三层转发到二层转发的正确传递。这个功能是由邻居发现 协议来实现的。邻居发现协议来实现6 通信中1 2 8 位p v 6 地址到m a c 地址 的映射，类似于口v 4 网络中的j 6 岫协议。邻居发现协议是口v 6 协议体系的一 个重要组成部分，r f c 2 4 6 1 对邻居发现协议进行了说明，介绍了其主要功能是 保证d v 6 网络的通信性能，支持地址自动配置和移动等特性。m v 6 中的邻居发 现协议，不仅实现了基本的碑v 6 地址与m a c 地址的映射，还可以实现路由通 告以及同一结点之间的互连功能，终端能够根据邻居发现协议自动生成全局p v 6 地址等功能。因此邻居发现协议对p v 4 中的相应协议进行了很多，结合了其中 的伽姆协议、i c 路由发现协议和i c 御重定向协议，并具有明确的邻居不可 达检测功能，使性能有了显著提高。 第2 章即v 6 协议基础 2 2 1 邻居发现协议消息格式 邻居发现协议解决了在同一广播域中多个终端p v 6 地址到m a c 地址的映 射问题，邻居发现消息由邻居发现消息头部和邻居发现消息选项组成，结构如图 2 6 所示。它遵循了i c m p v 6 消息格式，包含一个邻居发现消息头部以及多个邻 居发现消息选项【4 4 1 。 图2 _ 6 邻居发现消息结构 f i g u r e2 6n d pm e s s a g e 出m l e 1 n7 类型 长度值 图2 - 7 邻居发现消息选项结构 f i g u 鹏2 - 7n d po p t i o n 丘锄1 e 为了确保收到的邻居发现消息来自本地链路上的终端，发送方将其发出的所 有邻居发现消息中跳数限制的值设为2 5 5 。这样接收终端收到一个邻居发现消息 时，首先就检查d v 6 包头的跳限制字段，已确认是本地链路上其它终端发送的 消息。邻居发现消息选项采用类型长度值格式，如图2 7 所示。其中类型字段 表示邻居发现选项的类型，长度字段表示整个选项的长度，单位为8 位，值字段 包含了选项的数据【4 4 1 。 t 目前，已有的邻居发现协议选项的类型如下表2 3 所示删。 表2 3 邻居发现协议选项 t a b l e2 3o p t i o no f n d p 类型选项名称可用于的邻居发现消息 1源链路层选项邻居请求消息、路由请求消息、路由通告消息 2 目标链路层选项邻居通告消息、重定向消息 3前缀信息 ! 路由通告消息 4重定向消息重定向消息 5m t u路由通告消息 6 宣告间隔路由通告消息 7 本地代理信息路由通告消息 8 路由信息路由通告消息 北京t 业大学t 学硕七学位论文 邻居发现协议使用了五种类型的i c 脚v 6 消息来实现邻居发现协议的各种 功能，即i c m p v 6 从1 3 3 到1 3 7 的报文类型。这五种类型消息的邻居发现报文， 都拥有独立的选项，并且均为可变长度，各种消息格式如下所示m 】。 ( 1 ) 邻居请求消息n s ( n e i 呈血b o rs o l i c i t a t i o n ) 终端发送邻居请求消息来请求邻居的m a c 地址，以验证它先前所获得并保 存在邻居表中的邻居链路层地址的可达性，或者验证它自己的地址在本地链路上 是否是唯一的。通常在进行地址解析时用组播的形式发送邻居请求消息，在检验