移动IP技术-第七讲-移动IPv6协议.ppt

第七讲 移动IPv6协议 移动IP技术 mobileIP 本讲内容 移动IP技术 移动IPv6的报文格式 网络安全入门 1 1IPv6的报头格式 1 1IPv6的报头格式 Nextheader 紧接着的扩展头类型 1 1 1IPv6的扩展头 扩展头 按照它在IPV6包中的顺序 包括 0 逐跳选项头 Hop by HopOptionsheader 60 目的选项头 DestinationOptionsHeader 43 路由头 RoutingHeader 44 分段头 Fragmentheader 51 认证头 Authenticationheader 50 ESP头 EncapsulatingSecurityPayloadHeader 60 目的选项头 DestinationOptionsheader xx 上层协议头 Upper layerHeader 4 IPv46 TCP17 UDP41 IPv658 ICMPv659 没有扩展头 1 1 1IPv6的扩展头 135 移动头 Mobileheader 1 2移动IPv6中的报文 移动头 承载移动消息2类路由头 CN用来指示MN家乡地址家乡地址目的地选项 MN指示家乡地址新ICMPv6消息 扩展移动IP功能移动IP路由通告 通告路由器对移动性支持 移动IPv6的消息类型 作用 1 通告MN当前可达的路由器2 通告MN如何配置自己的IP地址3 H HomeAgent 该路由器可作为该链路上的家乡代理 家乡代理路由通告 ND 1 2 1移动检测过程中的报文 我在哪 路由通告基本功能 1 2 2移动IPv6地址配置 M 确定主机的地址配置方式 决定是否更新地址生命期信息0 通过无状态方式配置地址1 通过全状态方式配置地址及其他配置信息0 1 通过全状态方式配置地址及其他配置信息1 0 无效 继续使用全状态方式配置地址 通过M位和O位的设置确定MN地址配置机制 O 0 通过无状态方式配置其它信息1 通过全状态方式配置除地址外的其他配置信息 M位为0 0 1 通过全状态方式配置除地址外的其他配置信息 M位为0 1 0 无效 继续使用全状态方式 1 2 2移动IPv6地址配置 可分配的地址类型 link local 只能无状态分配 site local 已废除 global 无状态地址自动配置方式 地址生成过程 1 主机生成子网中可唯一识别的接口标识符2 路由器通告可识别子网链路的前缀 前缀选项3 IPv6地址 通告前缀 接口标识符4 重复地址检测 DAD 1 2 2移动IPv6地址配置 全状态地址自动配置方式 DHCPv6 四条消息方式 两条消息方式 通告间隔选项 用于家乡代理路由通告消息 通告本链路非请求的路由通告间隔时间 主要用于移动检测算法 Type 8bit 7Reserved 16bit 保留 Length 8bit 1 以8字节为单位 Advertisementinterval 32bit 通告间隔时间 1 2 3移动IP路由通告选项 Type 8bit 8Reserved 16bit 保留 Length 8bit 1 以8字节为单位 HomeAgentPreference 16bit 值大的优先级高HomeAgentLifetime 16bit 以秒为单位不许用0 家乡代理信息选项 作为HA的路由器在路由通告中携带该选项 同于通告HA的功能 1 2 3移动IP路由通告选项 R 设置该位说明prefix域中给出的是一个完整的发送路由器的IP地址 前缀由前缀长度定义 前缀信息选项 作为HA的路由器在路由通告中至少包括一个前缀信息选项 同于通告HA的前缀 1 2 3移动IP路由通告选项 关于路由通告的频率 支持移动IPv6的R应配置接口发送路由通告的频率 以确保MN快速判断移动性允许值 min0 03smax0 07s一般设为0 05s某些无线接入的网络可通过下层协议探测移动性和链路变化 不需要定期路由通告 1 2 4移动IP路由通告说明 1 3注册过程中的报文 移动头 承载移动消息的扩展头 由前一头部的nextheader域135表示 必须是最后一个IP扩展头 用于MN HA CN交换移动IPv6协议消息报文不能与2类路由头同时使用不能与家乡地址目的地选项同时使用 Payloadproto 8bit 下一协议域 必须为59Headerlen 8bit 以8字节为单位 MHtype 8bit 移动消息类型 8种 Reserved 8bit 保留位Checksum 16bit 校验和 采用伪首部校验和 Massage 8bit 消息内容 包括移动选项 1 3 1移动头报文格式 1 3 1 1IPv6中的伪首部校验 IPv6伪首部结构 1 3 1 1IPv6中的伪首部校验 Sourceaddress 128bit IPv6头中的源地址Destinationaddress 128bit IPv6头中的目的地址Upper layerpacketlengtn 32bit 上层包长度Nextheader 8bit 采用伪首部校验的协议头TCP 6ICMP 58UDP 17MIPv6 2 说明 1 3 1 1IPv6中的伪首部校验 IPv6伪首部校验和计算方法 1 将上层协议头中的校验和置为02 伪首部 上层协议头 协议数据连在一起并添加零组成长度为16整数倍的报文 然后分成16比特的段 取各个段的反码进行异或运算并求和的反码 即为校验和填入上层协议头中3 伪首部仅用来计算校验和 并不随报文一起传输 真正传输的报文是IP包 1 3 1 2移动IPv6中的伪首部校验 伪首部中源 目的IP地址使用IP头中的源 目的IP地址当移动节点离开家乡链路 如果移动消息带有家乡地址目的地选项 则伪首部头中用家乡地址作为源IP地址上层包长度是整个移动头的长度 包括移动消息和选项 Nextheader域值为2 1 3 2移动IPv6消息类型 0 绑定更新请求 BindingRefreshRequest 1 家乡测试初始 HomeTestInit 2 转交测试初始 Care ofTestInit 3 家乡测试 HomeTest 4 转交测试 Care ofTest 5 绑定更新 BindingUpdate 6 绑定确认 BindingAcknowledgement 7 绑定错误 BindingError MHtype 8bit 移动消息类型 8种 移动头中MHType 5表示BU消息MN CN MN HA 通告MN最新的转交地址该消息中 必须带家乡地址目的地选项 1 3 2 1绑定更新消息 BU 通告我的位置是xxxx A 请求绑定确认位 H 家乡注册位 L Link local地址兼容位 K 该位仅在发到HA的BU中有效 清0说明需重新运行IPsec安全联盟Sequence 发送的BU序号 Reserved 保留 Lifetime 以4秒为单位 指示绑定期 说明 1 3 2 1绑定更新消息 BU 绑定授权数据选项 发给CN的BU中是必选项 NonceIndices选项 仅在发给CN的BU中 与上一选项同出 AlternateCare ofAddress选项 源地址或选项选其一 若无选项 必须加4字节填充 使移动头中headerlen 1 选项说明 1 3 2 1绑定更新消息 BU 移动头中MHType 6表示BA消息 CN MN HA MN 接收到BU的确认 1 3 2 2绑定确认消息 BA Status 小于128接受 大于等于128拒绝 K 清0表示需重新运行Ipsec安全联盟Reserved 保留Sequence 从BU中拷贝的序号Lifetime 指示绑定缓存中应该维持的时间 说明 1 3 2 2绑定确认消息 BA 绑定授权数据选项绑定刷新建议选项若无选项 需填充4字节使移动头中headerlen 1 选项说明 1 3 2 2绑定确认消息 BA 0BindingUpdateaccepted1Acceptedbutprefixdiscoverynecessary128Reasonunspecified129Administrativelyprohibited130Insufficientresources131Homeregistrationnotsupported132Nothomesubnet BA指示的状态 1 3 2 2绑定确认消息 BA 133Nothomeagentforthismobilenode134DuplicateAddressDetectionfailed135Sequencenumberoutofwindow136Expiredhomenonceindex137Expiredcare ofnonceindex138Expirednonces139Registrationtypechangedisallowed BA指示的状态 1 3 2 2绑定确认消息 BA 1 3 2 3家乡测试初始消息 HoTI 移动头中MHType 1表示HoTI消息 MN CN MN用来初始化 返回路径可达测试 通过HA与MN之间的隧道发送 由IPsecESP隧道模式实现 Reserved 保留 Homeinitcookie 64位随机值 选项 可扩展 目前没有若无选项 移动头中headerlen 1 说明 1 3 2 3家乡测试初始消息 HoTI 移动头中MHType 2表示CoTI消息 MN CN MN用来初始化 返回路径可达测试 向CN请求Care ofkeygentoken 1 3 2 4转交测试初始消息 CoTI Reserved 保留 Care ofinitcookie 64位随机数 选项 可扩展 目前没有若无选项 移动头中headerlen 1 说明 1 3 2 4转交测试初始消息 CoTI 1 3 2 5家乡测试消息 HoT 移动头中MHType 3表示HoT消息 CN MN 是对HoTI消息的响应消息 注 需要经过HA的处理 HomeNonceIndex MN在BU消息中返回HomeInitCookie HoTI消息中的64位CookieHomeKeygenToken 64位令牌选项 可扩展 目前无选项无选项时移动头中headerlen 2 说明 1 3 2 5家乡测试消息 HoT 1 3 2 6转交测试消息 CoT 移动头中MHType 4表示CoT消息 CN MN 是对CoTI消息的响应消息 Care ofNonceIndex MN在BU消息中返回Care ofInitCookie 64位CookieCare ofKeygenToken 64位令牌选项 可扩展 目前无选项无选项时移动头中headerlen 2 说明 1 3 2 6转交测试消息 CoT 1 3 2 7绑定错误消息 BE 移动头中MHType 7表示BE消息只有CN发送的消息 向MN报告错误 Status 错误原因1 家乡地址目的地选项无对应绑定2 无效的MHType类型Reserved 保留 Homeaddress 选项中的家乡地址 选项 可扩展 目前无选项无选项时移动头中的headerlen 2 说明 1 3 2 7绑定错误消息 BE 1 3 2 8绑定更新请求消息 BRR 移动头中MHType 0表示BRR消息CN MN always 发送给MN的家乡地址用于向MN请求更新CN的移动绑定 Reserved 保留 选项 可扩展 目前没有无选项时移动头中headerlen 0 说明 1 3 2 8绑定更新请求消息 BRR 1 3 3路由头 由前一个扩展头中Nextheader 43表示 路由头格式 Nextheader 8bit 遵循IPv6扩展头编码HdrExtLen 8bit 8字节为单位路由头类型 8bit 标识不同类型的路由头 移动IP中使用2SegmentsLeft 路由中还没有访问的节点 1 3 3路由头 说明 0类路由头 type0RoutingHeader 1 3 3 10类路由头 地址列表就是该报文途经的中间节点源节点的目的地址是第一个中间节点地址数据包每经过一个中间节点 都由该节点提取路由头中的下一个中间节点地址 将其替换到IPv6包的目的地址列表中的最后一个地址就是最终节点的地址 含有0类型路由头的IPv6包说明 1 3 3 10类路由头 2类路由头 type2routingheader 1 3 3 22类路由头 HdrExtLen 2RoutingType 2SegmentLeft 1Reserved 保留Homeaddress MN的家乡地址 说明 1 3 3 22类路由头 CN将MN的转交地址作为优化路由分组的目的IP时使用 在HA的移动前缀通告中使用将MN的家乡地址放在2类路由头中 2类路由头按照IPv6扩展头顺序排列 若与0类路由头同时出现 跟在0类路由头后面 2类型路由头说明 1 3 3 22类路由头 目的地选项头 由前一个扩展头中nextheader 60表示家乡地址选项 type 201 0 xC9length 16 1 3 4家乡地址目的地选项 1 3 5移动IPv6消息的使用 Internet 家乡代理 HA 移动节点 MN 通信节点 CN 网络前缀 2002 0 64 网络前缀 2001 0 64 1 2 网络前缀 2005 0 64 家乡地址 2002 14 64 路由通告 转交地址 2005 25 64 家乡测试初始消息 HoTI 家乡测试消息 HoT 家乡测试初始消息 HoTI 10 HA1 1 4 0家乡代理地址发现 MN HA2 HA3 ICMP家乡代理地址发现请求消息ICMP家乡代理地址发现响应消息ICMP移动前缀请求消息ICMP移动前缀通告消息 1 4新ICMPv6消息 MN HA 用于初始化动态家乡代理地址发现机制源IP地址 MN当前的转交地址目的IP地址 移动IPv6家乡代理任播地址 根据家乡地址生成 发送该消息的MN当前没有在HA注册 1 4 1家乡代理地址发现请求消息 Type 144Code 0Chechsum ICMP校验和Identifier 用于请求和响应消息的匹配Reserved 保留 说明 1 4 1家乡代理地址发现请求消息 HA MNHA响应MN的代理地址发现请求HA地址列表长度 HA地址数 由IP包的剩余长度决定 1 4 2家乡代理地址发现响应消息 Type 145Code 0Checksum ICMP校验和Identifier 用于请求和响应消息的匹配Reserved 保留 HomeAgentAddress HA地址 可有多个 说明 1 4 2家乡代理地址发现响应消息 1 4 3任播地址 RFC2526 定义 被分配给一个或者多个网络接口的IPv6地址 发给这个IPv6地址的分组会按照地址距离量协议传到所有具有这个IPv6地址的网络接口中最近的一个 组成 MN家乡地址64bit子网前缀 EUI 64格式的接口标识符 1 4 3 1移动IPv6家乡代理任播地址 64位的接口标识符格式如下 MN HA 请求家乡链路前缀信息源IP地址 MN的转交地址目的IP地址 HA的地址HopLimit域与普通IP包一样必须包括家乡地址目的地选项必须支持ESP 1 4 4移动前缀请求消息 Type 146Code 0Checksum ICMP校验和Identifier 用来响应消息的匹配Reseved 保留 说明 1 4 4移动前缀请求消息 HA MN 向离开家乡链路的MN通告家乡链路的前缀信息 可作为移动前缀请求消息的响应 也可根据HA的策略向注册的MN发送 1 4 5移动前缀通告消息 源IP地址 MN希望的HA地址目的IP地址 1 响应消息 请求消息源地址2 非响应消息 MN的转交地址必须用2类路由头必须支持IPsecESP 1 4 5移动前缀通告消息 Type 147M O 与路由通告中的M O位意义相同Code 0Reserved 保留 Chechsum ICMP校验和Options 选项 前缀信息选项 Identifier 用于于请求消息匹配 说明 1 4 5移动前缀通告消息 Type通告范围 移动前缀通告可向本链路以外发送 路由通告只限于本链路移动前缀通告全部是单播包 路由通告是单播或组播包移动前缀通告的源IP地址是HA的global地址 路由通告的源IP地址是link local地址 1 4 6移动前缀通告与路由通告的比较 本讲内容 移动IP技术 移动IPv6的报文格式 网络安全入门 安全的基本概念因特网中使用的安全协议防火墙 2网络安全入门 机密性 Confidentiality 认证 Authentication 完整性检查 IntegrityChecking 不可抵赖 Non Repudiation 2 1安全的基本概念