IP地址资源的分配和管理.ppt

IP地址资源的分配和管理 中国互联网络信息中心李祥建 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 1 1我国互联网地址资源的管理体系 信息产业部的职责国务院三定方案 信息产业部负责域名 地址等公共通信资源的分配与管理中国互联网络信息中心CNNIC的职责 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 国信办 1997 027号信部电函 2002 429号 1 2CNNIC职责 互联网地址资源注册管理互联网调查与相关信息服务目录数据库服务互联网寻址技术研发国际交流与政策调研承担中国互联网协会政策与资源工作委员会秘书处的工作 1 3CNNIC性质 中国互联网络信息中心 ChinaInternetNetworkInformationCenter 简称CNNIC 是经国务院主管部门批准授权 于1997年6月3日组建的非营利性的管理和服务机构 行使国家互联网络信息中心的职责 1 4CNNIC的组织结构 信息产业部CNNIC业务上的管理机构中国科学院CNNIC行政领导机关CNNIC工作委员会由各大互联网单位代表 网络界专家组成对CNNIC的具体工作进行监督和评定 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 2 1地址资源分配是逐级进行的 ICANN TheInternetCorporationforAssignedNamesandNumbers 是负责全球互联网上的IP地址进行编号分配的机构 ICANN将部分IP地址和AS号码分配给大洲级的互联网注册机构 RegionalInternetRegistry 简称RIR RIR负责该大洲范围内的IP地址和AS号码地址分配 登记注册 通常RIR会将地址进一步分配给区内大的LIR ISP 然后由他们做更进一步的分配 2 2互联网注册机构体系 ICANN ASO APNIC ARIN RIPENCC LACNIC IANA NIR LIR LIR LIR ISP ISP ISP ISP ISP ISP ISP ISP ISP ISP LIR LIR ISP ISP Intro 2 3大洲级互联网注册机构 RIRs APNICAsiaandPacificNetworkInformationCenter 亚太地区互联网络信息中心1994年4月获得第一块IP地址段202 7 开始真正运作1997年7月由日本搬迁到澳大利亚 2 3大洲级互联网注册机构 RIRs APNIC服务范围涵盖亚太地区的62个经济体 采取会员制 根据持有地址数量的多少 分为非常大 很大 大 中 小 很小 和准会员七类 共获得IPv4地址11 8 地址量占四大RIRs的23 91 2 3大洲级互联网注册机构 RIRs ARIN主要负责北美地区的IP地址 AS号码的分配管理共获得IPv4地址17 8地址量占四大RIRs的36 96 LACNIC主要负责拉丁美洲地区的IP地址 AS号码的分配管理共获得IPv4地址2 8地址量占四大RIRs的4 34 RIPENCC主要负责欧洲地区的IP地址 AS号码的分配管理共获得IPv4地址16 8地址量占四大RIRs的34 78 APNIC ARIN RIPENCC 2 4大洲级互联网注册机构分布 2 5我国IP地址分配体系 北京计算机应用研究所于1993年6月4日从APNIC处获得了一个C类的IP地址 标志着我国从APNIC申请IP地址的开始 国内互联网发展早期 我国没有成立统一的IP地址及AS号码资源管理单位 ISP都从APNIC申请地址目前 中国的ISP获得IP地址最有效的方法是加入CNNIC分配联盟 从CNNIC获得IP地址和AS号码 2 6CNNIC地址分配联盟 CNNIC以国家互联网络注册机构 NIR 的身份于1997年1月成为APNIC的联盟会员 成立了以CNNIC为召集单位的分配联盟 已经为130余家ISP提供了超过138B的IP地址 中国联合通信有限公司 中国卫星通信集团公司 总参通信部 中国科技网网络中心 中国国际电子商务中心 中国铁通集团公司等互联网单位的全部IP地址中国电信集团公司 中国网络通信集团公司 中国移动通信集团公司的部分下属单位的IP地址 2 7CNNIC地址分配联盟结构图 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 3 1分类的和无分类的地址 分类的 已过时 不再使用 很浪费地址的体系结构网络地址边界固定于8 16或者24bit A类 B类和C类 无分类的高效的体系结构网络地址边界可以是任意长度 例如 12 16 19 24等 当前最好的实现方法 Policies 3 1分类的和无分类的地址 网络边界可以是任意长度 过时的效率低B类地址空间严重损耗C类地址路由表项太多的 分类的 无分类的 当前最好的实现方法 Policies 3 2分配和指定 地址分配 Allocation 互联网注册机构持有的一块地址空间 可用于进一步的分配或者指定尚未用于网络的实际使用地址指定 Assignment 一块用于对运行网络编址的地址空间提供给本地互联网注册机构的客户 或者用于其内部的基础设施 Policies 3 3可携带的和不可携带的地址 可携带的客户拥有独立于ISP的地址客户改变ISP的时候仍然保留地址不利于路由表大小的精简不利于服务质量控制 路由可能会被过滤或抑制不可携带的客户使用ISP的地址空间客户改变ISP的时候必须重新配置地址有效扩展互联网的唯一途径 Policies 3 4聚类和 可携带性 聚类 不可携带的地址指定 可携带的地址指定 不聚类 BGP路由发布 1条 BGP路由发布 4条 Policies 3 5自治系统 实施相同路由政策网络的集合通常处在同一所有权 信任权和管理控制之下 3 6是否需要自治系统 如果成员单位的网络路由器准备采用外部路由协议例如BGP BorderGatewayProtocol 协议 可以申请自治系统号码 AS号码 如果网络规模比较大或者将来会发展成较大规模的网络 而且有多个出口 可以建立成一个自治系统 这种情况下需要AS号码 如果网络规模较小 或者规模较为固定 而且只有一个出口 可采用静态路由或其它路由协议 这种情况下不需要AS号码 具体如何判断是否需要采用AS号 可参考RFC1930 或请专家加以论证 3 7反向域名解析 正向DNS从域名指向地址 49反向DNS从地址指向域名 49 cn 3 7反向域名 IP地址层级体系使用 in addr arpa 域名INverseADDRess 反向地址 IP地址从 不具体 往 具体 49域名从 具体 往 不具体 反向域名的写法 in addr arpa 3 7反向域名 将数字映射为名字 反向DNS 3 8反向DNS 为什么要认真对待 服务拒绝只在完整的反向域名授权的情况下允许访问 如匿名ftp诊断辅助跟踪路由轨迹 traceroute 等等注册作为会员或者本地注册机构的职责 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 4 1APNIC介绍 大洲级互联网注册机构 RIR 负责亚太地区的地址资源的分配和管理IPv4和IPv6地址 AS号码 in addr arpa反向域名授权不是一个网络运营商不提供网络服务不是一个开发标准的组织不开发技术标准在有关方面与IETF共同工作 如IPV6 DNS Intro 谨慎保证资源的有效利用聚类限制网络路由表的增长注册在公共数据库上注册唯一全球可访问公平性和一致性全面考虑外部因素 4 2APNIC地址分配政策 目标 Policies 4 3有限的IPV4地址资源是制定严格分配政策的主要原因 4 4全球路由表的增长空间有限是制定严格的分配政策的又一重要原因 lastupdated29Sep2003 as1221 bgp active html Policies 4 5全球路由表前缀分布情况 Lastupdated29Nov2002 Policies 4 6APNIC地址分配政策 环境 IP地址不是自由拥有的资产 互联网资源是公共资源 所有权 有悖于资源管理目标需要避免过去犯下的错误基于租用的地址指定和分配 Policies 4 7APNIC地址分配政策 使用提供商可聚类的地址空间进行分配提供商有责任保持地址聚类客户的地址指定必须是不可携带的地址分配基于已证实的需求要求详细的文件说明所有已持有的地址空间必须声明地址空间从一个来源获取实施路由考虑不允许囤积地址 Policies 4 8APNIC地址指定政策 地址指定基于实际需求通过详细的文件来证明指定的地址空间应该得到最大程度的利用减少浪费无分类地址指定运用变长掩码技术 VLSM 地址分配空间大小最多满足一年的需求 Policies 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 5 1CNNIC地址分配联盟管理办法 2004年3月29日颁布实施 替代之前的暂行管理办法主要内容包括 联盟成员资格申请IPv4地址申请和分配IPv6地址申请和分配AS号码申请反向域名解析 5 2申请联盟成员资格 申请单位向CNNIC提交加盖公章的联盟成员资格申请书 营业执照以及接入带宽证明的复印件 以及相应的文字说明 通过CNNIC审核后 申请单位与CNNIC签订 中国互联网络信息中心分配联盟协议 并缴纳相应的费用 成为CNNIC地址分配联盟成员 5 3IPv4地址申请处理流程 5 4IPv4地址的初次分配 首次申请IPv4地址地址申请表网络拓扑图设备清单网络发展规划设计方案提交给 5 4IPv4地址的初次分配 首次申请IPv4地址应当填写地址申请表中的network plan无需填写cust network和infrastructure项 后续申请时再填写 用以说明地址规划情况 5 4首次申请大于等于 20IPv4地址的条件 CNNIC通常分配 20的地址作为启动地址提出大于 20地址申请的成员应有在一年内使用至少 21地址的规划 5 5IPv4地址的后续分配 当联盟成员拥有的IPv4地址的利用率达到80 时 可以向CNNIC申请新的IPv4地址 IPv4地址申请表 APNICWhois数据库 5 6联盟成员IPv4地址分配和指定 CNNIC有权要求成员提交详细的IP地址使用情况报告和进行WHOIS注册 成员应当予以积极配合IPv4地址的分配与使用应保证地址的高效率利用 同时IPv4地址使用应当遵循以下原则 不在拨号服务器上使用静态方式分配地址用名方式而不是IP地址方式作虚拟主机在普通局域网中的PC使用私有地址 RFC2050 5 7反向域名解析 CNNIC在收到联盟成员提交的反向域名解析申请表后 可以对已经分配的IPv4地址提供反向域名解析 该解析以 24或 16为单位进行 5 8IPv6地址的申请处理流程 5 9IPv6地址的初次分配 联盟成员计划给用户提供IPv6连接 在两年内至少给200个用户提供 48的指定 并通过联盟成员自己的单一聚类地址广播此连接时 即满足初次分配的标准 将被分配给 32的IPv6地址 如果联盟成员可以提供有力的证明材料 说明现有的用户数量以及网络结构的规模适于分配更多的地址 则有可能得到大于 32的最初分配 128bits 5 10IPv6地址的后续分配 IPv6地址利用率根据HD比率来计算 RFC3194 IPv6地址利用率要求HD 0 80只根据地址指定计算例如 ISP 32的地址空间已指定了10000个 48 则 log 65 536 0 83 5 10IPv6地址的后续分配 当联盟成员IPv6的地址利用率满足HD比例大于等于0 8的评价标准时 可以得到与原来地址数量相同的IPv6地址 如果联盟成员需要申请更多的IPv6地址 则需要提供材料来证明其两年内的IPV6地址需求 CNNIC将根据其材料 分配适合的地址 5 11联盟成员对下游ISP的IPv6地址分配 联盟成员可以制定自己对下游ISP的地址分配政策 以达到最优化利用已经得到的IPv6地址的目的下游ISP必须对所有的 48的地址指定进行注册 以方便将来继续申请地址时CNNIC APNIC的评估 5 12联盟成员的IPv6地址指定 指定地址的大小通常为 48 只有一个子网时 可以是 64 只有一个设备连接时 可以最小是 128 对一个站点进行多个 48的指定需要提交辅助说明材料给CNNIC 对网络运营商网络结构的地址指定 联盟成员可以无需考虑PoP点的用户数量 而直接给每个PoP点指定 48的IPv6地址作为网络的结构 5 13IPv6地址的注册 分配或者指定的IPv6地址必须在公用的数据库中进行注册 注册以 48网络为单位进行 当一个单位得到了多于 48的指定时 进行该指定的单位应该保证将该信息注册到APNIC的Whois数据库中 CNNIC将使用数据库中注册的数据来衡量单位继续申请地址时的HD比率 5 14AS号码的管理和分配 申请条件联盟成员的网络必须具有两个或者两个以上的多路出口有与对方ISP签署的关于双方使用BGP协议互联的协议书 并计划在一个月内使用申请到的AS号码与一家ISP互设BGP协议 三个月内与两家或者两家以上的ISP互设BGP协议 5 14AS号码的管理和分配 申请处理流程满足申请条件的联盟成员 应当向CNNIC递交上述申请材料以及AS号码申请表 CNNIC审核通过后 进行AS号码的分配 5 14AS号码的管理和分配 AS号码的注册CNNIC将分配的AS号码在APNICwhois数据库中注册 如果联盟成员得到AS号码后三个月内没有使用 CNNIC将修改APNICwhois数据库 并收回该号码 5 15CNNIC对联盟成员的管理 CNNIC分配地址资源给联盟成员后 会进行跟踪管理 CNNIC会不定期让联盟成员提交其地址资源的使用情况 如果联盟成员没有按照CNNIC各项管理规定使用地址资源 CNNIC有权对其做出相应的处理 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 6 1CNNIC地址分配联盟的优势 本地化 全中文服务方便 及时 成功率高价格优势后续服务培训 6 2IP地址 AS号码分配流程图 6 3流程图简单说明 IP地址的获得加入分配联盟 符合分配条件 交纳相关费用 获得IP地址 AS号码的获得如果同时申请IP地址 无需额外费用如果只申请AS号码 不申请地址 则需要按照最少地址计算会员级别 并交纳相应费用 6 4费用 联盟成员资格申请费10000元一次性单个IPv4地址费申请地址量超过1B 含1B 的 按每1个B类地址1万元收取不足一个B的部分不再另外收取一次性单个IPv6地址费无 只有获准加入时才收取 6 5费用 CNNIC联盟成员年费联盟成员每次申请IP地址 不论是IPv4还是IPv6 获得批准后 CNNIC将根据其最新的IPv4和IPv6地址拥有量重新计算级别 如果会员级别被调高 则需要在使用新申请的地址前按新的级别缴纳年费 缴纳年费的日期为最近一次从CNNIC得到地址的日期 缴纳年费时 以前缴纳的没有用完的部分 按月折算 退还给联盟成员 没有继续申请地址的成员的交费日期同上一年 6 5费用 只申请IPv4地址按IPv4地址拥有量的多少划分为不同的级别 并按级别收取年费 只申请IPv6地址按IPv6地址拥有量的多少划分为不同的级别 并按级别收取年费 同时申请IPv4地址和IPv6地址按IPv4地址拥有量和IPv6地址拥有量的多少分别计算 取其中较高的作为会员级别 并按级别收取年费 6 5费用 只申请AS号码按照IPv4地址量小于等于 22的级别收取年费 同时申请IP地址和AS号码CNNIC联盟成员同时申请IP地址 无论IPv4地址还是IPv6地址 和AS号码的 按照IP地址的级别收取年费 AS号码不单独收取费用 6 6CNNIC分配联盟成员级别 演讲提纲 CNNIC介绍IP地址 AS号码的分级管理IPv4地址 AS号码基础知识国际IPv4地址分配政策CNNIC地址分配联盟管理办法CNNIC地址分配服务体系IPV6地址基础知识 最新进展 6 1基本原理 地址耗尽问题可用的IPv4地址空间越来越少IPv6提供了比IPv4大得多的地址空间骨干路由表条目的增长目前互联网主干路由表超过10万条目CIDR并不能保证有效的 可扩展的分层次路由目前的路由层次系统缺乏统一规范路由聚类在IPv6中仍然是一个值得关心的问题IPv6地址体系结构比IPv4更有层次 6 1基本原理 需要提升互联网环境需要加密 认证以及数据完整性保护IP层安全的必要性需要即插即用减轻网络管理员的工作量减少个人用户引起的错误IPv6缺省提供了更多新技术 安全 即插即用 组播等 6 2IPv6编址 地址表达格式由8个16位元的16进制数值表达X X X X X X X X X 16bitnumber eg A2FE 16位元数字转换成4个16进制数字例子 FE38 DCE3 124C CDA2 BA03 6735 EFDC 683D地址缩写形式4EED 2300 0000 0000 0000 036E 1250 2B00 4EED 23 0 0 0 36E 1250 2B00 4EED 23 36E 1250 2B00 空值 只能使用一次 6 2IPv6编址模式 IPv6地址类型Unicast单播标识单个接口Anycast任播标识一组接口Multicast组播标识一组节点 RFC3513 6 2单播地址 用于主机和路由器之间通信接口的地址可聚类的全球单播地址本地单播地址本地链路地址 以FE80 开始 本地节点地址 以FEC0 开始 6 2任播地址 一对多个接口中的一个的通信方式 one to one of many 发送到路由最近的一个接口语法构成与单播地址相同可能只指定给路由器不能作为源地址使用需要将来更广泛的实践经验 6 2组播地址 用前8位来标识组播地址 FF Flags 标志 0000 永久指定 众所周知 的组播地址0001 非永久指定 转接 的组播地址Scope 指出组播组的范围 1 nodelocal2 linklocal3 sitelocal8 organisationlocalE globalGroupID 组播组标识符 标识特定范围内的组播组 11111111FlagScopeGroupID8bits4bits4bits112bits 6 4IPv6特点 自动配置 无状态机制用于不关心配置的具体地址的站点不需要手工配置路由器配置极少不需要另外的服务器有状态机制用于需要对具体地址指定有更强的控制的站点需要DHCP服务器DHCPv6能够 即插即用 RFC2462 6 4IPv6特性 自动配置 该地址是唯一的吗 一台新机器开机 暂定一个地址给该机器 对所有单播地址进行重复地址检测 DAD 如果不返回ND报文 那么该地址是唯一的 FE80 310 BAFF FE64 1D将指定给该机器 指定FE80 310 BAFF FE64 1D 3FFE 0 0 1 64网络 6 4IPv6特性 自动配置 FE80 310 BAFF FE64 1D 发给我路由器广播前缀 新机器通过组播方式发送 routersolicitation 询问请求来得到所在网络的前缀 路由器将回答一个 routingadvertisement 路由广播前缀 该机器获得网络前缀 Ex 3FFE 0 0 1该机器的指定地址为网络前缀 接口标识符 如 3FFE 0 0 1 310 BAFF FE64 1D 路有器广播 指定3FFE 0 0 1 310 BAFF FE64 1D 3FFE 0 0 1 64网络 6 5IPv4到IPv6的转换 直接实现优于转换IPv6转换成功的关键在实施IPv6时保持与IPv4主机路由器的兼容性数百万IPv4节点已经存在将每一个IPv4节点都升级到IPv6是不可行的转换过程将是渐进的常用转换技术双栈转换隧道形式 6 5双栈转换 双栈 即TCP IP协议栈同时运行IPv4和IPv6协议栈在转换的最初阶段很有用 6 5隧道形式 常用的转换方法IPV6数据包封装在IPV4头里目的地的路由器会把数据包拆开并把IPV6信息包送到IPV6目标主机 增加IPv4报头 封装 IPv4网络 IPv6网络 拆封 除去IPv4报头 IPv6主机X IPv6主机Y 路由器 路由器 6 6IPv6地址政策目标 有效使用地址避免浪费聚类分层次分发路由聚类限制路由广播条目减少管理开销与获得地址空间有关的注册 唯一性 公平和一致性与IPv4相同 IPv6 6 7IPv6地址结构 0 127 128bits 6 8IPv6当前的实施实验 IPv6 洗衣机IPv6 冰箱IPv6 微波炉 移动阅读器接入点 个人电脑 IPv6网络 家庭网络集线器 家庭网络集线器 家庭路由器 以太网 无线 6 9IPv6当前存在的问题 需要根域名服务器和顶级域名服务器能够通过IPv6访问IPv6反向域名记录中容易发生人为错误动态更新可以提供一个解决办法更新需要安全系统多个BGP联接指定的可携带地址不可用一个节点多个单播地址一个主机多个接口 6 10APNIC内IPV6分配情况 第一个分配1998年8月13日 日本IPV6地址最多的国家日本 54个 32 6 116boneTestbed