IPv6技术(课程总结)课件

IPv6技术-新一代网络技术课程总结,机械工业出版社ISBN7-111-23468-5,第1章IPv6概述,本章学习内容及要求要求了解计算机网络体系结构和计算机网络协议的基础知识，以及现有IPv4协议存在的问题。掌握OSI、TCP/IP网络体系结构分析方法。了解IPv6技术形成和发展的过程。掌握IPv6技术的基本知识和特征熟悉IPv6技术标准的构成。了解IPv6技术目前在国内外部署情况。,1.2IPv4协议的局限性,1.2.1IPv4协议的基本知识IPv4协议是在1974年开始研制的，最初用于ARPANET网络，目标是在网络硬件受到损坏后，尽量减少对整个网络的影响，把网络中复杂的可靠性问题留到网络边缘解决。IPv4协议实现了提供尽力交付的服务，采用IP地址这一逻辑地址实现了网络的互连，以及网络中计算机设备网络接口的连接标识，为不同网络和网络中计算机设备的互连起到重要作用。,1.2.2IPv4协议存在的问题,IPv4协议存在的主要问题有：地址空间匮乏；存在网络安全隐患；不提供服务质量保证；IP地址配置复杂；缺少移动性支持等等。IPv4必须升级的原因以及可以同时改进之处,1.3IPv6协议基本知识,1.3.1IPv6协议的目标IPv6是“InternetProtocolVersion6”的缩写，是下一代Internet协议IPng(IP-thenextgeneration)的实现，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。IPv4和IPv6是工作在网络层的协议，是TCP/IP协议的组成部分。IETF在Internet技术文档RFC1550里进行了征求新的IP协议的呼吁，公布了新协议需要实现的主要目标。,新协议需要实现的主要目标,支持几乎无限大的地址空间；减小路由表的大小；简化协议，使路由器能更快地处理数据包；提供更好的安全性，实现IP级的安全；支持多种服务类型，尤其是实时业务；支持多点传送，即支持组播；允许主机不更改地址实现异地漫游；允许新旧协议共存一段时间；支持未来协议的演变以适应底层网络环境或上层应用环境的变化；支持自动地址配置；协议必须能扩展，满足将来Internet的服务需求；扩展必须是不需要网络软件升级就可实现的；协议必须支持可移动主机和网络。,1.3.2IPv6协议研究的历程,Internet工程任务组IETF于1991年开始研究IPng协议，1991年12月发布RFC1287文档，题目是“未来的Internet体系结构”1993年成立IPngArea工作组，1994年12月IPngArea给出对下一代Internet协议技术标准进行评议的RFC1726文档，提出评议标准。1995年1月IPngArea给出RFC1752文档，按照RFC1726的技术评议标准推荐了三个主要的下一代Internet协议建议Internet通用体系结构CATNIP简单增强IP协议SIPPCLNP编址网络上的TCP/UDP协议TUBA,1.3.3IPv6协议的制订,1994年7月IETF决定以SIPP作为IPng的基础，对SIPP进行了改进。包括把地址位数由64位增加到128位的固定长度、路由报头增强技术、IPv4的CIDR技术，以及TUBA的自动配置和过渡技术等。所给出的新的IP协议称为IPv61995年12月在RFC1883中公布了IPv6协议规范的建议标准(proposalstandard)。1996年7月和1997年11月先后发布了版本2和版本2.1的草案标准(draftstandard)。1998年12月发布了IPv6协议标准RFC2460。1999年完成了IETF要求的协议审定和测试。,需要说明的问题,IPv6和IPng在概念上是有区别的，IPng是在IPv4的地址空间出现危机时提出的，地址即将耗尽和路由表的过度膨胀是促使IPng问题产生的直接原因。IPng更像是为“修订IP”而提出的一个概念性的名字，没有一个具体的协议叫做IPng，它是所有有关的下一代Internet协议的总称，而IPv6是IPng协议中一个具体的协议。目前，IPv6仍然是一个十分活跃的研究领域，不断推出与IPv6有关的RFC文档。,1.3.5IPv4与IPv6的比较,IPv4协议与IPv6协议是网络层协议的两个版本，是互不兼容的。但是两者在功能实现和应用描述上并没有本质上的区别，可以从数据、控制和管理三个平面理解和分析。在数据平面，以尽力交付方式来存储转发数据分组；在控制平面，以静态或动态的方式获得路由信息，决定对数据分组的转发路径；在管理平面，提供必要的设备和信息，为网络管理、维护提供支持。,1.4IPv6技术标准研究,1.4.1与IPv6技术有关的国际标准组织与IPv6技术有关的标准组织有IETF、ICANN、IPv6论坛、WIDE、3GPP和ITU-T等。在制定IPv6标准的国际组织中，IPv6协议主要由IETF制定，ITU则是考虑IPv6协议在电信网络中的应用，3GPP组织主要负责IPv6在3G核心网以及3G终端中的应用。IPv6协议的研究进程主要在IETF组织内完成。,1.4.3IPv6技术标准,1.IPv6技术标准RFC文档2.IPv4/IPv6互通转换技术标准,1.5IPv6技术的推广和部署,1.5.1IPv6在国外的推广和部署目前美国和欧洲国家对IPv6的发展以研究和实验为主，日本和韩国等亚洲国家则在IPv6的商用及业务开展方面处于领先地位。IPv6技术研究和应用推动最快的是日本。日本采取了模型证实实验，由地方政府、企业用户、家庭用户组成一个模型地区，进行从IPv4方式过渡到IPv6方式的试验，来制定合适的过渡模型。,1.5.2IPv6在国内的推广和部署,我国相关研究机构、高校、厂商及运营商也已陆续开始跟踪与关注IPv6技术发展，投入IPv6技术研发，并相继建成IPv6试验床及实验网络，。CERNET国家网络中心于1998年6月加入6Bone，同年11月成为其骨干网成员。CERNET2是纯IPv6网络，CERNET2主干网以2.5Gbps10Gbps传输速率连接分布在中国主要城市的20个核心节点。,1.5.5正在研究的IPv6关键技术,1.IPv6实验涉及到的关键技术2.IPv6网络上可能会出现的应用3.端到端实时通信4.移动互联5.宽带网络6.IPv6带来的新的应用与服务的特征7.未来IPv6的发展趋势,学习内容及要求,本章学习内容及要求要求了解IPv6协议基本术语掌握IPv6协议数据单元的构成内容掌握IPv6协议的扩展首部的构成内容熟知IPv6协议与相邻层协议的关系掌握IPv6协议的特性及分析方法,2.1.2IPv6协议数据单元,IPv6协议数据单元由固定首部(baseheader)和有效载荷(payload)组成，固定首部有40字节，包含有8个字段,具有多个可选扩展首部的格式,有效载荷又包括扩展首部(extensionheader)和数据部分，IPv6数据报在基本首部后面允许有零个或多个扩展首部，再后面是数据。IPv6数据报中下一个首部字段对应着IPv4协议中的协议字段，下一个首部字段的一些可能取值如图2.3所示,典型的IPv6数据包,每一种扩展报头其实也有自己特定的协议号，例如：路由报头为43，AH报头为51每一个基本报头和扩展报头的protocol字段标识后面紧接的内容,2.1.3IPv6协议首部与IPv4协议首部的比较,IPv6协议与IPv4协议是互相不兼容的两个网络层协议，IPv6是在IPv4基础上的改进。IPv6协议首部与IPv4协议首部的比较如图2.4所示可以看出与IPv4相比IPv6协议首部去掉了7个字段，增加了1个流标签字段，源地址和目的地址字段的地址位数扩大到128比特IPv6采用40字节的固定首部长度，采用扩展首部适应各种传输选项的需要IPv6采用不同的分段处理方式,2.2IPv6协议的扩展首部,2.2.1IPv6协议扩展首部的基本知识1.扩展首部的用法2.扩展首部的标识3.扩展首部的顺序4.建立新的选项5.具有选项的扩展首部,2.2.5身份认证扩展首部,身份认证扩展首部AH(AuthenticationHeader)的作用是实现数据的完整性和对数据报来源的确认，完整性保证了数据在传输过程中没有被篡改过，数据报来源的确认保证数据报确实来自于源地址所标识的接口。,身份认证扩展首部有两种使用方式,身份认证扩展首部有两种使用方式：传输模式(transportmode)和隧道模式(tunnelmode),2.2.6封装安全载荷扩展首部,封装安全载荷ESP(EncapsulationSecurityPayload)扩展首部(ESPHeader)提供端到端的数据加密功能，以及提供无连接的完整性服务、抗重发服务，还提供了对通信流机密性的限制。封装安全载荷扩展首部也简记为ESP扩展首部。ESP扩展首部也有传输模式和隧道模式两种使用方式,2.4IPv6协议的特性,2.4.1IPv6具有层次化的地址结构IPv6定义了三种不同的地址类型，分别为：单点传送地址UA(UnicastAddress)多点传送地址MA(MulticastAddress)任意点传送地址AA(AnycastAddress)分别简称为单播、多播和任播。所有类型的IPv6地址都是属于接口(Interface)而不是节点(node)。一个IPv6单点传送地址被赋给某一个接口，而一个接口又只能属于某一个特定的节点，因此一个节点的任意一个接口的单点传送地址都可以用来标示该节点。需要注意的是接口和节点是完全不同的概念。,学习内容及要求,本章学习内容及要求要求了解IPv6地址表示方式掌握IPv6地址空间和地址前缀内容掌握IPv6寻址模型内容熟知IPv6地址分类方法掌握IPv6单播地址、多播地址、任播地址内容掌握IPv6地址配置技术了解DHCPv6的应用方法了解IPv6域名系统的使用,3.1IPv6地址技术概述,3.1.1IPv6地址表示方式在RFC2373(IPv6AddressingArchitecture)文档中规定了IPv6的地址结构IPv6地址有3种格式：首选格式；压缩表示格式；内嵌IPv4地址的IPv6地址格式后面两种格式更加清楚和易于使用新的RFC文档,IPv6地址表示,10000000000000010000010000010000000000000000000000000000000000010000000000000000000000000000000000000000000000000100010111111111,10000000000000010000010000010000000000000000000000000000000000010000000000000000000000000000000000000000000000000100010111111111,2001:0410:0000:0001:0000:0000:0000:45ff,2001:410:0:1:0:0:0:45ff,2001:410:0:1:45ff,需要注意的是,在使用压缩表示格式时，IPv6标准规定双冒号只能在地址中只能出现一次，并且不能省略一个组中有效的0，例如上面的地址不可以写为：2001:41:0:1:45ff。,3.1.2IPv6地址空间和地址前缀,IPv6格式前缀FP(FormatPrefix)采用类似于IPv4地址中的无分类域间路由CIDR机制中的地址前缀，地址前缀用来标识网络、子网和路由(选路)。IPv6地址被分成两个部分：子网前缀和接口标识符IPv6地址前缀表示方法与IPv4地址中的CIDR一样，采用“地址/前缀长度”的格式，。IPv6地址前缀格式为：IPv6地址/前缀长度IPv6节点地址中指出了前缀长度，例如，4030:0:0:0:C9B4:FF12:48BC:1A27/60，这个地址中用于选路的前缀长度为60位。,地址前缀,地址前缀就是地址最前面的那段数字。也属于128位地址空间范围。是路由或子网的表示类似于IPv4网络中的网络ID其表示方法类似于IPv4中的CIDR表示方法：地址/前缀长度,FF02:/16,EUI64规范,将48比特的MAC地址转化为64比特的接口ID由设备自动生成MAC唯一，所以接口ID也唯一48比特的MAC地址转化后的64比特的接口ID,IPv6地址的分配,全球有5个RIR负责所在区域的IPv6地址的分配欧洲地区，RIPE-NCC负责欧洲、中东和部分中亚地区，亚太地区，APNIC负责亚洲和太平洋地区非洲地址，AfriNIC负责非洲地区。北美地区，ARIN负责加拿大、美国以及加勒比海和北大西洋的一些岛屿。拉丁美洲和加勒比海地区，LACNIC负责拉丁美洲和加勒比海地区的IPv6地址的分配。,3.2IPv6地址分类,3.2.1IPv6地址分类概述IPv6地址的分类方法与IPv4类似，按照其传输类型分为3种：单播地址(UnicastAddress)：用来标识单一网络接口。多播地址(MulticastAddress)：用来标识一组网络接口(通常属于不同的节点)。任播地址(AnycastAddress)：用来标识一组网络接口，这些接口通常属于不同的节点。任播地址是IPv6引人的一种新的地址类型。,特殊地址,需要说明的是,在IPv6中取消了广播地址(BroadcastAddress)用多播地址取代广播地址实现的功能IPv6中取消了广播地址的原因是广播地址从一开始就为IPv4网络带来了问题广播被用来携带去向多个节点的信息，或被那些不知信息来自何方的节点用来发出请求广播可能会为网络性能设置障碍同一网络链路上的大量广播意味着该链路上的每个节点都必须处理所有广播，但是其中绝大部分节点最终都将忽略该广播，因为该广播信息与自己无关,1.可聚类全球单播地址,可聚类全球单播地址用作IPv6公网地址，每个可聚合全球单播IPv6地址有3个部分：ISP提供商分配的前缀。站点拓扑。组织机构使用提供商分配的一个/48位前缀，可以用前缀的4964位，一共16位把网络划分为子网，最多可以划分65535个子网。接口ID(接口标识符)。IPv6地址的低64位用于标识接口。,本地链路地址和本地站点地址,本地链路地址设备自动生成，在本地网络中使用本地站点地址相当于v4网络中的私网地址,0,接口ID,1111111010,0,接口ID,1111111011,MAC地址转换为EUI-64地址的过程,本地链路地址用于单网络链路上给主机编号前缀的前10位标识的地址即本地链路地址路由器在它们的源端和目的端对具有本地链路地址的包不予处理，永远也不会转发这些包该地址的中间54位置成0而64位接口标识符同样用如前所述的IEEE结构。,4.特殊地址和保留地址,在第一个1/256IPv6地址空间中，所有地址的第一个8位：00000000被保留。大部分空的地址空间用作特殊地址，这些特殊地址包括：未指定地址：这是一个“全0”地址，当没有有效地址时，可采用该地址。回返地址：IPv6回返地址除了最低位外，全为0，即回返地址可表示为0:0:0:0:0:0:0:1或:1。嵌有IPv4地址的IPv6地址：有两类地址，一类允许IPv6节点访问不支持IPv6的IPv4节点，另一类允许IPv6路由器用隧道方式，在IPv4网络上传送IPv6包。,特殊地址,Unspecified地址0:0:0:0:0:0:0:0作为源地址使用，并不能被路由器转发Loopback地址0:0:0:0:0:0:0:1IPv4-compatibleIPv6地址IPv4-mappedIPv6地址,多播地址,Flags用来表示permanent或transient多播组Scope表示多播组的范围GroupID多播组ID,预定义的多播组,Node-local（本地站点）所有节点的多播地址：FF01:0:0:0:0:0:0:1所有路由器的多播地址：FF01:0:0:0:0:0:0:2Link-local（本地链路）所有节点的多播地址：FF02:0:0:0:0:0:0:1所有路由器的多播地址：FF02:0:0:0:0:0:0:2Solicited-Node多播地址：FF02:0:0:0:0:1:FFXX:XXXX所有OSPF路由器多播地址：FF02:0:0:0:0:0:0:5所有OSPF的DR路由器多播地址：FF02:0:0:0:0:0:0:6所有RIP路由器多播地址：FF02:0:0:0:0:0:0:9所有PIM路由器多播地址：FF02:0:0:0:0:0:0:13,IPv6的一些具有特别含义的特殊多播地址,FF01:1表示节点本地范围内所有节点多播地址；FF02:1表示链路本地范围内所有节点多播地址；FF01:2表示节点本地范围内所有路由器多播地址；FF02:2表示链路本地范围内所有路由器多播地址；FF05:2表示站点本地范围内所有路由器多播地址。,在IPv6多播地址中有一种特殊用途的请求节点(Solicited-node)多播地址，主要用于重复地址检测和获取邻居节点的链路层地址。请求节点多播地址由前缀FF02:1:FF00:0/104和单播地址的最后24位组成。,3.2.4IPv6任播地址,任播地址是IPv6协议特有的地址类型适合于一对一组中的一个(OnetoOneofMany)的通信需求。任播地址用来标识一组网络接口这些接口通常属于不同的节点。路由器会把目标地址是任播地址的数据报发送给离该路由器最近的一个网络接口。任播地址只能用作IPv6数据报的目的地址，任播地址只能分配给IPv6路由器或服务器主机。任播地址与多播地址类似同样是多个节点共享一个任播地址不同的是，只有一个节点期待接收给任播地址的数据报。,IPv6地址新类型任播（Anycast）,可用于标识特定ISP的路由器集合等同单播地址相同不能做为源地址使用仅用于路由器,WhosGateway?,Imnearestone.,学习内容及要求,本章学习内容及要求要求了解ICMPv6协议的功用理解ICMPv6与ICMPv4的比较内容掌握ICMPv6协议格式内容熟知ICMPv6错误报文格式和用途熟知ICMPv6信息报文格式和用途掌握ICMPv6处理规则理解邻居发现协议的主要内容掌握邻居发现协议的功能分析方法熟知ICMP重定向报文内容和功用掌握IPv6地址解析技术的方法了解多播监听者发现协议MLD,4.1ICMPv6协议概述,4.1.1ICMPv6协议的功用ICMPv6是IPv6的Internet控制报文协议ICMP(InternetControlMessageProtocol)，它属于IPv6协议的一个组成部分，和IPv6协议一起工作，IPv6网络中的每一个节点均要实现ICMPv6。在IPv6分组不能被正确处理的时候，ICMPv6向源节点报告IPv6分组在传输过程中的出错信息和通告信息，使网络中的节点可以知道网络中所传输的IPv6分组的情况，以及当前网络状态的重要信息。现在ICMPv6的技术文档是RFC2463需要说明的是在IPv6网络中，用ICMPv6实现IPv4网络中的ICMP、ARP、IGMP协议的功能。ICMPv6是用运输层协议UDP传输的。在发送ICMPv6报文时，是将ICMPv6报文作为IPv6分组的数据载荷。,Comparisonofnetworklayersinversion4andversion6,IPv6与IPv4的网络层,4.1.2ICMPv6与ICMPv4的比较,ICMPv6增加的功能包括：Internet组管理协议IGMP功能被加入到ICMPv6中。地址解析协议ARP和反向地址解析协议RARP功能被加入到ICMPv6中。引入了邻居发现(ND)协议，它使用ICMPv6报文是为了确定同一个链路上的邻居的链路层地址、发现路由器、随时跟踪哪些邻居是可连接的，以及检测更改的链路层地址。ICMPv6还支持MobileIPv6。,GeneralformatofICMPv6messages,ICMPv6报文的一般格式,携带ICMPv6报文的IPv6分组的格式,Error-reportingmessages,lCMPv6错误报告报文的分类,Querymessages,ICMPv6信息报文分类,Group-membershipmessages,ICMPv6组成员关系报文,Foursituationsofgroup-membershipoperation,4.3邻居发现协议,4.3.1邻居发现协议概述邻居发现协议实现了在IPv4中应用的地址解析协议(ARP)和ICMP路由器发现和重定向，还加入了一些新的功能。IPv6节点利用邻居发现协议可以实现的机制有：确定同一链路上节点的链路层地址。查找可以转发它们的数据包的邻近路由器。随时跟踪哪些邻居可达，哪些不可达，并且检测有改变的链路层地址。对于IPv4协议集改进的12个内容。邻居发现协议由5条ICMPv6报文组成。,4.3.7邻居缓存和目的地缓存,IPv6节点需要维护各种信息表格。在这些表格中，邻居缓存和目的地缓存是特别重要的。邻居缓存目的地缓存RFC2461文档对邻居缓存和目的地缓存给出描述和定义一条邻居缓存记录可以处于5种状态之一,第5章学习内容和要求,本章学习内容及要求要求了解IPv6路由的基础知识熟知IPv6路由RIPng、OSPFv3、BGP4的特点熟知IPv6路由报文的格式理解IPv6路由的工作原理和路由过程。掌握IPv6路由技术的描述方法熟知IPv6路由技术的标准,5.1IPv6路由协议概述,5.1.1IPv6路由协议基本知识IPv6路由协议是IPv6协议的组成部分，是IPv6协议的核心。路由协议依据工作原理可以分为距离向量路由协议、链路状态路由协议和路径向量路由协议。IPv6路由协议包括：内部路由协议RIPng、OSPFv3，以及基于IPv6的IS-ISv6；外部路由协议BGP-4。依据路由算法分类，其中RIPng为距离向量路由协议，OSPFv3和IS-ISv6属于链路状态路由协议，BGP-4属于路径向量路由协议。路由算法(RoutingAlgorithm)是网络层软件的一部分，网络中的路由器通过路由算法确定把一个进来的数据报(分组)转发到哪一条输出线路上。不同的路由协议通过相应的路由算法来实现。,需要说明的问题,路由协议(RoutingProtocol)和可被路由协议(RoutedProtocol)是两个不同的概念。路由协议允许路由器动态的通告、学习和更新路由，是一种为路由器寻找数据报转发路径的协议例如RIPng、OSPFv3等。可被路由协议是能够为用户数据提供足够的被路由信息，例如网络接口的逻辑地址，也就是IP地址。用户数据若想要被路由、穿越网络，必须用可被路由协议封装例如IP数据报可以被路由，IP协议是一个可被路由协议。,5.2RIPng协议,5.2.1RIPng协议概述RIPng(RIPnextgeneration)协议是动态的内部路由协议，是一个基于Bellman-Ford算法的距离向量路由协议RIPng使用跳数(hopcount)作为度量(metric)，度量值在015之间。RIPng是基于运输层协议UDP的。RIPng只在路由器上实现每台使用RIPng的路由器都有一个路由进程在UDP端口521上发送和接收数据。RIPng协议的大多数概念都是从RIPv1和RIPv2中得来的。,5.2.2RIPng路由更新的规则,路由Ri是新的，并且度量值是可达的路由。度量值和下一跳地址将被作为一个新的表项添加到路由表中计时器被设置为0，并且给出RouteChange标记路由Ri是已知的，并且下一跳地址和路由表中的表项内容一样如果度量值改变了，路由表被更新，并且给出RouteChange标记。计时器被重新设置为0,路由表项(RTE),每条路由表项占20字节，RIPng首部后面跟着一个或多个路由表项。,比特,前缀长度,路由标记,0,路由度量值,8,16,31,IPv6前缀(16字节),24,5.3IPv6的OSPFv3,5.3.1IPv6OSPFv3概述OSPFv3(OpenShortestPathFirstversion3)是IPv6使用的链路状态路由协议OSPFv3的技术文档为RFC2740，文档中的定义将重点放在IPv6的OSPF和IPv4的OSPF的区别上。OSPFv3是IPv6网络中的主流和核心路由协议OSPFv3报文直接封装在IPv6数据报中，对应的IPv6数据报下一个首部字段的值为89。,链路状态通告LSA,OSPFv3将链路状态通告LSA(LinkStateAdvertisment)传送给某一区域内的所有路由器而运行距离向量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器每台IPv6路由器有效的通告各种LSA在所有路由器的LSA通告都完成以后，OSPFv3网络完成收敛过程OSPFv3允许在主干区域边界上进行路由信息汇总。通过创建区域，可以减小LSDB占用的空间。,5.3.2OSPFv3涉及到的技术,链路状态数据库OSPF区域和外部路由虚拟链路外部路由末节区域SA(StubArea)和次末节区域(NSSA),5.3.4IPv6的OSPFv3报文格式,OSPFv3使用五种类型的报文交互来实现链路状态数据库的同步、最短通路树的计算获得路由表,比特,类型,0,8,16,31,报文长度,版本,24,路由器ID,区域ID,校验和,实例ID,保留(0),IPv6首部下一个首部=89,OSPFv3首部,OSPFv3报文,5.3.10OSPFv3链路状态通告LSA,LSDB中的每个LSA由一个LSA首部和一个LSA主体构成在OSPFv3中有七种LSA每个LSA都以一个相同的20字节首部开始LSA首部可以惟一地标识每个LSA每一个LSA描述了路由域中的一个片段。有5类LSA。,OSPFv3报文的类型,5.4.3BGP4+协议简介,在BGP4+上支持IPv6路由器必须符合两个Internet技术文档对BGP-4的多协议扩展。BGP4+在BGP-4协议的基础上，把IPv6网络层协议的信息映射到NLRI和Next_Hop属性中，引入两个可选非传递NLRI属性：MP_REACH_NLRIMP_UNREACH_NLRI。分别用来通告可达路由和下一跳信息、撤消不可达路由。Next_Hop属性使用IPv6全球单播地址或下一跳的链路本地地址标识。BGP4+是一个路径向量协议，提供在自治系统之间自动交换无环路的路由信息。BGP4+使用TCP作为运输协议默认端口号为179。,OSPFv3的LSA首部格式,比特,0,8,16,31,链路状态类型,链路状态年龄,24,链路状态ID,公告路由器,链路状态序列号,链路状态校验和,长度,5.4.4BGP报文首部,IP首部,TCP首部,BGP首部,BGP报文,标记,长度,类型,首部的固定大小为19字节,BGP报文类型,5.4.7BGP的属性,BGP路径属性提供了广播的NLRI的附加信息每个路径属性都有一个2字节首部属性代码(AttributeCode)，占l字节定义了属性的类型。,5.4.9IPv6的BGP扩展,1999年为了使其它网络层协议也可以使用BGP-4，必须添加多协议NLRI及其下一跳(NextHop)信息。在BGP4的更新报文中增加了一些新的字段这些新的字段和属性称为BGP多协议扩展该BGP扩展的通常称为BGP4+或多协议BGPBGP4+的多协议扩展既可以支持IPv6协议也可以支持IPv4协议,第6章学习内容和要求,本章学习内容及要求要求了解IPv6安全问题的主要内容熟知IPv6中用到的加密机制及其特点熟知IPv6的安全要素掌握IPv6中的IPsec描述、实现和部署方法掌握IPv6中的认证、加密、密钥交换原理,6.1IPv6安全问题,6.1.1IPv6安全问题概述IPv6的安全脆弱性可以分为四类：实现和部署上的漏洞和不足，与IPv6协议有关的设计、算法和软硬件的实现离不开人的工作非IP层攻击，IPv6的安全仅作用在IP层，其它层出现对IPv6网络的攻击仍然存在。IPv4向IPv6过渡时期的安全脆弱性，IPv4网络和IPv6网络并存的环境以及过渡技术存在安全隐患。IPv6协议特有的脆弱性，例如无状态地址自动配置、ICMPv6和路径MTU发现PMTU、邻居发现协议进行IP地址和MAC地址的解析、移动IPv6中由错误绑定报文引起的拒绝服务攻击等，构成IPv6网络安全面临的新问题。,6.3IPv6的安全要素,6.3.1IPsec协议的功能IPsec的目标是提供既可用于IPv4也可用于IPv6的安全性机制。IPsec提供的网络安全功能包括：访问控制无连接的完整性数据源身份认证序列完整性中的抗重播保护有限传输流的保密性IPsec工作在主机、路由器、网关、防火墙等设备或安全位置上。,6.3.2IPsec框架,IPsec框架由6个截然不同的要素组成:IP安全体系结构，对网络层上安全需求和机制的一般性描述。封装安全载荷(ESP)，专门用于加密的安全要素，在RFC2406文档中定义。身份认证首部(AH)，专门用于验证的安全要素，在RFC2402文档中定义。加密算法，对加密和验证所使用的具体密码算法的定义。身份认证算法，对通信伙伴之间的安全策略和安全关联的定义。密钥交换协议，IPsec密钥管理，它是基于更一般的框架之上的密钥管理。,IPsec框架组成部分及联系,6.3.3IPsec安全关联SA,SA是两个通信实体经协商建立起来的约定决定了用来保护数据包安全的IPsec协议、转码格式、密钥以及密钥的有效存在时间等任何SA实施方案都要构建一个安全关联数据库SAD.SA中用到的参数包括：序列号；序列号溢出；抗重播窗口；生命期时间(存活期)；模式；隧道目的地。IPsec有两种不同类型的操作模式.,6.3.4IPsec安全策略,SA的实现涉及到两个安全数据库：安全关联数据库(SAD)安全策略数据库SPD(SecurityPolicyDatabase)在IPsec实施中，SA必须有管理依据和规则安全策略数据库SPD规定的策略决定着所有流进系统或从系统流出的IP流量的处理方式所有定义好的SA都保存在一个安全关联数据库(SAD)中通过一个由安全参数索引SPI(SecurityParameterIndex)、IP目的地址和安全协议(AH或ESP)标识符三部分组成的数值来识别,6.3.5IPsec部署,IPsec可以在终端主机之间、网关之间和路由器之间，或者主机与网关和路由器之间进行实施和配置IPsec若同时在终端主机和路由器配置可以针对不同的问题，给网络安全部署带来好处,IPsec的实施有三种方法,将IPsec作为IPv6协议栈的一部分来实现与操作系统OS集成实施将IPsec作为协议栈中的一块(BITS)来实现这种方法将特殊的IPsec代码插入到网络协议栈中，在网络协议栈的网络层和数据链路层之间实施还有一种方法是将IPsec作为线路的一块(BITW)来实现这种方法使用外部加密硬件来执行安全性处理功能,6.3.6IPsec存在的问题,IPsec的最大缺陷是复杂性，IPsec包含了太多的选项和太多的灵活性IPsec是通过专门工作组制定的一个开放标准框架该框架制定的过程中过多顾及到一些国家和大公司的利益，这给IPsec的实现带来一定的困难。目前各种IPsec产品之间的兼容性问题尚有待解决。另外，IPsec的使用会给网络传输性能带来影响。,6.6密钥交换(IKE)协议,6.6.1密钥交换协议概述网络的安全取决于密钥和密钥分配的安全，密钥分发属于密钥管理。密钥管理的内容有：密钥的产生、分配、注入、验证和使用。人们已经提出了以下几种公钥分配方案：公开发布；公开可访问目录；公钥授权；公钥证书。通过设立密钥分配中心KDC（KeyDistributionCenter），通过KDC来分配密钥。5种密钥交换模式有：主模式；积极模式；快速模式；信息交换；新组模式交换。,6.6.4Internet密钥交换(IKE),IKE可以被描述为一种协商协议，用于实现在不安全的网络环境中安全地建立或更新密钥。IKE是一个通用的协议，可以为IPsec协商安全关联也可以为SNMPv3、RIPv2、OSPFv2等任何需要保密的网络协议提供协商安全参数IKE利用ISAKMP中定义的数据格式基于OAKLEY和SKEME密钥交换机制来交换密钥和SA信息IKE使用属于ISAKMPSA的属性这些属性都是强制性的，并且必须进行协商,第7章学习内容和要求,本章学习内容及要求要求了解IPv6过渡时期的特点和面临的问题熟知双栈技术的工作原理和机制掌握隧道技术的工作原理和实现机制熟知协议转换技术的工作原理和实现方法掌握过渡技术分析和比较的方法,7.1IPv6过渡技术概述,7.1.1IPv6过渡期的特点过渡是指某一事物从一种状态逐步演化为另一种状态，或者逐步转变为另一事物。过渡的特征有两个：过渡需要一个过程，需要一定的时间；在过渡过程中，事物发生了质的变化，逐渐不同于原来的事物，过渡完成以后，演变成为新的事物。IETF推荐的转换机制有：双协议栈、隧道技术、翻译技术和NAT等。,过渡可以分为4个阶段,7.2双栈技术,7.2.1双栈技术工作原理IPv6/IPv4双协议栈技术是使IPv6网络节点具有一个IPv4栈和一个IPv6栈，同时支持IPv4和IPv6协议。,Dualstack,双栈图示,7.3隧道技术,7.3.1隧道技术概述隧道(Tunnel)是指将一种协议首部封装在另一种协议首部中，使得一种协议就可以通过另一种协议的封装进行通信。隧道技术的优点在于隧道的透明性。有两种隧道：手动配置隧道自动隧道隧道可以用不同的方式来实现可以是路由器一路由器、主机一路由器、主机一主机或路由器一主机,7.3.2隧道技术工作原理,隧道有两个端点一个是隧道入口点另一个则是隧道出口点,7.3.66to4机制,6to4也是一种自动构造隧道的机制这种机制要求站点采用特殊IPv6地址(2002:IPv4ADDR:/48)。这种地址是自动从站点的IPv4地址派生出来的。6to4机制允许在采用6to4的IPv6站点和纯IPv6站点之间通过中继路由器(6to4RelayRouter)进行通信这时不要求通信的两个端点之间具有可用的IPv4连接，中继路由器建议运行BGP4+,Automatictunnels,Configuredtunneling,配置隧道,Automatictunneling,自动隧道,6to4tunnels,6over4,UsefulwithinoneorganisationUsesNeighborDiscoveryoverIPv4multicasttoreachneighborsTheIPv4multicastcloudbecomesoneflatIPv6VirtualEthernet,7.3.7ISATAP,ISATAP是站点内自动隧道寻址协议，用来为没有IPv6路由器的IPv4内部网中的IPv6节点提供IPv6连接。通过ISATAP配置，不需要有IPv6路由器就可以在内部网络中、防火墙之后部署IPv6。,7.4协议转换技术,7.4.1NATNAT有三种类型：静态NAT；动态NAT；网络地址端口转换NAPT。对于IPv4向IPv6过渡机制来讲，这里的内网和外网可以分别对应IPv4网络或IPv6网络。NAT网关使用一个IPv4地址池，并把这些地址和相应IPv6地址绑定在一起不需要对终端节点做任何修改,第9章学习内容和要求,本章学习内