移动IP技术 第七讲 移动IPv6协议.ppt

,第七讲：移动IPv6协议,移动IP技术,mobileIP,本讲内容移动IP技术,移动IPv6的报文格式,网络安全入门,1.1IPv6的报头格式,1.1IPv6的报头格式,Nextheader:紧接着的扩展头类型,1.1.1IPv6的扩展头,扩展头(按照它在IPV6包中的顺序)包括:0：逐跳选项头(Hop-by-HopOptionsheader)60：目的选项头(DestinationOptionsHeader)43：路由头(RoutingHeader)44：分段头(Fragmentheader)51：认证头(Authenticationheader)50：ESP头(EncapsulatingSecurityPayloadHeader),60：目的选项头(DestinationOptionsheader)*xx:上层协议头(Upper-layerHeader)4：IPv46：TCP17：UDP41：IPv658：ICMPv659：没有扩展头,1.1.1IPv6的扩展头,135：移动头(Mobileheader),1.2移动IPv6中的报文,移动头承载移动消息2类路由头CN用来指示MN家乡地址家乡地址目的地选项MN指示家乡地址新ICMPv6消息扩展移动IP功能移动IP路由通告通告路由器对移动性支持,移动IPv6的消息类型,作用：1、通告MN当前可达的路由器2、通告MN如何配置自己的IP地址3、H(HomeAgent)：该路由器可作为该链路上的家乡代理,家乡代理路由通告（ND）,1.2.1移动检测过程中的报文,我在哪？,路由通告基本功能,1.2.2移动IPv6地址配置,M：确定主机的地址配置方式，决定是否更新地址生命期信息0通过无状态方式配置地址1通过全状态方式配置地址及其他配置信息01通过全状态方式配置地址及其他配置信息10无效。继续使用全状态方式配置地址,通过M位和O位的设置确定MN地址配置机制：,O：0通过无状态方式配置其它信息1通过全状态方式配置除地址外的其他配置信息（M位为0）01通过全状态方式配置除地址外的其他配置信息（M位为0）10无效。继续使用全状态方式,1.2.2移动IPv6地址配置,可分配的地址类型：link_local（只能无状态分配）site_local（已废除）global,无状态地址自动配置方式,地址生成过程：1）主机生成子网中可唯一识别的接口标识符2）路由器通告可识别子网链路的前缀前缀选项3）IPv6地址=通告前缀+接口标识符4）重复地址检测(DAD),1.2.2移动IPv6地址配置,全状态地址自动配置方式(DHCPv6),四条消息方式,两条消息方式,通告间隔选项用于家乡代理路由通告消息，通告本链路非请求的路由通告间隔时间，主要用于移动检测算法,Type(8bit)：7Reserved(16bit)：保留；Length(8bit)：1（以8字节为单位）Advertisementinterval(32bit)：通告间隔时间,1.2.3移动IP路由通告选项,Type(8bit)：8Reserved(16bit)：保留；Length(8bit)：1（以8字节为单位）HomeAgentPreference(16bit)：值大的优先级高HomeAgentLifetime(16bit)：以秒为单位不许用0,家乡代理信息选项作为HA的路由器在路由通告中携带该选项，同于通告HA的功能,1.2.3移动IP路由通告选项,R：设置该位说明prefix域中给出的是一个完整的发送路由器的IP地址，前缀由前缀长度定义。,前缀信息选项作为HA的路由器在路由通告中至少包括一个前缀信息选项，同于通告HA的前缀,1.2.3移动IP路由通告选项,关于路由通告的频率,支持移动IPv6的R应配置接口发送路由通告的频率，以确保MN快速判断移动性允许值：min0.03smax0.07s一般设为0.05s某些无线接入的网络可通过下层协议探测移动性和链路变化，不需要定期路由通告,1.2.4移动IP路由通告说明,1.3注册过程中的报文,移动头承载移动消息的扩展头,由前一头部的nextheader域135表示；必须是最后一个IP扩展头；用于MN、HA、CN交换移动IPv6协议消息报文不能与2类路由头同时使用不能与家乡地址目的地选项同时使用,Payloadproto(8bit):下一协议域，必须为59Headerlen(8bit):（以8字节为单位）MHtype(8bit):移动消息类型（8种）Reserved(8bit):保留位Checksum(16bit):校验和（采用伪首部校验和）Massage(8bit):消息内容（包括移动选项）,1.3.1移动头报文格式,1.3.1.1IPv6中的伪首部校验,IPv6伪首部结构,1.3.1.1IPv6中的伪首部校验,Sourceaddress(128bit)：IPv6头中的源地址Destinationaddress(128bit)：IPv6头中的目的地址Upper-layerpacketlengtn(32bit)：上层包长度Nextheader(8bit)：采用伪首部校验的协议头TCP-6ICMP-58UDP-17MIPv6-2,说明：,1.3.1.1IPv6中的伪首部校验,IPv6伪首部校验和计算方法,1、将上层协议头中的校验和置为02、伪首部、上层协议头、协议数据连在一起并添加零组成长度为16整数倍的报文，然后分成16比特的段，取各个段的反码进行异或运算并求和的反码，即为校验和填入上层协议头中3、伪首部仅用来计算校验和，并不随报文一起传输，真正传输的报文是IP包,1.3.1.2移动IPv6中的伪首部校验,伪首部中源/目的IP地址使用IP头中的源/目的IP地址当移动节点离开家乡链路，如果移动消息带有家乡地址目的地选项，则伪首部头中用家乡地址作为源IP地址上层包长度是整个移动头的长度(包括移动消息和选项)Nextheader域值为2,1.3.2移动IPv6消息类型,0：绑定更新请求(BindingRefreshRequest)1：家乡测试初始(HomeTestInit)2：转交测试初始(Care-ofTestInit)3：家乡测试(HomeTest)4：转交测试(Care-ofTest)5：绑定更新(BindingUpdate)6：绑定确认(BindingAcknowledgement)7：绑定错误(BindingError),MHtype(8bit):移动消息类型（8种）：,移动头中MHType=5表示BU消息MNCN，MNHA，通告MN最新的转交地址该消息中，必须带家乡地址目的地选项,1.3.2.1绑定更新消息(BU),通告我的位置是xxxx,A：请求绑定确认位;H：家乡注册位；L：Link-local地址兼容位；K：该位仅在发到HA的BU中有效，清0说明需重新运行IPsec安全联盟Sequence#：发送的BU序号；Reserved：保留；Lifetime：以4秒为单位，指示绑定期；,说明：,1.3.2.1绑定更新消息(BU),绑定授权数据选项（发给CN的BU中是必选项）NonceIndices选项（仅在发给CN的BU中，与上一选项同出）AlternateCare-ofAddress选项（源地址或选项选其一）若无选项，必须加4字节填充，使移动头中headerlen=1,选项说明：,1.3.2.1绑定更新消息(BU),移动头中MHType=6表示BA消息；CNMN,HAMN,接收到BU的确认；,1.3.2.2绑定确认消息(BA),Status：小于128接受，大于等于128拒绝；K：清0表示需重新运行Ipsec安全联盟Reserved：保留Sequence#：从BU中拷贝的序号Lifetime：指示绑定缓存中应该维持的时间；,说明：,1.3.2.2绑定确认消息(BA),绑定授权数据选项绑定刷新建议选项若无选项，需填充4字节使移动头中headerlen=1。,选项说明：,1.3.2.2绑定确认消息(BA),0BindingUpdateaccepted1Acceptedbutprefixdiscoverynecessary128Reasonunspecified129Administrativelyprohibited130Insufficientresources131Homeregistrationnotsupported132Nothomesubnet,BA指示的状态：,1.3.2.2绑定确认消息(BA),133Nothomeagentforthismobilenode134DuplicateAddressDetectionfailed135Sequencenumberoutofwindow136Expiredhomenonceindex137Expiredcare-ofnonceindex138Expirednonces139Registrationtypechangedisallowed,BA指示的状态：,1.3.2.2绑定确认消息(BA),1.3.2.3家乡测试初始消息(HoTI),移动头中MHType=1表示HoTI消息；MNCN；MN用来初始化“返回路径可达测试”通过HA与MN之间的隧道发送，由IPsecESP隧道模式实现。,Reserved：保留；Homeinitcookie：64位随机值；选项：可扩展，目前没有若无选项，移动头中headerlen=1;,说明：,1.3.2.3家乡测试初始消息(HoTI),移动头中MHType=2表示CoTI消息；MNCN；MN用来初始化“返回路径可达测试”，向CN请求Care-ofkeygentoken；,1.3.2.4转交测试初始消息(CoTI),Reserved：保留；Care-ofinitcookie：64位随机数；选项：可扩展，目前没有若无选项，移动头中headerlen=1;,说明：,1.3.2.4转交测试初始消息(CoTI),1.3.2.5家乡测试消息(HoT),移动头中MHType=3表示HoT消息；CNMN，是对HoTI消息的响应消息；注：需要经过HA的处理,HomeNonceIndex：MN在BU消息中返回HomeInitCookie：HoTI消息中的64位CookieHomeKeygenToken：64位令牌选项：可扩展，目前无选项无选项时移动头中headerlen=2,说明：,1.3.2.5家乡测试消息(HoT),1.3.2.6转交测试消息(CoT),移动头中MHType=4表示CoT消息；CNMN，是对CoTI消息的响应消息；,Care-ofNonceIndex：MN在BU消息中返回Care-ofInitCookie：64位CookieCare-ofKeygenToken：64位令牌选项：可扩展，目前无选项无选项时移动头中headerlen=2,说明：,1.3.2.6转交测试消息(CoT),1.3.2.7绑定错误消息(BE),移动头中MHType=7表示BE消息只有CN发送的消息，向MN报告错误,Status：错误原因1家乡地址目的地选项无对应绑定2无效的MHType类型Reserved：保留；Homeaddress：选项中的家乡地址；选项：可扩展，目前无选项无选项时移动头中的headerlen=2；,说明：,1.3.2.7绑定错误消息(BE),1.3.2.8绑定更新请求消息(BRR),移动头中MHType=0表示BRR消息CNMN(always)发送给MN的家乡地址用于向MN请求更新CN的移动绑定,Reserved：保留；选项：可扩展，目前没有无选项时移动头中headerlen=0,说明：,1.3.2.8绑定更新请求消息(BRR),1.3.3路由头,由前一个扩展头中Nextheader=43表示,路由头格式,Nextheader(8bit)：遵循IPv6扩展头编码HdrExtLen(8bit)：8字节为单位路由头类型(8bit)：标识不同类型的路由头，移动IP中使用2SegmentsLeft：路由中还没有访问的节点,1.3.3路由头,说明：,0类路由头(type0RoutingHeader):,1.3.3.10类路由头,地址列表就是该报文途经的中间节点源节点的目的地址是第一个中间节点地址数据包每经过一个中间节点，都由该节点提取路由头中的下一个中间节点地址，将其替换到IPv6包的目的地址列表中的最后一个地址就是最终节点的地址,含有0类型路由头的IPv6包说明：,1.3.3.10类路由头,2类路由头(type2routingheader),1.3.3.22类路由头,HdrExtLen：2RoutingType：2SegmentLeft：1Reserved：保留Homeaddress：MN的家乡地址,说明：,1.3.3.22类路由头,CN将MN的转交地址作为优化路由分组的目的IP时使用，在HA的移动前缀通告中使用将MN的家乡地址放在2类路由头中；2类路由头按照IPv6扩展头顺序排列，若与0类路由头同时出现，跟在0类路由头后面,2类型路由头说明：,1.3.3.22类路由头,目的地选项头,由前一个扩展头中nextheader=60表示家乡地址选项,type=201=0 xC9length=16,1.3.4家乡地址目的地选项,1.3.5移动IPv6消息的使用,Internet,家乡代理(HA),移动节点(MN),通信节点(CN),网络前缀:2002:0/64,网络前缀:2001:0/64,1,2,网络前缀:2005:0/64,家乡地址:2002:14/64,路由通告,转交地址:2005:25/64,家乡测试初始消息(HoTI),家乡测试消息(HoT),家乡测试初始消息(HoTI),10,HA1,1.4.0家乡代理地址发现,MN,HA2,HA3,ICMP家乡代理地址发现请求消息ICMP家乡代理地址发现响应消息ICMP移动前缀请求消息ICMP移动前缀通告消息,1.4新ICMPv6消息,MNHA；用于初始化动态家乡代理地址发现机制源IP地址：MN当前的转交地址目的IP地址：移动IPv6家乡代理任播地址(根据家乡地址生成)发送该消息的MN当前没有在HA注册。,1.4.1家乡代理地址发现请求消息,Type：144Code：0Chechsum：ICMP校验和Identifier：用于请求和响应消息的匹配Reserved：保留,说明：,1.4.1家乡代理地址发现请求消息,HAMNHA响应MN的代理地址发现请求HA地址列表长度（HA地址数）由IP包的剩余长度决定,1.4.2家乡代理地址发现响应消息,Type：145Code：0Checksum：ICMP校验和Identifier：用于请求和响应消息的匹配Reserved：保留；HomeAgentAddress：HA地址（可有多个）,说明：,1.4.2家乡代理地址发现响应消息,1.4.3任播地址(RFC2526),定义：被分配给一个或者多个网络接口的IPv6地址，发给这个IPv6地址的分组会按照地址距离量协议传到所有具有这个IPv6地址的网络接口中最近的一个,组成：MN家乡地址64bit子网前缀+EUI-64格式的接口标识符,1.4.3.1移动IPv6家乡代理任播地址,64位的接口标识符格式如下：,MNHA，请求家乡链路前缀信息源IP地址：MN的转交地址目的IP地址：HA的地址HopLimit域与普通IP包一样必须包括家乡地址目的地选项必须支持ESP,1.4.4移动前缀请求消息,Type：146Code：0Checksum：ICMP校验和Identifier：用来响应消息的匹配Reseved：保留,说明：,1.4.4移动前缀请求消息,HAMN，向离开家乡链路的MN通告家乡链路的前缀信息；可作为移动前缀请求消息的响应，也可根据HA的策略向注册的MN发送；,1.4.5移动前缀通告消息,源IP地址：MN希望的HA地址目的IP地址：1)响应消息请求消息源地址2)非响应消息MN的转交地址必须用2类路由头必须支持IPsecESP,1.4.5移动前缀通告消息,Type：147M、O:与路由通告中的M、O位意义相同Code：0Reserved：保留；Chechsum：ICMP校验和Options：选项（前缀信息选项）Identifier：用于于请求消息匹配,说明：,1.4.5移动前缀通告消息,Type通告范围：移动前缀通告可向本链路以外发送；路由通告只限于本链路移动前缀通告全部是单播包；路由通告是单播或组播包移动前缀通告的源IP地址是HA的global地址；路由通告的源IP地址是link-local地址,1.4.6移动前缀通告与路由通告的比较,本讲内容移动IP技术,移动IPv6的报文格式,网络安全入门,安全的基本概念因特网中使用的安全协议防火墙,2网络安全入门,机密性(Confidentiality)认证(Authentication)完整性检查(IntegrityChecking)不可抵赖(Non-Repudiation),2.1安全