IPv6及移动IP技术PPT演示课件

第五章IPv6及移动IP技术,1,一、IP协议简介,2,TCP/IP是网络通信的基础TCP/IP是异种网互联的关键,3,1、为什么协议要分层,1）网络互联的要求2）分而治之，将问题简化,4,2、TCP/IP模型与ISO的参考模型,1、ISO/OSI（InternationalStandardOrganization/OpenSystemInterconnec-tion)参考模型物理层涉及在物理信道上传输原始比特，处理与物理传输介质有关的机械的、电气的和过程的接口。数据链路层分为介质访问控制（MAC）和逻辑链路控制（LLC）两个子层。,5,网络层负责将数据从物理连接的一端传到另一端，即所谓点到点通信。传输层提供进程间通信机制和保证数据传输的可靠性。会话层会话管理、传输同步以及活动管理等。表示层信息转换，包括信息压缩、加密、与标准格式的转换,6,应用层提供最常用且通用的应用程序,7,2、TCP/IP四层模型应用层向用户提供一组常用的应用程序传输层(TCP)格式化信息流提供可靠传输网间网层(IP)处理来自传输层的分组发送请求,8,处理输入数据报处理ICMP报文网络接口层链路驱动层,9,3、IP：无连接数据报,1、IP层的地位和特点IP的重要功能是将底层协议屏蔽，向上提供一致性。IP本身是不可靠的。IP协议是点到点的,10,4、IP数据报,两层含义：无连接数据报传输机制和无连接服务数据单元及其格式,11,5、TCP/IP数据报格式,12,版本与协议类型长度头标长、总长服务类型与优先权034567,13,6、数据传输机制,封装,分片,14,分片重组分片控制TimeToLive(TTL),15,7、IP数据报选项,源路径(sourceroute)路径记录(recordroute)时戳（timestamp),16,8、IP数据报寻径,路由表IP对出入数据报的处理1）外出数据报2）进入数据报网关主机,17,二、Internet控制报文协议(ICMP）,18,ICMP的起源ICMP与IP关系,19,ICMP的起源,由於TCP/IP是一个开放式的网路环境,其动态性极高.在任何时候您都不能确定对方是否连上网路或是离开网路了。所以在传递资料封包之前要确定对方是存在的以及路由路径是可靠的就变得非常重要了。,20,ICMP的目的,就是让我们能够检测网路的连线状况也能确保连线的准确性,其功能主要有侦测远端主机是否存在。(ping)建立及维护路由资料。(tracert)重导资料传送路径。(route)资料流量控制。,21,PING,检查网路是否连接成功如果ICMP分组因某些原因(如火墙的过滤)不能到达目的端或是目的端不愿回答或是回应给挡下来了，PING就不能顺利完成，但并非代表连线不行,22,TRACEROUTE,判断分组的路由路线分组的路由在每次的传递过程中都可能不一样在某些多路由环境中查询路由和回应路由未必一致在防火墙的保护下有些ICMP分组会被拦下来,23,ICMP与IP关系,是IP层的附属协议，IP层用它来与其他主机或路由器交换错误报文和其他重要控制信息。ICMP的数据报是封装在IP分组的数据部分被传输的。,24,1、ICMP的格式,ICMP报文格式类型差错报文、控制报文、请求/应答报文等代码关于报文类型的进一步信息校验和,25,2、ICMP差错报文,信宿不可到达报告超时报告参数出错报告,26,3、ICMP控制报文,拥塞控制和源抑制报文抑制信源机发出数据报的速率路径控制与重定向报文保证主机有一个动态的、最优的寻径表,27,4、ICMP请求/应答报文,双向传输请求/应答方式1）回应请求与应答2）时戳请求与应答时钟同步协议3）地址模请求与应答,28,三、IP地址,29,是对不同物理网络技术的一种统一具有唯一性IP地址是有结构的,30,1、地址类型,地址分类的标准是：网络规模点分十进制表示,31,2、地址分类,A类：网络号第1字节0127B类：网络号第2字节128191C类：网络号第3字节192223D类：多目地址E类：保留地址,32,私有IP地址块-55-55-55,33,3、特殊IP地址,广播地址主机号各位全为“1”，用于广播有限广播32位全为“1”，用于本网广播“0”地址所有位全为“0”的网络号被解释为本网络,34,回送地址A类网络地址127作为保留地址，用于网络软件测试,35,4、子网划分和子网掩码,1）现有编址方式的缺陷：网络号+主机号的方式导致了IP地址的极大浪费在因特网中，网络地址管理负担太大网关寻径表急剧膨胀,36,2）子网编址二级结构三级结构,37,3）子网模或子网掩码子网掩码是一种机制主机位当主机位长度为n时，则0和作为保留，0用来标识子网号，另一个是子网广播地址,38,确定子网地址和主机地址子网地址：掩码中为“1”的部份主机地址：对应掩码中为“0”的部份,39,地址解析,1）ARP协议IP地址物理地址表格方式直接映射动态联编,40,2）RARP协议物理地址IP地址3）ARP/RARP协议的实现作为一般数据封装在物理帧数据区,41,四、IPv6：下一代互联网和移动通信的灵魂,是继以后，协议的一个新版本。,42,1、IPv4的局限性,地址空间的浪费过度的路由负担在新的应用的性能和安全性方面,43,地址空间的浪费,理论上说，有超过20亿个地址，但实际上由于分级地址管理，浪费了上千万的地址，特别是B类地址。对于大多数机构，一个B类网络的65536个地址太大了，而且B类地址的首部不足以为Internet内的所有中型网络编址。一个合理的建议是用C类网络代替B类网络，由于C类地址有256个本地标识符，效率会高一些。,44,为了缓解地址紧张的状况，后来人们采用了网络地址转换（NAT）技术和无分类域间路由（CIDR）技术，但是这些技术打破了IP协议端到端的自然属性，并使得路由表将占满路由器的内存空间，有可能导致网络瘫痪。,45,因特网的地区性注册机构（RIR）,ARIN，APNIC和RIPE的IPv4地址分配非常不平衡：ARIN（theAmericanRegistryforInternetNumbers）负责南、北美洲及非洲的一部分地区的地址分配：获得74；RIPENCC(ReseauIPEuropeens）负责欧洲、中东和非洲的一部分地区：获得17；APNIC(theAsia-PacificNetworkInformationCenter)负责亚洲、太平洋地区的地址分配：获得9。,46,过度的路由负担,在互联网中，外部路由是以网络数为基础的，使用C类地址意味着分配更多的网络，路由器要记录更多的表项，从而影响了外部路由协议的性能。,47,新的应用的性能,IPv4的数据包最大只能是64k字节，这对一些需要高速、实时传输的应用，如多媒体应用是不够的。,48,安全性方面,IPv4不能提供路由器级的安全性，这对诸如电子商务等对安全性要求很高的应用也是不够的。,49,IPng与IPv6,Ipng(IP-thenextgeneration):有关下一版IP的所有讨论和建议;IPv6:IETF（InternetEngineeringTaskForce，互联网工程专门工作组）所提出的特定的建议。实际上是增强的简单因特网协议SIPP（SimpleInternetProtocolPlus）。,50,2、IPv6的主要特点,51,保持了IPv4的大多数概念,支持无连接的传递，允许发送方选择数据报的大小，要求发送方指明数据报在到达终点前的最大跳数，以及大部分选项等。,52,改变了IPv4的许多细节,使用更大的地址空间，尤其是IPv6修订了IPv4的数据报格式，用一系列固定格式的首部取代了IPv4中可变长度的选项字段。,53,IPv6数据包头的主要特性如下：,54,.1无限的地址空间,IPv6的地址域是128bit的，可能的地址数是2128个。IPv4一样，IPv6把一个地址与一个特定的网络连接关联，一个IPv6路由器有多个地址，而具有一个网络连接的主机只需一个地址。为了地址分配和修改的方便，IPv6允许给一个给定的网络指派多个前缀，也允许对一个主机的给定接口同时指派多个地址。IPv6还扩充或者说统一了IPv4的特殊地址。,55,一个报文的目的地址可归为以下三类:,Unicast单播：目的地址指明一个单一的计算机，数据报将选择一条最短的路径到达目的站。Cluster群播：目的站是共享一个地址前缀的计算机的集合，数据报将选择一条最短的路径到达该组，然后只投递给组中的一个成员。Multicast多播：目的站是一组计算机，数据报将通过硬件组播或广播投递给每一个成员：,56,.2头部的简化和可扩展性,IPv6的另一个主要进步就是对包头的简化，尽量避免那些很少使用的域静态地占用空间。它仅包含7个字段（IPv4有13个）。这使路由器处理分组的速度加快，提高了吞吐率。,57,IPv6数据包头中的“NextHeader”域，它指向数据包头的扩展部分，这样便可以在如此简单的结构里提供很多可选的特征。同IPv4一样，IPv6允许数据报包含可选的控制信息，但在IPv4头中必需的字段现在只是IPv6的选项。而且，选项出现在扩展头部中，使路由器可以简单的跳过选项，加速了分组处理的过程。另外还包含了IPv4所不具备的选项，可以提供新的设施。,58,.3安全性的提高,IPv6利用数据包头的扩展部分可以提供路由器级的安全性:IPv6中强制性的安全性包括两方面的内容。,59,一方面，IPv6数据包的接收者可以要求发送者首先利用IPv6认证头（数据包头的扩展部分）进行“登录”，然后才接收数据包，这种登录是算法独立的，可以有效地阻止网络“黑客”的攻击。另一方面，利用IPv6的封闭安全头（数据包头的扩展部分）加密数据包，这种加密也是算法独立的，这意味着可以安全地在Internet上传输敏感数据，不用担心被第三方截取。,60,.4高性能和高QoS,加长的“PayloadLength”使IPv6的数据包可以远远超过64k字节，应用程序可以利用最大传输单元（MTU）特征获得更快、更可靠的数据传输。,61,“Flowlabels”域极大地改善了IPv6的服务质量。一个“流”是从一个源节点发送的多个数据包。“Flowlabels”域允许源节点排列流各数据包的逻辑顺序，路由器便可以维护此流的前后关系，这样便有可能优化传输性能和拥塞管理。,62,IPv6vs.IPv4,IPv6提供很多新的、重要的特征，但是演进到IPv6需要更改IPv4上的应用程序、主机和路由器，例如动态主机配置协议（DHCP）、BOOTP和域名系统（DNS）等，而这种更改是一项巨大的系统工程。,63,如果可以增强IPv4克服它的弱点，是否有必要进行演进?,IPv6提供的优势是明显的，在欧美几年前就有很多IPv6实验网出现，目前有很多公司已经宣布支持IPv6根据专家们的估计，目前IPv4的可用地址会在20002018年之间用完，IPv6的时代即将到来。,64,3、IPv4向IPv6的演进技术,为了保护在IPv4上的大量投资，IPv6应该能与IPv4的主机和路由器共存。对Internet上所有IPv4节点的演进不可能在同一时刻完成，IPv6必须与IPv4兼容，对IPv4网络节点的演进才能根据实际情况逐步地进行。,65,演进目标是所有的网络节点都运行IPv6，充分发挥IPv6在地址空间、性能和安全性等方面的优势。,66,.1IPv6IPv4双协议栈(stack)技术,双栈机制就是使IPv6网络节点具有一个IPv4栈和一个IPv6栈，同时支持IPv4和IPv6协议。,67,IPv6和IPv4是功能相近的网络层协议，两者都应用于相同的物理平台，以及承载相同的传输层协议TCP或UDP，如果一台主机同时支持IPv6和IPv4协议，那么该主机就可以和仅支持IPv4或IPv6协议的主机通信。,68,.2隧道(tunneling)技术,隧道机制就是必要时将IPv6数据包做为数据封装在IPv4数据包里，使IPv6数据包能在已有的IPv4基础设施（主要是指IPv4路由器）上传输。,69,起因,随着IPv6的发展，出现了一些被运行IPv4协议的骨干网络隔离开的局部IPv6网络，为了使这些IPv6网络之间通信，必须采用隧道技术。,70,实现,隧道对于源站点和目的站点是透明的，在隧道的入口处，路由器将IPv6的数据分组封装如IPv4中，该IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址，在隧道出口处，再将IPv6分组取出转发给目的站点。,71,优点,隧道技术的优点在于隧道的透明性，IPv6主机之间的通信可以忽略隧道的存在，,72,说明,隧道只起到物理通道的作用。隧道技术在IPv4向IPv6演进的初期应用非常广泛。隧道技术不能实现IPv4主机和IPv6主机之间的之间通信。,73,.3网络地址转换技术,网络地址转换（NetworkAddressTranslator，NAT）技术：将IPv4地址和IPv6地址分别看作内部地址和全局地址，或者相反。,74,例子,内部的IPv4主机要和外部的IPv6主机通信时，在NAT服务器中将IPv4地址（相当于内部地址）变换成IPv6地址（相当于全局地址），服务器维护一个IPv4与IPv6地址的映射表。当内部的IPv6主机和外部的IPv4主机进行通信时，则IPv6主机映射成内部地址IPv4主机映射成全局地址。NAT技术可以解决IPv4主机和IPv6主机之间的互通问题。,75,4、与移动通信,标准的已经决定在下一代移动技术的基本协议中采用。手机将率先正式使用(?)。如果手机电话业务中配备，那么很可能在短时间内几亿手机用户将成为的用户。在这个意义上来说，手机电话的化能否顺利发展决定了的未来。反过来，也推动了一些相关标准的发展例如：、。,76,具有以下的内容和特点：,足够的地址：提供了巨大的互联网地址空间，可以为世界上每台电子装置分配一个互联网地址；足够的安全性：鉴权头、位置跟新绑定、解决重定向问题、封装的安全加载；地址自动配置：无国籍地址的自动配置、路由前缀地址、本地地址变为全球地址、有国籍地址的探测（）、移动性检测；路由优化；,77,目标地址选择；减少软状态；改进消息。只返回个字节的有效载荷。因此纠错能力弱，永远无法发现断掉的链路，而的头足够长，可以解决这些问题；,78,MobileIPv6与AAA。与IPv4中的AAA相比IPv6有以下不同：（）用路由器替代了域外代理；（）增加了区域注册，准备用或边界路由器来实现该功能；（）包头压缩。IPv6的密钥管理包括：（）需要平滑过渡；（）路由器和移动节点的公共密钥；（）密钥交换；（）与区域注册的交互。,79,5、IPv6的发展现状和未来,年月日，诺基亚公司推出了世界上第一个支持的端到端的网络。该网络的推出是迈向新一代移动网络的重要一步。,80,IPv6活动的温床是在欧洲和亚洲，而不是在美国，“地址空间的匮乏是最主要的推动力”。,81,美国微软公司已开始无偿颁发软件。虽然该软件只是试验版本（产品版和版以前的试验开发版本），但它强化了和之间的对应。在此之前，首次公布了在“”上标准装备了的最新版“”。美国的公司也将公开与相对应的操作系统。开始越来越接近我们。,82,欧洲的3G将在23年内步入实际应用阶段，为了抓住这一发展的契机，欧洲的各大厂商和运营商都对IPv6寄予了厚望并竭尽全力对它进行推广和研究，如诺基亚、爱立信、英国电信等公司一直都是IPv6研究方向的主要引导者。,83,全世界只有日本的设备厂商提供IPv6的硬件支持，如NEC、日立、富士通，而且日本已经有10多家ISP提供IPv6业务，如WIDE的NSPIXP6等。,84,操作系统对IPv6的支持路由器对IPv6的支持,85,IPv6最终的成功应该是移动网、固定网和因特网建立在同一个IPv6的核心网络之上,86,五、中国IPV6发展展望,87,1.中国IP网的现状,国务院批准的拥有国际出口的互连网单位已经有8家：中国电信网（CHINANET）中国联通网（UNINET）吉通公司网（CHINAGBN）中国网通网（CNCNET）中国移动网（CMNET)中国教育网（CERNET）中国科技网（CSTNET）中国经贸网（CIETNET)（其中中国教学网（CERNET）、中国科技网（CSTNET）、中国经贸网（CIETNET)是非经营性网络。）,88,国际出口带宽2799Mbps（其中，CHINANET1953M、CNCNET377M、CHINAGBN148M、UNINET55MCERNET117M、CSTNET55M，CMNET90M、CIETNET4M）。用户数2250万（其中，专线用户364万、拨号用户1543万、专线拨号混合用户343万、其他92万）。WWW站点数约265405个。,我国互连网的现状（续）(2001.1.17),89,中国IPV6的发展展望,1.中国将会是IPV6大国中国的人口基数大；经济发展迅速，国力日益增强；IP业务需求基础已经建立；地址缺乏已严重制约发展；实时IP业务已大规模商用；实时移动业务有需求；QOS问题急待解决。,90,中国将会与各国合作发展IPV6网,中国有这种需求；各国有这种愿望；标准化工作必须同行。,91,六、移动IP技术,92,移动IP,目前唯一可以在Internet上为移动计算机提供无缝漫游的协议，突破了计算机机房、电话插座和地域等的限制，使人们能够随时、随地、更加灵活地访问互联网、企业局域网（LAN）等，以便及时获得所需信息和进行商务活动。,93,IETF移动IP的技术规范,RFC2002（IP移动性支持）、RFC2003（IP内的IP封装）、RFC2004（IP内的最小封装）、RFC2290（用于PPPIPCP的移动IVv4配置选项）。,94,移动IP协议（RFC2002）,定义了移动节点（MobileNode）、本地代理（HomeAgent）和外地代理（ForeignAgent）三种功能实体。,95,移动节点,是一台主机，也可以是移动网络中的一台路由器，它在切换链路时不改变IP地址，也不中断正在进行的通信。每个移动节点有两个地址：本地地址和转交地址（Care-of-Address）。本地地址是移动节点的IP地址，当移动节点在互联网上移动时，它的本地地址是不变的；转交地址是连接本地代理和移动节点的隧道的出口，当移动节点切换到外地链路时，转交地址也随之而改变。,96,97,本地代理,连接移动节点的本地网络的主机或路由器。一个移动子网路由器，它是移动节点本地（不变）IP所属网络（本地网络）的代理，其任务是当移动节点离开本地网，接入某一外地网时，截收发往移动节点的数据包，并使用隧道技术将这些数据包转发到移动节点的转发节点。本地代理还负责维护移动节点的当前位置信息。,98,外地代理,连接移动节点的外地网络的主机或路由器。外地代理位于移动节点当前连接的外地网络上，它向已登记的移动节点提供选路服务。当使用外地代理关照地址时，外地代理负责解除原始数据包的隧道封装，取出原始数据包，并将其转发到该移动节点。对于那些由移动节点发出的数据包而言，外地代理可作为已注册的移动节点的默认路由器使用。,99,移动IP的基本功能：,代理搜索：移动节点通过代理搜索确定它的当前位置，并获得一个转交地址。注册：通过这个过程，移动节点向外地代理请求服务，并把它的转交地址通知本地代理。数据转发：当移动节点连接在外地网络上时，为它发出的或发往它的数据进行路由选择。,100,101,102,移动IP的工作机制,1）移动节点通过发送代理请求或通过接收本地代理和外地代理发送的代理广播信息确定自己是连在本地网络还是外地网络上。如果是连在本地网络上，移动节点就可像固定节点一样工作，即它不再利用移动IP的其它功能；,103,2）如果移动节点连在外地网络上，它就从外地代理广播的代理广播信息中找到外地代理的转交地址，同时向本地代理注册得到的转交地址(途中可能经过外地代理)。本地代理通过向移动节点发一条注册应答信息来通知对它的请求的处理接收或拒绝；,104,3）注册完成后，本地代理截获发往移动节点的数据分组，封装后通过隧道将数据分组送到移动节点的转交地址。在那里数据分组被从隧道中取出，送往移动节点；,105,4）相反，由移动节点发出的数据分组通过标准的路由选择技术直接发送到目的节点而无需隧道技术。对移动节点的数据分组来说，外地代理完成默认路由器的功能。,106,移动IP与传统IP的区别,传统IP技术的主机使用固定的IP地址和TCP端口号进行通信。在通信过程中，其IP地址和TCP端口号必须保持不变，否则IP主机之间的通信将无法进行下去。移动IP主机在通信期间可能需要在网络上移动，其IP地址也许会经常发生变化。,107,如果采用传统方式，IP地址的变化将会导致通信中断。移动IP技术引用了处理蜂窝移动电话呼叫的原理，使移动节点采用固定不变的IP地址，一次登录即可实现在任意位置上保持与IP主机的单一链路层连接，使通信持续进行。,108,10.15,109,移动IP的扩展,110,新外地代理的选择,当移动节点离开本地网络（或越区切换）时，如何选择一个新的外地代理？,111,对于无线网络的某一物理点，一般有多个外地代理能够覆盖到。如果MN不是随机地选取一个FA，而是通过某一合理的策略作出选择，它将会改善其Internet连接和提高吞吐量。,112,外地代理的选择策略：,1根据外地代理的广告速率作出选择；2根据外地代理访问列表中已关联的移动节点的数目选择；3根据移动节点与待选代理的链路延迟选择；4根据外地代理的通信信道的信号强度选择；5根据外地代理通信信道的信号强度的变更选择；6根据外地代理通信信道的信噪比选择。,113,4、5、6：针对无线通信信道的特性提出的，机理相近，但各不相同（要收集的外地代理的信息格式是不一样的）。16策略，可根据实际，选择一或几种作为移动IP的扩展，以稍微增加移动IP复杂性的代价获得移动通信服务更高的可靠性与吞吐量。,114,移动IP的路由选择问题,115,问题的提出,116,传统的IETFMobileIP较好地解决移动节点在于网间漫游时的通信问题，但在路由选择上却存在不足；,117,一个漫游至外地网的用户A,B正与之通信：对于A到B的数据传输，由于目的地址是B，所以传输仍按传统的IP寻径办法，能以某种最佳寻径方式到达B；对于B到A的数据传输，由于B的数据包必须先到达A的本地代理HA，再由HA到A的外地代理FA，最后才到达A，显然，这条路径不是最佳路径。,118,最差的情形：A漫游到B所在的子网,B发给A的数据包仍要先发到HA，再由HA发到FA，最后回到A大大提高了传输延迟，对于一些延迟很敏感的业务，如实时语音、图像等会造成极大的损害;增加了网络负担，数据包在网络中运行的时间大大增加。,119,路由优化的MobileIP:方法1,120,引入一种新的代理CA（CommunicateAgent）,CA是正与移动节点A通信的IP节点B所在子网的的路由器：负责管理与移动节点通信的本地节点的寻径及数据传输，实现非常简单（只需在现有的路由器软件上进行扩展），作用十分显著，采用了CA，不仅能大大减小传输延迟，而且使HA的负担也得到减轻。,121,工作过程,首先，FA、CA、HA均发送AgentAdvertisement消息，向位于本范围内的用户声明自己的存在，不同的是FA、HA针对移动用户，CA针对本范围内的所有用户。,122,如果移动用户A发现自己已离开本地，目前在FA内，则依据上面所说的步骤进行处理，即一般的移动IP操作:这时A发出的数据仍按一般的IP数据包发送；B到A的通信呢？首先，B并不了解A已移动，仍向A所在的子网发数据，被HA截获。一方面HA仍将该数据包转发到FA，一方面分析源地址，向数据包源端（即B）反向发送一条消息，该消息包括A目前的状态，如它的关联地址等等。,123,B收到HA发来的消息后，得知A已移动，并且发现本地子网存在CA（CA在不停的发送AgentAdver一tisement消息），则采取两种策略：,124,关联地址,当一个移动节点检测到它移动到外地网，它则获得一个关联地址两种类型：一种即是外地代理的IP地址；一种是通过某种机制与移动节点暂时对应起来的网络地址，也即是移动节点在外地暂时获得的新的IP地址。,125,如果HA传来的是第一种关联地址，则向CA进行登记，告诉CA关于A的关联地址，请求建立CA至FA的通道，建立成功后，由于这时是通信两点直接建立的，所以路径最佳，然后日把发往A的数据报发给CA，cA截获后由“通道”送至FA，再由FA转发给A；,126,如果HA发给B的是第二种关联地址，则B直接使用它作为目的地址，按一般IP数据包发送即可。这里无论哪了种策略，都将是某种最佳方式的路径。,127,这种方案能大大缩短传输路径，减小传输延迟，可为综合业务提供较好的支持，如网络实时语音等，减轻了HA的负担，HA只负责通知及发送开始的数据包，然后就交给了CA。,128,补充,如果A向B发消息后，B发现本地没有CA:如果HA提供的是第二类关联地址，则B可利用此地址与A通信，如果提供第一类地址，则B仍需要把数据发往HA，再由HA转发到FA，再到A。在没有CA的情况下，更倾向于两类地址均用传统移动IP的方法。,129,路由优化的MobileIP:方法2,当HA收到B发往A的分组后，它通知B关于A的捆绑信息（即A目前的FA的地址）；B对分组封装并建立与FA之间的隧道，分组在隧道中透明传输。捆绑信息的传送通过一个明确的端口号完成。,130,131,(续),假如MH又移动了，新的FA将把更新的捆绑信息传送给老的FA，这样能保证分组传送到新FA。HA随后也得到更新的捆绑信息，以后的分组传送直接由B发往新的FA。,132,(续),该方法对通信节点B的要求较高，它必须具备获取捆绑信息及包封与建立隧道的能力，对CH协议栈要作较大的修改。,133,1vs.2,一般的，集中管理要好一些，由CA专门负责建立至FA的：“通道”；这样一来，并不需要各个节点都具有建立IP通道的功能，减轻了各节点的压力，也便于管理，同时升级只需要在CA上进行即可，实际上由于FA、HA、CA都是路由设备，可以设计在一起，这样一来，就目前的Internet来说，用户节点几乎不需要进行什么改造就可以实现移动IP的功能。,134,1vs.2,在不同的场合采取不同的策略比较合适。,135,移动IP中存在的各种安全威胁和对策,136,移动IP网络易受攻击,移动IP通信既经过了无线链路，又通过了有线链路，增加了受外来攻击的概率三个类别：拒绝服务攻击、未授权访问和冒充,137,1拒绝服务攻击和对策,拒绝服务（DoS：DenialofService）是指服务的中断，中断原因可能是系统被毁坏或暂时性不可用，如摧毁计算机硬盘、物理设备和耗尽所有可用内存。,138,DoS在移动IP中具体的攻击形式：,（1）黑客向HA发出伪造的注册请求，把自己的IP地址当作MN的转交地址，在注册成功后，本地代理将根据黑客注册的转交地址，把目的地址是MN点的数据分组通过隧道送给黑客，黑客得到应送给MN的数据，而真正的MN却被拒绝服务，再也收不到任何数据。,139,有效方法,对移动节点和本地代理之间交换的所有注册信息进行有效的验证:移动节点与本地代理共享密钥，移动节点计算定长为16字节的信息摘要，并和注册信息一起倍加密后发送，本地代理解密接收的注册信息，得到信息摘要并与自己保存的比较。,140,本地代理向移动节点回送的注册应答信息同样采用信息摘要的方法。,141,(2)黑客以（TCP连接请求）数据分组不断“轰炸”服务器，服务器不得不处理这些请求，并为每一个请求分配一块内存和其他资源，服务器的CPU忙于处理这些无用的数据分组或耗尽内存，而无法响应其它有用信息。因为目前的单播数据分组的路由只依赖于目的地址，并不一定要查看源地址，因此黑客将数据分组的源地址设置成一个不存在的地址或一个合法的地址来欺骗，使得合法的移动节点被拒绝服务。,142,有效方法,到目前为止，还没有较好的技术方法解决这类攻击,“包过滤技术”(IPFilteringorpacketfiltering)可以减轻它的威胁:包过滤技术原理在于监视并过滤网络上流入流出的IP包，拒绝发送可疑的包。,143,路由器设置包过滤技术,如果有一个数据分组进入路由器后，路由器发现通常到达该数据分组源地址所属网络端口地址与其进入的端口不相符，则怀疑该源地址是假冒的，于是将该数据分组丢弃。但黑客可以继续假冒网络中的某个IP地址，发起攻击。,144,如果所有的ISP都设置包过滤技术，就可以把这种攻击的数据分组封锁在其发起地，而不会秧及外面的网络。但包过滤技术也严重影响到了位于外地链路上的移动节点发出的数据分组，因为一个连接在外地链路上的移动节点发出的数据分组以本地地址为源地址，而路由器认为该地址应位于移动节点的本地链路上，因此将其丢弃。,145,反向隧道技术,解决包过滤技术给移动IP带来的这个问题。当移动节点注册时，可以申请反向隧道服务，将自己产生的数据分组加以隧道封装后再送到本地代理;根据移动节点采用的是外地转交地址还是配置转交地址，封装工作可以由外地代理或移动节点完成;封装后的数据分组的源地址和目的地址在拓扑上都是正确的，不会被过滤机制丢弃。,146,2未授权访问,未授权访问是指未经授权的实体获得了访问网络的资格，并有可能篡改资源的情况。未授权访问一般是在不安全的传输通道上截取正在传输的信息或者利用协议或网络的弱点来实现的。,147,网络上的数据分组是否被窃听主要取决于采用的技术，介质共享的网络最容易被窃听。而移动IP正是这样一种网络，其中的无线链路是非常脆弱的，为得到链路上传送的信息，黑客并不需要物理地连接到网络上.,148,目前市场上可以用于窃听的设备和程序是很多的。例如可利用SNMP协议、TraceRoute程序、Whois协议和Finger协议等获得有关信息。,149,方法,对于这种攻击，可以采用链路加密、节点对节点加密和端对端加密等方式处理，最好的方法是采用端到端加密。端到端加密是指在通信的源对数据加密，在目的地对数据解密，中间链路上传输的全是密文。,150,优点,不论链路是有线还是无线，在网络的任一点上，数据均得到保护，其它方法只能对网络的一部分有效。只在目的地对数据解密，既保证了安全性，又降低了传输时延。通过公网访问专网不会降低专网里数据的安全性。,151,3假冒,假冒与未授权访问有密切的关系，假冒是指通过出示伪造的凭证来冒充别的事物或别人的能力，可以通过包欺骗和重发攻击产生假冒。,152,重发攻击是一种假冒攻击,利用身份验证机制中的漏洞先把信息记录下来，然后再发送出去。通常在窃听他人的数据分组后，会发生重发攻击，在移动IP中，最常用的重发攻击是，黑客通过窃取会话，截获数据分组，把一个有效的注册请求信息储存起来，然后向移动节点发送大量无用的数据分组，占用移动节点CPU的全部时间，再利用存储的有效注册请求信息向代理服务器注册伪造的转交地址。,153,方法,为了防止这种重发攻击的发生，移动节点为每一个注册信息标识域产生一个唯一值，这个值使本地代理能够知道下一次注册请求的值是多少。,154,移动IP共定义了两种标识域的填写方法,第一种是利用时间标签，移动节点将当前的日期和时间写进标识域，移动节点产生的这种标识域必须在本地代理允许的时间误差范围之内，否则本地代理将拒绝请求，并向移动节点提供同步时钟的信息。,155,第二种采用Nonce，移动节点规定了本地代理发送的下一个注册应答信息标识域的低半部分中设置的值，本地代理也规定了移动节点发送的下一个注册请求信息标识域的高半部分中设置的值，如果任一方在收到的信息的标识域中的值与期望的不匹配，则将此信息丢弃。此措施使黑客存储的注册请求成为过时的信息，不被本地代理和移动节点理睬。,156,4其它攻击,移动节点和网络本身对来自“内部的攻击”是非常脆弱的，其它网络亦如此。,157,据美国联邦调查局的报告，计算机犯罪每年造成的经济损失高达50亿美元，而这些犯罪中的三分之二来自内部攻击。这些攻击一般与员工素质有关，对待这种攻击的对策如下：,158,（1）对用户和计算机采取严格的验证，取消用户名/口令的明码传输。（2）对计算机间传送的数据采用端到端加密。（3）对各部门的数据访问采用严格的等级限制。,159,另一种攻击是黑客利用内部的管理不善，突破网络的物理安全机制，建立到达网络的一条物理连接，如偷偷溜进一间会议室，将计算机连接到一个网络插座上，通过监听移动IP的代理广播信息和各节点的数据分组，推测出链路的网络前缀，并欺骗服务器而有可能获得一个IP地址，攻击其它主机等。对于此类攻击，可采用以下措施：,160,（1）所有公共的网络接口，如会议室内的接口应设置为连接到外地代理上，把外地代理配置成实现与其代理广播信息中R比特有关的策略，并拒绝为链路上没有在本地代理注册的节点路由数据分组。,161,（2）将所有可能被窃听的链路节点全部移走，不论是移动的还是非移动的。（3）加强机房管理、运行管理、安全组织和人事管理。,162,总结,黑客的攻击是多种多样的，并不仅限于以上形式和手段，有些是预料不到的，因此在组建、应用网络时要进行风险管理，根据风险评估，确定风险缓解和安全成本，制定安全策略，避免安全威胁造成的损失或减少损失。,163,移动IPv6技术,在IPv4的基础上发展起来,164,移动IPv6协议中三种操作实体,移动节点(MN)通信节点(CN)本地代理(HA),165,不再有外地代理的概念,当移动节点离开本地链路时，可利用IPv6的增强功能来锁定访问的外地链路的子网前缀；转交地址是在移动节点访问外地链路时获得的IP地址，它的子网前缀就是它所访问的外地链路的子网前缀。,166,移动节点的本地代理得到转交地址后，使用IPv6的“邻居发现”机制来截获发往移动节点的数据包。它在本地链路上广播无理由的邻居广播消息，接收到这个消息的其它节点就要修改自己的邻居缓存，使移动节点的转交地址与本地代理的链路层地址进行关联，这样将来发往移动节点的数据包就可以直接被路由到移动节点上，而不再发向移动节点的本地代理，因此可以减轻网络的负担，也解决了IPv4协议中存在的路由迂回问题(三角路由)。,167,移动IPv6中新增四种目的地选项,绑定更新、绑定认可、绑定请示、本地地址。,168,绑定更新,当移动节点离开本地链路时，它要向本地链路上的一个路由器注册自己的一个转交地址，并把它作为自己的本地代理。进行注册时，移动节点先向本地代理发送绑定更新消息。,169,绑定更新消息中的转交地址就是移动节点的数据包利用IPv6封装协议来封装时，IPv6封装的外部报头的目的地址。,170,当通信节点需要更新某个绑定时，还可以发送一个绑定请求消息到移动节点，移动节点再返回一个绑定更新消息。,171,如果移动节点离开本地链路时，原来作为它本地代理的路由器被别的路由器替换，这时移动节点就要利用IPv6中的“动态本地代理地址发现”机制动态地在本地链路上发现一个新的本地代理的IP地址。,172,当移动节点在外地链路上发送数据包时，它就把当前的转交地址作为数据包报头中的源地址，并在数据包中增加本地地址这个目的地选项。,173,这样由于转交地址与外地链路具有相同的子网前缀，移动节点发送的数据包就可以顺利通过具有入口滤功能的路由器。当通信节点接收包含这一选项的数据包时，能够自动地把源地址替换成本地地址目的选项中的本地地址，这样就可以保证移动节点位置的透明性。,174,移动IP的七个难题,175,10.22,176,1路由的低效性,“三角路由”MIPv6已消除,177,2、安全性问题,防火墙给移动IP造成的困难，因为它阻挡了所有到来的但不满足指定条件的各类包。在对内部Internet的管理上，不必对安全性给予太大的关注，但却给那些希望与他们的企业主网中的其它节点进行通信的移动节点造成了困难。这种源于移动节点的通信，因为携带有移动节点的主地址，而被防火墙拒之门外Gupta和Glass已提出了一种跨越防火墙的方案，其它一些研究组织也正在进行与此相同的努力,178,3、入口过滤,一个连接在外地链路上的移动节点发出的数据分组以本地地址为源地址，而路由器认为该地址应位于移动节点的本地链路上，因此将其丢弃(参考Pg.145)IPv4:反向隧道IPv6:当移动节点在外地链路上发送数据包时，它就把当前的转交地址作为数据包报头中的源地址(参考Pg.173),179,4.用户对可靠性的看法,用户使用重新传送协议：用通过选择合适的URL访问Web页来打个比方，如果传送失败，人们习惯于重试。,180,5.IP寻址中的问题,在建立连接时，围绕移动节点的、适当长期的这些地址选择问题是复杂的，因而还远远不能被解决。,181,6.无线LAN市场的快速增长,移动IP被设计为无线LAN定位管理和通信的一种解决方案,182,7.来自其它协议的竞争,面临来自其它可选的基于PPP隧道协议如PPTP和L2TP等的竞争,183,七、移动IP组播技术,184,什么是组播？,组播是指数据源一次发送的数据报被送到多个目的地,185,组播的发展,1992年3月:IETF（InternetEngineeringTaskForce）首次在Internet上利用组播机制举行网络会议，组播引起了人们的重视。以往的多目的应用，如多址Email、文件发布等都以多个单目传送（unicast）来实现，不仅效率低下，而且不能做到实时性，这些问题可以通过组播来解决。,186,组播的要求,网络多媒体业务和分布式工作环境（如音频视频网络会议/VoD）、分布交互式仿真等的要求Internet能提供高效的组播机制。移动IP作为未来Internet的一支主力军，必须提供组播机制。,187,IP组播技术,特定的目的节点被定义为一个组，用一个多目地址来标识，组的成员可以分布在不同的子网中，每个子网内有一个组管理器，它通过Internet组管理协议IGMP（InternetGroupManagementProtocol）来管理组成员,188,Internet组管理协议(IGMP),组管理器定期向子网发询问信息，如果主机想加入某多目组，就在收到询问后向管理器报告；管理器作一记录并告诉其它多目的投送路由器（MCR:MultiCastRouter）；管理器还在其子网上定期询问某多目的组是否还有成员，若有主机继续留在该多目组，必须在收到询问后向管理器报告；如果管理器为某多目组发送了是否还有成员的询问后没有收到报告，就认为该多目组在本子网已没有成员，删去该多目组。,189,移动节点的组播技术,190,移动节点为源终端时的组播技术,在移动IP的单目投送中，数据报路由通常只取决于目的IP地址，因此MN可以按照正常的方式发送数据报;在组播中，路由机制如DVMRP(DistanceVectorMulticastRoutingProtocol)和MOSPF(MulticastOpenShortestPathFirst)等在计算路由时都需要用到源IP地址，MCR认为组播数据报是从源节点的主网络发出的。,191,移动节点为源终端时的组播技术(续),如果MN在外地网络，其发送的数据报将会从不期望的链路到达MCR，影响DVMRP和MOSPF的正常运行。为了避免这个问题，可以让MN先通过“隧道”技术把组播数据报送给其HA，再由HA转发。,192,移动节点为源终端时的组播技术(续),MN发送组播数据报时源地址不用其主地址，而用其所在外地网内的一个地址，如FA或其它某个暂时地址,这种方案比较直接高效，缺点是一旦MN移出了该外地网，组播返回的消息便有可能送给其它移动节点，CBT(CoreBasedTrees)和PIM(ProtocolIndependentMulticast)路由机制为每个组构造了一个组播树，它在计算路由时没有用到源地址，因此允许MN按正常的方式发送组播数据报。,193,移动节点为目的终端时的组播技术,MN接收组播数据报和接收点播数据报在本质上并没有什么差别;MN可以向它的主代理登记它所加入的某个多播组，主代理在收到发向该多播组的消息后，再用“隧道”技术把这些消息转送给MN;这种方法与现有网络的互操作性好