IPv6技术总结.ppt

1、IPv6技术及应用课程总结,1 IPv6概述,学习内容及要求 要求了解计算机网络体系结构和计算机网络协议的基础知识，以及现有IPv4协议存在的问题。 掌握OSI、TCP/IP网络体系结构分析方法。 了解IPv6技术形成和发展的过程。 掌握IPv6技术的基本知识和特征 熟悉IPv6技术标准的构成。 了解IPv6技术目前在国内外部署情况。,IPv4协议的局限性,IPv4协议的基本知识 IPv4协议是在1974年开始研制的，最初用于ARPANET网络，目标是在网络硬件受到损坏后，尽量减少对整个网络的影响，把网络中复杂的可靠性问题留到网络边缘解决。 IPv4协议实现了提供尽力交付的服务，采用IP地址这

2、一逻辑地址实现了网络的互连，以及网络中计算机设备网络接口的连接标识，为不同网络和网络中计算机设备的互连起到重要作用。,IPv4协议存在的问题,IPv4协议存在的主要问题有： 地址空间匮乏； 存在网络安全隐患； 不提供服务质量保证； IP地址配置复杂； 缺少移动性支持等等。 IPv4必须升级的原因以及可以同时改进之处,IPv6协议基本知识,IPv6协议的目标 IPv6是“Internet Protocol Version 6”的缩写，是下一代Internet协议IPng(IP-the next generation)的实现，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。 IP

3、v4和IPv6是工作在网络层的协议，是TCP/IP协议的组成部分。 IETF在Internet技术文档RFC1550里进行了征求新的IP协议的呼吁，公布了新协议需要实现的主要目标。,新协议需要实现的主要目标, 支持几乎无限大的地址空间； 减小路由表的大小； 简化协议，使路由器能更快地处理数据包； 提供更好的安全性，实现IP级的安全； 支持多种服务类型，尤其是实时业务； 支持多点传送，即支持组播； 允许主机不更改地址实现异地漫游； 允许新旧协议共存一段时间； 支持未来协议的演变以适应底层网络环境或上层应用环境的变化； 支持自动地址配置； 协议必须能扩展，满足将来Internet的服务需求； 扩展

4、必须是不需要网络软件升级就可实现的； 协议必须支持可移动主机和网络。,IPv6协议研究的历程,Internet工程任务组IETF于1991年开始研究IPng协议，1991年12月发布RFC1287文档，题目是“未来的Internet体系结构” 1993年成立IPng Area工作组，1994年12月IPng Area给出对下一代Internet协议技术标准进行评议的RFC1726文档，提出评议标准。 1995年1月IPng Area给出RFC1752文档，按照RFC1726的技术评议标准推荐了三个主要的下一代Internet协议建议 Internet通用体系结构CATNIP 简单增强IP协议S

5、IPP CLNP编址网络上的TCP/UDP 协议TUBA,IPv6协议的制订,1994年7月IETF决定以SIPP作为IPng的基础，对SIPP进行了改进。 包括把地址位数由64位增加到128位的固定长度、路由报头增强技术、IPv4的CIDR技术，以及TUBA的自动配置和过渡技术等。 所给出的新的IP协议称为IPv6 1995年12月在RFC1883中公布了IPv6协议规范的建议标准(proposal standard)。 1996年7月和1997年11月先后发布了版本2和版本2.1的草案标准(draft standard)。 1998年12月发布了IPv6协议标准RFC2460。1999年完

6、成了IETF要求的协议审定和测试。,需要说明的问题,IPv6和IPng在概念上是有区别的，IPng是在IPv4的地址空间出现危机时提出的，地址即将耗尽和路由表的过度膨胀是促使IPng问题产生的直接原因。 IPng更像是为“修订IP”而提出的一个概念性的名字，没有一个具体的协议叫做IPng，它是所有有关的下一代Internet协议的总称，而IPv6是IPng协议中一个具体的协议。 目前，IPv6仍然是一个十分活跃的研究领域，不断推出与IPv6有关的RFC文档。,IPv4与IPv6的比较,IPv4协议与IPv6协议是网络层协议的两个版本，是互不兼容的。 但是两者在功能实现和应用描述上并没有本质上的

7、区别，可以从数据、控制和管理三个平面理解和分析。 在数据平面，以尽力交付方式来存储转发数据分组； 在控制平面，以静态或动态的方式获得路由信息，决定对数据分组的转发路径； 在管理平面，提供必要的设备和信息，为网络管理、维护提供支持。,IPv6技术标准研究,与IPv6技术有关的国际标准组织 与IPv6技术有关的标准组织有IETF、ICANN、IPv6论坛、WIDE、3GPP和ITU-T等。 在制定IPv6标准的国际组织中，IPv6协议主要由IETF制定，ITU则是考虑IPv6协议在电信网络中的应用，3GPP组织主要负责IPv6在3G核心网以及3G终端中的应用。 IPv6协议的研究进程主要在IETF

8、组织内完成。,IPv6技术标准,1. IPv6技术标准RFC文档 2. IPv4/IPv6互通转换技术标准,IPv6技术的推广和部署,IPv6在国外的推广和部署 目前美国和欧洲国家对IPv6的发展以研究和实验为主，日本和韩国等亚洲国家则在IPv6的商用及业务开展方面处于领先地位。 IPv6技术研究和应用推动最快的是日本。日本采取了模型证实实验，由地方政府、企业用户、家庭用户组成一个模型地区，进行从IPv4方式过渡到IPv6方式的试验，来制定合适的过渡模型。,IPv6在国内的推广和部署,我国相关研究机构、高校、厂商及运营商也已陆续开始跟踪与关注IPv6技术发展，投入IPv6技术研发，并相继建成I

9、Pv6试验床及实验网络，。 CERNET国家网络中心于1998年6月加入6Bone，同年11月成为其骨干网成员。 CERNET2是纯IPv6网络，CERNET2主干网以2.5Gbps10 Gbps传输速率连接分布在中国主要城市的20个核心节点。,IPv6协议,学习内容及要求 要求了解IPv6协议基本术语 掌握IPv6协议数据单元的构成内容 掌握IPv6协议的扩展首部的构成内容 熟知IPv6协议与相邻层协议的关系 掌握IPv6协议的特性及分析方法,IPv6协议数据单元,IPv6协议数据单元由固定首部(base header)和有效载荷(payload)组成，固定首部有40字节，包含有8个字段,具

10、有多个可选扩展首部的格式,有效载荷又包括扩展首部(extension header)和数据部分，IPv6数据报在基本首部后面允许有零个或多个扩展首部，再后面是数据。 IPv6数据报中下一个首部字段对应着IPv4协议中的协议字段，下一个首部字段的一些可能取值如图2.3所示,典型的IPv6数据包,每一种扩展报头其实也有自己特定的协议号，例如：路由报头为43，AH报头为51 每一个基本报头和扩展报头的protocol字段标识后面紧接的内容,IPv6协议首部与IPv4协议首部的比较,IPv6协议与IPv4协议是互相不兼容的两个网络层协议，IPv6是在IPv4基础上的改进。IPv6协议首部与IPv4协议

11、首部的比较如图2.4所示 可以看出与IPv4相比IPv6协议首部去掉了7个字段，增加了1个流标签字段，源地址和目的地址字段的地址位数扩大到128比特 IPv6采用40字节的固定首部长度，采用扩展首部适应各种传输选项的需要 IPv6采用不同的分段处理方式,IPv6扩展报头,1 IPv6扩展报头的类型 2 逐跳选项扩展报头 3 选路扩展报头 4 分片扩展报头 5 认证扩展报头 6 封装安全有效净荷扩展报头 7 目的选项报头,1. IPv6扩展报头的类型 l逐跳选项报头。此扩展头必须紧随在IPv6头之后。它包含包所经路径上的每个节点都必须检查的选项数据。 l目的地选项报头。此扩展头代替了IPv4选项

12、字段。目前，唯一定义的目的地选项是在需要时把选项填充为64位的整数倍。此扩展头可以用来携带由目的地节点检查的信息。 l 选路报头。选路报头又称路由报头，此扩展头指明包在到达目的地途中将经过哪些节点。它包含包沿途经过的各节点的地址列表。IPv6头的最初目的地址是路由头的一系列地址中的第一个地址，而不是包的最终目的地址。此地址对应的节点接收到该包之后，对IPv6头和选路头进行处理，并把包发送到选路头列表中的第二个地址。如此类推，直到包到达其最终目的地。 l 分段报头。此扩展头包含一个分段偏移值、一个“更多段”标志和一个标识符字段。用于源节点对长度超出源端和目的端路径MTU的包进行分段。 l 身份验

13、证报头(AH)。此扩展头提供了一种机制，对IPv6头、扩展头和净荷的某些部分进行加密的校验和的计算。 l封装安全性净荷(ESP)报头。这是最后一个扩展头，不进行加密。它指明剩余的净荷已经加密，并为已获得授权的目的节点提供足够的解密信息。,2. IPv6扩展报头的应用,3. IPv6扩展报头的排列顺序 如果在一个IPv6报文中，有多个扩展报头，则应严格按下列顺序排列。 l 基本报头； l 逐跳选项报头； l 目的选项扩展报头； l 路由扩展报头； l 分片扩展报头； l 认证报头； l 封装安全有效净荷报头。,身份认证扩展首部,身份认证扩展首部AH(Authentication Header)的

14、作用是实现数据的完整性和对数据报来源的确认，完整性保证了数据在传输过程中没有被篡改过，数据报来源的确认保证数据报确实来自于源地址所标识的接口。,身份认证扩展首部有两种使用方式,身份认证扩展首部有两种使用方式：传输模式(transport mode)和隧道模式(tunnel mode),封装安全载荷扩展首部,封装安全载荷ESP(Encapsulation Security Payload)扩展首部(ESP Header)提供端到端的数据加密功能，以及提供无连接的完整性服务、抗重发服务，还提供了对通信流机密性的限制。封装安全载荷扩展首部也简记为ESP扩展首部。ESP扩展首部也有传输模式和隧道模式两

15、种使用方式,IPv6协议的特性,1 IPv6具有层次化的地址结构 IPv6定义了三种不同的地址类型，分别为： 单点传送地址UA(Unicast Address) 多点传送地址MA(Multicast Address) 任意点传送地址AA(Anycast Address) 分别简称为单播、多播和任播。 所有类型的IPv6地址都是属于接口(Interface)而不是节点(node)。 一个IPv6单点传送地址被赋给某一个接口，而一个接口又只能属于某一个特定的节点，因此一个节点的任意一个接口的单点传送地址都可以用来标示该节点。 需要注意的是接口和节点是完全不同的概念。,IPv6地址,学习内容及要求

16、要求了解IPv6地址表示方式 掌握IPv6地址空间和地址前缀内容 掌握IPv6寻址模型内容 熟知IPv6地址分类方法 掌握IPv6单播地址、多播地址、任播地址内容 掌握IPv6地址配置技术 了解DHCPv6的应用方法 了解IPv6域名系统的使用,IPv6地址技术概述,IPv6地址表示方式 在RFC2373(IPv6 Addressing Architecture)文档中规定了IPv6的地址结构 IPv6地址有3种格式：首选格式；压缩表示格式；内嵌IPv4地址的IPv6地址格式 后面两种格式更加清楚和易于使用 新的RFC文档,IPv6地址表示,1000000000000001 000001000

17、0010000 0000000000000000 0000000000000001 0000000000000000 0000000000000000 0000000000000000 0100010111111111,1000000000000001000001000001000000000000000000000000000000000001 0000000000000000000000000000000000000000000000000100010111111111,2001:0410:0000:0001:0000:0000:0000:45ff,2001:410:0:1:0:0:0:4

18、5ff,2001:410:0:1:45ff,需要注意的是,在使用压缩表示格式时，IPv6标准规定双冒号只能在地址中只能出现一次，并且不能省略一个组中有效的0，例如上面的地址不可以写为： 2001: 41: 0: 1: 45ff。,IPv6地址空间和地址前缀,IPv6格式前缀FP(Format Prefix)采用类似于IPv4地址中的无分类域间路由CIDR机制中的地址前缀，地址前缀用来标识网络、子网和路由(选路)。 IPv6地址被分成两个部分： 子网前缀和接口标识符 IPv6地址前缀表示方法与IPv4地址中的CIDR一样，采用“地址/前缀长度”的格式，。 IPv6地址前缀格式为： IPv6地址/

19、前缀长度 IPv6节点地址中指出了前缀长度，例如，4030:0:0:0:C9B4:FF12:48BC:1A27/60，这个地址中用于选路的前缀长度为60位。,地址前缀,地址前缀就是地址最前面的那段数字。 也属于128位地址空间范围。 是路由或子网的表示 类似于IPv4网络中的网络ID 其表示方法类似于IPv4中的CIDR表示方法：地址/前缀长度,FF02:/16,EUI64规范,将48比特的MAC地址转化为64比特的接口ID 由设备自动生成 MAC唯一，所以接口ID也唯一 48比特的MAC地址 转化后的64比特的接口ID,IPv6地址的分配,全球有5个RIR负责所在区域的IPv6地址的分配 欧

20、洲地区，RIPE-NCC 负责欧洲、中东和部分中亚地区， 亚太地区，APNIC 负责亚洲和太平洋地区 非洲地址，AfriNIC 负责非洲地区。 北美地区，ARIN 负责加拿大、美国以及加勒比海和北大西洋的一些岛屿。 拉丁美洲和加勒比海地区，LACNIC 负责拉丁美洲和加勒比海地区的IPv6地址的分配。,IPv6地址分类,IPv6地址分类概述 IPv6地址的分类方法与IPv4类似，按照其传输类型分为3种： 单播地址(Unicast Address)：用来标识单一网络接口。 多播地址(Multicast Address)：用来标识一组网络接口(通常属于不同的节点)。 任播地址(Anycast Ad

21、dress)：用来标识一组网络接口，这些接口通常属于不同的节点。任播地址是IPv6引人的一种新的地址类型。,特殊地址,需要说明的是,在IPv6中取消了广播地址(Broadcast Address) 用多播地址取代广播地址实现的功能 IPv6中取消了广播地址的原因是 广播地址从一开始就为IPv4网络带来了问题 广播被用来携带去向多个节点的信息，或被那些不知信息来自何方的节点用来发出请求 广播可能会为网络性能设置障碍 同一网络链路上的大量广播意味着该链路上的每个节点都必须处理所有广播，但是其中绝大部分节点最终都将忽略该广播，因为该广播信息与自己无关,1. 可聚类全球单播地址,可聚类全球单播地址用作

22、IPv6公网地址，每个可聚合全球单播IPv6地址有3个部分： ISP提供商分配的前缀。 站点拓扑。组织机构使用提供商分配的一个/48位前缀，可以用前缀的4964位，一共16位把网络划分为子网，最多可以划分65 535个子网。 接口ID(接口标识符)。IPv6地址的低64位用于标识接口。,本地链路地址和本地站点地址,本地链路地址 设备自动生成，在本地网络中使用 本地站点地址 相当于v4网络中的私网地址,0,接口ID,1111111010,0,接口ID,1111111011,MAC地址转换为EUI-64地址的过程,本地链路地址用于单网络链路上给主机编号 前缀的前10位标识的地址即本地链路地址 路由

23、器在它们的源端和目的端对具有本地链路地址的包不予处理，永远也不会转发这些包 而64位接口标识符同样用如前所述的IEEE结构。,4. 特殊地址和保留地址,在第一个1/256IPv6地址空间中，所有地址的第一个8位：00000000被保留。大部分空的地址空间用作特殊地址，这些特殊地址包括： 未指定地址：这是一个“全0”地址，当没有有效地址时，可采用该地址。 回返地址： IPv6回返地址除了最低位外，全为0，即回返地址可表示为0:0:0:0:0:0:0:1或:1。 嵌有IPv4地址的IPv6地址：有两类地址，一类允许IPv6节点访问不支持IPv6的IPv4节点，另一类允许IPv6路由器用隧道方式，在

24、IPv4网络上传送IPv6包。,特殊地址,Unspecified 地址 0:0:0:0:0:0:0:0 作为源地址使用，并不能被路由器转发 Loopback 地址 0:0:0:0:0:0:0:1 IPv4-compatible IPv6 地址 IPv4-mapped IPv6地址,多播地址,Flags 用来表示永久的或临时的多播组 Scope 表示多播组的范围 Group ID 多播组ID,预定义的多播组,Node-local（本地站点） 所有节点的多播地址： FF01:0:0:0:0:0:0:1 所有路由器的多播地址：FF01:0:0:0:0:0:0:2 Link-local（本地链路） 所

25、有节点的多播地址： FF02:0:0:0:0:0:0:1 所有路由器的多播地址：FF02:0:0:0:0:0:0:2 Solicited-Node多播地址： FF02:0:0:0:0:1:FFXX:XXXX 所有OSPF路由器多播地址： FF02:0:0:0:0:0:0:5 所有OSPF的DR路由器多播地址： FF02:0:0:0:0:0:0:6 所有RIP路由器多播地址： FF02:0:0:0:0:0:0:9 所有PIM路由器多播地址： FF02:0:0:0:0:0:0:13,IPv6的一些具有特别含义的特殊多播地址,FF01: 1表示节点本地范围内所有节点多播地址； FF02: 1表示链路

26、本地范围内所有节点多播地址； FF01: 2表示节点本地范围内所有路由器多播地址； FF02: 2表示链路本地范围内所有路由器多播地址； FF05: 2表示站点本地范围内所有路由器多播地址。,在IPv6多播地址中有一种特殊用途的请求节点(Solicited-node)多播地址，主要用于重复地址检测和获取邻居节点的链路层地址。请求节点多播地址由前缀FF02: 1: FF00: 0/104和单播地址的最后24位组成。,IPv6任播地址,任播地址是IPv6协议特有的地址类型 适合于一对一组中的一个(One to One of Many)的通信需求。 任播地址用来标识一组网络接口 这些接口通常属于不同

27、的节点。 路由器会把目标地址是任播地址的数据报发送给 离该路由器最近的一个网络接口。 任播地址只能用作IPv6数据报的目的地址，任播地址只能分配给IPv6路由器或服务器主机。 任播地址与多播地址类似 同样是多个节点共享一个任播地址 不同的是，只有一个节点期待接收给任播地址的数据报。,IPv6地址新类型 任播（Anycast）,可用于标识特定ISP的路由器集合等 同单播地址相同 不能做为源地址使用 仅用于路由器,Whos Gateway?,Im nearest one.,ICMPv6、邻居发现协议,学习内容及要求 要求了解ICMPv6协议的功用 理解ICMPv6与ICMPv4的比较内容 掌握IC

28、MPv6协议格式内容 熟知ICMPv6错误报文格式和用途 熟知ICMPv6信息报文格式和用途 掌握ICMPv6处理规则 理解邻居发现协议的主要内容 掌握邻居发现协议的功能分析方法 熟知ICMP重定向报文内容和功用 掌握IPv6地址解析技术的方法 了解多播监听者发现协议MLD,ICMPv6协议概述,ICMPv6协议的功用 ICMPv6是IPv6的Internet控制报文协议ICMP(Internet Control Message Protocol)，它属于IPv6协议的一个组成部分，和IPv6协议一起工作，IPv6网络中的每一个节点均要实现ICMPv6。 在IPv6分组不能被正确处理的时候，I

29、CMPv6向源节点报告IPv6分组在传输过程中的出错信息和通告信息，使网络中的节点可以知道网络中所传输的IPv6分组的情况，以及当前网络状态的重要信息。 现在ICMPv6的技术文档是RFC 2463 需要说明的是 在IPv6网络中，用ICMPv6实现IPv4网络中的ICMP、ARP、IGMP协议的功能。 ICMPv6是用运输层协议UDP传输的。 在发送ICMPv6报文时，是将ICMPv6报文作为IPv6分组的数据载荷。,Comparison of network layers inversion 4 and version 6,IPv6与IPv4的网络层,ICMPv6与ICMPv4的比较,IC

30、MPv6增加的功能包括： Internet 组管理协议IGMP功能被加入到ICMPv6中。 地址解析协议ARP和反向地址解析协议RARP 功能被加入到ICMPv6中。 引入了邻居发现(ND)协议，它使用ICMPv6报文是为了确定同一个链路上的邻居的链路层地址、发现路由器、随时跟踪哪些邻居是可连接的，以及检测更改的链路层地址。 ICMPv6还支持Mobile IPv6。,General format of ICMPv6 messages,ICMPv6报文的一般格式,携带ICMPv6报文的IPv6分组的格式,Error-reporting messages,lCMPv6错误报告报文的分类,Quer

31、y messages,ICMPv6信息报文分类,Group-membership messages,ICMPv6组成员关系报文,Four situations of group-membership operation,邻居发现协议,邻居发现协议概述 邻居发现协议实现了在IPv4中应用的地址解析协议(ARP)和ICMP路由器发现和重定向，还加入了一些新的功能。 IPv6节点利用邻居发现协议可以实现的机制有： 确定同一链路上节点的链路层地址。 查找可以转发它们的数据包的邻近路由器。 随时跟踪哪些邻居可达，哪些不可达，并且检测有改变的链路层地址。 对于IPv4协议集改进的12个内容。 邻居发现协议

32、由5条ICMPv6报文组成。,邻居缓存和目的地缓存,IPv6节点需要维护各种信息表格。在这些表格中，邻居缓存和目的地缓存是特别重要的。 邻居缓存 目的地缓存 RFC2461文档对邻居缓存和目的地缓存给出描述和定义 一条邻居缓存记录可以处于5种状态之一,IPv6路由,学习内容及要求 要求了解IPv6路由的基础知识 熟知IPv6路由RIPng、OSPFv3、BGP4的特点 熟知IPv6路由报文的格式 理解IPv6路由的工作原理和路由过程。 掌握IPv6路由技术的描述方法 熟知IPv6路由技术的标准,IPv6路由协议概述,IPv6路由协议基本知识 IPv6路由协议是IPv6协议的组成部分，是IPv6

33、协议的核心。 路由协议依据工作原理可以分为距离向量路由协议、链路状态路由协议和路径向量路由协议。 IPv6路由协议包括：内部路由协议RIPng、OSPFv3，以及基于IPv6的IS-ISv6；外部路由协议BGP-4。 依据路由算法分类，其中RIPng为距离向量路由协议，OSPFv3和IS-ISv6属于链路状态路由协议，BGP-4属于路径向量路由协议。 路由算法(Routing Algorithm)是网络层软件的一部分，网络中的路由器通过路由算法确定把一个进来的数据报(分组)转发到哪一条输出线路上。不同的路由协议通过相应的路由算法来实现。,需要说明的问题,路由协议(Routing Protoco

34、l)和可被路由协议(Routed Protocol)是两个不同的概念。 路由协议允许路由器动态的通告、学习和更新路由，是一种为路由器寻找数据报转发路径的协议 例如RIPng、OSPFv3等。 可被路由协议是能够为用户数据提供足够的被路由信息，例如网络接口的逻辑地址，也就是IP地址。用户数据若想要被路由、穿越网络，必须用可被路由协议封装 例如IP数据报可以被路由，IP协议是一个可被路由协议。,RIPng协议,RIPng协议概述 RIPng(RIP next generation)协议是动态的内部路由协议，是一个基于Bellman-Ford算法的距离向量路由协议 RIPng使用跳数(hop cou

35、nt)作为度量(metric)，度量值在015之间。 RIPng是基于运输层协议UDP的。 RIPng只在路由器上实现 每台使用RIPng的路由器都有一个路由进程在UDP端口521上发送和接收数据。 RIPng协议的大多数概念都是从 RIPv1和 RIPv2中得来的。,RIPng路由更新的规则,路由Ri是新的，并且度量值是可达的路由。度量值和下一跳地址将被作为一个新的表项添加到路由表中 计时器被设置为0，并且给出Route Change标记 路由Ri是已知的，并且下一跳地址和路由表中的表项内容一样 如果度量值改变了，路由表被更新，并且给出Route Change标记。计时器被重新设置为0,路由

36、表项(RTE),每条路由表项占20字节，RIPng首部后面跟着一个或多个路由表项。,比特,前缀长度,路由标记,0,路由度量值,8,16,31,IPv6前缀(16字节),24,IPv6的OSPFv3,IPv6 OSPFv3概述 OSPFv3(Open Shortest Path First version 3)是IPv6使用的链路状态路由协议 OSPFv3的技术文档为RFC2740，文档中的定义将重点放在IPv6的OSPF和IPv4的OSPF的区别上。 OSPFv3是IPv6网络中的主流和核心路由协议 OSPFv3报文直接封装在IPv6数据报中，对应的IPv6数据报下一个首部字段的值为89。,链

37、路状态通告LSA,OSPFv3将链路状态通告LSA(Link State Advertisment)传送给某一区域内的所有路由器 而运行距离向量路由协议的路由器是将部分或全部的路由表传递给与其相邻的路由器 每台IPv6路由器有效的通告各种LSA 在所有路由器的LSA通告都完成以后，OSPFv3网络完成收敛过程 OSPFv3允许在主干区域边界上进行路由信息汇总。通过创建区域，可以减小LSDB占用的空间。,OSPFv3涉及到的技术,链路状态数据库 OSPF区域和外部路由 虚拟链路 外部路由 末节区域SA(Stub Area)和次末节区域(NSSA),IPv6的OSPFv3报文格式,OSPFv3使用

38、五种类型的报文交互 来实现链路状态数据库的同步、最短通路树的计算 获得路由表,比特,类型,0,8,16,31,报文长度,版本,24,路由器ID,区域ID,校验和,实例ID,保留(0),IPv6首部 下一个首部=89,OSPFv 3首部,OSPFv 3报文,OSPFv3链路状态通告LSA,LSDB 中的每个LSA由一个LSA首部和一个LSA主体构成 在OSPFv3中有七种LSA 每个LSA都以一个相同的20字节首部开始 LSA首部可以惟一地标识每个LSA 每一个LSA描述了路由域中的一个片段。 有5类LSA。,OSPFv3报文的类型,OSPFv3的LSA首部格式,比特,0,8,16,31,链路状

39、态类型,链路状态年龄,24,链路状态ID,公告路由器,链路状态序列号,链路状态校验和,长度,BGP4+协议简介,在BGP4+上支持IPv6路由器必须符合两个Internet技术文档对BGP-4的多协议扩展。 BGP4+在BGP-4协议的基础上，把IPv6网络层协议的信息映射到NLRI和Next_Hop属性中，引入两个可选非传递NLRI属性： MP_REACH_NLRI MP_UNREACH_NLRI。 分别用来通告可达路由和下一跳信息、撤消不可达路由。Next_Hop属性使用IPv6全球单播地址或下一跳的链路本地地址标识。 BGP4+是一个路径向量协议，提供在自治系统之间自动交换无环路的路由信

40、息。 BGP4+使用TCP作为运输协议 默认端口号为179。,BGP报文首部,IP首部,TCP首部,BGP首部,BGP报文,标记,长度,类型,首部的固定大小为 19 字节,BGP报文类型,BGP的属性,BGP路径属性提供了广播的NLRI的附加信息 每个路径属性都有一个2字节首部 属性代码(Attribute Code)，占l字节 定义了属性的类型。,IPv6的BGP扩展,1999年为了使其它网络层协议也可以使用BGP-4，必须添加多协议NLRI及其下一跳(Next Hop)信息。 在BGP4的更新报文中增加了一些新的字段 这些新的字段和属性称为BGP多协议扩展 该BGP扩展的通常称为BGP4+

41、或多协议 BGPBGP4+的多协议扩展既可以支持IPv6协议 也可以支持IPv4协议,IPv6安全,学习内容及要求 要求了解IPv6安全问题的主要内容 熟知IPv6中用到的加密机制及其特点 熟知IPv6的安全要素 掌握IPv6中的IPsec描述、实现和部署方法 掌握IPv6中的认证、加密、密钥交换原理,IPv6安全问题,IPv6安全问题概述 IPv6的安全脆弱性可以分为四类： 实现和部署上的漏洞和不足，与IPv6协议有关的设计、算法和软硬件的实现离不开人的工作 非IP层攻击，IPv6的安全仅作用在IP层，其它层出现对IPv6网络的攻击仍然存在。 IPv4向IPv6过渡时期的安全脆弱性，IPv4

42、网络和IPv6网络并存的环境以及过渡技术存在安全隐患。 IPv6协议特有的脆弱性，例如无状态地址自动配置、ICMPv6和路径MTU发现PMTU、邻居发现协议进行IP地址和MAC地址的解析、移动IPv6中由错误绑定报文引起的拒绝服务攻击等，构成IPv6网络安全面临的新问题。,IPv6的安全要素,IPsec协议的功能 IPsec的目标是提供既可用于IPv4也可用于IPv6的安全性机制。IPsec提供的网络安全功能包括： 访问控制 无连接的完整性 数据源身份认证 序列完整性中的抗重播保护 有限传输流的保密性 IPsec工作在主机、路由器、网关、防火墙等设备或安全位置上。,IPsec框架,IPsec框

43、架由6个截然不同的要素组成: IP安全体系结构，对网络层上安全需求和机制的一般性描述。 封装安全载荷(ESP)，专门用于加密的安全要素，在RFC2406文档中定义。 身份认证首部(AH)，专门用于验证的安全要素，在RFC 2402文档中定义。 加密算法，对加密和验证所使用的具体密码算法的定义。 身份认证算法，对通信伙伴之间的安全策略和安全关联的定义。 密钥交换协议，IPsec密钥管理，它是基于更一般的框架之上的密钥管理。,IPsec框架组成部分及联系,IPsec安全关联SA,SA是两个通信实体经协商建立起来的约定 决定了用来保护数据包安全的IPsec协议、转码格式、密钥以及密钥的有效存在时间等

44、 任何SA实施方案都要构建一个安全关联数据库SAD . SA中用到的参数包括： 序列号；序列号溢出；抗重播窗口；生命期时间(存活期)；模式；隧道目的地。 IPsec有两种不同类型的操作模式.,IPsec安全策略,SA的实现涉及到两个安全数据库： 安全关联数据库(SAD) 安全策略数据库SPD (Security Policy Database) 在IPsec实施中，SA必须有管理依据和规则 安全策略数据库SPD规定的策略决定着所有流进系统或从系统流出的IP流量的处理方式 所有定义好的SA都保存在一个安全关联数据库(SAD)中 通过一个由安全参数索引SPI (Security Parameter

45、 Index) 、IP目的地址和安全协议 (AH或ESP) 标识符三部分组成的数值来识别,IPsec部署,IPsec可以在 终端主机之间、网关之间和路由器之间，或者主机与网关和路由器之间进行实施和配置 IPsec若同时在终端主机和路由器配置 可以针对不同的问题，给网络安全部署带来好处,IPsec的实施有三种方法,将IPsec作为IPv6协议栈的一部分来实现 与操作系统OS集成实施 将IPsec作为协议栈中的一块(BITS)来实现 这种方法将特殊的IPsec代码插入到网络协议栈中，在网络协议栈的网络层和数据链路层之间实施 还有一种方法是 将IPsec作为线路的一块(BITW)来实现 这种方法使用

46、外部加密硬件来执行安全性处理功能,IPsec存在的问题,IPsec的最大缺陷是 复杂性，IPsec包含了太多的选项和太多的灵活性 IPsec是通过专门工作组制定的一个开放标准框架 该框架制定的过程中过多顾及到一些国家和大公司的利益，这给IPsec的实现带来一定的困难。 目前各种IPsec产品之间的兼容性问题尚有待解决。 另外，IPsec的使用会给网络传输性能带来影响。,密钥交换(IKE)协议,密钥交换协议概述 网络的安全取决于密钥和密钥分配的安全，密钥分发属于密钥管理。 密钥管理的内容有： 密钥的产生、分配、注入、验证和使用。 人们已经提出了以下几种公钥分配方案： 公开发布；公开可访问目录；公

47、钥授权；公钥证书。 通过设立密钥分配中心KDC（Key Distribution Center），通过KDC来分配密钥。 5种密钥交换模式有： 主模式；积极模式；快速模式；信息交换；新组模式交换。,Internet密钥交换(IKE),IKE可以被描述为一种协商协议，用于实现在不安全的网络环境中安全地建立或更新密钥。 IKE是一个通用的协议，可以为IPsec协商安全关联 也可以为SNMPv3、RIPv2、OSPFv2等任何需要保密的网络协议提供协商安全参数 IKE利用ISAKMP中定义的数据格式 基于OAKLEY和SKEME密钥交换机制来交换密钥和SA信息 IKE使用属于ISAKMP SA的属性

48、 这些属性都是强制性的，并且必须进行协商,IPv6过渡技术,学习内容及要求 要求了解IPv6过渡时期的特点和面临的问题 熟知双栈技术的工作原理和机制 掌握隧道技术的工作原理和实现机制 熟知协议转换技术的工作原理和实现方法 掌握过渡技术分析和比较的方法,IPv6过渡技术概述,IPv6过渡期的特点 过渡是指某一事物从一种状态逐步演化为另一种状态，或者逐步转变为另一事物。 过渡的特征有两个： 过渡需要一个过程，需要一定的时间； 在过渡过程中，事物发生了质的变化，逐渐不同于原来的事物，过渡完成以后，演变成为新的事物。 IETF推荐的转换机制有：双协议栈、隧道技术、翻译技术和NAT等。,过渡可以分为4个

49、阶段,双栈技术,双栈技术工作原理 IPv6/IPv4双协议栈技术是使IPv6网络节点具有一个IPv4栈和一个IPv6栈，同时支持IPv4和IPv6协议。,Dual stack,双栈图示,隧道技术,隧道技术概述 隧道(Tunnel)是指将一种协议首部封装在另一种协议首部中，使得一种协议就可以通过另一种协议的封装进行通信。 隧道技术的优点在于隧道的透明性。 有两种隧道： 手动配置隧道 自动隧道 隧道可以用不同的方式来实现 可以是路由器一路由器、主机一路由器、主机一主机或路由器一主机,隧道技术工作原理,隧道有两个端点 一个是隧道入口点 另一个则是隧道出口点,6to4机制,6to4也是一种自动构造隧道

50、的机制 这种机制要求站点采用特殊IPv6地址(2002:IPv4ADDR:/48 )。 这种地址是自动从站点的IPv4地址派生出来的。 6to4机制允许在采用6to4的IPv6站点和纯IPv6站点之间通过中继路由器 (6to4 Relay Router)进行通信 这时不要求通信的两个端点之间具有可用的IPv4连接，中继路由器建议运行BGP4+,Configured tunneling,配置隧道,Automatic tunneling,自动隧道,6to4 tunnels,ISATAP,ISATAP是站点内自动隧道寻址协议，用来为没有IPv6路由器的IPv4内部网中的IPv6节点提供IPv6连接。 通过ISATAP配置，不需要有IPv6