ipv6_intruduce

1、IPv6 技術(shù)詳解當前， 基于 Internet 的各種應(yīng)用正在如火如荼地迅猛發(fā)展著， 而與此熱鬧場面截然不同 的是， Internet 當前使用的 IP 協(xié)議版本 IPv4 正因為各種自身的缺陷而舉步維艱。在 IP v4 面臨的一系列問題中， IP 地址即將耗盡無疑是最為嚴重的，有預(yù)測表明，以目前 Inter net發(fā)展速度計算，所有IPv4地址將在20052010年間分配完畢。為了徹底解決IPv4 存在的問題， IETF 從 1995 年開始，著手研究開發(fā)下一代 IP 協(xié)議，即 IPv6 。 IPv6 具有 長達 128 位的地址空間，可以徹底解決 IPv4 地址不足的問題，除此之外， I

2、Pv6 還采用分 級地址模式、高效 IP 包頭、服務(wù)質(zhì)量、主機地址自動配置、認證和加密等許多技術(shù)。Ipv4 尷尬的現(xiàn)狀I(lǐng)nternet 起源于 1968 年開始研究的 ARPANET ，當時的研究者們?yōu)榱私o ARPANET 建 立一個標準的網(wǎng)絡(luò)通信協(xié)議而開發(fā)了 IP 協(xié)議。 IP 協(xié)議 開發(fā)者當時認為 ARPANET 的網(wǎng) 絡(luò)個數(shù)不會超過數(shù)十個，因 此他們將 IP 協(xié)議的地址長度設(shè)定為 32 個二進制數(shù)位， 其中 前8 位標識網(wǎng)絡(luò)，其余 24 位標識主機。然而隨著 ARPANET 日益膨脹， IP 協(xié)議開發(fā)者認 識到原先設(shè)想的網(wǎng)絡(luò)個 數(shù)已經(jīng)無法滿足實際需求， 于是他們將 32 位 IP 地址分

3、 成了三類： A 類，用于大型企業(yè)； B 類，用于中型企 業(yè)； C 類，用于小型企業(yè)。A 類、 B 類、 C 類地址可以標 識的網(wǎng)絡(luò)個數(shù)分別是 128 、16384 、2097152 ，每個網(wǎng)絡(luò)可容納的主 機個數(shù)分 別是 16777216 、65536 、256 。雖然對 IP 地址進行分類大大增 加了網(wǎng)絡(luò)個數(shù)，但新的 問題又出現(xiàn)了。由于一個 C 類網(wǎng)絡(luò)僅能容納 256 個主機，而個人計算機的普及使 得許多 企業(yè)網(wǎng)絡(luò)中的主機個數(shù)都超出了 256 ，因此， 盡管這些企業(yè)的上網(wǎng)主機可能遠遠沒有達到 B 類地 址的最大主機容量 65536 ，但 InterNIC 不得不為它們分配 B 類地址 。這種

4、情況 的大量存在，一方面造成了 IP 地址資源 的極大浪費，另一方面導(dǎo)致 B 類地址面臨著即將 被 分配殆盡的危險。非傳統(tǒng)網(wǎng)絡(luò)區(qū)域路由( Classless InterDomain Routing, CIDR )，是節(jié)省 B 類地 址的一個緊急措施。 CIDR 的原理是為那些擁有數(shù)千個網(wǎng)絡(luò)主機的企業(yè)分配一個由一系列連 續(xù)的 C 類地址組成的地址塊，而非一個 B 類地址。例如，假設(shè)某個企業(yè)網(wǎng)絡(luò)有 1500 個主 機，那么可能為該企業(yè)分配8個連續(xù)的C類地址，如： 至 ，并將 子網(wǎng)掩碼定為 ，即地址的前 21 位標識網(wǎng)絡(luò)，剩余的 1

5、1 位標識主機。盡 管通過采用 CIDR ，可以保護 B 類地址免遭無謂的消耗， 但是依然無法從根本上解決 IPv4 面臨的地址耗盡問題。另一個延緩 IPv4 地址耗盡的方法是網(wǎng)絡(luò)地址翻譯 ( Network Address Translation, NAT )，它是一種將無法在 Internet 上使用的保留 IP 地址翻譯成可以在 Internet 上使 用的合法 IP 地址的機制。 NAT 使企業(yè)不必再為無法得到足夠的合法 IP 地址而發(fā)愁了，它 們只要為內(nèi)部網(wǎng)絡(luò)主機分配保留 IP 地址，然后在內(nèi)部網(wǎng)絡(luò)與 Internet 交接點設(shè)置 NAT 和 一個由少量合法 IP 地址組成的 IP

6、地址池，就可以解決大量內(nèi)部主機訪問 Internet 的需求 了。由于目前要想得到一個 A 類或 B 類地址十分困難，因此許多企業(yè)紛紛采用了 NAT 。然 而，NAT也有其無法克服的弊端。首先，NAT會使網(wǎng)絡(luò)吞吐量降低，由此影響網(wǎng)絡(luò)的性能。其次， NAT 必須對所有去往和來自 Internet 的 IP 數(shù)據(jù)報進行地址轉(zhuǎn)換，但是大多數(shù) NAT 無法將轉(zhuǎn)換后的地址信息傳遞給 IP 數(shù)據(jù)報負載，這個缺陷將導(dǎo)致某些必須將地址信息嵌在 IP 數(shù)據(jù)報負載中的高層應(yīng)用如 FTP 和 WINS 注冊等的失敗。IPv6 的對策IPv6 采用了長度為 128 位的 IP 地址， 徹底解決了 IPv4 地址不足的

7、 難題。 128 位的 地址空間，足以使一個大企業(yè)將其所 有的設(shè)備如計算機、打印機甚至尋呼機等聯(lián)入 Inter net 而 不必擔心 IP 地址不足。IPv6 的地址格式與 IPv4 不同。一個 IPv6 的 IP 地址由 8 個地址節(jié)組成，每節(jié)包含 1 6 個地址位，以 4 個十六進制數(shù)書寫，節(jié)與節(jié)之間用冒號分隔，除了 128 位的地址空間， I Pv6 還為點對點通信設(shè)計了一種具有分級結(jié)構(gòu)的地址，這種地址被稱為可聚合全局單點廣 播地址( aggregatable global unicast address )，其分級結(jié)構(gòu)劃分如圖所示。開頭 3 個地址位是地址類型前綴，用于區(qū)別其它地址類型

8、。其后的 13 位 TLA ID 、32 位 NLA I D 、16 位 SLA ID 和 64 位主機接口 ID ，分別用于標識分級結(jié)構(gòu)中自頂向底排列的TLA( Top Level Aggregator ，頂級聚合體) 、NLA( Next Level Aggregator ，下級聚合體) 、 SLA ( Site Level Aggregator ，位置級聚合體)和主機接口。 TLA 是與長途服務(wù)供應(yīng)商 和電話公司相互連接的公共網(wǎng)絡(luò)接入點， 它從國際 Internet 注冊機構(gòu)如 IANA 處獲得地址。 NLA 通常是大型 ISP ，它從 TLA 處申請獲得地址，并為 SLA 分配地址。

9、SLA 也可稱為訂 戶( subscriber )，它可以是一個機構(gòu)或一個小型 ISP 。 SLA 負責為屬于它的訂戶分配地 址。 SLA 通常為其訂戶分配由連續(xù)地址組成的地址塊，以便這些機構(gòu)可以建立自己的地址 分級結(jié)構(gòu)以識別不同的子網(wǎng)。分級結(jié)構(gòu)的最底級是網(wǎng)絡(luò)主機。Ipv6 中的地址配置眾所周知， 手工配置主機 IP 地址是一件既費時又乏 味的事情， 而管理分配給主機的靜 態(tài) IP 地址更是一 項艱難的任務(wù)，尤其當主機 IP 地址需要經(jīng)常改動的 時候。在 IPv4 中， 動態(tài)主機配置協(xié)議( Dynamic Host Configuration Protocol ， DHCP )實現(xiàn)了主 機 I

10、P 地址及其相關(guān)配置的自動設(shè)置。一個 DHCP 服務(wù)器擁 有一個 IP 地址池，主機從 DHCP 服 務(wù)器租借 IP 地址并獲得有 關(guān)的配置信息(如缺省網(wǎng)關(guān)、 DNS 服務(wù)器等)，由此 達到自動 設(shè)置主機 IP 地址的目的。 IPv6 繼承了 IPv4 的這種自 動配置服務(wù)，并將其稱為全狀態(tài)自 動配置( stateful autoconfiguration )。除了全狀態(tài)自動配置， IPv6 還采用了一種被稱為無狀態(tài)自動配置( stateless autoco nfiguration )的自動配置服務(wù)。在無狀態(tài)自動配置過程中，主機首先通過將它的網(wǎng)卡 MA C 地址附加在鏈接本地地址前綴 111

11、1111010 之后，產(chǎn)生一個鏈接本地單點廣播地址( I EEE 已經(jīng)將網(wǎng)卡 MAC 地址由 48 位改為了 64 位。如果主機采用的網(wǎng)卡的 MAC 地址依然 是 48 位，那么 IPv6 網(wǎng)卡驅(qū)動程序會根據(jù) IEEE 的一個公式將 48 位 MAC 地址轉(zhuǎn)換為 64 位 MAC 地址)。接著主機向該地址發(fā)出一個被稱為鄰居探測( neighbor discovrey )的 請求， 以驗證地址的唯一性。 如果請求沒有得到響應(yīng)， 則表明主機自我設(shè)置的鏈接本地單點 廣播地址是唯一的。否則，主機將使用一個隨機產(chǎn)生的接口 ID 組成一個新的鏈接本地單點 廣播地址。 然后， 以該地址為源地址， 主機向本地

12、鏈接中所有路由器多點廣播一個被稱為路 由器請求( router solicitation )的配置信息請求，路由器以一個包含一個可聚合全局單 點廣播地址前綴和其它相關(guān)配置信息的路由器公告響應(yīng)該請求。 主機用它從路由器得到的全 局地址前綴加上自己的接口 ID ，自動配置全局地址， 然后就可以與 Internet 中的其它主機 通信了。使用無狀態(tài)自動配置，無需手動干預(yù)就能夠改變網(wǎng)絡(luò)中所有主機的 IP 地址。例如，當 企業(yè)更換了聯(lián)入 Internet 的 ISP 時，將從新 ISP 處得到一個新的可聚合全局地址前綴。 ISP 把這個地址前綴從它的路由器上傳送到企業(yè)路由器上。由于企業(yè)路由器將周期性地向

13、本 地鏈接中的所有主機多點廣播路由器公告， 因此企業(yè)網(wǎng)絡(luò)中所有主機都將通過路由器公告收 到新的地址前綴，此后，它們就會自動產(chǎn)生新的 IP 地址并覆蓋舊的 IP 地址。Ipv6 中的安全協(xié)議安全問題始終是與 Internet 相關(guān)的一個重要話題。由于在 IP 協(xié)議設(shè)計之初沒有考慮 安全性，因而在早期的 Internet 上 時常發(fā)生諸如企業(yè)或機構(gòu)網(wǎng)絡(luò)遭到攻擊、機密數(shù) 據(jù)被 竊取等不幸的事情。為了加強 Internet 的安全性，從 1995 年開始， IETF 著手研究制定 了一套用于保護 IP 通信的 IP 安 全( IP Security ，IPSec )協(xié)議。 IPSec 是 IPv6 的

14、一個 組成部分，也是 IPv4 的一個 可選擴展協(xié)議。IPSec 提供了兩種安全機制： 認證和加密。 認證機制使 IP 通信的數(shù)據(jù)接收方能夠確認 數(shù)據(jù)發(fā)送方的真實身份以及數(shù)據(jù)在傳輸過程中是否遭到改動。 加密機制通過對數(shù)據(jù)進行編碼 來保證數(shù)據(jù)的機密性，以防數(shù)據(jù)在傳輸過程中被他人截獲而失密。 IPSec 的認證包頭( Aut hentication Header ， AH )協(xié)議定義了認證的應(yīng)用方法，封裝安全負載( Encapsulatin g Security Payload ， ESP )協(xié)議定義了加密和可選認證的應(yīng)用方法。在實際進行 IP 通 信時，可以根據(jù)安全需求同時使用這兩種協(xié)議或選擇使

15、用其中的一種。 AH 和 ESP 都可以 提供認證服務(wù)，不過， AH 提供的認證服務(wù)要強于 ESP 。在一個特定的 IP 通信中使用 AH 或 ESP 時，協(xié)議將與一組安全信息和服務(wù)發(fā)生關(guān)聯(lián)， 稱為安全關(guān)聯(lián)( Security Association ， SA )。 SA 可以包含認證算法、加密算法、用于 認證和加密的密鑰。 IPSec 使用一種密鑰分配和交換協(xié)議如 Internet 安全關(guān)聯(lián)和密鑰管理 協(xié)議( Internet Security Association and Key Management Protocol ， ISAKMP ) 來創(chuàng)建和維護SA。SA是一個單向的邏輯連接，也

16、就是說，兩個主機之間的認證通信將使 用兩個 SA ，分別用于通信的發(fā)送方和接收方。IPSec定義了兩種類型的 SA :傳輸模式SA和隧道模式SA。傳輸模式SA是在IP包 頭(以及任何可選的擴展包頭)之后和任何高層協(xié)議(如 TCP 或 UDP )包頭之前插入 AH 或 ESP 包頭，隧道模式 SA 是將整個原始的 IP 數(shù)據(jù)報放入一個新的 IP 數(shù)據(jù)報中。在采用 隧道模式 SA 時，每一個 IP 數(shù)據(jù)報都有兩個 IP 包頭:外部 IP 包頭和內(nèi)部 IP 包頭。外部 I P 包頭指定將對 IP 數(shù)據(jù)報進行 IPSec 處理的目的地址， 內(nèi)部 IP 包頭指定原始 IP 數(shù)據(jù)報最 終的目的地址。傳輸模

17、式 SA 只能用于兩個主機之間的 IP 通信，而隧道模式 SA 既可以用 于兩個主機之間的 IP 通信，還可以用于兩個安全網(wǎng)關(guān)之間或一個主機與一個安全網(wǎng)關(guān)之間 的 IP 通信。安全網(wǎng)關(guān)可以是路由器、防火墻或 VPN 設(shè)備。做為 IPv6 的一個組成部分， IPSec 是一個網(wǎng)絡(luò)層協(xié)議。它只負責其下層的網(wǎng)絡(luò)安全， 并不負責其上層應(yīng)用的安全，如 Web 、電子郵件和文件傳輸?shù)?。也就是說，驗證一個 We b會話，依然需要使用 SSL協(xié)議。不過，TCP/IPV6 協(xié)議簇中的協(xié)議可以從 IPSec中受益， 例如，用于 IPv6 的 OSPF 路由協(xié)議就去掉了用于 IPv4 的 OSPF 中的認證機制。

18、Ipv4 向 IpV6 的過渡。盡管 IPV6 比 IPV4 具有明顯的先進性，但是 IETF 認識到，要想在短時間內(nèi)將 Intern et 和各個企業(yè)網(wǎng)絡(luò)中的所有系統(tǒng)全部從 IPV4 升級到 IPV6 是不可能的，換言之， IPV6 與 IPV4 系統(tǒng)在 Internet 中長期共存是不可避免的現(xiàn)實。 為此， 做為 IPV6 研究工作的一個部 分， IETF 制定了推動 IPV4 向 IPV6 過渡的方案，其中包括三個機制：兼容 IPV4 的 IPV6 地址、雙 IP 協(xié)議棧和基于 IPV4 隧道的 IPV6 。兼容 IPV4 的 IPV6 地址是一種特殊的 IPV6 單點廣播地址，一個 I

19、PV6 節(jié)點與一個 IP V4 節(jié)點可以使用這種地址在 IPV4 網(wǎng)絡(luò)中通信。這種地址是由 96 個0 位加上 32 位 IPV4 地址組成的，例如，假設(shè)某節(jié)點的 IPV4 地址是 ，那么兼容 IPV4 的 IPV6 地 址就是 0:0:0:0:0:0:C038:101。雙 IP 協(xié)議棧是在一個系統(tǒng) （如一個主機或一個路由器） 中同時使用 IPV4 和 IPV6 兩個 協(xié)議棧。這類系統(tǒng)既擁有 IPV4 地址，也擁有 IPV6 地址，因而可以收發(fā) IPV4 和 IPV6 兩 種 IP 數(shù)據(jù)報。與雙 IP 協(xié)議棧相比，基于 IPV4 隧道的 IPV6 是一種更為復(fù)雜的技術(shù)，它

20、是將整個 IP V6 數(shù)據(jù)報封裝在 IPV4 數(shù)據(jù)報中，由此實現(xiàn)在當前的 IPV4 網(wǎng)絡(luò)（如 Internet ）中 IPV6 節(jié)點與 IPV4 節(jié)點之間的 IP 通信?；?IPV4 隧道的 IPV6 實現(xiàn)過程分為三個步驟：封裝、 解封和隧道管理。封裝，是指由隧道起始點創(chuàng)建一個 IPV4 包頭，將 IPV6 數(shù)據(jù)報裝入一個 新的 IPV4 數(shù)據(jù)報中。解封，是指由隧道終結(jié)點移去 IPV4 包頭，還原原始的 IPV6 數(shù)據(jù)報。 隧道管理，是指由隧道起始點維護隧道的配置信息，如隧道支持的最大傳輸單元（MTU ）的尺寸等。IPv4 隧道有四種方案： 路由器對路由器、 主機對路由器、 主機對主機、 路

21、由器對主機。 如圖所示的使用 IPv4 路由基礎(chǔ)設(shè)施傳遞 IPv6 數(shù)據(jù)報的網(wǎng)絡(luò)中，可以根據(jù)兩個主機之間特 定的通信選用相應(yīng)的隧道方案。 例如： 當主機 2 向主機 4 發(fā)送一個 IPv6 數(shù)據(jù)報時， 路由器 A 將把該 IPv6 數(shù)據(jù)報封裝在一個目的地址為路由器 B 的 IPv4 數(shù)據(jù)報中。當路由器 B 收 到該 IPv4 數(shù)據(jù)報后，就將它解封，取出其中的 IPv6 數(shù)據(jù)報并將其發(fā)往主機 4 。在這個隧 道中，隧道終結(jié)點（路由器 B ）不是數(shù)據(jù)報的最終目的地址（主機 4）。當隧道起始點（路 由器 A ）建立隧道時， 必須確定隧道終結(jié)點并從配置信息中找到隧道終結(jié)點的地址，因此這種類型的隧道被稱為配置隧道（ configured tunneling ）。當主機 7 向主機 1 發(fā)送一個 I Pv6 數(shù)據(jù)報時，主機 7 在它與路由器