新一代网络协议IPV6分析1.docx
《新一代网络协议IPV6分析1.docx》由会员分享,可在线阅读,更多相关《新一代网络协议IPV6分析1.docx(19页珍藏版)》请在冰豆网上搜索。
新一代网络协议IPV6分析1
新一代网络协义IPV6分析
学号:
学生姓名:
刘志利
指导教师:
余飞跃
河南司法警官职业学院
信息技术系
2014年4月
摘要
下一代网络协议的核心协议就是IPv6,在IPV4地址大量匮乏的情况下,而企业尤其是电子商务企业、电信运营商、终端用户对IP地址大量需求的情况下,IPv4过渡到IPv6势在必行。
本文介绍并分析了IPv6协议,分析新一代网络协议IPV6的产生、寻址方式,并对技术发展趋势作一个展望。
关键词
IPV6;部署;IPV4;网络协议;地址
1.引言...............................................................III
1、引言
IPv6协议是下一代互联网(NGI)中的重要协议。
经过多年的发展,IPv6基本标准日益成熟,各不同类型的支持IPv6的网络设备相继问世并逐渐进入商业应用。
在运营领域,国外部分电信运营商已经建立IPv6网络,并开始提供接入服务以及一些基于IPv6的增值业务。
我国也在2003年底启动了中国的下一代互联网(CNGI)工程,以促进NGI在中国的普及及发展。
在网络已经基本成熟的条件下,如何在其上为用户提供新的业务,并为运营商创造新的价值,这是下一代互联网成功的关键。
本文主要讨论了IPv6业务及应用的发展现状、IPv6协议在支持新业务方面的优势、IPv6及下一代网络业务系统/平台之间的关系、在业务系统中部署IPv6的总体策略等。
IP网络是指以TCP/IP协议为基础通信协议的网络,著名的Internet是IP网的一种,也是最具代表性的IP网络。
IP网络的发展具有传奇色彩,连TCP/IP的发明者和IP网的初始形成网(ARPAnet)的创始者都绝对不会想到IP网会有如此辉煌的今天。
现在还没有哪一种技术能像IP技术那样正在改变世界的面貌。
IP业务呈现出爆炸性增长应归功于Web。
正是Web以及后来的Webbase技术的相继出现,才导致IP业务的爆炸性增长。
Web业务和Webbase业务的出现,使IP网的作用彻底发生了变化,使得IP网成为无所不能和无所不会的网络。
近年来,IP网上的业务正在转向实时业务,IP电话就是其中一个有代表性的业务。
目前,尽管在IP网上运行实时业务还存在这样那样的问题,但IP网上实时业务的尝试是成功的。
实时业务的尝试成功,更进一步鼓舞了IP界。
IPv4是70年代制定的协议,随着全球IP网络规模的不断扩大和用户数的迅速增长,IPv4协议已经不能适应发展的需要。
早在90年代初,有关专家就预见到IP协议换代的必然性,提出在下一代网络中用IPv6协议来取代IPv4。
IPv6是在1992年提出来的,其主要起因是由于Web的出现导致IP网的迅猛发展,IP网的用户迅速增加,IP地址空前紧张。
由于IPv4只用32位二进制数来表示地址,地址空间很小,IP网将因地址空间的地址耗尽而无法继续发展。
因而,IPv6首先要解决的问题是扩大地址空间。
20年来,IPv4协议本身已暴露出一些不足。
而IPv6是90年代提出的,IPv4的不足可以在IPv6中得到改进。
IPv6有许多优良的特性,尤其在IP地址量、安全性、服务质量、移动性等方面,其优势更加明显。
采用IPv6的网络将比现有的网络更具扩展性,更安全,并更容易为用户提供高质量服务。
2.IPV6简介
IPv6是“InternetProtocolVersion6”的缩写,它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。
目前的全球因特网所采用的协议族是TCP/IP协议族。
IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。
IPv6正处在不断发展和完善的过程中,它在不久的将来将取代目前被广泛使用的IPv4。
每个人将拥有更多IP地址。
目前我们使用的第二代互联网IPv4技术,核心技术属于美国。
它的最大问题是网络地址资源有限,从理论上讲,编址1600万个网络、40亿台主机。
但采用A、B、C三类编址方式后,可用的网络地址和主机地址的数目大打折扣,以至目前的IP地址近乎枯竭。
其中北美占有3/4,约30亿个,而人口最多的亚洲只有不到4亿个,中国截止2010年6月IPv4地址数量达到2.5亿,落后于4.2亿网民的需求。
地址不足,严重地制约了我国及其他国家互联网的应用和发展。
一方面是地址资源数量的限制,另一方面是随着电子技术及网络技术的发展,计算机网络将进入人们的日常生活,可能身边的每一样东西都需要连入全球因特网。
在这样的环境下,IPv6应运而生。
单从数字上来说,IPv6所拥有的地址容量是IPv4的约8×10^28倍,达到2^128(算上全零的)个。
这不但解决了网络地址资源数量的问题,同时也为除电脑外的设备连入互联网在数量限制上扫清了障碍。
但是及IPv4一样,IPv6一样会造成大量的IP地址浪费。
准确的说,使用IPv6的网络并没有2^128个能充分利用的地址。
首先,要实现IP地址的自动配置,局域网所使用的子网的前缀必须等于64,但是很少有一个局域网能容纳2^64个网络终端;其次,由于IPv6的地址分配必须遵循聚类的原则,地址的浪费在所难免。
但是,如果说IPv4实现的只是人机对话,而IPv6则扩展到任意事物之间的对话,它不仅可以为人类服务,还将服务于众多硬件设备,如家用电器、传感器、远程照相机、汽车等,它将是无时不在,无处不在的深入社会每个角落的真正的宽带网。
而且它所带来的经济效益将非常巨大。
当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。
IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远看,IPv6有利于互联网的持续和长久发展。
目前,国际互联网组织已经决定成立两个专门工作组,制定相应的国际标准。
3.IPV6的特点
3.1IPV6地址长度为128比特,地址空间增大了2的96次方倍;
3.2灵活的IP报文头部格式。
使用一系列固定格式的扩展头部取代了IPV4中可变长度的选项字段。
IPV6中选项部分的出现方式也有所变化,使路由器可以简单路过选项而不做任何处理,加快了报文处理速度;
3.3IPV6简化了报文头部格式,字段只有7个,加快报文转发,提高了吞吐量;
3.4提高安全性。
身份认证和隐私权是IPV6的关键特性;
3.5支持更多的服务类型;
3.6允许协议继续演变,增加新的功能,使之适应未来技术的发展.
4.IPV6的优势
及IPV4相比,IPV6具有以下几个优势:
一,IPv6具有更大的地址空间。
IPv4中规定IP地址长度为32,即有2^32-1(符号^表示升幂,下同)个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址。
二,IPv6使用更小的路由表。
IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
三,IPv6增加了增强的组播(Multicast)支持以及对流的支持(FlowControl),这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,QualityofService)控制提供了良好的网络平台。
四,IPv6加入了对自动配置(AutoConfiguration)的支持。
这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。
五,IPv6具有更高的安全性。
在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,极大的增强了网络的安全性
IPv6的长分布式结构图
5.IPV6操作方法
5.1IPv6的操作介绍
IPv6包由IPv6包头(40字节固定长度)、扩展包头和上层协议数据单元三部分组成。
IPv6包扩展包头中的分段包头(下文详述)中指名了IPv6包的分段情况。
其中不可分段部分包括:
IPv6包头、Hop-by-Hop选项包头、目的地选项包头(适用于中转路由器)和路由包头;可分段部分包括:
认证包头、ESP协议包头、目的地选项包头(适用于最终目的地)和上层协议数据单元。
但是需要注意的是,在IPv6中,只有源节点才能对负载进行分段,并且IPv6超大包不能使用该项服务。
5.2.IPv6数据包:
包头
IPv6包头长度固定为40字节,去掉了IPv4中一切可选项,只包括8个必要的字段,因此尽管IPv6地址长度为IPv4的四倍,IPv6包头长度仅为IPv4包头长度的两倍。
其中的各个字段分别为:
Version(版本号):
4位,IP协议版本号,值=6。
TrafficClass(通信类别):
8位,指示IPv6数据流通信类别或优先级。
功能类似于IPv4的服务类型(TOS)字段。
FlowLabel(流标记):
20位,IPv6新增字段,标记需要IPv6路由器特殊处理的数据流。
该字段用于某些对连接的服务质量有特殊要求的通信,诸如音频或视频等实时数据传输。
在IPv6中,同一信源和信宿之间可以有多种不同的数据流,彼此之间以非“0”流标记区分。
如果不要求路由器做特殊处理,则该字段值置为“0”。
PayloadLength(负载长度):
16位负载长度。
负载长度包括扩展头和上层PDU,16位最多可表示65535字节负载长度。
超过这一字节数的负载,该字段值置为“0”,使用扩展头逐个跳段(Hop-by-Hop)选项中的巨量负载(JumboPayload)选项。
NextHeader(下一包头):
8位,识别紧跟IPv6头后的包头类型,如扩展头(有的话)或某个传输层协议头(诸如TCP,UDP或着ICMPv6)。
HopLimit(跳段数限制):
8位,类似于IPv4的TTL(生命期)字段,用包在路由器之间的转发次数来限定包的生命期。
包每经过一次转发,该字段减1,减到0时就把这个包丢弃。
SourceAddress(源地址):
128位,发送方主机地址。
DestinationAddress(目的地址):
128位,在大多数情况下,目的地址即信宿地址。
但如果存在路由扩展头的话,目的地址可能是发送方路由表中下一个路由器接口。
5.3.IPv6数据包:
扩展包头
IPv6包头设计中对原IPv4包头所做的一项重要改进就是将所有可选字段移出IPv6包头,置于扩展头中。
由于除Hop-by-Hop选项扩展头外,其他扩展头不受中转路由器检查或处理,这样就能提高路由器处理包含选项的IPv6分组的性能。
通常,一个典型的IPv6包,没有扩展头。
仅当需要路由器或目的节点做某些特殊处理时,才由发送方添加一个或多个扩展头。
及IPv4不同,IPv6扩展头长度任意,不受40字节限制,以便于日后扩充新增选项,这一特征加上选项的处理方式使得IPv6选项能得以真正的利用。
但是为了提高处理选项头和传输层协议的性能,扩展头总是8字节长度的整数倍。
目前,RFC2460中定义了以下6个IPv6扩展头:
Hop-by-Hop(逐个跳段)选项包头、目的地选项包头、路由包头、分段包头、认证包头和ESP协议包头:
(一)Hop-by-Hop选项包头包含分组传送过程中,每个路由器都必须检查和
处理的特殊参数选项。
其中的选项描述一个分组的某些特性或用于提供填充。
这些选项有:
Pad1选项(选项类型为0),填充单字节。
PadN选项(选项类型为1),填充2个以上字节。
JumboPayload选项(选项类型为194),用于传送超大分组.使用JumboPayload选项,分组有效载荷长度最大可达4,294,967,295字节。
负载长度超过65,535字节的IPv6包称为“超大包”。
路由器警告选项(选项类型为5),提醒路由器分组内容需要做特殊处理。
路由器警告选项用于组播收听者发现和RSVP(资源预定)协议。
(二)目的地选项包头指名需要被中间目的地或最终目的地检查的信息。
有两种用法:
如果存在路由扩展头,则每一个中转路由器都要处理这些选项。
如果没有路由扩展头,则只有最终目的节点需要处理这些选项。
(三)路由包头:
类似于IPv4的松散源路由。
IPv6的源节点可以利用路由扩展包头指定一个松散源路由,即分组从信源到信宿需要经过的中转路由器列表。
(四)分段包头:
提供分段和重装服务。
当分组大于链路最大传输单元(MTU)时,源节点负责对分组进行分段,并在分段扩展包头中提供重装信息。
(五)认证包头:
提供数据源认证、数据完整性检查和反重播保护。
认证包头不提供数据加密服务,需要加密服务的数据包,可以结合使用ESP协议。
(六)ESP协议包头:
提供加密服务。
IPv6包头结构
5.4.IPv6数据包:
上层协议数据单元
上层数据单元即PDU,全称为ProtocolDataUnit。
PDU由传输头及其负载(如ICMPv6消息、或UDP消息等)组成。
而IPv6包有效负载则包括IPv6扩展头和PDU,通常所能允许的最大字节数为65535字节,大于该字节数的负载可通过使用扩展头中的JumboPayload(见上文)选项进行发送。
6.IPV6的实际应用及安全性问题
6.1.IPv6编址
从IPv4到IPv6最显著的变化就是网络地址的长度。
RFC2373和RFC2374定义的IPv6地址,就像下面章节所描述的,有128位长;IPv6地址的表达形式一般采用32个十六进制数。
IPv6中可能的地址有3.4×10^38个。
也可以想象为16个因为32位地址每位可以取16个不同的值。
在很多场合,IPv6地址由两个逻辑部分组成:
一个64位的网络前缀和一个64位的主机地址,主机地址通常根据物理地址自动生成,叫做EUI-64(或者64-位扩展唯一标识)。
6.2.IPv6地址表示
IPv6地址为128位长,但通常写作8组,每组为四个十六进制数的形式。
例如:
2001:
0db8:
85a3:
08d3:
1319:
8a2e:
0370:
7344是一个合法的IPv6地址。
IPv6网络地址和IPv4网络地址的转化关系
IPv6网络地址和IPv4网络地址的转化关系
如果四个数字都是零,可以被省略。
例如:
2001:
0db8:
85a3:
0000:
1319:
8a2e:
0370:
7344等价于
2001:
0db8:
85a3:
:
1319:
8a2e:
0370:
7344遵从这些规则,如果因为省略而出现了两个以上的冒号的话,可以压缩为一个,但这种零压缩在地址中只能出现一次。
因此:
2001:
0DB8:
0000:
0000:
0000:
0000:
1428:
57ab
2001:
0DB8:
0000:
0000:
0000:
:
1428:
57ab
2001:
0DB8:
0:
0:
0:
0:
1428:
57ab
2001:
0DB8:
0:
:
0:
1428:
57ab
2001:
0DB8:
:
1428:
57ab都使合法的地址,并且他们是等价的。
但
2001:
:
25de:
:
cade是非法的。
(因为这样会使得搞不清楚每个压缩中有几个全零的分组)
同时前导的零可以省略,因此:
2001:
0DB8:
02de:
:
0e13等价于2001:
DB8:
2de:
:
e13
一个IPv6地址可以将一个IPv4地址内嵌进去,并且写成IPv6形式和平常习惯的IPv4形式的混合体。
IPv6有两种内嵌IPv4的方式:
IPv4映像地址和IPv4兼容地址。
IPv4映像地址有如下格式:
:
:
ffff:
192.168.89.9
这个地址仍然是一个IPv6地址,只是0000:
0000:
0000:
0000:
0000:
ffff:
c0a8:
5909的另外一种写法罢了。
IPv4映像地址布局如下:
|80bits|16|32bits|
+----------------------------+--------+------------------------|
0000....................0000|FFFF|IPv4address|
+----------------------------+--------+-----------------------|
IPv4兼容地址写法如下:
:
:
192.168.89.9
如同IPv4映像地址,这个地址仍然是一个IPv6地址,只是0000:
0000:
0000:
0000:
0000:
0000:
c0a8:
5909的另外一种写法罢了。
IPv4兼容地址布局如下:
|80bits|16|32bits|
+----------------------------+--------+------------------------|
0000....................0000|0000|IPv4address|
+----------------------------+--------+-----------------------|
IPv4兼容地址已经被舍弃了,所以今后的设备和程序中可能不会支持这种地址格式。
6.3.IPv6安装
1.Windows2000操作系统
(1)确认windows操作系统的补丁包已经升级到SP4。
(2)下载补丁包“tcpipv6-sp4.exe”,并双击运行该自解压文件。
(3)依次打开“控制面板”、“网络和拨号连接”,右击“本地连接”,再依次单击“属性”、“安装”、“协议”,选择“MSRIPv6Protocol”协议,即可成功安装IPv6协议栈。
2.WindowsXP/Windows7操作系统
(1)IPv6协议栈的安装
在开始-->运行处执行ipv6install
(2)IPv6地址设置
在开始-->运行处执行netsh进入系统网络参数设置环境,然后执行
interfaceipv6
画面显示:
netshinterfaceipv6>
然后再执行
addaddress“本地连接”2001:
da8:
207:
:
9402
(3)IPv6默认网关设置
在上述系统网络参数设置环境中执行
addroute:
:
/0“本地连接”2001:
da8:
207:
:
9401publish=yes
(4)网络测试命令
ping6、tracert6
3.Linux操作系统
(1)安装ipv6协议
modprobeipv6
(2)IPv6地址设置
ifconfigeth0inet6add2001:
da8:
207:
:
9402
(3)IPv6默认网关设置
route-Ainet6add:
:
/0gw2001:
da8:
207:
:
9401
(4)网络测试命令
ping6、traceroute6
6.4.IPv6的安全性问题
现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危,每天上网开了实时防病毒程序还不够,还要继续使用个人防火墙,打开实时防木马程序才敢上网冲浪。
诸多人把这些都归咎于IPv4网络。
现在IPv6来了,它设计的时候充分研究了以前IPv4的各种问题,在安全性上得到了大大的提高。
但是是不是IPv6就没有安全问题了?
答案是否定的。
目前,病毒和互联网蠕虫是最让人头疼的网络攻击行为。
但这种传播方式在IPv6的网络中就不再适用了,因为IPv6的地址空间实在是太大了,如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机,就犹如大海捞针。
在IPv6的世界中,对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。
所以,在IPv6的世界里,病毒、互联网蠕虫的传播将变得非常困难。
但是,基于应用层的病毒和互联网蠕虫是一定会存在的,电子邮件的病毒还是会继续传播。
此外,还需要注意IPv6网络中的关键主机的安全。
IPv6中的组发地址定义方式给攻击者带来了一些机会。
例如,IPv6地址FF05:
:
3是所有的DHCP服务器,就是说,如果向这个地址发布一个IPv6报文,这个报文可以到达网络中所有的DHCP服务器,所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。
6.5.IPv4到IPv6的过渡技术
另外,不管是IPv4还是IPv6,都需要使用DNS,IPv6网络中的DNS服务器就是一个容易被黑客看中的关键主机。
也就是说,虽然无法对整个网络进行系统的网络侦察,但在每个IPv6的网络中,总有那么几台主机是大家都知道网络名字的,也可以对这些主机进行攻击。
而且,因为IPv6的地址空间实在是太大了,很多IPv6的网络都会使用动态的DNS服务。
而如果攻击者可以攻占这台动态DNS服务器,就可以得到大量的在线IPv6的主机地址。
另外,因为IPv6的地址是128位,很不好记,网络管理员可能会常常使用一下好记的IPv6地址,这些好记的IPv6地址可能会被编辑成一个类似字典的东西,病毒找到IPv6主机的可能性小,但猜到IPv6主机的可能性会大一些。
而且由于IPv6和IPv4要共存相当长一段时间,很多网络管理员会把IPv4的地址放到IPv6地址的后32位中,黑客也可能按照这个方法来猜测可能的在线IPv6地址。
所以,对于关键主机的安全需要特别重视,不然黑客就会从这里入手从而进入整个网络。
所以,网络管理员在对主机赋予IPv6地址时,不应该使用好记的地址,也要尽量对自己网络中的IPv6地址进行随机化,这样会在很大程度上减少这些主机被黑客发现的机会。
以下这些网络攻击技术,不管是在IPv4还是在IPv6的网络中都存在,需要引起高度的重视:
报文侦听,虽然IPv6提供了IPSEC最为保护报文的工具,但由于公匙和密钥的问题,在没有配置IPsec的情况下,偷看IPv6的报文仍然是可能的;应用层的攻击,显而易见,任何针对应用层,如WEB服务器,数据库服务器等的攻击都将仍然有效;中间人攻击,虽然IPv6提供了IPsec,还是有可能会遭到中间人的攻击,所以应尽量使用正常的模式来交换密匙;洪水攻击,不论在IPv4还是在IPv6的网络中,向被攻击的主机发布大量的网络流量的攻击将是会一直存在的,虽然在IPv6中,追溯攻击的源头要比在IPv4中容易一些。
7.IPv6地址设置及使用方法
7.1.IPv6协议栈的安装及IPv6地址设置指南
1.WindowsXP/Windows7操作系统
(1)IPv6协议栈的安装:
在开始-->运行处执行ipv6install
(2)IPv6地址设置:
在开始-->运行处执行netsh进入系统网络参数设置环境,然后执行:
interfaceipv6addaddress“本地连接”2001:
da8:
207:
:
9402
(3)IPv6默认网关设置:
在上述系统网络参数设置环境中执行[4] interfaceipv6addroute:
:
/0“本地连接”2001:
da8:
207:
:
9401publish=yes
(4)网络测试命令:
ping6、tracert6
2.Windows2000操作系统
(1)下载IPv6软件包
(2)安装IPv6软