第九章 下一代网际协议IPv6.docx
《第九章 下一代网际协议IPv6.docx》由会员分享,可在线阅读,更多相关《第九章 下一代网际协议IPv6.docx(10页珍藏版)》请在冰豆网上搜索。
第九章下一代网际协议IPv6
下一代网际协议——IPv6
计算机网络技术和水平,反映了一个国家的科学技术水平。
IPv6是下一代互联网,了解和研究IPv6成为21世纪国家建设和发展的重要内容。
IPv6是下一代互联网,版本为第6版,现在用的网路是IPv4。
IPv6也是TCP/IP网络体系结构
特点:
发展IPv6主要是解决IPv4存在的局限性问题。
IPv4的局限性:
地址仅32位,没有很好地考虑到目前已经发生地址资源不够;
开始的分组网IPv4主要用于军队,没有很好地考虑安全问题;
主要传输业务是数据和文本信息,没有很好地考虑多业务支持;
网络配置复杂,没有很好地实现即查即用,实现网络配置自动管理等问题;
主机在移动物理位置时,不能很好地支持;移动位置需传递原节点数据信息,对本地和异地网络造成影响。
路由转发效率低,每一个数据包需要通过路由器差路由表进行转发,耗用较多转发时间,当网络规模越来越大时(上万个路由器),几乎成为不可能。
IPv4最大的问题是地址资源有限,
IPv4的地址有43亿个,其中北美占有了30亿个,人口最多的亚洲仅有不到4亿个地址,而中国仅有3千多万个地址,只相当于美国麻省理工大的地址数量。
专家估计到2010年,IPv4地址将全部用完。
NAT的缺陷:
NAT破坏了IP端到端的结构模型。
由于NAT隔在中间,破坏了这种结构,NAT的存在增加了时间开销,降低了网络速度。
保持连接的状态使得端口、地址都要额外的处理,也增加额外的处理,并降低安全性。
对包头的转换降低了安全性,
结论:
NAT方式不适宜解决地址资源问题,所以IPv6采用扩大地址容量的办法。
IPv6地址
采用128位地址,有无限的地址资源,地球上每一粒沙子都可得到到一个IP地址。
IPv6采用128位来表示地址:
128位的地址,每16位划为一段,用4位16进制数表达,每一段用冒号隔开。
这种直接表达的方式成为首选格式。
DA57:
0000:
0000:
0000:
0000:
0000:
81FF:
FA10
压缩格式:
可以发现IPv6地址有许多段会出现全0,为了便于书写,每段地址中前边的0可以不写,当一个或多个连续的16比特为0,就用两个冒号来表示。
IPv6地址的分类:
以上地址的压缩格式为:
DA57:
:
81FF:
FA10
内嵌IPv4地址的IPv6地址
将IPv6地址中,前面的96位用16进制表达。
后面的低32位用IPv4表达。
如0:
0:
0:
0:
0:
0:
202.203.128.33
内嵌IPv4地址的IPv6地址用于通过IPv4路由器以隧道方式传送IPv6包
IPv6地址分为三类地址:
单播地址:
点对点的通信地址,类似IPv4的单目地址。
用于标识单一的网络接口。
多播地址:
点对多点的通信地址,一个源节点发送的单个数据报能被多个目的节点接收到。
类似IPv4的组播地址。
用于标识一组网络接口。
任播地址:
目的站点是一组计算机,但是数据报文只要交给其中任意一台即可。
IPv6特有的地址。
任播地址的目标地址是将数据包发给路友谊以上距离最近的一个节点的网络接口。
任播地址适用于移动接入。
单播地址是广为使用的地址:
具体表达为前三位为010,后面有注册机构标识、服务提供者标识、用户标识、子网标识、接口标识(主机地址)
多播地址具体表达为前8位为11111111
P335
任播地址是单波地址中划分出来的地址,
IPv6的报文格式
版本号:
v6
优先级(通信类型):
用于区分不同的数据报或优先级别,目前还在试验。
表示数据包的优先级别,发生网络拥塞时,优先级高的优先传送。
流标识(标签):
用来识别源节点与目的节点之间的特定数据包流(序列),同属于一个流的数据包都具有相同的流标识。
静荷长度:
表示数据包的有效长度,最大静荷长度为65535,超出这个长度则通过扩展段来指示。
下一个首部:
指明在基本首部后面紧跟的有一个扩展首部。
跳数限制:
类似生存周期,当数据报经过一个路由器时,跳数值减1,当跳数值到了0仍然没有达到目的节点,则该数据报将被丢弃,申请重发。
避免无用的数据报在网络中兜圈子。
源地址:
发端主机地址
目的地址:
接收端主机地址。
IPv6与IPv4比较:
去掉了包头长度、标识、分段偏移量、包头校验和、选项、填充项。
IPv6要求固定长度,以提高转发性能,所以IPv6不使用选项。
将分段的业务交到主机处理,提高路由速度,所以不设标识、分段偏移量。
将进一步降低路由器处理分段带来的时间开销。
网络第二层、第四层都有校验,为提高速度,IPv6在第三层不要包头校验和
整体思想,简化报文格式,减少路由器处理时间,提高转发速度,改善性能。
IPv4到IPv6的兼容问题
目前的网络都是IPv4的网络,这些网络需要考虑今后与IPv6兼容的问题。
主要的两个技术:
1、双栈技术
路由器既能让IPv4通过,也能让IPv6通过的技术。
在IPv6的节点中,加入IPv4协议栈,使之具有双协议的节点功能,该节点既可以收发IPv4报文,也可以收发IPv6报文,即可以使IPv4、IPv6节点互通。
同样,IPv4网络需要支持能加入IPv6协议栈,实现IPv4与IPv6的互通。
2、无状态IP/ICMP翻译技术(SIIT)
SIIT实现IP/ICMP报文进行协议转换。
地址的转换:
将IPv4的32位作IPv6的后32位,前面全部为0。
单播地址的三种地址:
本地链路单播地址:
用于在链路上的各节点间进行传输。
标示:
前10位为1111111010
本地站点单播地址:
用于不需要全局前缀的站点内地址,即用于一个单位内部网络的地址(类似IPv4中的私有地址)。
全局单播地址:
就是类似IPv4的单目地址(公网地址)
第八章网络安全与网络管理
8.1系统的安全策略
网络是一个开放的系统,能实现网上设备间的通信以及资源共享,必然伴随带来安全隐患。
网络安全不仅仅是技术问题,还有很大程度上的管理问题,所以网络安全是一个综合性问题。
8.2网络的物理安全策略
1、机房的安全
防盗(视频监控、门禁系统)、
防火(火灾报警系统、温感、烟感,报警主机及系统、气体灭火系统)
防静电(均压环,构成等电位的环境,使静电不能累积产生高压)
防雷(三级电源防雷系统,配电房、配电柜、设备插座,通过防浪涌电流器件实现)
信号防雷系统(光隔离)
接地(机房接地要求接地阻抗低于4欧姆,通过专门的接地处理实现低接地电阻,机房接地要求主要也是防止雷电引起的设备损坏。
温度(机房安装空调,匹配的功率,精密空调,安装风机形成风的循环,下送风,上出风方式,)
湿度(调湿机调整合适的湿度,减小静电的产生)
防地震
电源安全(足够的电源容量设计,提供后备电源UPS,必要的情况配置发电机)
电磁的安全(采用电磁屏蔽的机房防止电磁辐射泄密)
设备的安全:
冗余的电源(N+1)、冗余的引擎(双引擎,双控制器),冗余的设备及线路(双设备、双线路连接)
8.3访问控制安全
1、入网访问控制
通过账户、密码实现入网访问控制
网络管理员设置最小口令长度、强制修改口令的时间,错误口令的登录次数
网络访问的权限控制
控制用户可以访问那些目录,子目录、文件以及资源
权限:
系统管理权限、读写权限、创建、删除、修改、查找、存取。
建立访问控制表,规定不同用户对不同资源的访问权限。
网络服务器安全控制权限:
允许上载、下载的权限,安装、修改、配置的权限,服务器登录时间限制,使用专用的上下载工具
8.4攻击防御和安全防范
网络攻击可以来自外网,也有来自内网。
1、网络监测
设有监测系统,发生攻击给与报警,还可以自动锁定攻击用户地址,通过日志查找攻击源。
2、定期对网络进行安全检查
定期升级系统、打补丁,定期分析设备运行情况,发现入侵痕迹,进行追查。
定期备份系统及数据,发生宕机、不能提供服务后,及时恢复。
(双机备份方式)
8.5网络病毒防范
病毒来源主要是文件下载、共享文件、可执行文件称为病毒传输的重要途径。
如邮件系统从服务器上取自己的邮件,所以在邮件服务器前要加防病毒网关。
防止病毒的措施:
根据系统的特点及存放的数据和信息的特点,选择适合的防病毒软件。
选购中经过小规模的测试在上线使用
维护:
及时地病毒库更新,升级
其它安全技术
1、划分子网
通过划分子网,定义子网间的访问控制策略,实现安全控制
2、设置防火墙
通过防火墙实现两个网间的访问控制(如校园网到城域网,学生宿舍网络到校园网络骨干,学生机房网络到校园网络骨干)
防火墙的三种类型
(1)包过滤防火墙
技术依据包为控制单位,用过访问控制策略决定该包是否能通过
对于恶意侵入的包不能识别
(2)代理型防火墙
通过代理实现访问,由于不能直接接触要访问的网络,降低了被攻击的可能。
通过应用协议分析,认为安全的包才送给被访问网,否则丢弃。
(3)状态检测防火墙
状态检测防火墙检测每一个有效连接的状态,并根据检测决定数据包是否通过防火墙。
状态检测防火墙可以在数据安全和数据处理效率上有机结合,提高访问速度。
(4)综合型防火墙
综合型防火墙针将防病毒破坏、黑客入侵、黄色网站过滤、非法邮件、数据窃听,地址转换、VPN等业务集成在一起,实现综合安全防范。
透明防火墙、非透明防火墙
非透明防火墙(路由模式防火墙),主要支持两个不同网段的互联通信。
透明防火墙可以连接两个位于统一逻辑网段的物理子网。
防火墙的部署:
内网(校园网)+防火墙+边界路由器+外网(Inernet)
3、数据加密
数据加密是防止机密信息的泄密,加密通常需要进行隐蔽的转换,这个转换需要使用密钥进行加密。
加密前的数据称为明文,加密后的数据称为密文。
在密码中使用只有双方才知道的信息称为密钥,通过密钥将明文转换成密文的过程为加密,而通过密钥将密文转换成明文的过程为解密。
著名的加密(凯撒密码)
以3为密钥
(1)对称加密
同一密钥同时做信息的加密和解密,这种方式为对称加密。
凯撒密码属于对称加密
(2)非对称加密
使用两个密钥,其中一个用于加密,一个用于解密,这种方式为非对称加密。
(3)数据加密标准(DES)
1977年由美国国家标准局颁布,采用56位密钥对64位数据块进行加密,每次加密可对64位的输入数据进行16轮编码,经一系列替换和移位后,形成与原始数据完全不同的密文。
具有运算速度快、密钥产生容易,适合在计算机上实现。
现在有专用芯片实现加密、解密。
缺点:
由于密钥容量仅有56位,安全度不够高
(4)三重数据加密(3DES)
为了克服DES的不足,美国1985年推出三重数据加密3DES,3DES密钥长度达168位,具有足够的安全度。
3DES加密时使用加密、解密、加密的方式,解密时使用解密、加密、解密,实现了对DES的兼容。
(5)国际数据加密算法(IDEA)
明文和密文都是64位,但密钥长度为128位,因而更加安全,IDEA将64位数据经过8轮编码和一次变换,得出64位密文,对于每一轮编码,每一个输出比特都于每一个输入比特有关,IDEA比DES加密性好,运算速度快,实现容易,得到广泛的应用。
非对称加密
特点:
密钥被分为一对(公开密钥、私有密钥),公钥用于加密、私钥用于解密。
如果使用信使来传递密钥,将带来极大的不安全性,使用公钥、私钥可以避免这种情况。
非对称加密公开密钥可以广泛公布,但它只对应于生成密钥的交换方,非对称加密具有以下特点:
用公开密钥加密的数据只有使用相应的私钥才能解密
当用户使用公开密钥传递数据时,用户可以在公开密钥中找到与传输数据的用户拥有的私有密钥对应的一个公开密钥,然后用该公钥进行加密数据进行传输,接收用户在收到密文后通过自己的私有密钥进行解密,得到明文。
数据签名
就是在附加在报文一起传送的一串经过加密的代码,目的是让对方相信报文的真实性。
数据签名必须满足以下要求:
发送者事后不能否认对报文的签名
接收者也不能伪造发送者的报文
接收者不能对发送者的报文进行部分修改
网络中的其他用户不能冒充成为报文的发送者和接收者
数字签名一般使用双重解密
首先发送方利用自己的私有密钥对报文进行加密(签名),接着对经过签名的报文利用接收方的公钥再进行加密,传到对方后,接收方先利用接收方的私有密钥进行解密,接着再用发送方发送的公开密钥进行第二次解密(鉴别签名的真实性)。
网络管理的五大功能:
配置管理、故障管理、性能管理、安全管理、计费管理。
配置管理实现网络的配置,网络配置管理指网络中各设备的功能、设备间的关系个工作参数等的配置。
故障管理就是网络出现异常时,能够迅速找到故障原因,排除故障,恢复正常。
主要有网络监测,
升级会员 