《下一代互联网协议》由会员分享,可在线阅读,更多相关《下一代互联网协议(49页珍藏版)》请在金锄头文库上搜索。
1、第第5章章 下一代互联网协议下一代互联网协议IPv6以以IPv4为基础的网络体系局限凸现为基础的网络体系局限凸现F根据亚太网络信息中心 互联网研究科学家 在年月的最新预测,按照最近年 地址分配速度,互联网地址分配机构 的地址将在年月耗尽IPv6的优势的优势地址容量巨大地址容量巨大 理理论论上上有有2 2128128个个地地址址,足足够够为为地地球球上上每每一一粒粒沙沙子子分分配配一一个独立地址个独立地址具有更好的可运营可管理性具有更好的可运营可管理性支持邻居发现和自动配置支持邻居发现和自动配置具有更好的移动性支持具有更好的移动性支持解决了解决了Mobile IPv4Mobile IPv4三角路
2、由问题三角路由问题解决了解决了Mobile IPv4Mobile IPv4防火墙入口过滤问题防火墙入口过滤问题路由优化,结构简化:取消了外地代理的概念路由优化,结构简化:取消了外地代理的概念解决了解决了Mobile IPv4Mobile IPv4隧道软状态问题隧道软状态问题IPv6的优势的优势内置安全性功能内置安全性功能 增加了增加了AHAH和和ESPESP都是扩展报头,提供网络层的安全保证都是扩展报头,提供网络层的安全保证将将IPSecIPSec的的安安全全机机制制集集成成在在IPv6IPv6协协议议中中,内内置置的的VPNVPN业业务能力务能力高效的服务质量高效的服务质量(QOS) (QO
3、S) 增加了流标示扩展头增加了流标示扩展头提高了数据包处理效率提高了数据包处理效率未来可区分服务级别和基于服务级别计费未来可区分服务级别和基于服务级别计费协议本身的扩展性问题协议本身的扩展性问题TLVTLV的消息结构,提高了对增值业务的支持能力的消息结构,提高了对增值业务的支持能力对对IPv6的一些误解的一些误解FIPv6IPv6的唯一驱动力是地址空间不足的唯一驱动力是地址空间不足 地址空间不足仅仅是其中的一个原因。若为解决地址空地址空间不足仅仅是其中的一个原因。若为解决地址空间不足,使用间不足,使用6464位的地址就够了。之所以采用位的地址就够了。之所以采用128128位地址,位地址,是因为
4、它能提供更好的层次结构,这对高效的路由算法、地是因为它能提供更好的层次结构,这对高效的路由算法、地址自动配置来说是必不可少的。址自动配置来说是必不可少的。F不需要全新的不需要全新的IPv6IPv6,只要对只要对IPv4IPv4进行扩充就足够进行扩充就足够 虽然在虽然在IPv4IPv4发展的过程中,人们总是通过一些巧妙的补发展的过程中,人们总是通过一些巧妙的补丁方案解决它暴露出来的缺陷,但是可以说原始的丁方案解决它暴露出来的缺陷,但是可以说原始的TCP/IPTCP/IP框框架已经发展到了它的极限,已经不可能再通过打补丁的方式架已经发展到了它的极限,已经不可能再通过打补丁的方式来应付了。来应付了。
5、FNATNAT技术已较好的解决了地址空间不足的问题,如技术已较好的解决了地址空间不足的问题,如p2pp2p应用的应用的问题已经可以通过问题已经可以通过udpudp穿越等方法得到解决,穿越等方法得到解决,btbt等已经可以在等已经可以在NATNAT后面连接,后面连接,IPv6IPv6的优势不明显。的优势不明显。 NATNAT技术破坏了端到端的高性能通信模式,尽管很多技术破坏了端到端的高性能通信模式,尽管很多P2PP2P的的applicationapplication都可以很好的克服都可以很好的克服natnat的穿越问题,但我们也的穿越问题,但我们也看到,这些克服不是从看到,这些克服不是从tcp/
6、iptcp/ip协议的角度让他本身避免或克协议的角度让他本身避免或克服的,而是服的,而是applicationapplication自己考虑办法来克服的,或者需要自己考虑办法来克服的,或者需要NAT NAT 软件能很好的读懂软件能很好的读懂applicationapplication的协议。这点是很不符合的协议。这点是很不符合网络分层设计的原则的,不但增加了重复劳动降低效率的机网络分层设计的原则的,不但增加了重复劳动降低效率的机会,也提供给黑客更多的出现漏洞的机会。会,也提供给黑客更多的出现漏洞的机会。NAT 引发问题F打破了全球独特的地址模式打破了全球独特的地址模式F打破了地址的稳定性打破了
7、地址的稳定性F打破了一直在线的模式打破了一直在线的模式F打破了对等的模式打破了对等的模式F妨碍了一些应用的实施妨碍了一些应用的实施F妨碍了一些安全协议的实施妨碍了一些安全协议的实施F妨碍了一些妨碍了一些QoSQoS功能的实施功能的实施F带来了错误的安全感带来了错误的安全感F导致了隐性成本导致了隐性成本IPv6 = IPv6 = 足够的全球地址足够的全球地址 = = 无无NATNATF截至截至20082008年年1212月,中国下一代互联网示范工月,中国下一代互联网示范工程核心网已经完成建设任务,该核心网由程核心网已经完成建设任务,该核心网由6 6个个主干网、两个国际交换中心及相应的传输链主干网
8、、两个国际交换中心及相应的传输链路组成,路组成,6 6个主干网由在北京和上海的国际交个主干网由在北京和上海的国际交换中心实现互联。目前换中心实现互联。目前CERNET2CERNET2、中国电信、中国电信、中国网通中科院、中国移动、中国联通和中国网通中科院、中国移动、中国联通和中国铁通这中国铁通这6 6个主干网含国际交换中心已全部个主干网含国际交换中心已全部完成验收。已经向互联网标准组织完成验收。已经向互联网标准组织IETFIETF申请申请互联网标准草案互联网标准草案9 9项,已获批准项,已获批准2 2项,这也是项,这也是我国第一次进入互联网核心标准领域。我国第一次进入互联网核心标准领域。IPv
9、6 地址表示F128 位F通过8个由冒号分开的分段来表示F以十六进制书写每个16-位分段实例:实例:3ffe:3700:1100:0001:d9e6:0b9d:14c6:45ee3ffe:3700:1100:0001:d9e6:0b9d:14c6:45eeIPv6 地址压缩F每个16-位分段中的开头的零都可以压缩实例:实例:fe80:0210:1100:0006:0030:a4ff:000c:0097fe80:0210:1100:0006:0030:a4ff:000c:0097成为:成为:fe80:210:1100:6:30:a4ff:c:97fe80:210:1100:6:30:a4ff:c
10、:97IPv6 地址压缩F一个或多个临近的16-位分段中所有零的都可以用双冒号表示(:)实例:实例:ff02:0000:0000:0000:0000:0000:0000:0001ff02:0000:0000:0000:0000:0000:0000:0001成为:成为:ff02:1ff02:1但但IPv6 地址压缩F双冒号只能使用一次实例:实例:2001:0000:0000:0013:0000:0000:0b0c:37012001:0000:0000:0013:0000:0000:0b0c:3701可以变成:可以变成:2001:13:0:0:b0c:37012001:13:0:0:b0c:370
11、1或:或:2001:0:0:13:b0c:37012001:0:0:13:b0c:3701但不能变成:但不能变成:2001:13:b0c:37012001:13:b0c:3701嵌入的IPv4地址F一些转换机制将一些转换机制将IPv4IPv4地址嵌入到地址嵌入到IPv6IPv6地址中地址中F嵌入的嵌入的IPv4IPv4地址以带点的十进制数表示地址以带点的十进制数表示:13.1.68.313.1.68.3:ffff:ffff:129.144.52.38129.144.52.38fe80:5efe:fe80:5efe:172.24.240.30172.24.240.30实例:实例:IPv6 前缀表
12、示F类似类似CIDRCIDR符号用于规定前缀长度符号用于规定前缀长度3ffe:0:0:2300:ce21:233:fea0:bc94/603ffe:0:0:2300:ce21:233:fea0:bc94/60201:468:1102:1:1/64201:468:1102:1:1/64实例:实例:IPv6 前缀压缩2002:0000:0000:18d0:0000:0000:0000:0000/602002:0000:0000:18d0:0000:0000:0000:0000/60 可被表示为:可被表示为:2002:18d0:0:0:0:0/602002:18d0:0:0:0:0/602002:0
13、:0:18d0:/602002:0:0:18d0:/60 IPv6 地址类型F单点发送 Unicast识别单一接口发送到单点发送地址的数据包被传输到这个地址识别出的接口F任播 AnyCast识别一系列接口发送到任播地址的数据包被传输到这个地址识别出的最近接口(根据路由协议的定义)F组播 Multicast识别一系列接口发送到组播地址的数据包被传输到这个地址识别出的所有接口FIPv6不带有广播地址IPv6使用“所有节点”组播IPv6 地址作用范围F链路-本地 Link-Local fe80:/10用在单一链路上带有链路-本地源或目的地址的数据包不转发到其它链路F站点-本地 Site-Local
14、fec0:/10用于单一站点带有站点-本地源或目的地址的数据包不转发到其它站点应用与 RFC 1918类似Is deprecated by rfc3879。 2004.1.1停止分配;2006.6.6停止使用。F全球全球唯一地址带有全球地址的数据包可被转发到全球网络的任何部分识别地址类型未规定未规定地址地址环回环回地址地址组播地址组播地址链路链路- -本地单点发送本地单点发送地址地址站点站点- -本地单点发送本地单点发送地址地址全球单点发送全球单点发送/ /任播任播地址地址:/128:/128:1/128:1/128ff00:/8ff00:/8fe80:/10fe80:/10fec0:/10f
15、ec0:/10其它其它类型类型IPv6 IPv6 前缀前缀全球单点发送地址wFP= 格式前缀 (= 001,用于全球聚合的单点发送地址)wTLA-ID= 最高级别的聚合标识符wRES= 预留用于未来使用wNLA= 下一个级别的聚合标识符wSLA-ID=站点级别的聚合标识符w接口 ID=接口标识符接口接口- -IDIDFPFPTLA-IDTLA-IDResResNLA-IDNLA-IDSLA-IDSLA-ID3 313138 8242416166464128 128 位位公共拓扑公共拓扑站点拓扑站点拓扑接口标识符接口标识符网络部分网络部分节点部分节点部分TLA/NLA 格式(建议废弃不用 RFC
16、3587)全球单点发送地址 接口接口- -IDID001001全球路由前缀全球路由前缀子网子网3 3454516166464128128位位公共拓扑公共拓扑站点拓扑站点拓扑接口标识符接口标识符网络部分网络部分节点部分节点部分w全球路由前缀使用类似全球路由前缀使用类似CIDRCIDR的分级体系的分级体系w每个人每个人 (从公司到居民(从公司到居民)都得到都得到48-48-位前缀位前缀w每个人都得到每个人都得到16-16-位子网空间位子网空间w也有例外也有例外(规模非常大的用户及移动节点规模非常大的用户及移动节点)新格式全球单点发送地址F可更加简便地更换ISPF无需调整地址空间F足够的增长空间00
17、1只占总地址空间的1/816-位子网空间足以支持大多数用户F可简化多归F更多信息,请参见RFC 3177前缀和子网长度为何是固定的?前缀和子网长度为何是固定的?接口IDF对链路来说是唯一的F识别特定链路上的接口F可动态获得 IEEE地址采用MAC-to-EUI-64转换其它地址采用其它的自动方法F可用来形成链路-本地地址F可用来形成带有无状态自动配置功能的全球地址组播地址格式组组-ID-ID1111111111111111标记标记8 84 4112112128 128 位位scopscop4 4前前3 3位设为位设为 0 0最后一位定义地址类型:最后一位定义地址类型:0 = 0 = 固定固定
18、(或众所周知(或众所周知)1 = 1 = 本地分配本地分配 (或短期或短期)定义地址范围定义地址范围0 0预留预留1 1节点本地范围节点本地范围2 2链路本地范围链路本地范围5 5站点本地范围站点本地范围8 8企业本地范围企业本地范围9 9E E全局范围全局范围1010F F预留预留一些众所周知的组播地址IPv4 Well-known multicast addressMulticast Group节点-本地范围FF01:1224.0.0.1所有-节点地址FF01:2224.0.0.2所有-路由器地址链路-本地范围FF02:1224.0.0.1所有-节点地址FF02:2224.0.0.2所有-
19、路由器地址FF02:5224.0.0.5OSPFIGPFF02:6224.0.0.6OSPFIGP-DRFF02:9224.0.0.9RIP 路由器FF02:D224.0.0.13所有 PIM路由器站点-本地范围FF05:2224.0.0.2所有-路由器地址任何有效范围FF0X:101224.0.1.1网络时间协议 NTPIPvIPv4 4众所周知的组播地址众所周知的组播地址组播组组播组IPv6 IPv6 众所周知的组播地址众所周知的组播地址F在在2008全球全球IPv6高峰会议,中国互联网信息中心高峰会议,中国互联网信息中心(CNNIC)主任毛伟透露,截至今年主任毛伟透露,截至今年3月底,中
20、国的月底,中国的IP地址数量已经超过地址数量已经超过1.4亿,位居世界第二位。亿,位居世界第二位。 F2006年,我国拥有年,我国拥有9500万万IP地址,实际消耗量达到地址,实际消耗量达到9800万;万;2007年的时候实际消耗量达到年的时候实际消耗量达到1.35亿,居亿,居世界第三位。今年则是超越了日本,居于美国之后;世界第三位。今年则是超越了日本,居于美国之后;在在IP地址人均占有量方面,我国还远远落后于欧美。地址人均占有量方面,我国还远远落后于欧美。 F我国已获得我国已获得IPv4地址数量仅占全球已分配总数量的地址数量仅占全球已分配总数量的4.5%,中国互联网的发展速度非常快,地址制约
21、会,中国互联网的发展速度非常快,地址制约会有明显影响。有明显影响。F在在IPv6地址申请方面,截至地址申请方面,截至2007年年11月,中国大陆月,中国大陆IPv6地址拥有量排名世界第地址拥有量排名世界第16(27块块)。德国最多,。德国最多,接近接近10000块,我国块,我国IPv6地址数量仅为德国地址数量仅为德国1/330。前前16排名依次为德国、日本、法国、澳大利亚、韩排名依次为德国、日本、法国、澳大利亚、韩国、意大利、台湾、波兰、英国、荷兰、美国、挪国、意大利、台湾、波兰、英国、荷兰、美国、挪威、瑞士、加拿大、阿根廷和中国大陆。威、瑞士、加拿大、阿根廷和中国大陆。 IPv4和和IPv6
22、 报头格式报头格式IPv4 PDUIPv6 PDUminimum20 octetsmaximum65535 octetsIPv4 HeaderData FieldFixed40 octetsmaximum65535 octets0 or moreTransport-level PDUIPv6 HeaderExtensionHeaderExtensionHeaderDestination AddressSource AddressVer IHLService TypeIdentificationFlagsOffsetTTLProtocolHeader ChecksumSource Address
23、Destination AddressOptions + PaddingTotal LengthVerFlow LabelPayload LengthNext HeaderHop LimitTraffic ClassIPv4 vs. IPv6 报头报头IPv4 Packet HeaderIPv4 Packet HeaderIPv6 Packet HeaderIPv6 Packet Header32 bits携带零个、一个或多个扩展报头的携带零个、一个或多个扩展报头的IPv6分组分组 FIPv6 specification recommended order:IPv6 headerHop-by-
24、hop options headerDestination options headerRouting headerFragment headerAuthentication headerEncapsulation security payload headerDestination options headerIPv6 packet with all extension headersOctets:40VariableVariableVariableVariableVariableVariable820 (optional variable part)= Next header fieldI
25、Pv6 headerHop-by-hop options headerRouting headerFragment headerAuthentication headerEncap security payload headerTCP headerApplication data Destination options header扩展选项报头的格式扩展选项报头的格式选项的格式选项的格式IPv6对移动通信的意义对移动通信的意义F未来一体化的移动数据业务网络将提供一个通用的移动应未来一体化的移动数据业务网络将提供一个通用的移动应用平台,实现应用与移动承载技术无关,并支持业务的跨用平台,实现应用与
26、移动承载技术无关,并支持业务的跨系统间切换系统间切换FIPv6将在未来移动数据业务网络中扮演重要角色将在未来移动数据业务网络中扮演重要角色GPRSGSM CSD3GWLANIPv6 Based移动移动数据业务网络数据业务网络SMSMMS移动数据移动数据业务网络业务网络移动数据移动数据承载网络承载网络IPv6网络网络移动移动WebWeb服务器服务器丰富的丰富的WebWeb应用应用F传统传统IP协议未考虑节点的移动性(路由和协议未考虑节点的移动性(路由和节点标识都靠节点标识都靠IP地址)地址)F随无线接入技术的发展(随无线接入技术的发展(PAN、WLAN、WAN),支持节点移动是发展趋势),支持节
27、点移动是发展趋势移动移动IP的引入的引入F无线终端在各种底层无线网络之间的漫游无线终端在各种底层无线网络之间的漫游IP over EverythingF数据、语音、视频等多种类型业务的融合数据、语音、视频等多种类型业务的融合Everything over IP移动移动IP也称为也称为IP Mobility,移动移动IP需解决的问题需解决的问题接入路由器接入路由器1通信对端通信对端移动节点移动节点接入路由器接入路由器2ADDR1ADDR1 DATA移动节点由接入路由器移动节点由接入路由器1连接的子网连接的子网1移动到接入路由器移动到接入路由器2连接的子网连接的子网2子网子网1子网子网2接入路由器
28、接入路由器1通信对端通信对端移动节点移动节点接入路由器接入路由器2ADDR2ADDR1 DATA子网子网1子网子网2IP地址的改变对于通信对端和上层地址的改变对于通信对端和上层(IP层以上)是透明的层以上)是透明的移动节点需要一个在移动过程中移动节点需要一个在移动过程中保持不变的标识保持不变的标识不中断已经建立的连接不中断已经建立的连接通信对端始终能够找到移动节点通信对端始终能够找到移动节点家乡地址家乡地址移动移动IP需解决的问题需解决的问题移动移动IP的基本术语的基本术语F家乡地址家乡地址(HoA: Home Address):移动节点的标识,:移动节点的标识,手动配置或者由家乡网络分配,通
29、常不变手动配置或者由家乡网络分配,通常不变F转交地址转交地址(CoA: Care-of Address):移动节点位置的:移动节点位置的标识,由移动到的外地网络分配,随位置变化标识,由移动到的外地网络分配,随位置变化F家乡代理家乡代理(Home Agent):保存移动节点的家乡地址:保存移动节点的家乡地址和转交地址之间的映射关系和转交地址之间的映射关系(绑定绑定)F通信对端通信对端(Correspond Node):和移动节点进行通信:和移动节点进行通信的网络节点,它可能是静止的节点,也可能是移动的网络节点,它可能是静止的节点,也可能是移动节点节点HoA与与CoA的对应关系称为绑定的对应关系称
30、为绑定(Binding)知道移动节点家乡地址如何将知道移动节点家乡地址如何将IP分分组发送到移动节点的转交地址?组发送到移动节点的转交地址?IP分组先发送到家乡代理,由分组先发送到家乡代理,由家乡代理发送给移动节点!家乡代理发送给移动节点!F移动移动IP基本过程包括以下三个步骤基本过程包括以下三个步骤移动检测移动检测u移动节点检测到自己移动到了外地网络移动节点检测到自己移动到了外地网络u代理公告(移动代理公告(移动IPv4)/路由器公告(移动路由器公告(移动IPv6)转交地址配置转交地址配置u移动移动IPv4外地代理转交地址(即外地代理地址)外地代理转交地址(即外地代理地址)(Foreign
31、Agent CoA)配置转交地址配置转交地址(Co-located CoA)u移动移动IPv6全局可路由转交地址(全局可路由转交地址(CoA)的绑定注册的绑定注册u到家乡代理到家乡代理u到通信对端到通信对端移动移动IP的基本过程的基本过程IPv4 IPv4 InternetInternet协议转换协议转换IPv6IPv6孤岛孤岛IPv6IPv6孤岛孤岛IPv6 IPv6 InternetInternetIPv6 IPv6 InternetInternetIPv4IPv4孤岛孤岛IPv4IPv4孤岛孤岛IPv6IPv6孤岛孤岛IPv6IPv6孤岛孤岛IPv6IPv6孤岛孤岛IPv4 IPv4 I
32、nternetInternetIPv6与与IPv4互通互通IPv4孤岛孤岛IPv6 IPv6 InternetInternetIPv6IPv6网络网络IPv6IPv6网络网络纯纯IPv6网络网络迁迁 移移 设设 想想迁移机制类型F双协议栈IPv4/IPv6 共存于一个设备F隧道用于穿越 IPv4 覆盖范围的IPv6隧道贯穿之后,用于穿越IPv6覆盖范围的IPv4隧道贯穿6over4 和 4over6F翻译器IPv6 IPv4部署IPv6方式一:双栈双栈核心交换机双栈核心交换机IPv4/IPv6双栈网络双栈网络IPv4 userIPv4/IPv6 userIPv6 user双栈路由器双栈路由器I
33、Pv4网络网络IPv6网络网络双协议栈F通常只是 “双层”, 而不是整个栈物理物理/ /数据链路数据链路IPv6IPv6IPv4IPv4TCP/UDPTCP/UDP应用应用0x86DD0x86DD0x08000x0800TCP/UDPTCP/UDP部署IPv6方式二:隧道双栈核心交换机双栈核心交换机IPv4网络网络IPv4 userIPv4/IPv6 userIPv6 user双栈路由器双栈路由器IPv6网络网络IPv4网络网络隧道技术隧道技术隧道应用IPv4IPv4IPv4IPv4IPv6IPv6路由器到路由器路由器到路由器主机到路由器主机到路由器 路由器到主机路由器到主机主机到主机主机到主
34、机IPv6IPv6IPv6IPv6I IP Pv v6 6I IP Pv v6 6IPv4IPv4I IP Pv v6 6IPv6设备设备商业化的路由器商业化的路由器-Juniper T320-Juniper T320、T640T640-Cisco12000-Cisco12000系列系列-Cisco7507B-Cisco7507B-HITACHI GR2000-HITACHI GR2000-Nokia IP330-Nokia IP330- -QuidwayQuidway NE80 NE80- -清华比威清华比威 1200812008- -IPv6 Ready 认证 IPv6 Ready 认证又有“IPv6 Ready Phase-1认证”和“IPv6 Ready Phase-2认证”之分。 “IPv6 Ready Phase-1认证”已经实施多年了,全球已有180多个企业或组织的产品通过“IPv6 Ready Phase-1认证”;“IPv6 Ready Phase-1认证”主要是对IPv6的基本功能进行评价。 “IPv6 Ready Phase-2认证”是IPv6领域最高等级的资质认证,认证内容有核心协议、IPSec、移动IPv6、MLD和过渡机制。目前,全球仅有15个IPv6产品获得了“IPv6 Ready Phase-2认证”。 THANKS !