第5章下一代互联网协议IPv6.ppt

,第5章 下一代互联网协议IPv6,以IPv4为基础的网络体系局限凸现,根据亚太网络信息中心 互联网研究科学家 在年月的最新预测，按照最近年 地址分配速度，互联网地址分配机构 的地址将在年月耗尽,IPv6的优势,地址容量巨大 理论上有2128个地址，足够为地球上每一粒沙子分配一个独立地址,具有更好的可运营可管理性 支持邻居发现和自动配置,具有更好的移动性支持 解决了Mobile IPv4三角路由问题 解决了Mobile IPv4防火墙入口过滤问题 路由优化，结构简化：取消了外地代理的概念 解决了Mobile IPv4隧道软状态问题,IPv6的优势,内置安全性功能 增加了AH和ESP都是扩展报头，提供网络层的安全保证 将IPSec的安全机制集成在IPv6协议中，内置的VPN业务能力,高效的服务质量(QOS) 增加了流标示扩展头 提高了数据包处理效率 未来可区分服务级别和基于服务级别计费,协议本身的扩展性问题 TLV的消息结构，提高了对增值业务的支持能力,对IPv6的一些误解,IPv6的唯一驱动力是地址空间不足 地址空间不足仅仅是其中的一个原因。若为解决地址空间不足，使用64位的地址就够了。之所以采用128位地址，是因为它能提供更好的层次结构，这对高效的路由算法、地址自动配置来说是必不可少的。 不需要全新的IPv6，只要对IPv4进行扩充就足够 虽然在IPv4发展的过程中，人们总是通过一些巧妙的补丁方案解决它暴露出来的缺陷，但是可以说原始的TCP/IP框架已经发展到了它的极限，已经不可能再通过打补丁的方式来应付了。,NAT技术已较好的解决了地址空间不足的问题，如p2p应用的问题已经可以通过udp穿越等方法得到解决，bt等已经可以在NAT后面连接，IPv6的优势不明显。 NAT技术破坏了端到端的高性能通信模式，尽管很多P2P的application都可以很好的克服nat的穿越问题，但我们也看到，这些克服不是从tcp/ip协议的角度让他本身避免或克服的，而是application自己考虑办法来克服的，或者需要NAT 软件能很好的读懂application的协议。这点是很不符合网络分层设计的原则的，不但增加了重复劳动降低效率的机会，也提供给黑客更多的出现漏洞的机会。,NAT 引发问题,打破了全球独特的地址模式 打破了地址的稳定性 打破了一直在线的模式 打破了对等的模式 妨碍了一些应用的实施 妨碍了一些安全协议的实施 妨碍了一些QoS功能的实施 带来了错误的安全感 导致了隐性成本,IPv6 = 足够的全球地址 = 无NAT,截至2008年12月，中国下一代互联网示范工程核心网已经完成建设任务，该核心网由6个主干网、两个国际交换中心及相应的传输链路组成，6个主干网由在北京和上海的国际交换中心实现互联。目前CERNET2、中国电信、中国网通中科院、中国移动、中国联通和中国铁通这6个主干网含国际交换中心已全部完成验收。已经向互联网标准组织IETF申请互联网标准草案9项，已获批准2项，这也是我国第一次进入互联网核心标准领域。,IPv6 地址表示,128 位 通过8个由冒号分开的分段来表示 以十六进制书写每个16-位分段,实例：,3ffe:3700:1100:0001:d9e6:0b9d:14c6:45ee,IPv6 地址压缩,每个16-位分段中的开头的零都可以压缩,实例： fe80:0210:1100:0006:0030:a4ff:000c:0097 成为： fe80:210:1100:6:30:a4ff:c:97,IPv6 地址压缩,一个或多个临近的16-位分段中所有零的都可以用双冒号表示（:）,实例： ff02:0000:0000:0000:0000:0000:0000:0001 成为： ff02:1,但,IPv6 地址压缩,双冒号只能使用一次,实例： 2001:0000:0000:0013:0000:0000:0b0c:3701 可以变成： 2001:13:0:0:b0c:3701 或： 2001:0:0:13:b0c:3701 但不能变成： 2001:13:b0c:3701,嵌入的IPv4地址,一些转换机制将IPv4地址嵌入到IPv6地址中 嵌入的IPv4地址以带点的十进制数表示,:13.1.68.3 :ffff:129.144.52.38 fe80:5efe:172.24.240.30,实例：,IPv6 前缀表示,类似CIDR符号用于规定前缀长度,3ffe:0:0:2300:ce21:233:fea0:bc94/60 201:468:1102:1:1/64,实例：,IPv6 前缀压缩,2002:0000:0000:18d0:0000:0000:0000:0000/60,可被表示为：,2002:18d0:0:0:0:0/60,2002:0:0:18d0:/60,IPv6 地址类型,单点发送 Unicast 识别单一接口 发送到单点发送地址的数据包被传输到这个地址识别出的接口 任播 AnyCast 识别一系列接口 发送到任播地址的数据包被传输到这个地址识别出的最近接口（根据路由协议的定义） 组播 Multicast 识别一系列接口 发送到组播地址的数据包被传输到这个地址识别出的所有接口 IPv6不带有广播地址 IPv6使用“所有节点”组播,IPv6 地址作用范围,链路-本地 Link-Local fe80:/10 用在单一链路上 带有链路-本地源或目的地址的数据包不转发到其它链路 站点-本地 Site-Local fec0:/10 用于单一站点 带有站点-本地源或目的地址的数据包不转发到其它站点 应用与 RFC 1918类似 Is deprecated by rfc3879。 2004.1.1停止分配；2006.6.6停止使用。 全球 全球唯一地址 带有全球地址的数据包可被转发到全球网络的任何部分,识别地址类型,未规定地址 环回地址 组播地址 链路-本地单点发送地址 站点-本地单点发送地址 全球单点发送/任播地址,:/128 :1/128 ff00:/8 fe80:/10 fec0:/10 其它,类型,IPv6 前缀,全球单点发送地址,FP = 格式前缀 （= 001，用于全球聚合的单点发送地址） TLA-ID = 最高级别的聚合标识符 RES = 预留用于未来使用 NLA = 下一个级别的聚合标识符 SLA-ID =站点级别的聚合标识符 接口 ID =接口标识符,3,13,8,24,16,64,128 位,公共拓扑,站点拓扑,接口标识符,网络部分,节点部分,TLA/NLA 格式（建议废弃不用 RFC3587）,全球单点发送地址,接口-ID,001,全球路由前缀,子网,3,45,16,64,128位,公共拓扑,站点拓扑,接口标识符,网络部分,节点部分,全球路由前缀使用类似CIDR的分级体系 每个人 （从公司到居民）都得到48-位前缀 每个人都得到16-位子网空间 也有例外（规模非常大的用户及移动节点）,新格式,全球单点发送地址,可更加简便地更换ISP 无需调整地址空间 足够的增长空间 001只占总地址空间的1/8 16-位子网空间足以支持大多数用户 可简化多归 更多信息，请参见RFC 3177,前缀和子网长度为何是固定的？,接口ID,对链路来说是唯一的 识别特定链路上的接口 可动态获得 IEEE地址采用MAC-to-EUI-64转换 其它地址采用其它的自动方法 可用来形成链路-本地地址 可用来形成带有无状态自动配置功能的全球地址,组播地址格式,组-ID,11111111,标记,8,4,112,128 位,scop,4,前3位设为 0 最后一位定义地址类型： 0 = 固定 （或众所周知） 1 = 本地分配 （或短期）,定义地址范围 0 预留 节点本地范围 链路本地范围 站点本地范围 企业本地范围 E 全局范围 F 预留,一些众所周知的组播地址,IPv4众所周知的组播地址,组播组,IPv6 众所周知的组播地址,在2008全球IPv6高峰会议，中国互联网信息中心(CNNIC)主任毛伟透露，截至今年3月底，中国的IP地址数量已经超过1.4亿，位居世界第二位。 2006年，我国拥有9500万IP地址，实际消耗量达到9800万；2007年的时候实际消耗量达到1.35亿，居世界第三位。今年则是超越了日本，居于美国之后；在IP地址人均占有量方面，我国还远远落后于欧美。,我国已获得IPv4地址数量仅占全球已分配总数量的4.5%，中国互联网的发展速度非常快，地址制约会有明显影响。 在IPv6地址申请方面，截至2007年11月，中国大陆IPv6地址拥有量排名世界第16(27块)。德国最多，接近10000块，我国IPv6地址数量仅为德国1/330。前16排名依次为德国、日本、法国、澳大利亚、韩国、意大利、台湾、波兰、英国、荷兰、美国、挪威、瑞士、加拿大、阿根廷和中国大陆。,IPv4和IPv6 报头格式,IPv4 PDU,IPv6 PDU,Destination Address,Source Address,Ver IHL,Service Type,Identification,Flags,Offset,TTL,Protocol,Header Checksum,Source Address,Destination Address,Options + Padding,Total Length,Ver,Flow Label,Payload Length,Next Header,Hop Limit,Traffic Class,IPv4 vs. IPv6 报头,IPv4 Packet Header,IPv6 Packet Header,32 bits,携带零个、一个或多个扩展报头的IPv6分组,IPv6 specification recommended order: IPv6 header Hop-by-hop options header Destination options header Routing header Fragment header Authentication header Encapsulation security payload header Destination options header,IPv6 packet with all extension headers,Octets:,40,Variable,Variable,Variable,Variable,Variable,Variable,8,20 (optional variable part),= Next header field,IPv6 header,Hop-by-hop options header,Routing header,Fragment header,Authentication header,Encap security payload header,TCP header,Application data,Destination options header,扩展选项报头的格式,选项的格式,IPv6对移动通信的意义,未来一体化的移动数据业务网络将提供一个通用的移动应用平台，实现应用与移动承载技术无关，并支持业务的跨系统间切换 IPv6将在未来移动数据业务网络中扮演重要角色,IPv6网络,移动Web服务器,丰富的Web应用,传统IP协议未考虑节点的移动性（路由和节点标识都靠IP地址） 随无线接入技术的发展（PAN、WLAN、WAN），支持节点移动是发展趋势,移动IP的引入,无线终端在各种底层无线网络之间的漫游 IP over Everything 数据、语音、视频等多种类型业务的融合 Everything over IP,移动IP也称为IP Mobility,移动IP需解决的问题,接入路由器1,通信对端,移动节点,接入路由器2,ADDR1,移动节点由接入路由器1连接的子网1移动到接入路由器2连接的子网2,子网1,子网2,接入路由器1,通信对端,移动节点,接入路由器2,ADDR2,子网1,子网2,IP地址的改变对于通信对端和上层（IP层以上）是透明的,移动节点需要一个在移动过程中保持不变的标识,不中断已经建立的连接,通信对端始终能够找到移动节点,家乡地址,移动IP需解决的问题,移动IP的基本术语,家乡地址(HoA: Home Address)：移动节点的标识，手动配置或者由家乡网络分配，通常不变 转交地址(CoA: Care-of Address)：移动节点位置的标识，由移动到的外地网络分配，随位置变化 家乡代理(Home Agent)：保存移动节点的家乡地址和转交地址之间的映射关系(绑定) 通信对端(Correspond Node)：和移动节点进行通信的网络节点，它可能是静止的节点，也可能是移动节点,HoA与CoA的对应关系称为绑定(Binding),知道移动节点家乡地址如何将IP分组发送到移动节点的转交地址？,IP分组先发送到家乡代理，由家乡代理发送给移动节点！,移动IP基本过程包括以下三个步骤 移动检测 移动节点检测到自己移动到了外地网络 代理公告（移动IPv4）/路由器公告（移动IPv6） 转交地址配置 移动IPv4 外地代理转交地址（即外地代理地址）(Foreign Agent CoA) 配置转交地址(Co-located CoA) 移动IPv6 全局可路由转交地址（CoA） 的绑定注册 到家乡代理 到通信对端,移动IP的基本过程,IPv6与IPv4互通,IPv4孤岛,纯IPv6网络,迁 移 设 想,迁移机制类型,双协议栈 IPv4/IPv6 共存于一个设备 隧道 用于穿越 IPv4 覆盖范围的IPv6隧道贯穿 之后，用于穿越IPv6覆盖范围的IPv4隧道贯穿 6over4 和 4over6 翻译器 IPv6 IPv4,部署IPv6方式一:双栈,双栈核心交换机,IPv4/IPv6双栈网络,IPv4 user,IPv4/IPv6 user,IPv6 user,双栈路由器,IPv4网络,IPv6网络,双协议栈,通常只是 “双层”， 而不是整个栈,物理/数据链路,IPv6,IPv4,TCP/UDP,应用,0x86DD,0x0800,TCP/UDP,部署IPv6方式二:隧道,双栈核心交换机,IPv4网络,IPv4 user,IPv4/IPv6 user,IPv6 user,双栈路由器,IPv6网络,IPv4网络,隧道技术,隧道应用,IPv4,IPv4,IPv6,路由器到路由器,主机到路由器 路由器到主机,主机到主机,IPv6,IPv6,IPv6,IPv6,IPv4,IPv6,IPv6设备,商业化的路由器 -Juniper T320、T640 -Cisco12000系列 -Cisco7507B -HITACHI GR2000 -Nokia IP330 -Quidway NE80 -清华比威 12008 -,IPv6 Ready 认证,IPv6 Ready 认证又有“IPv6 Ready Phase-1认证”和“IPv6 Ready Phase-2认证”之分。 “IPv6 Ready Phase-1认证”已经实施多年了，全球已有180多个企业或组织的产品通过“IPv6 Ready Phase-1认证”；“IPv6 Ready Phase-1认证”主要是对IPv6的基本功能进行评价。 “IPv6 Ready Phase-2认证”是IPv6领域最高等级的资质认证，认证内容有核心协议、IPSec、移动IPv6、MLD和过渡机制。目前，全球仅有15个IPv6产品获得了“IPv6 Ready Phase-2认证”。,THANKS !,