《《代互联网协议》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《代互联网协议》PPT课件.ppt(49页珍藏版)》请在三一办公上搜索。
1、,第5章 下一代互联网协议IPv6,以IPv4为基础的网络体系局限凸现,根据亚太网络信息中心 互联网研究科学家 在年月的最新预测,按照最近年 地址分配速度,互联网地址分配机构 的地址将在年月耗尽,IPv6的优势,地址容量巨大 理论上有2128个地址,足够为地球上每一粒沙子分配一个独立地址,具有更好的可运营可管理性支持邻居发现和自动配置,具有更好的移动性支持解决了Mobile IPv4三角路由问题解决了Mobile IPv4防火墙入口过滤问题路由优化,结构简化:取消了外地代理的概念解决了Mobile IPv4隧道软状态问题,IPv6的优势,内置安全性功能 增加了AH和ESP都是扩展报头,提供网络
2、层的安全保证将IPSec的安全机制集成在IPv6协议中,内置的VPN业务能力,高效的服务质量(QOS)增加了流标示扩展头提高了数据包处理效率未来可区分服务级别和基于服务级别计费,协议本身的扩展性问题TLV的消息结构,提高了对增值业务的支持能力,对IPv6的一些误解,IPv6的唯一驱动力是地址空间不足 地址空间不足仅仅是其中的一个原因。若为解决地址空间不足,使用64位的地址就够了。之所以采用128位地址,是因为它能提供更好的层次结构,这对高效的路由算法、地址自动配置来说是必不可少的。不需要全新的IPv6,只要对IPv4进行扩充就足够 虽然在IPv4发展的过程中,人们总是通过一些巧妙的补丁方案解决
3、它暴露出来的缺陷,但是可以说原始的TCP/IP框架已经发展到了它的极限,已经不可能再通过打补丁的方式来应付了。,NAT技术已较好的解决了地址空间不足的问题,如p2p应用的问题已经可以通过udp穿越等方法得到解决,bt等已经可以在NAT后面连接,IPv6的优势不明显。NAT技术破坏了端到端的高性能通信模式,尽管很多P2P的application都可以很好的克服nat的穿越问题,但我们也看到,这些克服不是从tcp/ip协议的角度让他本身避免或克服的,而是application自己考虑办法来克服的,或者需要NAT 软件能很好的读懂application的协议。这点是很不符合网络分层设计的原则的,不但
4、增加了重复劳动降低效率的机会,也提供给黑客更多的出现漏洞的机会。,NAT 引发问题,打破了全球独特的地址模式打破了地址的稳定性打破了一直在线的模式打破了对等的模式妨碍了一些应用的实施妨碍了一些安全协议的实施妨碍了一些QoS功能的实施带来了错误的安全感导致了隐性成本,IPv6=足够的全球地址=无NAT,截至2008年12月,中国下一代互联网示范工程核心网已经完成建设任务,该核心网由6个主干网、两个国际交换中心及相应的传输链路组成,6个主干网由在北京和上海的国际交换中心实现互联。目前CERNET2、中国电信、中国网通中科院、中国移动、中国联通和中国铁通这6个主干网含国际交换中心已全部完成验收。已经
5、向互联网标准组织IETF申请互联网标准草案9项,已获批准2项,这也是我国第一次进入互联网核心标准领域。,IPv6 地址表示,128 位通过8个由冒号分开的分段来表示以十六进制书写每个16-位分段,实例:,3ffe:3700:1100:0001:d9e6:0b9d:14c6:45ee,IPv6 地址压缩,每个16-位分段中的开头的零都可以压缩,实例:fe80:0210:1100:0006:0030:a4ff:000c:0097成为:fe80:210:1100:6:30:a4ff:c:97,IPv6 地址压缩,一个或多个临近的16-位分段中所有零的都可以用双冒号表示(:),实例:ff02:0000
6、:0000:0000:0000:0000:0000:0001成为:ff02:1,但,IPv6 地址压缩,双冒号只能使用一次,实例:2001:0000:0000:0013:0000:0000:0b0c:3701可以变成:2001:13:0:0:b0c:3701或:2001:0:0:13:b0c:3701但不能变成:2001:13:b0c:3701,嵌入的IPv4地址,一些转换机制将IPv4地址嵌入到IPv6地址中嵌入的IPv4地址以带点的十进制数表示,:ffff:fe80:5efe:,实例:,IPv6 前缀表示,类似CIDR符号用于规定前缀长度,3ffe:0:0:2300:ce21:233:fe
7、a0:bc94/60201:468:1102:1:1/64,实例:,IPv6 前缀压缩,2002:0000:0000:18d0:0000:0000:0000:0000/60,可被表示为:,2002:18d0:0:0:0:0/60,2002:0:0:18d0:/60,IPv6 地址类型,单点发送 Unicast识别单一接口发送到单点发送地址的数据包被传输到这个地址识别出的接口任播 AnyCast识别一系列接口发送到任播地址的数据包被传输到这个地址识别出的最近接口(根据路由协议的定义)组播 Multicast识别一系列接口发送到组播地址的数据包被传输到这个地址识别出的所有接口IPv6不带有广播地址
8、IPv6使用“所有节点”组播,IPv6 地址作用范围,链路-本地 Link-Local fe80:/10用在单一链路上带有链路-本地源或目的地址的数据包不转发到其它链路站点-本地 Site-Local fec0:/10用于单一站点带有站点-本地源或目的地址的数据包不转发到其它站点应用与 RFC 1918类似Is deprecated by rfc3879。停止分配;停止使用。全球全球唯一地址带有全球地址的数据包可被转发到全球网络的任何部分,识别地址类型,未规定地址环回地址组播地址链路-本地单点发送地址站点-本地单点发送地址全球单点发送/任播地址,:/128:1/128ff00:/8fe80:/
9、10fec0:/10其它,类型,IPv6 前缀,全球单点发送地址,FP=格式前缀(=001,用于全球聚合的单点发送地址)TLA-ID=最高级别的聚合标识符RES=预留用于未来使用NLA=下一个级别的聚合标识符SLA-ID=站点级别的聚合标识符接口 ID=接口标识符,3,13,8,24,16,64,128 位,公共拓扑,站点拓扑,接口标识符,网络部分,节点部分,TLA/NLA 格式(建议废弃不用 RFC3587),全球单点发送地址,接口-ID,001,全球路由前缀,子网,3,45,16,64,128位,公共拓扑,站点拓扑,接口标识符,网络部分,节点部分,全球路由前缀使用类似CIDR的分级体系每个
10、人(从公司到居民)都得到48-位前缀每个人都得到16-位子网空间也有例外(规模非常大的用户及移动节点),新格式,全球单点发送地址,可更加简便地更换ISP无需调整地址空间足够的增长空间001只占总地址空间的1/816-位子网空间足以支持大多数用户可简化多归更多信息,请参见RFC 3177,前缀和子网长度为何是固定的?,接口ID,对链路来说是唯一的识别特定链路上的接口可动态获得 IEEE地址采用MAC-to-EUI-64转换其它地址采用其它的自动方法可用来形成链路-本地地址可用来形成带有无状态自动配置功能的全球地址,组播地址格式,组-ID,11111111,标记,8,4,112,128 位,sco
11、p,4,前3位设为 0最后一位定义地址类型:0=固定(或众所周知)1=本地分配(或短期),定义地址范围0预留节点本地范围链路本地范围站点本地范围企业本地范围E全局范围F预留,一些众所周知的组播地址,IPv4众所周知的组播地址,组播组,IPv6 众所周知的组播地址,在2008全球IPv6高峰会议,中国互联网信息中心(CNNIC)主任毛伟透露,截至今年3月底,中国的IP地址数量已经超过1.4亿,位居世界第二位。2006年,我国拥有9500万IP地址,实际消耗量达到9800万;2007年的时候实际消耗量达到1.35亿,居世界第三位。今年则是超越了日本,居于美国之后;在IP地址人均占有量方面,我国还远
12、远落后于欧美。,我国已获得IPv4地址数量仅占全球已分配总数量的4.5%,中国互联网的发展速度非常快,地址制约会有明显影响。在IPv6地址申请方面,截至2007年11月,中国大陆IPv6地址拥有量排名世界第16(27块)。德国最多,接近10000块,我国IPv6地址数量仅为德国1/330。前16排名依次为德国、日本、法国、澳大利亚、韩国、意大利、台湾、波兰、英国、荷兰、美国、挪威、瑞士、加拿大、阿根廷和中国大陆。,IPv4和IPv6 报头格式,IPv4 PDU,IPv6 PDU,Destination Address,Source Address,Ver IHL,Service Type,Id
13、entification,Flags,Offset,TTL,Protocol,Header Checksum,Source Address,Destination Address,Options+Padding,Total Length,Ver,Flow Label,Payload Length,Next Header,Hop Limit,Traffic Class,IPv4 vs.IPv6 报头,IPv4 Packet Header,IPv6 Packet Header,32 bits,携带零个、一个或多个扩展报头的IPv6分组,IPv6 specification recommended
14、order:IPv6 headerHop-by-hop options headerDestination options headerRouting headerFragment headerAuthentication headerEncapsulation security payload headerDestination options header,IPv6 packet with all extension headers,Octets:,40,Variable,Variable,Variable,Variable,Variable,Variable,8,20(optional
15、variable part),=Next header field,IPv6 header,Hop-by-hop options header,Routing header,Fragment header,Authentication header,Encap security payload header,TCP header,Application data,Destination options header,扩展选项报头的格式,选项的格式,IPv6对移动通信的意义,未来一体化的移动数据业务网络将提供一个通用的移动应用平台,实现应用与移动承载技术无关,并支持业务的跨系统间切换IPv6将在
16、未来移动数据业务网络中扮演重要角色,IPv6网络,移动Web服务器,丰富的Web应用,传统IP协议未考虑节点的移动性(路由和节点标识都靠IP地址)随无线接入技术的发展(PAN、WLAN、WAN),支持节点移动是发展趋势,移动IP的引入,无线终端在各种底层无线网络之间的漫游IP over Everything数据、语音、视频等多种类型业务的融合Everything over IP,移动IP也称为IP Mobility,移动IP需解决的问题,接入路由器1,通信对端,移动节点,接入路由器2,ADDR1,移动节点由接入路由器1连接的子网1移动到接入路由器2连接的子网2,子网1,子网2,接入路由器1,通
17、信对端,移动节点,接入路由器2,ADDR2,子网1,子网2,IP地址的改变对于通信对端和上层(IP层以上)是透明的,移动节点需要一个在移动过程中保持不变的标识,不中断已经建立的连接,通信对端始终能够找到移动节点,家乡地址,移动IP需解决的问题,移动IP的基本术语,家乡地址(HoA:Home Address):移动节点的标识,手动配置或者由家乡网络分配,通常不变转交地址(CoA:Care-of Address):移动节点位置的标识,由移动到的外地网络分配,随位置变化家乡代理(Home Agent):保存移动节点的家乡地址和转交地址之间的映射关系(绑定)通信对端(Correspond Node):
18、和移动节点进行通信的网络节点,它可能是静止的节点,也可能是移动节点,HoA与CoA的对应关系称为绑定(Binding),知道移动节点家乡地址如何将IP分组发送到移动节点的转交地址?,IP分组先发送到家乡代理,由家乡代理发送给移动节点!,移动IP基本过程包括以下三个步骤移动检测移动节点检测到自己移动到了外地网络代理公告(移动IPv4)/路由器公告(移动IPv6)转交地址配置移动IPv4外地代理转交地址(即外地代理地址)(Foreign Agent CoA)配置转交地址(Co-located CoA)移动IPv6全局可路由转交地址(CoA)的绑定注册到家乡代理到通信对端,移动IP的基本过程,IPv
19、6与IPv4互通,IPv4孤岛,纯IPv6网络,迁 移 设 想,迁移机制类型,双协议栈IPv4/IPv6 共存于一个设备隧道用于穿越 IPv4 覆盖范围的IPv6隧道贯穿之后,用于穿越IPv6覆盖范围的IPv4隧道贯穿6over4 和 4over6翻译器IPv6 IPv4,部署IPv6方式一:双栈,双栈核心交换机,IPv4/IPv6双栈网络,IPv4 user,IPv4/IPv6 user,IPv6 user,双栈路由器,IPv4网络,IPv6网络,双协议栈,通常只是“双层”,而不是整个栈,物理/数据链路,IPv6,IPv4,TCP/UDP,应用,0 x86DD,0 x0800,TCP/UDP
20、,部署IPv6方式二:隧道,双栈核心交换机,IPv4网络,IPv4 user,IPv4/IPv6 user,IPv6 user,双栈路由器,IPv6网络,IPv4网络,隧道技术,隧道应用,IPv4,IPv4,IPv6,路由器到路由器,主机到路由器 路由器到主机,主机到主机,IPv6,IPv6,IPv6,IPv6,IPv4,IPv6,IPv6设备,商业化的路由器-Juniper T320、T640-Cisco12000系列-Cisco7507B-HITACHI GR2000-Nokia IP330-Quidway NE80-清华比威 12008-,IPv6 Ready 认证,IPv6 Ready 认证又有“IPv6 Ready Phase-1认证”和“IPv6 Ready Phase-2认证”之分。“IPv6 Ready Phase-1认证”已经实施多年了,全球已有180多个企业或组织的产品通过“IPv6 Ready Phase-1认证”;“IPv6 Ready Phase-1认证”主要是对IPv6的基本功能进行评价。“IPv6 Ready Phase-2认证”是IPv6领域最高等级的资质认证,认证内容有核心协议、IPSec、移动IPv6、MLD和过渡机制。目前,全球仅有15个IPv6产品获得了“IPv6 Ready Phase-2认证”。,THANKS!,
