IPv6基础简介解析课件.ppt

IPV6的基础介绍,小组成员： 秦绪菲 李宪毅 苗永明 张宗泽 王泓霖,IPV6的基础介绍小组成员： 秦绪菲 李宪毅 苗永,一、 IPv6简介 二、 IPv6的特点 三、 IPv6 数据报 四、 IPv6地址 五、 IPv6的安全性,IPV6简介,IPV6简介,IPv6是“Internet Protocol Version 6”的缩写，它是IETF(Internet Engineering Task Force 译：互联网工程任务组)设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。 目前全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议。 IPv6正处在不断发展和完善的过程中，它在不久的将来将取代目前被广泛使用的IPv4，每个人将拥有更多IP地址。,IPv6简介,IPv6是“Internet Protocol,90年代初，在国际上，对IPv6的各项研究和实现已经展开。法国INRIA、日本KAME、美国NRL等研究机构，IBM、Sun Microsystems、Trumpet、Hitachi等公司，分别研制开发了不同平台上的IPv6系统软件和应用软件；Cisco、Bay等路由器厂商已经开发出了面向IPv6网络的路由器产品。1996年，一个以研究IPv6为目标的虚拟实验网络，国际IPv6试验床6Bone建立，欧洲、美洲、亚洲的许多国家和组织都已经加入了6BONE。1998年底，面向实用的全球性IPv6研究和教育网（6REN）开始启动。这期间以STAR TAP为依托的6TAP（IPv6 Transit Access Point）得以实施，建立了以ATM交换机为中心的IPv6洲际网络。,90年代初，在国际上，对IPv6的各项研究和实现已经展开。法,IPv4潜伏的三大危机,地址枯竭在IP头标中能够处理的地址数由IP地址域的长度决定。IPv4的地址域为32比特，可提供232（约40亿）个IP地址。但因将IP地址按网络规模划分成A、B、C三类后，用户可用地址总数显著减少。网络号码匮乏在IPv4中，A类网络只有126个，每个能容纳1亿多个主机；B类网络也仅有16,383个，每个能容纳6万多个主机；C类网络虽多达209万余个，但每个只能容纳254个主机。随着ISP的激增，这三类地址很快被占满，新出现的网络难以加入Internet。路由表急剧膨胀每增加一个子网路由器就增加一个表项，使路由器不堪重负，已经出现路由表占满路由器内存，导致网络异常的恶性故障,IPV6简介,IPv4潜伏的三大危机地址枯竭IPV6简介,IPV6简介,IPv6拥有巨大的地址空间,IPv6的IP地址域为128比特，拥有2128巨大的地址空间。如果地球表面都覆盖计算机，允许每平米拥有71023个地址采用IPv6地址后，不仅每个人拥有一个IP地址，就连未来的电话、冰箱等每一台信息家电设备都能分到一个IP地址。一个人拥有100台计算机也并非梦想。,IPV6简介IPv6拥有巨大的地址空间 IPv6的IP地址域,简单是美简化固定的基本报头，提高处理效率扩展为先引入灵活的扩展报头，协议易扩展层次区划地址格式更具层次性，便于路由聚合借助路由聚合有效缩减IPv6路由表尺寸。即插即用地址配置简化，自动配置.IPv6引入自动配置以及重配置技术，对于IP地址等信息实现 自动增删，更新配置，提高IPv6的易管理性。贴身安全网络层的IPSec认证与加密，端到端安全,IPv6协议的其他特点,简单是美简化固定的基本报头，提高处理效率IPv6协议的其,网络地址空间的极大扩展,网络地址表示不同,网络地址的分类方式不同,网络地址,改进的IP多播,强调了多播的必要性,多播地址的改进,分为域内多播和域间多播，改变了其可管理性,良好的可扩展性,相比IPv4的区别,网络地址空间的极大扩展网络地址表示不同网络地址的分类方式不,IPV6简介,IPv6 数据报的一般形式,基本首部,扩展首部 1,扩展首部 N,数 据 部 分,选项,IPv6 数据报,有效载荷,IPV6简介IPv6 数据报的一般形式 基本 扩展 扩展 ,IPV6简介,IPv6 数据报的首部,IPv6 将首部长度变为固定的 40 字节，称为基本首部(base header)。在基本首部的后面允许有零个或多个扩展首部。所有的扩展首部和数据合起来叫做数据报的有效载荷(payload)或净负荷。,IPV6简介IPv6 数据报的首部IPv6 将首部长度变为固,IPV6简介,IPv6 数据报首部与 IPv4 数据报首部的对比,0,4,8,16,19,24,31,版 本,标志,生 存 时 间,协 议,标 识,服 务 类 型,总 长 度,片 偏 移,填 充,首 部 检 验 和,源 地 址,目 的 地 址,可 选 字 段 （长 度 可 变）,比特,首部长度,固 定部分20字节,可变部分,IPv4首部,取消,有变化,上面是 IPv4 数据报的首部,IPV6简介IPv6 数据报首部与 IPv4 数据报首部的,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,扩展首部 / 数据,IPv6 的基本首部（40 B）,IPv6 的有效载荷（至 64 KB）,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,扩展首部 / 数据,IPv6 的基本首部（40 B）,IPv6 的有效载荷（至 64 KB）,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,版本(version) 4 bit。它指明了协议的版本，对 IPv6 该字段总是 6。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,通信量类(traffic class) 8 bit。这是为了区分不同的 IPv6 数据报的类别或优先级。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,流标号(flow label) 20 bit。 “流”是互联网络上从特定源点到特定终点的一系列数据报， “流”所经过的路径上的路由器都保证指明的服务质量。所有属于同一个流的数据报都具有同样的流标号。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,有效载荷长度(payload length) 16 bit。它指明 IPv6 数据报除基本首部以外的字节数（所有扩展首部都算在有效载荷之内），其最大值是 64 KB。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,下一个首部(next header) 8 bit。它相当于 IPv4 的协议字段或可选字段。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,跳数限制(hop limit) 8 bit。源站在数据报发出时即设定跳数限制。路由器在转发数据报时将跳数限制字段中的值减1。当跳数限制的值为零时，就要将此数据报丢弃。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,源地址 128 bit。是数据报的发送站的 IP 地址。,IPV6简介041631版 本比特目 的 地 址,IPV6简介,0,4,16,31,版 本,比特,目 的 地 址,源 地 址,下 一 个 首 部,流 标 号,12,通 信 量 类,（128 bit）,（128 bit）,有 效 载 荷 长 度,跳 数 限 制,24,IPv6的基本首部40 B,目的地址 128 bit。是数据报的接收站的 IP 地址。,IPV6简介041631版 本比特目 的 地 址,IPv6地址IPv6地址扩展到128比特，为便于理解协议。设计者用冒号将其 分割成8个16比特的数组，每个数组表示成4位的16进数。例如： FECD:BA98:7654:3210:FEDC:BA98:7654:3210,IPv6地址,IPv6地址简化规则每一个段中开头的0可以省略不写，但末尾的0不能省略； 原始IPv6地址： 3ffe:1944:0100:000a:0000:00bc:2500:0d0b 简化后IPv6地址： 3ffe:1944:100:a:0:bc:2500:d0b如果某段或连续几段全是0，则可以使用一个“:”来代替。 原始IPv6地址： Ff02:0000:0000:0000:0000:0000:0000:0005 简化后IPv6地址：ff02:5如果128位全部为0的地址，则可以使用一个“:”来表示。,IPv6地址简化规则,地址简化注意事项注：在IPv6地址中，只能使用一次双冒号。 例 2001:0d02:0000:0000:0014:0000:0000:0095以下两种缩写方式都是正确的： 2001:d02:14:0:0:95 2001:d02:0:0:14:95,地址简化注意事项,十六进制与二进制之间的转换,规则：每个十六进制数=4位二进制数,十六进制与二进制之间的转换规则：每个十六进制数=4位二进制数,类似于IPv4中的CDIR表示法，IPv6用前缀来表示网络地址空间，比如： 2001:250:6000:/48 表示前缀为48位的地址空间，其后的80位可分配给网络中的主机，共有2的80次方个地址 下面解释一些常见的IPv6地址或者前缀： :/128 即0:0:0:0:0:0:0:0，只能作为尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口 :1/128 即0:0:0:0:0:0:0:1，回环地址，相当于ipv4中的localhost（127.0.0.1），ping locahost可得到此地址,IPV6简介,类似于IPv4中的CDIR表示法，IPv6用前缀来表示网络,2001:/16 全球可聚合地址，由 IANA 按地域和ISP进行分配，是最常用的IPv6地址 2002:/16 6 to 4 地址，用于6to4自动构造隧道技术的地址 3ffe:/16 早期开始的IPv6 6bone试验网地址 注：上面三类属于单播地址，都是目前互联网上广泛应用的IPv6地址,IPV6简介,2001:/16 全球可聚合地址，由 IANA 按,fe80:/10 本地链路地址，用于单一链路，适用于自动配置、邻机发现等，路由器不转发 ff00:/8 组播地址 :A.B.C.D 其中代表ipv4地址，兼容IPv4的IPv6地址。自动将IPv6包以隧道方式在IPv4网络中传送的IPv4/IPv6节点将使用这些地址 :FFFF:A.B.C.D 其中代表ipv4地址，例如 :ffff:202.120.2.30 ，是IPv4映射过来的IPv6地址，它是在不支持IPv6的网上用于表示IPv4节点,IPV6简介,fe80:/10 本地链路地址，用于单一链路，适用,IPv6在IPv4的基础上进行改进，它的一个重要的设计目标是与IPv4兼容，因为不可能要求立即将所有节点都演进到新的协议版本，如果没有一个过渡方案，再先进的协议也没有实用意义。 如何完成从IPv4到IPv6的转换，是IPv6发展需要解决的第一个问题。目前，IETF已经成立了专门的工作组，研究IPv4到IPv6的过渡问题和高效无缝互通问题，并且已提出了很多方案。为了实现IPv4到IPv6过渡的逐步演进、逐步部署、地址兼容、降低费用四个目标.,IPV6简介,从 IPv4 向 IPv6 过渡,IPv6在IPv4的基础上进行改进，它的一个重要的设计目标是,IETF推荐了双协议栈、隧道技术以及NAT等演进方案。这些演进方案已经在欧洲、日本以及我国的商用或实验网络中得到论证和实践。这些演进方案需要进一步与中国具体的网络实践和运营实践相结合，需要在大规模的商用实践中论证、发展与完善。,IPV6简介,IETF推荐了双协议栈、隧道技术以及NAT等演进方案。这些演,IPV6简介,例如 ： 1.双协议栈技术（Dual Stack） 2.隧道技术 （Tunneling） 3.协议转换技术（NAT） 下面介绍一下这三个技术 1.双协议栈技术（Dual Stack） ：双协议栈技术是使IPv6节点与IPv4节点兼容的最直接方式，应用对象是主机、路由器等通信节点。支持双协议栈的IPv6节点与IPv6节点互通时使用IPv6协议栈，与IPv4节点互通时借助于4over6使用IPv4协议栈。IPv6节点访问IPv4节点时，先向双栈服务器申请一个临时IPv4地址，,IPV6简介例如 ： 1.双协议栈技术（Dual St,同时从双栈服务器得到网关路由器的TEP（TunnelEndPoint）IPv6地址。IPv6节点在此基础上形成一个4over6的IP包，4over6包经过IPv6网传到网关路由器，网关路由器将其IPv6头去掉，将IPv4包通过IPv4网络送往IPv4节点。网关路由器要记住IPv6源地址与IPv4临时地址的对应关系，以便反方向将IPv4节点发来的IP包转发到IPv6节点。这种方式对IPv4和IPv6提供了完全的兼容，但由于需要双路由基础设施，增加了网络的复杂度，依然无法解决IP地址耗尽的问题。,IPV6简介,同时从双栈服务器得到网关路由器的TEP（TunnelEndP,IPV6简介,双协议栈,IPv6,数据链路层物理层,数据链路层物理层,IPv6,IPv4/IPv6 双协议栈,IPv4,IPv4,IPv6,TCP 或 UDP,应用层,TCP 或 UDP,应用层,TCP 或 UDP,应用层,数据链路层物理层,IPv4,和 IPv4 通信,和 IPv6 通信,IPV6简介双协议栈 IPv6数据链路层数据链路层IPv6I,IPV6简介,用双协议栈进行从 IPv4 到 IPv6 的过渡,双协议栈IPv6/IPv4,IPv6,IPv6,IPv4 网络,A,B,C,D,E,F,流标号：X源地址：A目的地址：F 数据部分,流标号：无源地址：A目的地址：F 数据部分,双协议栈IPv6/IPv4,IPv6 数据报,IPv6 数据报,源地址：A目的地址：F,数据部分,源地址：A目的地址：F,数据部分,IPv4 数据报,IPV6简介用双协议栈进行从 IPv4 到 IPv6 的过,2.隧道技术 （Tunneling） ：随着IPv6网络的发展，出现了许多局部的IPv6网络，但是这些IPv6网络需要通过IPv4骨干网络相连。将这些孤立的IPv6岛相互联通必须使用隧道技术。利用隧道技术可以通过现有的运行IPv4协议的Internet骨干网络（即隧道）将局部的IPv6网络连接起来，因而是IPv4向IPv6过渡的初期最易于采用的技术。,IPV6简介,使用隧道技术从 IPv4 到 IPv6 过渡,2.隧道技术 （Tunneling） ：随着IPv6,IPv6数据包在IPv4隧道中传输时，原始包头和有效载荷是不被修改的。仅在IPv6数据包前面插入一个IPv4的包头。这样，里面的包头包含着端到端IPv6会话的源和目的IPv6地址,外面的包头包含着隧道端点的源和目的IPv4地址。隧道的两端要执行IPv6数据包的封装和解封装所以两端的设备必须同时支持IPv4和IPv6。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，因而非常容易实现。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。,IPV6简介,使用隧道技术从 IPv4 到 IPv6 过渡,IPv6数据包在IPv4隧道中传输时，原始包头和有效载荷是不,IPV6简介,IPv4 网络,IPv6,IPv6,A,B,C,D,E,F,IPv4 数据报,IPv4 数据报,IPv4网络,IPv6,IPv6,A,B,E,F,隧道,源地址：B目的地址：E,IPv6数据报,双协议栈IPv6/IPv4,双协议栈IPv6/IPv4,双协议栈IPv6/IPv4,双协议栈IPv6/IPv4,IPv4 网络,流标号：X源地址：A目的地址：F 数据部分,IPv6 数据报,流标号：X源地址：A目的地址：F 数据部分,IPv6 数据报,源地址：B目的地址：E,IPv6数据报,使用隧道技术从 IPv4 到 IPv6 过渡,IPV6简介IPv4 网络IPv6IPv6ABCDEFIP,IPV6简介,3.协议转换技术（NAT） ： 网络地址转换/协议转换技术NAT-PT(Network Address Translation - Protocol Translation)通过与SIIT协议转换和传统的IPv4下的动态地址翻译（NAT）以及适当的应用层网关（ALG）相结合，实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信。是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。 上述技术很大程度上依赖于从支持IPv4的互联网到支持IPv6的互联网的转换，我们期待IPv4和IPv6可在这一转换过程中互相兼容。目前，6to4机制便是较为流行的实现手段之一。,IPV6简介 3.协议转换技术（NAT） ： 网络地址转换/,IPV6简介,现实Internet上的各种攻击、黑客、网络蠕虫病毒弄得网民人人自危，每天上网开了实时防病毒程序还不够，还要继续使用个人防火墙，打开实时防木马程序才敢上网冲浪。诸多人把这些都归咎于IPv4网络。现在IPv6来了，它设计的时候充分研究了以前IPv4的各种问题，在安全性上得到了大大的提高。但是是不是IPv6就没有安全问题了？,IPv6安全性,IPV6简介现实Internet上的各种攻击、黑客、网络蠕虫,IPV6简介,答案是否定的 目前，病毒和互联网蠕虫是最让人头疼的网络攻击行为。但这种传播方式在IPv6的网络中就不再适用了，因为IPv6的地址空间实在是太大了，如果这些病毒或者蠕虫还想通过扫描地址段的方式来找到有可乘之机的其他主机，就犹如大海捞针。在IPv6的世界中，对IPv6网络进行类似IPv4的按照IP地址段进行网络侦察是不可能了。 所以，在IPv6的世界里，病毒、互联网蠕虫的传播将变得非常困难。,IPV6简介答案是否定的,IPV6简介,但是，基于应用层的病毒和互联网蠕虫是一定会存在的，电子邮件的病毒还是会继续传播。此外，还需要注意IPv6网络中的关键主机的安全。IPv6中的组发地址定义方式给攻击者带来了一些机会。例如，IPv6地址FF05:3是所有的DHCP服务器，就是说，如果向这个地址发布一个IPv6报文，这个报文可以到达网络中所有的DHCP服务器，所以可能会出现一些专门攻击这些服务器的拒绝服务攻击。 另外，不管是IPv4还是IPv6，都需要使用DNS，IPv6网络中的DNS服务器就是一个容易被黑客看中的关键主机。,IPV6简介但是，基于应用层的病毒和互联网蠕虫是一定会存在的,IPV6简介,也就是说，虽然无法对整个网络进行系统的网络侦察，但在每个IPv6的网络中，总有那么几台主机是大家都知道网络名字的，也可以对这些主机进行攻击。而且，因为IPv6的地址空间实在是太大了，很多IPv6的网络都会使用动态的DNS服务。而如果攻击者可以攻占这台动态DNS服务器，就可以得到大量的在线IPv6的主机地址。另外，因为IPv6的地址是128位，很不好记，网络管理员可能会常常使用一下好记的IPv6地址，这些好记的IPv6地址可能会被编辑成一个类似字典的东西，病毒找到IPv6主机的可能性小，但猜到IPv6主机的可 能性会大一些。,IPV6简介也就是说，虽然无法对整个网络进行系统的网络侦察，,IPV6简介,而且由于IPv6和IPv4要共存相当长一段时间，很多网络管理员会把IPv4的地址放到IPv6地址的后32位中，黑客也可能按照这个方法来猜测可能的在线IPv6地址。所以，对于关键主机的安全需要特别重视，不然黑客就会从这里入手从而进入整个网络。所以，网络管理员在对主机赋予IPv6地址时，不应该使用好记的地址，也要尽量对自己网络中的IPv6地址进行随机化，这样会在很大程度上减少这些主机被黑客发现的机会。,IPV6简介而且由于IPv6和IPv4要共存相当长一段时间，,IPV6简介,Thank You,IPV6简介Thank You,