IPv6网络管理技术.ppt

《IPv6网络管理技术.ppt》由会员分享，可在线阅读，更多相关《IPv6网络管理技术.ppt（72页珍藏版）》请在三一办公上搜索。

1、,第9章 IPv6网络管理技术,IPv6的起源、特点、相对于IPv4的优势IPv6的地址格式IPv4和IPv6的过渡技术IPv6的地址分配和域名管理IPv6路由协议中的RIPng和OSPFv3协议IPv6的QoS,本章内容,目前IPv4依然是使用最广泛的互联网协议版本，其IPv4设计的不足也日益明显地址空间不足和安全性不能满足需要地址空间的严重不足是最终决定重新设计基于更长地址的IPv6的诱因IPv6意图取代IPv4，而IPv4在2013年仍然在网络交通上占有较大份额。在2013年9月，通过IPv6使用Google服务的用户百分率首次超过2%。,9.1 IPv6网络简介,直到2011年，IPv

2、6仍处在部署的初期,主要的网络改造由网站和运营商承担，用户端几乎感觉不到IPv6的使用。截至2013年12月，全球上网人数已达22.7亿，IPv4仅能提供约2.5亿个IP位置。虽然目前的网络地址转换及无类别域间路由等技术可延缓网络位置匮乏之现象，但长远来看，IPv6是将来的发展方向。1.IPv4地址已经耗尽：目前的办法（专用地址、NAT等）并不能彻底解决IP地址不足的问题,9.1.1 IPv6的起源,2.IPv6的目标：几乎可以不受限制地提供地址 更好的路由聚合，提高网络的整体吞吐量改善服务质量、安全性有更好的保证支持即插即用和移动性更好实现多播功能,9.1.1 IPv6的起源,3.IPv6的

3、特点（1）IPv6地址长度为128位（2）灵活的IP报文头部格式（3）IPv6简化了报文头部格式（4）提高安全性（5）支持更多的服务类型（6）允许协议继续演变，增加新的功能。,9.1.1 IPv6的起源,4.IPv6对TCP/IP的影响在Internet上，数据以分组的形式传输。IPv6定义了一种新的分组格式，目的是为了最小化路由器处理的报文首部。由于IPv4报文和IPv6 报文首部有很大不同，因此这两种协议无法互操作。在大多数情况下，IPv6仅仅是对IPv4的一种保守扩展。除了嵌入了互联网地址的应用层协议（如FTP，新地址格式可能会与当前协议的语法冲突）以外，大多数传输层和应用层协议几乎不怎

4、么需要修改就可以工作在IPv6上。,9.1.1 IPv6的起源,5.IPv6的发展在制定IPv6标准的国际组织中，IPv6协议主要由IETF制定。目前IETF负责IPv6标准制定的工作组主要有两个：IPv6工作组(IPv6)和IPv6运营工作组(v6ops)，分别属于传输领域和运营维护领域。前者负责IPv6规范和标准的制定工作，后者负责演进机制、工具和部署方面的标准化工作。,9.1.1 IPv6的起源,9.1.1 IPv6的起源,截至2013年6月底，我国IPv6地址数量为14607块/32，位列世界第二位。表9-1是国内外部分采用IPv6技术的网站。,与IPv4相比，IPv6具有许多新的特点

5、，如简化的IP包头格式、主机地址自动配置、认证和加密以及较强的移动支持能力等。1.地址长度IPv6的128位地址长度形成了一个巨大的地址空间，它能够为所有可以想象出的网络设备提供一个全球惟一的地址。IPv6能为主机接口提供不同类型的地址配置，包括全球地址（Globally）、全球单播地址（unicast）、区域地址（on-site）、链路本地地址（link local address）、地区本地地址（site local address）、广播地址（Broadcast）、多播群地址（multicast group address）、任播地址（anycast address）、移动地址（Mobi

6、lity）、家乡地址（home address）等，对运营商有着强大的吸引力。,9.1.2 IPv6与IPv4的比较,2.移动性移动IPv6能够通过简单的扩展，满足大规模移动用户的需求。每个移动设备设有一个固定的家乡地址（home address），这个地址与设备当前接入互联网的位置无关。当设备在家乡以外的地方使用时，可以通过一个转交地址来提供移动节点当前的位置信息。移动节点在家乡以外的地方发送数据包时，使用一个家乡地址目标选项。目的是通过这个选项把移动节点的家乡地址告诉给包的接收者。由于在该数据包里包含家乡地址的选项，接收方通信节点在处理这个包时就可以用这个家乡地址替换包内的转交地址。因此,

7、发送给移动节点的IPv6包就能够透明地选路到该节点的转交地址处。对通信节点和转交地址之间的路由进行优化会使网络的利用率更高。,9.1.2 IPv6与IPv4的比较,3.内置的安全特性IPv6协议内置安全机制，并已经标准化，可支持对企业网的无缝远程访问。在安全性方面，IPv6同IP安全性（IPSec）机制和服务一致。除了必须提供网络层这一强制性机制外，IPSec还提供两种服务。其中，认证报头（AH）用于保证数据的一致性，而封装的安全负载报头（ESP）用于保证数据的保密性和数据的一致性。在IPv6包中，AH和ESP都是扩展报头，可以同时使用，也可以单独使用其中一个。,9.1.2 IPv6与IPv4

8、的比较,4.服务质量从协议的角度看，IPv6的优点体现在能提供不同水平的服务。这主要是由于IPv6报头中新增加了字段“业务级别”和“流标记”。有了它们，在传输过程中，中间的各节点就可以识别和分开处理任何IP地址流。在其他方面，IPv6也有助于改进QoS。这主要表现在支持“实时在线”连接、防止服务中断以及提高网络性能方面。同时，更好的网络和QoS也会提高客户的期望值和满意度。,9.1.2 IPv6与IPv4的比较,5.自动配置IPv6支持无状态和有状态两种地址的自动配置方式。无状态地址自动配置方式是获得地址的关键。在这种方式下，需要配置地址的节点使用一种邻居发现机制获得一个局部连接地址。一旦得到

9、这个地址之后，它使用另一种即插即用的机制，在没有任何人工干预的情况下，获得一个全球惟一的路由地址。有状态配置机制如DHCPv6需要一个额外的服务器，因此也需要很多额外的操作和维护。,9.1.2 IPv6与IPv4的比较,9.1.3 IPv6的地址结构,1.IPv6格式8段，每段用4位16进制的数表示：,图9-1 IPv6的地址格式,简化规则（1）每一个段中开头的0可以省略不写，但末尾的0不能省略；如：3ffe:1944:0100:000a:0000:00bc:2500:0d0b可简化为3ffe:1944:100:a:0:bc:2500:d0b（2）如果某段或连续几段全是0，则可以使用一个“:”

10、来代替，如：ff02:0000:0000:0000:0000:0000:0000:0005 简化后IPv6地址：ff02:5（3）如果128位全部为0的地址，则可以使用一个“:”来表示。,9.1.3 IPv6的地址结构,2.IPv6地址的分类单播地址：单播地址标示一个网络接口 协议会把送往地址的数据包投送给其接口。IPv6的单播地址可以有一个代表特殊地址名字的范畴，如link-local地址和唯一区域地址（ULA，unique local address）。单播地址包括可聚类的全球单播地址、链路本地地址等。,9.1.3 IPv6的地址结构,任播地址：用来标识一组节点中任何一个成员 任播是IPv

11、6 特有的数据传送方式，它像是IPv4的单点传播与多点广播的综合，用来标识一组节点中任何一个成员，即源节点的数据流被转发到组里最近的节点。在任播中，在网络位址和网络节点中存在一对多的关系：每一个节点对应一群接收节点，但在任何给定时间，只有其中之一可以接收到传送端来的资讯。任播像多点广播一样，会有一组接收节点的地址栏表，但指定为任播的数据包，只会传送给距离最近或传送成本最低(根据路由表来判断)的其中一个接收地址，当该接收地址收到数据包并进行回应，且加入后续的传输。该接收列表的其他节点，会知道某个节点地址已经回应了，它们就不再加入后续的传输作业,9.1.3 IPv6的地址结构,多播地址：用来标识一

12、组节点 多播地址也称组播地址，用来标识一组节点。多播地址也被指定到一群不同的接口，送到多播地址的数据包会被传送到所有的地址。多播地址由皆为一的字节起始，亦即：它们的前置为FF00:/8。其第二个字节的最后四个比特用以标明范畴。因为传统方法是从MAC地址产生，故只有组群识别码中的最低32位有使用。定义过的组群识别码有用于所有节点的多播地址0 x1和用于所有路由器的0 x2。另一个多播组群的地址为solicited-node多播地址，是由前置FF02:1:FF00:0/104和剩余的组群识别码（最低24位）所组成。,9.1.3 IPv6的地址结构,9.1.3 IPv6的地址结构,IPv6的计划是创

13、建未来互联网扩充的基础，其目标是取代IPv4。虽然IPv6在1994年就已被IETF指定作为IPv4的下一代标准，由于早期的路由器、防火墙、企业的企业资源计划系统及相关应用程序皆须改写，所以在世界范围内使用IPv6部署的公众网与IPv4相比还非常的少，技术上仍以双架构并存居多。预计在2025年以前IPv4仍会被支持，以便给新协议的修正留下足够的时间。,9.1.4 IPv4向IPv6的过渡技术,在IPv6完全取代IPv4前，需要一些转换机制使得只支持IPv6的主机可以连络IPv4服务，并且允许孤立的IPv6主机及网络可以借由IPv4设施连络IPv6互联网。在IPv6主机和路由器与IPv4系统共存

14、的时期时，过渡技术包含：双栈、将IPv4嵌入IPv6地址、隧道机制、IPv4/IPv6报头转换等。,9.1.4 IPv4向IPv6的过渡技术,9.1.4 IPv4向IPv6的过渡技术,图9-2 双栈技术,1.双栈,9.1.4 IPv4向IPv6的过渡技术,1.双栈双栈是将IPv6视为一种IPv4的延伸，以共享代码的方式去实现网络堆栈，其可以同时支持IPv4和IPv6，一个实现双堆栈的主机称为双堆栈主机。实现IPv6结点与IPv4结点互通的最直接的方式是在IPv6结点中加入IPv4协议栈。具有双协议栈的结点称作“IPv6/v4结点”，这些结点既可以收发IPv4分组，也可以收发IPv6分组。它们可

15、以使用IPv4与IPv4结点互通，也可以直接使用IPv6与IPv6结点互通。目前大部分IPv6的实现使用双堆栈。,9.1.4 IPv4向IPv6的过渡技术,图9-3 隧道技术,2.隧道,9.1.4 IPv4向IPv6的过渡技术,2.隧道为了连通IPv6互联网，一个孤立主机或网络需要使用现存IPv4的基础设施来携带IPv6数据包。这可由将IPv6数据包装入IPv4数据包的隧道协议来完成，实际上就是将IPv4当成IPv6的链接层。其工作机理是在IPv6网络与IPv4网络间的隧道入口处，路由器将IPv6的数据分组封装入IPv4中，IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧

16、道的出口处再将IPv6分组取出转发给目的节点。,IPv6庞大的地址空间同时也为管理带了许多问题，进行IPv6地址规划需要综合考虑多方面的因素,包括对路由效率的影响,对未来网络发展的影响,以及对运营商的影响等。域名解析的操作只需要对DNS做简单的升级就可以支持IPv6的域名解析。,9.2 IPv6地址管理,9.2.1 IPv6地址分配和管理,图9-4 IPv6地址格式的层次表示,IP 地址是一种公共的资源，不为任何组织或个人所拥有。地址管理采用等级制，IANA 向RIR（地区，以大洲以单位）分配地址。RIR 或 NIR（国家）向LIR（本地）分配地址。LIR接受 RIR 或 NIR 委派，向用户

17、分配地址。通常，LIR 是一个服务供应商。LIR 将自己所获得的地址分配给终端用户组织或其它的 ISP。IANA会给一个机构（ISP或研究团体）分配一个较大的地址块，如/48,/32等。目前中国的公网IPv6地址主要是以2001:及3FFE:开头的地址块。,9.2.1 IPv6地址分配和管理,为了充分实现路由优化，RIR 或NIR并不直接将全局 IPv6 地址分配给终端用户组织。全局 IPv6 地址，由与它们保持直接连接的服务供应商进行分配。IPv6也有类似IPv4私网地址：FEC0:/10，可以用来做实验用。IPv6并不使用NAT技术，因为IPv6不缺地址；NAT技术的安全性，在IPv6中也

18、有其他技术（IPSec、无状态自动配置）实现。虽然IPv6网络中也有DHCPv6，可以给主机分配地址。但目前因为无状态配置技术对主机分配地址来说已经足够。,9.2.1 IPv6地址分配和管理,互联网的根域名服务器已经经过改进同时支持IPv6和IPv4，不需要为IPv6域名解析单独建立一套独立的域名系统。IPv6的域名系统可以和传统的IPv4域名系统结合在一起。最通用的域名服务软件BIND已经实现了对IPv6地址的支持，IPv6地址和主机名之间的映射很容易解决。解析IPv6地址的类型（type），即AAAA和A6类型为IPv6地址的逆向解析提供的反向域，即ip6.int.识别上述新特性的域名服务

19、器就可以为IPv6的地址-名字解析提供服务。,9.2.2 IPv6域名管理,1.正向IPv6域名解析IPv4的地址正向解析的资源记录是AIPv6域名解析的正向解析目前有两种资源记录，即AAAA和A6记录.AAAA资源记录类型用来将一个合法域名解析为IPv6地址，与IPv4所用的A资源记录类型相兼容。AAAA用来表示域名和IPv6地址的对应关系，并不支持地址的层次性。IN AAAA FEC0:2AA:FF:FE3F:2A1,9.2.2 IPv6域名管理,1.正向IPv6域名解析A6把一个IPv6地址与多个A6记录建立联系，每个A6记录都只包含了IPv6地址的一部分，结合后拼装成一个完整的IPv6

20、地址。“A6”记录根据可聚集全局单播地址中的TLA、NLA和SLA项目的分配层次把128位的IPv6的地址分解成为若干级的地址前缀和地址后缀，构成了一个地址链，从而支持地址聚集。同时，用户在改变ISP时，要随ISP改变而改变其拥有的IPv6地址。如果手工修改用户子网中所有在DNS中注册的地址，是一件非常繁琐的事情。而在用“A6”记录表示的地址链中，只要改变地址前缀对应的ISP名字即可。,9.2.2 IPv6域名管理,2.反向IPv6域名解析IPv6域名解析中反向解析的地址表示形式有两种。一种是用.分隔的半字节16进制数字格式，低位在前，高位在后，域后缀是IP6.INT.。一种是二进制串格式，以

21、开头，16进制地址居中，地址后加，域后缀是IP6.ARPA.。,9.2.2 IPv6域名管理,IP6.INT域用于为IPv6提供逆向地址到主机名解析服务。逆向检索也称为指针检索，根据IP地址来确定主机名。为了给逆向检索创建名字空间，在IP6.INT域中，IPv6地址中所有的32位十六进制数字都逆序分隔表示。例如，为地址FEC0:2AA:FF:FE3F:2A1C（完全表达式为：FEC0:0000:0000:0000:02AA:00FF:FE3F:2A1C）查找域名时，在IP6.INT域中是：C.1.A.2.F.3.E.F.F.F.0.0.A.A.2.0.0.0.0.0.0.0.0.0.0.0.0

22、.0.0.C.E.F.IP6.INT.,9.2.2 IPv6域名管理,以地址链形式表示的IPv6地址体现了地址的层次性，支持地址聚集和地址更改。由于一次完整的地址解析要分成多个步骤进行，需要按照地址的分配层次关系到不同的DNS服务器进行查询，并且所有的查询都成功才能得到完整的解析结果。这势必会延长解析时间，出错的机会也增加。因此，在技术方面IPv6协议需要进一步改进DNS地址链功能，提高IPv6域名解析的速度才能为用户提供理想的服务。,9.2.2 IPv6域名管理,IPv6路由协议相对IPv4只有很小的变化目前各种常用的单播路由协议和组播协议都已经支持IPv6本小节主要介绍RIPng和OSPF

23、v3,9.3 IPv6路由管理,9.3 IPv6路由管理,IETF在保留了RIP优点的基础上针对IPv6网络修改形成了RIPng（RIP next generation，下一代路由选择信息协议）。RIPng主要用于在IPv6网络中提供路由功能，是IPv6网络中路由技术的一个重要组成协议。RIPng对RIPv2进行了改进，主要体现在:1.报文的不同2.安全认证不同3.与网络层协议的兼容性不同,9.3.1 RIPng,IETF在保留了RIP优点的基础上针对IPv6网络修改形成了RIPng（RIP next generation，下一代路由选择信息协议）。RIPng主要用于在IPv6网络中提供路由功

24、能，是IPv6网络中路由技术的一个重要组成协议。RIPng对RIPv2进行了改进，主要体现在:1.报文的不同2.安全认证不同3.与网络层协议的兼容性不同,9.3.1 RIPng,1.报文的不同（1）路由信息中的目的地址和下一跳地址长度不同RIPv2报文中路由信息中的目的地址和下一跳地址只有32比特，而RIPng均为128比特。（2）报文长度不同RIPv2对报文的长度有限制，规定每个报文最多只能携带25个RTE，而RIPng对报文长度、RTE的数目都不作规定，报文的长度与发送接口设置的IPv6 MTU有关。（3）报文格式不同与RIPv2一样，RIPng报文也是由头部（Header）和多个路由表项

25、（RTE）组成。,9.3.1 RIPng,9.3.1 RIPng,图9-5 RIPv2、RIPng报文对比示意图,与RIPv2不同的是，在RIPng里有两类RTE，分别是：（1）下一跳RTE：位于一组具有相同下一跳的“IPv6前缀RTE”的前面，它定义了下一跳的IPv6地址。（2）IPv6前缀RTE：位于某个“下一跳RTE”的后面。同一个“下一跳RTE”的后面可以有多个不同的“IPv6前缀RTE”。它描述了RIPng路由表中的目的IPv6地址、路由标记、前缀长度以及度量值。（3）下一跳RTE的格式如图9-6所示，IPv6 next hop address表示下一跳的IPv6地址。（4）报文的发

26、送方式不同RIPv2可以根据用户配置采用广播或组播方式来周期性地发送路由信息；RIPng使用组播方式周期性地发送路由信息。,9.3.1 RIPng,9.3.1 RIPng,图9-7 IPv6前缀RTE格式,图9-6下一跳RTE格式,2.安全认证不同RIPng自身不提供认证功能，而是通过使用IPv6提供的安全机制来保证自身报文的合法性。因此，RIPv2报文中的认证RTE在RIPng报文中被取消。3.与网络层协议的兼容性不同RIP不仅能在IP网络中运行，也能在IPX网络中运行；RIPng只能在IPv6网络中运行。,9.3.1 RIPng,9.3.1 RIPng,图9-8 RIPng典型配置,OSP

27、Fv3除了提供对IPv6的支持外，还充分考虑了协议的网络无关性以及可扩展性，进一步理顺了拓扑与路由的关系，使得OSPF的协议逻辑更加简单清晰，大大提高了OSPF的可扩展性。拓扑：指构成网络的成员间特定的排列方式。路由：通过互联的网络把信息从源地址传输到目的地址的活动。比如说去一个地方有三种走法，放在拓扑表内。根据某种规则，从三种走法中选择实际选择走的路，放在路由表内。,9.3.2 OSPFv3,1.OSPFv3协议规划原则（1）Router ID:OSPFv3使用的Router ID也是一个32bit的数值，仅用于在OSPFv3域中唯一标识路由器。（2）区域规划方面，适当注意设备数量不要太多。

28、（3）IPv6网络中的地址块都比较整齐，主机所在的业务地址与互联地址都是64前缀的，很容易聚合；较小的网络中可以不聚合。,9.3.2 OSPFv3,2.OSPFv3和OSPFv2的不同点（1）修改了LSA的种类和格式，使其支持发布IPv6路由信息（2）修改部分协议流程，使其独立于网络协议，大大提高了可扩展性（3）进一步理顺了拓扑与路由的关系（4）提高了协议适应性,9.3.2 OSPFv3,9.3.2 OSPFv3,图9-9 OSPFv3典型配置,在IPv4设计之初，着重考虑的是技术的开放性，而对网络信息安全问题几乎没有考虑，而把网络安全问题留给应用程序去解决，应用层增加许多安全措施与安全技术。

29、当前，大多数网络攻击都在网络层进行，为了更有效地抵御各种网络攻击，IPv6在网络层实现了基本的安全功能，重点是IPSec和QoS。,9.4 IPv6安全管理,IPsec既可用于IPv4也可用于IPv6的安全性机制，该服务由IP层提供。可以使用IPSec来要求与其他系统的交互以安全的方式进行通过使用特定的安全性算法和协议。IPSec提供了必要的工具，用于一个系统与其他系统之间对彼此可接受的安全性进行协商。一个系统可能有多个可接受的加密算法，这些算法允许该系统使用它所倾向的算法或某些替代算法。,9.4.1 IPsec技术,IPsec由两大部分组成：（1）建立安全分组流的密钥交换协议（IKE）；（2

30、）保护分组流的协议，包括加密分组流的封装安全载荷协议（ESP协议）或认证头协议（AH协议）协议，用于保证数据的机密性、来源可靠性（认证）、无连接的完整性并提供抗重播服务。,9.4.1 IPsec技术,IPSec中可能考虑如下安全性服务：访问控制如果没有正确的密码就不能访问一个服务或系统。可以调用安全性协议来控制密钥的安全交换，用户身份验证可以用于访问控制。无连接的完整性使用IPSec，有可能在不参照其他包的情况下，对任一单独的IP包进行完整性校验。此时每个包都是独立的，可以通过自身来确认。此功能可以通过使用安全散列技术来完成，它与使用检查数字类似，但可靠性更高，并且更不容易被未授权实体所篡改。

31、,9.4.1 IPsec技术,数据源身份验证IPSec提供的一项安全性服务是对IP包内包含的数据的来源进行标识。此功能通过使用数字签名算法来完成。对包重放攻击的防御作为无连接协议，IP很容易受到重放攻击的威胁。重放攻击是指攻击者发送一个目的主机已接收过的包，通过占用接收系统的资源，这种攻击使系统的可用性受到损害。为对付这种花招，IPSec提供了包计数器机制。,9.4.1 IPsec技术,加密数据机密性是指只允许身份验证正确者访问数据，对其他任何人一律不准。它是通过使用加密来提供的。有限的业务流机密性有时候只使用加密数据不足以保护系统。只要知道一次加密交换的末端点、交互的频度或有关数据传送的其他

32、信息，坚决的攻击者就有足够的信息来使系统混乱或毁灭系统。通过使用IP隧道方法，尤其是与安全性网关共同使用，IPSec提供了有限的业务流机密性。,9.4.1 IPsec技术,密码功能和密钥管理基础设施 加密和身份验证算法：重要的密码功能大致有5类，包括对称加密：采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。常用的对称加密有：DES、IDEA、RC2、RC4、SKIPJACK、RC5、AES算法等公共密钥加密：使用两个不同的密钥：加密密钥和解密密钥。前者公开，简称公钥。后者保密，简称私钥。这两个密钥是数学相关的，用某用户加密密钥加密后所得的信息只能用该用户的解密密钥才能解密。

33、RSA算法（由发明者Rivest，Shmir和Adleman姓氏首字母缩写而来）是著名的公开密钥加密算法。,9.4.1 IPsec技术,密钥交换：在Internet这样的开放信道上要实现秘密共享难度很大。但是很有必要实现对共享秘密的处理，因为两个实体之间需要共享用于加密的密钥。共享密钥有一些重要的加密算法，是以对除预定接受者之外的任何人都保密的方式来实现的。典型的密钥交换协议是IKE（Internet Key Exchange），用于实现IPsec中的SA。安全散列：散列是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。SHA是公认的最安全的散列算法之一。数字签名：公共密钥加密RSA+

34、安全散列SHA,9.4.1 IPsec技术,安全性关联：安全关联(SecurityAssociation,SA)是IPSec的基本概念。安全性关联包含能够唯一标识一个安全性连接的数据组合。连接是单方向的，每个SA由目的地址和安全性参数索引(SPI)来定义。SPI是说明使用SA的IP头类型，如AH或ESP。SPI为3 2位，用于对SA进行标识及区分同一个目的地址所链接的多个SA。进行安全通信的两个系统有两个不同的SA，每个目的地址对应一个。每个SA还包括与连接协商的安全性类型相关的多个信息。这意味着系统必须了解其SA、与SA目的主机所协商的加密或身份验证算法的类型、密钥长度和密钥生存期。,9.4

35、.1 IPsec技术,密钥管理 密钥管理不仅包括使用密钥协议来分发密钥，还包括在通信系统之间对密钥的长度、生存期和密钥算法进行协商。ISAKMP（Internet Security Association Key Management Protocol，Internet安全联盟密钥管理协议）为密钥的安全交换定义了整个基本构架。是一个应用协议，协议中定义了用于系统之间协商密钥交换的不同类型报文，它在传输层使用UDP。但是ISAKMP只是特定机制所使用的框架，而没有定义实际完成交换的机制和算法。人工密钥管理也是一个重要选项，而且在很多情况下是唯一的选项。,9.4.1 IPsec技术,实现Ipsec

36、IPSec用于保护IP数据报。它不一定要涉及用户或应用。用户无需注意所有的数据报在发送到Internet之前，需要进行加密或身份验证，所有的加密数据报都要由另一端的主机正确地解密。,9.4.1 IPsec技术,实现IPsec的方式 将IPSec作为IPv4栈或IPv6栈的一部分来实现将IP安全性支持引入IP网络栈，并且作为任何IP实现的一个必备部分。但是，这种方法也要求对整个实体栈进行更新以反映上述改变。将IPSec作为“栈中的一块”(BITS)来实现 将特殊的IPSec代码插入到网络栈中，在现有IP网络软件之下、本地链路软件之上。换言之，这种方法通过一段软件来实现安全性，该软件截获从现有IP

37、栈向本地链路层接口传送的数据报，对这些数据报进行必要的安全性处理，然后再交给链路层。这种方法可用于将现有系统升级为支持IPSec的系统，且不要求重写原有的IP栈软件。,9.4.1 IPsec技术,将IPSec作为“线路的一块”(BITW)来实现 使用外部加密硬件来执行安全性处理功能。该硬件设备通常是作为一种路由器使用的IP设备，或者是安全性网关，此网关为位于它后面的所有系统发送的IP数据报服务。如果这样的设备只用于一个主机，其工作情况与BITS方法类似，但如果一个BITW设备为多个系统服务，实现相对要复杂得多。上述方法的适用情况不同。要求高级别安全性的应用最好使用硬件方法实现；而如果系统不具备

38、与新的IPSec兼容的网络栈，应用最好选择BITS方法。,9.4.1 IPsec技术,1.QoS简介QoS（Quality of Service，服务质量）是网络的一种安全机制，是用来解决网络延迟和阻塞等问题的一种技术。现在的路由器一般均支持QoS。在IP网上实现实时多媒体应用的问题焦点便集中在了如何传输这些时延敏感的业务上。IPv4网络无法保障实时多媒体业务服务质量，因此在IP网上实现QoS的机制已成为网络研究热点。QoS在IPv4网络中是可选项，而在IPv6网络中是必选项。,9.4.2 QoS技术,IPv6数据包中包含一个8位的业务流类别（Traffic Class）和20位的流标签（Fl

39、ow Label）。在RFC1883中定义了4位的优先级字段，可以区分16个不同的优先级。允许发送业务流的源节点和转发业务流的路由器在数据包上加上标记，并进行对不同的流进行不同的处理。在所选择的链路上，可以根据开销、带宽、延时或其他特性对数据包进行特殊的处理。,9.4.2 QoS技术,1.QoS简介QoS的3个主要参数为丢包率、延迟和抖动。有效地控制这3个参数，就能够提供高效的QoS。实现QoS控制，一般有以下3个步骤：第1步：设置路由器。确保为所有的应用及报头开销提供所需带宽的流程；第2步：分类数据包。为数据包标记优先级，这些标记指示该数据包需要网络为它提供的特殊服务要求，可在第二或第三层完

40、成。第3步：调度。基于分类将数据包分配到不同的队列进行优先处理的流程。,9.4.2 QoS技术,2.QoS的实现机制报文分类在网络中，业务(服务)信息就是数据报文流。在提供业务的端对端的QoS服务前，需要对进入网络中的“报文流”和“标记”进行分类，以保证特殊的数据包能够得到特殊的处理。报文分类是将报文划分为多个优先级或多个服务类，在IPv4中，使用IP报文头的TOS字段的3个优先级位，可以定义8个优先等级。对于IPv6，有两个字段与QoS有关，分别为流量类别TC和流标签FL字段。在对报文进行分类后，就可以使用QoS技术制定适当的通信流处理策略，如对于某个通信流等级的拥塞管理、带宽分配以及延迟限

41、制。,9.4.2 QoS技术,2.QoS的实现机制拥塞管理拥塞管理是指当网络发生拥塞时，网络转发设备对报文流如何进行管理和控制，以满足业务的服务质量要求。实现拥塞管理的有效处理方法是使用队列技术。拥塞管理的处理，包括队列的创建、报文的分类、将报文送入不同的队列、队列调度等。,9.4.2 QoS技术,2.QoS的实现机制拥塞避免技术网络拥塞会导致网络性能的降低和带宽得不到高效的使用。为了避免拥塞，队列可通过丢弃数据包的措施来避免出现拥塞。队列选择丢弃的策略包括简单丢弃SD(Simple Detection)、随机早期检测丢弃RED（Random Early Detection）、加权随机早期检测

42、丢弃WRED（Weighted Random Early Detection）。,9.4.2 QoS技术,2.QoS的实现机制流量策略制订流量策略的制定有利于保证QoS的实现，通过进行流量监管可以限制进入某一网络的某一连接的流量与突发。一般使用承诺接入速率CAR（Committed Acemss Rate）来限制某类报文的流量。,9.4.2 QoS技术,3.IPv6下实现QoS“业务流类别”与“流标签”：“业务流类别”字段的设计是为了源端机器能够给不同的分组指定不同的优先级别；“流标签”字段用于区分需要相同处理的数据包，以此来促进实时性流量的处理 IPv6 QoS信令扩展：QoS信令的具体内容

43、包括可用带宽、保证带宽、优先级以及与报文处理有关的一些定义字段等IPv6 QoS实现方案：可以通过流量类别字段或流标签字段提出QoS要求，也可以在用户接入的服务提供商(SP)网络边缘节点对用户业务进行标识,9.4.2 QoS技术,IPv6除了更大的地址空间外，也更加安全，能提供更好的服务质量。IPv6地址是层次结构，地址分配时也采用等级制，通过对域名解析服务器的改进可以支持IPv6地址的正向和反向解析。对IPv4的路由协议进行升级就可以得到支持IPv6，RIPng和OSPFv3是典型的IPv6路由协议。IPv6通过IPSec提高网络的安全性，通过在报头中的业务流类别和流标签可以实现优先级控制和QoS保证。,9.5 小结,