ipv6内网防御技术

IPv6下入侵防御技术的研究

【摘要】本文介绍了IPv6的安全功能的改进，分析了在IPv6新环境下可能引入的一些新的安全问题以及原有安全工具在IPv6环境下的变化。

【关键词】IPv6 入侵防御网络安全

IPv6协议作为IPv4协议的升级版本，其协议本身进行了大量的改进，比如地址方案、报文格式等，同时还引进了许多新的机制，比如自动配置、移动性等，新引入了IPSee，增强了其安全性，使新环境下的网络攻击和安全防御产生新的变化。

1．IPv6的安全功能的改进

在IPv6协议中，实现了网络层的基本安全功能，而且这些功能对应用层的每种应用都适用。IPv6协议所采用的安全技术主要是安全IP (即IPSec)。很多的网络攻击都是在网络层上对远程主机或本地主机进行攻击，所以，在网络层上实现的安全特性，可以更为有效地抵御各种网络攻击，增加网络的安全性。

IPSec中的AH和ESP头有助于在IP上实现安全性。AH协议即分组头认证协议。该协议主要是为IP数据包提供信息源的身份认证，以及数据完整性的检测，同时，它还具有抗重播功能。AH为源节点提供了在包上进行数字签名的机制。AH之后的数据都是纯文本格式，可能被攻击者截取。但是，在目的节点接收之后，可以使用AH中包含的数据来进行身份验证。另一方面，可以使用ESP头对数据内容进行加密。AH协议只涉及数据包的认证，而不涉及数据包的加密，而ESP协议主要是用来处理IP数据包的加密，它是一种与具体的加密算法相独立的安全协议，该协议几乎可以支持所有的对称密钥加密算法。对ESP头之后的所有数据都进行了加密，ESP头为接收者提供了足够的数据以对包的其余部分进行解密。

安全性关联(SA)是IPsec的另一个重要概念。安全性关联包含能够唯一标识一个安全性连接的数据组合。连接是单方向的，每个SA由目的地址和安全性参数索引(SPI)来定义。其中SPI是对RFC1825修改后的Intemet草案中所要求的标识符，它说明使用SA的IP头类型，如AH或ESP。SPI为32位，用于对SA进行标识及区分同一个目的地址所链接的多个SA。进行安全通信的两个系统有两个不同的SA，每个目的地址对应一个。每个SA还包括与连接协商的安全性类型相关的多个信息。这意味着系统必须了解其SA、与SA目的主机所协商的加密或身份验证算法的类型、密钥长度和密钥生存期。

AH协议和ESP协议都是基于密钥分发的协议。这两种协议可以单独使用，也可以配合使用，并且他们都可以用于以下两种工作模式：

传送模式：在远程计算机间直接执行IP安全服务。传送模式通常当ESP在一台主机(客户机或服务器)上实现时使用，传送模式使用原始明文IP头，并且只加密数据，包括它的TCP和UDP头。

隧道模式：通过中间系统执行IP数据包压缩。隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用，隧道模式处理整个IP数据包包括全部TCP／IP或UDP ／IP头和数据，它用自己的地址作为源地址加入到新的IP头。当隧道模式用在用户终端设置时，它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。

IPv6通过IPSec协议在IP层提供的安全服务，人们可以利用这种网络层的安全特性实现很多应用。例如：虚拟专用网(VPN)的应用、路由安全的应用和安全主机之间的应用等。

2．IPv6环境下网络攻击的特征和行为分析

IPv4缺乏安全机制，IPv6除了将IP地址从32位扩展到128位显著扩展了IP地址空间

外，最大的改进就是为IP协议提供了安全机制，IPv6使用了两种安全性扩展：IP身份验证头(AH)和IP封装安全性净荷fEsP1，实现了IP层的身份认证，数据报的完整性，机密性检查。这些安全机制以及改造后的IP头部对目前已知的网络攻击将产生怎样的影响，下面从攻击分类的角度对已知网络攻击在IPv6下环境下的表现进行分析、阐述。

2.1 IPv6对主要网络攻击类型的影响述

（1）阻塞类攻击

阻塞类攻击企图通过强制占有信道资源、网络连接资源、存储空间资源，使服务器崩溃或资源耗尽无法对外继续提供服务。DoS是典型的阻塞类攻击，常见的方法有泪滴攻击、UDP／TCP洪泛攻击、Land攻击、Smurf攻击、电子邮件炸弹等多种方式。为了针对宽带网络技术的发展，目前Dos已发展为“火力”更为猛烈的分布式集群攻击。阻塞类攻击以消耗系统资源、网络带宽为主，他们一般发起于网络层以上，主要发起于应用层，所以IPv6将对这些攻击没有影响。

（2）控制类攻击

控制类攻击是一类试图获得对你的机器控制权的攻击，最常见的有三种：口令攻击、特洛伊木马攻击和缓冲区溢出攻击。口令截获与破解，仍然是最有效的口令攻击手段，进一步的发展应该是研制功能更强的口令破解程序；木马技术目前着重研究更新的隐藏。

口令攻击就是攻击者得到系统中用户的帐号、口令或相关信息后使用各种口令破解工具破解用户口令，在得到口令后登录系统进行攻击活动，目前各种口令破解工具在Internet上随处可得，使得实施口令攻击很简单，关键在于用户帐号、口令信息(如口令文件、密码表等)的获取，IPv4对数据包进行明文传送，造成了一些用户信息的泄漏，IPv6增加了安全机制，对IP数据包进行加密传送，避免了数据信息在网络嗅探下的失窃。减小了一不部分口令攻击发生的可能性。

特洛伊木马和缓冲区漏洞都是由于具体应用的漏洞和脆弱性给了黑客可乘之机和网络层协议没有直接的联系，所以IPv6对IP的各种改进对这些攻击将不会有明显的影响。

（3）探测类攻击

信息探测型攻击主要是收集目标系统的各种与网络安全有关的信息，为下一步入侵提供帮助。特洛伊木马也可以用于这一类目的。这类攻击主要包括扫描技术、体系结构刺探、系统服务信息收集等。目前正在发展更先进的网络无踪迹信息探测技术。

各种探测类攻击收集信息主要依赖网络系统提供各种网络应用服务提供主机和网络系统的各种相关信息，IP层协议对这些网络应用层服务通常是透明的，所以]Pv6对探测类攻击不会用明显的影响。

（4）欺骗类攻击

欺骗类攻击包括IP欺骗和假消息攻击，前一种通过冒充合法网络主机骗取敏感信息，后一种攻击主要是通过配置或设置一些假信息来实施欺骗攻击。

IPv6提供了两种安全性扩展，IP身份验证头(AH)和IP封装安全性净荷(ESP1，实现了IP层的身份认证，数据报的完整性，机密性检查。在强制实施这两种安全扩展的环境中很好地杜绝了IP地址欺骗攻击，同时IPv6放弃了ARP协议，使得部分假消息攻击失效。

（5）漏洞类攻击

网络系统的漏洞各种各样，主要的可以分为操作系统漏洞，应用系统漏洞，网络协议漏洞，系统配置漏洞等，针对各种漏洞实施的相应攻击，随着新漏洞的发现，相应的攻击手段也不断地涌现，防不胜防。由于这些攻击的新颖性，一般而言，即使安装了实时入侵检测系统，也很难发现这一类攻击。IPv6对TcP/IP协议的改进对这些漏洞攻击不会有明显的影响。

（6）病毒类攻击

计算机病毒已经由单机病毒发展到网络病毒，由DOS病毒发展到windnws98／NT／

2000系统的病毒，现在已经发现Unix系列的病毒。电子邮件与蠕虫技术是网上传播病毒的主要方法。病毒通常是利用系统的漏洞对系统入侵，IPv6的应用不会对病毒类攻击产生影响。

2.2 原有安全工具在IPv6环境下的变化

当前的网络安全体系是基于现行的IPv4协议的，防范黑客的主要工具有防火墙、网络扫描、系统扫描、Web安全保护、入侵检测系统等。IPv6的安全机制对他们的冲击可能是致命的。

（1）防火墙

当前的防火墙有三种类型：包过滤型，应用代理型和地址转换型。除了应用代理型防火墙工作在应用层，受到IPv6的影响比较小之外，其他的两种都受到了几乎是致命的冲击。

包过滤型防火墙：基于IPv4的包过滤型防火墙是依据数据包中源端和目的端的IP地址和TCP／UDP端口号进行过滤的。在IPv4中，IP报头和TCP报头是紧接在一起的，而且其长度基本是固定的，所以防火墙很容易找到报头，并使用相应的过滤规则。然而在IPv6下TCP／UDP报头的位置有了变化，IP报头与TCP／UDP报头之间常常还存在其他的扩

展报头，如路由选项报头，AH／ESP报头等。防火墙必须逐个找到下一个报头，直到TCP ／UDP报头为止，才能进行过滤，这对防火墙的处理性能会有很大的影响。在带宽很高的情况下，防火墙的处理能力就将成为整个网络的瓶颈。

地址转换型防火墙：它可以使局域网外面的机器看不到被保护的主机的IP地址，从而使防火墙内部的机器免受攻击。但由于地址转换技术(NAT)和IPsec在功能上不匹配，很难穿越地址转换型防火墙利用IPsec进行通信。当采用AH进行地址认证时，IP报头也是认证的对象，因此不能做地址转换。当只用ESP对分组认证／加密时，因为IP报头不在认证范围内，乍一看地址转换不会出现问题，但即使在这种情况下也只能作一对一的地址转换，而不能由多个对话共用一个IP地址。这是因为ESP既不是TCP也不是UDP，不能以端口号的不同进行区分的缘故。

使用了IPv6加密选项后，数据是加密传输的，由于IPsec的加密功能提供的是端到端的保护，并且可以任选加密算法，密钥是不公开的。防火墙根本就不能解密。因此防火墙就无从知道TCP／UDP端口号。

（2）入侵检测

一般来说，入侵检测(IDS)是防火墙后的第二道安全屏障。按照审计数据来源的不同，IDS分为基于网络的NIDS和基于主机的HIDS。

NIDS直接从网络数据流中截获所需的审计数据并从中搜索可疑行为。它能够实时得到目标系统与外界交互的所有信息，包括一些很隐蔽的端口扫描和没有成功的入侵尝试；此外，由于NIDS不在被监视系统中运行，并且使用被动监听的工作方式，所以它不容易为人侵者所发觉，因此它所收集的审计数据被篡改的可能性很小，并且它不影响被保护的系统的性能。但是在对待被加密的IPv6数据方面，NIDS有着和过滤防火墙同样的尴尬。如果有黑客使用加密之后的数据包进行攻击，NIDS就很难抓到什么蛛丝马迹了。

HIDS运行于被保护的主机系统中，监视文件系统或者操作系统OS及各种服务生成的日志文件，以便发现入侵踪迹。它通常作为用户进程运行，其正常运行依赖于操作系统底层的支持，与系统的体系结构有关，所以，熟练的入侵者能够篡改这些进程的输出、关闭进程，修改系统日志，甚至更换系统核心以逃避检测。除此之外，基于主机的HIDS只能知道它所保护的主机的信息，却很难收集到其他主机的信息，甚至由于它运行在应用层而很难得到底层的网络信息。并且，HIDS自身的安全直接依赖于它所在的主机的安全，如果主机被攻破了，HIDS报警的正确性，就很值得怀疑。

3．结束语

入了两个新的扩展报头AH和ESP。解决了身份认证，数据完整性和机密性的问题，IPv6极大地提高了网络层安全，但是，这些安全机制对于当前的计算机网络安全体系造成了很大的冲击，使对于IPv6加密数据包的过滤，入侵检测和防火墙都处于一种真空状态，有待进一步研究。

参考文献

[1] 韩东海，王超，李群．入侵检测系统实例剖析[M]．清华大学出版社．2002 ．

[2] 刘筠，卢超．异常检测测试平台的设计[J]．计算机工程与设计，2008，06．

[3] 阎巧，谢维信．异常检测技术的研究与发展[J]．西安电子科技大学学报，2002，01．

[4] 安景琦，刘责全，钱权一种基于隐Markov模型的异常检测技术[J]．计算机应用，2005，08．

[5] 卢超．谈软件项目管理[J]．中小企业管理与科技．2008，12．

[6] Anderson J P．Computer Security Threat Monitoring and Survellance[M]．Washington：P Anderson Co，1980．

[7] Denning D E An Intrusion Detection Model[J]．IEEE Trans on Soft Engineering，1987，13 ．

[8] 卢超．基于熵的多点脉搏传感器信息融合方法[J]．佳木斯大学学报(自然科学版)，2009，05 ．

[9] 李之棠，杨红云．模糊入侵检测模型[J]计算机工程与科学，2000，22．

IPv6简介

IPv6简介 1．认识IPv6地址 对于128位的IPv6地址，考虑到IPv6地址的长度是原来的四倍，RFC1884规定的标准语法建议把IPv6地址的128位（16个字节）写成8个16位的无符号整数，每个整数用四个十六进制位表示，这些数之间用冒号（：）分开，例如：3ffe:3201:1401:1:280:c8ff:fe4d:db39 为了简化其表示法，rfc2373提出每段中前面的0可以省略，连续的0可省略为\"::\"，但只能出现一次. 例如： 1080:0:0:0:8:800: 200C : 417A 可简写为1080::8:800: 200C : 417A FF01:0:0:0:0:0:0:101 可简写为FF01::101 0:0:0:0:0:0:0:1 可简写为::1 0:0:0:0:0:0:0:0 可简写为:: 类似于IPv4中的CDIR表示法，IPv6用前缀来表示网络地址空间，比如： 2001:251:e000::/48 表示前缀为48位的地址空间，其后的80位可分配给网络中的主机，共有2的80次方个地址。 2．IPv6地址作用域和地址分类 IPv6地址指定给接口，一个接口可以指定多个地址。 2.1 IPv6地址作用域 每一个Ipv6地址都属于且只属于一个对应于其地址范围的区域。例如，可聚合的全球单播地址（Aggregatable Global Unicast Addresses）地址范围就是全球；链路本地地址（Link-Local Addresses）的地址范围就是由一条特定的网络链路和连接到这条链路的多个接口组成的区域。这样，地址的唯一性只能在其范围区域内的到保证。 * link local地址本链路有效 * site local地址本区域（站点）内有效，一个site通常是个校园网 * global地址全球有效，即可汇聚全球单播地址 2.2 IPv6地址分类 在RFC1884中指出了三种类型的IPv6地址，他们分别占用不同的地址空间： * unicast 单播（单点传送）地址：这种类型的地址是单个接口的地址。发送到一个单点传送地址的信息包只会送到地址为这个地址的接口。 * anycast 任播（任意点传送）地址：这种类型的地址是一组接口的地址，发送到一个任意点传送地址的信息包只会发送到这组地址中的一个（根据路由距离的远近来选择） * multicast 组播（多点传送）地址：这种类型的地址是一组接口的地址，发送到一个多点传送地址的信息包会发送到属于这个组的全部接口。 其中单播地址又包括:全局可聚集的单播地址，站点本地地址和链路本地地址。 3．常见的IPv6地址及其前缀 ?::/128 即0:0:0:0:0:0:0:0，只能作为尚未获得正式地址的主机的源地址，不能作为目的地址，不能分配给真实的网络接口。

IPv6技术概述

一引言 随着IP业务的迅速增长，IP网络上应用的不断增加，原有的IP网越来越显得力不从心。IP网络正在向下一代网络演进。其网络协议也应产生重大变化。 目前使用的IP协议是IPv4。IPv4是70年代制定的协议，随着全球IP网络规模的不断扩大和用户数的迅速增长，IPv4协议已经不能适应发展的需要。90年代初，有关专家就预见到IP协议换代的必然性，提出在下一代网络中用IPv6协议取代IPv4。IPv6是1992年提出的，主要起因是由于Web的出现导致了IP 网的爆炸性发展，IP网用户迅速增加，IP地址空前紧张，由于IPv4只用32位二进制数来表示地址，地址空间很小，IP网将会因地址耗尽而无法继续发展，因而IPv6首先要解决的问题是扩大地址空间，IPv6有许多优良的特性，尤其在IP 地址量，安全性，服务质量，移动性等方面优势明显。采用IPv6的网络将比现有的网络更具扩展性、更安全，更容易为用户提供质量服务。现在的IPv6协议是在1995年由Cisco公司的Steve Deering和Nokia公司Robert Hinden完成起草并定稿的，即RFC2460。在1998年IETF对RFC2460进行了较大的改进，形成了现有的RFC2460，1998版。IPv6的其他标准也陆续由IETF的相关工作组制定出来，现已有100多项有关IPv6的RFC制定出来 二IPV6协议分析 IPv6协议是IP协议的第6版本，于1992年开始开发， 1998年12月发布标准RFC2460。IPv6继承了IPv4的优点，并总结了IPv4近30年运行经验，目的是解决IPv4地址空间不足、地址结构规划不合理的问题，同时对IPv4协议运行中存在的不足进行了改进和功能扩充，IPv6协议相对IPv4协议具有如下技术特点： ●采用128位的IP地址，极大地扩展了地址空间，解决了IPv4协议地址资源不足的问题。IPv6能够提供几乎任意多的地址，因此目前在IPv4网络上普遍采用的NAT技术将逐渐过时，使得网络通信的端到端安全性也可以得到保证。 ●支持良好的自动配置功能，包括IPv6地址的自动配置和主机默认路由的自动配置等，同时还可以自动实现其他网络参数例如跳限和MTU的自动配置。

IPv6技术白皮书

IPv6技术白皮书 摘要： 随着Internet的发展，IPv4的局限越来越暴露出来，严重制约了IP技术的应用和未来网络的发展；IPv6作为下一代网络的基础以其鲜明的技术优势得到广泛的认可；本文从技术层面分析了IPv6的特点优势，同时就IPv4网络向IPv6网络部署的阶段，过渡技术以及方案做一个基本的介绍，并对IPv6的未来进行了展望 关键字： IPv6、自动配置、扩展头、Mobile IPv6、过渡技术、双栈、隧道、6to4 、NAT-PT 1．IPv4需要升级吗？ 计算机技术和通信技术的发展与融合使得Internet应用及规模飞速发展，其中Internet 中的核心技术IPv4功不可抹，IPv4技术以它的简结有效取得了巨大的成功，但IPv4协议是1973年制定的，它的早期设计者完全没有预料到IP网络会达到今天的发展速度和规模，到90 年代IPv4的缺陷和潜伏的危机逐渐暴露出来。 其中最大的问题是IP地址资源的紧缺。据统计IPv4地址到96年已有80%的A类网络地址，50%的B类地址，10%的C类地址被分配，有专家估计到2010年左右IPv4地址可能面临耗尽的危险。有人形象的把这个问题称为“网络泰坦尼克危机“。 IP地址被看作网络设备节点在互联网上的“身份号”，随着移动和宽带技术发展，IP地址需求将更大。大量移动终端的IP接入需要更多IP地址，例如手机，PDA，甚至每个IC卡拥有一个IP地址。目前宽带技术正在蓬勃发展，由于宽带业务模式与窄带业务模式不同，一般以对称和实时方式工作，要求用户时时在线，IP地址需求更大，如家电上网，IPCar等。 为了缓解IPv4地址的紧张，也出现了一些IPv4的补丁技术，如CIDR，NAT技术，混合地址等技术，但这些技术治标不治本。以NAT技术为例，使用私有地址虽然可以缓解地址紧缺，但存在效率和应用层网关问题，而且NAT打破端到端的模式，限制了新应用的发展。由于IP 网络本身的特点，IP地址紧缺问题不像电话号码升位一样简单。种种基于IPv4本身的改进不足以彻底解决IP地址短缺问题，这直接加速了IPv4升级的需求。 除了IP地址问题，IPv4还存在路由表庞大，Qos，移动等一系列问题。以路由表为例，由于IPv4采用与网络拓扑结构无关的形式来分配地址，所以随着网络数目增加，路由表数目迅速增加。庞大的路由表不仅降低路由节点以及网络的效率，而且降低了Internet服务的稳定性。 2．为什么要升级到IPv6 早在90年代，IPv6就针对IPv4的改进提出来，经过10年左右的发展，IPv6技术目前已被公认为IPv4技术的未来升级版本。 那么到底哪些特点使IPv6作为下一代网络基础而获得广泛认可呢？下面归纳了IPv6主要的技术特点。 地址充足 ? IPv6产生的初衷主要是针对IPv4地址短缺问题，当然，IPv6首先拥有十分丰富的地址资源，IPv6汲取了IPv4地址资源不足的教训，一下子将地址长度扩大了4倍，即从IPv4的32bit 地址，扩展到了IPv6的128bit地址，充分解决地址匮乏问题。如果这些IPv6地址平均分配在

ipv6基本技术介绍

ipv6基本技术介绍 IPv6是Internet Protocol Version 6的缩写，其中Internet Protocol译为互联网协议。IPv6是IETF（互联网工程任务组，Internet Engineering Task Force）设计的用于替代现行版本IP协议（IPv4）的下一代IP协议，号称可以为全世界的每一粒沙子编上一个网址 由于IPv4最大的问题在于网络地址资源有限，严重制约了互联网的应用和发展。IPv6的使用，不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍 IPv4的设计思想成功地造就了目前的国际互联网，其核心价值体现在：简单、灵活和开放性。但随着新应用的不断涌现，传统的IPv4协议已经难以支持互联网的进一步扩张和新业务的特性，比如实时应用和服务质量保证等。其不足主要体现在以下几方面： 1.地址资源即将枯竭：IPv4提供的IP地址位数是32位，也即1亿个左右的地址。随着连接到Internet上的主机数目的迅速增加，有预测表明，所有IPv4地址将在2005～2010年间分配完毕。 2.路由表越来越大：由于IPv4采用与网络拓扑结构无关的形式来分配地址，所以随着连入网络数目的增涨，路由器数目飞速增加，相应地，决定数据传输路由的路由表也就不断增大。 3.缺乏服务质量保证：IPv4遵循Best Effort原则，这一方面是一个优点，因为它使IPv4简单高效；但另一方面它对互联网上涌现出的新业务类型缺乏有效的支持，比如实时和多媒体应用，这些应用要求提供一定的服务质量保证，如带宽、延迟和抖动等。 4.地址分配不便：IPv4是采用手工配置的方法来给用户分配地址，这不仅增加了管理和规划的复杂程度，而且不利于为那些需要IP移动性的用户提供更好服务。 IPv6能够解决IPv4的许多问题，如地址短缺、服务质量保证等。同时，IPv6还对IPv4作了大量的改进，包括路由和网络自动配置等。IPv6和IPv4将在过渡期内共存几年，并由IPv6渐渐取代IPv4。

IPv6技术简介

IPv6技术简介 自从计算机网络产生之后，就一直以飞快的速度在发展，在许多方面使得我们一般的人都无法跟从和了解，在网络的基础原理上也是一样，如IPv6。虽然在好几年以前就已经有不少的媒体和人开始谈论IPv6，但是作为一般的人始终都没有多少了解和接触。以下我们将针对IPv6做一个简单的介绍： IPv6是“Internet Protocol Version 6”的缩写，它是IETF设计的用于替代现行版本IP协议-IPv4-的下一代IP协议。 目前Internet中广泛使用的IPv4协议，也就是人们常说的IP协议，已经有近20年的历史了。随着Internet技术的迅猛发展和规模的不断扩大，IPv4已经暴露出了许多问题，而其中最重要的一个问题就是IP地址资源的短缺。有预测表明，以目前Internet发展的速度来计算，在未来的5到10年间，所有的IPv4地址将分配完毕。尽管目前已经采取了一些措施来保护IPv4地址资源的合理利用，如非传统网络区域路由和网络地址翻译，但是均不能从根本上解决问题。 为了彻底解决IPv4存在的问题，IETF从1995年开始就着手研究开发下一代IP协议，即IPv6。IPv6具有长达128位的地址空间，可以彻底解决IPv4地址不足的问题，除此之外，IPv6还采用了分级地址模式、高效IP包头、服务质量、主机地址自动配置、认证和加密等许多技术。 一、IPv6的地址格式和结构 与IPv4的32地址相比，IPv6 的地址要长的多。IPv6共有128位地址，是IPv4的整整四倍。与IPv4一样，一个字段由16位二进制数组成，因此，IPv6有8个字段。每个字段的最大值为16384，但在书写时用四位的十六进制数字表示，并且字段与字段之间用“：”隔开，而不是原来的“.”，而且字段中前面为零的数值可以省略，如果整个字段为零，那么也可以省略。128位地址所形成的地址空间在可预见的很长时期内，它能够为所有可以想象出的网络设备提供一个全球唯一的地址。128位地址空间包含的准确地址数是340，282，366，920，938，463，463，374，607，431，768，211，456。 IPv6的地址如上图所示。其书写格式为X:X:X:X:X:X:X:X,其中每一个X代表四位十六进制数。除了128位的地址空间，IPv6还为点对点通信设计了一种具有分级结构的地址，这种地址被称为可聚合全局单点广播地址（Aggregatable global unicast address），开头3个地址位是地址类型前缀，用于区别其它地址类型，其后依次为13位TLA ID、32位 NLA ID、16位SLA ID和64位主机接口ID，分别用于标识分级结构中自顶向底排列的TLA（Top Level Aggregator，顶级聚合体）、NLA（Next Level Aggregator，下级聚合体）、SLA（Site Level Aggregator，位置级聚合体）和主机接口。

H3C_IPv6技术白皮书

IPv6技术白皮书 关键词：IPv6 ISATAP NAT-PT 摘要：本文介绍了IPv6的产生背景和技术要点和组网策略 缩略语清单： 缩略语英文全名中文解释ND Neighbour Discovery Protocol 邻居发现协议 PMTUD Path MTU Discovery Protocol 路径MTU发现协议 ISATAP Intra-Site Automatic Tunnel Addressing Protocol 站点内自动隧道地址协议 NAT-PT Network Address Translation-Protocol Translation 网络地址转换－协议转换 Teredo Tunneling IPv6 over UDP through NATs IPv6 使用IPv4 UDP隧道穿越NAT RIPng Route Information Protocol Next Generation下一代RIP协议 OSPFv3 Open Short Path First Prtocol Version 3 开放最短路径优先协议版本3 BGP4+ Boarder Gateway Protocol 4＋边际网关协议4+ MLD Multicast Listener Discovery 组播侦听协议 PIM-SM Protocol Indepent Multicast-Sparse Mode 协议无关组播－稀疏模式 PIM-DM Protocol Indepent Multicast-Dense Mode 协议无关组播－密集模式 https://www.wendangku.net/doc/c816027552.html, Copyright ? 2007 杭州华三通信技术有限公司第1页, 共57页

IPv6 简介

IPv6技术基础 概述 从1992年标准创立至今，IPv6的标准体系已经基本完善，推动了IPv6从实验室走向实际网络。对于IPv6的研究已经从理论层面转向了IPv6应用的探索当中，从而进一步促进了IPv6技术的发展。 IPv6产生的背景 IPv6是IPv4的未来替代协议。 IPv4 协议是目前广泛部署的因特网协议，从1981 年最初定义（RFC791）到现在已经有20 多年的时间。IPv4 协议简单、易于实现、互操作性好，IPv4 网络规模也从最初的单个网络扩展为全球范围的众多网络。然而，随着因特网的迅猛发展，IPv4设计的不足也日益明显，主要有以下几点： IPv4地址空间不足 IPv4地址采用32比特标识，理论上能够提供的地址数量是43亿。但由于地址分配的原因，实际可使用的数量不到43 亿。另外，IPv4 地址的分配也很不均衡：美国占全球地址空间的一半左右，而欧洲则相对匮乏；亚太地区则更加匮乏（有些国家分配的地址还不到256个）。随着因特网发展，IPv4地址空间不足问题日益严重。 骨干路由器维护的路由表表项数量过大 由于IPv4发展初期的分配规划的问题，造成许多IPv4地址块分配不连续，不能有效聚合路由。针对这一问题，采用CIDR以及回收并再分配IPv4地址，有效抑制了全球IPv4 BGP 路由表的线性增长。但目前全球IPv4 BGP路由表仍在不断增长，已经达到17万多条，经过CIDR聚合以后的BGP也将近10万条。日益庞大的路由表耗用内存较多，对设备成本和转发效率都有一定的影响，这一问题促使设备制造商不断升级其路由器产品，提高其路由寻址和转发的性能。 不易进行自动配置和重新编址 由于IPv4地址只有32比特，地址分配也不均衡，经常在需要在网络扩容或重新部署时，需要重新分配IP地址，因此需要能够进行自动配置和重新编址以减少维护工作量。不能解决日益突出的安全问题 随着因特网的发展，安全问题越来越突出。IPv4协议制定时并没有仔细针对安全性进行设计，因此固有的框架结构并不能支持端到端安全。因此，安全问题也是促使新的IP协议出现的一到动因。 针对IPv4地址短缺问题，也出现了多种解决方案。比较有代表性的是CIDR和NAT。CIDR CIDR是无类域间路由的简称。IPv4设计之初是层次化的结构，分为A类（掩码长度为8）、B类（掩码长度为16）、C类地址（掩码长度为24），地址利用效率不高。CIDR 支持任意长度的地址掩码，使ISP能够按需分配地址空间，提高了地址空间利用率。 CIDR的出现大大缓解了地址紧张问题，但由于各种网络设备、主机的不断出现，对IP 地址的需求也越来越多，CIDR还是无法解决IPv4地址空间过小问题（32比特）。 NAT NAT 也是针对IPv4 地址短缺问题提出的一种解决方案。其基本原理是在网络内部使用私有地址，在NAT设备处完成私有地址和外部公有地址的翻译，达到减少公有地址使用的目的。 NAT也是一种广泛部署的地址短缺问题解决方案。但NAT有以下缺点： NAT破坏了IP的端到端模型 NAT存在单点失效问题