风险评估工作底稿

IPv6技术探讨IPv4回顾现代计算机网络的核心技术是什么?计算机网络如何实现端到端通信?如何实现异构网络的互联?如何开发网络应用系统?引入---IPv4的优缺点IPv4取得了极大的成功IPv4地址资源的紧张限制了Internet的进一步发展NAT、CIDR、VLSM等技术的使用仅仅暂时缓解IPv4地址紧张，但不是根本解决办法。新应用对IP协议提出了更多的需求(安全和QOS新的)引入与IPv4相比，IPv6具有以下特点：近乎无限的地址空间更简洁的报文头部内置的安全性更好的QoS支持更好的移动性……课程内容 第一章IPv6基础知识第二章ND机制第三章IPv6路由协议第四章IPv6主要过渡技术第一章IPv6基础知识IPv6报文ICMPv6IPv6地址分类IPv6报文格式IPv6数据包由一个基本报头加上0个或多个扩展报头机上层协议单元构成。IPv6基本报头备注version=6TrafficClassIPV4TOSFlowLabel用于指示流NextHeaderIPV4ProtocolHopLimitIPV4TTLPayloadLength指示该IP报文负荷长度Source和Destination地址都是128位IPv4IPv6来个真的！一个IPV6数据包IPv6扩展报头IPv6将一些IP层的可选功能实现在上层封装和基本IPv6头部之间的扩展头部中主要的扩展报头：Hop-by-HopOptionsheaderDestinationOptionsheaderRoutingheaderFragmentheaderAuthenticationheaderEncapsulatingSecurityPayloadheader扩展报头的一个举例-RoutingHeaderRoutingHeader的作用在于使得数据包经过指定的中间节点到达目的地。一个带RoutingHeader报文的转发SI1I2I3DSourceAddress=SHdrExtLen=6DestinationAddress=I1SegmentsLeft=3Address[1]=I2Address[2]=I3Address[3]=DSourceAddress=SHdrExtLen=6DestinationAddress=I2SegmentsLeft=2Address[1]=I1Address[2]=I3Address[3]=DSourceAddress=SHdrExtLen=6DestinationAddress=I3SegmentsLeft=1Address[1]=I1Address[2]=I2Address[3]=DSourceAddress=SHdrExtLen=6DestinationAddress=DSegmentsLeft=0Address[1]=I1Address[2]=I2Address[3]=I3扩展报头的顺序逐跳选项报头目标选项报头（当存在路由报头时，用于中间目标）路由报头片段包头身份验证报头封装安全有效载荷报头目标选项报头（用于最终目标）典型的IPv6数据包每一种扩展报头其实也有自己特定的协议号，例如：路由报头为43，AH报头为51每一个基本报头和扩展报头的protocol字段标识后面紧接的内容IPv6报头NextHeader=6TCP段IPv6报头NextHeader=43IPv6报头NextHeader=43路由报头NextHeader=6路由报头NextHeader=51AH报头NextHeader=6TCP段TCP段ICMPv6基本概念差错报文信息报文应用IPv6地址表示v6地址与v4地址表示有所不同用十六进制表示，如：　FE08:….4位一组，中间用“:”隔开，如：　2001:12FC:….若以零开头可以省略，全零的组可用“::”表示，如：　1:2::ACDR:….地址前缀长度用“/xx”来表示，如：　1::1/64以下是同一个地址不同表示法的例子：0001:0123:0000:0000:0000:ABCD:0000:0001/961:123:0:0:0:ABCD:0:1/961:123::ABCD:0:1/96IPv6地址表示10000000000000010000010000010000000000000000000000000000000000010000000000000000000000000000000000000000000000000100010111111111100000000000000100000100000100000000000000000000000000000000000100000000000000000000000000000000000000000000000001000101111111112001:0410:0000:0001:0000:0000:0000:45ff2001:410:0:1:0:0:0:45ff2001:410:0:1::45ffIPv6地址分类单播地址（UnicastAddress）组播地址（MulticastAddress）任播地址（AnycastAddress）特殊地址地址类型二进制前缀IPv6标识未指定00...0(128bits)::/128环回地址00...1(128bits)::1/128组播11111111FF00::/8链路本地地址1111111010FE80::/10网点本地地址1111111011FEC0::/10全局单播（其他）单播地址IPv6单播地址分类：全局单播地址例2001:A304:6101:1::E0:F726:4E58链路本地地址例FE80::E0:F726:4E58网点本地地址例FEC0::E0:F726:4E58组播地址Flags用来表示permanent或transient组播组Scope表示组播组的范围GroupID组播组IDScope:0：预留1：节点本地范围2：链路本地范围5：站点本地范围IPv6地址新类型—任播（Anycast）用于标识一组网络接口目标地址为任播抵制的数据报将发送给最近的一个接口适合于移动IP通讯场合Who’sGateway?I’mnearestone.第二章ND机制第一节无状态地址自动配置第二节地址解析IPv6地址配置方法手工配置有状态地址自动配置（DHCPv6）无状态地址自动配置IPv6地址结构IPv6地址=前缀+接口标识前缀：相当于v4地址中的网络ID接口标识：相当于v4地址中的主机ID2001:A304:6101:1::E0:F726:4E582001:A304:6101:1E0:F726:4E58前缀接口标识无状态地址自动配置—前缀获得RS报文RA报文主机发送RouterSolicitation报文路由器回应RouterAdvertisement报文主机获得前缀及其它参数其实路由器会周期性地向外发送RA报文1::1/64无状态地址自动配置—接口ID生成IEEE　EUI－64是其中最重要的一种生成方法将48比特的MAC地址转化为64比特的接口IDMAC地址的唯一性保证了接口ID的唯一性设备自动生成，不需人为干预48位MAC地址64位接口ID重复地址检测（DAD）重复地址检测（DuplicateAddressDetection）确保网络中无两个相同的单播地址任何地址均需做DAD地址配置给接口前称为“tentative地址”，暂时不可用经过DAD检测后，没有冲突后可以使用，如果有冲突，则不能分配给接口使用重复地址检测（DAD）过程获得临时地址的主机发送NS报文（NeighborSolicitation）给该临时地址所对应的solicited-node组播地址，该报文中包含自己想使用的地址如果有人用NA报文（NeighborAdvertisement）响应，并报告自己已使用该地址，则该临时地址不可用如果无人响应，则认为没有地址冲突发生，该地址正式可用1::1/64NS报文NA报文Solicited-Node组播地址IPv6中特有的组播地址用于DAD和获取本地链路上邻居节点的链路层地址（地址解析）等Solicited-Node组播地址生成过程接口ID的后24位：XX:XXXX前缀FF02:0:0:0:0:1:FFFF02:0:0:0:0:1:FFXX:XXXX无状态地址自动配置的报文RouterSolicitationRouterAdvertisementNeighborSolicitationNeighborAdvertisement所有报文都基于ICMPv6报文第二章ND机制第一节无状态地址自动配置第二节地址解析On-Linkdestination源节点和目的节点是否在同一链路(P49)地址解析IPv6取消了ARP协议通过邻接点请求报文（NS）和邻接点公告报文（NA）的交互来解析链路层地址依然是利用ICMPv6报文！地址解析发送主机在接口上发送组播NS报文，该报文的目的地址为目标IP地址所对应的请求节点组播地址（Solicited-node），在其中也包含了自己的链路层地址目标主机收到NS报文后，就会了解到发送主机的IP地址和相应链路层地址目标主机向源发送主机发送一个邻接点公告报文（NA），该报文中包含自己的链路层地址地址解析示意图1::1/64MAC_A1::2/64MAC_BPC1PC2NS报文SourceAddress:1::1LinklayerAddress:MAC_ADestinationAddress:FF02::1:FF00:2NA报文SourceAddress:1::2LinklayerAddress:MAC_BDestinationAddress:1::1第三章IPv6路由协议第一节静态路由配置第二节动态路由配置静态路由配置命令ipv6route-staticip-addressprefix-length{interface-name[nexthop-address]|gateway-address}[preferencepreference-value]缺省路由ipv6route-static::02::2Destination:::PrefixLength:0NextHop:2::2Preference:60Interface:Ethernet3/0Protocol:StaticState:ActiveAdvGotQCost:0RefrenceCount:2第三章IPv6路由协议第一节静态路由配置第二节动态路由配置动态路由协议目前支持IPv6的重要动态路由协议包括RIPngOSPFV3ISISMBGPRIPng与RIPv2一样，RIPng具备如下特性RIPng是距离矢量路由协议，利用UDP传输机制（端口号为521）RIPng用跳数度量路由，16跳为不可达RIPng利用水平分割与毒性逆转技术来减少环路发生可能性RIPng必须支持IPv6所以RIPng报文格式及路由数据库与RIPv2不同。RIPng典型配置RT1与RT2之间运行RIPng协议2::1/641::1/642::2/643::1/64RT1RT2sysnameRT1ipv6interfaceEthernet1/0ipv6address1::1/64undoipv6ndrahaltripng1enableinterfaceEthernet3/0ipv6address2::1/64ripng1enableripng1sysnameRT2ipv6interfaceEthernet0/0interfaceEthernet1/0ipv6address3::1/64ripng1enableinterfaceEthernet3/0ipv6address2::2/64ripng1enableripng1OSPFv3OSPFV3在基本运行机制上未有改变(flooding,DRelection,areasupport,SPFcalculations)OSPFV3在如下意义上被重新定义OSPF报文和基本的LSA去除了编址语义以更好支持多协议OSPFV3新定义了一些LSA以携带地址和前缀OSPF基于链路而不是基于网段运行OSPF认证机制被去除OSPFv3典型配置RT1和RT2之间运行OSPFv3协议2::1/641::1/642::2/643::1/64RT1RT2sysnameRT1ipv6interfaceEthernet0/0ipv6address2::1/64ospfv31area0.0.0.0interfaceEthernet0/1ipv6address1::1/64ospfv31area0.0.0.0ospfv31router-id1.1.1.1area0.0.0.0sysnameRT2ipv6interfaceEthernet0/0ipv6address2::2/64ospfv31area0.0.0.0interfaceEthernet0/1ipv6address3::1/64ospfv31area0.0.0.0ospfv31router-id2.2.2.2area0.0.0.0第四章IPv6过渡技术第一节IPv6孤岛互联技术第二节IPv6与IPv4互通技术IPv6网络部署进程循序渐进，降低成本IPv6孤岛IPv6孤岛IPv4Internet协议转换IPv6孤岛IPv6孤岛IPv6InternetIPv6InternetIPv4孤岛IPv4孤岛IPv4InternetIPv6孤岛IPv6孤岛互联技术采用隧道技术来完成互通IPv6报文作为IPv4的载荷，或由MPLS承载主要隧道技术包括：手工隧道GRE隧道自动隧道6to4隧道ISATAP隧道6PE优点充分利用现有网络骨干网内部设备无须升级缺点额外的隧道配置效率降低GRE隧道技术GRE隧道技术IPv6报文被包含在GRE报文中作为GRE的载荷优点通用性好技术成熟，易于理解缺点维护复杂IPv4报头IPv6报头IPv6有效数据IPv4有效数据GRE　报头GRE隧道技术的流程发送方与接收方都是双栈设备隧道已预先建立好发送方封装报文，接收方解封装IPv6孤岛IPv6孤岛IPv4网络隧道双栈双栈IPv6主机IPv6主机IPv6报头+数据IPv6报头+数据IPv6报头+数据IPv4报头20.1.1.120.1.2.1源：20.1.1.1目的：20.1.2.1GRE报头GRE隧道的配置IPv6孤岛IPv6孤岛IPv4网络隧道双栈双栈IPv6主机IPv6主机IPv6报头+数据IPv6报头+数据IPv6报头+数据IPv4报头20.1.1.120.1.2.1源：20.1.1.1目的：20.1.2.1GRE报头interfaceethernet0ipaddress20.1.1.1255.255.255.0interfacetunnel0ipv6address1::164source20.1.1.1destination20.1.2.1interfaceethernet0ipaddress20.1.2.1255.255.255.0interfacetunnel0ipv6address1::264source20.1.2.1destination20.1.1.1手动隧道技术手动隧道技术IPv6报文被包含在IPv4报文中作为IPv4的载荷同GRE隧道有类似的优缺点IPv4报头IPv6报头IPv6有效数据IPv4有效数据手动隧道的配置IPv6孤岛IPv6孤岛IPv4网络隧道双栈双栈IPv6主机IPv6主机IPv6报头+数据IPv6报头+数据IPv6报头+数据IPv4报头20.1.1.120.1.2.1源：20.1.1.1目的：20.1.2.1interfaceethernet0ipaddress20.1.1.1255.255.255.0interfacetunnel0ipv6address1::164source20.1.1.1destination20.1.2.1　tunnel-protocolipv6-ipv4interfaceethernet0ipaddress20.1.2.1255.255.255.0interfacetunnel0ipv6address1::264source20.1.2.1destination20.1.1.1tunnel-protocolipv6-ipv4自动隧道技术自动隧道技术目的地址为IPv4兼容IPv6地址，包含的IPv4地址即为隧道末端IPv4兼容IPv6地址:0:0:0:0:0:0:a.b.c.d适用于不经常性的IPv6节点连接需求优点不需要为每条隧道预先配置维护方便缺点目的地址要求是IPv4兼容IPv6地址自动隧道技术的流程发送方与接收方都是双栈设备发送方在发送时根据目的地址建立隧道发送方封装报文，接收方解封装IPv4网络隧道双栈设备双栈设备IPv6报头+数据IPv6报头+数据IPv4报头IPv4地址：20.1.2.1IPv6地址：::20.1.2.1源：20.1.1.1目的：20.1.2.1源：::20.1.1.1目的：::20.1.2.1IPv4地址：20.1.1.1IPv6地址：::20.1.1.1自动隧道的配置interfaceethernet0ipaddress20.1.1.1255.255.255.0interfacetunnel0ipv6address::20.1.1.196source20.1.1.1tunnel-protocolipv6-ipv4auto-tunnelinterfaceethernet0ipaddress20.1.2.1255.255.255.0interfacetunnel0ipv6address::20.1.2.196source20.1.2.1tunnel-protocolipv6-ipv4auto-tunnelIPv4网络隧道双栈设备双栈设备IPv6报头+数据IPv6报头+数据IPv4报头IPv4地址：20.1.2.1IPv6地址：::20.1.2.1源：20.1.1.1目的：20.1.2.1源：::20.1.1.1目的：::20.1.2.1IPv4地址：20.1.1.1IPv6地址：::20.1.1.16to4隧道技术6to4隧道技术目的地址为6to4地址，包含的IPv4地址即为隧道末端6to4地址:2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx可通过6to4中继路由器，使6to4网点连接到大的纯IPv6网络优点不需要为每条隧道预先配置，维护方便缺点整个IPv6网点使用特殊的6to4地址6to4地址6to4隧道技术的流程6to4网络IPv4网络隧道6to4边缘IPv6主机IPv6主机IPv6报头+数据IPv6报头+数据IPv6报头+数据IPv4报头6to4网络6to4边缘2002:0901:0203::/489.1.2.3128.1.2.32002:8001:0203::/48纯IPv6网络6to4中继3FFE:ABCD::/489.2.2.3源：128.1.2.3目的：9.1.2.3同自动隧道技术类似6to4中继通往纯IPv6网络的网关6to4隧道的配置interfaceethernet0ipaddress128.1.2.3255.255.255.0interfacetunnel0ipv6address2002:8001:0203::48source128.1.2.3tunnel-protocolipv6-ipv46to4ipv6route-static2002::16tunnel0interfaceethernet0ipaddress9.1.2.3255.255.255.0interfacetunnel0ipv6address2002:0901:020348source9.1.2.3tunnel-protocolipv6-ipv46to4ipv6route-static2002::16tunnel06to4网络IPv4网络隧道6to4边缘IPv6主机IPv6主机IPv6报头+数据IPv6报头+数据IPv6报头+数据IPv4报头6to4网络6to4边缘2002:0901:0203::/489.1.2.3128.1.2.32002:8001:0203::/48纯IPv6网络6to4中继3FFE:ABCD::/489.2.2.3源：128.1.2.3目的：9.1.2.3ISATAP隧道技术ISATAP隧道技术连接IPv4网点内部的IPv6主机和IPv4/IPv6双栈路由器将IPv4网点作为一个NBMA链路，在IPv4报文中封装IPv6报文优点IPv4网点内部的IPv6主机可自动获得IPv6前缀IPv6网络IPv4网络双栈v4/v6主机IPv6主机IPv4地址：20.1.2.1IPv6地址：1::5EFE:20.1.2.1ND协议可跨网段进行IPv4地址：20.1.1.1IPv6地址：1::5EFE:20.1.1.1ISATAP隧道的配置interfaceethernet0ipaddress20.1.2.1255.255.255.0interfacetunnel0ipv6address1::5EFE:20.1.2.164source20.1.2.1undoipv6ndrahalt　tunnel-protocolipv6-ipv4isatapIPv6网络IPv4网络双栈v4/v6主机IPv6主机IPv4地址：20.1.2.1IPv6地址：1::5EFE:20.1.2.1IPv4地址：20.1.1.1IPv6地址：1::5EFE:20.1.1.16PEMPLS/BGP隧道通过IPv4或MPLS网络连接多个IPv6孤岛，使用BGP交换IPv6可达信息。IPv6网络可被看作VPN网，多个IPv6孤岛属于同一VPN，利用VPN机制在PE之间建立隧道连接可以充分利用已有MPLS或VPN网络MPLS/IPv4网络IPv4VPN纯IPv6网络IPv6IPv6IPv6IPv4VPN第四章IPv6过渡技术第一节IPv6孤岛互联技术第二节IPv6与IPv4互通技术NAT-PT原理NAT-PT的工作原理类似于传统NAT，但是将IPv6地址和IPv4地址互相转换，另加上协议转换通过中间的NAT-PT协议转换服务器，实现纯IPv6节点和纯IPv4节点间的互通NAT-PT服务器分配IPv4地址来标识IPv6主机NAT-PT服务器向相邻IPv6网络宣告96位地址前缀信息，用于标识IPv4主机优点只需设置NAT-PT服务器　缺点资源消耗较大，服务器负载重，NAT-PT设备是性能瓶颈NAT-PT种类静态NAT-PTNAT-PT服务器提供一对一的IPv6地址和IPv4地址的映射配置复杂，使用大量的IPv4地址　动态NAT-PTNAT-PT服务器提供多对一的IPv6地址和IPv4地址的映射采用上层协议复用的方法　NATP-PTDNSALG动态NAT-PT与DNSALG联合使用，转换DNS请求可利用原有的DNS服务器静态NAT-PT转换过程IPv6网络IPv6主机IPv4主机IPv4网络映射地址：2.2.2.3=1::12::2=2.2.2.2IPv6报头+数据IPv4报头+数据1::12.2.2.2NAT-PT转换服务器源：1::1目的：2::2源：2.2.2.3目的：2.2.2.2源：2.2.2.2目的：2.2.2.3源：2::2目的：1::1动态NAT-PT转换过程IPv6网络IPv6主机IPv4主机IPv4网络IPv4地址池2.2.2.3--2.2.2.5映射地址：1::1=2.2.2.32.2.2.2=prefix:2.2.2.2IPv6报头+数据IPv4报头+数据1::12.2.2.2NAT-PT转换服务器源：1::1目的：prefix:2.2.2.2源：2.2.2.3目的：2.2.2.2源：2.2.2.2目的：2.2.2.3源：prefix:2.2.2.2目的：1::1NAT-PTDNSALG转换过程IPv6网络IPv6主机IPv4主机IPv4网络IPv4地址池2.2.2.3--2.2.2.5映射地址：1::1=2.2.2.31.1.1.2=prefix:1.1.1.22.2.2.2=prefix:2.2.2.2Pc1:1::1Pc2:2.2.2.2NAT-PT转换服务器源：1::1目的：prefix:2.2.2.2源：2.2.2.3目的：2.2.2.2源：2.2.2.2目的：2.2.2.3源：prefix:2.2.2.2目的：1::1IPv4DNSServer1.1.1.2源：1::1目的：prefix:1.1.1.2Who’sPc2(typeAAAA)源：2.2.2.3目的：1.1.1.2Who’sPc2(typeA)源：1.1.1.2目的：2.2.2.3Pc2is2.2.2.2(typeA)源：prefix:1.1.1.2目的：1::1Pc2isprefix:2.2.2.2(typeAAAA)静态NATPT典型配置#使能NATPT。[Quidway-Serial3/0/0]natptenable#配置IPv4侧报文的静态映射。[Quidway]natptv4boundstatic2.2.2.22::2#配置IPv6侧报文的静态映射。[Quidway]natptv6boundstatic1::12.2.2.3#配置前缀。[Quidway]natptprefix2::IPv6网络IPv6主机IPv4主机IPv4网络1::12.2.2.2NAT-PT转换服务器动态NATPT典型配置#配置地址池。[Quidway]natptaddress-group12.2.2.32.2.2.5#配置IPv4侧报文的动态映射。[Quidway]natptv4bounddynamicaclnumber1prefix2::#配置IPv6侧报文的动态映射。[Quidway]natptv6bounddynamicprefix2::address-group1#配置前缀。[Quidway]natptprefix2::IPv6网络IPv6主机IPv4主机IPv4网络1::12.2.2.2NAT-PT转换服务器IPv4地址池2.2.2.3--2.2.2.51、有时候读是一种巧妙地避开思考的方法。2、阅读一切好书如同和过去最杰出的人谈话。3、越是没有本领的就越加自命不凡。4、越是无能的人，越喜欢挑剔别人的错儿。5、知人者智，自知者明。胜人者有力，自胜者强。6、意志坚强的人能把世界放在手中像泥块一样任意揉捏。7、最具挑战性的挑战莫过于提升自我。。8、业余生活要有意义，不要越轨。9、一个人即使已登上顶峰，也仍要自强不息。10、你要做多大的事情，就该承受多大的压力。11、自己要先看得起自己，别人才会看得起你。12、这一秒不放弃，下一秒就会有希望。13、无论才能知识多么卓著，如果缺乏热情，则无异纸上画饼充饥，无补于事。14、我只是自己不放过自己而已，现在我不会再逼自己眷恋了。谢谢大家