1、安全集成工程师培训安全集成工程师培训IPv6IPv6概述概述秦潇潇秦潇潇CISAW安全集成工程师培训-中国 成都本节目标本节目标u对IPv6有初步了解IPv6诞生的背景和解决的问题IPv6的地址和地址类型IPv6的过渡技术和部署CISAW安全集成工程师培训-中国 成都本节结构本节结构CISAW安全集成工程师培训-中国 成都IPv6IPv6的应用与研究的应用与研究u为什么要使用和研究IPv6?地址危机IPv4的不足QoS和性能问题配置复杂移动性支持不够安全问题骨干路由表膨胀CISAW安全集成工程师培训-中国 成都IPv6IPv6特点特点u更大的地址空间u更高效的路由基础u更好的安全性u移动性u更
2、好的QoS CISAW安全集成工程师培训-中国 成都IPv6 IPv6 巨大的地址空间巨大的地址空间u128 位的地址空间340,282,366,920,938,463,463,374,607,431,768,211,456 个地址!IPV6地址由8个16进制字段构成例如:CDCD:910A:2222:5498:8475:1111:3900:20201030:0:0:0:C9B4:FF12:48AA:1A2B2000:0:0:0:0:0:0:1CISAW安全集成工程师培训-中国 成都IPv6IPv6的地址的地址uIPv6的地址表示uIPv6的单播地址uIPv6的组播地址uIPv6的任播地址uI
3、Pv6的接口标志CISAW安全集成工程师培训-中国 成都IPv6IPv6的地址表示的地址表示u将每段转换为十六进制数,并用冒号隔开 2001:0410:0000:0001:0000:0000:0000:45ffu压缩表示 去掉不必要的0 2001:410:0:1:0:0:0:45ff:表示一个或多个连续的0 2001:410:0:1:45ff这就是RFC2373中定义的首选格式:在整个地址中只能出现一次!CISAW安全集成工程师培训-中国 成都IPv6IPv6单播地址单播地址u全局单播地址u链路本地地址u站点本地地址u特殊IPv6地址u兼容性地址CISAW安全集成工程师培训-中国 成都IPv6
4、IPv6的全局单播地址的全局单播地址u 相当于IPv4的公网IPu 首部3位001u 45位Global Routing Prefix可以反映全球ISP的层次结构TLA ID顶级汇聚标识符 Res 为未来扩展TLA ID或NLA ID的长度而保留的位 NLA ID下一级汇聚标识符 u SLA ID 站点汇聚标识符 u 接口标识位64位 CISAW安全集成工程师培训-中国 成都链路本地地址链路本地地址u每个设备的接口在启动IPv6的时候会自动配置一个链路本地地址uIPv6的“邻居发现”机制要用到IPv6的链路本地地址u链路本地地址以“FE80”开头uInterface ID是通过EUI64自动生
5、成u路由器绝不会转发链路本地地址IPv6中没有了广播,IPv4中的ARP在IPv6中不能工作,“邻居发现”是IPv6中和IPv4的ARP对应的寻址机制CISAW安全集成工程师培训-中国 成都站点本地地址站点本地地址u相当于IPv4中的私网地址u不会路由到公网上u前缀为FEC0:/10u用于打印机,交换机的管理地址等u在IPv6大规模实现时,站点本地地址将不复使用CISAW安全集成工程师培训-中国 成都特殊特殊IPv6IPv6地址和兼容地址地址和兼容地址u特殊IPv6地址未指定地址 0:0:0:0:0:0:0:0 或:相当于IPv4的0.0.0.0环回地址(0:0:0:0:0:0:0:1 或:1
6、)标识一个环回接口,相当于IPv4的127.0.0.1u兼容地址与 IPv4 兼容的地址,0:0:0:0:0:0:w.x.y.z 或:w.x.y.zIPv4 映射地址,0:0:0:0:0:FFFF:w.x.y.z 或:FFFF:w.x.y.z 6to4 地址用于IPv4的网络上传送IPv6的包其它CISAW安全集成工程师培训-中国 成都IPv6 IPv6 组播地址组播地址-2-2uIPv6中的组播地址结构,其最高位前8位为1 uFlags字段四位,目前只用了最后一位,此位为0,则是一个永久组播地址,1是临时组播地址u范围(scope)0:预留;1:节点本地范围;2:本地链路范围5:本地站点范围
7、;8:组织本地范围E:全球范围;F:预留。CISAW安全集成工程师培训-中国 成都对比和总结对比和总结项项 目目IPv4IPv6Broadcast广播广播在同一个广播域中的所有主机在同一个广播域中的所有主机都会受到影响都会受到影响,或者给于回复或者给于回复;可可能使得整个局域网瘫痪能使得整个局域网瘫痪(广播风广播风暴暴)没有广播类型,没有广播类型,IPv4中的广播中的广播功能在功能在IPv6IPv6中被组播取代中被组播取代Multicast多播(组播)多播(组播)有效利用了网络的带宽并且没有效利用了网络的带宽并且没有影响到不需要的主机有影响到不需要的主机有丰富得多的组播类型有丰富得多的组播类型
8、Unicast单播单播用于一对一的通信用于一对一的通信用于一对一的通信用于一对一的通信Anycast泛播泛播没有任播类型没有任播类型用于标识一组网络接口,目前用于标识一组网络接口,目前只用于路由器只用于路由器CISAW安全集成工程师培训-中国 成都基于基于EUIEUI的接口标识符的接口标识符-1-1vIEEE 802 地址的结构 统一/本地(U/L)个体/组(I/G)ccccccug cccccccc ccccccccxxxxxxxx xxxxxxxx xxxxxxxx24 bits24 bitsIEEE administered company IDManufacturer selected
9、 extension ID这不是MAC地址吗?CISAW安全集成工程师培训-中国 成都基于基于EUIEUI的接口标识符的接口标识符-2-2先将MAC一分为二中间填入0 xFF 0 xFE,得到EUI64将u/l位取反,最后得到IPv6接口标识符CISAW安全集成工程师培训-中国 成都过渡技术过渡技术 u 双协议栈u 隧道技术u 网络地址转换技术CISAW安全集成工程师培训-中国 成都过渡技术:双协议栈过渡技术:双协议栈u双协议栈双协议栈的实现原理:图中路由器可支持两种协议双协议栈的应用:双协议栈可以实现IPv4和IPv6流量的各自独立通信IPv4 userIPv4 userSiSiIPv6网I
10、Pv4网双栈边界路由器双栈核心交换机IPv4/IPv6双栈网IPv4/IPv6 userCISAW安全集成工程师培训-中国 成都过渡技术:隧道技术过渡技术:隧道技术u隧道技术隧道可以在IPv6的包穿越IPv4的网络之前给IPv6的数据包头再封装一个IPv4的头部隧道技术原理图CISAW安全集成工程师培训-中国 成都过渡技术:地址转换过渡技术:地址转换u网络地址转换技术IPv6网络节点和IPv4网络节点通过NAT-PT通信IPv4 cloudIPv6 cloudIPv6 hostNAT-PT网关IPv4 headerIPv4 dataIPv6 headerIPv6 dataCISAW安全集成工程师培训-中国 成都本节总结本节总结IPv6概述IPv6的基本概念IPv4到IPv6的变化概述IPv6相对与IPv4的优点IPv6的接口标识符IPv6的单播、组播和任播IPv6的地址表示法IPv6 vs.IPv4IPv6的应用和部署IPv6地址IPv6的配置实例更大的地址空间更高效的路由基础更好的安全型移动性更好的QoS首选格式压缩表示单播地址的概念和类型组播地址的概念和类型任播地址的概念由EUI-64生成随机生成DHCP自动分配
