1. IPv6地址結構和類型
網路新命脈
——IPv6技術詳解
當前,基於Internet的各種應用正在如火如荼地迅猛發展著,而與此熱鬧場面截然不同的是,Internet當前使用的 IP協議版本IPv4正因為各種自身的缺陷而舉步維艱。在 IPv4面臨的一系列問題中,IP地址即將耗盡無疑是最為嚴重的,有預測表明,以目前Internet發展速度計算,所
有IPv4地址將在2005~2010年間分配完畢。為了徹底解決IPv4存在的問題,IETF從1995年開始,著手研究開發下一代IP協議,即IPv6。IPv6具有長達128位的地址空間,可以徹底解決IPv4地址不足的問題,除此之外,IPv6還採用分級地址模式、高效IP包頭、服務質量、主機地址自動配置、
認證和加密等許多技術。
Ipv4尷尬的現狀
Internet起源於1968年開始研究的ARPANET,當時的研究者們為了給ARPANET建 立一個標準的網路通信協議而開發了IP協議。IP協議 開發者當時認為ARPANET的網路個數不會超過數十個,因 此他們將IP協議的地址長度設定為32個二進制數位, 其中前8位標識網路,其餘24位標識主機
。然而隨著 ARPANET日益膨脹,IP協議開發者認識到原先設想的網路個 數已經無法滿足實際需求,於是他們將32位IP地址分 成了三類:A類,用於大型企業;B類,用於中型企 業;C類,用於小型企業。A類、B類、C類地址可以標 識的網路個數分別是128、16384、2097152,每個網路可容
納的主 機個數分別是16777216、65536、256。雖然對IP地址進行分類大大增 加了網路個數,但新的問題又出現了。由於一個 C類網路僅能容納256個主機,而個人計算機的普及使 得許多企業網路中的主機個數都超出了256,因此, 盡管這些企業的上網主機可能遠遠沒有達到B類地 址的
最大主機容量65536,但InterNIC不得不為它們分配B類地址 。這種情況的大量存在,一方面造成了IP地址資源 的極大浪費,另一方面導致B類地址面臨著即將被 分配殆盡的危險。
非傳統網路區域路由(Classless InterDomain Routing, CIDR),是節省B類地址的一個緊急措施。CIDR的原理是為那些擁有數千個網路主機的企業分配一個由一系列連續的C類地址組成的地址塊,而非一個B類地址。例如,假設某個企業網路有1500個主機,那麼可能為該企業分配8個
連續的C類地址,如:192.56.0.0至192.56.7.0,並將子網掩碼定為255.255.248.0,即地址的前 21位標識網路,剩餘的11位標識主機。盡管通過採用 CIDR,可以保護B類地址免遭無謂的消耗,但是依然無法從根本上解決IPv4面臨的地址耗盡問題。
另一個延緩IPv4地址耗盡的方法是網路地址翻譯(Network Address Translation, NAT),它是一種將無法在Internet上使用的保留IP地址翻譯成可以在Internet上使用的合法IP地址的機制。NAT使企業不必再為無法得到足夠的合法IP地址而發愁了,它們只要為內部網路主機分配保留
IP地址,然後在內部網路與 Internet交接點設置NAT和一個由少量合法IP地址組成的IP地址池,就可以解決大量內部主機訪問Internet的需求了。由於目前要想得到一個A類或B類地址十分困難,因此許多企業紛紛採用了NAT。然而,NAT也有其無法克服的弊端。首先,NAT會使網路吞吐量降
低,由此影響網路的性能。其次,NAT必須對所有去往和來自Internet的IP數據報進行地址轉換,但是大多數NAT無法將轉換後的地址信息傳遞給IP數據報負載,這個缺陷將導致某些必須將地址信息嵌在IP數據報負載中的高層應用如FTP和 WINS注冊等的失敗。
IPv6的對策
IPv6採用了長度為128位的IP地址,徹底解決了IPv4地址不足的 難題。128位的地址空間,足以使一個大企業將其所 有的設備如計算機、列印機甚至尋呼機等聯入Internet而 不必擔心IP地址不足。
IPv6的地址格式與IPv4不同。一個IPv6的IP地址由8個地址節組成,每節包含16個地址位,以4個十六進制數書寫,節與節之間用冒號分隔,除了128位的地址空間,IPv6還為點對點通信設計了一種具有分級結構的地址,這種地址被稱為可聚合全局單點廣播地址(aggregatable global
unicast address),其分級結構劃分如圖所示。開頭3個地址位是地址類型前綴,用於區別其它地址類型。其後的13位TLA ID、32位 NLA ID、16位SLA ID和64位主機介面ID,分別用於標識分級結構中自頂向底排列的TLA(Top Level Aggregator,頂級聚合體)、NLA(Next Level Aggre
gator,下級聚合體)、SLA(Site Level Aggregator,位置級聚合體)和主機介面。TLA是與長途服務供應商和電話公司相互連接的公共網路接入點,它從國際Internet注冊機構如IANA處獲得地址。NLA通常是大型ISP,它從TLA處申請獲得地址,並為SLA分配地址。SLA也可稱為訂戶(sub
scriber),它可以是一個機構或一個小型 ISP。SLA負責為屬於它的訂戶分配地址。SLA通常為其訂戶分配由連續地址組成的地址塊,以便這些機構可以建立自己的地址分級結構以識別不同的子網。分級結構的最底級是網路主機。
Ipv6中的地址配置
眾所周知,手工配置主機IP地址是一件既費時又乏 味的事情,而管理分配給主機的靜態IP地址更是一 項艱難的任務,尤其當主機IP地址需要經常改動的 時候。在IPv4中,動態主機配置協議(Dynamic Host Configuration Protocol,DHCP)實現了主 機IP地址及其相關配置的自動設
置。一個DHCP伺服器擁 有一個IP地址池,主機從DHCP伺服器租借IP地址並獲得有 關的配置信息(如預設網關、DNS伺服器等),由此 達到自動設置主機IP地址的目的。IPv6繼承了IPv4的這種自 動配置服務,並將其稱為全狀態自動配置(stateful autoconfiguration)。
除了全狀態自動配置,IPv6還採用了一種被稱為無狀態自動配置(stateless autoconfiguration)的自動配置服務。在無狀態自動配置過程中,主機首先通過將它的網卡MAC地址附加在鏈接本地地址前綴1111111010之後,產生一個鏈接本地單點廣播地址(IEEE已經將網卡MAC地址由4
8位改為了64位。如果主機採用的網卡的MAC地址依然是48位,那麼IPv6網卡驅動程序會根據IEEE的一個公式將48位MAC地址轉換為64位MAC地址)。接著主機向該地址發出一個被稱為鄰居探測(neighbor discovrey)的請求,以驗證地址的唯一性。如果請求沒有得到響應,則表明主機自我
設置的鏈接本地單點廣播地址是唯一的。否則,主機將使用一個隨機產生的介面ID組成一個新的鏈接本地單點廣播地址。然後,以該地址為源地址,主機向本地鏈接中所有路由器多點廣播一個被稱為路由器請求( router solicitation)的配置信息請求,路由器以一個包含一個可聚合全
局單點廣播地址前綴和其它相關配置信息的路由器公告響應該請求。主機用它從路由器得到的全局地址前綴加上自己的介面ID,自動配置全局地址,然後就可以與Internet中的其它主機通信了。
使用無狀態自動配置,無需手動干預就能夠改變網路中所有主機的IP地址。例如,當企業更換了聯入Internet的ISP時,將從新ISP處得到一個新的可聚合全局地址前綴。ISP把這個地址前綴從它的路由器上傳送到企業路由器上。由於企業路由器將周期性地向本地鏈接中的所有主機多點
廣播路由器公告,因此企業網路中所有主機都將通過路由器公告收到新的地址前綴,此後,它們就會自動產生新的IP地址並覆蓋舊的IP地址。
Ipv6中的安全協議
安全問題始終是與Internet相關的一個重要話題。由於在 IP協議設計之初沒有考慮安全性,因而在早期的Internet上 時常發生諸如企業或機構網路遭到攻擊、機密數 據被竊取等不幸的事情。為了加強Internet的安全性,從 1995年開始,IETF著手研究制定了一套用於保護IP通信的I
P安 全(IP Security,IPSec)協議。IPSec是IPv6的一個組成部分,也是IPv4的一個 可選擴展協議。
IPSec提供了兩種安全機制:認證和加密。認證機制使 IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭到改動。加密機制通過對數據進行編碼來保證數據的機密性,以防數據在傳輸過程中被他人截獲而失密。IPSec的認證包頭(Authentication Head
er,AH)協議定義了認證的應用方法,封裝安全負載(Encapsulating Security Payload,ESP)協議定義了加密和可選認證的應用方法。在實際進行IP通信時,可以根據安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強於E
SP。
在一個特定的IP通信中使用AH或ESP時,協議將與一組安全信息和服務發生關聯,稱為安全關聯(Security Association,SA)。 SA可以包含認證演算法、加密演算法、用於認證和加密的密鑰。IPSec使用一種密鑰分配和交換協議如Internet安全關聯和密鑰管理協議(Internet Security
Association and Key Management Protocol,ISAKMP)來創建和維護SA。SA是一個單向的邏輯連接,也就是說,兩個主機之間的認證通信將使用兩個SA,分別用於通信的發送方和接收方。
IPSec定義了兩種類型的SA:傳輸模式SA和隧道模式SA。傳輸模式SA是在IP包頭(以及任何可選的擴展包頭)之後和任何高層協議(如TCP或UDP)包頭之前插入AH或ESP包頭,隧道模式SA是將整個原始的IP數據報放入一個新的IP數據報中。在採用隧道模式SA時,每一個IP數據報都有兩
個IP包頭:外部IP包頭和內部IP包頭。外部IP包頭指定將對IP數據報進行IPSec處理的目的地址,內部IP包頭指定原始IP數據報最終的目的地址。傳輸模式SA只能用於兩個主機之間的IP通信,而隧道模式SA既可以用於兩個主機之間的IP通信,還可以用於兩個安全網關之間或一個主機與一個
安全網關之間的IP通信。安全網關可以是路由器、防火牆或VPN設備。
做為IPv6的一個組成部分,IPSec是一個網路層協議。它只負責其下層的網路安全,並不負責其上層應用的安全,如Web、電子郵件和文件傳輸等。也就是說,驗證一個Web會話,依然需要使用SSL協議。不過,TCP/IPv6協議簇中的協議可以從IPSec中受益,例如,用於IPv6的OSPF路由協
議就去掉了用於IPv4的OSPF中的認證機制。Ipv4向Ipv6的過渡。
盡管IPv6比IPv4具有明顯的先進性,但是IETF認識到,要想在短時間內將Internet和各個企業網路中的所有系統全部從 IPv4升級到IPv6是不可能的,換言之,IPv6與IPv4系統在Internet中長期共存是不可避免的現實。為此,做為IPv6研究工作的一個部分,IETF制定了推動IPv4向IPv
6過渡的方案,其中包括三個機制:兼容IPv4的IPv6地址、雙IP協議棧和基於IPv4隧道的IPv6。
兼容IPv4的IPv6地址是一種特殊的IPv6單點廣播地址,一個IPv6節點與一個IPv4節點可以使用這種地址在IPv4網路中通信。這種地址是由96個0位加上32位IPv4地址組成的,例如,假設某節點的IPv4地址是192.56.1.1,那麼兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。
雙IP協議棧是在一個系統(如一個主機或一個路由器)中同時使用IPv4和IPv6兩個協議棧。這類系統既擁有 IPv4地址,也擁有IPv6地址,因而可以收發IPv4和IPv6兩種IP數據報。
與雙IP協議棧相比,基於IPv4隧道的IPv6是一種更為復雜的技術,它是將整個IPv6數據報封裝在IPv4數據報中,由此實現在當前的IPv4網路(如Internet)中IPv6節點與IPv4節點之間的IP通信。基於IPv4隧道的IPv6實現過程分為三個步驟:封裝、解封和隧道管理。封裝,是指由隧道
起始點創建一個IPv4包頭,將IPv6數據報裝入一個新的IPv4數據報中。解封,是指由隧道終結點移去IPv4包頭,還原原始的IPv6數據報。隧道管理,是指由隧道起始點維護隧道的配置信息,如隧道支持的最大傳輸單元(MTU)的尺寸等。
IPv4隧道有四種方案:路由器對路由器、主機對路由器、主機對主機、路由器對主機。如圖所示的使用IPv4路由基礎設施傳遞IPv6數據報的網路中,可以根據兩個主機之間特定的通信選用相應的隧道方案。例如:當主機2向主機4發送一個IPv6數據報時,路由器 A將把該IPv6數據報封
裝在一個目的地址為路由器B的IPv4數據報中。當路由器B收到該IPv4數據報後,就將它解封,取出其中的IPv6數據報並將其發往主機4。在這個隧道中,隧道終結點(路由器B)不是數據報的最終目的地址(主機4)。當隧道起始點(路由器A)建立隧道時,必須確定隧道終結點並從配置信
息中找到隧道終結點的地址,因此這種類型的隧道被稱為配置隧道(configured tunneling)。當主機7向主機1發送一個IPv6數據報時,主機7在它與路由器A之間建立一個主機對路由器隧道。因為路由器A不是該數據報的最終目的地址,所以這種主機對路由器隧道也是配置隧道。
當進行通信的兩個主機都有兼容IPv4的IPv6地址時,數據發送方主機將建立一個主機對主機隧道。隧道起始點(數據發送方主機)確定數據接收方主機就是隧道終結點,並自動從其兼容IPv4的IPv6地址中抽取後 32個地址位以確定隧道終結點的IPv4地址,這種類型的隧道被稱為自動隧
道(automated tunneling)。例如,當圖中的主機 5向主機7發送數據時,將使用從主機5到主機7的自動隧道。自動隧道也可以應用於路由器對主機的隧道方案,例如,當主機4向主機5發送數據時,主機 4 將使用從路由器B到主機5的自動隧道。
雙IP協議棧和基於IPv4的IPv6網路使IPv4網路能夠以可控的速度向IPv6遷移。在開始向IPv6過渡之前,首先必須設置一個同時支持IPv4和IPv6的新的DNS伺服器。在該DNS伺服器中,IPv6主機名稱與地址的映射可以使用新的AAAA資源記錄類型來建立,IPv4主機名稱與地址的映射仍然使
用A資源記錄類型來建立。
結 論
IPv6是一個建立可靠的、可管理的、安全和高效的IP網路的長期解決方案。盡管IPv6的實際應用之日還需耐心等待,不過,了解和研究IPv6的重要特性以及它針對目前IP網路存在的問題而提供的解決方案,對於制定企業網路的長期發展計劃,規劃網路應用的未來發展方向,都是十分
有益的。