第九章 IPv6網絡管理技術

1、IPv6的起源、特點、相對于IPv4的優(yōu)勢IPv6的地址格式IPv4和IPv6的過渡技術IPv6的地址分配和域名管理IPv6路由協(xié)議中的RIPng和OSPFv3協(xié)議IPv6的QoS目前IPv4依然是使用最廣泛的互聯(lián)網協(xié)議版本，其IPv4設計的不足也日益明顯地址空間不足和安全性不能滿足需要地址空間的嚴重不足是最終決定重新設計基于更長地址的IPv6的誘因IPv6意圖取代IPv4，而IPv4在2013年仍然在網絡交通上占有較大份額。在2013年9月，通過IPv6使用Google服務的用戶百分率首次超過2%。直到2011年，IPv6仍處在部署的初期,主要的網絡改造由網站和運營商承擔，用戶端幾乎感覺不到

2、IPv6的使用。截至2013年12月，全球上網人數(shù)已達22.7億，IPv4僅能提供約2.5億個IP位置。雖然目前的網絡地址轉換及無類別域間路由等技術可延緩網絡位置匱乏之現(xiàn)象，但長遠來看，IPv6是將來的發(fā)展方向。1. IPv4地址已經耗盡：目前的辦法（專用地址、NAT等）并不能徹底解決IP地址不足的問題 2. IPv6的目標： 幾乎可以不受限制地提供地址 更好的路由聚合，提高網絡的整體吞吐量 改善服務質量、安全性有更好的保證 支持即插即用和移動性 更好實現(xiàn)多播功能3. IPv6的特點（1）IPv6地址長度為128位（2）靈活的IP報文頭部格式（3）IPv6簡化了報文頭部格式（4）提高安全性（5

3、）支持更多的服務類型（6）允許協(xié)議繼續(xù)演變，增加新的功能。 4. IPv6對TCP/IP的影響 在Internet上，數(shù)據(jù)以分組的形式傳輸。IPv6定義了一種新的分組格式，目的是為了最小化路由器處理的報文首部。 由于IPv4報文和IPv6 報文首部有很大不同，因此這兩種協(xié)議無法互操作。 在大多數(shù)情況下，IPv6僅僅是對IPv4的一種保守擴展。除了嵌入了互聯(lián)網地址的應用層協(xié)議（如FTP，新地址格式可能會與當前協(xié)議的語法沖突）以外，大多數(shù)傳輸層和應用層協(xié)議幾乎不怎么需要修改就可以工作在IPv6上。5. IPv6的發(fā)展 在制定IPv6標準的國際組織中，IPv6協(xié)議主要由IETF制定。 目前IETF負

4、責IPv6標準制定的工作組主要有兩個：IPv6工作組(IPv6)和IPv6運營工作組(v6ops)，分別屬于傳輸領域和運營維護領域。 前者負責IPv6規(guī)范和標準的制定工作，后者負責演進機制、工具和部署方面的標準化工作。 截至2013年6月底，我國IPv6地址數(shù)量為14607塊/32，位列世界第二位。表9-1是國內外部分采用IPv6技術的網站。與IPv4相比，IPv6具有許多新的特點，如簡化的IP包頭格式、主機地址自動配置、認證和加密以及較強的移動支持能力等。 1.地址長度 IPv6的128位地址長度形成了一個巨大的地址空間，它能夠為所有可以想象出的網絡設備提供一個全球惟一的地址。 IPv6能為

5、主機接口提供不同類型的地址配置，包括全球地址（Globally）、全球單播地址（unicast）、區(qū)域地址（on-site）、鏈路本地地址（link local address）、地區(qū)本地地址（site local address）、廣播地址（Broadcast）、多播群地址（multicast group address）、任播地址（anycast address）、移動地址（Mobility）、家鄉(xiāng)地址（home address）等，對運營商有著強大的吸引力。 2.移動性 移動IPv6能夠通過簡單的擴展，滿足大規(guī)模移動用戶的需求。 每個移動設備設有一個固定的家鄉(xiāng)地址（home addres

6、s），這個地址與設備當前接入互聯(lián)網的位置無關。當設備在家鄉(xiāng)以外的地方使用時，可以通過一個轉交地址來提供移動節(jié)點當前的位置信息。 移動節(jié)點在家鄉(xiāng)以外的地方發(fā)送數(shù)據(jù)包時，使用一個家鄉(xiāng)地址目標選項。目的是通過這個選項把移動節(jié)點的家鄉(xiāng)地址告訴給包的接收者。由于在該數(shù)據(jù)包里包含家鄉(xiāng)地址的選項，接收方通信節(jié)點在處理這個包時就可以用這個家鄉(xiāng)地址替換包內的轉交地址。因此,發(fā)送給移動節(jié)點的IPv6包就能夠透明地選路到該節(jié)點的轉交地址處。對通信節(jié)點和轉交地址之間的路由進行優(yōu)化會使網絡的利用率更高。 3. 內置的安全特性 IPv6協(xié)議內置安全機制，并已經標準化，可支持對企業(yè)網的無縫遠程訪問。 在安全性方面，IPv6

7、同IP安全性（IPSec）機制和服務一致。除了必須提供網絡層這一強制性機制外，IPSec還提供兩種服務。其中，認證報頭（AH）用于保證數(shù)據(jù)的一致性，而封裝的安全負載報頭（ESP）用于保證數(shù)據(jù)的保密性和數(shù)據(jù)的一致性。在IPv6包中，AH和ESP都是擴展報頭，可以同時使用，也可以單獨使用其中一個。 4. 服務質量 從協(xié)議的角度看， IPv6的優(yōu)點體現(xiàn)在能提供不同水平的服務。這主要是由于IPv6報頭中新增加了字段“業(yè)務級別”和“流標記”。有了它們，在傳輸過程中，中間的各節(jié)點就可以識別和分開處理任何IP地址流。 在其他方面，IPv6也有助于改進QoS。這主要表現(xiàn)在支持“實時在線”連接、防止服務中斷以及

8、提高網絡性能方面。同時，更好的網絡和QoS也會提高客戶的期望值和滿意度。 5. 自動配置 IPv6支持無狀態(tài)和有狀態(tài)兩種地址的自動配置方式。 無狀態(tài)地址自動配置方式是獲得地址的關鍵。在這種方式下，需要配置地址的節(jié)點使用一種鄰居發(fā)現(xiàn)機制獲得一個局部連接地址。一旦得到這個地址之后，它使用另一種即插即用的機制，在沒有任何人工干預的情況下，獲得一個全球惟一的路由地址。 有狀態(tài)配置機制如DHCPv6需要一個額外的服務器，因此也需要很多額外的操作和維護。1.IPv61.IPv6格式格式 8 8段，每段用段，每段用4 4位位1616進制的數(shù)表示：進制的數(shù)表示：圖9-1 IPv6的地址格式 簡化規(guī)則 （1）每

9、一個段中開頭的0可以省略不寫，但末尾的0不能省略；如： 3ffe:1944:0100:000a:0000:00bc:2500:0d0b可簡化為 3ffe:1944:100:a:0:bc:2500:d0b （2）如果某段或連續(xù)幾段全是0，則可以使用一個“:”來代替，如： ff02:0000:0000:0000:0000:0000:0000:0005 簡化后IPv6地址：ff02:5 （3）如果128位全部為0的地址，則可以使用一個“:”來表示。2. IPv6地址的分類 單播地址：單播地址標示一個網絡接口 協(xié)議會把送往地址的數(shù)據(jù)包投送給其接口。IPv6的單播地址可以有一個代表特殊地址名字的范疇，如

10、link-local地址和唯一區(qū)域地址（ULA，unique local address）。單播地址包括可聚類的全球單播地址、鏈路本地地址等。 任播地址：用來標識一組節(jié)點中任何一個成員 任播是IPv6 特有的數(shù)據(jù)傳送方式，它像是IPv4的單點傳播與多點廣播的綜合，用來標識一組節(jié)點中任何一個成員， 即源節(jié)點的數(shù)據(jù)流被轉發(fā)到組里最近的節(jié)點。 在任播中，在網絡位址和網絡節(jié)點中存在一對多的關系：每一個節(jié)點對應一群接收節(jié)點，但在任何給定時間，只有其中之一可以接收到傳送端來的資訊。 任播像多點廣播一樣，會有一組接收節(jié)點的地址欄表，但指定為任播的數(shù)據(jù)包，只會傳送給距離最近或傳送成本最低(根據(jù)路由表來判斷)的

11、其中一個接收地址，當該接收地址收到數(shù)據(jù)包并進行回應，且加入后續(xù)的傳輸。該接收列表的其他節(jié)點，會知道某個節(jié)點地址已經回應了，它們就不再加入后續(xù)的傳輸作業(yè) 多播地址：用來標識一組節(jié)點 多播地址也稱組播地址，用來標識一組節(jié)點。多播地址也被指定到一群不同的接口，送到多播地址的數(shù)據(jù)包會被傳送到所有的地址。多播地址由皆為一的字節(jié)起始，亦即：它們的前置為FF00:/8。其第二個字節(jié)的最后四個比特用以標明范疇。 因為傳統(tǒng)方法是從MAC地址產生，故只有組群識別碼中的最低32位有使用。定義過的組群識別碼有用于所有節(jié)點的多播地址0 x1和用于所有路由器的0 x2。 另一個多播組群的地址為solicited-node

12、多播地址，是由前置FF02:1:FF00:0/104和剩余的組群識別碼（最低24位）所組成。IPv6的計劃是創(chuàng)建未來互聯(lián)網擴充的基礎，其目標是取代IPv4。雖然IPv6在1994年就已被IETF指定作為IPv4的下一代標準，由于早期的路由器、防火墻、企業(yè)的企業(yè)資源計劃系統(tǒng)及相關應用程序皆須改寫，所以在世界范圍內使用IPv6部署的公眾網與IPv4相比還非常的少 ，技術上仍以雙架構并存居多。預計在20252025年以前IPv4仍會被支持，以便給新協(xié)議的修正留下足夠的時間。在IPv6完全取代IPv4前，需要一些轉換機制使得只支持IPv6的主機可以連絡IPv4服務，并且允許孤立的IPv6主機及網絡可以

13、借由IPv4設施連絡IPv6互聯(lián)網。在IPv6主機和路由器與IPv4系統(tǒng)共存的時期時，過渡技術包含：雙棧、將IPv4嵌入IPv6地址、隧道機制、IPv4/IPv6報頭轉換等。圖9-2 雙棧技術 1.雙棧1.雙棧 雙棧是將IPv6視為一種IPv4的延伸，以共享代碼的方式去實現(xiàn)網絡堆棧，其可以同時支持IPv4和IPv6，一個實現(xiàn)雙堆棧的主機稱為雙堆棧主機。 實現(xiàn)IPv6結點與IPv4結點互通的最直接的方式是在IPv6結點中加入IPv4協(xié)議棧。具有雙協(xié)議棧的結點稱作“IPv6/v4結點”，這些結點既可以收發(fā)IPv4分組，也可以收發(fā)IPv6分組。 它們可以使用IPv4與IPv4結點互通，也可以直接使用

14、IPv6與IPv6結點互通。 目前大部分IPv6的實現(xiàn)使用雙堆棧。圖9-3 隧道技術 2.隧道2.隧道 為了連通IPv6互聯(lián)網，一個孤立主機或網絡需要使用現(xiàn)存IPv4的基礎設施來攜帶IPv6數(shù)據(jù)包。這可由將IPv6數(shù)據(jù)包裝入IPv4數(shù)據(jù)包的隧道協(xié)議來完成，實際上就是將IPv4當成IPv6的鏈接層。 其工作機理是在IPv6網絡與IPv4網絡間的隧道入口處，路由器將IPv6的數(shù)據(jù)分組封裝入IPv4中，IPv4分組的源地址和目的地址分別是隧道入口和出口的IPv4地址。在隧道的出口處再將IPv6分組取出轉發(fā)給目的節(jié)點。IPv6龐大的地址空間同時也為管理帶了許多問題，進行IPv6地址規(guī)劃需要綜合考慮多方

15、面的因素,包括對路由效率的影響,對未來網絡發(fā)展的影響,以及對運營商的影響等。域名解析的操作只需要對DNS做簡單的升級就可以支持IPv6的域名解析。圖9-4 IPv6地址格式的層次表示 IP 地址是一種公共的資源，不為任何組織或個人所擁有。地址管理采用等級制， IANA 向RIR（地區(qū)，以大洲以單位）分配地址。RIR 或 NIR（國家）向LIR（本地）分配地址。LIR接受 RIR 或 NIR 委派，向用戶分配地址。通常，LIR 是一個服務供應商。LIR 將自己所獲得的地址分配給終端用戶組織或其它的 ISP。IANA會給一個機構（ISP或研究團體）分配一個較大的地址塊，如/48,/32等。目前中國

16、的公網IPv6地址主要是以2001: 及3FFE: 開頭的地址塊。為了充分實現(xiàn)路由優(yōu)化，RIR 或NIR并不直接將全局 IPv6 地址分配給終端用戶組織。全局 IPv6 地址，由與它們保持直接連接的服務供應商進行分配。IPv6也有類似IPv4私網地址： FEC0:/10，可以用來做實驗用。IPv6并不使用NAT技術，因為IPv6不缺地址；NAT技術的安全性，在IPv6中也有其他技術（IPSec、無狀態(tài)自動配置）實現(xiàn)。雖然IPv6網絡中也有DHCPv6，可以給主機分配地址。但目前因為無狀態(tài)配置技術對主機分配地址來說已經足夠?；ヂ?lián)網的根域名服務器已經經過改進同時支持IPv6和IPv4，不需要為IP

17、v6域名解析單獨建立一套獨立的域名系統(tǒng)。IPv6的域名系統(tǒng)可以和傳統(tǒng)的IPv4域名系統(tǒng)結合在一起。最通用的域名服務軟件BIND已經實現(xiàn)了對IPv6地址的支持，IPv6地址和主機名之間的映射很容易解決。解析IPv6地址的類型（type），即AAAA和A6類型為IPv6地址的逆向解析提供的反向域，即.識別上述新特性的域名服務器就可以為IPv6的地址-名字解析提供服務。1. 正向IPv6域名解析IPv4的地址正向解析的資源記錄是AIPv6域名解析的正向解析目前有兩種資源記錄，即AAAA和A6記錄.AAAA資源記錄類型用來將一個合法域名解析為IPv6地址，與IPv4所用的A資源記錄類型相

18、兼容。AAAA用來表示域名和IPv6地址的對應關系，并不支持地址的層次性。 IN AAAA FEC0:2AA:FF:FE3F:2A11. 正向IPv6域名解析A6把一個IPv6地址與多個A6記錄建立聯(lián)系，每個A6記錄都只包含了IPv6地址的一部分，結合后拼裝成一個完整的IPv6地址?！癆6”記錄根據(jù)可聚集全局單播地址中的TLA、NLA和SLA項目的分配層次把128位的IPv6的地址分解成為若干級的地址前綴和地址后綴，構成了一個地址鏈，從而支持地址聚集。同時，用戶在改變ISP時，要隨ISP改變而改變其擁有的IPv6地址。如果手工修改用戶子網中所有在DNS中注冊的地址，是一件非常繁瑣的事情。而在用

19、“A6”記錄表示的地址鏈中，只要改變地址前綴對應的ISP名字即可。2. 反向IPv6域名解析IPv6域名解析中反向解析的地址表示形式有兩種。一種是用.分隔的半字節(jié)16進制數(shù)字格式，低位在前，高位在后，域后綴是IP6.INT.。一種是二進制串格式，以開頭，16進制地址居中，地址后加，域后綴是IP6.ARPA.。IP6.INT域用于為IPv6提供逆向地址到主機名解析服務。逆向檢索也稱為指針檢索，根據(jù)IP地址來確定主機名。為了給逆向檢索創(chuàng)建名字空間，在IP6.INT域中，IPv6地址中所有的32位十六進制數(shù)字都逆序分隔表示。例如，為地址FEC0:2AA:FF:FE3F:2A1C（完全表達式為：FEC

20、0:0000:0000:0000:02AA:00FF:FE3F:2A1C）查找域名時，在IP6.INT域中是：C.1.A.2.F.3.E.F.F.F.0.0.A.A....0.0.0.C.E.F.IP6.INT.以地址鏈形式表示的IPv6地址體現(xiàn)了地址的層次性，支持地址聚集和地址更改。由于一次完整的地址解析要分成多個步驟進行，需要按照地址的分配層次關系到不同的DNS服務器進行查詢，并且所有的查詢都成功才能得到完整的解析結果。這勢必會延長解析時間，出錯的機會也增加。因此，在技術方面IPv6協(xié)議需要進一步改進DNS地址鏈功能，提高IPv6域名解析的速度才能

21、為用戶提供理想的服務。IPv6路由協(xié)議相對IPv4只有很小的變化目前各種常用的單播路由協(xié)議和組播協(xié)議都已經支持IPv6本小節(jié)主要介紹RIPng和OSPFv3IETF在保留了RIP優(yōu)點的基礎上針對IPv6網絡修改形成了RIPng（RIP next generation，下一代路由選擇信息協(xié)議）。RIPng主要用于在IPv6網絡中提供路由功能，是IPv6網絡中路由技術的一個重要組成協(xié)議。RIPng對RIPv2進行了改進，主要體現(xiàn)在 :1.1.報文的不同報文的不同2.2.安全認證不同安全認證不同3.3.與網絡層協(xié)議的兼容性不同與網絡層協(xié)議的兼容性不同IETF在保留了RIP優(yōu)點的基礎上針對IPv6網絡

22、修改形成了RIPng（RIP next generation，下一代路由選擇信息協(xié)議）。RIPng主要用于在IPv6網絡中提供路由功能，是IPv6網絡中路由技術的一個重要組成協(xié)議。RIPng對RIPv2進行了改進，主要體現(xiàn)在 :1.1.報文的不同報文的不同2.2.安全認證不同安全認證不同3.3.與網絡層協(xié)議的兼容性不同與網絡層協(xié)議的兼容性不同1.1.報文的不同報文的不同（1 1）路由信息中的目的地址和下一跳地址長度不同）路由信息中的目的地址和下一跳地址長度不同RIPv2RIPv2報文中路由信息中的目的地址和下一跳地址只有報文中路由信息中的目的地址和下一跳地址只有3232比比特，而特，而RIPn

23、gRIPng均為均為128128比特。比特。（2 2）報文長度不同）報文長度不同RIPv2RIPv2對報文的長度有限制，規(guī)定每個報文最多只能攜帶對報文的長度有限制，規(guī)定每個報文最多只能攜帶2525個個RTERTE，而，而RIPngRIPng對報文長度、對報文長度、RTERTE的數(shù)目都不作規(guī)定，報文的數(shù)目都不作規(guī)定，報文的長度與發(fā)送接口設置的的長度與發(fā)送接口設置的IPv6 MTUIPv6 MTU有關。有關。（3 3）報文格式不同）報文格式不同與與RIPv2RIPv2一樣，一樣，RIPngRIPng報文也是由頭部（報文也是由頭部（HeaderHeader）和多個路）和多個路由表項（由表項（RTER

24、TE）組成。）組成。圖9-5 RIPv2、RIPng報文對比示意圖 與與RIPv2RIPv2不同的是，在不同的是，在RIPngRIPng里有兩類里有兩類RTERTE，分別是：，分別是：（1 1）下一跳）下一跳RTERTE：位于一組具有相同下一跳的：位于一組具有相同下一跳的“IPv6IPv6前綴前綴RTE”RTE”的前面，它定義了下一跳的的前面，它定義了下一跳的IPv6IPv6地址。地址。（2 2）IPv6IPv6前綴前綴RTERTE：位于某個：位于某個“下一跳下一跳RTE”RTE”的后面。同一個的后面。同一個“下一跳下一跳RTE”RTE”的后面可以有多個不同的的后面可以有多個不同的“IPv6I

25、Pv6前綴前綴RTE”RTE”。它。它描述了描述了RIPngRIPng路由表中的目的路由表中的目的IPv6IPv6地址、路由標記、前綴長度地址、路由標記、前綴長度以及度量值。以及度量值。（3 3）下一跳）下一跳RTERTE的格式如圖的格式如圖9-69-6所示，所示， IPv6 next hop IPv6 next hop addressaddress表示下一跳的表示下一跳的IPv6IPv6地址。地址。（4 4）報文的發(fā)送方式不同）報文的發(fā)送方式不同RIPv2RIPv2可以根據(jù)用戶配置采用廣播或組播方式來周期性地發(fā)送可以根據(jù)用戶配置采用廣播或組播方式來周期性地發(fā)送路由信息；路由信息；RIPngR

26、IPng使用組播方式周期性地發(fā)送路由信息。使用組播方式周期性地發(fā)送路由信息。圖9-7 IPv6前綴RTE格式 圖9-6下一跳RTE格式 2.2.安全認證不同安全認證不同RIPng自身不提供認證功能，而是通過使用IPv6提供的安全機制來保證自身報文的合法性。因此，RIPv2報文中的認證RTE在RIPng報文中被取消。3.3.與網絡層協(xié)議的兼容性不同與網絡層協(xié)議的兼容性不同RIP不僅能在IP網絡中運行，也能在IPX網絡中運行；RIPng只能在IPv6網絡中運行。圖9-8 RIPng典型配置OSPFv3除了提供對IPv6的支持外，還充分考慮了協(xié)議的網絡無關性以及可擴展性，進一步理順了拓撲與路由的關系

27、，使得OSPF的協(xié)議邏輯更加簡單清晰，大大提高了OSPF的可擴展性。 拓撲：指構成網絡的成員間特定的排列方式。路由：通過互聯(lián)的網絡把信息從源地址傳輸?shù)侥康牡刂返幕顒?。比如說去一個地方有三種走法，放在拓撲表內。根據(jù)某種規(guī)則，從三種走法中選擇實際選擇走的路，放在路由表內。 1. OSPFv3協(xié)議規(guī)劃原則（1）Router ID: OSPFv3使用的Router ID也是一個32bit的數(shù)值，僅用于在OSPFv3域中唯一標識路由器。（2）區(qū)域規(guī)劃方面，適當注意設備數(shù)量不要太多。（3）IPv6網絡中的地址塊都比較整齊，主機所在的業(yè)務地址與互聯(lián)地址都是64前綴的，很容易聚合；較小的網絡中可以不聚合。2.

28、 OSPFv3和OSPFv2的不同點 （1）修改了LSA的種類和格式，使其支持發(fā)布IPv6路由信息 （2）修改部分協(xié)議流程，使其獨立于網絡協(xié)議，大大提高了可擴展性 （3）進一步理順了拓撲與路由的關系 （4）提高了協(xié)議適應性 圖9-9 OSPFv3典型配置 在IPv4設計之初，著重考慮的是技術的開放性，而對網絡信息安全問題幾乎沒有考慮，而把網絡安全問題留給應用程序去解決，應用層增加許多安全措施與安全技術。當前，大多數(shù)網絡攻擊都在網絡層進行，為了更有效地抵御各種網絡攻擊，IPv6在網絡層實現(xiàn)了基本的安全功能，重點是IPSec和QoS。IPsec既可用于IPv4也可用于IPv6的安全性機制，該服務由

29、IP層提供?？梢允褂肐PSec來要求與其他系統(tǒng)的交互以安全的方式進行通過使用特定的安全性算法和協(xié)議。IPSec提供了必要的工具，用于一個系統(tǒng)與其他系統(tǒng)之間對彼此可接受的安全性進行協(xié)商。一個系統(tǒng)可能有多個可接受的加密算法，這些算法允許該系統(tǒng)使用它所傾向的算法或某些替代算法。IPsec由兩大部分組成：（1）建立安全分組流的密鑰交換協(xié)議（IKE） ；（2）保護分組流的協(xié)議，包括加密分組流的封裝安全載荷協(xié)議（ESP協(xié)議）或認證頭協(xié)議（AH協(xié)議）協(xié)議，用于保證數(shù)據(jù)的機密性、來源可靠性（認證）、無連接的完整性并提供抗重播服務。IPSec中可能考慮如下安全性服務：訪問控制如果沒有正確的密碼就不能訪問一個服務

30、或系統(tǒng)?？梢哉{用安全性協(xié)議來控制密鑰的安全交換，用戶身份驗證可以用于訪問控制。無連接的完整性使用IPSec，有可能在不參照其他包的情況下，對任一單獨的IP包進行完整性校驗。此時每個包都是獨立的，可以通過自身來確認。此功能可以通過使用安全散列技術來完成，它與使用檢查數(shù)字類似，但可靠性更高，并且更不容易被未授權實體所篡改。數(shù)據(jù)源身份驗證IPSec提供的一項安全性服務是對IP包內包含的數(shù)據(jù)的來源進行標識。此功能通過使用數(shù)字簽名算法來完成。對包重放攻擊的防御作為無連接協(xié)議， IP很容易受到重放攻擊的威脅。重放攻擊是指攻擊者發(fā)送一個目的主機已接收過的包，通過占用接收系統(tǒng)的資源，這種攻擊使系統(tǒng)的可用性受到

31、損害。為對付這種花招， IPSec提供了包計數(shù)器機制。加密數(shù)據(jù)機密性是指只允許身份驗證正確者訪問數(shù)據(jù)，對其他任何人一律不準。它是通過使用加密來提供的。有限的業(yè)務流機密性有時候只使用加密數(shù)據(jù)不足以保護系統(tǒng)。只要知道一次加密交換的末端點、交互的頻度或有關數(shù)據(jù)傳送的其他信息，堅決的攻擊者就有足夠的信息來使系統(tǒng)混亂或毀滅系統(tǒng)。通過使用IP隧道方法，尤其是與安全性網關共同使用， IPSec提供了有限的業(yè)務流機密性。密碼功能和密鑰管理基礎設施 加密和身份驗證算法：重要的密碼功能大致有5類，包括對稱加密：采用單鑰密碼系統(tǒng)的加密方法，同一個密鑰可以同時用作信息的加密和解密。常用的對稱加密有：DES、IDEA、

32、RC2、RC4、SKIPJACK、RC5、AES算法等公共密鑰加密：使用兩個不同的密鑰：加密密鑰和解密密鑰。前者公開，簡稱公鑰。后者保密，簡稱私鑰。這兩個密鑰是數(shù)學相關的，用某用戶加密密鑰加密后所得的信息只能用該用戶的解密密鑰才能解密。RSA算法（由發(fā)明者Rivest，Shmir和Adleman姓氏首字母縮寫而來）是著名的公開密鑰加密算法。密鑰交換：在Internet這樣的開放信道上要實現(xiàn)秘密共享難度很大。但是很有必要實現(xiàn)對共享秘密的處理，因為兩個實體之間需要共享用于加密的密鑰。共享密鑰有一些重要的加密算法，是以對除預定接受者之外的任何人都保密的方式來實現(xiàn)的。典型的密鑰交換協(xié)議是IKE（Int

33、ernet Key Exchange），用于實現(xiàn)IPsec中的SA。安全散列：散列是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。SHA是公認的最安全的散列算法之一。數(shù)字簽名：公共密鑰加密RSA+安全散列SHA安全性關聯(lián)：安全關聯(lián)(SecurityAssociation,SA)是IPSec的基本概念。安全性關聯(lián)包含能夠唯一標識一個安全性連接的數(shù)據(jù)組合。連接是單方向的，每個SA由目的地址和安全性參數(shù)索引( SPI)來定義。SPI是說明使用SA的IP頭類型，如AH或ESP。SPI為3 2位，用于對SA進行標識及區(qū)分同一個目的地址所鏈接的多個SA。進行安全通信的兩個系統(tǒng)有兩個不同的SA，每

34、個目的地址對應一個。每個SA還包括與連接協(xié)商的安全性類型相關的多個信息。這意味著系統(tǒng)必須了解其SA、與SA目的主機所協(xié)商的加密或身份驗證算法的類型、密鑰長度和密鑰生存期。密鑰管理 密鑰管理不僅包括使用密鑰協(xié)議來分發(fā)密鑰，還包括在通信系統(tǒng)之間對密鑰的長度、生存期和密鑰算法進行協(xié)商。ISAKMP（Internet Security Association Key Management Protocol，Internet安全聯(lián)盟密鑰管理協(xié)議）為密鑰的安全交換定義了整個基本構架。是一個應用協(xié)議，協(xié)議中定義了用于系統(tǒng)之間協(xié)商密鑰交換的不同類型報文，它在傳輸層使用UDP。但是ISAKMP只是特定機制所使用

35、的框架，而沒有定義實際完成交換的機制和算法。人工密鑰管理也是一個重要選項，而且在很多情況下是唯一的選項。實現(xiàn)IpsecIPSec用于保護IP數(shù)據(jù)報。它不一定要涉及用戶或應用。用戶無需注意所有的數(shù)據(jù)報在發(fā)送到Internet之前，需要進行加密或身份驗證，所有的加密數(shù)據(jù)報都要由另一端的主機正確地解密。 實現(xiàn)IPsec的方式 將IPSec作為IPv4?；騃Pv6棧的一部分來實現(xiàn)將IP安全性支持引入IP網絡棧，并且作為任何IP實現(xiàn)的一個必備部分。但是，這種方法也要求對整個實體棧進行更新以反映上述改變。 將IPSec作為“棧中的一塊” ( BITS)來實現(xiàn) 將特殊的IPSec代碼插入到網絡棧中，在現(xiàn)有I

36、P網絡軟件之下、本地鏈路軟件之上。換言之，這種方法通過一段軟件來實現(xiàn)安全性，該軟件截獲從現(xiàn)有IP棧向本地鏈路層接口傳送的數(shù)據(jù)報，對這些數(shù)據(jù)報進行必要的安全性處理，然后再交給鏈路層。這種方法可用于將現(xiàn)有系統(tǒng)升級為支持IPSec的系統(tǒng)，且不要求重寫原有的IP棧軟件。將IPSec作為“線路的一塊” ( BITW )來實現(xiàn) 使用外部加密硬件來執(zhí)行安全性處理功能。該硬件設備通常是作為一種路由器使用的IP設備，或者是安全性網關，此網關為位于它后面的所有系統(tǒng)發(fā)送的IP數(shù)據(jù)報服務。如果這樣的設備只用于一個主機，其工作情況與BITS方法類似，但如果一個BITW設備為多個系統(tǒng)服務，實現(xiàn)相對要復雜得多。上述方法的適

37、用情況不同。要求高級別安全性的應用最好使用硬件方法實現(xiàn)；而如果系統(tǒng)不具備與新的IPSec兼容的網絡棧，應用最好選擇BITS方法。1. QoS簡介QoS（Quality of Service，服務質量）是網絡的一種安全機制，是用來解決網絡延遲和阻塞等問題的一種技術?，F(xiàn)在的路由器一般均支持QoS。在IP網上實現(xiàn)實時多媒體應用的問題焦點便集中在了如何傳輸這些時延敏感的業(yè)務上。IPv4網絡無法保障實時多媒體業(yè)務服務質量，因此在IP網上實現(xiàn)QoS的機制已成為網絡研究熱點。QoS在IPv4網絡中是可選項，而在IPv6網絡中是必選項。IPv6數(shù)據(jù)包中包含一個8位的業(yè)務流類別（Traffic Class）和20位的流標簽（Flow Label）。在RFC1883中定義了4位的優(yōu)先級字段，可以區(qū)分16個不同的優(yōu)先級。允許發(fā)送業(yè)務流的源節(jié)點和轉發(fā)業(yè)務流的路由器在數(shù)據(jù)包上加上標記，并進行對不同的流進行不同的處理。在所選擇的鏈路上，可以根據(jù)開銷、帶寬、延時或其他特性對數(shù)據(jù)包進行特殊的處理。1. QoS簡介QoS的3個主要參數(shù)為丟包率、延遲和抖動。有效地控制這3個參數(shù)，就能夠提供高效的QoS。實現(xiàn)QoS控