項目6 廣域網(wǎng)接入配置

《網(wǎng)絡互聯(lián)技術(shù)項目教程》高等職業(yè)技術(shù)教育計算機相關(guān)專業(yè)目錄項目六廣域網(wǎng)接入配置任務6.1廣域網(wǎng)技術(shù)NAT技術(shù)配置IPV6任務二任務6.3

目錄項目六廣域網(wǎng)接入配置任務6.4配置DHCP服務器配置無線局域網(wǎng)絡任務五教學目標：?理解常見的廣域網(wǎng)接入技術(shù)及廣域網(wǎng)中的數(shù)據(jù)鏈路層協(xié)議；?理解NAT技術(shù)基本概念及NAT技術(shù)實現(xiàn)方式；?理解IPv6基本概念、IPv6報頭結(jié)構(gòu)與格式及地址類型；?理解IPv6配置協(xié)議及IPv6路由協(xié)議。技能目標:?掌握廣域網(wǎng)技術(shù)的配置方法；?掌握靜態(tài)NAT技術(shù)、動態(tài)NAT技術(shù)和端口多路復用PAT技術(shù)的配置方法；?掌握IPv6的RIPng配置方法、OSPFv3的配置方法；?掌握DHCPv4、DHCPv6的配置方法；?掌握無線網(wǎng)絡的配置方法。項目六廣域網(wǎng)接入配置素養(yǎng)目標:?培養(yǎng)學生深刻理解廣域網(wǎng)接入安全對于國家安全、社會穩(wěn)定和經(jīng)濟發(fā)展的重要性，強化其維護國家信息基礎設施安全的責任感和使命感。?鼓勵學生探索新技術(shù)、新方法，積極應對廣域網(wǎng)接入技術(shù)領(lǐng)域的挑戰(zhàn)，同時錘煉嚴謹細致的工作作風，追求卓越的技術(shù)服務質(zhì)量。?通過團隊項目實踐，提升學生的團隊協(xié)作能力和溝通技巧，使他們能夠在解決復雜網(wǎng)絡問題中發(fā)揮作用，承擔起保障社會信息化建設順利推進的社會責任。項目六廣域網(wǎng)接入配置任務6.1廣域網(wǎng)技術(shù)任務陳述知識6.1.1常見的廣域網(wǎng)接入技術(shù)6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議6.1.3PPP協(xié)議認證模式任務實施6.1.4HDLC配置6.1.5配置PAP認證模式6.1.6配置CHAP認證模式任務6.1廣域網(wǎng)技術(shù)任務陳述小李是公司的網(wǎng)絡工程師，隨著公司規(guī)模的不斷擴大，公司下設了多個子公司，并且總公司與分公司不在同一城市里，為了順利開展公司業(yè)務，總公司與分公司之間通過路由器相連，保持網(wǎng)絡連通，同時需要在鏈路上配置相應的認證方式，小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡實施方案，那么他將如何完成網(wǎng)絡設備的相應配置呢？任務6.1廣域網(wǎng)技術(shù)知識準備6.1.1常見的廣域網(wǎng)接入技術(shù)1.點對點鏈路點對點鏈路提供的是一條預先建立的從客戶端經(jīng)過運營商網(wǎng)絡到達遠端目標網(wǎng)絡的廣域網(wǎng)通信路徑。一條點對點鏈路就是一條租用的專線，可以在數(shù)據(jù)收發(fā)雙方之間建立起永久性的固定連接。網(wǎng)絡運營商負責點對點鏈路的維護和管理。點對點鏈路可以提供兩種數(shù)據(jù)傳送方式。一種是數(shù)據(jù)報傳送方式，該方式主要是將數(shù)據(jù)分割成一個個小的數(shù)據(jù)幀進行傳送，其中每一個數(shù)據(jù)幀都帶有自己的地址信息，都需要進行地址校驗。另外一種是數(shù)據(jù)流傳送方式，該方式與數(shù)據(jù)報傳送方式不同，用數(shù)據(jù)流取代一個個的數(shù)據(jù)幀作為數(shù)據(jù)發(fā)送單位，整個數(shù)據(jù)流具有1個地址信息，只需要進行一次地址驗證即可。2．電路交換電路交換是廣域網(wǎng)所使用的一種交換方式。可以通過運行商網(wǎng)絡為每一次會話過程建立，維持和終止一條專用的物理電路。電路交換也可以提供數(shù)據(jù)報和數(shù)據(jù)流兩種傳送方式。電路交換在電信運營商的網(wǎng)絡中被廣泛使用，其操作過程與普通的電話撥叫過程非常相似。綜合業(yè)務數(shù)字網(wǎng)（ISDN）就是一種采用電路交換技術(shù)的廣域網(wǎng)技術(shù)。6.1.1常見的廣域網(wǎng)接入技術(shù)3．包交換包交換也是一種廣域網(wǎng)上經(jīng)常使用的交換技術(shù)，通過包交換，網(wǎng)絡設備可以共享一條點對點鏈路通過運營商網(wǎng)絡在設備之間進行數(shù)據(jù)包的傳遞。包交換主要采用統(tǒng)計復用技術(shù)在多臺設備之間實現(xiàn)電路共享。ATM，幀中繼，SMDS以及X.25等都是采用包交換技術(shù)的廣域網(wǎng)技術(shù)。6.1.1常見的廣域網(wǎng)接入技術(shù)4．虛擬電路虛擬電路是一種邏輯電路，可以在兩臺網(wǎng)絡設備之間實現(xiàn)可靠通信。虛擬電路有兩種不同形式，分別是交換虛擬電路（SVC）和永久性虛擬電路（PVC）。SVC是一種按照需求動態(tài)建立的虛擬電路，當數(shù)據(jù)傳送結(jié)束時，電路將會被自動終止。SVC上的通信過程包括3個的階段，電路創(chuàng)建、數(shù)據(jù)傳輸和電路終止。電路創(chuàng)建階段主要是在通信雙方設備之間建立起虛擬電路；數(shù)據(jù)傳輸階段通過虛擬電路在設備之間傳送數(shù)據(jù)；電路終止階段則是撤消在通訊設備之間已經(jīng)建立起來的虛擬電路。SVC主要適用于非經(jīng)常性的數(shù)據(jù)傳送網(wǎng)絡，這是因為在電路創(chuàng)建和終止階段SVC需要占用更多的網(wǎng)絡帶寬。不過相對于永久性虛擬電路來說，SVC的成本較低。PVC是一種永久性建立的虛擬電路，只具有數(shù)據(jù)傳輸一種模式。PVC可以應用于數(shù)據(jù)傳送頻繁的網(wǎng)絡環(huán)境，這是因為PVC不需要為創(chuàng)建或終止電路而使用額外的帶寬，所以對帶寬的利用率更高。不過永久性虛擬電路的成本較高。報文在數(shù)據(jù)鏈路層進行數(shù)據(jù)傳輸時，網(wǎng)絡設備必須用第2層的幀格式進行數(shù)據(jù)封裝，廣域網(wǎng)第二層接入技術(shù)主要有：HDLC、PPP、LAPB、FrameRelay、SDLC、SMDS等，不同的協(xié)議使用的幀格式也不相同，常用的WAN封裝類型如圖6.1所示。6.1.1常見的廣域網(wǎng)接入技術(shù)4．虛擬電路6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議串行鏈路普遍用于廣域網(wǎng)中，串行鏈路中定義兩種數(shù)據(jù)傳輸方式：異步傳輸和同步傳輸。異步傳輸是以字節(jié)為單位來傳輸數(shù)據(jù)，并且需要采用額外的起始位和停止位來標記每個字節(jié)的開始和結(jié)束。起始位為二進制值0，停止位為二進制值1。在這種傳輸方式下，開始和停止位占據(jù)發(fā)送數(shù)據(jù)的相當大的比例，每個字節(jié)的發(fā)送都需要額外的開銷。同步傳輸是以幀為單位來傳輸數(shù)據(jù)，在通信時需要使用時鐘來同步本端和對端的設備通信。DCE即數(shù)據(jù)通信設備，它提供了一個用于同步DCE設備和DTE設備之間數(shù)據(jù)傳輸?shù)臅r鐘信號。DTE即數(shù)據(jù)終端設備，它通常使用DCE產(chǎn)生的時鐘信號。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議1.點到點協(xié)議點對點協(xié)議（PointtoPointProtocol，PPP）為在點對點連接上傳輸多協(xié)議數(shù)據(jù)包提供了一個標準方法，PPP最初設計是為兩個對等節(jié)點之間的IP流量傳輸提供一種封裝協(xié)議，PPP是面向字符類型的協(xié)議。PPP是為在同等單元之間傳輸數(shù)據(jù)包這樣的簡單鏈路設計的鏈路層協(xié)議，這種鏈路提供全雙工操作，并按照順序傳遞數(shù)據(jù)包，設計目的主要是用來通過撥號或?qū)＞€方式建立點對點連接發(fā)送數(shù)據(jù)，使其成為各種主機、網(wǎng)橋和路由器之間簡單連接的一種共通的解決方案。（1）PPP組件。PPP包含兩個組件：鏈路控制協(xié)議LCP和網(wǎng)絡層控制協(xié)議NCP。為了能適應多種多樣的鏈路類型，PPP定義了鏈路控制協(xié)議LCP。LCP可以自動檢測鏈路環(huán)境，如是否存在環(huán)路；協(xié)商鏈路參數(shù)，如最大數(shù)據(jù)包長度，使用何種認證協(xié)議等等。與其他數(shù)據(jù)鏈路層協(xié)議相比，PPP協(xié)議的一個重要特點是可以提供認證功能，鏈路兩端可以協(xié)商使用何種認證協(xié)議來實施認證過程，只有認證成功之后才會建立連接。PPP定義了一組網(wǎng)絡層控制協(xié)議NCP，每一個NCP對應了一種網(wǎng)絡層協(xié)議，用于協(xié)商網(wǎng)絡層地址等參數(shù)，例如IPCP用于協(xié)商控制IP協(xié)議，IPXCP用于協(xié)商控制IPX協(xié)議等。（1）PPP幀格式。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議（2）PPP幀格式。PPP采用了與HDLC協(xié)議類似的幀格式，如圖6.2所示。①Flag域標識一個物理幀的起始和結(jié)束，該字節(jié)為二進制序列01111110（0X7E）。②PPP幀的地址域跟HDLC幀的地址域有差異，PPP幀的地址域字節(jié)固定為11111111（0XFF），是一個廣播地址。③PPP數(shù)據(jù)幀的控制域默認為00000011（0X03），表示為無序號幀。④幀校驗序列（FCS）是個16位的校驗和，用于檢查PPP幀的完整性。⑤協(xié)議字段用來說明PPP封裝的協(xié)議報文類型，典型的字段值有：0XC021代表LCP報文，0XC023代表PAP報文，0XC223代表CHAP報文。⑥信息字段包含協(xié)議字段中指定協(xié)議的數(shù)據(jù)包。數(shù)據(jù)字段的默認最大長度（不包括協(xié)議字段）稱為最大接收單元（MaximumReceiveUnit，MRU），MRU的默認值為1500字節(jié)。如果協(xié)議字段被設為0XC021，則說明通信雙方正通過LCP報文進行PPP鏈路的協(xié)商和建立，LCP報文有以下參數(shù)。①Code字段主要用來標識LCP數(shù)據(jù)報文的類型。典型的報文類型有：配置信息報文（Configure-Packets，0x01）、配置成功信息報文（Configure-Ack，0x02）、終止請求報文（Terminate-Request，0x05）。②Identifier域為1字節(jié)，用來匹配請求和響應。③Length域的值就是該LCP報文的總字節(jié)數(shù)據(jù)。④數(shù)據(jù)字段則承載各種TLV（Type/Length/Value）參數(shù)，用于協(xié)商配置選項，包括最大接收單元、認證協(xié)議等。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議（3）PPP具有的功能。①PPP具有動態(tài)分配IP地址的能力，允許在連接時刻協(xié)商IP地址。②PPP支持多種網(wǎng)絡協(xié)議，如TCP/IP、NetBEUI、NWLink等。③PPP具有錯誤檢測能力，但不具備糾錯能力，所以PPP是不可靠傳輸協(xié)議。④PPP無重傳的機制，網(wǎng)絡開銷小，速度快。⑤PPP具有身份驗證功能。⑥PPP可以用于多種類型的物理介質(zhì)，包括串口線、電話線、移動電話和光纖（例如SDH），PPP也可用于Internet接入。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議2.高級數(shù)據(jù)鏈路控制協(xié)議高級數(shù)據(jù)鏈路控制（High-levelDataLinkControl，HDLC）是一組用于在網(wǎng)絡結(jié)點間傳送數(shù)據(jù)的協(xié)議，是由國際標準化組織（ISO）頒布的一種高可靠性、高效率的數(shù)據(jù)鏈路控制規(guī)程，其特點是各項數(shù)據(jù)和控制信息都以比特為單位，采用“幀”的格式傳輸。在HDLC中，數(shù)據(jù)被組成一個個的單元(稱為幀)通過網(wǎng)絡發(fā)送，并由接收方確認收到。HDLC協(xié)議也管理數(shù)據(jù)流和數(shù)據(jù)發(fā)送的間隔時間。HDLC是在數(shù)據(jù)鏈路層中最廣泛使用的協(xié)議之一，數(shù)據(jù)鏈路層是OSI七層網(wǎng)絡模型中的第二層，第一層是物理層，負責產(chǎn)生與收發(fā)物理電子信號，第三層是網(wǎng)絡層，其功能包括通過訪問路由表來確定路由。在傳送數(shù)據(jù)時，網(wǎng)絡層的數(shù)據(jù)幀中包含了源節(jié)點與目的節(jié)點的網(wǎng)絡地址，在第二層通過HDLC規(guī)范將網(wǎng)絡層的數(shù)據(jù)幀進行封裝，增加數(shù)據(jù)鏈路控制信息?，F(xiàn)在作為ISO的標準，HDLC是基于IBM的SDLC協(xié)議的，SDLC被廣泛用于IBM的大型機環(huán)境之中。在HDLC中，屬于SDLC的被稱為普通響應模式(NRM)。在通常響應模式中，基站(通常是大型機)通過專線在多路或多點網(wǎng)絡中發(fā)送數(shù)據(jù)給本地或遠程的二級站。這種網(wǎng)絡并不是我們平時所說的那種，它是一個非公眾的封閉網(wǎng)絡，網(wǎng)絡通信采取半雙工。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議（1）HDLC的特點。①透明傳輸。HDLC對任意位組合的數(shù)據(jù)均能實現(xiàn)透明傳輸?！巴该鳌笔且粋€很重要的術(shù)語，它表示某一個實際存在的事物看起來好像不存在一樣?！巴该鱾鬏敗北硎窘?jīng)實際電路傳送后的數(shù)據(jù)信息沒有發(fā)生變化。對所傳送的數(shù)據(jù)信息來說，由于這個電路并沒有對其產(chǎn)生什么影響，因此可以說數(shù)據(jù)信息“看不見”這個電路，或者可以說這個電路對該數(shù)據(jù)信息來說是透明的。這樣任意組合的數(shù)據(jù)信息都可以在這個電路上傳送。②可靠性高。所有幀均采用循環(huán)冗余校驗（CyclicRedundancyCheck，CRC），在HDLC中，差錯控制的范圍是除了F標志的整個幀，而基本型傳輸控制規(guī)程中不包括前綴和部分控制字符。另外HDLC對I幀進行編號傳輸，有效地防止了幀的重收和漏收。③傳輸效率高。它使用全雙工方式通信，遵循面向位的通信規(guī)則，同步數(shù)據(jù)控制協(xié)議；HDLC中額外的開銷少，允許高效的差錯控制和流量控制。④適應性強。HDLC協(xié)議不依賴于任何一種字符編碼集，它能適應各種類型的工作站和鏈路。⑤結(jié)構(gòu)靈活。在HDLC中，傳輸控制功能和處理功能分離，層次清楚，應用非常靈活。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議完整的HDLC幀由標志字段（F）、地址字段（A）、控制字段（C）、信息字段（I）、FCS字段等組成。①標志字段為01111110，用以標志幀的開始與結(jié)束，也可以作為幀與幀之間的填充字符。②地址字段攜帶的是地址信息。③控制字段用于構(gòu)成各種命令及響應，以便對鏈路進行監(jiān)視與控制。發(fā)送方利用控制字段來通知接收方執(zhí)行約定的操作；相反，接收方將該字段作為對命令的響應，并報告已經(jīng)完成的操作或狀態(tài)的變化。④信息字段可以包含任意長度的二進制數(shù)，其上限由FCS字段或通信節(jié)點的緩存容量決定，目前用得較多的是1000～2000位，而下限可以是0，即無信息字段。監(jiān)控幀中不能有信息字段。⑤FCS字段可以使用16位CRC對兩個標志字段之間的內(nèi)容進行校驗。HDLC有3種類型的幀，如圖6.3所示。①信息幀用于傳送有效信息或數(shù)據(jù)，通常簡稱為I幀。②監(jiān)控幀用于實現(xiàn)差錯控制和流量控制，通常簡稱為S幀。S幀的標志是控制字段前兩位為10。S幀不帶信息字段，只有6個字節(jié)，即48位。③無編號幀簡稱為U幀，U幀用于提供對鏈路的建立、拆除及多種控制功能。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議（2）HDLC幀格式。6.1.2廣域網(wǎng)數(shù)據(jù)鏈路層協(xié)議3.幀中繼幀中繼（FrameRelay）是于1992年興起的一種新的公用數(shù)據(jù)網(wǎng)通訊協(xié)議，1994年開始獲得迅速發(fā)展。幀中繼是一種有效的數(shù)據(jù)傳輸技術(shù)，它可以在一對一或者一對多的應用中快速而低廉的傳輸數(shù)字信息。它可以使用于語音、數(shù)據(jù)通信，既可用于局域網(wǎng)（LAN）也可用于廣域網(wǎng)（WAN）的通信。每個幀中繼用戶將得到一個接到幀中繼節(jié)點的專線。幀中繼網(wǎng)絡對于終端用戶來說，它通過一條經(jīng)常改變且對用戶不可見的信道來處理和其他用戶間的數(shù)據(jù)傳輸。主要特點：用戶信息以幀（frame）為單位進行傳送，網(wǎng)絡在傳送過程中對幀結(jié)構(gòu)、傳送差錯等情況進行檢查，對出錯幀直接予以丟棄，同時，通過對幀中地址段DLCI的識別，實現(xiàn)用戶信息的統(tǒng)計復用。幀中繼是一種數(shù)據(jù)包交換通信網(wǎng)絡，一般用在開放系統(tǒng)互連參考模型（OpenSystemInterconnection）中的數(shù)據(jù)鏈路層（DataLinkLayer）。永久虛擬電路PVC是用在物理網(wǎng)絡交換式虛擬電路（SVCs）上構(gòu)成端到端邏輯鏈接的，類似于在公共電話交換網(wǎng)中的電路交換，也是幀中繼描述中的一部分，只是現(xiàn)在已經(jīng)很少在實際中使用。另外，幀中繼最初是為緊湊格式版的X.25協(xié)議而設計的。數(shù)據(jù)鏈路連接標識符DLCI是用來標識各端點的一個具有局部意義的數(shù)值。多個PVC可以連接到同一個物理終端，PVC一般都指定承諾信息速率CIR和額外信息率EIR。幀中繼被設計為可以更有效的利用現(xiàn)有的物理資源，由于絕大多數(shù)的客戶不可能百分之百的利用數(shù)據(jù)服務，因此允許可以給電信營運商的客戶提供超過供應的數(shù)據(jù)服務。正由于電信營運商過多的預定了帶寬，所以導致了幀中繼在某些市場中獲得了壞的名聲。電信公司一直在對外出售幀中繼服務給那些在尋找比專線更低廉的客戶，根據(jù)政府和電信公司的政策，它被用于各種不同的應用領(lǐng)域。幀中繼正逐漸被ATM、IP等協(xié)議（包括IP虛擬專用網(wǎng)）替代。6.1.3PPP協(xié)議認證模式建立PPP鏈路之前，必須先在串行端口上配置鏈路層協(xié)議。華為系列路由器默認在串行端口上使能PPP協(xié)議。如果端口運行的不是PPP協(xié)議，需要運行l(wèi)ink-protocolppp命令來使能數(shù)據(jù)鏈路層的PPP協(xié)議。PPP有兩種認證模式，一是PAP認證模式，二是CHAP認證模式。（1）PAP認證的工作原理較為簡單。PAP認證協(xié)議為兩次握手認證協(xié)議，密碼以明文方式在鏈路上發(fā)送。LCP協(xié)商完成后，認證方要求被認證方使用PAP進行認證。被認證方將配置的用戶名和密碼信息使用Authenticate-Request報文以明文方式發(fā)送給認證方。認證方收到被認證方發(fā)送的用戶名和密碼信息之后，根據(jù)本地配置的用戶名和密碼數(shù)據(jù)庫檢查用戶名和密碼信息是否匹配，如果匹配，則返回Authenticate-Ack報文，表示認證成功。否則，返回Authenticate-Nak報文，表示認證失敗。（2）CHAP認證過程需要三次報文的交互。為了匹配請求報文和回應報文，報文中含有Identifier字段，一次認證過程所使用的報文均使用相同的Identifier信息。1）LCP協(xié)商完成后，認證方發(fā)送一個Challenge報文給被認證方，報文中含有Identifier信息和一個隨機產(chǎn)生的Challenge字符串，此Identifier即為后續(xù)報文所使用的Identifier。2）被認證方收到此Challenge報文之后，進行一次加密運算，運算公式為MD5（Identifier＋密碼＋Challenge），意思是將Identifier、密碼和Challenge三部分連成一個字符串，然后對此字符串做MD5運算，得到一個16字節(jié)長的摘要信息，然后將此摘要信息和端口上配置的CHAP用戶名一起封裝在Response報文中發(fā)回認證方。3）認證方接收到被認證方發(fā)送的Response報文之后，按照其中的用戶名在本地查找相應的密碼信息，得到密碼信息之后，進行一次加密運算，運算方式和被認證方的加密運算方式相同，然后將加密運算得到的摘要信息和Response報文中封裝的摘要信息做比較，相同則認證成功，不相同則認證失敗。使用CHAP認證方式時，被認證方的密碼是被加密后才進行傳輸?shù)?，這樣就極大的提高了安全性。任務實施6.1.4HDLC配置用戶只需要在串行端口視圖下運行l(wèi)ink-protocolhdlc命令就可以使能端口的HDLC協(xié)議。華為設備上的串行端口默認運行PPP協(xié)議。用戶必須在串行鏈路兩端的端口上配置相同的鏈路協(xié)議，雙方才能通信。（1）進行HDLC配置，相關(guān)端口與IP地址配置，如圖6.4所示，進行網(wǎng)絡拓撲連接。6.1.5配置PAP認證模式（1）進行PAP認證配置，相關(guān)端口與IP地址配置，如圖6.8所示，進行網(wǎng)絡拓撲連接。6.1.6配置CHAP認證模式（1）進行CHAP認證配置，相關(guān)端口與IP地址配置，如圖6.10所示，進行網(wǎng)絡拓撲連接。任務6.2NAT技術(shù)任務陳述知識準備6.2.1NAT技術(shù)概述6.2.2NAT簡介6.2.3靜態(tài)NAT6.2.4動態(tài)NAT6.2.5端口多路復用PAT任務實施6.2.6配置靜態(tài)NAT6.2.7配置動態(tài)NAT6.2.8配置端口多路復用PAT任務6.2NAT技術(shù)任務陳述小李是公司的網(wǎng)絡工程師，隨著公司業(yè)務的不斷發(fā)展，公司的業(yè)務越來越離不開網(wǎng)絡，由于互聯(lián)網(wǎng)中的任何兩臺主機通信都需要全球唯一的IP地址，而且越來越多的用戶加入Internet中，使得IP地址的使用越來越緊張，公司申請一段公網(wǎng)的C類IP地址，由于申請的IP地址較少，仍然無法滿足公司員工的需求，小李考慮到公司的實際困難，決定使用NAT技術(shù)來解決公司上網(wǎng)的問題，做為公司的網(wǎng)絡工程師，小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡實施方案，那么他將如何完成網(wǎng)絡設備的相應配置呢？任務6.2NAT技術(shù)知識準備6.2.1NAT技術(shù)概述隨著網(wǎng)絡技術(shù)的發(fā)展，接入Internet的計算機數(shù)量的不斷增長，Internet中IP地址越來越少，IP地址資源也就愈加顯得捉襟見肘。事實上，除了中國教育和科研計算機網(wǎng)（CERNET）外，一般用戶幾乎申請不到整段的C類IP地址。在其他ISP那里，即使是擁有幾百臺計算機的大型局域網(wǎng)用戶，當他們申請IP地址時，所分配的地址也不過只有幾個或十幾個IP地址。顯然，這樣少的IP地址根本無法滿足網(wǎng)絡用戶的需求，于是也就產(chǎn)生了NAT技術(shù)，目前NAT技術(shù)有限的解決了此問題，使得私網(wǎng)IP可以訪問外網(wǎng)，雖然NAT可以借助于某些代理服務器來實現(xiàn)，但考慮到運算成本和網(wǎng)絡性能，很多時候都是在路由器上來實現(xiàn)的。6.2.1NAT簡介1.NAT概述網(wǎng)絡地址轉(zhuǎn)換NAT（NetworkAddressTranslation）是1994年提出的。簡單來說，就是把內(nèi)部私有IP地址翻譯成合法有效的網(wǎng)絡公有IP地址的技術(shù)，如圖6.12所示，當在專用網(wǎng)內(nèi)部的一些主機本來已經(jīng)分配到了本地IP地址（即僅在本專用網(wǎng)內(nèi)使用的專用地址），但現(xiàn)在又想和因特網(wǎng)上的主機通信（并不需要加密）時，可使用NAT方法，這種方法需要在專用網(wǎng)連接到因特網(wǎng)的路由器上安裝NAT軟件。裝有NAT軟件的路由器叫做NAT路由器，它至少有一個有效的外部全球IP地址。這樣，所有使用本地地址的主機在和外界通信時，都要在NAT路由器上將其本地地址轉(zhuǎn)換成全球IP地址，才能和因特網(wǎng)連接。NAT不僅能解決IP地址不足的問題，而且還能夠有效地避免來自網(wǎng)絡外部的攻擊，隱藏并保護網(wǎng)絡內(nèi)部的計算機。（1）作用：通過將內(nèi)部網(wǎng)絡的私有IP地址翻譯成全球唯一的公網(wǎng)IP地址，使內(nèi)部網(wǎng)絡可以連接到互聯(lián)網(wǎng)等外部網(wǎng)絡上。

（2）優(yōu)點：節(jié)省公共合法IP地址；處理地址重疊；增強靈活性；增強安全性。

（3）缺點：延遲增大；增加了配置和維護的復雜性；不支持某些應用，可以通過靜態(tài)NAT映射來避免。6.2.1NAT簡介1.NAT概述要真正了解NAT就必須先了解現(xiàn)在IP地址的使用情況，私有IP地址是指內(nèi)部網(wǎng)絡或主機的IP地址，公有IP地址是指在因特網(wǎng)上全球唯一的IP地址。RFC1918為私有網(wǎng)絡預留出了三個IP地址塊，如下：A類：～55。B類：～55。C類：～55。上述三個范圍內(nèi)的地址不會在因特網(wǎng)上被分配，因此可以不必向ISP或注冊中心申請而在公司或企業(yè)內(nèi)部自由使用。6.2.1NAT簡介2.NAT術(shù)語內(nèi)部本地地址(Insidelocaladdress)：一個Inside網(wǎng)絡中的設備，在Inside的IP地址，分配給內(nèi)部網(wǎng)絡中主機的IP地址，通常這種地址來自RFC1918指定的私有地址空間，即內(nèi)部主機的實際地址。內(nèi)部全局地址（Insideglobaladdress）：一個Inside網(wǎng)絡中的設備，在Outside的IP地址，內(nèi)部全局IP地址，對外代表一個或多個內(nèi)部IP地址，這種地址來自全局唯一的地址空間，通常是ISP提供的，即內(nèi)部主機經(jīng)NAT轉(zhuǎn)換后去往外部的地址。外部本地地址（Outsidelocaladdress）：一個Outside網(wǎng)絡中的設備，在Inside的IP地址，在內(nèi)部網(wǎng)絡中看到的外部主機IP地址，通常來自RFC1918定義的私有地址空間，即外部主機由NAT設備轉(zhuǎn)換后的地址。外部全局地址（Outsideglobaladdress）：一個Outside網(wǎng)絡中的設備，在Outside的IP地址，外部網(wǎng)絡中的主機IP地址，通常來自全局可路由的地址空間，即外部主機的真實地址，如圖6.13所示。6.2.3靜態(tài)NAT1.靜態(tài)轉(zhuǎn)換（StaticNat）靜態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公有IP地址，IP地址對是一對一的，是一成不變的，某個私有IP地址只轉(zhuǎn)換為某個公有IP地址。借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備（如服務器）的訪問。2.靜態(tài)NAT工作過程靜態(tài)NAT的轉(zhuǎn)換條目需要預先手工進行配置，建立內(nèi)部本地地址和內(nèi)部全局地址的一對一永久對應關(guān)系，即將一個內(nèi)部本地地址和一個內(nèi)部全局地址進行綁定，借助于靜態(tài)轉(zhuǎn)換，可以實現(xiàn)外部網(wǎng)絡對內(nèi)部網(wǎng)絡中某些特定設備（如WEB服務器、FTP服務器等）的訪問，隱藏內(nèi)部服務器地址信息，提高網(wǎng)絡安全性，靜態(tài)NAT就顯得尤為重要。當內(nèi)部主機PC1訪問外網(wǎng)主機PC3的資源時，內(nèi)部主機靜態(tài)NAT的工作過程如下，如圖6.14所示。（1）主機PC1使用私有IP地址：0為源地址向主機PC3發(fā)送報文，路由器AR1接收到主機PC1的報文時，路由器AR1檢查NAT轉(zhuǎn)換表，若該地址有配置靜態(tài)NAT映射，就進入下一步地址轉(zhuǎn)換過程，若沒有配置靜態(tài)NAT映射，則轉(zhuǎn)換不成功。（2）當路由器AR1有配置靜態(tài)NAT時，則把源地址（0）替換成對應的轉(zhuǎn)換地址（0），經(jīng)轉(zhuǎn)換后，數(shù)據(jù)包的源地址變?yōu)椋?，然后轉(zhuǎn)發(fā)該數(shù)據(jù)包。（3）當主機PC3（0）接收數(shù)據(jù)包后，將向源地址0發(fā)送響應報文，如圖6.15所示。（4）當路由器AR1接收到內(nèi)部全局地址的數(shù)據(jù)包時，將以內(nèi)部全局地址0為關(guān)鍵字查找NAT轉(zhuǎn)換表，將數(shù)據(jù)包的目的地址轉(zhuǎn)換成0，同時轉(zhuǎn)發(fā)給主機PC1。（5）主機PC1接收到響應報文，并繼續(xù)保持會話，直至會話結(jié)束。6.2.3靜態(tài)NAT6.2.3靜態(tài)NAT6.2.4動態(tài)NAT1.動態(tài)轉(zhuǎn)換（DynamicNat）動態(tài)轉(zhuǎn)換是指將內(nèi)部網(wǎng)絡的私有IP地址轉(zhuǎn)換為公用IP地址時，IP地址是不確定的，是隨機的，所有被授權(quán)訪問上Internet的私有IP地址可隨機轉(zhuǎn)換為任何指定的合法IP地址。也就是說，只要指定哪些內(nèi)部地址可以進行轉(zhuǎn)換，以及用哪些合法地址作為外部地址時，就可以進行動態(tài)轉(zhuǎn)換，動態(tài)轉(zhuǎn)換可以使用多個合法外部地址集，當ISP提供的合法IP地址略少于網(wǎng)絡內(nèi)部的計算機數(shù)量時，可以采用動態(tài)轉(zhuǎn)換的方式。靜態(tài)NAT是在路由器上手工配置內(nèi)部本地址與內(nèi)部全局地址一對一的進行轉(zhuǎn)換映射，設置完成后，該全局地址不允許其他主機使用，在一定程度上造成IP地址資源的浪費，動態(tài)NAT也是將內(nèi)部本地址與內(nèi)部全局地址一對一的進行轉(zhuǎn)換映射，但是動態(tài)NAT是從內(nèi)部全局地址池中動態(tài)選擇一個末被使用的地址對內(nèi)部本地地址進行轉(zhuǎn)換映射的，動態(tài)地址轉(zhuǎn)換條目是動態(tài)創(chuàng)建的，無需預先手動進行創(chuàng)建的。2.動態(tài)NAT工作過程動態(tài)NAT在路由器中建立一個地址池，放置可用的內(nèi)部全局地址，當有內(nèi)部本地地址需要轉(zhuǎn)換時，查詢地址池，取出內(nèi)部全局地址建立地址映射關(guān)系，實現(xiàn)動態(tài)NAT地址轉(zhuǎn)換，當使用完成后，釋放該映射關(guān)系，將這個內(nèi)部全局地址返回地址池中，以供其他用戶使用。當內(nèi)部主機PC1訪問外網(wǎng)主機PC3的資源時，內(nèi)部主機動態(tài)NAT的工作過程如下，如圖6.16所示。6.2.4動態(tài)NAT（1）主機PC1使用私有IP地址：0為源地址向主機PC3發(fā)送報文，路由器AR1接收到主機PC1的報文時，路由器AR1檢查NAT地址池，發(fā)現(xiàn)需要將該報文的源地址進行轉(zhuǎn)換，并從路由器AR1的地址池中選擇一個未被使用的全局地址：0的地址用于轉(zhuǎn)換。（2）路由器AR1將內(nèi)部本地地址：0替換成對應的轉(zhuǎn)換地址0的地址，經(jīng)轉(zhuǎn)換后，數(shù)據(jù)包的源地址變?yōu)椋?，然后轉(zhuǎn)發(fā)該數(shù)據(jù)包，并創(chuàng)建一條動態(tài)NAT表項。（3）當主機PC3收到報文后，使用0作為源地址，內(nèi)部全局地址0作為目的地址來進行應答，如圖6.17所示。（4）當路由器AR1接收到內(nèi)部全局地址的數(shù)據(jù)包時，將以內(nèi)部全局地址0為關(guān)鍵字查找NAT轉(zhuǎn)換表，將數(shù)據(jù)包的目的地址轉(zhuǎn)換成0，同時轉(zhuǎn)發(fā)給主機PC1。（5）主機PC1接收到響應報文，并繼續(xù)保持會話，直至會話結(jié)束。6.2.4動態(tài)NAT6.2.4動態(tài)NAT6.2.5端口多路復用PAT1.端口多路復用（PortaddressTranslation,PAT)端口多路復用（PortaddressTranslation,PAT)是指改變外出數(shù)據(jù)包的源端口并進行端口轉(zhuǎn)換，即端口地址轉(zhuǎn)換（PAT，PortAddressTranslation)采用端口多路復用方式。內(nèi)部網(wǎng)絡的所有主機均可共享一個合法外部IP地址實現(xiàn)對Internet的訪問，從而可以最大限度地節(jié)約IP地址資源。同時，又可隱藏網(wǎng)絡內(nèi)部的所有主機，有效避免來自internet的攻擊。因此，目前網(wǎng)絡中應用最多的就是端口多路復用方式。靜態(tài)NAT與動態(tài)NAT技術(shù)實現(xiàn)了內(nèi)網(wǎng)訪問外網(wǎng)的目的，動態(tài)NAT雖然解決了內(nèi)部全局地址靈活使用的問題，但是并沒有從根本上解決IP地址不足的問題，那么如何解決多個主機使用一個公有IP地址訪問外網(wǎng)呢？端口多路復用PAT技術(shù)可以解決這個問題。端口多路復用PAT是動態(tài)NAT的一種實現(xiàn)形式，端口多路復用PAT利用不同的端口號將多個內(nèi)部私有IP地址轉(zhuǎn)換為一個外部IP地址，實現(xiàn)了多臺主機訪問外網(wǎng)而且只用一個IP地址的問題。2.端口多路復用PAT工作過程端口多路復用PAT和動態(tài)NAT的區(qū)別在與端口多路復用PAT只需要一個內(nèi)部全局地址就可以映射多個內(nèi)部本地地址，通過端口號來區(qū)分不同的主機，與動態(tài)NAT一樣，地址池中也存放了很多的內(nèi)部全局地址，轉(zhuǎn)換時從地址池中獲得一個內(nèi)部全局地址，在轉(zhuǎn)換表中建立內(nèi)部本地地址及端口號與內(nèi)部全局地址及端口號的映射關(guān)系。當內(nèi)部主機PC1訪問外網(wǎng)主機PC3的資源時，內(nèi)部主機使用端口多路復用PAT技術(shù)的工作過程如下，如圖6.18所示。6.2.5端口多路復用PAT（1）主機PC1使用私有IP地址：0為源地址、端口號6001，向主機PC3發(fā)送報文，路由器AR1接收到主機PC1的報文時，路由器AR1檢查NAT地址池，發(fā)現(xiàn)需要將該報文的源地址進行轉(zhuǎn)換，并從路由器AR1的地址池中選擇一個未被使用的全局地址：0的地址、端口號4001，用于轉(zhuǎn)換。（2）路由器AR1將內(nèi)部本地地址：0:6001替換成對應的轉(zhuǎn)換地址0:4001的地址，經(jīng)轉(zhuǎn)換后，數(shù)據(jù)包的源地址變?yōu)椋?:4001，然后轉(zhuǎn)發(fā)該數(shù)據(jù)包，并創(chuàng)建一條動態(tài)NAT表項。（3）當主機PC3收到報文后，使用0作為源地址、端口號8001，內(nèi)部全局地址0:4001作為目的地址來進行應答，如圖6.19所示。（4）當路由器AR1接收到內(nèi)部全局地址的數(shù)據(jù)包時，將以內(nèi)部全局地址0:4001為關(guān)鍵字查找NAT轉(zhuǎn)換表，將數(shù)據(jù)包的目的地址轉(zhuǎn)換成0:6001，同時轉(zhuǎn)發(fā)給主機PC1。（5）主機PC1接收到響應報文，并繼續(xù)保持會話，直至會話結(jié)束。6.2.5端口多路復用PAT6.2.5端口多路復用PAT任務實施6.2.6配置靜態(tài)NAT（1）靜態(tài)NAT配置，相關(guān)端口與IP地址配置，如圖6.20所示，進行網(wǎng)絡拓撲連接。6.2.7配置動態(tài)NAT（1）動態(tài)NAT配置，相關(guān)端口與IP地址配置，如圖6.27所示，進行網(wǎng)絡拓撲連接。6.2.8配置端口多路復用PAT（1）端口多路復用PAT配置，相關(guān)端口與IP地址配置，如圖6.35所示，進行網(wǎng)絡拓撲連接。任務6.3配置IPV6任務陳述知識準備6.3.1IPv6概述6.3.2IPv6報頭結(jié)構(gòu)與格式6.3.3IPv6地址類型6.3.4IPv6地址自動配置協(xié)議6.3.5IPv6路由協(xié)議6.3.6IPv6地址生成任務實施6.3.7RIPng配置6.3.8OSPFv3配置任務6.3配置IPV66.1任務陳述小李是公司的網(wǎng)絡工程師，隨著公司業(yè)務的不斷發(fā)展，公司的業(yè)務越來越離不開網(wǎng)絡，由于互聯(lián)網(wǎng)中的任何兩臺主機通信都需要全球唯一的IP地址，而且越來越多的用戶加入Internet中，使得IP地址的使用越來越緊張，IPv4地址空間已經(jīng)消耗殆盡，2019年12月互聯(lián)網(wǎng)服務提供商ISP決定提供IPv6服務，由于公司業(yè)務的發(fā)展需要，IPv6的應用和推廣便顯得越來越急迫，公司決定啟用IPv6服務，做為公司的網(wǎng)絡工程師，小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡實施方案，那么他將如何完成網(wǎng)絡設備的相應配置呢？任務6.3配置IPV6知識準備6.3.1IPv6概述在因特網(wǎng)發(fā)展初期，IPv4以其協(xié)議簡單、易于實現(xiàn)、互操作性好的優(yōu)勢而得到快速發(fā)展。然而，隨著因特網(wǎng)的迅猛發(fā)展，IPv4地址不足等設計缺陷也日益明顯。IPv4理論上僅僅能夠提供的地址數(shù)量是43億，但是由于地址分配機制等原因，實際可使用的數(shù)量還遠遠達不到43億。因特網(wǎng)的迅猛發(fā)展令人始料未及，同時也帶來了地址短缺的問題。針對這一問題，曾先后出現(xiàn)過幾種解決方案，比如CIDR和NAT。但是CIDR和NAT都有各自的弊端和不能解決的問題，在這樣的情況下，IPv6的應用和推廣便顯得越來越急迫。隨著Internet規(guī)模的不斷擴大，IPv4地址空間已經(jīng)消耗殆盡，IPv4網(wǎng)絡地址資源有限，嚴重制約了互聯(lián)網(wǎng)的應用和發(fā)展，另外網(wǎng)絡的安全性、服務質(zhì)量QOS、簡便配置等要求也表明需要一個新的協(xié)議來根本解決目前IPV4面臨的問題。IPV6的使用，不僅能解決網(wǎng)絡地址資源數(shù)量的問題，而且也解決了多種接入設備連入互聯(lián)網(wǎng)的障礙，使得配置更加簡單、方便，IPv6采用了全新的報文格式，提高了報文處理的效率，同時也提高了網(wǎng)絡的安全性，也能更好的支持服務質(zhì)量QOS。6.3.1IPv6概述IPv6（InternetProtocolVersion6）是互聯(lián)網(wǎng)工程任務組（IETF）設計的用于替代IPv4的下一代互聯(lián)網(wǎng)絡IP協(xié)議，其地址數(shù)量號稱可以為全世界的每一粒沙子編上一個地址。IPv6是網(wǎng)絡層協(xié)議的第二代標準協(xié)議，也是IPv4（InternetProtocolVersion4）的升級版本。IPv6與IPv4的最顯著區(qū)別是，IPv4地址采用32比特標識，而IPv6地址采用128比特標識。128比特的IPv6地址可以劃分更多地址層級、擁有更廣闊的地址分配空間，并支持地址自動配置，IPV4與IPV6地址空間，如表6.2所示。6.3.2IPv6報頭結(jié)構(gòu)與格式1.IPV6報頭結(jié)構(gòu)IPv6報文的整體結(jié)構(gòu)分為IPv6報頭、擴展報頭和上層協(xié)議數(shù)據(jù)3部分。IPv6報頭是必選報文頭部，長度固定為40B，包含該報文的基本信息；擴展報頭是可選報頭，可能存在0個、1個或多個，IPv6協(xié)議通過擴展報頭實現(xiàn)各種豐富的功能；上層協(xié)議數(shù)據(jù)是該IPv6報文攜帶的上層數(shù)據(jù)，可能是ICMPv6報文、TCP報文、UDP報文或其他可能報文，IPV6報頭結(jié)構(gòu)，如圖6.43所示。6.3.2IPv6報頭結(jié)構(gòu)與格式與IPv4相比，IPv6報頭去除了IHL、Identifier、Flags、FragmentOffset、HeaderChecksum、Options、Padding域，只增了流標簽域，因此IPv6報文頭的處理較IPv4大大簡化，提高了處理效率。另外，IPv6為了更好支持各種選項處理，提出了擴展頭的概念。IPV6基本報頭中的各字段解釋如下，如表6.3所示。6.3.2IPv6報頭結(jié)構(gòu)與格式擴展頭部：IPv6報文中不再有“選項”字段，而是通過“下一報頭”字段配合IPv6擴展報頭來實現(xiàn)選項的功能。使用擴展頭時，將在IPv6報文下一報頭字段表明首個擴展報頭的類型，再根據(jù)該類型對擴展報頭進行讀取與處理。每個擴展報頭同樣包含下一報頭字段，若接下來有其他擴展報頭，即在該字段中繼續(xù)標明接下來的擴展報頭的類型，從而達到添加連續(xù)多個擴展報頭的目的。在最后一個擴展報頭的下一報頭字段中，則標明該報文上層協(xié)議的類型，用以讀取上層協(xié)議數(shù)據(jù)，擴展頭部報文，如圖6.44所示。6.3.2IPv6報頭結(jié)構(gòu)與格式2.IPv6地址格式IPv6地址長度為128比特，用于標識一個或一組端口。IPv6地址通常寫作xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx，其中xxxx是4個十六進制數(shù)，等同于16個二進制數(shù)；八組xxxx共同組成了一個128比特的IPv6地址。一個IPv6地址由IPv6地址前綴和端口ID組成，IPv6地址前綴用來標識IPv6網(wǎng)絡，端口ID用來標識端口。IPv6的地址長度為128位，是IPv4地址長度的4倍。于是IPv4點分十進制格式不再適用，采用十六進制表示。IPv6有3種表示方法。（1）冒分十六進制表示法。格式為X:X:X:X:X:X:X:X，其中每個X表示地址中的16b，以十六進制表示，例如：ABCD:EF01:2345:6789:ABCD:EF01:2345:6789，這種表示法中，每個X的前導0是可以省略的，例如：2001:0DB8:0000:0023:0008:0800:200C:417A→2001:DB8:0:23:8:800:200C:417A（2）0位壓縮表示法。在某些情況下，一個IPv6地址中間可能包含很長的一段0，可以把連續(xù)的一段0壓縮為“::”。但為保證地址解析的唯一性，地址中“::”只能出現(xiàn)一次，例如：FF01:0:0:0:0:0:0:1101→FF01::11010:0:0:0:0:0:0:1→::10:0:0:0:0:0:0:0→

::（3）內(nèi)嵌IPv4地址表示法。為了實現(xiàn)IPv4-IPv6互通，IPv4地址會嵌入IPv6地址中，此時地址常表示為：X:X:X:X:X:X:d.d.d.d，前96b采用冒分十六進制表示，而最后32b地址則使用IPv4的點分十進制表示，例如::與::FFFF:就是兩個典型的例子，注意在前96b中，壓縮0位的方法依舊適用。6.3.3IPv6地址類型IPv6協(xié)議主要定義了三種地址類型：單播地址（UnicastAddress）、組播地址（MulticastAddress）和任播地址（AnycastAddress）。與原來在IPv4地址相比，新增了“任播地址”類型，取消了原來IPv4地址中的廣播地址，因為在IPv6中的廣播功能是通過組播來完成的。目前，IPv6地址空間中還有很多地址尚未分配，一方面是因為IPv6有著巨大的地址空間，足夠在未來很多年使用，另一方面是因為尋址方案還有待發(fā)展，同時關(guān)于地址類型的適用范圍也多有值得商榷的地方，有一小部分全球單播地址已經(jīng)由IANA（互聯(lián)網(wǎng)名稱與數(shù)字地址分配機構(gòu)ICANN的一個分支）分配給了用戶。單播地址的格式是2000::/3，代表公共IP網(wǎng)絡上任意可用的地址。IANA負責將該段地址范圍內(nèi)的地址分配給多個區(qū)域互聯(lián)網(wǎng)注冊管理機構(gòu)（RIR）。RIR負責全球5個區(qū)域的地址分配。以下幾個地址范圍已經(jīng)分配：2400::/12(APNIC)、2600::/12(ARIN)、2800::/12(LACNIC)、2A00::/12(RIPENCC)和2C00::/12(AfriNIC)，它們使用單一地址前綴標識特定區(qū)域中的所有地址。2000::/3地址范圍中還為文檔示例預留了地址空間，例如2001:0DB8::/32。鏈路本地地址只能在連接到同一本地鏈路的節(jié)點之間使用?？梢栽谧詣拥刂贩峙?、鄰居發(fā)現(xiàn)和鏈路上沒有路由器的情況下使用鏈路本地地址。以鏈路本地地址為源地址或目的地址的IPv6報文不會被路由器轉(zhuǎn)發(fā)到其他鏈路。鏈路本地地址的前綴是FE80::/10。組播地址的前綴是FF00::/8。組播地址范圍內(nèi)的大部分地址都是為特定組播組保留的。跟IPv4一樣，IPv6組播地址還支持路由協(xié)議。IPv6中沒有廣播地址。組播地址替代廣播地址可以確保報文只發(fā)送給特定的組播組而不是IPv6網(wǎng)絡中的任意終端。6.3.3IPv6地址類型IPv6還包括一些特殊地址，比如未指定地址::/128。如果沒有給一個端口分配IP地址，該端口的地址則為::/128。需要注意的是，不能將未指定地址跟默認IP地址::/0相混淆。默認IP地址::/0跟IPv4中的默認地址/0類似。環(huán)回地址在IPv6中被定義為保留地址::1/128。IPv6地址類型是由地址前綴部分來確定，主要地址類型與地址前綴的對應關(guān)系，如表6.4所示。6.3.3IPv6地址類型1.單播地址IPv6單播地址與IPv4單播地址一樣，都只標識了一個端口，發(fā)送到單播地址的數(shù)據(jù)報文將被傳送給此地址所標識的一個端口。為了適應負載平衡系統(tǒng)，RFC3513允許多個端口使用同一個地址，只要這些端口作為主機上實現(xiàn)的IPv6的單個端口出現(xiàn)。單播地址包括四個類型：全局單播地址、本地單播地址、兼容性地址、特殊地址。（1）全球單播地址。等同于IPv4中的公網(wǎng)地址，可以在IPv6Internet上進行全局路由和訪問。這種地址類型允許路由前綴的聚合，從而限制了全球路由表項的數(shù)量，全球單播地址（例如2000::/3）帶有固定的地址前綴，即前三位為固定值001。其地址結(jié)構(gòu)是一個三層結(jié)構(gòu)，依次為全球路由前綴、子網(wǎng)標識和端口標識。全球路由前綴由RIR和互聯(lián)網(wǎng)服務供應商（ISP）組成，RIR為ISP分配IP地址前綴。子網(wǎng)標識定義了網(wǎng)絡的管理子網(wǎng)。（2）本地單播地址。鏈路本地地址和唯一本地地址都屬于本地單播地址，在IPv6中，本地單播地址就是指本地網(wǎng)絡使用的單播地址，也就是IPV4地址中局域網(wǎng)專用地址。每個端口上至少要有一個鏈路本地單播地址，另外還可分配任何類型（單播、任播和組播）或范圍的IPv6地址。1鏈路本地地址（FE80::/10）：僅用于單個鏈路（鏈路層不能跨VLAN），不能在不同子網(wǎng)中路由。結(jié)點使用鏈路本地地址與同一個鏈路上的相鄰結(jié)點進行通信。例如，在沒有路由器的單鏈路IPv6網(wǎng)絡上，主機使用鏈路本地地址與該鏈路上的其他主機進行通信，鏈路本地單播地址的前綴為FE80::/10，表示地址最高10位值為1111111010。前綴后面緊跟的64位是端口標識，這64位已足夠主機端口使用，因而鏈路本地單播地址的剩余54位為0。2唯一本地地址（FC00::/7）：唯一本地地址是本地全局的，它應用于本地通信，但不通過Internet路由，將其范圍限制為組織的邊界。3站點本地地址（FEC0::/10，新標準中已被唯一本地地址代替）。6.3.3IPv6地址類型1.單播地址（3）兼容性地址：在IPv6的轉(zhuǎn)換機制中還包括了一種通過IPv4路由端口以隧道方式動態(tài)傳遞IPv6包的技術(shù)。這樣的IPv6結(jié)點會被分配一個在低32位中帶有全球IPv4單播地址的IPv6全局單播地址。另有一種嵌入IPv4的IPv6地址，用于局域網(wǎng)內(nèi)部，這類地址用于把IPv4結(jié)點當作IPv6結(jié)點。此外，還有一種稱為“6to4”的IPv6地址，用于在兩個通過Internet同時運行IPv4和IPv6的結(jié)點之間進行通信。（4）特殊地址：包括未指定地址和環(huán)回地址。未指定地址（0:0:0:0:0:0:0:0或::）僅用于表示某個地址不存在。它等價于IPv4未指定地址。未指定地址通常被用做嘗試驗證暫定地址唯一性數(shù)據(jù)包的源地址，并且永遠不會指派給某個端口或被用做目標地址。環(huán)回地址（0:0:0:0:0:0:0:1或::1）用于標識環(huán)回端口，允許節(jié)點將數(shù)據(jù)包發(fā)送給自己。它等價于IPv4環(huán)回地址。發(fā)送到環(huán)回地址的數(shù)據(jù)包永遠不會發(fā)送給某個鏈接，也永遠不會通過IPv6路由器轉(zhuǎn)發(fā)。6.3.3IPv6地址類型2.組播地址IPv6組播地址可識別多個端口，對應于一組端口的地址（通常分屬不同節(jié)點），類似于IPv4中的組播地址，發(fā)送到組播地址的數(shù)據(jù)報文被傳送給此地址所標識的所有端口。使用適當?shù)慕M播路由拓撲，將向組播地址發(fā)送的數(shù)據(jù)包發(fā)送給該地址識別的所有端口，如表6.5所示。任意位置的IPv6節(jié)點可以偵聽任意IPv6組播地址上的組播通信，IPv6節(jié)點可以同時偵聽多個組播地址，也可以隨時加入或離開組播組。IPv6組播地址的最明顯特征就是最高的8位固定為11111111。IPv6地址很容易區(qū)分組播地址，因為它總是以FF開始的，如圖6.45所示。IPv6的組播與IPv4相同，用來標識一組端口，一般這些端口屬于不同的節(jié)點。一個節(jié)點可能屬于0到多個組播組。目的地址為組播地址的報文會被該組播地址標識的所有端口接收。一個IPv6組播地址是由前綴、標志（Flag）字段、范圍（Scope）字段以及組播組ID（GroupID）4個部分組成：（1）前綴：IPv6組播地址的前綴是FF00::/8（11111111）。（2）標志字段（Flag）：長度4bit，目前只使用了最后一個比特（前三位必須置0），當該位值為0時，表示當前的組播地址是由IANA所分配的一個永久分配地址；當該值為1時，表示當前的組播地址是一個臨時組播地址（非永久分配地址）。（3）范圍字段（Scope）：長度4bit，用來限制組播數(shù)據(jù)流在網(wǎng)絡中發(fā)送的范圍。（4）組播組ID（GroupID）：長度112bit，用以標識組播組。目前，RFC2373并沒有將所有的112位都定義成組標識，而是建議僅使用該112位的最低32位作為組播組ID，將剩余的80位都置0，這樣，每個組播組ID都可以映射到一個唯一的以太網(wǎng)組播MAC地址。6.3.3IPv6地址類型3.任播地址任播地址標識一組網(wǎng)絡端口（通常屬于不同的節(jié)點），目標地址是任播地址的數(shù)據(jù)包將發(fā)送給其中路由意義上最近的一個網(wǎng)絡端口。一個IPv6任播地址與組播地址一樣也可以識別多個端口，對應一組端口的地址。大多數(shù)情況下，這些端口屬于不同的節(jié)點。但是，與組播地址不同的是，發(fā)送到任播地址的數(shù)據(jù)包被送到由該地址標識的其中一個端口。通過合適的路由拓撲，目的地址為任播地址的數(shù)據(jù)包將被發(fā)送到單個端口（該地址識別的最近端口，最近端口定義的根據(jù)是因為路由距離最近），而組播地址用于一對多通信，發(fā)送到多個端口。一個任播地址必須不能用作IPv6數(shù)據(jù)包的源地址；也不能分配給IPv6主機，僅可以分配給IPv6路由器。任播過程涉及一個任播報文發(fā)起方和一個或多個響應方。任播報文的發(fā)起方通常為請求某一服務（DNS查找）的主機或請求返還特定數(shù)據(jù)（例如，HTTP網(wǎng)頁信息）的主機。任播地址與單播地址在格式上無任何差異，唯一的區(qū)別是一臺設備可以給多臺具有相同地址的設備發(fā)送報文。企業(yè)網(wǎng)絡中運用任播地址有很多優(yōu)勢。其中一個優(yōu)勢是業(yè)務冗余。比如，用戶可以通過多臺使用相同地址的服務器獲取同一個服務（例如，HTTP）。這些服務器都是任播報文的響應方。如果不是采用任播地址通信，當其中一臺服務器發(fā)生故障時，用戶需要獲取另一臺服務器的地址才能重新建立通信。如果采用的是任播地址，當一臺服務器發(fā)生故障時，任播報文的發(fā)起方能夠自動與使用相同地址的另一臺服務器通信，從而實現(xiàn)業(yè)務冗余。使用多服務器接入還能夠提高工作效率。例如，用戶（即任播地址的發(fā)起方）瀏覽公司網(wǎng)頁時，與相同的單播地址建立一條連接，連接的對端是具有相同任播地址的多個服務器。用戶可以從不同的鏡像服務器分別下載html文件和圖片。用戶利用多個服務器的帶寬同時下載網(wǎng)頁文件，其效率遠遠高于使用單播地址進行下載。6.3.4IPv6地址自動配置協(xié)議IPv6使用兩種地址自動配置協(xié)議，分別為無狀態(tài)地址自動配置協(xié)議（SLAAC）和IPv6動態(tài)主機配置協(xié)議（DHCPv6）。SLAAC不需要服務器對地址進行管理，主機直接根據(jù)網(wǎng)絡中的路由器通告信息與本機MAC地址結(jié)合計算出本機IPv6地址，實現(xiàn)地址自動配置；DHCPv6由DHCPv6服務器管理地址池，用戶主機從服務器請求并獲取IPv6地址及其他信息，達到地址自動配置的目的。1.無狀態(tài)地址自動配置無狀態(tài)地址自動配置的核心是不需要額外的服務器管理地址狀態(tài)，主機可自行計算地址進行地址自動配置，包括4個基本步驟：（1）鏈路本地地址配置。主機計算本地地址。（2）重復地址檢測，確定當前地址唯一。（3）全局前綴獲取，主機計算全局地址。（4）前綴重新編址，主機改變?nèi)值刂贰?.IPv6動態(tài)主機配置協(xié)議Pv6動態(tài)主機配置協(xié)議DHCPv6是由IPv4場景下的DHCP發(fā)展而來?？蛻舳送ㄟ^向DHCP服務器發(fā)出申請來獲取本機IP地址并進行自動配置，DHCP服務器負責管理并維護地址池以及地址與客戶端的映射信息。DHCPv6在DHCP的基礎上，進行了一定的改進與擴充。其中包含3種角色：DHCPv6客戶端，用于動態(tài)獲取IPv6地址、IPv6前綴或其他網(wǎng)絡配置參數(shù)；DHCPv6服務器，負責為DHCPv6客戶端分配IPv6地址、IPv6前綴和其他配置參數(shù)；DHCPv6中繼，它是一個轉(zhuǎn)發(fā)設備。通常情況下。DHCPv6客戶端可以通過本地鏈路范圍內(nèi)組播地址與DHCPv6服務器進行通信。若服務器和客戶端不在同一鏈路范圍內(nèi)，則需要DHCPv6中繼進行轉(zhuǎn)發(fā)。DHCPv6中繼的存在使得在每一個鏈路范圍內(nèi)都部署DHCPv6服務器不是必要的，節(jié)省成本，并便于集中管理。6.3.5IPv6路由協(xié)議IPv4初期對IP地址規(guī)劃的不合理，使得網(wǎng)絡變得非常復雜，路由表條目繁多。盡管通過劃分子網(wǎng)以及路由聚集一定程度上緩解了這個問題，但這個問題依舊存在。因此IPv6設計之初就把地址從用戶擁有改成運營商擁有，并在此基礎上，路由策略發(fā)生了一些變化，加之IPv6地址長度發(fā)生了變化，因此路由協(xié)議發(fā)生了相應的改變。與IPv4相同，IPv6路由協(xié)議同樣分成內(nèi)部網(wǎng)關(guān)協(xié)議（IGP）與外部網(wǎng)關(guān)協(xié)議（EGP），其中IGP包括由RIP變化而來的RIPng，由OSPF變化而來的OSPFv3，以及IS-IS協(xié)議變化而來的IS-ISv6。EGP則主要是由BGP變化而來的BGP4+。（1）RIPng。下一代RIP協(xié)議（RIPng）是對原來的RIPv2的擴展。大多數(shù)RIP的概念都可以用于RIPng。為了在IPv6網(wǎng)絡中應用，RIPng對原有的RIP協(xié)議進行了修改：UDP端口號：使用UDP的521端口發(fā)送和接收路由信息。組播地址：使用FF02::9作為鏈路本地范圍內(nèi)的RIPng路由器組播地址。路由前綴：使用128位的IPv6地址作為路由前綴。下一跳地址：使用128位的IPv6地址。（2）OSPFv3。RFC2740定義了OSPFv3，用于支持IPv6。OSPFv3與OSPFv2的主要區(qū)別如下：①修改了LSA的種類和格式，使其支持發(fā)布IPv6路由信息。②修改了部分協(xié)議流程，主要的修改包括用Router-lD來標識鄰居路由器，使用鏈路本地地址來發(fā)現(xiàn)鄰居路由器等，使得網(wǎng)絡拓撲本身獨立于網(wǎng)絡協(xié)議，以便將來擴展。③進一步理順了拓撲與路由的關(guān)系。OSPFv3在LSA中將拓撲與路由信息分離，一、二類LSA中不再攜帶路由信息，而只有單純的拓撲描述信息；另外增加了八、九類LSA，結(jié)合原有的三、五、七類LSA來發(fā)布路由前綴信息。④增強了協(xié)議適應性。通過引入LSA擴散范圍的概念進一步明確了對未知LSA的處理流程，使得協(xié)議可以在不識別LSA的情況下根據(jù)需要做出恰當處理，增強了協(xié)議的可擴展性。6.3.5IPv6路由協(xié)議（3）BGP4+。傳統(tǒng)的BGP4只能管理IPv4的路由信息，對于使用其他網(wǎng)絡層協(xié)議（如IPv6等）的應用，在跨自治系統(tǒng)傳播時會受到一定的限制。為了提供對多種網(wǎng)絡層協(xié)議的支持，IETF發(fā)布的RFC2858文檔對BGP4進行了多協(xié)議擴展，形成了BGP4+。為了實現(xiàn)對IPv6協(xié)議的支持，BGP4+必須將IPv6網(wǎng)絡層協(xié)議的信息反映到NLRl（NetworkLayerReachableInformation）及下一跳（NextHop）屬性中。為此，在BGP4+中引入了下面兩個NLRI屬性。MP_REACH_NLRI：多協(xié)議可到達NLRI，用于發(fā)布可到達路由及下一跳信息。MP_UNREACH_NLRI：多協(xié)議不可達NLRI，用于撤銷不可達路由。BGP4+中的NextHop屬性用IPv6地址來表示，可以是IPv6全球單播地址或者下一跳的鏈路本地地址。BGP4原有的消息機制和路由機制沒有改變。（4）ICMPv6協(xié)議。ICMPv6協(xié)議用于報告IPv6節(jié)點在數(shù)據(jù)包處理過程中出現(xiàn)的錯誤消息，并實現(xiàn)簡單的網(wǎng)絡診斷功能。ICMPv6新增加的鄰居發(fā)現(xiàn)功能代替了ARP協(xié)議的功能，所以在IPv6體系結(jié)構(gòu)中已經(jīng)沒有ARP協(xié)議了。除了支持IPv6地址格式之外，ICMPv6還為支持IPv6中的路由優(yōu)化、IP組播、移動IP等增加了一些新的報文類型。與IPv4相比，IPv6具有以下幾個優(yōu)勢：（1）IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32，最大地址個數(shù)為2^32；而IPv6中IP地址的長度為128，即最大地址個數(shù)為2^128。與32位地址空間相比，其地址空間增加了2^128-2^32個。（2）IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類（Aggregation）的原則，這使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。6.3.5IPv6路由協(xié)議（3）IPv6增加了增強的組播（Multicast）支持以及對流的控制（FlowControl），這使得網(wǎng)絡上的多媒體應用有了長足發(fā)展的機會，為服務質(zhì)量（QoS，QualityofService）控制提供了良好的網(wǎng)絡平臺。（4）IPv6加入了對自動配置（AutoConfiguration）的支持。這是對DHCP協(xié)議的改進和擴展，使得網(wǎng)絡（尤其是局域網(wǎng)）的管理更加方便和快捷。（5）IPv6具有更高的安全性。在使用IPv6網(wǎng)絡中用戶可以對網(wǎng)絡層的數(shù)據(jù)進行加密并對IP報文進行校驗，在IPV6中的加密與鑒別選項提供了分組的保密性與完整性。極大的增強了網(wǎng)絡的安全性。（6）允許擴充。如果新的技術(shù)或應用需要時，IPV6允許協(xié)議進行擴充。（7）更好的頭部格式。IPV6使用新的頭部格式，其選項與基本頭部分開，如果需要，可將選項插入到基本頭部與上層數(shù)據(jù)之間。這就簡化和加速了路由選擇過程，因為大多數(shù)的選項不需要由路由選擇。（8）新的選項。IPV6有一些新的選項來實現(xiàn)附加的功能。6.3.6IPv6地址生成為了通過IPv6網(wǎng)絡進行通信，各端口必須獲取有效的IPv6地址，以下三種方式可以用來配置IPv6地址的端口ID：網(wǎng)絡管理員手動配置；通過系統(tǒng)軟件生成；采用擴展唯一標識符（EUI-64）格式生成。就實用性而言，EUI-64格式是IPv6生成端口ID的最常用方式，如圖6.46所示，IEEEEUI-64標準采用端口的MAC地址生成IPv6端口ID。MAC地址只有48位，而端口ID卻要求64位。MAC地址的前24位代表廠商ID，后24位代表制造商分配的唯一擴展標識。MAC地址的第七高位是一個U/L位，值為1時表示MAC地址全局唯一，值為0時表示MAC地址本地唯一。在MAC地址向EUI-64格式的轉(zhuǎn)換過程中，在MAC地址的前24位和后24位之間插入了16比特的FFFE，并將U/L位的值從0變成了1，這樣就生成了一個64比特的端口ID，且端口ID的值全局唯一。端口ID和端口前綴一起組成端口地址。任務實施6.3.7RIPng配置RIPng是為IPv6網(wǎng)絡設計的下一代距離矢量路由協(xié)議。與早期的IPv4版本的RIP類似，RIPng同樣遵循距離矢量原則。RIPng保留了RIP的多個主要特性，比如，RIPng規(guī)定每一跳的開銷度量值也為1，最大跳數(shù)也為15，RIPng通過UDP的521端口發(fā)送和接收路由信息。RIPng與RIP的最主要區(qū)別在于，RIPng使用了IPv6組播地址ff02::9作為目的地址來傳送路由更新報文，而RIPv2使用的是組播地址。IPv4路由協(xié)議一般采用公網(wǎng)地址或私網(wǎng)地址作為路由條目的下一跳地址，而IPv6路由協(xié)議通常采用鏈路本地地址作為路由條目的下一跳地址。（1）配置RIPng，相關(guān)端口與IP地址配置，如圖6.47所示，進行網(wǎng)絡拓撲連接。路由器AR1和路由器AR2的loopback1端口使用的是全球單播地址。路由器AR1和路由器AR2的物理端口在使用RIPng傳送路由信息時，路由條目的下一跳地址只能是鏈路本地地址。例如，如果路由器AR1收到的路由條目的下一跳地址為2001::2/64，AR1就會認為目的地址為2026::1的網(wǎng)絡地址可達。6.3.8OSPFv3配置（1）配置OSPFv3，相關(guān)端口與IP地址配置，如圖6.51所示，進行網(wǎng)絡拓撲連接。任務6.4配置DHCP服務器任務陳述知識準備6.4.1DHCP概述6.4.2DHCPv6概述任務實施6.4.3DHCP配置6.4.4DHCPv6配置任務6.4配置DHCP服務器任務陳述小李是公司的網(wǎng)絡工程師，隨著公司業(yè)務的不斷發(fā)展，公司的業(yè)務越來越離不開網(wǎng)絡，公司新設了不同的部門，同時公司的人員也越來越多，為了方便管理與使用，公司決定使用DHCP服務器來為公司的員工自動分配網(wǎng)絡IP地址，做為公司的網(wǎng)絡工程師，小李根據(jù)公司的要求制定了一份合理的網(wǎng)絡實施方案，那么他將如何完成網(wǎng)絡設備的相應配置呢？任務6.4配置DHCP服務器知識準備6.4.1DHCP概述DHCP(DynamicHostConfigurationProtocol)動態(tài)主機配置協(xié)議，是一個應用層協(xié)議。當我們將客戶主機IP地址設置為動態(tài)獲取方式時，DHCP服務器就會根據(jù)DHCP協(xié)議給客戶端分配IP，使得客戶機能夠利用這個IP上網(wǎng)。1.DHCP工作原理DHCP使用UDP傳輸協(xié)議，使用67、68端口號，從DHCP客戶端到達DHCP服務器的報文使用目的端口號為67，從DHCP服務器到達DHCP客戶端使用源端口號為68，其工作過程如下，首先客戶機以廣播的形式發(fā)送一個DHCP的Discover報文，用來發(fā)現(xiàn)DHCP服務器；DHCP服務器接受到客戶機發(fā)來的Discover報文之后，就單播一個DHCPOffer報文來回復客戶機，Offer報文包含IP地址和租約信息，客戶機收到服務器發(fā)送的Offer報文之后，以廣播的形式向DHCP服務器發(fā)送Request報文，用來請求服務器將該IP地址分配給它，之所以要廣播發(fā)送是通知其他DHCP服務器，我已經(jīng)接受這個DHCP服務器的信息了，不接受其他DHCP服務器的信息。服務器接受到Request報文后，以單播的形式發(fā)送ACK報文給客戶機，如圖6.55所示。6.4.1DHCP概述1.DHCP工作原理DHCP租期更新：當客戶機的租約期剩下50%時，客戶機會向DHCP服務器單播一個Request報文，請求續(xù)約，服務器接受到Request報文后，會單播Ack報文表示延長續(xù)約期。DHCP重綁定：當客戶機的租約期超過50%而且原先的DHCP服務器并沒有同意客戶機續(xù)約IP地址時，那么當客戶機的租約期只剩下12.5%時，客戶機會向網(wǎng)絡中其他的DHCP服務器發(fā)送Request報文，請求續(xù)約，如果其他服務器有關(guān)于客戶機當前的IP地址信息，則單播一個ACK報文回復客戶器以續(xù)約，如果沒有，則回復一個NAK報文。此時，客戶機會申請重新綁定IP地址。DHCPIP地址的釋放：當客戶機直到租約期滿卻還每收到服務器回復時，會停止使用該IP地址。當客戶機租約期未滿卻不想使用服務器提供的IP地址時，會發(fā)送一個release報文，告知服務器清楚相關(guān)的租約信息，釋放該IP。6.4.1DHCP概述2.DHCP報文字段類型（1）DHCPDiscoverDHCP客戶端請求地址時，并不知道DHCP服務器的位置，因此DHCP客戶端會在本地網(wǎng)絡內(nèi)以廣播方式發(fā)送請求報文，這個報文成為Discover報文，目的是發(fā)現(xiàn)網(wǎng)絡中的DHCP服務器，所有收到Discover報文的DHCP服務器都會發(fā)送回應報文，DHCP客戶端據(jù)此就可以知道網(wǎng)絡中存在的DHCP服務器的位置。（2）DHCPOfferDHCP服務器收到Discover報文后，就會在所配置的地址池中查找一個合適的IP地址，加上相應的租約期限和其他配置信息（網(wǎng)關(guān)，DNS服務器等），構(gòu)造一個Offer報文，發(fā)送給客戶，告知用戶本服務器可以為其提供IP地址。（只是告訴client可以提供，是預分配，還需要client通過ARP檢測該IP是否重復）（3）DHCPR