IPv6概述課件完整

安全集成工程師培訓IPv6概述本節(jié)目標CISAW安全集成工程師培訓-——中國·

成都對IPv6有初步了解IPv6誕生的背景和解決的問題IPv6的地址和地址類型IPv6的過渡技術和部署本節(jié)結(jié)構CISAW安全集成工程師培訓-——中國·

成都IPv6的應用與研究為什么要使用和研究IPv6？IPv4的不足地址危機QoS和性能問題配置復雜移動性支持不夠安全問題骨干路由表膨脹CISAW安全集成工程師培訓-——中國·

成都針對地址危機臨時的解決方法CISAW安全集成工程師培訓-——中國·

成都CIDR一定程度能節(jié)省IPv4地址空間的使用不能解決IPv4地址短缺NAT能緩解IPv4地址短缺的問題一些端到端的應用，如VoIP會出問題實現(xiàn)復雜，性能下降DHCP通過釋放一段時間不用的IP，能部分緩解IPv4地址短缺不能解決IPv4的地址短缺IPv6特點CISAW安全集成工程師培訓-——中國·

成都更大的地址空間更高效的路由基礎更好的安全型移動性更好的QoSIPv4和IPv6的包頭比較-1IPv4的包頭可變長度版本首部長度服務類型總長度標識符標志段偏移量TTL協(xié)議首部校驗和源地址目標地址可選項填充數(shù)據(jù)20字節(jié)32bitCISAW安全集成工程師培訓-——中國·

成都IPv4和IPv6的包頭比較-2版本流量類型流標簽載荷長度 下一報文首部跳數(shù)限制目標地址報文首部擴展首部信息40字節(jié)擴展報頭數(shù)據(jù)32

bits指出擴展頭的位置相當于IPv4中的TOS字段，規(guī)定使用的服務類長型度為20位，用于標識同一業(yè)務流源和目的的一個業(yè)務流數(shù)據(jù)采用相同的轉(zhuǎn)發(fā)行為，來提高轉(zhuǎn)發(fā)效率的數(shù)據(jù)。中間轉(zhuǎn)源發(fā)地路址由器對于同一類似于IPv4中的TTL，但是跳數(shù)的上限由上層協(xié)議來規(guī)定CISAW安全集成工程師培訓-——中國·

成都IPv4和IPv6的包頭比較-3版本流量類型流標簽載荷長度下一報文首部跳數(shù)限制源地址目標地址報文首部擴展首部信息數(shù)據(jù)數(shù)據(jù)填充可選項目標地址源地址協(xié)議TTL標志標識符總長度段偏移量首部校驗和服務類型首部長度版本V6V首6首部部中中沒沒有有首用部于分段和重組的長字度段字。段V，6的因分為段v6與重組只發(fā)生在的源首端部和是目固的定V端6長的，度I中P地間址結(jié)變點不再進行分段和重成組1。28V位6的分段和重組用的字段位于擴展報頭。V6首部中沒有校驗

在擴展和在首，擴部校展中驗首還依部包靠中含上標加層識密和身份驗完上證成層的協(xié)字議段CISAW安全集成工程師培訓-——中國·

成都IPv6巨大的地址空間CISAW安全集成工程師培訓-——中國·

成都128位的地址空間340,282,366,920,938,463,463,374,607,431,768,211,456個地址!IPV6地址由8個16進制字段構成例如：CDCD:910A:2222:5498:8475:1111:3900:20201030:0:0:0:C9B4:FF12:48AA:1A2B2000:0:0:0:0:0:0:1更高效的路由基礎-1CISAW安全集成工程師培訓-——中國·

成都在分配之初就考慮到骨干網(wǎng)匯總的問題，分配IPv6地址的時候，接入骨干網(wǎng)的ISP的地址空間是連續(xù)的更高效的路由基礎-2中間轉(zhuǎn)發(fā)的路由器不再作分片和重組的工作采用路徑MTU發(fā)現(xiàn)機制，整個鏈路使用最小MTU發(fā)送數(shù)據(jù)MTU=1500MTU=1500MTU=1400MTU=1300發(fā)送MTU=1500的包發(fā)送ICMP出錯報文只能傳輸MTU=1400的包發(fā)送MTU=1400的包發(fā)送ICMP出錯報文發(fā)送MTU=1300的包CISAW安全集成工程師培訓-——中國·

成都更高效的路由基礎-3CISAW安全集成工程師培訓-——中國·

成都不再使用IPv4中的選項，改為擴展首部只有在必要的時候路由器才處理擴展首部，而大部分的中間結(jié)點不需要檢查和處理IPv6的包頭定長，容易硬件實現(xiàn)路由功能IPv6的首部字段減少，路由器的處理更加高效IPv6的安全性CISAW安全集成工程師培訓-——中國·

成都對于IPv4設備來說，IPsec是可選項IPsec在IPv6的設備中是必備的IPv6通過擴展包頭來實現(xiàn)IPsecIPv6的移動性和QoSCISAW安全集成工程師培訓-——中國·

成都IPv4設計時并未考慮移動IPv6設計時就考慮到對移動特性的支持IPv6引入“流”的概念提供對QoS的內(nèi)置支持流CISAW安全集成工程師培訓-——中國·

成都流（flow)從一個特定源發(fā)向一個特定(單播或者是組播)目的地的包序列，源點希望中間路由器對這些包進行特殊處理IPv6利用流類別、流標簽實現(xiàn)了強大的QoSIPv6的地址CISAW安全集成工程師培訓-——中國·

成都IPv6的地址表示IPv6的單播地址IPv6的組播地址IPv6的任播地址IPv6的接口標志IPv6的地址表示將每段轉(zhuǎn)換為十六進制數(shù)，并用冒號隔開2001:0410:0000:0001:0000:0000:0000:45ff壓縮表示::表示多個連續(xù)的02001:410:0:1::45ff這就是RFC2373中定義的首選格式去掉不必要的02001:410:0:1:0:0:0:4::5在f整f個地址中只能出現(xiàn)一次！CISAW安全集成工程師培訓-——中國·

成都IPv6單播地址CISAW安全集成工程師培訓-——中國·

成都全局單播地址鏈路本地地址站點本地地址特殊IPv6地址兼容性地址IPv6的全局單播地址相當于IPv4的公網(wǎng)IP首部3位00145位Global

Routing

Prefix可以反映全球ISP的層次結(jié)構TLAID頂級匯聚標識符Res為未來擴展TLAID或NLAID的長度而保留的位NLAID下一級匯聚標識符SLA

ID站點匯聚標識符接口標識位64位CISAW安全集成工程師培訓-——中國·

成都IPv6地址分配機構亞太地區(qū)的APNIC()目前由IANA負責進行IPv6地址的分配，主要由三個地方組織來執(zhí)行:歐洲地區(qū)的RIPE-NCC()北美地區(qū)的INTERNIC()分配的是哪一部分?CISAW安全集成工程師培訓-——中國·

成都鏈路本地地址IPv6中沒有了廣播，IPv4中的ARP在IPv6中不能工作，“鄰居發(fā)現(xiàn)”是IPv6中和CISAW安全集成工程師培訓-——中國·

成都每個設備的接口IP在v4的啟AR動P對I應P的v尋6址的機制時候會自動配置一個鏈路本地地址IPv6的“鄰居發(fā)現(xiàn)”機制要用到IPv6的鏈路本地地址鏈路本地地址以“FE80”開頭Interface

ID是通過EUI－64自動生成路由器絕不會轉(zhuǎn)發(fā)鏈路本地地址站點本地地址相當于IPv4中的私網(wǎng)地址不會路由到公網(wǎng)上前綴為FEC0::/10用于打印機,交換機的管理地址等在IPv6大規(guī)模實現(xiàn)時,站點本地地址將不復使用CISAW安全集成工程師培訓-——中國·

成都特殊IPv6地址和兼容地址CISAW安全集成工程師培訓-——中國·

成都特殊IPv6地址未指定地址

0:0:0:0:0:0:0:0

或

:: 相當于IPv4的環(huán)回地址（0:0:0:0:0:0:0:1

或 ::1）標識一個環(huán)回接口 ,相當于IPv4的兼容地址與

IPv4 兼容的地址，0:0:0:0:0:0:w.x.y.z

或::w.x.y.zIPv4 映射地址，0:0:0:0:0:FFFF:w.x.y.z

或::FFFF:w.x.y.z6to4 地址用于IPv4的網(wǎng)絡上傳送IPv6的包其它CISAW安全集成工程師培訓-——中國·

成都IPv6組播地址-1組播的特點任何節(jié)點能夠是一個組播組的成員。一個源節(jié)點可以發(fā)送數(shù)據(jù)包到組播組組播組的所有成員收到發(fā)往該組的數(shù)據(jù)包組播地址在IPv6包中不能用作源地址或出現(xiàn)在任何選路頭中A、B、C在一個組播組中，

A發(fā)組播包，誰會接收？DCA

BIPv6組播地址-2IPv6中的組播地址結(jié)構，其最高位前8位為1Flags字段四位，目前只用了最后一位，此位為0，則是一個永久組播地址，1是臨時組播地址范圍（scope

）0：預留

； 1：節(jié)點本地范圍；5：本地站點范圍；E：全球范圍；2：本地鏈路范圍8：組織本地范圍

F：預留。CISAW安全集成工程師培訓-——中國·

成都節(jié)點本地、鏈路本地和站點本地CISAW安全集成工程師培訓-——中國·

成都IPv6的任播地址CISAW安全集成工程師培訓-——中國·

成都任播地址是IPv6特有的地址類型，它用來標識一組網(wǎng)絡接口路由器會將目標地址是任播地址的數(shù)據(jù)包發(fā)送給距離本路由器最近的一個網(wǎng)絡接口(一對一組中的一個)任播地址不能用作IPv6包的源地址如果一個全局單播地址被指定給多于一個接口，那么該地址就成為了任播地址源節(jié)點不需要關心如何選擇最近的任播節(jié)點，這個工作由路由系統(tǒng)完成當路由發(fā)生變化時，發(fā)往同一個任播地址的包可能會被發(fā)往不同的任播節(jié)點目前，任播地址不能指定給IPv6主機，只能指定給

IPv6路由器對比和總結(jié)項

目IPv4IPv6Broadcast廣播在同一個廣播域中的所有主機都會受到影響,或者給于回復;可能使得整個局域網(wǎng)癱瘓(廣播風暴)沒有廣播類型，IPv4中的廣播功能在IPv6中被組播取代Multicast多播（組播）有效利用了網(wǎng)絡的帶寬并且沒有影響到不需要的主機有豐富得多的組播類型Unicast單播用于一對一的通信用于一對一的通信Anycast泛播沒有任播類型用于標識一組網(wǎng)絡接口，目前只用于路由器CISAW安全集成工程師培訓-——中國·

成都IPv6的接口標識CISAW安全集成工程師培訓-——中國·

成都三種方式可以生成IPv6的接口標識由擴展唯一標識符EUI-64派生出來的64位接口標識符隨機生成的接口標識符隨時間而更改，以提供一定的隱蔽性在全狀態(tài)地址自動配置過程中分配的接口標識符（IPv6的DHCP）基于EUI的接口標識符-1IEEE

802

地址的結(jié)構統(tǒng)一/本地(U/L)個體/組(I/G)24

bitsccccccug

cccccccc

ccccccccIEEE

administered

company

ID24

bitsxxxxxxxx

xxxxxxxx

xxxxxxxxManufacturer

selected

extensionID這不是MAC地址嗎？CISAW安全集成工程師培訓-——中國·

成都基于EUI的接口標識符-2先將MAC一分為二中間填入0xFF

0xFE，得到EUI－64將u/l位取反，最后得到IPv6接口標識符CISAW安全集成工程師培訓-——中國·

成都臨時地址接口標識符CISAW安全集成工程師培訓-——中國·

成都臨時地址接口標識符1.

從存儲中檢索歷史信息值，取適配器的 EUI-64 地址2.

根據(jù)步驟

1 中的兩個值通過哈希算法（MD5）計算出一個固定的值3.

將步驟

2 中計算出的

MD5 哈希的最后

64 位保存為歷史信息值，用于下一次接口標識符計算4.

取出步驟

2 中計算出的

MD5 哈希的前

64 位，并將第七位設為 0。第七位對應于

U/L 位，該位設置為0 時表示一個本地管理的

IPv6 接口標識符，得到的結(jié)果就是

IPv6 接口標識符IPv6的DHCP自動分配的接口標識符IPv6的發(fā)展進程和部署實施IPv6的發(fā)展進程IPv6孤島IPv4InternetIPv6孤島IPv6孤島IPv6孤島IPv6孤島IPv6InternetIPv4Internet協(xié)議轉(zhuǎn)換IPv4孤島IPv4孤島IPv6InternetCISAW安全集成工程師培訓-——中國·

成都過渡技術CISAW安全集成工程師培訓-——中國·

成都雙協(xié)議棧隧道技術網(wǎng)絡地址轉(zhuǎn)換技術過渡技術：雙協(xié)議棧雙協(xié)議棧的實現(xiàn)原理：圖中路由器可支持兩種協(xié)議雙協(xié)議棧的應用：雙協(xié)議?？梢詫崿F(xiàn)IPv4和IPv6流量的各自獨立通信IPv4

userIPv4

userSi雙協(xié)議棧IPv6網(wǎng)IPv4網(wǎng)雙棧邊界路由器雙棧核心交換機IPv4/IPv6雙棧網(wǎng)IPv4/IPv6

userCISAW安全集成工程師培訓-——中國·

成都過渡技術：隧道技術隧道技術隧道可以在IPv6的包穿越IPv4的網(wǎng)絡之前給IPv6的數(shù)據(jù)包頭再封裝一個IPv4的頭部隧道技術原理圖CISAW安全集成工程師培訓-——中國·

成都過渡技術：地址轉(zhuǎn)換網(wǎng)絡地址轉(zhuǎn)換技術IPv6網(wǎng)絡節(jié)點和IPv4網(wǎng)絡節(jié)點通過NAT-PT通信IPv4cloudIPv6cloudIPv6

hostNAT-PT網(wǎng)關IPv4

headerIPv4

dataIPv6

headerCISAW安全集成工程師培訓-——中國·

成都IPv6

dataIPv6的配置實例-1拓撲結(jié)構: 三臺cisco2621路由器，通過以太口相連軟件版本：IOS12.2（11）T任務目標：配置純IPv6的網(wǎng)絡，實現(xiàn)IPv6的rip路由協(xié)議地址分配：R1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程師培訓-——中國·

成都IPv6的配置實例-2CISAW安全集成工程師培訓-——中國·

成都配置中用到的命令Router(config)#ipv6

unicast-routing開啟IPv6的流量轉(zhuǎn)發(fā)功能Router(config-if)#ipv6

address

ipv6-address/prefix-length配置接口的IPV6地址Router(config)#

ipv6

router

rip

name啟用路由上ipv6的rip路由協(xié)議Router(config-if)#

ipv6

rip

name

enable在接口上應用IPv6的RIP協(xié)議IPv6的配置實例-3CISAW安全集成工程師培訓-——中國·

成都配置中用到的命令Router（

config）#show

ipv6

interfacebrief查看IPv6地址的接口摘要信息Router#show

ipv6

route查看IPv6的路由表IPv6的配置實例-4R1(config)#interfacef0/0R1(config-if)#ipv6addressFEC0:0:0:1001::1/64R1(config-if)#noshutR1(config-if)#interfaceloopback0R1(config-if)#ipv6address1111:1:1:1111::1/64R1(config-if)#exitR1(config)#ipv6unicast-routingR1(config)#ipv6routerripciscoR1(config)#interfacef0/0R1(config-if)#ipv6ripciscoenableR1(config-if)#interfaceloopback0R1(config-if)#ipv6ripciscoenableR1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程師培訓-——中國·

成都IPv6的配置實例-5[up/up][up/up]R2#show

ipv6

interface

briefFastEthernet0/0FEC0:0:0:1001::1FastEthernet0/1FEC0:0:0:1002::1R1#ping

fec0:0:0:1002::2Type

escape

sequence

to

abort.Sending5,

100-byte

ICMP

Echosto

FEC0:0:0:1002::2,

timeout

is

2seconds:!!!!!Success

rate

is

100percent

(5/5),round-trip

min/avg/max

=1/2/4

msR2#show

ipv6

routeIPv6

Routing

Table

-

7

entriesCodes:

C

-

Connected,

L

-

Local,

S

-

Static,

R-

RIP,

B-

BGPI1

-

ISIS