IPv6概述課件完整

安全集成工程師培訓(xùn)IPv6概述本節(jié)目標(biāo)CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都對(duì)IPv6有初步了解IPv6誕生的背景和解決的問(wèn)題IPv6的地址和地址類型IPv6的過(guò)渡技術(shù)和部署本節(jié)結(jié)構(gòu)CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6的應(yīng)用與研究為什么要使用和研究IPv6？IPv4的不足地址危機(jī)QoS和性能問(wèn)題配置復(fù)雜移動(dòng)性支持不夠安全問(wèn)題骨干路由表膨脹CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都針對(duì)地址危機(jī)臨時(shí)的解決方法CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都CIDR一定程度能節(jié)省IPv4地址空間的使用不能解決IPv4地址短缺NAT能緩解IPv4地址短缺的問(wèn)題一些端到端的應(yīng)用，如VoIP會(huì)出問(wèn)題實(shí)現(xiàn)復(fù)雜，性能下降DHCP通過(guò)釋放一段時(shí)間不用的IP，能部分緩解IPv4地址短缺不能解決IPv4的地址短缺IPv6特點(diǎn)CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都更大的地址空間更高效的路由基礎(chǔ)更好的安全型移動(dòng)性更好的QoSIPv4和IPv6的包頭比較-1IPv4的包頭可變長(zhǎng)度版本首部長(zhǎng)度服務(wù)類型總長(zhǎng)度標(biāo)識(shí)符標(biāo)志段偏移量TTL協(xié)議首部校驗(yàn)和源地址目標(biāo)地址可選項(xiàng)填充數(shù)據(jù)20字節(jié)32bitCISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv4和IPv6的包頭比較-2版本流量類型流標(biāo)簽載荷長(zhǎng)度 下一報(bào)文首部跳數(shù)限制目標(biāo)地址報(bào)文首部擴(kuò)展首部信息40字節(jié)擴(kuò)展報(bào)頭數(shù)據(jù)32

bits指出擴(kuò)展頭的位置相當(dāng)于IPv4中的TOS字段，規(guī)定使用的服務(wù)類長(zhǎng)型度為20位，用于標(biāo)識(shí)同一業(yè)務(wù)流源和目的的一個(gè)業(yè)務(wù)流數(shù)據(jù)采用相同的轉(zhuǎn)發(fā)行為，來(lái)提高轉(zhuǎn)發(fā)效率的數(shù)據(jù)。中間轉(zhuǎn)源發(fā)地路址由器對(duì)于同一類似于IPv4中的TTL，但是跳數(shù)的上限由上層協(xié)議來(lái)規(guī)定CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv4和IPv6的包頭比較-3版本流量類型流標(biāo)簽載荷長(zhǎng)度下一報(bào)文首部跳數(shù)限制源地址目標(biāo)地址報(bào)文首部擴(kuò)展首部信息數(shù)據(jù)數(shù)據(jù)填充可選項(xiàng)目標(biāo)地址源地址協(xié)議TTL標(biāo)志標(biāo)識(shí)符總長(zhǎng)度段偏移量首部校驗(yàn)和服務(wù)類型首部長(zhǎng)度版本V6V首6首部部中中沒(méi)沒(méi)有有首用部于分段和重組的長(zhǎng)字度段字。段V，6的因分為段v6與重組只發(fā)生在的源首端部和是目固的定V端6長(zhǎng)的，度I中P地間址結(jié)變點(diǎn)不再進(jìn)行分段和重成組1。28V位6的分段和重組用的字段位于擴(kuò)展報(bào)頭。V6首部中沒(méi)有校驗(yàn)

在擴(kuò)展和在首，擴(kuò)部校展中驗(yàn)首還依部包靠中含上標(biāo)加層識(shí)密和身份驗(yàn)完上證成層的協(xié)字議段CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6巨大的地址空間CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都128位的地址空間340,282,366,920,938,463,463,374,607,431,768,211,456個(gè)地址!IPV6地址由8個(gè)16進(jìn)制字段構(gòu)成例如：CDCD:910A:2222:5498:8475:1111:3900:20201030:0:0:0:C9B4:FF12:48AA:1A2B2000:0:0:0:0:0:0:1更高效的路由基礎(chǔ)-1CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都在分配之初就考慮到骨干網(wǎng)匯總的問(wèn)題，分配IPv6地址的時(shí)候，接入骨干網(wǎng)的ISP的地址空間是連續(xù)的更高效的路由基礎(chǔ)-2中間轉(zhuǎn)發(fā)的路由器不再作分片和重組的工作采用路徑MTU發(fā)現(xiàn)機(jī)制，整個(gè)鏈路使用最小MTU發(fā)送數(shù)據(jù)MTU=1500MTU=1500MTU=1400MTU=1300發(fā)送MTU=1500的包發(fā)送ICMP出錯(cuò)報(bào)文只能傳輸MTU=1400的包發(fā)送MTU=1400的包發(fā)送ICMP出錯(cuò)報(bào)文發(fā)送MTU=1300的包CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都更高效的路由基礎(chǔ)-3CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都不再使用IPv4中的選項(xiàng)，改為擴(kuò)展首部只有在必要的時(shí)候路由器才處理擴(kuò)展首部，而大部分的中間結(jié)點(diǎn)不需要檢查和處理IPv6的包頭定長(zhǎng)，容易硬件實(shí)現(xiàn)路由功能IPv6的首部字段減少，路由器的處理更加高效IPv6的安全性CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都對(duì)于IPv4設(shè)備來(lái)說(shuō)，IPsec是可選項(xiàng)IPsec在IPv6的設(shè)備中是必備的IPv6通過(guò)擴(kuò)展包頭來(lái)實(shí)現(xiàn)IPsecIPv6的移動(dòng)性和QoSCISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv4設(shè)計(jì)時(shí)并未考慮移動(dòng)IPv6設(shè)計(jì)時(shí)就考慮到對(duì)移動(dòng)特性的支持IPv6引入“流”的概念提供對(duì)QoS的內(nèi)置支持流CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都流（flow)從一個(gè)特定源發(fā)向一個(gè)特定(單播或者是組播)目的地的包序列，源點(diǎn)希望中間路由器對(duì)這些包進(jìn)行特殊處理IPv6利用流類別、流標(biāo)簽實(shí)現(xiàn)了強(qiáng)大的QoSIPv6的地址CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6的地址表示IPv6的單播地址IPv6的組播地址IPv6的任播地址IPv6的接口標(biāo)志IPv6的地址表示將每段轉(zhuǎn)換為十六進(jìn)制數(shù)，并用冒號(hào)隔開(kāi)2001:0410:0000:0001:0000:0000:0000:45ff壓縮表示::表示多個(gè)連續(xù)的02001:410:0:1::45ff這就是RFC2373中定義的首選格式去掉不必要的02001:410:0:1:0:0:0:4::5在f整f個(gè)地址中只能出現(xiàn)一次！CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6單播地址CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都全局單播地址鏈路本地地址站點(diǎn)本地地址特殊IPv6地址兼容性地址IPv6的全局單播地址相當(dāng)于IPv4的公網(wǎng)IP首部3位00145位Global

Routing

Prefix可以反映全球ISP的層次結(jié)構(gòu)TLAID頂級(jí)匯聚標(biāo)識(shí)符Res為未來(lái)擴(kuò)展TLAID或NLAID的長(zhǎng)度而保留的位NLAID下一級(jí)匯聚標(biāo)識(shí)符SLA

ID站點(diǎn)匯聚標(biāo)識(shí)符接口標(biāo)識(shí)位64位CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6地址分配機(jī)構(gòu)亞太地區(qū)的APNIC()目前由IANA負(fù)責(zé)進(jìn)行IPv6地址的分配，主要由三個(gè)地方組織來(lái)執(zhí)行:歐洲地區(qū)的RIPE-NCC()北美地區(qū)的INTERNIC()分配的是哪一部分?CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都鏈路本地地址IPv6中沒(méi)有了廣播，IPv4中的ARP在IPv6中不能工作，“鄰居發(fā)現(xiàn)”是IPv6中和CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都每個(gè)設(shè)備的接口IP在v4的啟AR動(dòng)P對(duì)I應(yīng)P的v尋6址的機(jī)制時(shí)候會(huì)自動(dòng)配置一個(gè)鏈路本地地址IPv6的“鄰居發(fā)現(xiàn)”機(jī)制要用到IPv6的鏈路本地地址鏈路本地地址以“FE80”開(kāi)頭Interface

ID是通過(guò)EUI－64自動(dòng)生成路由器絕不會(huì)轉(zhuǎn)發(fā)鏈路本地地址站點(diǎn)本地地址相當(dāng)于IPv4中的私網(wǎng)地址不會(huì)路由到公網(wǎng)上前綴為FEC0::/10用于打印機(jī),交換機(jī)的管理地址等在IPv6大規(guī)模實(shí)現(xiàn)時(shí),站點(diǎn)本地地址將不復(fù)使用CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都特殊IPv6地址和兼容地址CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都特殊IPv6地址未指定地址

0:0:0:0:0:0:0:0

或

:: 相當(dāng)于IPv4的環(huán)回地址（0:0:0:0:0:0:0:1

或 ::1）標(biāo)識(shí)一個(gè)環(huán)回接口 ,相當(dāng)于IPv4的兼容地址與

IPv4 兼容的地址，0:0:0:0:0:0:w.x.y.z

或::w.x.y.zIPv4 映射地址，0:0:0:0:0:FFFF:w.x.y.z

或::FFFF:w.x.y.z6to4 地址用于IPv4的網(wǎng)絡(luò)上傳送IPv6的包其它CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6組播地址-1組播的特點(diǎn)任何節(jié)點(diǎn)能夠是一個(gè)組播組的成員。一個(gè)源節(jié)點(diǎn)可以發(fā)送數(shù)據(jù)包到組播組組播組的所有成員收到發(fā)往該組的數(shù)據(jù)包組播地址在IPv6包中不能用作源地址或出現(xiàn)在任何選路頭中A、B、C在一個(gè)組播組中，

A發(fā)組播包，誰(shuí)會(huì)接收？DCA

BIPv6組播地址-2IPv6中的組播地址結(jié)構(gòu)，其最高位前8位為1Flags字段四位，目前只用了最后一位，此位為0，則是一個(gè)永久組播地址，1是臨時(shí)組播地址范圍（scope

）0：預(yù)留

； 1：節(jié)點(diǎn)本地范圍；5：本地站點(diǎn)范圍；E：全球范圍；2：本地鏈路范圍8：組織本地范圍

F：預(yù)留。CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都節(jié)點(diǎn)本地、鏈路本地和站點(diǎn)本地CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6的任播地址CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都任播地址是IPv6特有的地址類型，它用來(lái)標(biāo)識(shí)一組網(wǎng)絡(luò)接口路由器會(huì)將目標(biāo)地址是任播地址的數(shù)據(jù)包發(fā)送給距離本路由器最近的一個(gè)網(wǎng)絡(luò)接口(一對(duì)一組中的一個(gè))任播地址不能用作IPv6包的源地址如果一個(gè)全局單播地址被指定給多于一個(gè)接口，那么該地址就成為了任播地址源節(jié)點(diǎn)不需要關(guān)心如何選擇最近的任播節(jié)點(diǎn)，這個(gè)工作由路由系統(tǒng)完成當(dāng)路由發(fā)生變化時(shí)，發(fā)往同一個(gè)任播地址的包可能會(huì)被發(fā)往不同的任播節(jié)點(diǎn)目前，任播地址不能指定給IPv6主機(jī)，只能指定給

IPv6路由器對(duì)比和總結(jié)項(xiàng)

目IPv4IPv6Broadcast廣播在同一個(gè)廣播域中的所有主機(jī)都會(huì)受到影響,或者給于回復(fù);可能使得整個(gè)局域網(wǎng)癱瘓(廣播風(fēng)暴)沒(méi)有廣播類型，IPv4中的廣播功能在IPv6中被組播取代Multicast多播（組播）有效利用了網(wǎng)絡(luò)的帶寬并且沒(méi)有影響到不需要的主機(jī)有豐富得多的組播類型Unicast單播用于一對(duì)一的通信用于一對(duì)一的通信Anycast泛播沒(méi)有任播類型用于標(biāo)識(shí)一組網(wǎng)絡(luò)接口，目前只用于路由器CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6的接口標(biāo)識(shí)CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都三種方式可以生成IPv6的接口標(biāo)識(shí)由擴(kuò)展唯一標(biāo)識(shí)符EUI-64派生出來(lái)的64位接口標(biāo)識(shí)符隨機(jī)生成的接口標(biāo)識(shí)符隨時(shí)間而更改，以提供一定的隱蔽性在全狀態(tài)地址自動(dòng)配置過(guò)程中分配的接口標(biāo)識(shí)符（IPv6的DHCP）基于EUI的接口標(biāo)識(shí)符-1IEEE

802

地址的結(jié)構(gòu)統(tǒng)一/本地(U/L)個(gè)體/組(I/G)24

bitsccccccug

cccccccc

ccccccccIEEE

administered

company

ID24

bitsxxxxxxxx

xxxxxxxx

xxxxxxxxManufacturer

selected

extensionID這不是MAC地址嗎？CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都基于EUI的接口標(biāo)識(shí)符-2先將MAC一分為二中間填入0xFF

0xFE，得到EUI－64將u/l位取反，最后得到IPv6接口標(biāo)識(shí)符CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都臨時(shí)地址接口標(biāo)識(shí)符CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都臨時(shí)地址接口標(biāo)識(shí)符1.

從存儲(chǔ)中檢索歷史信息值，取適配器的 EUI-64 地址2.

根據(jù)步驟

1 中的兩個(gè)值通過(guò)哈希算法（MD5）計(jì)算出一個(gè)固定的值3.

將步驟

2 中計(jì)算出的

MD5 哈希的最后

64 位保存為歷史信息值，用于下一次接口標(biāo)識(shí)符計(jì)算4.

取出步驟

2 中計(jì)算出的

MD5 哈希的前

64 位，并將第七位設(shè)為 0。第七位對(duì)應(yīng)于

U/L 位，該位設(shè)置為0 時(shí)表示一個(gè)本地管理的

IPv6 接口標(biāo)識(shí)符，得到的結(jié)果就是

IPv6 接口標(biāo)識(shí)符IPv6的DHCP自動(dòng)分配的接口標(biāo)識(shí)符IPv6的發(fā)展進(jìn)程和部署實(shí)施IPv6的發(fā)展進(jìn)程IPv6孤島IPv4InternetIPv6孤島IPv6孤島IPv6孤島IPv6孤島IPv6InternetIPv4Internet協(xié)議轉(zhuǎn)換IPv4孤島IPv4孤島IPv6InternetCISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都過(guò)渡技術(shù)CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都雙協(xié)議棧隧道技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)過(guò)渡技術(shù)：雙協(xié)議棧雙協(xié)議棧的實(shí)現(xiàn)原理：圖中路由器可支持兩種協(xié)議雙協(xié)議棧的應(yīng)用：雙協(xié)議?？梢詫?shí)現(xiàn)IPv4和IPv6流量的各自獨(dú)立通信IPv4

userIPv4

userSi雙協(xié)議棧IPv6網(wǎng)IPv4網(wǎng)雙棧邊界路由器雙棧核心交換機(jī)IPv4/IPv6雙棧網(wǎng)IPv4/IPv6

userCISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都過(guò)渡技術(shù)：隧道技術(shù)隧道技術(shù)隧道可以在IPv6的包穿越IPv4的網(wǎng)絡(luò)之前給IPv6的數(shù)據(jù)包頭再封裝一個(gè)IPv4的頭部隧道技術(shù)原理圖CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都過(guò)渡技術(shù)：地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)IPv6網(wǎng)絡(luò)節(jié)點(diǎn)和IPv4網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)NAT-PT通信IPv4cloudIPv6cloudIPv6

hostNAT-PT網(wǎng)關(guān)IPv4

headerIPv4

dataIPv6

headerCISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6

dataIPv6的配置實(shí)例-1拓?fù)浣Y(jié)構(gòu): 三臺(tái)cisco2621路由器，通過(guò)以太口相連軟件版本：IOS12.2（11）T任務(wù)目標(biāo)：配置純IPv6的網(wǎng)絡(luò)，實(shí)現(xiàn)IPv6的rip路由協(xié)議地址分配：R1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6的配置實(shí)例-2CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都配置中用到的命令Router(config)#ipv6

unicast-routing開(kāi)啟IPv6的流量轉(zhuǎn)發(fā)功能Router(config-if)#ipv6

address

ipv6-address/prefix-length配置接口的IPV6地址Router(config)#

ipv6

router

rip

name啟用路由上ipv6的rip路由協(xié)議Router(config-if)#

ipv6

rip

name

enable在接口上應(yīng)用IPv6的RIP協(xié)議IPv6的配置實(shí)例-3CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都配置中用到的命令Router（

config）#show

ipv6

interfacebrief查看IPv6地址的接口摘要信息Router#show

ipv6

route查看IPv6的路由表IPv6的配置實(shí)例-4R1(config)#interfacef0/0R1(config-if)#ipv6addressFEC0:0:0:1001::1/64R1(config-if)#noshutR1(config-if)#interfaceloopback0R1(config-if)#ipv6address1111:1:1:1111::1/64R1(config-if)#exitR1(config)#ipv6unicast-routingR1(config)#ipv6routerripciscoR1(config)#interfacef0/0R1(config-if)#ipv6ripciscoenableR1(config-if)#interfaceloopback0R1(config-if)#ipv6ripciscoenableR1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程師培訓(xùn)-——中國(guó)·

成都IPv6的配置實(shí)例-5[up/up][up/up]R2#show

ipv6

interface

briefFastEthernet0/0FEC0:0:0:1001::1FastEthernet0/1FEC0:0:0:1002::1R1#ping

fec0:0:0:1002::2Type

escape

sequence

to

abort.Sending5,

100-byte

ICMP

Echosto

FEC0:0:0:1002::2,

timeout

is

2seconds:!!!!!Success

rate

is

100percent

(5/5),round-trip

min/avg/max

=1/2/4

msR2#show

ipv6

routeIPv6

Routing

Table

-

7

entriesCodes:

C

-

Connected,

L

-

Local,

S

-

Static,

R-

RIP,

B-

BGPI1

-

ISIS