1、IPv6介绍,IP网络取得了巨大的成功,Internet成功的背后:所有服务都运行在IP上;IP运行在所有的网络上;IP网络成功的基础:可靠的体系结构;技术的演进 Internet每年翻一番给网络基础设施制造了压力同时也创造了巨大的就业机会,网络发展的趋势,目前的计算机网将与电视网(含有线电视网)、电信网合而为一,并且合并的方向是传输、接收和处理全部实现数字化。使用IP网络同时传输语音、视频、数据等各种信息,必须具有很宽的网络带宽、较好的QoS和统一的信息表示方式。,IPv4的技术缺陷,地址危机,IPv4地址的位数是32位个人电脑的普及和互联网的迅速发展,导致IP的需要量剧增大量的移动设备和家
2、电设备上网的趋势使目前的形势更加严峻手机上网、冰箱上网、汽车上网IP地址出现紧缺趋势,目前的IP地址只能支撑10年,IPv4 地址使用的估计,优点:可以减少IP地址的消耗,并带来一定的安全性。缺点:a.单向性,破坏了IP的端到端模式。b.降低了网络性能,增加了网络的时延,在网络很大的时候,会成为通信的瓶颈。c.一旦NAT网关遭受攻击,整个网络就会瘫痪,增加了安全风险。d.两个使用NAT的内部网络合并时需要重新编址。e.当一个网络中存在多个NAT设备时,这些设备的同步和协调变得非常困难。,目前的解决办法:NAT网络地址转换,路由表的膨胀,IP地址中A类已经分配完毕,B类也已经差不多了,剩下的C类
3、地址已经成为大家瓜分的目标。C类地址:超过2百万个,主机数量不超过255个 骨干网络路由器必须存储到达整个网络所有各个子网的路由信息。随着Internet网络用户的增长,需要使用大量的C类地址,造成路由表庞大,使路由器的性能降低。,安全性的不足,Internet开始设计是基于研究和开发的目的,没有将安全性作为重点。IPv4只具备最少的安全性选项,这些选项还通常被路由器所忽略。应用程序通过本身的私有性和认证性操作机制完成安全性操作。基于Internet的攻击和欺骗与日俱增,造成的损失越来越大。,IP地址的配置复杂,Internet设计时,连接的计算机是静态的,IP地址极少改变。随着工作和计算机对
4、于移动性要求的与日俱增,需要简化IP地址的配置,支持IP地址的自动分配。,IP协议的性能有待提高,IPv4协议头部复杂,有些项可以删掉。关于选项的设计不合理,通常被路由器忽略。,IPv6新特性,1.使用128位的地址空间,可支持多达 340,282,366,920,938,463,374,607,431,768,211,456个地址。2.采用分层地址编码。3.采用64位对齐的简化头部格式。4.支持网络结构的扩展性。5.支持自动地址配置(即插即用)。6.数据多播功能支持。,IPv6新特性,7.骨干网络层更有效路由汇聚。8.支持QoS和资源预留,可以用来 保证实时的数据传输(使用流标记和优先级)8
5、.ICMP协议改进,与旧的ICMPv4不兼容。9.安全性。,IPv6头部格式,IPv4头部,IPv6头部特征,1.IPv6头部不包含选项。2.删去了头部校验和。3.去掉了分段标志和偏移,使用path MTU discovery算法。(Maximum Transmission Unit)4.去掉了业务类型字段,增加了流标志和优先级字段,以支持实时业务和QoS。,IPv4地址和IPv6兼容,在IPv4地址的前面加0;简写形式=:a.b.c.d;,IPSec,IP包本身并不继承任何安全特性,我们可以很容易地伪造IP包的地址、修改其内容。IPSEC 提供了一种标准的、健壮的以及包容广泛的机制,可用它为
6、IP及上层(如TCP、UDP)提供安全保证;在IPv6下,IPSEC是强制实施的;它定义了一套默认的算法,以确保不同的实施方案相互间可以共通,它是独立于算法本身的;,IPSec提供的具体保护形式,数据起源地验证数据的完整性验证数据内容的机密性验证(是否被别人看过)抗重播保护有限的数据流机密性保证,IETF NGTrans 工作组;定义从IPv4网络向IPv6网络过渡的过程;定义和指定厂商在实现IPv6转换的主机、路由器以及其它Internet部件时所使用的机制,这些机制是必须或者是可选的;Http:/www.ietf.org/html.charters/ngtrans-charter.html
7、,IPv4向IPv6的过渡,IPv4向IPv6的过渡过程,IPv4-IPv6 Transition Scenarios,All IPv4,All IPv6,IPv6 Islands,IPv4 Islands,IPv4/IPv6 mixed,IPv4向IPv6的过渡主机的角度,IPv4,TCP/UDP,IPv4 APs,IPv4,TCP/UDP,IPv4 APs,IPv6,IPv4,TCP/UDP,IPv4/IPv6 APs,IPv6,IPv4,TCP/UDP,IPv4 APs,IPv6,IPv6 APs,IPv4/IPv6 APs,TCP/UDP,IPv6 APs,IPv6,IPv4向IPv6
8、的过渡网络的角度,双协议栈隧道技术,双协议栈,双协议栈是指在节点中同时具有IPv4和IPv6两个协议栈,这样,它既可以收发IPv4的分组,也可以收发IPv6的分组;,双协议栈,隧道技术,隧道技术是指在IPv6发展的初期,通过IPv4隧道连接IPv6子网,将IPv6的分组封装在IPv4的分组中,封装后的IPv4分组通过IPv4的路由体系传输;,隧道技术,过渡的代价,IPv4,IPv6组网,规划网络地址和拓扑申请地址空间和接入点配置主机和路由节点,IPv6的应用问题,大多数应用协议需要进行升级 FTP,SMTP,Telnet,Rlogin 需要对下列标准进行修改全部51个Internet标准中27
9、个20个草案中的6个130个标准建议中的25个,国内外的研究,IPv6在全球的发展呈现出不均衡的状况。国外目前的研究,实用化发展。领先的主要是欧洲、日本、韩国和美国。日本做的最好其他国家的发展情况韩国,欧盟政府支持美国不积极,因为美国分到了很多的IPV4地址。,国外的IPv6研究,日本政府Sep 2000开始支持 韩国政府Feb 2001开始支持欧盟April 2001开始支持,日本,在IPv6方面,全球最引人注目的地方是日本。IPv6研究和应用方面,步伐大、速度快,而且在IPv6产品化、商业化推广方面可以说是走在了世界的最前列。日本政府投入专项资金来发展IPv6。日本于1999年12月开始提
10、供IPv6试验服务,2001年4月开始提供IPv6商用服务。NTT communications、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务,日本全国利用IPv6的环境正日益完善。,日本的IPv6计划,2002-2003年:处于初始时期,此时网络设备、操作系统和应用软件等产品将逐渐能够在高速条件下支持IPv6;2004年到2006年:大量系统将与IPv6兼容,使IPv6普遍流行开来;自2007年起:IPv6将进入全面发展阶段,IPv6的交易量将大幅增长;,韩国的IPv6的演进进程,分为四个阶段第一阶段(2001年以前),建立IPv6试验网
11、,开展验证、运行和宣传工作;第二阶段(20022005年),建立IPv6岛,与现有IPv4大网互通,在IMT-2000上提供IPv6服务;第三阶段(20062010年),建立IPv6大网,原IPv4大网退化为IPv4岛,与IPv6大网互通,提供有线和无线的IPv6商用服务;第四阶段(2011年以后),演变成一个单一的IPv6网,第一阶段(2002年内):成立IPv6推动工作小组,成立IPv6 Forum台湾;第二阶段(20032005年):开发向IPv6的过渡技术及开发本地IPv6网络环境;第三阶段(20062007年):以IPv6取代IPv4,全面完成IPv6网络;,台湾IPv6计划,IPv
12、6 Forum Taiwan 組織架構,欧洲,欧洲在互联网方面落后于美国,但在移动通信方面却领先于美国,所以欧洲发展IPv6的基本战略是“先移动,后固定”,希望在IPv6方面掌握先机。欧洲目前已经建立了Euro6IX和6NET等IPv6试验网络,进行有关IPv6的推广和部署准备,欧洲各大厂商也都加快了IPv6开发和产品化进程,各种试验项目正逐步成熟。,美国,美国是IPv4的发源地,无论在地址资源和商业应用方面都占据了先天的优势,因此,目前既没有地址短缺的忧虑,又很不愿意改动花费大量资金构建的IPv4商业网络体系,所以,美国目前主要是以世界IPv6研究、协调中心的面目出现的。研究和开发IPv6的
13、主要组织如IETF、6Bone等都设在美国。但美国在IPv6的商业化推广方面的力度没有欧洲和日本大。当然,美国不会情愿失去在互联网领域的主导地位和市场优势,所以,现在美国对待IPv6的态度已经有所变化。各主要厂商也出于商业利益的考虑开始支持IPv6,已经或者准备推出支持IPv6的试验性产品。,国外的研究项目,国外:6boneWide。大规模的实用化的试验。有很多的相关项目。全球定位。出租车的实验远程教学,使用IPv6传播视频,与缅甸政府合作。,国内的研究,国内目前的研究 CERNET 做的最好学生试验床其他方面发展情况移动设备的厂商开始投入(nokia)商业试验床电信厂商,CERNET试验床的
14、主干网结构,诺基亚-中国教育和科研网下一代互联网技术研究计划,-第一步,用隧道方式把10所大学连接成IPv6网。-第二步,在北京地区三所大学(清华大学,北京大学,北京邮电大学)内建立纯IPv6网-第三步,在10所大学建立全国性的纯IPv6网,并对 IPv6的高级特性进行研究,如QOS,移动IP等。不断升 级新软件和新环境,如WLAN sub-network。举办中国 IPv6高级研讨会。,清华大学全国网络中心,北京,北京大学华北区中心,北京,东北大学东北区中心,沈阳,北京邮电大学华北区中心,北京,上海交通大学华东区中心,上海,东南大学东南区中心,南京,华南理工大学华南区中心,广州,电子科技大学
15、西南区中心,成都,西安交通大学西北区中心,西安,诺基亚-中国教育和科研网合作建设下一代互联网,诺基亚中国研发中心北京,华中理工大学华中区中心,武汉,试验网示意图,IPv6产品,国内外领先的IPv6设备厂商 Cisco、Juniper、诺基亚、日立、NEC、6WIND、佳讯飞鸿等多家Check Point FireWall-1 支持IPv6,成为首先支持IPv6的安全厂商,使客户可以安全过渡到IPv6 Cisco全线产品将支持IPv6 Cisco公司宣布将使运行CiscoISO操作系统软件的所有产品支持IPv6,IPv6的平台支持,Windows Linux BSD家族 商用UNIX MAC O
16、S,Windows平台,Windows毕竟是最流行的操作系统,可是Windows下IPv6的实现确实是有限的很;微软研究院已经发布了一个IPv6在Windows NT及2000下的实现(v1.4),而且还公布了源代码;日立在98年就开始免费发布基于Windows的IPv6实现,有意思的是它可让基于v4的应用程序访问v6的网络.好像只支持NT系列;,其它平台,Linux内核从2.2.X之后开始正式支持IPv6.由于Linux系统的开放性,Linux系统上IPv6的支持做的很好.FreeBSD,NetBSD和OpenBSD都已有了IPv6的支持.MacOS也有IPv6的支持,IPv6的应用支持,A
17、pache已经支持IPv6了路由器很早就开始支持IPv6 3COM公司的NETBuilderII和PathBuilder S500路由器cisco公司Hitachi的NR60路由器Nokia公司的IP400路由器Sunmitomo Electric的Suminet 3700系列路由器基于IPv6的网络游戏 客户端和服务端的应用 sendmail、lynx、ftp、ftpd,IPv6/IPSec下的安全考虑,可以防止局域网内部的sniffer监听问题。IPSec可以在一定程度上解决欺骗攻击,这是因为IPSec的通道模式可以对整个IP包,包括IP头部进行保护。,IPv6/IPSec下的安全考虑,I
18、PSec无法完全解决目前广泛存在的DOS攻击(拒绝服务攻击),更无法有效的防止DDoS攻击(分布式拒绝服务攻击)。IPSec无法有效防止针对协议本身的攻击,如SYN flood攻击。IPSec也无法解决口令攻击,也无法防止利用缓冲区溢出进行的攻击。,IPv6下主要的安全产品的变化,防火墙IDS安全产品的通信和互动,1.防火墙的设计,由于IPv6相对Ipv4在数据报头上有了很大的变动,所以原来的防火墙产品在IPv6网络上并不能直接使用,必须有一些变动。针对Ipv6的Socket套接口函数已经在RFC2133(Basic Socket Interface Extensions for IPv6)中
19、定义,以前的应用程序都必须参考该新的API做相应的改动。,2.IDS的设计,首先,IDS产品同防火墙一样,其程序在IPv6下不能直接运行,还要做相应的修改。其次,IDS的工作原理实际上是一个监听器,如果使用端到端的加密,则IDS无法工作。,3.安全产品的通信和互动,各安全产品之间的通信和互动会比较困难。这是因为他们之间传输的数据都经过了加密。而且加密所使用的算法也不尽相同,这将使目前安全产品难以沟通的现状更加恶化,况且加密技术在流通上还有这样那样的限制。,参考网址,1.IETFhttp:/www.ietf.org/2.6BONEhttp:/Forumhttp:/IPV6试验床http:/,谢谢大家!,
