IPv6概述課件完整

安全集成工程師培訓(xùn)IPv6概述本節(jié)目標(biāo)CISAW安全集成工程師培訓(xùn)-——中國·

成都對IPv6有初步了解IPv6誕生的背景和解決的問題IPv6的地址和地址類型IPv6的過渡技術(shù)和部署本節(jié)結(jié)構(gòu)CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6的應(yīng)用與研究為什么要使用和研究IPv6？IPv4的不足地址危機QoS和性能問題配置復(fù)雜移動性支持不夠安全問題骨干路由表膨脹CISAW安全集成工程師培訓(xùn)-——中國·

成都針對地址危機臨時的解決方法CISAW安全集成工程師培訓(xùn)-——中國·

成都CIDR一定程度能節(jié)省IPv4地址空間的使用不能解決IPv4地址短缺NAT能緩解IPv4地址短缺的問題一些端到端的應(yīng)用，如VoIP會出問題實現(xiàn)復(fù)雜，性能下降DHCP通過釋放一段時間不用的IP，能部分緩解IPv4地址短缺不能解決IPv4的地址短缺IPv6特點CISAW安全集成工程師培訓(xùn)-——中國·

成都更大的地址空間更高效的路由基礎(chǔ)更好的安全型移動性更好的QoSIPv4和IPv6的包頭比較-1IPv4的包頭可變長度版本首部長度服務(wù)類型總長度標(biāo)識符標(biāo)志段偏移量TTL協(xié)議首部校驗和源地址目標(biāo)地址可選項填充數(shù)據(jù)20字節(jié)32bitCISAW安全集成工程師培訓(xùn)-——中國·

成都IPv4和IPv6的包頭比較-2版本流量類型流標(biāo)簽載荷長度 下一報文首部跳數(shù)限制目標(biāo)地址報文首部擴展首部信息40字節(jié)擴展報頭數(shù)據(jù)32

bits指出擴展頭的位置相當(dāng)于IPv4中的TOS字段，規(guī)定使用的服務(wù)類長型度為20位，用于標(biāo)識同一業(yè)務(wù)流源和目的的一個業(yè)務(wù)流數(shù)據(jù)采用相同的轉(zhuǎn)發(fā)行為，來提高轉(zhuǎn)發(fā)效率的數(shù)據(jù)。中間轉(zhuǎn)源發(fā)地路址由器對于同一類似于IPv4中的TTL，但是跳數(shù)的上限由上層協(xié)議來規(guī)定CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv4和IPv6的包頭比較-3版本流量類型流標(biāo)簽載荷長度下一報文首部跳數(shù)限制源地址目標(biāo)地址報文首部擴展首部信息數(shù)據(jù)數(shù)據(jù)填充可選項目標(biāo)地址源地址協(xié)議TTL標(biāo)志標(biāo)識符總長度段偏移量首部校驗和服務(wù)類型首部長度版本V6V首6首部部中中沒沒有有首用部于分段和重組的長字度段字。段V，6的因分為段v6與重組只發(fā)生在的源首端部和是目固的定V端6長的，度I中P地間址結(jié)變點不再進(jìn)行分段和重成組1。28V位6的分段和重組用的字段位于擴展報頭。V6首部中沒有校驗

在擴展和在首，擴部校展中驗首還依部包靠中含上標(biāo)加層識密和身份驗完上證成層的協(xié)字議段CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6巨大的地址空間CISAW安全集成工程師培訓(xùn)-——中國·

成都128位的地址空間340,282,366,920,938,463,463,374,607,431,768,211,456個地址!IPV6地址由8個16進(jìn)制字段構(gòu)成例如：CDCD:910A:2222:5498:8475:1111:3900:20201030:0:0:0:C9B4:FF12:48AA:1A2B2000:0:0:0:0:0:0:1更高效的路由基礎(chǔ)-1CISAW安全集成工程師培訓(xùn)-——中國·

成都在分配之初就考慮到骨干網(wǎng)匯總的問題，分配IPv6地址的時候，接入骨干網(wǎng)的ISP的地址空間是連續(xù)的更高效的路由基礎(chǔ)-2中間轉(zhuǎn)發(fā)的路由器不再作分片和重組的工作采用路徑MTU發(fā)現(xiàn)機制，整個鏈路使用最小MTU發(fā)送數(shù)據(jù)MTU=1500MTU=1500MTU=1400MTU=1300發(fā)送MTU=1500的包發(fā)送ICMP出錯報文只能傳輸MTU=1400的包發(fā)送MTU=1400的包發(fā)送ICMP出錯報文發(fā)送MTU=1300的包CISAW安全集成工程師培訓(xùn)-——中國·

成都更高效的路由基礎(chǔ)-3CISAW安全集成工程師培訓(xùn)-——中國·

成都不再使用IPv4中的選項，改為擴展首部只有在必要的時候路由器才處理擴展首部，而大部分的中間結(jié)點不需要檢查和處理IPv6的包頭定長，容易硬件實現(xiàn)路由功能IPv6的首部字段減少，路由器的處理更加高效IPv6的安全性CISAW安全集成工程師培訓(xùn)-——中國·

成都對于IPv4設(shè)備來說，IPsec是可選項IPsec在IPv6的設(shè)備中是必備的IPv6通過擴展包頭來實現(xiàn)IPsecIPv6的移動性和QoSCISAW安全集成工程師培訓(xùn)-——中國·

成都IPv4設(shè)計時并未考慮移動IPv6設(shè)計時就考慮到對移動特性的支持IPv6引入“流”的概念提供對QoS的內(nèi)置支持流CISAW安全集成工程師培訓(xùn)-——中國·

成都流（flow)從一個特定源發(fā)向一個特定(單播或者是組播)目的地的包序列，源點希望中間路由器對這些包進(jìn)行特殊處理IPv6利用流類別、流標(biāo)簽實現(xiàn)了強大的QoSIPv6的地址CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6的地址表示IPv6的單播地址IPv6的組播地址IPv6的任播地址IPv6的接口標(biāo)志IPv6的地址表示將每段轉(zhuǎn)換為十六進(jìn)制數(shù)，并用冒號隔開2001:0410:0000:0001:0000:0000:0000:45ff壓縮表示::表示多個連續(xù)的02001:410:0:1::45ff這就是RFC2373中定義的首選格式去掉不必要的02001:410:0:1:0:0:0:4::5在f整f個地址中只能出現(xiàn)一次！CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6單播地址CISAW安全集成工程師培訓(xùn)-——中國·

成都全局單播地址鏈路本地地址站點本地地址特殊IPv6地址兼容性地址IPv6的全局單播地址相當(dāng)于IPv4的公網(wǎng)IP首部3位00145位Global

Routing

Prefix可以反映全球ISP的層次結(jié)構(gòu)TLAID頂級匯聚標(biāo)識符Res為未來擴展TLAID或NLAID的長度而保留的位NLAID下一級匯聚標(biāo)識符SLA

ID站點匯聚標(biāo)識符接口標(biāo)識位64位CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6地址分配機構(gòu)亞太地區(qū)的APNIC()目前由IANA負(fù)責(zé)進(jìn)行IPv6地址的分配，主要由三個地方組織來執(zhí)行:歐洲地區(qū)的RIPE-NCC()北美地區(qū)的INTERNIC()分配的是哪一部分?CISAW安全集成工程師培訓(xùn)-——中國·

成都鏈路本地地址IPv6中沒有了廣播，IPv4中的ARP在IPv6中不能工作，“鄰居發(fā)現(xiàn)”是IPv6中和CISAW安全集成工程師培訓(xùn)-——中國·

成都每個設(shè)備的接口IP在v4的啟AR動P對I應(yīng)P的v尋6址的機制時候會自動配置一個鏈路本地地址IPv6的“鄰居發(fā)現(xiàn)”機制要用到IPv6的鏈路本地地址鏈路本地地址以“FE80”開頭Interface

ID是通過EUI－64自動生成路由器絕不會轉(zhuǎn)發(fā)鏈路本地地址站點本地地址相當(dāng)于IPv4中的私網(wǎng)地址不會路由到公網(wǎng)上前綴為FEC0::/10用于打印機,交換機的管理地址等在IPv6大規(guī)模實現(xiàn)時,站點本地地址將不復(fù)使用CISAW安全集成工程師培訓(xùn)-——中國·

成都特殊IPv6地址和兼容地址CISAW安全集成工程師培訓(xùn)-——中國·

成都特殊IPv6地址未指定地址

0:0:0:0:0:0:0:0

或

:: 相當(dāng)于IPv4的環(huán)回地址（0:0:0:0:0:0:0:1

或 ::1）標(biāo)識一個環(huán)回接口 ,相當(dāng)于IPv4的兼容地址與

IPv4 兼容的地址，0:0:0:0:0:0:w.x.y.z

或::w.x.y.zIPv4 映射地址，0:0:0:0:0:FFFF:w.x.y.z

或::FFFF:w.x.y.z6to4 地址用于IPv4的網(wǎng)絡(luò)上傳送IPv6的包其它CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6組播地址-1組播的特點任何節(jié)點能夠是一個組播組的成員。一個源節(jié)點可以發(fā)送數(shù)據(jù)包到組播組組播組的所有成員收到發(fā)往該組的數(shù)據(jù)包組播地址在IPv6包中不能用作源地址或出現(xiàn)在任何選路頭中A、B、C在一個組播組中，

A發(fā)組播包，誰會接收？DCA

BIPv6組播地址-2IPv6中的組播地址結(jié)構(gòu)，其最高位前8位為1Flags字段四位，目前只用了最后一位，此位為0，則是一個永久組播地址，1是臨時組播地址范圍（scope

）0：預(yù)留

； 1：節(jié)點本地范圍；5：本地站點范圍；E：全球范圍；2：本地鏈路范圍8：組織本地范圍

F：預(yù)留。CISAW安全集成工程師培訓(xùn)-——中國·

成都節(jié)點本地、鏈路本地和站點本地CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6的任播地址CISAW安全集成工程師培訓(xùn)-——中國·

成都任播地址是IPv6特有的地址類型，它用來標(biāo)識一組網(wǎng)絡(luò)接口路由器會將目標(biāo)地址是任播地址的數(shù)據(jù)包發(fā)送給距離本路由器最近的一個網(wǎng)絡(luò)接口(一對一組中的一個)任播地址不能用作IPv6包的源地址如果一個全局單播地址被指定給多于一個接口，那么該地址就成為了任播地址源節(jié)點不需要關(guān)心如何選擇最近的任播節(jié)點，這個工作由路由系統(tǒng)完成當(dāng)路由發(fā)生變化時，發(fā)往同一個任播地址的包可能會被發(fā)往不同的任播節(jié)點目前，任播地址不能指定給IPv6主機，只能指定給

IPv6路由器對比和總結(jié)項

目IPv4IPv6Broadcast廣播在同一個廣播域中的所有主機都會受到影響,或者給于回復(fù);可能使得整個局域網(wǎng)癱瘓(廣播風(fēng)暴)沒有廣播類型，IPv4中的廣播功能在IPv6中被組播取代Multicast多播（組播）有效利用了網(wǎng)絡(luò)的帶寬并且沒有影響到不需要的主機有豐富得多的組播類型Unicast單播用于一對一的通信用于一對一的通信Anycast泛播沒有任播類型用于標(biāo)識一組網(wǎng)絡(luò)接口，目前只用于路由器CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6的接口標(biāo)識CISAW安全集成工程師培訓(xùn)-——中國·

成都三種方式可以生成IPv6的接口標(biāo)識由擴展唯一標(biāo)識符EUI-64派生出來的64位接口標(biāo)識符隨機生成的接口標(biāo)識符隨時間而更改，以提供一定的隱蔽性在全狀態(tài)地址自動配置過程中分配的接口標(biāo)識符（IPv6的DHCP）基于EUI的接口標(biāo)識符-1IEEE

802

地址的結(jié)構(gòu)統(tǒng)一/本地(U/L)個體/組(I/G)24

bitsccccccug

cccccccc

ccccccccIEEE

administered

company

ID24

bitsxxxxxxxx

xxxxxxxx

xxxxxxxxManufacturer

selected

extensionID這不是MAC地址嗎？CISAW安全集成工程師培訓(xùn)-——中國·

成都基于EUI的接口標(biāo)識符-2先將MAC一分為二中間填入0xFF

0xFE，得到EUI－64將u/l位取反，最后得到IPv6接口標(biāo)識符CISAW安全集成工程師培訓(xùn)-——中國·

成都臨時地址接口標(biāo)識符CISAW安全集成工程師培訓(xùn)-——中國·

成都臨時地址接口標(biāo)識符1.

從存儲中檢索歷史信息值，取適配器的 EUI-64 地址2.

根據(jù)步驟

1 中的兩個值通過哈希算法（MD5）計算出一個固定的值3.

將步驟

2 中計算出的

MD5 哈希的最后

64 位保存為歷史信息值，用于下一次接口標(biāo)識符計算4.

取出步驟

2 中計算出的

MD5 哈希的前

64 位，并將第七位設(shè)為 0。第七位對應(yīng)于

U/L 位，該位設(shè)置為0 時表示一個本地管理的

IPv6 接口標(biāo)識符，得到的結(jié)果就是

IPv6 接口標(biāo)識符IPv6的DHCP自動分配的接口標(biāo)識符IPv6的發(fā)展進(jìn)程和部署實施IPv6的發(fā)展進(jìn)程IPv6孤島IPv4InternetIPv6孤島IPv6孤島IPv6孤島IPv6孤島IPv6InternetIPv4Internet協(xié)議轉(zhuǎn)換IPv4孤島IPv4孤島IPv6InternetCISAW安全集成工程師培訓(xùn)-——中國·

成都過渡技術(shù)CISAW安全集成工程師培訓(xùn)-——中國·

成都雙協(xié)議棧隧道技術(shù)網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)過渡技術(shù)：雙協(xié)議棧雙協(xié)議棧的實現(xiàn)原理：圖中路由器可支持兩種協(xié)議雙協(xié)議棧的應(yīng)用：雙協(xié)議?？梢詫崿F(xiàn)IPv4和IPv6流量的各自獨立通信IPv4

userIPv4

userSi雙協(xié)議棧IPv6網(wǎng)IPv4網(wǎng)雙棧邊界路由器雙棧核心交換機IPv4/IPv6雙棧網(wǎng)IPv4/IPv6

userCISAW安全集成工程師培訓(xùn)-——中國·

成都過渡技術(shù)：隧道技術(shù)隧道技術(shù)隧道可以在IPv6的包穿越IPv4的網(wǎng)絡(luò)之前給IPv6的數(shù)據(jù)包頭再封裝一個IPv4的頭部隧道技術(shù)原理圖CISAW安全集成工程師培訓(xùn)-——中國·

成都過渡技術(shù)：地址轉(zhuǎn)換網(wǎng)絡(luò)地址轉(zhuǎn)換技術(shù)IPv6網(wǎng)絡(luò)節(jié)點和IPv4網(wǎng)絡(luò)節(jié)點通過NAT-PT通信IPv4cloudIPv6cloudIPv6

hostNAT-PT網(wǎng)關(guān)IPv4

headerIPv4

dataIPv6

headerCISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6

dataIPv6的配置實例-1拓?fù)浣Y(jié)構(gòu): 三臺cisco2621路由器，通過以太口相連軟件版本：IOS12.2（11）T任務(wù)目標(biāo)：配置純IPv6的網(wǎng)絡(luò)，實現(xiàn)IPv6的rip路由協(xié)議地址分配：R1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6的配置實例-2CISAW安全集成工程師培訓(xùn)-——中國·

成都配置中用到的命令Router(config)#ipv6

unicast-routing開啟IPv6的流量轉(zhuǎn)發(fā)功能Router(config-if)#ipv6

address

ipv6-address/prefix-length配置接口的IPV6地址Router(config)#

ipv6

router

rip

name啟用路由上ipv6的rip路由協(xié)議Router(config-if)#

ipv6

rip

name

enable在接口上應(yīng)用IPv6的RIP協(xié)議IPv6的配置實例-3CISAW安全集成工程師培訓(xùn)-——中國·

成都配置中用到的命令Router（

config）#show

ipv6

interfacebrief查看IPv6地址的接口摘要信息Router#show

ipv6

route查看IPv6的路由表IPv6的配置實例-4R1(config)#interfacef0/0R1(config-if)#ipv6addressFEC0:0:0:1001::1/64R1(config-if)#noshutR1(config-if)#interfaceloopback0R1(config-if)#ipv6address1111:1:1:1111::1/64R1(config-if)#exitR1(config)#ipv6unicast-routingR1(config)#ipv6routerripciscoR1(config)#interfacef0/0R1(config-if)#ipv6ripciscoenableR1(config-if)#interfaceloopback0R1(config-if)#ipv6ripciscoenableR1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程師培訓(xùn)-——中國·

成都IPv6的配置實例-5[up/up][up/up]R2#show

ipv6

interface

briefFastEthernet0/0FEC0:0:0:1001::1FastEthernet0/1FEC0:0:0:1002::1R1#ping

fec0:0:0:1002::2Type

escape

sequence

to

abort.Sending5,

100-byte

ICMP

Echosto

FEC0:0:0:1002::2,

timeout

is

2seconds:!!!!!Success

rate

is

100percent

(5/5),round-trip

min/avg/max

=1/2/4

msR2#show

ipv6

routeIPv6

Routing

Table

-

7

entriesCodes:

C

-

Connected,

L

-

Local,

S

-

Static,

R-

RIP,

B-

BGPI1

-

ISIS