IPv6有線電視論文范文

IPv6有線電視論文范文第1篇

摘要：網絡地址轉換（NAT）與網絡安全協議（IPSec）都是在因特網上得到廣泛應用的優秀技術，但由于目前IPSec和NAT技術的不兼容，使得這兩種優秀的技術無法同時在網絡中并存。該文對IPSec和NAT協同工作的問題進行了研究，指出NAT穿越方案的適用范圍，為合理構建IPSec VPN提供了指導。

關鍵詞：IPSec；NAT；IKE；VPN；UDP封裝

Research on Coordination Between IPSec and NAT

ZHANG Ai-ke

(Departmet of Information Engineering, Liuzhou Vocational&Technical College,Liuzhou 545006,China)

Key words: IPSec;NAT;IKE;VPN;UDP encapsulation

1 引言

IPSec與NAT是用來解決IPv4中網絡安全與IP地址短缺問題的兩項技術。IPSec是Internet工程任務組（IETF）制定的一系列安全標準[1]，已被確定為IPv6的必需組成部分，是下一代網絡的安全標準，它可以較好地解決目前Internet上面臨的安全威脅，有效地保證數據的安全傳輸。隨著Internet的不斷發展，采用IPSec技術實現利用互聯網建立VPN網絡，越來越被眾多大中型企業所青睞，IPSec已逐漸成為構建VPN的主流技術。網絡地址轉換（NAT）技術[2] 在內部網絡中使用內部私有IP地址，通過NAT將每個從內部網絡發出的數據包的私有地址翻譯成合法的公用IP地址在Internet上使用，支持多臺主機共享全局IP地址，常見于接入設備和防火墻中，能很好地解決IPv4網絡地址枯竭的問題，同時具有屏蔽內部網絡的作用。

然而，在實際應用中，IPSec技術和NAT技術存在嚴重的不兼容性，當IPSec數據流穿越NAT設備時，兩者無法協同工作，已被廣泛使用的NAT設備制約著基于IPSec技術的VPN的發展。因此，IPSec和NAT兼容性方面的問題已成為當前網絡安全領域的研究熱點，尋求基于IPSec技術的VPN和現有的NAT設備和平共處，實現NAT透明穿越的解決方案已成為迫在眉睫的任務。

2 問題描述

由于IPSec對數據包進行保護，對數據包的改動會導致驗證或解密過程的失敗。IPSec與NAT的兼容性沖突是多方面的，其中主要是由于IPSec數據包在穿越NAT時無法進行正確轉換造成的。IPSec與NAT的不兼容性問題主要有以下幾個方面[3]：

1) IPSec AH和NAT：AH利用消息摘要算法對整個IP數據包產生一個散列值，該散列值的作用范圍是整個IP包，包括源IP地址和目的IP地址，接收方利用該散列值認證收到的IP數據包。如果在發送過程中原始IP包的任何字段發生變化，都將會導致接收方的認證失敗，接收方將丟棄該包。但NAT會對外出包的源地址和進入包的目的地址進行修改，AH認為IP包被非法修改，從而導致認證失效。ESP的完整性檢查不包括IP頭（傳輸模式），或者檢查的是不為NAT所修改的內嵌IP協議頭（隧道模式），因此在ESP中不存在這樣的問題。

2) 校驗和與NAT：TCP和UDP在計算校驗和時使用了偽頭部，因而校驗和與IP源和目的地址有依賴關系。因此，當NAT設備改變IP地址后需要重新計算并修改TCP/UDP校驗和。當應用了ESP傳輸模式的IP包經過NAT設備時，由于TCP/UDP校驗和處于加密負載之中，該值在在修改了外層IP包頭后無法被NAT進行更新，這樣，雖然IPSec不會丟棄這個包，但是當它被送往上層協議處理，在進行校驗和校驗時會出錯，這個包還是會被丟棄。ESP隧道模式可以和靜態或動態NAT相兼容，因為TCP/UDP校驗和只與內層“原始”IP包頭有關，對于外層IP包頭的的修改并不對其造成影響。然而，在NAPT存在的情況下，AH和ESP都無法通過NAPT，NAPT需要TCP/UDP端口來匹配出入信包，上層端口信息對于NAT網關是不可知的，所以NAT網關無法完成多個私網地址映射到一個公網地址的變換。

3) IKE地址標識符和NAT：在IKE協商中，通信雙方使用IP地址作為身份標識符，而NAT設備對IP地址的修改會引起IP頭中的地址和標識符不符，IKE會將這樣的包丟掉。

4) IKE固定的目標端口和NAPT：IKE協商時的UDP通信端口號一般固定是500，而當NAPT后面的多方主機向同一響應者發起IKE SA時，NAPT需要通過不同的端口號區分不同的連接，因此，響應者必須能夠接受非500UDP端口的IKE流量。

5) 重疊的SPD項和NAT：在IKE協商的第二階段中，NAT后的多個主機和相同響應者協商SPD時會出現重疊，這樣，響應者可能在錯誤的IPSec SA下發送數據包。

6) IPSec SPI選擇符和NAT：IPSec ESP流量受加密保護，對NAT是透明的，NAT必須使用IP頭和IPSec頭來多路分解到來的IPSec信包，目的IP地址、安全協議（AH/ESP）、和SPI共同惟一標識一個安全聯盟來達到這個目的。由于SA是單向的，外出和進入包的SPI選取是獨立的，因此，僅通過監測外出的流量，NAT無法決定哪個進入的SPI和哪個目標主機相對應。

7) 內嵌IP地址和NAT：當內嵌IP地址時，由于載荷受到完整性保護，IPSec包中的任何IP地址不能被NAT轉換。內嵌IP地址的協議包括FTP、IRC、SNMP、LPAP、H.232、SIP和許多游戲協議。

除上述外，有些NAT的具體實現也存在不利于IPSec穿越的特點，例如：某些NAT供應商的NAPT不能處理非UDP/TCP報文，拒絕通過ESP、AH報文；有些幫助解決兼容性問題的方法會引起新的不兼容性，如對端口500的特殊處理、對ISAKMP有效載荷進行解析及ISAKMP頭部檢查等。

3 協同工作的方法

IPSec和NAT的兼容性方案的目的是擴大IPSec的適用范圍。根據前面分析的IPSec與NAT之間存在的兼容性問題，以及評估一個解決方案的可配置性、可擴展性、多模式支持能力、與防火墻的兼容性、遠程通信能力、互操作性和安全性等原則[4]，下面來探討一些方法來解決IPSec和NAT協同工作的問題。

3.1 RSIP方法

RSIP是指在不同地址域通信的主機自己能處理跨越不同地址域的地址變換問題。它的工作機制[5]是：當RSIP客戶機要聯系互聯網上主機的時候，它查詢RSIP服務器以便獲得一個端口號和公網IP地址。接著客戶機通過隧道將包發往RSIP服務器，RSIP服務器將隧道頭剝掉，然后將包發向互聯網。對于到達的包，RSIP服務器基于端口號查找客戶機IP地址，加入隧道頭，然后將它們發往RSIP客戶機。

RSIP網關是跨越在多個編址域的多宿主設備，允許主機直接參與到多個編址域中，并不對地址進行翻譯，這樣盡管主機需要知道RSIP網關，但是卻沒有破壞Internet端到端的通信，應用RSIP不需要修改源到目的地的IP載荷流，也就避免了對AH、ESP等協議的損傷。

RSIP技術的完全實現需要用新的RSIP網關代替現有的NAT路由設備，同時涉及對客戶機的修改、服務器的重新部署等問題，因此實施費用相對較大，部署時間較長，降低了該方案的可行性。

3.2 “6to4”方法

這種方法的基本原理[6]是：各個局部網絡運行在IPv6上，在IPv6網絡邊界安裝NAT，NAT給主機提供IPv6地址前綴，這個地址前綴是NAT設備的IPv4 IP地址，當IPv6的數據報到達NAT時，NAT提取IPv6的地址前綴作為IPv6數據報的IPv4隧道地址，NAT把IPv6數據包封裝在IPv4數據包中發送出去；在響應方，相應的NAT作IPv4隧道的解封，解封后的數據包在局部網絡中用IPv6協議進行路由。在各個VPN保護的子網中是基于IPv6協議通信的。

這種方法很好地考慮了將來整個網絡升級到IPv6的情況，同時它需要的支持也很少。

但這種方式要求對NAT進行修改，現在NAT的分布已非常廣泛，而且很多NAT設備部署在公司、機構無法控制的地方，例如：ISP部署NAT在它的接入服務器上。因此，實施這種方式的費用較高，短期內難以實現。

3.3 專用NAT方法

其基本思想是：在VPN網關接收到數據包時作一次該網關專用的NAT，將通信鏈路中作了NAT的數據包根據策略配置恢復沒有NAT時的IP地址或端口，當數據包通過網關到達目的地時，與通信鏈路中沒有NAT時的數據包一樣。通過這種方式來解決IPSec與NAT兼容性問題的關鍵是：在雙方初始通信時確定NAT的存在，把經過NAT的數據包和系統策略配置中的連接相聯系起來，為通信雙方的后續通信建立地址、策略綁定，維持這個連接的狀態，后續的通信根據連接狀態作NAT。

這種處理方式將內部網絡的拓撲結構暴露給了通信對方的網關，通信鏈路中的竊聽者也能得到這部分信息，并且每個客戶端都必須安裝有這個解決方案的實現。專用NAT沒有正式文檔描述，在已有的幾個產品中可以見到，如e-Border Solution provided by Permeo Technologies，Inc。目前沒有提供也沒有實現這種方案的系統之間的兼容性。

3.4 UDP封裝方法

UDP封裝法[7]是IETF提出的一種用于IPSec穿越NAT的解決方案，基本思想是：由發送主機在發送前將IPSec數據包封裝在UDP中，到達接收方后再去掉外面的IP頭以及UDP封裝，從而使其中的IPSec數據包不受影響。ESP協議在傳輸模式和隧道模式下UDP封裝格式分別如圖1、圖2所示。

圖1 ESP傳輸模式UDP封裝數據格式變化圖

圖2 ESP隧道模式UDP封裝數據格式變化圖

UDP封裝法的實現需要對IKE協商進行改進來配合。

1) IKE協商第一階段

在這一階段中需要完成兩種探測：探測對方是否支持NAT穿越（NAT-T）；探測在通信路徑中是否存在NAT設備。在IKE第一階段的前兩條交換消息中，發送“廠商ID載荷”，如果對方支持NAT，那么它就能識別此載荷，因為它詳細描述了對NAT穿越的支持。然后在主模式的第三個和第四個交換消息或者野蠻模式的第二個和第三個交換消息中，增加載荷NAT-D（NAT-Discovery），載荷的值是源或者目的地址和端口號的HASH值，計算如下：

HASH=HASH（CK-I│CK-R│IP│Port）

其中CK-I，CK-R分別是發送方和接收方的Cookie值。當對方收到NAT-D載荷后，計算地址和端口的HASH值，如果與收到的相同，則表示它們之間沒有NAT，否則表明鏈路中有NAT設備對它做了改變。如果發送者不能確定自己的IP地址，它可以在報文中包含多個本地IP地址的HASH值，僅當所有的HASH值均不匹配時，才表明有NA設備存在。

一些NAT設備不改變源端口500，即使NAT后面有多個客戶機。這些NAT設備通過Cookie值而不是端口來完成與后面多個客戶機的映射，這樣，IKE很難發現NAT設備的兼容性能力。最好的方法是發現存在NAT設備后，把IKE傳輸從端口500上移走。一般在NAT設備被探測到后，發起者必須立刻將UDP的源端口和目的端口都設置為4500。這樣會出現一個問題：IKE協商數據包（UDP數據包）和協商完成后的UDP封裝ESP數據包使用相同的端口4500進行發送，為了區分出這兩種數據包，在IKE數據包的UDP頭和IKE頭之間添加四字節的Non-ESP標志，與UDP封裝的ESP包中的SPI域對齊，且值為全零。封裝后的IKE包和ESP包的格式[8]如圖3所示。

圖3UDP封裝后IKE包和ESP包的區別

2) IKE協商第二階段

如果在第一階段發現有NAT設備存在，IKE的第二階段協商SA時就作相應的變化：添加兩種新的模式：UDP封裝隧道模式和UDP封裝傳輸模式；增加NAT-OA以發送發起者的原始IP地址，以修正因NAT變換后的TCP/UDP校驗和；位于NAT后面的IPSec發起方定期發送保持激活報文（keep alive），用以保持所建立的NAT映射不變。

該方案不需要對IKE或IPSec協議本身做任何的改動，只需要對IKE的實現做一些小的改進，該方法只依賴于NAT對UDP的支持，所以可以與絕大多數的NAT設備一起協同工作，具有簡單且易于實現的優點，在總體上對NAT穿越問題有了較好的解決。但是，該方案的缺點也很明顯：不支持AH協議，增加了載荷長度，延長了IKE協商SA的時間，無法實現NAT后多主機發起通信，泄漏了內網地址信息等。盡管如此，IETF提出的UDP封裝法及在它基礎上進行的各種改進，仍然是目前解決IPSec與NAT兼容性問題的主流技術。

3.5 TCP封裝方法

使用UDP協議的好處在于傳輸數據比較快，UDP協議在傳輸小數據量時確實比TCP協議有更好的效率。但是，當需要傳輸的數據量比較大（如使用數字證書進行身份認證和密鑰協商）時，UDP協議數據容易失序和丟失；在一個噪音比較大，數據失真比較多，容易受干擾的網絡環境（如無線網絡）中，往往造成數據的大量失真。出現這些情況時，需要上層協議對UDP數據包進行重新排序或重傳等操作，由此造成的效率損失往往比較大，在此我們可以考慮使用TCP協議進行密鑰協商。TCP協議能夠很好地處理數據報的失序和丟失問題，在大數據量傳輸時也有很好的表現。TCP協議在建立過程和拆除過程中的數據交換所造成的效率損失并不比UDP協議處理時的損失大。

在實際的應用環境中，使用UDP封裝會遇到以下的復雜情況：UDP數據屬于上層數據，如果長度比較大，IP層會對此數據進行分片，先由IPSec協議對此分片數據進行封裝，再由UDP協議進行二次封裝以穿越NAT；到達目的地后拆除UDP的二次封裝，需要再由IP層對分片數據進行重組。假如其中UDP二次封裝的一個數據報丟失，那么整個UDP數據報都需要重新發送而不是只發送丟失的數據分片。這將造成整個通信效率明顯下降。在此我們可以考慮使用TCP協議對IPSec數據包進行二次封裝。TCP協議不會造成數據的失序和丟失，TCP協議會自動重新發送丟失的數據報而不是全部業務數據重新發送。此時使用TCP不會造成明顯的效率降低，而是更好地提供了數據的傳輸服務。

以上分析的雖然是復雜的情形，但VPN通信是面向廣域網的安全傳輸需求，它相比局域網環境中的通信要復雜得多，在實際應用中各種情況都可能出現，所以用TCP代替UDP對IPSec數據包進行封裝以穿越NAT設備的考慮是具有現實意義的。

4 結束語

基于IPSec的VPN技術和NAT技術都是充滿前途和廣泛被使用的網絡技術，解決IPSec和NAT的協同工作問題，對于部署VPN具有重要的意義。該文在詳細分析了影響IPSec和NAT無法兼容的原因后，提出了實現NAT穿越幾種方法，其中詳細介紹了比較適用于目前網絡環境的UDP封裝法，并提出了用TCP封裝IPSec數據包的設想，下一步的研究工作就是在此基礎上進一步深入加以完善。

參考文獻：

[1] Naganand Doraswamy.IPSec新一代因特網安全標準[M].北京:機械工業出版社,1998.

[2] RFC-1631-1994.The IP Network Address Translator (NAT) [S].

[3] 譚興烈,張世雄.IPSec和NAT協同工作技術研究[J].計算機工程與應用,2003(12):I64-165.

[4] 李孝展,潘金貴.IPSec與NAT兼容性問題及其解決方案剖析[J].計算機應用與軟件,2007,24(2):161-163.

[5] RFC-3103-2001.M.Borella, D.Grabelsky ,J Lo,K.Taniguchi. Ream Specific IP:Protocol Specification( RSIP)[S].

[6] RFC-3056-2001.B.Carpente and K.Moore.Connection of IPv6 Domains via IPv4 Clouds[S].

[7] RFC-3984-2005. A. Huttunen, W. Dixon, V. Volpe. UDPEncapsulation of IPsec Packets[S].

[8] 肖玲,周軍,肖慶.IPSec與NAT不兼容性討論與改進[J].信息技術與信息化,2007(2):66-68.

IPv6有線電視論文范文第2篇

得IPv6對移動的支持易于IPv4。相對于移動IPv4, 移動IPv6有以下優點。

(1) IPv6巨大的地址空間使移動性實現起來更加簡單。 (2) IPV6地址自動配置簡化了MN的轉交地址的分配。 (3) 移動IPv6避免了移動IPv4的三角路徑問題, 實現了路由優化。 (4) 移動IPv6中不再需要外地代理。

1 移動IPV6的工作流程

在移動IPV6中, 借鑒了移動IPv4的基本思想, 即移動結點有本地地址和轉交地址。移動IPv6中同時采用隧道和源路由技術向連接在外地鏈路上的移動節點傳送數據包, 而在移動IPv4中則只用了隧道技術。移動IPv6的高層功能的三大元素為:代理搜索、注冊和選路。

代理搜索:移動節點可以通過這個過程判定它的當前位置, 并得到一個轉交地址。如圖1所示, 通過獲取路由公告消息來配置轉交地址。

注冊:移動節點通過這個過程通知家鄉代理和通信伙伴它的轉交地址。如圖2, 移動節點將自己的節點信息發送給家鄉代理, 使得家鄉代理及時更新有關移動節點的位置信息。

選路:這是移動節點在外地網絡上時, 對它發出的或發往它的數據包進行路由的特殊機制。

1.1 移動節點向通信節點 (即通信伙伴) 發送數據包

移動節點可以直接將數據包發送給通信節點。移動節點發送給通信節點的數據包的源地址是移動節點的轉交地址, 目的地址是通信節點地址。另外, 這個數據包還攜帶一個目的地選項頭標, 該選項叫“家鄉地址選項”, 存放的是移動節點的家鄉地址。通信節點收到這個數據包后, 在協議棧的IP層 (附加的移動IPv6子層) 將數據包的源地址由移動節點的轉交地址替換為移動節點的家鄉地址, 再交給協議棧的上層進行下一步處理。這樣網絡層的移動性對上層來說是透明的。

1.2 通信節點向移動節點發送數據包

(1) 通信節點在本地綁定緩存中沒有查到相應的綁定信息, 發送給移動節點的數據包的目的地址是移動節點的家鄉地址, 這時, 通信伙伴只是將移動節點的家鄉地址 (也是它知道的唯一地址) 放入目的IPV6地址域中, 并將它自己的地址放在源IPv6地址域中, 然后將數據包轉發到合適的下一跳上 (這由它的IPv6路由表決定) 。該數據包會被先路由到移動節點所歸屬的家鄉網絡。家鄉代理將發給移動節點的家鄉地址的數據包截獲, 然后通過隧道方式將數據包轉發給移動節點。當移動節點收到家鄉代理轉發過來的隧道包后, 它知道數據包的原始發送者沒有本節點的綁定信息, 移動節點向通信節點發送一個綁定更新消息, 通知通信節點它當前的轉交地址。通信節點收到綁定更新消息后就可以直接把數據包發送給移動節點了。如圖3所示。

(2) 如果在緩存中查到了相應的綁定信息, 那么通信節點可以利用綁定信息中的轉交地址直接把數據包發送到移動節點, 如圖4所示。即知道移動節點的轉交地址的通信伙伴可利用IPv6選路報頭直接將數據包發送給移動節點, 這些包不需要經過移動節點的家鄉代理, 它們將經過從始發點到移動節點的一條優化路由。數據包的目的地址是移動節點的轉交地址, 另外, 數據包還攜帶一個路由頭標, 存放的是移動節點的家鄉地址。移動節點收到這個數據包后, 在協議棧的IP層將數據包的目的地址由移動節點的轉交地址替換為移動節點的家鄉地址, 再傳給協議棧的上層進行下一步處理。這樣網絡層的移動性對上層來說也是透明的。

綜上對移動IPv6的操作總結如下。

(1) 移動節點連接在其家鄉鏈路上時與任何固定主機和路由器一樣工作。 (2) 當移動節點移動到外地鏈路 (即外地網絡) 上時, 它采用IPv6定義的地址自動配置方法得到外地鏈路上的轉交地址。 (3) 移動節點將它的轉交地址通知給家鄉代理。 (4) 如果可以保證操作時的安全性, 移動節點也將它的轉交地址通知幾個通信伙伴, 這是解決三角路由的方法。 (5) 不知道移動節點轉交地址的通信伙伴送出的數據包和移動IPv4一樣進行路由, 它們先被路由到移動節點的本地網絡, 從那里家鄉代理再將它們經過隧道送到移動節點的轉交地址。 (6) 知道移動節點轉交地址的通信伙伴送出的數據包可以利用IPv6選路報頭直接送給移動節點, 選路報頭將移動節點的轉交地址作為一個中間目的地址。 (7) 在相反方向, 移動節點送出的數據包采用特殊的機制被直接路由到它們的目的地。然而, 當存在入口方向的過濾時, 移動節點可以將數據包通過隧道送給家鄉代理, 隧道的源地址為移動節點的轉交地址。

2 分層移動IPV6管理模型

這種優化的分層移動路由管理模型HMIPv6可以減少網絡中的信令負載.但所有到MN數據包都經過MAP轉發, 會造成MAP負載過重和三角路由問題;而且MN在域內或域間切換仍采用標準MIPv6, 有很大的延遲, 這樣仍不能提高網絡性能。

針對以上缺陷, 將快速移動IP6v (FMIP6v) 多播技術與分層技術相結合提出一種基于分層結構移動路由管理模型, 進一步優化路由, 減少切換延遲問題。

2.1 基本概念

移動節點 (Mobile Node, 簡寫為MN) :指一個主機或路由器由一個網絡 (或子網) 移動到另一個網絡或子網。移動節點可以在不改變IP地址的情況下, 改變其位置而仍然可以與工internet上其它通信節點 (CN) 保持通信, 使上層協議感覺不到該節點的移動。

家鄉地址 (Home Address) :為了在移動節點移動的時候仍然保持傳輸層的連接, 移動節點必須始終保持一個固定的IP地址。這個地址就是家鄉地址。家鄉地址是用來識別端到端連接的靜態地址, 不管移動節點移動到何處, 其家鄉地址保持不變。

轉交地址 (Care-of Address) :由于移動節點的移動性, 要想使通信順利進行, 移動節點還必須綁定另一個IP地址, 即轉交地址, 發往移動節點的數據包由這個地址來轉交。轉交地址可以認為是移動節點拓撲結構意義上的地址。

家鄉網絡 (Home Network) :與家鄉地址網絡部分匹配的子網被稱為移動節點的家鄉網絡。

外地網絡 (Foreign Network) :家鄉網絡以外的其余子網稱為移動節點的外地網絡。

家鄉代理 (Home Agent, 簡寫為HA) :家鄉網絡上有一個路由器, 記錄了移動節點的家鄉地址與轉交地址的綁定信息, 這個路由器叫家鄉代理。

2.2 MN在域內移動

在圖5中, 假設MN從ARI向AR3移動, 當MN向AR2移動時, 是在MAPI域內移動, 我們采用FMIPv6與HMIPv6相結合, 其切換及注冊過程如圖5所示。

MN向MA PI發送代理路由器請求通告, 當MAPI收到該請求時, MAP1回復一個代理路由器通告;接著MN向MAPI發送快速綁定更新消息, 一旦MAPI接收到快速綁定更新消息, 它會立即向NAR (AR2) 發送一個移交啟動消息, 該消息用于啟動MAPI與AR2之間雙向隧道的建立并驗證NL-CoA的有效性, 開始快速切換過程。當AR2接收到移交啟動消息后, 進行重復地址檢側過程, 并向MAPI返回一個移交確認消息;在收到移交確認后, MAPI通過發送快速綁定更新確認消息向MN通知結果信息。當MN連接到A R 2, 它向A R 2發送一個包含快速鄰居通告的路由器請求消息以通知A R 2它的存在, 接著, A R 2將向MN發送數據包.這樣就可以實現MN在域內移動時同時采用FMIPv6, 實現快速切換, 減少延遲及丟包率.同時, 移動節點再次向MAPI發送綁定更新消息, 將N L-C o A與R-C oA進行綁定。這個綁定完成之后, 移動節點采用FMIPv6完成切換工作, 移動節點的通信便會恢復到正常的HMIPv6方式.同時MAPI增加向邊界路由器 (ERI) 發送含有移動節點位置變化的綁定更新消息, 讓邊界路由器了解移動節點位置。在每次收到MAPI發送綁定更新之后, 邊界路由器將MN的RCo A和LCo A地址對放人綁定緩存中, 并發送應答。在收到數據包時, 查詢綁定緩存, 以判定是否采用優化路由發送.如果綁定緩存中存在RCo A地址, 邊界路由器使用緩存中對應的L C o A地址替換R C o A地址, 直接將數據包發送到MN的實際位里。從而實現路由優化。

2.3 MN在域間移動

當MN移動到AR2, 并繼續向AR3移動時, 將進行域間切換。為了較好的解決移動節點在兩個MAP域間進行移交的問題, 本文將多播機制與HMIPv6結合, 以減少域間切換延遲。當MN檢測到自己移動到MAPI域邊界時, MN向MAPI發送控制信息請求為其建立多播組, MAPI收到控制信息后為MN構造一個多播組, 并向鄰近的AR (在本模型中是ARI和AR3) 發送消息, 使它們參加該多播組.這樣, 當網絡中有發往MN的包時, MAPI將包多播到AR1和AR3。這時如果有從MN發送的請求信息, AR就根據MN的唯一接口標識向MN轉交數據包。

在移動過程中, 當MN收到AR3的路由通告時, MN獲得區域轉交地址 (RCoA2) 和鏈路轉交地址 (LCoA3) , 這時MN就要向MAP2, HA/CN發送注冊信息, 再往下又是域內移動, 仍采用上述介紹的域內操作過程。MN域間移動注冊過程如圖5所示。

3 結語

本文只是對于移動IPV6技術的原理以及一些關鍵的技術方法做出了相應的簡明闡述, 目的在于對移動IPV6有一個感性的認識, 也便于以后在這方面的繼續學習打下基礎。

優化的基于分層機制移動路銷, 通過添加邊界路由器, 解決HMIPv6中三角路由問題, 同時將FMIPv6, 多播機制與HMIPv6技術結合, 實現了域內、域間快速切換, 減少了延遲和數據的丟包率, 提高網絡性能.

摘要：隨著移動無線通信的快速發展, 為internet設備提供移動性支持變得越來越重要, 在最初設計TCP/IP協議時, 并沒考慮節點的移動性問題, 因此, 應當對IP協議進行擴展, 使其具有移動性管理的功能, 使數據包的發送與目的節點所在的位置無關, 為了支持internet移動本文主要討論移動IPV6的移動性管理問題。

關鍵詞：移動IPV6,互聯網,路由

參考文獻

[1]洪佩琳, 王輝, 李津生.移動IPv6的關鍵技術及其應用[J].

[2]徐晶, 曹達仲.移動IPv6及基于IPv6的切換[J].

IPv6有線電視論文范文第3篇

IPv4地址枯竭, IPv6部署刻不容緩

隨著IPv4地址今年2月告罄, IPv6得到了越來越廣泛的關注, APNIC主席Paul Wilson今日首次公開解析亞太和中國地區IP地址情況、用戶對策和IPv6分配數據。經過多年的積累, 中國IPv6產業迅速繁榮壯大, 正在積極擺脫IPv4時代的落后局面, 積極搶占IPv6技術、標準及產業部署方面的話語權, 對中國產業界來說, 面對中國網民數量全球第一的客觀情況, 應當說機遇與挑戰并存, IPv6部署已經刻不容緩。

打造全球IPv6測試中心, 推動中國IPv6發展

IPv6產業的發展越來越得到各個國家的重視, 逐步向IPv6全面過渡已經成為戰略, 天地互連將全力打造全球最大的IPv6測試中心, 作為中國地區唯一IPv6認證測試授權指定機構, 不僅是全球IPv6 Ready設備測試體系的主要奠基者之一, 而且創新了IPv6服務測試技術, 主導了全球IPv6 Enabled服務認證測試體系和運營, 將在未來發展中幫助中國在下一代互聯網的激烈競賽中占據優勢地位。

IPv6論壇中國區委員會委任

IPv6將促進互聯網技術的創新和跨越式發展, 改變網絡發展的格局, 優化產業結構, 帶來新的服務模式和商業模式, IPv6論壇在中國的工作開展了10年, 中國涌現并產生了眾多優秀的供應廠商、戰略專家和網絡專家。為了更好地開展論壇在中國的工作, IPv6論壇主席Latif Ladid邀請包括神州數碼向陽朝、思科殷康、華為徐小興、中興孔勇在內的業內技術專家為IPv6論壇中國區委員會的委員, 以期未來能夠更客觀公正地為產業提供咨詢建議、方案評選、活動建議等, 傳達和凝聚更多的產業技術力量, 為論壇工作建言獻策, 共同推動IPv6在中國的發展。

中國IPv6產業蓄勢待發

面對IPv6產業的高速發展, 機遇與挑戰并存, 中國產業界積極應對, 包括中關村下一代互聯網產業聯盟、中關村物聯網產業聯盟、中關村云計算產業聯盟、閃聯產業聯盟和寬帶無線專網應用產業聯盟在內的中國產業界簽訂協議, 未來將會通力合作:聯合組織實施重大應用示范工程、進行相關關鍵核心技術的研究、制定和完善相關標準體系、實施重大產業創新發展工程, 共同促進IPv6產業的發展。

2011中國IPv6產業十大關鍵詞:IPv6中國十年磨一劍

IPv6有線電視論文范文第4篇

1 IPv4技術的現狀

IPv4 (Internet Protocol Version 4) 采用了32位的地址結構, 從理論上可以提供43億主機數量的地址, 但實際上所能分配的地址遠遠少于該數目, IPv4地址以A、B、C等類別進行人工劃分, 在Internet發展初期, 由于對互聯網發展速度估計不足, 都以為IP地址空間會非常充足, 當時, 一個公司、一所大學就能獲得一個A類或B類地址。由于歷史原因, 據統計我國人均目前IPv4地址占有量為0.171個;而美國人均IPv4地址目前占有量為5.336個。

2 IPv6技術的出現

隨著互聯網技術的不斷發展, IPv4的許多缺陷也逐漸暴露出來, 其中最突出的是IP地址空間已被耗盡和主干路由表不斷增長的問題。在北京時間2011年2月3日晚10:30國際互聯網名稱和編號分配公司 (ICANN) 宣布全球IPv4地址耗盡, 而那時, 正是IPv6引入的主要原因, 如今很多信息化、智能化新技術的相繼實現, 如PDA, 無線終端、移動4G業務, 信息智能化汽車、智能家居的出現等等, 也呼喚著IPv6的出現, 所以只有最終實現IPv6, 才可能從根本上解決目前互聯網地址耗盡問題, 因為IPVv6能提供天文數字2128個IP地址空間, 而且IPv6網絡協議設計在很多方面比IPv4更為先進, 如網絡安全上, 服務質量上, 網絡管理上、靈活移動性上等等。

3 IPv6技術分析

IPv6 (Internet Protocol Version 6) 協議是IP協議的第6版本, 于1992年開始開發, 1998年12月發布標準RFC2460。IPv6繼承了IPv4的優點, 并總結了IPv4近30年運行經驗, 目的是解決IPv4地址空間不足、地址結構規劃不合理的問題, 同時對IPv4協議運行中存在的不足進行了改進和功能擴充, 技術特點如下:

(1) IPv6采用128位的地址結構, 提供了充足的地址空間, 解決了IPv4協議地址資源不足的問題。128位地址包含約43億*43億*43億*43億個地址節點, 使IP地址在可預見的將來不會用完。

(2) IPv6支持自動配置功能, 即插即用。IPv6協議內置支持通過地址自動配置方式, 使主機自動發現網絡并獲取IP地址, 此功能大大提高了內部網絡的可管理性, 使用自動配置, 用戶可以即插即用而無需手工配置或使用專用的服務器, 使網絡的訪問變得簡單。

(3) IPv6支持良好的移動性。任何IPv6節點都可以使用移動IP功能。IPv6的移動性支持能夠得到其基本協議的較好配合, 在IPv6當中不再需要異地代理路由器, 同時也很好地解決了移動IPv4協議當中存在的三角路由、源地址過濾問題, 移動通信處理效率更高且對應用層透明。

(4) IPv6支持端到端安全。在IPv6中加入了關于身份驗證、數據完整性和保密性的內容, IPsec (Internet Protocol Security) 是IPv6協議基本定義中的一部分, 利用IPsec協議, IPv6能夠提供比IPv4更高更好的安全性。

(5) IPv6層次化的網絡結構, 提高了路由效率。IPv6協議128位的地址長度可以方便的進行網絡的層次化部署, 使得IP地址空間分配更合理, IPv6分層聚合功能使全局路由表數量減少, 轉發效率更高。

(6) IPv6報文頭簡潔、靈活, 效率更高, 便于擴展。IPv6和IPv4相比, 去除了IHL、Identifi cation、Flags、Fragment Offset、Header Checksum、Options、Padding域, 只增了流標簽域, 因此IPv6報文頭處理比IPv4大大簡化, 提高了處理效率。另外, IPv6為了更好地支持各種選項處理, 提出了擴展頭的概念, 新增選項時不必修改現有結構就能做到, 理論上可以無限擴展, 體現了優異的靈活性。

(7) IPv6新增流量標簽功能, 更利于支持和提高Qo S (Quality of Service) 。IPv6在解決IP網絡的Qo S問題方面進行了革新, 在IPv6的頭部, 新增了流標簽域, 源節點可以使用這個域標識特定的數據流, 轉發路由器和目的節點都可根據此標簽域進行特殊處理, 如視頻會議和VOIP (Voice over IP) 等數據流有兩個相應的優先權和流標識字段, 一條流由源地址、目的地址、和流標簽三個域唯一決定, 原節點設定的流標簽值在傳輸中不能改變, 并且源節點必須保證當前使用的流標簽不被重用, 源節點按一定的順序分配新的流標簽, 并在系統重啟時選定不同的初始化值, IPv6數據報信息流對各種信息根據緊急性和服務類別確定數據包的優先級, 對信息流進行控制。

4 結束語

總的來說, IPv6協議是為了解決現行Internet出現的問題而誕生的, 作為IPv4協議的后繼者而設計的新版本IPv6協議, 對語音、數據、視頻和現有網絡應用提供了更卓越的支持與改善。在我國目前“一帶一路、互聯互通”全面發展信息產業時期, 在李克強總理提出的互聯網+新形態下, IPv6技術必將成為互聯網產業下一個新的增長點, IPv6技術會在教育、政府、保險、金融、證券、航空、醫療、軍隊、農業等各個行業和部門中具有非常廣闊的市場和應用前景。

參考文獻

[1]王相林.IPV6技術[M].北京:機械工業出版社, 2008 (05) .

IPv6有線電視論文范文第5篇

關鍵詞：IPV4,IPV6,隧道,雙協議棧,地址翻譯

0 引言

IPv6已被認為是下一代互聯網絡協議核心標準之一,但是,一種新的協議從誕生到廣泛應用需要一個過程,尤其是現在IPv4還很好地支撐著Internet?，F在要實施IPv6網絡,必須要充分考慮現有網絡條件,充分利用現有條件構造下一代互聯網,以避免過多的投資浪費?，F在的網絡設備大部分是基于IPv4的,不可能將它們在短時間內都過渡到基于IPv6的設備,因此,在相對比較長的一段時期內,IPv6網絡將和IPv4網絡共存,最終實現IPv4到IPv6的平穩過渡。

IPv4到IPv6過渡技術按照工作原理主要分為三大類:雙協議棧;隧道技術;IPv6/IPv4協議與地址轉換技術。

1 雙協議棧技術

IPv6和IPv4是功能相近的網絡層協議,兩者都基于相同的物理平臺,而且加載于其上的傳輸層協議TCP和UDP又沒有任何區別。由圖一所示的協議棧結構可以看出,如果一臺主機同時支持IPv6和IPv4兩種協議,那么該主機既能與支持IPv4協議的主機通信,又能與支持IPv6協議的主機通信,這就是雙協議棧技術的工作機理。

雙協議棧技術并不需要建立隧道,只有當IPv6結點需要利用IPv4的路由機制傳遞信息包時隧道才是必需的,但是隧道的建立卻需要雙棧的支持。

雙協議棧技術的優點是易通信、容易理解原理。缺點是需要給每個新的運行IPv6協議的網絡設備和終端分配IPv4地址,不能解決IPv4地址短缺問題。在IPv6網絡建設初期,由于IPv4地址相對充足,這種方案的實施具有可行性;當網絡發展到一定階段,為每個結點分配兩個全局地址的方案將很難實現。

2 隧道技術

隨著IPv6網絡的發展,出現了許多局部的IPv6網絡,但是這些IPv6網絡需要通過IPv4G與骨干網絡相連。將這些孤立的“IPv6島”相互聯通必須使用隧道技術。利用隧道技術可以通過現有的運行IPv4協議的Internet骨干網絡(即隧道)將局部的IPv6網絡連接起來,因而是IPv4向IPv6過渡的初期最易于采用的技術。路由器將IPv6的數據分組封裝入IPv4,IPv4分組的源地址和目的地址分別是隧道入口和出口的IPv4地址。在隧道的出口處,再將IPv6分組取出轉發給目的站點。隧道技術只要求在隧道的入口和出口處進行修改,對其他部分沒有要求,因而非常容易實現。因此隧道技術的優點在于隧道的透明性,IPv6主機之間的通信可以忽略隧道的存在,隧道只起到物理通道的作用。它不需要大量的IPv6專用路由器設備和專用鏈路,可以明顯地減少投資。其缺點是:在IPv4網絡上配置IPv6隧道是一個比較麻煩的過程,而且隧道技術不能實現IPv4主機和IPv6主機之間的通信。接下來介紹幾種常用的隧道技術。

2.1 GRE隧道技術

使用標準的GRE隧道技術,可在IPv4的GRE隧道上承載IPv6數據報文。GRE隧道是兩點之間的連路,每條連路都是一條單獨的隧道。GRE隧道把IPv6作為乘客協議,將GRE作為承載協議。所配置的IPv6地址是在Tunnel接口上配置的,而所配置的IPv4地址是Tunnel的源地址和目的地址(隧道的起點和終點)。

如圖二所示,兩個IPv6子網分別為Group1和Group2,它們之間要求通過路由器R1和R2之間的IPv6隧道協議互聯。其中R1和R2的隧道接口為手動配置的全局IPv6地址,隧道的源地址與目的地址也需要手動配置。設R1的E0接口IPv4地址為192.168.100.1,R2的E0接口IPv4地址為192.168.200.1。

在上面的轉發過程中,R1路由器首先根據路由表得知目的地址3003::1通過隧道轉發出去,所以就將報文送到隧道接口按照特定的GRE格式(如圖三所示)進行封裝。原有的IPv6報文封裝為GRE報文,最后封裝為IPv4報文。IPv4報文的源地址為隧道的起始點192.168.100.1,目的地址為隧道的終點192.168.200.1。這個報文被路由器R1從隧道入口發出后,在IPv4的網絡中被路由到目的地R2。R2收到報文后,對此IPv4報文解封,取出IPv6報文。因為R2也是一個雙協議棧設備,故它在根據IPv6報文中的目的地址信息進行路由,并送到目的地。

2.2 手動隧道

手動隧道也是通過IPv4骨干網連接的兩個IPv6域的永久鏈路,用于兩個邊緣路由器或者終端系統與邊緣路由器之間安全通信的穩定連接。手動隧道的轉發機制與GRE隧道一樣,但它與GRE隧道的封裝格式不同,手動隧道直接將IPv6報文封裝到IPv4報文中,IPv6報文作為IPv4報文的凈載荷。

2.3 IPv4兼容IPv6自動隧道

自動隧道能夠完成點到多點的連接,而手動隧道僅僅是點到點的連接。IPv4兼容IPv6自動隧道技術能夠使隧道自動生成。在IPv4兼容IPv6自動隧道中,只需要告訴設備隧道的起點,隧道的終點由設備自動生成。為了完成隧道終點的自動產生,IPv4兼容IPv6自動隧道需要使用一種特殊的地址,即IPv4兼容IPv6地址,其格式如圖四所示。

在IPv4兼容IPv6地址中,前綴是0:0:0:0:0:0,最后的32位是IPv4地址。IPv4兼容IPv6自動隧道將使用這32位IPv4地址來自動構造隧道的目的地址。IPv4兼容IPv6的自動隧道兩端的主機或路由器必須同時支持IPv4和IPv6協議棧。使用IPv4兼容IPv6的自動隧道可以方便地在IPv4上建立IPv6隧道,但是,它限于在隧道的兩端點進行通信,隧道兩端點后的網絡不能通過隧道通信。

IPv4兼容IPv6自動隧道是隨報文動態建立的隧道。無論要和多少個對端建立隧道,本端只需要一個接口,路由器維護簡單。但是,它要求IPv6地址必須是特殊的IPv4兼容IPv6地址,有很大的局限性。同時,因為IPv6報文中的地址前綴只能是0:0:0:0:0:0,也就是所有的節點處于同一個IPv6網段中,所以它只能做到節點本身的通信,而不能通過隧道進行報文的轉發。這種局限性在6to4隧道技術中得到很好的解決。

2.4 6to4隧道技術

6to4隧道可以將多個IPv6域通過IPv4網絡連接到IPv6網絡,和IPv4兼容IPv6自動隧道類似,使用一種特殊的地址格式為2002:a.b.c.d:xxxx:xxxx:xxxx:xxxx:xxxx的6to4地址。其中a.b.c.d是內嵌在IPv6地址中的IPv4地址,可以用來查找6to4網絡中的其他終端。6to4地址有64位網絡前綴,其中前48位由路由器上的IPv4地址決定,用戶不能改變,后16位由用戶自己定義。這樣,這個邊緣路由器后面就可以連接一組網絡前綴不同的網絡。

假設路由器R1和R2通過6to4隧道相連。路由器R1的E0接口全局IPv4地址192.168.100.1/24轉換成IPv6地址后使用前綴2002:c0a8:6401::/64,對此前綴使用子網劃分,Tunnel0使用2002:c0a8:6401:1::/64子網(地址設為2002:c0a8:6401:1::1/64),R1連接主機PC1的E1接口使用2002:c0a8:6401:2::/64子網(地址設為2002:c0a8:6401:2::1/64),PC1也使用2002:c0a8:6401:2::/64子網(地址設為2002:c0a8:6401:2::2/64)。

路由器R2的E0接口全局IPv4地址192.168.50.1/24轉換成IPv6地址后使用前綴2002:c0a8:3201::/64,對此前綴使用子網劃分,Tunnel0使用2002:c0a8:3201:1::/64子網(地址設為2002:c0a8:3201:1::1/64),R2連接主機PC2的E1接口使用2002:c0a8:3201:2::/64子網(地址設為2002:c0a8:3201:2::1/64),PC2也使用2002:c0a8:3201:2::/64子網(地址設為2002:c0a8:3201:2::2/64)。

配置的靜態路由將所有其他發往IPv6前綴2002::/16的流量定向到6to4隧道的Tunnel接口上如圖五所示。

2.5 ISATAP隧道技術

ISATAP(Intra-Site Automatic Tunnel AddressingProtocol)是一種自動隧道技術,同時也可以進行地址自動配置。在ISATAP隧道的兩端設備之間可以運行ND協議。配置了ISATAP隧道以后,IPv6網絡將底層的IPv4網絡看成一個非廣播的點到多點的鏈路(NBMA)。ISATAP隧道的地址也有特定的格式,它的接口ID必須為::0:5ffe:w.x.y.x的形式。其中,0:5ffe是IANA規定的格式,w.x.y.x是單播IPv4地址,它嵌入到IPv6地址的低32位。ISATAP地址的前64位是通過向ISATAP路由器發送請求得到的。與6to4地址類似,ISATAP地址中也有IPv4地址存在,它的隧道建立也是基于此內嵌的IPv4地址來進行。

2.6 6PE

隨著MPLS技術和標準的成熟,出現一種新的基于MPLS/VPN的IPv6隧道機制。隨著骨干網越來越多地采用MPLS技術,必須考慮如何在MPLS上集成IPv6。該方法將整個MPLS網絡看成IPv6隧道,并充分利用MPLS的特性。該方案具有MPLS網絡的一切優點,支持約束路由流量工程,可以把IPv4和IPv6的數據流當作不同的流,從而在核心網絡中減小IPv4/IPv6爭搶資源的影響。同時由于在MPLS網絡中轉發是根據標記進行的,不需要數據層面支持IPv6的數據轉發,即無需核心網絡軟硬件的升級,只需要邊緣路由器具有配置IPv6的能力即可。當IPv6核心網絡達到一定的規模,且當其數據量足夠大時,就可以采用這種方案。

6PE隧道的特點是使用現成的MPLS/VPN技術,不需要升級ISP的核心網絡,只要將PE路由器升級IPv4/IPv6雙棧,并在連接核心網絡的接口上運行MPLS即可。6PE技術減少了對現有的網絡架構及業務的影響,比較適合于ISP及企業網絡。

2.7 6over4

隨著IPv6的廣泛應用,有些節點可能僅支持IPv6協議,這種節點一旦安裝在IPv4網絡中(沒有直接相連的IPv6路由器),就需要考慮如何保證該節點能夠與外界通信。該方案利用IPv4網絡的組播特性建立與外部的虛擬通信鏈路來提供保證。IPv6節點需要與外部通信,它不需要手工配置隧道或與IPv4兼容的地址,而是直接將IPv6報文封裝在IPv4報文中,通過IPv4網絡的組播特性,將該報文傳送到路由器發送到外部。

6over4技術使用IPv4組播來模擬一個虛擬的物理鏈路,將IPv6的組播地址映射成IPv4組播地址,在此基礎上實現ND協議。6over4主機的IPv6地址由64位的單播地址前綴和規定格式的64位接口標識符::wwxx:yyzz組成,其中wwxx:yyzz是其IPv4地址w.x.y.z的十六進制表示。6over4技術要求主機間的IPv4必須支持組播,以用來互聯IPv4網絡內隔離的IPv6主機。

2.8 隧道代理(Tunnel Broker)

隧道代理(Tunnel Broker)是一種架構,而不是具體的協議。隧道代理(Tunnel Broker)的主要目的是簡化隧道的配置,提供自動的配置手段。對于已經建立起IPv6的ISP來說,使用隧道代理(Tunnel Broker)技術可以方便地擴展網絡用戶。從這個意義上說,Tunnel Broker可以看作一個虛擬的IPv6 ISP,通過Web方式為用戶分配IPv6地址、建立隧道,并提供和其他IPv6節點之間的通信。隧道代理(Tunnel Broker)的特點是靈活、可操作性強,可以針對不同的用戶提供不同的隧道配置。

2.9 Teredo隧道

Teredo隧道是一種IPv6-over-UDP隧道。為了解決傳統的NAT不能夠支持IPv6-over-IPv4數據包的穿越的問題,Teredo隧道技術采用將IPv6數據封裝在UDP載荷中的方式穿越NAT,使得NAT域內的IPv6節點得到全球性的IPv6連接。

在Teredo協議中,定義了4種不同的實體[16]:Client、Server、Relay、Host-specific Relay。其中Client是指處于NAT域內并想要獲得IPv6全局連接的主機。Server具有全局地址并且能夠為Client分配Teredo地址,Relay負責轉發Client和一般IPv6節點通信的數據包;Host-specific Relay是指不通過Relay就可以直接和Client進行通信的IPv6主機。這些角色同時都支持IPv4/IPv6協議,其地址結構如圖六所示。

3 翻譯機制

這種過渡技術適合IPv6網絡和IPv4網絡之間的通信,在過渡的不同階段和不同環境下,應根據實際網絡的具體情況進行部署。協議和地址轉換技術包括:

3.1 NAT-PT

Network Address Translation-Protocol Transla-tion網絡地址轉換/協議轉換。除單點故障和性能問題需要解決外,利用轉換網關來在IPv4和IPv6網絡之間轉換以實現IPv4對IPv6的通信是可行的。根據IP報頭的地址和協議的不同,對IP分組做相應的語義翻譯,從而使純IPv4和純IPv6站點之間能夠透明通信。

3.2 SIIT

這種技術需要IPv4映射的IPv6地址結構(::FFFF:A.B.C.D)。在IPv4地址使用方面,還要有較大的備用IPv4地址池來分配IPv4地址,而且在采用網絡層加密和數據完整性保護的情況下不可用。

3.3 BIS

適合網絡過渡的初期使用。這種技術在協議棧的層次上進行分組翻譯。需要在主機協議棧中插入三個模塊,分別完成域名解析、地址映射和翻譯。缺點是不支持多播功能、不能實現網絡層上的安全機制。

3.4 BIA

BIA與BIS類似,只是在API層而不是在協議棧的層次上進行分組的翻譯,所以它的實現比BIS要簡單一些因為不需要對IP包頭進行分析。

4 結束語

本文對當前IPv4向IPv6的過渡技術作了一個比較全面的介紹,特別是使用隧道的各種技術描述的較詳細,因為現在國內外使用最多的過渡技術就是隧道技術。對于有意于進行網絡改造或升級的單位或機構,可以根據自身的條件選擇其中的一種或幾種技術進行實踐,筆者所在單位就使用了ISATAP隧道技術作為過渡試驗網,取得了良好的效果。

參考文獻

[1]IPv6隧道通信技術[EB].http://bbs.chinaitlab.com/viewthread.php.

[2]馬嚴,趙曉宇.IPv4向IPv6過渡技術綜述[J].北京郵電大學學報,2002,(4):1-5.

[3]湯九斌,楊靜宇.IPv6over IPv4隧道技術原理與實現[J].江蘇通信技術2002,(4):28-31.

[4]周軍輝.校園網IPV4向IPV6過渡技術的研究[J].大眾科技.2008,(7):30-31.

[5]Teredo概述[EB].www.microsoft.com.

IPv6有線電視論文范文第6篇

如今，隨著網絡的日益膨脹，不論是出于對安全或者是信息私密性的考慮，越來越多的商業機構和政府部門都不再愿意在不安全的網絡化上發送敏感的信息或者進行明文的直接交流。針對這樣的不安定因素，加密和認證需求成為了眾多用戶的無奈選擇。隨著IP網絡在商用和消費中的重要性與日俱增，網絡的安全性問題變得日益突出，亟待改善。

二、認證報頭的現實意義

從IPv6的誕生以來，它逐漸完善了安全性方面的機制。

IPv6的安全主要由IP的AH (Authentication Header)和ESP (Encapsulating SecurityPayload)報頭的標記來標識。RFC1826 (IP認證報頭) 中對AH進行了描述，RFC1827 (IP封裝化安全凈荷(ESP))對ESP報頭進行了描述。

1. IPv6中定義了認證報頭（Authentication Header, AH) IPsec提供了兩種安全機制：加密和認證

(1) 加密是通過對數據進行編碼來保證數據的機密性，以防止數據在傳輸過程中被他人截獲而失密

解決的實際問題：明碼傳輸和存儲轉發的數據傳輸方式，使得“中間人”篡改正在傳輸的數據成為可能;在開放的網絡中，數據包可能經過任意數量的未知網絡，任一個網絡中都可能有包嗅探器在工作，以明文的形式在網絡上傳播數據也毫無機密性可言。

(2) 認證使得IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭到破壞或改動

解決的實際問題：在現行的IP網絡中，IPsec使用得并不普遍。所以在現在的網絡中，偽裝源地址是相當容易的，數據包的接收者根本就沒有辦法弄清楚數據包的源地址欄里所注明的主機是不是數據包的真正發出者。這使得惡意的用戶可以冒充其他人得到有用的信息。如果經過仔細的偽裝，惡意用戶甚至可以取得服務器的控制權;

正是由于網絡中存在的上述問題，從而在IPv6的報頭中啟用了IPsec協議，也使得IPv6在網絡層的安全性上得到了很大的增強。

2. 封裝化安全凈荷（Encapsulating Security Payload, ESP)

解決的實際問題：由于協議分析儀或“sniffer”的大量使用，惡意的用戶可以截取網絡上的數據包并且可以從中竊取數據。

針對這一問題，IPv6還提供了一個標準的擴展頭--封裝化安全凈荷(ESP)，在網絡層實現端到端的數據加密，以對付網絡上的監聽。

ESP報頭提供了幾種不同的服務，其中某些服務與AH有所重疊：

(1) 通過加密提供數據包的機密性

(2) 通過使用公共密鑰加密對數據來源進行身份驗證

(3) 通過由AH提供的序列號機制提供對抗重放服務

(4) 通過使用安全性網關來提供有限的業務流機密性

IPv6所有的命令和執行都有安全方面的考慮。并且，提供了加密和認證機制。這些機制都是在網絡層上實現的，對于網絡層以上的應用是不可見的，也就是說應用程序就不必了解這些安全機制的細節了。

通過對IPv6所提供的新的安全機制的介紹，可以看到，IPv6可以進行身份認證，并且可以保證數據包的完整性和機密性。所以在安全性方面，用戶已經感受到了質的飛躍。

三、IPv6安全機制的引入對于網絡整體安全的影響

1. 對于網絡層的安全性，有如下三個公認的指標：

身份驗證:能夠可靠地確定接收到的數據與發送的數據一致，并且確保發送該數據的實體與其所宣稱的身份一致

完整性:能夠可靠地確定數據在從源到目的地傳送的過程中沒有被修改

機密性:確保數據只能為預期的接收者使用或讀出，而不能為其他任何實體使用或讀出。使用公共密鑰加密來實現，這樣也有助于對源端進行身份驗證

2. 在現今的網絡中，確保數據的安全性，還應該解決如下威脅：

拒絕服務攻擊：攻擊者可能使某主機淹沒于大量請求中，從而致使系統崩潰;或者重復傳送很長的Email報文，企圖以惡意業務流塞滿用戶或站點帶寬。

愚弄攻擊:即實體傳送虛假來源的包。而現在的IP網絡對這兩個問題也無能為力，如果我們充分認識到上述安全問題的嚴重性，當今的網絡安全機制明顯不足。

四、防火墻的工作機制及IPv6的相關應對

當前的防火墻有三種類型：包過濾型、地址轉換型和應用代理型(應用層)。

1. 地址轉換型防火墻：

它可以使局域網外面的機器看不到被保護的主機的IP地址，從而使防火墻內部的機器免受攻擊。但由于地址轉換技術(NAT)和IPsec在功能上不匹配，很難穿越地址轉換型防火墻利用IPsec進行通信。當采用AH進行地址認證時，IP報頭也是認證的對象，因此不能做地址轉換。當只用ESP對分組認證/加密時，因為IP報頭不在認證范圍內，乍一看地址轉換不會出現問題，但即使在這種情況下也只能作一對一的地址轉換。

而不能由多個對話共用一個IP地址。這是因為ESP既不是TCP也不是UDP，不能以端口號的不同進行區分的緣故。此外，在用UDP實現ESP的情況下，因雙方都要求源端口號和目的端口號為500，如進行地址轉換就要變換端口號，則不能正常工作。

(2) 包過濾型防火墻：基于IPv4的包過濾型防火墻是依據數據包中源端和目的端的IP地址和TCP/UDP端口號進行過濾的。在IPv4中，IP報頭和TCP報頭是緊接在一起的，而且其長度基本是固定的，所以防火墻很容易找到報頭，并使用相應的過濾規則。然而在IPv6下TCP/UDP報頭的位置有了變化，IP報頭與TCP/UDP報頭之間常常還存在其他的擴展報頭，如路由選項報頭，AH/ESP報頭等。防火墻必須逐個找到下一個報頭，直到TCP/UDP報頭為止，才能進行過濾，這對防火墻的處理性能會有很大的影響。在帶寬很高的情況下，防火墻的處理能力就將成為整個網絡的瓶頸使用了IPv6加密選項后，數據是加密傳輸的，由于IPsec的加密功能提供的是端到端的保護，并且可以任選加密算法，密鑰是不公開的。防火墻根本就不能解密。因此防火墻就無從知道TCP/UDP端口號。如果防火墻把所有的加密包都放行的話，其實也就為黑客穿刺防火墻提供了一條思路：防火墻不再能夠限制外部的用戶所能訪問的端口號了，也就是不能禁止外部用戶訪問某些本不應該對外提供的服務了。

3. 應用代理型的防火墻工作于應用層，受到IPv6安全機制的影響較小。

五、IPv6依然有待解決的問題

我們了解了許多IPv6對于網絡應用的優勢，但這并不能說IPv6已經可以確保系統的安全了。這其中有很多原因，最重要的是安全包含著各個層次，各個方面的問題，不是僅僅由一個安全的網絡層就可以解決的。如果黑客從網絡層以上的應用層發動進攻，比如利用系統緩沖區溢出或木馬的方法，縱使再安全的網絡層也與事無補。

即使僅僅從網絡層來看，IPv6也不是十全十美的。它畢竟同IPv4有著極深的淵源。并且，在IPv6中還保留著很多原來IPv4中的選項，如數據的分片，TTL。而這些選項曾經被黑客用來攻擊IPv4協議或者逃避檢測，很難說IPv6能夠逃避得了類似的攻擊。同時，由于IPv6引進了加密和認證，還可能產生新的攻擊方式。比如大家都知道，加密是需要很大的計算量的。而當今網絡發展的趨勢是帶寬的增長速度遠遠大于CPU主頻的增長。如果黑客向目標發送大量貌似正確實際上卻是隨意填充的加密數據包，被害者就有可能由于消耗了大量的CPU時間用于檢驗錯誤的數據包而不能響應其他用戶的請求，造成拒絕服務。

另外，當前的網絡安全體系是基于現行的IPv4協議的。當前防范黑客的主要工具，有防火墻、網絡掃描、系統掃描、Web安全保護、入侵檢測系統等。IPv6的安全機制對他們的沖擊可能是巨大的，甚至是致命的。

六、總結

綜上論述，IPv6引入了兩個新的擴展報頭AH和ESP。它們幫助IPv6解決了身份認證，數據完整性和機密性的問題，使IPv6真正實現了網絡層安全。但是，這些安全機制對于當前的計算機網絡安全體系造成了很大的沖擊。使對于IPv6加密數據包的過濾，入侵檢測和取證都處于一種真空狀態。為了適應新的網絡協議和新的發展方向，尋找新的解決安全問題的途徑變得非常急迫。而安全專家也應該面對新情況，進一步研究和積累經驗，盡快找出合適的解決方法。

參考文獻

[1]Silvia.IPv6精髓.清華大學出版社.2004

[2]周遜:IPv6——下一代互聯網的核心[M]﹒北京:電子工業出版社