gpgfl覺目（B直衛(wèi)

E【M￡0AMATioN[￡MGJNEERINCj]

下一代互聯(lián)網(wǎng)協(xié)議IPv6

鄭州大學(xué)信息工程學(xué)院

李向麗

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)iy向麗

即fifl去穹（B直衛(wèi)E9冒他

第一部分

IPv6技術(shù)

?第2章IPv6概述

?第3章IPv6編址技術(shù)

?第4章IPv6分組及協(xié)議機制

?第5章ICMPV6及應(yīng)用

?第6章IPv6過渡機制

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院巨向麗

即fifl去穹(B直江

o€Q3SQ^

第4章IPv6分組及協(xié)議機制

4.1IPv6分組格式

4.2IPv6分組擴展首部使用的TLV可選項

4.3跳到跳(Hop?by?Hop)選項擴展首部

4.4源路由選擇擴展首部

4.5分片擴展首部

4.6目的選項擴展首部

4.7IPv6的安全體系IPsec—兩個擴展首部

4.8IPv4分組與IPv6分組首部的比較

4.9IPv6下的域名系統(tǒng)DNS擴展

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

gpgfl覺目（B直衛(wèi)

E【M￡0AMATioN[￡MGJNEERINCj]

4.1IPv6分組格式

411IPv6分組首部

4.1.2IPv6分組的擴展首部

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院苣向麗

gpgfl覺目（B直衛(wèi)

E【M￡0AMATioN[￡MGJNEERINCj]4.1.1IPv6分組首部

最長

65535字節(jié)

20?

60字節(jié)___________________________

IPv4首部DataField

________________________4

IPv4PacketDataUnit

最長有效載荷

65535字節(jié)

定長

40字節(jié)0ormore

IPv6PacketDataUnit：>

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)致芝向麗

芬帝卜

IPv6首部格式

?RFC2460描述的IPv6首部(40B)：

0412162431

VersionTrafficClassFlowLabel

版本號業(yè)務(wù)類型流標(biāo)簽

PayloadLengthNextHeaderHopLimit

有效載荷長度下一首部跳數(shù)限制

128bitSourceAddress

—源地址

—128bitDestinationAddress

目的地址

即fifl覺穹(B直衛(wèi)

而5首部字段含義

?Version(4bits)：6forIPv6

?TrafficClass(8bits)咨typeofservicesinIPv4

?FlowLabel(20bits)：支持資源預(yù)留。流是互聯(lián)網(wǎng)

上從特定源到特定目的的一系列分組(如實時音頻

視頻)，路徑上的路由器都保證指明的服務(wù)質(zhì)量。

源通過label標(biāo)示出相應(yīng)的一系列分組。

?PayloadLength(16bits)：除去首部外的總長度。

指明IPv6數(shù)據(jù)報除首部以外的字節(jié)數(shù)(所有擴展

首部都算在有效載荷之內(nèi))，其最大值是64KBo

2010年10月20日星期三

汁04芬RQ帝卜

即fifl去穹（B直衛(wèi)E9冒他

即首部字段含義

下一首部標(biāo)識號

跳到跳選項0

ICMP2

TCP6

UDP17

源路由選擇43

分片44

加密安全載荷50

身份驗證51

無后繼擴展首部59

目的端選項60

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院苣向麗

即fifl去穹(B直衛(wèi)E9冒他

IPv6首部字段含義

?HopLimit(8bits)TTLinIPv4o路由器在轉(zhuǎn)

發(fā)數(shù)據(jù)報時將跳數(shù)限制的值減1。當(dāng)值減為。時，

就要將此數(shù)據(jù)報丟棄。

?源地址(sourceaddress)，128位。標(biāo)識發(fā)送

分組的節(jié)點的IPv6地址。

?目的地址(destinationaddress),128位。標(biāo)

識接收分組的節(jié)點的IPv6地址。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl去穹（B直衛(wèi)E9冒他

4.1.2IPv6分組的擴展首部

?擴展首部及下一個首部字段

?IPv6將原來IPv4首部中選項的功能都放在擴展

首部中，留給路徑兩端的源站和目的站的主機來

處理。

?數(shù)據(jù)報途中經(jīng)過的路由器都不處理這些擴展首部

（只有一個首部例外，即逐跳選項擴展首部）Q

?這樣就大大提高了路由器的處理效率。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl去穹（B直衛(wèi)E9冒他

4.1.2IPv6擴展首部

?在［RFC2460］中定義了六種擴展首部

?報文中各種擴展首部的出現(xiàn)順序原則：

?在報文傳送途中各個路由器需要處理的擴展

首部出現(xiàn)在報文的前面

?只需要在目的節(jié)點處理的擴展首部放置在后

面，從而提高路由器的處理效率.

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl去穹(B直衛(wèi)E9冒他

擴展首部在IPV6分組中的順序

IPv6首部

①②逐跳選項首部(Hop-by-HopOptionsHeader),數(shù)字標(biāo)識為0

③目的選項首部(Desi；或OptionsHeader),數(shù)字標(biāo)識為60

④源路由選擇首部(RoutingHeader),數(shù)字標(biāo)

分片首部數(shù)字標(biāo)識)唯——個

⑤(FragmentHeader),可出現(xiàn)鹵

⑥認(rèn)證首部(AH：AuthenticationHeader),數(shù)字標(biāo)

次的首部

封裝安全載荷首部，數(shù)字標(biāo)識為50

(ESP：EncapsulatingSecurityPayloadHeader)

⑦目的選項首部(Dp￡t；uationOptionsHeader),數(shù)字標(biāo)識為60

上層協(xié)議首部

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即SI）覺目（B國衛(wèi)曼邕/

IPv6的擴展首部

無擴展首部

首部CP/UDP首部

下一個首部和數(shù)據(jù)

=TCP/UDP（TCP/UDP報文段）

有擴展首部

首部源路由選擇首部彳分片首部TCP/UDP首部

下一個首部,'一~~和數(shù)據(jù)

下一個首部下一個首部

二路由選擇二分片=TCP/UDP（TCP/UDP報文段）

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)施會向麗

1L加

gpgfl覺目（B國江魚目他

一"-"T展首部的“鏈”

031131

版本號（4位）|傳輸類別（8位）流標(biāo)識（20位）

載）長度（16位），:下一首部（8位）跳數(shù)極限（8位）

源地址（128位）

目的地址（128位）

7下一首部首部長度

第一個擴展首部

7下一首部首部長度

第一個擴展首部

其它擴展首部或數(shù)據(jù)部分

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院-薦向麗

如、白4公AQ秋______________________；

即fifl去穹（B直衛(wèi)E9冒他

4.2IPv6分組擴展首部使用的

TLV可選項

?4.2.1TLV可選項及格式

?4.22TLV可選項的對齊表示

?423設(shè)計新的TLV可選項

?允許通過跳到跳選項擴展首部和目的選項擴展

首部來建立新的選項。

?使用選項首部擴展，很容易地實現(xiàn)新的選項功

能。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl去穹(B直江

4.2.1TLV可選項及格式

選項類型(8位)選項數(shù)據(jù)長度(8位)選項數(shù)據(jù)

?三元組格式包含三個字段，簡稱為TLV可選項(Type-

Length-Value)O

-選項類型T(optiontype)：8位標(biāo)識符，指明選項的類型。

即使目的節(jié)點不能夠識別選項，也可以由該字段的前3位編

碼翻譯出選項的類型。

-選項數(shù)據(jù)長度L(optiondatalenth)：8位整數(shù)，以字節(jié)

為單位表示選項數(shù)據(jù)字段的長度。該字段最大值為255。

-選項數(shù)據(jù)Value(optiondata)：包含選項特定的數(shù)據(jù)，

其長度不定，最大長度為255字節(jié)。該字段又貝以劃分為多

個子字段。

2010年10月20日星期三

汁04芬帝卜

選項類型

操作類型

（2位）（5位）

?選項類型（optiontype）：8比特的類型標(biāo)志符。

-高2位：表示對節(jié)點不能識別選項時的處理

方法（看下頁）；

?第3位C（changeen-route）：指示選項值

在傳輸路徑上是否能夠改變。當(dāng)C置“1”時，

可以變化，計算校驗和時要去掉這種選項；

當(dāng)C為“0”時，不能改變。.i/

.從第4位到第8位：5位,是選項睡邛領(lǐng)號。

2010年10月20日星期三鄭州大學(xué)看之工程類院MI句麗/令9

二二I旅曾信回迎匚二二

-七干;二±;上=三/:羋:二:上上；二巴tA

麗氤位規(guī)定類型節(jié)點不能識別這些TLV選

項時的處理方式。

高2位___________________處理動作

的對該選項不予理睬何以根據(jù)“選項數(shù)據(jù)長度，指

0。示的長度跳過選項域，繼續(xù)處理下一選項。

01拋棄此IP分組，不再進行任何處理，也不回送

_______ICMPv6^文。______________________________

目的地址是多播地址也回送ICMPV6報文）

拋棄此IP分組，只要目的地址不是多播地址就向

源回送ICMPv6差錯報文。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

汁04芬RQ帝卜

即fifl覺穹（B直衛(wèi)

4.2.2TLV可選項的對齊表示

?RFC1883中定義了兩個填充選項，用于確保擴展

首部字段符合邊界要求。

?“xn+y”表示對TLV可選項的對齊要求，指明該TLV

可選項在擴展首部的位置，即

-處于距離它所在的擴展首部開始處“x字節(jié)的整

數(shù)倍加上y字節(jié)”的位置上。

-也就是說，“選項類型”字段（不是選項數(shù)據(jù)）

的位置應(yīng)該是距離擴展首部x的整數(shù)倍加y字節(jié)

處，其中，y是偏移量。

2010年10月20日星期三

汁04芬RQ帝卜

即fifl去穹（B直衛(wèi)E9冒他

Lpad1填充選項

?pad1填充選項無對齊要求，它是TLV可選項的

一個特例。它沒有選項數(shù)據(jù)長度字段和選項數(shù)

據(jù)字段，僅僅包含一個字節(jié)長的類型字段，類

型字段的值=0。

?pad1填充選項用于在擴展首部中填充一個字

節(jié)。當(dāng)需要填充多個字節(jié)來保證TLV可選項的

對齊時，應(yīng)該使用padN填充選項。

類型=0

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl覺穹（B直衛(wèi)E9冒他

2.padN填充選項

?padN填充選項能夠填充任意字節(jié)。

?如果擴展首部需要N字節(jié)填充，則選項數(shù)據(jù)長度字

段值為N?2,即選項數(shù)據(jù)字段占N?2個字節(jié)，全部

置為0。再加上1字節(jié)的選項類型字段和1字節(jié)的選

項數(shù)據(jù)長度字段，一共填充了N字節(jié)。

類型=1選項數(shù)據(jù)長度（8位）選項數(shù)據(jù)（全0,N?2字節(jié)）

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■連向麗

即fifl覺穹（B直衛(wèi)

誦方設(shè)計新的TLV可選項

一個TLV可選項的設(shè)計思想：

?位于TLV可選項數(shù)據(jù)字段中的各個多字節(jié)子字段，

應(yīng)該在分組的自然邊界上對齊。

-n字節(jié)子字段應(yīng)該放置在距離擴展首部的開始處n

的整數(shù)倍字節(jié)偏移的位置上，其中n=1,2,4或8。

?在遵循擴展首部長度為8的整數(shù)倍字節(jié)的前提下，

跳到跳擴展首部和目的選項擴展首部占有盡可能少

的空間。

?當(dāng)一個擴展首部需要攜帶TLV可選項時，選項的數(shù)

目應(yīng)該盡可能少，

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■連向麗

即fifl去穹（B直衛(wèi)E9冒他

TLV可選項的選項數(shù)據(jù)的對齊要求

?由短到長排列各個子字段

-子字段之間不能存在間隙

?根據(jù)最長子字段的對齊要求，來確定整個TLV

可選項的對齊要求

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl覺穹（B直衛(wèi)E9冒他

TLV可選項X

?例如，假設(shè)一個TLV可選項X要求有兩個選項數(shù)據(jù)

子字段，一個數(shù)據(jù)子字段長8字節(jié)，另一個數(shù)據(jù)子

字段長4字節(jié)，貝！JTLV可選項X的布局如圖所示。

可選項類型二X可選項數(shù)據(jù)長度二12

4字節(jié)子字段

8字節(jié)子字段

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院巨向麗

汁04芬帝卜

即fifl覺穹（B直衛(wèi)E9冒他

攜帶TLV可選項X的擴展首部

?8字節(jié)的子字段要求落在從擴展首部開始的8的整數(shù)

倍字節(jié)偏移處，所以整個TLV可選項的對齊要求為

8n+2o

?在一個完整的跳到跳擴展首部或目的選項擴展首部

中，TLV可選項X的位置如圖所示。

2010年10月20日星期三鄭州大學(xué)信息工程里m向麗

即fifl去穹（B直衛(wèi)E9冒他

TLV可選項Y

?假設(shè)TLV可選項Y有三個選項數(shù)據(jù)子字段:

-一個數(shù)據(jù)子字段的長度為4字節(jié)

-一個數(shù)據(jù)子字段的長度為2字節(jié)

-一個數(shù)據(jù)子字段長1字節(jié)

即fifl覺穹（B直衛(wèi)E9冒他

攜帶TLV可選項Y的擴展首部

為什么加入Padl

可選項

擴展首部長度「'田就可選可選項類型=Y

下一首部

=1

可選項數(shù)據(jù)長度=71字節(jié)子字段2字節(jié)子字段

4字節(jié)子字段

PadN填充可選項可選項數(shù)據(jù)長

00

=1度=2

為什么加入PadN

可選項？

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院巨向麗

汁04芬帝卜

即fifl覺穹（B直衛(wèi)E9冒他

同時攜帶有TLV可選項X和Y,且可選項X在前的擴

展首部結(jié)構(gòu)

可選項數(shù)據(jù)長

下一首部擴展首部長度=3可選項類型=x

度=12

4字節(jié)子字段

8字節(jié)子字段

PadN^EM選

可選項數(shù)據(jù)長度=10可選項類型=Y

項=1

可選項數(shù)據(jù)長度

1字節(jié)子字段2字節(jié)子字段

=7

4字節(jié)子字段

PadN填充可選

可選項數(shù)據(jù)長度=22

項=1___。嗎林：*’1---------

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院巨向麗

汁04芬RQ帝卜

覺目（B直衛(wèi)［3冒他

同時攜帶有TLV可選項X和Y,且可選項Y在前的擴

展首部結(jié)構(gòu)

下一首部擴展首部長度=3Pad1填充可選項=0可選項類型=Y

可選項數(shù)據(jù)長度

1字節(jié)子字段2字節(jié)子字段

=7

4字節(jié)子字段

PadN填充可選可選項數(shù)據(jù)長度

項=1=4

可選項數(shù)據(jù)長度

00可選項類型=X

=12

4字節(jié)子字段

8字節(jié)子字段

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院巨向麗

汁04芬RQ帝卜

即fifl覺穹（B直衛(wèi)

°€Q33￡&1

4.3Hop?by?Hop選項擴展首部

逐跳選項作用：攜帶在一個報文的傳送途中的所有節(jié)

點都必須檢查處理的信息。逐跳選項只有在絕對必要

的時候才會出現(xiàn)。

逐跳選項格式：

一下一首部：8位無符號數(shù)，標(biāo)識跟在該首部后面的下一首部。

-擴展首部長度：8位無符號整型數(shù)，以8字節(jié)為單位的擴展

首部長度，不包括前8個字節(jié)。整個擴展首部的長度必須為8

字節(jié)的整數(shù)倍。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹（B直江

巨型載荷TLV可選項

?在跳到跳選項擴展首部中，除了pad1和padN之

外，還定義了類型為194的巨型載荷TLV可選項。

?此選項打破了IPv6首部對載荷長度的限制。有效

載荷大于65535字節(jié)的IP分組可使用特大載荷選

項。

?這種分組的首部的有效載荷長度被置成“0”，在巨

型載荷選項字段中置入載荷長度，即除40字節(jié)首

部之外的IP分組的大小。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

成中國江匚二二

包含巨型載荷選項的跳到跳擴展首部格式

?巨型載荷選項的選項數(shù)據(jù)長度字段為4字節(jié)，因

此有效載荷長度最多可以為232?1個字節(jié)，超過了

40億字節(jié)（4,294,967,295字節(jié)）。

?IP設(shè)計者認(rèn)為這一長度足夠用了，如果長度還不

夠，只須追加其它選項。

擴展首部長度（8TLV可選項類型（8選項數(shù)據(jù)長度（8

下一首部（8位）

位）=0位）=194位）=4

選項數(shù)據(jù)=巨型載荷長度

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹（B直江

4.4源路由選擇擴展首部

?源路由選擇擴展首部用于指明在到達目的節(jié)點前

報文必須經(jīng)過的路由節(jié)點，其功能類似于IPv4中

的松散源路由選擇選項。

?IPv6中定義了路由類型為。和2的源路由選擇擴展

首部，本節(jié)介紹類型0。

?路由類型為2的源路由選擇擴展首部，支持移動

IPv6,將在第11章進行介紹。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl覺穹（B直衛(wèi)E9冒他

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

and*o/i八二。如、

v字段的意義

?下一首部，8比特字段。含義與IPv6首部中的下一

首部字段相同。

?擴展首部長度，8比特的無符號整數(shù)，表示該擴展

首部的長度，8字節(jié)為單位。長度不包括前8字節(jié)。

?路由類型，8比特字段。表示所使用的源路由選擇

擴展首部的類型。

?剩余路由段數(shù)，8比特?zé)o符號整數(shù)。取值從0開始，

最大為23。表示擴展首部中路由器的地址個數(shù)，這

些路由器是在到達最終目的地的傳送途中，所必須

經(jīng)過的節(jié)點數(shù)目。/

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)向麗

即flfl去穹（B國衛(wèi)

字段的意義（續(xù)）

?保留字段（reserved）：32比特，置為全0,用于

未來?？梢允拐麄€分組的長度為8的整數(shù)倍字節(jié)。

?地址向量表字段，可變長，其格式由路由類型決定。

其長度應(yīng)該保證整個源路由選擇擴展首部的長度是

8字節(jié)的整數(shù)倍。

-在路由類型為0的源路由選擇擴展首部中，有n個

IPv6地址組成的地址向量表，給出了IPv6分組需

要經(jīng)歷的中間路由器的IPv6地址。

-n的最大值為23。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl覺穹（B直衛(wèi)

路由類型為0的源路由選擇擴展首部

的操作過程

?由源節(jié)點構(gòu)造地址向量表和類型為0的源路由選擇

擴展首部。

-源節(jié)點發(fā)送分組時，將首部的目的地址字段，設(shè)置

為地址向量表中的第一個地址。

?該分組一直被轉(zhuǎn)發(fā)，直到到達第一個節(jié)點，即目的

地址指定的節(jié)點。只有該路由器才檢查源路由選擇

擴展首部，沿途的該路由器之前的路由器都忽略源

路由選擇擴展首部。

2010年10月20日星期三

汁04芬RQ帝卜

即fifl去穹（B直衛(wèi)E9冒他

操作過程（續(xù)）

?在指定的節(jié)點中，路由器檢查剩余路由段數(shù)，以確

保其與地址向量表一致。

?若剩余路由段數(shù)的值等于0,則表示此節(jié)點是最終

目的地，節(jié)點將繼續(xù)對分組的其它部分進行處理。

?假定此節(jié)點不是最終目的地，它將從地址向量表中

按序取出下一個地址，填入目的地址字段。

?節(jié)點將剩余路由段數(shù)減1。將分組發(fā)往下一節(jié)點。

-地址向量表中的其它節(jié)點重復(fù)此過程，直到分組到

達最終目的地。

2010年10月20日星期三鄭州大學(xué)信息工程宅院學(xué)向麗

即fifl覺穹（B直衛(wèi)E9冒他

一個例子：分析攜帶有。類型的源路由選擇擴展

首部的IPv6分組，從S到D的傳輸過程一

?傳輸過程中首部和源路由擴展首部的變化情況

首部源路由選擇擴展首部

報文所

在鏈路目的地擴展首剩余路

源地址地址口］地址［2］地址［3］

址部長度由段數(shù)

S-I1S11^***■-I2

11-12S12Va'''''''H

_一^一----------J^L■?電加L>

12-13S13。=*-—1，;

------

________11

13一DSD.—P/?rX

2010年10,目2。日星期二鄭州大學(xué)信息T程，學(xué)I宛一李向麗

A'X

即fifl去穹（B直衛(wèi)E9冒他

?可見，傳輸過程中，IPv6首部中的目的地址和地

址向量表中的地址進行交換。

?IPv6源路由擴展首部與IPv4源路由選項區(qū)別：節(jié)

點對IP分組的處理效率不同。

-IPv6分組傳輸途中，路由器僅在其IP地址與目

的地址字段中的地址一致時，才加以處理；

-IPv4源路由選項嵌在首部中，雖然是一個可選

項，但每個路由器都需要檢查這個選項。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl覺穹（B直衛(wèi)

4.5分片擴展首部

?作用：源節(jié)點傳送的分組長度大于源到目的節(jié)點之

間的鏈路的最大傳輸單元MTU時使用。

?IPv6與IPv4在分片機制上的本質(zhì)區(qū)別：

-在IPv6中，路由器不負責(zé)對過長分組的拆分；

-對分組的拆分工作由發(fā)送分組的源節(jié)點完成。

-為保證分片與路徑最大傳輸單元匹配，IPv6源節(jié)

點必須知道路徑的MTU。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

分片擴展首部（8字節(jié)）格式

下一首部保留域分片偏移保留位M

（8位）（8位）（13位）（2位）（1位）

標(biāo)識（32位）

?分片偏移（fragmentoffset）的功能與IPv4的偏移

量類似。分片偏移以64比特（8字節(jié)）為單位，它

指出該分片的起始字節(jié)在原分組中的位置。

?IPv6應(yīng)將除最后一個分片之外，所有分片分割成8

字節(jié)整數(shù)倍大小的數(shù)據(jù)塊。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■連向麗

即fifl去穹(B直江

?M(Morefragment)比特在最后的分片中置

成“0”，在其余的分片中置成“1”。

?標(biāo)識(Identifier)與IPv4標(biāo)識符的作用相同,

但不是16比特而是32比特。

-標(biāo)識由發(fā)送節(jié)點賦值，它應(yīng)能在一定時段內(nèi)

唯一標(biāo)識該分片所屬的原分組。

-發(fā)送方對發(fā)往同一目的地的待拆分IP分組分

別選取不同的標(biāo)識，接收方利用此值識別并

重組分片所屬的原IP分組。一/

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl覺穹（B直衛(wèi)

分組的可分片和不可分片部分

原分組H------------------------------——"一+

不可分片可分片

部分部分

H-------------------------------//-4-

?不可分片部分：IPv6首部，以及必須由路徑的中間

節(jié)點處理的擴展首部（所有源路由選擇首部以前的

擴展首部）。

-Hop-by-Hop選項首部（如果存在的話）

-源路由選擇擴展首部。

?可分片部分：

-由分組的目的節(jié)點處理的擴展首都場?

-上層協(xié)議數(shù)據(jù)包.

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)以李向麗

gpgfl覺目（B直衛(wèi)

E【M￡0AMATioN[￡MGJNEERINCj]

原分組不可分片第一個第二個

部分分片分片

分片

不可分片I分片第一個

部分I首部I分片

4----------------4

——+

不可分片I分片I第二個J

部分I首部I分片

4-

0

0

0

，4MBWMMMM

不可分片I分片I最后一個

部分I首部|分片

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)iy向麗

AR汁04芬RQ帝卜

即fifl覺穹（B直衛(wèi)

IPv6分片例子

?假設(shè)一個有效載荷為2902字節(jié)的原IPv6分組，沒有

擴展首部，需要通過以太網(wǎng)MTU=（1500B）傳送。

?必須對該IPv6分組進行分片，分多少分片?

-雖然2902V3000B,但仍需分成3個分片。

?第1個分片的大小不能是1500B,只能是

1496B（8B整數(shù)倍），其中有效載荷僅占1456B。

有效載荷中分片擴展首部本身占8B,所以數(shù)據(jù)

部分只有1448B。

?第2個分片的數(shù)據(jù)部分也是1448B。

?第3個分片中只包含剩余的6B

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

(6|TC

冷京長度：M56|，44HL

舉例:第1個分片

首部址

6,TCP報文段

2個

44,分片擴展首部目的比班

分片按厚白I值翁

6展首部標(biāo)識符：1234561百

冷昏長夜:2902

HL停街?jǐn)?shù)據(jù)

（1448字節(jié)）

證地址

1448/8=181

目的選址

TC

年而長度水IHL

布希數(shù)據(jù)選址

（2902字節(jié)）

2902/2=1448+6,目的出址第3個分片

劃分3個分片

分片擴了

展首部1標(biāo)識符：12345k

印希敬發(fā)巧早節(jié)）

即fifl覺穹（B直衛(wèi)

目的端分片重組時應(yīng)遵循以下原則

?只有源地址、目的地址及標(biāo)識均相同的分片才能重

組，從而恢復(fù)成原IPv6分組

?重組后的不可分片部分，由第1個分片的分片首部

前面的所有首部（不含分片首部）組成，做兩處修改:

-不可分片部分首部或最后一個擴展首部中的“下

一個首部”字段值：從第1個分片的分片首部的

“下一個首部”字段得到（例如6）。

-重新計算有效載荷長度：由不可分片部分的長度、

最后一個分片的長度，以及偏移

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

_______________R第1個分片的有效載荷長度

?HEN_GZH0_UJj"lYEBS!Xy/T2**CY2JW“i、urwiT?iur?_uf；TCEHLN^B

不可分片i分片

部分'

第二個

分片

南■分片1/分片\?、最后-

部分/首部\|\分片

-------//-

不可分片可分片

部分部分

分片重組-------//-

?從第1個分片首部的“下一個首部“與

分首部或最后一個擴展首部中的“下一

?重新計算”有效載荷長度”

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

必須由路徑中的節(jié)國冒用重組分組的有效載荷長度計算

點處理的擴展首部

第1個分片的有效載荷長度PL.first

1----------------------4---------------------------------------卜

不可分片分片|第一個|

?

部分；；,I首部|分片|

IPV6TSJ一一一一J第1個分片的分片長度FL.first

不可分片I分片I二個

部分I首部I分片

最后一個分片的分片長度FLJast

最后一個分片中分片首部的分片

不可分片I分片年后——"i

部分I首部I分片7偏移量值FO.last

重組分組

不可分片?第T1莒二個J口

部分；分片分片,分一片■

重組分組的有效載荷長度PL.orig二

不可分部分的擴展首部長度+所有分片長度

Rv3A4部

即fifl去穹（B直衛(wèi)E9冒他

重組包的有效載荷長度計算公式

?「1.0-9=重組包的有效載荷長度字段。

?「1_f31=第一個分片的有效載荷長度。

?FL.first=第一個分片中分片首部后面的分片長度。

?FOJast=最后一個分片中分片首部的分片偏移量值。

?FLJast=最后一個分片中分片首部后面的分片長度。

?PLorig=「1_而回卡1_方網(wǎng)-8（分片擴展首部長度）

必須由路徑中的節(jié)點處理的擴展首部，

即第一個分片中不可分部分的擴展首部

+（8*F0.last）+FL.Iast

分片長度總和

?最終重組后的包不含分片首部。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

工3鵡信回迎匚二二

一百的端分片重組時應(yīng)遵循以下原則

?在第一個分片到達目的端之后的60秒之內(nèi)，如果檢

測到仍然有同類分片尚未到達，那么分片重組應(yīng)強

制取消，所有已經(jīng)收到的分片（盡管它們是有效分

片）必須拋棄，并且采取相應(yīng)的措施通知源端。

?當(dāng)接收到Morefragment值為1,但載荷長度不是8

的整數(shù)倍的分片，則丟棄該分片，并用ICMPV6報文

通知源端分片長度出錯。

?如果接收端重組時發(fā)現(xiàn)重組的IP分組的有效載荷長

度超過65535字節(jié)，則某分片的偏移量必然出錯，分

組被丟棄，目的端發(fā)送ICMPV6報掰知源端分片偏

移量出錯。-

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院一李向麗

即fifl去穹(B直衛(wèi)E9冒他

關(guān)于MTU的說明

?IPv6要求因特網(wǎng)上所有鏈路的最大傳輸單元

(MTU)至少為1280字節(jié)；

?對于有能力對MTU進行配置的鏈路，協(xié)議建議這

些鏈路最好能將MTU配置到1500字節(jié)以上。

?協(xié)議強烈推薦IPv6節(jié)點使用MTU發(fā)現(xiàn)技術(shù)。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl去穹（B直衛(wèi)E9冒他

4.6目的選項擴展首部

?目的選項首部用于攜帶只需由分組的目的節(jié)點檢

測的可選信息。

?目的選項首部具有如下格式：

?選項即是TLV可選項，可變長度，其長度須使整

個目的地址選項首部的長度為8B的整數(shù)倍。

I下一個首部|首部擴展長度|

選項

2010年10月20日星期三鄭州大學(xué)信息工程3向麗

即fifl去穹（B直衛(wèi)E9冒他

4.7IPv6的安全體系IPsec

一兩個擴展首部

4.7.1計算機網(wǎng)絡(luò)安全簡介

4.7.2安全關(guān)聯(lián)SA

4.7.3IPsec的認(rèn)證機制

4.7.4IPsec的加密機制

4.7.5AH和ESP保護區(qū)域的差別

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院巨向麗

即fifl去穹(B直江

4.7IPv6的安全體系IPsec

—兩個擴展首部：AH和ESP

?工Pv6引入全新的工P層安全機制一工Psec。工Psec能

用于工Pv4和工Pv6,但是在工Pv6中得到了更好的實

現(xiàn)。它為工P用戶在工P層提供網(wǎng)絡(luò)安全性。

?主要提供了兩種網(wǎng)絡(luò)安全機制：

-認(rèn)證頭(AH)：提供了數(shù)據(jù)完整性保障和身份認(rèn)證;

-加密頭(ESP)：提供了工P分組的數(shù)據(jù)加密。

?兩種機制可以分開單獨使用，也可以合在一起。

工Psec沒有定義自己的密鑰管理機制，希望用戶利

O

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹(B直江

兩種安全模式

?隧道模式(tunnelmode)是把整個原IP分組

都封裝在新的IP分組中，然后，根據(jù)新IP分組

的首部進行分組的傳送。

?傳輸模式(transportmode)只封裝IP分組的

數(shù)據(jù)字段(例如，IP分組中所包含的TCP報文

段和UDP數(shù)據(jù)報)，然后，根據(jù)原IP分組的首

部進行分組的傳送。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl覺穹(B直衛(wèi)

v4.7.1計算機網(wǎng)絡(luò)安全簡介

計算機網(wǎng)絡(luò)安全包括：

?保密性(confidentiality)：只有授權(quán)的訪問者才能

夠訪問系統(tǒng)中的信息，未被授權(quán)的訪問者或者被禁

止接觸這些信息，或者即使接觸到這些信息也不能

獲知它們的真實含義。

?真實性(reality)：確認(rèn)消息的真實來源。

?完整性(integrity)：信息只能被授權(quán)用戶修改，

即使非授權(quán)用戶以某種方式修改了信息，也能被合

法用戶發(fā)現(xiàn)。

?可用性(availability)：在需要時噓檄1篡源對

授權(quán)用戶應(yīng)該是可用的?！ネ牍?/p>

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院一李向麗

施旨（B星江匚二二

四種攻擊方式

?4種攻擊方式：保密性攻擊、真實性攻擊、完整性

攻擊和可用性攻擊。

?保密性攻擊：竊聽。攻擊者通過某種手段，監(jiān)聽到

從某個信息源發(fā)往某個信息目的地的全部或部分信

息。防范措施：對物理設(shè)備進行妥善的管理、加密。

?真實性攻擊：身份偽造。例如，有的攻擊者利用某

種手段冒充用戶A的身份，向用戶B發(fā)送

有的攻擊者偽造用戶A的IP地址向網(wǎng)絡(luò)發(fā)送IP分組

等等。防止身份偽造的主要措施是

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■連向麗

即fifl去穹（B直衛(wèi)E9冒他

四種攻擊方式（續(xù)）

?完整性攻擊：攻擊者可以截獲發(fā)送方發(fā)送的信

息，然后對這些信息做篡改后，再發(fā)送給接收

方。

?可用性攻擊：DoSo這是一種近年來比較流行

的一種網(wǎng)絡(luò)攻擊手段。例如，一些攻擊者利用

TCP中的三次握手，與被攻擊者的服務(wù)器建立

大量的半連接，達到消耗服務(wù)器的資源，使合

法用戶無法與服務(wù)器建立正常連接的目的。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl覺穹(B直衛(wèi)

4.7.2安全關(guān)聯(lián)SA

?安全關(guān)聯(lián)(SecurityAssociation9SA)。SA對發(fā)

送方和接收方所使用的加密/認(rèn)證算法、加密/認(rèn)證模式、

加密/認(rèn)證密鑰、對密鑰和組合整體的時間限制，以及

對受保護數(shù)據(jù)的密級做出規(guī)定。接收方僅當(dāng)擁有與到

達的IP分組相符合的SA時，才能對這些IP分組進行認(rèn)

證和解密。

?因為每臺計算機上可能保存有很多個SA,每個SA可

以通過一個“安全參數(shù)索引(SecurityParameter

Index,SPI)”來查找。

?給定目的主機的IP地址和SPL發(fā)送方確定SA中的安

全參數(shù)為IP分組加密；接收方根據(jù)收到的分組中的SPI

和源IP地址，確定使用SA中的安全繆黏麒解密。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)|饗至向麗jJR

施旨（B星江匚二二

4.7.3IPsec的認(rèn)證機制

?原理：工Pv6分組有一個認(rèn)證AH擴展首部，用于認(rèn)

證工Pv6分組，保障數(shù)據(jù)的完整性和身份認(rèn)證。

?發(fā)送工Pv6分組前，發(fā)送方用認(rèn)證密鑰對工P分組做計

算，計算的認(rèn)證信息存放在AH中，發(fā)送到接收方。

?接收方用自己保存的認(rèn)證密鑰對接收到的工Pv6分組

做相同的計算。若結(jié)果與AH中的認(rèn)證信息相同，可

證明沒被人篡改（否則不會相等），也不是其他人

偽造（偽造者不知道密碼，不可能會

證信息）。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

gpgfl覺目（B直衛(wèi)

E【M￡0AMATioN[￡MGJNEERINCj]

含有AH的IPv6分組形式示例

2010年10月20日星期三

RR\|-944Vc；QS/b

即fifl去穹（B直江

1、認(rèn)證擴展首部AH格式

?認(rèn)證數(shù)據(jù)長度：8位，4字節(jié)為單位（值：0?255）

?保留：16位，必須置為0

?SPI：32位。指定所使用的安全關(guān)聯(lián)的偽隨機數(shù)。

與目的IP地址及安全協(xié)議相結(jié)合，能唯一確定該

報文的安全組合。若SPI=O,表明沒有安全關(guān)聯(lián)

與該IPv6分組相對應(yīng)。

下一首部認(rèn)證數(shù)據(jù)長度保留二0

SPI(SecurityParametersIndex)

序號

認(rèn)證數(shù)據(jù)（變長）

,L-LLLYA

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)位老向麗

即fifl覺穹（B直衛(wèi)

認(rèn)證擴展首部AH格式（續(xù)）

?序號：32比特，單調(diào)遞增無符號計數(shù)值，用于防

止重發(fā)攻擊（anti-replayattack）。必須唯一，

必須攜帶（由接收方?jīng)Q定是否使用），不能循環(huán)。

?認(rèn)證數(shù)據(jù)：長度可變。包含該工P分組的完整性檢查

值（工CV：IntegrityCheckValue）。該域的長

度必須是32比特的整數(shù)倍，可以包含填充域。

是利用協(xié)商的密鑰對數(shù)據(jù)載荷和工Pv6首部，按照

某種認(rèn)證算法進行計算而得到的認(rèn)證信息。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹(B直江

2、認(rèn)證數(shù)據(jù)的計算

?默認(rèn)的認(rèn)證算法---MD5(MessageDigest

5)o每一個支持IPv6的系統(tǒng)都必須實現(xiàn)MD5算

法。RFC1321給出了用C語音編寫的MD5算法的

實用軟件。

?但是，IPsec并沒有把認(rèn)證算法限定為MD5,通

信雙方如達成共識，用戶也可以把其他認(rèn)證算法

力口入至(JIPsec中，用它們來實現(xiàn)IP分組的認(rèn)證。

認(rèn)證首部的設(shè)計，保證了IP分組在傳輸過程中不

被篡改，從而維護整個IP分組的

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹（B直江

認(rèn)證數(shù)據(jù)的計算（續(xù)）

?IPv6分組中的某些字段在是變化的：

-每通過一個節(jié)點，IPv6首部中的跳數(shù)限制域HL

的值減1;

-源路由選擇擴展首部，在不同的鏈路上，IPv6

首部中的目的地址和源路由選擇擴展首部的地

址向量表中的地址進行交換，并對剩余路由段

數(shù)減1;

-在Hop?by?Hop選項擴展首部，若設(shè)置了在傳

輸路徑上可以改變選項數(shù)據(jù)的變更比特C時，

在傳輸過程中選項數(shù)據(jù)就有可

2010年1。月20日星期三鄭州大學(xué)信息工程學(xué)員李向麗

即fifl去穹（B直江

認(rèn)證數(shù)據(jù)的計算（續(xù)）

-因此，發(fā)送方在計算認(rèn)證數(shù)據(jù)之前，應(yīng)生成與上

述傳輸中變化無關(guān)的特殊消息，具體地說：

-⑴將IPv6首部中的跳數(shù)限制置“0”；

-⑵如使用源路由選擇擴展首部，在IPv6首部

的目的地址中置入最終的目的地址，源路由選

擇擴展首部設(shè)置成與接收方接收時相同的值，

剩余路由段數(shù)置成“0”；

-⑶C比特的選項不作為校驗和的對象，這類

選項值全部填“0”。

2010年1。月20日星期三鄭州大學(xué)信息工程學(xué)員李向麗

即fifl覺穹（B直衛(wèi)

3.兩種不同模式下的AH的認(rèn)證范圍

?AH可以在傳輸模式或隧道模式下使用。

?IPv6中的AH擴展首部必須置于由中間路由器處理

的擴展首部之后，以及只能由目的節(jié)點處理的擴展

首部之前。

-即，AH應(yīng)該置于跳到跳選項擴展首部、源路由

選項擴展首部或分片擴展首部之后。

-根據(jù)不同情況，AH擴展首部可以在目的選項擴

展首部之前，也可在其后。

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl覺穹（直衛(wèi)

B傳輸模式

?沒有增加AH之前的原IPv6分組的結(jié)構(gòu)

擴展首部TCP首部TCP數(shù)據(jù)

?在傳輸模式中，當(dāng)計算和增加AH時，IP分組的變化

情況。目的選項擴展首部也可以置于AH之前。

原IP首部擴展首部AH目的選項擴展首部TCP首部TCP數(shù)據(jù)

被認(rèn)證的信息（不包括傳輸過程中變化的字段）

?對于目的IP地址和擴展首部，僅在%到第轉(zhuǎn)發(fā)它們

時不發(fā)生變化的情況下，才能得到保護護

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院^李向麗

覺目（B直衛(wèi)［3冒他

隧道模式

?當(dāng)AH用于隧道模式中時，使用方法與傳輸模式不同。

整個原IP分組被封裝在新IP分組中。

?隧道模式下的AH,既保護新IP分組首部字段，也保

護原IP首部的某些字段，即在傳輸過程中保持不變

的字段。

原IP分組

新IP首部擴展首部AH原IP首部擴展首部TCP首部TCP數(shù)據(jù)

被認(rèn)證的信息（不包括傳輸過程

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院老向麗

即fifl覺穹（B直衛(wèi)

4.7.4IPsec的加密機制

?原理：工Psec加密數(shù)據(jù)放置在ESP中來實現(xiàn)工P分組

的加密傳送。根據(jù)用戶的要求，工Psec既可以只加

密工P分組中的某些部分，也可以對整個工P分組全

部加密。

?兩種加密模式：隧道模式和傳輸模式。

-隧道模式：整個工P分組都封裝在ESP的加密數(shù)據(jù)

域中；

-傳輸版式：只封裝工P分組的數(shù)據(jù)域。

?工Psec的默認(rèn)加密算法

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹（B直江

含有ESP的IP分組

?將SPI和序號設(shè)計成明文,

?其它部分設(shè)計成密文。

IP

g7匕力/汽ESP

，，*r->加密后的數(shù)據(jù)

首部苴部首部

明文密文

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院■李向麗

即fifl去穹（B直江

AH和ESP保護區(qū)域的差別

AH認(rèn)證保護區(qū)

ESP

IPAHESPTCPESP

TCP數(shù)據(jù)區(qū)認(rèn)證

首部首部首部首部尾部

ESP加密保護區(qū)

ESP認(rèn)證保

2010年10月20日星期三鄭州大學(xué)信息工程學(xué)院^李向麗

圈品次官（8（8衛(wèi)國目局

■我段礎(chǔ)MiHnai阻國?碩儂富必1很儂叼同回1邨田謔to

1.ESP加密擴展首部格式