1、IPv6協(xié)議原理,ISSUE 1.0,1,本課程主要介紹IPv6協(xié)議基本概念和報文，最后介紹IPv6鄰居發(fā)現(xiàn)協(xié)議。,2,學習指南,本課程全套資料包括培訓膠片、配套原理教材、多媒體課件、試題、演練案例和教師教學指導(dǎo)書，合理有效利用上述資料您將會取得良好的學習效果。,3,參考資料,VRP 5.10 操作手冊、命令手冊 RFC1981 ,RFC2373,RFC2374 ,RFC2460 ,RFC2460,RFC2462,4,目標,學習完此課程，您將會： 掌握IPv6地址結(jié)構(gòu) 掌握IPv6鄰居發(fā)現(xiàn)技術(shù),5,第1章 IPv6產(chǎn)生的背景 第2章 IPv6地址格式及分類 第3章 IPv6報文格式 第4章 I

2、Pv6鄰居發(fā)現(xiàn)及地址配置,6,為什么需要IPv6,IPv4:資源即將耗盡 Internet正在迅速膨脹和爆炸中，出現(xiàn)越來越多IP Enable的設(shè)備：手機、汽車、家電 全球可提供的IPv4地址大約有40多億個，估計在未來5年間將被分配完畢 資源分配不均，使一些國家更早地考慮IPV6,7,為什么需要IPv6,新業(yè)務(wù)的需要 移動IP QoS 3G業(yè)務(wù)的發(fā)展，需時即連和永遠在線 安全性的需求 IPv6內(nèi)置了安全機制,8,IPv4還有救嗎,NAT 解決IPv4地址缺乏問題的臨時方案 增加網(wǎng)絡(luò)的隱性成本 CIDR 減少路由表大小 地址空間沒有增長 DHCP 客戶端自動配置 DHCP服務(wù)器仍需手工設(shè)置,9

3、,救星 - IPv6,IPv6最本質(zhì)的改進幾乎無限的地址空間 地址長度由32位增加到128位 簡單是美簡化固定的基本報頭，提高處理效率 擴展為先引入靈活的擴展報頭，協(xié)議易擴展 層次區(qū)劃地址格式更具層次性，便于路由聚合 即插即用地址配置簡化，自動配置 貼身安全網(wǎng)絡(luò)層的IPSec認證與加密，端到端安全 Qos 考慮新增流標記域 移動便捷Mobile IPv6,10,第1章 IPv6產(chǎn)生的背景 第2章 IPv6地址格式及分類 第3章 IPv6報文格式 第4章 IPv6鄰居發(fā)現(xiàn)及地址配置,11,IPv6地址格式,IPv6地址 = 前綴 + 接口標識 前綴：相當于v4地址中的網(wǎng)絡(luò)ID 接口標識：相當于v

4、4地址中的主機ID 128位長，用冒號將128比特分割成8個16比特的部分，每個部分包括4位的16進制數(shù)字。 地址前綴長度用“/xx”來表示 舉例： 3ffe:3700:1100:0001:d9e6:0b9d:14c6:45ee/64,12,IPv6地址縮寫,每個16位的分段中開頭的零可以省略 一個或多個相鄰的全零的分段可以用雙冒號:表示 雙冒號只能使用一次 以下是同一個地址不同表示法的例子： 0001:0123:0000:0000:0000:ABCD:0000:0001/96 1:123:0:0:0:ABCD:0:1/96 1:123:ABCD:0:1/96,13,IPv6地址分類,單播地址

5、（Unicast Address） 組播地址（Multicast Address） 任播地址（Anycast Address） 特殊地址,14,單播地址,識別單一接口 發(fā)送到單點發(fā)送地址的數(shù)據(jù)包被傳輸?shù)竭@個地址識別出的接口 IPv6單播地址分類（根據(jù)地址范圍）： 全局單播地址 例 2001:A304:6101:1:E0:F726:4E58 鏈路本地地址 例 FE80:E0:F726:4E58 站點本地地址 例 FEC0:E0:F726:4E58,15,全局單播地址,全球唯一地址 帶有全球地址的數(shù)據(jù)包可被轉(zhuǎn)發(fā)到全球網(wǎng)絡(luò)的任何部分,全局單播地址層次結(jié)構(gòu),全局路由前綴,子網(wǎng)ID,接口ID,45位,1

6、6位,64 位,001,任何人（企業(yè)或個人）都可以獲得一個48位前綴 任何人都可以擁有16位的子網(wǎng)空間,2000:/3,16,鏈路本地地址,用于單個鏈路，可進行自動地址配置、鄰居發(fā)現(xiàn)或在沒有路由器時進行單個鏈接編址 帶有鏈路-本地源或目的地址的數(shù)據(jù)包不轉(zhuǎn)發(fā)到其它鏈路,鏈路本地地址結(jié)構(gòu),0,接口ID,1111111010,FE80:/10,17,站點本地地址,用于單個站點內(nèi)部編址 帶有站點-本地源或目的地址的數(shù)據(jù)包不轉(zhuǎn)發(fā)到其它站點 相當于V4網(wǎng)絡(luò)中的私有地址（RFC 1918）,站點本地地址結(jié)構(gòu),0,接口ID,1111111011,FEC0:/10,18,IPv6地址分配,IPv6地址空間的最小

7、地址分配塊為32比特 每個用戶可以獲得48比特地址前綴 用戶只有一個網(wǎng)絡(luò)和子網(wǎng)時，可以得到64bits地址前綴 移動設(shè)備 僅有一臺聯(lián)網(wǎng)設(shè)備時，可以分配128bits地址前綴 撥號,19,接口ID,對鏈路來說是唯一的 可動態(tài)獲得 IEEE采用MAC-to-EUI-64轉(zhuǎn)換 其它地址采用其它的自動方法 可用來形成鏈路-本地地址 可用來形成帶有無狀態(tài)自動配置功能的全球地址,20,EUI-64規(guī)范,將48比特的MAC地址轉(zhuǎn)化為64比特的接口ID 由設(shè)備自動生成 MAC唯一，所以接口ID也唯一 步驟： 在MAC地址的公司ID（高24位）和節(jié)點ID(低24位）中間插入FFFE 反轉(zhuǎn)MAC地址中的U比特位用

8、以標識唯一性,21,組播地址,Flags 前3位設(shè)為0 最后一位定義地址類型 0 = 固定或眾所周知 1 = 本地分配或短期 Scope 表示組播組的范圍 Group ID 組播組ID,22,預(yù)定義的組播地址,23,Solicited-Node組播地址,IPv6中特有的組播地址(請求節(jié)點組播地址） 每個節(jié)點必須為分配給它的每個單播和任播地址加入的一個組播地址，用于DAD地址重復(fù)檢測（RFC2373) Solicited-Node組播地址生成過程 接口ID的后24位：XX:XXXX 前綴FF02:0:0:0:0:1:FF FF02:0:0:0:0:1:FFXX:XXXX 例：主機的MAC地址為

9、00-02-b3-1e-83-29 IPv6地址為 fe80:0202:b3ff:fe1e:8329 請求節(jié)點組播地址: ff02:1:ff1e:8329,24,IPv6地址新類型 任播（Anycast）,被分配給多個接口，僅用于路由器 發(fā)往任播地址的數(shù)據(jù)包被路由轉(zhuǎn)發(fā)給分配了任播地址的接口中距離最近的一個 同單播地址相同，不能做為源地址使用,Whos Gateway?,Im nearest one.,25,特殊地址,未指定地址(Unspecified Address) 0:0:0:0:0:0:0:0 = :/128 作為源地址使用，并不能被路由器轉(zhuǎn)發(fā) Loopback 地址 0:0:0:0:0

10、:0:0:1 = :1/128 內(nèi)嵌IPv4地址的IPv6地址 用于與傳統(tǒng)網(wǎng)絡(luò)之間的互聯(lián)互通，以使IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間能進行無縫通信，這里使用的IPv4地址必須是全球唯一IPv4單播地址。 IPv4兼容的IPv6 地址 IPv4映射的IPv6地址,26,節(jié)點所需要的地址,主機節(jié)點需要如下地址來標識自己 Link-Local地址 手工或自動配置的單播地址 loopback地址 “All-Nodes”和“Solicited-Node”及其它所屬于的組播地址 路由器節(jié)點除了以上地址，還要有 “Subnet-Router”及路由器上配置的任播地址 “All-Routers”組播地址,27,第

11、1章 IPv6產(chǎn)生的背景 第2章 IPv6地址格式及分類 第3章 IPv6報文格式 第4章 IPv6鄰居發(fā)現(xiàn)及地址配置,28,IPv6報頭格式,29,IPv6擴展報頭,Hop-by-hop options header逐跳選項報頭 Routing header選路報頭 Fragment header分片報頭 Authentication header認證報頭 Encapsulating security payload header封裝安全載荷報頭 Destination options header目的地選項報文,Transport-level PDU,IPv6 Header,Extensi

12、on Header,Extension Header,30,IPv6擴展報頭 vs IPv4選項,IPv4選項 要求路由器進行特殊處理 對轉(zhuǎn)發(fā)性能產(chǎn)生負面影響 很少使用 IPv6擴展報頭 擴展報頭在IPv6報頭的外部 路由器不考慮這些選項，但逐跳選項除外 對路由器轉(zhuǎn)發(fā)性能無負面影響 易于通過新報頭和選項進行擴展,31,ICMPv6,許多功能與ICMPv4相同 添加新消息和新功能 ICMPv4 協(xié)議編號= 1 ICMPv6 下一報頭編號= 58 添加新消息和新功能 鄰近發(fā)現(xiàn) 無狀態(tài)自動配置 移動IPv6,32,ICMPv6消息類型,33,第1章 IPv6產(chǎn)生的背景 第2章 IPv6地址格式及分類

13、 第3章 IPv6報文格式 第4章 IPv6鄰居發(fā)現(xiàn)及地址配置,34,鄰居發(fā)現(xiàn)協(xié)議的作用,RFC2461中定義了鄰居發(fā)現(xiàn)協(xié)議 發(fā)現(xiàn)鄰居物理地址（代替IPv4使用的ARP） 路由器發(fā)現(xiàn) 地址沖突檢測（Duplicate Address Detect） 檢驗鄰居的可達性和狀態(tài) 自動地址配置 重定向,35,鄰居發(fā)現(xiàn)協(xié)議報文,基于ICMPv6報文實現(xiàn)其功能 路由器請求（Router Solicitation） 路由器通告（Router Advertisement） 鄰居請求（Neighbor Solicitation） 鄰居通告（Neighbor Advertisement） 重定向（Redirect

14、）,36,Router Solicitation報文,RS是主機發(fā)送的報文，觸發(fā)路由器迅速產(chǎn)生路由器通告。 回應(yīng)報文為RA報文 報文結(jié)構(gòu)如下：,37,Router Solicitation報文結(jié)構(gòu),IP 部分 源地址：接口（link-local）的地址或者unspecified（全0）。 目的地址：全部路由器組播地址FF:02 跳數(shù)：255 ICMP部分 Type=133 Code=0 選項部分包含了發(fā)送者的link-layer地址,38,Router Advertisement報文,由路由器發(fā)出 路由器周期性地發(fā)送路由器通告消息，或者對路由器請求作出響應(yīng) 報文結(jié)構(gòu)如下：,39,Router

15、Advertisement報文結(jié)構(gòu),IP部分 源地址：發(fā)送者Link-local地址 目的地址：全部節(jié)點組播地址FF02:1或發(fā)送RS的主機單播地址 跳數(shù)：255 ICMP部分 Type=134 Code=0 Cur hop limit=主機發(fā)送包的跳數(shù) 選項部分包含了發(fā)送者的link-layer地址 選項部分包含了MTU、地址前綴 O=0，表示使用stateless 地址自動配置 O=1，表示使用stateful 地址自動配置(DHCPv6),40,Router Advertisement報文結(jié)構(gòu)（續(xù)）,ICMP部分 M=0，表示使用stateless 地址自動配置 M=1，表示使用stat

16、eful 地址自動配置其它參數(shù)（DNSv6） Router Lifetime，表示存在于主機default router緩存中的時間 Reachable Time，表示存在于主機鄰居緩存中的時間 Retrans Timer，表示進行鄰居檢測時的重新發(fā)送間隔,41,Neighbor Solicitation報文,用途： 地址解析 地址重復(fù)檢測 報文結(jié)構(gòu)如下：,42,Neighbor Solicitation報文結(jié)構(gòu),IP部分 源地址：發(fā)送者IPv6地址（地址解析用）或unspecified地址（DAD用） 目的地址：請求節(jié)點組播地址（DAD用）或單播地址（地址解析用） 跳數(shù)：255 ICMP部分

17、 Type=135 Code=0 Target address=發(fā)送者IPv6地址,43,Neighbor Advertisement報文,回復(fù)NS報文 報文結(jié)構(gòu)如下：,44,Neighbor Advertisement報文結(jié)構(gòu),IP部分 源地址：發(fā)送者IPv6地址 目的地址：全部節(jié)點組播地址FF02:1（DAD用）或發(fā)送NS的主機單播地址（地址解析用） 跳數(shù)：255 ICMP部分 Type=136 Code=0,45,Redirect報文結(jié)構(gòu),IP部分 源地址：接口的鏈路本地地址 目的地址：觸發(fā)重定向的數(shù)據(jù)包的源地址 跳數(shù)：255 ICMP部分 Type=136 Code=0 Target：

18、是重定向的地址,46,鄰居發(fā)現(xiàn)協(xié)議地址解析,地址解析在三層完成，不同的二層介質(zhì)可以采用相同的地址解析協(xié)議 可以使用三層的安全機制（例如IPSec）避免地址解析攻擊 使用組播方式發(fā)送請求報文，減少了二層網(wǎng)絡(luò)的性能壓力,47,鄰居發(fā)現(xiàn)協(xié)議地址解析,使用兩種ICMPv6報文完成交互過程 鄰居請求NS 鄰居通告NA,以太網(wǎng)報頭 目的MAC：多播MAC地址 IPv6報頭 源地址：A 目的地址：B的請求節(jié)點多播地址 ICMP類型135 NS報文頭 目標地址：B NS選項 A的MAC地址,我在這呢,NS,NA,以太網(wǎng)報頭 目的MAC：A的MAC地址 IPv6報頭 源地址：B 目的地址：A ICMP類型136

19、 NA報文頭 目標地址：B NA選項 B的MAC地址,48,鄰居發(fā)現(xiàn)協(xié)議重復(fù)地址檢測（DAD）,重復(fù)地址檢測確保網(wǎng)絡(luò)中無兩個相同的單播地址 所有地址都需要做DAD 使用NS和NA完成DAD交互過程 若發(fā)現(xiàn)有地址重復(fù) 隨機生成地址：不安排給接口 鏈路本地地址 ：將接口置于不可用狀態(tài),49,重復(fù)地址檢測過程,地址在配置給接口前稱為“tentative地址” 首先加入到all-nodes組播地址和solicited-node組播地址（tentative地址所在的組播） 周期性的發(fā)出Neighbor Solicitation報文 源地址： unspecified地址 目的地址：請求節(jié)點組播地址 Tar

20、get address： tentative地址,50,重復(fù)地址檢測過程,主機收到NS報文后的處理過程： 若報文源地址是單播地址，則認為是ARP用； 若報文源地址是unspecified地址，且Target address中包含tentative地址，則認為是DAD報文，向所有節(jié)點組播地址發(fā)送NA報文； 若此報文是自己發(fā)出的，則忽略此報文； 若報文是其它節(jié)點發(fā)出的，進行DAD檢查，若tentative地址與自己地址重復(fù)，則雙方都不使用此地址。,51,重復(fù)地址檢測過程,NS和NA完成DAD交互的過程,2000:1,新配置地址 2000:1,X Duplicated!,52,鄰居發(fā)現(xiàn)協(xié)議鄰居狀態(tài)跟

21、蹤,鄰居狀態(tài)有5種 INCOMPLETE 未完成 REACHABLE 可達 STALE 陳舊 DELAY 延遲 PROBE 探查,53,鄰居發(fā)現(xiàn)協(xié)議鄰居狀態(tài)跟蹤,Incomplete,Reachable,Delay,Stale,Probe,Empty,A先發(fā)送NS，并生成緩存條目，狀態(tài)為 Incomplete 若B回復(fù)NA，則 Incomplete-Reachable，否則10s后Incomplete-Empty，即刪除條目 經(jīng)過ReachableTime(默認30s)，B的條目狀態(tài)Reachable-Stale 或者在Reachable狀態(tài)，收到B的非請求NA，且鏈路層地址不同，則馬上-St

22、ale 在Stale狀態(tài)若A要向B發(fā)送數(shù)據(jù)，則Stale-Delay，并發(fā)送NS請求。 在Delay_First_Probe_Time(默認5秒)內(nèi)，Delay-Probe，若有NA應(yīng)答，則Delay-Reachable 在Probe狀態(tài)，每隔RetransTimer(默認1秒)發(fā)送單播NS，發(fā)送MAX_UNICAST_SOLICIT個后再等RestransTimer，有應(yīng)答則-Reachable，否則進入Empty，即刪除表項，,一個例子：節(jié)點A要訪問節(jié)點B，A的緩存中無B的條目，下圖是鄰居狀態(tài)機的變化,54,鄰居發(fā)現(xiàn)協(xié)議路由器發(fā)現(xiàn),鏈路上的路由器會定期的發(fā)送RA 收到RA的主機將加入默認路

23、由器列表中 收到RA的路由器將檢查RA內(nèi)容的一致性,IPv6報頭 源地址：路由器鏈路本地地址 目的地址：所有節(jié)點組播地址(FF02:1) ICMP類型134 RA報頭 當前跳限制、標志位、路由器生存期、可達性和重傳定時器 RA選項 路由器鏈路層地址、MTU、前綴,55,鄰居發(fā)現(xiàn)協(xié)議路由器發(fā)現(xiàn),主機初始化時發(fā)送RS，路由器回應(yīng)RA,IPv6報頭 源地址：主機地址 目的地址：所有路由器組播地址(FF02:2) ICMP類型133,56,鄰居發(fā)現(xiàn)協(xié)議重定向功能,當網(wǎng)關(guān)路由器知道更好的轉(zhuǎn)發(fā)路徑時，會以重定向報文的方式告知主機,R1,R2,有重定向的情況,Redirect,A應(yīng)該把R2直接作為到達B的下

24、一跳,IPv6報頭 源地址：R1 目的地址：A ICMP類型137 重定向報文頭 下一跳地址：R2 目標地址：B,57,IPv6地址配置技術(shù),自動配置 無狀態(tài)自動配置（stateless autoconfiguration) 有狀態(tài)自動配置（stateful autoconfiguration) 手工配置 建議用于服務(wù)器和重要網(wǎng)絡(luò)設(shè)備,58,地址自動配置技術(shù)的作用,自動配置技術(shù)能夠完成以下功能： 賦予主機自己的地址參數(shù) 地址前綴 接口ID 賦予主機其它的相關(guān)參數(shù) 路由器地址 跳數(shù) MTU,59,地址自動配置過程,接口初始化 接口產(chǎn)生tentative地址 對“tentative”地址進行地址重

25、復(fù)檢測（DAD） 接口產(chǎn)生link-local地址，具備IP連接能力 決定采用何種自動配置技術(shù) 由Router Advertisement報文及主機配置來決定 無狀態(tài)自動配置（stateless autoconfiguration） 有狀態(tài)自動配置（stateful autoconfiguration） 獲得全局地址,60,無狀態(tài)自動配置技術(shù)特點,IPv6的標準功能 RFC2462 無需進行手工配置 即插即用性 減輕網(wǎng)絡(luò)管理的負擔 對主機、路由器均可進行自動配置 可配置多個地址進行網(wǎng)絡(luò)無縫遷移,61,主機無狀態(tài)自動配置過程,主機發(fā)送Router Solicitation報文 路由器回應(yīng)Router Advertisement報文 主機獲得前綴及其它參數(shù),IPv6地址= 1:ABCD,Link-local地址 = FE80:ABCD,源：FE80:ABCD目的：FF02:2,RS報文,RA報文( 前