ipv6網路標準的連網和加密方式
對於ipv6網路標準這個新的網路準則,相對於ipv4版本的網路協議在諸多方面有所改進。現在我們將對ipv6網路標準中的連網方式和網路加密方式進行乙個深入的**。通過文章內容,望大家對這兩方面內容能有所掌握。
即插即用的連網方式
ipv6把自動將ip位址分配給使用者的功能作為標準功能。只要機器一連線上網路便可自動設定位址。它有兩個優點。一是終端使用者用不著花精力進行位址設定,二是可以大大減輕網路管理者的負擔。ipv6網路標準有兩種自動設定功能。一種是和ipv4自動設定功能一樣的名為「全狀態自動設定」功能。另一種是「無狀態自動設定」功能。
在ipv4中,動態主機配置協議(dynamic host configuration protocol,dhcp)實現了主機ip位址及其相關配置的自動設定。乙個dhcp伺服器擁有乙個ip位址池,主機從dhcp伺服器租借ip位址並獲得有關的配置資訊(如預設閘道器、dns伺服器等),由此達到自動設定主機ip位址的目的。ipv6網路標準繼承了ipv4的這種自動配置服務,並將其稱為全狀態自動配置(stateful autoconfiguration)。
在無狀態自動配置(stateless autoconfiguration)過程中,主機首先通過將它的網絡卡mac位址附加在鏈結本地位址字首1111111010之後,產生乙個鏈路本地單點傳送位址。接著主機向該位址發出乙個被稱為鄰居發現(neighbor discovery)的請求,以驗證位址的唯一性。
如果請求沒有得到響應,則表明主機自我設定的鏈路本地單點傳送位址是唯一的。否則,主機將使用乙個隨機產生的介面id組成乙個新的鏈路本地單點傳送位址。然後,以該位址為源位址,主機向本地鏈路中所有路由器多點傳送乙個被稱為路由器請求( router solicitation)的配置資訊。路由器以乙個包含乙個可聚集全球單點傳送位址字首和其它相關配置資訊的路由器公告響應該請求。主機用它從路由器得到的全球位址字首加上自己的介面id,自動配置全球位址,然後就可以與internet中的其它主機通訊了。使用無狀態自動配置,無需手動干預就能夠改變網路中所有主機的ip位址。
例如,當企業更換了聯入internet的isp時,將從新isp處得到乙個新的可聚集全球位址字首。isp把這個位址字首從它的路由器上傳送到企業路由器上。由於企業路由器將周期性地向本地鏈路中的所有主機多點傳送路由器公告,因此企業網路中所有主機都將通過路由器公告收到新的位址字首,此後,它們就會自動產生新的ip位址並覆蓋舊的ip位址。
使用ipv6網路標準中的dhcpv6進行位址自動設定,連線於網路的機器需要查詢自動設定用的dhcp伺服器才能獲得位址及其相關配置。可是,在家庭網路中,通常沒有dhcp伺服器,此外在移動環境中往往是臨時建立的網路,在這兩種情況下,當然使用無狀態自動設定方法為宜。
網路層的認證與加密
安全問題始終是與internet相關的乙個重要話題。由於在 ip協議設計之初沒有考慮安全性,因而在早期的internet上時常發生諸如企業或機構網路遭到攻擊、機密資料被竊取等不幸的事情。為了加強internet的安全性,從2023年開始,ietf著手研究制定了一套用於保護ip通訊的ip安全(ipsec)協議。ipsec是ipv4的乙個可選擴充套件協議,是ipv6網路標準的乙個必須組成部分。
ipsec的主要功能是在網路層對資料分組提供加密和鑑別等安全服務,它提供了兩種安全機制:認證和加密。認證機制使 ip通訊的資料接收方能夠確認資料傳送方的真實身份以及資料在傳輸過程中是否遭到改動。加密機制通過對資料進行編碼來保證資料的機密性,以防資料在傳輸過程中被他人截獲而失密。ipsec的認證報頭(authentication header,ah)協議定義了認證的應用方法,安全負載封裝(encapsulating security payload,esp)協議定義了加密和可選認證的應用方法。在實際進行ip通訊時,可以根據安全需求同時使用這兩種協議或選擇使用其中的一種。ah和esp都可以提供認證服務,不過,ah提供的認證服務要強於esp。
ipsec定義了兩種型別的sa:傳輸模式sa和隧道模式sa。
傳輸模式sa是在ip報頭(以及任何可選的擴充套件報頭)之後和任何高層協議(如tcp或udp)報頭之前插入ah或esp報頭;隧道模式sa是將整個原始的ip資料報放入乙個新的ip資料報中。在採用隧道模式sa時,每乙個ip資料報都有兩個ip報頭:外部ip報頭和內部ip報頭。外部ip報頭指定將對ip資料報進行ipsec處理的目的位址,內部ip報頭指定原始ip資料報最終的目的位址。傳輸模式sa只能用於兩個主機之間的ip通訊,而ipv6網路標準中的隧道模式sa既可以用於兩個主機之間的ip通訊,還可以用於兩個安全閘道器之間或乙個主機與乙個安全閘道器之間的ip通訊。安全閘道器可以是路由器、防火牆或vpn裝置。
做為ipv6的乙個組成部分,ipsec是乙個網路層協議。它只負責其下層的網路安全,並不負責其上層應用的安全,如web、電子郵件和檔案傳輸等。也就是說,驗證乙個web會話,依然需要使用ssl協議。不過,tcp/ipv6協議簇中的協議可以從ipsec中受益,例如,用於ipv6的ospfv6路由協議就去掉了用於ipv4的ospf中的認證機制。
作為ipsec的一項重要應用,ipv6整合了虛擬專用網(vpn)的功能,使用ipv6可以更容易地、實現更為安全可靠的虛擬專用網。
IPv6 網路的管理
ipv6 ipv6 簡介 internet protocol version 6 ipv6 是 ietf 和網際網路工程任務組 設計 的用與替代現行版本 ip 協議的下一代 ip 協 議。ipv6 採用 128 位 2 進製數碼表示 ipv6 表示方式 為方便操作,ipv6 被換算成 8x16 進製...
RHCE 二 管理IPv6網路
一 回顧ipv4網路配置 1 測試和驗證網路配置 ip addr show eth0 ip link ip s link show eth0 s 輸出介面的狀態 ip route 或 route n ping c3 172.25.254.254檢視網路連線 ss ta t tcp協議的連線 a 所有...
全球5 網路已開始使用IPv6
我們大多數人使用的是第二代網際網路ipv4技術,它的最大問題是網路位址資源有限,從理論上講能編址1600萬個網路 鏈結40億台主機。而根據相關資料,全球ipv4的ip位址已經即將用完。而ipv6是作為ietf設計的用於替代現行版本ip協議 ipv4 的下一代ip協議,其ipv6位址長度為128位,位...