IPv6

百科解釋

目錄·定義
·概述
·優(yōu)勢
·技術(shù)信息概述
·IPv6數(shù)據(jù)包：包頭
·IPv6數(shù)據(jù)包：擴展包頭
·IPv6數(shù)據(jù)包：上層協(xié)議數(shù)據(jù)單元
·IPv6尋址
·IPv6路由
·IPv6自動配置
·IPv6的安全性問題

定義

　IPv6是Internet Protocol Version 6的縮寫，其中Internet Protocol譯為“互聯(lián)網(wǎng)協(xié)議”。

　　IPv6是IETF（互聯(lián)網(wǎng)工程任務組，Internet Engineering Task Force）設計的用于替代現(xiàn)行版本IP協(xié)議（IPv4）的下一代IP協(xié)議。

　　目前的全球因特網(wǎng)所采用的協(xié)議族是TCP/IP協(xié)議族。IP是TCP/IP協(xié)議族中網(wǎng)絡層的協(xié)議，是TCP/IP協(xié)議族的核心協(xié)議。

　　目前IP協(xié)議的版本號是4（簡稱為IPv4），它的下一個版本就是IPv6。IPv6正處在不斷發(fā)展和完善的過程中，它在不久的將來將取代目前被廣泛使用的IPv4。
　

概述

目前我們使用的第二代互聯(lián)網(wǎng)IPv4技術(shù)，核心技術(shù)屬于美國。它的最大問題是網(wǎng)絡地址資源有限，從理論上講，IPv4技術(shù)可使用的IP地址有43億個，其中北美占有3/4，約30億個，而人口最多的亞洲只有不到4億個，中國只有3千多萬個，只相當于美國麻省理工學院的數(shù)量。地址不足，嚴重地制約了我國及其他國家互聯(lián)網(wǎng)的應用和發(fā)展。

　　隨著電子技術(shù)及網(wǎng)絡技術(shù)的發(fā)展，計算機網(wǎng)絡將進入人們的日常生活，可能身邊的每一樣東西都需要連入全球因特網(wǎng)。但是與IPv4一樣，IPv6一樣會造成大量的IP地址浪費。準確的說，使用IPv6的網(wǎng)絡并沒有2^128-1個能充分利用的地址。首先，要實現(xiàn)IP地址的自動配置，局域網(wǎng)所使用的子網(wǎng)的前綴必須等于64，但是很少有一個局域網(wǎng)能容納2^64個網(wǎng)絡終端；其次，由于IPv6的地址分配必須遵循聚類的原則，地址的浪費在所難免。

　　但是，如果說IPv4實現(xiàn)的只是人機對話，而IPv6則擴展到任意事物之間的對話，它不僅可以為人類服務，還將服務于眾多硬件設備，如家用電器、傳感器、遠程照相機、汽車等，它將是無時不在，無處不在的深入社會每個角落的真正的寬帶網(wǎng)。而且它所帶來的經(jīng)濟效益將非常巨大。

　　當然，IPv6并非十全十美、一勞永逸，不可能解決所有問題。IPv6只能在發(fā)展中不斷完善，也不可能在一夜之間發(fā)生，過渡需要時間和成本，但從長遠看，IPv6有利于互聯(lián)網(wǎng)的持續(xù)和長久發(fā)展。目前，國際互聯(lián)網(wǎng)組織已經(jīng)決定成立兩個專門工作組，制定相應的國際標準。

優(yōu)勢

與IPV4相比，IPV6具有以下幾個優(yōu)勢：

　　一，IPv6具有更大的地址空間。IPv4中規(guī)定IP地址長度為32，即有2^32-1（符號^表示升冪，下同）個地址；而IPv6中IP地址的長度為128，即有2^128-1個地址。

　　二，IPv6使用更小的路由表。IPv6的地址分配一開始就遵循聚類（Aggregation）的原則，這使得路由器能在路由表中用一條記錄（Entry）表示一片子網(wǎng)，大大減小了路由器中路由表的長度，提高了路由器轉(zhuǎn)發(fā)數(shù)據(jù)包的速度。

　　三，IPv6增加了增強的組播（Multicast）支持以及對流的支持（Flow Control），這使得網(wǎng)絡上的多媒體應用有了長足發(fā)展的機會，為服務質(zhì)量（QoS，Quality of Service）控制提供了良好的網(wǎng)絡平臺。

　　四，IPv6加入了對自動配置（Auto Configuration）的支持。這是對DHCP協(xié)議的改進和擴展，使得網(wǎng)絡（尤其是局域網(wǎng)）的管理更加方便和快捷。

　　五，IPv6具有更高的安全性。在使用IPv6網(wǎng)絡中用戶可以對網(wǎng)絡層的數(shù)據(jù)進行加密并對IP報文進行校驗，極大的增強了網(wǎng)絡的安全性。

技術(shù)信息概述

IPv6包由IPv6包頭（40字節(jié)固定長度）、擴展包頭和上層協(xié)議數(shù)據(jù)單元三部分組成。

　　IPv6包擴展包頭中的分段包頭（下文詳述）中指名了IPv6包的分段情況。其中不可分段部分包括：IPv6包頭、Hop-by-Hop選項包頭、目的地選項包頭（適用于中轉(zhuǎn)路由器）和路由包頭；可分段部分包括：認證包頭、ESP協(xié)議包頭、目的地選項包頭（適用于最終目的地）和上層協(xié)議數(shù)據(jù)單元。但是需要注意的是，在IPv6中，只有源節(jié)點才能對負載進行分段，并且IPv6超大包不能使用該項服務。

　　下文還將簡述IPv6尋址、路由以及自動配置的相關(guān)內(nèi)容。

IPv6數(shù)據(jù)包：包頭

IPv6包頭長度固定為40字節(jié)，去掉了IPv4中一切可選項，只包括8個必要的字段，因此盡管IPv6地址長度為IPv4的四倍，IPv6包頭長度僅為IPv4包頭長度的兩倍。

　　其中的各個字段分別為：

　　Version（版本號）：4位，IP協(xié)議版本號，值= 6。

　　Traffice Class（通信類別）：8位，指示IPv6數(shù)據(jù)流通信類別或優(yōu)先級。功能類似于IPv4的服務類型（TOS）字段。

　　Flow Label（流標記）：20位，IPv6新增字段，標記需要IPv6路由器特殊處理的數(shù)據(jù)流。該字段用于某些對連接的服務質(zhì)量有特殊要求的通信，諸如音頻或視頻等實時數(shù)據(jù)傳輸。在IPv6中，同一信源和信宿之間可以有多種不同的數(shù)據(jù)流，彼此之間以非“0”流標記區(qū)分。如果不要求路由器做特殊處理，則該字段值置為“0”。

　　Payload Length（負載長度）：16位負載長度。負載長度包括擴展頭和上層PDU，16位最多可表示65，535字節(jié)負載長度。超過這一字節(jié)數(shù)的負載，該字段值置為“0”，使用擴展頭逐個跳段（Hop-by-Hop）選項中的巨量負載（Jumbo Payload）選項。

　　Next Header（下一包頭）：8位，識別緊跟IPv6頭后的包頭類型，如擴展頭（有的話）或某個傳輸層協(xié)議頭（諸如TCP，UDP或著ICMPv6）�！�

　　Hop Limit（跳段數(shù)限制）：8位，類似于IPv4的TTL（生命期）字段。與IPv4用時間來限定包的生命期不同，IPv6用包在路由器之間的轉(zhuǎn)發(fā)次數(shù)來限定包的生命期。包每經(jīng)過一次轉(zhuǎn)發(fā)，該字段減1，減到0時就把這個包丟棄。

　　Source Address（源地址）：128位，發(fā)送方主機地址。

　　Destination Address（目的地址）：128位，在大多數(shù)情況下，目的地址即信宿地址。但如果存在路由擴展頭的話，目的地址可能是發(fā)送方路由表中下一個路由器接口。

IPv6數(shù)據(jù)包：擴展包頭

　IPv6包頭設計中對原IPv4包頭所做的一項重要改進就是將所有可選字段移出IPv6包頭，置于擴展頭中。由于除Hop-by-Hop選項擴展頭外，其他擴展頭不受中轉(zhuǎn)路由器檢查或處理，這樣就能提高路由器處理包含選項的IPv6分組的性能。

　　通常，一個典型的IPv6包，沒有擴展頭。僅當需要路由器或目的節(jié)點做某些特殊處理時，才由發(fā)送方添加一個或多個擴展頭。與IPv4不同，IPv6擴展頭長度任意，不受40字節(jié)限制，以便于日后擴充新增選項，這一特征加上選項的處理方式使得IPv6選項能得以真正的利用。但是為了提高處理選項頭和傳輸層協(xié)議的性能，擴展頭總是8字節(jié)長度的整數(shù)倍。

　　目前，RFC 2460中定義了以下6個IPv6擴展頭：Hop-by-Hop（逐個跳段）選項包頭、目的地選項包頭、路由包頭、分段包頭、認證包頭和ESP協(xié)議包頭：
　　
　�。ㄒ唬〩op-by-Hop選項包頭包含分組傳送過程中，每個路由器都必須檢查和處理的特殊參數(shù)選項。其中的選項描述一個分組的某些特性或用于提供填充。這些選項有：

　　Pad1選項（選項類型為0），填充單字節(jié)。

　　PadN選項（選項類型為1），填充2個以上字節(jié)。

　　Jumbo Payload選項（選項類型為194），用于傳送超大分組。使用Jumbo Payload選項，分組有效載荷長度最大可達4,294,967,295字節(jié)。負載長度超過65,535字節(jié)的IPv6包稱為“超大包”。

　　路由器警告選項（選項類型為5），提醒路由器分組內(nèi)容需要做特殊處理。路由器警告選項用于組播收聽者發(fā)現(xiàn)和RSVP（資源預定）協(xié)議。

　�。ǘ┠康牡剡x項包頭指名需要被中間目的地或最終目的地檢查的信息。有兩種用法：

　　如果存在路由擴展頭，則每一個中轉(zhuǎn)路由器都要處理這些選項。

　　如果沒有路由擴展頭，則只有最終目的節(jié)點需要處理這些選項。

　　（三）路由包頭

　　類似于IPv4的松散源路由。IPv6的源節(jié)點可以利用路由擴展包頭指定一個松散源路由，即分組從信源到信宿需要經(jīng)過的中轉(zhuǎn)路由器列表�！　�

　　（四）分段包頭

　　提供分段和重裝服務。當分組大于鏈路最大傳輸單元（MTU）時，源節(jié)點負責對分組進行分段，并在分段擴展包頭中提供重裝信息�！　�

　�。ㄎ澹┱J證包頭

　　提供數(shù)據(jù)源認證、數(shù)據(jù)完整性檢查和反重播保護。認證包頭不提供數(shù)據(jù)加密服務，需要加密服務的數(shù)據(jù)包，可以結(jié)合使用ESP協(xié)議�！　�

　�。〦SP協(xié)議包頭

　　提供加密服務。

IPv6數(shù)據(jù)包：上層協(xié)議數(shù)據(jù)單元

上層數(shù)據(jù)單元即PDU，全稱為Protocol Data Unit�！　�

　　PDU由傳輸頭及其負載（如ICMPv6消息、或UDP消息等）組成。而IPv6包有效負載則包括IPv6擴展頭和PDU，通常所能允許的最大字節(jié)數(shù)為65535字節(jié)，大于該字節(jié)數(shù)的負載可通過使用擴展頭中的Jumbo Payload（見上文）選項進行發(fā)送。

IPv6尋址

　在 Internet 協(xié)議版本 6 (IPv6) 中，地址的長度是 128 位。地址空間如此大的一個原因是將可用地址細分為反映 Internet 的拓撲的路由域的層次結(jié)構(gòu)。另一個原因是映射將設備連接到網(wǎng)絡的網(wǎng)絡適配器（或接口）的地址。IPv6 提供了內(nèi)在的功能，可以在其最低層（在網(wǎng)絡接口層）解析地址，并且還具有自動配置功能。

　　文本表示形式

　　以下是用來將 IPv6 地址表示為文本字符串的三種常規(guī)形式：

　�。ㄒ唬┟疤柺M制形式。

　　這是首選形式 n:n:n:n:n:n:n:n。每個 n 都表示八個 16 位地址元素之一的十六進制值。例如：

　　　　3FFE:FFFF:7654:FEDA:1245:BA98:3210:4562.　

　�。ǘ〾嚎s形式。

　　由于地址長度要求，地址包含由零組成的長字符串的情況十分常見。為了簡化對這些地址的寫入，可以使用壓縮形式，在這一壓縮形式中，多個 0 塊的單個連續(xù)序列由雙冒號符號 (::) 表示。此符號只能在地址中出現(xiàn)一次。例如，多路廣播地址 FFED:0:0:0:0:BA98:3210:4562 的壓縮形式為 FFED::BA98:3210:4562。單播地址 3FFE:FFFF:0:0:8:800:20C4:0 的壓縮形式為 3FFE:FFFF::8:800:20C4:0。環(huán)回地址 0:0:0:0:0:0:0:1 的壓縮形式為 ::1。未指定的地址 0:0:0:0:0:0:0:0 的壓縮形式為 ::。　

　�。ㄈ┗旌闲问健�

　　此形式組合 IPv4 和 IPv6 地址。在此情況下，地址格式為 n:n:n:n:n:n:d.d.d.d，其中每個 n 都表示六個 IPv6 高序位 16 位地址元素之一的十六進制值，每個 d 都表示 IPv4 地址的十進制值。

　　地址類型

　　地址中的前導位定義特定的 IPv6 地址類型。包含這些前導位的變長字段稱作格式前綴 (FP)。

　　IPv6 單播地址被劃分為兩部分。第一部分包含地址前綴，第二部分包含接口標識符。表示 IPv6 地址/前綴組合的簡明方式如下所示：ipv6 地址/前綴長度。

　　以下是具有 64 位前綴的地址的示例。

　　　　3FFE:FFFF:0:CD30:0:0:0:0/64.

　　此示例中的前綴是 3FFE:FFFF:0:CD30。該地址還可以以壓縮形式寫入，如 3FFE:FFFF:0:CD30::/64。　　

　　IPv6 定義以下地址類型：　　

　　單播地址。用于單個接口的標識符。發(fā)送到此地址的數(shù)據(jù)包被傳遞給標識的接口。通過高序位八位字節(jié)的值來將單播地址與多路廣播地址區(qū)分開來。多路廣播地址的高序列八位字節(jié)具有十六進制值 FF。此八位字節(jié)的任何其他值都標識單播地址。

　　以下是不同類型的單播地址：

　　鏈路-本地地址。這些地址用于單個鏈路并且具有以下形式：FE80::InterfaceID。鏈路-本地地址用在鏈路上的各節(jié)點之間，用于自動地址配置、鄰居發(fā)現(xiàn)或未提供路由器的情況。鏈路-本地地址主要用于啟動時以及系統(tǒng)尚未獲取較大范圍的地址之時。

　　站點-本地地址。這些地址用于單個站點并具有以下格式：FEC0::SubnetID:InterfaceID。站點-本地地址用于不需要全局前綴的站點內(nèi)的尋址。

　　全局 IPv6 單播地址。這些地址可用在 Internet 上并具有以下格式：010（FP，3 位）TLA ID（13 位）Reserved（8 位）NLA ID（24 位）SLA ID（16 位）InterfaceID（64 位）。　　

　　多路廣播地址。一組接口的標識符（通常屬于不同的節(jié)點）。發(fā)送到此地址的數(shù)據(jù)包被傳遞給該地址標識的所有接口。多路廣播地址類型代替 IPv4 廣播地址。

任一廣播地址。一組接口的標識符（通常屬于不同的節(jié)點）。發(fā)送到此地址的數(shù)據(jù)包被傳遞給該地址標識的唯一一個接口。這是按路由標準標識的最近的接口。任一廣播地址取自單播地址空間，而且在語法上不能與其他地址區(qū)別開來。尋址的接口依據(jù)其配置確定單播和任一廣播地址之間的差別。

通常，節(jié)點始終具有鏈路-本地地址。它可以具有站點-本地地址和一個或多個全局地址。

IPv6路由

　IPv6 的優(yōu)點之一就是提供靈活的路由機制。由于分配 IPv4 網(wǎng)絡 ID 所用的方式，要求位于 Internet 中樞上的路由器維護大型路由表。這些路由器必須知道所有的路由，以便轉(zhuǎn)發(fā)可能定向到 Internet 上的任何節(jié)點的數(shù)據(jù)包。通過其聚合地址能力，IPv6 支持靈活的尋址方式，大大減小了路由表的規(guī)模。在這一新的尋址結(jié)構(gòu)中，中間路由器必須只跟蹤其網(wǎng)絡的本地部分，以便適當?shù)剞D(zhuǎn)發(fā)消息。　　

　　鄰居發(fā)現(xiàn)

　　鄰居發(fā)現(xiàn)提供以下一些功能：　　

　　路由器發(fā)現(xiàn)。這允許主機標識本地路由器。

　　地址解析。這允許節(jié)點為相應的下一躍點地址解析鏈路層地址（替代地址解析協(xié)議 [ARP]）。

　　地址自動配置。這允許主機自動配置站點-本地地址和全局地址。　　

　　鄰居發(fā)現(xiàn)將 Internet 控制消息協(xié)議用于 IPv6 (ICMPv6) 消息，這些消息包括：　　

　　路由器廣告。在偽定期的基礎上或響應路由器請求由路由器發(fā)送。IPv6 路由器使用路由器廣告來公布其可用性、地址前綴和其他參數(shù)。

　　路由器請求。由主機發(fā)送，用于請求鏈路上的路由器立即發(fā)送路由器廣告。

　　鄰居請求。由節(jié)點發(fā)送，以用于地址解析、重復地址檢測，或用于確認鄰居是否仍可訪問。

　　鄰居廣告。由節(jié)點發(fā)送，以響應鄰居請求或通知鄰居鏈路層地址中發(fā)生了更改。

　　重定向。由路由器發(fā)送，從而為某一發(fā)送節(jié)點指示指向特定目標的更好的下一躍點地址。　　

IPv6自動配置

IPv6的安全性問題

現(xiàn)實Internet上的各種攻擊、黑客、網(wǎng)絡蠕蟲病毒弄得網(wǎng)民人人自危，每天上網(wǎng)開了實時防病毒程序還不夠，還要繼續(xù)使用個人防火墻，打開實時防木馬程序才敢上網(wǎng)沖浪。諸多人把這些都歸咎于IPv4網(wǎng)絡�，F(xiàn)在IPv6來了，它設計的時候充分研究了以前IPv4的各種問題，在安全性上得到了大大的提高。但是是不是IPv6就沒有安全問題了？答案是否定的。

　　目前，病毒和互聯(lián)網(wǎng)蠕蟲是最讓人頭疼的網(wǎng)絡攻擊行為。但這種傳播方式在IPv6的網(wǎng)絡中就不再適用了，因為IPv6的地址空間實在是太大了，如果這些病毒或者蠕蟲還想通過掃描地址段的方式來找到有可乘之機的其他主機，就猶如大海撈針。在IPv6的世界中，對IPv6網(wǎng)絡進行類似IPv4的按照IP地址段進行網(wǎng)絡偵察是不可能了。

　　所以，在IPv6的世界里，病毒、互聯(lián)網(wǎng)蠕蟲的傳播將變得非常困難。但是，基于應用層的病毒和互聯(lián)網(wǎng)蠕蟲是一定會存在的，電子郵件的病毒還是會繼續(xù)傳播。此外，還需要注意IPv6網(wǎng)絡中的關(guān)鍵主機的安全。IPv6中的組發(fā)地址定義方式給攻擊者帶來了一些機會。例如，IPv6地址FF05::3是所有的DHCP服務器，就是說，如果向這個地址發(fā)布一個IPv6報文，這個報文可以到達網(wǎng)絡中所有的DHCP服務器，所以可能會出現(xiàn)一些專門攻擊這些服務器的拒絕服務攻擊。

　　另外，不管是IPv4還是IPv6，都需要使用DNS，IPv6網(wǎng)絡中的DNS服務器就是一個容易被黑客看中的關(guān)鍵主機。也就是說，雖然無法對整個網(wǎng)絡進行系統(tǒng)的網(wǎng)絡偵察，但在每個IPv6的網(wǎng)絡中，總有那么幾臺主機是大家都知道網(wǎng)絡名字的，也可以對這些主機進行攻擊。而且，因為IPv6的地址空間實在是太大了，很多IPv6的網(wǎng)絡都會使用動態(tài)的DNS服務。而如果攻擊者可以攻占這臺動態(tài)DNS服務器，就可以得到大量的在線IPv6的主機地址。另外，因為IPv6的地址是128位，很不好記，網(wǎng)絡管理員可能會常常使用一下好記的IPv6地址，這些好記的IPv6地址可能會被編輯成一個類似字典的東西，病毒找到IPv6主機的可能性小，但猜到IPv6主機的可能性會大一些。而且由于IPv6和IPv4要共存相當長一段時間，很多網(wǎng)絡管理員會把IPv4的地址放到IPv6地址的后32位中，黑客也可能按照這個方法來猜測可能的在線IPv6地址。所以，對于關(guān)鍵主機的安全需要特別重視，不然黑客就會從這里入手從而進入整個網(wǎng)絡。所以，網(wǎng)絡管理員在對主機賦予IPv6地址時，不應該使用好記的地址，也要盡量對自己網(wǎng)絡中的IPv6地址進行隨機化，這樣會在很大程度上減少這些主機被黑客發(fā)現(xiàn)的機會。

　　以下這些網(wǎng)絡攻擊技術(shù)，不管是在IPv4還是在IPv6的網(wǎng)絡中都存在，需要引起高度的重視：報文偵聽，雖然IPv6提供了IPSEC最為保護報文的工具，但由于公匙和密匙的問題，在沒有配置IPsec的情況下，偷看IPv6的報文仍然是可能的；應用層的攻擊，顯而易見，任何針對應用層，如WEB服務器，數(shù)據(jù)庫服務器等的攻擊都將仍然有效；中間人攻擊，雖然IPv6提供了IPsec，還是有可能會遭到中間人的攻擊，所以應盡量使用正常的模式來交換密匙；洪水攻擊，不論在IPv4還是在IPv6的網(wǎng)絡中，向被攻擊的主機發(fā)布大量的網(wǎng)絡流量的攻擊將是會一直存在的，雖然在IPv6中，追溯攻擊的源頭要比在IPv4中容易一些。

通信詞典解釋

^{<tbody id="uk2he"></tbody>}<bdo id="uk2he"></bdo>