IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月.

Slides:



Advertisements
Similar presentations
CERNET2宁波节点 汇报 提 纲 CERNET2宁波 节 点建 设 背景 CERNET2宁波 节 点建 设 目的 CERNET2宁波 节 点的 设计规划 CERNET2宁波 节 点建 设进 展 节 点所提供的服 务 、 应 用及 研 究。
Advertisements

預官 ( 士 ) 考試輔導 計算機概論之考前說明 93 年 12 月 20 日 中原大學電算中心 王得智.
计算机网络原理与实用技术 陈涛 华中科技大学公共管理学院 2009年2月.
第6章:计算机网络基础 网考小组.
基于下一代网络的大规模媒体服务 主讲人 邢卫 2006年5月26日.
计算机应用基础 宁夏医学院计算机教研室
《网络基础与Internet应用》.
半导体所网络概况 图书信息中心 张 棣.
第 8 章 IP 基礎與定址.
第6章 计算机网络基础 信息技术基础.
第7章 防 火 墙 技 术 7.1 防火墙概念 7.2 防火墙原理及实现方法 7.3 防火墙体系结构 7.4 防火墙的构成
第七章 Internet 基础与应用 第一节 主机名字与域名服务 第二节 Internet的域名体系 第三节 主机名字的书写方法
第十四章 局域网组建典型案例 本章主要内容 局域网组网方案设计的一般方法 网吧建设方案 校园网建设方案 企业网络建设方案 2017/3/5
IPV6技术与物联网应用 贾智平 1.
第一章 概述 第二章 用户需求分析 第三章 现有网络分析 第四章 逻辑网络设计 第五章 网络设备选择 第六章 WAN接入设计
第 4 章 网络层.
计算机网络教程(第 2 版) 第 7 章 网络互连 课件制作人:谢希仁.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
因特网 TCP/IP协议 IP路由技术 Internet接入技术 Internet服务.
第七章 商务网站建设 案例八:艺海拾贝网站设计 思考 1.为什么说网页结构 设计非常重要? 2.目录结构与网页 结构有什么关系?
实训十四、IE浏览器的基本应用.
网络协议及架构安全 培训机构名称 讲师名字.
TANET IPV6 BUILD THE SERVICES ON THE NEXT GENERATION NETWORK
UBLink集團 裕笠科技股份有限公司 遠豐科技股份有限公司 鉅創科技股份有限公司
复旦大学计算机学院 肖川 计算机网络与网页制作 复旦大学计算机学院 肖川
计算机网络安全技术实验 启动虚拟机、GIF、measpoilt、.
电子商务的网络技术 德州学院计算机系.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
计算机网络 吴功宜 编著 欢迎辞.
海信FW3010PF防火墙介绍 北京海信数码科技有限公司
第一章 網路攻防概述.
计算机系统安全 第10章 常用攻击手段.
信息安全保障工作专题研讨会 吕诚昭 国务院信息化工作办公室 2004年3月9日 云南·大理
>> 第三章 中文Windows XP >> 第四章 中文文字处理系统Word 2003
计算机安全防护技术 网络中心 2011年12月.
宽带路由器配置与应用.
网络地址转换(NAT) 及其实现.
中国的下一代互联网.
網路指令 講師 : 郭育倫
資訊安全概論 梁明章 國家高速網路與計算中心 助理技術師.
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
網路基本概念 本章主要是為讀者建立有關網路的基本知識, 作為後續章節的基礎。首先我們會說明網路的基本概念, 接著介紹網路的各種類型與相關的作業系統, 最後則是介紹 OSI 與 DoD 等兩種網路模型, 讓讀者能進一步了解網路運作的方式。
David liang 数据通信安全教程 防火墙技术及应用 David liang
IPv6 技術與服務 台東大學 電算中心 郭俊賢 技術師.
华南师范大学 防火墙 华南师范大学
第3讲 网络安全协议基础 此为封面页,需列出课程编码、课程名称和课程开发室名称。
计算机网络原理 计算机与信息工程分院 周文峰.
第 16 章 Internet架構.
臺東縣中小學資訊教育校園網路管理暨資訊安全防護計畫研習
从UNIX到Windows的 电信软件移植实践
部署IPv6网络的思路探讨 及对安全因素的考虑
Windows 2003 server 進階介紹 麋鹿.
校園網路架構介紹與資源利用 主講人:趙志宏 圖書資訊館網路通訊組.
NetST®防火墙培训教程 清华得实® 保留所有权利.
Unit 10: Introduction to the Internet
ISA Server 2004.
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
Network Application Programming(3rd Edition)
滕小玲 北京大学计算中心 IPv6技术讲座 现有Internet的基础是IPv4,到目前为止有近20年的历史了。由于Internet的迅猛发展,据统计平均每年Internet的规模就扩大一倍。IPv4的局限性就越来越明显。个人电脑市场的急剧扩大、还有个人移动计算设备的上网、网上娱乐服务的增加、多媒体数据流的加入、以及出于安全性等方面的需求都迫切要求新一代IP协议的出现。
實驗5 IP協定分析 明瞭IP(Internet Protocol;Internet協定)的基礎觀念
傳輸控制協議 /互聯網協議 TCP/IP.
NAT技术讲座 主讲:周旭 大唐电信科技股份有限公司光通信分公司 数据通信部.
第十七讲 网络系统的规划与设计.
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
第三章 軟體資源管理 授課老師:褚麗絹.
新一代信息安全的门户产品 安盟身份认证管理系统7.0
Internet课程设计 教师:陈 妍 朱海萍 西安交通大学计算机系
信息安全防护技术—— 防火墙和入侵检测 万明
第 4 章 网络层.
Presentation transcript:

IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月

IP网络取得了巨大的成功 Internet成功的背后: Internet每年翻一番 所有服务都运行在IP上; IP运行在所有的网络上; 可靠的体系结构; 技术的演进 Internet每年翻一番 给网络基础设施制造了压力 同时也创造了巨大的就业机会 IPv4 will require the use of NAT between operators and even inside of large operators. This will be more expensive to deploy (i.e., translators/application proxy servers are expensive and complex), no one knows how to do mobility between NAT domains, and it will be much harder to deploy new services (i.e., need to change all of the translators/application proxy server to support new application).

网络发展的趋势 目前的计算机网将与电视网(含有线电视网)、电信网合而为一,并且合并的方向是传输、接收和处理全部实现数字化。 使用IP网络同时传输语音、视频、数据等各种信息,必须具有很宽的网络带宽、较好的QoS和统一的信息表示方式。

IPv4的技术缺陷 IPv4先天不足 地址危机 端到端业 务模式无 移动性支 法实施 持不够 QoS和性 能问题 路由表 的膨胀 配置复杂 安全问题 路由表 的膨胀 配置复杂

地址危机 IPv4地址的位数是32位 个人电脑的普及和互联网的迅速发展,导致IP的需要量剧增 大量的移动设备和家电设备上网的趋势使目前的形势更加严峻 手机上网、冰箱上网、汽车上网 IP地址出现紧缺趋势,目前的IP地址只能支撑10年

IPv4 地址使用的估计

目前的解决办法:NAT网络地址转换 优点:可以减少IP地址的消耗,并带来一定的安全性。 缺点: a.单向性,破坏了IP的端到端模式。 b. 降低了网络性能,增加了网络的时延,在网络很大的时候,会成为通信的瓶颈。 c.一旦NAT网关遭受攻击,整个网络就会瘫痪,增加了安全风险。 d. 两个使用NAT的内部网络合并时需要重新编址。 e.当一个网络中存在多个NAT设备时,这些设备的同步和协调变得非常困难。

路由表的膨胀 IP地址中A类已经分配完毕, B类也已经差不多了, 剩下的C类地址已经成为大家瓜分的目标。 骨干网络路由器必须存储到达整个网络所有各个子网的路由信息。 随着Internet网络用户的增长,需要使用大量的C类地址,造成路由表庞大,使路由器的性能降低。

安全性的不足 Internet开始设计是基于研究和开发的目的,没有将安全性作为重点。IPv4只具备最少的安全性选项,这些选项还通常被路由器所忽略。应用程序通过本身的私有性和认证性操作机制完成安全性操作。 基于Internet的攻击和欺骗与日俱增,造成的损失越来越大。

IP地址的配置复杂 Internet设计时,连接的计算机是静态的,IP地址极少改变。 随着工作和计算机对于移动性要求的与日俱增,需要简化IP地址的配置 ,支持IP地址的自动分配。

IP协议的性能有待提高 IPv4协议头部复杂,有些项可以删掉。 关于选项的设计不合理,通常被路由器忽略。

IPv6新特性 1.使用128位的地址空间,可支持多达 340,282,366,920,938,463,374,607,431,768,211,456个地址。 2.采用分层地址编码。 3.采用64位对齐的简化头部格式。 4.支持网络结构的扩展性。 5.支持自动地址配置(即插即用)。 6.数据多播功能支持。

IPv6新特性 7.骨干网络层更有效路由汇聚。 8.支持QoS和资源预留,可以用来 保证实时的数据传输(使用流标记和优先级) 8.ICMP协议改进,与旧的ICMPv4不兼容。 9.安全性。

IPv6头部格式 V版本 优先级 流标记 负载长度 下一协议头部 跳数限制 源地址 目的地址

IPv4头部 版本 I H L 业务类型 长 度 标志符 标记 分段偏移 存活时间 协议 头部检验 源 地 址 目 的 地 址 选 项 填充

IPv6头部特征 1.IPv6头部不包含选项。 2.删去了头部校验和。 3.去掉了分段标志和偏移,使用path MTU discovery算法。(Maximum Transmission Unit) 4.去掉了业务类型字段,增加了流标志和优先级字段,以支持实时业务和QoS。

IPv4地址和IPv6兼容 在IPv4地址的前面加0; 简写形式 => ::a.b.c.d;

IPSec IP包本身并不继承任何安全特性,我们可以很容易地伪造IP包的地址、修改其内容。 IPSEC 提供了一种标准的、健壮的以及包容广泛的机制,可用它为IP及上层(如TCP、UDP)提供安全保证; 在IPv6下,IPSEC是强制实施的; 它定义了一套默认的算法,以确保不同的实施方案相互间可以共通,它是独立于算法本身的;

IPSec提供的具体保护形式 数据起源地验证 数据的完整性验证 数据内容的机密性验证(是否被别人看过) 抗重播保护 有限的数据流机密性保证

IPv4向IPv6的过渡 IETF NGTrans 工作组; 定义从IPv4网络向IPv6网络过渡的过程; 定义和指定厂商在实现IPv6转换的主机、路由器以及其它Internet部件时所使用的机制,这些机制是必须或者是可选的; Http://www.ietf.org/html.charters/ngtrans-charter.html

IPv4向IPv6的过渡过程 IPv4-IPv6 Transition Scenarios All IPv4 IPv6 Islands IPv4/IPv6 mixed IPv4 IPv4 IPv4 IPv4 IPv6 IPv6 IPv4 IPv4 IPv4 IPv4 IPv4 IPv4 IPv4 IPv6 IPv6 IPv4 IPv4 IPv6 IPv4-IPv6 Transition Scenarios IPv6 IPv4 IPv6 IPv6 IPv6 IPv6 IPv6 IPv4 IPv6 IPv6 IPv6 IPv6 All IPv6 IPv4 Islands

IPv4向IPv6的过渡—主机的角度 IPv4 APs IPv4 APs IPv4 APs IPv6 APs IPv4/IPv6 APs TCP/UDP TCP/UDP TCP/UDP TCP/UDP TCP/UDP IPv4 IPv4 IPv6 IPv4 IPv6 IPv4 IPv6 IPv6

IPv4向IPv6的过渡—网络的角度 双协议栈 隧道技术

双协议栈 双协议栈是指在节点中同时具有IPv4和IPv6两个协议栈,这样,它既可以收发IPv4的分组,也可以收发IPv6的分组;

双协议栈 Applications TCP/UDP IPV4 IPV6 Device Driver Routing protocols V4/V6 network V6 network V4 network Routing protocols This slide describes how v4 elements can transition to v6 – with both v4 and v6 coexisting on all elements.

隧道技术 隧道技术是指在IPv6发展的初期,通过IPv4隧道连接IPv6子网,将IPv6的分组封装在IPv4的分组中,封装后的IPv4分组通过IPv4的路由体系传输;

隧道技术 V4/V6 host V4 tunnel V4 network V4/V6 network V6 network V6 host V4 to v6 transition – through tunneling – where some nodes are purely v6 nodes.

过渡的代价 IPv6 IPv4

IPv6组网 规划网络地址和拓扑 申请地址空间和接入点 配置主机和路由节点

IPv6的应用问题 大多数应用协议需要进行升级 FTP, SMTP, Telnet, Rlogin 需要对下列标准进行修改 全部51个Internet标准中27个 20个草案中的6个 130个标准建议中的25个

国内外的研究 IPv6在全球的发展呈现出不均衡的状况。 国外目前的研究 ,实用化发展。 领先的主要是欧洲、日本、韩国和美国。 日本做的最好 其他国家的发展情况 韩国,欧盟政府支持 美国不积极,因为美国分到了很多的IPV4地址。

国外的IPv6研究 日本政府Sep 2000开始支持 韩国政府Feb 2001开始支持 欧盟April 2001开始支持

日本 在IPv6方面,全球最引人注目的地方是日本。 IPv6研究和应用方面,步伐大、速度快,而且在IPv6产品化、商业化推广方面可以说是走在了世界的最前列。 日本政府投入专项资金来发展IPv6。 日本于1999年12月开始提供IPv6试验服务,2001年4月开始提供IPv6商用服务。 NTT communications、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务,日本全国利用IPv6的环境正日益完善。

日本的IPv6计划 2002-2003年:处于初始时期,此时网络设备、操作系统和应用软件等产品将逐渐能够在高速条件下支持IPv6;

韩国的IPv6的演进进程 分为四个阶段 第一阶段(2001年以前),建立IPv6试验网,开展验证、运行和宣传工作; 第二阶段(2002~2005年),建立IPv6岛,与现有IPv4大网互通,在IMT-2000上提供IPv6服务; 第三阶段(2006~2010年),建立IPv6大网,原IPv4大网退化为IPv4岛,与IPv6大网互通,提供有线和无线的IPv6商用服务; 第四阶段(2011年以后),演变成一个单一的IPv6网

台湾IPv6计划 第一阶段(2002年内):成立IPv6推动工作小组,成立IPv6 Forum台湾;

IPv6 Forum Taiwan 組織架構

欧洲 欧洲在互联网方面落后于美国,但在移动通信方面却领先于美国,所以欧洲发展IPv6的基本战略是“先移动,后固定”,希望在IPv6方面掌握先机。 欧洲目前已经建立了Euro6IX和6NET等IPv6试验网络,进行有关IPv6的推广和部署准备,欧洲各大厂商也都加快了IPv6开发和产品化进程,各种试验项目正逐步成熟。

美国 美国是IPv4的发源地,无论在地址资源和商业应用方面都占据了先天的优势,因此,目前既没有地址短缺的忧虑,又很不愿意改动花费大量资金构建的IPv4商业网络体系,所以,美国目前主要是以世界IPv6研究、协调中心的面目出现的。研究和开发IPv6的主要组织如IETF、6Bone等都设在美国。 但美国在IPv6的商业化推广方面的力度没有欧洲和日本大。当然,美国不会情愿失去在互联网领域的主导地位和市场优势,所以,现在美国对待IPv6的态度已经有所变化。各主要厂商也出于商业利益的考虑开始支持IPv6,已经或者准备推出支持IPv6的试验性产品。

国外的研究项目 国外: 6bone Wide。大规模的实用化的试验。有很多的相关项目。 全球定位。出租车的实验 远程教学,使用IPv6传播视频,与缅甸政府合作。

国内的研究 国内目前的研究 CERNET 做的最好 学生试验床 其他方面发展情况 移动设备的厂商开始投入(nokia) 商业试验床 电信厂商

CERNET试验床的主干网结构

诺基亚-中国教育和科研网下一代互联网技术研究计划 - 第一步, 用"隧道"方式把10所大学连接成IPv6网。 - 第二步,在北京地区三所大学(清华大学,北京大学, 北京邮电大学)内建立纯IPv6网 - 第三步,在10所大学建立全国性的纯IPv6网,并对 IPv6的高级特性进行研究, 如QOS,移动IP等。不断升 级新软件和新环境,如WLAN sub-network。举办中国 IPv6高级研讨会。

诺基亚-中国教育和科研网合作建设下一代互联网 试验网示意图 北京大学 华北区中心,北京 东北大学 东北区中心,沈阳 清华大学 全国网络中心,北京 北京邮电大学 华北区中心,北京 诺基亚中国研发中心 北京 西安交通大学 西北区中心,西安 上海交通大学 华东区中心,上海 电子科技大学 西南区中心,成都 东南大学 东南区中心,南京 华中理工大学 华中区中心,武汉 华南理工大学 华南区中心,广州

IPv6产品 国内外领先的IPv6设备厂商 Cisco、Juniper、诺基亚、日立、NEC、6WIND、佳讯飞鸿等多家 Check Point FireWall-1 支持IPv6, 成为首先支持IPv6的安全厂商,使客户可以安全过渡到IPv6 Cisco全线产品将支持IPv6 Cisco公司宣布将使运行Cisco ISO操作系统软件的所有产品支持IPv6

IPv6的平台支持 Windows    Linux    BSD家族    商用UNIX    MAC OS   

Windows平台 Windows毕竟是最流行的操作系统,可是Windows下IPv6的实现确实是有限的很; 微软研究院已经发布了一个IPv6在Windows NT及2000下的实现(v1.4),而且还公布了源代码; 日立在98年就开始免费发布基于Windows的IPv6实现,有意思的是它可让基于v4的应用程序访问v6的网络.好像只支持NT系列;

其它平台 Linux内核从2.2.X之后开始正式支持IPv6.由于Linux系统的开放性,Linux系统上IPv6的支持做的很好. FreeBSD,NetBSD和OpenBSD都已有了IPv6的支持. MacOS也有IPv6的支持

IPv6的应用支持 Apache已经支持IPv6了 路由器很早就开始支持IPv6 基于IPv6的网络游戏 客户端和服务端的应用 3COM公司的NETBuilderII和PathBuilder S500路由器 cisco公司 Hitachi的NR60路由器 Nokia公司的IP400路由器 Sunmitomo Electric的Suminet 3700系列路由器 基于IPv6的网络游戏 客户端和服务端的应用 sendmail 、lynx、 ftp、ftpd

IPv6/IPSec下的安全考虑 可以防止局域网内部的sniffer监听问题。 IPSec可以在一定程度上解决欺骗攻击,这是因为IPSec的通道模式可以对整个IP包,包括IP头部进行保护。

IPv6/IPSec下的安全考虑 IPSec无法完全解决目前广泛存在的DOS攻击(拒绝服务攻击),更无法有效的防止DDoS攻击(分布式拒绝服务攻击)。 IPSec无法有效防止针对协议本身的攻击,如SYN flood攻击。 IPSec也无法解决口令攻击,也无法防止利用缓冲区溢出进行的攻击。

IPv6下主要的安全产品的变化 防火墙 IDS 安全产品的通信和互动

1.防火墙的设计 由于IPv6相对Ipv4在数据报头上有了很大的变动,所以原来的防火墙产品在IPv6网络上并不能直接使用,必须有一些变动。针对Ipv6的Socket套接口函数已经在RFC2133(Basic Socket Interface Extensions for IPv6)中定义,以前的应用程序都必须参考该新的API做相应的改动。

2.IDS的设计 首先,IDS产品同防火墙一样,其程序在IPv6下不能直接运行,还要做相应的修改。

3.安全产品的通信和互动 各安全产品之间的通信和互动会比较困难。 这是因为他们之间传输的数据都经过了加密。而且加密所使用的算法也不尽相同,这将使目前安全产品难以沟通的现状更加恶化,况且加密技术在流通上还有这样那样的限制。

参考网址 1. IETF http://www.ietf.org/ 2.6BONE http://www.6bone.net/ 3.ipv6.org http://www.ipv6.org/ 4.IPv6 Forum http://www.ipv6forum.com/ 5.CERNET IPV6试验床 http://www.ipv6.net.edu.cn/ 6.华东(北)学生实验网 http://www.njnet6.edu.cn/ 7.中国科学技术大学学生实验网 http://v6rt.ecn.6test.edu.cn/ 8.北京邮电大学学生实验网 http://ipv6.bupt.edu.cn/ 9.东北地区学生实验网 http://www.ne.6test.edu.cn/ 10.中山大学学生实验网 http://ipng.zsu.edu.cn/

谢谢大家!