IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月.

Presentation on theme: "IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月."— Presentation transcript:

1 IPv6介绍 中科院高能所计算机中心 杨泽明 2003年1月

2 IP网络取得了巨大的成功 Internet成功的背后: Internet每年翻一番 所有服务都运行在IP上; IP运行在所有的网络上；
可靠的体系结构; 技术的演进 Internet每年翻一番 给网络基础设施制造了压力 同时也创造了巨大的就业机会 IPv4 will require the use of NAT between operators and even inside of large operators. This will be more expensive to deploy (i.e., translators/application proxy servers are expensive and complex), no one knows how to do mobility between NAT domains, and it will be much harder to deploy new services (i.e., need to change all of the translators/application proxy server to support new application).

3 网络发展的趋势 目前的计算机网将与电视网（含有线电视网）、电信网合而为一，并且合并的方向是传输、接收和处理全部实现数字化。
使用IP网络同时传输语音、视频、数据等各种信息，必须具有很宽的网络带宽、较好的QoS和统一的信息表示方式。

4 IPv4的技术缺陷 IPv4先天不足 地址危机 端到端业 务模式无 移动性支 法实施 持不够 QoS和性 能问题 路由表 的膨胀 配置复杂
安全问题 路由表 的膨胀 配置复杂

5 地址危机 IPv4地址的位数是32位 个人电脑的普及和互联网的迅速发展,导致IP的需要量剧增
大量的移动设备和家电设备上网的趋势使目前的形势更加严峻 手机上网、冰箱上网、汽车上网 IP地址出现紧缺趋势,目前的IP地址只能支撑10年

6 IPv4 地址使用的估计

7 目前的解决办法：NAT网络地址转换 优点：可以减少IP地址的消耗，并带来一定的安全性。 缺点： a.单向性，破坏了IP的端到端模式。
b. 降低了网络性能，增加了网络的时延，在网络很大的时候，会成为通信的瓶颈。 c.一旦NAT网关遭受攻击，整个网络就会瘫痪，增加了安全风险。 d. 两个使用NAT的内部网络合并时需要重新编址。 e.当一个网络中存在多个NAT设备时，这些设备的同步和协调变得非常困难。

8 路由表的膨胀 IP地址中A类已经分配完毕, B类也已经差不多了, 剩下的C类地址已经成为大家瓜分的目标。
骨干网络路由器必须存储到达整个网络所有各个子网的路由信息。 随着Internet网络用户的增长，需要使用大量的C类地址，造成路由表庞大，使路由器的性能降低。

9 安全性的不足 Internet开始设计是基于研究和开发的目的，没有将安全性作为重点。IPv4只具备最少的安全性选项，这些选项还通常被路由器所忽略。应用程序通过本身的私有性和认证性操作机制完成安全性操作。 基于Internet的攻击和欺骗与日俱增，造成的损失越来越大。

10 IP地址的配置复杂 Internet设计时，连接的计算机是静态的，IP地址极少改变。
随着工作和计算机对于移动性要求的与日俱增，需要简化IP地址的配置 ，支持IP地址的自动分配。

11 IP协议的性能有待提高 IPv4协议头部复杂，有些项可以删掉。 关于选项的设计不合理，通常被路由器忽略。

12 IPv6新特性 1.使用128位的地址空间，可支持多达
340，282，366，920，938，463，374，607，431，768，211，456个地址。 2.采用分层地址编码。 3.采用64位对齐的简化头部格式。 4.支持网络结构的扩展性。 5.支持自动地址配置（即插即用）。 6.数据多播功能支持。

13 IPv6新特性 7.骨干网络层更有效路由汇聚。 8.支持QoS和资源预留，可以用来 保证实时的数据传输（使用流标记和优先级）
8.ICMP协议改进，与旧的ICMPv4不兼容。 9.安全性。

14 IPv6头部格式 V版本 优先级 流标记 负载长度 下一协议头部 跳数限制 源地址 目的地址

15 IPv4头部 版本 I H L 业务类型 长 度 标志符 标记 分段偏移 存活时间 协议 头部检验 源 地 址 目 的 地 址 选 项 填充

16 IPv6头部特征 1.IPv6头部不包含选项。 2.删去了头部校验和。
3.去掉了分段标志和偏移，使用path MTU discovery算法。（Maximum Transmission Unit） 4.去掉了业务类型字段，增加了流标志和优先级字段，以支持实时业务和QoS。

17 IPv4地址和IPv6兼容 在IPv4地址的前面加0； 简写形式 => ::a.b.c.d；

18 IPSec IP包本身并不继承任何安全特性，我们可以很容易地伪造IP包的地址、修改其内容。
IPSEC 提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层（如TCP、UDP）提供安全保证； 在IPv6下，IPSEC是强制实施的； 它定义了一套默认的算法，以确保不同的实施方案相互间可以共通，它是独立于算法本身的；

19 IPSec提供的具体保护形式 数据起源地验证 数据的完整性验证 数据内容的机密性验证（是否被别人看过） 抗重播保护 有限的数据流机密性保证

20 IPv4向IPv6的过渡 IETF NGTrans 工作组； 定义从IPv4网络向IPv6网络过渡的过程；
定义和指定厂商在实现IPv6转换的主机、路由器以及其它Internet部件时所使用的机制，这些机制是必须或者是可选的；

21 IPv4向IPv6的过渡过程 IPv4-IPv6 Transition Scenarios All IPv4 IPv6 Islands
IPv4/IPv6 mixed IPv4 IPv4 IPv4 IPv4 IPv6 IPv6 IPv4 IPv4 IPv4 IPv4 IPv4 IPv4 IPv4 IPv6 IPv6 IPv4 IPv4 IPv6 IPv4-IPv6 Transition Scenarios IPv6 IPv4 IPv6 IPv6 IPv6 IPv6 IPv6 IPv4 IPv6 IPv6 IPv6 IPv6 All IPv6 IPv4 Islands

22 IPv4向IPv6的过渡—主机的角度 IPv4 APs IPv4 APs IPv4 APs IPv6 APs IPv4/IPv6 APs
TCP/UDP TCP/UDP TCP/UDP TCP/UDP TCP/UDP IPv4 IPv4 IPv6 IPv4 IPv6 IPv4 IPv6 IPv6

23 IPv4向IPv6的过渡—网络的角度 双协议栈 隧道技术

24 双协议栈 双协议栈是指在节点中同时具有IPv4和IPv6两个协议栈，这样，它既可以收发IPv4的分组，也可以收发IPv6的分组;

25 双协议栈 Applications TCP/UDP IPV4 IPV6 Device Driver Routing protocols
V4/V6 network V6 network V4 network Routing protocols This slide describes how v4 elements can transition to v6 – with both v4 and v6 coexisting on all elements.

26 隧道技术 隧道技术是指在IPv6发展的初期，通过IPv4隧道连接IPv6子网，将IPv6的分组封装在IPv4的分组中，封装后的IPv4分组通过IPv4的路由体系传输;

27 隧道技术 V4/V6 host V4 tunnel V4 network V4/V6 network V6 network V6 host
V4 to v6 transition – through tunneling – where some nodes are purely v6 nodes.

28 过渡的代价 IPv6 IPv4

29 IPv6组网 规划网络地址和拓扑 申请地址空间和接入点 配置主机和路由节点

30 IPv6的应用问题 大多数应用协议需要进行升级 FTP, SMTP, Telnet, Rlogin 需要对下列标准进行修改
全部51个Internet标准中27个 20个草案中的6个 130个标准建议中的25个

31 国内外的研究 IPv6在全球的发展呈现出不均衡的状况。 国外目前的研究 ，实用化发展。 领先的主要是欧洲、日本、韩国和美国。 日本做的最好
其他国家的发展情况 韩国，欧盟政府支持 美国不积极，因为美国分到了很多的IPV4地址。

32 国外的IPv6研究 日本政府Sep 2000开始支持 韩国政府Feb 2001开始支持 欧盟April 2001开始支持

33 日本 在IPv6方面，全球最引人注目的地方是日本。
IPv6研究和应用方面，步伐大、速度快，而且在IPv6产品化、商业化推广方面可以说是走在了世界的最前列。 日本政府投入专项资金来发展IPv6。 日本于1999年12月开始提供IPv6试验服务，2001年4月开始提供IPv6商用服务。 NTT communications、Japan Telecom和KDDI等日本的主要运营商和ISP几乎都已经提供IPv6商业化接入服务，日本全国利用IPv6的环境正日益完善。

34 日本的IPv6计划 2002-2003年:处于初始时期，此时网络设备、操作系统和应用软件等产品将逐渐能够在高速条件下支持IPv6;

35 韩国的IPv6的演进进程 分为四个阶段 第一阶段（2001年以前），建立IPv6试验网，开展验证、运行和宣传工作；
第二阶段（2002～2005年），建立IPv6岛，与现有IPv4大网互通，在IMT-2000上提供IPv6服务； 第三阶段（2006～2010年），建立IPv6大网，原IPv4大网退化为IPv4岛，与IPv6大网互通，提供有线和无线的IPv6商用服务； 第四阶段（2011年以后），演变成一个单一的IPv6网

36 台湾IPv6计划 第一阶段(2002年内)：成立IPv6推动工作小组，成立IPv6 Forum台湾；

37 IPv6 Forum Taiwan 組織架構

38 欧洲 欧洲在互联网方面落后于美国，但在移动通信方面却领先于美国，所以欧洲发展IPv6的基本战略是“先移动，后固定”，希望在IPv6方面掌握先机。 欧洲目前已经建立了Euro6IX和6NET等IPv6试验网络，进行有关IPv6的推广和部署准备，欧洲各大厂商也都加快了IPv6开发和产品化进程，各种试验项目正逐步成熟。

39 美国 美国是IPv4的发源地，无论在地址资源和商业应用方面都占据了先天的优势，因此，目前既没有地址短缺的忧虑，又很不愿意改动花费大量资金构建的IPv4商业网络体系，所以，美国目前主要是以世界IPv6研究、协调中心的面目出现的。研究和开发IPv6的主要组织如IETF、6Bone等都设在美国。 但美国在IPv6的商业化推广方面的力度没有欧洲和日本大。当然，美国不会情愿失去在互联网领域的主导地位和市场优势，所以，现在美国对待IPv6的态度已经有所变化。各主要厂商也出于商业利益的考虑开始支持IPv6，已经或者准备推出支持IPv6的试验性产品。

40 国外的研究项目 国外： 6bone Wide。大规模的实用化的试验。有很多的相关项目。 全球定位。出租车的实验
远程教学，使用IPv6传播视频，与缅甸政府合作。

41 国内的研究 国内目前的研究 CERNET 做的最好 学生试验床 其他方面发展情况 移动设备的厂商开始投入（nokia) 商业试验床 电信厂商

42 CERNET试验床的主干网结构

43 诺基亚-中国教育和科研网下一代互联网技术研究计划
- 第一步, 用"隧道"方式把10所大学连接成IPv6网。 - 第二步,在北京地区三所大学(清华大学,北京大学, 北京邮电大学)内建立纯IPv6网 - 第三步,在10所大学建立全国性的纯IPv6网，并对 IPv6的高级特性进行研究, 如QOS,移动IP等。不断升 级新软件和新环境，如WLAN sub-network。举办中国 IPv6高级研讨会。

44 诺基亚-中国教育和科研网合作建设下一代互联网 试验网示意图
北京大学 华北区中心,北京 东北大学 东北区中心,沈阳 清华大学 全国网络中心,北京 北京邮电大学 华北区中心,北京 诺基亚中国研发中心 北京 西安交通大学 西北区中心,西安 上海交通大学 华东区中心,上海 电子科技大学 西南区中心,成都 东南大学 东南区中心,南京 华中理工大学 华中区中心,武汉 华南理工大学 华南区中心,广州

45 IPv6产品 国内外领先的IPv6设备厂商 Cisco、Juniper、诺基亚、日立、NEC、6WIND、佳讯飞鸿等多家
Check Point FireWall-1 支持IPv6， 成为首先支持IPv6的安全厂商，使客户可以安全过渡到IPv6 Cisco全线产品将支持IPv6 Cisco公司宣布将使运行Cisco ISO操作系统软件的所有产品支持IPv6

46 IPv6的平台支持 Windows    Linux    BSD家族    商用UNIX    MAC OS   

47 Windows平台 Windows毕竟是最流行的操作系统,可是Windows下IPv6的实现确实是有限的很；
微软研究院已经发布了一个IPv6在Windows NT及2000下的实现(v1.4),而且还公布了源代码； 日立在98年就开始免费发布基于Windows的IPv6实现,有意思的是它可让基于v4的应用程序访问v6的网络.好像只支持NT系列；

48 其它平台 Linux内核从2.2.X之后开始正式支持IPv6.由于Linux系统的开放性,Linux系统上IPv6的支持做的很好.
FreeBSD,NetBSD和OpenBSD都已有了IPv6的支持. MacOS也有IPv6的支持

49 IPv6的应用支持 Apache已经支持IPv6了 路由器很早就开始支持IPv6 基于IPv6的网络游戏 客户端和服务端的应用
3COM公司的NETBuilderII和PathBuilder S500路由器 cisco公司 Hitachi的NR60路由器 Nokia公司的IP400路由器 Sunmitomo Electric的Suminet 3700系列路由器 基于IPv6的网络游戏 客户端和服务端的应用 sendmail 、lynx、 ftp、ftpd

50 IPv6/IPSec下的安全考虑 可以防止局域网内部的sniffer监听问题。
IPSec可以在一定程度上解决欺骗攻击，这是因为IPSec的通道模式可以对整个IP包，包括IP头部进行保护。

51 IPv6/IPSec下的安全考虑 IPSec无法完全解决目前广泛存在的DOS攻击(拒绝服务攻击)，更无法有效的防止DDoS攻击（分布式拒绝服务攻击）。 IPSec无法有效防止针对协议本身的攻击，如SYN flood攻击。 IPSec也无法解决口令攻击，也无法防止利用缓冲区溢出进行的攻击。

52 IPv6下主要的安全产品的变化 防火墙 IDS 安全产品的通信和互动

53 1.防火墙的设计 由于IPv6相对Ipv4在数据报头上有了很大的变动，所以原来的防火墙产品在IPv6网络上并不能直接使用，必须有一些变动。针对Ipv6的Socket套接口函数已经在RFC2133（Basic Socket Interface Extensions for IPv6）中定义，以前的应用程序都必须参考该新的API做相应的改动。

54 2.IDS的设计 首先，IDS产品同防火墙一样，其程序在IPv6下不能直接运行，还要做相应的修改。

55 3.安全产品的通信和互动 各安全产品之间的通信和互动会比较困难。 这是因为他们之间传输的数据都经过了加密。而且加密所使用的算法也不尽相同，这将使目前安全产品难以沟通的现状更加恶化，况且加密技术在流通上还有这样那样的限制。

56 参考网址 1. IETF http://www.ietf.org/ 2.6BONE http://www.6bone.net/
3.ipv6.org 4.IPv6 Forum 5.CERNET IPV6试验床 6.华东（北）学生实验网 7.中国科学技术大学学生实验网 8.北京邮电大学学生实验网 9.东北地区学生实验网 10.中山大学学生实验网

57 谢谢大家！