（计算机系统结构专业论文）intranet+ipv6网络集成过渡平台研究.pdf

杭州电子科技大学硕士学位论文 i 摘 要 ipv6（internet protocol version 6，ipv6 协议）和 ipv4 一样是工作在网络层的协议，它是 tcp/ip 协议的重要组成部分。ipv6 协议吸收了 ipv4 的优点并弥补了其不足，它具有地址空 间巨大、支持地址自动配置即插即用等优点。目前，ipv6 已成为 ngi、ngn 的核心技术。今 后的 internet 采用 ipv6 技术已经成为人们的共识。 intranet 是基于用 tcp/ip 技术构建的内联网，它可以实现 internet 上的一切服务。当前的 intranet 是基于 ipv4 协议的，这并不符合网络发展的趋势。ipv6 协议的种种新特性，可以为 企业在下一代互联网中的应用提供更好的支持， 应尽快建设基于 ipv6 的企业网或对基于 ipv4 的企业网进行升级。 本文主要研究了 ipv4/ ipv6 过渡阶段的网络互连问题、网络服务迁移问题、网络安全问 题，提出了 intranet ipv6 网络集成过渡平台的总体方案。该方案采用层次结构设计与模块结 构设计相结合的方式，自下而上将网络硬件架构、网络服务体系、网络互连体系、网络安全 体系、网络开发平台、服务管理平台、用户接口平台七个模块有机的结合在一起，各模块相 互独立并且相辅相成， 共同满足 intranet 从 ipv4 到 ipv6 的过渡需求。 研究 intranet ipv6 集成 过渡平台，主要开展了以下几方面的工作。 1分析比较双协议栈、隧道、翻译三种典型的 ipv4/ipv6 过渡技术的工作机制及适用场 合。详细论述了基于无状态地址映射的网络互连技术ivi 的工作原理、工作模型，分析其 可行性，并提出应用 ivi 技术的 intranet ipv6 网络互联方案。 2 分析 ipv4/ ipv6 的服务迁移问题， 提出网络集成服务体系的设计思想， 给出框架模型， 设计出支持 ipv4/ ipv6 用户访问的网络服务体系模型。本文采用开放源代码的 linux 环境作 为服务器操作系统，每一种服务器单独构成一个服务模块，方便剪裁灵活搭配。 3分析了伪造源地址攻击的危害，将源地址验证纳入 intranet ipv6 安全体系。应用逐跳 选项扩展首部的新特性，设计出带有源地址验证选项的扩展首部，提出了一种新的 ipv6 源地 址验证方案。 4分析 ipv6 网络中新的安全问题，针对现有 ids 无法检测经过 ipsec 加密数据的入侵 现象的问题，应用 ldap 这一轻量级目录访问协议，设计出可以解决 ipsec 加密通信问题的 ipv6 ids 模型。 5针对网络服务种类繁多，配置复杂，管理任务量大的问题，设计一款网络服务管理软 件，管理多种服务器的配置。以 dhcp 服务器、ftp 服务器、dns 服务器为例，实现了对三 种服务器的监测管理功能。 目前，并没有 intranet ipv6 网络集成过渡平台在理论上、实施上的完整解决方案。本文 通过对 ipv4/ipv6 过渡技术的研究，提出了 intranet ipv6 网络集成过渡平台的设计方案，并详 杭州电子科技大学硕士学位论文 ii 细描述了它的特征、功能、服务、过渡和兼容机制。该平台研究 ipv4/ipv6 的过渡策略，提出 了应用 ivi 技术的 intranet ipv6 网络互连方案部署； 研究服务迁移策略， 提出网络集成服务体 系的设计思想并设计出一款网络服务管理软件；研究网络安全策略，提出新的 ipv6 源地址验 证方案和 ipv6 ids 模型设计。该平台是 ipv4/ipv6 过渡的综合技术平台，为企业网向 ipv6 的 过渡提供整体的解决方案，适用于过渡阶段的企业网络，具有实用和推广价值。 关键词： ipv6，过渡技术，ivi，源地址验证，ids，ldap，linux，内联网 杭州电子科技大学硕士学位论文 iii abstract ipv6 (internet protocol version 6) is working in the network layer as ipv4, it is an important component of the tcp/ip protocol. ipv6 protocol not only has the advantages of ipv4 but also improves its shortcomings. ipv6 has a lot of advantages including the huge address space, in support of address auto-configuration and so on. at present, ipv6 has become the core technology of ngi and ngn. it is become the consensus that ipv6 technology will be used in the future internet. intranet is build by tcp/ip technology, which can support all services of internet. at present, intranet based on the ipv4 protocol does not comply with network development trend. the new features of ipv6 protocol can be provide better support for enterprises in the application of ngi. so it should be building enterprise network based on ipv6 or upgrading ipv4-based enterprise network as soon as possible. this paper mainly studies the issues of the ipv4/ipv6 transition phase that includes the network interconnection issues, the relocation of network services, and network security issues, then proposes an overall scheme of intranet ipv6 network integration platform for transition. the scheme designs with the combination of module hierarchy and structural. arrangement by bottom-up, this platform includes seven modules: respectively network hardware architecture, network service system, network interconnection system, network security system, web development platform, service management platform, and user interface platform. these seven independent modules complement with each other, and jointly to meet the needs of intranet from ipv4 to ipv6 transition. this paper primarily does following researches of this platform. 1. analyzes and compare the working mechanism and applicant occasions of three typical ipv4/ipv6 transitions that include dual-stack technology, tunneling technology, address translation. discuses the working principle and working models of ivi technology in detail which is a network interconnect technology based on stateless address mapping, and analyzes the feasibility. and proposes a networking deployment scheme with ivi technology. 2. analyzes the service migration of ipv4/ipv6, proposes the design ideas of network integration service system, given the framework of models, designed the network service system model which could support ipv4 / ipv6 users to access. in this paper, we used the open source environment linux as a server operating system, each server form a separate service module, with convenient and flexible crop. 3. analyzes the hazard of the forged source addresses attack, and adds source address 杭州电子科技大学硕士学位论文 iv validation to intranet ipv6 security system. designs new extension header with the source address validation option by the new features of hop-to-hop options extension header, and proposed a new ipv6 source address validation scheme. 4. analyzes the new network security issues of ipv6. because the existing ids cannot detect intrusion phenomenon of encrypted data for the ipsec, designs a new ipv6 ids model which could communication the problems with the lightweight directory access protocol ldap. 5. for the problem that there are so many kinds of servers, complex configuration and large management tasks. designs web services management software to manage a variety of server software configuration, achieve the monitoring of three kinds of server management functions by dhcp server, ftp server, dns server. at present, there is no completely theoretic and accomplished solution of intranet ipv6 network integration platform. from the study of ipv4/ipv6 transition, this paper proposed a design of intranet ipv6 network integration platform, and makes a detailed description of its features, functions, services, transition and compatibility mechanisms. the platform studies the transfer strategy from ipv4 to ipv6, proposes networking deployment scheme of using ivi technology. the platform studies service transfer strategy, proposes a thought of network integration service system, and designs network services management software. the platform studies network security policy, proposes the new method of source address validation and pattern layout of ipv6 ids. this platform is a comprehensive technical platform, provides a package solution for the enterprise network in ipv4/ipv6 transition period, and has a practical and popularizes value. keywords：ipv6，transition technologies，ivi，source address verification，ids，ldap， linux，intranet 杭州电子科技大学杭州电子科技大学 学位论文原创性声明和使用授权说明学位论文原创性声明和使用授权说明 原创性声明原创性声明 本人郑重声明： 所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得 的成果。除文中已经注明引用的内容外，本论文不含任何其他个人或集体已经发表或撰写过 的作品或成果。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 论文作者签名： 日期： 年 月 日 学位论文使用授权说明学位论文使用授权说明 本人完全了解杭州电子科技大学关于保留和使用学位论文的规定，即：研究生在校攻读 学位期间论文工作的知识产权单位属杭州电子科技大学。本人保证毕业离校后，发表论文或 使用论文工作成果时署名单位仍然为杭州电子科技大学。学校有权保留送交论文的复印件， 允许查阅和借阅论文；学校可以公布论文的全部或部分内容，可以允许采用影印、缩印或其 它复制手段保存论文。 （保密论文在解密后遵守此规定） 论文作者签名： 日期： 年 月 日 指导教师签名： 日期： 年 月 日 杭州电子科技大学硕士学位论文 1 第 1 章 绪论 1.1 课题研究背景 1983 年 1 月，arpanet 网络将 tcp/ip 协议作为标准协议使用，至今 ipv4 协议已经使 用 20 多年。ipv4 以其简单易用性获得了巨大的成功。但是随着应用范围的扩大，它面临的 危机也越来越严重。即将耗尽的地址空间、急剧膨胀的路由表、缺乏质量支持的网络服务、 ip 层瓶颈等一系列问题日趋彰显，严重制约网络的发展。其中，地址空间不足问题尤其突 出1。 icann预计，按照当前的分配速度计算，ip地址将在2010年左右消耗殆尽。2008年8月 亚太制定了最后一个/8 ipv4地址空间分配策略， 为ip地址告罄敲响了警钟2。 cidr （classless inter domain routing）3和nat（network address translation）4技术的出现减缓了ip地址 空间的消耗速度。但是这种方案也是有一定代价的。cidr技术部分解决了地址分类不合理 的问题，但它缺乏同一性的地址继承性关系，严重影响了网络寻址和路由选择的性能。nat 技术在局域网内部使用私有ip地址同时在边界网关进行地址转换， 但这会破坏地址的唯一性 与稳定性，破坏了网络对等模型，使点对点的业务无法开展，从而导致许多网络安全协议无 法执行qos无法保障。 从1991年开始，internet工程组ietf开始研究ipng（下一代ip）用以解决目前internet出现 的问题。 1995年12月， ietf发布了ipv6规范的建议标准， 1998年12月发布ipv6标准rfc24605。 ipv6协议是“internet protocol version 6”的缩写，是下一代internet协议ipng(ip-the next generation)的实现。ipv6和ipv4一样是工作在网络层的协议，它是tcp/ip协议的重要组成部 分。ipv6协议吸取了ipv4协议的优点并弥补其不足，它具有地址空间巨大、支持地址自动配 置即插即用、更简单的报文首部、更小的路由表，支持移动性ip等优点，解决了ipv4协议的 地址耗尽、移动性支持、安全性支持等问题。目前，ipv6技术已成为ngi、ngn的核心技术 6。今后的internet采用ipv6技术已经成为人们的共识。 但是，在ipv6网络具体实现过程中，还要面临的很多困难7。现行的ipv4协议已经使用 了二十多年，它凭借出色的技术特性在网络互连领域获得了巨大的成功。现在的互联网是基 于ipv4协议的，将原有ipv4网络弃之不用而改建新的ipv6网是不现实的，不可能在短期内完 全过渡为ipv6网络。建设ipv6网络，必须充分利用现有的网络环境，保护现有投资，以免造 成资源浪费。所以在相当长的一段时间内，会出现ipv6网络和ipv4网络共存的局面。ipv6协 议是ipv4协议的改进，它的一个重要设计目标是与ipv4协议兼容。由于不可能要求所有节点 立即使用新的ipv6协议， 如何完成各节点从ipv4协议到ipv6协议的转换， 如何实现ipv4与ipv6 的互操作及平滑过渡，是ipv6发展需要解决的最重要的问题。 杭州电子科技大学硕士学位论文 2 intranet又称内联网，是采用internet技术构建的局域网，它可以实现所有因特网的服务。 企业网，校园网都是intranet。企业网应具有实用性、先进性、安全性、易扩展性和易管理性 等特点。应用网络技术，现代企业可以实现供应商、客户、合作伙伴、员工之间的信息沟通， 可实现资源共享、多媒体应用、电子商务、移动办公、语音服务等服务功能。企业网的建设 已经成为提升企业核心竞争力的重要因素8。 企业网的构建多是采用ipv4技术，现代互联网采用ipv4协议而引发的问题在企业网中同 样存在。ipv6协议的种种新的特性为企业在下一代互联网中的应用提供更好的支持，所以应 尽快建设基于ipv6的企业网络或是对基于ipv4的企业网络进行升级，这将给企业带来许多新 应用，更重要的是使企业能够抢先占据下一代网络的制高点。目前没有关于intranet ipv6网 络过渡的整体解决方案。因此，研究intranet ipv6网络过渡策略，为企业用户量身订做从ipv4 到ipv6网络升级的方案使得企业网的过渡既保障现有利益又符合网络的发展方向。 1.2 课题研究现状 ipv6技术的发展引起了许多国家的重视。目前，美国和欧洲国家对 ipv6 的发展以研究 和实验为主体，日本和韩国等亚洲国家则在ipv6商用及业务开展方面处于领先地位，中国起 步晚于日本和韩国等国，但是中国互联网和通信市场发展空间巨大前景广阔，都使中国有机 会成为未来 ipv6 产业化进程中举足轻重的一部分9。 1国外ipv6研究现状 ipv4发源于美国，它有着地址空间和商业应用方面的先天优势，目前没有地址短缺的危 机。美国主要以 ipv6 研究、协调中心的面目出现。比较典型的 ipv6 网络有美国能源网络 6bone，6ren，esnet和intenet2 (ablene)等。6bone是由ietf于1996年8月创建，是世界上成 立最早规模最大的全球范围的ipv6示范网。2002年，6bone的规模已经扩展到包括中国在内 的57个国家和地区，成为 ipv6 研究者、开发者和实践者的主要平台。6ren( ipv6 research and education network initiative )是ipv6的研究与教育网，由ietf的ipng和ngtrans工作组于 1998年12月提出，它的主要目标是提供高质量的 ipv6 分组传输服务，增加运营ipv6 网络 的经验，促进 ipv6 网络的部署以及测试ipv6应用。 欧洲率先在第三代移动网中引入ipv6，在ipv6研究和商业化应用方面多注重移动性支 持，采取的是“先移动，后固定”的基本战略。6init项目由欧盟第5框架于2001年1月创建。 通过telebit tbc2000与ipv6网络连接，内部的单播和组播路由在freebsd3.5pc路由器上实 现，主机采用了基于linux，window 2000，solaris8和freebsd3.5的ipv6客户端。6net和 euro6ix于2002年1月同时启动。其中，6net计划中有11个国家级的研究和教育网络在速率 为2.5gb/s的链路上建立纯ipv6网络；euro6ix计划中再欧洲范围内建立了一定数量的支持 ipv6在欧洲范围内的快速引入的交换节点。android由英国电信领导，目的是验证在基于 ipv4/ipv6 的基础设施上提供易于扩展的，可以支持按需ip服务的网络结构。android 网 络使用了 renater ，6bone 和 6net 作为骨干网。renater2是法国的ipv6科学网， 杭州电子科技大学硕士学位论文 3 它的骨干网使用atm交换机连接，同时连接到6bone，捷克研究网络ten-155、美国、加拿 大和日本的试验网。 日本的主要研究集中在ipv6商业化推广方面。2000年9月，日本政府公布ipv6技术的确 立、普及与国际贡献的基本政府政策；11月将现有网络推进、过渡到ipv6网络作为“ it基本 战略”中的重点政策“超高速网络建设和竞争政策”的具体目标。2001年3月，明确设定在2005 年完成互联网向ipv6的过渡，让光纤网连接家庭，让家用电器接入网络，使日本的网络普及 率提高到全球最高水平。 在全球 ipv6 商用服务、 产品及应用开发方面， 日本处于领先地位。 2001年日本推出了纯ipv6实验业务，同年，ntt在全球第一个推出ipv6商用服务。目前，日 本已经有10多家运营商及isp提供ipv6商用服务。此外，wide项目在东京建立试验性ipv6ix 网( internet exchange )，由20个以上的isp直接互连在一起，这是世界上最大的ipv6ix 之一。 2国内ipv6研究现状 2003年，cngi-cernet2在国际上首次提出“建设纯ipv6大型互联主干网”的技术路线。 这与国际上普遍采用的ipv4/ipv6双栈混合组网思想不同，在当时引起相当大的争议10。 中国教育科研网cernet的建设者于1998年起陆续开始进行ipv6 over ipv4隧道网络以 及ipv4/ipv6双栈网络的实验研究，并积极参与国际ipv6试验床6bone的运行工作。经过多年 实践发现双栈混合方式会大大增加网络维护和管理的成本， 甚至带来严重的安全隐患。 例如， 常用的6to4和teredo隧道机制容易避开源地址过滤，易受源地址欺骗攻击。再如，ipv6/ipv4 双栈网络中有很多代理系统（如隧道端点或ipv4/ipv6网关），一旦在这些代理系统之间不能 进行合理的流量配置，就会影响全网的服务质量。另外，ipv4/ipv6双栈组网思路将无法从根 本上解决ipv4地址匮乏的问题。 基于上述考虑，cngi-cernet2采用了纯ipv6的技术方案11。如今，cngi-cernet2 主干网已成为中国下一代互联网示范工程cngi示范网络核心网中规模最大的核心网，是世 界上规模最大的采用纯ipv6技术的下一代互联网主干网。它以2.5g10g速率连接全国20个 主要城市的25个主干网核心节点， 为全国高校和科研单位提供高速的下一代互联网ipv6接入 服务。全国160所著名高校的接入cngi-cernet2，40余项cngi示范工程的试验、应用示范 和产业化项目连接到cngi-cernet2，进行研究和成果测试。cngi-cernet2成为我国下 一代互联网研究的开放性试验平台，是推动我国下一代互联网产业发展的关键性基础设施。 项目还包括cngi国际/国内互联中心cngi6ix的建设，它实现了6个cngi主干网的互联， 并与北美、欧洲、亚太等地区的下一代互联网互联，使cngi示范网络成为国际下一代互联 网的重要组成部分。 cngi-cernet2的研究成果主要分为四个方面12，第一，提出了“建设纯ipv6大型互联 主干网”的技术路线， 设计实现目前世界上规模最大的纯ipv6主干网； 第二， 提出并确定了“主 要采用国产ipv6核心路由器组建大型主干网”重大技术决策，设计和实现了我国第一个大规 模使用国产核心路由器的主干网；第三，提出了“真实ipv6源地址网络寻址体系结构”，设计 实现了一种“真实ipv6源地址网络寻址系统”；第四，提出了“ipv4 over ipv6网状体系结构过 杭州电子科技大学硕士学位论文 4 渡技术”，设计实现了一种“非显性隧道4over6过渡系统”。 结合cngi-cernet2的研究成果，有三项rfc草案被ietf批准11。“真实ipv6源地址网 络寻址体系结构”解决了复杂度为n2的路由寻址、分级源地址认证和互联互通等问题并推动 ietf于2008年成立了专门工作组sava/savi。向ietf提交了4项标准草案，其中“基于真实 ipv6源地址的网络寻址体系结构”rfc5210(experimental)被批准。“ipv4 over ipv6网状体系结 构过渡”，解决了ipv4向ipv6过渡的兼容性、可管理、可扩展、可靠性和自动配置等技术难 题， 并推动ietf于2006年成立了专门工作组softwire， ietf批准通过了两项标准， 分别为rfc 4925 (informational)和rfc 5565(standards track)。 在网络工程技术方面，cngi-cernet2攻克了地址规划、路由交换、域名解析等一系 列建设纯ipv6网络的关键技术问题13。 地址规划：cngi-cernet2网络申请到的是地址空间为前缀/32的ipv6地址。它没有采 用类似行政区划的网络地址分配方式，而是使用扁平化的设计。全网拓扑分为两个层次：核 心网和接入网。同一节点内部、相邻地区的ipv6地址尽量连续，以便于减小路由表的大小， 加快路由收敛速度，同时预留一定的地址空间，使得地址分配方案具有可扩展性，提高路由 器的效率。 路由交换：路由策略的选择与自治域的划分有关。cngi-cernet2自治域划分方案是： 主干网为一个独立的自治域as0，用户网也是独立的自治域as1asn。各自治域确定自己 的内部路由策略。主干网采用ospfv3路由协议，25个核心节点构成area0，参照网络拓扑选 择最佳路由。用户接入网采用bgp4+路由协议或静态路由，对于用户公布的地址进行有效认 证和聚类检验。cngi-cernet2与其他cngi主干网以及与国内其他ipv6试验网互联采用 bgp4+路由协议。与国际互联方进行ipv6/ipv4双协议栈互联，接收国际的ipv6路由表，聚类 并公布相应的cngi示范网络地址， 根据与国际互联方签定的备忘录可对cngi示范网络进行 地址穿透。最后，通过地址转换技术实现与ipv4网络的资源共享。 域名解析：cngi-cernet2建立纯ipv6域名系统（ipv6-only dns），提供实验性根域 名服务。采用双协议栈域名系统（dual-stack dns），服务于现行网络提供ipv4和ipv6的地 址转换。cngi-cernet2域名结构如下：正向顶级域名：cngi-cernet2.net，ipv6反向 域名：8.a.d..2.ip6.arpa。 3intranet ipv6研究现状 ipv6协议的发展引起了各地区、各运营商的足够重视。已有50多个国家和地区加入有关 ipv6的研究。法、日、美等国的研究机构，ibm、sun、日立等公司，分别研制开发了不同 平台上的ipv6系统软件和应用软件；美国思科、加拿大北电网络、nokia等路由器厂商已经 开发出了面向ipv6网络的路由器产品。操作系统方面，基于开放源码的linux对ipv6提供了 比较强的支持，sun、ibm、康柏、惠普和微软的最新操作系统都提供了ipv6支持。在国内， 华为3com、神州数码网络、华为、中兴等网络设备提供商纷纷在其产品上支持ipv4向ipv6 的转换、以及完全支持向ipv6迁移。 杭州电子科技大学硕士学位论文 5 对intranet ipv6的研究也已引起人们的重视， 因为应用是从最基层的网络开始的， intranet ipv6应成为推动ipv6研究和发展的源动力。目前有关intranet ipv6的研究处于起步阶段，对研 究内容的界定、对采取的实施方案还有待进一步解决。虽然一些网络集成过渡平台和核心设 备都已陆续开始支持intranet ipv6使用，如华为3com和神州数码公司也推出了针对企业网络 升级到ipv6的一些解决方案，这些厂商出于经济利益等各种原因，只是在设备上提供支持， 没有提供具体intranet ipv6网络集成过渡平台框架、服务体系实现方案、过渡机制等。一些 网络系统集成商也是仅针对某个企业局部的ipv6技术改造和升级，并没有给出intranet ipv6 网络集成过渡平台架构和一揽子解决方案。 开展intranet ipv6网络集成过渡平台研究已经有了一定的基础，一方面是纯ipv6网络已 经进入商用阶段，积累了许多经验，例如cernet2。另一方面是国家对intranet ipv6网络集 成过渡平台研究的重视，预计在最近5年内，ipv6网络的建设会有很大的发展，ngi、ngn 采用ipv6技术已成为计算机网络和电信界的共识。 作为ipv6网络重要组成部分的intranet ipv6 网络集成过渡平台，对其应用研究和关键技术问题的解决已经显得越来越重要。 虽然ipv6协议在企业网络中的大规模应用还要有一段时间，但已经是必然发展趋势。目 前我们也还没有看到intranet ipv6网络集成过渡平台在理论上、实施上的完整解决方案，对 intranet ipv6网络集成过渡平台的特征、功能、服务、过渡和兼容机制的研究还处于起步阶 段。应尽快开展intranet ipv6网络集成过渡平台的建设和研究。 1.3 课题研究内容 建设intranet ipv6网络，需要面临多方面的问题，诸如ipv4/ ipv6的过渡策略、ipv4/ ipv6 过渡技术、intranet ipv6与internet的互连问题、intranet ipv6网络服务问题、intranet ipv6的网 络安全问题等。解决企业网的过渡问题不能单一研究一种技术，需要研究一系列相关技术， 并研究这些技术之间的关系和结合方式，寻找企业网过渡的最佳组合方案。 从本文研究intranet ipv6网络集成过渡平台， 旨在为企业用户量身订做从ipv4到ipv6网络 升级的方案。该平台提供多种过渡技术、网络互连、应用服务、网络安全等的一揽子解决方 案。 应用intranet ipv6网络集成过渡平台， 可以使得企业网络过渡既满足目前构建高性能ipv4 网络的需求，同时也可以满足过渡期ipv4和ipv6的混合组网的需求，最终能够满足构建单一 ipv6网络的需求。intranet ipv6网络集成过渡平台的研究主要包括四个方面的内容，分别是 平台总体设计、网络互联方案、网络服务迁移方案、网络安全策略。 1平台总体设计 设计intranet ipv6网络集成过渡平台总体架构。研究过渡策略、网络互联技术、网络服 务迁移、网络安全策略等模块在ipv6过渡中的地位，它们之间的关系以及如何联合使用实现 ipv6过渡。ipv6 intranet系统模块如图1.1所示。 杭州电子科技大学硕士学位论文 6 服务集成模 块 intranet网 络安全模块 过渡策略模 块 ipv6硬件 ipv6系统 软件 图 1.1 ipv6 intranet 系统模块 2网络互联方案 该部分主要研究intranet与internet的网络互连问题。 在ipv4/ipv6的过渡时期， 主要是ipv4 网络与ipv6网络的互连问题，该部分主要比较隧道、双栈、协议转换等典型过渡技术，详述 了基于无状地址映射的网络互联技术ivi。网络互连模块如图1. 2所示。 ipv6网络 ipv4网络 网络互连 隧道技术 双栈技术 协议转换技术 ivi技术 图 1. 2 网络互连体系 3服务迁移策略 该部分研究网络服务集成问题。网络服务器采用开源的linux环境作为操作系统采用模 块设计，类似积木堆叠，方便剪裁。网络集成服务体系提供的ipv4/ipv6公共服务对外有 www、dns、email、bbs服务等，对内有telnet、ftp、samba服务等。网络服务体系如图 1.3所示。 杭州电子科技大学硕士学位论文 7 linux服务器 ftp dns email www telnet samba 数据库 intranet ipv4/ipv6网 络服务服务 集成环境 ipv4用户 ipv6用户 ipv4/ipv6用户 网络服务管 理软件 网络管理用户 图 1.3 网络服务体系 4 安全策略 该部分研究intranet ipv6安全体系构建，将源地址验证纳入其中。并针对ipv6网络中新 的安全问题提出解决方案。针对在ipv6网络中ids无法检测经ipsec加密的数据包的入侵现象 这一问题，提出了一种新的面向ipv6的ids设计方案。 1.4 章节安排 论文具体的章节安排如下： 第一章，绪论，介绍了本课题的背景、相关研究方向的现状及本课题研究的重点内容。 第二章，ipv6协议综述，概括了ipv6协议的新特性。详述ipv6首部格式变化、ipv6地址 结构、ipv6安全方案等，介绍了以后各章节用的ipv6协议相关内容。 第三章，intranet ipv6网络集成过渡平台总体设计，给出了intranet ipv6网络集成过渡平 台的组成、设计了各模块的功能，介绍了本文各部分的研究内容。 第四章，intranet ipv6网络集成过渡平台网络互连技术，比较了隧道、双栈、协议 转换三种典型的ipv6过渡技术,详述了基于无状态地址映射的网络互连技术ivi。 第五章，intranet ipv6网络集成过渡平台安全策略：将源地址验证技术纳入intranet ipv6的安全体系，提出一种应用源地址认证选项的源地址验证方案。针对ids不能检测经 ipsec加密的数据的入侵现象的问题，设计了一种ipv6 ids模型。 第六章，intranet ipv6网络集成过渡平台服务迁移策略，构建了intranet ipv6网络集 成服务体系，并设计一款简单的网络服务管理软件。 第七章，总结与展望，对本文研究内容进行总结，并提出进一步的工作设想。 1.5 本章总结 本章描述了研究intranet ipv6网络集成过渡平台的背景，分析了ipv4过渡到ipv6的必然 性，指出建设intranet ipv6的重性以及研究intranet ipv6网络集成过渡平台的重要意义。同时 分析了ipv6技术的国内外发展现状，比较了美国、欧洲、日韩等国的研究的特点、研究成果 以及应用范围，重点论述了中国的cngi-cernet2的四大研究成果。并在上述分析的基础 上简单描述了本课题的研究内容。 杭州电子科技大学硕士学位论文 8 本课题研究intranet ipv6网络集成过渡平台，研究内容主要包括平台总体设计、过渡策 略、服务迁移策略、网络安全策略四个部分，分别从网络互连体系、网络服务体系、网络安 全体系三个方面论述研究内容，旨在为intranet ipv6的过渡提供一揽子解决方案。具体内容 在以下章节中详细论述。 杭州电子科技大学硕士学位论文 9 第 2 章 ipv6 协议综述 1992年6月ietf提出制定ipng，1995年12月在rfc1883中公布了建议标准(proposal standard) 14，1996年7月和1997年11月先后发布了2和2.1的草案标准(draft standard)，1998年 12月发布了rfc24602463使ipv6正式成为标准协议。 2.1 ipv6 协议的新特性 ipv6协议是为了解决现在internet出现的地址匮乏、路由表庞大、服务质量和安全性差等 问题而产生的。它继承了ipv4协议的优点修正了ipv4协议的缺点，并根据ipv4协议多年的运 行经验进行功能扩充，它的性能比ipv4协议更强大、更高效。相对于ipv4，ipv6有如下一些 显著的优势15 16： 1 更大的地址空间： ip地址由原来的32位扩展到了128位， 取消了ipv4地址的分类概念， 地址空间由ipv4中的232个扩展为2128个。 2 更简化首部格式：ipv6协议首部去掉了ipv4协议中的5个字段，分别是首部长度、标 识、标志、分段偏移和首部校验和字段。使用扩展首部字段，支持扩展和选项的改 进，在选项长度方面更少的限制以及将来引入新的选项时更强的适应性。 3 更小的路由表：ipv6的地址分配遵循聚类的原则，这使得路由表中可以用一条记录 表示一大片链路子网，大大减小了路由器中路由表的长度，提高了路由器转发数据 报的速度。同时减少了路由器处理报头的时间，降低了报文通过网络的延迟。 4 路由选择：ipv6路由与物理接口（链路，如tnlcfg64或eth03）而不是接口关联 （绑定）。ipv6与ipv4的源地址选择功能不同。允许重复路由以提高稳健性，但在 路由查找时将忽略重复路由。 5 对流的支持：在ipv6首部中有20比特的流标签字段。主机发送报文时，如果需要把 报文放到流中传输，需要在流标签里填入相应的流编号。如果不需要则在把流标签 字段填零作为一般的报文处理。路由器收到流的第一个报文之后，以其流编号为索 引建立处理上下文，流中的后续报文都按上下文处理。 6 最大传输单元（mtu）：ipv6的mtu的最小值为1280个字节。ipv6不会对1280字节 下的数据分组分段。ipv6数据分组通过小于1280mtu的链路发送事，链路层必须对 其进行分段和合并。 7 对地址自动配置的支持：这是对dhcp协议的改进和扩展，无需人工配置，实现了 真正的即插即用。 8 更高的安全性：在ipv6协议强制使用ipsec，用户可以对网络层数据进行加密，对ip 分组进行校验和认证。 杭州电子科技大学硕士学位论文 10 9 对移动性的支持：ipv6中的移动性支持不同于ipv4，它不是作为一种对ip协议附加 的功能提出，而是作为一个必需协议内嵌在ipv6协议中的。它可以为用户提供可移 动的ip数据服务，让用户随时随地使用同一个ipv6地址上网。 2.2 ipv6 首部 ipv6 数据单元由固定首部(base header)和有效载荷(payload)组成。 ipv6 固定首部长度为 40 字节，它精减了很多 ipv4 中不必要字段。比如，ipv6 考虑到数据链路层和运输层都有差 错校验功能，就取消了 ipv4 首部中的校验和字段。有效载荷包括扩展首部(extension head) 和上层协议数据单元。ipv6 数据报的基本首部后边有零个或多个扩展首部，扩展首部按一 定的顺序排列。扩展首之间通过下一个首部字段指示。第一个扩展首部由基本首部中的下一 个首部字段指示，最后一个扩展首部的下一个首部字段指示 tcp、udp 等上层协议的报头 17。 ipv6 数据包的结构如下图 2.1 所示： ipv6报头扩展报头扩展报头n上层协议数据单元 图 2.1 ipv6 数据包的结构图 rfc246 规定的 ipv6 必须支持的扩展首部包括：逐跳选项首部(hop-by-hop options header)、目标选项首部(destination options header)、路由首部(routing header)、分片首部 (fragment header)、身份验证首部(authentication header)、封装安全有效载荷首部(encrypted security payload header)。其中，逐跳选项扩展首部需要数据包途经的每一跳路由进行校验， 身份验证报头和封装安全有效载荷报头隶属于 ipsec 协议簇与网络的通信安全有关，我们将 在以下章节中展开讨论。 2.2.1 ipv6 基本首部 ipv6 地址位数扩展到 128 位。ipv6 基本首部删掉了 ipv4 协议中首部长度、标识、标志、 分段偏移和首部校验和 5 个字段， 增加了流量标字段。 这种首部结构大大减少了首部信息量， 弥补了 ip 地址增大所占用的带宽17。ipv6 基本报头格式如图 2.2 所示。 版本（4）通信类型（8