IPv6概述课件完整

安全集成工程师培训IPv6概述本节目标CISAW安全集成工程师培训-——中国·

成都对IPv6有初步了解IPv6诞生的背景和解决的问题IPv6的地址和地址类型IPv6的过渡技术和部署本节结构CISAW安全集成工程师培训-——中国·

成都IPv6的应用与研究为什么要使用和研究IPv6？IPv4的不足地址危机QoS和性能问题配置复杂移动性支持不够安全问题骨干路由表膨胀CISAW安全集成工程师培训-——中国·

成都针对地址危机临时的解决方法CISAW安全集成工程师培训-——中国·

成都CIDR一定程度能节省IPv4地址空间的使用不能解决IPv4地址短缺NAT能缓解IPv4地址短缺的问题一些端到端的应用，如VoIP会出问题实现复杂，性能下降DHCP通过释放一段时间不用的IP，能部分缓解IPv4地址短缺不能解决IPv4的地址短缺IPv6特点CISAW安全集成工程师培训-——中国·

成都更大的地址空间更高效的路由基础更好的安全型移动性更好的QoSIPv4和IPv6的包头比较-1IPv4的包头可变长度版本首部长度服务类型总长度标识符标志段偏移量TTL协议首部校验和源地址目标地址可选项填充数据20字节32bitCISAW安全集成工程师培训-——中国·

成都IPv4和IPv6的包头比较-2版本流量类型流标签载荷长度 下一报文首部跳数限制目标地址报文首部扩展首部信息40字节扩展报头数据32

bits指出扩展头的位置相当于IPv4中的TOS字段，规定使用的服务类长型度为20位，用于标识同一业务流源和目的的一个业务流数据采用相同的转发行为，来提高转发效率的数据。中间转源发地路址由器对于同一类似于IPv4中的TTL，但是跳数的上限由上层协议来规定CISAW安全集成工程师培训-——中国·

成都IPv4和IPv6的包头比较-3版本流量类型流标签载荷长度下一报文首部跳数限制源地址目标地址报文首部扩展首部信息数据数据填充可选项目标地址源地址协议TTL标志标识符总长度段偏移量首部校验和服务类型首部长度版本V6V首6首部部中中没没有有首用部于分段和重组的长字度段字。段V，6的因分为段v6与重组只发生在的源首端部和是目固的定V端6长的，度I中P地间址结变点不再进行分段和重成组1。28V位6的分段和重组用的字段位于扩展报头。V6首部中没有校验

在扩展和在首，扩部校展中验首还依部包靠中含上标加层识密和身份验完上证成层的协字议段CISAW安全集成工程师培训-——中国·

成都IPv6巨大的地址空间CISAW安全集成工程师培训-——中国·

成都128位的地址空间340,282,366,920,938,463,463,374,607,431,768,211,456个地址!IPV6地址由8个16进制字段构成例如：CDCD:910A:2222:5498:8475:1111:3900:20201030:0:0:0:C9B4:FF12:48AA:1A2B2000:0:0:0:0:0:0:1更高效的路由基础-1CISAW安全集成工程师培训-——中国·

成都在分配之初就考虑到骨干网汇总的问题，分配IPv6地址的时候，接入骨干网的ISP的地址空间是连续的更高效的路由基础-2中间转发的路由器不再作分片和重组的工作采用路径MTU发现机制，整个链路使用最小MTU发送数据MTU=1500MTU=1500MTU=1400MTU=1300发送MTU=1500的包发送ICMP出错报文只能传输MTU=1400的包发送MTU=1400的包发送ICMP出错报文发送MTU=1300的包CISAW安全集成工程师培训-——中国·

成都更高效的路由基础-3CISAW安全集成工程师培训-——中国·

成都不再使用IPv4中的选项，改为扩展首部只有在必要的时候路由器才处理扩展首部，而大部分的中间结点不需要检查和处理IPv6的包头定长，容易硬件实现路由功能IPv6的首部字段减少，路由器的处理更加高效IPv6的安全性CISAW安全集成工程师培训-——中国·

成都对于IPv4设备来说，IPsec是可选项IPsec在IPv6的设备中是必备的IPv6通过扩展包头来实现IPsecIPv6的移动性和QoSCISAW安全集成工程师培训-——中国·

成都IPv4设计时并未考虑移动IPv6设计时就考虑到对移动特性的支持IPv6引入“流”的概念提供对QoS的内置支持流CISAW安全集成工程师培训-——中国·

成都流（flow)从一个特定源发向一个特定(单播或者是组播)目的地的包序列，源点希望中间路由器对这些包进行特殊处理IPv6利用流类别、流标签实现了强大的QoSIPv6的地址CISAW安全集成工程师培训-——中国·

成都IPv6的地址表示IPv6的单播地址IPv6的组播地址IPv6的任播地址IPv6的接口标志IPv6的地址表示将每段转换为十六进制数，并用冒号隔开2001:0410:0000:0001:0000:0000:0000:45ff压缩表示::表示多个连续的02001:410:0:1::45ff这就是RFC2373中定义的首选格式去掉不必要的02001:410:0:1:0:0:0:4::5在f整f个地址中只能出现一次！CISAW安全集成工程师培训-——中国·

成都IPv6单播地址CISAW安全集成工程师培训-——中国·

成都全局单播地址链路本地地址站点本地地址特殊IPv6地址兼容性地址IPv6的全局单播地址相当于IPv4的公网IP首部3位00145位Global

Routing

Prefix可以反映全球ISP的层次结构TLAID顶级汇聚标识符Res为未来扩展TLAID或NLAID的长度而保留的位NLAID下一级汇聚标识符SLA

ID站点汇聚标识符接口标识位64位CISAW安全集成工程师培训-——中国·

成都IPv6地址分配机构亚太地区的APNIC()目前由IANA负责进行IPv6地址的分配，主要由三个地方组织来执行:欧洲地区的RIPE-NCC()北美地区的INTERNIC()分配的是哪一部分?CISAW安全集成工程师培训-——中国·

成都链路本地地址IPv6中没有了广播，IPv4中的ARP在IPv6中不能工作，“邻居发现”是IPv6中和CISAW安全集成工程师培训-——中国·

成都每个设备的接口IP在v4的启AR动P对I应P的v寻6址的机制时候会自动配置一个链路本地地址IPv6的“邻居发现”机制要用到IPv6的链路本地地址链路本地地址以“FE80”开头Interface

ID是通过EUI－64自动生成路由器绝不会转发链路本地地址站点本地地址相当于IPv4中的私网地址不会路由到公网上前缀为FEC0::/10用于打印机,交换机的管理地址等在IPv6大规模实现时,站点本地地址将不复使用CISAW安全集成工程师培训-——中国·

成都特殊IPv6地址和兼容地址CISAW安全集成工程师培训-——中国·

成都特殊IPv6地址未指定地址

0:0:0:0:0:0:0:0

或

:: 相当于IPv4的环回地址（0:0:0:0:0:0:0:1

或 ::1）标识一个环回接口 ,相当于IPv4的兼容地址与

IPv4 兼容的地址，0:0:0:0:0:0:w.x.y.z

或::w.x.y.zIPv4 映射地址，0:0:0:0:0:FFFF:w.x.y.z

或::FFFF:w.x.y.z6to4 地址用于IPv4的网络上传送IPv6的包其它CISAW安全集成工程师培训-——中国·

成都IPv6组播地址-1组播的特点任何节点能够是一个组播组的成员。一个源节点可以发送数据包到组播组组播组的所有成员收到发往该组的数据包组播地址在IPv6包中不能用作源地址或出现在任何选路头中A、B、C在一个组播组中，

A发组播包，谁会接收？DCA

BIPv6组播地址-2IPv6中的组播地址结构，其最高位前8位为1Flags字段四位，目前只用了最后一位，此位为0，则是一个永久组播地址，1是临时组播地址范围（scope

）0：预留

； 1：节点本地范围；5：本地站点范围；E：全球范围；2：本地链路范围8：组织本地范围

F：预留。CISAW安全集成工程师培训-——中国·

成都节点本地、链路本地和站点本地CISAW安全集成工程师培训-——中国·

成都IPv6的任播地址CISAW安全集成工程师培训-——中国·

成都任播地址是IPv6特有的地址类型，它用来标识一组网络接口路由器会将目标地址是任播地址的数据包发送给距离本路由器最近的一个网络接口(一对一组中的一个)任播地址不能用作IPv6包的源地址如果一个全局单播地址被指定给多于一个接口，那么该地址就成为了任播地址源节点不需要关心如何选择最近的任播节点，这个工作由路由系统完成当路由发生变化时，发往同一个任播地址的包可能会被发往不同的任播节点目前，任播地址不能指定给IPv6主机，只能指定给

IPv6路由器对比和总结项

目IPv4IPv6Broadcast广播在同一个广播域中的所有主机都会受到影响,或者给于回复;可能使得整个局域网瘫痪(广播风暴)没有广播类型，IPv4中的广播功能在IPv6中被组播取代Multicast多播（组播）有效利用了网络的带宽并且没有影响到不需要的主机有丰富得多的组播类型Unicast单播用于一对一的通信用于一对一的通信Anycast泛播没有任播类型用于标识一组网络接口，目前只用于路由器CISAW安全集成工程师培训-——中国·

成都IPv6的接口标识CISAW安全集成工程师培训-——中国·

成都三种方式可以生成IPv6的接口标识由扩展唯一标识符EUI-64派生出来的64位接口标识符随机生成的接口标识符随时间而更改，以提供一定的隐蔽性在全状态地址自动配置过程中分配的接口标识符（IPv6的DHCP）基于EUI的接口标识符-1IEEE

802

地址的结构统一/本地(U/L)个体/组(I/G)24

bitsccccccug

cccccccc

ccccccccIEEE

administered

company

ID24

bitsxxxxxxxx

xxxxxxxx

xxxxxxxxManufacturer

selected

extensionID这不是MAC地址吗？CISAW安全集成工程师培训-——中国·

成都基于EUI的接口标识符-2先将MAC一分为二中间填入0xFF

0xFE，得到EUI－64将u/l位取反，最后得到IPv6接口标识符CISAW安全集成工程师培训-——中国·

成都临时地址接口标识符CISAW安全集成工程师培训-——中国·

成都临时地址接口标识符1.

从存储中检索历史信息值，取适配器的 EUI-64 地址2.

根据步骤

1 中的两个值通过哈希算法（MD5）计算出一个固定的值3.

将步骤

2 中计算出的

MD5 哈希的最后

64 位保存为历史信息值，用于下一次接口标识符计算4.

取出步骤

2 中计算出的

MD5 哈希的前

64 位，并将第七位设为 0。第七位对应于

U/L 位，该位设置为0 时表示一个本地管理的

IPv6 接口标识符，得到的结果就是

IPv6 接口标识符IPv6的DHCP自动分配的接口标识符IPv6的发展进程和部署实施IPv6的发展进程IPv6孤岛IPv4InternetIPv6孤岛IPv6孤岛IPv6孤岛IPv6孤岛IPv6InternetIPv4Internet协议转换IPv4孤岛IPv4孤岛IPv6InternetCISAW安全集成工程师培训-——中国·

成都过渡技术CISAW安全集成工程师培训-——中国·

成都双协议栈隧道技术网络地址转换技术过渡技术：双协议栈双协议栈的实现原理：图中路由器可支持两种协议双协议栈的应用：双协议栈可以实现IPv4和IPv6流量的各自独立通信IPv4

userIPv4

userSi双协议栈IPv6网IPv4网双栈边界路由器双栈核心交换机IPv4/IPv6双栈网IPv4/IPv6

userCISAW安全集成工程师培训-——中国·

成都过渡技术：隧道技术隧道技术隧道可以在IPv6的包穿越IPv4的网络之前给IPv6的数据包头再封装一个IPv4的头部隧道技术原理图CISAW安全集成工程师培训-——中国·

成都过渡技术：地址转换网络地址转换技术IPv6网络节点和IPv4网络节点通过NAT-PT通信IPv4cloudIPv6cloudIPv6

hostNAT-PT网关IPv4

headerIPv4

dataIPv6

headerCISAW安全集成工程师培训-——中国·

成都IPv6

dataIPv6的配置实例-1拓扑结构: 三台cisco2621路由器，通过以太口相连软件版本：IOS12.2（11）T任务目标：配置纯IPv6的网络，实现IPv6的rip路由协议地址分配：R1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程师培训-——中国·

成都IPv6的配置实例-2CISAW安全集成工程师培训-——中国·

成都配置中用到的命令Router(config)#ipv6

unicast-routing开启IPv6的流量转发功能Router(config-if)#ipv6

address

ipv6-address/prefix-length配置接口的IPV6地址Router(config)#

ipv6

router

rip

name启用路由上ipv6的rip路由协议Router(config-if)#

ipv6

rip

name

enable在接口上应用IPv6的RIP协议IPv6的配置实例-3CISAW安全集成工程师培训-——中国·

成都配置中用到的命令Router（

config）#show

ipv6

interfacebrief查看IPv6地址的接口摘要信息Router#show

ipv6

route查看IPv6的路由表IPv6的配置实例-4R1(config)#interfacef0/0R1(config-if)#ipv6addressFEC0:0:0:1001::1/64R1(config-if)#noshutR1(config-if)#interfaceloopback0R1(config-if)#ipv6address1111:1:1:1111::1/64R1(config-if)#exitR1(config)#ipv6unicast-routingR1(config)#ipv6routerripciscoR1(config)#interfacef0/0R1(config-if)#ipv6ripciscoenableR1(config-if)#interfaceloopback0R1(config-if)#ipv6ripciscoenableR1F0/0

:

FEC0:0:0:1001::1/64Loopback

0:

1111:1:1:1111::1/64R3F0/1

:FEC0:0:0:1002::2/64R2F0/0

:FEC0:0:0:1001::2/64F0/1

:FEC0:0:0:1002::1/64CISAW安全集成工程师培训-——中国·

成都IPv6的配置实例-5[up/up][up/up]R2#show

ipv6

interface

briefFastEthernet0/0FEC0:0:0:1001::1FastEthernet0/1FEC0:0:0:1002::1R1#ping

fec0:0:0:1002::2Type

escape

sequence

to

abort.Sending5,

100-byte

ICMP

Echosto

FEC0:0:0:1002::2,

timeout

is

2seconds:!!!!!Success

rate

is

100percent

(5/5),round-trip

min/avg/max

=1/2/4

msR2#show

ipv6

routeIPv6

Routing

Table

-

7

entriesCodes:

C

-

Connected,

L

-

Local,

S

-

Static,

R-

RIP,

B-

BGPI1

-

ISIS