IPv6地址

IPv6地址（精选7篇）

IPv6地址 篇1

摘要：随着互联网的发展,IPv4定义的有限地址空间将被耗尽,地址空间的不足必将影响互联网的进一步发展。该文从理论上阐明了新一代互联网协议IPv6的地址原理、特点及其实现机制,解决了困扰互联网发展的“瓶颈”,有利于互联网的持续和长久发展。

关键词：互联网协议,IPv6,单播,任意播,组播,地址配置

1 引言

目前的互联网协议为32位编码的IPv4,可提供的IP地址大约为40多亿个,其中的70%已分配光,全球将面临严重的IP地址枯竭的危机。IPv6的地址是128位编码,能产生2的128次方个IP地址,地址资源极其丰富。

以IPv6为技术基础的下一代互联网,不但可以实现现有IPv4网络所提供的全部通信业务,还能体现IPv6价值和发展前景的创新业务。它的应用将使真正的数字化生活来临。人们可以随时、随地用任何一种方式高速上网,任何可能的东西都会成为网络化生活的一部分。

2 IPv6报头结构

IPv6基本报头格式比IPv4报头简单得多。在IPv4中有10个固定长度的域,2个地址空间和若干个选项;IPv6中只有6个域和2个地址空间。报头的简化使IP的某些工作方式发生了变化,因为所有报头长度统一,所以不再需要报头长度字段;IPv6中的分段只能由源节点进行,中间路由器不再进行任何分段,减轻了中间路由器的工作负荷;去掉IP头校验和并不影响可靠性,主要是因为头校验和将由更高层协议(TCP/UDP)负责。虽然IPv6基本报头是IPv4报头的2倍,但因其长度固定,故不需要消耗过多的内存容量;又因其要处理的域由IPv4的14个减少到8个,从而大大减少了路由器上的软件处理内容。

图1和图2为IPv4与IPv6报头格式的比较。

3 IPv6地址的表示形式

用文本方式表示的IPv6地址有四种规范的形式:

1)优先选用的形式是X:X:X:X:X:X:X:X,其中X是8个16位地址段的十六进制值。例如:

每一组数值前面的0可以省略。如0008写成8。

2)在分配某种形式的IPv6地址时,会发生包含长串0位的地址。为了简化包含0位地址的书写,可以使用“::”符号简化多个0位的16位组。“::”符号在一个地址中只能出现一次。该符号也可以用来压缩地址中前部和尾部的0。举例如下:

1080:0:0:0:8:800:201c:417A单点传送地址

FF01:0:0:0:0:0:0:101多点传送地址

0:0:0:0:0:0:0:1回环地址

0:0:0:0:0:0:0:0不确定地址

可用下面的压缩形式表示:

1080::8:800:200C:417A单点传送地址

FF01::101多点传送地址

::1回环地址

::不确定地址

3)在涉及IPv4和IPv6节点混合的节点环境时,有时需要采用另一种表达方式,即X:X:X:X:X:X:D.D.D.D,其中X是地址中6个高阶16位段的十六进制值,(按照IPv 4标准表示)。例如:下面两种嵌入IPv4地址的IPv6地址0:0:0:0:0:0:202.201.32.29和00:0:0:0:FFFF:202.201.32.30,将其写成压缩形式分别为::202.201.32.29和::FFFF.202.201.32.30

4)要在一个URL中使用文本IPv6地址,文本地址应该用符号“[“和”]”来封闭。例如文本IPv6地址FEDC:BA98:7654:3210FEDC:BA98:7654:3210写作URL示例为:http://[FEDC:BA98:7654:3210:FEDC:BA98:7654:3210]:80/index.html。

4 IPv6地址类型

所有类型的IPv6地址都被分配到接口,而不是节点。IPv6地址是单个或一组接口的128位标识符,有三种类型:

4.1 单播地址

单一接口的标识符。发往单播地址的包被送给该地址标识的接口。对于有多个接口的节点,它的任何一个单播地址都可以用作该节点的标识符。单播地址中有下列两种特殊地址:

4.1.1 不确定地址

单播地址0:0:0:0:0:0:0:0称为不确定地址。它不能分配给任何节点,不能在IPv6包中用作目的地址,也不能用在IPv6路由头中。

4.1.2 回环地址

单播地址0:0:0:0:0:0:0:1称为回环地址。节点用它来向自身发送IPv6包。它不能分配给任何物理接口。

4.2 任意播地址

一组接口(一般属于不同节点)的标识符。发往任意播地址的包被送给该地址标识的接口之一(路由协议度量距离最近的)。IPv6任意播地址存在下列限制:

1)任意播地址不能用作源地址,而只能作为目的地址;

2)任意播地址不能指定给IPv6主机,只能指定给IPv6路由器。

4.3 组播地址

一组接口(一般属于不同节点)的标识符。发住多播地址的包被送给该地址标识的所有接口。地址开始的11111111标识该地地址为组播地址。

IPv6中没有广播地址,它的功能正在被组播地址所代替。

5 IPv6中的地址配置

5.1 状态自动配置

其工作过程大致如下:一个DHCP服务器拥有一个IP地址池,主机从DHCP服务器申请IP地址并获得有关的配置信息(如缺省网关、DNS服务器等),由此达到自动设置主机IP地址的目的。

状态自动配置的问题在于,用户必须保持和管理特殊的自动配置服务器以便管理所有“状态”,即所容许的连接及当前连接的相关信息。

5.2 无状态自动配置

无状态自动配置过程要求节点采用如下步骤:

1)进行自动配置的节点必须确定自己的链路本地地址;

2)必须验证该链路本地地址在链路上的唯一性;

3)节点必须确定需要配置的信息。该信息可能是节点的IP地址,或者是其他配置信息,或者两者皆有。如果需要IP地址,节点必须确定是使用无状态自动配置过程还是使用状态自动配置过程来获得。

具体地说,在无状态自动配置过程中,主机首先通过将它的网卡MAC地址附加在链路本地地址前缀1111111010之后,产生一个链路本地单播地址(IEEE已经将网卡MAC地址由48位改为了64位。如果主机采用的网卡的MAC地址依然是48位,那么IPv6网卡驱动程序会根据IEEE的一个公式将48位MAC地址转换为64位MAC地址)。接着主机向该地址发出一个邻居发现请求,以验证地址的唯一性。如果请求没有得到响应,则表明主机自我配置的链路本地单播地址是唯一的。否则,主机将使用一个随机产生的接口ID组成一个新的链路本地单播地址。然后,以该地址为源地址,主机向本地链路中所有路由器多点传送一个路由器请求来请求配置信息,路由器以一个包含一个可聚集全球单播地址前缀和其它相关配置信息的路由器宣告作为响应。主机用它从路由器得到的全球地址前缀加上自己的接口ID,自动配置全球地址,然后就可以与Internet中的其它主机通信了。

如果没有路由器为网络上的节点服务,也就是本地网络孤立于其他网络,则节点必须寻找配置服务器来完成其配置;否则,节点必须侦听路由器宣告报文。这些报文周期性地发往所有主机的组播地址,以指明诸如网络地址和子网地址等配置信息。节点可以等待路由器宣告,也可以通过发送组播请求给所有路由器的组播地址来请求路由器发送宣告。一旦收到路由器的响应,节点就可以使用响应的信息来完成自动配置。

6 IPv6地址分配的原则

IPv6地址的规划应尽可能和网络层次相对应,是自顶向下的一种规划。IPv6地址规划应该是网络整体规划的一部分,即IPv6地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。具体的IPv6地址分配将通常在工程实施时统一规划实施,这里主要描述IP地址分配的原则:

1)地址规划采用扁平化的规划思路,全网拓朴分为两个层次:骨干网和城域网。

2)各个骨干网络或者特殊区域网络按照业务量需求,在骨干区域分配不同的地址段。

3)城域网,考虑IETF对IPv6地址空间的/48的分配建议,结合大城域网的地址空间需求,划分为两级:城域区域和站点区域,其中城域区域划分为骨干区域到/48地址之间的地址空间,而站点区域,按照IFTF的建议,使用/48到/64之间的地址空间。

4)IPv6地址分配要尽量给每个区域分配连续的IP地址空间;在每个城域网中,相同的业务和功能尽量分配连续的IP地址空间,有利于路由聚合以及安全控制。

5)IPv6地址的规划与划分应该考虑到网络的发展要求,即要充分考虑未来业务发展,预留相应的地址段。

6)IPv6地址的分配需要有足够的灵活性,能够满足各种用户接入如小区用户、专线用户等的需要。

7)充分合理利用已申请的地址空间,提高地址的利用效率。

7 结论

相对于IPv4,IPv6有如下一些显著的优势:

1)地址容量大大扩展,由原来的32位扩充到128位,支持更多级别的地址层次、更多的可寻址节点数以及更简单的地址自动配置,彻底解决IPv4地址不足的问题。

2)大容量的地址空间能够真正的实现无状态地址自动配置,使IPv6终端能够快速连接到网络上,无需人工配置,实现了真正的即插即用。

3)报头格式大大简化,一些IPv4报头字段被删除或变为了可选项,以减少包处理中例行处理的消耗并限制IPv6报头消耗的带宽;从而有效减少路由器或交换机对报头的处理开销,这对设计硬件报头处理的路由器或交换机十分有利。

4)加强了对扩展报头和选项部分的支持,这除了让转发更为有效外,还对将来网络加载新的应用提供了充分的支持;IP报头选项编码方式的改变可以提高转发效率,使得对选项长度的限制更宽松,且为将来引入新的选项提供了更大的灵活性。

5)流标签的使用让我们可以为数据包所属类型提供个性化的网络服务,并有效保障相关业务的服务质量;标识流的能力使得标识属于发送方要求特别处理(如非默认的服务质量获“实时”服务)的特定通信“流”的包成为可能。

6)认证与私密性:IPv6中指定了支持认证、数据完整性和(可选的)数据机密性的扩展功能。

7)IPv6在移动网络和实时通信方面有很多改进。特别地,不像IPv4,IPv6具备强大的自动配置能力从而简化了移动主机和局域网的系统管理。

显然,IPv6的优势中最为突出的是其大大地扩大了地址空间,恢复了原来因地址受限而失去的端到端连接功能,为互联网的普及与深化发展提供了基本条件。当然,IPv6并非十全十美、一劳永逸,不可能解决所有问题。IPv6只能在发展中不断完善,也不可能在一夜之间发生,过渡需要时间和成本,但从长远看,IPv6有利于互联网的持续和长久发展。

参考文献

[1]黄智诚,陈少涌.计算机网络技术基础[M].冶金工业出版社.2003.8.

[2]Silvia Hagen.IPv6精髓[M].清华大学出版社.2004.5.

[3]Joseph Davies.Understanding IPv6[M].清华大学出版社.2004.3.

[4]洛辛.TCP/IP透彻理解[M].电子工业出版社.2003.9.

[5]吴丹,钟佳,徐吉安.计算机通信网基础[M].冶金工业出版社.2004.6.

[6]邬贺铨.计算机世界[J].2005.4.

IPv6单播地址规划研究 篇2

一、IPv4地址枯竭

第33次中国互联网络发展状况统计报告显示, 截至2013年12月, 我国网民规模达6.18亿, 全年共计新增网民5358万人, 互联网普及率为45.8%。由于全球IPv4地址数已于2011年2月分配完毕, 因此自2011年开始我国IPv4地址数量基本没有变化, 截至2013年12月共计有3.30亿个。IPv4地址增幅和数量落后于网民增幅和数量, 所以我国面临IP地址供需缺口形势更为严峻。

二、IPv6地址分类

IPv6地址是一个128位的无符号整型数, IPv6地址可以分为以下三类:单播、任意播和组播。其中, 单播 (unicast) 用来标识一个网络接口。目的地址为单播地址的报文将被发送到对应的单个网络接口。

根据RFC 3513的定义, 除了由000开头的地址, 所有的全球单播地址都有64位接口ID。IPv6全球单播地址分配使用了以001开头范围的地址 (2000::/3) , 现全球分配最多的IPv6 Internet地址主要为2001::/16单播地址。

三、IPv6单播地址规划原则

连续性:IP地址分配尽量为每个网络/区域分配连续的IP地址空间, 有利于路由聚合及管理。

层次性:通过层次化的地址分配, 以减少路由表大小, 加快路由收敛。

扩展性:考虑用户和业务增长, 为其预留足够的地址空间。

易读性:IPv6地址必须便于维护、识别、记忆和改动。

四、IPv6单播地址规划示例

(1) IPv6地址语义嵌入

IPv6单播地址主要包括全球路由网络前缀, 子网和接口ID三部分。IPv6地址长度为128位, 通过IP地址规划, 使IP地址可以携带丰富的管理信息, 简化IP地址管理。

(2) IPv6地址前缀规划

由于IPv6的地址数量庞大, 合理规划网段 (前缀) 可避免路由表因不能有效聚合而过大问题, 简化管理。

(3) IPv6地址数量估算

如果互联网服务商从地址管理机构申请到一个/32的前缀IPv6地址段, 其可分配的IPv6网段 (以最小网段/64测算) =264-X=264-32=232=4, 294, 967, 296。

对于某个特定骨干网的某一地域, 可分配的IPv6网段 (以最小网段/64测算) =232-A-B-C或=2D。

五、结束语

IPv6有庞大的地址空间, 互联网服务商应该合理利用IPv6分配政策, 申请充裕的IPv6地址, 通过合理的IPv6地址规划可以简化IPv6路由表和提高IPv6地址的易读性, 简化网络规划、管理, 配置, 变更和扩展的工作量。

参考文献

[1]戴源等编著.下一代互联网IPv6过渡技术与部署实例[M].人民邮电出版社.2014

真实IPv6源地址验证体系结构 篇3

基于TCP/IP协议的互联网已经成为全球信息化的基础设施, 正是该协议的一些特性, 导致当前互联网的发展面临各种由于缺少信任而带来的问题, 其中一个重要的方面就是缺乏对IP地址真实性的验证。由于在当前网络体系结构中, IP协议的转发机制只基于目标IP地址进行路由选择, 并不对源地址进行检查, 使得伪造源地址攻击容易实现。在TCP/IP网络中, IP地址是主机的唯一标识, 缺乏了对源地址的验证, 便无法在网络层建立起信任关系。因此, IP源地址验证已经成为互联网正在面临的一个挑战性的问题。

真实IPv6源地址验证体系结构SAVA:Source address validation archite cture是在网络层提供的一种透明服务, 以确保互联网中转发的每一个分组都使用“真实的IP源地址”:

1) 经授权的:IP源地址必须是经过互联网IP地址管理机构分配授权的, 不能伪造;

2) 唯一的:IP源地址必须全球唯一, 除了对唯一性不做要求的特殊情况外;

3) 可追溯的:网络中的IP分组, 可以根据其IP源地址追溯到起所有者。

通过实现真实IPv6源地址验证体系结构, 所有伪造IP源地址的报文都无法被转发, 这能够带来以下好处:

1) 可以直接解决一些基于源地址伪造的DDoS攻击 (如反射式DDoS攻击) 问题;

2) 使得互联网中的流量更加容易被追踪, 使得设计安全机制和网络管理更加容易;

3) 可以实现基于源地址的计费、管理和测量, 如同现有的电话网络一样;

4) 高质量的端到端服务, 使新的互联网应用 (如P2P应用和基于SIP的大规模多媒体应用) 拥有更高的性能, 且部署更加方便。

IETF批准通过的RFC5210 Source Addre s s Validation Archite cture (SAVA) Te s tbe d and De ploym e nt Expe rie nce, 是我国第一个非信息类 (informational) 的RFC, 也是在非中文相关的互联网核心技术领域以我国学者为主体署名的第一个互联网RFC。

2 相关研究

目前, 与源地址验证相关的研究工作可以分为3类:加密认证方法、预先过滤方法和事后追溯方法。

加密认证方法主要有IPSec和SPM (Spoofing Prevention Me thod) :

1) IPSe c是一种端到端的方法, 并且它的大规模部署, 依赖于全局的PKI;

2) SPM是一个自治系统到自治系统的解决方案, 每一对互相通信的自治系统拥有一对单独的临时的密钥做地址验证。

采用以上两种方法, IP源地址真实性的检查只能在目的主机或者目的自治系统。

过滤方法是一种预先处置的方法。它利用预先生成的验证规则, 在路由器上过滤伪造源地址的分组。代表性的方法有入口过滤 (RFC2827) 、DP和SAVE:

1) 入口过滤需要在边界网络全局部署;

2) DPF将验证规则的部署位置从边界网络扩展到了核心网络, 并且支持增量部署, 但是它只能获得IP前缀粒度的地址验证;

3) SAVE设计了一个新的协议在全网传递源地址验证规则信息, 但是协议不分层, 可部署性和可扩展性受到制约。

这些过滤方法的一个共同的问题在于它们无法处理一个接入子网内的地址伪造的情形, 那时IP地址前缀是相同的、真实的。

追溯方法是一种事后处置的方法。分组转发时记录路径信息, 并从目的端追踪伪造源地址分组的起源。主要的工作包括SPIE、i Trace、i Trace-CP、PPM和DPM:

1) SPIE在路由器上记录路径信息;

2) i Trace和i Trace-CP利用ICMP消息保留路径信息;

3) PPM和DPM直接使用IP分组记录路径信息。

事后处置的设计思想, 复杂的追溯算法是这类方法的主要缺陷。

上述方法部分解决了IP源地址的验证问题, 但是还缺乏一个可行的有效的系统的解决方案。

3 真实IPv6源地址验证体系结构的实现

3.1 接入网真实源地址验证

接入网真实源地址验证是体系结构的重要组成部分, 实现端系统IP地址级的细粒度的真实IPv6源地址验证。如果没有这一级验证, 主机依然可以伪造IP前缀相同的同一子网内其他主机的地址。

接入子网真实IPv6源地址验证具有以下特点:

1) 所有相关网络设备在同一个网络管理机构管理控制下;

2) 解决方案与接入子网的地址管理分配和控制策略密切相关;

3) 解决方案与端系统的接入方式密切相关。

接入网真实源地址验证技术的基本思想是:通过一个由真实IPv6地址准入验证服务器、真实IPv6地址准入交换机和真实IPv6地址准入客户端构成的系统对用户进行准入控制。其中, 准入验证服务器对用户身份进行验证, 分配相应的IPv6地址区间, 并建立两者的对应关系, 准入交换机从准入验证服务器得到用户IPv6地址区间后, 同客户端MAC地址以及用户访问该交换机的端口号关联起来, 写入绑定关系表, 并将IPv6地址发送给客户端。

接入网真实源地址验证技术适用于用户通过以太网, 经交换机直接接入互联网的条件。在实施端口绑定的方法上, 该技术可以与包括802.1x在内的现有方案很好的结合起来, 方便部署。

3.2 自治系统内真实源地址验证

由于自治系统内的网络设备都在同一个管理机构管理下, 主要的验证机制部署在运营商网络的接入位置, 网络规模相对较小, 且获取网络信息的途径也更加灵活。目前, Ingress Filtering及其在多宿主网络中的部署方案 (RFC2827、RFC3704) 在技术上已经比较成熟, 可以选取这两个标准作为自治系统内源地址验证方案。

3.3 自治系统间真实源地址验证

所有支持真实IPv6源地址验证体系结构的自治系统共同组成一个信任联盟, 自治系统间真实IPv6源地址验证可以分为以下两种情况:两个直接相连的自治系统;两个非直接相连的自治系统。

3.3.1 直接相连的自治系统

对于两个直接相连的支持真实IPv6源地址验证体系结构的自治系统, 在其边界路由器上的每个接口均建立一个验证规则表, 这个规则表将一组真是有效的IPv6地址前缀与路由器接口关联起来。验证规则的生成是基于自治系统互联关系。

自治系统间的真实IPv6源地址验证主要由3个部分组成:

1) 验证规则生成引擎 (VRGE) :每一个支持真实IPv6源地址验证体系结构的自治系统有一个VRGE, 负责生成验证规则 (VR) , 并与其他自治系统的VRGE交换VR信息, 向本自治系统的VE下发VR信息;

2) 验证引擎 (VE) :加载由VRGE下发的VR, 并执行验证;

3) AIMS维护自治系统号到其拥有的IPv6地址前缀信息的映射关系。

由于有了AIMS的支持, 只需要将自治系统号在自治系统的VRGE之间传递, 而又VRGE生成IPv6地址前缀集合, 降低了协议传输的开销, 同时也避免了由于路由振荡带来的影响, 只有自制系统互联关系发生变化或者自治系统号与IPv6地址前缀的映射关系发生变化时, VRGE才需要更新VR。

3.3.2 非直接相连的自治系统

对于两个非直接相连的支持真实IPv6源地址验证体系结构的自治系统, 采用一种基于轻权标记的自治系统间真实IPv6源地址验证方法。其基本思想如下:

1) 对于任何一对不直接相连, 但却属于信任联盟的自治系统, 他们拥有一对单独的临时标记;

2) 当一个IPv6数据分组离开它的源自治系统时, 如果目标地址也属于信任联盟的一个自治系统, 源自治系统的边界路由器根据目标地址和事先协商好的临时标记, 将这个标记加在IPv6的协议扩展头上;

3) 当一个IPv6数据分组到达它的目标自治系统时, 如果源地址也属于信任联盟的一个自治系统, 目标自治系统的边界路由器根据IPv6的协议扩展头中的临时标记进行过滤。

4 结论

真实IPv6源地址验证体系结构从接入网、自治系统内和自治系统间单个层次设计了对真实IPv6源地址的验证方法, 对互联网中转发的IPv6分组进行源地址验证, 确保每个被转发的IPv6分组源地址都是真实可信的, 从网络层为构建可信的下一代互联网奠定基础。

参考文献

[1]Park K, Lee H.On the effectiveness of route-based packet filtering for dis-tributed DoS attack prevention in power-law internets.ACM SIGCOMM Comput Commun Rev, 2001.

IPv6地址 篇4

据悉, 截至2012年6月底, 我国IPv4地址数量为3.30亿。由于全球IPv4地址数已于2011年2月分配完毕, 因而自2011年开始我国IPv4地址数量基本没有变化, 当前IP地址的增长已转向IPv6。

我国拥有I P v 6地址数量为12 499块/32, 相比上年底增速达到33.0%。目前加快IPv6的应用和部署已成业界的共识, 中国IPv6地址数量也在近一年内飞速增长, 在全球的排名由2011年6月的第15位迅速提升至目前的第3位, 仅次于巴西 (65 728块/32) 和美国 (18 694块/32) 。

IPv6地址 篇5

随着社会信息化的进展, IPv4由于缺乏对IP源地址真实性的验证, 而容易导致分组IP源地址的伪造, 因此已经不能满足物联网可扩展性、移动性、安全性等重大的技挑战要求, 搭建一个新平台是必然趋势。IPv6是由Internet工程任务组 (IETF) 设计的下一代Internet协议 (IP) 平台, 它的目的就是取代现有的IPv4, 解决现在Internet技术挑战。随着应用的普遍, 现在互联网发展迫切需要解决IPv6源地址验证问题。

1 IPv6 源地址真实性的相关研究

IPv6源地址真实性主要包含三层含义:一是, 唯一的, 除了在一些比较特殊情形下, 例如不要求全局唯一性, 其余的IP源地址必须是全局唯一的;二是, 经授权的, IP源地址不能伪造, 必须是经互联网IP地址管理机构分配授权的;三是, 可追溯的, 这也就是说可以根据其IP源地址找到网络中转发的IP分组的所有者和位置。

1.1 预先的过滤方法

过滤是预先验证IP源地址真实性的一种方法, 在其使用中首先由管理员设置一个验证规则, 然后将其应用于路由器上对IP源地址进行过滤和分组。DPF、入口过滤、HCF以及SAVE是过滤验证比较具有代表性的几种方法。其中DPF的优势主要在于它扩大的验证规则的部署位置, 并且还支持增量部署;入口过滤需要在边界网络全局部署;SAVE的优势在于它为全网传递源地址验证规则提供了一个新的协议平台。

1.2 加密认证的方法

加密认证可分为加密和认证两个概念, 其中加密是将数据资料加密, 以避免非法用户获得加密资料, 或者即使获得也无法获取正确的资料内容, 其重点在于数据的安全性, 主要目的是防止监听攻击, 实现数据保护。身份认证的重点在于用户的真实性, 主要是用于对某个身份的真实性的判断, 只有当系统确认用户身份为正确之后, 才可以依不同的身份给予不同的权限[1]。由此可见加密和认证两者具有不同的侧重点。SPM和IPSec是加密认证的两种主要方法, 其中SPM这个解决方案是自治系统到自治系统的结构, 它所使用的密钥是单独的、临时的;而IPSec是一种端到端的方法, 并且它的大规模部署, 对全局PKI的依赖性比较强。

1.3 事后的追踪方法

追溯方法是一种事后处置的方法, 主要应用于分组转发中, 通过对网络信息传递路径的记录, 从目的端对伪造源地址分组的起源进行追踪。iT race、i Trace-CP、SPIE、DPM以及PPM是追溯主要的工作内容, 其中iT race和i Trace-CP利用ICMP消息保留路径信息, SPIE在路由器上记录路径信息, DPM和PPM直接使用IP分组记录路径信息[2]。

2 基于 SAVI 框架的 IPv6 源地址验证方案

2.1 SAVI 技术原理

IPv6地址分配有手动配置、有状态DHCPv6自动配置还有无状态自动分配这三种方式。SAVI通过监听相关协议报文的交互过程, 对如端口、MAC地址等节点可信任的信息进行提取, 并绑定anchor信息和节点源地址, 然后根据绑定信息产生对应的过滤规则, 在这个规则下执行对不匹配过滤规则报文的丢弃以及对匹配过滤规则报文的放行, 最终实现对对节点源地址合法性的检测。

2.2 SAVI 框架的结构方案

通过对SAVI技术以及物联网IP源地址的认识和分析, 我们提出新一代IP源地址验证架构方案, 这个方案共分为四个层次:首先, 为了有效从自治域发出的数据分组中的源地址的真实性和可靠性, 在自治域间采用SMA方案, 运行BUP路由协议的IPv6骨干网络采用域间源地址验证方案, 从而最终达到自治域粒度的验证级别;其次, 为了保证域内子网间主机无法互相假冒, 在自治域内采用SAVT方案, 网络运行OSFP、RIP、IS-IS等路由协议。然后, 为了保证用户身份及主机的真实性和可靠性, 在用户接人子网内采用SAVI交换机技术, 从而达到主机粒度的验证级别;最后, 为了保证物联网传感器节点IP地址的真实性和可靠性, 在物联网接人子网内采用SAVI方案, 通过可路由节点运行RPI.1等路由协议, 从而达到传感器节点粒度的验证级别[3]。

2.3 IPv6 源地址验证方案

基于SAVI的验证方案主要可以分为分布式和集中式两种类型, 其中集中式的优点在于它不会影响节点资源, 能保证接入子网IP前缀级的真实性, 但是其缺点在于它不能防止子网内部的相互仿冒, 这与我们的设计方案不符。而分布式则能够有效利用可路由节点, 并验证选择其作为第一跳接人路由节点的传感器节点的IP地址的有效性。

2.3.1 静态地址验证

对于接入子网规模比较小的物联网, 可采用节点静态地址分配的方式, 先预先配置好每个节点的位置, 然后再进行部署。其中比较常用的一种验证方法是在管理网络内增加一台地址管理服务器, 由管理员先将传感器节点的IP地址、MAC地址等配置到服务器的绑定表中, 然后发送报文请求重复检测地址, 以验证自身IP地知道额合法性, DAD-Proxy可由可路由节点充当转发给多协议网关, 经过翻译之后再转交给验证服务器, 验证服务器确认回复, 建立绑定关系, 最后经过滤表后的IP地址都可以直接发送数据分组[4]。

2.3.2 SLAAC 地址验证

传统互联网中的SLAAC地址验证需要经历终端发起NS报文、终端与IP地址进行配置以及重复地址检测这三个过程, 这种方法对资源的浪费比较多。我们在此基础上对其进行优化, 主要方法是取消第一个步骤, 这也就是说, 传感器节点在形成64位的EUI地址后直接发出DAD-NS报文, 然后之后的方式与传统场景相似[5]。通过这种方式能够有效减少资源的消耗, 并节省宽带。

3 结语

总的来说, IPv6具有高度的灵活性和安全性、可动态进行地址分配、巨大的地址空间以及完全的分布式结构等特点, 大大提升了它的价值和潜力。现在物联网IPv6源地址验证安全问题已经受到了人们的广泛关注, 并提出了一系列方式来加强地址验证的安全性和有效性。不过在实践中还存在有较多问题, 其中很多手段和机理都还需要进一步的加强研究。

摘要：IPv6作为下一代物联网IP层技术, 进一步扩大了地址空间, 并在国家政策的号召以及国家电网公司的积极响应下在电力、石油等方面获得了广泛的应用, 为智能电网与下一代互联网的深度融合探索道路、提供经验。但是其应用中仍然存在较多重大的问题, 其中最为突出的就是其安全性和真实性。当前的网络体系结构, 大多数情况下并不检查源地址, 这就导致源地址伪造事件很容易发生。本文主要分析了物联网对IPv6的需求, 总结了多种IPv6源地址验证方案, 并重点对SAVS框架下的IPv6源地址验证方案进行分析和探讨。

关键词：IPV6,地址,定义,分配,数据安全保护

参考文献

[1]邵婧, 陈越, 谭鹏许等.IPv6源地址和网络业务验证体系结构[J].计算机工程与设计, 2011, 32 (7) :2260-2262, 2266.

[2]谭鹏许, 陈越, 邵婧等.真实源地址框架下的特定源组播接收者认证[J].计算机应用研究, 2011, 28 (1) :279-281, 286.

[3]王相林, 卢庆菲.采用源地址验证选项的IPv6源地址验证研究[J].计算机应用与软件, 2010, 27 (12) :212-214.

[4]胡光武, 陈文龙, 徐恪等.一种基于IPv6的物联网分布式源地址验证方案[J].计算机学报, 2012, 35 (3) :518-528.

IPv6地址 篇6

关键词：Ipv6园区网,网络地址块规划,地址聚类

1、引言

当前Internet的基础-IPv4面临的两个最大的问题是地址资源耗尽和骨干路由器路由表规模爆炸, 尤其是地址资源的缺陷, IPv4具有空间为232 (~4.295e+9) , 根据文献[1]的数据表明, 截止2007年1月, 全球人口数就达66.71亿, 即便每个ipv4地址均为可路由地址, 平均每个人也只有0.6439个地址, 为了有效解决这个问题, 研究者们将ipv4扩展到128位ipv6, 使得平均每人可获得5.101e+28个ipv6地址。

IPv6把地址扩展到128位, 不仅带来了巨大的地址空间;也具有更加结构化的地址层次, 地址和网络的物理拓扑可有更紧密的联系, 从而能够很好的支持路由聚合。

在IPv4时代, 对地址的管理主要关注地址的利用, 要尽可能节约地址资源。而IPv6考虑的最多的是如何通过新的地址特性来支持更多的新功能, 譬如地址自动配置、路由聚合等[2], 以及如何通过对地址的合理规划, 以便于尽最大可能提高网络安全包过滤, 包分类等上层应用数据流管理系统的运行效率。

尽管IPv6提供了128的巨大的地址空间, 但不能认为地址资源是近似无限的。一个典型的IPv6主机单播地址由3部分组成:全局路由前缀、子网ID和接口ID (64位) 。根据IEEE EUI-64规范要求, 为了接入用户能自动配置IPv6地址, 接入子网必须分配成64位的前缀。

而园区网申请的是/48的地址块, 这样实际在园区网IPv6地址规划中最关键的是子网ID (16位) 的合理规划。

文献3]提出了一种在IPv4/IPv6中建立映射关系的转化方法, 可根据现有的ipv4地址转换成对应ipv6地址, 是一种带压缩的转化方法, 它尽管可以在园区网双栈建设时用一个公式将原有的ipv4地址计算出对应的ipv6地址, 但得出的ipv6地址失去了层次性及可聚合性。

文献4等也提出了一种站点级的IPV6地址规划方案, 该方案能比较有效提高路由器等的运行效率, 但其对大中型园区网的扩展能力受限。

IPv4的地址分配不合理, 导致其终将推出历史的舞台, 而在IPv6建设之初, 若没做好合理有效规划, 其生命周期也将提前结束。充分考虑网络路由的可聚集性和网络的可扩展性, 尽量提高地址的利用率, 对于IPv6网络的地址管理和规划是一个很关键的问题。

2、园区网IPv6地址体系结构

园区网络申请的地址块为RFC2373[5]定义的单播地址块, 根据RFC3177[6]的建议, 园区网申请分配的是48位路由前缀的地址块 (如图1所示) 。

园区网申请的地址块, 除了前缀的48位, 可用的地址空间为80位[7], 根据IEEE EUI-64规范的要求, 子网必须分配成/64地址前缀, 这样可用于划分网段的地址空间仅为16位 (如图2所示) , 如何在这有限的地址空间中合理有效建立园区网络自己的地址空间体系结构, 提高网络可的管理性, 为后期进行网络应用业务数据流的服务等级划分提供支持基础是本文的主要研究内容。

3、园区网IPv6地址规划方案

3.1、地址规划遵循的原则

在对Ipv6地址进行规划分配的问题上, 应当充分遵循以下四个原则。

a.统一性原则:地址分配需要统一规划、统一协调、统一管理。尤其是在IPv6网络建设之初, 我们就要从全局的角度考虑问题, 应充分考虑未来网络结构和业务内容可能发生的变化, 对网络的建设和业务的发展具备一定的前瞻性考虑。

b.层次性原则:有层次的规划可以极大的降低管理的复杂程度, 提高网管效率。清晰的地址分配结构是网络运行发展的基本要求和保障, 而良好的层次性能够为网络提供更好的可维护性和可扩展性。

c.连续性原则:连续地址规划能够实现地址的最优使用。当然这里的连续是有层次的科学的连续, 连续并不等同于单一的从节省地址资源出发考虑问题。

d.唯一性原则:地址的唯一性是地址规划的最基本要求, 但在地址规划当中仍然值得注意。

3.2、IPv6地址规划方案

3.2.1 网络ID的域规划

根据前面的分析可知, IP网段的合理规划关键在于16位网络ID的科学分配, 我们将16位的网络ID划分为4个域, 每个域均为4位, 如图3所示。由于IPv6地址以十六进制书写, 以每4位为一个域正好能以一个十六进制的数来给以表示, 非常直观。

3.2.2 用户属性域规划

用户属性域将网络用户的性质进行划分, 例如高校园区网可根据教工, 学生等等进行分类, 不同的用户类别具有对应的不同权限属性, 如为了避免学生长时间上网影响休息, 学生公寓区的网络可能具有时间限制, 而对于办公用户则可能具有比学生公寓用户具有更高的优先级别, 以下给出的是福建工程学院校园网IPv6地址分配规划中对于用户属性域的定义列表。

以上列表中, 值得注意的是, 我们将0000的比特串定义为服务器网段, 根据RFC2373, IPv6地址表示法中的每一组数值前面的0可以省略, 这样我们将子网ID的16个比特均为0的比特串定义为服务器网段ID以便将服务器IP地址最简化, 方便记忆与书写, 如福建工程学院的www的IPv6地址为:2001:250:6804::6;厦门大学www的IPv6地址为:2001:da8:e800::12, 都已经实现了最简化, 简单易记。

3.2.3 学院/组团域规划

学院/组团域是根据前面用户属性域的不同具有不同定义, 当用户属性领域为教学办公用户时, 该域为学院代码的定义, 最大可定义16个学院代码, 对于一些综合性大学, 16个学院代码并不够, 这时可将用户属性域代码中增加教学办公区子网代码来扩展, 每增加一个教学办公区子网代码, 可将可定义的学院代码扩展16个。

若用户属性为学生公寓区, 那么学院/组团域为公寓组团代码, 跟学院代码一样, 同样最多可定义15个组团代码, 同理, 可通过扩展用户属性域的代码来扩展可定义的组团代码。

3.2.4 楼栋序号域规划

楼栋序号域是针对不同的组团或学院内的楼栋序号, 最大可定义16个代码, 跟组团域学院域一样, 但单个组团或学院内的楼栋大于16时, 可通过向"学院与组团域"借位来进行扩展, 一次借位可将最大可定义的代码数扩展到32。

3.2.5 用户VLAN域规划

用户VLAN域是指在各个楼栋内的VLAN的序号, 同样, 最大可定义16个代码, 一般同一栋楼内的VLAN数不大于16个, 跟前面三个域的规划一样, 当大于16个VLAN时, 可通过向前面一个域进行借位的方式来进行扩展。

3.3 IPv6地址规划时两点考虑

3.3.1 向前借位机制的考虑

在网络ID号的四个域的规划中, 除了用户属性域, 其他三个域当所16个代码不够的时候, 均可采用向前借位的方式来进行扩展, 我们知道, 这几个域的规划均具有一定的顺序性, 采用具有顺序性的代码分配可增强可读性与方便记忆, 可向前借位的方式可能破坏其顺序性, 为了使得向前借位的方式不破坏其顺序性, 可将借位扩展按逆序的方式来进行分配。

3.3.2 对外服务子网规划考虑

跟普通的用户子网不一样, 对外服务子网除了具有一般的统一性、层次性、连续性与唯一性外, 很重要的一点就是最简化原则, 毕竟对外服务的IP地址尽管可以通过域名解析的方式来简化其输入, 但还是应考虑到其可能直接输入IPv6地址的情况, 比如当DNS服务出现异常时, 或者嵌入式系统不具有DNS解析功能的情况。

要实现对外服务子网地址的最简化书写, 很重要的一点就是要尽可能地分配可省略的0, 即IPv6地址的每组数值前尽可能分配更多的0, 或者整组数值都为0。其中有个比较特别的子网, 就是网络ID的16位均为0的子网, 可以实现IPv6地址的最简化, 这个子网可用作园区网络中最重要的最常用的一个对外服务子网, 比如WWW及Mail等的子网。

当然服务子网一般并非仅有一个, 可能有若干个, 其他子网的分配, "用户属性域"为0, 用户VLAN域可作为子网分配使用, 当服务子网超过16个时, 可通过"楼栋序号域"来扩展至256个。

服务器IP地址一般为手动静态设定, 子网的接口ID并非由IEEE EUI-64规范生成, 手动设置接口Id应也应尽可能实现最简化原则。

4、可聚类性分析

IPv4地址的分配早期缺乏规划, 地址分配仅按A、B、C三类地址进行分类的局限性, 使得实际物理拓扑不能依据网络前缀进行聚集, 也正是因为这种的不匹配性, 使得骨干网络的路由器上的路由表项膨胀得很厉害, 根据Geoff Husto的BGP路由表报告中显示, 截止2008年12月, 有289, 392条路由前缀记录在核心BGP路由表中, 其中竟有226, 857条路由记录是超过20位的前缀, 占了整个路由表的78.4%, 而更惊人的是, 有51.89%的记录是24位前缀的路由记录[7], 这对路由器以及路由信息更新带来了很大的压力。如图4是自1994年以来的全球核心路由器BGP路由表项增长趋势图。

而IPv6地址则在设计之初就已经考虑到通过设计层次化地址结构和层次化的地址分配来做到路由聚集[9], 如图5所示是Cernet目前在福建地区的IPv6地址分配情况, 从图看看出网络前缀的分配体现了很强的层次性, 特定相同前缀长度的节点都处于相同的自治域内。

从图5可看出IPv6地址块在上层ISP的分配上具有很好的层次性, 可在园区网内如何具有良好的层次性与和可聚类性, 也决定了园区IPv6网络的运行能否具有较长的生命周期, 若园区网内的地址的分配无法具有较好的可聚类性, 不仅增加运维难度也会降低网络设备的计算效率, 增加运维成本。

如图6是本文所述的园区网地址规划方案的部分分配结构, 从图可看出本文所述的地址块规划策略具有很好的层次性与可聚类性, 有效的可聚类可确保网络设备的高效处理。例如, 我们可以用一条ACL指令来确保学生用户只有在特定的之间段内才能使用互联网, 或者对其进行P2P流量限速等。

5、结束语

本文提出了一种可聚类的地址规划方案, 该方案已在福建工程学院校园网中投入使用, 在这个规划超过2万个信息点的中型园区网络的IPv6建设中, 该方案帮助我们较短的时间内完成了全网地址分配工作, 缩短建设周期。方案具有较好的可聚类性, 提高了运维效率。

IPv6给我们提供了巨大的地址空间, 但如何对这个如此巨大的地址空间进行合理有效的规划是个比较困难的课题, 本方案是一种有效管理IPv6地址的参考性建议, 我们需要在实践中不断总结经验和提高技术。

参考文献

[1].Andrew Schaumberg, Syed[Shawon]M.Rahman, Transitioning Networks from IPv4to IPv6.

[2].王殿清, 赵晓宇, 马严等IPv6地址的管理及规划策略网络新技术与应用研讨会论文集2003

[3].陈晓筹, 商少平, 园区网双栈环境下IPV6地址的规划厦门大学学报[自然科学版]2007

[4].刘岚, 一种站点级IPv6地址分配方案.现代电子技术2005

[5].RFC2373IP Version6Addressing Architecture

[6].RFC3177-IAB/IESG Recommendations on IPv6Address

[7].RFC2073An IPv6Provider-Based Unicast Address Format

[8].http://bgp.potaroo.net/as6447/

IPv6地址 篇7

国际互联网编号分配机构IANA宣布,截至2011年1月18日,可供分配的IPv4地址仅剩下3551万个,预计到201 1年2月10日IANA的IPv4地址池中将不再有IPv4地址块。有“互联网之父”之称的文特?瑟夫日前说,全球IP地址将在“几个星期内”用尽。

我国IP地址严重不足,制约物联网、移动互联网、云计算、三网融合发展

我国物联网、移动互联网、云计算、三网融合等产业的发展都需要海量的IP地址作为支撑,因此我国IP地址严重不足,已成为制约我国物联网、移动互联网、云计算、三网融合发展的瓶颈。私有地址转换(NAT)无法从根本上解决IP地址短缺问题,大规模部署NAT在网络性能、成本、安全、可管可控性等方面都面临严峻挑战。

在互联网领域,当前我国拥有的IPv4地址数量约为2.5亿,而互联网用户达到4.2亿,平均用户仅拥有0.595个IP地址。在三网融合领域,如果现有5亿台电视终端全部实现双向化改造,所需IP地址数量非常巨大。

中国电信集团总经理王晓初日前公开表示“物联网最大瓶颈是IP地址缺乏”。此外,根据工信部电信研究院的研究报告,未来5年我国IP需求量为345亿,其中在移动互联网为10亿,物联网预计需求量为100亿,固定互联网为5亿,而按照IP地址33%的利用率来推算我国未来IP地址需求量为345亿。

美国等发达国家正在发力基于IPv6的下一代互联网产业

2010年,美国正在强力推进基于IPv6的下一代互联网发展计划,将其提升到国家战略高度,并得到美国互联网产业巨头的响应。美国等发达国家希望将互联网时代的技术优势延续到下一代互联网领域,在新一轮产业技术和国家经济竞争中掌握主动:

1、2010年9月,美国政府CIO和CTO同时出席相关发布会,发布美国IPv6行动计划,颁布实施IPv6的时间表:2012年底所有政府网站支持IPv6,政府只采购支持IPv6的IT设备,2014年完成全国性IPv6升级改造;

2、2010年12月,美国国防部和国家标准技术研究院通过安全部署IPv6的政策文件,标志着奥巴马政府推进IPv6工作的进一步落实;

3、Google、Facebook、Yahoo等在互联网领域最具影响力的企业已宣布201 1年6月8日为“全球IPv6日”,联手开展第一次全球性规模的IPv6服务。

我国下一代互联网产业积极应对,将举办中国IPv6日

随着IPv4地址即将消耗殆尽,且美国等发达国家正在发力基于IPv6的下一代互联网产业,我国加快推进实施基于IPv6的下一代互联网已势在必行。

目前,以下一代互联网产业联盟为代表,我国下一代互联网产业已初具规模,初步形成较为完整的产业链。据下一代互联网产业联盟理事长天地互连公司总裁刘东介绍,联盟企业已成功申请目前中国最大的IPv6地址块,为中国下一代互联网发展提供了充足的研发和产业化资源。