分享
分享赚钱 收藏 举报 版权申诉 / 20

类型政府信息中心需要申报IPV6改造方案项目.doc

  • 上传人:微传9988
  • 文档编号:2483394
  • 上传时间:2018-09-18
  • 格式:DOC
  • 页数:20
  • 大小:446KB
  • 配套讲稿:

    如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。

    特殊限制:

    部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。

    关 键  词:
    政府信息中心需要申报IPV6改造方案项目.doc
    资源描述:

    1、政府信息中心 IPV6改造方案一、 项目的背景和必要性二、 项目承担单位的基本情况和财务状况三、 项目的技术基础3、IPv6 介绍3.1、概述在我们现有的网络中,几乎所有网络都使用 IP 协议作为通信的地址协议,我们的网络使用 IP 来表示地址信息,每一个节点都应该分配一个唯一的地址,才能保证通信正常。现在正常使用的 IP 协议为版本 4,用 32 位来表示,地址空间为 6553665536,结果约为 42.9 亿,需要说明的是,虽然地址共有 42.9 亿之多,但并不表示这些地址可以供 42.9 亿个节点使用,因为我们的地址是分网段的,也就是说即使在一个节点的情况下,分配地址时,也是分配一个网

    2、段而不是一个地址,所以这样就使得版本 4 的 IP 地址一下子变得空间陕小,再加了有相当一部分地址是不可用的,那么随着网络的迅速膨胀,IP ver4 的地址空间变得几乎快耗尽了。在这样的情况下,出现了一些如 VLSM 子网技术,NAT 网络地址翻译技术,试图来缓和地址空间的快速消耗。与此同时,人们也开发出了一个地址空间更为庞大的 IP 协议,这个协议拥有比 IP ver4 多出数倍的地址空间,来解决网络地址匮乏的问题,这个 IP 协议就是 IP 版本 6,即 IPv6。3.2、简介目 前 我 们 使 用 的 第 二 代 互 联 网 IPv4 技 术 , 核 心 技 术 属 于 美 国 。 它

    3、的 最大 问 题 是 网 络 地 址 资 源 有 限 , 从 理 论 上 讲 , 编 址 1600 万 个 网 络 、 40 亿 台主 机 。 但 采 用 A、 B、 C 三 类 编 址 方 式 后 , 可 用 的 网 络 地 址 和 主 机 地 址 的 数 目大 打 折 扣 , 以 至 目 前 的 IP 地 址 近 乎 枯 竭 。 其 中 北 美 占 有 3/4, 约 30 亿 个 ,而 人 口 最 多 的 亚 洲 只 有 不 到 4 亿 个 , 中 国 截 止 2010 年 6 月 IPv4 地 址 数 量达 到 2.5 亿 , 落 后 于 4.2 亿 网 民 的 需 求 。 地 址 不

    4、足 , 严 重 地 制 约 了 中 国 及 其他 国 家 互 联 网 的 应 用 和 发 展 。 一 方 面 是 地 址 资 源 数 量 的 限 制 , 另 一 方 面 是 随 着 电 子 技 术 及 网 络 技 术 的发 展 , 计 算 机 网 络 将 进 入 人 们 的 日 常 生 活 , 可 能 身 边 的 每 一 样 东 西 都 需 要 连入 全 球 因 特 网 。 在 这 样 的 环 境 下 , IPv6 应 运 而 生 。 单 从 数 字 上 来 说 ,IPv6 所 拥 有 的 地 址 容 量 是 IPv4 的 约 81028 倍 , 达 到 2128( 算 上 全 零的 ) 个

    5、。 这 不 但 解 决 了 网 络 地 址 资 源 数 量 的 问 题 , 同 时 也 为 除 电 脑 外 的 设 备连 入 互 联 网 在 数 量 限 制 上 扫 清 了 障 碍 。 但 是 与 IPv4 一 样 , IPv6 一 样 会 造 成 大 量 的 IP 地 址 浪 费 。 准 确 的 说 ,使 用 IPv6 的 网 络 并 没 有 2128 个 能 充 分 利 用 的 地 址 。 首 先 , 要 实 现 IP 地址 的 自 动 配 置 , 局 域 网 所 使 用 的 子 网 的 前 缀 必 须 等 于 64, 但 是 很 少 有 一 个局 域 网 能 容 纳 264 个 网 络

    6、终 端 ; 其 次 , 由 于 IPv6 的 地 址 分 配 必 须 遵 循 聚类 的 原 则 , 地 址 的 浪 费 在 所 难 免 。 但 是 , 如 果 说 IPv4 实 现 的 只 是 人 机 对 话 , 而 IPv6 则 扩 展 到 任 意 事 物之 间 的 对 话 , 它 不 仅 可 以 为 人 类 服 务 , 还 将 服 务 于 众 多 硬 件 设 备 , 如 家 用 电器 、 传 感 器 、 远 程 照 相 机 、 汽 车 等 , 它 将 是 无 时 不 在 , 无 处 不 在 的 深 入 社 会每 个 角 落 的 真 正 的 宽 带 网 。 而 且 它 所 带 来 的 经 济

    7、 效 益 将 非 常 巨 大 。 3.3、应用IPv6 的 普 及 一 个 重 要 的 应 用 是 网 络 实 名 制 下 的 互 联 网 身 份 证 /VIeID,目 前 基 于 IPv4 的 网 络 之 所 以 难 以 实 现 网 络 实 名 制 , 一 个 重 要 原 因 就 是 因 为IP 资 源 的 共 用 , 因 为 IP 资 源 不 够 , 所 以 不 同 的 人 在 不 同 的 时 间 段 共 用 一 个IP, IP 和 上 网 用 户 无 法 实 现 一 一 对 应 。 在 IPv4 下 , 现 在 根 据 IP 查 人 也 比 较 麻 烦 , 电 信 局 要 保 留 一 段

    8、 时 间 的 上网 日 志 才 行 , 通 常 因 为 数 据 量 很 大 , 运 营 商 只 保 留 三 个 月 左 右 的 上 网 日 志 ,比 如 查 前 年 某 个 IP 发 帖 子 的 用 户 就 不 能 实 现 。 IPv6 的 出 现 可 以 从 技 术 上 一 劳 永 逸 地 解 决 实 名 制 这 个 问 题 , 因 为 那 时IP 资 源 将 不 再 紧 张 , 运 营 商 有 足 够 多 的 IP 资 源 , 那 时 候 , 运 营 商 在 受 理 入网 申 请 的 时 候 , 可 以 直 接 给 该 用 户 分 配 一 个 固 定 IP 地 址 , 这 样 实 际 就

    9、实 现了 实 名 制 , 也 就 是 一 个 真 实 用 户 和 一 个 IP 地 址 的 一 一 对 应 。 当 一 个 上 网 用 户 的 IP 固 定 了 之 后 , 你 任 何 时 间 做 的 任 何 事 情 都 和 一 个唯 一 IP 绑 定 , 你 在 网 络 上 做 的 任 何 事 情 在 任 何 时 间 段 内 都 有 据 可 查 , 并 且无 法 否 认 。3.4、优势与 IPV4 相 比 , IPV6 具 有 以 下 几 个 优 势 : 一 : IPv6 具 有 更 大 的 地 址 空 间 。 IPv4 中 规 定 IP 地 址 长 度 为 32, 最 大地 址 个 数 为

    10、 232; 而 IPv6 中 IP 地 址 的 长 度 为 128, 即 最 大 地 址 个 数 为2128。 与 32 位 地 址 空 间 相 比 , 其 地 址 空 间 增 加 了 2128-232 个 。 二 : IPv6 使 用 更 小 的 路 由 表 。 IPv6 的 地 址 分 配 一 开 始 就 遵 循 聚 类( Aggregation) 的 原 则 , 这 使 得 路 由 器 能 在 路 由 表 中 用 一 条 记 录( Entry) 表 示 一 片 子 网 , 大 大 减 小 了 路 由 器 中 路 由 表 的 长 度 , 提 高 了 路 由器 转 发 数 据 包 的 速 度

    11、 。 三 : IPv6 增 加 了 增 强 的 组 播 ( Multicast) 支 持 以 及 对 流 的 支 持( Flow Control) , 这 使 得 网 络 上 的 多 媒 体 应 用 有 了 长 足 发 展 的 机 会 , 为服 务 质 量 ( QoS, Quality of Service) 控 制 提 供 了 良 好 的 网 络 平 台 。 四 : IPv6 加 入 了 对 自 动 配 置 ( Auto Configuration) 的 支 持 。 这 是 对DHCP 协 议 的 改 进 和 扩 展 , 使 得 网 络 ( 尤 其 是 局 域 网 ) 的 管 理 更 加 方

    12、 便 和 快 捷 。五 : IPv6 具 有 更 高 的 安 全 性 。 在 使 用 IPv6 网 络 中 用 户 可 以 对 网 络 层 的数 据 进 行 加 密 并 对 IP 报 文 进 行 校 验 , 在 IPV6 中 的 加 密 与 鉴 别 选 项 提 供 了分 组 的 保 密 性 与 完 整 性 。 极 大 的 增 强 了 网 络 的 安 全 性 。 六 : 允 许 扩 充 。 如 果 新 的 技 术 或 应 用 需 要 时 , IPV6 允 许 协 议 进 行 扩 充 。七 : 更 好 的 头 部 格 式 。 IPV6 使 用 新 的 头 部 格 式 , 其 选 项 与 基 本 头

    13、 部 分开 , 如 果 需 要 , 可 将 选 项 插 入 到 基 本 头 部 与 上 层 数 据 之 间 。 这 就 简 化 和 加 速了 路 由 选 择 过 程 , 因 为 大 多 数 的 选 项 不 需 要 由 路 由 选 择 。 八 : 新 的 选 项 。 IPV6 有 一 些 新 的 选 项 来 实 现 附 加 的 功 能 。3.5、安全性现 实 Internet 上 的 各 种 攻 击 、 黑 客 、 网 络 蠕 虫 病 毒 弄 得 网 民 人 人 自 危 ,每 天 上 网 开 了 实 时 防 病 毒 程 序 还 不 够 , 还 要 继 续 使 用 个 人 防 火 墙 , 打 开

    14、实 时防 木 马 程 序 才 敢 上 网 冲 浪 。 诸 多 人 把 这 些 都 归 咎 于 IPv4 网 络 。 现 在 IPv6来 了 , 它 设 计 的 时 候 充 分 研 究 了 以 前 IPv4 的 各 种 问 题 , 在 安 全 性 上 得 到 了大 大 的 提 高 。 但 是 是 不 是 IPv6 就 没 有 安 全 问 题 了 ? 答 案 是 否 定 的 。 目 前 , 病 毒 和 互 联 网 蠕 虫 是 最 让 人 头 疼 的 网 络 攻 击 行 为 。 但 这 种 传 播 方式 在 IPv6 的 网 络 中 就 不 再 适 用 了 , 因 为 IPv6 的 地 址 空 间

    15、实 在 是 太 大 了 ,如 果 这 些 病 毒 或 者 蠕 虫 还 想 通 过 扫 描 地 址 段 的 方 式 来 找 到 有 可 乘 之 机 的 其 他主 机 , 就 犹 如 大 海 捞 针 。 在 IPv6 的 世 界 中 , 对 IPv6 网 络 进 行 类 似 IPv4的 按 照 IP 地 址 段 进 行 网 络 侦 察 是 不 可 能 了 。 所 以 , 在 IPv6 的 世 界 里 , 病 毒 、 互 联 网 蠕 虫 的 传 播 将 变 得 非 常 困 难 。但 是 , 基 于 应 用 层 的 病 毒 和 互 联 网 蠕 虫 是 一 定 会 存 在 的 , 电 子 邮 件 的 病

    16、 毒 还是 会 继 续 传 播 。 此 外 , 还 需 要 注 意 IPv6 网 络 中 的 关 键 主 机 的 安 全 。 IPv6中 的 组 发 地 址 定 义 方 式 给 攻 击 者 带 来 了 一 些 机 会 。 例 如 , IPv6 地 址 FF05:3是 所 有 的 DHCP 服 务 器 , 就 是 说 , 如 果 向 这 个 地 址 发 布 一 个 IPv6 报 文 , 这个 报 文 可 以 到 达 网 络 中 所 有 的 DHCP 服 务 器 , 所 以 可 能 会 出 现 一 些 专 门 攻 击这 些 服 务 器 的 拒 绝 服 务 攻 击 。 另 外 , 不 管 是 IPv

    17、4 还 是 IPv6, 都 需 要 使 用 DNS, IPv6 网 络 中 的 DNS服 务 器 就 是 一 个 容 易 被 黑 客 看 中 的 关 键 主 机 。 也 就 是 说 , 虽 然 无 法 对 整 个网 络 进 行 系 统 的 网 络 侦 察 , 但 在 每 个 IPv6 的 网 络 中 , 总 有 那 么 几 台 主 机 是大 家 都 知 道 网 络 名 字 的 , 也 可 以 对 这 些 主 机 进 行 攻 击 。 而 且 , 因 为 IPv6的 地 址 空 间 实 在 是 太 大 了 , 很 多 IPv6 的 网 络 都 会 使 用 动 态 的 DNS 服 务 。 而如 果

    18、攻 击 者 可 以 攻 占 这 台 动 态 DNS 服 务 器 , 就 可 以 得 到 大 量 的 在 线 IPv6的 主 机 地 址 。 另 外 , 因 为 IPv6 的 地 址 是 128 位 , 很 不 好 记 , 网 络 管 理 员 可能 会 常 常 使 用 一 下 好 记 的 IPv6 地 址 , 这 些 好 记 的 IPv6 地 址 可 能 会 被 编 辑成 一 个 类 似 字 典 的 东 西 , 病 毒 找 到 IPv6 主 机 的 可 能 性 小 , 但 猜 到 IPv6 主机 的 可 能 性 会 大 一 些 。 而 且 由 于 IPv6 和 IPv4 要 共 存 相 当 长

    19、一 段 时 间 , 很 多 网络 管 理 员 会 把 IPv4 的 地 址 放 到 IPv6 地 址 的 后 32 位 中 , 黑 客 也 可 能 按 照 这个 方 法 来 猜 测 可 能 的 在 线 IPv6 地 址 。 所 以 , 对 于 关 键 主 机 的 安 全 需 要 特 别重 视 , 不 然 黑 客 就 会 从 这 里 入 手 从 而 进 入 整 个 网 络 。 所 以 , 网 络 管 理 员 在 对主 机 赋 予 IPv6 地 址 时 , 不 应 该 使 用 好 记 的 地 址 , 也 要 尽 量 对 自 己 网 络 中 的IPv6 地 址 进 行 随 机 化 , 这 样 会 在

    20、 很 大 程 度 上 减 少 这 些 主 机 被 黑 客 发 现 的 机 会 。以 下 这 些 网 络 攻 击 技 术 , 不 管 是 在 IPv4 还 是 在 IPv6 的 网 络 中 都 存 在 ,需 要 引 起 高 度 的 重 视 : 报 文 侦 听 , 虽 然 IPv6 提 供 了 IPSEC 最 为 保 护 报 文的 工 具 , 但 由 于 公 匙 和 密 匙 的 问 题 , 在 没 有 配 置 IPsec 的 情 况 下 , 偷 看IPv6 的 报 文 仍 然 是 可 能 的 ; 应 用 层 的 攻 击 , 显 而 易 见 , 任 何 针 对 应 用 层 , 如WEB 服 务 器

    21、, 数 据 库 服 务 器 等 的 攻 击 都 将 仍 然 有 效 ; 中 间 人 攻 击 , 虽 然IPv6 提 供 了 IPsec, 还 是 有 可 能 会 遭 到 中 间 人 的 攻 击 , 所 以 应 尽 量 使 用 正 常的 模 式 来 交 换 密 匙 ; 洪 水 攻 击 , 不 论 在 IPv4 还 是 在 IPv6 的 网 络 中 , 向 被攻 击 的 主 机 发 布 大 量 的 网 络 流 量 的 攻 击 将 是 会 一 直 存 在 的 , 虽 然 在 IPv6中 , 追 溯 攻 击 的 源 头 要 比 在 IPv4 中 容 易 一 些 。3.6、I Pv4 到 IPv6 的

    22、过 渡 技 术由 于 Internet 的 规 模 以 及 目 前 网 络 中 数 量 庞 大 的 IPv4 用 户 和 设 备 ,IPv4 到 v6 的 过 渡 不 可 能 一 次 性 实 现 。 而 且 , 目 前 许 多 企 业 和 用 户 的 日 常 工作 越 来 越 依 赖 于 Internet, 它 们 无 法 容 忍 在 协 议 过 渡 过 程 中 出 现 的 问 题 。所 以 IPv4 到 v6 的 过 渡 必 须 是 一 个 循 序 渐 进 的 过 程 , 在 体 验 IPv6 带 来 的 好处 的 同 时 仍 能 与 网 络 中 其 余 的 IPv4 用 户 通 信 。 能

    23、 否 顺 利 地 实 现 从 IPv4 到IPv6 的 过 渡 也 是 IPv6 能 否 取 得 成 功 的 一 个 重 要 因 素 。 实 际 上 , IPv6 在 设 计 的 过 程 中 就 已 经 考 虑 到 了 IPv4 到 IPv6 的 过 渡 问题 , 并 提 供 了 一 些 特 性 使 过 渡 过 程 简 化 。 例 如 , IPv6 地 址 可 以 使 用 IPv4兼 容 地 址 , 自 动 由 IPv4 地 址 产 生 ; 也 可 以 在 IPv4 的 网 络 上 构 建 隧 道 , 连接 IPv6 孤 岛 。 目 前 针 对 IPv4-v6 过 渡 问 题 已 经 提 出

    24、了 许 多 机 制 , 它 们 的 实现 原 理 和 应 用 环 境 各 有 侧 重 , 这 一 部 分 里 将 对 IPv4-v6 过 渡 的 基 本 策 略 和机 制 做 一 个 系 统 性 的 介 绍 。 在 IPv4-v6 过 渡 的 过 程 中 , 必 须 遵 循 如 下 的 原 则 和 目 标 : 保 证 IPv4 和 IPv6 主 机 之 间 的 互 通 ; 在 更 新 过 程 中 避 免 设 备 之 间 的 依 赖 性 ( 即 某 个 设 备 的 更 新 不 依 赖 于 其它 设 备 的 更 新 ) ; 对 于 网 络 管 理 者 和 终 端 用 户 来 说 , 过 渡 过 程

    25、 易 于 理 解 和 实 现 ; 过 渡 可 以 逐 个 进 行 ; 用 户 、 运 营 商 可 以 自 己 决 定 何 时 过 渡 以 及 如 何 过 渡 。 主 要 分 三 个 方 面 : IP 层 的 过 渡 策 略 与 技 术 、 链 路 层 对 IPv6 的 支 持 、IPv6 对 上 层 的 影 响 对 于 IPV4 向 IPV6 技 术 的 演 进 策 略 , 业 界 提 出 了 许 多 解 决 方 案 。 特 别 是IETF 组 织 专 门 成 立 了 一 个 研 究 此 演 变 的 研 究 小 组 NGTRANS, 已 提 交 了 各 种演 进 策 略 草 案 , 并 力 图

    26、 使 之 成 为 标 准 。 纵 观 各 种 演 进 策 略 , 主 流 技 术 大 致 可分 如 下 几 类 : 双 栈 策 略 实 现 IPv6 结 点 与 IPv4 结 点 互 通 的 最 直 接 的 方 式 是 在 IPv6 结 点 中 加 入IPv4 协 议 栈 。 具 有 双 协 议 栈 的 结 点 称 作 “IPv6/v4 结 点 ”, 这 些 结 点 既 可以 收 发 IPv4 分 组 , 也 可 以 收 发 IPv6 分 组 。 它 们 可 以 使 用 IPv4 与 IPv4 结点 互 通 , 也 可 以 直 接 使 用 IPv6 与 IPv6 结 点 互 通 。 双 栈 技

    27、 术 不 需 要 构 造 隧道 , 但 后 文 介 绍 的 隧 道 技 术 中 要 用 到 双 栈 。 IPv6/v4 结 点 可 以 只 支 持 手 工 配置 隧 道 , 也 可 以 既 支 持 手 工 配 置 也 支 持 自 动 隧 道 。 隧 道 技 术 在 IPV6 发 展 初 期 , 必 然 有 许 多 局 部 的 纯 IPV6 网 络 , 这 些 IPV6 网 络 被IPV4 骨 干 网 络 隔 离 开 来 , 为 了 使 这 些 孤 立 的 “IPV6 岛 ”互 通 , 就 采 取 隧 道技 术 的 方 式 来 解 决 。 利 用 穿 越 现 存 IPV4 因 特 网 的 隧 道

    28、 技 术 将 许 多 个“IPV6 孤 岛 ”连 接 起 来 , 逐 步 扩 大 IPV6 的 实 现 范 围 , 这 就 是 目 前 国 际IPV6 试 验 床 6Bone 的 计 划 。 工 作 机 理 : 在 IPV6 网 络 与 IPV4 网 络 间 的 隧 道 入 口 处 , 路 由 器 将 IPV6的 数 据 分 组 封 装 入 IPV4 中 , IPV4 分 组 的 源 地 址 和 目 的 地 址 分 别 是 隧 道 入 口和 出 口 的 IPV4 地 址 。 在 隧 道 的 出 口 处 再 将 IPV6 分 组 取 出 转 发 给 目 的 节 点 。隧 道 技 术 在 实 践

    29、中 有 四 种 具 体 形 式 : 构 造 隧 道 、 自 动 配 置 隧 道 、 组 播 隧道 以 及 6to4。 TB( Tunnel Broker, 隧 道 代 理 ) 对 于 独 立 的 v6 用 户 , 要 通 过 现 有 的 IPv4 网 络 连 接 IPv6 网 络 上 , 必 须使 用 隧 道 技 术 。 但 是 手 工 配 置 隧 道 的 扩 展 性 很 差 , TB 的 主 要 目 的 就 是 简 化隧 道 的 配 置 , 提 供 自 动 的 配 置 手 段 。 对 于 已 经 建 立 起 IPv6 的 ISP 来 说 , 使用 TB 技 术 为 网 络 用 户 的 扩 展

    30、 提 供 了 一 个 方 便 的 手 段 。 从 这 个 意 义 上 说 ,TB 可 以 看 作 是 一 个 虚 拟 的 IPv6 ISP, 它 为 已 经 连 接 到 IPv4 网 络 上 的 用 户提 供 连 接 到 IPv6 网 络 的 手 段 , 而 连 接 到 IPv4 网 络 上 的 用 户 就 是 TB 的 客 户 。双 栈 转 换 机 制 ( DSTM) DSTM 的 目 标 是 实 现 新 的 IPv6 网 络 与 现 有 的 IPv4 网 络 之 间 的 互 通 。 使用 DSTM, IPv6 网 络 中 的 双 栈 结 点 与 一 个 IPv4 网 络 中 的 IPv4

    31、主 机 可 以 互 相通 信 。 DSTM 的 基 本 组 成 部 分 包 括 : DHCPv6 服 务 器 , 为 IPv6 网 络 中 的 双 栈 主 机 分 配 一 个 临 时 的 IPv4 全网 唯 一 地 址 , 同 时 保 留 这 个 临 时 分 配 的 IPv4 地 址 与 主 机 IPv6 永 久 地 址 之间 的 映 射 关 系 , 此 外 提 供 IPv6 隧 道 的 隧 道 末 端 ( TEP) 信 息 ; 动 态 隧 道 端 口 DTI: 每 个 DSTM 主 机 上 都 有 一 个 IPv4 端 口 , 用 于 将IPv4 报 文 打 包 到 IPv6 报 文 里 ;

    32、 DSTM Deamon: 与 DHCPv6 客 户 端 协 同 工 作 , 实 现 IPv6 地 址 与 IPv4地 址 之 间 的 解 析 。 协 议 转 换 技 术 其 主 要 思 想 是 在 V6 节 点 与 V4 节 点 的 通 信 时 需 借 助 于中 间 的 协 议 转 换 服 务 器 , 此 协 议 转 换 服 务 器 的 主 要 功 能 是 把 网 络 层 协 议 头 进行 V6/V4 间 的 转 换 , 以 适 应 对 端 的 协 议 类 型 。 优 点 : 能 有 效 解 决 V4 节 点 与 V6 节 点 互 通 的 问 题 。 缺 点 : 不 能 支 持 所 有 的

    33、应 用 。 这 些 应 用 层 程 序 包 括 : 应 用 层 协 议 中如 果 包 含 有 IP 地 址 、 端 口 等 信 息 的 应 用 程 序 , 如 果 不 将 高 层 报 文 中 的 IP地 址 进 行 变 换 , 则 这 些 应 用 程 序 就 无 法 工 作 , 如 FTP、 STMP 等 。 含 有 在应 用 层 进 行 认 证 、 加 密 的 应 用 程 序 无 法 在 此 协 议 转 换 中 工 作 。 SOCKS64 一 个 是 在 客 户 端 里 引 入 SOCKS 库 , 这 个 过 程 称 为 “socks 化 ”( socksifying) , 它 处 在 应

    34、用 层 和 socket 之 间 , 对 应 用 层 的 socket API和 DNS 名 字 解 析 API 进 行 替 换 ; 另 一 个 是 SOCKS 网 关 , 它 安 装 在 IPv6/v4 双 栈 结 点 上 , 是 一 个 增 强 型的 SOCKS 服 务 器 , 能 实 现 客 户 端 C 和 目 的 端 D 之 间 任 何 协 议 组 合 的 中 继 。当 C 上 的 SOCKS 库 发 起 一 个 请 求 后 , 由 网 关 产 生 一 个 相 应 的 线 程 负 责 对 连 接进 行 中 继 。 SOCKS 库 与 网 关 之 间 通 过 SOCKS( SOCKSv5

    35、) 协 议 通 信 , 因 此 它们 之 间 的 连 接 是 “SOCKS 化 ”的 连 接 , 不 仅 包 括 业 务 数 据 也 包 括 控 制 信 息 ;而 G 和 D 之 间 的 连 接 未 作 改 动 , 属 于 正 常 连 接 。 D 上 的 应 用 程 序 并 不 知 道C 的 存 在 , 它 认 为 通 信 对 端 是 G。 传 输 层 中 继 ( Transport Relay) 与 SOCKS64 的 工 作 机 理 相 似 , 只 不 过 是 在 传 输 层 中 继 器 进 行 传 输 层 的“协 议 翻 译 ”, 而 SOCKS64 是 在 网 络 层 进 行 协 议

    36、翻 译 。 它 相 对 于SOCKS64, 可 以 避 免 “IP 分 组 分 片 ”和 “ICMP 报 文 转 换 ”带 来 的 问 题 , 因为 每 个 连 接 都 是 真 正 的 IPV4 或 IPV6 连 接 。 但 同 样 无 法 解 决 网 络 应 用 程 序数 据 中 含 有 网 络 地 址 信 息 所 带 来 的 地 址 无 法 转 换 的 问 题 。 应 用 层 代 理 网 关 ( ALG) ALG 是 Application Level Gateway 的 简 称 , 与 SOCKS64、 传 输 层 中 继等 技 术 一 样 , 都 是 在 V4 与 V6 间 提 供 一

    37、 个 双 栈 网 关 , 提 供 “协 议 翻 译 ”的功 能 , 只 不 过 ALG 是 在 应 用 层 级 进 行 协 议 翻 译 。 这 样 可 以 有 效 解 决 应 用 程 序中 带 有 网 络 地 址 的 问 题 , 但 ALG 必 须 针 对 每 个 业 务 编 写 单 独 的 ALG 代 理 ,同 时 还 需 要 客 户 端 应 用 也 在 不 同 程 序 上 支 持 ALG 代 理 , 灵 活 性 很 差 。 显 然 ,此 技 术 必 须 与 其 它 过 渡 技 术 综 合 使 用 , 才 有 推 广 意 义 。 过 渡 策 略 总 结 双 栈 、 隧 道 是 主 流 所 有

    38、 的 过 渡 技 术 都 是 基 于 双 栈 实 现 的 不 同 的 过 渡 策 略 各 有 优 劣 、 应 用 环 境 不 同 网 络 的 演 进 过 程 中 将 是 多 种 过 渡 技 术 的 综 合 根 据 运 营 商 具 体 的 网 络 情 况 进 行 分 析 由 不 同 的 组 织 或 个 人 提 出 的 IPV4 向 IPV6 平 滑 过 渡 策 略 技 术 很 多 , 它们 都 各 有 自 己 的 优 势 和 缺 陷 。 因 此 , 最 好 的 解 决 方 案 是 综 合 其 中 的 几 种 过 渡技 术 , 取 长 补 短 , 同 时 , 兼 顾 各 运 营 商 具 体 的 网

    39、 络 设 施 情 况 , 并 考 虑 成 本 的因 素 , 为 运 营 商 设 计 一 套 适 合 于 他 自 己 发 展 的 平 滑 过 渡 解 决 方 案 。四、 建设方案4.1、IPv6 网络接入方式针对现有 IPv4 网络的具体情况,为了保护已有网络投资,需要充分考虑各种信息点接入到 IPv6 网络的情况,为此我们将网络信息点推荐的接入方式总结如下图所示:图 4-1 IPv6 网络接入方式4.1.1、双栈接入双栈技术即网络通信节点为双协议栈,与 IPv4 网通信使用 IPv4 协议,与IPv6 网互通则使用 IPv6 协议。双栈的实施要求 DNS 必须提供对 IPv4“A”、IPv6“

    40、A6/AAAA”类记录的解析库。并根据需要对返回地址类型做出决定。对于新规划的信息点,可以考虑增加支持双栈的汇聚交换机,或者 IPv6 终端数量不多的前提下,通过二层交换机直联到核心交换机,主机双栈接入到网络,如 Error! Reference source not found.中所示。图 4-2 双栈模式4.1.2、配置隧道接入 配置隧道接入如 Error! Reference source not found.中所示,隧道是手工配置建立的,隧道的端点地址由配置决定,不需要为节点分配特殊的 IPv6地址,适用于经常通信的 IPv6 节点之间使用。每个隧道的封装节点必须保存隧道终点地址,当

    41、IPv6 包在隧道上传输时,终点地址会作为 IPv4 包的目的地址进行封装。通常封装节点要根据路由信息决定这个包是否通过隧道转发。采用手工配置隧道方式进行互通的节点间必须有可用的 IPv4 连接,并且至少要具有一个全球惟一的 IPv4 地址,每个节点都要支持 IPv6,路由器需要支持双协议栈,在隧道要经过 NAT 设施的情况下该机制失效。配置隧道可以作为路由器路由器隧道,也可以是路由器主机隧道、主机主机隧道,部署最广泛。4.1.3、ISATAP 隧道接入ISATAP 隧道接入如 Error! Reference source not found.中所示,站内自动隧道寻址协议(ISATAP: I

    42、ntraSite Automatic Tunnel Addressing Protocol) 是采用了双栈和隧道技术,并基于企业网和主机的一种过渡技术。ISATAP 隧道不仅完成隧道功能,还可以进行地址自动分配。它使用特殊的地址格式:0:5efe:a.b.c.d,前 64bit 通过向 ISATAP 发送请求获得,后 64 比特中5efe 为固定,a.b.c.d 为接口的 IPv4 地址。图 4-3 ISATAP 地址格式ISATAP 隧道可以通过 IPv4 网络承载 IPv6 网络的 ND 协议,从而使跨 IPv4网络的设备仍然可以进行 IPv6 设备的自动配置。分散在 IPv4 网络中的各

    43、个IPv6 孤岛主机通过 ISATAP 技术自动获得地址并连接起来。4.1.4、几种接入方式的比较几种接入方式的特点比较如 Error! Reference source not found.所示:表 4-1 IPv6 网络接入方式比较速度 灵活性 成本双栈接入 快 高 高配置隧道接入 慢 低 低ISATAP 隧道接入 慢 中 低在条件允许的情况下,我们推荐采用双栈接入的方式,速度快,灵活性高,IPv4 与 IPv6 网络各自的互通不受另一方的影响,在某些网络环境中如果条件不允许,也可以采用 ISATAP 隧道接入的方式。4.2、IPv6 网络设备认证测试各个网络厂商都在角逐 IPv6,未来的

    44、 IPv6 网络也不可能只使用单一品牌设备,那么如何保证各种宣称支持 IPv6 的设备的互通兼容性呢?这就需要一个第三方的权威机构进行标准化的认证测试,目前国际上最权威的 IPv6 设备认证测试就是全球 IPv6 论坛的 IPv6 Ready 银牌、金牌认证测试。产品获得银牌,即互联互通性方面已经基本得到认可,而金牌则需要更进一步进行移性、安全性、可管理性等方面的认证,获得这两种认证的企业可望在全球运营商的选择中获得先机。同时,获得认证的时间越早,则说明相应的企业在 IPv6 方面技术越成熟,可商用性越强。4.2.1、IPv6 银牌测试IPv6 银牌测试,即 phase 1 测试,它的协议一致

    45、性测试总共 109 项内容,涉及 RFC2460(IPv6 规范)、RFC2463(ICMPv6)、RFC2461(邻居发现)、RFC2462(地址配置)的部分内容。它的互操作性测试只涉及其中连通响应和路由器公告生存期 2 个方面,属于最基本的互通测试。4.2.2、IPv6 金牌测试IPv6 金牌测试,即 phase 2 测试,它的协议一致性测试总共 284 项内容,涉及 RFC2460(IPv6 规范)、RFC2463(ICMPv6)、RFC2461(邻居发现)、RFC2462(地址配置)、RFC1981(PathMTU 发现)的全部内容。它的互操作性测试内容涉及 IPv6 协议的主要 7

    46、个方面,总共有 59 个测试项。金牌测试确认了设备实现了标准的所有细节,能够完全实现与其他厂商产品的互连互通,根据 IPv6 技术标准检查和确保设备与服务的互通性和一致性,将增加Core、MLD、MIPv6 和 Migration 等增强特性的测试;表 4-2 IPv6 两个阶段测试对比第一阶段测试 第二阶段测试ICMPv6 Echo 部分测试 完全测试地址自动分配和冲突检测 无 完全测试路由器公告前缀的发现机制 无 完全测试路由器公告前缀的生命周期 已测试 完全测试路由器重定向 无 完全测试路径 MTU 和分片 无 完全测试路由报头处理 无 完全测试2005 年 6 月,神州数码网络全线交换

    47、路由产品通过 IPv6 Ready 第一阶段认证2005 年 9 月,神州数码网络成为通过 IPv6 Ready 第二阶段金牌认证 的第一家中国厂商4.2.3、Ipv6 金牌增强测试同任何新技术一样 IPv6 的发展也是经历了各种问题。如基本协议方面目前图 4-4 神州数码网络 IPv6 金银牌认证广泛使用的协议有 RFC 2460、RFC2461、RFC2462、RFC2463、RFC1981;由于路由头攻击等的出现,威胁到了 IPv6 协议的安全性,并且 IPv6 协议本身在实践中的发展也需要完善,所以 IETF 把上述的标准进行了改进和更新包括:RFC 5095(Deprecation

    48、of Type 0 Routing Headers in IPv6)修改和补充RFC2460,避免受到路由头攻击的影响。RFC 4861(Neighbor Discovery for IP version 6 (IPv6))替换RFC2461,完善了邻居发现的协议过程,增强了安全性。RFC 4862(IPv6 Stateless Address Autoconfiguration)替换 RFC2462,完善了无状态地址分配的协议交互过程。RFC 4443(Internet Control Message Protocol (ICMPv6) for the Internet Protocol V

    49、ersion 6 (IPv6) Specification 替换 RFC2463,升级RFC2780,完善了 IPv6 的互联网控制消息协议。 RFC 4291(IP Version 6 Addressing Architecture)替换 RFC3513,去除了使用 IPv6 任播地址的限制、对 Site-Local 前缀等方面的修改。总体看来 IPv6 协议经过改进,变得更加健壮,进一步完美。目前主要的网络设备广泛使用还是为改进的 IPv6,这使得 IPv6 的技术上的进步并没有使用户获得提升。为了应对这个挑战全球 IPv6 论坛下的 IPv6 Ready 标识程序推出了支持以上的最新 IPv6 协议的升级测试程序程序,该阶段被称作 IPv6 Ready Phase II enhanced (第二阶段增强)测试。4.2.4、DHCPv6 测试DHCPv6 是动态主机配置协议(DHCP)的 IPv6 版本,协议基本规范由RFC3315 定义。相对于 IPv6 无状态地址自动配置协议,DHCPv6 属于一种有状态地址自动配置协议。在有状态地址配置过程中,DHCPv6 服务器分配一个完整的IPv6 地址给主机,并提供 DNS 服务器地址和域名等其它配置信息,这中间可能通过中继代理转交 DHCPv6 报文,而

    展开阅读全文
    提示  道客多多所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
    关于本文
    本文标题:政府信息中心需要申报IPV6改造方案项目.doc
    链接地址:https://www.docduoduo.com/p-2483394.html
    关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

    道客多多用户QQ群:832276834  微博官方号:道客多多官方   知乎号:道客多多

    Copyright© 2025 道客多多 docduoduo.com 网站版权所有世界地图

    经营许可证编号:粤ICP备2021046453号    营业执照商标

    1.png 2.png 3.png 4.png 5.png 6.png 7.png 8.png 9.png 10.png



    收起
    展开