防火墙产品原理与应用：防火墙产品的技术及实现关于IPV6【寒假】

感觉有必要，虽然冷。但是，觉得IPV6比较重要就记录一下吧。防火墙里讲述的IPV6，应该有针对性吧。

权当做参考啦！

IPV6技术：

128位的IPV6协议是网络层协议的第二代标准协议，也被称为IPng(IP next generation)。是IETF设计的一套规范，是IPV4的升级。

解决了IPV4的地址不足，并且在地址容量，安全性，网络管理，移动性，服务质量等方面有明显提高！

（1）：简化的报文头格式

IPV6长度是IPV4的4倍，但是基本报文头长度只有IPV4的报文头长度的2倍。

（比例不对，双击查看！）

（2）充足的地址空间

基础就有：反正目前用不完，还可以公有地址和机构内部私有地址的分配

（3）层次化的地址结构

采用层次化的地质结构，有利于路由快速查找，同时可以借助路由聚合，有效减少IPV6路由表占用的系统资源

（4）地址自动配置

分为：有状态地址配置，无状态地址配置

有状态地址配置：

从服务器获取IPV6地址以及相关信息

无状态地址配置：

主机根据自己的链路层地址以及路由器发布的前缀信息自动配置IPV6地址以及相关信息。

同时，主机也可以根据自己的链路层地址以及默认前缀（FE80：:/64）形成链路本地地址，实现与本链路上其他主机的通信。

（5）内置安全性

IPV6使用了两种安全性扩展：IP身份验证头（AH），由RFC1826（IP身份验证头）描述；

IP封装安全性净荷（ESP），在RFC1827（IP封装安全性净荷）

（6）支持QoS

IPV6报文头的流标签（Flow Label）字段实现流量的标识，允许设备对某一流中的报文进行识别并提供特殊处理。

（7）增强邻居发现机制

IPV6的邻居发现协议就是一组IPV6的Internet控制报文协议（ICMPv6）消息，管理着邻居节点（同一链路上的节点）的交互。它代替了地址解析协议（ARP），ICMPv4路由发现和ICMPv4重定向消息，并提供一系列其他功能。

（8）灵活的扩展报文头

IPv6取消了IPv4报文头中的选项字段，并引入多种扩展报文头，在提高处理效率的同时还大大增强了IPV6的灵活性，为IP协议提供了良好的扩展能力。IPV4报文头中的选项字段只有40字节，而IPV6扩展报文头的大小只受到IPV6报文大小的限制。

IPV6地址：

1，ipv6地址书写格式

128被分为8组，每组16位用4个16进制字符（0~9，A~F）来表示，组和组之间用“：”来表示。

书写形式：

X:X:X:X:X:X:X:X，每一个X代表一组16进制数值。

例子：

2031:0000:130F:0000:0000:09C0:876A:130B

每组前导“0”都可以省略，所以上述地址可以书写为：

2031:0:130F:0:0:09C0:876A:130B

另外如果地址中包含了连续两个或者多个均为0的组，可以用“::”来表示。

这样就可以大大缩减书写长度，所以上述地址又可以写为：2031:0:130F::09C0:876A:130B

一个地址可以分为两个部分：地址前缀与接口标识符。

一个IPV6地址前缀可表示为：IPV6地址/前缀长度，这与IPV4中的CIDR中的IPV4地址前缀表示方法类似。

IPV6地址是前面所列出的任何一种形式；而前缀表示方法类似。

ipv6地址是前面列出的任何一种形式。前缀长度是一个10进制数，表示IPV6地址最左边多少位为地址前缀。

IPV6的地址分类：

1. 单播地址
2. 任播地址
3. 组播地址

IPV6地址类型是由地址前面几位（称为格式前缀）来指定的，主要地址类型与格式前缀的对应关系

如下：（显示不雅，请双击查看）

✧单播地址:唯一标示一个接口，类似IPV4的单播地址。发送到单播地址的数据报文将被传输给此地址所标识的唯一接口。
✧任播地址: 用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传输给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议的算法进行度量)的一个接口。

✧组播地址: 用来标识一组接口(通常这组接口属于不同的节点)，类似
于IPv4的组播地址。发送到组播地址的数据报文被传输给此地址所标
识的所有接口。
IPv6不包括广播地址，广播地址的功能由组播地址来提供。
1 )单播地址的类型
IPv6单播地址的类型可有多种，包括全球单播地址、链路本地地址和站点本地地址等。
✧全球单播地址等同于 IP4公网地址，用于可以聚合的链路。提供给网
络服务提供商。这种地址类型的结构允许路由前缀的聚合，从而满足全球路由表项的数量限制。
链路本地地址用于邻居发现协议和无状态自动配置进程中链路本地节源或目的地址的数据包不会被转
点之间的通信。使用链路本地地址作为源或目的地址的数据包不会被转发到其他链路上。

站点本地地址与IPv4中的私有地址类似(如172.16.0.0/16)。使用站点本地地址作为源或目的地址的数据包不会被转发到本站点(相当于一个私有网络)外的其他站点。

环回地址:单播地址0;0:0:0:0:0:0:1 (简化表示为1)称为环回地址，不会分配给任可物理接口。它的作用与在IPv4中的127.0.0.1相同，即用于节点给自己发送IPv6报文。

✧未指定地址:地址::称为未指定地址，不能被分配给任何节点。在主机获得有效的IPv6地址之前，可在发送IPv6报文的源地址字段填入该地址，但不能作为IPv6报文中的目的地址。

2) IEEE EUI-64格式的接口标识符
IPv6单播地址中的接口标识符用来标识链路上唯一的接口。 目前IPv6单播地址基本上都要求接口标识符为64位。接口标识符是从接口的链路层地址(MAC地址)变化而来的。
IPv6地址中的接口标识符是64位，而MAC地址是48位，因此需要在MAC地址的中间位置(从高位开始的第24位后)插入十六进制数FFFE( 1111111111111110)为了确保这个从MAC地址得到的接口标识符是唯一的，
还要将UniversalLocal (U/L)位(从高位开始的第7位)设置为“1”。最后得到的这组数就作为EUL-64格式的接口标识符。