IPv6是“Internet Protocol Version 6”的縮寫,它是IETF設計的用於替代現行版本IP協議-IPv4-的下一代IP協議。
目前Internet中廣泛使用的IPv4協議,也就是人們常說的IP協議,已經有近20年的歷史了。隨着Internet技術的迅猛發展和規模的不斷擴大,IPv4已經暴露出了許多問題,而其中最重要的一個問題就是IP地址資源的短缺。有預測表明,以目前Internet發展的速度來計算,在未來的5到10年間,所有的IPv4地址將分配完畢。儘管目前已經採取了一些措施來保護IPv4地址資源的合理利用,如非傳統網絡區域路由和網絡地址翻譯,但是都不能從根本上解決問題。
爲了徹底解決IPv4存在的問題,IETF從1995年開始就着手研究開發下一代IP協議,即IPv6。IPv6具有長達128位的地址空間,可以徹底解決IPv4地址不足的問題,除此之外,IPv6還採用了分級地址模式、高效IP包頭、服務質量、主機地址自動配置、認證和加密等許多技術。
一、IPv6的地址格式和結構
IPv6採用了長度爲128位的IP地址,而IPv4的IP地址僅有32位,因此IPv6的地址資源要比IPv4豐富得多。
IPv6的地址格式與IPv4不同。一個IPv6的IP地址由8個地址節組成,每節包含16個地址位,以4個十六進制數書寫,節與節
之間用冒號分隔,其書寫格式爲x:x:x:x:x:x:x:x,其中每一個x代表四位十六進制數。除了128位的地址空間,IPv6還爲點對點通信設計了一種具有分級結構的地址,這種地址被稱爲可聚合全局單點廣播地址(aggregatable global unicast address),開頭3個地址位是地址類型前綴,用於區別其它地址類型,其後依次爲13位TLA ID、32位 NLA ID、16位SLA ID和64位主機接口ID,分別用於標識分級結構中自頂向底排列的TLA(Top Level Aggregator,頂級聚合體)、NLA(Next Level Aggregator,下級聚合體)、SLA(Site Level Aggregator,位置級聚合體)和主機接口。TLA是與長途服務供應
商和電話公司相互連接的公共網絡接入點,它從國際Internet註冊機構(如IANA)處獲得地址。NLA通常是大型ISP,它從TLA處申請獲得地址,併爲SLA分配地址。SLA也可稱爲訂閱者(subscriber),它可以是一個機構或一個小型 ISP。SLA負責爲屬於它的訂閱者分配地址。SLA通常爲其訂閱者分配由連續地址組成的地址塊,以便這些機構可以建立自己的地址分級結構以識別不同的子網。分級結構的最底層是網絡主機。
二、IPv6中的地址配置
大家知道,當主機IP地址需要經常改動的時候,手工配置和管理靜態IP地址是一件非常煩瑣和困難的工作。在IPv4中,DHCP協議可以實現主機IP地址的自動設置。其工作過程大致如下:一個DHCP服務器擁有一個IP地址池,主機從DHCP服務器申請IP地址並獲得有關的配置信息(如缺省網關、DNS服務器等),由此達到自動設置主機IP地址的目的。IPv6繼承了IPv4的這種自動配置服務,並將其稱爲全狀態自動配置(stateful autoconfiguration)。
除了全狀態自動配置,IPv6還採用了一種被稱爲無狀態自動配置(stateless autoconfiguration)的自動配置服務。在無狀態自動配置過程中,主機首先通過將它的網卡MAC地址附加在鏈接本地地址前綴1111111010之後,產生一個鏈接本地單點廣播地址(IEEE已經將網卡MAC地址由48位改爲了64位。如果主機採用的網卡的MAC地址依然是48位,那麼IPv6網卡驅動程序會根據IEEE的一個公式將48位MAC地址轉換爲64位MAC地址)。接着主機向該地址發出一個被稱爲鄰居探測(neighbor discovrey)的請求,以驗證地址的唯一性。如果請求沒有得到響應,則表明主機自我設置的鏈接本地單點廣播地址是唯一的。否則,主機將使用一個隨機產生的接口ID組成一個新的鏈接本地單點廣播地址。然後,以該地址爲源地址,主機向本地鏈接中所有路由器多點廣播一個被稱爲路由器請求(router solicitation)的數據包,路由器以一個包含一個可聚合全局單點廣播地址前綴和其它相關配置信息的路由器公告來響應該請求。主機用它從路由器得到的全局地址前綴加上自己的接口ID,自動配置全局地址,然後就可以與Internet中的其它主機通信了。
使用無狀態自動配置,無需手動干預就能夠改變網絡中所有主機的IP地址。例如,當企業更換了聯入Internet的ISP時,將從新ISP處得到一個新的可聚合全局地址前綴。ISP把這個地址前綴從它的路由器上傳送到企業路由器上。由於企業路由器將週期性地向本地鏈接中的所有主機多點廣播路由器公告,因此企業網絡中所有主機都將通過路由器公告收到新的地址前綴,此後,它們就會自動產生新的IP地址並覆蓋舊的IP地址。
三、IPv6中的安全協議
安全問題是Internet應用中的一個重要問題。由於在 IP協議設計之初沒有考慮安全性,因而在早期的Internet上時常發生諸如企業或機構網絡遭到攻擊、機密數據被竊取等事情。爲了加強Internet的安全性,從 1995年開始,IETF着手研究制定了一套用於保護IP通信的IP安全(IP Security,IPSec)協議。IPSec是IPv6的一個組成部分,也是IPv4的一個可選擴展協議。
IPSec提供了兩種安全機制:認證和加密。認證機制是指 IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭到改動。加密機制通過對數據進行編碼來保證數據的機密性,以防數據因在傳輸過程中被他人竊取而失密。
IPSec的認證包頭(Authentication Header,AH)協議定義了認證的應用方法,封裝安全負載(Encapsulating Security Payload,ESP)協議定義了加密和可選認證的應用方法。在實際進行IP通信時,可以根據安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強於ESP。
在一個特定的IP通信中使用AH或ESP時,協議將與一組安全信息和服務發生關聯,稱爲安全關聯(Security Association,SA)。SA可以包含認證算法、加密算法、用於認證和加密的密鑰。IPSec使用一種密鑰分配和交換協議,如Internet安全關聯和密鑰管理協議(ISAKMP),來創建和維護SA。SA是一個單向的邏輯連接,即兩個主機之間的認證通信將使用兩個SA,分別用於通信的發送方和接收方。
IPSec定義了兩種模式的SA:傳輸模式SA和隧道模式SA。傳輸模式SA是在IP包頭(以及任何可選的擴展包頭)之後和任何高層協議(如TCP或UDP)包頭之前插入AH或ESP包頭,隧道模式SA是將整個原始的IP數據包放入一個新的IP數據包中。在採用隧道模式SA時,每一個IP數據包都有兩個IP包頭:外部IP包頭和內部IP包頭。外部IP包頭指定將對IP數據包進行IPSec處理的目的地址,內部IP包頭指定原始IP數據包最終的目的地址。傳輸模式SA只能用於兩個主機之間的IP通信,而隧道模式SA既可以用於兩個主機之間的IP通信,還可以用於兩個安全網關之間或一個主機與一個安全網關之間的IP通信。安全網關可以是路由器、防火牆或VPN設備。
做爲IPv6的一個組成部分,IPSec是一個網絡層協議。它只負責其下層的網絡安全,並不負責其上層應用的安全,如Web、電子郵件和文件傳輸等。因此,驗證一個Web會話,依然需要使用SSL協議。
四、IPv6的功能變化
IPv6技術在IP報頭中刪除了一些不必要的IPv4功能,加強了IPv4原有的一些功能,並且還增加了許多新功能。這些新增的功能是:
1、anycast功能
anycast是指向提供同一服務的所有服務器都能識別的通用地址(anycast地址)發送IP分組,路由控制系統可以將該分組送至最近的服務器。 例如,利用anycast功能用戶可以訪問到離他最近的DNS服務器和文件服務器等。
2、即插即用功能
這裏所說的即插即用功能是指計算機在接入Internet時可自動獲取、登錄必要的參數的自動配置功能和地址檢索等功能。
3、安全功能
上面已經介紹過了。
4、QoS功能
利用IPv6頭標中的4比特優先級域和24比特的流標記域爲進行業務優先級控制提供了廣闊的空間。隨着互聯網接入設備的日益複雜化和服務類型的多樣化,網絡基礎設施爲上層提供各種服務質量已經越來越得到人們的關注。
五、IPv4向IPv6的過渡
儘管IPv6比IPv4具有明顯的先進性,但是要想在短時間內將Internet和各個企業網絡中的所有系統全部從 IPv4升級到IPv6是不可能的。IPv6與IPv4系統在Internet中長期共存是不可避免的現實。因此,實現由IPv4向IPv6的平穩過渡是導入IPv6的基本前提。確保過渡期間IPv4網絡與IPv6網絡互通是至關重要的。
目前,從IPv4過渡到IPv6的方法有3種:兼容IPv4的IPv6地址、雙IP協議棧和基於IPv4隧道的IPv6。
1、兼容IPv4的IPv6地址是一種特殊的IPv6單點廣播地址,一個IPv6節點與一個IPv4節點可以使用這種地址在IPv4網絡中通信。這種地址是由96個0位加上32位IPv4地址組成的,例如,假設某節點的IPv4地址是192.56.1.1,那麼兼容IPv4的IPv6地址就是0:0:0:0:0:0:C038:101。
2、雙IP協議棧是在一個系統(如一個主機或一個路由器)中同時使用IPv4和IPv6兩個協議棧。這類系統既擁有 IPv4地址,也擁有IPv6地址,因而可以收發IPv4和IPv6兩種IP數據包。
3、與雙IP協議棧相比,基於IPv4隧道的IPv6是一種更爲複雜的技術,它是將整個IPv6數據包封裝在IPv4數據包中,由此實現在當前IPv4網絡中的IPv6節點與IPv4節點之間的IP通信。基於IPv4隧道的IPv6實現過程分爲三個步驟:封裝、解封和隧道管理。封裝,是指由隧道起始點創建一個IPv4 數據包頭,將IPv6數據包裝入一個新的IPv4數據包中。解封,是指由隧道終結點移去IPv4包頭,還原原始的IPv6數據包。隧道管理,是指由隧道起始點維護隧道的配置信息,如隧道支持的最大傳輸單元(MTU)的尺寸等。IPv4隧道有四種方案:路由器對路由器、主機對路由器、主機對主機、路由器對主機。
六、IPv6與移動通信技術之間的關係
目前,在移動通信領域正在掀起IP化熱潮。實際上,制訂下一代移動通信系統"IMT-2000"標準的3GPP已經決定在下一代移動通信技術的基本協議中採用IPv6。IPv6有望在移動通信領域率先正式使用。手機可以說是移動通信領域中普及最廣泛、影響力最大的移動通信設備,因此,能否順利實現手機電話的IPv6化對IPv6技術今後的發展、完善和普及將產生很大的影響。反過來講,IPv6技術的成熟和發展也將進一步帶動移動設備IPv6化的進程。
2000年底,諾基亞公司推出了世界上第一個支持IPv6的端到端的GPRS網絡。該網絡的推出是邁向新一代IP移動網絡的重要一步。網絡運營商可以通過GPRS網絡向用戶提供新型的服務,使他們充分享受到IPv6帶來的益處,如全球覆蓋性和端到端的安全性等。支持IPv6的端到端的GPRS網絡將使網絡運營商從基於IPv4的服務向基於IPv6的服務平滑過渡。在過渡期間,基於IPv6和IPv4的服務可以在網絡中共存,而且只需通過軟件對現有的網絡設備進行升級就可以使GPRS網絡支持IPv6。相比於傳統的互聯網服務如WEB瀏覽和電子郵件等,移動互聯網服務需要爲消費者帶來更多的互動性和個性。通過在移動互聯網網絡中實施IPv6,網絡運營商可以更加靈活地應對市場的需求。除了爲互聯網帶來更多的地址資源以外,IPv6還爲網絡帶來很多重要的要素,其中之一就是服務質量的提升。由於3GPP已經將IPv6定爲所有IP蜂窩式網絡所必備的功能,它將成爲3G的重要組成部分。
事物的發展總是兩方面的,儘管IPv6具備許多適合移動通信設備的功能和優點,但是將IPv6應用於移動通信設備中不是一帆風順的,安全性是制約IPv6應用於移動通信的一個重要因素,這主要是由於移動通信所依賴的傳輸介質和移動通信設備應具有的漫遊功能。
前不久,有報道稱安全專家在目前提出的移動通信IPv6解決方案中找到了安全漏洞。這一漏洞的發現,意味着IETF將不得不開發新的方法來識別使用IPv6地址的漫遊設備。 與IPv4不同,IPv6使用新的方法保證漫遊在Internet上的無線設備的安全。用戶需要不斷獲得新的所在地IP地址,然後通知他的主地址他已經移動。而在IPv4機制下,漫遊設備通過主地址來獲得識別,所有與該設備的通信需要先發往主地址,再轉發到當前地址。移動IPv6產生一種新的被稱爲“綁定更新”的消息,用於某設備移動到新地區時爲其確定身份。這一機制可以加速基於IPv6的無線通信。當“綁定更新”被識別後,與該設備的通信可以直接接往新地址而無需再通過主地址中轉。最初,移動IP工作組打算使用現有的IP安全協議(IP-Sec)來保護“綁定更新”信息。但是IETF的安全專家最近宣佈IP-Sec不能勝任這一工作,原因有二:1、IP-Sec需要依靠一套公共密鑰系統來運做,但該系統尚未實施。2、IP-Sec的關鍵管理組件需要終端設備有較高的處理能力。這就意味着,移動IP工作組必須找到一種更加安全的認證加密機制來保證移動IPv6的安全性。
七、總結
目前,Windows 2000、Unix、Solaris操作系統的一些測試版本中已經引入了IPv6,其他一些操作系統的IPv6版本也正在逐步開發。另外,已經有廠商嘗試應用IPv6開發新型應用軟件。
IPv6是用於建立可靠的、可管理的、安全和高效的IP網絡的一個長期解決方案。因此,儘管IPv6的實際應用還需要一段時間,但是瞭解和研究IPv6的重要特性以及它針對目前IP網絡存在的問題而提供的解決方案,對於制定企業網絡的長期發展計劃,規劃網絡應用的未來發展方向,都是十分有益的。