一、IPv6
IP協議是互聯網的核心。但隨着互聯網的發展,到2011年,IPv4的32位地址已經耗盡。
解決IP地址耗盡的根本措施就是採用更大地址空間的新版本IP協議——IPv6。
1.IPv6的變化
- 更大的地址空間:IPv6將IP地址擴大到128位
- 擴展的地址層次結構:由於地址空間足夠大,IPv6可以將地址劃分爲更多的層次
- 靈活的首部格式:IPv6定義了許多可選擴展首部,可提供更多功能,並提高路由器性能
- 改進選項:IPv6允許數據報包含有選項的控制信息,放在有效載荷內
- 允許協議繼續擴充
- 支持即插即用:IPv6不需要DHCP
- 支持資源的預分配
- 8字節對齊
2.IPv6數據報的格式
IPv6數據報有兩大部分組成:基本首部和有效載荷。有效載荷允許有0或多個擴展首部,之後是數據部分。
注意:擴展首部不屬於基本首部。
相比IPv4數據報的修改:取消首部長度、服務類型、總長度、標識、協議、檢驗和、選項字段;TTL更名爲跳數限制。
基本首部各字段如下:
- 版本:佔4位,指明協議版本,IPv6對應爲6;
- 通信量類:佔8位,區分數據報的優先級;
- 流標號:佔20位,所有屬於同一個流的數據報具有相同的流標號,路由器保證同一個流指定的服務質量;
- 有效載荷長度:佔16位,指明IPv6數據報除首部外的總字節數;
- 下一個首部:佔8位,相當於IPv4的協議字段和可選字段:
IPv6沒有擴展首部時,該字段相當於協議字段,指明數據應交付上層的哪一個協議;
有擴展首部時,該字段標識下一個擴展首部的類型;
由於擴展首部放在有效載荷中,不需要路由器處理,因此大大提高了路由器的處理效率。; - 跳數限制:佔8位,防止數據報在網絡中兜圈子而無限期存在,相當於原TTL字段;
- 源地址和目的地址:各128位,指明源主機和目的主機的IPv6地址。
RFC-2460標準定義了6種擴展首部:①逐跳選項 ②路由選擇 ③分片 ④鑑別 ⑤封裝安全有效載荷 ⑥目的站選項
3.IPv6地址
IPv6數據報的目的地址可以是下面三種基本類型地址之一:
● 單播:傳統點對點通信
● 多播:一對多的通信,目的主機是一組計算機中的每一個
● 任播:IPv6新增。終點是一組計算機,但只交付其中的一個,通常是最近的一個
IPv6將主機和路由器都稱作結點,每個結點可能有多個端口。IPv6給每一個接口指派一個IP地址。一個結點可以有多個地址,其中每一個地址都可以作爲到該節點的目的地址。
由於IPv6地址有128位,使用點分十進制法不在方便。IPv6使用冒號十六進制記法:
● 每16位二進制一組,轉換爲4位十六進制,組間使用" : "分隔開。
● 如十六進制數字的前幾位爲0,可以將0省去,但至少保留一位;如0000可以寫爲0;000A可以寫爲A;
● 允許使用零壓縮:一串連續的零可以用一對冒號取代,但一個地址中只能使用一次零壓縮。如1:0:0:0:0:0:1:0 --> 1 :: 1 : 0
● 在IPv4到IPv6的轉換階段,最後兩組數字(32位)可能使用點分十進制,可結合使用零壓縮,如:::192.168.1.1
● CIDR的斜線記法仍可使用
下面是IPv6的地址分類表:
- 未指明地址:16字節全爲0的地址,可縮寫爲兩個冒號::,僅作爲未配置IP地址主機的源地址使用,僅有一個
- 環回地址:前15字節爲0,末字節爲1的地址,可縮寫爲::1,作用與IPv4的環回地址相似,僅有一個
- 多播地址:功能和IPv4相同,佔地址總數的1/256
- 本地鏈路單播地址:有些網絡使用TCP/IP協議但未連接到互聯網,網絡中的主機互相可以使用這類地址本地通信
- 全球單播地址:使用最多的一類。目前有多個劃分方法
4.IPv4向IPv6過渡
由於互聯網的規模十分龐大,一次性更換新協議是不可行的。IPv4向IPv6過渡只能採用逐步演進的方法。爲此,新的IPv6系統必須能夠向後兼容。目前主要有兩種向IPv6過渡的策略:
● 雙協議棧
雙協議棧在過渡階段,給一部分結點同時裝有IPv4協議棧和IPv6協議棧這兩個協議棧,能同時和IPv4與IPv6的系統通信。雙協議棧的結點記爲IPv4/IPv6,表明它具有兩種IP地址。
雙協議棧結點通過域名系統DNS查詢目的主機使用的IP協議版本。
當雙協議棧結點要將數據報轉發給不同協議版本的網絡時,會將數據報的首部轉變爲對應的IP協議版本;但在這種轉化中,若先將IPv6轉換爲IPv4,再轉換回IPv6數據報,會導致某些字段無法恢復,如流標號字段;信息損失在這種策略下不可避免。
● 隧道技術
隧道技術是在IPv6數據報即將進入IPv4網絡時,將IPv6數據報作爲數據部分,封裝入一個新的IPv4數據報。這樣就可以讓IPv4網絡順利傳輸該數據報。在數據報離開IPv4網絡時,再獲取原來的IPv6數據報,交給結點的IPv6協議棧。
注意:該策略仍然需要部分主機安裝雙協議棧。
5.ICMPv6
IPv6也不保證數據報的可靠交付,因此IPv6仍需要ICMP協議反饋差錯信息。新版本的ICMP協議是ICMPv6。
地址解析協議ARP和網際組管理協議IGMP的功能都已經合併到ICMPv6中。
ICMPv6是面向報文的協議。它利用報文來報告差錯、獲取信息、探測鄰站、管理多播通信。
下面是ICMPv6報文的分類:
二、虛擬專用網VPN
1.專用地址
在IPv6落地前,IP地址緊缺,一個機構申請到的IP地址往往遠小於機構擁有的主機個數;有時,機構也不希望將所有的主機都接入互聯網。如果這些主機都使用TCP/IP協議,這些主機可以在內部自行分配IP地址,也就是使用僅在本機構內有效的本地地址。
但分配了本地地址的主機一旦接入互聯網,就可能導致互聯網出現兩個相同的IP地址,產生地址的二義性。
爲解決這一問題,RFC-1918標準指明瞭一些專用地址,這些地址僅用於機構的內部通信,而不能用於互聯網通信;在互聯網的路由器中,對目的地址是本地專用地址的數據報一律不轉發。下面是三個專用地址:
● 10.0.0.0 到 10.255.255.255 (10.0.0.0/8,又稱24位塊,相當於1個A類地址)
● 172.16.0.0 到 172.31.255.255(172.16.0.0/16,又稱20位塊,相當於16個B類地址)
● 192.168.0.0 到 192.168.255.255 (192.168.0.0/24,又稱16位塊,相當於256個C類地址)
採用這樣專用IP地址的互連網絡稱爲本地互聯網或專用網。由於地址只在本機構內使用,因此專用IP地址也叫可重用地址。
2.虛擬專用網VPN
有時一個機構的部門分佈範圍很廣,且彼此之間經常需要交換信息。此時雖然可以租用線路,但成本較高。另一種做法就是利用技術手段將公用互聯網作爲通信載體,這種專用網就是虛擬專用網。
虛擬專用網仍然是一個專用網,因爲這種網絡用於機構內的通信。爲了機構間的通信保密,通過互聯網的數據也必須加密。
“虛擬”表示該專用網只是在效果上是一個專用網,但數據經過了互聯網而不是通信專線,因此實際上不是一個專用網。
虛擬專用網嘗試用IP隧道技術實現,如上圖:
機構的不同場所和部門都至少需要一個具有合法全球IP地址的路由器。路由器對外的端口使用全球IP地址,而對內端口使用專用網的本地地址。
場所和部門內的通信不需要通過互聯網。當場所間通信,需要經過互聯網時,路由器會把主機發送的數據報先進行加密,再作爲數據部分,添加上新的首部,封裝在新的IP數據報中。這一新的數據報在互聯網的傳輸中,源地址是發送路由器的地址;目的地址是接收路由器的地址,因此可在互聯網中順利轉發;當接收路由器收到該數據報時,將數據部分取出解密,還原爲源主機發送的數據報,再在場所的專用網內轉發並交付。
這個過程中,雖然數據報經過了公用的互聯網,但效果上好像是在機構的專用網上傳送的。
在虛擬專用網VPN中還分有兩個類別:
● 內聯網:構成虛擬專用網的網絡屬於同一個機構;
● 外聯網:構成虛擬專用網的網絡不屬於同一個機構,還有一些外部機構,例如一些合作伙伴。
3.外部接入VPN
有些個體可能需要在離機構較遠的場所,需要在機構內的專用網下進行工作。這時就需要遠程接入VPN。
遠程接入VPN允許個人主機的VPN軟件在連入互聯網的個人主機與公司的主機之間建立VPN隧道,從而保證在外個體的與機構通信的保密,並讓個體連入並使用機構的專用網。
三、網絡地址轉換NAT
在不能分配得到IP地址的情況下,一個專用網內的主機想要連接到互聯網,使用最多的方案是網絡地址轉換。
1.網絡地址轉換步驟
網絡地址轉換NAT需要專用網連接到互聯網的路由器上裝有NAT軟件,該路由器叫做NAT路由器。
NAT路由器上至少有一個有效的全球IP地址。所有專用網內的主機與互聯網通信時,需要通過NAT路由器將本地地址轉換爲全球IP地址,然後與互聯網通信。
上圖是網絡地址轉換的一個圖例。
- 當專用網內主機A向互聯網內主機B發送分組時,數據報的源IP地址時A的IP地址;
- NAT路由器接收該數據報,並把源IP地址更換爲NAT路由器的全球IP地址;
- 轉換後的數據報可以在互聯網中順利轉發;
- 主機B接收該數據報後,將NAT路由器的IP地址當作主機A的IP地址,併發迴應答;
- NAT路由器收到應答後,再將數據報的目的地址該位主機A的本地地址,進行轉發和交付;
- 最終,A就順利收到了B發回的應答,完成了與互聯網的通信。
2.NAT地址轉換表
NAT路由器進行地址轉換需要藉助NAT地址轉換表。下面是一個NAT地址轉換表示例:
每兩條記錄代表專用網內主機和互聯網的一次通信。
若專用網內有多臺主機,當一個主機正在與互聯網通信時,NAT路由器的一個端口就被佔用了。此時,該端口的IP地址不能被其它主機使用。
因此,當NAT路由器有N個具有全球IP地址的端口時,就可以支持N個主機同時與互聯網通信;
若主機數大於全球的IP地址數,專用網內的主機必須輪流使用NAT的全球IP地址。
3.NAPT地址轉換機制
爲了更有效地利用NAT路由器上的全球IP地址,NAT轉換表把運輸層的端口號也使用上。由此,多個本地主機可以使用一個全球IP地址,同時與互聯網通信。
使用端口號的NAT也稱爲網絡地址與端口號轉換NAPT。下表是NAPT的地址轉換表:
表中,雖然不同的主機使用了同一個全球IP地址,但由於TCP端口號不同,當NAPT路由器收到應答時,仍能從IP數據報的數據部分中找到TCP端口號,再根據端口號轉發到不同的本地主機。
IP多播
1.基本概念
2.局域網硬件多播
3.IP多播協議
(1) 網際組管理協議
(2) 多播路由選擇協議
多協議標記交換MPLS
1.工作原理
(1) 基本工作過程
(2) 等價轉發類FEC
2.MPLS首部的位置與格式