沈建苗
在许多人看来,IPv4就如同一条穿旧而弥显珍贵的牛仔裤。膝盖处缝缝补补,裤脚边磨损严重,但穿上去多少还合身。扔掉的话麻烦多多:上商场,试穿一大堆新裤子,洗五六次后才会觉得很舒适。谁愿意受这番折腾?
事实上,因特网在发展壮大。除了路由器、服务器、台式机和便携式电脑纷纷上网外,PDA、蜂窝电话、复印机和汽车等设备也嚷着要IP地址。尽管烤箱具备上网功能这一完全不切实际的预言未能灵验,但最终烤箱上的按钮会使用IPv4的32位地址空间。
不过地址稀缺仅仅是采用下一代IP(IPv6)的理由之一。该标准的设计师竭力宣传IPv6的其它优点:提高路由效率、简化管理、有机会使这种协议可以适应现代全球通信的新需求。
本文重在介绍下一代IP的基本知识,介绍了IPv6包的形状及采用IPv4 和IPv6的设备与网络如何协同工作,还简要描述了IPv6新的安全特性。
地址数量大大增加
IPv4采用32位地址空间,可以提供约42亿个地址。虽然数目巨大,但该协议的开发人员当时并未料到因特网发展会如此迅速。虽说网络地址转换(NAT)和无类域间路由(CIDR)等技术会使IPv4的使用寿命延长几年,但迟早IPv4会跟不上因特网的发展需求。
IPv6的128位地址空间有望带来大得常人无法想象的空间。那么究竟有多少个地址呢?大约3.4x1038个。如果说这过于抽象,不妨这么去想:IPv6在每平方米地球表面上提供的地址数多达6.5x1023,即655,570,793,348,866,943,898,599个。
除了地址数量多得多外,IPv6还弃用了IPv4采用的熟悉的“点分四元组”格式(如193.10.10.154)。相反,IPv6采用十六进制符号,以冒号取代了圆点。FEDC:BA98:7654:3210:FEDC:BA98:7654:3210地址结构就是一个虚假的例子。
报头结构
虽然IPv6报头的字节长度两倍于IPv6报头(40个字节与20个字节),但IPv6拥有简化的报头结构。IPv6报头有8个字段,IPv4则有14个。IPv6丢弃及改用了IPv4报头字段中的几个,从而使包处理更有效率。
下面比较一下两种报头。Version(版本)字段在两种协议中没有变化。IPv6丢弃了IPv4的Internet Header Length(因特网报头长度)、Type of Service(服务类型)、Identification(识别)、Flags(标志)、Fragment Offset(分片偏移量)和Header Checksum(报头校验和)字段。Total Lenght(总长度)、Time to Live(生存时间)和Protocol(协议)字段在IPv6中有了新名字,功能稍微进行了重新定义。IPv4中的Option(选项)字段已从报头中消失,改为Extension(扩展)功能。最后,IPv6加入了两个新字段:Traffic Class(流量类别)和Flow Label(流标记)。分别介绍一下IPv6包的每个报头字段。
Version:Version字段的长度仍是4位,它指明了协议版本号。
Traffic Class:这个8位字段可以为包赋予不同的类别或优先级。它类似IPv4的Type of Service字段,为差异化服务留有余地。
Flow Label:Flow Label字段是IPv6的新增字段。源节点使用这个20位字段,为特定序列的包请求特殊处理(效果好于尽力转发)。实时数据传输如语音和视频可以使用Flow Label字段以确保QoS。
Payload Length:这个16位字段表明了有效载荷长度。与IPv4包中的Total Length字段不同,这个字段的值并未算上IPv6的40位报头。计算的只是报头后面的扩展和数据部分的长度。因为该字段长16位,所以能表示高达64KB的数据有效载荷。如果有效载荷更大,则由超大包(jumbogram)扩展部分表示。
Next Header:这个8位字段类似IPv4中的Protocol字段,但有些差异。在IPv4包中,传输层报头如TCP或UDP始终跟在IP报头后面。在IPv6中,扩展部分可以插在IP报头和传输层报头当中。这类扩展部分包括验证、加密和分片功能。Next Header字段表明了传输层报头或扩展部分是否跟在IPv6报头后面。
Hop Limit:这个8位代替了IPv4中的TTL字段。它在经过规定数量的路由段后会将包丢弃,从而防止了包被永远转发。包经过一个路由器,Hop Limit字段的值就减少一个。IPv4使用了时值(time value),每经过一个路由段就从TTL字段减去一秒。IPv6用段值(hop value)换掉了时值。
Source Address:该字段指明了始发主机的起始地址,其长度为128位。
Destination Address:该字段指明了传输信号的目标地址,其长度为128位。
网络人员可能会惊讶地发现校验和与分片字段从IPv6的报头当中消失了。丢弃包的报头校验和是为了提高路由效率。虽然包报头仍有可能出现错误,新协议的设计人员却认为这种风险可以接受,尤其是考虑到IP层的上下层:数据链路层和传输层会检查错误。
至于分片,IPv6确实允许对包进行分割,但这过程在报头的扩展部分而不是报头本身进行。此外,IPv6包只能由源节点进行分割、目标节点进行重新组装:不允许路由器介入进来对包进行分割或重新组装。这种分片特性的目的在于降低传输中的处理开销,而且假定如今网络的帧大小足够大,大多数包不需要分片。
如果非要分割IPv6包,源节点就会确定每条链路的最大传输单元(MTU)。一种办法就是,向目标地址发送一个测试包。如果测试包对某条链路来说太大,链路就返还一个因特网控制消息协议(ICMP)消息给源节点,源节点就相应减小包大小。
实现分片及其它选项功能的扩展机制是IPv6重新设计的一个重要特性。它取代了IPv4的Options字段,这就增强了IPv4包的安全功能,并且丰富了源路由选择。
设计师不是把这种增强的功能添加到IPv6报头当中,而是设计了可插在IP报头和较高层协议报头之间的扩展部分。这使没有扩展部分的包处理起来更快,还提供了一系列可扩充选项,如加密、验证、分片、源路由、段和目标选项等。正如前文所述,这些扩展部分计算在包总的有效载荷长度里面。
IPv4和IPv6的集成
虽然人们希望IPv4一下子变成IPv6,但两种协议必须协同工作,就算IPv6完全取代IPv4,那可能也是多年以后的事了。因而,有人提出了过渡方法以确保IPv4包不受制于IPv6设备,反之亦然。这些方法包括双堆栈和隧道技术。
双堆栈方法很简单。新的IPv6设备能够与IPv4向后兼容,而IPv4设备可以用IPv4和IPv6协议栈进行编程,以便合适地处理各自的包。采用双堆栈的主机能收发IPv4和IPv6数据,采用双堆栈的路由器则可以转发任何一种包。
隧道方式通过IPv4网络在两个IPv6域之间传送包。为此,双堆栈节点利用IPv4报头封装IPv6包。然后该封装包通过IPv4网络(隧道)进行路由,直至到达第二个IPv6域。第二个节点去掉IPv4报头后,对包进行相应处理。
隧道的配置分手工和自动方式。手工配置需要网络管理员在隧道端点定义IPv4到IPv6的地址映射。虽然IPv6的128地址通常可以用于隧道任何一端,但隧道入口点的路由器必须手工配置,限定哪些IPv4地址可以通过隧道。
自动配置使用与IPv4兼容的地址:在32位地址的基础上添加0以凑足128位。如果IPv6节点使用兼容地址,隧道入口的路由器只须去掉多余的0,就可以显示真实的IPv4地址。一旦包通过隧道,隧道出口的节点就会去掉IPv4报头,以显示真实的IPv6地址。
保护措施
IP数据报有可能被截取,数据也有可能被读取及篡改。因而,IPSec通过验证和加密以保护IP包。因为IPSec是在IPv4问世后一段时间开发的,支持IPSec的功能就要结合到IPv4包内。相比之下,借助于扩展报头这种设计,IPv6能够支持IPSec。
验证报头扩展部分能够帮助管理员证实:包的确来自报头内的源地址。这应该有助于防止地址欺骗,地址欺骗是指这种技术:攻击者伪造源地址,使包看上去让人以为它来自合法或可信地址。
如果接收者没有相应的密钥还原数据,名为封装安全有效载荷(ESP)服务的加密扩展部分就认为包的有效载荷数据无效。加密为保密和数据验证提供了一种措施。管理员可以选择只对包的传输和数据有效载荷或者整个包(包括报头和扩展部分)进行加密。如果整个包进行了加密,就必须给包添加另外的未加密报头,以便能够到达目的地。
摘自《赛迪网》