隨著互聯網的發展與普及,大量增加的上網設備使得互聯網的規模不斷擴大,基于32位地址的IPv4協議逐漸顯得力不從心。盡管出現了諸如網絡地址轉換(NAT)、無類域間路由(CIDR)以及混合地址等過度技術,在一定程度上緩解了IPv4地址短缺的壓力,但是同時也帶來了許多負面作用(如破壞了網絡層的端到端架構等)。
欲具體了解IPv4協議介紹的請進入。
相對于IPv4,第六版本的互聯網協議IPv6的顯著特點有:地址充足;報頭簡單;易于擴展;層次區劃;實現安全;組播完善;QoS有保證;即插即用;移動便捷;等等。這主要得益于IPv6分組格式中分組頭的優化,IPv6分組頭與IPv4報文頭的不同,簡單比較于下表0-1中;下表0-2進一步給出了它們的固定報頭部分的不同比較。鑒于此,下述從多個方面對IPv6與IPv4進行簡單的性能比較。
表 0-1:IPv6分組頭與IPv4報文頭相比其主要變化特征
表 0-2:IPv4與IPv6報文頭/分組頭固定部分的字段不同對比
欲具體了解IPv6協議介紹的請進入。
一、服務質量(QoS)管理
1、概述
和IPv4相比,IPv6的QoS還沒有突破IPv4的局限性,但是,IPv6力圖在體系架構上實現真正的QoS,并且在多個方面做出了重大的改進,這就是在IPv6報頭中增加了兩個新的流標簽字段:Traffic Class字段和Flow Label字段。
數據等級(Traffic Class)字段緊跟版本字段后面,共8比特,指明為數據報提供的某種“區分服務”。與IPv4的服務類型(ToS)字段功能相同,位置比IPv4的ToS字段靠前,且是一開始就在IPv6中支持。
流標記(Flow Label)字段跟在Traffic Class字段后面,共20比特,用于標識屬于同一業務流的包。流標簽和源節點地址唯一標識了一個業務流。同一個流中的所有包具有相同的流標簽。可以對有同樣服務質量要求的流作快速、相同的處理。
2、分析
IPv6在分組頭中保留了類似IPv4的ToS域,稱為傳輸級別域,可以繼續為IP提供差分QoS服務,同時IPv6分組頭中增加了20比特流標簽域,流標簽可以更好地支持綜合QoS服務,可以直接標識流,并配合資源預留協議(RSVP)實現資源預留,這是IPv6設計中對QoS能力增強的考慮。
IPv4的流分類器是根據信源地址、信宿地址、信源端口號、信宿端口號和傳輸協議類型的5元組確定,由于分組的拆分或加密,有些域往往難以獲得高層協議的訪問,也可能會阻礙新協議的引入。在擁有流標簽的IPv6中,一個流可以由源IPv6地址和非空的流標簽唯一地標識,源可以通過逐跳擴展頭或控制協議RSVP等向轉發路徑的中間節點建立流狀態。IPv6節點接收到一個有標記的IPv6分組時,可以用流標記、信源地址將分組分類到某個流。根據在一系列IPv6節點上建立的流狀態可以對分組提供一些流特殊處理。IPv6和IPv4的不同可由下圖1-2簡單說明。除此之外,其他的QoS機制兩者基本相同,不同點主要是多域(MF)分類和差分服務編碼點(DSCP)標注,具體描述詳見下表1-2。
圖 1-2:IPv6和IPv4的流映射區別
表 1-2:IPv6和IPv4的MF、DSCP的標注不同
二、集成的安全特性
1、IPSec的集成
IPv6將網絡安全協議(IPSec)集成到協議內部,從此IPSec將不單獨存在,而是作為IPv6協議固有的一部分貫穿于IPv6的各個部分,具體詳見下表2-1-1的表述。IPv6網絡的安全性主要體現在3個層面,即協議安全、網絡安全和安全加密的硬件實現,具體詳見下表2-1-2的表述。
表 2-1-1:IPv6對IPSec的集成
表 2-1-2:IPv6網絡的安全性體現的3個層面
2、網絡各層層間的安全
我們知道,互聯網的參考模型由下至上可以包括網絡接口、網絡層、傳輸層及應用層。通常網絡接口層的威脅來自于設備的不可靠性,諸如板卡的損壞、物理接口的電器特性和電磁兼容環境的劣化等等,對這樣的安全隱患可以通過配置冗余設備、冗余線路、安全供電、保障電磁兼容環境以及加強安全管理來防護。
對于網絡接口層以上層面的安全隱患除了來自于針對各種協議的安全隱患以外,還有非法占用網絡資源或者耗盡網絡資源等隱患,諸如雙802.1Q封裝攻擊、廣播包攻擊、媒體訪問控制(MAC)洪泛、生成樹攻擊等二層攻擊以及虛假的互聯網控制消息協議(ICMP)報文、ICMP洪泛、源地址欺騙、路由振蕩等來自針對三層協議的攻擊。在應用層還有針對HTTP、FTP/TFTP、TELNET以及通過電子郵件傳播病毒的攻擊手段。對于這些攻擊,可以采用如下表2-2所描述的防護手段。
表 2-2:互聯網各層層間的安全防護
3、小結
總之,完善的IPv6的IPSec機制提供了網絡數據和信息內容的有效性、一致性以及完整性的保證,并且為網絡安全提供了諸多的解決辦法。具體詳見下表2-3所描述。
表 2-3:IPv6的IPSec機制帶來的好處
欲詳細了解IPSec機制的請進入。
三、地址管理
IPv6采用128比特地址結構解決IPv4地址空間不足的問題,下表3列出了IPv4與IPv6之間的對應關系(以IPv4中的地址和尋址方式與IPv6地址來等價)的對比。
表 3:IPv4與IPv6之間的對應關系對比
因此,對于IPv6,一個較大的地址空間可以在地址空間內使用多層等級結構,嚴格的層次性編址有助于實現路由聚合,不僅可以使路由條目大大減少,利于提高網絡性能,而且提高了路由選擇的效率和可擴展性。具有嚴格路由聚合的特性使IPv6多點接入站點能夠從數千個上游提供商那里配置地址,使多點接入成為可能,IPv6支持地址的自動配置。由于具有比較大的地址空間,IPv6能夠在保持全球唯一性的同時自動配置設備上的地址。自動地址配置機制通過將自身的鏈路層地址(如以太網MAC地址)以EUI-64的格式附加在子網上公告的全球唯一單播IPv6前綴后面,保證自動配置的128比特地址是全球唯一的。IPv6允許網絡中的節點自動配置它們自己的IPv6地址的特性,為將來移動設備的接入和熱插拔的應用提供良好的保障。
IPv6的重新編址機制使在IPv6提供商之間的轉換對最終用戶是透明的。IPv6可以為公告的子網前綴賦予一個生存期的值,在當前的前綴到期后允許節點使用最新的前綴,這樣主機和服務器可以自動選用新的全球單播IPv6前綴,使用新的地址。
IPv6使用多播取代了IPv4中的廣播,當在本地鏈路上使用多播組的多播地址發送數據包的時候,數據包只被這個組的成員處理。通過對不同的功能使用不同的多播組,有效地利用了網絡,防止了IPv4中的廣播風暴。
四、移動性支持
2000年5月, 3GPP在其R5版本的3G標準中已經明確要求將IPv6作為下一代移動通信系統中的標準IP協議。下一代網絡基于IPv6構建IP核心骨干網,數十億的3G蜂窩設備具有IPv6協議棧,IPv6的移動性是必須的。相比移動IPv4是IPv4協議的附加物來說,在IPv6中移動性是協議內置的,任何支持IPv6的節點在需要時都能夠使用移動性支持。移動IPv6的主要目標就是使得移動節點總是通過家鄉地址尋址,不管是連接在家鄉鏈路還是移動到外地網絡。移動IPv6對于IP層以上的協議層是完全透明的,這使得移動節點在不同子網間移動時,運行在該節點上的應用程序不需要修改或配置就仍然可用。
相比移動IPv4來說,移動IPv6沒有外地代理,因為每個移動IPv6節點都能處理移動性,但是在IPv6中家鄉代理仍是必須的。移動IPv6主要使用兩個IPv6擴展分組頭:目的地址擴展頭(注冊時使用)和路由選擇擴展頭(用于在移動節點和通信節點之間傳輸數據報)。
移動IPv6技術充分利用了IPv6協議對移動性的內在支持。移動節點根據路由器的廣播報文宣稱代理指示,向任意一個本地代理注冊。本地代理中保存有移動節點的家鄉地址和轉交地址的對照表,家鄉代理可以根據對照表把報文轉發給移動節點。每當移動節點收到其他主機發來的報文后,在響應報文中以轉交地址作為源地址,并要附帶上移動節點的家鄉地址,當主機的后續報文以移動節點的轉交地址為目的地址時,需要附帶源路由選擇擴展分組頭,擴展頭內容為移動節點的家鄉地址。使用這種機制的目的是保證移動節點在移動過程中也不會丟失報文。當移動節點在小區間切換時,移動節點重新登記成功后,基站應該向原來的基站發重定向包文,使切換過程中路由有偏差的報文重新找到移動節點。
五、VPN業務實現
隨著IPv6流量的迅速增長,下一代網絡的骨干網將以集性能與可擴展性于一身的MPLS技術為主導,MPLS基于標記交換數據包,無需再在每個網絡節點進行復雜的路由查找,帶給硬件的負擔更小。MPLS一般使用標記分配協議(LDP)或資源預留協議-流量工程(RSVP-TE)實現標簽的分發。在IP骨干網上建立隧道,通過標簽轉發使數據快速地通過隧道,可以提供很好的服務質量保證和流量工程。IPv6與IPv4二層VPN/三層VPN的實現對比詳見下表5。
表 5:IPv6與IPv4二層VPN/三層VPN的實現對比
欲詳細了解多協議標簽交換(MPLS)機制的請進入。
六、結語
總之,由于互聯網網絡的迅速發展,IPv4的設計不足也日益明顯,且為互聯網的發展帶來諸多瓶頸,IPv6相比IPv4提供了許多新特性和改善措施,具體詳見下表6-1的描述。另外,在ITU-T Y.2051《General overview of IPv6-based NGN》中給出了IPv6與IPv4的關鍵特性比較,具體詳見下表6-2,包括尋址、QoS、安全性和移動性等。
表 6-1:IPv6與 IPv4相比帶來的新特性和新措施
表 6-2:IPv6與IPv4的關鍵特性比較(Y.2051)
欲進一步了解IPv6 + 技術的請進入。
