IPv6介绍（3）

IPv6:协议概观

 

    IPv6是下一代的Internet协议，由Internet Engineering Steering Group在1994年11月17日核准为一个Proposed Standard。从那时候开始，大量的终端用户组织，标准团体，以及网络卖主就一直在一起对其规格和IPv6早期的完全版本的测试上努力工作。许多的IETF工作组已经定义IP工程是很好的地下通道，包括基本的IPv6协议规格，地址体系结构，Domain Name Servers(DNS)，安全保障，转换机制，以及Internet Control Message Protocol(ICMP)。

    对IPv6和相关组件起作用的标准与卖主已经委托的数量相当可观的发展和测试计划相去甚远。所有主要的路由器卖主都委托给他们的产品附加IPv6。

    诸如Digital Equipment Corporation，Apple，Hewlett-Packard，Novell，以及Sun Microsystems这类终站卖主同样已经开始了递送IPv6给桌面机器和服务器的任务，正象大多数主机制造商一样。许多组织在为流行的UNIXBSD环境而在IPv6上下功夫。网络软件卖主已经声明在网络应用程序和通讯软件产品方面大面积支持IPv6。一个称为6Bone的测试底座已经建立起来了，它现在与North America，Europe，以及Pacific Rim的大量IPv6的末端和中间节点连接起来了。

 

    IPv6的设计目标

 

    IPv6已经设计成能使高表现，可升级的网络互连能够很好地维持到下一个世纪。这个设计过程的很大一部分包括对IPv4不足的修正。只有通过深入的探究IPv6的大范围的改善给企业和提供者的网络带来的利益，才能够全面衡量它的价值。IPv6的某些品质被发现明显增强的功能，例如，较大的地址空间和合理的数据包设计。其它个品质没有这么明显，并且与IPv6给那些构造和管理网络的那种新奇的开端有关。通过清除IPv6提供的石板色，就可能创造出一种全新的，构造良好的，高效的路由层级来取代今天混乱的拼凑的不规则的地址和老式的路径。以下部分将大体介绍IPv6带给企业网络和全球Internet的明显的和不太明显的改善。

 

    地址和路由

 

    IPv6为解决现在在企业内部和企业之间存在的一些尖锐的问题提供一个框架。在全球规模上IPv6将允许Internet骨干网设计者建造一个高度灵活的，并且是开放末端的全球路由层级。在Internet骨干网水平上，主要的企业和Internet Service Provider(ISP)网络走到了一起，很有必要维持一个层级地址系统，就象国家的和国际的电话系统一样。例如，大型中央办公室电话交换机，只需要一个三位数的国家地区号来确定一个长途电话的路径以订正当地的交换。同样地，现在的IPv4系统使用一种(有点偶然)地址层级形式来在附加于Internet骨干网上的网络之间移动通信。

    没有一个地址层级，骨干网路由器将会必须在世界每一个可达的网络上贮存路由表格信息。给予现在世界上IP子网络的号码和Internet的成长情况，这就行不通了。而采用层级系统，骨干网路由器就能利用IP地址的地区号码来确定通信该怎样路由通过骨干网。IPv4使用一项名为Classless InterDomain Routing(CIDR)的技术，这项技术允许灵活地使用长度可变的网络地区号码。由于有了这个对地区号码的灵活使用，CIDR容许在Internet的不同层级水平有相当的"路径集合"，这就意味着骨干网路由器能够只贮存一单张提供许多能达到的较低层次网络的路由表格登录。

    但是，CIDR路由的可获得性不能保证一个高效的和可升级的层级。在大多数情况下，在CIDR之前就已开始的老式的IPv4地址分配不能使概要变得容易。事实上，大部分的IPv4地址空间在现在的访问提供者层级被发展之前就形成了。现在的层级系统缺乏统一性，结合了IPv4地址的定量配给，意味着Internet的渐增的地址和路由在各个水平上都充满了复杂化的因素。这个问题影响了所有业务类型的高水平的服务提供者和个别的终端用户。

 

    因为想在上面，所以在下面

 

    今天在Internet骨干网中存在的许多同样的问题，也存在于企业和特定的业务用户水平上。当一个企业不能总结出它的地址，骨干网能以一种最终不可支持的方式扩张。如果企业不能提交独一无二的地址给Internet，它就必须配备Internet看不见的，秘密的，隔离的地址空间。

    使用带有非独一无二地址的秘密地址空间的用户，在他们与外部世界连接的方面，被网关和网络地址典型地限制。NAT服务意味着允许一个企业拥有它想要的任何内部地址结构，而不需要去考虑内部地址和全球的Internet地址的一体性。NAT服务位于企业和Internet的分界线上，转换秘密的内部地址给一个全局地独一无二地址的较小的集合，它能再传递给骨干网和替代通道(

参见图1)。

 

图1|网络地址翻译器

 

 

NAT可能适合于某些组织，如果与外部世界的完全连接没有被考虑到的话，尤其适合。但是，对于那些需要与Internet有健康的相互沟通的企业来说，NAT服务并不总是让人想要的。在所有离开和进入这个企业的数据包方面NAT技术的取代地址部分的要求是非常多的，并且能在企业和Internet之间引发瓶颈效应。一个NAT可能在一个小的网络中维持地址转换，但是，作为Internet访问的增益，NAT的表现表现必须以能与之匹敌的方式增长。在一个单独的企业内，使多个NAT装置一体化和同步的困难让瓶颈效应更加恶化。尤其不可能的是一个企业能用NAT达到与可靠的高度表现的Internet的连接，今天通常是用附加在一个ISP骨干网上的多个路由器以一种任意网孔的形式来完成的。

    当应用程序嵌入NAT翻译器的在数据包的净载中，在Network Layer上的IP地址中时，它们也就陷入了困境。这是缘于大量的应用程序，包括File Transfer Protocol(FTP)程序，以及Windows95和Windows NT的Windows Internet Name Service(WINS)注册程序。除非一个NAT总是能剖析每一个数据包到应用程序的水平，否则它便无法翻译嵌入的地址，而这却可以导致应用程序不能运行。NAT也能破坏在Network Layer之上工作的Domain Name Servers。对确实受限制的方案来说，NAT服务是一个有价值的工具但在大体上说来，推行NAT作为IPv6带来的广泛的解决方案的代替品，可能对Internet的长期健康发展是有害的。

 

    回到发送器?

 

    另一个IPv4的退化效应与大部分组织对重编号站的将来需要有关。当一个企业改变ISPs，它可能或者必须对所有的地址重新编号以顺应新的ISP分配的地区号码，或者必须完善地址翻译装置。重新编号也是许多经历使网络巩固必需的合并或添加的公司所面临的现实。

    渐增的地址的缺乏和路由层级问题对较大的企业和网络操作系统是一个威胁，但它们也影响小的节点──甚至也影响到借助Internet往办公室打电话的被隔离的在家的工人。如果较小的网络不与地址层级相连，它们就会从Internet骨干网路由表格上完全被清除。在现在的体系中，带有个别拨入客户机的ISPs不能如它们所希望的那样分配IP号码。结果是，许多拨入用户必须使用一个从一个在临时基础上的地址库中分配的地址。另一种情况是，小的拨入节点必须共享一个在多个终端系统之间的单独的IP地址。

    因为点对点的计算时代的到来，一个独一无二的IP地址可让终端用户获得与Internet上其他用户的直接连接，来分享大范围的高度多产的交互式应用程序，包括实时合作创作，桌面对桌面的视频和声音，网络会议，以及远程教育。一般说来，今天的有限而贫乏的被分配的地址环境，早就是较次的了，并且当数不清的各种类型和规格的附加装置被附加到ISP路由器上时，它还将被迅速地降级。

 

    进入IPv6

 

    IPv6的大的，灵活的地址空间定义一个带有许多层次的，灵活的，分层级的全球路由体系成为可能。由于大型骨干网络的地志学允许测量地理范围的提供者网络，故而一个IPv6地址层级能够按地理范围排列(就象美国的电话地区号码系统)。(这将需要地理上不需要的网络地区号码。)利用CIDR型的灵活的地区号码，IPv6地址空间能够以一种新的方式来分配，这种方式促进路径综合并且控制在骨干网路由器上的路径表格扩张。IPv6地址分配意味着大型企业可以避免不确定的秘密地址空间。也意味着ISPs将有足够的地址来分配给那些较小的业务单位和拨入用户，他们需要全球独一无二的地址来充分利用Internet。用电话来暗喻。IPv6的地址分配让网络业界超出了现行的"团体用线时代，这对今天众多的网络互连用户而言，与早年的电话业界很相似，那时住户需要与邻居共同使用电话线。

 

    减少地址管理的工作量

 

    IPv4网络经常利用Dynamic Host Configuration Protocol(DHCP)来减少人工分配地址到终站的工作量。DHPC被称为是一种"威严的"地址品质工具，因为它持有决定哪一个地址分配给新的或已移动的工作站的静态的表格。DHCP的新版本正为IPv6而被发展，以便提供类似的庄严的地址分配功能。

    IPv6还用一种"非静态的"地址自动配置服务来添加了一个新的位元给自动配置功能，这个地址自动配置服务不需要手工配置的服务器;非静态的自动配置功能使工作站在一个本地IPv6路由器的帮助之下，配置他们自己的地址成为可能。典型地，工作站用它从邻近路由器处得来的一个网络地区号码，来组成它的48-位的MAC地址。

    IPv6的健康的自动配置能力将会使许多层次的网络互连用户获益。当一个企业因为一个ISP的改变而必须重新编号时，IPv6的自动配置功能将允许主机被给予新的地区号码，而不需要工作站的手动重新配置或DHCP的地址配置。这个功能对与动态的终端用户群体保持联系有困难的较小规模的企业也是非常有用的。自动配置功能甚至在移动计算方面也是一个了不起的能人，因为它允许移动计算机自动接收有效的IP地址，而不管它们是在哪里与网络相连接。

 

    IPv6的合理的格式

 

    通过大力改善IPv4(参见图2)。InIPv6合理化并提高了IP数据包的基本的标题布局。在IPv6内，一些IPv4的标题被摒弃，另一些被变成可选项。在某种程度上，被重新设计的，单一化的数据包结构将抵销较长的IPv6地址区的带宽费用。16-位IPv6地址比4-位的IPv4地址长4倍，但作为新装备的工具的结果，整个IPv6标本的规模只有其基础的两倍。

 

 

 

图2|IPv6数据包的布局

    除了合理化的数据包格式，IPv6还通过改变IP标题选项被编码的方式以允许更有效地转发，来改善了对标题扩充和选择的支持。可选择的IPv6标题信息被转换成独立的"扩充标题"，在每一个数据包内位于IPv6标题之后，传输层标题之前。大多数的IPv6扩充标题不会被中间节点检查和加工(这是IPv4的问题)。IPv6标题的扩充现在在长度方面可以实现，并且不再有那么严格的长度限制

    。IPv6给网络设计者们一项非常直接的用于在将来引入新的标题选项的技术。

    选项区早就被定义用来运送由源节点创建的外来的路由信息，同时也帮助鉴定，编密码，以及进行碎片控制。在应用程序层次上，标题扩充对限定那些首尾相接的在IP数据包内要求它们自己的标题区的网络应用程序有用。

 

    本身的安全保障

 

    编密码，鉴定，以及设计一体化保证越来越成为企业网络互连的一个标准方面。传统认为，在IPv4舞台上的卖主较少成功地添加健康的安全性能给Network Layer组件。这主要是由于缺乏由专有的安全范围所导致的互用性。

    为了改变这种状况，IPv6提供以它的灵活的标题扩充为检查的本身设计安全保障能力。鉴定对IPv6的标题扩充保证了数据确实来自与源导致所指定的主机。这种鉴定对阻止那些配置主机以用伪造的源地址来产生数据包的入侵者尤为重要。这种类型的源地址伪造可以诓骗服务器，以致访问可获得有价值的数据，密码，或者是网络控制实用程序。根据现有的研究，IP诳骗是统计学上的故意闯入的最普遍形式之一，并且因为IPv4没有一种为服务器的本身具有的方法，来确定正在被接收的数据包是否来自于合法的终站。某些企业通过在特定位置放置防火墙来作为反应，但这些装置会引发许多新的问题，包括表现的瓶颈现象，限制的网络政策，以及限制与Internet的连接。

    IPv6本身的鉴定给业界以一个基于标准的方法，来确定在Network Layer上接收的数据包的真实性。因为在IPv6中鉴定标题被限定在IETF标准之内，所以从不同的卖主处来的网络产品将可以达到可互用的鉴定服务是非常有可能的。IPv6完全版本为了鉴定和一致性检查，需要去支持MD5运算法则，但是，自从这个规格成为运算法则独立以来，其它的技术也同样地被使用。当自动配置被采用的地方，IPv6鉴定尤其有价值。如果没有Network Layer的鉴定，网络入侵者就可能利用DHCP以及类似服务来获得一个网络的独力的登录。IPv6鉴定能保证不法的自动配置不会发生。

 

    保密

 

    随着数据包的诳骗，Internet安全方面上的另外的主要漏洞是通信分析者和网络"嗅探器"的广泛展开，它们能够偷听网络通信。这些平常对网络诊断有帮助的装置可以被某些不法分子误用来访问信用卡和银行帐号，密码，商业机密，以及其它有价值的数据。IPv4不提供本身的数据编密码方案，所以这必须用可交互式不足的方式来完成，通常在较高的层次。

    IPv6鉴定标题不提供数据的机密，所以这用在Network Layer上的其它标准提供首尾相接保密的标题扩充来完成。IPv6保密标题提供一些区域，这些区域可运送保密线索和其它握手信息，使在IP数据包内的净载的可互用的保密成为可能。IPv6的安全标题能被直接应用于主机之间，或者是与特定的，添加了一个带有它自身的数据包签名和保密方法的，额外水平的安全保障的安全网关联系在一起。

    多点传送和任意点传送

    O对网络互连增长最快的业务需求之一是传送视频，声音，新闻，金融情况，或者是其它及时的数据流给功能上相关，但却分散在不同地点的一群终站。Network Layer的多点传送技术可以很好的完成这个任务。典型地，一个服务器发送多媒体信息流或者是需要被订户收到的时间敏感的数据流。一个能够进行多点传送的网络能够自动复制服务器的数据包，并且利用一条有效的路径(见图3)。路由它们给在这个多点传送组群中的每一个订户。路由器利用诸如DVMRP(Distance Vector Multicast Routing Protocol)和MOSPF(Multicast Open Shortest Path First)这类的多点传送协议来动态地聚合一棵数据包分配"树"，这棵"树"包含一群使用这个多点传送服务器的全部成员。

 

图3|起作用的多点传送

 

一个新成员通过发送一个"加入"信息到一个附近的路由器，就可成为多点传送组群的部分。这棵分配树随之被调整包括这条新的路径。多点传送服务意味着服务器能够发送一个单独的数据包，这个数据包通过网络互连，在一个作为需要的基础上，将被复制和转发到这个多点传送组群。这既保存了服务器资源，又保存了网络资源，因而，它优越于单点传送和无线电广播传送的解决方案。多点传送的应用程序因为IPv4而被发展，但是IPv6通过定义一个非常大的多点传送地址空间，和一个范围标志符，这个标志符是用来限制多点传送路由信息在整个企业内被传播的程度的，因而扩充了IP多点传送能力。多点传送是IPv6的一个重要性能，并且，它通过支持多点传送和广播传送这两个功能，而在实际上取代了IPv4的广播传送功能。

 

    任何人为任意点传送?

 

    任意点传送是IPv6规格的另一项革新，在IPv4中找不到。就概念而言，任意点传送是在单点传送和多点传送之间的交叉。在一个任意数量的节点上的两个或多个接口，被设计为一个任意点传送组群。写明地址为这组的任意点传送地址的数据包仅仅被传送给这组中的一个接口，典型地是这组中"最近的"的接口，根据现在的路由协议米制来定。这与多点传送服务相反，多点传送服务传送书本给这个多点传送组群中的所有成员。在一个任意点传送组群中的节点被特别地配置成识别任意点传送地址，这是从单点传送地址空间中获得的。

    任意点传送是一项新的服务，它的应用程序还没有完全被预想到。最初，认为任意点传送地址应当对中间节点产生限制。例如，这将允许一个企业使用一个单一的任意点传送地址，来转发数据包给在它的ISPs上的大量不同的路由器(见图4)。如果一个提供者的所有的路由器都有相同的任意点传送地址，那么从这个企业发出的通信就会有好几个冗余的访问指向Internet。并且如果一个骨干网路由器下去了，最邻近的装置就会自动接收这次通信。

 

图4|在起作用的任意点传送

 

   

当任意点传送技术成熟时，它可能会成为一种重要的方法，允许终站有效地访问众所周知的服务，典范的数据库，Web节点，以及信息服务器。例如，一个拥有几个Lotus Notes服务器的公司能给这些装置上的接口相同的任意点传送地址。从终端用户Notes应用程序来的数据包将被自动转发给在任意点传送组群是动最近的一个接口。本质上说来，这是一个高度灵活的和合算的应用程序装载平衡方法。通过指定一个企业内所有的DNS服务器都有相同的任意点传送地址，任意点传送甚至能被用来在路由过程中提供冗余。

 

服务器质量

    IPv6数据包的格式包含一个新的24-位通信流一致区，这对完善服务质量的网络功能的卖主具有重大意义。Network-layer Quality of Service(QoS)产品仍处在计划阶段，但IPv6奠定了这个基础，所以大范围的QoS功能可能会一种高度开放的和可互用的方式来体现。

    在实际中，IPv6流的标志能被用来鉴定网络的一系列数据包，这些数据包需要在默认值，最大努力转发方面进行特殊处理。基于流的路由能给网络互连一些决定性的，与定向的连接交换技术和电话有效电路相联系的特征。例如，桌面视频或音频流能被给予一个流的标志，以便告诉路由器它们需要一定可控量的首尾相接的潜伏。流的标志也能被用来给通信流一个特定层次的安全保障，，传播延迟(例如，人造卫星传输)，或者是费用。用IPv4Qos完全版本进行的实验工作已经表明，在没有过度地降格的情况下，经过混乱的网络互连地志学来转换视频或音频流是完全可行的。IPv6为这种类型的应用程序的生产而不懈努力。