1. 互联网是怎样产生的?
20世纪60年代初,人们为了提高计算机的性能,把几台计算机连接起来使用,这便是最初的网络。但这种网络实在是太简单了,不仅传输数据速度极慢,而且只 要有一台计算机出现故障,就会导致整个网络无法运行下去。 到了60年代末期,美国国防部下属的高级研究项目管理局完成了计算机网络的改造任务,并把它 称为阿帕网(APPAnet),阿帕网是由许多局域网组成的,它通过电话线相连,基本实现了计算机之间的信息传递采取可变路径、自动避开故障机器而到达目 的地,这样在遭受核打击时仍能保持军事通信畅通。 70年代后期,美国国防部将APPAnet划分为MILnet(军用部分)和NSFnet(民用部 分),科研结构特别是大学开始连入这个初具规模的网络。由于当时不同的计算机厂商在其通信设备中使用专有的协议,要实现不同厂商的设备互连十分困难,因此 美国国防部高级研究计划局DARPA决定制定一个通用的协议,即现在的IPv4。1981年,IPv4协议由RFC791标准化,1983年,随着 Berkeley发行了4.2BSD这个历程碑式的操作系统,TCP/IP成为APPAnet上的标准通讯协议,这也标志着具有真正意义的因特网 (Internet)出现了。 1989年,阿帕网解体,阿帕网的民用部分(NSFnet)对公众开放,并改名为Internet,即因特网,全世界也 由此进入了因特网的时代。
2. 什么是IPv6?
IPv6(Internet Protocol Version 6)是下一代互联网IPng1的核心协议,是对当今互联网核心协议IPv4的升级。IETF于90年代初开始设计IPv6协议的基本框架,以替代最初设计于70年代的IPv4协议。
为什么要设计一个新的协议--IPv6?
当今互联网的蓬勃发展足已证明IPv4协议是一个十分优秀的设计,但随着网络运用的不断深入,其设计缺陷开始暴露:
1). 地址空间范围小:在70年代IPv4设计之时,由于是用于军事网络,着眼于当时计算机的价格、体积和普及状况,32位的地址空间被认为是不可能耗尽的。
2). 网络安全性差:设计IPv4时,连入网络的都是一些军事机构和科研院所,具有相互信任关系,不存在安全问题。
3). 无服务质量的保证,无法满足实时传输业务的需求。
4). 对移动的支持差。
5). 配置复杂:现在用计算机连入Internet的用户大部分都不是专业人士,无法独立完成计算机和网络的安装、设置。
3. 除了IPv6,是否还有其它选择?
有。
1). 重新分配IPv4地址:IPv4地址的分配是不合理的,如我国现在的IP地址数量还不如美国的一所大学,但重新分配需要全球范围内的协调,何况美国为何要放弃其丰富的地址资源。
2). NAT,网络地址转换:NAT和CIDR是目前互联网中用的比较多的技术,可以暂时缓解地址空间不足的压力,但许多网络运用如视频会议、网络游戏、IPsec等受到极大影响,甚至无法开展。
4. 为什么不是IPv5?
IPv5被用来指代一个实验性的实时流传输协议了,定义在RFC 1190中。
5. IPv4对移动支持差表现在那些方面?
1). Mobile computers need to use a forwarding address at each new point of attachment to the Internet. With IPv4, getting this address is not always easy.
2). Good authentication facilities, which are not commonly deployed in IPv4 nodes, are required to inform any agent in the routing infrastructure about the new location of the mobile node.
3). It can be difficult for mobile nodes to determine whether they are attached to the same network or not.
4). Mobile nodes usually cannot inform their communication partners about a change in location.
6. 为什么在向一个link-local地址发包时要指定网络接口?
由于链路本地是指本机网络接口接在同一链路上的计算机,而本机一般都有1个以上的网络接口,如eth0和lo,所以系统需要知道从哪个接口将数据包发送出去。许多程序采用 -I ethX 或在地址后加 %ethX 来指明接口。
7 . 为什么要采取端到端的分段机制,这样做有什么影响?
采取端到端分段的动机是为了减少路由器的开销,以允许路由器下在单位时间内处理更多的数据报。在一个传统的路由器中,若它要对收到的多个或全部数据包进行分段,其CPU的利用率能达到100%。
然而,端到端的分段影响了Inetnet的一个基本假设,即 路由是动态改变的 ,由于改变路由可能改变PMTU,若新路由路径上的MTU小于原路径的MTU,由于中间路由器不能对报文进行分段,则此时发送一条ICMP差错报文返回源 节点,以进行新一次PMTU发现,由此对于路由频繁变化而且MTU相差较大的场合,端到端的分段机制有弊端。
8. IPv4-Compatible IPv6地址和IPv4-Mapped IPv6地址的区别是什么?
这些embedded地址的前 80比特都是0,后32位为对应IPv4地址,其中16位不同。对于IPv4-Compatible地址,这16位为0,用于IPv4/IPv6双栈主 机;IPv4-Mapped地址的中间16位为全1,是用来将不支持IPv6的设备映射到IPv6地址空间里,映射IPv4的IPv6地址仅用于拥有 IPv4和IPv6双协议栈节点的本地范围,节点仅在内部使用映射IPv4的IPv6地址,节点外部永远不会知道这些地址,不应出现在网络线路上。
IPv6包头中为什么没有校验和字段?
去除IP头中的校验和字段将提高路由的选择效率,路径上的所有路由器在转发处理期间不必重新计算校验和。第2层和第4层中的校验和都已足够强壮,从而不必 考虑对第三层校验和的需求。IPv6中,TCP和UDP传输协议都需要计算校验和,而IPv4 中的UDP校验和是可选的。
9. IPsec的安全性体现在那些方面?
* 访问控制限制访问范围,只有那些授权的人可以访问;
* 认证确保发送数据的人是他所声称的那个人;
* 保密性确保通过公共网络传输的任何数据都被加密;
* 完整性确保数据在传输中没有被篡改;
* 重放保护防止会话被记录,而后被恶意用户重放。
IPsec由AH和ESP两个协议构成,IPv4和IPv6都有AH和ESP,本质上是相同的。如RFC 2460所述,IPv6的一个完整实现包括AH和ESP扩展包头的实现,在IPv4中AH和ESP杯认为是在协议设计完后新增加的功能。
IPsec的弊端之一是要求每个通信节点都有密钥,这意味着全球密钥的部署、分发和管理。
10. 目前CIDR、NAT和私有地址的组合不是已经缓解了IPv4地址空间耗尽的问题了吗?
NAT等措施并不是IPv4地址空间短缺的永久解决方案,RFC 2775和RFC 2993中论述了这些机制所存在的问题:
* NAT破坏了IP的端到端的模型,IP最初被设计为只有端点(主机和服务器)才处理连接,作为底层的网络不必处理连接;
* 保持连接状态的需求,NAT隐含要求网络(NAT转换器)保持连接的状态,NAT必须记住转换的地址和端口:1)NAT保持连接状态的要求使得当 NAT设备出现故障或NAT附近的链路出现故障时,难以快速重建路由;使用链路和路由冗余的网络会遇到问题;2)组织机构部署高速链路(吉比特以太网、 10G以太网)提高其骨干网络性能时,因为每条链路的状态必须保存在NAT中,即地址转换需要额外的处理,NAT将很大程度上影响网络性能;3)对于出于 安全原因需要记录其最终用户所有连接的提供商和组织来说,需要记录NAT的转换表。
* 阻止了端到端的网络安全;
* NAT的应用不友好性,不仅仅是端口和地址在通过NAT设备时需要映射,如FTP等应用协议中内嵌IP地址端口等信息的协议需要特殊处理,即NAT必须内 置关于所有协议的特点以进行特别处理。这样每当一个NAT不友好的应用被开发出来时,NAT就需要进行升级;
* 地址空间冲突,当使用相同私有地址空间的不同网络或组织要合并或互联是,不同的主机或服务器可能拥有相同的地址,路由选择不能到达另外的网络,需要进行重新编制或二次NAT;
* 内部IP地址和可到达IP地址的比例,当内部有大量的主机和服务器,在外部有很少的可达地址时,NAT是有效率的。即内部IP地址和可达IP地址的比例必须很大,NAT才有效率;
* NAT背后的许多服务器必须从Internet可达时,相同的协议不能使用同一个NAT外部地址并复用在相同的端口上,如位于NAT后的两个Web服务器若都使用TCP 80端口,则不能使用同一个外部IP地址。
11. NDP比ARP的效率高在哪?
节选自《Cisco IPv6网络实现技术》"Cisco Self-Study: Implementing Cisco IPv6 Networks",2004年1月第一版,人民邮电出版社。
* 在IPv6中,只有关心这个机制的邻居节点才会在它们的协议栈中处理邻居请求和邻居通告消息。在IPv4中ARP广播消息用来发现一个节点的链路层地址,但是ARP广播迫使本地链路上的所有节点都把ARP广播消息发送给IPv4协议栈;
* 在IPv6中,节点在相同的请求中互相交换链路层地址,在IPv4种需要两个ARP广播消息才能得到相同的结果;
* 验证邻居缓存中的IPv6地址和链路层地址的可达性,在IPv4的ARP中,表项超时过期后被删除。
12. NAT-PT的局限性
* 单点失败,NAT-PT是有状态的设备,若NAT-PT出错,则IPv6单协议网络域和IPv4单协议网络域的会话都将丢失;
* 阻止了端到端的安全,NAT-PT转换过程中修改了数据包头,使IP包头的完整性检查失败;
* 非NAT友好,NAT-PT没能解决动态端口分配应用和内嵌IP地址的应用,当出现新的非NAT友好应用时必须升级NAT;
* PMTUD失败,不能进行路径最大传输单元发现;
* 多播,不支持多播;
* DNS,不支持RFC 2535中定义的DNSSEC,还未解决IPv4和IPv6间的区域传输。
13. IPv6的新特性
* 大量的IP地址可满足未来几十年的需求;
* 多个级别的层次结构上提供英特网上有效的、可升级的路由选择;
* 带有路由聚合的多点接入主机机制;
* 自动配置机制运行节点自动配置其IP地址;
* 当用户变化IPv6 ISP时,重编址机制可以提供透明性的变换;
* ARP广播被ICMP多播代替;
* IPv6头部比IPv4头部更有效;
* 更好的字段;
* 用于区分流量的流标签字段;
* 新的扩展头取代了IPv4中的选项字段;
* 移动和安全性内置在IPv6中;
* 过渡机制实现从IPv4到IPv6的平稳过渡。
20世纪60年代初,人们为了提高计算机的性能,把几台计算机连接起来使用,这便是最初的网络。但这种网络实在是太简单了,不仅传输数据速度极慢,而且只 要有一台计算机出现故障,就会导致整个网络无法运行下去。 到了60年代末期,美国国防部下属的高级研究项目管理局完成了计算机网络的改造任务,并把它 称为阿帕网(APPAnet),阿帕网是由许多局域网组成的,它通过电话线相连,基本实现了计算机之间的信息传递采取可变路径、自动避开故障机器而到达目 的地,这样在遭受核打击时仍能保持军事通信畅通。 70年代后期,美国国防部将APPAnet划分为MILnet(军用部分)和NSFnet(民用部 分),科研结构特别是大学开始连入这个初具规模的网络。由于当时不同的计算机厂商在其通信设备中使用专有的协议,要实现不同厂商的设备互连十分困难,因此 美国国防部高级研究计划局DARPA决定制定一个通用的协议,即现在的IPv4。1981年,IPv4协议由RFC791标准化,1983年,随着 Berkeley发行了4.2BSD这个历程碑式的操作系统,TCP/IP成为APPAnet上的标准通讯协议,这也标志着具有真正意义的因特网 (Internet)出现了。 1989年,阿帕网解体,阿帕网的民用部分(NSFnet)对公众开放,并改名为Internet,即因特网,全世界也 由此进入了因特网的时代。
2. 什么是IPv6?
IPv6(Internet Protocol Version 6)是下一代互联网IPng1的核心协议,是对当今互联网核心协议IPv4的升级。IETF于90年代初开始设计IPv6协议的基本框架,以替代最初设计于70年代的IPv4协议。
为什么要设计一个新的协议--IPv6?
当今互联网的蓬勃发展足已证明IPv4协议是一个十分优秀的设计,但随着网络运用的不断深入,其设计缺陷开始暴露:
1). 地址空间范围小:在70年代IPv4设计之时,由于是用于军事网络,着眼于当时计算机的价格、体积和普及状况,32位的地址空间被认为是不可能耗尽的。
2). 网络安全性差:设计IPv4时,连入网络的都是一些军事机构和科研院所,具有相互信任关系,不存在安全问题。
3). 无服务质量的保证,无法满足实时传输业务的需求。
4). 对移动的支持差。
5). 配置复杂:现在用计算机连入Internet的用户大部分都不是专业人士,无法独立完成计算机和网络的安装、设置。
3. 除了IPv6,是否还有其它选择?
有。
1). 重新分配IPv4地址:IPv4地址的分配是不合理的,如我国现在的IP地址数量还不如美国的一所大学,但重新分配需要全球范围内的协调,何况美国为何要放弃其丰富的地址资源。
2). NAT,网络地址转换:NAT和CIDR是目前互联网中用的比较多的技术,可以暂时缓解地址空间不足的压力,但许多网络运用如视频会议、网络游戏、IPsec等受到极大影响,甚至无法开展。
4. 为什么不是IPv5?
IPv5被用来指代一个实验性的实时流传输协议了,定义在RFC 1190中。
5. IPv4对移动支持差表现在那些方面?
1). Mobile computers need to use a forwarding address at each new point of attachment to the Internet. With IPv4, getting this address is not always easy.
2). Good authentication facilities, which are not commonly deployed in IPv4 nodes, are required to inform any agent in the routing infrastructure about the new location of the mobile node.
3). It can be difficult for mobile nodes to determine whether they are attached to the same network or not.
4). Mobile nodes usually cannot inform their communication partners about a change in location.
6. 为什么在向一个link-local地址发包时要指定网络接口?
由于链路本地是指本机网络接口接在同一链路上的计算机,而本机一般都有1个以上的网络接口,如eth0和lo,所以系统需要知道从哪个接口将数据包发送出去。许多程序采用 -I ethX 或在地址后加 %ethX 来指明接口。
7 . 为什么要采取端到端的分段机制,这样做有什么影响?
采取端到端分段的动机是为了减少路由器的开销,以允许路由器下在单位时间内处理更多的数据报。在一个传统的路由器中,若它要对收到的多个或全部数据包进行分段,其CPU的利用率能达到100%。
然而,端到端的分段影响了Inetnet的一个基本假设,即 路由是动态改变的 ,由于改变路由可能改变PMTU,若新路由路径上的MTU小于原路径的MTU,由于中间路由器不能对报文进行分段,则此时发送一条ICMP差错报文返回源 节点,以进行新一次PMTU发现,由此对于路由频繁变化而且MTU相差较大的场合,端到端的分段机制有弊端。
8. IPv4-Compatible IPv6地址和IPv4-Mapped IPv6地址的区别是什么?
这些embedded地址的前 80比特都是0,后32位为对应IPv4地址,其中16位不同。对于IPv4-Compatible地址,这16位为0,用于IPv4/IPv6双栈主 机;IPv4-Mapped地址的中间16位为全1,是用来将不支持IPv6的设备映射到IPv6地址空间里,映射IPv4的IPv6地址仅用于拥有 IPv4和IPv6双协议栈节点的本地范围,节点仅在内部使用映射IPv4的IPv6地址,节点外部永远不会知道这些地址,不应出现在网络线路上。
IPv6包头中为什么没有校验和字段?
去除IP头中的校验和字段将提高路由的选择效率,路径上的所有路由器在转发处理期间不必重新计算校验和。第2层和第4层中的校验和都已足够强壮,从而不必 考虑对第三层校验和的需求。IPv6中,TCP和UDP传输协议都需要计算校验和,而IPv4 中的UDP校验和是可选的。
9. IPsec的安全性体现在那些方面?
* 访问控制限制访问范围,只有那些授权的人可以访问;
* 认证确保发送数据的人是他所声称的那个人;
* 保密性确保通过公共网络传输的任何数据都被加密;
* 完整性确保数据在传输中没有被篡改;
* 重放保护防止会话被记录,而后被恶意用户重放。
IPsec由AH和ESP两个协议构成,IPv4和IPv6都有AH和ESP,本质上是相同的。如RFC 2460所述,IPv6的一个完整实现包括AH和ESP扩展包头的实现,在IPv4中AH和ESP杯认为是在协议设计完后新增加的功能。
IPsec的弊端之一是要求每个通信节点都有密钥,这意味着全球密钥的部署、分发和管理。
10. 目前CIDR、NAT和私有地址的组合不是已经缓解了IPv4地址空间耗尽的问题了吗?
NAT等措施并不是IPv4地址空间短缺的永久解决方案,RFC 2775和RFC 2993中论述了这些机制所存在的问题:
* NAT破坏了IP的端到端的模型,IP最初被设计为只有端点(主机和服务器)才处理连接,作为底层的网络不必处理连接;
* 保持连接状态的需求,NAT隐含要求网络(NAT转换器)保持连接的状态,NAT必须记住转换的地址和端口:1)NAT保持连接状态的要求使得当 NAT设备出现故障或NAT附近的链路出现故障时,难以快速重建路由;使用链路和路由冗余的网络会遇到问题;2)组织机构部署高速链路(吉比特以太网、 10G以太网)提高其骨干网络性能时,因为每条链路的状态必须保存在NAT中,即地址转换需要额外的处理,NAT将很大程度上影响网络性能;3)对于出于 安全原因需要记录其最终用户所有连接的提供商和组织来说,需要记录NAT的转换表。
* 阻止了端到端的网络安全;
* NAT的应用不友好性,不仅仅是端口和地址在通过NAT设备时需要映射,如FTP等应用协议中内嵌IP地址端口等信息的协议需要特殊处理,即NAT必须内 置关于所有协议的特点以进行特别处理。这样每当一个NAT不友好的应用被开发出来时,NAT就需要进行升级;
* 地址空间冲突,当使用相同私有地址空间的不同网络或组织要合并或互联是,不同的主机或服务器可能拥有相同的地址,路由选择不能到达另外的网络,需要进行重新编制或二次NAT;
* 内部IP地址和可到达IP地址的比例,当内部有大量的主机和服务器,在外部有很少的可达地址时,NAT是有效率的。即内部IP地址和可达IP地址的比例必须很大,NAT才有效率;
* NAT背后的许多服务器必须从Internet可达时,相同的协议不能使用同一个NAT外部地址并复用在相同的端口上,如位于NAT后的两个Web服务器若都使用TCP 80端口,则不能使用同一个外部IP地址。
11. NDP比ARP的效率高在哪?
节选自《Cisco IPv6网络实现技术》"Cisco Self-Study: Implementing Cisco IPv6 Networks",2004年1月第一版,人民邮电出版社。
* 在IPv6中,只有关心这个机制的邻居节点才会在它们的协议栈中处理邻居请求和邻居通告消息。在IPv4中ARP广播消息用来发现一个节点的链路层地址,但是ARP广播迫使本地链路上的所有节点都把ARP广播消息发送给IPv4协议栈;
* 在IPv6中,节点在相同的请求中互相交换链路层地址,在IPv4种需要两个ARP广播消息才能得到相同的结果;
* 验证邻居缓存中的IPv6地址和链路层地址的可达性,在IPv4的ARP中,表项超时过期后被删除。
12. NAT-PT的局限性
* 单点失败,NAT-PT是有状态的设备,若NAT-PT出错,则IPv6单协议网络域和IPv4单协议网络域的会话都将丢失;
* 阻止了端到端的安全,NAT-PT转换过程中修改了数据包头,使IP包头的完整性检查失败;
* 非NAT友好,NAT-PT没能解决动态端口分配应用和内嵌IP地址的应用,当出现新的非NAT友好应用时必须升级NAT;
* PMTUD失败,不能进行路径最大传输单元发现;
* 多播,不支持多播;
* DNS,不支持RFC 2535中定义的DNSSEC,还未解决IPv4和IPv6间的区域传输。
13. IPv6的新特性
* 大量的IP地址可满足未来几十年的需求;
* 多个级别的层次结构上提供英特网上有效的、可升级的路由选择;
* 带有路由聚合的多点接入主机机制;
* 自动配置机制运行节点自动配置其IP地址;
* 当用户变化IPv6 ISP时,重编址机制可以提供透明性的变换;
* ARP广播被ICMP多播代替;
* IPv6头部比IPv4头部更有效;
* 更好的字段;
* 用于区分流量的流标签字段;
* 新的扩展头取代了IPv4中的选项字段;
* 移动和安全性内置在IPv6中;
* 过渡机制实现从IPv4到IPv6的平稳过渡。
扫一扫
2672
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
