IPV6技术

配置广域网接入：

PPP协议：点对点协议是作为点对点链路上进行IP特性的封装协议而被开发出来的。

ppp定义了IP地址的分配和管理、异步和面向位的同步封装、网络协议复用、链路配置、链路质量测试和错误检测等标准，以及网络层地址协议和数据压缩协议等协议标准。

ppp通过可扩展的链路协议和网络控制协议NCP实现上述功能。

多协议支持：IP、IPX、DECnet等。

安全认证机制：PAP口令认证协议、CHAP握手挑战协议。（用来认证是否允许对端设备进行拨号连接）

多链路PPP：允许在路由器和路由器之间或路由器和拨号的PC之间建立多条链路，通信量在这些链路之间进行负载均衡，从而提高可用带宽和链路可靠性。

按需拨号路由DCC：利用拨号链路实现网络间互连的一种常用技术，其主要功能是将数据包从被拨号的接口进行路由。

帧中继：高性能的WAN协议，运行在物理层和数据链路层，一种数据包交换技术，是X.25简化版，省略了X.25的一些强健功能。（窗口技术、数据重发技术）

依靠高层协议提供纠错功能。

比X.25具有跟高的性能和更有效的传输速率。

设备：

DTE：数据终端设备。接入网络。

DCE：数据通信设备。

提供面向连接的数据链路层通信，在每对设备之间存在一条定义好的通信链路，且该链路有一个链路标识码DLCI。

这种服务通过帧中继虚电路实现，每个帧中继虚电路都以DLCI标识自己。

DLCI的值一般由帧中继服务提供商知道。

帧中继既支持PVC，也支持SVC。

ISDN：综合业务数字网是电话网络数字化的结果。由数字电话和数据传输服务组成。可以传输声音、数据、视频等多种信息。

组件：终端、终端适配器、网络终端设备、线路终端设备、交换终端设备。

两种类型访问接口：

1.基本速率接口BRI：提供两个B信道和一个D信道。

B信道为承载信道，64kbps，用于传输用户数据。

D信道，16kbps，用于传输控制信息。

2.主要速率接口PRI：提供30个B信道和一个D信道。30B+D

B和D信道的速率均为64kbps。

IPSec：实现的VPN主要多种方式。

IKE动态协商方式是由ACL指定要保护的数据流范围，配置安全策略并将安全策略绑定在实际的接口上完成IPSec的设置。ACL规则。

在采用ACL方式建立IPSec隧道之前，实现源接口与目的接口之间路由可达。

一个IPSec安全策略中只能引用一个ACL。

两个router之间建立点到点的IPSec隧道。

IPSec策略是创建SA的前提。它规定了对哪些数据流采取哪种保护方法。

配置IPSec时，通过引用ACL和IPSec安全提议，将ACL定义的数据流 和IPSec安全提议定义的保护方法联系起来，并可以指定SA的协商方式、IPSec隧道的起点和终点，所需要的密钥、SA的生存周期等。

一个IPSec安全策略由路由名称和序号共同唯一确定，相同名称的IPSec安全策略为一个IPSec安全策略组。

接口上应用IPSec安全策略组。

IPSec安全策略组是具有相同名称，不同序号的IPSec安全策略的集合。

IPSec安全策略应用到的接口一定是建立隧道的接口，且该接口一定是到对端私网路由的出接口，如果将IPSec策略应用到其他接口会导致VPN业务不通。

一个接口只能应用一个IPSec安全策略组，一个IPSec安全策略组也只能应用到一个接口上。

当IPSec安全策略组应用到接口后，不能修改安全策略组引用的ACL，引用的IKE。

使用命令ike-peer    peer-name，在IPSec安全策略中引用IPSec安全提议，默认情况下，IPSec安全策略没有引用IKE。

使用命令security acl  acl-number【dynamic-source】在IPSec安全策略中引用ACL，默认情况下，IPSec安全策略没有引用ACL。

使用命令proposal  proposal-name，在IPSec安全策略中引用IPSec去、安全提议，默认情况下，IPSec安全策略没有引用IPSec安全提议。

IPV6配置与部署：

1.双栈策略：网络节点中同时有IPV4和IPV6两个协议栈，同时可以接收、处理、收发IPV4和IPV6的分组。

优点：概念清晰、易于理解、网络规划相对简单，在IPV6逻辑网络中容易发挥出IPV6的优点（安全性、路由约束、流的支持等）。

缺点：对网元设备要求较高，对IPV4和IPV6都要支持，要维护大量的协议和数据，网络升级改造涉及网络中的所有网元设备，投资大、建设周期长。

2.隧道策略：用一种协议来传输另一种协议的数据的技术。

应用较多的：构造隧道、6 to 4隧道、MPLS隧道。

目前的隧道技术实现了在IPV4数据包中封装IPV6数据包。

在隧道的入口处会出现负载协议数据包的拆分，在隧道的出口处会出现负载协议数据包的重组，增加了隧道出、入口的实现复杂度，不利于大规模应用。

IPV6-over-IPV4  GRE隧道：将IPV6报文封装在IPV4报文中，让IPV6数据包穿过IPV4网络进行通信。

不能实现IPV4主机和IPV6主机直接通信。

使用标准的GRE隧道技术，可以在IPV4的GRE隧道上承载IPV6数据报文，GRE隧道是两点之间的链路，每条链路都是单独的隧道。

GRE隧道把IPV6看作是乘客协议，将GRE作为承载协议。

所配置的IPV6地址是在tunnel口配置的，所配置的IPV4地址是tunnel的源地址和目的地址（隧道的起点和终点）

ISATAP：站内自动隧道寻址协议，是点到点的自动隧道技术。采用了双栈和隧道技术实现从IPV4向IPV6的过渡。

当双栈主机使用ISATAP隧道时，IPV6报文的目的地址和隧道接口的IPV6地址都要采用ISATAP地址。

ISATAP地址格式为：Prefix（64bit）：0：5EFE：IPV4ADDR。

其中：0：5EFE是IANA规定的格式，IPV4ADDR是单播IPV4地址，它嵌入到IPV6地址的低32位，ISATAP前64位是通过向ISATAP路由器请求得到的。

如果需要和其他网络通信的ISATAP客户端或者IPV6网络通信，必须通过ISATAP路由器拿到全球单播地址前缀（2001：、2002：、3ffe：开头），通过路由器与其他IPV6主机和网络通信。

ISATAP隧道可以用于IPV4网络中的IPV6路由器与IPV6路由器、主机与路由器的连接。

不要求隧道节点具有全球唯一的IPV4地址，可以用于内部私有网络中的各双栈主机进行IPV6通信。

所以ISATAP隧道适用于IPV4网络中IPV6主机之间的通信或IPV4网络中IPV6主机接入到IPV6网络的通信。

访问控制列表ACL：

根据源地址、目的地址、源端口或目标端口等协议信息对数据包进行过滤，从而达到访问控制的目的。

编号、命名。permit、deny。

分类：基本ACL、高级ACL、二层ACL、用户ACL。

标准ACL只能根据分组中的IP 源地址进行过滤。

扩展ACL可以根据源地址或目标地址、不同的上层协议和协议信息进行过滤。

ACL过滤功能的差别：P577

ACL配置模式：

1.顺序规则config模式：顺序执行。

2.自动排序规则auto模式：系统使用“深度优先”原则，将规则按照精确定=度从高到低进行排序，并按照精确度从高到低的顺序进行报文匹配。

规则中定义的匹配项限制越严格，规则的精确度就越高，即优先级越高，系统越先匹配。

ACL默认的规则匹配顺序位=为config，默认步长是5。

通配符掩码：子网掩码按位取反。