随着互联网的发展与普及,大量增加的上网设备使得互联网的规模不断扩大,基于32位地址的IPv4协议逐渐显得力不从心。尽管出现了诸如网络地址转换(NAT)、无类域间路由(CIDR)以及混合地址等过度技术,在一定程度上缓解了IPv4地址短缺的压力,但是同时也带来了许多负面作用(如破坏了网络层的端到端架构等)。
欲具体了解IPv4协议介绍的请进入。
相对于IPv4,第六版本的互联网协议IPv6的显著特点有:地址充足;报头简单;易于扩展;层次区划;实现安全;组播完善;QoS有保证;即插即用;移动便捷;等等。这主要得益于IPv6分组格式中分组头的优化,IPv6分组头与IPv4报文头的不同,简单比较于下表0-1中;下表0-2进一步给出了它们的固定报头部分的不同比较。鉴于此,下述从多个方面对IPv6与IPv4进行简单的性能比较。
表 0-1:IPv6分组头与IPv4报文头相比其主要变化特征
表 0-2:IPv4与IPv6报文头/分组头固定部分的字段不同对比
欲具体了解IPv6协议介绍的请进入。
一、服务质量(QoS)管理
1、概述
和IPv4相比,IPv6的QoS还没有突破IPv4的局限性,但是,IPv6力图在体系架构上实现真正的QoS,并且在多个方面做出了重大的改进,这就是在IPv6报头中增加了两个新的流标签字段:Traffic Class字段和Flow Label字段。
数据等级(Traffic Class)字段紧跟版本字段后面,共8比特,指明为数据报提供的某种“区分服务”。与IPv4的服务类型(ToS)字段功能相同,位置比IPv4的ToS字段靠前,且是一开始就在IPv6中支持。
流标记(Flow Label)字段跟在Traffic Class字段后面,共20比特,用于标识属于同一业务流的包。流标签和源节点地址唯一标识了一个业务流。同一个流中的所有包具有相同的流标签。可以对有同样服务质量要求的流作快速、相同的处理。
2、分析
IPv6在分组头中保留了类似IPv4的ToS域,称为传输级别域,可以继续为IP提供差分QoS服务,同时IPv6分组头中增加了20比特流标签域,流标签可以更好地支持综合QoS服务,可以直接标识流,并配合资源预留协议(RSVP)实现资源预留,这是IPv6设计中对QoS能力增强的考虑。
IPv4的流分类器是根据信源地址、信宿地址、信源端口号、信宿端口号和传输协议类型的5元组确定,由于分组的拆分或加密,有些域往往难以获得高层协议的访问,也可能会阻碍新协议的引入。在拥有流标签的IPv6中,一个流可以由源IPv6地址和非空的流标签唯一地标识,源可以通过逐跳扩展头或控制协议RSVP等向转发路径的中间节点建立流状态。IPv6节点接收到一个有标记的IPv6分组时,可以用流标记、信源地址将分组分类到某个流。根据在一系列IPv6节点上建立的流状态可以对分组提供一些流特殊处理。IPv6和IPv4的不同可由下图1-2简单说明。除此之外,其他的QoS机制两者基本相同,不同点主要是多域(MF)分类和差分服务编码点(DSCP)标注,具体描述详见下表1-2。
图 1-2:IPv6和IPv4的流映射区别
表 1-2:IPv6和IPv4的MF、DSCP的标注不同
二、集成的安全特性
1、IPSec的集成
IPv6将网络安全协议(IPSec)集成到协议内部,从此IPSec将不单独存在,而是作为IPv6协议固有的一部分贯穿于IPv6的各个部分,具体详见下表2-1-1的表述。IPv6网络的安全性主要体现在3个层面,即协议安全、网络安全和安全加密的硬件实现,具体详见下表2-1-2的表述。
表 2-1-1:IPv6对IPSec的集成
表 2-1-2:IPv6网络的安全性体现的3个层面
2、网络各层层间的安全
我们知道,互联网的参考模型由下至上可以包括网络接口、网络层、传输层及应用层。通常网络接口层的威胁来自于设备的不可靠性,诸如板卡的损坏、物理接口的电器特性和电磁兼容环境的劣化等等,对这样的安全隐患可以通过配置冗余设备、冗余线路、安全供电、保障电磁兼容环境以及加强安全管理来防护。
对于网络接口层以上层面的安全隐患除了来自于针对各种协议的安全隐患以外,还有非法占用网络资源或者耗尽网络资源等隐患,诸如双802.1Q封装攻击、广播包攻击、媒体访问控制(MAC)洪泛、生成树攻击等二层攻击以及虚假的互联网控制消息协议(ICMP)报文、ICMP洪泛、源地址欺骗、路由振荡等来自针对三层协议的攻击。在应用层还有针对HTTP、FTP/TFTP、TELNET以及通过电子邮件传播病毒的攻击手段。对于这些攻击,可以采用如下表2-2所描述的防护手段。
表 2-2:互联网各层层间的安全防护
3、小结
总之,完善的IPv6的IPSec机制提供了网络数据和信息内容的有效性、一致性以及完整性的保证,并且为网络安全提供了诸多的解决办法。具体详见下表2-3所描述。
表 2-3:IPv6的IPSec机制带来的好处
欲详细了解IPSec机制的请进入。
三、地址管理
IPv6采用128比特地址结构解决IPv4地址空间不足的问题,下表3列出了IPv4与IPv6之间的对应关系(以IPv4中的地址和寻址方式与IPv6地址来等价)的对比。
表 3:IPv4与IPv6之间的对应关系对比
因此,对于IPv6,一个较大的地址空间可以在地址空间内使用多层等级结构,严格的层次性编址有助于实现路由聚合,不仅可以使路由条目大大减少,利于提高网络性能,而且提高了路由选择的效率和可扩展性。具有严格路由聚合的特性使IPv6多点接入站点能够从数千个上游提供商那里配置地址,使多点接入成为可能,IPv6支持地址的自动配置。由于具有比较大的地址空间,IPv6能够在保持全球唯一性的同时自动配置设备上的地址。自动地址配置机制通过将自身的链路层地址(如以太网MAC地址)以EUI-64的格式附加在子网上公告的全球唯一单播IPv6前缀后面,保证自动配置的128比特地址是全球唯一的。IPv6允许网络中的节点自动配置它们自己的IPv6地址的特性,为将来移动设备的接入和热插拔的应用提供良好的保障。
IPv6的重新编址机制使在IPv6提供商之间的转换对最终用户是透明的。IPv6可以为公告的子网前缀赋予一个生存期的值,在当前的前缀到期后允许节点使用最新的前缀,这样主机和服务器可以自动选用新的全球单播IPv6前缀,使用新的地址。
IPv6使用多播取代了IPv4中的广播,当在本地链路上使用多播组的多播地址发送数据包的时候,数据包只被这个组的成员处理。通过对不同的功能使用不同的多播组,有效地利用了网络,防止了IPv4中的广播风暴。
四、移动性支持
2000年5月, 3GPP在其R5版本的3G标准中已经明确要求将IPv6作为下一代移动通信系统中的标准IP协议。下一代网络基于IPv6构建IP核心骨干网,数十亿的3G蜂窝设备具有IPv6协议栈,IPv6的移动性是必须的。相比移动IPv4是IPv4协议的附加物来说,在IPv6中移动性是协议内置的,任何支持IPv6的节点在需要时都能够使用移动性支持。移动IPv6的主要目标就是使得移动节点总是通过家乡地址寻址,不管是连接在家乡链路还是移动到外地网络。移动IPv6对于IP层以上的协议层是完全透明的,这使得移动节点在不同子网间移动时,运行在该节点上的应用程序不需要修改或配置就仍然可用。
相比移动IPv4来说,移动IPv6没有外地代理,因为每个移动IPv6节点都能处理移动性,但是在IPv6中家乡代理仍是必须的。移动IPv6主要使用两个IPv6扩展分组头:目的地址扩展头(注册时使用)和路由选择扩展头(用于在移动节点和通信节点之间传输数据报)。
移动IPv6技术充分利用了IPv6协议对移动性的内在支持。移动节点根据路由器的广播报文宣称代理指示,向任意一个本地代理注册。本地代理中保存有移动节点的家乡地址和转交地址的对照表,家乡代理可以根据对照表把报文转发给移动节点。每当移动节点收到其他主机发来的报文后,在响应报文中以转交地址作为源地址,并要附带上移动节点的家乡地址,当主机的后续报文以移动节点的转交地址为目的地址时,需要附带源路由选择扩展分组头,扩展头内容为移动节点的家乡地址。使用这种机制的目的是保证移动节点在移动过程中也不会丢失报文。当移动节点在小区间切换时,移动节点重新登记成功后,基站应该向原来的基站发重定向包文,使切换过程中路由有偏差的报文重新找到移动节点。
五、VPN业务实现
随着IPv6流量的迅速增长,下一代网络的骨干网将以集性能与可扩展性于一身的MPLS技术为主导,MPLS基于标记交换数据包,无需再在每个网络节点进行复杂的路由查找,带给硬件的负担更小。MPLS一般使用标记分配协议(LDP)或资源预留协议-流量工程(RSVP-TE)实现标签的分发。在IP骨干网上建立隧道,通过标签转发使数据快速地通过隧道,可以提供很好的服务质量保证和流量工程。IPv6与IPv4二层VPN/三层VPN的实现对比详见下表5。
表 5:IPv6与IPv4二层VPN/三层VPN的实现对比
欲详细了解多协议标签交换(MPLS)机制的请进入。
六、结语
总之,由于互联网网络的迅速发展,IPv4的设计不足也日益明显,且为互联网的发展带来诸多瓶颈,IPv6相比IPv4提供了许多新特性和改善措施,具体详见下表6-1的描述。另外,在ITU-T Y.2051《General overview of IPv6-based NGN》中给出了IPv6与IPv4的关键特性比较,具体详见下表6-2,包括寻址、QoS、安全性和移动性等。
表 6-1:IPv6与 IPv4相比带来的新特性和新措施
表 6-2:IPv6与IPv4的关键特性比较(Y.2051)
欲进一步了解IPv6 + 技术的请进入。