论文部分内容阅读
摘要:IPv4向IPv6过渡是历史的必然,本文就IPv4向IPv6过渡的机制进行探讨,并介绍了过渡过程中遇到的安全问题。
关键词:IPv4/IPv6;双协议栈;IP隧道;翻译技术;安全问题
随着计算机技术和通信技术的飞速发展,计算机网络已经成为人们学习、生活和工作必不可少的部分。但是随着计算机网络的发展,自身成为成功者的同时,也变成了受害者,网络的发展,网民数量的激增,使TCP/IP协议中,IPv4地址空间消耗殆尽。2011年2月3日全球互联网IP地址相关管理组织宣布,现有互联网IPv4地址已经于当天分配完毕。即使是IPv4地址大国美国,IPv4地址也将于2014年枯竭,届时整个互联网络将处于饱和状态。IPv4地址向IPv6地址的过渡已成为必然的趋势。
1、IPv4和IPv6简介
IP协议是TCP/IP协议集中的重要协议,全称为InternetProtoc01,一直以来使用较多的是IP协议的第四个版本,即IPv4协议,在以TCP/IP通信的网络上,每台主机都必须拥有唯一的IP地址,该IP地址用来标识每一台主机。IPv4版本规定IP地址为32个二进制位,理论上IPv4版本拥有的IP地址有232个,可以标识40亿台主机。
IPv6是Internet Protocol协议的第六个版本,是用来替代IPv4协议的下一代互联网协议,IPv6是为了解决IPv4所存在的一些问题提出的,解决网络地址资源有限的问题,在扩大地址空间的同时,在其它方面进行了改进。IPv6版本的IP地址采用128个二进制位,是IPv4地址的4倍。
2、IPv4向JPv6过渡的技术
IPv4向IPv6过渡,最终被IPv6取代,是历史的必然。但是在当前的互联网中,多数设备支持IPv4协议,且IPv4和IPv6协议存在较大的差别,将现有IPv4协议和设备在短时间内进行更换不太现实。所以在IPv4主导的网络中,如何将IPv4向IPv6进行平滑的过渡,决定了IPv6技术是否能取得成功,IPv4向IPv6过渡的技术变得尤为重要。
IPv4向IPv6过渡的技术标准较多,已经有数十种,但是到目前为止,还没有一种通用的过渡机制,现有的过渡技术各有优缺点,且使用范围不同,比较常用的有以下几种过渡技术。
2.1 IPv4/IPv6双协议栈
由于IPv4向IPv6过渡是一个漫长的过程,这就需要IPv4协议和IPv6协议的共存。Dual Stack技术指网络中的节点既支持IPv4协议,又支持IPv6协议,并同时运行这两个协议栈,由于IPv4协议和IPv6协议都工作于网络层,为传输层提供服务,基于相同的物理平台,二者具有相似性,因此支持双协议栈的节点既能和纯IPv6的网络进行通信,又能和纯IPv4的网络进行通信,在IPv4和IPv6共存的网络中是一种有效的过渡机制。
运行双栈协议的节点在接收数据包时,数据链路层收到数据包,拆开并检查数据段,根据数据段包头中的版本号,来决定使用什么协议栈进行处理,如果版本号是“4”,该数据包使用IPv4协议栈来处理,如果版本号是“6”,则数据包由IPv6协议栈处理。在发送数据包时,同样根据目的节点支持的协议和所在的网络进行判断,使用其中的一种协议进行通信。
双协议栈需要在节点上同时配置和运行IPv4和IPv6协议,这样才能保证IPv4和IPv6网络的同时工作,这种方式虽然兼容了使用IPv4协议和IPv6协议的网络,但是需要配置双路由协议,使网络更加复杂,而且不能缓解IPv4地址耗尽的问题。但是在IPv6协议应用的初期,网络主要使用IPv4协议,新增加使用IPv6协议的网段,以独立的链路接入到上级IPv6网络,选择IPv4/IPv6双协议栈路由器作为IPv6的接入节点,既保证了新建的IPv6网络能使用原有的网络资源,又保证了原有计算机网络的系统安全,使网络稳定运行。双协议栈过渡技术原理简单,是其他过渡技术的基础。
2.2 IP隧道技术
隧道技术是一种数据包的封装技术,虽然隧道技术可以应用在不同的环境中,且应用目的各不相同,但是基本模式保持不变,利用IPv6网络传递IPv4报文,或者是利用IPv4网络传递IPv6报文。过渡的初期,网络以IPv4网络为主,在IPv4隧道中传输IPv6数据包,IPv6数据包是不被修改的,隧道协议将IPv6数据包重新封装到IPv4数据包中,在IPv6数据包前插入IPv4包头,通过公共网络进行传输。在隧道出口处,将数据包进行解封装,取出IPv6数据包,并转发给IPv6节点。被封装的数据包在整个公共网络上传递时所经过的逻辑路径称为隧道,隧道的两端要进行IPv6数据包的封装和解封装,所以隧道两端的设备要同时运行IPv4协议和IPv6协议。
通过隧道技术,在以IPv4为主体的网络中,解决了独立的IPv6网络之间的通信,但是不能解决IPv6和IPv4网络之间互联的问题。且IPv6数据包封装时,需要在IPv6数据包上增加IPv4数据包的包头,由于隧道有最大传输单元的限制,这就减少了IPv6数据包的长度,造成了数据包分片的增加。
2.3 翻译技术
虽然双协议栈技术使IPv4协议和IPv6协议并存,但是没有解决IPv4地址耗尽的问题。IP隧道技术也只是在IPv4的网络上实现IPv6网络之间的通信,不能实现纯IPv6网络的用户和IPv4网络的用户之间互联。对于新建的IPv6网络,其用户数量在逐渐增加,但是目前不可能和IPv4网络的用户数量向比,如果IPv6网络和IPv4网络之间不能进行互通,那么IPv6网络就失去了存在的意义。
IPv6翻译技术可以分为无状态翻译技术和有状态翻译技术两种。无状态的翻译技术是指通过预先设定的算法维护IPv6和IPv4地址之间的映射关系,有状态的翻译技术是指在翻译设备中动态产生映射关系。
无状态的翻译技术中,IPv4/IPv6翻译器也是一台路由器,且路由器不需要维护状态,具有管理性、扩展性和安全性好的特点,并支持双向通信。无状态翻译过渡技术已经累计获得了5项国际互联网标准:RFC6052、RFC6144、RFC6145,RFC6219和RFC6791,这些标准对IPv4/IPv6过渡技术和IPv6协议地址结构的演进具有重要的影响。
翻译技术旨在推进使用IPv6协议和IPv4协议用户之间的相互访问,这些访问不需要绑定数据库,只需要小部分的设备更新,管理方便,且解决了IPv6用户和IPv4用户之间的互访问题。
3、IPv4向IPv6过渡中面临的安全问题
IPv4协议地址的耗尽,IPv6协议的地址空间满足全球网络的需求。IPv6取代IPv4是一个长期的过程,IPv6协议在设计之初考虑到了安全问题,安全性得到了改善,但是在提供大量IP地址的同时,另一系列的安全问题也随之而来。使用IPv6协议,增加了地址空间,在一个网络上能容纳大量的主机地址,实现局域网的扩展。但是大型网段有利也有弊,由于网络的扩展,对IPv6网段的安全漏洞进行全面扫描需要较长的时间,这就增加了对IP地址管理和监视的难度。
IPv4/IPv6双协议栈过渡机制的使用,虽然保证了IPv4和IPv6网络的同时工作,但是也给网络带来了新的安全问题。对于同时运行IPv4协议和IPv6协议的节点,黑客可以通过两种协议进行协调攻击,利用节点上对两种协议中安全设备的协调不足来躲避检测,攻击安全漏洞。
使用IP隧道技术解决了在IPv4网络中IPv6网络之间的通信问题或者是在IPv6网络中IPv4网络之间的互访问题。在隧道入口处,隧道机制对数据包进行封装,不对原数据包进行严格检查,在隧道出口处则进行简单的解封装,这样使用隧道机制,会给网络安全带来更为复杂的问题。容易出现利用源地址伪造躲避追踪、利用源地址伪造进行反射DoS攻击和利用IPv4广播地址DoS攻击等,增加了网络的安全隐患。
虽然在IPv4向IPv6过渡的过程中,存在较多的问题,但是IPv4地址耗尽,IPv6取代IPv4是历史的必然。2012年6月6日为全球IPv6启动日,IPv6将大规模启用。
关键词:IPv4/IPv6;双协议栈;IP隧道;翻译技术;安全问题
随着计算机技术和通信技术的飞速发展,计算机网络已经成为人们学习、生活和工作必不可少的部分。但是随着计算机网络的发展,自身成为成功者的同时,也变成了受害者,网络的发展,网民数量的激增,使TCP/IP协议中,IPv4地址空间消耗殆尽。2011年2月3日全球互联网IP地址相关管理组织宣布,现有互联网IPv4地址已经于当天分配完毕。即使是IPv4地址大国美国,IPv4地址也将于2014年枯竭,届时整个互联网络将处于饱和状态。IPv4地址向IPv6地址的过渡已成为必然的趋势。
1、IPv4和IPv6简介
IP协议是TCP/IP协议集中的重要协议,全称为InternetProtoc01,一直以来使用较多的是IP协议的第四个版本,即IPv4协议,在以TCP/IP通信的网络上,每台主机都必须拥有唯一的IP地址,该IP地址用来标识每一台主机。IPv4版本规定IP地址为32个二进制位,理论上IPv4版本拥有的IP地址有232个,可以标识40亿台主机。
IPv6是Internet Protocol协议的第六个版本,是用来替代IPv4协议的下一代互联网协议,IPv6是为了解决IPv4所存在的一些问题提出的,解决网络地址资源有限的问题,在扩大地址空间的同时,在其它方面进行了改进。IPv6版本的IP地址采用128个二进制位,是IPv4地址的4倍。
2、IPv4向JPv6过渡的技术
IPv4向IPv6过渡,最终被IPv6取代,是历史的必然。但是在当前的互联网中,多数设备支持IPv4协议,且IPv4和IPv6协议存在较大的差别,将现有IPv4协议和设备在短时间内进行更换不太现实。所以在IPv4主导的网络中,如何将IPv4向IPv6进行平滑的过渡,决定了IPv6技术是否能取得成功,IPv4向IPv6过渡的技术变得尤为重要。
IPv4向IPv6过渡的技术标准较多,已经有数十种,但是到目前为止,还没有一种通用的过渡机制,现有的过渡技术各有优缺点,且使用范围不同,比较常用的有以下几种过渡技术。
2.1 IPv4/IPv6双协议栈
由于IPv4向IPv6过渡是一个漫长的过程,这就需要IPv4协议和IPv6协议的共存。Dual Stack技术指网络中的节点既支持IPv4协议,又支持IPv6协议,并同时运行这两个协议栈,由于IPv4协议和IPv6协议都工作于网络层,为传输层提供服务,基于相同的物理平台,二者具有相似性,因此支持双协议栈的节点既能和纯IPv6的网络进行通信,又能和纯IPv4的网络进行通信,在IPv4和IPv6共存的网络中是一种有效的过渡机制。
运行双栈协议的节点在接收数据包时,数据链路层收到数据包,拆开并检查数据段,根据数据段包头中的版本号,来决定使用什么协议栈进行处理,如果版本号是“4”,该数据包使用IPv4协议栈来处理,如果版本号是“6”,则数据包由IPv6协议栈处理。在发送数据包时,同样根据目的节点支持的协议和所在的网络进行判断,使用其中的一种协议进行通信。
双协议栈需要在节点上同时配置和运行IPv4和IPv6协议,这样才能保证IPv4和IPv6网络的同时工作,这种方式虽然兼容了使用IPv4协议和IPv6协议的网络,但是需要配置双路由协议,使网络更加复杂,而且不能缓解IPv4地址耗尽的问题。但是在IPv6协议应用的初期,网络主要使用IPv4协议,新增加使用IPv6协议的网段,以独立的链路接入到上级IPv6网络,选择IPv4/IPv6双协议栈路由器作为IPv6的接入节点,既保证了新建的IPv6网络能使用原有的网络资源,又保证了原有计算机网络的系统安全,使网络稳定运行。双协议栈过渡技术原理简单,是其他过渡技术的基础。
2.2 IP隧道技术
隧道技术是一种数据包的封装技术,虽然隧道技术可以应用在不同的环境中,且应用目的各不相同,但是基本模式保持不变,利用IPv6网络传递IPv4报文,或者是利用IPv4网络传递IPv6报文。过渡的初期,网络以IPv4网络为主,在IPv4隧道中传输IPv6数据包,IPv6数据包是不被修改的,隧道协议将IPv6数据包重新封装到IPv4数据包中,在IPv6数据包前插入IPv4包头,通过公共网络进行传输。在隧道出口处,将数据包进行解封装,取出IPv6数据包,并转发给IPv6节点。被封装的数据包在整个公共网络上传递时所经过的逻辑路径称为隧道,隧道的两端要进行IPv6数据包的封装和解封装,所以隧道两端的设备要同时运行IPv4协议和IPv6协议。
通过隧道技术,在以IPv4为主体的网络中,解决了独立的IPv6网络之间的通信,但是不能解决IPv6和IPv4网络之间互联的问题。且IPv6数据包封装时,需要在IPv6数据包上增加IPv4数据包的包头,由于隧道有最大传输单元的限制,这就减少了IPv6数据包的长度,造成了数据包分片的增加。
2.3 翻译技术
虽然双协议栈技术使IPv4协议和IPv6协议并存,但是没有解决IPv4地址耗尽的问题。IP隧道技术也只是在IPv4的网络上实现IPv6网络之间的通信,不能实现纯IPv6网络的用户和IPv4网络的用户之间互联。对于新建的IPv6网络,其用户数量在逐渐增加,但是目前不可能和IPv4网络的用户数量向比,如果IPv6网络和IPv4网络之间不能进行互通,那么IPv6网络就失去了存在的意义。
IPv6翻译技术可以分为无状态翻译技术和有状态翻译技术两种。无状态的翻译技术是指通过预先设定的算法维护IPv6和IPv4地址之间的映射关系,有状态的翻译技术是指在翻译设备中动态产生映射关系。
无状态的翻译技术中,IPv4/IPv6翻译器也是一台路由器,且路由器不需要维护状态,具有管理性、扩展性和安全性好的特点,并支持双向通信。无状态翻译过渡技术已经累计获得了5项国际互联网标准:RFC6052、RFC6144、RFC6145,RFC6219和RFC6791,这些标准对IPv4/IPv6过渡技术和IPv6协议地址结构的演进具有重要的影响。
翻译技术旨在推进使用IPv6协议和IPv4协议用户之间的相互访问,这些访问不需要绑定数据库,只需要小部分的设备更新,管理方便,且解决了IPv6用户和IPv4用户之间的互访问题。
3、IPv4向IPv6过渡中面临的安全问题
IPv4协议地址的耗尽,IPv6协议的地址空间满足全球网络的需求。IPv6取代IPv4是一个长期的过程,IPv6协议在设计之初考虑到了安全问题,安全性得到了改善,但是在提供大量IP地址的同时,另一系列的安全问题也随之而来。使用IPv6协议,增加了地址空间,在一个网络上能容纳大量的主机地址,实现局域网的扩展。但是大型网段有利也有弊,由于网络的扩展,对IPv6网段的安全漏洞进行全面扫描需要较长的时间,这就增加了对IP地址管理和监视的难度。
IPv4/IPv6双协议栈过渡机制的使用,虽然保证了IPv4和IPv6网络的同时工作,但是也给网络带来了新的安全问题。对于同时运行IPv4协议和IPv6协议的节点,黑客可以通过两种协议进行协调攻击,利用节点上对两种协议中安全设备的协调不足来躲避检测,攻击安全漏洞。
使用IP隧道技术解决了在IPv4网络中IPv6网络之间的通信问题或者是在IPv6网络中IPv4网络之间的互访问题。在隧道入口处,隧道机制对数据包进行封装,不对原数据包进行严格检查,在隧道出口处则进行简单的解封装,这样使用隧道机制,会给网络安全带来更为复杂的问题。容易出现利用源地址伪造躲避追踪、利用源地址伪造进行反射DoS攻击和利用IPv4广播地址DoS攻击等,增加了网络的安全隐患。
虽然在IPv4向IPv6过渡的过程中,存在较多的问题,但是IPv4地址耗尽,IPv6取代IPv4是历史的必然。2012年6月6日为全球IPv6启动日,IPv6将大规模启用。