创建高级交换型互联网第12章 网络的未来—IPV6 .ppt

移动IPv6的安全问题 移动性在方便通信的同时，由于移动节点的不固定性，也给不法分子提供了攻击的机会 移动IPv6中的绝大部分潜在威胁来源于伪造绑定更新消息，通常造成拒绝服务攻击，其中一些威胁还会造成中间人攻击、劫持攻击、窃密攻击、冒充攻击 家乡注册的安全问题 A攻击者 B受害者 C移动节点 C的家乡代理 伪造的绑定更新消息 internet 家乡注册的安全措施 避免此类攻击的方式在于使家乡代理能够确认每一个进行家乡注册的移动节点的合法身份 IPSec中的AH可以实现身份认证功能 每一个移动节点和其家乡代理都属于家乡域，便于配置安全参数 采用IPSec对家乡注册进行保护 一般注册的安全问题 伪造一般注册信息 攻击者A伪造移动节点C生成绑定更新发送给通信节点B，把C的转交地址定向到一个错误的地址，其结果是通信节点B发往C的数据包不能正确地到达C A攻击者 C移动节点 B通信节点 伪造的绑定更新消息 internet 一般注册的安全措施 移动节点和通信节点可能位于互连网的任何地方、属于不同管理域，不能够完全采用IPSec进行身份认证 设计新的安全机制的一般原则为 通信节点能够对移动节点的家乡地址的可达性进行验证 通信节点能够对移动节点的转交地址的可达性进行验证 移动节点生成的绑定更新中携带上述两步获得的认证信息 如何理解128地址空间 共有2128 个不同的IPv6地址，可分配地址数为340,282,366,920,938,463,463,374,607,431,768,211,456个； 扣除一些地址使用上的专门规定，IPv6可以让地球上每个人拥有有效可用的地址约1600万个 若按土地面积分配，每平方厘米可获得2.2*1020个地址 能够为所有可以想象出的网络设备提供一个全球唯一的地址 IPv6地址类型 单播（Unicast）地址 发往单播地址的包被送给该地址标识的接口 不确定地址0:0:0:0:0:0:0:0 回环地址0:0:0:0:0:0:0:1 任意播（AnyCast）地址 发往任意播地址的包被送给该地址标识的接口之一（路由协议度量距离最近的） 任意播地址不能用作源地址，而只能作为目的地址 一个单播地址被分配给多于一个的接口时，就将其转化为任播地址 组播（MultiCast）地址 发往多播地址的包被送给该地址标识的所有接口 可聚集全球单播地址 IPv6为点对点通信设计了具有分级结构的地址 是可以在全球范围内进行路由转发的地址 三个层次分级结构 公用拓扑 公用互联网传送服务的供应商和交换局群体 站点拓扑 本地的特定站点或组织，不提供到本站点以外节点的公用传送服务 接口标识符 标识链路上的接口 可聚集全球单播地址 TLA 顶级聚集体 与长途服务供应商和电话公司相互连接的公共网络接入点，从IANA处获得地址 NLA 下级聚集体 大型ISP，它从TLA处获得地址，为SLA分配地址 SLA 站点级聚集体 一个机构或一个小型ISP，负责为他的订户分配地址 RES 将来TLA或NLA扩充用 FP TLA ID RES NLA ID SLA ID Interface ID 3 13 8 24 16 64 IPv6地址类型 任意播地址 组播地址 组播地址 “Flags”可表示为：000T 高三位保留，必须初始化成0 T=0 表示一个被IANA永久分配的多点传送地址 T=1表示一个临时的多点传送地址 Scope IPv6地址前缀 IPv6的地址表示形式 以16位为一分组，每个16位分组写成4个十六进制数，中间用冒号分隔 21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A 某些地址中包含很长的零序列，用双冒号“::”表示 例如地址1080:0:0:0:8:800:200C:417A，可表示为压缩格式1080::8:800:200C:417A 在IPv4和IPv6混合环境中，x:x:x:x:x:x:d.d.d.d 课堂实验 Windows环境下IPv6地址的安装和配置 IPv6的寻址模型 IPv6地址与特定的网络接口而不是与特定的计算机相关联 一个拥有多个网络接口的节点可以具有多个IPv6地址 一个单个的接口可以分配多个相同类型或者不同类型的地址 一个单播地址只能与一个网络接口相关联 在IPv4中除了IP地址外，还有子网掩码之说，但在IPv6中已不再使用，IPv6仅支持前缀长度表示法。 IPv6的寻址模型 一个重要的声明 在IPv4中，所有的网络接口都需要一个专用的IP地址；但在IPv6中，点到点链路的端点可以不需要 IPv6地址。这可以简化路由器的设置而且节约大量的地址空间 一个重要的例外 多个网络接口可以共享一个IPv6地址，这使得从服务器扩展至负载分担的服务器群成为可能，而不再需要在服