下一代的互聯網協議——IPv6

　　 
　　1 IPv6產生的歷史背景
　　

　　　　Inte.net 的成功促進了IP網的大發展。目前，越來越多的人相信，未來的網絡將是基于IP技術的網絡。隨著IP網規模的不斷擴大，原有的IPv4協議面臨著一些難以解決的問題，比如地址空間耗盡、路由表爆炸等。同時IP應用的擴展對IP也提出了新的要求，比如Internet上多媒體信息傳播、移動用戶的網絡接入等，都為IP的研究開辟了新的空間。
　　
　　　　傳統的IP，即IPv4（IP version 4）定義IP地址的長度為32bit。Internet上每個主機都分配了一個（或多個）32bit的IP地址。32bit的地址在DARPA時代的互聯網絡看來還是足夠使用的，同時網絡地址的分類（A、B、C、D、E類）和提取也提高了路由的效率。但是在20世紀80年代早期，即使是最有遠見的TCP/IP開發者們也沒有預料到互聯網會有今天的爆炸性增長。Internet的設計者們沒有想到今天Internet會發展到如此大的規模，更沒有預測到今天Internet因為規模的迅速擴大而陷入困境。1987年統計表明可能將來需要分配多達100 000個網絡，然而早在1996年這個記錄已經被打破。20世紀90年代以來，WWW服務迅速普及，網絡節點的數目開始呈幾何級數的增長。
　　
　　　　地址短缺問題的根源有多方面的原因。一方面是32bit的空間是十分有限的；另一方面是盡管現行的32bit IPv4的地址結構可以為1670萬個網絡上的超過40億臺主機分配地址，但實際上的地址分配效率遠遠達不到這個數值。我們知道，由于歷史的原因，IPv4地址的分配是極不合理的，大量的IP地址分給了一些大學和商業公司，比如美國斯坦福大學擁有1700萬，IBM公司則達到3300萬，而我國只分到大約900萬正式地址，這顯然與當今互連網在世界范圍內飛速發展的狀況是不相適應的。隨著網絡規模的不斷擴大，不僅導致地址總數量的不夠，也導致路由表迅速膨脹。
　　
　　　　在IPv4面臨的一系列問題中，IP地址即將耗盡無疑是最為嚴重的，有預測表明，以目前Internet的發展速度計算，所有IPv4地址將在2005～2010年間分配完畢。為了徹底解決IPv4存在的問題，IETF從1995年開始，著手研究開發下一代IP，即IPv6。IPv6具有長達128bit的地址空間，可以徹底解決IPv4地址不足的問題，除此之外，IPv6還采用分級地址模式、高效IP包頭、服務質量、主機地址自動配置、認證和加密等許多技術。
　　
　　2 IPv6的新特性
　　
　　2.1 全新的地址管理方案
　　
　　　　在IPv4中，地址是用戶擁有的。也就是說，一旦用戶從某機構處申請到一段地址空間，他就永遠使用該地址空間，而不管他是從哪個Internet服務提供者（ISP）處獲得服務。這種方式的缺點是ISP必須在路由表中為每個用戶的網絡號維護一條記錄。隨著用戶數的增加，會出現大量無法會聚的特殊路由，即使無類別域間路由（CIDR）也不能處理這樣的路由表爆炸現象。
　　
　　　　IPv6改變了地址的分配方式，從用戶擁有變成了ISP擁有。全局網絡號由Internet地址分配機構（IANA）分配給各ISP，用戶的全局網絡地址只是ISP地址空間的子集。當用戶接入的ISP改變時，全局網絡地址必須更新為新ISP提供的地址。這樣ISP能有效地控制路由信息，避免路由爆炸現象的出現。ISP地址擁有模式意味著用戶必須時常改動他們的主機地址，這對大型網絡的管理是很不利的。另一方面，運行IPv6的主機能同時為每個端口配置多個IP地址。這些地址包括全局地址，站點局部地址，鏈路局部地址等，它們分別用于不同的傳播范圍。由用戶管理多個地址是相當煩瑣的，所以IPv6提供了地址自動配置機制，使主機能自動生成地址，避免了手工配置的低效率，實現了主機的即插即用功能。路由器在地址自動配置中發揮巨大的作用，它定時在子網里多播路由器廣告報文，報文中包括主機能使用的地址前綴的所有信息，如前綴值、生命期等；主機收到該報文后，按照一定規則在本地生成主機標識符，把它和地址前綴連接，從而形成主機地址。為了保證主機地址的唯一性，IPv6定義了重復地址檢測過程，每當生成地址時，必須反復執行生成和檢測過程，直到得到唯一的地址。地址管理方案中還包括地址解析協議（ABP）和可達性檢測。IPv4中ABP是獨立的協議，負責IP地址到鏈路層地址的轉換，對不同的鏈路層協議要定義不同的ARP?？蛇_性檢測的目的是確認相應IP地址代表的主機或路由器是否還能收發報文，IPv4沒有統一的解決方案。IPv6定義了鄰機發現協議（NDP），把ARP納入NDP并運行于Internet控制報文協議（ICMP）上，使ARP更具有一般性，包括更多的內容，而且不用為每種鏈路層協議定義一種ARP。NDP中還定義了可達性檢測過程，保證IP報文不會發送給“黑洞”。
　　
　　2.2 地址頭部的簡化和可擴展性
　　
　　　　IPv6的另一個主要特點是對數據包頭的簡化，盡量避免那些很少使用的域靜態地址占用空間。它僅包含7個字段（IPv4有13個）。這使路由器處理分組的速度加快，提高了吞吐率。
　　
　　　　IPv6數據包頭中的“NextHeader”域，它指向數據包頭的擴展部分，這樣便可以在非常簡單的結構里提供很多可選的特征。同IPv4一樣，IPv6允許數據報包含可選的控制信息，但在IPv4頭中必需的字段現在只是IPv6的選項。而且，選項出現在擴展頭部中，使路由器可以簡單地跳過選項，加速了分組處理的過程。另外還包含了IPv4所不具備的選項，可以提供新的設施。
　　
　　2.3 可靠的安全性
　　
　　　　IPv6利用數據包頭的擴展部分可以提供路由器級的安全性。IPv6中強制性的安全性包括兩方面的內容。一方面，IPv6數據包的接收者可以要求發送者首先利用IPv6認證頭（數據包頭的擴展部分）進行“登錄”，然后才接收數據包，這種登錄是算法獨立的，可以有效地阻止網絡“黑客”的攻擊。另一方面，利用IPv6的封閉安全頭（數據包頭的擴展部分）加密數據包，這種加密也是算法獨立的，這意味著可以安全地在Internet上傳輸敏感數據，不用擔心被第三方截取。
　　
　　　　另外，IPv6定義了ISAKMP-OAKLEY協議，其基礎是Diff-Hellman算法。規定首先進行證書交換，用以確認對方的地址真偽，然后進行帶驗證過程的密鑰交換，防止密鑰交換被中介攔截。協議中也定義了相應的手段允許協商加密參數，以及AH和ESP的用法。
　　
　　2.4 IPv6的移動性
　　
　　　　移動IPv6（MIPv6）在新功能和新服務方面可提供更大的靈活性。每個移動設備設有一個固定的家鄉地址（home address)，這個地址與設備當前接入互聯網的位置無關。當設備在家鄉以外的地方使用時，通過一個轉交地址（care-of address)來提供移動節點當前的位置信息。移動設備每次改變位置，都要將它的轉交地址告訴給家鄉地址和它所對應的通信節點。在家鄉以外的地方，移動設備傳送數據包時，通常在IPv6報頭中將轉交地址作為源地址。移動節點在家鄉以外的地方發送數據包時，使用一個家鄉地址目標選項。目的是通過這個選項把移動節點的家鄉地址告訴給包的接收者。由于在該數據包里包含家鄉地址的選項，接收方通信節點在處理這個包時，就可以用這個家鄉地址替換包內的轉交地址。因此發送給移動節點的IPv6包，就透明地路由到該節點的轉交地址處。對通信節點和轉交地址之間的路由進行優化，就會使網絡的利用率更高。
　　
　　　　基于移動IPv6協議集成的IP層移動功能具有很重要的優點。尤其是在移動終端數量持續上漲的今天，這些優點更加突出。盡管IPv4中也存在一個類似的移動協議，但二者之間存在著本質的區別：移動IPv4協議不適用于數量龐大的移動終端。
　　
　　　　移動IP需要為每個設備提供一個全球唯一的IP地址，IPv4沒有足夠的地址空間可以為在公共互聯網上運行的每個移動終端分配一個這樣的地址。從另外角度講，移動IPv6能夠通過簡單的擴展滿足大規模移動用戶的需求。這樣，它就能在全球范圍內解決有關網絡和訪問技術之間的移動性問題。
　　
　　3 尋址和路由方法
　　
　　　　IPv6的128bit地址形成了一個巨大的地址空間。在一段可預見的時期內，它能夠為所有可以想象出的網絡設備提供一個全球唯一的地址。聚類全球單播地址是默認的IPv6地址。這種地址類型是基于分層的網絡拓撲結 構。分層網絡拓撲結構的底層是互聯網服務提供商（ISP），之上是客戶網絡和它的子網。128bit地址分成前綴和后綴兩部分，各64bit。其中64bit后綴地址由設備接口來定。IPv6主機并不需要了解這種地址的層次結構，因此，它對網絡安全有很大好處。為了保證同外部互聯網通信時的安全，公司的工作站可以使用定點地址。當需要在相鄰的路由器之間安全地傳送路由拓撲信息時，還可以使用局部連接地址。
　　
　　　　另外，這種地址結構還支持一些新的服務，如優化的IP層移動或廣播服務。在IPv6互聯網網絡上，這些服務一開始就可以在全球范圍內實現。而IPv4就幾乎沒有這種靈活性。
　　
　　　　IPv6的這種分層地址結構也使路由器可以使用多個可聚類的短路由表，每個路由表中存放適量數目的記錄。IPv6的一個特點是路由表內容成指數級增長，從而增加了每個數據包的處理延遲。而在IPv6中，這種處理延遲已不再是一個限制因素。IPv6同時改進和提高了IP包的基本報頭格式。這種簡化的包結構是對IPv4的一個主要改進之處，它有助于彌補IPv6長地址占用的帶寬。IPv6的16字節地址長度是IPv4 的4字節地址長度的4倍，但IPv6報頭的總長度只有IPv4報頭總長度的2倍。IPv6報頭所含字段少，而且報頭長度固定，使路由器的硬件實現更加簡單。與IPv4不同，在IPv6網絡中，路由過程中不對數據包進行分割，從而進一步減少了路由負載。這些改進使IPv6能夠在一個合理的開銷范圍內，適應互聯網流量的指數級增長速度。
　　
　　　　IPv6的地址結構決定了在需要的時候能夠在基本報頭的后面放置擴展報頭。這也同時提高了路由能力。與跳躍式報頭不同的是，這種連續報頭在終端節點進行分析。一個實例就是IP安全（IPSec）報頭能夠提高端到端的安全性，其他擴展報頭包括路由報頭、分斷報頭、認證報頭和信宿報頭。IPv6及其結構能夠在全球骨干網一級滿足更大規模的網絡結構需求，并且提高了安全性和數據完整性，支持自動配置、移動計算、數據多播和更有效的網絡路由聚類。
　　
　　4 IPv4向IPv6的過渡
　　
　　　　盡管IPv6比IPv4具有明顯的先進性，但是IETF認識到，要想在短時間內將Internet和各個企業網絡中的所有系統全部從IPv 4升級到IPv6是不可能的，也就是說，IPv6與IPv4系統在Internet 中長期共存是不可避免的現實。為此，IETF制定了推動IPv4向IPv6過渡的方案，其中包括三個機制：兼容IPv4的IPv6地址、雙IP協議棧和基于IPv4隧道的IPv6。
　　
　　　　兼容IPv4的IPv6地址是一種特殊的IPv6單點廣播地址，一個 IPv6節點與一個IPv4節點可以使用這種地址在IPv4網絡中通信。這種地址是由96個0加上32bit IPv4地址組成的，例如，假設某節點的IPv4地址是19256.1.1，那么兼容IPv4的IPv6地址就是0: 0:0:0:0:0:C038:101。 　　雙IP協議棧是在一個系統（如一個主機或一個路由器）中同時使用IPv4和IPv6兩個協議棧。這類系統既擁有IPv4地址，也擁有IPv6地址，因而可以收發IPv4和IPv6兩種IP數據報。
　　
　　　　與雙IP協議棧相比，基于IPv4隧道的IPv6是一種更為復雜的技術，它是將整個IPv6數據報封裝在IPv4數據報中，由此實現在當前的IPv4網絡（如Internet）中IPv6節點與IPv4節點之間的I P通信?；贗Pv4隧道的IPv6實現過程分為三個步驟：封裝、解封和隧道管理。封裝，是指由隧道起始點創建一個IPv4包頭，將 IPv6數據報裝入一個新的IPv4數據報中。解封，是指由隧道終結點移去IPv4包頭，還原原始的IPv6數據報。隧道管理，是指由隧道起始點維護隧道的配置信息，如隧道支持的最大傳輸單元（MTU）的尺寸等。
　　
　　　　IPv6是一個建立可靠的、可管理的、安全和高效的IP網絡的長期解決方案。盡管IPv6的實際應用之日還需耐心等待，不過，了解和研究IPv6的重要特性以及它針對目前IP網絡存在的問題而提供的解決方案，對于制定企業網絡的長期發展計劃，規劃網絡應用的未來發展方向，都是十分有益的。

原文轉自：http://www.anti-gravitydesign.com