工业和信息化部关于开展2019年IPv6网络就绪专项行动的通知,可能很多人还不是太了解IPV6是什么,这里做个普及和温习吧。
IPv6是Internet Protocol Version 6的缩写,其中Internet Protocol译为”互联网协议“。IPv6是IETF(互联网工程任务组,Internet Engineering Task Force)设计的用于替代现行版本IP协议(IPv4)的下一代IP协议,号称可以为全世界的每一粒沙子编上一个网址 。
工信部通信函〔2019〕95号
各省、自治区、直辖市通信管理局,部属各单位、部属各高校,中国电信集团有限公司、中国移动通信集团有限公司、中国联合网络通信集团有限公司、中国广播电视网络有限公司,阿里巴巴(中国)有限公司、深圳市腾讯计算机系统有限公司、百度在线网络技术(北京)有限公司、华为技术有限公司、苹果公司、三星(中国)投资有限公司、中兴通讯股份有限公司、小米科技有限责任公司、广东欧珀移动通信有限公司、维沃移动通信有限公司、联想控股股份有限公司、魅族科技有限公司、世纪互联数据中心有限公司、鹏博士电信传媒集团股份有限公司、北京奇虎科技有限公司、厦门秦淮科技有限公司、北京新网互联软件服务有限公司、北京方正信息技术有限公司、成都西维数码科技有限公司、万国数据服务有限公司、北京光环新网科技股份有限公司、网宿科技股份有限公司、北京蓝汛通信技术有限责任公司、北京金山云网络技术有限公司、上海优刻得信息科技有限公司、白山云科技有限公司、上海帝联信息科技发展有限公司、上海七牛信息技术有限公司、北京京东世纪信息技术有限公司、北京优帆科技有限公司、普联技术有限公司、友讯科技股份有限公司、深圳市吉祥腾达科技有限公司、华硕电脑股份有限公司:
为深入贯彻落实《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字〔2017〕47号),持续推进IPv6在网络各环节的部署和应用,全面提升用户渗透率和网络流量,加快提升我国互联网IPv6发展水平,我部决定于2019年开展中国IPv6网络就绪专项行动。有关事项通知如下:
一、重点工作任务
(一)网络基础设施IPv6能力就绪
骨干网、城域网、接入网全面完成IPv6改造,并开通IPv6业务承载功能;到2019年末,武汉、西安、沈阳、南京、重庆、杭州、贵阳·贵安、福州8个互联网骨干直联点完成IPv6升级改造,支持互联网网间IPv6流量交换。
基础电信企业为支持IPv6的全部在网移动终端、固定终端分配IPv6地址;完善IPv6专线产品开通流程,为政企客户快速开通IPv6专线接入并支持分配IPv6地址。自2019年6月起,根据客户需求为新签或续签服务合同的政企客户分配IPv6地址。
(二)应用基础设施提升IPv6业务承载能力
基础电信企业数据中心全面完成IPv6改造,为用户提供基于IPv6的互联网数据中心服务;到2019年末,世纪互联、鹏博士、秦淮科技、新网互联、方正信息、西部数码、万国数据、光环新网等数据中心运营企业完成大型以上数据中心内部网络和出口设备的IPv6改造。
网宿科技、阿里云、腾讯云、蓝汛、金山云、世纪互联、UCloud、白山云、七牛云、中国移动完成内容分发网络(CDN)IPv6改造,在全国范围内提供IPv6流量优化调度能力。到2019年末,CDN的IPv6本地覆盖能力达到IPv4本地覆盖能力的85%以上,开通IPv6带宽达到IPv4带宽的10%。
阿里云、天翼云、腾讯云、沃云、华为云、移动云、百度云、金山云、京东云、UCloud、青云等云服务企业完成云平台的双栈改造。到2019年末,完成包含IPv6云主机、负载均衡、内容分发、域名解析、云桌面、对象存储、云数据库、API网关、Web应用防火墙、DDOS高防、弹性IPS等在内的70%公有云产品IPv6改造;根据客户需求,提供支持IPv6的政务云产品。
(三)终端设备增强IPv6支持能力
华为、苹果、三星、中兴、小米、OPPO、VIVO、魅族、联想、一加、金立、TCL、海信等品牌新申请进网的相关移动终端出厂默认配置支持IPv4/IPv6双栈;终端生产企业应加快系统软件升级,推动存量移动终端支持IPv6。
新部署的家庭网关设备应全部支持IPv6,并默认配置支持IPv4/IPv6双栈,能够为网关下挂设备分配IPv6地址;到2019年末,完成70%存量智能家庭网关的IPv6升级。
TP-LINK、D-LINK、华为、腾达、华硕、网件、小米等企业新生产的家庭路由器应支持IPv6,并向存量家庭路由器设备推送支持IPv6的固件版本。
(四)网站及互联网应用生态加快向IPv6升级
部属各单位、部属各高校、各省(区、市)通信管理局及其直属事业单位完成门户网站IPv6改造,新建网站及外部系统应全面支持IPv6访问。
基础电信企业集团及下属省级公司门户网站、网上营业厅、自营移动互联网应用(APP)及相应服务器全部支持IPv6访问,并能够统计IPv6活跃用户数。
应用宝、360手机助手、豌豆荚、OPPO软件商店、百度手机助手、华为应用市场、小米应用商店、VIVO应用商店、MM商场、沃商店、天翼空间对上架的APP按照统一的方法及检测工具开展IPv6支持度检测与标识工作;自2019年6月起,各应用商店在醒目位置为支持IPv6的APP设置专区并推荐用户使用;到2019年末,各应用商店新上架的APP均应支持在IPv6网络环境正常工作。
开发者在开发APP、软件开发工具包(SDK)以及服务器端程序时,应考虑支持IPv6访问。
鼓励典型行业、重点工业企业积极开展基于IPv6的工业互联网网络和应用改造试点示范,促进IPv6在工业互联网、物联网等新兴领域中融合应用创新。
(五)IPv6网络及服务性能持续提升
持续优化IPv6网络传输性能,提升数据中心、内容分发网络、云服务平台的IPv6服务能力。到2019年9月末,IPv6网络基础设施、应用基础设施为用户提供与IPv4趋同质量的服务,平均丢包率、时延等指标与IPv4性能相比劣化不超过10%。
(六)IPv6网络安全保障进一步加强
各企业要进一步完善网络安全管理制度体系,涵盖IPv6安全防护和管理相关要求;同步升级防火墙/WAF、IDS/IPS、4A系统等IPv6网络安全防护手段;同步改造僵木蠕监测处置系统、移动互联网恶意程序监测处置系统、上网日志留存系统、IDC/ISP信息安全管理系统等网络安全监测处置系统;到2019年末,完成已升级改造的基础网络、业务系统、CDN/IDC、云服务平台、域名系统等网络和系统单元的定级备案、符合性评测和风险评估等网络安全防护工作。
相关机构开展IP承载网、CDN/IDC、核心路由器、安全防护设备等IPv6网络安全防护相关标准制修订工作。搭建IPv6测试环境,通过网络安全漏洞众测等方式,验证相关企业已部署的网络安全防护手段有效性。通过网络安全试点示范等方式,支持相关企业和机构开展工业互联网、物联网、车联网、云计算、大数据、人工智能等新兴领域IPv6网络安全威胁防范和应对研究。
二、2019年末主要目标
(一)获得IPv6地址的LTE终端比例达到90%,获得IPv6地址的固定宽带终端比例达到40%。
(二)LTE网络IPv6活跃连接数达到8亿。其中,中国电信集团有限公司达到1.6亿,中国移动通信集团有限公司达到4.8亿,中国联合网络通信集团有限公司达到1.6亿。
(三)完成全部13个互联网骨干直联点IPv6改造。
三、保障措施
(一)严格落实责任。各企业要对照工作目标和重点任务,细化分解任务、层层压实责任。各基础电信企业集团公司在对各省级子(分)公司的业绩考核中,应将IPv6相关任务完成情况作为重要考核指标,并安排资金保障IPv6各项任务落实。各企业要建立本年度IPv6改造任务清单及台帐,并于2019年6月、12月底向工业和信息化部(信息通信发展司)报送工作进展情况。
(二)完善监测平台。中国信息通信研究院要加强IPv6发展监测平台建设,完善监测平台功能和性能,开展IPv6网络性能、APP及网站IPv6支持程度等在线监测工作,定期发布IPv6发展监测报告;加强监测平台网络信息安全防护,确保系统安全稳定运行;制定统一的APPIPv6支持度检测方法,开发相关检测工具。各企业要积极配合,根据监测需要在已完成IPv6改造的数据中心、CDN节点、云服务平台以及网关设备、网站、APP、应用市场等各环节部署节点,接入监测平台上报活跃用户、流量等统计数据。
(三)加强对接协调。我部将建立基础电信企业、CDN企业、云服务平台企业以及互联网应用企业对接协调机制,聚焦各企业实施IPv6改造过程中存在的困难问题,通过定期召开协调会议、建立问题清单和任务台账等方式,推进网络基础设施、应用基础设施、互联网应用高效协同和无缝对接。
(四)开展抽查抽测。各通信管理局要瞄准重点任务、紧扣时间节点,通过明查暗访或者利用IPv6发展监测平台在线抽测等形式,加强对属地相关企业推进IPv6相关工作进度与质量的日常监督,每半年将相关工作情况报送我部(信息通信发展司)。我部将对各企业工作情况进行抽查,对网络、应用、终端各环节IPv6支持度进行抽测,抽查结果将向社会进行通报。
(五)优化保障措施。完善互联网信息服务备案管理制度,在互联网信息服务备案时明确要求提供支持IPv6相关信息;加强和完善IPv6地址备案系统的建设和备案核查、管理,督导基础电信企业严格落实IPv6接入地址编码规划方案和IPv6备案管理要求;完善相关电信业务管理要求,数据中心(含云服务)、CDN等运营企业在提交年报时,应提供支持IPv6相关情况;严格落实电信设备进网检测相关要求,检测机构开展设备进网检测时,应对相关设备IPv6支持情况进行检测。
特此通知。
(联系电话:010-68206159)
工业和信息化部
2019年4月1日
IPv6协议主要定义了三种地址类型:单播地址(Unicast Address)、组播地址(Multicast Address)和任播地址(Anycast Address)。与原来在IPv4地址相比,新增了”任播地址”类型,取消了原来IPv4地址中的广播地址,因为在IPv6中的广播功能是通过组播来完成的。
单播地址:用来唯一标识一个接口,类似于IPv4中的单播地址。发送到单播地址的数据报文将被传送给此地址所标识的一个接口。
组播地址:用来标识一组接口(通常这组接口属于不同的节点),类似于IPv4中的组播地址。发送到组播地址的数据报文被传送给此地址所标识的所有接口。
任播地址:用来标识一组接口(通常这组接口属于不同的节点)。发送到任播地址的数据报文被传送给此地址所标识的一组接口中距离源节点最近(根据使用的路由协议进行度量)的一个接口。
IPv6地址类型是由地址前缀部分来确定,主要地址类型与地址前缀的对应关系如下:
地址类型 | 地址前缀(二进制) | IPv6前缀标识 | |
单播地址 | 未指定地址 | 00…0(128 bits) | ::/128 |
环回地址 | 00…1(128 bits) | ::1/128 | |
链路本地地址 | 1111111010 | FE80::/64 | |
唯一本地地址 | 1111 110 | FC00::/7
(包括FD00::/8和 不常用的FC00::/8) |
|
站点本地地址(已弃用,被唯一本地地址代替) | 1111111011 | FEC0::/10 | |
全球单播地址 | 其他形式 | – | |
组播地址 | 11111111 | FF00::/8 | |
任播地址 | 从单播地址空间中进行分配,使用单播地址的格式 |
单播地址
IPv6单播地址与IPv4单播地址一样,都只标识了一个接口。为了适应负载平衡系统,RFC3513允许多个接口使用同一个地址,只要这些接口作为主机上实现的IPv6的单个接口出现。单播地址包括四个类型:全局单播地址、本地单播地址、兼容性地址、特殊地址。
一、全球单播地址:等同于IPv4中的公网地址,可以在IPv6 Internet上进行全局路由和访问。这种地址类型允许路由前缀的聚合,从而限制了全球路由表项的数量。
二、本地单播地址:
链路本地地址和唯一本地地址都属于本地单播地址,在IPv6中,本地单播地址就是指本地网络使用的单播地址,也就是IPV4地址中局域网专用地址。每个接口上至少要有一个链路本地单播地址,另外还可分配任何类型(单播、任播和组播)或范围的IPv6地址。
(1)、链路本地地址(FE80::/64):仅用于单个链路(链路层不能跨VLAN),不能在不同子网中路由。结点使用链路本地地址与同一个链路上的相邻结点进行通信。例如,在没有路由器的单链路IPv6网络上,主机使用链路本地地址与该链路上的其他主机进行通信。
(2)、唯一本地地址(FC00::/7):唯一本地地址是本地全局的,它应用于本地通信,但不通过Internet路由,将其范围限制为组织的边界。
(3)、站点本地地址(FEC0::/10,新标准中已被唯一本地地址代替):相当于IPv4中的局域网专用地址,仅可在本地局域网中使用。例如,没有与IPv6 Internet的直接路由连接的专用Intranet可以使用不会与全局地址冲突的站点本地地址。站点本地地址可以与全局单播地址配合使用,也就是在一个接口上可以同时配置站点本地地址和全局单播地址。但使用站点本地地址作为源或目的地址的数据报文不会被转发到本站(相当于一个私有网络)外的其他站点。
三、兼容性地址:在IPv6的转换机制中还包括了一种通过IPv4路由接口以隧道方式动态传递IPv6包的技术。这样的IPv6结点会被分配一个在低32位中带有全球IPv4单播地址的IPv6全局单播地址。另有一种嵌入IPv4的IPv6地址,用于局域网内部,这类地址用于把IPv4结点当作IPv6结点。此外,还有一种称为”6to4″的IPv6地址,用于在两个通过Internet同时运行IPv4和IPv6的结点之间进行通信。
四、特殊地址:包括未指定地址和环回地址。未指定地址(0:0:0:0:0:0:0:0或::)仅用于表示某个地址不存在。它等价于IPv4未指定地址0.0.0.0。未指定地址通常被用做尝试验证暂定地址唯一性数据包的源地址,并且永远不会指派给某个接口或被用做目标地址。环回地址(0:0:0:0:0:0:0:1或::1)用于标识环回接口,允许节点将数据包发送给自己。它等价于IPv4环回地址127.0.0.1。发送到环回地址的数据包永远不会发送给某个链接,也永远不会通过IPv6路由器转发 。
组播地址
IPv6组播地址可识别多个接口,对应于一组接口的地址(通常分属不同节点)。发送到组播地址的数据包被送到由该地址标识的每个接口。使用适当的组播路由拓扑,将向组播地址发送的数据包发送给该地址识别的所有接口。任意位置的IPv6节点可以侦听任意IPv6组播地址上的组播通信。IPv6节点可以同时侦听多个组播地址,也可以随时加入或离开组播组。
IPv6组播地址的最明显特征就是最高的8位固定为1111 1111。IPv6地址很容易区分组播地址,因为它总是以FF开始的 。
折叠任播地址
一个IPv6任播地址与组播地址一样也可以识别多个接口,对应一组接口的地址。大多数情况下,这些接口属于不同的节点。但是,与组播地址不同的是,发送到任播地址的数据包被送到由该地址标识的其中一个接口。
通过合适的路由拓扑,目的地址为任播地址的数据包将被发送到单个接口(该地址识别的最近接口,最近接口定义的根据是因为路由距离最近),而组播地址用于一对多通信,发送到多个接口。一个任播地址必须不能用作IPv6数据包的源地址;也不能分配给IPv6主机,仅可以分配给IPv6路由器 。
使用协议
地址配置协议
IPv6使用两种地址自动配置协议,分别为无状态地址自动配置协议(SLAAC)和IPv6动态主机配置协议(DHCPv6)。SLAAC不需要服务器对地址进行管理,主机直接根据网络中的路由器通告信息与本机MAC地址结合计算出本机IPv6地址,实现地址自动配置;DHCPv6由DHCPv6服务器管理地址池,用户主机从服务器请求并获取IPv6地址及其他信息,达到地址自动配置的目的。
一、无状态地址自动配置
无状态地址自动配置的核心是不需要额外的服务器管理地址状态,主机可自行计算地址进行地址自动配置,包括4个基本步骤:
1. 链路本地地址配置。主机计算本地地址。
2. 重复地址检测,确定当前地址唯一。
3. 全局前缀获取,主机计算全局地址。
4. 前缀重新编址,主机改变全局地址 。
二、IPv6动态主机配置协议
IPv6动态主机配置协议DHCPv6是由IPv4场景下的DHCP发展而来。客户端通过向DHCP服务器发出申请来获取本机IP地址并进行自动配置,DHCP服务器负责管理并维护地址池以及地址与客户端的映射信息。
DHCPv6在DHCP的基础上,进行了一定的改进与扩充。其中包含3种角色:DHCPv6客户端,用于动态获取IPv6地址、IPv6前缀或其他网络配置参数;DHCPv6服务器,负责为DHCPv6客户端分配IPv6地址、IPv6前缀和其他配置参数;DHCPv6中继,它是一个转发设备。通常情况下。DHCPv6客户端可以通过本地链路范围内组播地址与DHCPv6服务器进行通信。若服务器和客户端不在同一链路范围内,则需要DHCPv6中继进行转发。DHCPv6中继的存在使得在每一个链路范围内都部署DHCPv6服务器不是必要的,节省成本,并便于集中管理 。
路由协议
IPv4初期对IP地址规划的不合理,使得网络变得非常复杂,路由表条目繁多。尽管通过划分子网以及路由聚集一定程度上缓解了这个问题,但这个问题依旧存在。因此IPv6设计之初就把地址从用户拥有改成运营商拥有,并在此基础上,路由策略发生了一些变化,加之IPv6地址长度发生了变化,因此路由协议发生了相应的改变。
与IPv4相同,IPv6路由协议同样分成内部网关协议(IGP)与外部网关协议(EGP),其中IGP包括由RIP变化而来的RIPng,由OSPF变化而来的OSPFv3,以及IS-IS协议变化而来的IS-ISv6。EGP则主要是由BGP变化而来的BGP4+ 。
一、RIPng
下一代RIP协议(RIPng)是对原来的RIPv2的扩展。大多数RIP的概念都可以用于RIPng。为了在IPv6网络中应用,RIPng对原有的RIP协议进行了修改:
UDP端口号:使用UDP的521端口发送和接收路由信息。
组播地址:使用FF02::9作为链路本地范围内的RIPng路由器组播地址。
路由前缀:使用128位的IPv6地址作为路由前缀。
下一跳地址:使用128位的IPv6地址。
二、OSPFv3
RFC 2740定义了OSPFv3,用于支持IPv6。OSPFv3与OSPFv2的主要区别如下:
1. 修改了LSA的种类和格式,使其支持发布IPv6路由信息。
2. 修改了部分协议流程。主要的修改包括用Router-lD来标识邻居,使用链路本地地址来发现邻居等,使得网络拓扑本身独立于网络协议,以便于将来扩展。
3. 进一步理顺了拓扑与路由的关系。OSPFv3在LSA中将拓扑与路由信息相分离,在一、二类LSA中不再携带路由信息,而只是单纯的拓扑描述信息,另外增加了八、九类LSA,结合原有的三、五、七类LSA来发布路由前缀信息。
4. 提高了协议适应性。通过引入LSA扩散范围的概念进一步明确了对未知LSA的处理流程,使得协议可以在不识别LSA的情况下根据需要做出恰当处理,提高了协议的可扩展性。
三、BGP 4+
传统的BGP 4只能管理IPv4的路由信息,对于使用其他网络层协议(如IPv6等)的应用,在跨自治系统传播时会受到一定的限制。为了提供对多种网络层协议的支持,IETF发布的RFC2858文档对BGP 4进行了多协议扩展,形成了BGP4+。
为了实现对IPv6协议的支持,BGP 4+必须将IPv6网络层协议的信息反映到NLRl(Network Layer Reachable Information)及下一跳(Next Hop)属性中。为此,在BGP4+中引入了下面两个NLRI属性。
MP_REACH_NLRI:多协议可到达NLRI,用于发布可到达路由及下一跳信息。
MP_UNREACH_NLRI:多协议不可达NLRI,用于撤销不可达路由。
BGP 4+中的Next Hop属性用IPv6地址来表示,可以是IPv6全球单播地址或者下一跳的链路本地地址。BGP 4原有的消息机制和路由机制没有改变。
四、ICMPv6协议
ICMPv6协议用于报告IPv6节点在数据包处理过程中出现的错误消息,并实现简单的网络诊断功能。ICMPv6新增加的邻居发现功能代替了ARP协议的功能,所以在IPv6体系结构中已经没有ARP协议了。除了支持IPv6地址格式之外,ICMPv6还为支持IPv6中的路由优化、IP组播、移动IP等增加了一些新的报文类型 。
过渡技术
IPv6不可能立刻替代IPv4,因此在相当一段时间内IPv4和IPv6会共存在一个环境中。要提供平稳的转换过程,使得对现有的使用者影响最小,就需要有良好的转换机制。这个议题是IETF ngtrans工作小组的主要目标,有许多转换机制被提出,部分已被用于6Bone上。IETF推荐了双协议栈、隧道技术以及网络地址转换等转换机制:
一、IPv6/IPv4双协议栈技术
双栈机制就是使IPv6网络节点具有一个IPv4栈和一个IPv6栈,同时支持IPv4和IPv6协议。IPv6和IPv4是功能相近的网络层协议,两者都应用于相同的物理平台,并承载相同的传输层协议TCP或UDP,如果一台主机同时支持IPv6和IPv4协议,那么该主机就可以和仅支持IPv4或IPv6协议的主机通信。
二、隧道技术
隧道技术隧道机制就是必要时将IPv6数据包作为数据封装在IPv4数据包里,使IPv6数据包能在已有的IPv4基础设施(主要是指IPv4路由器)上传输的机制。随着IPv6的发展,出现了一些运行IPv4协议的骨干网络隔离开的局部IPv6网络,为了实现这些IPv6网络之间的通信,必须采用隧道技术。隧道对于源站点和目的站点是透明的,在隧道的入口处,路由器将IPv6的数据分组封装在IPv4中,该IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址,在隧道出口处,再将IPv6分组取出转发给目的站点。隧道技术的优点在于隧道的透明性,IPv6主机之间的通信可以忽略隧道的存在,隧道只起到物理通道的作用。隧道技术在IPv4向IPv6演进的初期应用非常广泛。但是,隧道技术不能实现IPv4主机和IPv6主机之间的通信。
三、网络地址转换技术
网络地址转换(Network Address Translator,NAT)技术是将IPv4地址和IPv6地址分别看作内部地址和全局地址,或者相反。例如,内部的IPv4主机要和外部的IPv6主机通信时,在NAT服务器中将IPv4地址(相当于内部地址)变换成IPv6地址(相当于全局地址),服务器维护一个IPv4与IPv6地址的映射表。反之,当内部的IPv6主机和外部的IPv4主机进行通信时,则IPv6主机映射成内部地址,IPv4主机映射成全局地址。NAT技术可以解决IPv4主机和IPv6主机之间的互通问题 。
优势特点
IPv4和IPv6地址对比与IPV4相比,IPV6具有以下几个优势:
一、IPv6具有更大的地址空间。IPv4中规定IP地址长度为32,最大地址个数为2^32;而IPv6中IP地址的长度为128,即最大地址个数为2^128。与32位地址空间相比,其地址空间增加了2^128-2^32个。
二、IPv6使用更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。
三、IPv6增加了增强的组播(Multicast)支持以及对流的控制(Flow Control),这使得网络上的多媒体应用有了长足发展的机会,为服务质量(QoS,Quality of Service)控制提供了良好的网络平台。
四、IPv6加入了对自动配置(Auto Configuration)的支持。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。
H3C IPv6网解决方案五、IPv6具有更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,在IPV6中的加密与鉴别选项提供了分组的保密性与完整性。极大的增强了网络的安全性。
六、允许扩充。如果新的技术或应用需要时,IPV6允许协议进行扩充。
七、更好的头部格式。IPV6使用新的头部格式,其选项与基本头部分开,如果需要,可将选项插入到基本头部与上层数据之间。这就简化和加速了路由选择过程,因为大多数的选项不需要由路由选择。
八、新的选项。IPV6有一些新的选项来实现附加的功能 。
安全性能
原来的Internet安全机制只建立于应用程序级,如E-mail加密、SNMPv2网络管理安全、接入安全(HTTP、SSL)等,无法从IP层来保证Internet的安全。IP级的安全保证分组的鉴权和私密特性,其具体实现主要由IP的AH(Authentication Header)和ESP(Encapsulating Security Payload)标记来实现。IPv6实现了IP级的安全。
一、安全协议套:是发送者和接收者的双向约定,只由目标地址和安全参数索引(SPI)确定。
二、包头认证:提供了数据完整性和分组的鉴权。
三、安全包头封装:ESP根据用户的不同需求,支持IP分组的私密和数据完整性。 它既可用于传送层(如TCP、UDP、ICMP)的加密, 称传送层模式ESP,同时又可用于整个分组的加密,称隧道模式ESP。
四、ESPDES-CBC方式:ESP处理一般必须执行DES-CBC加密算法,数据分为以64位为单位的块进行处理,解密逻辑的输入是现行数据和先前加密数据块的与或。
五、鉴权加私密方式:根据不同的业务模式,两种IP安全机制可以按一定的顺序结合,从而达到分组传送加密的目的。按顺序的不同,分为鉴权之前加密和加密之前鉴权 。
应用前景
虽然IPv6在全球范围内还仅仅处于研究阶段,许多技术问题还有待于进一步解决,并且支持IPv6的设备电非常有限。但总体来说,全球IPv6技术的发展不断进行着,并且随着IPv4消耗殆尽,许多国家已经意识到了IPv6技术所带来的优势,特别是中国,通过一些国家级的项目,推动了IPv6下一代互联网全面部署和大规模商用。随着IPv6的各项技术日趋完美。IPv6成本过高、发展缓慢、支持度不够等问题将很快淡出人们的视野 。