【科讯】蓝汛IPv6的基础、迁移和安全

本篇文章4066字，读完约10分钟

年11月2日印发了《推进网络协议第6版( ipv6 )规模部署行动计划》，ipv6落地，强制执行。 我打算在5年到10年间形成下一代网络的自主技术体系和产业生态，建议建设世界上最大规模的ipv6商业应用互联网。

到年底，市场主导的良性快速发展环境基本形成，ipv6活动用户数达到2亿人，占网络用户的20%以上。

到年底，市场主导的良性快速发展环境日益完善，ipv6活动用户超过5亿人，超过50%的网络用户，新的互联网地址不再采用私人ipv4地址。

2025年底，中国的ipv6互联网规模、客户规模、流量规模居世界第一，互联网、应用、终端全面支持ipv6，全面完成了向下一代网络的顺利进化。

由此可知，要求年末实现2亿活动用户的目标，对isp、icp都是很大的课题。 另外，也是国家机关网站ipv6迁移的硬性指标。 这给cdn市场带来了新的机会，为用户和潜在的目标组提供了快速安全地实现ipv6业务合规性在线化和迁移的机会。 本文介绍了ipv6的重要技术知识点。

ipv6地址

ipv4的地址长度为32，地址空间为2的32次方，约42亿个(世界平均3个个体中有2个ip地址)。

ipv6的地址长度为128位，地址空间为2的128次方，约3.4 10^38个。

显示ipv6地址

ipv4地址显示

二进制: 10101100000100000000000000000000000001

10进:172.16.1.1

ipv6地址显示

16进数:2001:0410:0000:0001:0000:0000:0000:45ff

ipv6地址和ipv4地址的显示方法不同，用16进制表示，用4位一组，中间用:隔开。

ipv6地址的压缩表示

从图中可以看到，地址中以0开头的组可以省略0，连续的多个全0字段由:: 压缩代替。

ipv6地址=前缀+接口id

其中，前缀相当于ipv4地址的因特网id，接口id相当于ipv4地址的主机id。 前缀的长度与ipv4地址id相同，用/xx表示。 例如: 2001:da8:207::8207/64。

ipv6地址分类

单播地址( unicast address )

适合从单个节点到单个节点的数据传输，如ipv4的unicast模式。 目标地址标识发送到标识了单播地址消息的接口的接口.。

这种类型的ipv6地址可以分为四种类型:全球、站点本地、链路本地和ipv4-compatible 4。

接下来，我们将对这些类型进行比较和说明

global地址

前3bits开头代码，复制固定为001，最后的64bits是接口id。 接口id的作用类似于ipv4的主机地址( host id )。

site-local地址

从前10位开始，副本固定为1111111011，从38位0到16位子网地址( subnet id )，最后是64位接口标识符。

link-local地址

前10位也是顶级代码，拷贝固定在1111111010，接着是54位连续的0，最后的64位也是接口标志。

IP v4 -兼容地址

没有所谓的前缀和接口标识符，在原来的32bits的ipv4地址之前只附加了96bits的0。

组播地址( multicast address )

ipv6的组播集成了ipv4的multicast和广播传输( broadcast )，适用于从单个节点到多节点的传输。 识别多个接口，目的地地址为多播地址的消息被发送到所有识别的接口。

4-bit的lifetime值为0时为永久属性，值为1时为临时属性。

常见的组播地址包括:

任意广播地址( anycast address )

anycast的特殊之处在于多个节点可以采用一个anycast地址，但是发送到此地址的消息不是实际发送到这些节点，而是基于最近的节点或最低的节点(路由表)

在rfc4291的规定中，现在的anycast地址只能分配给路由器，不能分配给个人电脑，而且也不能是发送目的地地址。 此ipv6地址的前缀长度不固定，除前缀以外的所有位都是0。

设备ipv6地址的设置方法

从前面可以看到，设备后面的64位地址与设备相关联。 因为如何设定这个64bit的地址段是与设备相关的。

现在有四种设定方法。

用eui-64设定的

用自动生成的伪随机数设定的

在dhcpv6中设定

手动设定

eui-64

eui-64是根据设备的mac地址生成此64位地址字段。 因为mac地址是48bit，所以把48bit的mac地址对分成2个，通过在2个之间填充0xfffe来补充64bit。

自动生成的伪随机数

如何比较eui-64可能带来的主机mac地址和ipv6地址的对应关系引起的安全隐患，并使用自动生成的伪随机数来避免。

icmpv6和neighbor discovery

icmpv6基于rfc 2463，对于ipv4的icmp进化，基本的信令模式类似，但信令的种类和code发生了变化。

icmpv6提供以下新闻的承载。

错误的消息

提示性新闻

mtu路径检测

neighbor discovery

icmpv6错误信息

目标达成不可(icmp packet type1)

无法达成目标通过说明代码通知无法达成的原因。

o 0 - no route to destination

o 1 - access is administratively prohibited

o 3 - address unreachable

o 4 - port unreachable

包太大了( icmp包类型2 )

证明数据包大于ipv6链路的mtu。 ipv6不会根据mtu分包数据包，因此icmp新闻会通知源数据包大于mtu。

超时( icmp packet type3)

超过了跳数。

参数错误( icmp packet type4)

同样，有说明代码通知理由。

o 0 - erroneous header field

o 1 - unrecognized next-header type

o 2 - unrecognized ipv6 option

neighbor discovery

neighbor发现协议提供了在ipv6中启用设备的功能。

自动配置地址和地址前缀的检测。

冲突地址的发现

mtu的发现

发现路由。

地址解析

ipv6路由器定期发送路由器通告( RA )，促使提供根的存在和主机配置消息。 ra新闻是icmp type 134新闻，以发送路由器的单播地址为源，目标地址是link-scope all-nodes的组播地址。 ra设定255是跳数限制，无法发送到local link以外的互联网。

主机通过ra进行本地路由配置，主机还可以通过发送路由器解决方案( RS )请求ra。

ipv6和dns

在ipv4的dns中，从hostname到ip的分析，而在ipv6的dns中，从host到ip的分析是什么？

在ipv6中，ipv4的a记录是AAA记录，如下所示。

aaaa record:

abc.test aaaa 2001:db8:c18:1::2

在ipv6中，ptr比ipv4的ptr记录长得多。

ptr record:

2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.1.c.0.

8.b.d.0.1.0.0.2.ip6.arpa ptr abc.test.

ipv6中的移动ip

rfc 3775可以总是访问ipv6节点，而不管ipv6节点位于ipv6互联网的哪里，以及与ipv6节点通信的其他节点是否支持ipv6。

移动ipv6从移动ipv4参考了以下几个概念和术语

移动节点( mn )

家庭代理( ha )

家里的地址

家乡的链接

转交地址

外来链接

移动ip机制的实现

如果移动节点位于家庭链路上，则使用以前的路由方法与通信节点进行通信。

移动节点移动到外部链路时，无状态自动配置或无状态自动配置将配置转交地址。 然后，移动节点在家庭链路的路由器上注册其primary转交地址，并请求该路由器充当其家庭代理。 这个过程被称为绑定。 移动节点发送binding update消息，本地代理通过响应binding acknowledgement来完成绑定过程。

在这种情况下，移动节点可以通过两种方法和通信节点进行通信。

【1】双向隧道模式

通信节点不需要支持移动ipv6，也不需要移动节点和通信节点之间的绑定注册。 通信节点不知道移动节点的转交地址，像向其他固定节点发送分组一样向移动节点发送分组。 通信节点只需将移动节点的本地地址(知道的唯一地址)放在目标ipv6地址域中，将自己的地址放在源ipv6地址域中，然后转发数据包。 这将数据包像移动ipv4一样发送到移动节点的家庭链路。 在归属链路中，归属代理采用代理邻居协议( proxy nd )，监听该分组，作为有效载荷，在其上附加ipv6报头，将新分组发送到移动节点的转交地址的过程将隧道技术 移动节点打开发送来的数据包，发现内层数据包的目的地是其家乡地址，将内层数据包交给上层协议解决。 从移动节点到通信节点的反向隧道发送到归属代理，然后根据以前的路由方法发送到移动节点。

图2是路由优化的通信模式

通信节点支持移动ipv6，移动节点必须注册其绑定并连接到通信节点。 通信节点向移动节点发送消息后，首先从该绑定缓存中查找包含移动节点的ip地址的条目，如果找到了，则使用type 2路由报头查找消息(消息的目的地ip地址是移动节点 type 2路由报头包含移动节点的归属地址，当消息到达移动节点的转交地址时，移动节点将路由报头的home address作为消息的最后目的地地址，移动节点将 同样，移动节点使用home address option通知通信节点自己的家乡地址。 路由消除了与双向隧道定向相关的传输延迟。