IPv6網絡標準的連網和加密方式
對于IPv6網絡標準這個新的網絡準則,相對于IPv4版本的網絡協議在諸多方面有所改進。現在我們將對IPv6網絡標準中的連網方式和網絡加密方式進行一個深入的探討。通過文章內容,望大家對這兩方面內容能有所掌握。
即插即用的連網方式
IPv6把自動將IP地址分配給用戶的功能作為標準功能。只要機器一連接上網絡便可自動設定地址。它有兩個優點。一是最終用戶用不著花精力進行地址設定,二是可以大大減輕網絡管理者的負擔。IPv6網絡標準有兩種自動設定功能。一種是和IPv4自動設定功能一樣的名為“全狀態自動設定”功能。另一種是“無狀態自動設定”功能。
在IPv4中,動態主機配置協議(Dynamic Host Configuration Protocol,DHCP)實現了主機IP地址及其相關配置的自動設置。一個DHCP服務器擁有一個IP地址池,主機從DHCP服務器租借IP地址并獲得有關的配置信息(如缺省網關、DNS服務器等),由此達到自動設置主機IP地址的目的。IPv6網絡標準繼承了IPv4的這種自動配置服務,并將其稱為全狀態自動配置(Stateful Autoconfiguration)。
在無狀態自動配置(Stateless Autoconfiguration)過程中,主機首先通過將它的網卡MAC地址附加在鏈接本地地址前綴1111111010之后,產生一個鏈路本地單點傳送地址。接著主機向該地址發出一個被稱為鄰居發現(neighbor discovery)的請求,以驗證地址的唯一性。
如果請求沒有得到響應,則表明主機自我設置的鏈路本地單點傳送地址是唯一的。否則,主機將使用一個隨機產生的接口ID組成一個新的鏈路本地單點傳送地址。然后,以該地址為源地址,主機向本地鏈路中所有路由器多點傳送一個被稱為路由器請求( router solicitation)的配置信息。路由器以一個包含一個可聚集全球單點傳送地址前綴和其它相關配置信息的路由器公告響應該請求。主機用它從路由器得到的全球地址前綴加上自己的接口ID,自動配置全球地址,然后就可以與Internet中的其它主機通信了。使用無狀態自動配置,無需手動干預就能夠改變網絡中所有主機的IP地址。
例如,當企業更換了聯入Internet的ISP時,將從新ISP處得到一個新的可聚集全球地址前綴。ISP把這個地址前綴從它的路由器上傳送到企業路由器上。由于企業路由器將周期性地向本地鏈路中的所有主機多點傳送路由器公告,因此企業網絡中所有主機都將通過路由器公告收到新的地址前綴,此后,它們就會自動產生新的IP地址并覆蓋舊的IP地址。
使用IPv6網絡標準中的DHCPv6進行地址自動設定,連接于網絡的機器需要查詢自動設定用的DHCP服務器才能獲得地址及其相關配置。可是,在家庭網絡中,通常沒有DHCP服務器,此外在移動環境中往往是臨時建立的網絡,在這兩種情況下,當然使用無狀態自動設定方法為宜。
網絡層的認證與加密
安全問題始終是與Internet相關的一個重要話題。由于在 IP協議設計之初沒有考慮安全性,因而在早期的Internet上時常發生諸如企業或機構網絡遭到攻擊、機密數據被竊取等不幸的事情。為了加強Internet的安全性,從1995年開始,IETF著手研究制定了一套用于保護IP通信的IP安全(IPSec)協議。IPSec是IPv4的一個可選擴展協議,是IPv6網絡標準的一個必須組成部分。
IPSec的主要功能是在網絡層對數據分組提供加密和鑒別等安全服務,它提供了兩種安全機制:認證和加密。認證機制使 IP通信的數據接收方能夠確認數據發送方的真實身份以及數據在傳輸過程中是否遭到改動。加密機制通過對數據進行編碼來保證數據的機密性,以防數據在傳輸過程中被他人截獲而失密。IPSec的認證報頭(Authentication Header,AH)協議定義了認證的應用方法,安全負載封裝(Encapsulating Security Payload,ESP)協議定義了加密和可選認證的應用方法。在實際進行IP通信時,可以根據安全需求同時使用這兩種協議或選擇使用其中的一種。AH和ESP都可以提供認證服務,不過,AH提供的認證服務要強于ESP。
IPSec定義了兩種類型的SA:傳輸模式SA和隧道模式SA。
傳輸模式SA是在IP報頭(以及任何可選的擴展報頭)之后和任何高層協議(如TCP或UDP)報頭之前插入AH或ESP報頭;隧道模式SA是將整個原始的IP數據包放入一個新的IP數據包中。在采用隧道模式SA時,每一個IP數據包都有兩個IP報頭:外部IP報頭和內部IP報頭。外部IP報頭指定將對IP數據包進行IPSec處理的目的地址,內部IP報頭指定原始IP數據包最終的目的地址。傳輸模式SA只能用于兩個主機之間的IP通信,而IPv6網絡標準中的隧道模式SA既可以用于兩個主機之間的IP通信,還可以用于兩個安全網關之間或一個主機與一個安全網關之間的IP通信。安全網關可以是路由器、防火墻或VPN設備。
做為IPv6的一個組成部分,IPSec是一個網絡層協議。它只負責其下層的網絡安全,并不負責其上層應用的安全,如Web、電子郵件和文件傳輸等。也就是說,驗證一個Web會話,依然需要使用SSL協議。不過,TCP/IPv6協議簇中的協議可以從IPSec中受益,例如,用于IPv6的OSPFv6路由協議就去掉了用于IPv4的OSPF中的認證機制。
作為IPSec的一項重要應用,IPv6集成了虛擬專用網(VPN)的功能,使用IPv6可以更容易地、實現更為安全可靠的虛擬專用網。
