3.5 域名解析技術(shù)

　　3.5.1 IPv6域名系統(tǒng)的體系結(jié)構(gòu)是什么樣的？

　　IPv6網(wǎng)絡(luò)中的DNS與IPv4的DNS在體系結(jié)構(gòu)上是一致的，都是采用樹型結(jié)構(gòu)的域名空間，如下圖所示。IPv4協(xié)議與IPv6協(xié)議的不同并不意味著IPv4 DNS體系和IPv6 DNS體系需要各自獨(dú)立，相反，DNS的體系和域名空間必須一致，即IPv4和IPv6共同擁有統(tǒng)一的域名空間。在IPv4到IPv6的過渡階段，域名可以同時(shí)對應(yīng)于多個(gè)IPv4和IPv6的地址。以后隨著IPv6網(wǎng)絡(luò)的普及，IPv6地址將逐漸取代IPv4地址。下圖的最上方是DNS樹形結(jié)構(gòu)中唯一的一個(gè)根（Root），用點(diǎn)號“。”表示。根的下一級稱為頂級域（Top Level Domain，TLD），也稱一級域。頂級域的下級就是二級域（Second Level Domain，SLD），二級域的下級就是三級域，依次類推。每個(gè)域都是其上級域的子域（Sub Domain），比如“.net.cn”是“.cn”的子域，而“cnnic.net.cn”既是“net.cn”的子域，同時(shí)也是“.cn”的子域。

　　DNS樹上的每一個(gè)節(jié)點(diǎn)都有一個(gè)標(biāo)識（Label），根節(jié)點(diǎn)的標(biāo)識是“空”（即長度為0），其它節(jié)點(diǎn)的標(biāo)識的長度在1到63字節(jié)之間。一個(gè)節(jié)點(diǎn)的域名是由從這個(gè)節(jié)點(diǎn)到根節(jié)點(diǎn)的路徑上的所有標(biāo)識從左到右順序排列組成的，標(biāo)識之間用“。”分隔。例如

　　http://www.cnnic.net.cn/

　　DNS的整個(gè)域名空間劃分成許多的區(qū)（Zone），見上圖中的橢圓標(biāo)記，數(shù)據(jù)采用分布式存儲。每個(gè)區(qū)都有域名服務(wù)器（包括主服務(wù)器和輔服務(wù)器），以資源記錄（Resource Record）的形式來存儲域名信息。資源記錄包括了主機(jī)名（域名）和IP地址的對應(yīng)，以及子域服務(wù)器的授權(quán)等多種類型。

　　用戶在使用DNS服務(wù)時(shí)，可以不必細(xì)致地了解DNS域名空間的樹型結(jié)構(gòu)體系，只需在設(shè)置網(wǎng)絡(luò)時(shí)指定一個(gè)DNS服務(wù)器或使用動態(tài)主機(jī)配置（DHCP）等相關(guān)技術(shù)，從而使用戶的應(yīng)用程序可以通過操作系統(tǒng)內(nèi)嵌的解析器（Resolver）訪問DNS系統(tǒng)，查詢域名相關(guān)的網(wǎng)絡(luò)資源信息。

　　3.5.2 如何自動發(fā)現(xiàn)提供解析服務(wù)的DNS服務(wù)器？

　　（1） 無狀態(tài)的DNS服務(wù)器發(fā)現(xiàn)

　　無狀態(tài)DNS服務(wù)器自動發(fā)現(xiàn)有以下幾種方式：

　　為子網(wǎng)內(nèi)部的DNS服務(wù)器配置站點(diǎn)范圍內(nèi)的任意播地址。要進(jìn)行自動配置的節(jié)點(diǎn)以該任意播地址為目的地址發(fā)送服務(wù)器發(fā)現(xiàn)請求，詢問DNS服務(wù)器地址、域名和搜索路徑等DNS信息。這個(gè)請求到達(dá)距離最近的DNS服務(wù)器，服務(wù)器根據(jù)請求，回答DNS服務(wù)器單播地址、域名和搜索路徑等DNS信息。節(jié)點(diǎn)根據(jù)服務(wù)器的應(yīng)答配置本機(jī)DNS信息，以后的DNS請求就直接用單播地址發(fā)送給DNS服務(wù)器。

　　與第一種方式相同，只是不用站點(diǎn)范圍內(nèi)的任意播地址，而采用站點(diǎn)范圍內(nèi)的組播地址或鏈路組播地址等。

　　一直用站點(diǎn)范圍內(nèi)的任意播地址作為DNS服務(wù)器的地址，所有的DNS解析請求都發(fā)送給這個(gè)任意播地址。距離最近的DNS服務(wù)器負(fù)責(zé)解析這個(gè)請求，得到解析結(jié)果后把結(jié)果返回請求節(jié)點(diǎn)，而不像第一種方式是把DNS服務(wù)器單播地址、域名和搜索路徑等DNS信息告訴節(jié)點(diǎn)。

　　從網(wǎng)絡(luò)擴(kuò)展性、安全性、實(shí)用性等多方面綜合考慮，第一種采用站點(diǎn)范圍內(nèi)的任意播地址作為DNS服務(wù)器地址的方式相對較好。

　　（2） 有狀態(tài)的DNS服務(wù)器發(fā)現(xiàn)

　　有狀態(tài)的DNS服務(wù)器發(fā)現(xiàn)方式是通過類似DHCP的服務(wù)器把DNS服務(wù)器地址、域名和搜索路徑等DNS信息告知節(jié)點(diǎn)。當(dāng)然，這需要額外的服務(wù)器。

　　3.5.3 在IPv4到IPv6的過渡階段如何實(shí)現(xiàn)DNS？

　　在IPv4到IPv6的過渡過程中，作為Internet基礎(chǔ)架構(gòu)的DNS服務(wù)也要支持這種網(wǎng)絡(luò)協(xié)議的升級和轉(zhuǎn)換。可以用兩種方法實(shí)現(xiàn)IPv4到IPv6過渡階段的DNS：

　　（1） DNS-ALG與NAT-PT相結(jié)合的方法

　　IPv4和IPv6的DNS在記錄格式等方面有所不同，為了實(shí)現(xiàn)IPv4網(wǎng)絡(luò)和IPv6網(wǎng)絡(luò)之間的DNS查詢和響應(yīng)，可以將應(yīng)用層網(wǎng)關(guān)DNS-ALG與NAT-PT相結(jié)合，作為IPv4和IPv6網(wǎng)絡(luò)之間的翻譯器。例如，IPv4的地址域名映射使用“A”記錄，而IPv6使用“AAAA”或“A6”記錄。那么，IPv4節(jié)點(diǎn)發(fā)送到IPv6網(wǎng)絡(luò)的DNS查詢請求是“A”記錄，DNS-ALG就把“A”改寫成“AAAA”，并發(fā)送給IPv6網(wǎng)絡(luò)中的DNS服務(wù)器。當(dāng)服務(wù)器的回答到達(dá)DNS-ALG時(shí)，DNS-ALG修改回答，把“AAAA”改為“A”，把IPv6地址改成DNS-ALG地址池中的IPv4轉(zhuǎn)換地址，把這個(gè)IPv4轉(zhuǎn)換地址和IPv6地址之間的映射關(guān)系通知NAT-PT，并把這個(gè)IPv4轉(zhuǎn)換地址作為解析結(jié)果返回IPv4主機(jī)。IPv4主機(jī)就以這個(gè)IPv4轉(zhuǎn)換地址作為目的地址與實(shí)際的IPv6主機(jī)通過NAT-PT通信。這個(gè)過程示意如下圖。

　　（2） 雙協(xié)議棧方式

　　對于采用雙協(xié)議棧方式的過渡方法，在DNS服務(wù)器中同時(shí)存在“A”記錄和“AAAA”（或“A6”）記錄。由于節(jié)點(diǎn)既可以處理IPv4協(xié)議，也可以處理IPv6協(xié)議，因此無需類似DNS ALG的轉(zhuǎn)換設(shè)備。無論DNS服務(wù)器回答“A”記錄還是“AAAA”記錄，都可以進(jìn)行通信。

　　3.6 鄰居發(fā)現(xiàn)

　　3.6.1 IPv6鄰居發(fā)現(xiàn)協(xié)議包括哪些內(nèi)容？

　　IPv6定義了鄰居發(fā)現(xiàn)協(xié)議（Neighbor Discovery protocol，NDP），它使用一系列IPv6控制信息報(bào)文（ICMPv6）來實(shí)現(xiàn)相鄰節(jié)點(diǎn)（同一鏈路上的節(jié)點(diǎn)）的交互管理，并在一個(gè)子網(wǎng)中保持網(wǎng)絡(luò)層地址和鏈路層地址之間的映射。鄰居發(fā)現(xiàn)協(xié)議中定義了5種類型的信息：路由器宣告、路由器請求、路由重定向、鄰居請求和鄰居宣告。通過這些信息，實(shí)現(xiàn)了對以下功能的支持：

　　· 路由器發(fā)現(xiàn)：即幫助主機(jī)來識別本地路由器；

　　· 前綴發(fā)現(xiàn)：節(jié)點(diǎn)使用此機(jī)制來確定指明鏈路本地地址的地址前綴以及必須發(fā)送給路由器轉(zhuǎn)發(fā)的地址前綴；

　　· 參數(shù)發(fā)現(xiàn)：幫助節(jié)點(diǎn)確定諸如本地鏈路MTU之類的信息；

　　· 地址自動配置：用于IPv6節(jié)點(diǎn)自動配置；

　　· 地址解析：替代了ARP和RARP，幫助節(jié)點(diǎn)從目的IP地址中確定本地節(jié)點(diǎn)（即鄰居）的鏈路層地址；

　　· 下一跳確定：可用于確定包的下一個(gè)目的地，即可確定包的目的地是否在本地鏈路上。如果在本地鏈路，下一跳就是目的地；否則，包需要選路，下一跳就是路由器，鄰居發(fā)現(xiàn)可用于確定應(yīng)使用的路由器；

　　· 鄰居不可達(dá)檢測：幫助節(jié)點(diǎn)確定鄰居（目的節(jié)點(diǎn)或路由器）是否可達(dá)；

　　· 重復(fù)地址檢測：幫助節(jié)點(diǎn)確定它想使用的地址在本地鏈路上是否已被占用；

　　· 重定向：有時(shí)節(jié)點(diǎn)選擇的轉(zhuǎn)發(fā)路由器對于待轉(zhuǎn)發(fā)的包而言并非最佳。這種情況下，該轉(zhuǎn)發(fā)路由器可以對節(jié)點(diǎn)進(jìn)行重定向，使它將包發(fā)送給更佳的路由器。例如，節(jié)點(diǎn)將發(fā)往Internet的包發(fā)送給為節(jié)點(diǎn)所在的內(nèi)部網(wǎng)服務(wù)的默認(rèn)路由器，該內(nèi)部網(wǎng)路由器可以對節(jié)點(diǎn)進(jìn)行重定向，以使其將包發(fā)送給連接在同一本地鏈路上的 Internet路由器。

　　3.6.2 IPv6鄰居發(fā)現(xiàn)協(xié)議與IPv4地址解析協(xié)議有什么區(qū)別？

　　IPv6不再執(zhí)行地址解析協(xié)議（ARP）或反向地址解析協(xié)議（RARP），而以鄰居發(fā)現(xiàn)協(xié)議中的相應(yīng)功能代替，IPv6鄰居發(fā)現(xiàn)協(xié)議與IPv4地址解析協(xié)議主要區(qū)別如下：

　　IPv4中地址解析協(xié)議ARP是獨(dú)立的協(xié)議，負(fù)責(zé)IP地址到鏈路層地址的轉(zhuǎn)換，對不同的鏈路層協(xié)議要定義不同的ARP協(xié)議。IPv6中鄰居發(fā)現(xiàn)協(xié)議NDP包含了ARP的功能，且運(yùn)行于因特網(wǎng)控制報(bào)文協(xié)議ICMPv6上，更具有一般性，包括更多的內(nèi)容，而且適用于各種鏈路層協(xié)議；

　　ARP協(xié)議以及ICMPv4路由器發(fā)現(xiàn)和ICMPv4重定向報(bào)文基于廣播，而NDP協(xié)議的鄰居發(fā)現(xiàn)報(bào)文基于高效的組播和單播；

　　可達(dá)性檢測的目的是確認(rèn)相應(yīng)IP地址代表的主機(jī)或路由器是否還能收發(fā)報(bào)文，IPv4沒有統(tǒng)一的解決方案。NDP中定義了可達(dá)性檢測過程，保證IP報(bào)文不會發(fā)送給“黑洞”。

　　3.7 超長數(shù)據(jù)傳送問題

　　3.7.1 IPv6如何解決超長數(shù)據(jù)的傳送問題？

　　IPv6要求互聯(lián)網(wǎng)上的每條鏈路具有1280或更多個(gè)八位組的最大傳輸單元（MTU）。無法在一段之內(nèi)傳送1280個(gè)八位組的鏈路必須根據(jù)鏈路的情況在IPv6下層的協(xié)議中提供分段和重組機(jī)制。具有可配置MTU的鏈路，比如PPP鏈路必須配置為具有至少1280個(gè)八位組的MTU；要發(fā)送大于路徑MTU的包，節(jié)點(diǎn)可以使用IPv6分段報(bào)頭，在源節(jié)點(diǎn)將包分段，并在目的節(jié)點(diǎn)將包重組。

　　3.7.2 IPv6通信中源節(jié)點(diǎn)如何發(fā)現(xiàn)到目的節(jié)點(diǎn)的最大傳輸單元？

　　RFC1981 中描述了一種動態(tài)發(fā)現(xiàn)路徑最大傳輸單元（PMTU）的方法。基本思想是源節(jié)點(diǎn)最初假定到目的節(jié)點(diǎn)的一條路徑的PMTU是這條路徑第一跳的已知MTU。如果發(fā)往這條路徑的任何包由于太大而不能被路徑上的一些節(jié)點(diǎn)轉(zhuǎn)發(fā)，那些節(jié)點(diǎn)將丟棄這些包并發(fā)回ICMPv6包太大消息。源節(jié)點(diǎn)收到這樣一個(gè)消息后應(yīng)根據(jù)包太大消息中報(bào)告的MTU壓縮的那一跳的MTU值減小它為這條路徑假定的PMTU。當(dāng)節(jié)點(diǎn)對PMTU的估計(jì)值小于或等于實(shí)際PMTU時(shí)路徑MTU發(fā)現(xiàn)過程結(jié)束。要注意在這個(gè)過程中“發(fā)包-收到包太大消息”的循環(huán)可能反復(fù)多次，因?yàn)槁窂缴峡倽撛诳赡艽嬖贛TU更小的鏈路。節(jié)點(diǎn)也可以通過停止發(fā)送比IPv6最小鏈路MTU大的包來終止這個(gè)發(fā)現(xiàn)過程。

　　3.8 路由技術(shù)

　　3.8.1 IPv6在路由方面有什么新特點(diǎn)？

　　IPv6采用聚類機(jī)制，定義了非常靈活的層次尋址及路由結(jié)構(gòu)，同一層次上的多個(gè)網(wǎng)絡(luò)在上層路由器中表示為一個(gè)統(tǒng)一的網(wǎng)絡(luò)前綴，這樣可以顯著減少路由器必須維護(hù)的路由表項(xiàng)。在理想情況下，一個(gè)核心主干網(wǎng)路由器只須維護(hù)不超過8192個(gè)表項(xiàng)。這大大降低了路由器的尋路和存儲開銷。

　　IPv6協(xié)議所帶來的另一個(gè)特點(diǎn)是提供數(shù)據(jù)流標(biāo)簽，即流量識別。路由器可以識別屬于某個(gè)特定流量的數(shù)據(jù)包，并且這條信息第一次接收時(shí)即被記錄下來，下一次這個(gè)路由器接收到同樣的流量數(shù)據(jù)包后，路由器采用識別的記錄情況，而不需查對路徑選擇表，從而減少了數(shù)據(jù)處理的時(shí)間。

　　多點(diǎn)傳送路由是指目的地址是一個(gè)多點(diǎn)傳送地址的信息包路由。在IPv6中，多點(diǎn)傳送路由的問題與IPv4中類似，只是功能有所加強(qiáng)，分別成為了ICMPv6和OSPFv6的一部分，而不是IPv4中的單獨(dú)協(xié)議，從而成為了IPv6整體的一部分。為了路由多點(diǎn)傳送信息包，IPv6中創(chuàng)建了一個(gè)分布樹（多點(diǎn)傳送樹）到達(dá)組里的所有成員。

　　3.8.2 IPv6中可用的路由協(xié)議包括哪些？

　　IPv6主要使用三種路由協(xié)議：RIPv6（Routing Information Protocol，路由信息協(xié)議）、OSPFv6（Open Shortest Path First，開放最短路徑優(yōu)先）和IDRPv2（Inter-Domain Routing Protocol，域間路由協(xié)議）以及可能的EIGRP和雙層的IS-IS。

　　RIPv6是可以與IPv6共同使用的RIP版本。更新后的RIP允許接收128位地址，沒有增加新特性，沒有消除以前限制的相關(guān)前綴長度。這種選擇的原因是為了保持RIPv6的簡單性，這樣它可以在非常簡單的設(shè)備上實(shí)現(xiàn)。

　　OSPFv6是可以用于IPv6的OSPF版本，它也是IPv6推薦的內(nèi)部網(wǎng)關(guān)路由協(xié)議（IGP），作為所有路由器廠商的標(biāo)準(zhǔn)實(shí)現(xiàn)，它適于大型網(wǎng)絡(luò)。OSPFv6作為OSPF的更新，允許傳送新的128位地址和相關(guān)的前綴長度，在OSPFv6中，區(qū)域定義為128位地址。

　　IDRP是和IPv6共同使用的外部網(wǎng)關(guān)路由協(xié)議（EGP），IDRP是一個(gè)路徑矢量協(xié)議，在OSI結(jié)構(gòu)中是設(shè)計(jì)在無連接網(wǎng)絡(luò)協(xié)議（CLNP，ISO 8473）使用的，在Internet上作為EGP從BGP-4得出，適于和IPv6共同使用的IDRP版本是IDRPv2。

　　3.9 組播技術(shù)

　　3.9.1 IPv6在支持組播方面有什么特征？

　　IPv6加強(qiáng)了組播功能，這是一種可將信息傳遞給所有已登記了欲接收該消息的主機(jī)的功能。使用組播功能可以同時(shí)傳遞數(shù)據(jù)給大量的用戶，傳遞過程只會占有一些公共或?qū)Ｓ脦掗_銷而不會浪費(fèi)帶寬在整個(gè)網(wǎng)絡(luò)里廣播。在IPv6的組播功能中增加了 “標(biāo)志”，可以區(qū)分永久性與臨時(shí)性地址，更有利于組播功能的實(shí)現(xiàn)。IPv6還包含了一些限制組播消息傳遞范圍的一些特性，這樣，組播消息可以被局限在一個(gè)特定的位置、區(qū)域、公司或其它約定范圍，從而減少了帶寬的使用并可提供安全性。組播的意義在于只有用戶加入相應(yīng)的組播組才能收到發(fā)給該組的信息，這對于視頻節(jié)目的發(fā)送來說意義尤其重大，模擬電視中的頻道概念就完全可以用組播組的概念來代替。而且組播組的范圍可以包括同一本地網(wǎng)、同一機(jī)構(gòu)網(wǎng)、甚至IPv6全球地址空間中的任何位置的節(jié)點(diǎn)，這就為網(wǎng)絡(luò)多媒體信息服務(wù)提供了更大的靈活性。

　　3.10 對移動性的支持

　　3.10.1 什么是移動IPv6？

　　移動IPv6協(xié)議為用戶提供可移動的IP數(shù)據(jù)服務(wù)，讓用戶可以在世界各地都使用同樣的IPv6地址，非常適合未來無線上網(wǎng)。

　　現(xiàn)在的互聯(lián)網(wǎng)協(xié)議IPv4，原本不提供任何移動性支持。針對這一情況，IETF于1996年制訂了支持移動互聯(lián)網(wǎng)設(shè)備的協(xié)議，稱為移動IP，其協(xié)議有兩種版本：基于IPv4的移動IPv4和基于IPv6的移動IPv6。

　　移動IP的主要目標(biāo)是：不管是連接在本地鏈路還是移動到外地網(wǎng)絡(luò)，移動節(jié)點(diǎn)總是通過本地地址尋址。移動IP在網(wǎng)絡(luò)層加入了新的特性，在改變網(wǎng)絡(luò)連接點(diǎn)時(shí)，運(yùn)行在節(jié)點(diǎn)上的應(yīng)用程序不用修改或配置仍然可用。這些特性使得移動節(jié)點(diǎn)總是通過本地地址通信。這種機(jī)制對于IP層以上的協(xié)議層是完全透明的。移動節(jié)點(diǎn)所在的本地鏈路稱為移動節(jié)點(diǎn)的家鄉(xiāng)鏈路，移動節(jié)點(diǎn)的本地地址稱為家鄉(xiāng)地址。

　　移動IPv6操作包括家鄉(xiāng)代理注冊、三角路由、路由優(yōu)化、綁定管理、移動檢測和家鄉(xiāng)代理發(fā)現(xiàn)。移動IPv6的工作機(jī)制如下圖所示。圖中有3條鏈路和3個(gè)系統(tǒng)。鏈路A上有一個(gè)路由器提供家鄉(xiāng)代理服務(wù)，這個(gè)鏈路是移動節(jié)點(diǎn)的家鄉(xiāng)鏈路。移動節(jié)點(diǎn)從鏈路A移動到鏈路B。鏈路C上有一個(gè)通信節(jié)點(diǎn)，可以是移動的或者靜止的。

　　當(dāng)移動節(jié)點(diǎn)連接到外地鏈路時(shí)，除了家鄉(xiāng)地址外，它還可以通過一個(gè)或多個(gè)轉(zhuǎn)交地址進(jìn)行通信。轉(zhuǎn)交地址是移動節(jié)點(diǎn)在外地鏈路時(shí)的IP地址。移動節(jié)點(diǎn)的家鄉(xiāng)地址和轉(zhuǎn)交地址之間的關(guān)聯(lián)稱為“綁定”。移動節(jié)點(diǎn)的轉(zhuǎn)交地址可以自動配置。

　　移動IPv6的實(shí)現(xiàn)離不開家鄉(xiāng)鏈路上的家鄉(xiāng)代理。當(dāng)移動節(jié)點(diǎn)離開本地時(shí)，要向家鄉(xiāng)鏈路上的一個(gè)路由器注冊自己的一個(gè)轉(zhuǎn)交地址，要求這個(gè)路由器作為自己的家鄉(xiāng)代理。家鄉(xiāng)代理需要用代理鄰居發(fā)現(xiàn)來截獲家鄉(xiāng)鏈路上發(fā)往移動節(jié)點(diǎn)家鄉(xiāng)地址的數(shù)據(jù)包，然后通過隧道將截獲的數(shù)據(jù)包發(fā)往移動節(jié)點(diǎn)的主轉(zhuǎn)交地址。為了通過隧道發(fā)送截獲的數(shù)據(jù)包，家鄉(xiāng)代理要把數(shù)據(jù)包進(jìn)行IPv6封裝，外部的IPv6報(bào)頭地址設(shè)為移動節(jié)點(diǎn)的主轉(zhuǎn)交地址。

　　當(dāng)移動節(jié)點(diǎn)離開本地時(shí)，家鄉(xiāng)鏈路的一些節(jié)點(diǎn)可能重新配置，導(dǎo)致執(zhí)行家鄉(xiāng)代理功能的路由器被其他路由器所代替。在這種情況下，移動節(jié)點(diǎn)可能不知道自己家鄉(xiāng)代理的IP地址。移動IPv6提供了一種動態(tài)家鄉(xiāng)代理地址發(fā)現(xiàn)機(jī)制，移動節(jié)點(diǎn)可以動態(tài)發(fā)現(xiàn)家鄉(xiāng)鏈路上家鄉(xiāng)代理的IP地址，離開本地時(shí)，它在這個(gè)家鄉(xiāng)代理上注冊轉(zhuǎn)交地址。

　　移動IPv6還定義了一個(gè)附加的IPv6目的選項(xiàng)——家鄉(xiāng)地址選項(xiàng)。作為發(fā)送方的移動節(jié)點(diǎn)通過在發(fā)送的數(shù)據(jù)包中攜帶家鄉(xiāng)地址選項(xiàng)可以把家鄉(xiāng)地址告訴作為接收方的通信節(jié)點(diǎn)，而轉(zhuǎn)交地址對于移動IPv6以上層（如傳輸層）是透明的。

　　在IPv6中，移動節(jié)點(diǎn)能把自己的轉(zhuǎn)交地址告訴每個(gè)通信節(jié)點(diǎn)，使通信節(jié)點(diǎn)和移動節(jié)點(diǎn)之間進(jìn)行直接路由，避免了三角路由問題。由于未來互聯(lián)網(wǎng)上會有大量的無線移動節(jié)點(diǎn)，因此，在路由效率上的大規(guī)模改善可能對互聯(lián)網(wǎng)的可擴(kuò)展性產(chǎn)生本質(zhì)的影響。

　　移動IPv6具有誘人的應(yīng)用前景，它為新一代無線用戶提供了移動支持，但在移動越區(qū)切換、QoS、安全等方面仍不能滿足實(shí)際應(yīng)用的需要。目前，許多研究機(jī)構(gòu)（包括移動通信的著名廠商諾基亞、愛立信等）都在研究這些關(guān)鍵技術(shù)。

　　3.10.2 為什么IPv6能夠比IPv4更好地解決移動問題？

　　移動IPv6與移動IPv4相比優(yōu)勢明顯，主要是其設(shè)計(jì)吸收了移動IPv4的發(fā)展經(jīng)驗(yàn)，并且抓住了設(shè)計(jì)新版本IP協(xié)議（IPv6）的大好時(shí)機(jī)，結(jié)合了IPv6的很多新特性。IPv6的出現(xiàn)是移動計(jì)算的一個(gè)重要里程碑，IPv6的下列主要特性對于未來的移動無線網(wǎng)絡(luò)的發(fā)展至關(guān)重要：足夠多的IP地址、安全數(shù)據(jù)報(bào)頭的實(shí)現(xiàn)、目的選項(xiàng)提高了路由效率、地址自動配置、避免入口過濾、錯(cuò)誤恢復(fù)沒有軟狀態(tài)“瓶頸”。

　　移動IPv6協(xié)議的優(yōu)點(diǎn)在移動終端數(shù)量持續(xù)上漲的今天尤其突出。IPv6將是實(shí)現(xiàn)移動互聯(lián)網(wǎng)上許多新型而精彩的服務(wù)的關(guān)鍵。盡管IPv4中也存在移動協(xié)議，但二者之間存在本質(zhì)的區(qū)別：移動IPv4協(xié)議不適用于數(shù)量龐大的移動終端。目前全世界的移動終端數(shù)就超過7億個(gè)，而且移動電話終端的潮流才剛剛開始，包含諸如門、防盜自動警鈴等設(shè)備的下一輪終端浪潮已經(jīng)顯露出來。移動IP需要為每個(gè)設(shè)備提供一個(gè)全球唯一的IP地址，不久的將來，當(dāng)每個(gè)人都要攜帶一個(gè)或多個(gè)移動終端時(shí)，IPv4將沒有足夠的地址空間為在公共互聯(lián)網(wǎng)上運(yùn)行的每個(gè)移動終端分配一個(gè)全球唯一的IP地址，而IPv6卻可以實(shí)現(xiàn)這一點(diǎn)。除了IPv6的其他優(yōu)點(diǎn)外，單這一項(xiàng)功能就可以實(shí)現(xiàn)個(gè)人之間的直接通信。從另一個(gè)角度說，移動IPv6能夠通過簡單的擴(kuò)展，滿足大規(guī)模移動用戶的需求。這樣，它就能在全球范圍內(nèi)解決有關(guān)網(wǎng)絡(luò)和訪問技術(shù)之間的移動性問題。另外，IPv4協(xié)議中對移動性的支持不是強(qiáng)制的，而移動IPv6是IPv6協(xié)議中不可或缺的部分，所有IPv6的實(shí)現(xiàn)都必須支持移動性。

　　3.11 安全問題

　　3.11.1 IPv6能徹底解決互聯(lián)網(wǎng)中的安全問題嗎？

　　原來的互聯(lián)網(wǎng)安全機(jī)制只建立于應(yīng)用程序級，如E-mail加密、SNMPv2網(wǎng)絡(luò)管理安全、接入安全（HTTP、SSL）等，無法從IP層來保證Internet的安全。為了加強(qiáng)互聯(lián)網(wǎng)的安全性，從1995年開始，IETF著手研究制定了一套IP安全（IP Security，IPSec）協(xié)議用于保護(hù)IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性機(jī)制，它是IPv6的一個(gè)組成部分，也是IPv4的一個(gè)可選擴(kuò)展協(xié)議。通過集成IPSec，IPv6實(shí)現(xiàn)了IP級的安全。IPSec提供如下安全性服務(wù)：訪問控制、無連接的完整性、數(shù)據(jù)源身份認(rèn)證、防御包重傳攻擊、保密、有限的業(yè)務(wù)流保密性。IPSec的認(rèn)證報(bào)頭（Authentication Header，AH，RFC2402中描述）協(xié)議定義了認(rèn)證的應(yīng)用方法，封裝安全負(fù)載（Encapsulating Security Payload，ESP，RFC2406中描述）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。IPSec安全性服務(wù)完全通過AH和ESP頭相結(jié)合的機(jī)制來提供，當(dāng)然還要有正確的相關(guān)密鑰管理協(xié)議。在實(shí)際進(jìn)行IP通信時(shí)，可以根據(jù)安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。

　　IPv6實(shí)質(zhì)上不會比IPv4更加安全。IPv6標(biāo)準(zhǔn)的起草者、思科總部的兩位“杰出網(wǎng)絡(luò)技術(shù)領(lǐng)袖”Fred Baker和Tony Hain認(rèn)為IPv6從根本上來說，只是IP地址改變的協(xié)議包，并不能解決現(xiàn)在的互聯(lián)網(wǎng)協(xié)議IPv4中的安全問題。但是由于IPSec提供的端到端安全性的兩個(gè)基本組件——認(rèn)證和加密——都是IPv6協(xié)議的必備組件，而在IPv4中，它們只是可選組件，因此，采用IPv6，安全性會更加簡便、一致。更重要的是，IPv6使我們有機(jī)會在將網(wǎng)絡(luò)轉(zhuǎn)換到這種新型協(xié)議的同時(shí)發(fā)展端到端安全性。

　　3.11.2 為解決IPv6網(wǎng)絡(luò)安全問題，傳統(tǒng)的安全設(shè)備需要做那些改進(jìn)？

　　IPv6網(wǎng)絡(luò)中仍需要使用防火墻、入侵檢測系統(tǒng)等傳統(tǒng)的安全設(shè)備，但由于IPv6的一些新特點(diǎn)，IPv4網(wǎng)中現(xiàn)有的這些安全設(shè)備在IPv6網(wǎng)中不能直接使用，還需要做些改進(jìn)：

　　防火墻的設(shè)計(jì)

　　由于IPv6相對IPv4在數(shù)據(jù)報(bào)頭上有了很大的改變，所以原來的防火墻產(chǎn)品在IPv6網(wǎng)絡(luò)上不能直接使用，必須做一些改進(jìn)。針對IPv6的Socket套接口函數(shù)已經(jīng)在RFC3493：Basic Socket Interface Extensions for IPv6中定義，以前的應(yīng)用程序都必須參考新的API做相應(yīng)的改動。

　　IPv4中防火墻過濾的依據(jù)是IP地址和TCP/UDP端口號。IPv4中IP頭部和TCP頭部是緊接在一起的，而且其長度是固定的，所以防火墻很容易找到頭部，并應(yīng)用相應(yīng)的策略。然而在IPv6中TCP/UDP報(bào)頭的位置有了根本的變化，它們不再是緊連在一起的，通常中間還間隔有其他的擴(kuò)展頭部，如路由選項(xiàng)頭部，AH/ESP頭部等。防火墻必須讀懂整個(gè)數(shù)據(jù)包才能進(jìn)行過濾操作，這對防火墻的處理性能會有很大的影響。

　　入侵檢測系統(tǒng)（IDS）的設(shè)計(jì)

　　在IPv6下也使我們不得不放棄以往的網(wǎng)絡(luò)監(jiān)控技術(shù)，投身一個(gè)全新的研究領(lǐng)域。首先，IDS產(chǎn)品同防火墻一樣，在IPv6下不能直接運(yùn)行，還要做相應(yīng)的修改。其次，IDS的工作原理實(shí)際上是一個(gè)監(jiān)聽器，接收網(wǎng)段上的所有數(shù)據(jù)包，并對其進(jìn)行分析，從而發(fā)現(xiàn)攻擊，并實(shí)施相應(yīng)的報(bào)警措施。但是，如果使用傳輸模式進(jìn)行端到端的加密，IDS就無法工作，因?yàn)樗邮盏氖羌用艿臄?shù)據(jù)包，無法理解。當(dāng)然，解決方案之一是讓IDS能對這些數(shù)據(jù)包進(jìn)行解密，但這樣勢必會帶來新的安全問題。同時(shí)IPv6的可靠性是否如最初所設(shè)想的那樣，也有待時(shí)間的考驗(yàn)。

　　由于IPv6中引入了網(wǎng)絡(luò)層的加密技術(shù)，未來網(wǎng)絡(luò)上的數(shù)據(jù)通訊的保密性將會越來越強(qiáng)，這使網(wǎng)絡(luò)入侵檢測系統(tǒng)和主機(jī)入侵檢測引擎也面臨在多種不同平臺如何部署的問題。這就需要研究IDS新的部署方式，再下一步，研究如何才能在任何網(wǎng)絡(luò)狀況、任何服務(wù)器、任何客戶端、任何應(yīng)用環(huán)境都能進(jìn)行適當(dāng)?shù)淖赞D(zhuǎn)換和自適應(yīng)。

　　3.12 服務(wù)質(zhì)量

　　3.12.1 為更好地提供服務(wù)質(zhì)量，IPv6協(xié)議作了哪些考慮？

　　從協(xié)議的角度看，IPv6與目前的IPv4提供相同的服務(wù)質(zhì)量（QoS），但是IPv6的優(yōu)點(diǎn)體現(xiàn)在能提供不同的服務(wù)。這些優(yōu)點(diǎn)來自于IPv6的包頭結(jié)構(gòu)中新增的優(yōu)先級字段和流標(biāo)簽字段。優(yōu)先級字段擴(kuò)大到1個(gè)字節(jié)，這就可以定義256個(gè)級別的優(yōu)先級，對各種多媒體信息根據(jù)緊急性確定數(shù)據(jù)包的優(yōu)先級，從而保證每一項(xiàng)服務(wù)都能達(dá)到用戶滿意的質(zhì)量。而有了20位長的流標(biāo)簽字段，在傳輸過程中，中間的各節(jié)點(diǎn)就可以識別和分開處理任何IP地址流。在IPv6中，同一個(gè)業(yè)務(wù)流的所有數(shù)據(jù)包采用相同的流標(biāo)簽，這樣當(dāng)路由器檢測到相同的流標(biāo)簽的時(shí)候就采用相同的路徑發(fā)出去，而不需要為每一個(gè)數(shù)據(jù)包重新選擇路由，從而大大提高了數(shù)據(jù)包轉(zhuǎn)發(fā)的效率，降低了端到端的延遲。盡管對流標(biāo)簽的準(zhǔn)確應(yīng)用還沒有制定出有關(guān)標(biāo)準(zhǔn)，但將來它會用于基于服務(wù)級別的新計(jì)費(fèi)系統(tǒng)。此外，在支持 “總是在線”連接、防止服務(wù)中斷以及提高網(wǎng)絡(luò)性能方面，IPv6也有助于改進(jìn)服務(wù)質(zhì)量。

　　IPv6實(shí)現(xiàn)QoS的協(xié)議是IETF的資源保留協(xié)議（Resource Reserve Protocol，RSVP）。主機(jī)用RSVP代表應(yīng)用數(shù)據(jù)流（指可以由路由器或者轉(zhuǎn)發(fā)數(shù)據(jù)的主機(jī)辨別的相關(guān)數(shù)據(jù)包的流，在IPv6協(xié)議下就是擁有相同的流標(biāo)簽的流）向網(wǎng)絡(luò)請求特定的服務(wù)質(zhì)量，例如基于平均值的最大帶寬、最大接收延遲、優(yōu)先隊(duì)列以及其他參數(shù)，主機(jī)也可以指定一個(gè)特定的網(wǎng)絡(luò)服務(wù)級別，這類似于數(shù)字視頻廣播（Digital Video Broadcasting，DVB）中的網(wǎng)絡(luò)信息表的概念。RSVP帶著這個(gè)請求通過網(wǎng)絡(luò)，訪問這個(gè)數(shù)據(jù)流經(jīng)過的網(wǎng)絡(luò)的每個(gè)節(jié)點(diǎn)。在每個(gè)節(jié)點(diǎn)上，RSVP 試圖為這個(gè)流進(jìn)行資源保留。這使得提供具有服務(wù)質(zhì)量的圖像和其它實(shí)時(shí)業(yè)務(wù)成為可能。

　　3.13 IPv4向IPv6的轉(zhuǎn)換

　　3.13.1 什么是IPv6轉(zhuǎn)換機(jī)制？為什么需要轉(zhuǎn)換機(jī)制？

　　IPv6不可能立刻替代IPv4，因此在相當(dāng)一段時(shí)間內(nèi)IPv4和IPv6會共存在一個(gè)環(huán)境中。要提供平穩(wěn)的轉(zhuǎn)換過程，使得對現(xiàn)有的使用者影響最小，就需要有良好的轉(zhuǎn)換機(jī)制。目前，這個(gè)議題是IETF ngtrans工作小組的主要目標(biāo)，有許多轉(zhuǎn)換機(jī)制被提出，部分已被用于6Bone上。IETF推薦了雙協(xié)議棧、隧道技術(shù)以及NAT等轉(zhuǎn)換機(jī)制：

　　IPv6/IPv4雙協(xié)議棧技術(shù)

　　簡單地說，雙棧機(jī)制就是使IPv6網(wǎng)絡(luò)節(jié)點(diǎn)具有一個(gè)IPv4棧和一個(gè)IPv6棧，同時(shí)支持IPv4和IPv6協(xié)議。IPv6和IPv4是功能相近的網(wǎng)絡(luò)層協(xié)議，兩者都應(yīng)用于相同的物理平臺，并承載相同的傳輸層協(xié)議TCP或UDP，如果一臺主機(jī)同時(shí)支持IPv6和IPv4協(xié)議，那么該主機(jī)就可以和僅支持IPv4或IPv6協(xié)議的主機(jī)通信，IPv6/IPv4雙協(xié)議棧的協(xié)議結(jié)構(gòu)。