【正文】 這就要求在網(wǎng)絡(luò)邊緣路由器的接口同時(shí)配置 IPv4 地址 和 IPv6 地址以及與之相關(guān)的路由協(xié)議，那么這個(gè)接口將被認(rèn)為是雙協(xié)議棧接口。并且每一個(gè) IPv6 節(jié)點(diǎn)都需用一個(gè) IPv4 地址，造成 IPv4 地址的浪費(fèi)，因此只能作為臨時(shí)的過(guò)渡技術(shù)。雙協(xié)議棧主機(jī)的結(jié)構(gòu)如圖 59 所示。主要實(shí)現(xiàn)方法是將 IPv4 協(xié)議和 IPv6 協(xié)議同時(shí)裝在雙協(xié)議棧主機(jī)上，通過(guò)特定的通信方式，與相應(yīng)的網(wǎng)絡(luò)通信。 雙協(xié)議棧技 術(shù) 雙協(xié)議棧技術(shù)介紹 雙協(xié)議棧技術(shù)是目前應(yīng)用較廣泛的過(guò)渡技術(shù)。在 PC1 上用 ping6 命令來(lái)測(cè)試與 PC2 的連通性，如圖 58 所示。 圖 57 PC2 本地端口配置 其中， PC2 的 IPv6 地址為： 2020:da8::2。校園網(wǎng)過(guò)渡技術(shù)的仿真與實(shí)現(xiàn) 25 圖 56 PC1 本地端口配置截圖 其中， PC1 的 IPv6 地址為： 2020:da8::1。 校園網(wǎng)過(guò)渡技術(shù)的仿真與實(shí)現(xiàn) 24 圖 54 IPv6 局域網(wǎng)連通拓?fù)鋱D [主機(jī)配置 ]： 1. 在 PC1 上做以下操作： 在 PC1 主機(jī)的 DOS 對(duì)話框中手動(dòng)裝載 IPv6，使用命令“ ipv6 install”開(kāi)啟 Windows 操作系統(tǒng)上的 IPv6 功能，如圖 55 所示。 [實(shí)驗(yàn)?zāi)康?]：在校園網(wǎng)中建設(shè)了 IPv6 網(wǎng)后，實(shí)現(xiàn)網(wǎng)絡(luò)中 IPv6 主機(jī)間基本的通信。在純 IPv6 網(wǎng)絡(luò)中，我們需要像在 IPv4 網(wǎng)絡(luò)中一樣，首先保證網(wǎng)絡(luò)中的主機(jī)最基本的相互通信，在這個(gè)基礎(chǔ)上，才可以實(shí)現(xiàn)其它功能。校園網(wǎng)過(guò)渡技術(shù)的仿真與實(shí)現(xiàn) 23 圖 52 設(shè)備 IOS 添加 局域網(wǎng)內(nèi) IPv6 主機(jī)聯(lián)通的實(shí)現(xiàn) Windows XP 是支持 IPv6 協(xié)議的，但需要手動(dòng)配置。查看 CPU 的利用率，可以通過(guò) Windows 中的任務(wù)管理器來(lái)獲取該信息。還有一點(diǎn)需要注意，圖 52 中的 IDLE PC 這一參數(shù)很重要，直接影響到 PC 機(jī) CPU 的使用率 ,為了使 CPU 利用率不至于達(dá)到 100%，需要配置這個(gè)值，使 CPU 的利用率最小。這樣，設(shè)備的 IOS 就添加好了。由于我使用的是 Cisco3725，需要將該設(shè)備的 IOS 預(yù)先加入到仿真器中。該界面主要分為六大部分，包括 1 菜單欄、 2 命令欄、 3 虛擬設(shè)備區(qū)、 4 繪圖區(qū)、 5 控制臺(tái)區(qū)、 6 狀態(tài)顯示區(qū)。 校園網(wǎng)過(guò)渡技術(shù)的仿真與實(shí)現(xiàn) 22 仿真平臺(tái)的介紹 圖 51 是 GNS3 模擬器的主要界面，所有的過(guò)渡技術(shù)仿真實(shí)驗(yàn)都會(huì)在這個(gè)平臺(tái)上實(shí)現(xiàn)。 由于所使用的仿真軟件主要是針對(duì)路由器仿真的，對(duì)交換機(jī)來(lái)說(shuō)只能仿真一些簡(jiǎn)單的設(shè)備，而設(shè)計(jì)中所用到的交換機(jī) Catalys3750 屬于三層交換機(jī)，具有路由器的功能，并且配置 命令又一致，因此我在仿真實(shí)驗(yàn)中用路由器 Cisco 3725 來(lái)代替交換機(jī) Catalys3750。 仿真設(shè)備： Cisco3725。 Winpcap： Windows 平臺(tái)下的公共網(wǎng)絡(luò)訪問(wèn)系統(tǒng)。 Dynagen：是 Dynamips 文字顯示的前端。在 GNS3 中，所運(yùn)行的是實(shí)際的 IOS，能夠使用 IOS 所支持的所有命令和參數(shù)，除了支持路由器和防火墻平臺(tái)，還可以通過(guò)在路由器插槽中配置 EtherSwitch 卡，仿真該卡支持的交換機(jī)平臺(tái)。簡(jiǎn)單說(shuō)它是 dynamips 的圖形前端，比直接使用 dynamips 軟件更容易并且更具有可操作性。比較后我選擇 GNS3 為仿真平臺(tái)，模擬設(shè)備用 Cisco 的 IOS。為了既達(dá)到實(shí)驗(yàn)?zāi)康?，又不花很大成本?我選擇了很多網(wǎng)絡(luò)工程師都普遍使用的軟路由來(lái)模擬實(shí)驗(yàn)環(huán)境。但由于目前處于 IPv6 發(fā)展的初級(jí)階段，許多產(chǎn)品的技術(shù)還不夠成熟，再加上路由器、交換機(jī)等網(wǎng)絡(luò)產(chǎn)品價(jià)錢(qián)昂貴，不適合做實(shí)物實(shí)驗(yàn)。我選擇較為普遍適用的 Windows 操作系統(tǒng)來(lái)模擬實(shí)驗(yàn)環(huán)境。 Windows 操作系統(tǒng)就不同了，幾乎所有的個(gè)人電腦都裝著該 系統(tǒng)，操作簡(jiǎn)單易用。 Linux 操作系統(tǒng)是一個(gè)免費(fèi)的軟件，其源代碼完全開(kāi)放，并且以其良好的穩(wěn)定性和運(yùn)行速度受到專業(yè)人士的青睞。接入單位只要是能通過(guò) IPv4 網(wǎng)絡(luò)與 Cer2 網(wǎng)的節(jié)點(diǎn)相互通信， 就可配置 6over4 隧道接入 Cer2 網(wǎng)。 校園網(wǎng)的 IPv6 過(guò)渡方案 20 圖 45 網(wǎng)絡(luò)層復(fù)用 2. 隧道接入 目前許多高校主要是通過(guò)隧道技術(shù)實(shí)現(xiàn)與 Cer2 網(wǎng)的相連，我校也可以通過(guò)這種技術(shù)連接到 Cer2 網(wǎng)。這樣就利 用了 Cer 的現(xiàn)有設(shè)備和線路通過(guò)雙協(xié)議棧技術(shù)將校園網(wǎng)與 Cer2 網(wǎng)相連。數(shù)據(jù)鏈路層復(fù)用如圖 44 所示。 校園網(wǎng)的 IPv6 過(guò)渡方案 19 圖 43 物理層復(fù)用 （ 2）數(shù)據(jù)鏈路層復(fù)用 通過(guò)部署在 Cer2 節(jié)點(diǎn)與接入單位間的二層交換機(jī)，實(shí)現(xiàn)數(shù)據(jù)鏈路層的 Cer 和 Cer2 共享，主要指以太網(wǎng)幀將會(huì)同時(shí)封裝 IPv4 和 IPv6 的分組并進(jìn)行傳輸。這樣就可以利用已使用的光纖資源，不需要再另外鋪設(shè)光纖。因此，一般方法是利用Cer 光纖資源接入到 Cer2 網(wǎng)，可有以下幾種方式 圖 42 專線接入示意圖 （ 1）物理層復(fù)用 通過(guò)部署在 Cer2 節(jié)點(diǎn)與接入單位間的 CWDM（ Coarse Wavelength DivisionMultiplexing，粗波分復(fù)用器）設(shè)備，實(shí)現(xiàn) Cer 和 Cer2 接入光線的共享。專線接入網(wǎng)速快，安全穩(wěn)定。 如果接入單位有閑置的光纖直通 Cer2 網(wǎng)節(jié)點(diǎn)，就可實(shí)現(xiàn)專線接入。 （ 3）可通過(guò) NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）技術(shù)實(shí)現(xiàn) IPv6 主干網(wǎng)下純 IPv4 網(wǎng)接入，實(shí)現(xiàn) IPv4 網(wǎng)絡(luò)的資源共享以及互相連通。 （ 1）當(dāng)純 IPv6 網(wǎng)絡(luò)與 Cer2 網(wǎng)互聯(lián)時(shí)，可通過(guò) BGP+路由協(xié)議或者是靜態(tài)路由的方法實(shí)現(xiàn)全球 IPv6 網(wǎng)絡(luò)的訪問(wèn)。 Cer2 網(wǎng)是采用純 IPv6 技術(shù)的網(wǎng)絡(luò)，它可以將服務(wù)提供給純 IPvIPv6/IPv4 雙棧節(jié)點(diǎn)以及純 IPv4 用戶。 Cer2 網(wǎng)向全國(guó)的高校及科研單位提供 1Gbps~10Gbps 的 IPv6 接入服務(wù)。 校園網(wǎng)的這些特點(diǎn)使它能夠成為類(lèi)似 IPv6 這些新技術(shù)和新應(yīng)用的研究平臺(tái)，使其在這些新領(lǐng)域走在行業(yè)的前端。 （ 3）校園網(wǎng)架構(gòu)一般為三層的樹(shù)形結(jié)構(gòu)，包括核心層、 匯聚層以及接入層。 （ 2）校園網(wǎng)中的鏈路帶寬較高并且網(wǎng)絡(luò)資源充足。 校園網(wǎng)的 IPv6 過(guò)渡方案 17 4 校園網(wǎng)的 IPv6 過(guò)渡方案 校園網(wǎng)的 IPv6 建設(shè)需求 校園網(wǎng)是在學(xué)校范圍內(nèi)，在一定的教育思想和理論指導(dǎo)下，為學(xué)校教學(xué)、科研和管理等教育提供資源共享、信息交流和協(xié)同工作的計(jì)算機(jī)網(wǎng)絡(luò)。協(xié)議轉(zhuǎn)換技術(shù)是指源節(jié)點(diǎn)和目的節(jié)點(diǎn)分別使用不同的協(xié)議，這種情況下要使用協(xié)議轉(zhuǎn)換，使其首部進(jìn)行轉(zhuǎn)換，從而 使兩協(xié)議網(wǎng)之間可以通信 [2930]。雙協(xié)議棧技術(shù)主要是在一個(gè)節(jié)點(diǎn)上配置兩種協(xié)議，使得該節(jié)點(diǎn)既可以同 IPv4 主機(jī)通信也可以和 IPv6 主機(jī)通信。 IPv6 過(guò)渡技術(shù) 在向 IPv6 過(guò)渡中，需要用到大量的過(guò)渡技術(shù)。此時(shí)， IPv4間的聯(lián)系要用到隧道技術(shù)。 占網(wǎng)絡(luò)主導(dǎo)地位的階段 圖 31 中最上層就是這一階段的描述。但還有一些傳統(tǒng)業(yè)務(wù)運(yùn)行在 IPv4 中。 與 IPv4 的共存階段 圖 31 中的中間層就是該階段的描述。在這一階段下，主要采用隧道技術(shù)實(shí)現(xiàn) IPv6網(wǎng)絡(luò)互聯(lián)。 IPv6 過(guò)渡技術(shù) 16 如上圖所示，過(guò)渡主要可分為三個(gè)階段： 發(fā)展的初級(jí)階段 圖 31 中最底層是初級(jí)階段。根據(jù)網(wǎng)絡(luò)發(fā)展的情況，不同時(shí)期要有不同的過(guò)渡策略，并在不中斷目前業(yè)務(wù)的情況下實(shí)現(xiàn)平滑的過(guò)渡。 （ 5）過(guò)渡過(guò)程要易于用戶及管理者理解和實(shí)現(xiàn)。 （ 3）在網(wǎng)絡(luò)設(shè)備升級(jí)更新時(shí)，避免設(shè)備間的相互依賴性。 2. 過(guò)渡的目標(biāo) 在設(shè)計(jì)過(guò)渡策略時(shí)，必須遵循以下的目標(biāo)： （ 1）過(guò)渡是逐步的和漸進(jìn)的，并確保在過(guò)渡時(shí)期， IPv4 網(wǎng)絡(luò)及設(shè)備可以正常運(yùn)行。第 三，網(wǎng)絡(luò)過(guò)渡需要協(xié)調(diào)一致性。目前我國(guó) Inter 的核心網(wǎng)建設(shè)，包括各種網(wǎng)絡(luò)運(yùn)營(yíng)的軟硬件設(shè)備都是為 IPv4 服務(wù)的，投資巨大。目前互聯(lián)網(wǎng)的應(yīng)用滲透到社會(huì)的各個(gè)方面，我們的生活、學(xué)習(xí)、工作都離不開(kāi) Inter。移動(dòng) IPv6 的組成如圖 218 所示 [16]。本地地址可以永久標(biāo)識(shí)移動(dòng)節(jié)點(diǎn)，保證移動(dòng)節(jié)點(diǎn)對(duì)上層網(wǎng)絡(luò)的移動(dòng)性是透明的。而保持現(xiàn)有的通信連接，是可以通過(guò)處理 IP 層地址變化來(lái)實(shí)現(xiàn)。 移動(dòng) IPv6 利用 IPv6 協(xié)議提供的超大地址空間、優(yōu)化的路 由、完善的移動(dòng)檢測(cè)以及加強(qiáng)的安全保護(hù)等特征，對(duì)移動(dòng) IPv4 做了改進(jìn)，為移動(dòng)節(jié)點(diǎn)提供了更合理、有效的 IP 移動(dòng)解決方案。無(wú)論是移動(dòng) IPv4 還是移動(dòng) IPv6，它們的目標(biāo)是一致的，就是不管連接的是本地鏈路還是節(jié)點(diǎn)移動(dòng)到外地網(wǎng)絡(luò)，移動(dòng)節(jié)點(diǎn)總是要通過(guò)本地的地址尋址。 移動(dòng) IPv6 現(xiàn)有的 IPv4 協(xié)議原來(lái)不支持互聯(lián)網(wǎng)設(shè)備的移動(dòng)， IETF 針對(duì)這一情況制定了協(xié)議，稱之為移動(dòng) IP。 ACL 根據(jù)各個(gè)匹配條件來(lái)對(duì)報(bào)文分類(lèi)，來(lái)實(shí)現(xiàn)對(duì)其的訪問(wèn)控制。想要防止該種攻擊，就需在網(wǎng)絡(luò)邊界把不信任的 IPv6 地址和不需要的服務(wù)過(guò)濾掉，這時(shí)候就會(huì)用訪問(wèn)控制技術(shù)來(lái)實(shí)現(xiàn)。 IPv6 協(xié)議 14 圖 217 ISAKM 的協(xié)議結(jié)構(gòu) ACL 和 IPv4 協(xié)議一樣，在 IPv 網(wǎng)絡(luò)中也會(huì)存在 DNS 服務(wù)器，而 DNS 服務(wù)器又是比較容易被找到。 SKEME 協(xié)議是一種通用的密鑰交換協(xié)議，它提供了匿名、否認(rèn)以及快速密鑰更新的功能。 ISAKMP 協(xié)議主要為互聯(lián)網(wǎng)安全關(guān)聯(lián)管理以及密鑰建立定義框架，并且提供傳輸密鑰與認(rèn)證數(shù)據(jù)項(xiàng)相統(tǒng)一的框架，并與加密算法、密鑰產(chǎn)生技術(shù)以及認(rèn)證機(jī)制相互獨(dú)立， ISAKMP協(xié)議結(jié)構(gòu)如圖 217 所示。密鑰交換協(xié)議是混合型的協(xié)議，主要由ISAKM 與 OAKLEY 和 SKEME 這兩類(lèi)密鑰交換協(xié)議組成。為網(wǎng)絡(luò)上的通信協(xié)議提供算法以及密鑰協(xié)商的服務(wù)。 ESP 被看作是端對(duì)端有效載荷，保護(hù)著 IP 分組。隧道模式可實(shí)現(xiàn)在主機(jī)或安全網(wǎng)關(guān)上。 ESP 有兩種使用模式：傳送模式和隧道模式。 圖 216 認(rèn)證頭協(xié)議格式 認(rèn)證頭可在隧道模式或傳輸模式下使用，同時(shí)可為數(shù)據(jù)包在兩節(jié)點(diǎn)間傳送提供保護(hù)及身份認(rèn)證，也可封裝安全性網(wǎng)關(guān)發(fā)出和接收的數(shù)據(jù)包流。 第二，提供 IP 數(shù)據(jù)報(bào)的完整性服務(wù)，驗(yàn)證數(shù)據(jù)報(bào)承載的數(shù)據(jù)。認(rèn)證頭的格式如圖 216 所示 [26]，作用如下。 圖 215 IPsec 協(xié)議的模塊化結(jié)構(gòu)圖 IPv6 協(xié)議 13 （ Authentication Header 認(rèn)證頭）主要實(shí)現(xiàn)數(shù)據(jù)的完整性及對(duì)數(shù)據(jù)報(bào)來(lái)源的認(rèn)證。并提供了數(shù)據(jù)身份認(rèn)證、完整性檢驗(yàn)、抗重播攻擊及機(jī)密性保證等主要功能。 IPsec 協(xié)議是模塊化設(shè)計(jì)，并提供標(biāo)準(zhǔn)、可靠、可擴(kuò)充的安全機(jī)制。因?yàn)?IPv6 的地址擴(kuò)展到了 128位，而接口 地址一般要占 64 位，在任何一個(gè)網(wǎng)段中可能會(huì)有 264 臺(tái)主機(jī)，如果使用每秒可以掃描 1000 萬(wàn)臺(tái)主機(jī)的掃描軟件，它大概需要 5000 年才能完成全部的掃描，因此，地址掃描在 IPv6 協(xié)議下不再適用了。與 IPv4 協(xié)議下的網(wǎng)絡(luò)一樣， IPv6 協(xié)議在網(wǎng)絡(luò)中也一樣會(huì)受到攻擊，其特征基本與 IPv4 協(xié)議下相同。 為了保證網(wǎng)絡(luò)通信的安全， IETF 著手研究制定了一套保護(hù)通信的 IPsec 協(xié)議 [24]。 （ 5）路由攻擊。 （ 3）網(wǎng)絡(luò)層與傳 輸層欺騙。 （ 1）地址掃描。隨著網(wǎng)絡(luò)應(yīng)用的不斷加強(qiáng)，網(wǎng)絡(luò)訪問(wèn)難免會(huì)通過(guò)一些不安全的網(wǎng)，這樣，網(wǎng)絡(luò)安全問(wèn)題就顯露IPv6 協(xié)議 12 出來(lái)了。該協(xié)議的所有報(bào)文都直接封裝到數(shù)據(jù)鏈路層幀結(jié)構(gòu)中。該協(xié)議還提供了可擴(kuò)展機(jī)制，便于確保認(rèn)證及安全的實(shí)施，并提供不同程度的安全機(jī)制。 OSPFv3 報(bào)文頭格式如圖 214 所示。 OSPFv2 中每個(gè) OSPF 接口必須配置全局的 IPv4 地址， OSPFv3 的協(xié)議報(bào)文源地址使用鏈路本地地址，這樣不僅可以節(jié)省全局 IPv6 地址的資源，還便于分配 、管理 IPv6 地址。 在協(xié)議框架、網(wǎng)絡(luò)類(lèi)型、鄰居發(fā)現(xiàn)和建立機(jī)制、協(xié)議狀態(tài)和協(xié)議報(bào)文類(lèi)型等方面與 OSPFv2 基本一致，但也有不同之處： OSPFv2 協(xié)議運(yùn)行主要基于子網(wǎng)， OSPFv3 是基于鏈路運(yùn)行，不受網(wǎng)段限制。該協(xié)議是對(duì)原有 RIP 協(xié)議修改后應(yīng)用在IPv6 網(wǎng)絡(luò)中的， RIPng 是應(yīng)用層協(xié)議，承載于 UDP 之上，報(bào)文格式如圖 213 所示。 主要的路由協(xié)議 RIPng[20]（ Routing Information Protocol next generation 下一代 RIP 協(xié)議）是基于距離矢量的內(nèi)部網(wǎng)關(guān)協(xié)議。前者在自治系統(tǒng)的內(nèi)部運(yùn)行，后者運(yùn)行在不同的自治系統(tǒng)間。主機(jī)路由指該路由器自身的接口路由，靜態(tài)路由主要是手工配置，動(dòng)態(tài)路由是由路由協(xié)議自動(dòng)生成。 路由的 分類(lèi) 路由主要可以分為三類(lèi)：直連路由、靜態(tài)路由和動(dòng)態(tài)路由。在整個(gè)路徑中，最后一個(gè)路由器負(fù)責(zé)把報(bào)文送到目的主機(jī)。重定向報(bào)文的格式如圖 212 所示。接收到