所属分类: 网络技术 整理: FengNet.Com 更新日期:2014/2/8 23:22:44 阅读次数:1120

基于IPv6的下一代网络技术的特征分析


 1.引言

  随着IPv4地址的耗尽,以及网络接入用户的不断庞大,向IPv6过渡已经是势在必行,IPv6作为新一代的网络协议,不仅具有海量的IP地址资源,而且由于其数据包可以更大,从而实现更可靠、更快速地进行数据的传输,同时通过在数据报头中添加流标记和业务级别大大地改善QoS,且任何设备接入IPv6后即可获取相应的设置,大大地简化用户操作,满足移动性等要求,最重要的一点是,IPv6通过IPSec实现更高的安全性,实现了网络层的安全,但是这种安全并不绝对的,在新一代互联网中的安全威胁,还需要这个领域的专家找到完整的解决方案。

  2.IPv6关键技术研究

  由于现阶段几乎所有的主流应用都是基于IPv4网络协议开发的,而新的IPv6协议与IPv4协议并不兼容,因此为了保障业务的连续性,也为了保障最终用户的上网体验,两个网络的并存需要持续很长一段时间,因此两网如何实现过渡和互通,成为运营商、数据中心和内容提供商关注的焦点,以下将就目前现存且常用的IPv4向IPv6过渡的几项关键技术作简单介绍。

  2.1 双栈技术

  所谓双栈技术,顾名思义,就是同时支持IPv4和IPv6两种协议的网络,即从用户端到业务终端连接的所有设备都需要支持两种协议。当两个端点通讯时会采用相应的协议进行数据的传输。双栈的解决方案同时支持IPv4与IPv6两种协议,无需考虑两者互通的问题。然而对于大型网络来说,由于涉及到产品的升级,甚至是需要更新换代,会耗费大量的财力人人力,因此可行性相对比较小,部署与规划都比较复杂,由于有两套协议,因此大大增加了网络管理人员的工作难度,另外由于主机上都需要支持两份协议,因此会消耗更多的内在和更多的CPU。此外,由于用户并未真正地迁移到IPv6网络上,因此对于IPv6的推广与发展直到了一定的阻碍作用。

  2.2 翻译技术

  翻译技术通常所指的就是NAT-PT,一般是在IPv4与IPv6的网络边缘部署翻译网关设备,实现IPv4与IPv6数据包的报文的翻译和转换,从而使IPv4用户可访问IPv6资源,同时IPv6用户也可去访问IPv4的资源。翻译网关的部署相对简单,且由于实现了多个IPv6的Host可以同时共用一个IPv4地址,一定程度上解决了地址枯竭的问题。然而由于网关是基于应用层的,针对不同的应用需要开发不同的ALG,而且现有的网络应用层出不穷,如果大范围的采用此方案,就需要实时的去开发满足各类应用的网关,成本较大。

  2.3 隧道技术

  隧道技术即将IPv4的数据包封装在IPv6数据包中进行传输,反之亦然,实现数据包在不同的网络中的顺利传送,隧道技术中包含6PE、6over4、隧道代理、ISATAP等多种方式。只要部署了足够多的隧道服务器,并有足够的网络带宽支撑,隧道的实现即是一种软件配置的过程,技术实现方式简单,能协助网络管理人员快速实现新一代协议的部署,并实现网络的优化。然而由于数据包需要封装和解封装,因此隧道设备一般都是成对部署的,与双栈方式相同的一个弊端就是不适用于大型网络的过渡。

2 of 3
 2.4 Socks64技术

  这种技术的基本原理是通过客户端与网关的通信,来实现IPv4与IPv6主机之间的互联互通。其中网关必须同时支持IPv4与IPv6两种协议栈,即在网关处需要同时接入IPv4与IPv6网络,来自客户端的数据包,无论是IPv4还是IPv6的,网关都可以进行处理,并转发至相应的目的端。由于网关来进行协议的转换与处理,因此一旦在大型网络中部署,必须要求这个网关的吞吐量、处理性能达到一定的标准,且在网络过渡时期,网关一般部署在网络边缘,便于能够更高效地处理用户请求。这种解决方案的优点即部署网关成功后,无需考虑用户端发起请求的类型,都可进行数据转发。但是客户端的推广安装成为一大问题,且由于是客户端与网关通讯的模式,因此会出现一定的性能瓶颈。

  3.IPv6网络安全研究

  在传统的IPv6网络体系架构里,网络安全的策略,是在应用层上进行安全的防范,或对邮件进行加密,在访问网页时进行数据加密,并未对网络层进行处理。在1995年,IETF制定了在IP层的安全规范,即IPSec(IP Security)。由于IPv6集成了IPSec协议,因此在IPv6的安全体系架构中,IPSec便是核心。

  3.1 IPv6网络安全优势——IPSec

  IPv6一个最大的优势就是,集成了IPSec,也就意味着它能够提供完备的安全服务,包括数据来源的强认证,保障数据传输的机密性和完整性,同时也可以进行数据的访问控制,抵御数据重复发送等攻击。为IPSec的体系结构,包含三个基本的协议,其中AH协议(验证头)用于保障数据的完整性和验证数据的来源;加密功能和机制是由ESP协议(封装安全载荷)来提供;同时ISAKMP协议(即密钥管理协议)主要用于实现前两种协议在交流时信息安全。

  3.2 IPv6网络安全优势——地址可溯源

  目前采用的IPv4地址协议,存在的最大问题,就是使用了大量的私有地址,通过NAT技术,多个私有地址,可能通过同一个公网IP去访问互联网,这种情况,就存在一个安全隐患,如果某一个用户发布了一条反动信息,或者非法言论,无法快速定位到IP,给网络管理人员造成很大的工作难度。IPv6海量的IP地址,完全摒弃了私有地址的概念,可为每一个终端分配一个单独使用的IP地址,一旦出现问题,将快速查找到源地址,保障网络的健康。

  3.3 IPv6网络安全优势——反侦察能力

  大部分的黑客或者恶意程序,都会通过扫描某个子网来最终确定攻击的IP地址、应用和服务,而IP地址量相当大,可大大降低网络侦察的能力,有效地防范类似的网络攻击。

  4.IPv6网络可能存在的问题

  4.1 无法解决网络层以上的安全问题

  IPv6集成的IPSec功能,只是解决了网络层的安全问题,面对网络层以上的攻击,IPv6仍然无法解决的,如垃圾邮件、恶意代码、蠕虫、系统漏洞等攻击,还是需要相应的防病毒安全厂家来解决。

3 of 3
 4.2 无法处理数据解密过程的攻击

  IPv6采取对数据的加密,但是用户在正常接收数据后,需要解密,如何攻击者在解决过程中添加相关的干预手段,加长解密的时间,这将会消耗大量的系统资源,甚至可能造成系统瘫痪。

  4.3 加密方面的安全隐患

  IPSec中采用了加密算法和密钥的管理。对于加密算法,没有哪一个加密算法能够确保其绝对安全的,这是本身的局限性,另一方面,对于密钥的管理,由于依赖于PKI,而此项技术目前还未在国际上形成统一完善的标准,因此安全性是否可靠也有待考证。

  5.结束语

  向IPv6的迁移是大势所趋,各项过渡技术都已发展成熟,并形成了相应的标准,但是均存在优缺点,需要将各项技术进行去长补短,综合利用,设计出一种通用易行的解决方案。对于IPv6的网络安全问题,本身其已经在网络层建立了一层安全壁垒,但仍存在其它方面的安全威胁,且在过渡过程中,对IPv4的网络体系中的设备也构成了一定的挑战。因此,无论是在IPv6的关键技术方面,还是在网络安全方面,都还需要业界人士的不断研究与验证,以实现平滑、安全的网络迁移。




--------------------------------------------------------------------------------

相关文章
Linux内核参数调优 2015/10/9 10:58:10
Linux下路由跟踪mtr命令使用举例 2015/9/20 10:30:37
中国大陆开源镜像站汇总 2014/9/2 10:19:27
TCP/UDP常见端口参考 2013/5/23 15:26:35
Mac 常用应用推荐下载工具篇 2012/9/4 10:46:21
POSTFIX邮局系统搭建全过程 2011/10/22 9:33:19
23道思科网络面试题及解答 2011/3/22 12:58:43
利用扩展ACL防止IP Fragment攻击 2010/5/25 14:07:00
Upgrading BIND & Running Name Server with "named" 2010/4/5 18:54:51
关闭企业网络内所有IPv6通道 2010/4/5 11:52:37
如何准备网络硬件安全升级 2009/11/30 16:18:59
ntop流量监控软件 2009/3/16 14:43:08
loopback具体作用 2008/8/20 14:45:14
理解 DNS 2008/5/11 17:54:47
vsftp配置大全---完整版 2008/4/27 8:13:22
一个强大的文件下载工具curl 2007/12/24 14:35:15
Linux 2.6.19.x 内核编译配置选项简介 2007/5/29 7:55:59
智能DNS网通电信互通解决方案 2007/5/17 17:50:09
Cisco IOS Cookbook 中文精简版第二十五章 IPv6 2007/4/3 9:07:01
Cisco IOS Cookbook 中文精简版第十九章 访问列表 2007/4/2 10:00:57
基于FreeBSD5.4全能服务器安装 2007/2/1 17:19:40
简单的bind 9 安装 2007/2/1 16:20:44
DNS网通电信互通解决方案 2007/1/16 15:05:02
DNS 配置详解 2007/1/16 15:01:02
L2与L3 VPN的详细介绍与对比 2006/12/4 16:54:19
以太网交换机性能比较对照指标详解 2006/7/4 19:46:33
架构根据电信、网通用户自动解析不同IP的DNS服务器 2006/6/17 11:05:57
DNS网通电信互通解决方案 2006/6/17 10:00:42
MPLS VPN 路由器与交换机选购指南 2006/5/30 14:27:52
网络安全讲座之八:审计结果 2006/5/24 19:46:24
vsftp配置大全 2006/5/6 18:17:32
Bind 8 Server HOWTO 2006/4/30 12:34:31
LAN多层交换技术以及其应用的发展 2006/4/9 14:05:16
网络测试与分析在运营商网络中举足轻重 2006/4/6 19:25:22
LAN多层交换技术以及其应用的发展 2006/4/4 23:14:16
MPLS标记栈编码(RFC3032) 2006/3/30 21:54:27
IP VPN的框架体系(RFC2764) 2006/3/30 21:52:32
适合NGN的VPN承载平台的构建和应用推进 2006/3/28 20:11:18
IPv6基础知识 2006/3/8 10:55:04
IPv4/v6互通技术 2006/3/8 10:47:50
思科IOS 12.3新特性 2005/11/21 9:32:14
《网络基础学习之十八》主要路由器技术 2005/11/11 10:00:42
《网络基础学习之十六》路由器基础 2005/11/11 9:58:20
《网络基础学习之六》初识网络体系结构与协议 2005/11/11 9:42:59
IPSEC 安全架构、应用及展望 2005/11/5 20:58:28
[网工]IPv6 网址分配方案概述 2005/7/6 20:56:11
2005年网络工程师考试题目预测(2) 2005/7/6 20:53:26
路由器(Router)原理介绍 2005/6/22 7:58:05
netfilter/iptables模块编译及应用 2005/6/3 12:04:20
Solaris 系统管理命令及相关技术中英文对照 2005/4/13 10:36:48
100多道简单网络基础题(答案) 2004/11/9 10:09:43
Linux 网络的多播 IP 技术 2004/6/18 8:05:59
nslookup工具的使用方法 2004/4/28 8:43:11
TCP/IP各层的安全性和提高各层安全性的方法 2004/3/31 14:39:14
用 Linux 打造路由器 2003/11/25 9:55:06
交换机类型(机架式,固定配置式带/不带扩展槽) 2003/11/19 10:45:55
路由器性能指标详解 2003/11/19 10:45:09
基于Linux的集群系统(八) 2003/9/1 18:53:47
以太网交换机性能比较对照指标详解 2003/8/22 11:35:37
用 Linux 打造路由器 2003/8/5 7:33:33
网络通信命令详解 2003/8/5 7:14:31
Linux 的带宽管理系统 2003/7/21 9:01:23
SOLARIS 9 FTP server configuration 2003/7/15 8:43:17
系统平台安装操作手册 SUN Fire 280安装配置手册 2003/7/15 8:36:18
安装OpenSSH 在SUN Solaris 8 for SPARC[ZT] 2003/7/15 8:29:08
网络经典命令行 -> Windows 2k/2003 Server 2003/7/8 12:24:10
防火墙软件Netfilter 2003/5/13 9:37:45
Linux 2.4中netfilter框架实现 2003/5/13 9:35:24
学习Linux网络编程(1) 2003/5/5 13:40:52
Internet安全,防火墙及其它 2003/2/23 14:48:51
LINUX安全管理10要点 2003/2/21 22:15:46
Netfilter/Iptables的防火墙功能介绍 1 2003/1/12 16:18:20
防火墙软件Netfilter(一) 2003/1/12 16:04:23
理解防火墙及防火墙实例系列: 第二部分 unix 下的防火墙软件 ipfilter 2003/1/12 15:47:31


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索