computer 版 (精华区)

发信人: Muller (胖胖熊), 信区: network
标  题: IPv6大纲（7）(转载)
发信站: 听涛站 (2001年07月15日16:54:00 星期天), 站内信件

【 以下文字转载自 other 讨论区 】
【 原文由 Muller 所发表 】

5.3.1 身份验证头（AH）
AH的作用有如下几点：
● 为IP数据报提供完整性检验服务；
● 为IP数据报提供身份验证；
● 使用顺序号字段来防止攻击。
AH可以在传送模式和隧道模式下使用，也就是说，它即可以用于为两个节点间简单直接的
数据报传送提供身份验证和保护，也可以将发给安全网关或者由安全网关发出的数据报流
进行封装。
AH在与其他扩展头一起使用时，必须置于由中间路由处理的扩展头之后，以及只能由目的
地处理的扩展头之前。在传送模式中，AH保护IP数据包的净载荷，也保护在路由转发中不
发生变化的部分IP包头。传送模式中AH的位置如下图所示：
增加AH之前的数据包
目的IP头    扩展头  TCP 数据
增加AH之后的数据包
目的IP头    扩展头  AH  目的地选项  TCP 数据
当AH用于隧道模式时，使用上有所不同。目的IP地址与整个IP数据包一起，封装在新的IP
数据包内，然后发送到安全性网关。因此，整个IP数据包以及传输中不变的IP封装头都得
以保护。隧道模式中AH的位置如下图所示：
增加AH之前的数据包
 原始IP头   扩展头  TCP 数据
使用隧道方式向安全性网关（GW）发送的IP数据包
GW IP头 扩展头  AH  原始IP头    扩展头  TCP 数据
AH头的格式与各字段的组成如下图所示：
下一个头（8位） 载荷长度（8位） 保留字段（16位）
安全性参数索引（SPI）（32位）
序列号（32位）
身份验证数据
● 载荷长度字段：此字段表示AH字段的长度，等于序列号字段加上身份验证数据的长度；

● 安全性参数索引：用于标识AH使用的安全协议（SA）；
● 序列号：起计数器的作用，由发送者将其插入IP头，从0开始，每发送一个数据包，则
该计数器增加1。若接收者收到了与已接收数据包序列号相同的数据包，则接收者将丢弃之
，这样可以防止重放攻击。如果接收者接收到了232个数据包，那么必须与发送者重新协商
新的SA才能继续接收。否则将由于计数器复位导致所接收的数据全部丢弃。
● 身份验证数据：该字段的长度为32字节的整数倍。在远程通信系统中，数据的完整性通
常是由对数据的适当计算和检查来得到保证的，这种技术被称为信息摘要（Message Dige
st，MD）。通过摘要算法，例如加密MD5，产生信息摘要，填充在该字段中。
当目的节点接收到带有AH头的数据包时，此数据包的真实性和完整性就可以通过使用如下
图所示的步骤进行检验。
5.3.2 安全加载封装头（ESP）
安全加载封装头（ESP）的格式如下图所示：
明文选项    加密选项
IPv6报头：下一个头  扩展头  ESP头   加密的有效数据
ESP头的功能包括：
● 通过加密保证数据包的机密性；
● 通过使用公共密钥加密对数据源进行身份验证；
● 通过由AH提供的序列号机制对抗重放攻击；
● 通过使用安全网关来保证业务流的机密性。
与AH类似，ESP既可以用于隧道模式，也可以用于传送模式。在传送模式中，如果有AH头，
IP头和逐跳扩展头、选路头等在ESP头前，后面是AH头。ESP头之后的扩展头将被加密。
使用隧道模式时，ESP头对整个IP数据包进行加密，并作为IP头的扩展将数据包定向发送到
安全性网关。安全性网关直接与节点连接，同时连接到下一个安全性网关。对于单个节点
，可以在隧道模式中使用ESP，将所有的出境包加密，并将其封装在单独的IP数据包流中，
在发送给安全性网关，然后由目的地的网关将业务流解密，将解密后的IP数据包发给目的
地。
第六节  IPv6的路由
6.1 RIPv6
RIP（Routing Information Protocol，路由信息协议）是很多路由协议的基础，它是一个
距离矢量协议，每个路由器每30秒一次将起距离矢量发送到相邻的路由器，路由表只存储
到目的地的下一路段的最佳路线。它规定在整个传输的过程中最多只允许15个路段，超过
15个路段即认为网络不可达。RIP一般只应用在小型网络中。
如图所示，网络中的路由器1到网络A的路径距离是一跳，到网络B、D、F的路径距离是二跳
，到网络C和E的路径距离是三跳。路由器2到网络B是单跳路径，到网络A是一条二跳路径。

每个路由器都要周期性的向网络中所以其他路由器广播自己的选路信息，根据这个信息，
路由器2得知任何要发往网络A的包应该向路由器1选路，同样路由器2知道应该避免把发往
网络A的包转发给路由器5。
可以发现，RIP有不少缺陷。首先，该协议的"噪声"非常大，每个路由器都要频繁的发送自
己的状态信息，这样，随着网络规模的扩充，路由器数目的增加，整个网络的业务流将急
剧增长；其次，根据RIP的规定，路由的长度不能超过16跳，因此无法支持大规模的网络系
统。
RIPv6是针对IPv6的RIP版本，与RIP相比，它允许接收128位地址，没有增加其他新的特性
，保持了RIP的简单性，可以在非常简单的设备上实现。
6.2 OSPFv6
针对RIP的缺陷，OSPF（Open Shortest Path First，开放最短路径优先）近年来得到了广
泛的应用。根据OSPF，路由器不再周期性的向所有其他路由器通知自己的所有路由，而只
是通告自己的直接链路。例如在上图中，路由器1通告自己和网络A、路由器2、路由器4及
路由器6有直接连接，类似的，其他路由器也通告它们的直接连接。这样，所有的路由器根
据这些信息就可以产生合理的路由。例如路由器5得知与自己直接连接的路由器2连接到路
由器1，而路由器1又直接连接到网络A，那么它就可以产生一条从网络E到网络A的路由。
OSPFv6是可以用于IPv6的OSPF版本，支持IPv6的128位地址。作为所有路由器厂商的共同标
准，得到了广泛的支持，在大型网络中得到了广泛的应用。
6.3 IDRPv2
IDRP（Inter-domain Routing Protocol，域间路由协议）是一个路径矢量协议。在IDRP中
，一个子网分组叫做一个路由域，分为两种类型：
● 最终路由域（End Routing Domain，ERD），这种路由域的路由主要是用来提供域内路
由服务。ERD与网络的最终用户有关，也就是说，Internet上的组织通常只与一个ERD相连
，在路由树中是一个端点。或者ERD之间为交换数据，通过专用链路通信。如下图所示。
● 传输路由域（Transmit Routing Domain, TRD），这种路由域的路由主要是用来传输域
间通信。TRD通常与ISP相关
IDRPv2是IDRP的IPv6版本。在IPv4中，路由器必须为每一个连接到Internet的网络在路由
表中建立一个路由的条目，因此引起了路由表的急剧膨胀。而IPv6将最终用户的地址分配
方案迁移到基于ISP的方案，在该方案中，每一个ISP将得到一组可以分配给最终用户的地
址。这样，路由表中的路由条目不再是特定的网络，而是网络之上的ISP。这样，路由表就
被大大的精简了。

Muller
7.15于深圳


--
     诗人说，你常面对满天的繁星，
     寻找你过去四方采撷的鲜花，
     只见水中，长纱衣载着她入梦，
     洁白的奥菲丽娅，象朵百合花。
※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家] --
※ 转载:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]