IPv4网络技术

IPv4网络技术（精选11篇）

IPv4网络技术 第1篇

1 IPv4的不足

IPv4是网际协议的第四个版本,是现今互联网技术的基石协议。虽然IPv4被无数实践证明是可交互、可靠和易于实现的,并且经受了各式各样的考验,但随着时代变化IP网络的高速发展,当初设计的IPv4面对现今的实际情况,有以下几个问题无法解决。

(1)IPv4地址空间面临枯竭。互联网从它诞生到现在的几十年间取得了爆炸似的发展,特别是在过去的十几年间,连接到互联网的电脑和网络设备呈几何数量增加,大量的IP地址被分配了,现在的IP地址相当匮乏已经基本没有了。IP地址长度是32位,那么IPv4的地址空间中就有大约40亿的地址,有些人可能会认为互联网可以轻易容纳数亿主机,至少在未来的几年内可以满足对IP地址的需求,但实际来看现在的IP地址已经分配完了,基本没有可用的IP地址了。

(2)在骨干级路由器的路由表项太多。由于IPv4发展初期没有规划分配,造成了现在许多分配的IPv4地址块是不连续的,无法在互联网的骨干路由器上进行比较有效的聚合路由。后来人们意识到的时候采用了CIDR,以及回收再分配IPv4地址等方法有效抑制了全球IPv4 BGP路由表的线性增长,但是仍然解决不了问题,逐渐增多的路由表耗用内存增多,对网络设备成本和效率产生了很大的影响。

(3)地址结构不合理。IPv4地址采用的A,B,C,D和E这5类地址分类的结构本身就不是很合理,有一些缺陷,无法更有效地利用地址资源。如果一个组织分配一个A类地址就浪费了大量的地址空间,分配一个C类地址又面临地址空间不足的问题,D类和E类地址都无法利用。虽然通过了VLSM和CIDR来弥补,但是使得路由表和路由策略相当复杂,严重影响了路由效率。

(4)配置复杂。目前大部分的IPv4的实现方案需要手动配置,或通过一些地址配置协议进行配置,如动态主机配置协议(Dynamic Host Configuration Protocol,DHCP),随着使用IP的设备越来越多,对不依靠DHCP的基础结构管理配置和更简单而自动化的地址配置有着迫切的需求。

(5)服务质量差。IPv4属于无连接协议,它本身就是不可靠的。虽然后来IPv4有了服务质量标准,但是实时通信比较依赖IPv4的服务类型(TOS)字段和负载的标识,它们一般是使用用户数据报协议(User Datagram Protocol,UDP)和传输控制协议(Transmission Control Protocol,TCP)端口。但IPv4的TOS字段功能有限,负载标识加密后无法使用UDP和TCP端口。

(6)不支持端到端的安全。IPv4虽然有IPsec的可选项,但大多数节点都不支持IPsec,所以IPv4的安全性很差。

2 IPv6的优点

IPv6是下一代互联网技术的基石协议,在设计的时候除了完全解决了地址匮乏的问题外,还作了一些改进,解决了IPv4解决不了的一些问题,主要有以下改进:

(1)扩展了路由和寻址的能力。IPv6的地址长度从IPv4的32位增加到了现在的128位,这样就有了比以前更大的地址空间了,有了如此多的IP在未来也许就不会缺乏地址了。

(2)报头格式的简化。IPv6报头格式中处理了IPv4中的一些冗余的域要么被丢弃掉,要么被列为IPv6的扩展报头,这样就大大降低了报头带宽和对包处理的开销了。虽然IPv6的地址长度是IPv4地址长度的4倍,但是IPv6的报头只有IPv4的2倍。

(3)对可选项更大的支持。在IPv6中可选项是单独的一个个扩展头部而不会把它放入报头中。一般扩展头部不会被路由器打开处理,当然那是没有指定路由器的情况下,这样路由性能就得到了很大的改变。

(4)Qo S的功能。人们不仅仅能够通过互联网来获取各种各样的信息,还可以缩短大家的距离进行一些网上的娱乐。虽然现在互联网上的VOD非常火热,但是大多数商家还没有达到VOD的水平,而且没有办法在广域网上实现。

(5)身份验证和保密。IPv6在身份验证、保密性和数据一致性的方面有着很好的机制,所以用户在IPv6网络使用中,可以加密网络层的数据和校验IP报文进,这使网络安全得到了大大的增强。

3 怎样将IPv4过渡到IPv6

3.1 双栈技术

双栈技术是现在由IPv4过渡到IPv6的一种最实际、简单、易实现的技术。在既支持IPv4又支持IPv6的协议栈的网络节点中由源节点来选择与目的节点相同的协议栈,而网络设备处理转发报文时就根据报文的协议类型来选择相应的协议。

3.2 隧道技术

隧道技术是通过封装一种协议到另外一种协议中来传输的一种技术。隧道技术只是要求隧道两边节点的网络设备能够支持这两种协议。把IPv6报文封装在IPv4报文之中就穿越现在的IPv4网络了,连通了现在比较零散独立的IPv6网络,实现了对IPv6报文的透明传输。IPv6节点就像海中的孤岛,大海就是IPv4网络,用像船的IPv4就能够把所有的孤岛连接起来了,这就是IPv6穿越IPv4的隧道技术了。

3.3 NAT-PT技术

NAT-PT技术就是把IPv4网络中动态地址转换技术和SIIT协议转换技术结合起来的一种技术。它使只支持IPv6协议的主机能够连接只支持IPv4协议的主机与之进行通信交换信息,而IPv6报文和IPv4报文两者之间的相互转换由在IPv4和IPv6网络边缘的一个设备实现。NAT-PT技术能动态地给访问IPv4网络节点的IPv6网络节点分配IPv4地址,这是因为它在利用了传统的IPv4下的NAT技术的同时,又合理运用了SIIT技术的工作机制,这样就使得IPv4地址池规模在SIIT技术中全局没有了限制。

3.4 地址技术

现在使用的IPv6地址一般是由64位的前缀和EUI-64构成的。EUI-64就是电气和电子工程师协会定义64位EUI-64地址。将EUI-64地址指派给网络适配器或由IEEE802地址派生得到该地址。EUI-64构造方法是以太网地址的组织唯一标识符(Organizationally Unique Identifier,OUI)部分(即前3个字节)构成EUI-64的company_id部分(即前3字节),而在EUI的第四和第五个字节取得16进制的固定值FFFE。EUI-64剩下的3个字节是把太网地址最尾的3个字节填充进去,通过将EUI-64的“全球/本地”位取反就得到了接口标识。

3.5 路由技术

路由技术是指分组在发往下一个设备进行路由的选择时,使用的算法和在互联网中进行路由选择的一些协议。路由技术中有静态和动态的路由选择算法,还有分布式的路由协议如RIP,分层式的路由协议如OSPF,IS-IS和BGP等。IPv6越来越受到人们的重视,目前已经有了相对成熟的Pv6技术和标准,许多国家都建立了多个规模多样的IPv6实验网,IPv6网络的设备也渐渐地成熟了。随着现代社会的进步发展和大量科学技术的革新,人们对互联网有了更高的需求,所以由IPv6取代IPv4位置引领下一代互联网技术的发展是必然的大趋势。

参考文献

[1]林洁,段昕,陈建兵,等.从IPv4向IPv6过渡的高校校园网建设[J].电脑知识和技术,2011(5):1005-1006.

[2]李永锋.基于IPv4与IPv6技术相结合高校校园网络建设[J].现代电子技术,2009(18):82-88.

[3]张俊,袁红旗.浅析校园网IPv4向IPv6的技术升级[J].中国教育信息化,2013(14):76-77.

[4]周军辉,胡湘任.校园网IPV4向IPV6过渡技术的研究[J].大众科技,2008(7):30-31.

网件路由下IPv4和6的区别 第2篇

一、防火墙对于一个网格的作用就不用多说了，网络的第一道防线就是防火墙，它用于防御公共互联网攻击，限制本地用户的公共互联网访问，随着IPv6的出现，对防火墙有了新的要求，虽然IPv6和IPv4各自提供的服务非常相似，但是这两种协议之间存在一些细微差别。

二、IPv6的一个主要变化是采用固定长度的协议头，而不像IPv4那样采用可变长度协议头。任何必要的选择都必须加到后续的扩展头中，扩展头位于固定的IPv6头和封装的IPv6上层协议之间。它会根据处理选项的不同系统而采用不同的扩展头。例如，需要在目标主机中处理的选项会包含在一个“目标选项”头信息中，而由路由器处理的选项则会包含在一个“跳间选项”头信息中。

三、IPv6转换/共存技术还给IPv6防火墙带来另一个问题。大多数转换技术都使用某种通道机制，它在一种网络协议(通常是IPv4)中封装另一种网络层协议(通常是IPv6)。这会对防火墙的安全性造成很多影响，防火墙可能无法识别特定的转换技术，也可能无法应用一些原生IPv6流量支持的过滤策略。例如，在使用原生IPv4或原生IPv6时，一个网站可以阻挡通向TCP端口25的数据包，但是在部署了 Teredo 等转换机制后，它可能无法阻挡这些数据包。

四、能够让路由器和主机解析、处理归它们的选项——而IPv4则不同，处理数据包的所有节点必须解析所有的选项，这个头结构决定了IPv6头信息链：多个头信息会被依次链接在一起，首先是IPv6头，最后是上层协议。每一个扩展头都包含具体的头长度和下一个头链接的头信息类型，因此，任何IPv6流都会采用完整的IPv6头信息链，然后处理它需要的头信息，分片头是其中一种特殊类型的扩展头，它包含了实现IPv6分片所需要的机制，

五、由于当前的协议规范支持任意数量的扩展头，包括同一种扩展头类型的多个实例，因此防火墙必须能够细致地处理包括异常的多IPv6扩展头信息的数据包。而这可能被一些攻击者利用，他们可能故意在数据包中加入大量的扩展头，使防火墙在处理上述数据包时浪费过多资源，这可能会引起防火墙性能下降，或者造成防火墙本身出现DoS问题。此外，有一些性能不佳的防火墙在应用过滤策略时，可能无法处理整个IPv6头信息链，从而可能让一些攻击者利用扩展头威胁相应的防火墙。

六、IPv6分片也可能被恶意利用，方法与IPv4的类似。例如，为了破坏防火墙的过滤策略，攻击者可能会发送一些重叠的分片，从而影响目标主机的分片重组过程，在IPv6中，这个问题更为严重，因为多个IPv6扩展头和分片的组合可能产生一些错误分片，尽管它们的数据包大小是“正常的”，但是它们丢失了一些实施过滤策略通常需要的基本信息，如TCP端口号。即，数据包的第一个分片可能包含很多IPv6选项，以致上层协议头可能属于另一个分片，而不是第一个分片。

七、与IPv4头不同，IPv6不是将所有分片相关信息保存在固定的IPv6头中，而是将这些信息保存在一个可选的分片头中。因此，执行分片的主机只需要在IPv6头信息链中插入一个分片头信息，再添加需要分片的原始数据包，任何需要获取上层信息(如TCP端口号)的系统，都需要处理整个IPv6头信息链。而且，由于当前的协议标准支持任意数量的扩展头，包括同一种扩展头的多个实例，因此它会对防火墙等设备造成多种影响，防火墙需要解析多个扩展头，才能够执行深度数据包检测(DPI)，它可能会降低WAN性能，引发拒绝服务(DoS)攻击，或者防火墙被绕过。

八、转换技术可能会加剧上述问题，因为不仅封装的流量可能使用组合的IPv6扩展头和分片，其他向外发送的数据包(通常是IPv4)也可能是分片的，因此这都会大大增加最终流量的复杂性。这种复杂性不仅会降低网络流量传输速度，更严重的是，它还可能影响防火墙的过滤策略。例如，防火墙可能无法处理整个头信息链，从而无法找到TCP分片。

为了应用IPv6数据包过滤策略，对于路由器防火墙至少必须支持整个IPv6头信息链的处理，理想情况下，这些防火墙还应该支持IPv6转换技术，这样应用于原生IPv6流量的过滤策略可以同样应用到转换流量上。

★ 在Word 表格中对数据进行排序

★ 探讨如何利用大数据挖掘技术进行精准营销论文

★ 建材品牌进行精准的数据分析的方法

★ 户口本翻译件

★ 政府呈阅件范文

★ 认知网络路由技术

★ 对Excel数据区域或表中的数据进行排序

★ 管件采购合同范本精选

★ 描写件小事作文

IPv4网络技术 第3篇

关键词：IPv4；IPv6；IP地址

中图分类号：TN915.04 文献标识码：A 文章编号：1674-7712 （2012） 18-0042-01

一、关于IPv4和IPv6

目前的因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议，是TCP/IP协议族的核心协议。目前IP协议的版本号是4（IPv4），发展至今已经使用了30多年。IPv4的地址位数为32位，也就是最多有232台的电脑可以联到互联网上。近年来由于互联网的蓬勃发展，IP地址的需求量愈来愈大，使得IP地址的发放愈趋严格，各项资料显示全球IPv4地址在2010年已基本发完。

IPv6是下一版本的互联网协议，也可以说是下一代互联网协议，它的提出最初是因为随着互联网的迅速发展，IPv4定义的有限地址空间将被耗尽，地址空间的不足必将妨碍互联网的进一步发展。为了扩大地址空间，拟通过IPv6重新定义地址空间。IPv6采用128位地址长度，几乎可以不受限制地提供地址。按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上仍可分配一千多个地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题外，还考虑了在IPv4中解决不了的其它问题，主要有端到端IP連接、服务质量、安全性、多播、移动性、即插即用等。

二、IPv6与IPv4的优势对比

1.更大的地址空间。IPv4中规定IP地址长度为32，即有232-1个地址；而IPv6中IP地址的长度为128，即有2128-1个地址。

2.更小的路由表。IPv6的地址分配使得路由器能在路由表中用一条记录表示一片子网，大大减小了路由器中路由表的长度，提高了路由器转发数据包的速度。

3.增强的组播支持以及对流的支持。这使得网络上的多媒体应用有了长足发展的机会，为服务质量控制提供了良好的网络平台。

4.加入了对自动配置的支持。使得网络的管理更加方便和快捷。

5.更高的安全性。在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验，这极大的增强了网络安全。

三、IPV4向IPV6的过渡

IPV6是为了解决IPV4协议出现的问题而诞生的。IPV6的成功开发及应用将从根本上解决IPV4面临的问题。IPV6不仅继承了IPV4的优点，并根据IPV4多年来运行的经验进行了大幅度地修改和功能扩充，比IPV4处理性能好，功能更加强大，效率更高。与互联网发展过程中涌现的其他技术概念相比，IPV6可以说是引起争议最少的一个。也即是说，IPV6取代IPV4是互联网及计算机网络必然的发展趋势。

IPV6是未来互联网发展的需要，也同样是计算机网络技术发展的需要。如何完成从IPv4到IPv6的转换是IPv6发展需要解决的第一个问题。现有的几乎每个网络及其连接设备都支持IPv4，因此要想一夜间就完成从IPv4到IPv6的转换是不切实际的。IPv6必须能够支持和处理IPv4体系的遗留问题。从IPV4到IPV6涉及到很多技术问题和商业利益，甚至还有政治问题，但最重要的还是技术上的原因。具体来说，现有IPV4向IPV6的转化存在下述几个方面的困难。

1.现有的IPV4网络运行十分稳定，设备制造商、网络运营商、网络连接提供商等正从IPV4上获得稳定的收益，而应用IPV6上的成本将需要相当长的时间才能收回。

2.网络管理员惧怕任何需要对大量基础设施进行升级的操作。

3.操作系统对IPV6的支持还不充分。

4.缺乏IPV6的网管与安全产品。不管是什么原因，大家有这样一个共识，会在相当一段时间内，IPv4和IPv6将共存于互联网应用环境中。在此期间，就需要在IPv6完全应用于互联网之前，互联网具备良好的IPv4向IPv6转换机制。实现这一目标目前有以下几种技术与方法可循。

（1）IPv4地址与IPv6地址相互兼容技术。

（2）双IP协议栈技术。

（3）基于IPv4的隧道技术。

（4）NAT-PT转换网关技术。

无论上述哪一种技术，都只能作为IPv4向IPv6的过渡技术，它们对网络的运行效率以及应用的影响都不可小视，但最终都将被抛弃，人类必将完全进入IPv6的网络时代。

四、IPv6网络时代展望

IPv6的设计目的在于解决现有IPv4存在的各种问题，因此IPv6为各种价值应用构想提供了强大的技术支持，尤其对视频、语音、移动、安全等业务的发展有极大的促进作用。随着IPv6应用探索的进一步深入，IPv6在网络通信行业以及人们日常生活中具有广阔的应用前景。

1.视频应用。随着IP宽带业务的不断普及和发展，越来越多的行业、企业开始大量采用视频技术开展远程会议、视频点播和广播、远程教学、远程医疗、远程监控、可视电话等多种应用，以满足人们对交互式可视化沟通的需要。

2.网络家电将成为可能。网络家电将是下一代网络IPv6中的重要应用之一。用户可以通过PC机、PDA等设备对连接在家庭网络中的空调、电饭煲、微波炉、冰箱、电视、音响和照明设备等家用电器进行远距离遥控。

3.智能交通系统的普及发展。交通拥挤是当今世界各国大城市都存在的问题。IPv6大容量地址结构技术，可以使城市交通监控系统中每个信号灯、监视器及各种感应设备都能获得单独的IP地址，实现系统联网，动态的对交通进行监控，从而提高交通运输效率。

五、结束语

IPv6彻底解决了地址空间耗尽和路由表爆炸等问题，而且为IP协议注入了新的内容，使支持安全、主机移动以及多媒体成为IP协议的有机组成部分。协议的设计使路由器处理报文更加简便，扩展性也更好。目前，IPv6的实验网已经遍布全球，IP协议从IPv4过渡到IPv6已经是历史必然。

参考文献：

[1]任绮年.计算机世界报.

[2]莫卫东.计算机网络技术及应用[M].北京：机械工业出版社，2009，5.

IPv4/IPv6过渡技术研究 第4篇

随着Internet的飞快发展, 越来越多的用户加入到互联网的使用中去。目前全球上网的人数已经超过了10亿, 到2010年将达到30亿。现有的互联网主要是基于IPv4协议, 这一协议的成功应用促成了互联网的迅猛发展。但是, 随着互联网用户数量不断增长以及对互联网应用要求的不断提高, 以及如此惊人的发展速度, 使得网络本身的发展遇到了障碍, IPv4协议的不足逐渐体现出来了。最主要的几个问题是:第一, IP地址即将用尽。随着接入Internet的设备数目的不断增加, 根据IETF专家的研究和预测, 在2005年至2010年, 基于IPv4的全球IP地址资源将全部分配完毕。第二, 路由表的快速增长。由于IPv4地址方案不能很好的支持地址汇聚, 现有的互联网正面临路由表不断膨胀的压力。这使得大量的网络设备由于处理速度跟不上而被淘汰, 浪费是很惊人的。第三, 对于如何简便配置以及对服务质量、移动性和安全性等方面的需求都迫切要求开发新一代IP协议。

为了彻底解决上述问题, 互联网工程任务组织 (IETF) 开发出了一套新的互联网协议-IPv6。

从1995年IPv6的主要规格被确定以后, IPv6便成为事实上的下一代IP协议的规范。1996年2月美国新罕布什尔的IOL实验室首先将IPv6用于通信并进行了相互连接实验。1997年, 以验证IPv6为主要目的实验网络6bone发展为连接29个国家的大规模网络。为了彻底解决互联网的地址危机, IETF在IPv6互联网协议中提出了128位地址, 并于1998年进行了进一步的标准化工作。除了对地址空间的扩展以外, 还对IPv6地址的结构也重新做了定义, 采用了IPv4中使用的CIDR类似的方法分配地址。IPv6相对于IPv4的主要优势是扩大了地址空间、提高了网络的整体吞吐量、改善了服务质量、更好地保证了安全性、支持即插即用和移动性、更好地实现了多播功能。通过转换装置IPv4和IPv6可以在网络上共存。许多国家的网络接入量是惊人的, IPv4所能提供的地址已经不能满足需求了。

要实现IPv4向IPv6的平滑过渡需要解决两类问题。一类是实现IPv4网络海洋中的IPLv6孤岛之间如何通信的问题, 一类是现有IPv4网络与IPv6网络的通信问题。IETF提出了三种基本的过渡机制, 即:双协议栈机制 (Double Stack) 、隧道机制 (Tunnel) 和转换网关机制 (Translate) 。基于这三种基本技术, 派生出各种不同的过渡机制, 针对不同的情况, 解决不同的问题。

2 过渡机制

2.1 双协议栈

双协议栈 (Dual Stack) 是指在单个节点同时支持IPv4和IPv6两种协议栈, 由于IPv6和IPv4是功能相近的网络层协议, 两者都基于相同的网络物理平台, 而且加载于其上的传输层协议TCP和UDP也没有太大的区别 (最多是针对IPv6的改进版本) , 因此, 支持双协议栈的节点既能与支持IPv4协议的节点通信, 又能与支持IPv6协议的节点通信。

双协议栈技术是使IPv6节点与IPv4节点兼容的最直接方式, 其应用对象是主机、路由器等通信节点。支持双协议栈的IPv6节点与IPv6节点通信时使用IPv6协议, 与IPv4节点通信时借助4 over 6使用IPv4协议栈。IPv6节点访问IPv4节点时, 先向双栈服务器申请一个临时IPv4地址, 同时从双栈服务器得到网关路由器的TEP (Tunnel End Point) IPv6地址。IPv6节点在此基础上形成一个6 over 4的IP数据包, 该包经过IPv6网传到网关路由器, 网关路由器将其IPv6头去掉, 将IPv4数据包通过IPv4网络送往IPv4节点。网关路由器需要记住IPv6源地址与IPv4临时地址的一一对应关系, 以便将来反方向将IPv4节点发来的IP包转发到IPv6节点。

2.2 隧道机制

隧道机制就是将IPv6数据包作为数据封装在IPv4数据包里, 使IPv6数据包能在己有的IPv4基础设施 (主要是指IPv4路由器) 上传输的机制。

隧道对于源站点和目的站点是透明的。基于IPv4隧道的IPv6分组传送分为3个阶段即:封装、隧道管理和解封。在隧道的入口处, 路由器将IPv6的数据分组封装在IPv4中, 该IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址, 在隧道出口处, 再将IPv6分组取出转发给目的站点。隧道技术的优点在于隧道的透明性, IPv6主机之间的通信可以忽略隧道的存在, 隧道只起到物理通道的作用。

2.3 网络地址/协议转换 (NAT-PT)

网络地址转换/协议转换NAT-PT (Network Address Translation-Protocol Translation) , 由NAT演变而来, 它通过与SIIT协议 (Stateless IP/ICMP Translation Algoritlun, RFC2765) 转换和传统的IPv4下的动态地址翻译 (NAT) 以及适当的应用层网关 (ALG) 相结合, 实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信。

NAT-PT (Network Address Port Translation-Protocol Translation) 是NAT的一种特殊情况。它使用端口号作为地址转换的依据。我们如果使用了NAT-PT, IPv6所有用户客户端允许使用1个IPv4的地址和别的IPv4地址进行通信。这种机制在IPv4分组和IPv6分组之间进行报头和语义的翻译, 适用于纯IPv4站点和纯IPv6站点之间的通信。对于一些内嵌地址信息的高层协议 (如DNS、FTP) NAT-PT需要和应用层的网关协作来完成翻译。这种技术在采用网络层加密和数据完整性保护的环境下将不能工作。

3 IPv4向IPv6过渡技术的发展过程

基于商业上和技术上的诸多原因, IPv4向IPv6的过渡必然是平滑和渐进的。针对这种平滑过渡, IETF的NGtrans工作组突出了IPv4向IPv6过渡的各种相应机制及其相关工具。但是迄今为止, 还没有一种可以作用于各种网络环境的过渡机制。前面介绍的各种过渡机制都需要某种特定的适用环境, 都需要某种特定条件的配合协作。下面将粗略地表示这种过渡环境的演化过程, 将这种演化进程简单地分为五个进化阶段, 并将上一节所介绍的各种过渡系统方案加以对应。

3.1 第一阶段

第一阶段应该说包括目前绝大部分网络现状, 也就是指纯IPv4网络环境, 即全部是IPv4海洋, 没有什么IPv6小岛, 所以也没有必要采用什么过渡机制, 只需网络节点主机之间采取纯IPv4通信协议即可。

3.2 第二阶段

第二阶段就是指IPv4海洋中开始漂浮着IPv6小岛。这时, 必然需要各种适当的过渡机制, 就目前看, 所应该对应的机制主要有:隧道机制、6 over 4、6 to 4、NAT-PT、BIS等。

3.3 第三阶段

第三阶段就是指随着时间的推移, 的IPv6小岛越来越多, 慢慢也成为与IPv4海洋不想上下的另一个海洋, 这时, 下面两种对应的过渡机制在目前看来可能会更有效率:NAT-PT和BIS。

3.4 第四阶段

第四阶段正好与第二阶段相反, 即IPv6网络环境越来越成为整个网络世界的主宰, 而原有的IPv4网络则越来越少, 这样就成了IPv6海洋与越来越少的IPv4孤岛并存。适合采用的相应过渡机制在目前看来很可能是:NAT-PT、DSTM和BIS。

3.5 第五阶段

第五阶段应该算是IPv6成功的时期了。那时候, 应该是一个纯IPv6海洋, IPv4孤岛已经不复存在。所以从理论上来说已经不再需要什么过渡技术, 各个网络节点主机之间的通信方式都是基于IPv6的通信方式。

摘要：随着Internet的高速发展, 现有的互联网核心协议IPv4的许多不足逐渐暴露出来, 已经阻碍了Internet的发展。为了解决IPv4的不足, 业界研发了下一代Internet协议IPv6。从IPv4升级到IPv6将有一个长期的过渡过程。而要实现IPv4/IPv6的互操作, 必须进行IPv4/IPv6转换网关的研究。

关键词：IPv4,IPv6,转换网关,地址转换,协议转换

参考文献

[1]伍海桑, 陈茂科, 陈名华, 等.IPv6原理与实现[M].北京:人民邮电出版社, 2000.

[2]沙斐, 程莉译.IPv6详解[M].北京:机械工业出版社, 2000:100-150.

IPv4地址的分类和应用 第5篇

【关键词】IPv4地址 分类 子网划分

一、前言

IP地址的诞生就是注定要为高速发展的计算机网络奠定一套合理的行为规范，目前正在使用的IPv4拥有32位长的二进制数，理论上讲可以容纳40多亿台主机，可见当时相关的设计人员就已经可以确认IP地址在计算机网络通信中的重要性了。这些像是主机的“门牌号”一样的字符串，将接入网络中的设备唯一化，保证了通讯的顺利进行。但是，随着网络技术的发展，特别是云计算催生出的物联网技术，大大加速了IPv4资源的枯竭，2011年，全球互联网IP地址相关管理组织发出正式通告，现有的互联网IPv4地址已分配完毕。虽然IPv6技术已经日趋成熟，其128位的长度，2的128次方个地址的数量可以从根本上解决IPv4的困境，但是取代的过程需消耗大量经费，注定了取代过程将是漫长的。网络技术人员只能在现有的基础上充分利用子网划分、NAT地址转换等网络技术尽可能的节省地址浪费。

二、IPv4地址的分类

在实际操作中，设计人员制订了网络传输控制协议（TCP）和网际协议（IP），这个协议组一般被简称为“TCP/IP”协议，基于这种协议的IPv4地址通常按每8位二进制数（一个字节）为单位分成4段，并且将这4段分为网络号和主机号两部分。网络号中包含的二进制位数直接决定了可以进行分配的网络的数量；主机号中包含的二进制位数则决定了网络中最大的主机数。为了方便使用，IP地址一般采用点分十进制的记录方式。由于IP地址的前3段都可以作为网络号来使用，因此就将IP地址空间划分成了不同的类别，每一类具有不同的网络号位数和主机号位数。这种分类方式会带来一个问题：不同种类的IP地址其网络号会出现重叠的情况，为了方便区分，设计人员根据网络号对IP地址进一步进行了分类：

将网络号以0为开头的IP地址定义为A类地址，理论上讲其网络号最小为00000000即0，最大为01111111即127。但是在实际操作中，我们会把网络号为0和127的留作特殊用途，因此日常使用的A类IP地址有126个。主机号有3段共24位，去掉全为0和全为1的保留地址，每个A类网络可以容纳2-2即16777214臺主机。

将网络号以10为开头的IP地址定义为B类地址，其网络号第1段的最小为10000000，第1段的最大为10111111，同样的方法可以得出，共有16384个B类网络，主机号有2段共16位，去掉全为0和全为1的保留地址，每个B类网络可以容纳65534台主机。

将网络号以110为开头的IP地址定义为C类地址，其网络号第1段最小为11000000，第1段的最大为11011111，同样的方法可以得出，共有2097150个不同的C类网络地址，主机号有1段共8位，同样去掉全为0和全为1的保留地址，每个C类网络可以容纳254台主机。

将网络号以1110为开头的IP地址定义为D类地址，D类地址用于在IP网络中的组播，地址空间的范围从224.0.0.0到239. 255. 255.254。

将网络号以1111为开头的IP地址定义为E类地址，并保留作研究之用。因此Internet上没有可用的E类地址。其有效的地址范围从240.0.0.0 至255.255.255.255。

在IP地址中，有些是有特殊含义的保留地址，这些地址不能分配给主机使用。比如：0.0.0.0是所有不清楚的主机和目的网络的集合；255.255.255.255是限制广播地址；169.254.X.X被微软买断，当DHCP服务器发生故障时由Windows操作系统自动分配；127开头的IP地址是本机地址，主要用于测试。

同时，人们还专门预留了不能在公网路由上使用的私人IP地址。A类地址里的10.0.0.0～10.255.255.255，B类地址里的172.16.0.0～172.31.255.255，C类地址里的192.168.0.0～192.168.255.255都是私人地址。这些地址被经常用于企事业单位的内部网络中这些内部网络由于不与公网互联，因而用户可能使用随意的IP地址，保留这样的地址供其使用是为了避免以后接入公网时引起地址冲突。

三、子网划分

从上面的论述中我们可以看到，有些情况下，同一个网络号内所容纳的主机数量庞大，大大超过了主机的数量，这样在使用起来就非常的不方便，并且会造成宝贵的IP地址资源的浪费。为此，在使用过程中人们会使用子网掩码来配合IP地址的使用。在IPv4版本下，子网掩码和IP地址的格式类似，都是采用了32位长的二进制数来表示，但是由一串持续的1和一串连续的0组成的。比如，A类IP地址的默认子网掩码是255.0.0.0，B类IP地址的默认子网掩码是255.255.0.0，C类IP地址的默认子网掩码是255.255.255.0。通过这几组默认的子网掩码我们可以发现，子网掩码左侧连续的“1”代表网络位，字符“1”的个数就是网络位的长度；右侧连续的“0”表示主机位，字符“0”的数目等于主机位的长度。这样设计的好处在于计算机将IP地址和子网掩码进行“与”运算后，子网掩码中连续的0就可以遮住原主机数，而不改变原网络段数字，这样计算机可以迅速的确定两台主机的IP地址是否在一个号段内，并且使用者也会很容易通过0的位数确定子网的主机数（即2的主机位数次方-2，因为主机号全为1时表示该网络广播地址，全为0时表示该网络的网络号，这是两个特殊地址）。其实子网掩码确定IP地址中的网络号和主机号只是其一方面的作用，另一方面它还可以将一个大的IP网络划分为若干个小的子网络，划分子网的方法主要有默认子网掩码和变长子网掩码两种方式

1、默认子网掩码

上面我们提到，子网掩码可以决定IP地址中的网络号，那么就可以通过手动设置的方式改变原有地址中的网络号和主机号。具体来说，就是可以使用B类或者C类IP地址的子网掩码（255.255.0.0或者255.255.255.0）将原有的A类IP地址的网络号由1个字节改变为2个或者3个字节，或者使用C类IP地址的子网掩码将原有B类IP地址的网络号由2个字节改变为3个字节，从而起到划分子网，减少子网中主机容量的目的。

2、变长子网掩码

变长子网掩码是在默认子网掩码的基础上，将原本为0的最高位部分修改为1，这样就可以使IP地址中的部分主机位改变为网络位，通过这种“借位”的方式达到划分子网的目的。比如一个C类IP地址192.168.0，在使用默认子网掩码255.255.255.0时，其地址范围192.168.0.1～192.168.0.254处于同一网络内。现在根据实际情况，需要将该网络划分为5个子网。划分子网的方法如下：由于5大于2的2次方、小于2的3次方，我们可以利用变长子网掩码，将默认子网掩码255.255.255.0中的第4个字节00000000修改为11100000（即子网掩码修改为255.255.255.224），由于子网掩码中的1代表网络位，换句话讲就是利用了这种方法向主机位“借用”了3位作为网络位来使用。这3位有000，001，010，011，100，101，110和111共8种组合方式，划分的子网可以满足需要。

既然子网掩码在子网划分中起到这么重要的作用，那么我们在实际操作中，对于子网掩码的设置也需要谨慎小心，否则就容易出现问题。比如，主机一的IP地址为192.168.1.2，子网掩码为255.255.255.192，主机二的IP地址为192.168.1.100，子网掩码为255.255.255.192。如果现在主机一要给主机二发送数据，先要判断两个主机是否在同一网段。通过计算，我们可以得出主机一的网络号为192.168.1.0，主机二的网络号为192.168.1.64，两个网络号不相同，也就是说，两台主机不在同一网络，因此数据就需要通过默认网關发送给主机二所在网络。

子网掩码的重要性决定了人们在书写IP地址的时候，就要将子网掩码一起书写出来，比如192.168.0.1/24或者172.17.0.1/18，这样才能体现出IP地址定义的严谨和划分的灵活。

四、结论

我们在借助IP地址和子网掩码来划分子网的实际操作时，既要考虑到当前网络的需要，还要考虑到今后网络的扩容和升级。我们可以在满足主机数量需求的前提下划分出更多的子网，这样可以在一定程度上节约IP地址资源，并且如果将来需要更多的子网，就不用重新分配IP地址。同时如果一个网络中的主机数量太多，网络广播就会占用较大的带宽，影响网络利用率。因此需要在实际操作中详细计算子网的划分，提高网络利用率。

IP地址的发展见证的是网络技术的成熟，子网掩码的引入更是将IP地址的利用率提高了一个档次。我们在畅快的使用网络的同时绝不能忽略带给我们方便快捷的这个网络协议，并且我们也在期待着它的技术的再一次发展和进步。

参考文献：

[1] 谢希仁.计算机网络（第6版）.电子工业出版社 .2012年6月

[2] 崔北亮 陈家迁.非常网管：网络管理从入门到精通（修订版） .人民邮电出版社 .2010年12月

[3] 王达. 深入理解计算机网络 .机械工业出版社 .2013年1月

作者简介：

IPv4向IPv6的过渡技术 第6篇

1 IPv4的局限性

1.1 IP地址空间危机

IPv4目前面临的最紧迫的问题就是地址空间的耗尽。IPv4的地址有32位, 因此, 其总地址数约为40亿个, 并且还有一些地址是不可用的。限制了可连接的网络数和主机数。

1.2 IPv4的性能不能满足实时多媒体信息处理的要求

IPv4数据报最大只能是64KB, 并且经过无连接型网络传递, 数据报可能会经过不同的路径到达目的地, 这对于很多如实时语音和视频通信等对低延时、抖动等有特别要求的应用难以满足要求。

1.3 IPv4的安全性差

现阶段, 一些网络攻击 (如数据报窃听、IP欺骗、源路由选择欺骗、TCP序列号欺骗等) 正是通过IP自身的缺陷和漏洞来危及系统安全。另外, IPv4对安全性要求比较高的电子商务或多媒体应用而言, 其无法进行发送者的身份验证和访问控制。

1.4 手工配置地址

目前绝大多数IPv4地址配置需要手工操作或使用动态主机配置协议 (dynamical host confi guration protocol, DHCP) 完成, 这不仅增加了管理费用, 而且无法为那些需要移动性IP (如主机在不同的网络间移动或使用不同的网络接入点) 的用户提供更好的配置自动化与简单化。

2 IPv4向IPv6的过渡技术

在过渡期要解决的通信问题大体上可以分为两大类:

(1) 解决IPv6“孤岛”之间的相互通信问题;

(2) 解决IPv6“孤岛”和IPv4“海洋”之间的相互通信问题。

解决上述问题的主要方案有下述几种机制。

2.1 兼容IPv4的IPv6地址

这是一种特殊的IPv6单播地址, 一个IPv6节点与一个IPv4节点可以使用这种地址在IPv4网络中通信。例如, 假设某个节点的IPv4地址是192.168.1.2, 那么兼容IPv4的IPv6地址就是:“0:0:0:0:0:0:192.168.1.2”, 或写为:“::192.168.1.2”。

2.2 IPv4/IPv6双栈协议

双栈协议过渡机制 (dual stack transition mechanism, DSTM) 就是使网络节点 (如一台主机或一个路由器) 具有一个IPv4栈和一个正IPv6栈, 同时支持IPv4和IPv6, 那么该节点既能与支持IPv4的主机通信, 也能与支持IPv6的主机通信。其模型如图所示。

2.3 隧道技术

所谓隧道 (tunnel) 技术, 就是发送方将IPv6的包封装在IPv4包里, 然后在目的地将其解封, 得到IPv6包。因此, 隧道也可以看成是通过“海底”或“海洋” (IPv4网络) 连接这些“孤岛” (IPv6网络) 的通该技术因此而得其名。如图所示, 其中虚线表示逻辑连接, 而实线表示物理连接, 如图1。

由于隧道上的链路是逻辑的, 是虚拟的, 因此由这些“孤岛”互连而成的网络是一个虚拟网络。在IPv6网络之间通信或者IPv6节点和IPv4节点通信时, IPv4协议就被当做数据传输中的一条隧道。

通过隧道时, 因为IPv4网络把IPv6分组当做无结构、无意义的数据封装在IPv4数据报中, 因而不提供帧自标识能力, 因此只有在IPv4连接双方都同意时才能交换IPv6分组, 否则接收方会将IPv6分组当成IPv4分组而造成混乱。另外, 根据建立方式的不同, 隧道技术可分为手工配置隧道和自动配置隧道两类。

因为现在IPv6网络的规模和业务量都较小, 因此利用隧道来构造大规模的IPv6网络是目前常采用的一种连接方式和过渡方法。

2.4 网络地址转换/协议转换技术

网络地址转换/协议转换 (network address translation/protocol translation, NAT/PT) 是一种纯IPv4终端和纯IPv6终端之间的互通方式, 也就是说, 原IPv4用户终端不需要进行任何的升级改造, 所有包括地址、协议在内的转换工作都由网络设备来完成。其原理如图所示。

网络地址转换/协议转换技术是将IPv4地址和IPv6地址分别看做内部地址和全局地址, 或者相反。比如, 内部的IPv4主机 (或者IPv6主机) 要和外部的IPv6主机 (或者IPv4主机) 进行通信时, 在NAT服务器中会将IPv4地址 (或者IPv6地址) 先变换成IPv6地址 (或者IPv4地址) , 这相当于把内部地址先变换成外部全局地址, 然后再进行通信。

使用该方法的缺点是网络节点进行通信时需要设备进行协议、地址等的转换处理开销较大, 一般在其他互通方式无法使用的情况下才使用。

摘要：本文阐述了IPV4在网络发展中的局限性, 以及IPv4向IPv6过渡的关键技术。

IPv4网络技术 第7篇

国际标准化组织对网络安全的定义是:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。由以上定义不难看出,网络安全主要包括物理的安全和逻辑安全,物理安全主要涉及网络设备和链路所处的环境及本身质量是否可靠的安全,而逻辑安全则是指对网络中进行传输的数据与信息的完整性、可用性、可审查性与保密性的保护。

我们现在正在使用的IPv4网络,由于其在设计时几乎没有安全性考虑,分组承载的数据信息容易被泄露,分组的合法性也无法得到认证,另外由于IPv4地址有限,总数只有232,即43亿个地址,而且分配严重不平衡,国际互联网名称和编号分配公司(ICANN)2011年2月3日在美国迈阿密将正式宣布第一代互联网地址IPv4已经用完,因此我国目前大多采用NAT方式,即终端用户分配到的一般都是私有地址,这样一旦有非法信息发布或者病毒传播,是无法追溯到源地址的,大大地加剧了网络安全问题。

2 I Pv4现有网络安全隐患与对策

2.1 I Pv4的网络安全隐患及特征

1)网络安全隐患

网络安全隐患主要表现在三个方面:病毒、内部用户的非法操作和网络外部的黑客攻击。对于病毒,几乎80%的应用网络都受到过它的侵害。内部用户的非法操作包括恶意和非恶意两种:一种是由于网络设计的不严密性,网络内部使用者误入他们本不该进入的领域,误改其中的数据;另一种是有些内部用户利用自身的合法身份有意对数据进行破坏。据统计,70%左右的安全问题来源于内部用户。

黑客攻击是最可怕的,也是网络安全策略的首要防范对象。网络黑客一旦进入某个网络,其造成的损失无法估量。此外,网络协议的缺陷,如TCP/IP协议的安全问题,自然灾害,意外事故以及信息战等都会影响网络安全。

2)网络安全问题的特征

网络本身缺陷

计算机网络系统安全的脆弱性是伴随计算机网络一同产生的,换句话说,系统安全的脆弱是计算机网络与生俱来的致命弱点。可以说世界上任何一个计算机网络都不是绝对安全的。

黑客攻击严重化

近几年,黑客猖狂肆虐,四面出击,使交通通信网络中断,军事指挥失灵,电力供水系统瘫痪,银行金融系统混乱,危及国家政治、军事、经济的安全与稳定,在世界各国造成了难以估量的损失。

网络杀手专业化

目前,网络杀手除了一般的黑客外,还有一批具有高精尖技术的“专业杀手”,更令人担忧的是出现了具有集团性质的“网络恐怖分子”,甚至由政府出面组织的“网络战”、“黑客战”,其规模化、专业性和破坏程度都使其他黑客望尘莫及。

破坏手段多样化

目前,“网络恐怖分子”除了制造、传播病毒软件、设置“邮箱炸弹”外,更多的是借助工具软件对网络发动袭击,令其瘫痪或者盗用一些大型研究机构的服务器。

2.2 网络安全需要考虑的层次

IPv4网络安全问题应从几个方面综合考虑。

1)网络层

网络层的安全考虑主要是控制网络,即在网络的入口进行权限设置,允许哪些IP可以进入等。整个网络相当于一栋办公楼,而网络层的安全考虑就相当于在大楼设置保安,对于来访者进行身份认证,当发现非法进入的用户时,则可采取拒绝措施,而且可对该用户进行记录,待下次来访可直接拒绝进入。

为了解决网络层的安全问题,一般都采取防火墙产品以及VPN(Virtual Private Network,虚拟专用网)。防火墙的主要功能是可以判断源IP地址,然后直接将未经授权或者不识别的危险IP设置为拒绝访问,而只允许在防火墙中有记录的IP访问网络。

一般情况下,任何网络都需要与整个互联网相联,因此防火墙一般部署在内部网络出口位置,一方面可以防止外部用户非法访问内部局域网,另一方面也可以防止内部涉密信息的泄漏。VPN的主要功能解决的是信息传输的安全问题,适用于在不同地域的两个内部网络需要进行数据和信息交换,而租用专线又比较昂贵的情况下,借助VPN技术则可以利用高速的公共互联网进行数据的安全交换。

2)应用系统层

应用系统层的安全隐患主要是网络病毒的传播和黑客的攻击。

随着互联网的发展,网络已经取代了软盘、移动硬盘成为网络传播的主要途径,而且传播的广度与深度较之传统的传播方式都有明显加剧,病毒的破坏性与多样化使得防毒软件和工具的使用也变得更加复杂,因此对网络管理人员来说,需要配置最新的网络病毒查杀软件,并实时地进行病毒库的更新和维护,在系统各个可能的入口进行防毒设置。

网络黑克的攻击目的地盗取系统的用户信息,包括使用系统的用户名密码,进而登录系统进行数据修改或者拷贝。

3)终端用户层

在终端用户层的安全考虑,主要是指,要确保只有被授权的终端用户,才能访问网络的信息数据与资源。解决用户层的安全问题,一

般采取的措施是对用户进行分组,然后对每组的用户进行等级划分,然后针对每个等级的用户进行权限设置,对应的即是处于同一等级的用户可访问的信息与资源是相同的,目的是保护用户的账户信息不被盗用。

2.3 I Pv4网络安全问题的对策

1)认证

对合法用户进行认证是解决IPv4安全隐患的首要工作,主要包括几种认证。

*身份认证通过为访问网络的用户提供账号和密码,在登录时需要到认证服务器上进行身份的验证,当认证通过后用户才可正常访问所需的网络信息资源,这是最初级的用户识别。

*报文认证这种认证是对通信双方传输的数据进行验证,主要是为了确保信息是由正确的发送方所发送的,也是由合法的接收方所接收,而且传输的过程中信息是真实的、完整的。

*访问授权主要用于控制用户是否有权限访问相关资源。

*数字签名数字签名采用加密技术(可使用对称算法、非对称算法或混合算法来实现)对电子信息进行认证。

2)防火墙技术

防火墙的主要功能,一方面是控制防火墙内的用户向外网发送涉密或者非法数据,另一方面是控制外网用户对内网的非法访问和攻击,即对网络出入进行严格的管控,确保用户与信息的传输都是合法的和经过授权的。另外,防火墙还可以对内网的上网用户行为进行全程监控,具体的监控内容可由管理人员根据需求进行设置,一般包括源地址、目的地址、简单的TCP/UDP连接信息、端口号、服务类型等,需要的话也可记录用户访问的数据内容。现在的防火墙集成了信息安全技术,可进行加密、解密等操作。

3)入侵检测系统

入侵检测系统(IDS,Intrusion Detection System),顾名思义其主要功能是进行网络入侵情况的检测,包括可阻止与不可阻止的入侵,并对可能造成的网络威胁程序进行评估和恢复策略。入侵检测系统检测的范围包括内网的入侵、外网的入侵,以及误操作产生的问题的处理,在出现网络安全问题之间对入侵问题进行处理。随着网络的不断发展,入侵检测逐渐发展为了分布式入侵检测、智能化入侵检测及全面的安全防御。

4)数据加密技术

数据加密技术一般与防火墙配合起来使用,主要用于提高数据与信息的安全性,由于网络本身并无安全性可言,因此重要的信息进行密码处理后,就可以保证其完整性和真实性不被破坏,可以在网络上进行安全传送。目前最普遍的加密算法即美国标准DES,作为一种灵活的高效率安全策略,加密算法在网络中已经广泛被使用。

加密的类型有私钥加密与公钥加密,私钥加密又被称之为对称密钥加密,原因是其用于加密信息的密钥和解密信息的密钥是相同的,这种方法在软硬件中使用起来都是相对简单快捷的;公钥加密比私钥加密出现得晚,私钥是使用同一个密钥进行信息的加密和解密,而公钥加密则使用两个不同的密钥,一个用于加密信息,另一个用于解密信息。公钥加密的缺点是加密解密的速度是比较慢的,效率低。因此一般将两种方式结合使用,进一步提高数据的安全值。

5)智能卡技术

智能卡技术与数据加密技术密切相关,智能卡相当于加密技术的一个媒介,相当于我们平时使用的银行卡一样,被授予相关的用户账号和密码。当使用该卡进行网络身份认证时,网络服务器会返回认证信息,若完全符合则通过认证可访问网络。

6)防病毒技术

随着互联网技术的不断发展,应用不断更新,病毒的种类与传播途径也随之多样化,因此对防毒技术的要求也逐渐增强,一个软件,一个策略,或者一个系统都已经无法解决问题,而是需要软硬件与网络的综合配置才能彻底解决安全隐患。

7)漏洞扫描技术

漏洞扫描技术是指检查出可能被黑客所攻击的漏洞和网络中可能存在的安全漏洞,无论是计算机硬件设备,或者是软件应用都有可能存在漏洞。已知漏洞可从相关的官方网站下载进行修补,但是未知漏洞的漏洞需要利用扫描技术定期查看并采取措施处理。

3 总结

随着信息技术的高速发展和普及,网络已经成为信息社会的基础设施,是人们进行信息共享的基础平台,因此其安全与否直接影响用户体验,网络安全是一门涉及计算机技术、通信技术、网络技术、信息安全技术等多种学科的综合性技术,因此网络安全问题不仅仅是通过安全防护技术能解决的问题了,需要通过制定相关的目标,提供相关的技术方案与配套的管理措施,确保网络上的硬件设备、软件系统免受攻击,正常运行,确保信息资源能在网络安全、完整地进行传输。

参考文献

[1][美]James Stanger.CIW:安全专家安全性信息教程.北京:电子工业出版社,2003.1(20).

[2]叶丹.网络安全实用技术.北京:清华大学出版,2002.10(33).

[3]袁家政.计算机网络安全与应用技术.北京:清华大学出版,2002(10).

[4]胡道元.网络技术与应用[M].北京清华大学出版社,1998(56).

[5]李海泉.计算机系统的安全技术[M].人民邮电出版社,2002(13).

[6][美]Rebecca Gurley Bace.入侵检测[专著].北京:人民邮电出版社,2001(39).

三种IPv4和IPv6的过渡技术 第8篇

一、双战策略

双栈策略是指在网络节点中同时具有IPv4和IPv6两个协议栈,这样,它既可以接收、处理、收发IPv4的分组,也可以接收、处理、收发IPv6的分组。对于主机来讲,“双栈”是指其可以根据需要来对业务产生的数据进行IPv4封装或者IPv6封装;对于路由器来讲,“双栈”是指在一个路由器设备中维护IPv**IPv4两套路由协议栈,使得路由器既能与IPv4主机也能与IPv6主机通信,分别支持独立的IPv**IPv4路由协议,IPv4和IPv6路由信息按照各自的路由协议进行计算,维护不同的路由表。IPv6数据报按照IPv6路由协议得到的路由表转发,IPv4数据报按照IPv4路由协议得到的路由表转发。双栈策略的优点是概念清晰,易于理解,网络规划相对简单,同时在IPv6逻辑网络中可以充分发挥IPv6协议的所有优点(如安全性、路由约束、流的支持等方面)。但是双栈策略也存在如下缺点:对网元设备的要求较高,要求其不但支持IPv4路由协议,而且支持IPv6路由协议,这就要求其维护大量的协议和数据。另外,网络升级改造将牵涉到网络中的所有网元设备,投资大、建设周期比较长。

二、隧道策略

隧道策略是IPv4/IPv6过渡中经常使用到的一种机制。所谓“隧道”简单地讲就是利用一种协议来传输另一种协议的数据的技术。在IPv6发展初期,必然有许多局部的纯IPv6网络,这些IPv6网络被IPv4骨干网络隔离开来,为了使这些孤立的“IPv6岛”互通,就采取隧道技术的方式来解决。利用穿越现存IPv4因特网的隧道技术将许多个“IPv6孤岛”连接起来,逐步扩大IPv6的实现范围。隧道技术的工作机理就在IPv6网络与IPv4网络间的隧道入口处,路由器将IPv6的数据分组封装入IPv4中,IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处再将IPv6分组取出转发给目的节点。目前应用较多的隧道技术包括构造隧道、6to4隧道以及MPLS隧道等。目前的隧道技术主要实现了在IPv4数据包中封装IPv6数据包,随着IPv6技术的发展和广泛应用,未来也将会出现在IPv4数据包中封装IPv6数据包的隧道技术。隧道技术能够充分利用现有的网络投资,因此在过渡初期是一种方便的选择。但是,在隧道的入口处会出现负载协议数据包的拆分,在隧道出口处会出现负载协议数据包的重组。这就增加了隧道出入口的实现复杂度,不利于大规模的应用。

双栈策略解决了IPv6与IPv4的共存问题,但是在网络的过渡时期不可能要求所有的主机或终端都升级支持双栈,在网络中必然存在纯IPv4主机和纯IPv6主机之间进行通信的需求,由于协议栈的不同因此很自然地需要对这些协议进行翻译转换。对应协议的翻译可以分为两个层面来进行,一方面是IPv4与IPv6协议层的翻译,另一方面是IPv4应用与IPv6应用之间的翻译。前者主要是通过NAT-PT技术实现的,后者则主要通过应用代理网关ALG来实现。NAT-PT实现了网络层的协议翻译;应用代理网关则实现应用层的协议翻译,对于不同的应用,需要配置不同的应用代理网关。翻译技术的优点是不需要进行IPv4,IPv6节点的升级改造,缺点是IPv4节点访问IPv6节点的实现方法比较复杂,网络设备进行协议转换、地址转换的处理开销较大。因此,该策略一般是在其他互通方式无法使用的情况下使用。

三、翻译策略-IVI

IVI方案的思路是能否把IPv6集中在某个特定的地址,使其能与IPv4进行无状态的映射,实现IPv6和IPv4的互访并保持端到端的地址透明。根据这个设想研发了支持IVI的原型系统,如图1所示为IVI的模型,其基本概念就是IPv4的一些地址不在IPv4中用,而是通过IVI“盒子”映射到IPv6的网络里使用。在过渡初期,IPv6的用户还不多,从IPv6的地址空间中选一个子集与IPv4做基本的映射,通过这种映射规则,每个运营商都可以取出自己的一部分IPv4地址在IPv6网络中使用,用户获得IVI6地址直接访问IPv6资源,同时可以经过一个称为IVI Box的设备转换成映射的IPv4地址,访问IPv4资源,实现IPv4和IPv6的互访。IVI过渡期间,被取出的这部分地址称为IVI4(i)地址,这部分地址将不能分配给实际的真实主机使用。随着过渡的进行,IVI4(i)的范围逐渐被扩大,最后将整个IPv4地址空间转变为IVI4(i),则过渡完成。

IVI是一个特定前缀和无状态地址映射的方案,这种地址映射和转换机制是通过一个连接IPv4和IPv6网络的IVI网关来实现的。它使用了NAT-PT中的SIIT(Stateless IP/ICMP Translation,无状态IP/ICMP翻译技术)技术,这种无状态转换是在IVI网关中实现的。它在IPv4到IPv6的映射和IPv6到IPv4的映射是无状态的,通过这种翻译技术,IPv6用户可以透明地访问IPv4网,IPv4用户可以有条件地访问IPv6网。

IVI的地址映射规则是在I P v 6地址中插入I P v 4地址,如图2所示。地址的0-31位为ISP的/32位的IPv6前缀,例如,ISP6=2001:da8:100d::/32。32-39位是IVI的标识符,设置为FF,表示这是一个IVI映射地址。40-71位表示插入的全局IPv4空间(IVIG4)的地址格式,如IPv4/24映射为IPv6/64而IPv4/32映射为IPv6/72。

ISP(i)用的是定义为IVI4(i)的ISP4(i)的一个子集,将它映射到IPv6里的IVI6(i)。IVI6(i)实际上是由ISP(i)的IPv6网络中的IPv6主机使用的,但是IVI4(i)不能被IPv4主机使用。因此,IVI6(i)是一个特定的IPv6地址块,它可以和两边的地址群进行通信。

基于以上的映射规则,ISP(i)使用定义为IVI46(i)的ISP6(i)的一个子集,将它映射到IPv4里的IPG4。IVI46(i)实际上是由全局IPv4主机使用的,除了IVI6(i)的部分,它并不能被IPv6的主机使用。

不同地址集合的映射和相互关系如图3所示,IVI4(i)和IVI6(i)分别代表IPv4和IPv6地址群里的相同实体。类似的,IPG4和IVIG46(i)分别代表IPv4和IPv6地址群里的相同实体。除此之外,IVI4(i)是IPG4的子集,IVI6(i)是IVIG46(i)的子集。

IPv4向IPv6的过渡技术浅析 第9篇

目前的全球因特网所采用的协议族是TCP/IP协议族。IP是TCP/IP协议族中网络层的协议,是TCP/IP协议族的核心协议。目前IP协议的版本号是4(简称为IPv4),发展至今已经使用了30多年。

IPv4的地址位数为32位,也就是最多有2的32次方的电脑可以联到Internet上。

IPv6是下一版本的互联网协议,也可以说是下一代互联网的协议,为了扩大地址空间,拟通过IPv6重新定义地址空间。IPv6采用128位地址长度,几乎可以不受限制地提供地址。在IPv6的设计过程中除了一劳永逸地解决了地址短缺问题以外,还考虑了在IPv4中解决不好的其它问题,主要有端到端IP连接、服务质量(Qo S)、安全性、多播、移动性、即插即用等。

IPv6与IPv4相比具有的特点和优点:

(1)更大的地址空间。IPv4中规定IP地址长度为32,即有2^32-1个地址;而IPv6中IP地址的长度为128,即有2^128-1个地址。

(2)更小的路由表。IPv6的地址分配一开始就遵循聚类(Aggregation)的原则,这使得路由器能在路由表中用一条记录(Entry)表示一片子网,大大减小了路由器中路由表的长度,提高了路由器转发数据包的速度。

(3)增强的组播(Multicast)支持以及对流的支持(Flow-control)。这使得网络上的多媒体应用有了长足发展的机会,为服务质量(Qo S)控制提供了良好的网络平台。

(4)加入了对自动配置(Auto-configuration)的支持。这是对DHCP协议的改进和扩展,使得网络(尤其是局域网)的管理更加方便和快捷。

(5)更高的安全性.在使用IPv6网络中用户可以对网络层的数据进行加密并对IP报文进行校验,这极大的增强了网络安全。

2 IPv4 到 IPv6 的过渡技术

如何完成从IPv4到IPv6的转换是IPv6发展中需要解决的第一个问题。目前,IETF已经成立了专门的工作组,研究IPv4到IPv6的转换问题,并且提出了很多方案,主要包括以下几个类型。

2.1 网络过渡技术

(l)隧道技术:随着IPv6网络的发展,出现了许多局部的IPv6网络,利用隧道技术可以通过现有的运行IPv4协议的Internet骨干网络(即隧道)将局部的IPv6网络连接起来,因而是IPv4向IPv6过渡的初期最易于采用的技术。隧道技术的方式为:路由器将IPv6的数据分组封装入IPv4,IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处,再将IPv6分组取出转发给目的站点。

(2)网络地址转换/协议转换技术:网络地址转换/协议转换技术NAT-PT ( Network Address Translation - ProtocolTranslation)通过与SIIT协议转换和传统的IPv4下的动态地址翻译(NAT)以及适当的应用层网关(ALG)相结合,实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信。

2.2 主机过渡技术

IPv6和IPv4是功能相近的网络层协议,两者都基于相同的物理平台,而且加载于其上的传输层协议TCP和UDP又没有任何区别。可以看出,如果一台主机同时支持IPv6和IPv4两种协议,那么该主机既能与支持IPv4协议的主机通信,又能与支持IPv6协议的主机通信,这就是双协议栈技术的工作机理。

2.3 应用服务系统(DNS)过渡技术

在IPv4到IPv6的过渡过程中,作为Internet基础架构的DNS服务也要支持这种网络协议的升级和转换。IPv4和IPv6的DNS记录格式等方面有所不同,为了实现IPv4网络和IPv6网络之间的DNS查询和响应,可以采用应用层网关DNS-ALG结合NAT-PT的方法,在IPv4和IPv6网络之间起到一个翻译的作用。

3 现有 IPv4/IPv6 综合组网技术

在进行IPv4/v6综合组网方案的研究时,需要考虑到现有的各个网络运营实体的既有投资,这包括设备投资、市场投资、技术储备、人才储备等多个方面。只有很好地保护既有投资的组网技术和其相应的方案才能具有较好的实用性。

3.1 双栈策略

双栈策略是指在网元中同时具有IPv4和IPv6两个协议栈,它既可以接收、处理、收发IPv4的分组,也可以接收、处理、收发IPv6的分组。IPv6数据报按照IPv6路由协议得到的路由表转发,IPv4数据报按照IPv4路由协议得到的路由表转发。

3.2 隧道策略

隧道策略是IPv4/v6综合组网技术中经常使用到的一种机制。所谓“隧道”,简单地讲就是利用一种协议来传输另一种协议的数据技术。隧道包括隧道入口和隧道出口(隧道终点),这些隧道端点通常都是双栈节点。在隧道入口以一种协议的形式来对另外一种协议数据进行封装,并发送。在隧道的出口通常出于安全性的考虑要对封装的数据进行过滤,以防止来自外部的恶意攻击。

3.3 翻译策略

在网络中存在纯IPv4主机和纯IPv6主机之间进行通信的需求,由于协议栈的不同很自然地需要对这些协议进行翻译转换。对于协议的翻译涉及两个方面,一方面是IPv4与IPv6协议层的翻译,另一个方面是IPv4应用与IPv6应用之间的翻译。翻译策略可以对应多种实现技术,其中NAT-PT和TRT主要应用于网络汇聚层,而BIA,BIS则主要是针对主机终端而提出的。

4 IPv6 应用前景

从语音、数据到视频,从对现有网络应用更卓越的支持与改善,到IPv6独具特色的创新业务,IPv6带给我们的全方位、高品质的应用与服务前景是美妙而广阔的。以下简单介绍几种IPv6的应用:

4.1 视频应用

IPv6对于视频应用的意义在于:解决了地址容量问题,优化了地址结构以提高选路效率,提高了数据吞吐量,以适应视频通信大信息量传输的需要。IPv6还加强了组播功能,实现基于组播、具有网络性能保障的VC视频会议、高清晰度数字电视、VOD视频点播、网络视频监控应用。此外,IPv6采用必选的IPSec很好地保证了网络的安全性。

4.2 移动智能终端应用

传统的移动通信技术主要是为了支撑话音业务,虽然随着用户需求的提出和技术的发展,目前已经有了基于WAP或GPRS提供IP业务的蜂窝电话产品,但是现有的技术远远无法满足未来通信的需要,第三代移动通信将采用分组交换的设备来代替电路交换设备,IP业务将是第三代移动通信业务中的重要组成部分。

4.3 无线网络应用

未来的网络将是全IP网络,全IP能无缝集成各种接入方式,将宽带、移动因特网和现有的无线系统都集成到IP层中,通过一种网络基础设施提供所有通信服务,要实现全IP网络,采用移动IPv6是最基本的要求。

总之,从IPv4向IPv6的过渡是人们未来实现全球Internet不可跨越的步骤,它不是一朝一夕就可以办得到的。从IPv4向IPv6的转换是一个相当长的过渡时期,在此过渡期间需要IPv4与IPv6共存,并解决好互相兼容的问题,逐步实现平滑地演进,最终让所有的网络节点都运行IPv6,充分发挥IPv6在地址空间、性能和安全性等方面的优势。

摘要：随着对IPv4向IPv6过渡技术研究的不断深入,业界对于过渡问题的认识也不断深入,未来的IP网络将是IPv4网络与IPv6网络的集成网络。IPv6能够解决IPv4的许多问题,如地址短缺、服务质量保证等。同时,IPv6还对IPv4作了大量的改进,包括路由和网络自动配置等。IPv6和IPv4将在过渡期内共存几年,并由IPv6渐渐取代IPv4。

IPv4网络技术 第10篇

摘要：

文章描述了一个基于点击软件的IPv6/IPv4通用转换器(GT64)的设计和应用。GT64有3个主要部件：1个地址端口转换器——APT和2个协议转换器——PT64和PT46，能够在大多数的网络应用中完成地址、端口和协议在IPv4和IPv6两个协议领域之间相互转换。

关键词：

互联网协议版本6；协议转换器；地址/端口转换器

ABSTRACT:

ThedesignandimplementationofGT64,ageneraltranslatorbasedontheclicksoftware,a

represented,whichshowsthatGT64hasthreemaincomponents:oneaddresstranslator

(APT)andtwoprotocoltranslators

(PT64andPT46),andhasthecapabilityofperformingthetranslationofaddress,portandprot

ocolbetweenIPv4andIPv6domainsinthemajorityofnetworks.

KEYWORDS:

IPv6;Protocoltranslator;Address/porttranslator

下一代网络(NGN)是一个开放式的网络，是面向无连接的IP网络。随着Internet爆炸性的发展，IPv4面临着诸多问题。因此IPv4到IPv6的过渡就成为IETF以及国内外IT界所研究和关注的重要问题。它直接影响到IPv6的推广和应用。

GT64适合于IPv6/IPv4一般用途的转换。GT64的设计要比现存绝大多数网络地址转换的实现更具灵活性。它能被容易地配置成许多地址转换脚本,包括：IPv6本地网络连接到IPv4互联网，IPv6本地网络连接到IPv6互联网，IPv6专用网连接到IPv6互联网，还有专用网连接到IPv4互联网。而且GT64也能被配置成许多负载平衡的方案。因为它的模块化和易于扩展性，GT64是帮助转变到IPv6网络的很有力的工具。

1GT64基本结构

GT64有3个基本组成部分(参见图1)：1个地址/端口转换器和2个协议转换器，一个协议转换器的作用是将IPv6转换为IPv4，而另一个则是由IPv4转换为IPv6。GT64通过把转换功能分解到基层部分来增加系统的灵活性和可调性，以将地址/端口转换和协议转换分开进行。

地址/端口转换器(APT)是GT64最重要的组成部分，因为它负责网络地址和端口的转换。APT含有效数据流的信息。当数据包到达时，APT使用它的数据流验证系统找到匹配的地址映射，并把地址映射转换为相应的地址和端口。如果没有找到相匹配的映射，APT会根据相应的规则产生一个新的映射。APT总是在两个不同的IPv6地址范畴内进行转换。

GT64的两个协议转换器——PT64和PT46，负责在IPv4和IPv6之间实现数据包和ICMP(InternetControlMessageProtocol)包的地址转换。IPv6和IPv4数据的分组头部格式非常相似，但并不完全一致。这样在一种IP或ICMP版本向另一种版本转换过程中需进行一定的调整。PT64只接收含有IPv6/IPv4映射关系的IPv6数据包，PT46则只接收相应的IPv4数据包。由于具有映射关系的IPv6地址与IPv4地址之间是一一对应的，协议转换器只需要在两种协议之间为分组头部建立一种相互的映射即可。当一个IPv6或ICMPv6数据包到达时，PT64只需取出IPv6分组源/目的地址字段中最低的32位,即可作为相应IPv4分组的源/目的地址;同样当一个IPv4或ICMPv4数据包到达时，PT46只需对分组的地址字段添加96位前置数据，即可完成转换。

2地址/端口转换器的设计

2.1APT的功能

当一台GT64主机需要与外部联系时，GT64必须临时分配一个可由外部识别的全球性地址。如果同时有不止一个内部节点需要与外部联系而仅有一个全球性地址时，则每一个独立的连接都被临时分配一个特有的地址/端口绑定，以使这些内部节点共享一个全球地址。例如，为了与IPv4外部网络通信，一个IPv6局域网通常被分配一些能够映射为有效IPv4地址的IPv6地址，但需要与外部网络通信的主机数量往往大大多于这些可用的地址数量。APT解决这个问题的方法是，使IPv6局域网内的多台主机共享一个包含有效映射关系的IPv6地址。这实际上是传输标识符的一种复用。通信时，数据分组头部的源地址字段和端口号被替换为一个特殊的地址/端口绑定，这个特殊的绑定关系是由APT临时分配的。

在与外部网络通信时，APT不仅要负责使用新的地址/端口绑定关系替代数据分组中原有的地址/端口绑定，而且需要记忆这种替代关系。在向外部网络发送分组时，APT将分组内的源地址与端口号替换为新的地址/端口绑定；接收分组时，APT需要将分组中的地址/端口字段再用局域网内部的地址/端口绑定替换回来。

当APT接收到一个IPv6数据包，它用一个有地址映射关系的流ID(标识)来替代数据包中的原始流ID，映射过的流ID用其他的地址/端口绑定来替代数据包中源或目的地址/端口绑定。APT的配置字符串决定了这种替代关系的具体处理过程。除上述讨论的动态分配之外，APT也可处理其他一些简单形式的地址/端口转换，例如静态和动态单一的地址转换。

APT对来自外部和内部网络的数据包的处理方式是不同的。APT经常是针对一定方向的数据包分配动态地址映射。这样另一个方向的初始化流将不能进行地址映射。Outward分组指的是由本地网络发出目的是因特网(IPv4或IPv6)主机的数据包，Inward分组则相反。APT有两个输入口和两个输出口，分别用于Outward分组和Inward分组的接收与发送。APT从不同的输入口接收数据包，经过转换后再从不同的输出口转发出去。

2.2基于IPv6实现IPv4/IPv6

转换的APT

APT仅接收和发送含有IPv6地址的IPv6数据包。为使GT64可以同时处理IPv4/IPv6两种模式，当与只支持IPv4的主机通信时，GT64会分配临时的IPv4地址给其内部IPv6主机，而基于IPv6的APT则给其内部IPv6主机分配支持IPv4映射的IPv6地址。

当GT64要将IPv6分组转换为IPv4分组时，APT首先将IPv6地址和端口映射为与IPv4地址有映射关系的IPv6地址与端口号；然后再将这个映射地址转换为真正的IPv4地址，从而实现IPv6分组向IPv4的转换。从IPv4到IPv6分组的转换过程也与此相似。先将IPv4地址转换成为具有映射关系的IPv6地址/端口号，然后再将这个地址/端口号绑定转换成为真正的IPv6地址和端口号。

2.3静态映射与动态映射

APT可以将主机的实际地址和端口号映射成为一个全球性的地址/端口绑定。静态映射功能是指内部网络的地址/端口绑定与全球性地址/端口绑定之间的映射关系是静态的。在大多数情况下，静态映射被用作单一地址映射的情况。例如一定的外部地址将会被保留，以标志特定的内部地址。与静态映射相对，动态映射仅对活动的数据流保留映射关系。

2.4动态地址映射与

动态地址/端口映射

动态地址映射是指APT仅为内部主机动态分配一个外部地址映射，而不是一个地址/端口绑定。APT将直接使用映射过的地址来指明此内部节点，同时以映射过的流ID来代替原始流ID。在这个映射过程中，APT不仅要动态分配一个外部地址映射，而且原来的端口号也要被映射为新的端口号。与动态地址/端口映射不同的是，动态地址映射只是替代分组头部中的一个地址字段，而保留流ID中的其他3个部分。对于向外的数据包，它以映射地址来取代原有的源地址字段；对于向内的数据包，它以内部节点的实际地址来取代分组中的目的地址，这也就是映射地址。

3APT的配置

配置字符串为动态映射和静态映射指定了映射规则，用户可以使用配置字符串来控制APT，配置字符串的变量由逗号分隔。图2给出一个IPv6局域网与IPv4因特网连接时APT配置实例。APT被配置为静态的地址映射和动态的地址/端口映射。

首先，配置字符串指定了静态地址映射的规则和数量。第1个参数是静态映射的数量。第2个参数StaticPortMapping是一个布尔变量，表明了APT是否作静态地址映射。图2中，第1个参数Number_of_Static_Mappings的值是1，表明只有一个静态地址映射；第2个参数StaticPortMapping的值是0，表明APT为地址映射作静态转换。

接下来的StaticPortMapping部分是对静态映射的详细描述，表达式从StaticMapping1一直到StaticMappingm。这m个参数对应于m个静态映射。依照静态端口映射的值，每一个静态映射都包含有2到4个字符串的属性描述，具体包含几个字符串与StaticPortMapping的值有关。以静态地址映射为例，如果StaticPortMapping的值是0，那么属性描述为两个字符串，分别为内部的和外部的IPv6地址；当StaticPortMapping的值为1时，静态映射包含4个字符串，分别描述内部网络的IPv6地址和节点端口号，以及映射过的IPv6地址和节点端口号。

图2中，APT静态地将内部地址：：3ffe：1ce1：2：：1映射为外部网络的有效地址：：18．26．4．115。APT在发出的数据包中以：：18．26．4．115取代了原地址：：3ffe：1ce1：2：：1。在数据接收的过程中，若有一数据分组指向：：18．26．4．115，则APT会将其目的地址替代为内部网络地址：：3ffe：1ce1：2：：1。

其次，配置字符串也表明了可有多个映射规则提供给动态映射。DynamicMapping参数是一个布尔型变量，用来表明APT是否进行了动态地址映射。如果值是1，APT将会使用许多特定于动态地址映射的参数。下一个参数DynamicPortMapping决定APT是进行地址/端口映射还是只进行地址映射。大多数的APT配置都含有后者，例如图2，因为动态地址/端口映射允许一个全球性的地址被几个有效的流同时复用。

第三，参数AddressAllocationDirection决定APT能否分配一个新的映射，例如当接收到一个没有经过映射的分组时。这个参数有两个值：1(代表向内)和0(代表向外)。在没有特殊指定时，系统默认参数取“0”值。当地址转换是由局域网内部指向外部时，则要将AddressAllocationDirection指定为向外，如图2。但是，当GT64被用作其他的情况时，例如网络服务器负载平衡时，APT将会分配新的映射给那些来自外部的新的有效流，这时该参数方向应改为向内。负载平衡是指将在一个网络地址上的负载分配到几个内部节点上去。GT64为负载平衡所处理的数据流是来自于外部的。参数AddressAllocationDirection标为内部的，这样将允许APT为这些流分配映射。最后，配置字符串决定了动态分配全球性的IPv6地址和端口的范围。如果动态映射并没有动态端口映射功能，保留的参数则是IPv6地址。在地址/端口映射中，保留的参数是3个参数的组合(Mapped_IPv6AddressPort_StartPort_end)。这表明当一个有效流经过APT时可以被动态分配一个IPv6地址和端口的范围。当多部隶属同一局域网的主机希望共享一个全球性的IPv6地址时，所采取的方法是复用一个标记过的IPv6地址，并可以传递许多IPv6主机的标识符。

在图2中，最后一个参数表明了端口6000至6010的含IPv4映射的IPv6地址，：：18．26．4．115是可以被复用的映射地址。若同时复用10个地址/端口绑定，则APT可以同时处理10个有效流。

4协议转换器的设计

GT64一个非常重要的应用是允许只支持IPv6的节点和只支持IPv4的节点进行通信。从IPv6节点向IPv4节点传送一个包或者其逆过程都要涉及协议转换以及地址和端口的转换。PT64和PT46用于连接基于IPv6的APT，并对需要进行转换的分组完成协议转换。PT64用于将只支持IPv6的本地节点的IPv6包发送到只支持IPv4的因特网节点上。APT将源地址和端口所组成的套接字转换成IPv4映射型IPv6套接字。PT64将包中的IPv6头转换成IPv4头和将IPv6地址的最低32比特作为有效的IPv4地址。

同样，一个IPv4包从一个只支持IPv4的节点发送到一个只支持IPv6的节点需要经过PT46和APT以完成转换。PT46通过将源和目的地址加上96比特的前缀转换成IPv4映射型IPv6地址，从而将IPv4头转换成IPv6头。APT然后将目的IPv4映射型IPv6地址映射进IPv6地址。APT处理地址映射和分配，PT64和PT46只负责协议转换。因为是模块化设计，所以PT64和PT46的实现是很容易的。在进行包协议转换之后，PT64和PT46都需要对高层协议(例如TCP,UDP)的校验和重新计算。TCP和UDP根据一个伪随机头部计算它们的校验和，这个伪随机头部包括(IPv4/IPv6)的源地址和目的地址、高层包长度和协议(下一头部)字段。当从IPv6向IPv4转换的时候，PT64必须计算IPv4头部所需要的IP校验和。然而，PT46并不需要计算IPv6校验和，因为IPv6头部没有这一字段。

ICMPv6和ICMPv4在校验和的计算上同样是不同的。PT46必须按照TCP和UDP的样式来计算ICMPv6,因为ICMPv6的计算中包含了伪随机头部。然而，PT64能直接从ICMPv4包计算出ICMPv4的校验和。在ICMPv4/ICMPv6相互转换的过程中，校验和值的不同必须考虑进去。

5结论

显然，因特网从IPv4向IPv6转变将需要很长一段时间。每个站点都必须考虑自己的过渡计划。只有很少的站点能够一步到位地完成转变。对于大多数的站点来说，NAT将作为一种机制而被采用，它可以使得只支持IPv4和只支持IPv6的节点之间能够相互通信。

GT64可以满足一个好的网络转换器所必须的3个最基本的要求：能够在只支持IPv6的节点和只支持IPv4的节点之间完成通信；在信源主机和目的主机上不需要进行任何改变；应用简单。模块化的设计和扩展方便使得GT64成为强大的网络通信工具。GT64的进一步发展将推动互联网更快地向IPv6领域迈进。□

参考文献

1FiuczynskiME,VincentKL,BrianNB.TheDesignandImplementationofanIPv6/IPv4NetworkAd

dressandProtocolTranslator.ProceedingsoftheUSENIXAnnualTechnicalConference

(NO98),NewOrleans,Louisiana,1998.http://www.cs.washington.edu/research/networkin

g/napt/reports/usenix98/index.html,2001

2Stardust.com.MigrationfromIPv4toIPv6foranetworkmanager:ImplementationoftheIPv4/

IPv6networkaddressandprotocoltranslator[R],2000.http://www.win

sock2.com/IPv6/documents/v6migrate/v6migrate_30.htm,2001

3YeomHY,HaJ,KimI.IPMultiplexingbyTransparentPort-

AddressTranslator.ProceedingsoftheTenthUSENIXSystemAdministrationConference,

Chicago,IL,USA,Sep29-Oct4,1996

4CiscoNAT-PT(IPv6/IPv4)

implementation.http://www.cisco.com/warp/public/cc/pd/iosw/prodlit/ip6v_ds.h

tm,20015MicrosoftResearchIPv6.http://www.research.microsoft.com/msrIPv6/msrI

Pv6.htm,2001

6UltimaIPv6Access,BritishTelecom.http://ultima.IPv6.bt.com/,2001

7KohlerE,MorrisR,ChenB,etal.TheClickmodularrouter.ACMTransactionsonComputerS

ystems,18(4),2000

8KohlerE.TheClickmodularrouter[D].[Dissertation]:MIT,2000

(收稿日期：2002-02-27)

作者简介

范蓓蕾，美国MIT国际发展与研究专业在读博士。原就读于南京大学少年班计算机科学系，1995年赴美就读于新泽西Rutgers大学，1997年获城市规划专业硕士学位，1998年转MIT攻读电子科学与计算机科学系硕士学位和国际发展与研究博士学位，2001年获计算机科学硕士学位。研究方向为通信与计算机及其发展。

IPv4网络技术 第11篇

本网管系统是适用于在IPv4/IPv6网络过渡时期,必须支持IPv4通道的网络监控,同时也要支持用IPv6的通道进行网络监控。本网管系统的主要功能如下:

1)性能监视,包括对单个网络设备或服务器的性能监视以及对过渡系统的性能监视。而过渡系统是由多个网络设备或服务器共同组成,因此过渡系统的性能就是多个设备的汇总。系统可以通过SNMP、SSH、Telnet方式主动采集数据,形成实时的性能图表。实时反映设备或过渡系统的状态。性能实时监视,结果可以按照不同时间间隔生成性能图表,显示在页面上。

2)提供故障和告警管理,实现故障收集、关联分析、告警提示等功能并实现对故障的自动通知功能。使维护人员可以监视并处理网络设备和服务器的实时告警事件,对相关告警事件进行事件分类、确认、历史化等操作,并可以对告警事件历史信息进行查询浏览。

3)可用性检测,能过对网络设备或服务器发起主动检测功能。利用主动发起Ping等命令主动测试设备。

4)过渡系统信息的处理,包括过渡系统状态的展示,数据信息采集,显示,持久化工作。

5)任务自动调度,维护作业计划定制和周期性自动执行,根据预先设定的时间间隔和工作流程,自动作业计划执行工作。

6)系统用户管理。系统自身账号的管理采取分级分权管理的方式。利用系统管理员帐号,添加和删除用户,同时对每个用户设置角色和权限。

7)数据的备份、恢复与维护。支持对数据库的数据进行周期性备份工作,在发生错误的时候进行数据恢复工作。

2. 系统软件总体结构图

用户层基于ZOPE平台开发。ZOPE是高度面向对象的Web开发平台。它提供了清晰的数据层、逻辑层和表示层的分离,带有可扩展的内置对象和强大的集成安全模块。ZOPE架构可以使开发人员不再困扰于开发中的一些细节问题,诸如数据一致性,存取控制等。ZOPE提供了所有必须的工具,能集成来自任何数据源的所有数据和内容,构成一个连续、可维护的Web应用。

数据层中,性能数据库采用RRD格式的数据存储。由于RRD数据记录的是固定数目,具有循环特性,并且在当前对间点有特定值的数据,符合性能数据的特性,还能自动对数据进行处理,自动生成统计数据图表,被广泛用来网管存储性能数据。配置信息数据库,存储设备和过渡系统的信息,此外还有ZOPE对象信息,采用面向对象的ZOPE数据库来存储。主要基于如下几个方面考虑:

首先,ZOPE是在ZODB中创建和存储对象。ZOPE通过使用“Data.fs”文件存储ZOPE对象。ZOPE对象没有任何模式,并且可以动态获得或失去实例属性。ZOPE数据库中的对象允许具有任何实例属性的集合。可以自由地将这些属性放在对象上并在以后删除。此外,除了ZOPE对诸如数值、字符串、元组、列表和字典等基本类型的组合组成的属性值的限制以外,没有施加任何其他类型限制。

这样就使得不需要在最初设计某个对象并编写其定义时指定该类的对象所能拥有的属性列表,而是在运行时进行动态更新,比较方便,有利于系统开发。

3. 各功能模块设计

IPv4/IPv6 NMS网管系统是一个通过标准的web浏览器集中向用户展示各种监视和管理信息的系统,系统的各种功能都可以通过web界面进行访问而无需编写任何配置文件。IPv4/IPv6 NMS由四个主要部分组成。

IPv4/IPv6 NMS系统架构的核心是IPv4/IPv6 NMS系统架构标准模型,该模型详细地描述了IPV4/IPv6 NMS系统架构管理的设备,同时还描述了设备之间、IPv4/IPv6NMS系统架构业务对象之间以及其它用户定义的重要分组之间的关系。由于该模型高度复杂,因此模型信息的来源也多种多样,其中一个最主要的来源称之为IPv4/IPv6 NMS系统架构自动发现进程,自动发现是指,IP,扒Pv6NMS系统架构通过一个可用的传输通道来发现设备上的服务、接口等信息。通过这些发现的信息,IPv4/IPv6 NMS系统架构在系统中为设备建立一个模型。同时,用户可以通过Web界面手工输入设备相关数据的方式(或通过IPv4/IPv6 NMS系统架构的外部API)为设备建立模型。

1)IPv4/IPv6 NMS标准模型

IPv4/IPv6 NMS的核心是IPv4/IPv6 NMS标准模型,该模型详细地描述了IPv4/IPv6 NMS管理的设备,同时还描述了设备之间、IPv4/IPv6 NMS业务对象之间以及其它用户定义的重要分组之间的关系。由于该模型高度复杂,因此模型信息的来源也多种多样,其中一个最主要的来源称之为IPv4/IPv6NMS自动发现进程,自动发现是指,IPv4/IPv6 NMS通过一个可用的传输通道来发现设备上的服务、接口等信息。通过这些发现的信息,IPv4/IPv6 NMS在系统中为设备建立一个模型。同时,用户可以通过Web界面手工输入设备相关数据的方式(或通过IPv4/IPv6 NMS的外部API)为设备建立模型。

2)IPv4/IPv6 NMS可用性监控

IPv4/IPv6 NMS系统架构的可用性测试包括针对IT基础架构的系统运行测试,通过测试可以判断系统是否在正常运行,这些测试通常在被监控的系统外部运行,测试手段包括:ping测试、进程测试和服务测试。

3)IPv4/IPv6 NMS事件管理系统

当IPv4/IPv6 NMS的监视进程检测到有失败信息或者门限值被突破后,系统就产生一个事件,该过程与目前市面上绝大多数可用的监视系统一样。IPv4/IPv6 NMS的事件管理是IPv4/IPv6 NMS系统各部分状态信息以及受其监视系统信息的一个整合。IPv4/IPv6 NMS还可接入来自基础设施其它部分的事件,这其中包括syslog和SNMp Traps。IPv4/IPv6 NMS收到这些事件后,通过一套规则进行处理并最终将这些事件整合进IPv4/IPv6 NMS模型。

4)IPv4/IPv6 NMS性能监视系统

IPv4/IPv6 NMS能监视系统的作用是,跟踪重要的rr资源信息并随时记录其变化。对系统管理员来说,随时了解磁盘可用率、CPU负载以及Web页面载入时间都相当重要。而IPv4/IPv6 NMS就可以通过SNMP、自定义脚本或XMLRPC来采集这些数据。由于性能信息被整合在IPv4/IPv6 NMS模型中,因此浏览在其它IPv4/IPv6 NMS信息时,用户也可以根据上下文获得有关设备的性能数据。

5)Zope服务器

Zope,Z Object Publishing Environment,它既是http服务器,又是数据库,又包含脚本编程语言。【下转第37页】【上接第33页】Zope是一种支持多种平台开源的Web应用服务器软件,它提供了完善的功能和强大的动力,适用于构建各种类型的Web应用,从小型网站到企业级分布式网络应用都有Zope的用武之地。Zope在许多方面都超过了ASP、PHP、Js P等传统方法,是一套优秀而完整的解决方案。

参考文献

[1]马赛厄斯·海因,戴维·格里菲思.《简单网络管理协议的理论与实践:SNMP1.2》,国防工业出版社,1999年1月.

[2]岑贤道,安常青.《网络管理协议及应用开发》,清华大学出版社,1998年7月.

[3]白英彩等.《计算机网络管理系统设计与应用》,清华大学出版社,1998年8月.

[4]岑贤道,安常青,《网络管理协议及应用开发》,清华大学出版社,1998年7月.