IPV6的优势
1.更大地址空间,IPV6采用了128bit的地址长度,可以提供2^128个地址。
2.IPV6包头长度为固定40个字节,IPV4是40~60个字节;这样容易实现硬件式转发,提高转发效率
3.IPV6包头比IPV4包头简化,取消了网络层的校验工作,提高了网络层效率
4.引入灵活的扩展头,使得IPV6的协议扩展更加灵活,但是不是所有的路由器都需要处理IPV6的扩展头,这样中间路由器的转发提高了效率。
5.IPV6地址分配严格按照层次区域划分,使得骨干区域的IPV6路由能最大化的汇总聚合,有效缩减1IPV6路由表体积。
6.IPV6支持邻居发现、自动配置等技术,使得IPV6主机可以发现邻居主机或者网关,且自动完成IPV6地址的全局性配置。
7.IPV6将IPSEC作为标准的扩展头,使得IPV6设备必须支持IPSEC,增强了IPV6网络的安全性。
8.IPV6包头增加了流标签域,可以使得IPV6设备根据源地址和流标签生成数据流状态,实现对数据包的分类和QOS,而不用像IPV4一样,读取整个IP头和TCP/UDP头,通过五元组实现对数据包的分类和QOS。
9.IPV6能更好的解决移动设备的IP移动性,保证设备在不断开连接的情况下,从家乡网络移动到目的网络。
IPV6特色
1.IPV6地址由前缀和接口标识符构成,总共分为3类地址:单播、多播、任意点播;其中任意点播地址来自单播地址范围,发送给采用任意点播地址接口中的最近的一个接口。其中以001开头至111为全局单播,即2000::/3-e000::/3。以11111111开头为组播地址,FF01::/16为接口本地组播,FF02::/16为链路本地组播,FF05::/16为站点本地组播,FF08::/16场点本地组播,FF0E::/16全球组播。
FP:IPV6地址前缀,3个BIT,范围001-111,表示全局单播地址;
TLA ID:顶级汇聚标识,13个BIT;
RES:保留,8个BIT,用于以后扩展TLA ID段或者NLA ID段;
NLA ID:下级汇聚标识,24个BIT,分配给大型ISP;
SLA ID:站点汇聚标识,16个BIT,分配给大型ISP下的某个站点;
INTERFACE ID:接口标识,64个BIT,标识某个站点下的IPV6接口;
其他类型单播地址:全0地址::/0,表示无地址或者所有地址;回环地址::1/128用来测试协议栈,不会发送到链路上;IPV6兼容地址,嵌有IPV4地址的IPV6地址。链路本地FE80::/10、站点本地地址FEC0::/10,链路本地地址用于单网络链路上给主机编号。前缀的前1 0位标识的地址即链路本地地址。路由器在它们的源端和目的端对具有链路本地地址的包不予处理,因为永远也不会转发这些包。站点本地地址则可用于站点,这意味着站点本地地址能用在内联网中传送数据,但不允许从站点直接选路到全球I n t e r n e t。站点内的路由器只能在站点内转发包,而不能把包转发到站点外去。站点本地地址的1 0位前缀与链路本地地址的1 0位前缀略有区别。Link-local 地址在邻居发现和自动配置经常使用而site-local 地址一个可能的用途是在IPv6 网络初期可以使用site-local 地址建立IPv6 岛屿以后需要时平滑升级到global 地址。
标志字段:由4个单个位标志组成。目前只指定了第4位,该位用来表示该地址是由I n t e r n e t编号机构指定的熟知的组播地址,还是特定场合使用的临时组播地址。如果该标志位为“ 0”,表示该地址为熟知地址;如果该位为“ 1”,表示该地址为临时地址。其他3个标志位保留将来用。
范围字段:长4位,用来表示组播的范围。即,组播组是只包括同一本地网、同一站点、同一机构中的节点,还是包括I P v 6全球地址空间中任何位置的节点。该4位的可能值为0 ~ 1 5
组标识符字段:长11 2位,用于标识组播组。根据组播地址是临时的还是熟知的以及地址的范围,同一个组播标识符可以表示不同的组。永久组播地址用指定的赋予特殊含义的组标识符,组中的成员既依赖于组标识符,又依赖于范围。
所有I P v 6组播地址以F F开始,表示地址的第1个8位为全“1”。目前,因为标志的其余位未定义,所以地址的第3个十六进制数字若为“0”,则表示熟知地址;若为“1”,则表示临时地址。第4个十六进制数字表示范围,可以是未分配的值或保留的值
2.IPV6包头是固定长度40个字节,一共8个域,IPV4有14个域,包头长度40~60个字节。
从具体报文域来看IPv6 报头中删除的域:
a.校验和域链路层和上层已做校验和验证网络层取消减少每个IP 报文处理时间
b.标识符分片偏移域标志这三个域与IP 分片重组相关IPv6 中将它们移到IPv6 分片扩展头实现并规定转发路径的中间节点无需分片提高报文转发效率;IPv6中要求链路最小支持1280 字节MTU 通过结合Path MTU 发现机制IPv6 报文只在源节点处被一次性分片直到到达目的节点处被重组
c.选项填充域由 IPv6 扩展头替代IPv6 节点只需要按顺序处理扩展头不必像IPv4 选项那样存在冗余处理符合IP 简化中间处理的思想提高处理效率,另外IPv4 原有一些选项如时间戳和纪录路由掩码请求回应等用处不大基本被IPv6 废弃
版本:表示IP协议版本号,默认为6。
业务流类别:1个字节,用来区分不同的业务数据包,和IPV4中的TOS字段类似,但是目前没有使用。
流标签:通过源地址和流标签可以区分特定源去往特定目的地的特定协议包,并据此实施良好的QOS处理。IPV4中是通过读取完整的IP包头和TCP端头,了解到五元组后,才能对包进行QOS处理,这样降低了处理效率;IPV6这种通过流标签的方式使得设备只需要读取到流标签域就能完成QOS,提高了QOS效率。
净荷长度:表示包括扩展头在内的数据净荷大小。
下一个头:标识载荷区域装载的内容类型,一般是传输层段,但是有时可能是扩展头或者其他内容。如果是扩展头,则扩展头里面必须指明下下一个头的类型。
跳极限:类似IPV4的TTL功能,与IPV4中的TTL不同的是:IPV4的TTL是用时间来限定包的生命期(但实际使用过程中采用的是跳数),IPV6是用跳数,每至一跳就减去1,至0则丢弃。
IPV6净荷区域:这个区域可能是上层数据,也有可能是扩展头。
扩展头
IPV4中的选项字段实现了IPV4功能上扩展,但是增大了IPV4包头,而且每台路由器都必须读取这个选项,即使这个选项对这台路由器没有作用。IPV6中把选项的功能移植到扩展头中,好处就是:除非扩展头要求每个路由器处理,否则途经路由器越过扩展头,加快报文的处理速度,即一般情况下,中间路由器看不到扩展头,也不会去使用它。按照扩展头的先后排列顺序,分为:
a.逐跳扩展头:此扩展头必须紧随在I P v 6头之后。它包含包所经路径上的每个节点都必须检查的选项数据。由于它需要每个中间路由器进行处理,逐跳选项只有在绝对必要的时候才会出现。到目前为止,已经定义了两个选项:巨型净荷选项和路由器提示选项。巨型净荷选项指明包的净荷长度超过I P v 6的1 6位净荷长度字段。只要包的净荷超过65 535字节(其中包括逐跳选项头),就必须包含该选项。如果节点不能转发该包,则必须回送一个I C M Pv 6出错报文。路由器提示选项用来通知路由器, I P v 6数据报中的信息希望能够得到中间路由器的查看和处理,即使这个包是发给其他某个节点的(例如,包含带宽预留协议信息的控制数据报)。
b.选路扩展头:此扩展头指明包在到达目的地途中将经过哪些节点。它包含包沿途经过的各节点的地址列表。I P v 6头的最初目的地址是路由头的一系列地址中的第一个地址,而不是包的最终目的地址。此地址对应的节点接收到该包之后,对I P v 6头和选路头进行处理,并把包发送到选路头列表中的第二个地址。如此继续,直到包到达其最终目的地。
c.分段扩展头:此扩展头包含一个分段偏移值、一个“更多段”标志和一个标识符字段。用于源节点对长度超出源端和目的端路径M T U的包进行分段。
d.目的地扩展头:此扩展头代替了I P v 4选项字段。目前,唯一定义的目的地选项是在需要时把选项填充为6 4位的整数倍。此扩展头可以用来携带由目的地节点检查的信息。
e.AH扩展头:此扩展头提供了一种机制,对I P v 6头、扩展头和净荷的某些部分进行加密的校验和的计算。
f.ESP扩展头:这是最后一个扩展头,不进行加密。它指明剩余的净荷已经加密,并为已获得授权的目的节点提供足够的解密信息。
ICMPv6
ICMPv6类型:
a.目的不可达:该报文有五个代码:0-没有去往目的地的路由;1-目的地的通信被管理员禁止;2-不是邻居,当使用I P v 6选路扩展头并严格限定路由时,将使用这个代码。当列表中的下一个目的地与当前正执行转发的节点不能共享一个网络链路时,将会产生该报文;3-地址不可达;4-端口不可达。
b.包太长:当接收某包的路由器由于包长度大于将要转发到的链路的M T U,而无法对其进行转发时,将会产生包太长报文。该I C M P v 6错误报文中有一个字段指出导致该问题的链路的M T U值。在路径M T U发现过程中这是一个有用的错误报文。
c.超时:当路由器收到一个跳极限为1的包时,它必须在转发该包之前减小这个数值。如果在路由器减小该数值后,跳极限字段的值变为0 (或者是路由器收到一个跳限制字段为0的包),那么路由器必须丢弃该包,并向源节点发送I C M P v 6超时报文。源节点在收到该报文后,可以认为最初的跳限制设置得太小(包的真实路由比源节点想象的要长),也可以认为有一个选路循环导致包无法交付
d.参数问题:当I P v 6头或扩展头中的某些部分有问题时,路由器由于无法处理该包而会将其丢弃。路由器的实现中应该可以产生一个I C M P参数错误报文来指出问题的类型(如错误的头字段、无法识别的下一个头类型或无法识别的I P v 6选项),并通过一个指针值指出在第几个字节遇到这种错误情况。
e.Echo请求
f.Echo回应
3.IPV6自动配置
IPV6地址的自动配置分为两种,一种为依靠DHCP服务器的有状态自动配置,另一种就是无需DHCP服务器的无状态自动配置;无状态自动配置主要通过IPV6的邻居发现机制,自动生成链路本地地址,并且主机可以根据路由器宣告报文里的前缀信息,自动配置全局地址,以及网关等其他信息。
无状态配置过程:
根据MAC地址自动算出接口ID,并自动产生链路本地IPV6地址,如FE80::CD23:2CFF:FE3C:7962
主机生成链路本地地址后,通过DAD重复地址检测,确保地址唯一后生效,用于链路内部通信
主机会通过链路本地地址作为源地址,发送路由器请求消息(或者接收到路由器定期发送的路由器宣告消息)
路由器收到路由器请求消息后,发送以路由器的链路本地地址为源地址的路由器宣告信息。
根据路由器回应的路由器宣告消息中的前缀信息,加上根据MAC地址EUI-64算法算来的INTERFACE ID,就可以得到全局有效的IPV6地址或者站点IPV6地址。由于前缀在整个互联网中唯一标识链路,而节点的接口ID在链路上唯一标识接口,因此这两者的组合就能唯一的标识IPV6网络上的接口。
主机自动配置的地址均有有效期限,主机可以同时拥有多个不同类型的IPV6地址,并根据地址的有效期限值来优先使用地址,旧地址会自动老化。路由器的接口和主机的接口一样,在激活接口后都会自动生成链路本地地址。
4.IPV6安全性
IPV6的安全性主要通过IPSEC实现,采用了AH和ESP两种协议。与IPV4不同的是,IPV6的IPSEC采用独立的扩展头来实现。
5.Qos的支持
IP 是面向无连接的技术对Qos 支持先天不足IPv6 设计中考虑对Qos 能力
的增强。IPv6 在报头中保留了类似IPv4 的TOS 域称为传输级别域以继续为IP 提供差分Qos 服务同时IPv6 报头中增加20 比特流标签Flow Label 域流标签更好支持综合Qos 服务可以直接标识流并配合RSVP 实现资源预留。
IPv4 的流分类器是根据信源地址信宿地址信源端口号信宿端口号和传输协议类型的五元组确定,由于分组的拆分或加密有些域往往难以获得,对高层报头的访问也可能会阻碍新协议的引入;IPv6 中一个流可以由源IPv6 地址和非空的流标签唯一地标识,源可以通过逐跳扩展头或控制协议RSVP 等向转发路径的中间节点建立的流状态,IPv6 节点接收到一个有标记的IPv6 分组时可以用流标记信源地址将分组分类到某个流,根据在一系列IPv6 节点上建立的流状态可以对分组提供一些流特殊处理
6.IPV6移动性
当移动到外地网络时,在保留家乡地址同时还需要获得外地的转交地址,移动IP 中需要构建家乡代理到移动节点间的隧道,通过隧道和转交地址来保持移动节点的连通性。
IPV6移动过程如下:
a.当移动节点在家乡网络时,拥有一个家乡地址,通信时和普通的IPV6固定节点一样。
b.移动节点通过邻居发现机制检测到自己是否以移动到外地网络。
c.如果已移动到外地网络,则通过自动配置机制获得一个外地网络的转交地址。
d.移动节点将“家乡地址”和“转交地址”的对应关系注册到家乡网络的家乡代理上。
e.通信伙伴如果不知道移动节点的“转交地址”,就直接把报文发送到移动节点的家乡网络,家乡网络中的家乡代理将获取报文,再利用隧道机制把报文转发给移动节点的转交地址。
f.通信伙伴如果知道移动节点的“转交地址”,则利用IPV6路由扩展头,把报文发送给移动节点,转交地址为报文的第一目的地,家乡地址为报文的第二目的地。
g.当移动节点接收到报文,并发现该报文是由家乡代理隧道而来的,就将自己的转交地址通知给通信伙伴,通信伙伴后继报文就可以使用转交地址直接和移动节点通信。
h.当移动节点要与通信伙伴通信时,发出的报文源地址为转交地址,而家乡地址放在“目的地扩展头”中,这样可以解决源地址被过滤的问题。
IPV6过渡技术
IPV4过渡到IPV6技术分为双栈、隧道、协议转换。
双栈技术要求设备同时支持IPV4和IPV6,应用层通过DNS返回的地址类型来判断使用哪个协议栈,双栈主机可以和IPV4通信,也可以和IPV6通信。此过渡技术缺点是成本太高,无法实现互联网所有路由器同时支持IPV4和IPV6。
隧道技术可以将IPV6报文封装到IPV4包里,借助IPV4网络将两个IPV6孤岛连接起来,也可以将IPV4封装到IPV6里,借助IPV6网络将两个IPV4孤岛连接起来。
协议转换技术可以将IPV6/IPV4包头进行更换,使得IPV4节点可以直接和IPV6节点通信,但是协议转换点将成为通信的瓶颈。
隧道技术又分为静态隧道、自动隧道、半自动隧道。
静态隧道技术有6over4、6over4 GRE两种,6over4技术是指通过手动配置路由器,将IPV6报文直接封装在IPV4里,其中IPV4的协议域的值为41。6over4 GRE技术是指通过手动配置路由器,将IPV6报文封装到GRE包头里,再把GRE封装到IPV4包头里。
6over4、6over4 GRE配置实例:
自动隧道技术包括6to4、isatap两种。
6to4技术可以将分散的IPV6孤岛通过IPV4互联起来,并且该隧道的目的地是自动确定的,无需手动配置。6to4技术要求使用特定的地址前缀2002::/16,并加上32bit的IPV4地址16进制格式构成一个包含有目的隧道IPV4地址的IPV6地址,例如:2002:3DBB:BF01::1/48标识一个IPV4地址为61.187.191.1的IPV6 6to4网络。6to4站点内的主机可相互通讯,当需要与一般IPv6主机通讯时,必须经过6to4 relay router,6to4 relay router必须同时具备6to4及IPv6接口,同时提供这些接口的封包传送。
站内自动隧道寻址协议ISATAP用于在IPv4站点内连接IPv6主机和路由器,它允许那些与IPv6路由器不共享共同链路的双栈节点,通过IPv4自动将分组以隧道的方式送到IPv6下一地址。双栈主机在与其他主机或路由器通信之前,首先要获得一个ISATAP地址。双栈主机先向ISATAP服务器发送路由请求,得到一个64位的IPv6地址前缀,然后再加上64位的接口标识符∷0:5EFE:IPv4Address,这样就构成一个ISATAP地址。双栈主机配置了ISATAP地址后,就成了一个ISATAP客户机,进而就可以在IPv4域内和其他的ISATAP客户机进行通信了。
6TO4:
上图为6TO4网络通信的配置
上图为6to4网络与标准ipv6网络通信的配置
ISATAP:
半自动隧道技术有隧道代理技术,但是已经废除。
协议转换技术有NAT-PT技术。
网络地址转换-协议转换(NAT-PT)是一种纯IPv4终端和纯IPv6终端之间的互通方式,也就是说,原IPv4用户终端上不需要进行升级改造,所有包括地址、协议在内的转换工作都由网络设备来完成。在这种情况下,网关路由器要向IPv6域中发布一个路由前缀Prefix::/96,凡是具有该前缀的IPv6包都被送往网关路由器。网关路由器为了支持NAT-PT功能,还具有IPv4地址池,在从IPv6向IPv4域中转发包时使用。此外,网关路由器支持DNS-ALG(DNS-应用层网关),在IPv6终端访问IPv4终端的过程中发挥作用。
Restrictions for Implementing NAT-PT for IPv6
部署IPV6 NAT-PT技术的限制
NAT-PT is not supported in Cisco Express Forwarding.
NAT-PT不支持CISCO的快速转发技术
NAT-PT provides limited Application Layer Gateway (ALG) support—ALG supportfor Internet
ControlMessage Protocol (ICMP), File Transfer Protocol (FTP), and Domain Naming System
(DNS).
NAT-PT支持有限的ALG应用层网关技术,例如ICMP、FTP、DNS
NAT-PT has the same restrictions that apply to IPv4 NAT where NAT-PT doesnot provide
end-to-endsecurity and the NAT-PT router can be a single point of failure in the network.
NAT-PT不支持端到端的安全机制,并且NAT-PT路由器将是网络中的失效点和瓶颈
Users must decide whether to use Static NAT-PT operation, Dynamic NAT-PToperation, Port
AddressTranslation (PAT), or IPv4-mapped operation. Deciding which operation to usedetermines
how a user willconfigure and operate NAT-PT.
用户在配置NAT-PT时必须确定什么时候该使用何种NAT-PT技术,如静态NAT-PT、动态NAT-PT、NAT-PT PAT、带目标IPV4地址映射的NAT-PT
Configuring Basic IPv6 to IPv4 Connectivity for NAT-PTfor IPv6
IPV6 NAT-PT 基本配置
1. enable
2. configureterminal
3. ipv6 nat prefixipv6-prefix/prefix-length //配置一个长度为96BIT的NAT前缀,凡是收到去往该前缀网络的数据包将被NAT-PT
4. interface typenumber
5. ipv6 addressipv6-prefix {/prefix-length | link-local}
6. ipv6 nat //在接口模式下启动IPV6 NAT-PT功能
7. exit
8. interface typenumber
9. ip addressip-address mask [secondary]
10. ipv6 nat//在接口模式下启动IPV6 NAT-PT功能
以上配置不能使得NAT-PT正确工作,但这是最基本的配置,也就是说无论采用静态、动态、还是PAT等都必须配置
Configuring IPv4-Mapped NAT-PT
配置NAT-PT自动“IPV6目的地址映射IPV4”
Thefollowing task describes how to enable customers to send traffic from theirIPv6 network to an IPv4network without configuring IPv6 destination address mapping. This taskshows the ipv6 nat prefixv4-mapped command configured on a specified interface,but the command could alternatively beconfigured globally:
以下配置描述了一个没有“IPV6目的地址静态映射IPV4地址”的IPV6 TO IPV4的配置。这个任务展示了对指定的接口上使用ipv6 nat prefix v4-mapped命令,但是该命令也可以在全局模式下配置。
1.enable
2.configure terminal
4.全局模式,不要接口模式ipv6nat prefix ipv6-prefix v4-mapped {access-list-name | ipv6-prefix}//配置一条长度为96BIT的前缀,当目的地址为这个前缀网络时启用NAT-PT,并且对access-list-name中指定的IPV6前缀进行目标IPV6地址到目标IPV4地址的自动映射,例如ipv6nat prefix 2AAA:1::/96 v4-mapped mappedlist | ipv6 access-list mappedlist |permit 2AAA:1::/96 any 这个实例表示路由器收到目的地址为2AAA:1::/96网络报文将根据最后32BIT自动映射成一个目的IPV4地址,如2AAA:1::61.187.191.2自动映射成IPV4 61.187.191.2,这就是v4-mapped参数的作用
Configuring Mappings for IPv6 Hosts Accessing IPv4 Hosts
配置IPV6主机访问IPV4主机动态映射
Thistask explains how to configure static or dynamic IPv6 to IPv4 address mappings.The dynamic address mappings include assigning a pool of IPv4 addresses andusing an access list, prefix list, or route map to define which packets are tobe translated.
这个任务展示了如何去配置静态或者动态的IPV6到IPV4地址的映射。动态地址映射的配置包含一个用来分配的IPV4地址池,并且使用访问列表、前缀列表、路由映射图来定义哪个包被转换。
1.enable
2.configure terminal
3.ipv6 nat v6v4 source ipv6-address ipv4-address //配置IPV6源地址到IPV4源地址的静态映射
or
ipv6nat v6v4 source {list access-list-name | route-map map-name} pool name//配置对access-list-name列表中指定的源地址到poolname中的IPV4地址的动态映射
4.ipv6 nat v6v4 pool name start-ipv4 end-ipv4 prefix-length prefix-length//建立一个名字为poolname的IPV4地址池,用来源IPV6到源IPV4的映射
5.ipv6 nat translation [max-entries number] {timeout | udp-timeout | dns-timeout| tcp-timeout |
finrst-timeout| icmp-timeout} {seconds | never}//设定各个协议下的NAT条目老化时间
6.ipv6 access-list access-list-name//建立一条IPV6访问列表
7.permit protocol {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator
[port-number]]{destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address}
8.exit
9.show ipv6 nat translations [icmp | tcp | udp] [verbose]
10.show ipv6 nat statistics
Configuring Mappings for IPv4 Hosts Accessing IPv6 Hosts
配置IPV4主机访问IPV6主机的映射
Thisoptional task explains how to configure static or dynamic IPv4 to IPv6 addressmappings. The
dynamicaddress mappings include assigning a pool of IPv6 addresses and using an accesslist, prefix
list,or route map to define which packets are to be translated.
这个可选的任务展示了如何配置静态或者动态的IPV4地址到IPV6地址的映射。动态地址映射配置包含了一个用来分配的IPV6地址池,且使用访问列表或者前缀列表再或者路由映射图来定义哪个包被转换。
1.enable
2.configure terminal
3.ipv6 nat v4v6 source ipv4-address ipv6-address//配置静态IPV6源地址到IPV6源地址的映射
or
ipv6nat v4v6 source list {access-list-number | name} pool name//配置对ACCESS-LIST中的IPV4源地址到POOL中的IPV6源地址的动态映射
4.ipv6 nat v4v6 pool name start-ipv6 end-ipv6 prefix-length prefix-length//建立一个V4TOV6专用的IPV6源地址POOL
5.access-list {access-list-name | number} {deny | permit} [sourcesource-wildcard] [log]
Configuring PAT for IPv6 to IPv4 Address Mappings
配置IPV6到IPV4地址的PAT映射
Thistask explains how to configure PAT for IPv6 to IPv4 address mappings. MultipleIPv6 addresses are mapped to a single IPv4 address or to a pool of IPv4addresses and using an access list, prefix list, or route map to define whichpackets are to be translated.
这个任务展示了如何配置IPV6源地址到IPV4源地址的PAT映射。多个IPV6源地址被映射到单个IPV4源地址或者一个IPV4地址池,并且使用访问列表、前缀列表、路由映射图来定义哪个包被转换。
1.enable
2.configure terminal
3.ipv6 nat v6v4 source {list access-list-name | route-map map-name} pool nameoverload//overload参数表示对POOL启用端口复用
or
ipv6nat v6v4 source {list access-list-name | route-map map-name} interfaceinterface name
overload//interface参数表示对某个IPV4接口上的IPV4地址启用端口复用
4.ipv6 nat v6v4 pool name start-ipv4 end-ipv4 prefix-length prefix-length
5.ipv6 nat translation [max-entries number] {timeout | udp-timeout | dns-timeout| tcp-timeout |
finrst-timeout| icmp-timeout} {seconds | never}
6.ipv6 access-list access-list-name
7.permit protocol {source-ipv6-prefix/prefix-length | any | hostsource-ipv6-address} [operator
[port-number]]{destination-ipv6-prefix/prefix-length | any | host destination-ipv6-address}
Teredo隧道
Teredo隧道是一种IPv6-over-UDP隧道。为了解决传统的NAT不能够支持IPv6-over-IPv4数据包的穿越的问题,Teredo隧道技术采用将IPv6数据封装在UDP载荷中的方式穿越NAT,使得NAT域内的IPv6节点得到全球性的IPv6连接。
在Teredo协议中,定义了4种不同的实体:Client、Server、Relay、Host-specific Relay。其中Client是指处于NAT域内并想要获得IPv6全局连接的主机。Server具有全局地址并且能够为Client分配Teredo地址,Relay负责转发Client和一般IPv6节点通信的数据包;Host-specific Relay是指不通过Relay就可以直接和Client进行通信的IPv6主机。这些角色同时都支持IPv4/IPv6协议
IPV6 OSPF
部署OSPFV3的要求
Before you enable OSPF for IPv6 on an interface,you must do the following:
在接口上开启OSPFV3之前,你必须先完成下列事项:
Complete the OSPF network strategy and planning foryour IPv6 network. For example, you must decide whether multiple areas arerequired.
完成IPV6网络的设计和部署,例如你必须确认是否需要多区域设计。
Enable IPv6 unicast routing.
开启IPV6单播路由功能
Enable IPv6 on the interface.
在接口上开启了IPV6功能
Configure the IP Security (IPsec) securesocket application program interface (API) on OSPF for IPv6 in order to enable authentication andencryption.
配置OSPFV3的IPSEC设置,开启OSPFV3的认证和加密。
部署OSPFV3的限制
When running a dual-stack IP network with OSPF version2 for IPv4 and OSPF for IPv6, be careful when changing the defaults forcommands used to enable OSPF for IPv6. Changing these defaults may affect yourOSPF for IPv6 network, possibly adversely.
当运行一个OSPFV2和OSPFV3的双栈IP网络时,必须认真地考虑和修改OSPFV3的默认设置。改变这个默认的设置可能会影响你的OSPFV3网络。
Authentication is supported as of CiscoIOS Release 12.3(4)T.
认证属性在CISCO IOS12.3(4)T版本及以后版本中得到了支持
ESP authentication and encryption aresupported as of Cisco IOS Release 12.4(9)T.
ESP认证和加密属性在CISCO IOS 12.4(9)T版本及以后版本中得到了支持
A packet will be rejected on a router if the packet iscoming from an IPv6 address that is found on any interface on the same router.
当收到一个包时,如果该包源地址为本地路由器上某个IPV6接口的IPV6地址,则该包会被路由器拒绝。
比较OSPFV3和OSPFV2
Muchof the OSPF for IPv6 feature is the same as in OSPF version 2. OSPF version 3for IPv6, which is described in RFC 2740, expands on OSPF version 2 to providesupport for IPv6 routing prefixes and the larger size of IPv6 addresses.
大部分OSPFV3的属性和OSPFV2是一样的。RFC2740表述了扩展OSPFV2来支持IPV6路由前缀和IPV6地址
InOSPF for IPv6, a routing process does not need to be explicitly created.Enabling OSPF for IPv6 on an interface will cause a routing process, and itsassociated configuration, to be created.
在OSPFV3路由配置模式下,不需要明确建立一个路由进程。而是在接口模式下开启OSPFV3,来生成一个路由进程。
InOSPF for IPv6, each interface must be enabled using commands in interfaceconfiguration mode. This feature is different from OSPF version 2, in whichinterfaces are indirectly enabled using the router configuration mode.
在接口模式下开启OSPFV3功能。这个方法是有别于OSPFV2的,OSPFV2中是在路由模式下指定在哪些接口上开启OSPFV2。
Whenusing a nonbroadcast multiaccess (NBMA) interface in OSPF for IPv6, users mustmanually configure the router with the list of neighbors. Neighboring routersare identified by their router ID.
当在NBMA接口上启用OSPFV3时,用户必须手动配置邻居。所有邻居路由都用ROUTER ID来标记。
InIPv6, users can configure many address prefixes on an interface. In OSPF forIPv6, all address prefixes on an interface are included by default. Userscannot select some address prefixes to be imported into OSPF for IPv6; eitherall address prefixes on an interface are imported, or no address prefixes on aninterface are imported.
IPV6中,用户可以在一个接口上配置多个IPV6地址。在OSPFV3中,一个接口上的所有地址前缀都必须默认地参与OSPFV3,用户不能自行选择某些地址前缀参与到OSPFV3。一个接口上,要么所有的地址前缀都没参与OSPFV3,要么没有任何地址前缀参与OSPFV3。
UnlikeOSPF version 2, multiple instances of OSPF for IPv6 can be run on a link.
与OSPFV2不同的是OSPFV3在一个链路上可以有多个实例。
InOSPF for IPv6, it is possible that no IPv4 addresses will be configured on anyinterface. In this case,
theuser must use the router-id commandto configure a router ID before the OSPF process will be
started.A router ID is a 32-bit opaque number. OSPF version 2 takes advantage of the32-bit IPv4
addressto pick an IPv4 address as the router ID. If an IPv4 address does exist whenOSPF for IPv6 is
enabledon an interface, then that IPv4 address is used for the router ID. If more thanone IPv4 address
isavailable, a router ID is chosen using the same rules as for OSPF version 2.
在OSPFV3中,一个路由器上可能没有任何一个接口上配置了IPV4地址,在这种情况下,用户必须在激活OSPFV3进程前使用router-id命令来配置一个ROUTER ID来标记路由器。
OSPFautomatically prefers a loopback interface over any other kind, and it choosesthe highest IP
addressamong all loopback interfaces. If no loopback interfaces are present, thehighest IP address in
the router is chosen.You cannot tell OSPF to use any particular interface.
OSPF会优先自动选用IP地址最高的LOOPBACK接口的IP作为ROUTER ID。如果路由器上没有配置LOOPBACK端口,则选取物理接口上IP地址最高的接口IP作为ROUTER ID。你不能告诉OSPF使用任何指定接口上的IP作为ROUTER ID。
Router LSAs (Type 1)—Describes the linkstate and costs of a router’s links to the area. These LSAs are flooded withinan area only. The LSA indicates if the router is an Area Border Router (ABR) orAutonomous System Boundary Router (ASBR), and if it is one end of a virtuallink. Type 1 LSAs are also used to advertise stub networks. In OSPF for IPv6,these LSAs have no address information and are network-protocol-independent. InOSPF for IPv6, router interface information may be spread across multiplerouter LSAs. Receivers must concatenate all router LSAs originated by a givenrouter when running the SPF calculation.
路由器LSA 类型1-描述了区域内一台路由器链路的链路状态和开销,这些LSA只能在本区域内部泛洪。ABR、ASBR、虚拟链路某端的路由器都可以通过1类型LSA通告自己的角色。1类型LSA也能用来通告一个末梢网络。在OSPFV3中,这种LSA是不带有任何的地址前缀信息,并且由于源地址和目的地址采用的是IPV6链路本地地址,因此这种LSA具有网络协议独立性,即不需要依靠IPV6前缀网络工作正常,就可以通过IPV6链路本地地址完成泛洪。在OSPFV3中,某个路由接口信息可能被包含在多个路由器LSA中通告,为了准确进行路由选举,LSA的接收者必须收到所有路由器产生的1类型LSA后再运行SPF算法。
Network LSAs (Type 2)—Describes thelink-state and cost information for all routers attached to the network. ThisLSA is an aggregation of all the link-state and cost information in thenetwork. Only a designated router tracks this information and can generate anetwork LSA. In OSPF for IPv6, network LSAs have no address information and arenetwork-protocol-independent.
网络LSA 类型2-描述了连接在同一个LAN中所有路由器的链路状态和开销信息。这个LSA包含有一个LAN中所有链路状态和开销信息的集合。只有DR跟踪这个LSA并且能够产生这类LSA。在OSPFV3中,网络LSA是不包含任何地址前缀信息的,并且同样具有网络协议的独立性。
Interarea-prefix LSAs for ABRs (Type 3)—Advertisesinternal networks to routers in other areas (interarea routes). Type 3 LSAs mayrepresent a single network or a set of networks summarized into oneadvertisement. Only ABRs generate summary LSAs. In OSPF for IPv6, addresses forthese LSAs are expressed as prefix, prefix length instead of address, mask. Thedefault route is expressed as a prefix with length 0.
区域间前缀LSA 类型3-该类型LSA用来在区域间通告。3类型LSA描述了单个网段或者一个汇总后的网络。只有ABR路由器才能产生汇总LSA。在OSPFV3中,这些LSA中的地址信息被改称为前缀,掩码被改称为前缀长度。默认路由也被改写为一条长度为0的前缀,如::/0。
Interarea-router LSAs for ASBRs (Type4)—Advertise the location of an ASBR. Routers that are trying to reach anexternal network use these advertisements to determine the best path to thenext hop. ASBRs generate Type 4 LSAs.
区域间路由器LSA 类型4-通告一个ASBR路由器的地址。当路由器试图去往一个外部AS网络时,就会使用4类型的LSA来确定最佳路径到下一条。ASBR产生4类型LSA。
Autonomous system external LSAs (Type5)—Redistributes routes from another AS, usually from a different routingprotocol into OSPF. In OSPF for IPv6, addresses for these LSAs are expressed asprefix, prefix length instead of address, mask. The default route is expressedas a prefix with length 0.
AS外部LSA 类型5-通常从一个不同的路由协议重分发路由到OSPF协议中。在OSPFV3中,LSA携带的地址信息被改称为前缀,掩码改称为前缀长度。默认路由也被改写为一个长度为0的前缀,如::/0。
Link LSAs (Type 8)—Have local-linkflooding scope and are never flooded beyond the link with which they areassociated. Link LSAs provide the link-local address of the router to all otherrouters attached to the link, inform other routers attached to the link of alist of IPv6 prefixes to associate with the link, and allow the router toassert a collection of Options bits to associate with the network LSA that willbe originated for the link.
本地链路LSA 类型8-8类型LSA只会在本地链路范围内泛洪,并且不会泛洪到本地链路之外。本地链路LSA提供了连接在本地链路(一般为LAN)上的路由器的链路本地地址信息,通告其他路由器关于这个本地链路上的所有IPV6地址前缀信息,且维护本链路上的网络LSA的选项BIT。
Intra-Area-Prefix LSAs (Type 9)—A routercan originate multiple intra-area-prefix LSAs for each router or transitnetwork, each with a unique link-state ID. The link-state ID for each intra-area-prefixLSA describes its association to either the router LSA or the network LSA and containsprefixes for stub and transit networks.
区域内前缀LSA 类型9-每个路由器或者传输网络,路由器都能产生多个区域内部前缀LSA。每个LSA都有一个唯一的链路状态ID。每个LSA描述它所关联的路由器LSA或者网络LSA,且包含末梢网络和传输网络的前缀信息。
1. enable
2. configure terminal
3.ipv6 router ospf process-id //创建OSPFV3进程
4.area area-id range ipv6-prefix/prefix-length[advertise | not-advertise] [cost cost] //针对某个区域配置IPV6前缀汇总路由
5. interface type number
6. ipv6 ospf process-id area area-id[instance instance-id]//在接口模式下配置接口参与OSPFV3
7.ipv6 ospf authentication ipsec spi spimd5 [key-encryption-type {key | null}]//在接口级别上启用OSPFV3的AH认证
Or
ipv6 ospf encryption {ipsec spi spi espencryption-algorithm [[key-encryption-type] key] authentication-algorithm[key-encryption-type] key | null}//在接口级别上启用OSPFV3的ESP加密和认证
8.area area-id authentication ipsec spi spimd5 [key-encryption-type] key//可选,在路由器模式下针对区域级别配置OSPFV3的AH认证
9.area area-id encryption ipsec spi spi espencryption-algorithm [[key-encryption-type] key] authentication-algorithm[key-encryption-type] key//可选,在路由器模式下针对区域级别配置OSPFV3的ESP加密和认证
10.area area-id virtual-link router-idauthentication ipsec spi spi authentication-algorithm [key-encryption-type] key//配置虚链路的AH认证
11. area area-id virtual-link router-idencryption ipsec spi spi esp encryption-algorithm [[key-encryption-type] key]authentication-algorithm [key-encryption-type] key//配置虚链路的ESP加密和认证
本文出自 “技术资料” 博客,请务必保留此出处http://bozong.blog.51cto.com/8486668/1411757
原文地址:http://bozong.blog.51cto.com/8486668/1411757
