2019年,IPv6进入了第二阶段,预期到2020年末,IPv6流量必须要占据50%,新增网络不再使用IPv4,排名靠前的互联网应用、企事业单位、运营商的固定和移动网络全部要支持IPv6商用。IPv6协议不是对IPv4协议的简单扩展,也不能做拿来主义直接去用,IPv6也要面对一些新问题的出现,所以IPv6自己也要不断做创新。由此,不少新的IPv6技术随之而来,这些技术完全为IPv6技术量身定做,打着深深的IPv6技术的烙印。下面,我们就来介绍几个当前比较火的IPv6技术。
SRV6技术
Segment Routing(SR)技术是由Cisco提出的源路由机制,旨在IP和MPLS网络引入可控的标签分配,为网络提供高级流量引导能力,简化网络。SR有两种方法,一种是基于MPLS的Segment Routing(SR-MPLS),另一种是基于IPv6的Segment Routing(SRv6)。SRv6是IPv6与SR技术的结合,依靠IPv6地址的灵活性,通过IPv6报文的扩展支持隧道功能,从而取消了MPLS转发承载技术,将普通IP转发和隧道转发统一,简化网络。SRv6使用嵌入在IPv6数据包中的SRH(Segment Routing Header),支持SRH节点读取报头、更新指针、交换目标地址并转发,这是一种基于IPv6网络的SR技术,目前仍是IETF的草案。
SRv6从2017年开始启动标准化进程,短短一年半,已有超50个的草案,覆盖组网的各个方面,可见大家对SRv6技术的热情程度。不过,SRv6对ASIC提出了一些特殊要求,SRv6节点必须沿SR路径执行多个 *** 作,包括读取SRH,将IPv6目标字段重写到路径中的下一个节点,更新指针以及执行特定于节点的 *** 作,目前我们还没有看到支持SRv6的网络设备出现,仍是处于技术研讨阶段,相信在后面的ASIC中会添加支持SRv6。在软件中,Linux内核通过SREXT内核模块支持内核版本410的SRv6,开源FDio项目也支持SRv6。SRv6实质上是SR在IPv6中的落地,鉴于IPv6本身协议应用还没有IPv4普及,所以当前SR-MPLS更实际一些,而且SR-MPLS不需要任何特殊ASIC要求,仅需要特定的SR-MPLS控制平面软件,不影响ASIC转发数据包能力,已有实际应用落地。
DIP(Deterministic IP)技术
在IPv6包头中唯一新增的Flow Label字段,为基于流差异化服务提供了更方便的网络层识别方式,使得路由器对流的识别不再依赖传统的五元组,可以在不解析TCP/UDP四层传输层包头的条件下,实现对流的精准识别,并匹配相应的流转发策略。
IP协议最初的“尽力而为(Best Effort)”已满足不了新应用场景中差异化服务的需求,确定性服务最早在IETF DetNet工作组被提出来,旨在为数据流提供确定性低时延及低抖动的IP层转发,并孵化出DIP(Deterministic IP)技术,DIP能够通过确定性的报文调度和核心无状态的网络架构,同时实现三层大网端到端时延确定性和大规模可扩展性,使得在IP网络可以为高优先级别的流提供确定性的转发服务。所谓确定性服务指的是服务选择中QoS信息往往具有不确定性,通过一些技术处理达到相对的确定,以便更好地进行流量调度。DIP技术不仅在流量调度上可以大显身手,在IP溯源技术上也有建树。DIP利用确定包标记溯源法,记录边界路由器IP包,可获得相应入口地址和攻击源所在子网,这种溯源方法简单高效。
Multi-homing技术
Multi-homing多宿主技术是一种重要的网络服务方式,具有提高网络可靠性、实现均衡复杂、增加网络带宽、保证传输层存活性等优点。Multi-homing并不是IPv6的一个新概念,但在多宿主环境中部署IPv6,还是会遇到不少新问题。IPv6的自动配置功能,采用格式正确的ICMPv6路由器公告(RA),会引起设备安装传送路由器的默认路由,当不止一个路由器发送这样的数据包时,问题就会出现。虽然两个路由器发送这种格式正确数据包的可能性微乎其微,可是在测试网络中,路由器公告很容易溜出去、跑到生产环境上,或者是跑到不同的测试网络上,从而造成严重破坏。
Multi-homing问题会导致流量似乎丢失或从来没有被发送。区别在于,它时而行,时而不行,似乎是间歇性的。这归因于计时器或生命周期的不同,让设备有一个“恢复”期间,它在这段期间似乎会正常运行。在IPv6中,可以通过路由策略、主机中心策略和网关策略来解决Multi-homing问题。路由策略使用BGP的IPv6多宿主或者“隧道”机制的IPv6多宿主和ISP之间协商的多宿主实现。主机中心策略是通过主机来实现链路容错性和均衡复杂能力的,由主机对源地址和目的地址进行选择,选择不同的源地址相当于选择了不同的ISP。网关策略在多宿主站点和上游ISP网络之间使用一个网关,对源地址的转换达到多宿主的目的。Multi-homing技术不是IPv6特有,IPv4网络中就存在了,不过Multi-homing在IPv6部署时会遇到新问题,因而基于IPv6的Multi-homing出现了各种应对策略。
除了以上三种,IPv6还有Mobile IP,VXLAN over IPv6等一系列新的技术,很多都处于标准草案阶段,大家对IETF RFC草案标准贡献也比较活跃。现在的IPv6网络部署仍处于初级阶段,随着IPv6网络的普及,这些新技术迎来了实践的机会,相信还会不断有新的技术加入进来。从IPv4到IPv6,不仅仅是简单的地址长度增加,借助于这次网络变革,IPv6也设计了许多解决以往网络顽疾的新技术,寄希望在IPv6网络到来之时,顺便解决掉。从IPv4到IPv6的进化过程已不可逆转,有一大推的网络问题等待IPv6技术去解决。目前对sdnipv6物联网技术感兴趣。IPv6技术运用到物联网当中,使得物联网内的每一个物品都被赋予了一个IPv6地址,实现对于物品的实时追踪和溯源。从IPv4时代向IPv6时代过渡。尽管IPv4中常见的攻击方式将在IPv6网络中失效,使来自网络层的一些安全攻击得以抑制,但采用IPv6并不意味着关紧了安全的大门,来自应用层的威胁将以新的方式出现。 总有人误认为“网络改成IPv6,安全问题就全面解决了”。诚然,IPv4中常见的一些攻击方式将在IPv6网络中失效,例如网络侦察、报头攻击、碎片攻击、假冒地址及蠕虫病毒等,但IPv6不仅不可能彻底解决所有安全问题,反而还会产生新的安全问题。
虽然与IPv4相比,IPv6在网络保密性、完整性方面做了更好的改进,在可控性和抗否认性方面有了新的保证,但目前多数网络攻击和威胁来自应用层而非网络层。因此,保护网络安全与信息安全,只靠一两项技术并不能实现,还需配合多种手段,诸如认证体系、加密体系、密钥分发体系、可信计算体系等。
安全新问题如影随形
IPv6是新的协议,在其发展过程中必定会产生一些新的安全问题,主要包括:
● 针对IPv6的网管设备和网管软件都不太成熟。
IPv6的管理可借鉴IPv4。但对于一些网管技术,如SNMP(简单网络管理)等,不管是移植还是重建,其安全性都必须从本质上有所提高。由于目前针对IPv6的网管都不太成熟,因此缺乏对IPv6网络进行监测和管理的手段,对大范围的网络故障定位和性能分析的能力还有待提高。
● IPv6中同样需要防火墙、、IDS(入侵检测系统)、漏洞扫描、网络过滤、防病毒网关等网络安全设备。
事实上,IPv6环境下的病毒已经出现。例如,有研究人员在IPv6中发现了一处安全漏洞,可能导致用户遭受拒绝服务攻击。据悉,该漏洞存在于IPv6的type 0路由头(RH0)特征中。某些系统在处理IPv6 type 0路由头时存在拒绝服务漏洞。
● IPv6协议仍需在实践中完善。
IPv6组播功能仅仅规定了简单的认证功能,所以还难以实现严格的用户限制功能。移动IPv6(Mobile IPv6)也存在很多新的安全挑战,目前移动IPv6可能遭受的攻击主要包括拒绝服务攻击、重放攻击以及信息窃取攻击。另外,DHCP( Dynamic Host Configuration Protocol,动态主机配置协议)必须经过升级才可以支持IPv6地址,DHCPv6仍然处于研究、制订之中。
●向IPv6迁移过程中可能出现漏洞。
目前安全人员已经发现从IPv4向 IPv6转移时出现的一些安全漏洞,例如黑客可以非法访问采用了IPv4和IPv6两种协议的LAN网络资源,攻击者可以通过安装了双栈的IPv6主机建立由IPv6到IPv4的隧道,从而绕过防火墙对IPv4进行攻击。
IPv6协议在网络安全上的改进
● IP安全协议(IPSec)技术
IP安全协议(IPSec)是IPv4的一个可选扩展协议,而在IPv6中则是一个必备的组成部分。IPSec协议可以“无缝”地为IP提供安全特性,如提供访问控制、数据源的身份验证、数据完整性检查、机密性保证,以及抗重播(Replay)攻击等。
IPSec通过三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。
(1)验证:通过认证可以确定所接受的数据与所发送的数据是否一致,同时可以确定申请发送者在实际上是真实发送者,而不是伪装的。
(2)数据完整验证:通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。
(3)保密:使相应的接收者能获取发送的真正内容,而无关的接收者无法获知数据的真正内容。
需要指出的是,虽然IPSec能够防止多种攻击,但无法抵御Sniffer、DoS攻击、洪水(Flood)攻击和应用层攻击。IPSec作为一个网络层协议,只能负责其下层的网络安全,不能对其上层如Web、E-mail及FTP等应用的安全负责。
●灵活的扩展报头
一个完整的IPv6数据包包括多种扩展报头,例如逐个路程段选项报头、目的选项报头、路由报头、分段报头、身份认证报头、有效载荷安全封装报头、最终目的报头等。这些扩展报头不仅为IPv6扩展应用领域奠定了基础,同时也为安全性提供了保障。
比较IPv4和Ipv6的报头可以发现,IPv6报头采用基本报头+扩展报头链组成的形式,这种设计可以更方便地增添选项,以达到改善网络性能、增强安全性或添加新功能的目的。
IPv6基本报头被固定为40bit,使路由器可以加快对数据包的处理速度,网络转发效率得以提高,从而改善网络的整体吞吐量,使信息传输更加快速。
IPv6基本报头中去掉了IPv4报头中的部分字段,其中段偏移选项和填充字段被放到IPv6扩展报头中进行处理。
去掉报头校验(Header Checksum,中间路由器不再进行数据包校验)的原因有三: 一是因为大部分链路层已经对数据包进行了校验和纠错控制,链路层的可靠保证使得网络层不必再进行报头校验; 二是端到端的传输层协议也有校验功能以发现错包; 三是报头校验需随着TTL值的变化在每一跳重新进行计算,增加包传送的时延。
●地址分配与源地址检查
地址分配与源地址检查在IPv6的地址概念中,有了本地子网(Link-local)地址和本地网络(Site-local)地址的概念。从安全角度来说,这样的地址分配为网络管理员强化网络安全管理提供了方便。若某主机仅需要和一个子网内的其他主机建立联系,网络管理员可以只给该主机分配一个本地子网地址;若某服务器只为内部网用户提供访问服务,那么就可以只给这台服务器分配一个本地网络地址,而企业网外部的任何人都无法访问这些主机。
由于IPv6地址构造是可会聚的(aggregate-able)、层次化的地址结构,因此,IPv6接入路由器对用户进入时进行源地址检查,使得ISP可以验证其客户地址的合法性。
源路由检查出于安全性和多业务的考虑,允许核心路由器根据需要,开启反向路由检测功能,防止源路由篡改和攻击。
IPv6固有的对身份验证的支持,以及对数据完整性和数据机密性的支持和改进,使得IPv6增强了防止未授权访问的能力,更加适合于那些对敏感信息和资源有特别处理要求的应用。
通过端到端的安全保证,网络可以满足用户对安全性和移动性的要求。IPv6限制使用NAT(Network Address Translation,网络地址转换),允许所有的网络节点使用全球惟一的地址进行通信。每当建立一个IPv6的连接,系统都会在两端主机上对数据包进行 IPSec封装,中间路由器对有IPSec扩展头的IPv6数据包进行透明传输。通过对通信端的验证和对数据的加密保护,使得敏感数据可以在IPv6 网络上安全地传递,因此,无需针对特别的网络应用部署ALG(应用层网关),就可保证端到端的网络透明性,有利于提高网络服务速度。
●域名系统DNS
基于IPv6的DNS系统作为公共密钥基础设施(PKI)系统的基础,有助于抵御网上的身份伪装与偷窃。当采用可以提供认证和完整性安全特性的DNS安全扩展 (DNS Security Extensions)协议时,能进一步增强对DNS新的攻击方式的防护,例如网络钓鱼(Phishing)攻击、DNS中毒(DNS poisoning)攻击等,这些攻击会控制DNS服务器,将合法网站的IP地址篡改为假冒、恶意网站的IP地址。IPv6 是解决 IPv4 地址短缺问题的一种方法,但并不能完全解决这个问题。
IPv4 地址短缺是因为 IPv4 只有 43 亿个可用地址,而随着计算机、移动设备和物联网设备的不断增加,这些地址正在快速耗尽。
相比之下,IPv6 拥有更大的地址空间,共有 340 万亿亿亿个地址,因此可以在一定程度上解决地址短缺问题。
然而,尽管 IPv6 可以提供更多的地址,但仍然存在其他限制,如安全性、兼容性和网络设备支持等,因此单靠 IPv6 是不能完全解决地址危机的。
因此,解决地址危机的最佳方案是使用 IPv6 和其他技术,如私有 IP 地址、NAT 等,来共同解决这个问题。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)