移动IP技术 第七讲 移动IPv6协议

第七讲：移动第七讲：移动IPv6IPv6协议协议 本讲内容本讲内容移动移动IP技术技术3 1移动移动IPv6的报文格式的报文格式2网络安全入门网络安全入门IPv6 HeaderNext =TCPTCP HeaderApplication DataIPv6 HeaderNext =RoutingTCP HeaderRouting HdrNext =TCPApplication Data基本报头基本报头扩展报头扩展报头1报文报文扩展报头扩展报头n1.1 IPv6的报头格式的报头格式IPv6 HeaderNext =SecurityTCP HeaderSecurity HdrNext =FragFragment HdrNext =TCPDataFrag031VersionTraffic ClassFlow LabelPayload LengthNext HeaderHop Limit128 bit Source Address128 bit Destination Address4122416版本号业务类型流标签净荷长度下一报头跳数限制源地址目的地址1.1 IPv6的报头格式的报头格式Next header:紧接着的扩展头类型1.1.1 IPv6的扩展头的扩展头 扩展头(按照它在IPV6包中的顺序)包括:0：逐跳选项头逐跳选项头(Hop-by-Hop Options header)60：目的选项头：目的选项头(Destination Options Header)43：路由头：路由头(Routing Header)44：分段头：分段头(Fragment header)51：认证头：认证头(Authentication header)50：ESP头头(Encapsulating Security Payload Header)60：目的选项头：目的选项头(Destination Options header)*xx:上层协议头上层协议头(Upper-layer Header)4：IPv4 6：TCP 17：UDP 41：IPv6 58：ICMPv6 59：没有扩展头：没有扩展头1.1.1 IPv6的扩展头的扩展头135：移动头：移动头(Mobile header)1.2 移动移动IPv6中的报文中的报文移动头承载移动消息2类路由头CN用来指示MN家乡地址家乡地址目的地选项MN指示家乡地址新ICMPv6消息扩展移动IP功能移动IP路由通告通告路由器对移动性支持移动IPv6的消息类型作用：1、通告MN当前可达的路由器2、通告MN如何配置自己的IP地址3、H(Home Agent)：该路由器可作为该链路 上的家乡代理家乡代理路由通告（ND）1.2.1 移动检测过程中的报文移动检测过程中的报文我在哪？路由通告路由通告基本功能基本功能 1.2.2 移动移动IPv6地址配置地址配置M M：确定主机的地址配置方式，决定是否更新地 址生命期信息 0通过无状态方式配置地址 1通过全状态方式配置地址及其他配置信息01通过全状态方式配置地址及 其他配置信息10无效。继续使用全状态方式配置地址通过M位和O位的设置确定MN地址配置机制：O：0通过无状态方式配置其它信息 1通过全状态方式配置除地址外的其他配 置信息（M位为0）01通过全状态方式配置除地址外的其他配 置信息（M位为0）10无效。继续使用全状态方式 1.2.2 移动移动IPv6地址配置地址配置可分配的地址类型：link_local（只能无状态分配）site_local（已废除）global无状态地址自动配置方式 地址生成过程：1）主机生成子网中可唯一识别的接口标识符 2）路由器通告可识别子网链路的前缀前缀选项 3）IPv6地址=通告前缀+接口标识符 4）重复地址检测(DAD)1.2.2 移动移动IPv6地址配置地址配置全状态地址自动配置方式全状态地址自动配置方式(DHCPv6)(DHCPv6)四条消息方式两条消息方式通告间隔选项用于家乡代理路由通告消息，通告本链路非请求的路由通告间隔时间，主要用于移动检测算法Type(8bit)：7 Reserved(16bit)：保留；Length(8bit)：1（以8字节为单位）Advertisement interval(32bit)：通告间隔时间1.2.3 移动移动IP路由通告选项路由通告选项Type(8bit)：8 Reserved(16bit)：保留；Length(8bit)：1（以8字节为单位）Home Agent Preference(16bit)：值大的优先级高Home Agent Lifetime(16bit)：以秒为单位不许用0家乡代理信息选项作为HA的路由器在路由通告中携带该选项，同于通告HA的功能1.2.3 移动移动IP路由通告选项路由通告选项R：设置该位说明prefix域中给出的是一个完整的发送路由器的IP地址，前缀由前缀长度定义。前缀信息选项作为HA的路由器在路由通告中至少包括一个前缀信息选项，同于通告HA的前缀1.2.3 移动移动IP路由通告选项路由通告选项关于路由通告的频率支持移动IPv6的R应配置接口发送路由通告的频率，以确保MN快速判断移动性允许值：min 0.03s max 0.07s 一般设为 0.05s某些无线接入的网络可通过下层协议探测移动性和链路变化，不需要定期路由通告1.2.4 移动移动IP路由通告说明路由通告说明1.3 注册过程中的报文注册过程中的报文移动头承载移动消息的扩展头由前一头部的next header域135表示；必须是最后一个IP扩展头；用于MN、HA、CN交换移动IPv6协议消息报文不能与2类路由头同时使用不能与家乡地址目的地选项同时使用Payload proto(8bit):下一协议域，必须为59Header len(8bit):（以8字节为单位）MH type(8bit):移动消息类型（8种）Reserved(8bit):保留位Checksum(16bit):校验和（采用伪首部校验和）Massage(8bit):消息内容（包括移动选项）1.3.1 移动头报文格式移动头报文格式1.3.1.1 IPv6中的伪首部校验中的伪首部校验IPv6伪首部结构1.3.1.1 IPv6中的伪首部校验中的伪首部校验Source address(128bit)：IPv6头中的源地址Destination address(128bit)：IPv6头中的目的地址Upper-layer packet lengtn(32bit)：上层包长度Next header(8bit)：采用伪首部校验的协议头 TCP-6 ICMP-58 UDP-17 MIPv6-2说明：1.3.1.1 IPv6中的伪首部校验中的伪首部校验IPv6伪首部校验和计算方法1、将上层协议头中的校验和置为02、伪首部、上层协议头、协议数据连在一 起并添加零组成长度为16整数倍的报文，然后分成16比特的段，取各个段的反码进行异或运算并求和的反码，即为校验和填入上层协议头中3、伪首部仅用来计算校验和，并不随报文一起传输，真正传输的报文是IP包1.3.1.2 移动移动IPv6中的伪首部校验中的伪首部校验 伪首部中源/目的IP地址使用IP头中的源/目 的IP地址 当移动节点离开家乡链路，如果移动消息 带有家乡地址目的地选项，则伪首部头中 用家乡地址作为源IP地址 上层包长度是整个移动头的长度(包括移动 消息和选项)Next header域值为21.3.2 移动移动IPv6消息类型消息类型0：绑定更新请求(Binding Refresh Request)1：家乡测试初始(Home Test Init)2：转交测试初始(Care-of Test Init)3：家乡测试(Home Test)4：转交测试(Care-of Test)5：绑定更新(Binding Update)6：绑定确认(Binding Acknowledgement)7：绑定错误(Binding Error)MH type(8bit):移动消息类型（8种）：移动头中 MH Type=5表示BU消息MNCN，MNHA，通告MN最新的转交地址该消息中，必须带家乡地址目的地选项1.3.2.1 绑定更新消息绑定更新消息(BU)通告我的位置是xxxxA：请求绑定确认位;H：家乡注册位；L：Link-local地址兼容位；K：该位仅在发到HA的BU中有效，清0说明 需重新运行IPsec安全联盟Sequence#：发送的BU序号；Reserved：保留；Lifetime：以4秒为单位，指示绑定期；说明：1.3.2.1 绑定更新消息绑定更新消息(BU)绑定授权数据选项（发给绑定授权数据选项（发给CN的的BU中是必选中是必选项）项）Nonce Indices选项（仅在发给选项（仅在发给CN的的BU中，中，与上一选项同出）与上一选项同出）Alternate Care-of Address选项（源地址或选项（源地址或选项选其一）选项选其一）若无选项，必须加若无选项，必须加4字节填充，使移动头中字节填充，使移动头中header len=1选项说明：选项说明：1.3.2.1 绑定更新消息绑定更新消息(BU)移动头中 MH Type=6表示BA消息；CNMN,HAMN,接收到BU的确认；1.3.2.2 绑定确认消息绑定确认消息(BA)Status：小于128接受，大于等于128拒绝；K：清0表示需重新运行Ipsec安全联盟Reserved：保留Sequence#：从BU中拷贝的序号Lifetime：指示绑定缓存中应该维持的时间；说明：1.3.2.2 绑定确认消息绑定确认消息(BA)绑定授权数据选项绑定刷新建议选项若无选项，需填充4字节使移动头中header len=1。选项说明：1.3.2.2 绑定确认消息绑定确认消息(BA)0 Binding Update accepted 1 Accepted but prefix discovery necessary128 Reason unspecified129 Administratively prohibited130 Insufficient resources131 Home registration not supported132 Not home subnetBA指示的状态：1.3.2.2 绑定确认消息绑定确认消息(BA)133 Not home agent for this mobile node134 Duplicate Address Detection failed135 Sequence number out of window136 Expired home nonce index137 Expired care-of nonce index138 Expired nonces139 Registration type change disallowedBA指示的状态：1.3.2.2 绑定确认消息绑定确认消息(BA)1.3.2.3 家乡测试初始消息家乡测试初始消息(HoTI)移动头中 MH Type=1表示HoTI消息；MNCN；MN用来初始化“返回路径可达测试”通过HA与MN之间的隧道发送，由IPsec ESP隧道模式实现。Reserved：保留；Home init cookie：64位随机值；选项：可扩展，目前没有若无选项，移动头中header len=1;说明：1.3.2.3 家乡测试初始消息家乡测试初始消息(HoTI)移动头中 MH Type=2表示CoTI消息；MNCN；MN用来初始化“返回路径可达测试”，向CN请求Care-of keygen token；1.3.2.4 转交测试初始消息转交测试初始消息(CoTI)Reserved：保留；Care-of init cookie：64位随机数；选项：可扩展，目前没有若无选项，移动头中header len=1;说明：1.3.2.4 转交测试初始消息转交测试初始消息(CoTI)1.3.2.5 家乡测试消息家乡测试消息(HoT)移动头中 MH Type=3表示HoT消息；CNMN，是对HoTI消息的响应消息；注：需要经过HA的处理Home Nonce Index：MN在BU消息中返回Home Init Cookie：HoTI消息中的64位CookieHome Keygen Token：64位令牌选项：可扩展，目前无选项无选项时移动头中header len=2说明：1.3.2.5 家乡测试消息家乡测试消息(HoT)1.3.2.6 转交测试消息转交测试消息(CoT)移动头中 MH Type=4表示CoT消息；CNMN，是对CoTI消息的响应消息；Care-of Nonce Index：MN在BU消息中返回Care-of Init Cookie：64位CookieCare-of Keygen Token：64位令牌选项：可扩展，目前无选项无选项时移动头中header len=2说明：1.3.2.6 转交测试消息转交测试消息(CoT)1.3.2.7 绑定错误消息绑定错误消息(BE)移动头中 MH Type=7表示BE消息只有CN发送的消息，向MN报告错误Status：错误原因 1 家乡地址目的地选项无对应绑定 2 无效的MH Type类型Reserved：保留；Home address：选项中的家乡地址；选项：可扩展，目前无选项无选项时移动头中的header len=2；说明：1.3.2.7 绑定错误消息绑定错误消息(BE)1.3.2.8 绑定更新请求消息绑定更新请求消息(BRR)移动头中 MH Type=0表示BRR消息CNMN(always)发送给MN的家乡地址用于向MN请求更新CN的移动绑定Reserved：保留；选项：可扩展，目前没有无选项时移动头中header len=0说明：1.3.2.8 绑定更新请求消息绑定更新请求消息(BRR)1.3.3 路由头路由头 由前一个扩展头中Next header=43表示路由头格式8bit8bit32bit8bit8bitNext header(8bit)：遵循IPv6扩展头编码Hdr Ext Len(8bit)：8字节为单位路由头类型(8bit)：标识不同类型的路由头，移动IP中使用2Segments Left：路由中还没有访问的节点1.3.3 路由头路由头说明：0类路由头(type 0 Routing Header):1.3.3.1 0类路由头类路由头地址列表就是该报文途经的中间节点源节点的目的地址是第一个中间节点地址数据包每经过一个中间节点，都由该节点提取路由头中的下一个中间节点地址，将其替换到IPv6包的目的地址列表中的最后一个地址就是最终节点的地址含有0类型路由头的IPv6包说明：1.3.3.1 0类路由头类路由头2类路由头(type 2 routing header)1.3.3.2 2类路由头类路由头Hdr Ext Len：2Routing Type：2Segment Left：1Reserved：保留Home address：MN的家乡地址说明：1.3.3.2 2类路由头类路由头CN将MN的转交地址作为优化路由分组的目的IP时使用，在HA的移动前缀通告中使用将MN的家乡地址放在2类路由头中；2类路由头按照IPv6扩展头顺序排列，若与0类路由头同时出现，跟在0类路由头后面2类型路由头说明：1.3.3.2 2类路由头类路由头目的地选项头由前一个扩展头中next header=60表示家乡地址选项家乡地址选项type=201=0 xC9 length=161.3.4 家乡地址目的地选项家乡地址目的地选项1.3.5 移动移动IPv6消息的使用消息的使用InternetInternet家乡代理家乡代理(HA)(HA)移动节点移动节点(MN)(MN)通信节点通信节点(CN)(CN)网络前缀网络前缀:2002:0/642002:0/64网络前缀网络前缀:2001:0/642001:0/6412网络前缀网络前缀:2005:0/642005:0/64家乡地址家乡地址:2002:14/64:2002:14/64家乡家乡代理代理路由路由通告通告路由路由通告通告转交地址转交地址:2005:25/64:2005:25/64我在哪我在哪绑定更新消息绑定更新消息(BU)(BU)绑定确认消息绑定确认消息(BA)(BA)绑定表2002:142005:25家乡地址转交地址 生命期50转交测试初始转交测试初始消息消息(CoTICoTI)家乡测试初始消息家乡测试初始消息(HoTIHoTI)家乡测试消息家乡测试消息(HoTHoT)家乡测试初始家乡测试初始消息消息(HoTIHoTI)转交测试转交测试消息消息(CoTCoT)家乡测试家乡测试消息消息(HoTHoT)绑定更新绑定更新消息消息(BU)(BU)绑定更新绑定更新消息消息(BRR)(BRR)绑定缓存表2002:142005:25家乡地址转交地址 生命期50带有带有2 2类路由头类路由头的数据包的数据包带有家乡目的地带有家乡目的地选项的数据包选项的数据包1010绑定确认消息绑定确认消息(BA)(BA)或绑定错误消息或绑定错误消息(BE)(BE)HA11.4.0 家乡代理地址发现家乡代理地址发现MNHA2HA3谁是我的家乡代理？ICMP家乡代理地址发现请求消息ICMP家乡代理地址发现响应消息ICMP移动前缀请求消息ICMP移动前缀通告消息1.4 新新ICMPv6消息消息MN HA；用于初始化动态家乡代理地址发现机制源IP地址：MN当前的转交地址目的IP地址：移动IPv6家乡代理任播地址(根据家乡地址生成)发送该消息的MN当前没有在HA注册。1.4.1 家乡代理地址发现请求消息家乡代理地址发现请求消息Type：144Code：0Chechsum：ICMP校验和Identifier：用于请求和响应消息的匹配Reserved：保留说明：1.4.1 家乡代理地址发现请求消息家乡代理地址发现请求消息HAMNHA响应MN的代理地址发现请求HA地址列表长度（HA地址数）由IP包的剩余长度决定1.4.2 家乡代理地址发现响应消息家乡代理地址发现响应消息Type：145Code：0Checksum：ICMP校验和Identifier：用于请求和响应消息的匹配Reserved：保留；Home Agent Address：HA地址（可有多个）说明：1.4.2 家乡代理地址发现响应消息家乡代理地址发现响应消息 1.4.3 任播地址任播地址(RFC 2526)定义：定义：被分配给一个或者多个网络接口的IPv6地址，发给这个IPv6地址的分组会按照地址距离量协议传到所有具有这个IPv6地址的网络接口中最近最近的一个组成：MN家乡地址64bit子网前缀+EUI-64格式的接口标识符 1.4.3.1移动移动IPv6家乡代理任播地址家乡代理任播地址64位的接口标识符格式如下：MNHA，请求家乡链路前缀信息 源IP地址：MN的转交地址 目的IP地址：HA的地址 Hop Limit域与普通IP包一样 必须包括家乡地址目的地选项 必须支持ESP1.4.4 移动前缀请求消息移动前缀请求消息Type：146Code：0Checksum：ICMP校验和Identifier：用来响应消息的匹配Reseved：保留说明：1.4.4 移动前缀请求消息移动前缀请求消息HAMN，向离开家乡链路的MN通告家乡链路的前缀信息；可作为移动前缀请求消息的响应，也可根据HA的策略向注册的MN发送；1.4.5 移动前缀通告消息移动前缀通告消息源IP地址：MN希望的HA地址目的IP地址：1)响应消息请求消息源地址 2)非响应消息MN的转交地址必须用2类路由头必须支持IPsec ESP1.4.5 移动前缀通告消息移动前缀通告消息Type：147 M、O:与路由通告中的M、O位意义相同Code：0 Reserved：保留；Chechsum：ICMP校验和 Options：选项（前缀信息选项）Identifier：用于于请求消息匹配说明：1.4.5 移动前缀通告消息移动前缀通告消息Type通告范围：移动前缀通告可向本链路以外发送；路由通告只限于本链路移动前缀通告全部是单播包；路由通告是单播或组播包移动前缀通告的源IP地址是HA的global地址；路由通告的源IP地址是link-local地址1.4.6 移动前缀通告与路由通告的比较移动前缀通告与路由通告的比较 本讲内容本讲内容移动移动IP技术技术3 1移动移动IPv6的报文格式的报文格式2网络安全入门网络安全入门 安全的基本概念因特网中使用的安全协议防火墙2 网络安全入门网络安全入门 机密性(Confidentiality)认证(Authentication)完整性检查(Integrity Checking)不可抵赖(Non-Repudiation)2.1 安全的基本概念安全的基本概念计算机网络中所指的安全是指保护计算机、网络资源以及信息不受非授权访问、修改和破坏的科学，通常包含四个有关的话题：用以实现上述安全特性的技术称为密码学机密性2.1 安全的基本概念安全的基本概念AB2.1 安全的基本概念安全的基本概念认证1.秘密密钥加密认证2.使用秘密密钥和消息摘要的认证和完整性检查完整性检查认证重发保护2.1 安全的基本概念安全的基本概念 安全的基本概念因特网中使用的安全协议防火墙2 网络安全入门网络安全入门 2.2 因特网中使用的安全协议因特网中使用的安全协议解决移动性引入（尤其是移动IP协议）所带来的安全问题的相关协议：IP认证头（AH）IP封装安全净荷（ESP）SSH和SCP SSL和S_HTTPIP认证头（IP Authentication Header）提供IP报头和净荷的认证、完整性检查，可能还有不可抵赖，用以认证发送者、保护整个数据包不会被篡改。但是，认证头无法提供数据加密2.2 因特网中使用的安全协议因特网中使用的安全协议IP封装安全净荷提供了IP包净荷的机密性、认证和完整性检查。它的使用方法与AH相仿，位于IP报头和上层报头之间或者在隧道方式下两个IP报头之间。2.2 因特网中使用的安全协议因特网中使用的安全协议 安全的基本概念因特网中使用的安全协议防火墙2 网络安全入门网络安全入门2.3 防火墙防火墙防火墙是一个或一组设备，将受信任的专用网与不受信任的公共网(例如因特网)隔离开来，以保护专网不受“坏家伙”的入侵，同时又不阻止内部用户与外部用户交流信息。三种主要类型2.3 防火墙防火墙包过滤路由器应用层中继安全隧道访问控制列表访问控制列表 转发所有内部机器发起连接所属的数据包 转发所有外部机器发起的电子邮件连接所属的数据包 转发所有域名服务的消息 丢弃所有其他数据包运行速度快、不依赖应用、便宜很难正确配置、不支持常用安全策略可支持复杂高级安全策略、容易配置比包过滤路由器慢、要支持所有应用允许授权用户“随意”使用专用网