IPv6 Address Autoconfiguration

作者:
Autoconfiguration仅适用于具有群播能力的interface(例如:Ethernet)。
IPv6定义2种方法来对每个interface个别自动配置参数: 一是利用server(例如DHCPv6)来进行配置, 此称为stateful autoconfiguration。另一是IPv6能够进行自我配置,此称为stateless autoconfiguration。这2种配置方法可任意单一或混合使用。除了host必须自行配置一个link-local地址以外,透过自动配置程序,每个interface可配置零到多个ULAUnique Local Address)地址以及零到多个Global地址。自动配置的程序如下:
Ø  首先用前缀FE80::/64和自行产生的Interface ID,合并形成link-local地址,并且利用DADDuplicate Address Detection)程序来确认创建的link-local地址在link上是唯一的识别ID,没跟其它interface的地址发生冲突。Link-local地址是interface初始化时自行创建的地址,它是最基本也是最重要的地址,没有它则无法顺利继续整个自动配置。当无法自动配置link-local地址时,只能手动完成配置。当DAD检测到地址冲突时,必须马上对系统提报错误信息。
Ø  利用routers发布的Router Advertisement messages来决定哪些信息需要自动配置(可配置参数:地址、MTUHop Limitdefault router以及route information等信息)。并且依据M bit域值及O bit域值决定是否利用stateful autoconfiguration来配置参数(可配置参数:地址和其它信息)。
Ø  如果link上没配置routerhost应该尝试stateful autoconfiguration来配置参数。

Ø  为了避免地址发生冲突,IPv6要求所有的配置到的unicast address必须通过DAD检测后才能以该地址的身份发送或接收封包。
Stateless autoconfiguration的特点是: host无需手动就能够自动配置参数。透过router发布的Router Advertisement messagehost可以配置到IPv6地址、default router的地址、Hop LimitMTU等信息。但是,无法自动配置服务器地址,例如DNS或其它servers。当需要配置其它参数时,必须使用stateful autoconfiguration
定义在DHCP options中的DNS server或其它参数等,如果将来被定义成RA messages可携带的options,则仍可以透过stateless autoconfiguration方式来获取这些参数值。
请注意!Stateless autoconfiguration仅适用于hosts。至于routers的配置方法,不在本书的讨论范围内。(Routers配置link-local address的方式与hosts相同。)







Address Renumbering(地址更换)

IPv6考虑到地址重新配置时(譬如:更换ISP),所有正在联机中的应用层不会受到影响。即使在地址切换过程中,用户不会遇到断线或断网的情况。其做法如下:
n   每个配置到的地址都有个使用寿命称为valid lifetime,表示该地址绑定在interface的有效时间。透过router重新发布Router Advertisement message,地址绑定的有效时间跟着刷新。
n   有效时间分为2个时段: preferreddeprecatedPreferred时段代表可任意使用这个地址建立联机。Deprecated时段代表该地址的有效时间即将过期,还可使用但不鼓励新联机使用。一旦有效时间过期,以此地址建立的联机将面临中断情形。
n   一般情况下,当某个地址进入deprecated时段时很可能是因为需要执行地址切换,此时会有另一个新分配到的地址在preferred时段。任何新建立的联机应该优先选择preferred阶段的地址。利用这样的机制,只要所有联机中的应用层在下线前仍在地址绑定的有效时间内,就能够达到不断线的目标。
n   RFC 2462要求router初始发布Router Advertisement messagePrefix Information optionvalid lifetime域值不得低于2小时。假设preferred时间设为30分钟,那么即使在地址切换过程中,所有已经存在的联机在90分钟内都不会有断线之虑。

Router Lifetime

IPv6也考虑到当router进入维护或更换router时,提供机制来避免断网,即达到24小时不断网的目标。其做法如下:
n  首先必须有2个或以上的router配置在同一link。网络管理者预先设定每个router的优先权及寿命,优先权(Default Router Preference字段)及寿命(Router Lifetime字段)会在router发布RA message时告知所有的hosts
n  透过router重新发布RA message,其优先权及寿命跟着刷新。每个host会将所有寿命未终的router记录在一个称为Default Router List的列表里,并且以优先权最高且可用的routerdefault router
n  default router的寿命终结或者host侦测到default router已经不可用时,host将自动依据router list的优先级寻找下一个可用的router且设为default router

Autoconfigured Address State

自动配置的地址可能处于以下几种状态:







u Tentative  刚配置到但尚未完成DAD检测的地址状态,Interface还不能以此地址的身份发送或接收封包。当通过DAD检测后,即进入Valid状态。
u Valid  通过DAD检测后的状态,host可以用这个地址的身份发送及接收封包。Valid状态包含PreferredDeprecated状态,地址的有效时间取自于Router Advertisement messagePrefix Information选项中的Valid Lifetime字段。
u Preferred  上层建立新联机时,优先选择的地址。地址的preferred 时间取自于Router Advertisement messagePrefix Information选项中的Preferred Lifetime字段。
u Deprecated  此状态的地址仍为有效地址,但不鼓励应用层用来建立新联机(除非没preferred状态的地址可用)。
u Invalid  该地址的有效时间已经过期。Host不能再以此地址的身份发送或接收封包。

Duplicate Address Detection

DAD检测的目的是防止不同的interface使用同一unicast address。不论透过stateless autoconfigurationstateful autoconfiguration或手动配置,当interface配置到地址时,必须先通过DAD检测后,才能以该地址的身份发送或接收封包。 DAD藉由发送Neighbor Solicitation message,在特定的时间内侦测是否已有其它interface使用该addressDAD的执行过程如下:
Ø  发送 Neighbor Solicitation Messages
在发送Neighbor Solicitation message之前,interface必须先加入all-node multicast address和该地址的solicited-node multicast address。前者能从接收到的Neighbor Advertisement messages中检测是否该地址已被其它interface使用。后者能从接收到的Neighbor Solicitation messages中检测是否有其它的interface正在执行DAD检测该地址。
发送的Neighbor Solicitation message内容如下:
IPv6 source address(::)
IPv6 dest address:检测地址的solicited-node multicast address
Target address 字段:检测地址
发送Neighbor Solicitation message后,在特定的时间内检查是否有符合以下Neighbor AdvertisementNeighbor Solicitation messages的特定内容。若有符合的message则代表此地址冲突,否则视DAD检测成功。
Ø  检查接收到的 Neighbor Advertisement Messages

target address域值为检测的地址,皆代表已经有其它interface使用此地址。
Ø  检查接收到的 Neighbor Solicitation Messages
       IP source address (::)target address域值为检测的地址时,代表有其它interface正在执行DAD检测此地址。
RFC 7527特别针对DAD算法做了改善。





參考文獻
RFC 4862  IPv6 Stateless Address Autoconfiguration

评论

发表评论

此博客中的热门博文

DHCPv6 简介

作者:
Dynamic Host Configuration Protocol for IPv6 (简称 DHCPv6 )可以使 DHCPv6 server 传递配置参数(例如 IPv6 地址)给 IPv6 nodes 。 DHCPv6 提供了可重复使用 IPv6 地址和附加参数自动配置的灵活性能力。相对于“ IPv6 Stateless Address Autoconfiguration ” (RFC 2462) , DHCPv6 是一种 stateful address autoconfiguration 。两者各自独立运作,也可以同时使用来自动配置参数。 透过 DHCPv6 server , DHCPv6 可以提供 nodes 自动分配 IP 地址以及其它参数,每个配置参数都是利用 option 方式来传递。 DHCP 可以透过新定义的 option 来扩展配置新的参数。 DHCPv6 概述 协议操作以及使用的地址 u   DHCPv6 属于应用层( Application Layer )通讯协议,使用 UDP ( Transport Layer )来交换 messages 。需要透过 DHCPv6 protocol 来获取 IP 地址或其它参数的 node 会以 client 的角色来向 DHCPv6 server 发出请求,而 DHCPv6 server 会依据 client 的相关讯息以及 server 自定的相关决策来配置 client 适当的参数值。 Client 使用 link-local 地址或其它地址来收送 DHCP messages 。 Server 使用保留的 link-scope multicast addres 即 All_DHCP_Relay_Agents_and_Servers  multicast address (ff02::1:2) 来接收 clients 发送的 messages , client 几乎都是使用此 multicast address 来发送 messages , 所以不需要另外配置 server 的 IP 地址。 u   为了能允许 client 发送 DHCP messages 到不在同一个 li...
阅读全文

IPv6 簡介以及地址介紹

作者:
IPv6 简介 I Pv6 ( IP 版本 6 )是互联网通讯协议( Internet Protocol ,简称 IP )的新版本,它被设计来取代 IPv4 ,并且针对当初设计 IPv4 时没有考虑到的问题做了以下改进: n   扩展地址空间   IPv6 将 IP 地址长度从 32 bits 扩展到 128 bits ,如此庞大的地址空间,除了确保 IP 地址不再有耗尽之虑,其主要目的是支持更多层的阶层式的路由架构,并且提供更简单的自动组态配置。在 multicast address 中新增“ scope ”字段来提升 multicast routing 的可扩展性。定义一个新的地址类型称为“ anycast address ”,用来发送封包到一个接收群组中路由最近的一个 node 。 n   简化 IP 表头格式   IPv6 删除了 IPv4 表头中不必要的字段,并且将选项字段移到扩展表头,降低 router 转送 IP 封包的处理时间。 n   支持更佳的扩充性   更改 IP 表头的某些选项, 使得 router 转送封包更有效率,并且提供未来更大的灵活度来引入新的选项或新的扩展表头。 n   提供更好的 QoS   在 IP 表头添加新的标签字段称为“ Flow Label ”,让封包发送者能要求特殊的流量处理,譬如 real-time 服务。 n   认证和保密功能   支持认证、数据完整性及保密性。 须知, IPv6 除了将完全取代 IPv4 以外,由于 IP 层版本的替换过程相当冗长艰巨,其设计者更希望 IPv6 是 IP 层的终极版本,未来不用再面临更换 IP 层版本的难题。至于 IPv6 是否能经得起考验,成为 IP 层的终极版本,只能有赖时间来证明。 专有术语 Address  地址,用来标示一个或一组 interfaces 。 Host (本机) 非 router 的 nodes 皆称为 host 。 Immediate Router  封包送达目的地所经过的 routers 。 Interface  node 连接到 link 的...
阅读全文

Neighbor Discovery 简介

作者:
IPv6 Neighbor Discovery (简称 ND )提供机制来解决邻近 nodes 之间相互作用的下列问题: Router Discovery   Hosts 如何查寻到连接在 link 上的 router ? Prefix Discovery   Hosts 如何得知哪些 prefix 是属于 link 上可直接传送的地址?( Nodes 利用 prefix 是否为 on-link 来决定直接传送封包或透过 router 传送封包到目的地。) Parameter Discovery   Nodes 如何得悉 link 的相关参数(例如: link MTU )或者 internet 参数(例如: Hop Limit 值)。 Address Autoconfiguration   提供机制来允许 hosts 对每个 interface 自动配置参数。例如: IPv6 地址、 on-link prefix 和 link MTU 等。 Address resolution   如何从邻近 nodes 的 IPv6 地址解析到其 link 层地址。 Next-hop determination   如何将欲传送的封包的目的地对应到 next-hop 地址?   对于非邻近( off-link )目的地址, Next-hop 地址是 router 的地址。对于邻近的( on-link )目的地址, next-hop 地址就是目的地址本身。 Neighbor Unreachability Detection   如何侦测邻近的 nodes 的可达性?对于不可达的 nodes ,可尝试用地址解析机制来确认是否还可达。此外,如果 link 上有 2 个以上的 routers ,还可以透过更换 default router 来解决邻近 router 不可达问题。 Duplicate Address Detection   node 如何确定它欲使用的地址是否已经被邻近的其它 node 使用了? ( 可避免地址冲突 ) Redirect (重新导向 )   当...
阅读全文

Multicast Listener Discovery (MLD) 简介

作者:
Multicast Listener Discovery (简称 MLD )是从 IGMPv2 ( Internet Group Management Protocol version 2 )衍生而来,目的是让 IPv6 router 有能力发现每个连接的 link 上的 multicast listener (聆听者),并且具体知道这些 listener 感兴趣的是哪些 multicast 地址,同时在每个 link 上建立个别的 multicast 列表。只要 multicast 列表发生变化, router 就会透过 Multicast Routing Protocol 与其它邻近的 routers 交换这些讯息,以确保 multicast 封包能适当地传送(或阻断)到 multicast listeners 连接的 link 。( Multicast Routing Protocol 不在本书的讨论范围内。) 《请注意》 Router 只需要知道 link 上哪些 multicast address 有 listener ,不需要知道 listener 的身份地址,也不需要知道有多少 listeners 。 MLD 是一个非对称的协议,它分别指定 multicast router 及 multicast listeners 个别的行为。 当 router 也扮演 listener 角色时, router 会同时执行协议的两个部分,包括自己两个角色间的讯息交换。 如果一个 router 有多个 interfaces 连接到同一个 link ,则只需要其中一个 interface 扮演 MLD 的 router 角色。另一方面,如果 listener 有多个 interfaces 连接到同一个 link ,则每个 interface 都必须扮演 MLD 的 listener 角色。 注 《须知》 每个 listener 可能落在 internet 上任何位置, multicast 封包的 listeners 越...
阅读全文

MLDv2 简介

作者:
MLDv2 乃从 IGMPv3 衍生而来,可兼容 MLDv1 。 MLDv2 涵盖 MLDv1 既有功能,除了指定欲聆听的 multicast 地址以外,并且增加 source list (来源地址列表)以及 filter mode 可过滤 multicast 封包的来源地址。 Filter mode 可设为 INCLUDE 或 EXCLUDE ,分别与 source list 组合形成白名单或者黑名单。白名单只接收 source list 中所指定的来源封包,其它都不接收。黑名单则除了不接收 source list 中所指定的来源封包,其它都接收。 MLDv2 协议概述 MLDv2 使 router 能够查询每个 link 上有哪些 multicast 封包和来源地址有 listener ,并且保持每个 multicast address 的 Listening state 。再透过 Multicast Routing Protocol ,与邻近的其它 routers 交换这些讯息,以确保 multicast 封包能适当地传送(或实时阻断)到所有 multicast listeners 连接的网段。 本章节不赘述 MLDv2 与 MLDv1 相同的部分。主要着重于如何建立及处理 Multicast Address Listening state : u   Listeners 如何建立 Listening state u   Querier 和 Listeners 如何交换 MLDv2 讯息 u   Routers 如何处理 Listener 发送的 report 以及建立 Listener state Listeners 如何建立 Listening State n   Listeners 系统中运行的应用程序透过特定的 service calls ,要求 IP 层接收或者停止接收指定的 multicast 封包。随着应用程序呼叫 service call ,会产生并且保持个别的 socket Listening state 。同时, Listener 必须依据每个 interface 的所有 socket Listening state ,计算并且保持个别的 interf...
阅读全文

Mobile IPv6 简介

作者:
《前言》 应用层以及 TCP ( Transmission Control Protocol )在建立联机后,必须始终使用原有的 IP 来源地址才可以保持既有的联机。只要 node 的 IP 地址发生变更,则必须重新建立联机。由于行动装置具有自由移动的特性,导致其 IP 地址在移动中可能跟着发生变化。为了让移动装置即使其 IP 发生变化,也能够保持既有的联机, RFC 6275 “ Mobility Support in IPv6 ”定义新的通信协议以及一些新的 options 来达到此目标。凡支援 Mobile IPv6 的 node 称为 Mobile Node 。 Mobile IPv6 protocol 允许 Mobile Node (简称 MN )在 internet 上移动时仍保持既有的通信联机以及 MN 的可达性( MN 可随时与其它 node 建立新联机,反之亦然。)。 不论 MN 因移动而切换连接到其它任何 link , MN 总是以它的 home address 为识别的 unicast 地址。当 MN 远离 home link 时,新连接的 link 所配置到的 IPv6 地址称为 care-of address (转交地址)。藉由 care-of address 来转交封包, MN 能始终以 home address 的身份维持通信。当 MN 从 home link 切换到别的 link 或从别的 link 切换到另一个 link 时, 就会将目前连接的 link 所配置到的 care-of address 以及其 home address 向 home agent 登记,此登记动作称为 home registration 。此时, Home agent 将代理 MN 的 home address 角色,同时与 MN 登记的 care-of address 互相建立 tunnel 。此后,任何目的地址为 MN 的 home address 的封包将被 home agent 拦截,且透过 tunneling 机制转送到 MN 的 care-of address 。同样地,透过 tunneling 机制, MN 发送的封包皆藉由 home agent 来转送。当 MN 从别的 link 切换到 home link 时,也会向 h...
阅读全文

ICMPv6

作者:
IPv6 使用 Internet Control Message Protocol (简称 ICMP ),稍作一些改变,称为 ICMPv6 。 IPv6 nodes 利用 ICMPv6 来报告处理封包时遇到的错误,也可执行其它 internet 层功能,如诊断功能“ ping ”。 ICMPv6 属于 IPv6 的一部分,每个 IPv6 node 必须支持 ICMPv6 。 ICMPv6 message 有 2 种类型: l    Error messages (错误讯息)   用于报告目的 node 或中间 router 传送封包时遇到的错误。 ICMPv6 错误讯息包括 Destination Unreachable 、 Packet Too Big 、 Time Exceed 和 Parameter Problem 。 l    Informational messages (信息讯息)   用于提供诊断功能以及其它功能 (例如 MLD 、 MLDv2 及 Neighbor Discovery )。诊断功能包括 Echo Request 和 Echo Reply 。 注 ICMP 是为了弥补 IP 层某些功能上的不足而特别添增的重要信息和机制,因此必须尽可能保障 ICMPv6 信息可安全的送达目的地的。由于 link 的 MTU 值不得低于 1280 bytes , ICMPv6 messages 被限制不得超过 1280 bytes ,可确保不会因为 ICMPv6 封包过大而无法送达目的地。 当未来发现 IP 层一些功能上的不足时, ICMPv6 可能会跟着更改或者新增某些功能,并且不需要更动 IPv6 。 ICMPv6 讯息格式 Type  表示 ICMPv6 讯息的类型。此字段内容决定其它字段的格式。 Code   其内容取决于 Type 域值。 Checksum   ICMP 讯息的检验值...
阅读全文

IP Security 簡介

作者:
IP Security 简称 IPsec ,主要提供两种功能: u   Authentication (认证功能)   是指封包接收端确认发送端的身份,以确保双方传送的数据未受他人破坏或窜改。 u   Confidentiality (保密功能)   将通讯内容予以加密,防止网络上的第三者读取通讯内容。 IPsec 的运作必须经过以下步骤: (1)   双方建立 Security Association (安全连结,简称 SA )   透过协商机制来决定 IPsec 的使用方式。例如:选择何种安全功能( AH or ESP ),加密的算法,使用密钥的原则等。 (2)   密钥交换     利用非对称性加密法,让双方拥有共同的秘钥。 (3)   以安全的管道传送讯息    透过建立好的 SA 以及共有的秘钥,双方以安全的管道传送数据。 IPsec 提供以下 2 种安全传送模式: -        Transport mode (传输模式)   建立联机的 Host-A 与 Host-B 皆具有 IPsec 能力时,可使用 Transport mode 来建立联机。 -        Tunnel mode (隧道模式)   建立联机的 Host-A 以及 Host-B 不需要具有 IPsec 能力,透过两端的 routers 来建立 IPsec 安全联机。 IPsec 使用的安全功能有 2 种如下: u   Authentication Header (简称 AH )   AH 除了提供 IP 承载的数据数据的认证以外,也尽可能保护 IP 表头内容。然而,有些 IP 表头的域值在经过 router 转送封包时会被改变(例如 Hop Limit 字段),这些会改变的字段是不可保护的。因此, AH 对 IP 表头的保护是零碎非完整的。 u   Encapsulating Security P...
阅读全文