当前位置：文档视界 › IPv6邻居发现协议的安全性分析

IPv6邻居发现协议的安全性分析

Re s e a r c h

唐述科李汉菊

（华中科技大学计算机学院，武汉　４３００７４）

【摘要】邻居发现协议(Neighbor Discovery Protocol ，NDP)作为IPv6协议的重要组成部分，取代了IPv4中的ARP 协议、ICMP 路由发现和ICMP 重定向功能。文章分析了NDP 存在的安全问题，尤其是伪造IP 地址攻击，并在此基础上提出采用加密生成地址和签名技术等来解决这些安全威胁。【关键词】IPv6 邻居发现安全加密生成地址

Analysis on IPv6 Neighbor Discovery Protocol Security

Tang Shuke Li Hanju

(School of Computer Science, Huazhong University of Science and Technology, Wuhan 430074)

【Abstract 】NDP(Neighbor Discovery Protocol, NDP) is an important part of IPv6 protocol, which corresponds to a combination of ARP protocol, ICMP router discovery and ICMP redirect function in IPv4. This paper analyses security problem that may be subjected to NDP, especially IP address spoofing attack. At last, this paper puts forward CGA (Cryptographically Generated Addresses, CGA) and signature to solve the threats of IPv6 NDP.【Keywords 】IPv6 neighbor discovery security CGA

ＩＰｖ６邻居发现协议的安全性分析

＊

１引言

随着网络规模迅速发展，IPv4网络暴露出越来越多的问题，IETF 于1992年在IPv4的基础上定义了下一代的Internet 协议，被称之为“IPng ”或“IPv6”。 IPv6[1]的一个显著特点是它的地址自动配置功能，它由IPv6协议中的邻居发现协议实现，主机不需要任何人工操作即可自动获得一个合法的IPv6地址进行通信。邻居发现协议[2]解决了连接在同一条链路上的所有节点之间的互连问题，它主要完成路由器发现、重定向功能、地址自动配置、重复地址检测、地址解析和邻居不可达探测的功能。然而，地址自动配置也带来了一些安全问题，使得邻居发现协议可能遭受到各种网络攻击。了解并发现各种攻击手段，提出有效

的防御措施是目前亟待解决的。

２邻居发现协议的伪造ＩＰ地址进行攻击

IPv6节点为每一个网络接口维护邻居缓存、目的缓存、前缀列表、默认路由器列表等信息。我们来看一下该攻击方法[3]：

(1) 攻击者伪造被攻击节点的IP 地址，发送携带虚假的源链路层地址的邻居请求消息或虚假的目的链路层地址的邻居宣告消息，使接收者更新邻居缓存，存储错误的链路层地址，导致发送给被攻击节点的合法报文无法达到。

(2) 攻击者伪造路由器的IP 地址，发送一个携带路由器生命期为0的路由器宣告消息，使得本地主机错误地认为没有默认路由器，与外网的节点无法进行正常通信。

(3) 当节点发送邻居不可达检测的邻居请求消息判断一个目的节点是否可到达时。攻击者在确定该目的节点不可

到达时能伪造成它的IP 地址来回复邻居不可达检测的邻居请求消息，使节点错误地认为该目的地可达，仍继续使用邻居缓存中已经无效的该目的节点的信息。

(4) 主机进入网络，能够自动配置获得IP 地址，在重复地址检测过程中，攻击节点可以重复声称该申请的IP 地址已被占有，使主机永远也不能获得一个IP 地址。

A c a d e m i c 信息安全与通信保密?2006.9

101

３ＣＧＡ技术

［４］

针对邻居发现协议的伪IP 地址攻击，我们在邻居发现消息中添加新的选项来解决它的安全威胁

[5]

。我们可以采用C G A 技术

(Cr yp t o gr a ph i c a l l y Ge ne r a t e d

Addresses ，以下简称CGA)和签名来防止伪IP 地址攻击。CGA 技术是防止攻击者伪造IPv6地址，它是基于公私密钥对的非对称加密体系，在每次产生CGA 前，主机会首先产生一对公共/私有密钥对。

对公共密钥和辅助参数进行两次Hash 加密算法计算产生IPv6地址的接口标志符，在此接口标志符前面加上本地网络前缀得到的IPv6地址就是CGA 。私有密钥用来对来自这个地址的消息进行签名认证。公共密钥和辅助参数构成了一个CGA 参数数据结构，它的格式如图1所示。

伪随机序列由计算机随机生成，在每次生成CGA 的过程中使用，通过加入此随机数来加强抗攻击能力；子网前缀指的是本地子网前缀；冲突数为无符号整数，必须是0，1或2；公共密钥为存储自己的公共密钥；扩充区域将留待以后使用。

（１）　ＣＧＡ的产生过程。在CGA 中，接口标志符的最左边三位被规定为CGA 的安全参数SEC ，是一个无符号整数，可以是0到7中的一个值，它是为了加强抵御暴力破解攻击而设立的。在CGA 产生过程中，首先随机产生一个伪随机序列值，并将子网前缀和冲突数置0，接着对CGA 参数数据结构执行Hash 算法，如果得到的Hash 值最左边的16*SEC 位不全为0，则伪随机序列值加1，重复第一次Hash 算法，直到Hash 值最左边16*SEC 位全是0为止，此时确定了本次CGA 过程的伪随机序列值。然后对CGA 参数数据结构的冲突数置0，将子网前缀字段值设置为本地网络子网前缀，对整个数据结构再执行Hash 算法，得到一个新的Hash 值，提取其最左边的64位Hash 值，并将SEC 的值写入到Hash 值的最左边三位，得到接口标志符。将64位的子网前缀放在接口标志符前，形成128位的IPv6地址，对该地址执行邻居发现协议的重复地址检测，一旦发现地址冲突，冲突数加1，并再次执行第二次Hash 算法。若冲突数大于2，则中止本次生成地址过程，否则我们得到的IPv6地址就是CGA ，本次生成地址过程也确定了CGA 参数数据结构的伪随机序列值和冲突数值。在主机与别的节点进行通信时，发送报文的源地址使用这个CGA ，邻居发现消息选项中将携带对应的CGA 参数数据结构。

（２）　ＣＧＡ的验证过程。接收者接收到报文后，提取报文

中的CGA 和CGA 参数数据结构进行验

证。首先判断冲突数是否是0，1或2其中任意一个值，如果不是则验证失败；然后确认CGA 参数数据结构中子网前缀与地址子网前缀是否一致，如果不一致则验证失败；最后对CGA 参数数据结构进行两

次Hash 算法(方法同上)，

若第一次得到的Ha s h 值与接口标志符不等则验证失败，第二次得到的Hash 值最左边16*SEC 位不全是0，则验证失败，丢弃报文，否则验证成功。

在CGA 的产生过程中，我们使用了公共密钥，而对应的私有密钥，主机将用来对消息进行签名认证。主机用私有密钥和消息作为输入进行Hash 算法和签名算法来产生签名。接受者首先进行CGA 验证(上面已经介绍了验证的具体过程)，验证成功后再对签名进行验证，用CGA 参数数据结构中的公共密钥和消息作为输入进行同样的Hash 算法和签名算法，得到的值与接收到的签名进行比较，如果不一致，则认为消息不是由该地址发送出来的，签名认证失败，丢弃该消息，否则接收消息。

攻击者如果试图用CGA 技术来伪造其它节点的CGA 时，在CGA 的产生过程中，由于该地址已经存在，因此在进行第二次Hash 算法时会发生冲突，使冲突数增加，如果冲突数大于2，返回错误，并重新生成伪随机序列去再次计算CGA ，所以它无法伪造成其它节点的CGA 。若拥有该CGA 的节点离线，攻击者可以成功伪造该CGA 地址而不会产生冲突，但由于攻击者没有对应的私有密钥，在签名验证过程中仍将会失败而无法发起攻击。同样，当攻击者不使用CGA 技术，直接伪造成其它节点的CGA 以及携带对应的CGA 参数数据结构，由于攻击者没有该节点的私有密钥，因此在签名验证过程中仍将失败，无法达到攻击的效果。所以CGA 技术可以成功地防止攻击者伪造IP 地址进行攻击。

４结束语

相比IPv4，IPv6通过采用IPSec 能够提供更高的安全性，但协议本身仍存在安全威胁。本文详细分析了伪造IP 地址攻击的安全问题，并提出了针对这些攻击的防御措施。虽然在邻居发现协议的标准文本中指出可以使用IPSec 来保护邻居发现协议，但是由于邻居发现协议实现地址自动配置功能，而IPSec 却要求建立安全连接之前要进行繁琐的手工操作，从实用性角度来说存在着一定的问题，因此

图１ＣＧＡ

参数数据结构

(下转第104页

)

Re s e a r c h

本文并没有涉及，这可以做为进一步研究的内容。

[2] Hunt R. SNM P，SNM Pv2 and CM IP—The tech-

nologies for multi vendor network

management[J]. Computer Communications，1997，

(20)：73-88

[3] 刑戈，张玉清. 网络安全管理平台研究. 计算机工

程，2004，(10)

[4] 冯登国.计算机通信网络安全.北京：清华大学出版社，

2001

图５控制台子系统的基本构件

图４控制台子系统结构

图６网络信息安全资源管理平台典型应用结构

元件，对于拓扑结构比较简单的网络，

我们可以将这三个元件同时安装到目标网

络中。管理中心尽量靠近探测器，控制

台可以在本地网络，也可以在远程网络安

装，只要通过标准的TCP/IP网络能够访问

到管理中心即可。对于结构比较复杂的网

络，必须使用多管理器进行级联，以保

障全局范围内网络的安全性。网络安全管

理系统的典型应用结构如图6所示。

４结束语

本系统的设计与实现，在技术上有以下新的特点：本系

统采用开放式接口技术实现，使管理平台能很好地支持其它

各种类型的安全设备，而不必对管理台本身做很大修改。本

系统实现了“设备融合”和“信息融合”。设备融合是指所有

安全设备均可以以对象化插件的形式列入管理范围；信息融

合以统一的数据格式汇总来自所有设备对象的事件信息，进

行关联分析、去粗去精、去伪存真。本系统具有分级、树状

的层次结构，这样的结构能够适应整个网络分多级、跨地域

的复杂环境。本系统实现了自身的结构设计的模块化，各模

块之间尽可能轻松耦合，并预留好其它软件的协作开发接口，

使其能够快速进行附加功能的二次开发。本系统实现了可视

化管理功能，网络设备地址与拓扑位置对应，安全事件和安

全警报信息直接在拓扑图中响应的网络设备上显示提示，使

各种情况一目了然。

参考文献

[1] NIST Special Publication 800-10. Keeping Your

Si te Comfort ably Sec ur e An Intr oduc ti on t o Inte rnet

Firewalls .U.S Department of Commerce

IPv6邻居发现机制IPv6协议中一个重要特性就是IPv6的邻居发现机制

IPv6邻居发现机制 IPv6协议中一个重要特性就是IPv6的邻居发现机制，在本课题的实验中可以看到IPv6邻居发现机制中的众多特性。地址自动配置与邻居发现有密切的关系，因此也将在本节中涉及。一、邻居发现 IPv6邻居发现最初在RFC 1970(参考文献〔7〕)中描述，目前已在RFC 2461 [i]中重新定义。 IPv6邻居发现提供了几种不同用途，包括以下方面的支持： l 路由器发现。即帮助主机来识别本地路由器。 2 前缀发现。节点使用此机制来确定指明链路本地地址的地址前缀以及必须发送给路由器转发的地址前缀。 3 参数发现。此机制帮助节点确定诸如本地链路MTU之类的信息。 4 地址自动配置。用于IPv6节点地址自动配置 [ii]。 5 地址解析。替代了ARP和RARP，帮助节点从目的IP地址中确定本地节点(即邻居)的链路层地址。 6 下一跳确定。可用于确定包的下一个目的地，即可确定包的目的地是否在本地链路上。如果在本地链路，下一跳就是目的地；否则，包需要路由，下一跳就是路由器，邻居发现可用于确定应使用的路由器。 7 邻居不可达检测。邻居发现可帮助节点确定邻居(目的节点或路由器)是否可达。l 重复地址检测。邻居发现可用于帮助节点确定它想使用的地址在本地链路上是否已被占用。 8 重定向。有时节点选择的转发路由器对于待转发的包而言并非最佳，这种情况下，该转发路由器可以对节点进行重定向，以将包转发到最佳的路由器。例如，节点将发往Internet的包发送给为节点的内联网服务的默认路由器，该内联网路由器可以对节点进行重定向，以将包发送给连接在同一本地链路上的Internet路由器。邻居发现服务通过5种ICMPv6 [iii]报文类型来执行，这些报文包括： 9 路由器宣告。要求路由器周期性地发送多点传送路由器宣告消息，宣告其可用性及其可到达的在线节点、用于配置的链路和Internet参数。这些宣告包含对所使用的网络地址前缀、建议的路程段极限值及本地的MTU的指示，也包括指明节点应使用的自动配置类型的标志。 10 路由器请求。主机可以请求本地路由器立即发送其路由器宣告。路由器必须周期性地发送这些宣告，但是在收到路由器请求报文时，不必等到下一个预定传送时间到达。而应立即发送宣告信息。 11 邻居宣告。节点在收到邻居请求报文时或者链路层地址改变时，发出邻居宣告报文。 12 邻居请求。节点发送邻居请求来请求邻居的链路层地址，以验证它先前所获得并保存在告诉缓存中的邻居链路层地址的可达性，或者验证它自己的地址在本地链路上是唯一的。

ipv6,nd协议,广播

竭诚为您提供优质文档/双击可除 ipv6,nd协议,广播篇一：网络基础邻居发现(nd)协议网络基础邻居发现（nd）协议 ipv6邻居发现(nd)是一组确定邻居节点之间关系的消息和过程。nd代替了在ipv4中使用的“地址解析协议(aRp)”、“internet控制消息协议(icmp)”、路由器发现和icmp重定向，并提供了其他功能。nd在RFc2461“用于ip版本6(ipv6)的邻居发现”(neighbordiscoveryforipVersion6(ipv6))中进行了描述。邻居发现（nd）协议的使用主要可分为三个方面，包括nd由主机使用、nd由路由器使用和nd由节点使用。其中，在nd由主机使用中，主要用于探索邻居路由器、探索地址、地址前缀和其他配置参数；在nd由路由器使用中，主要用于公告它们的存在、主机配置参数以及处于链路的前缀，通知主机更好的下一个跃点地址，以便转发用于特定目标的数据包；在nd由节点使用中，主要用于解析ipv6数据包所转发到的邻居节点的链路层地址，确定邻居节点的链路层地址何时发生变化，确定ipv6数据包是否可以发送到邻居和能

否收到来自邻居的数据包。邻居发现（nd）协议的描述过程如表5-2所示。篇二：ipV6基本协议分析实验上机报告篇三：ipv6协议实验项目名称：实验报告 i.实验目的 1.配通自己pc的ipv6网络，熟悉ipv6相关的控制台命令； 2.学习nd及相关应用（如路由器发现、不可达检测、重复地址检测、前缀发现、参数发现、重定向等）；（可选做其它感兴趣的协议或应用） ii．实验要求在网络上抓取任意4种nd消息报文（至少4个截图），做报文分析。提交的作业内容包括： 1.自己pc的ipv6地址，如何知道ipv6是通的？请以截图配文字说明； 2.用抓包工具（如wireshark），抓取nd 消息报文，分析之，以截图（至少4个截图）配文字的形式。 iii．现有条件学校的网络，能够上ipv6网站。microsoftwindows7操作系统抓包工具wiresharkv1.6.2 1.检测网络连接：

IPv6试题()

一、不定项选择题（含多选题或者单个选题，每题4分，少选得1分，多选或错选不得分，共20分） 1、IPv6 地址中包含下列类型（） A、单播 B、多播 C、任播 D、广播 2、下列哪些地址是合法的链路本地地址（） A、FE80::11 B、FEC0::2 C、FF02::A001 D、FF02::1:FF00:0101:0202 3、IPv6 中，链路层地址解析使用的报文是（） A、ARP B、Neighbor Solicitation C、Neighbor Advertisement D、Neighbor Discovery(邻居发现) 4、IPv6 中，无状态地址自动配置过程中使用的主要报文包括哪些（） A、RS（router solicication） B、RA（router advertisement） C、NS（neibour solicition） D、NA（neibour advertisement） 5、IPv6 中，邻居发现（Neighbor Discover）使用的主要报文类型包括哪些（） A、路由器请求 B、路由器公告 C、邻居请求 D、邻居公告 E、重定向二、单选题（只有一个选项是正确，每题4分，多选或错选不得分，共20分） 1、PMTU使用下面那类消息类型来实现探测（） A、目的不可达（Destination Unreachable） B、数据包超长（Packet Too Big） C、超时（Time Exceede） D、参数（Parameter Proble） 2、下面Ipv6地址表示错误的是（） A、::1/128 B、1:2:3:4:5:6:7:8:/64

ipv6

IPV6 中，链路层地址解析使用的报文是NDP邻居发现协议 IPV6共有多少位128 iPv6 中，链路层地址解析使用的报文是NDP邻居发现协议下列哪一个IPv6地址是错误地址？ ::FFFF ::1 ::1:FFFF ::1::FFFF 错下列哪些地址是合法的请求节点组播地址（ d ） A、FE80::11 B、FEC0::2 C、FF02::A00 D、FF02::1:FF01:1111 对下面等价于IPV6地址FE80:0:0:ABC::1的地址是？（ b ） FE80:0:ABC::1 FE80:0:0:ABC:0:0:0:1 对 F3CC::ABC:0:1111 FE80:ABC:1 iPv6地址中，组播地址的前几位特定比特值是1110 手工配置IPv6静态默认路由的命令是ipv6 route ::/0 F0/1 iPv6 中，无状态地址自动配置过程中使用的主要报文包括哪些RA（router advertisement） IPv6地址空间中（链路本地地址) 地址设计用于单条链路上的地址分配，例如用于自动地址配置，邻站发现等下面那个报文不是DHCPv6过程报文（Discover） IPv4地址用点分十进制表示，IPv6地址用( 冒号十六进制)表示。 IPv6的128位地址被分（8）段，每（4 ）位为一段，每段被转化为一个（4 ）位（十

六）进制数，并用（冒号）隔开 IPv6 中，邻居发现（Neighbor Discover）使用的主要报文类型 ipv6地址中用：号隔开的每一块有（16）位 “IPv6的邻居发现”中定义了以下机制，下面表述正确的是？ABCD 替代ARP 无状态自动配置路由重定向任播组播适合应用的场合包括（ABD ） IPTV VOD 电台广播网上远程教学 ipv6地址类型分为（ ABC ）单播多播任播广播 ipv6地址单播地址类型分为（ BCD ）组播本地地址全局单播地址站点本地地址链路本地地址 ipv6单播地址中链路本地地址的开头和网络接口分别是（ AD ） FE80:: FC30:: /64 /10

IPv6的邻居发现技术

IPv6的邻居发现技术 1、引言随着IP网络规模和业务的迅速发展，IP网络的用户数急剧增加，正因为如此，IP网络也暴露出越来越多的问题，如地址空间不足、QoS、安全问题等。为了解决Internet的这些问题，尤其是解决地址空间不足的问题，IETF于1992年在IPv4的基础上定义了下一代的Internet协议，被称之为“Ipng”或“IPv6”。 IPv6解决的最大问题是扩大了地址空间，另外，它与IPv4相比在其它许多方面都具有优势，例如安全性、服务质量、移动性等。IPv6的一个显著特点就是它具有“即插即用”功能。即插即用使节点直接连接到网络后，不需要经过任何人工配置就能够使用，即插即用使网络的管理和控制变得更加简单；其次，节点只需要知道自己的链路层地址及本地网络的子网前缀，就能够通过IPv6的无状态或者全状态自动配置得到惟一的IPv6地址，从而成为网络的一部分；另外，IPv6还实现了更好的对节点移动性的支持。这些功能都是通过邻居发现协议来实现的，同一个子网内的所有主机和路由器之间的交互也都是通过邻居发现协议来实现的。 2、工作原理邻居发现协议是IPv6协议的一个基本的组成部分，它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能，并具有邻居不可达检测机制。邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能，可选实现链路层地址变化、输入负载均衡、泛播地址和代理通告等功能。邻居发现协议采用5种类型的IPv6控制信息报文(ICMPv6)来实现邻居发现协议的各种功能。这5种类型消息如下。 (1)路由器请求(Router Solicitation)：当接口工作时，主机发送路由器请求消息，要求路由器立即产生路由器通告消息，而不必等待下一个预定时间。 (2)路由器通告(Router Advertisement)：路由器周期性地通告它的存在以及配置的链路和网络参数，或者对路由器请求消息作出响应。路由器通告消息包含在连接(on-link)确定、地址配置的前缀和跳数限制值等。 (3)邻居请求(Neighbor Solicitation)：节点发送邻居请求消息来请求邻居的链路层地址，以验证它先前所获得并保存在缓存中的邻居链路层地址的可达性，或者验证它自己的地址在本地链路上是否是惟一的。 (4)邻居通告(Neighbor Advertisement)：邻居请求消息的响应。节点也可以发送非请

IPv6邻居发现协议的安全性研究

IPv6邻居发现协议的安全性研究宋浪湖南理工学院计算机学院，岳阳 414000 Email: sl.class19@https://www.docsj.com/doc/796364178.html, 【摘要】邻居发现协议(Neighbor Discovery Protocol，NDP)作为IPv6协议的重要组成部分，取代了IPv4中的ARP协议、ICMP路由发现和ICMP重定向功能。文章分析了NDP存在的安全问题，尤其是伪造IP地址攻击，并在此基础上提出采用加密生成地址和签名技术等来解决这些安全威胁。【关键词】IPV6 邻居发现安全加密生成地址【中图分类号】TP393 【文献标识码】G434 Analysis on IPv6 Neighbor Discovery Protocol Security Song Lang （School of Computer Science,Hunan Institute Science and Technology, Yueyang 414000）【Abstract】NDP(Neighbor Discovery Protocol, NDP) is an important part of IPv6 protocol, which corresponds to acombination of ARP protocol, ICMP router discovery and ICMP redirect function in IPv4. This paper analyses security problem that may be subjected to NDP, especially IP address spoofing attack. At last, this paper puts forward CGA(Cryptographically Generated Addresses, CGA) and signature to solve the threats of IPv6 NDP. 【keywords】IPV6 neighbor discovery security CGA 1 引言随着网络规模迅速发展，IPv4网络暴露出越来越多的问题，IETF于1992年在IPv4的基础上定义了下一代的Internet协议，被称之为“IPng”或“IPv6”。 IPv6[1]的一个显著特点是它的地址自动配置功能，它由IPv6协议中的邻居发现协议实现，主机不需要任何人工操作即可自动获得一个合法的IPv6地址进行通信。邻居发现协议[2]解决了连接在同一条链路上的所有节点之间的互连问题，它主要完成路由器发现、重定向功能、地址自动配置、重复地址检测、地址解析和邻居不可达探测的功能。然而，地址自动配置也带来了一些安全问题，使得邻居发现协议可能遭受到各种网络攻击。了解并发现各种攻击手段，提出有效的防御措施是目前亟待解决的。 2 邻居发现协议的伪造IP地址进行攻击

ipv6邻居发现协议

IPv6地邻居发现技术 2、工作原理邻居发现协议是IPv6协议的一个基本的组成部分，它实现了在IPv4中的地址解析协议(ARP)、控制报文协议(ICMP)中的路由器发现部分、重定向协议的所有功能，并具有邻居不可达检测机制。邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能，可选实现链路层地址变化、输入负载均衡、泛播地址和代理通告等功能。邻居发现协议采用5种类型的IPv6控制信息报文(ICMPv6)来实现邻居发现协议的各种功能。这5种类型消息如下。 (1)路由器请求(Router Solicitation)：当接口工作时，主机发送路由器请求消息，要求路由器立即产生路由器通告消息，而不必等待下一个预定时间。 (2)路由器通告(Router Advertisement)：路由器周期性地通告它的存在以及配置的链路和网络参数，或者对路由器请求消息作

出响应。路由器通告消息包含在连接(on-link)确定、地址配置的前缀和跳数限制值等。 (3)邻居请求(Neighbor Solicitation)：节点发送邻居请求消息来请求邻居的链路层地址，以验证它先前所获得并保存在缓存中的邻居链路层地址的可达性，或者验证它自己的地址在本地链路上是否是惟一的。 (4)邻居通告(Neighbor Advertisement)：邻居请求消息的响应。节点也可以发送非请求邻居通告来指示链路层地址的变化。 (5)重定向(Redirect)：路由器通过重定向消息通知主机。对于特定的目的地址，如果不是最佳的路由，则通知主机到达目的地的最佳下一跳。 3、主机的数据结构 IPv6的一个设计要求是：即使在一个有限的网络内，主机也必须正确工作，而不像路由器不能储存路由表，不能有永久的配置，因此主机必须能自动配置，必须能学到交换数据的有关目的地的最小信息。这些信息储存的存储器叫做缓存，这些数据结构是一系列记录的排列，称作表项。每个表项储存的信息有一定的有效期，需要周期性地清除缓存中的表项，以保证缓存的空间大

RFC4861 IPv6邻居发现协议-2007

RFC4861 IPv6邻居发现协议 2007

该备忘录状态：本文档为Internet社区指定了Internet标准跟踪协议，并请求讨论和改进建议。有关本协议的标准化状态和状态，请参阅当前版本的“互联网官方协议标准”（STD 1）。这份备忘录的分发是不受限制的。概述：本文档定义了IPv6邻居发现协议。位于同一链路（子网）上IPv6节点使用邻居发现协议去发现每个节点的存在，确定每个其他节点的链路层地址，发现路由器，并管理&维护到活动邻居路径的可达性信息。修订记录

目录目录 (3) 1引言 (6) 2术语 (6) 2.1通用术语 (6) 2.2链路类型 (9) 2.3地址 (10) 2.4要求 (11) 3协议概述 (11) 3.1与IPv4的对比 (15) 3.2支持的链路类型 (16) 3.3保护邻居发现消息 (17) 4消息格式 (18) 4.1路由器请求(RS)消息格式 (18) 4.2路由器通告(RA)消息格式 (19) 4.3邻居查询(NS)消息格式 (21) 4.4邻居通告(NA)消息格式 (22) 4.5重定向(Redirect)消息格式 (24) 4.6选项格式 (26) 4.6.1源/目标链路层地址 (26) 4.6.2前缀信息 (27) 4.6.3重定向头 (28) 4.6.4MTU (29) 5主机概念模型 (30) 5.1概念数据结构 (30) 5.2概念发送算法 (31) 5.3垃圾回收与超时要求 (33)

6路由器和前缀发现 (33) 6.1消息检查 (34) 6.1.1RS消息有效性检查 (34) 6.1.2RA消息有效性检查 (35) 6.2路由器规范 (35) 6.2.1RA配置变量 (35) 6.2.2成为通告接口 (39) 6.2.3RA消息内容 (39) 6.2.4发送未经请求的RA (40) 6.2.5停止作为通告接口 (41) 6.2.6处理RS (41) 6.2.7RA一致性 (42) 6.2.8链路本地地址变化 (43) 6.3主机规范 (44) 6.3.1主机配置变量 (44) 6.3.2主机变量 (44) 6.3.3接口初始化 (45) 6.3.4处理RA (45) 6.3.5前缀和默认路由器的超时 (48) 6.3.6默认路由器的选择 (48) 6.3.7发送RS (48) 7地址解析和邻居不可达检测 (50) 7.1消息检查 (50) 7.1.1NS的有效性检查 (50) 7.1.2NA的有效性检查 (51) 7.2地址解析 (51) 7.2.1接口初始化 (52) 7.2.2发送NS (52) 7.2.3接收NS (53) 7.2.4发送NA (54)

IPv6知识点整理

RFC：（Request for Comments）意即“请求注解”，包含了关于Internet的几乎所有重要的文字资料。 IETF：（Internet Engineering Task Force）即因特网工程任务组，又叫互联网工程任务组，成立于1985年底。 NGI是Next Generation Internet，下一代互联网。ND：邻居发现协议。IPSec协议即网络安全体系结构。互联网控制消息协议第六版即ICMPv6（ICMP for IPv6）是互联网控制消息协议（ICMP）在IPv6协议下的新版本。 RFC：请求注释request for comment IPng：所有有关下一代网络协议的总称。 IPv4存在问题：地址空间匮乏；存在网络安全隐患；不提供服务质量保证；IP地址配置复杂；缺少移动性支持。 IPv4与IPv6数据包包头比较：简化字段；扩充地址位数；IPv4数据包长度可变，IPv6不可变地址表示方式：冒号分16进制；压缩模式；内嵌IPv4地址的IPv6地址格式。任播和单播共用IPv6地址p57 IPv6地址分类：单播地址；任播地址；多播地址。（任播地址是从单播地址空间中每个划分出来的）任播地址不能作为一个IPv6数据包的源地址；一个任播地址不能分配给一个主机，只能分配给路由器。取消广播地址的原因：用多播地址取代广播地址实现的功能，广播可能会为网络性能设置障碍。P51 ICMPv6与ICMPv4的比较：ICMPv6支持Mobile IPv6协议；IPv6中引入了邻居发现（ND）协议，使用ICMPv6报文确定同一个链路上的邻居的链路层地址、发现路由器、随时跟踪哪些邻居是可连接的，以及检测更改的链路层地址；原来IPv4的Internet组管理协议（IGMP）功能被加到ICMPv6中；ARP与RARP功能被加入到ICMPv6中了。 ICMPv6报文格式及其内容：差错报文：目标不可达，数据包过长，超时，参数问题。如traceroute 信息报文：回送请求报文，回送应答报文。如ping命令 ICMPv6差错报文功能：该报文是由目标或中间路由器发送的，用于报告在转发或传送IPv6数据包过程中出现的错误。因为该报文的8位类型字段中的最高位都为0，所以该报文的类型字段的有效范围是0～127。 ICMPv6信息报文功能：该报文提供了简单的诊断功能，来协助发现和处理故障。包括回送请求报文和回送应答报文，后面将作详细介绍。另外，还有一些ICMPv6信息报文是在邻居发现和多播侦听发现中使用。邻居发现（ND）协议的组成：路由请求报文；路由通告报文；邻居请求报文；邻居通告消息报文；重定向报文。 IPv6路由协议：基于距离向量：RIPng（RIP Next Generation）协议；基于链路状态：OSPFv3（Open Shortest Path First）协议，IS-IS协议；基于路径向量：BGP-4（Border Gateway Protocol）协议，IDRPv2（Inter-Domain Routing Protocol）协议； IPSec主要包括两方面的协议：AH/ESP（Authentication Header/Encapsulating Security Payload）安全协议和IKE（Internet Key Exchange）密钥交换协议。 IPSec提供的安全服务包括：数据源认证、无连接机密性、抗重播攻击和有限的数据流机密性保护功能，可以对运行在IP层之上的任何协议起到保护作用，如TCP、UDP和ICMP。 IP QoS可以分为两种基本类型：基于资源预留：网络资源按照某个业务的QoS要求进行分配，制定资源管理策略。互联网工程任务组IETF（Internet Engineering Task Force）提出的综合服务（Integrated Services，IntServ）体系结构便是基于这种策略，资源预留协议（Resource reSerVation Protocol, RSVP）是其核心部分。基于优先级：网络边界节点对业务流进行分类、整形、标记。核心节点按照资源管理策略分配资源，对QoS要求高的业务给以优先处理。IETF提出的区分服务（Differentiated Services，DiffServ）便是基于这种策略 IETF已经提出了几种IP QoS模型和机制，主要有：综合服务和资源预留协议IntServ/RSVP：以RSVP信令向网络提出业务流传输规格（Flowspec），并建立和拆除传输路径上的业务流状态。主机和路由器节点建立和保持业务流状态信息。尽管RSVP经常用于单个流，但也用于聚流的资源预留。区分服务：在区分服务网络中，边界路由器根据用户的流规格（stream profile）将用户流划分为不同的级别，再聚合成流聚集，聚集信息存放在IP包头的DS标记域，称为DS标记（Differentiated Services CodePoint，DSCP）。内部节点则根据DSCP提供不同质量的调度转发服务。多协议标记交换（MultiProtocol Lable Switch，MPLS）：根据分组头的标记，通过网络路径控制来提供流聚集的带宽管理子网带宽管理（Subnet Bandwidth Management，SBM）：负责OSI第二层（数据链路层）的分类和优先级排列，同IEEE 802网络进行共享和交换。移动主机(MobileHost)：移动IP协议中每个移动主机在家乡链路(HomeLink)上有一个唯一的家乡地址，当它漫游到外地网络时，将获得一个临时的转交地址(CareOf Address)。移动主机可以将接入Internet的位置从一条链路切换到另一条链路上，仍保持正在进行的通信。家乡代理(HomeAgent)：是一台与移动主机家乡网络相连的路由器，也称归属代理。当移动主机位置切换时，HA负责维护移动主机当前位置信息，处理和响应移动主机注册请求消息。外地代理(ForeignAgent)：是移动主机所在外地链路上的一台路由器。一方面为移动主机提供转交地址，帮助移动主机将转交地址通知

IPV6模拟试题

《IPv6原理与技术》模拟试题一．选择题（共43分）（2分） A 分组交换理论的提出和TCP/IP协议的开发成功 B 自由的学术交流环境 2．下列字段中，（）不是IPv4报头中的字段。（1分） A头xx B有效载荷xx C业务类型 D标识符 3．目前来看，下面哪些描述可以认为是IPv4的不足？（）（4分） A IPv4地址空间即将耗尽 B路由表急剧膨胀 C无法提供多样的QOS D网络安全令人担忧 4．如果某IPv4网络的IP地址为192.168.1.200，子网掩码为 255.255.255.0，那么该IP所在的子网ID为（）（1分） A 192.168.1 B 192.168

C 192.168.1.200 D 192.168.1.255 5．下列关于IPv6基本报头中有效载荷长度字段的描述是错误的（）。（1分）A字段长度为16bit B有效载荷xx不包含基本报头的xx C一个IPv6数据报可以容纳64k八比特组的数据 D 有效载荷xx包含基本报头的xx 6.下面是一些由IPv6基本报头，扩展报头和高层报头组成的IPv6信息包，它们出现的顺序哪些是正确的？（）（2分） A 基本报头，路由报头，跳到跳选项报头，TCP报文段 B基本报头，认证报头，路由报头，TCP报文段 C 基本报头，路由报头，分段报头，TCP报文段 D基本报头，路由报头，TCP报文段 7．IPV6扩展报头选项中的选项类型(Option Type)字段的格式为（）。其中X表示未定义。（1分） A NNXXXM B XXXNNM C NNMMXX D NNMXXX 8．如果跳到跳选项报头的报头长度（Header Length）的值为8，那么该报头的实际总长度为（）。（1分） A 0个8bit组