IT博客-相信自己是对的，朋友多多才是走向成功的开始……-文章分类-协议

TCP/IP基础:DNS协议

可冉 — Sun, 09 Aug 2009 03:39:00 GMT

　DNS 的来由

　　如果您为您的机器设定过 internet 连线╋那么您一定接触过 DNS 了╋但 DNS 又是什么东东呢?说穿了╋DNS 是用来帮助记忆网路位址的╋完全是为了迁就人类的记忆思维而设的。

　　DNS 的全称是 Domain Name System(或 Service) ╋当您连上一个网址╋在URL打上?www.google.com 的时候╋可以说就是使用了 DNS 的服务了。但如果您知道这个 www.google.com 的 IP 位址╋直接输入 216.239.53.101 也同样可以到达这个网址。其实╋电脑使用的只是 IP 位址而已(最终也是 0 和 1 啦)╋这个 www.google.com 只是让人们容易记忆而设的。因为我们人类╋对一些比较有意义的文字记忆(如?www.google.com)╋比记忆那些毫无头绪的号码(如?216.239.53.101)╋往往容易得多。DNS 的作用就是为我们在文字和 IP 之间担当了翻译╋而免除了强记号码的痛苦。

　　假如您的电话有名字记忆功能╋您只需知道对方的名字╋就可以拨号给友人了╋我们可以说╋这电话也具备如 DNS 的功能了呢?但是╋我们在网路中使用的 DNS 系统╋就是这么简单吗?非也╋复杂得很呢?下面╋就让我们一起去探索一下 DNS 的奥秘?

　　在早期的 IP 网路世界里面╋每台电脑都只用 IP 位址来表示╋不久人们就发现这样很难记忆╋于是╋一些 UNIX 的管理者╋就建立一个 HOSTS 对应表╋将 IP 和主机名字对应起来╋这样╋用户只需输入电脑名字╋就可以代替 IP 来进行沟通了。如果你安装了 Linux 系统╋在 /etc 下面就可以找到这个 hosts 档案?在 NT 的系统里╋你也可以在 winntsystem32driversetc 下面找到它。不过这个 HOSTS 档是要由管理者手工维护的╋最大的问题是无法适用于大型网路╋而且更新也是件非常头痛的事情。这就是 DNS 大派用场的时候了。

　　DNS 的结构

　　DNS 是一个分层级的分散式名称对应系统╋有点像电脑的目录树结构?在最顶端的是一个“root”╋然后其下分为好几个基本类别名称╋如?com?org?edu 等?再下面是组织名称╋如?ibm?microsoft?intel 等?继而是主机名称╋如?www?mail?ftp 等。因为当初 internet 是从美国发展起的╋所以当时并没有国域名称╋但随着后来 internet 的蓬勃发展╋DNS 也加进了诸如 tw?hk?cn 等国域名称。所以一个完整的 dns 名称就好象是这样的?www.xyz.com.tw╋而整个名称对应的就是一个(或多个) IP 位址了。

　　在早期的设计下╋root 下面只有六个组织类别?

　　

　　不过╋自从组织类别名称开放以后╋各种各样五花八门的名称也相继涌现出来了╋但无论如何╋取名的规则最好尽量适合网站性质。除了原来的类别资料由美国本土的 NIC(Network Information Center) 管理之外╋其它在国域以下的类别分别由该国的 NIC 管理(比方说台湾的 DNS 将授权给 twnic 来管理)。这样的结构看起来就像这样?

　　

　　在结构中╋各组织的 DNS 经过申请后由该组织或其委托主机管理(通常当您申请注册一个 domain 域名称的时候╋都要指定两台 DNS 主机负责该域名的 DNS 管理)。

　　DNS 的运作

　　在我们设定 IP 网路环境的时候╋都要告诉每台主机关于 DNS 伺服器的位址(我们可以手动的在每一台主机上面设置╋也可以使用 DHCP 来指定)。但这设定的义意何在呢？从前面的介绍我们或可知道：其目的就是请 DNS 帮忙解析主机名称与 IP 位址啦。在这个设定过程中，DNS 被称为 resolver (也就是负责解析的 DNS Server)，而被设定主机，则只是单纯的 DNS Client 了，也就是提出解析请求的主机。

　　下面让我们看看 DNS 是怎样运作的?

　　1. 当被询问到有关本域名之内的主机名称的时候╋DNS 伺服器会直接做出回答?

　　2. 客户端向伺服器提出查询项目?

　　3. 当被询问到有关本域名之内的主机名称的时候╋DNS 伺服器会直接做出回答?

　　4. 如果所查询的主机名称属于其它域名的话╋会检查快取记忆体(Cache)╋看看有没有相关资料?

　　5. 如果没有发现╋则会转向 root 伺服器查询?

　　6. 然后 root 伺服器会将该域名之下一层授权(authoritative)伺服器的位址告知(可能会超过一台)?

　　7. 本地伺服器然后会向其中的一台伺服器查询╋并将这些伺服器名单存到记忆体中╋以备将来之需(省却再向 root 查询的步骤)?

　　8. 远方伺服器回应查询?

　　9. 若该回应并非最后一层的答案，则继续往下一层查询，直到获的客户端所查询的结果为止?

　　10. 将查询结果回应给客户端╋并同时将结果储存一个备份在自己的快取记忆里面?

　　11. 如果在存放时间尚未过时之前再接到相同的查询╋则以存放于快取记忆里面的资料来做回应。

　　从这个过程我们可以看出╋没有任何一台 DNS 主机会包含所有域名的 DNS 资料╋资料都是分散在全部的 DNS 伺服器中╋而 NIC 只需知道各 DNS 伺服器位址就可以了。

　　为了更好地理解一下 DNS 的运作╋让我们用下图看看查询 www.home.netman.com.tw 这台主机位址的过程?

　　

　　在这个例子中╋www.home.netman.com.tw 台主机的 DNS 对应资料╋是由负责 home.netman.com.tw 这个域名的 DNS 伺服器管理的。(在 DNS 术语中╋我们称一个域名为“zone”╋这个 zone 可以是您从 NIC 申请回来的域名╋也可以是从该域名之下延伸出来的“sub-zone”)。在这台 DNS 伺服器上面╋必须有一?龉赜? home.netman.com.tw 这个 zone 的档案╋而这档案里面必须有一笔关于 www 的记录(任何主机都是以“记录”来表示，称为 Resource Record)。这个记录可以为一个 IP 位址╋也可以以别名形式来对应一台主机名称╋但无论如何╋所对应的主机名称最终是要被一个 IP 位址所对应着就是了。

　　同时╋DNS 还能提供“反查询”(reverse lookup) 功能╋也就是以 IP 来查询主机名称。网路上面的许多服务╋如?FTP, SMTP?等等╋都需要到这个功能。其实╋DNS 服务本身就必须要使用反查询功能╋而且在设定上╋也必须要为每个网路建立起 reverse zone。虽然有些人发觉即使没有 reverse zone 也可以使用到 DNS 服务╋但其中弊端却不容易被察觉到╋在这个(中文)网页?http://dnsrd.nctu.edu.tw/Basic/WhenToUse-Rev.html 上面╋您可以看到忽略 revers zone 所致一些问题。

　　DNS 的名称记录

　　事实上╋DNS 不仅仅是用来解释位址用的╋而且还可以回答更多关于网路和主机的其它信息╋其中很重要的一个功能就是可以供邮件系统进行路由。这些资料╋通常会以不同的“记录”名称出现在DNS的资料档案中。下面让我们参考一个 Linux 的 DNS 档案╋看看这些记录是如何表示的?

　　;

　　; Zone file for siyongc.domain

　　;

　　; Then full zone file

　　;

　　$TTL 86400

　　@

　　IN SOA redhat52.siyongc.domain. netman.siyongc.domain. (

　　 1999092801 ; serial

　　 8H ; refresh

　　 2H ; retry

　　 1W ; expire

　　 1D ) ; minimun

　　;

　　 IN TXT "A test domain, created by Netman"

　　 IN NS redhat52

　　 IN NS debian.home

　　 IN MX 10 redhat52.siyongc.domain.

　　 IN MX 20 debian.home

　　;

　　localhost IN A 127.0.0.1

　　?

　　gw IN A 192.168.0.17

　　 IN HINFO "Redhat" "MASQ"

　　 IN TXT "The masquerade gateway to internet"

　　?

　　redhat52 IN A 192.168.0.17

　　 IN MX 10 redhat52

　　 IN MX 20 debian.home

　　 IN HINFO "Dell PII 266" "Linux RedHat"

　　www IN CNAME redhat52

　　mail IN CNAME redhat52

　　ftp IN CNAME redhat52

　　news IN CNAME redhat52

　　smtp IN CNAME redhat52

　　?

　　pii266 IN A 192.168.0.15

　　 IN MX 10 redhat52.siyongc.domain.

　　 IN MX 20 debian.home.

　　?

　　slware36 IN A 192.168.0.18

　　 IN MX 10 redhat52.siyongc.domain.

　　 IN MX 20 debian.home.

　　?

　　rhroute IN A 192.168.0.4

　　 IN MX 10 redhat52.siyongc.domain.

　　 IN MX 20 debian.home.

　　?

　　home IN ns debian.home.siyongc.domain.

　　debian.home IN A 10.0.2.101

　　我们姑且不理会开头那几行的意思╋那是给 DNS 系统本身使用的(我将会在“学习 Linux”文章里面再详细讨论)╋这里我们只是看看几个记录名称而已?

　　

　　分? DNS 工作

　　由於 DNS 的重要性日益锢著，?提高其容邋能力及查?效能，我?在架韵某一?一 zone 的?侯，常以多台伺服器???? zone 的服?。其中，我?必需指定一台 Primary(master) DNS 伺服器，它是架韵在某一?咀域下被主要授??控制所有名费??的主控伺服器╋管?著?咀域的所有??儋料╋呃些??儋料只有 primary(master) 可以修改。

　　但如果在一?比蒉大型的咀路中╋DNS 伺服器就??得很繁忙╋所以您可以韵定多? DNS ?分? master 的工作╋但您或杂不?意到每一? DNS 伺服器去更新儋料吧?而且就算您?意呃?做╋也容易出?邋锗或儋料不同步的情形。呃?您可以韵定其它的伺服器? secondary (slave) DNS ?妖氧 master 上面的??儋料╋呃?╋其它的?呢可以被分派到不同的 DNS 做查?╋既可以分? master 的工作╋而且儋料也可以自?咄行同步工作。?催保儋料的一致性，master 每次更新咿儋料後?以 notify ?制主?通知 slave 前?同步。此外，您可以韵定 DNS 儋料同步的?殓殓隔╋在 dns ?案中的 Refresh 韵定就是了。在?案中，您??看到 Serial ╋? slave 的上面的 serial

可冉 2009-08-09 11:39 发表评论

TCP状态的变迁(建立连接示意图)

可冉 — Wed, 24 Jun 2009 04:51:00 GMT

可以从下图形象地看出：
　　　　
　　状态：描述
　　CLOSED：无连接是活动的或正在进行
　　LISTEN：服务器在等待进入呼叫
　　SYN_RECV：一个连接请求已经到达，等待确认
　　SYN_SENT：应用已经开始，打开一个连接
　　ESTABLISHED：正常数据传输状态
　　FIN_WAIT1：应用说它已经完成
　　FIN_WAIT2：另一边已同意释放
　　ITMED_WAIT：等待所有分组死掉
　　CLOSING：两边同时尝试关闭
　　TIME_WAIT：另一边已初始化一个释放
　　LAST_ACK：等待所有分组死掉

参考至：http://blog.s135.com/post/269/

可冉 2009-06-24 12:51 发表评论

ICMP TYPE CODE 对应表

可冉 — Wed, 24 Jun 2009 04:37:00 GMT

ICMP类型

TYPE	CODE	Description	Query	Error
0	0	Echo Reply——回显应答（Ping应答）	x
3	0	Network Unreachable——网络不可达		x
3	1	Host Unreachable——主机不可达		x
3	2	Protocol Unreachable——协议不可达		x
3	3	Port Unreachable——端口不可达		x
3	4	Fragmentation needed but no frag. bit set——需要进行分片但设置不分片比特		x
3	5	Source routing failed——源站选路失败		x
3	6	Destination network unknown——目的网络未知		x
3	7	Destination host unknown——目的主机未知		x
3	8	Source host isolated (obsolete)——源主机被隔离（作废不用）		x
3	9	Destination network administratively prohibited——目的网络被强制禁止		x
3	10	Destination host administratively prohibited——目的主机被强制禁止		x
3	11	Network unreachable for TOS——由于服务类型TOS，网络不可达		x
3	12	Host unreachable for TOS——由于服务类型TOS，主机不可达		x
3	13	Communication administratively prohibited by filtering——由于过滤，通信被强制禁止		x
3	14	Host precedence violation——主机越权		x
3	15	Precedence cutoff in effect——优先中止生效		x
4	0	Source quench——源端被关闭（基本流控制）
5	0	Redirect for network——对网络重定向
5	1	Redirect for host——对主机重定向
5	2	Redirect for TOS and network——对服务类型和网络重定向
5	3	Redirect for TOS and host——对服务类型和主机重定向
8	0	Echo request——回显请求（Ping请求）	x
9	0	Router advertisement——路由器通告
10	0	Route solicitation——路由器请求
11	0	TTL equals 0 during transit——传输期间生存时间为0		x
11	1	TTL equals 0 during reassembly——在数据报组装期间生存时间为0		x
12	0	IP header bad (catchall error)——坏的IP首部（包括各种差错）		x
12	1	Required options missing——缺少必需的选项		x
13	0	Timestamp request (obsolete)——时间戳请求（作废不用）	x
14		Timestamp reply (obsolete)——时间戳应答（作废不用）	x
15	0	Information request (obsolete)——信息请求（作废不用）	x
16	0	Information reply (obsolete)——信息应答（作废不用）	x
17	0	Address mask request——地址掩码请求	x
18	0	Address mask reply——地址掩码应答

可冉 2009-06-24 12:37 发表评论

802.1d,802.1w,802.1s与802.1q

可冉 — Fri, 03 Apr 2009 15:45:00 GMT

一.STP:
在谈本主题之前,先简单的对STP(802.1d)做个回顾.STP是用于打破层2环路的协议,但这个协议有个最明显的缺点,就是当层2网络重新收敛的时候,至少要等待50秒的时间(转发延迟+老化时间).50秒的时间对于一个大型的层2网络来说,是一个漫长的过程(何况这只是个理论时间,实际情况还会更长).虽然CISCO对STP的这些缺点开发出了些弥补性的特性,比如Port Fast,Uplink Fast和Backbone Fast,用于加快层2网络的收敛时间.套用王朔的话"看上去很美".虽然这些"新"特性能够改善STP的一些不足,但是,这些特性是CISCO私有的,而非行业标准;此外,这些特性要求我们做额外的配置,如果缺乏对这些技术的理解,还有可能导致环路问题.

二.RSTP:
RSTP是IEEE 802.1w标准定义的,目的就是为了改进STP的一些不足,并且在某些情况下,RSTP要比之前所提到的那些Port Fast,Uplink Fast和Backbone Fast技术更为方便.但是在比较古老的交换机型号中比如CATALYST 2900XL/3500XL里,不支持RSTP与RPVST+(或叫PVRST+),还有些型号比如CATALYST 2948G-L3/4908G-L3,CATALYST 5000/5500和CATALYST 8500不支持RSTP.

802.1d标准中对端口状态的定义有:
1.监听(listening).
2.学习(learning).
3.堵塞(blocking).
4.转发(forwarding).
5.禁用(disabled).

802.1w标准中对端口状态的定义有:
1.丢弃(discarding).
2.堵塞(blocking).
3.转发(forwarding).
丢弃状态,实际上就类似802.1d中监听,学习和禁用状态的集合.

在802.1w中,根端口(root port,RP)和指定端口(designated port,DP)仍然得以保留;而堵塞端口被改进为备份端口(backup port,BP)替代端口(alternate port,AP).不过,生成树算法(STA)仍然是依据BPDU决定端口的角色.和802.1d中对RP的定义一样,到达根桥(root bridge)最近的端口即为RP.同样的,每个桥接网段上,通过比较BPDU,决定出谁是DP.一个桥接网段上只能有一个DP(同时出现两个的话就形成了层2环路).

在802.1d中,非RP和DP的端口,它的状态就为堵塞状态,这种状态虽然不转发数据,但是仍然需要接收BPDU来保持处于堵塞状态.AP和BP同样也是这样.AP提供了到达根桥的替代路径,因此,一旦RP挂掉后,AP可以取代RP的位置.BP也提供了到达同一桥接网段以及AP所不能保证到根桥连接性的冗余链路.

在RSTP里,BPDU的格式稍稍变化了一些,在802.1d里,BPDU只有两个标签选项:
1.拓扑改变(TC).
2.拓扑改变确认(TCA).
而RSTP中的BPDU采用的是版本2的BPDU,换句话说802.1d网桥将丢弃这种新的BPDU.这种新的BPDU,在原先的BPDU基础上增加了6个标签选项:

BPDU的处理方式,和802.1d也有些不同,取代原先的BPDU中继方式(非根桥的RP收到来自根桥的BPDU后,会重新生成一份BPDU朝下游交换机发送出去),802.1w里的每个网桥,在BPDU hello time(默认2秒)的时间里生成BPDU发送出去(即使没有从根桥那里接收到任何BPDU).如果在连续3个hello time里没有收到任何BPDU,那么BPDU信息将超时不被予以信任.因此,在802.1w里,BPDU更像是一种保活(keepalive)机制.即,如果连续三次未收到BPDU,那么网桥将认识它丢失了到达相邻网桥RP或DP的连接.这种快速老化的方式使得链路故障可以很快的被检测出来.

在RSTP里,类似Backbone Fast的下级BPDU(inferior BPDU)也被集成进去.当交换机收到来自RP或DP的下级BPDU时,它立刻替换掉之前的BPDU并进行存储:

如上图,由于C知道根桥仍然是可用的,它就立刻向B发送关于根桥的BPDU信息.结果是B停止发送它自己的BPDU,接收来自C的BPDU信息并将连接到C的端口做为新的RP.

传统的802.1d标准里,STA是被动的等待层2网络的收敛(由于转发延迟的定义).对STP默认的计时器进行修改,可能又会导致STP的稳定性问题;而RSTP可以主动的将端口立即转变为转发状态,而无需通过调整计时器的方式去缩短收敛时间.为了能够达到这种目的,就出现了两个新的变量:边缘端口(edge port)和链路类型(link type).

边缘端口(EP)的概念,和CISCO中Port Fast特性非常相似.由于连接端工作站的端口,是不可能导致层2环路的,因此这类端口就没有必要经过监听和学习状态,从而可以直接转变为转发状态.但是和Port Fast不同的是,一旦EP收到了BPDU,它将立即转变为普通的RSTP端口:

RSTP快速转变为转发状态的这一特性,可以在EP和点到点链路上实现的.由于全双工操作的端口被认为是点到点型的链路;半双工端口被认为是共享型链路.因此RSTP会将全双工操作的端口当成是点到点链路,从而达到快速收敛.

当STA决定出DP后,对于802.1d,仍然要等待30秒的转发延迟才能进入转发状态;在802.1w里:

假设根桥和交换机A之间创建了一条新的链路,链路两端的端口刚开始均处于堵塞状态,直到收到对方的BPDU.当DP处于丢弃或者学习状态,它将在自己将要发送出去的BPDU里设置提议位(proposal bit),如上图的p0和步骤1.由于交换机A收到了上级(superior)信息,它将意识到自己的P1应该立即成为RP.此时交换机A将采取同步(sync)动作,将该上级BPDU信息洪泛到其他的所有端口上并保证这些端口处于同步状态(in-sync).

当端口满足下列标准之一时,即处于同步状态:
1.端口为EP.
2.端口为堵塞状态(即丢弃,或者为稳定拓扑).

假设交换机A的P2为AP,P3为DP,P4为EP.P2和P4满足上述标准之一,因此为了处于同步状态,交换机A将堵塞P3,指定它为丢弃状态,其他端口处于同步状态(步骤2).交换机A将解除P1的堵塞状态做为新的RP,并向根桥反馈确认信息(步骤3),这个信息其实是之前步骤1所发的提议BPDU信息的拷贝,只不过是把提议位设置成了认可位(agreement bit).当P2收到这个认可信息后,它立即进入转发状态.由于P3之前被堵塞了,当步骤3完成后,P3也执行之前P0所经过的步骤1,向下游交换机发出提议BPDU信息,尝试快速进入转发状态.依次类推.

由于提议机制非常迅速,因此RSTP不需依赖任何计时器.如果一个指定为丢弃状态的端口,在发出提议BPDU信息后没有收到认可信息,该端口会回退到802.1d标准,从监听到学习,再慢慢进入转发状态.这种情况多发生在不理解RSTP BPDU的交换机端口上.

RSTP里另外一个快速进入转发状态的机制,和CISCO对STP的扩展技术Uplink Fast很相似.当网桥丢失了RP后,它会把自己的AP直接设置为转发状态(新的RP).因此对于RSTP来说,Uplink Fast的特性无需手动配置.还有一点和802.1d不同的是,当交换机检测到拓扑变化后,产生TC信息,直接洪泛给整个网络,而无需像802.1d那样先报告给根桥:

三.MST:
MST是由IEEE 802.1s标准制定,来自CISCO私有的MISTP协议(Multiple Instances Spanning Tree Protocol).和RSTP一样,MST在某些CATALYST交换机上也不支持,比如:CATALYST 2900/3500XL,CATALYST 2948G-L3/4908G-L3,CATALYST 5000/5500以及CATALYST 8500.

在谈MST之前先说说关于trunk的原始版本IEEE 802.1q,该标准制定了CST(Common Spanning Tree).CST假定整个层2网络只有一个STP的实例,也就是说不管整个层2网络划分了多少个VLAN,都只有一个STP的实例.CST的一些优劣:
1.缺点:无法实现STP的负载均衡.
2.优点:节约CPU资源,整个层2网络只需要维护一个STP的实例.
而后续的802.1q增强了对VLAN的支持,出现了PVST+(每1个VLAN有1个STP的实例).

802.1s结合了PVST+和802.1q的优点,将多个VLAN映射到较少的STP实例.之前的PVST+的优点,可以实现STP的负载均衡,对CPU资源是个负担.而MST减少了不必要的STP的实例.如下图,假设D1和D2分别为VLAN 1到500和VLAN 501到1000的根桥,如果用PVST+,就将有1000个STP的实例,但是实际上整个层2网络只有2个逻辑拓扑,所以优化办法是将STP的实例减少到2个,同时保留STP负载均衡的优点:

从技术角度来看,MST的确是最佳解决方案,但是对端用户而言却并不是必需的,因为MST通常要求比802.1d和802.1w更为复杂的配置,并且还可能遇到与802.1d的协同操作问题.

之间提到了,多个VLAN可以映射到一个STP的实例上.但是,决定哪个VLAN和哪个STP实例相关联,以及BPDU的标签方式以便交换机可以鉴别出VLAN与STP实例信息,这是个问题.这个时候就出现了一个类似BGP里AS的概念:区域(Region).MST的区域是指处于同一管理范围的交换机组.为了能够成为MST区域里的一部分,交换机必须享有相同的配置属性:
1.以26个字母命名的配置名(32字节).
2.配置修正号(2字节).
3.对应4096个VLAN的元素表.

在做VLAN到STP实例映射的时候,要先定义MST的区域,但这个信息不会在BPDU里传播,因为对于交换机来说,它只需要知道自己和邻居交换机是否处于同一个MST区域.因此,只有一份VLAN到STP实例的映射摘要信息,配置修正号,与配置名随着BPDU被传播出去.当交换机端口收到该BPDU后,它将解读该摘要信息,和自身的摘要信息做个比较,如果结果不同,那么该端口将成为MST区域的边界:

根据802.1s的定义,MST网桥必须能够处理至少两种实例:
1.一个IST(Internal Spanning Tree).
2.一个或多个MSTI(Multiple Spanning Tree Instance).
当然到目前为止,802.1s只是个"准标准",这些术语可能随着最终版的802.1s而有不同的叫法.CISCO支持1个IST和15个MSTI.

由于MST源自IEEE 802.1s,因此,要必须让802.1s和802.1q(CST)协同操作.IST实例向CST发送或从CST那里接收BPDU.IST实例其实是RSTP实例的简化,它扩展了MST区域里的CST.IST可以看做CST外部的整个MST区域的代表:

如上图,这两种图例职能相同.在典型的802.1d环境里,你可能会看到堵塞M和B之间的通信;同样的,你可能期望堵塞图中MST区域里的某个端口(而不是堵塞D).但是,由于IST是做为整个MST区域的代表,因此,你看到的就是对B和D的堵塞.

MSTI也是RSTP的简化版实例,它只存在于MST区域的内部.MSTI默认自动运行RSTP,而无需额外的配置.和IST不同的是,MSTI永远不会和MST区域外部通信.另外,只有IST会向MST区域外发送BPDU,而MSTI不会.在MST区域内,网桥相互交换MST BPDU,这些MST BPDU对IST来说可以看成是RSTP BPDU.

配置MST示例:
Switch(config)# spanning-tree mst configuration                   /---进入MST配置模式---/
Switch(config-mst)# instance 1 vlan 10-20          /---将VLAN 10到20映射到实例1里,VLAN范围为1-4094,实例范围为0-4094---/
Switch(config-mst)# name region1                                           /---命名MST区域,32字节长的字符,大小写敏感---/
Switch(config-mst)# revision 1                                           /---配置修正号,范围是0到65535---/
Switch(config-mst)# show pending                                     /---显示等待用户确认的配置信息---/

Pending MST configuration
Name    [region1]
Revision  1
Instance  Vlans Mapped
--------  ---------------------
0          1-9,21-4094
1          10-20
-------------------------------

Switch(config-mst)# exit                                             /---应用配置并退出MST配置模式---/
Switch(config)# spanning-tree mode mst             /---启用MST,同时让RSTP生效---/

指定MST根桥与配置MST网桥的优先级:
Switch(config)# spanning-tree mst {instance-id} root {primary|secondary} [diameter net-diameter [hello-time ses]]
对于MST,半径范围只能为0;默认配置信息2秒发送1次,可选修改范围为1-10秒.
Switch(config)# spanning-tree mst {instance-id} priority {priority}
端口优先级的值范围是0-61440,以4096递增,值越低,优先级越高,默认为32768.

配置MST端口优先级与路径开销:
Switch(config)# spanning-tree mst {instance-id} port-priority {priority}
端口优先级的值范围是0-240,以16递增,值越低,优先级越高.
Switch(config)# spanning-tree mst {instance-id} cost {cost}
路径开销的值范围是1到200000000,取决于接口带宽.

配置MST的相关计时器:
Switch(config)# spanning-tree mst hello-time {sec}
默认配置信息2秒发送1次,可选修改范围为1-10.
Switch(config)# spanning-tree mst forward-time {sec}
默认转发延迟为15秒,可选修改范围为4-30.
Switch(config)# spanning-tree mst max-age {sec}
指定MST实例的最大生存周期,默认为20秒,可选修改范围为6-40.

指定BPDU的最大跳数:
Switch(config)# spanning-tree mst max-hops {hop-count}
默认为20跳,可选修改范围为1-255.

定义链路类型为点到点:
Switch(config-if)# spanning-tree link-type point-to-point

一些验证命令:
Switch#show spanning-tree mst configuration
验证MST区域信息.
Switch#show spanning-tree mst [instance-id]
验证MST实例信息.
Switch#show spanning-tree mst interface [interface-id]
验证特定接口的MST实例信息.

可冉 2009-04-03 23:45 发表评论

EIGRP传递默认路由方法总结

可冉 — Fri, 03 Apr 2009 15:43:00 GMT

EIGRP传递默认路由方法总结
很多学习eigrp的人对怎么在eigrp域内传播默认路由感到很迷惑,下面我总结了一下,一一都验证过的,大家可以借鉴学习.

1：写一条默认路由，network到EIGRP进程
ip route 0.0.0.0 0.0.0.0 interface (接口必须是up而且要有address，或者是null0,也可以是lookback接口)

router eigrp AS
network 0.0.0.0

缺点:会在宣告的路由器上,将所有接口激活.包括你不想激活的接口
注意在RIP中创建的默认路由不会从所跟的接口和能到达下跳地址的接口传递出去但是EIGRP可以这个是因为水平分割在RIP中是默认关闭的而EIGRP不是。

2：写一条默认路由，重分布静态到EIGRP进程
ip route 0.0.0.0 0.0.0.0 interface(接口必须是up而且要有address或者是null0)
router eirp AS
redistribute static metric 10000 100 255 1 1500 默认路由出现的形式D*EX
AD=170
和RIP的对比和第1种方法一样。

3：接口下手工汇总 ip summary-address eirp 90 0.0.0.0 0.0.0.0 ,在连接eigrp内部router的接口上汇总
0.0.0.0的默认路由会传递给接口连接的邻居(不在乎auto/no auto-summary/也不需要写静态)
缺点:具有方向性.具有抑制明细的特点。
当RIP时必须创建默认路由,才能传播进去

4、ip default-network x.x.x.x(必须主类的网络)
并且这条路由要能出现在本地路由表和整个网络中(也就是说必须在eigrp路由模式下用network指令把这条路由宣告进去)

(不需要静态路由）

因此需要作auto-summary
或者手工汇总

如果你 no auto-summary,那么必须有一条静态路由来指出这是个主类的,并且以主类的方式传播进eigrp区域内

邻居的路由表里也必须是汇总路由
如果将学到路由当作传递的缺省网络.此时路由条目必须是主类
(传递的要求是主类路由带有"D*")
EIGRP不会产生0.0.0.0的默生路由，而是借用带有D*的路由的下一跳做为缺省下一跳。
RIP传递是一条0.0.0.0/0的默认路由。

在EIGRP中default-information 不是用来传递默认路由而是用来控制（但是RIP是）

default-information allow in 是默认在进程中开启,允许所有可传递的默认网络进入本路由器

default-information allow out 是默认在进程中开启,允许所有可传递的默认网络传递出本路由器

命令前加no跟out或者in.表示不允许进入默认路由或者传递默认路由,而不是no掉此命令

可冉 2009-04-03 23:43 发表评论

OSPF 疑重难要14点

可冉 — Fri, 03 Apr 2009 15:34:00 GMT

1、BDR与DR辩析
  BDR与DR同样会接收路由更新、但不发送。

2、ROUTER-ID的取值
  取最高本地物理接口的IP作为ROUTER-ID。（LOOPBACK）优先。如无LOOPBACK地址情况下，本地IP地址最高的物理接口的IP地址，将会成为本路由器的ROUTER-ID，不论此接口是否SHUTDOWN！

3、point-to-point链路上无需选举DR、BDR，所以没有第2类LSA，可用show ip ospf database命令验证，结果应无network link LSA。

4、DR、BDR选举过程
  先从所有合适的路由器中（priority值不为0）选举出BDR，再从BDR中选举DR。接着重复上一个步骤重新选举BDR。

5、DR、BDR选举具有占先特性，一旦决定了，不会变更，除非重启或断电。这就意味着如果一台低priority的路由器首先被加电启动，不论如何，它都将成为DR。后续所有具有高priority的路由器都只能做为DROTHER。（ISIS中DIS选举具有抢夺性！）

6、OSPF在point-to-multipoint网络中，使用host routes（主机路由）确保spoke-to-spoke在这种环境中的网络可达性。

7、本地所有DR、BDR路由器的IP：224.0.0.6
本地所有DROTHER路由器的IP：224.0.0.5
当路由拓扑发生变化时，直连路由器将首先将这种变化告知本域内所有DR、BDR路由器（使用第1类LSA），DR、BDR路由器负责通告给全网DROTHER路由器，地址是224.0.0.5（使用第2类LSA）

8、network精确指定接口的意义
  router os 7
network 172.16.0.0 0.0.255.255 area 0
  这里network命令的作用是指，属于这个网段的接口将参与OSPF路由。在这里使用B类通配符意思是，可以用一条命令同时指定多个接口。
  router os 7
network 172.16.1.1 0.0.0.0 area 0
  这里network命令精确指定了172.16.1.1这个接口将参与OSPF路由，此时如果想再指定第二个接口，我们将不得不再输入第二个命令network 172.16.2.2 area 0。但是这样做的好处在于，如果172.16.2.2这个网段出了问题，通过手动去掉这条命令可以很快隔离网络故障。但在第1条命令下(network 172.16.0.0)，我们去掉network命令将会同时影响到172.16.1.1这个网段，造成网络不稳定！
  我们精确指定某个接口参与路由后，OSPF会提取路由器接口的IP和MASK加至路由表。

9、思科建议一个ABR上只运行一个ospf process，最多3个ospf area。

10、一台路由器上可同时运行多个ospf进程，每个进程将会生成各自的OSPF database。一个区域内多台路由器上运行的不同的OSPF process可以正常通信。

11、OSPF的area有几种类型：
  stub area、totally stubby area、not-so-stubby area（NSSA）
  totally stubby area属性为思科私有。

12、查标准area 2内路由器上是否有第3类LSA（summary network link LSA）
方法：show ip ospf database

13、totally stubby area只需在ABR上进行配置，因为它直接负责block第3类LSA。

14、汇总方法总结
ABR：area 0 rang 172.16.0.0 255.255.0.0
ASBR：summary-address 172.16.0.0 255.255.0.0

可冉 2009-04-03 23:34 发表评论

CCNP: Frame-relay的几个总结

可冉 — Thu, 26 Feb 2009 03:11:00 GMT

1、帧中继是NBMA介质，默认的情况下广播包不会从封装了frame-relay的端口出去；

2、frame-relay有反向ARP功能，能自动发现PVC对端的IP地址；

3、对于没有PVC直接连接的两端，需要静态配置MAP语句；

4、由于Split-horizon特性，中心路由器不会转发路由信息包；有两种解决方案：a\在中心路由器上关闭split-horizon；b\使用子接口；

5、lmi是帧中继交换机和路由器之间的keepalive协议。现在的IOS自动发现lmi的类型，无须手工配置；

6、dlci只具有本地意义；

7、常用查看命令：show frame-relay pvc; 这个命令可以看到DLCI的状态，以及FECN、BECN、DE等统计，如果配置了流量整形，还可以看到相关的统计；show frame-relay map;可看到动态发现或静态配置的映射表； show int s1/0可看到端口封装、LMI状态、端口类型（DCE或DTE）等；debug frame-relay packet启动帧中继数据包调试。

可冉 2009-02-26 11:11 发表评论

PDH与SDH的区分

可冉 — Sun, 14 Dec 2008 01:10:00 GMT

在数字通信系统中，传送的信号都是数字化的脉冲序列。这些数字信号流在数字交换设备之间传输时，其速率必须完全保持一致，才能保证信息传送的准确无误，这就叫做“同步”。
　　在数字传输系统中，有两种数字传输系列，一种叫“准同步数字系列”（Plesiochronous Digital Hierarchy），简称PDH；另一种叫“同步数字系列”（Synchronous Digital Hierarchy），简称SDH。
　　采用准同步数字系列（PDH）的系统，是在数字通信网的每个节点上都分别设置高精度的时钟，这些时钟的信号都具有统一的标准速率。尽管每个时钟的精度都很高，但总还是有一些微小的差别。为了保证通信的质量，要求这些时钟的差别不能超过规定的范围。因此，这种同步方式严格来说不是真正的同步，所以叫做“准同步”。
　　在以往的电信网中，多使用PDH设备。这种系列对传统的点到点通信有较好的适应性。
随着数字通信的迅速发展，点到点的直接传输越来越少，而大部分数字传输都要经过转接，因而PDH系列便不能适合现代电信业务开发的需要，以及现代化电信网管理的需要。SDH就是适应这种新的需要而出现的传输体系。
　　SDH技术与PDH技术相比，有如下明显优点：
　　1、统一的比特率，统一的接口标准，为不同厂家设备间的互联提供了可能。附图是SDH和PDH在复用等级及标准上的比较。
　　2、网络管理能力大大加强。
　　3、提出了自愈网的新概念。用SDH设备组成的带有自愈保护能力的环网形式，可以在传输媒体主信号被切断时，自动通过自愈网恢复正常通信。
　　4、采用字节复接技术，使网络中上下支路信号变得十分简单。
　　由于SDH具有上述显著优点，它将成为实现信息高速公路的基础技术之一。但是在与信息高速公路相连接的支路和叉路上，PDH设备仍将有用武之地。

可冉 2008-12-14 09:10 发表评论

IEEE802局域网标准

可冉 — Mon, 04 Aug 2008 03:07:00 GMT

IEEE802局域网标准

IEEE是英文Institute of Electrical and Electronics Engineers的简称，其中文译名是电气和电子工程师协会。该协会的总部设在美国，主要开发数据通信标准及其他标准。IEEE802委员会负责起草局域网草案，并送交美国国家标准协会（ANSI）批准和在美国国内标准化。IEEE还把草案送交国际标准化组织（ISO）。ISO把这个802规范称为ISO 8802标准，因此，许多IEEE标准也是ISO标准。例如，IEEE 802.3标准就是ISO 802.3标准。

IEEE 802规范定义了网卡如何访问传输介质（如光缆、双绞线、无线等），以及如何在传输介质上传输数据的方法，还定义了传输信息的网络设备之间连接建立、维护和拆除的途径。遵循IEEE 802标准的产品包括网卡、桥接器、路由器以及其他一些用来建立局域网络的组件。

一、IEEE802委员会
IEEE802委员会成立于1980年初，专门从事局域网标准的制定工作，该委员会分成三个分会：
传输介质分会----研究局域网物理层协议
信号访问控制分会----研究数据链路层协议
高层接口分会----研究从网络层到应用层的有关协议
二、IEEE802局域网标准系列
IEEE802是一个局域网标准系列
IEEE802.1A------局域网体系结构
IEEE802.1B------寻址、网络互连与网络管理
IEEE802.2-------逻辑链路控制(LLC)
IEEE802.3-------CSMA/CD访问控制方法与物理层规范
IEEE802.3i------10Base-T访问控制方法与物理层规范
IEEE802.3u------100Base-T访问控制方法与物理层规范
IEEE802.3ab-----1000Base-T访问控制方法与物理层规范
IEEE802.3z------1000Base-SX和1000Base-LX访问控制方法与物理层规范
IEEE802.4-------Token-Bus访问控制方法与物理层规范
IEEE802.5-------Token-Ring访问控制方法
IEEE802.6-------城域网访问控制方法与物理层规范
IEEE802.7-------宽带局域网访问控制方法与物理层规范
IEEE802.8-------FDDI访问控制方法与物理层规范
IEEE802.9-------综合数据话音网络
IEEE802.10------网络安全与保密
IEEE802.11------无线局域网访问控制方法与物理层规范
IEEE802.12------100VG-AnyLAN访问控制方法与物理层规范
三、IEEE802局域网模型
IEEE802标准定义了ISO/OSI的物理层和数据链路层，
1.物理层
物理层包括物理介质、物理介质连接设备(PMA)、连接单元(AUI)和物理收发信号格式(PS)。物理层的主要功能是提供编码、解码、时钟提取与同步、发送、接收和载波检测等，为数据链路层提供服务。
2.数据链路层
数据链路层包括逻辑链路控制(LLC)子层和介质访问控制(MAC)子层
LLC子层的主要功能是控制对传输介质的访问。目前，常用LLC协议有：CSMA/CD、Token-Bus、Token-Ring和FDDI。
MAC子层的主要功能是提供连接服务类型，其中，面向连接的服务能提供可靠的通信。

可冉 2008-08-04 11:07 发表评论

DEBUG命令大全

可冉 — Mon, 09 Jun 2008 00:34:00 GMT

Debug
启动 Debug，它是可用于测试和调试 MS-DOS 可执行文件的程序。
Debug [[drive:][path] filename [parameters]]
参数
[drive:][path] filename
指定要测试的可执行文件的位置和名称。
parameters
指定要测试的可执行文件所需要的任何命令行信息。
++
说明
使用 Debug 命令但不指定要测试的文件
如果使用没有位置和文件名的 Debug 命令，然后键入所有的 Debug 命令以响应 Debug 提示符，连字符 (-)。
Debug 命令
以下是 Debug 命令列表：
? 显示 Debug 命令列表。
a 汇编 8086/8087/8088 记忆码。
c 比较内存的两个部分。
d 显示部分内存的内容。
e 从指定地址开始，将数据输入到内存。
f 使用指定值填充一段内存。
g 运行在内存中的可执行文件。
h 执行十六进制运算。
i 显示来自特定端口的 1 字节值。
l 将文件或磁盘扇区内容加载到内存。
m 复制内存块中的内容
/n 为 l 或 w 命令指定文件，或者指定正在测试的文件的参数。
o 向输出端口发送 1 个字节的值。
p 执行循环、重复的字符串指令、软件中断或子例程。
q 停止 Debug 会话。
r 显示或改变一个或多个寄存器。
s 在部分内存中搜索一个或多个字节值的模式。
t 执行一条指令，然后显示所有寄存器的内容、所有标志的状态和 Debug 下一步要执行的指令的解码形式。
u 反汇编字节并显示相应的原语句。
w 将被测试文件写入磁盘。
xa 分配扩展内存。
xd 释放扩展内存。
xm 映射扩展内存页。
xs 显示扩展内存的状态。
分隔命令参数
所有 Debug 命令都接受参数，除了 q 命令之外。可以用逗号或空格分隔参数，但是只有在两个十六进制值之间才需要这些分隔符。因此，以下命令等价：
dcs:100 110
d cs:100 110
d,cs:100,110
指定有效地址项
Debug 命令中的 address 参数指定内存位置。Address 是一个包含字母段记录的二位名称或一个四位字段地址加上一个偏移量。可以忽略段寄存器或段地址。a，g，l，t，u 和 w 命令的默认段是 CS。所有其他命令的默认段是 DS。所有数值均为十六进制格式。
有效地址如下：
CS:0100
04BA:0100
在段名和偏移量之间要有冒号。
指定有效范围项
Debug 命令中的 range 参数指定了内存的范围。可以为 range 选择两种格式：起始地址和结束地址，或者起始地址和长度范围（由 l 表示）。
例如，下面的两个语法都可以指定从 CS:100 开始的 16 字节范围：
cs:100 10f
cs:100 l 10
++
Debug 子命令
选择 Debug 命令以获得详细信息。
Debug:A（汇编）
Debug:C（比较）
Debug（转储）
Debug:E（键入）
Debug:F（填充）
Debug:G（转向）
Debug:H（十六进制）
Debug:I（输入）

Debug:L（加载）
Debug:M（移动）
Debug:N（名称）
Debug:O（输出）
Debug:P（执行）
Debug:Q（退出）
Debug:r（寄存器）
Debug:s（搜索）
Debug:T（跟踪）
Debug:U（反汇编）
Debug:W（写入）
Debug:XA（分配扩展内存）
Debug:XD（取消分配扩展内存）
Debug:XM（映射扩展内存页）
Debug:XS（显示扩展内存状态）
***********************Debug子命令******************************
Debug:A（汇编）
直接将 8086/8087/8088 记忆码合并到内存。
该命令从汇编语言语句创建可执行的机器码。所有数值都是十六进制格式，必须按一到四个字符输入这些数值。在引用的操作代码（操作码）前指定前缀记忆码。
a [address]
参数
address
指定键入汇编语言指令的位置。对 address 使用十六进制值，并键入不以“h”字符结尾的每个值。如果不指定地址，a 将在它上次停止处开始汇编。
有关将数据输入到指定字节中的信息，请单击“相关主题”列表中的 Debug E（键入）。
有关反汇编字节的信息，请单击“相关主题”列表中的 Debug U（反汇编）。
范例
a 命令支持所有形式的间接注册命令，如下例所示：
add bx,34[bp+2].[si-1]
pop [bp+di]
push [si] )
还支持所有操作码同义词，如下例所示：
loopz 100
loope 100
ja 200
jnbe 200
对于 8087 操作码，必须指定 wait 或 fwait 前缀，如下例所示：
fwait fadd st,st(3) ; this line assembles
; an fwait prefix
说明
使用记忆码
段的替代记忆码为 cs:、ds:、es: 和 ss:。远程返回的记忆码是 retf。字符串处理的记忆码必须明确声明字符串大小。例如，使用 movsw 可以移动 16 位的字串，使用 mov***（文字因故被系统屏蔽）***（文字因故被系统屏蔽）可以移动 8 位字节串。
汇编跳转和调用
汇编程序根据字节替换自动将短、近和远的跳转及调用汇编到目标地址。通过使用 near 或 far 前缀可以替代这样的跳转或调用，如下例所示：
-a0100:0500
0100:0500 jmp 502 ; a 2-byte short jump
0100:0502 jmp near 505 ; a 3-byte near jump
0100:0505 jmp far 50a ; a 5-byte far jump
可以将 near 前缀缩写为 ne。
区分字和字节内存位置
当某个操作数可以引用某个字内存位置或者字节内存位置时，必须用前缀 Word ptr 或者前缀 byte ptr 指定数据类型。可接受的缩写分别是 wo 和 by。以下范例显示两种格式：
dec wo [si]
neg byte ptr [128]
指定操作数
Debug 使用包括在中括号 ([ ]) 的操作数引用内存地址的习惯用法。这是因为另一方面 Debug 不能区分立即操作数和内存地址的操作数。以下范例显示两种格式：

mov ax,21 ; load AX with 21h
mov ax,[21] ; load AX with the
; contents of
; memory location 21h
使用伪指令
使用 a 命令提供两个常用的伪指令：db 操作码，将字节值直接汇编到内存，dw 操作码，将字值直接汇编到内存。以下是两个伪指令的范例：
db 1,2,3,4,"THIS IS AN EXAMPLE"
db THIS IS A QUOTATION MARK:"
db "THIS IS A QUOTATION MARK:"
dw 1000,2000,3000,"BACH"
++
Debug:C（比较）
比较内存的两个部分。
c range address
参数
range
指定要比较的内存第一个区域的起始和结束地址，或起始地址和长度。有关有效的 range 值的信息，请单击“相关主题”列表中的“Debug 说明”。

address
指定要比较的第二个内存区域的起始地址。有关有效 address 值的信息，请单击“相关主题”列表中的“Debug 说明”。
++
范例
以下命令具有相同效果：
c100,10f 300
c100l10 300
每个命令都对 100h 到 10Fh 的内存数据块与 300h 到 30Fh 的内存数据块进行比较。
Debug 响应前面的命令并显示如下信息（假定 DS = 197F）：
197F:0100 4D E4 197F:0300
197F:0101 67 99 197F:0301
197F:0102 A3 27 197F:0302
197F:0103 35 F3 197F:0303
197F:0104 97 BD 197F:0304
197F:0105 04 35 197F:0305
197F:0107 76 71 197F:0307
197F:0108 E6 11 197F:0308
197F:0109 19 2C 197F:0309
197F:010A 80 0A 197F:030A
197F:010B 36 7F 197F:030B
197F:010C BE 22 197F:030C
197F:010D 83 93 197F:030D
197F:010E 49 77 197F:030E
197F:010F 4F 8A 197F:030F
注意列表中缺少地址 197F:0106 和 197F:0306。这表明那些地址中的值是相同的。
++
说明
如果 range 和 address 内存区域相同，Debug 将不显示任何内容而直接返回到 Debug 提示符。如果有差异，Debug 将按如下格式显示：
address1 byte1 byte2 addess2
++++
Debug（转储）
显示一定范围内存地址的内容。
d [range]
参数
range
指定要显示其内容的内存区域的起始和结束地址，或起始地址和长度。有关有效的 range 值的信息，请单击“相关主题”列表中的“Debug 说明”。如果不指定 range，Debug 程序将从以前 d 命令中所指定的地址范围的末尾开始显示 128 个字节的内容。
有关显示寄存器内容的信息，请单击“相关主题”列表中的 Debug R（寄存器）。
++
范例
假定键入以下命令：
dcs:100 10f
Debug 按以下格式显示范围中的内容：
04BA:0100 54 4F 4D 00 53 41 57 59-45 52 00 00 00 00 00 00 TOM.SAWYER......

如果在没有参数的情况下键入 d 命令，Debug 按以前范例中所描述的内容来编排显示格式。显示的每行以比前一行的地址大 16 个字节（如果是显示 40 列的屏幕，则为 8 个字节）的地址开头。
对于后面键入的每个不带参数的 d 命令，Debug 将紧接在最后显示的命令后立即显示字节内容。
如果键入以下命令，Debug 将从 CS:100 开始显示 20h 个字节的内容：
dcs:100 l 20
如果键入以下命令，Debug 将显示范围从 CS 段的 100h 到 115h 中所有字节的内容：
dcs:100 115
++
说明
当使用 d 命令时，Debug 以两个部分显示内存内容：十六进制部分（每个字节的值都用十六进制格式表示）和 ASCII 码部分（每个字节的值都用 ASCII 码字符表示)。每个非打印字符在显示的 ASCII 部分由句号 (.) 表示。每个显示行显示 16 字节的内容，第 8 字节和第 9 字节之间有一个连字符。每个显示行从 16 字节的边界上开始。
++
Debug:E（键入）
将数据输入到内存中指定的地址。
可以按十六进制或 ASCII 格式键入数据。以前存储在指定位置的任何数据全部丢失。

e address
参数
address
指定输入数据的第一个内存位置。
list
指定要输入到内存的连续字节中的数据。
有关集成记忆码的信息，请单击“相关主题”列表中的 Debug A（汇编）。
有关显示内存部分内容的信息，请单击“相关主题”列表中的 Debug D （转储）。
++
范例
假定键入以下命令：
ecs:100
Debug 按下面的格式显示第一个字节的内容：
04BA:0100 EB.
要将该值更改为 41，请在插入点键入 41，如下所示：
04BA:0100 EB.41_
可以用一个 e 命令键入连续的字节值。在键入新值后按 SPACEBAR（空格键），而不是按 ENTER 键。Debug 显示下一个值。在此范例中，如果按三次 SPACEBAR（空格键），Debug 将显示下面的值：
04BA:0100 EB.41 10. 00. BC._
要将十六进制值 BC 更改为 42，请在插入点键入 42，如下所示：
04BA:0100 EB.41 10. 00. BC.42_
假定决定值 10 应该是 6F。要纠正该值，请按 HYPHEN 键两次以返回到地址 0101（值 10）。Debug 显示以下内容：
04BA:0100 EB.41 10. 00. BC.42-
04BA:0102 00.-
04BA:0101 10._
在插入点键入 6f 更改值，如下所示：
04BA:0101 10.6f_
按 ENTER 停止 e 命令并返回到 Debug 提示符下。
以下是字符串项的范例：
eds:100 "This is the text example"
该字符串将从 DS:100 开始填充 24 个字节。
++
说明
使用 address 参数
如果在没有指定可选的 list 参数的值情况下指定 address 的值，Debug 将显示地址和内容，在下一行重复地址，并等待您的输入。此时，您可以执行下列操作之一：
· 替换字节值。为此，请在当前值后键入新值。如果您键入的值不是有效的十六进制值，或该值包含两个以上的数字，则 Debug 不会回显无效或额外的字符。
· 进入下一个字节。为此，请按 SPACEBAR（空格键）。要更改该字节中的值，请在当前值后键入新值。如果按 SPACEBAR（空格键）时，移动超过了 8 位界限，Debug 程序将显示新的一行并在行首显示新地址。

· 返回到前一个字节。为此，请按 HYPHEN 键 (-)。可以反复按 HYPHEN 键 (-) 向后移动超过多个字节。在按 HYPHEN 时，Debug 开始新行并显示当前地址和字节值。
· 停止执行 e 命令。为此，请按 ENTER 键。在任何字节位置都可以按 ENTER。
使用 list 参数
如果指定 list 参数的值，随后的 e 命令将使用列表中的值替换现有的字节值。如果发生错误，将不更改任何字节值。
List 值可以是十六进制字节或字符串。使用空格、逗号或制表符来分隔值。必须将字符串包括在单或双引号中。
++++
Debug:F（填充）
使用指定的值填充指定内存区域中的地址。
可以指定十六进制或 ASCII 格式表示的数据。任何以前存储在指定位置的数据将会丢失。
f range list
参数
range
指定要填充内存区域的起始和结束地址，或起始地址和长度。关于有效的 range 值的信息，请单击“相关主题”列表中的“Debug 说明”。
list
指定要输入的数据。List 可以由十六进制数或引号包括起来的字符串组成。
++
范例
假定键入以下命令：
f04ba:100l100 42 45 52 54 41
作为响应，Debug 使用指定的值填充从 04BA:100 到 04BA:1FF 的内存位置。Debug 重复这五个值直到 100h 个字节全部填满为止。
++
说明
使用 range 参数
如果 range 包含的字节数比 list 中的数值大，Debug 将在 list 中反复指派值，直到 range 中的所有字节全部填充。
如果在 range 中的任何内存损坏或不存在，Debug 将显示错误消息并停止 f 命令。
使用 list 参数
如果 list 包含的数值多于 range 中的字节数，Debug 将忽略 list 中额外的值。
++
Debug:G（转向）
运行当前在内存中的程序。
g [=address] [breakpoints]
参数
=address
指定当前在内存中要开始执行的程序地址。如果不指定 address，windows 2000 将从 CS:IP 寄存器中的当前地址开始执行程序。
breakpoints
指定可以设置为 g 命令的部分的 1 到 10 个临时断点。
有关执行循环、重复的字符串指令、软件中断或子程序的信息，请单击“相关主题”列表中的 Debug P（执行）。
有关执行指令的信息，请单击“相关主题”列表中的 Debug T（跟踪）。
范例
假定键入以下命令：
gcs:7550
Windows 2000 运行当前内存中的程序，直到执行到 CS 段中的断点地址 7550 为止。Debug 将显示寄存器的内容和标志的状态并结束 g 命令。
以下命令设置两个断点：
gcs:7550, cs:8000
如果在 Debug 遇到断点之后再次键入 g 命令，将从在断点之后的指令开始执行，而不是在通常的开始地址执行。
++
说明
使用 address 参数
必须在 address 参数之前使用等号 (=) 以区分开始地址 (address) 和断点地址 (breakpoints)。
指定断点
程序在它遇到的第一个断点处停止，而不论您在 breakpoint 列表的什么位置键入断点。Debug 在每个断点处用中断代码代替原始指令。

当程序到达断点时，Debug 将所有断点地址恢复到它们的最初指令并显示所有寄存器的内容、所有标记的状态以及最后执行指令的解码形式。Debug 显示的信息与使用 Debug r（寄存器）命令并指定断点时所显示的信息相同。
如果不在断点处停止程序，Debug 程序将不使用原始指令替换中断代码。
设置断点的限制
可以只在包含 8086 操作代码（操作码）的第一个字节的地址上设置断点。如果设置了 10 个以上的断点，Debug 将显示以下信息：
bp error
对用户堆栈指针的要求
用户堆栈指针必须有效且必须有 6 个字节可用于 g 命令。该命令使用 iret 指令跳转到正在被测试的程序。Debug 设置用户堆栈指针并将用户标志、代码段寄存器和指令指针压入用户堆栈。（如果用户堆栈无效或太小，操作系统可能会失败。）Debug 在指定的断点处设置中断代码 (0CCh)。
重新启动程序
不要在 Windows 2000 显示以下消息后尝试重新启动程序；
Program terminated normally
要正确地运行程序，必须通过使用 Debug n（名称）和 l（加载）命令重新加载该程序。
++++
Debug:H（十六进制）
对指定的两个参数执行十六进制运算。
h value1 value2
参数
value1
代表从 0 到 FFFFh 范围内的任何十六进制数字。
value2
代表从 0 到 FFFFh 范围内第二个十六进制数字。
++
范例
假定键入以下命令：
h19f 10a
Debug 执行运算并显示以下结果。
02A9 0095
++
说明
Debug 首先将指定的两个参数相加，然后从第一个参数中减去第二个参数。这些计算的结果显示在一行中：先计算和，然后计算差。
++++
Debug:I（输入）
从指定的端口读取并显示一个字节值。
i port
参数
port
按地址指定输入端口。地址可以是 16 位的值。
有关将字节值发送到输出端口的信息，请单击“相关主题”列表中的 Debug O（输出）。
++
范例
假定键入以下命令：
i2f8
同时假定端口的字节值是 42h。Debug 读取该字节，并将其值显示如下：
42
++
Debug:L（加载）
将某个文件或特定磁盘扇区的内容加载到内存。
要从磁盘文件加载 BX:CX 寄存器中指定的字节数内容，请使用以下语法：
l [address]
要略过 Windows 2000 文件系统并直接加载特定的扇区，请使用以下语法：
l address drive start number
参数
address
指定要在其中加载文件或扇区内容的内存位置。如果不指定 address，Debug 将使用 CS 寄存器中的当前地址。
drive
指定包含读取指定扇区的磁盘的驱动器。该值是数值型：0 = A, 1 = B, 2 = C 等。
start
指定要加载其内容的第一个扇区的十六进制数。
number
指定要加载其内容的连续扇区的十六进制数。只有要加载特定扇区的内容而不是加载 debug 命令行或最近的 Debug n（名称）命令中指定的文件时，才能使用 drive、start 和 number 参数。
有关指定用于 l 命令的文件的信息，请单击“相关主题”列表中的 Debug n（名称）。

有关写入调试到磁盘的文件的信息，请单击“相关主题”列表中的 Debug w（写入）。
++
范例
假定启动 Debug 并键入以下命令：
nfile.com
现在可以键入 l 命令以加载 File.com。Debug 将加载文件并显示 Debug 提示符。
假定需要从驱动器 C 将起始逻辑扇区为 15 (0Fh) 的 109 (6Dh) 个扇区的内容加载到起始地址为 04BA:0100 的内存中。为此，请键入以下命令：
l04ba:100 2 0f 6d
++
注意
使用不带参数的 l 命令
当使用不带参数的 l 命令时，在 debug 命令行上指定的文件将加载到内存中，从地址 CS:100 开始。Debug 同时将 BX 和 CX 寄存器设置为加载的字节数。如果不在 debug 命令行指定文件，所装入的文件将是最近使用 n 命令经常指定的文件。
使用具有 address 参数的 1 命令
如果使用带 address 参数的 l 命令，Debug 将从内存位置 address 开始加载文件或指定扇区的内容。
使用带全部参数的 l 命令
如果使用带所有参数的 l 命令，Debug 将加载指定磁盘扇区的内容而不是加载文件。
加载特定扇区的内容

指定范围内的每个扇区均从 drive 读取。Debug 从 start 开始加载，直到在 number 中指定的扇区数中的内容全部被加载。
加载 .exe 文件
Debug 忽略 .exe 文件的地址 address 参数。如果指定 .exe 文件，Debug 将文件重新定位到 .exe 文件的标题中指定的加载地址。在 .exe 文件被加载到内存前，标题自身从 .exe 文件脱离，因此磁盘上的 .exe 文件大小与内存中的不同。如果要检查整个 .exe 文件，请使用不同的扩展名重命名文件。
打开十六进制文件
Debug 将具有 .hex 扩展名的文件认为十六进制格式文件。键入不带参数的 l 命令，可以加载从十六进制文件中指定的地址处开始的十六进制文件。如果键入的 l 命令包含 address 参数，Debug 将把指定的地址加到在十六进制文件中找到的地址上，以确定起始地址。
++++
Debug:M（移动）

将一个内存块中的内容复制到另一个内存块中。
m range address
参数
range
指定要复制内容的内存区域的起始和结束地址，或起始地址和长度。
address
指定要将 range 内容复制到该位置的起始地址。
++
范例
假定键入以下命令：
mcs:100 110 cs:500
Debug 首先将 CS:110 地址中的内容复制到地址 CS:510 中，然后将 CS:10F 地址中的内容复制到 CS:50F 中，如此操作直至将 CS:100 地址中的内容复制到地址 CS:500 中。要查看结果，请使用 Debug d（转储）命令，并使用 m 命令指定目标地址。
++
说明
复制操作对现有数据的影响
如果新数据没有写入正在被复制的数据块中的地址，则源数据将保持不变。但是，如果目标块已经包含数据(就象它在覆盖副本操作中一样)，则将改写该数据。（覆盖复制操作是指那些目标数据块部分内容覆盖原数据块部分内容的操作。）
执行覆盖复制操作
m 命令执行目标地址的覆盖复制操作，而不丢失数据。将改写的地址内容首先复制。因此，如果将较高位地址的数据复制到较低位地址，则复制操作从原块的最低位地址开始并向最高位地址进行。反之，如果要将数据从低地址复制到高地址，复制操作从原块的最高地址开始，向最低地址进行。
++++
Debug:N（名称）
指定 Debug l（加载）或 w（写入）命令的可执行文件的名称，或者指定正在调试的可执行文件的参数。

n [drive:][path] filename
要指定测试的可执行文件的参数，请使用以下语法：
n file-parameters
参数
如果在没有参数的情况下使用，则 n 命令清除当前规范。
[drive:][path] filename
指定要测试的可执行文件的位置和名称。
file-parameters
为正在测试的可执行文件指定参数和开关。
有关将文件或指定磁盘扇区的内容加载到内存中的信息，请单击“相关主题”列表中的 Debug L（加载）。
有关写入调试到磁盘的文件的信息，请单击“相关主题”列表中的 Debug W（写入）。
++
范例
假定已经启动 Debug，并加载了正在调试的程序 Prog.com。接着您决定为 Prog.com 指定两个参数并运行此程序。以下是此范例的命令序列：
debug prog.com
nparam1 param2
g
在这种情况下，Debug g（转向）命令会运行该程序，就好像您已在 Windows 2000 命令提示符后键入了如下命令：
prog param1 param2
所以，测试和调试反映 Prog.com 通常的运行时间环境。
在下面的命令序列中，第一个 n 命令将 File1.exe 指定为后接的 l（加载）命令的文件，该命令将 File1.exe 加载到内存。第二个 n 命令指定 File1.exe 将使用的参数。最后，g 命令将运行 File1.exe 文件，就好像您在 Windows 2000 命令行中键入了 File1 File2.dat File2.dat 一样。
nfile1.exe
l
nfile2.dat file3.dat
g
注意
· 不要在 n 命令的第二种形式后使用 l 命令。还要注意，如果现在使用 w（写入）命令，Windows 2000 将使用名称 File2.dat 保存正在调试的文件 File1.exe。为避免出现此结果，应该总是在 l 或 w 命令之前立即使用 n 命令的第一种形式。
++
说明
n 命令的两个用途
可以按两种方式使用 n 命令。首先，您可以使用它以指定后面的 l（加载）或 w（写入）命令所使用的文件。如果在没有命名所调试文件的情况下启动 Debug，必须在使用 l 命令加载文件之前使用命令 nfilename。在 CS:5C 为文件控制块 (FCB) 正确编排文件名的格式。其次，可以使用 n 命令指定被调试文件的命令行参数和开关。

内存区域
以下四个内存区域都会受到 n 命令的影响：
内存位置内容
CS:5C 文件 1 的文件控制数据块 (FCB)
CS:6C 文件 2 的文件控制数据块 (FCB)
CS:80 n 命令行的长度（以字符表示）
CS:81 n 命令行字符的开头
为 n 命令指定的第一个文件名被放在 CS:5C 的 FCB 中。如果指定第二个文件名，此名称将放置到 CS:6C 的 FCB 中。n 命令行上键入的字符数（除第一个字符之外，n）存储在位置 CS:80。n 命令行上的实际字符（再次，除了字母 n 之外）存储在以 CS:81 开头的位置。注意这些字符可以是在 Windows 2000 命令提示符下键入的命令中有效的任何开关和分隔符。
++++
Debug:O（输出）
将字节值发送到输出端口。
o port byte-value
参数
port
通过地址指定输出端口。端口地址可以是 16 位值。
byte-value
指定要指向 port 的字节值。
有关从输入端口读取字节值的信息，请单击“相关主题”列表中的 Debug I（输入）。

++
范例
要将字节值 4Fh 发送到地址为 2F8h 的输出端口，请键入以下命令：
o2f8 4f
++++
Debug:P（执行）
执行循环、重复的字符串指令、软件中断或子例程；或通过任何其他指令跟踪。
p [= address] [number]
参数
=address
指定第一个要执行指令的位置。如果不指定地址，则默认地址是在 CS:IP 寄存器中指定的当前地址。
number
指定在将控制返回给 Debug 之前要执行的指令数。默认值为 1。
有关运行当前在内存中程序的信息，请单击“相关主题”列表中的 Debug G（转向）。
有关执行指令的信息，请单击“相关主题”列表中的 Debug T（跟踪）。
++
范例
假定正在测试的程序在地址 CS:143F 处包含一个 call 指令。要运行 call 目标位置的子程序然后将控制返回到 Debug，请键入以下命令：
p=143f
Debug 按以下格式显示结果：
AX=0000 BX=0000 CX=0000 DX=0000 SP=FFEE BP=0000 SI=0000 DI=0000
DS=2246 ES=2246 SS=2246 CS=2246 IP=1443 NV UP EI PL NZ AC PO NC
2246:1442 7505 JNZ 144A
++
说明
将控制传送到要测试的程序
当 p 命令将控制从 Debug 传送到要测试的程序时，该程序不间断运行，直到循环、重复字符串指令、软件中断或者完成了指定地址的子例程为止，或者直到执行了指定数量的机器指令为止。控制返回到 Debug。
地址参数的限制
如果 address 参数没有指定段，Debug 将使用被测试程序的 CS 寄存器。如果省略 address，程序将从 CS:IP 寄存器所指定的地址开始执行。必须在 address 参数之前使用等号 (=) 以便将它与 number 参数区分。如果在指定地址处的指令不是循环、重复的字符串指令、软件中断或子例程，则 p 命令与 Debug t（跟踪）命令的作用相同。
使用 p 命令显示的邮件
当 p 执行完一段说明后，Debug 显示出程序的寄存器内容、标志的状态以及下一段将要被执行的指令的解码形式。
警告
· 不能使用 p 命令跟踪只读内存 (ROM)。
++++
Debug:Q（退出）
停止 Debug 会话，不保存当前测试的文件。
当您键入 q 以后，控制返回到 Windows 2000 的命令提示符。
q
参数
该命令不带参数。
有关保存文件的信息，请单击“相关主题”列表中的 Debug W（写入）。

++++
Debug:R（寄存器）
显示或改变一个或多个 CPU 寄存器的内容。
r [register-name]
参数
无
如果在没有参数的情况下使用，则 r 命令显示所有寄存器的内容以及寄存器存储区域中的标志。
register-name
指定要显示其内容的寄存器名。
有关显示内存部分内容的信息，请单击“相关主题”列表中的 Debug D（转储）。
有关反汇编字节的信息，请单击“相关主题”列表中的 Debug U（反汇编）。
++
范例
要查看所有寄存器的内容、所有标记的状态和当前位置的指令解码表，请键入以下命令：
r
如果当前位置是 CS:11A，显示外观将类似于以下内容：

AX=0E00 BX=00FF CX=0007 DX=01FF SP=039D BP=0000 SI=005C DI=0000
DS=04BA ES=04BA SS=04BA CS=O4BA IP=011A NV UP DI NG NZ AC PE NC
04BA:011A CD21 INT 21
要只查看标志的状态，请键入以下命令：
rf
Debug 按以下格式显示信息：
NV UP DI NG NZ AC PE NC - _
现在，您可以按任意顺序键入一个或多个有效的标志值，其中可以有或没有空格，如下所示：
nv up di ng nz ac pe nc - pleicy
Debug 结束 r 命令并显示 Debug 提示符。要查看更改，请键入 r 或 rf 命令。Debug 将显示以下内容：
NV UP EI PL NZ AC PE CY - _
按 ENTER 返回到 Debug 提示符。
++
说明
使用 r 命令
如果指定了寄存器名称，Windows 2000 将显示以十六进制标记表示的寄存器的 16 位值，并将冒号显示为提示符。如果要更改包含在寄存器中的值，除非键入新值并按 ENTER 键；否则，请按 ENTER 键返回 Debug 提示符。
有效寄存器名
以下是 register-name 的有效值：ax、bx、cx、dx、sp、bp、si、di、ds、es、ss、cs、ip、pc 及 f。ip 和 pc 都引用指令指针。
如果指定寄存器名称，而不是从前面的列表中指定，Windows 2000 将显示以下消息：
br error
使用 f 字符而不是寄存器名
如果键入 f 字符代替寄存器名，Debug 将每个标记的当前设置显示为两字母代码，然后显示 Debug 提示符。要更改标志的设置，请从下表中键入适当的两字母代码：
标志名设置清除
溢出 ov nv
方向 dn（减） up（增）
中断 ei（启用） di（禁用）
正负 ng（负） pl（正）
零 zr nz
辅助进位 ac na
奇偶校验 pe（偶校验） po（奇校验）
进位 cy nc
可以按任何顺序键入新的标志值。不需要在这些值之间留出空格。要停止 r 命令，请按 ENTER 键。任何没有指定新值的标志保持不变。
用 r 命令显示的邮件
如果为标记指定了多个值，Debug 将显示以下消息：
df error
如果指定没有在前面的表中列出的标志代码，Debug 将显示以下消息：
bf error
在这两种情况下，Debug 将忽略所有在无效项目之后指定的设置。
Debug 的默认设置
在启动 Debug 时，会将段寄存器设置到空闲内存的低端，指令指针设置为 0100h，清除所有标志，并且将其余寄存器设置为零，除了被设置为 FFEEh 的 sp 之外。
++++
Debug:S（搜索）
在某个地址范围搜索一个或多个字节值的模式。
s range list
参数
range
指定要搜索范围的开始和结束地址。有关 range 参数有效值的信息，请单击“相关主题”列表中的 Debug。

list
指定一个或多个字节值的模式，或要搜索的字符串。用空格或逗号分隔每个字节值和下一个字节值。将字符串值包括在引号中。
++
范例
假定需要查找包含值 41 并且范围从 CS:100 到 CS:110 的所有地址。为此，请键入以下命令：
scs:100 110 41
Debug 按以下格式显示结果：
04BA:0104
04BA:010D
-
以下命令在 CS:100 到 CS:1A0 的范围内搜索字符串“Ph”。

scs:100 1a0 "Ph"
++
说明
如果 list 参数包含多个字节值，Debug 将只显示出现字节值的第一个地址。如果 list 只包含一个字节值，Debug 将显示指定范围内出现该值的所有地址。
++++
Debug:T（跟踪）
执行一条指令，并显示所有注册的内容、所有标志的状态和所执行指令的解码形式。
t [=address] [number]
参数
=address
指定 Debug 启动跟踪指令的地址。如果省略 address 参数，跟踪将从程序的 CS:IP 寄存器所指定的地址开始。有关 address 参数有效值的信息，请单击“相关主题”列表中的 Debug。
number
指定要跟踪的指令数。该值必须是十六进制数。默认值为 1。
有关执行循环、重复的字符串指令、软件中断或子例程的信息，请单击“相关主题”列表中的 Debug P（执行）。
有关执行当前内存中程序的信息，请单击“相关主题”列表中的 Debug G（转向）。
++
范例
要执行一个指令（CS:IP 指向的指令），然后显示寄存器的内容、标志的状态以及指令的解码形式，请键入以下命令：
t
如果程序中的指令位于 04BA:011A，Debug 可能显示下列信息：
AX=0E00 BX=00FF CX=0007 DX=01FF SP=039D BP=0000 SI=005C DI=0000
DS=04BA ES=04BA SS=04BA CS=O4BA IP=011A NV UP DI NG NZ AC PE NC
04BA:011A CD21 INT 21
++
说明
跟踪只读内存中的指令
t 命令使用 8086 或 8088 微处理器的硬件跟踪模式。因此，也可以跟踪存储在只读内存 (ROM) 中的指令。
使用地址参数
必须在 address 参数之前使用等号 (=) 以便将它与 number 参数区分。
++++
Debug:U（反汇编）
反汇编字节并显示相应的原语句，其中包括地址和字节值。反汇编代码看起来象已汇编文件的列表。
u [range]
参数
无
如果在没有参数的情况下使用，则 u 命令分解 20h 字节（默认值），从前面 u 命令所显示地址后的第一个地址开始。
range
指定要反汇编代码的起始地址和结束地址，或起始地址和长度。有关 range 参数有效值的信息，请单击“相关主题”列表中的 Debug。
有关集成记忆码的信息，请单击“相关主题”列表中的 Debug A（汇编）。
有关显示内存部分内容的信息，请单击“相关主题”列表中的 Debug D（转储）。
++
范例
要反汇编 16 (10h) 字节，从地址 04BA:0100 开始，请键入以下命令：
u04ba:100l10
Debug 按以下格式显示结果：
04BA:0100 206472 AND [SI+72],AH
04BA:0103 69 DB 69
04BA:0104 7665 JBE 016B
04BA:0106 207370 AND [BP+DI+70],DH
04BA:0109 65 DB 65
04BA:010A 63 DB 63
04BA:010B 69 DB 69

04BA:010C 66 DB 66
04BA:010D 69 DB 69
04BA:010E 63 DB 63
04BA:010F 61 DB 61
如果只显示从 04BA:0100 到 04BA:0108 特定地址的信息，请键入以下命令：
u04ba:0100 0108

Debug 显示以下内容：
04BA:0100 206472 AND [SI+72],AH
04BA:0103 69 DB 69
04BA:0104 7665 JBE 016B
04BA:0106 207370 AND [BP+DI+70],DH
++++
Debug:W（写入）
将文件或特定分区写入磁盘。
要将在 BX:CX 寄存器中指定字节数的内容写入磁盘文件，请使用以下语法：
w [address]
要略过 Windows 2000 文件系统并直接写入特定的扇区，请使用以下语法：
w address drive start number
参数
address
指定要写到磁盘文件的文件或部分文件的起始内存地址。如果不指定 address，Debug 程序将从 CS:100 开始。关于 address 参数有效值的信息，请在“相关主题”列表中单击 Debug。
drive
指定包含目标盘的驱动器。该值是数值型：0 = A, 1 = B, 2 = C,等等。
start
指定要写入第一个扇区的十六进制数。
number
指定要写入的扇区数。
有关指定用于 w 命令的文件的信息，请单击“相关主题”列表中的 Debug N（名称）。
有关将文件或文件扇区内容加载到内存中的信息，请单击“相关主题”列表中的 Debug L（加载）。
范例
假定要将起始地址为 CS:100 的内存内容写入到驱动器 B 的磁盘中。需要将数据从磁盘的逻辑扇区号 37h 开始并持续 2Bh 个扇区。为此，键入以下命令：
wcs:100 1 37 2b
当写操作完成时，Debug 再次显示 Debug 提示符。
++
说明
必须在启动 Debug 时或者在最近的 Debug n（名称）命令中指定磁盘文件的名字。这两种方法都可以将地址 CS:5C 处文件控制块的文件名正确地编排格式。
在使用不带参数的 w 命令之前重新设置 BX:CX
如果使用了 Debug g（转向）、t（跟踪）、p（执行）或 r（寄存器）命令，必须在使用无参数的 w 命令之前，将 BX:CX 寄存器复位。
将修改后的文件写入磁盘
如果修改文件但不更改文件名、长度或起始地址，Debug 仍然可以正确地将文件写入源磁盘位置。
w 命令的限制
不能用该命令写入 .exe 或 .hex 文件。
警告
· 因为略过 Windows 2000 文件句柄，所以写入特定的分区非常危险。如果键入错误的值，则磁盘文件结构很容易被损坏。
++++
Debug:XA（分配扩展内存）
分配扩展内存的指定页面数。
要使用扩展内存，必须安装符合 4.0 版的 Lotus/Intel/Microsoft 扩展内存规范 (LIM EMS) 的扩展内存设备驱动程序。
xa [count]
参数
count
指定要分配的扩展内存的 16KB 页数。
有关使用扩展内存的其他 Debug 命令的信息，请单击“相关主题”列表中的 XD（释放扩展内存）、XM（映射扩展内存页）或 XS（显示扩展内存状态）。
++
范例
要分配扩展内存的 8 个页面，请键入以下命令：
xa8
如果命令成功，Debug 将显示类似的以下消息：
Handle created=0003

++
说明
如果指定的页面数可用，则 Debug 将显示消息，此消息表明所创建的句柄的十六进制数；否则，Debug 将显示错误消息。

++++
Debug:XD（释放扩展内存）
释放指向扩展内存的句柄。
要使用扩展内存，必须安装符合 4.0 版的 Lotus/Intel/Microsoft 扩展内存规范 (LIM EMS) 的扩展内存设备驱动程序。
xd [handle]
参数
handle
指定要释放的句柄。
有关使用扩展内存的其他 Debug 命令的信息，请单击“相关主题”列表中 XA（分配扩展内存）、XM（映射扩展内存页）或 XS（显示扩展内存状态）。
++
范例
要释放句柄 0003，请键入以下命令：
xd 0003
如果命令成功，Debug 将显示下列消息：
Handle 0003 deallocated
++++
Debug:XM（映射扩展内存页）
将属于指定句柄的扩展内存逻辑页映射到扩展内存的物理页。
要使用扩展内存，必须安装符合 4.0 版的 Lotus/Intel/Microsoft 扩展内存规范 (LIM EMS) 的扩展内存设备驱动程序。
xm [lpage] [ppage] [handle]
参数
lpage
指定要映射到物理页 ppage 的扩展内存的逻辑页面号。
ppage
指定将 lpage 映射到的物理页面号。
handle
指定句柄。
有关使用扩展内存的其他 Debug 命令的信息，请单击“相关主题”列表中的 XA（分配扩展内存）、XD（释放扩展内存）或 XS（显示扩展内存）。
++
范例
要将句柄 0003 的逻辑页 5 映射到物理页 2，请键入以下命令：
xm 5 2 0003
如果命令成功，Debug 将显示下列消息：
Logical page 05 mapped to physical page 02
++++
Debug:XS（显示扩展内存状态）
显示有关扩展内存状态的信息。
要使用扩展内存，必须安装符合 4.0 版的 Lotus/Intel/Microsoft 扩展内存规范 (LIM EMS) 的扩展内存设备驱动程序。
xs
参数
该命令不带参数。
有关使用扩展内存的其他 Debug 命令的信息，请单击“相关主题”列表中的 XA（分配扩展内存）、XD（释放扩展内存）或 XM（映射扩展内存页）。
++
范例
要显示扩展内存信息，请键入以下命令：
xs
Debug 显示与以下类似的信息：
Handle 0000 has 0000 pages allocated
Handle 0001 has 0002 pages allocated

Physical page 00 = Frame segment C000
Physical page 01 = Frame segment C400
Physical page 02 = Frame segment C800
Physical page 03 = Frame segment CC00
2 of a total 80 EMS pages have been allocated
2 of a total FF EMS handles have been allocated
++
说明
Debug 显示的信息有如下格式：
Handle xx has xx pages allocated
Physical page xx = Frame segment xx
xx of a total xx EMS pages have been allocated

xx of a total xx EMS handles have been allocated

可冉 2008-06-09 08:34 发表评论

DSL(用户数字网)

可冉 — Sun, 01 Jun 2008 04:16:00 GMT

DSL的中文名是数字用户线路，是以电话线为传输介质的传输技术组合。DSL技术在传的公用电话网络的用户环路上支持对称和非对称传输模式，解决了经常发生在网络服务供应商和最终用户间的“最后一公里”的传输瓶颈问题。由于电话用户环路已经被大量铺设，如何充分利用现有的铜缆资源，通过铜质双绞线实现高速接入就成为业界的研究重点，因此DSL技术很快就得到重视，并在一些国家和地区得到大量应用。

人们通常把所有的DSL技术统称为XDSL，“X”代表着不同种类的数字用户线路技术。各种数字用户线路技术的不同之处，主要表现在信号的传输速率和距离，以及对称和非对称的区别上。DSL技术主要分为对称和非对称两大类。

1．对称DSL技术主要有HDSL、SDSL、MVL等。对称DSL技术主要用于替代传统的T1／E1接入技术。与传统的T1／E1接入相比，DSL技术具有对线路质量要求低、安装调试简单等特点。

——HDSL。HDSL是技术上已经比较成熟的一种，已经在数字交换机的连接、高带宽视频会议、远程教学、移动电话基站连接等方面得到了较为广泛的应用。这种技术的特点是：利用两对双绞线传输；支持NX64kbps各种速率，最高可达口速率。HDSL是T1／E1的有力竞争者。与T1／E1相比，HDSL价格便宜、容易安装，放大器的数量也相对较少。

——SDSL。SDSL利用单对双绞线，支持多种速率到T1／E1，用户可根据数据流量，选择最经济合适的速率。此外记比用HDSL节省一对铜线，在0.4mm双绞线上的最大传输距离可达3公里以上。

——MVL。MVL是Paradyne公司开发的低成本DSL传输技术。它利用一对双绞线，安装简便，价格低廉；功耗低，可以进行高密度安装；其上／下行共享速率可达万768kbps；传输距离可达7公里。

2．非对称DSL技术主要有以下几种：ADSL、RADSL、VDSL等。非对称DSL技术非常适用于对双向带宽要求不一样的应用，如Web浏览、多媒体点播、信息发布等，因此适用于In-ternet接入、VOD系统等。

——ADSL。ADSL是目前业界讨论最热烈的DSL技术。ADSL技术是在无中继的用户环路网上，使用有负载电话线提供高速数字接入的传输技术。其特点是可在现有任意双绞线上传输，误码率低，下行速率可达6Mbps，上行速率可达144kbps或384kbps。ADSL所支持的主要业务是高速数据互联。该技术的最大特点是无需改动现有铜缆网络设施就能提供宽带业务。尽管ADSL技术已能很好地支持因特网业务，然而其成本仍偏高，用户端设备的安装仍嫌麻烦。

——RADSL。RADSL支持同步和非同步传输方式，具有速率自适应的特点，下行速率从640kbps到12MbpS，上行速率从128kbps到1MbpS；也能够支持同时传输数据和语音。

——VDSL。VDSL可在较短的距离上提供极高的传输速率。它的下行传输速率可以扩展至几十兆，同时允许1.5Mbps的上行速率，但传输距离会缩短至30O～1O00米。不过，由于传输距离的缩短，码间干扰大大减小，对数字信号处理要求大为简化，所以设备成本可以比ADSL低。

二、DSL技术优势

因特网咨询公司Keynote最近发表了一份调查报告，把线缆调制解调器跟高速DSL访问技术在宽带表现方面进行了比较，发现甚至低级的DSL也比有线电视调制解调器技术的速度快12％，至少在晚上访问网络的高峰时间是这样。

该公司用一个月时间追踪了线缆调制解调器和DSL访问速度，下载速度等级为384KbpS，用了4条高速T1线路。Keynote的分析人员发现，线缆调制解调器更多的是销售给家庭用户，它在白天比较容易达到性能顶峰，而在晚上多数当家庭用户使用网络时，性能则下降。DSL系统更多的是用在商业环境，当晚上雇员基本下班时，它的性能表现就比较出色。

利用一个标准设置的网页作为评测标准，Keynote公司发现，太平洋Bell公司的DSL系统，在下午5点到11点之间下载一个页面平均需要花3.55秒，而在白天上班时间平均需要4.3O秒。线缆调制解调器系统在晚上下载评测页面的平均时间为3.97秒，而白天为3.68秒。这意味着DSL在晚上比线缆调制解调器快12％，而在白天上班时间比后者慢17％。

专家指出，在DSL的速度快过有线电视调制解调器的网络连接中，性能的不同也还可能要归结为不同系统的不同架构。线缆调制解调器基于共享式网络，在这种网络环境中，每个在一定的近距离范围内的用户都共享通向同一个线缆络流的路径。而DSL系统则不同，每一个用户有一个专线连接到电话公司的中心机房。

由于覆盖面的问题，有人认为DSL的最佳应用领域是商用市场，而Cable Modem主要针对家庭市场。但DSL的支持者认为，DSL照样可以实现家庭办公。这主要因为以下几点。

首先，DSL安装简单。铜线是现成的，本地电话交换公司可以帮用户接入。而在用户家中安装双向Cable Modem则要求附近已经铺设了光纤主干道。其次，DSL可以保证带宽。Ca-ble Modem的带宽需要共享，而且没有服务等级保证。电信公司则可以通过DSL线路向每一位客户提供特定的带宽服务。第三，DSL性能优于电缆。电缆似乎性能更好，但在负载比较重的分支，每位Cable Modem用户享有的带宽会迅速下降。第四，对于构建家庭局域网的场合，如果用户家里拥有一台以上的PC机，可能需要把它们全部连接起来。CableModem并不具备分地址和局域网功能。而有些DSL解决方案可以使用户拥有多条虚拟线路，不必增加连线就能实现打印和文件共享。此外，如果使用DSL，用户可以建立一个虚拟专用网，完全避开Int-ernet，并可以拥有一个固定或动态的IP地址，而电缆只能提供动态分配地址。

三、DSL性能日新月异

——Cabletron xDSL解决方案

Cabletron今年3月推出的xDSL解决方案，可以利用标准的双绞线电话线路实现每秒数兆比特的数据传输。

Cabletron的xDSL解决方案包括ADSL（非对称数字用户线）、SDSL（单对线数字用户线）、IDSL（ISDN数字用户线）全线产品。其中，SDSL能在无负载的双铜线（即未与任何电话系统相连）上支持廉价的1.1Mbps的数据传输，它很快将支持最高达2Mbps的数据速率，而且将成为取代短距离E1链路的低成本方案，SDSL传输数据的距离可达5.4公里。与其它厂商xDSL产品不同的是，Cabletron公司xDSL解决方案，主要面向电信用户和中小企业的远程办公室，产品包括ADSL接入复用器（DSLAM）和各种DSL路由器。

——IntelDSL调制解调器

Intel宣布计划在今年晚些时候开始销售DSL调制解调器。此举是它提高家庭和小型企业带宽计划的一部分，这可以推动人们对Intel更高性能处理器的需求。

Intel同时宣布与Cisco达成一项技术许可协议。根据此协议，Intel将获准开发并销售与Cisco的中心局DSL设备兼容的系列ADSL调制解调器。Intel已参与了一系列意在增加Inter-net带宽的行动计划，包括与各种标准化组织合作、在提供宽带产品的公司和宽带技术方面投资等。开展高速调制解调器业务是它推动人们对其更高速处理器需求的又一种方法。Intel的第一款ADSL宽带产品预计今年底开始出货，通过地方电信公司销售。

——DSL modems USB双芯片技术

美国一家DSL芯片设计公司Centillium于今年5月发表了一种适用于DSL modems的USB双芯片技术。这种技术可以让modem厂商生产出外形尺寸极小。价格又相当低廉的内外置DSL modems，其中外置式DSL USB modem与一盒香烟一般大小。采用此技术可使DSL modems的价格降至1OO美元以下。

该modem是每秒1.5Mb的ADSL的modem加上USB接口的组合。这种组合可以使得更容易地开发基于DSL的电信技术。Edgecam视觉公司是一家开发因特网视频服务的公司，该公司的信息主管WilliamJameson称：这种组合modem，可与任何ADSL提供的服务配合使用，如果有很多公司都卖这种类似的modem，价格会降下来。

除了Centillium公司，有几家公司也在推出类似的G.lite／USB核心技术，包括GlobeSpan半导体公司和Integrated Telecom ExPress。基于这个核心技术的产品，将于今年第四季度上市。

基于DSL的ADSL／USB modem也可以带来其它好处，例如，提供G.lite DSL服务的通信公司将可以降低其运营成本，最终可以使通信公司的用户所支付的服务费用减少。使用这种modem，将不再需要技术人员到用户处去安装，用户所要做的就是将modem插入PC机的USB端口，PC机将自动识别该设备，并安装相应的驱动程序。

——完整的端对瑞ADSL解决方案

阿尔卡特新近推出的ADSL系列产品，为电信运营商提供了完整而灵活的端对端解决方案。该方案包括ATM用户接入复用器（ASAM）、数据应用网适配器（DANA）和SPEED TOUCHTM系列ADSL调制解调器，其中前者是完全由服务管理中心管理的宽带远程接入服务器，后者则是在用户一端使用广泛、功能全面的新一代调制解调器。该方案可使电信运营商提供与每一种AD-SL服务相匹配的CPE产品。

四、业界看好DSL

——国际电联通过网络信息传输标准

国际电信联盟今年7月通过了网络信息传输新标准——低速ADSL标准G.lite。利用这些标准，因特网用户使用普通电话线上网速度可比使用高速综合业务数字网线路快1O倍以上。

这些标准均采用非对称数字专线（ADSL）技术，通过普通电话线上网，其传输速度可达每秒1兆至7兆比特。而目前通过电话拨号上网的速度，一般为56kbps以内，通过高速综合业务数字网拨号上网的速度也只有128kbps。国际电联通信标准委员会主席彼得·韦里说，这些服务将满足众多用户对多媒体信息的需要，同时也将有利于通信和电脑设备销售商、因特网服务商和网络经营者的业务，因为已有不少公司采用了ADSL技术。

新标准的采用，标志着用户与用户之间高速数据传输的最后一步工作已经完成。新标准的特点还在于，它们采用了彼此兼容的通用系统规格，并与一些区域ADSL标准存在良好的兼容性。有专家预计，20O3年将有91O万个家庭订购宽频Internet服务，届时市场规模将达38亿美元；到了2003年DSL可遍及29O万个家庭，大部分的增长将起于2OOO年，刚好是G.lite技术普及的时候。

——Micrrsoft投资DSL服务

在上市后，Microsoft准备向NorthPoint通信公司这家DSL服务提供商投资300O万美元。作为合作的一部分，Microsoft将在今后两年内，从这家公司购买大约1O万条DSL线路的设备。Microsoft和NorthPiont将为大约85个ISP合作伙伴建立一个共有品牌的MSN人口页面。他们也从事商用高速Internet的研究，并且将对基于标准的内容提供界面展开合作研究。此前Microsoft向Rhythms NetConnections公司投资3000万美元，而这家公司是NorthPoint的竞争对手。

——朗讯推动DSL普及

朗讯公司日前宣布，它将与五家公司签约，由这些公司销售朗讯的modem，朗讯推出相关软件，使朗讯modem也能接通非朗讯器材所操作的高速网络，以提高高速数字用户回路（DSL）的普及率。这项服务的最终结果，是让更多消费者能获得DSL服务，而电话公司不必安装新的DSL器材。

DSL技术无法顺利推广，是因为使用者必须使用DSL服务公司的modem，才能取得该公司的服务，随着G.lite DSL modem的标准的出台，这个问题已经获得一定解决。不过，服务商仍须在总部安装能与G.litemodem沟通的modem，所以大部分状况下需安装新器材。有了朗讯的软件，朗讯的WildWire芯片可和G.lite DSL、全速率（full rate）DSL modem沟通。所以现有的器材可提供一般用户、高收费全速用户服务。朗讯表示，已经出售25万个modem芯片组，作为技术升级之用。其它如戴尔、modem厂商Zoom Telephonics、Creative Technology等公司，都出售用于技术升级的芯片。

——阿尔卡特和康柏在欧洲联手开拓ADSL市场

法国阿尔卡特公司和美国康柏公司目前正联手在欧洲推出一系列营销活动，以推动阿尔卡特ADSL设备和技术在欧洲运营商和消费者当中的商业应用。

Alcatel在北美及全球的ADSL产品销售业务中均居首位。Alcatel占有北美ADSL市场的52％。1998年，Alcatel向北美地区交付了400多套DSLAM产品。Alcatel在全球的ADSL市场上占有35％的市场份额，其客户遍及新加坡、比利时、西班牙、法国、中国、土耳其、韩国、日本、丹麦等国。由世界最大的ADSL销售商和世界第二大计算机公司联合发起的这一系列促销活动只在向运营商和因特网用户宣传ADSL技术将带给他们的益处。英国、比利时、意大利和瑞典等国成为这次联合营销行动的首选市场。

这项计划表明，阿尔卡特和康柏将在欧洲大力推进ADSL技术的应用。总的目标是让尽可能多的Presarlo用户享受国特网高速接入技术所带来的益处，通过双方合作向欧洲电信运营商发出一个绿灯信号：大规模实施ADSL的时机已经成熟。

五、越来越多的电信公司提供DSL服务

1．美国

——贝尔大西洋公司耗资18亿美元升级通信网

位于纽约的Bell Atlantic公司正积极地对其传统的电话网络进行升级，以应付与日俱增的数据通信及因特网业务。今年3月该公司向阿尔卡特和北方电信订购了价值18亿美元的电话设备。其中从阿尔卡特购进2千万美元的ADSL设备为已有的铜线扩容，以便进一步为住宅电话用户提供高速访问因特网。与此同时，南方贝尔公司也宣布提供面向公司用户的DSL服务。

——AOL与电信公司合作提供DSL接入

今年7月，AOL与GTE电话公司签订DSL合约，向通过电话拨号上网的用户提供更快速的服务，通过这项合作，美国在线可取得GTE在美国西部17个州的DSL网络。这次合作是美国在线和小贝尔电话公司群(Baby Bell)签订的第四个DSL合约。美国在线已与Ameritech、Bell Atlantic、SBC Communications等公司签约，并投资休斯电子（Hughes Electronics）

15亿美元，休斯电子提供卫星上网服务。其中今年1月，AOL与Bell Atlantic达成了一项协议，宣布从1999年中期开始，Bell Atlantic东海岸地区的AOL用户可以将他们的网络访问连接升级到DSL。这项服务于今年夏天在华盛顿特区、匹兹堡、费城、纽约、波士顿以及新泽西的部分地区投入运行。美国在线的DSL服务月费将比一般拨号上网收费高2O美元。

——Qwest推出DSL服务

Qwest通信国际于今年8月与Covad通信公司和Rhythms NetConnections达成协议，推出了一种针对消费者和小型企业的高速因特网服务。目前它推出的的DSL服务将覆盖13个地区，到年底将会覆盖30个地区。该公司的DSL服务的费用是每月119.95美元，初装费是500美元。此外，Qwest公司还将收购在全美首家推出DSL业务美国西部电信公司。

——GTE大幅削减DSL服务的价格

GTE是美国第三大本地电话公司。该公司最称，他们将在今年9月份将17个州的DSL服务价格降低17％，进而增强公司在消费者和小型企业市场上的竞争力。这项称作Bronze Plus的计划，将使用户每月花49.95美元就可以享受GTE.net的Web服务，而且可以比modem拨号方式快上14倍。GTE以前的价格是每月60美元。

2．英国

英国电信(BT)宣布从今年1O月份开始，在英国的重要城市中，提供最大传输速度可达每秒2Mb的ADSL数据传输服务。在明年三月份之前可以为6百万家庭用户提供ADSL服务。AD-SL可以在旧式铜电话线中提供高速连接服务，预计将广泛用于家庭和小型企业的网络互联系统中。英国电信宣布了服务价格，包括从安装到硬件的提供，根据带宽，通过ADSL上网的费用每月从64美元到24O美元不等。这意谓着提供高速数据传输的ISP之间的竞争更激烈。英国电信一开始对其计划有所犹豫，担心影响其ISDN业务。英国电信的首席执行官PeterBonfield爵士称：该计划将为使英国成为全球的信息革命领头羊，又向前迈进了一步。它推动新兴信息工业，并使大家都受益。计划最初在如下几个城市中实现：伦敦，Cardiff，Belfast，Coventry，Blrmingham，Manchester，Leeds，Newcastle，Edinburgh和Glasgow。

3．新加坡

新加坡电信(SlngTel) 与Alcatel今年年初签署一项协议，协议将新加坡的ADSL网络扩展到5万线。AingTel称，不断增长的高级多媒体服务的需求使得有必要将已有网络扩展到这个水平。SingTel采用SingTel Magix商标向居民提供点播视频、视频会议、远程教育等多媒体服务和高速Internet接入。SingTel还将向小型办公室／家庭办公室市场推出若干新的宽带多媒体服务。其中第一项就是笔记本电脑的ADSL连接。

4.中国

阿尔卡特在广东省深圳经济特区安装了5，O00多线的ADSL设备，每个ADSL用户的安装费为4,000元，每月的服务费为300元。阿尔卡特还与上海签署了一项协议，进行500线ADSL高速接入技术的试验。此外，广东佛山也已开通了ADSL业务。但据业界称，要进一步扩展这一技术将十分困难，因为要真正实现ADSL的优点，国内的电话传输和交换设施及光纤传输系统都必须先进行改造。

可冉 2008-06-01 12:16 发表评论

PSTN(Public Switched Telephone Network)公共交换电话网络---CISCO路由器配置手册

可冉 — Thu, 29 May 2008 02:42:00 GMT

　　电话网络(PSTN)是目前普及程度最高、成本最低的公用通讯网络，它在网络互连中也有广泛的应用。电话网络的应用一般可分为两种类型，一种是同等级别机构之间以按需拨号(DDR)的方式实现互连，一种是ISP为拨号上网为用户提供的远程访问服务的功能。

1. 远程访问

1.1.Access Server基本设置：

选用Cisco2511作为访问服务器,采用IP地址池动态分配地址.远程工作站使用WIN95拨号网络实现连接。

全局设置：

任务	命令
设置用户名和密码	username username password password
设置用户的IP地址池	ip local pool {default \| pool-name low-ip-address [high-ip-address]}
指定地址池的工作方式	ip address-pool [dhcp-proxy-client \| local]

基本接口设置命令：

任务	命令
设置封装形式为PPP	encapsulation ppp
启动异步口的路由功能	async default routing
设置异步口的PPP工作方式	async mode {dedicated \| interactive}
设置用户的IP地址	peer default ip address {ip-address \| dhcp \| pool [pool-name]}
设置IP地址与Ethernet0相同	ip unnumbered ethernet0

line拨号线设置：

任务	命令
设置modem的工作方式	modem {inout\|dialin}
自动配置modem类型	modem autoconfig discovery
设置拨号线的通讯速率	speed speed
设置通讯线路的流控方式	flowcontrol {none \| software [lock] [in \| out] \| hardware [in \| out]}
连通后自动执行命令	autocommand command

访问服务器设置如下：

Router:

hostname Router

enable secret 5 $1$EFqU$tYLJLrynNUKzE4bx6fmH//

interface Ethernet0

ip address 10.111.4.20 255.255.255.0

interface Async1

ip unnumbered Ethernet0

encapsulation ppp

keepalive 10

async mode interactive

peer default ip address pool Cisco2511-Group-142

ip local pool Cisco2511-Group-142 10.111.4.21 10.111.4.36

line con 0

exec-timeout 0 0

password cisco

line 1 16

modem InOut

modem autoconfigure discovery

flowcontrol hardware

line aux 0

transport input all

line vty 0 4

password cisco

end

相关调试命令：

show interface

show line

1.2. Access Server通过Tacacs服务器实现安全认证：

使用一台WINDOWS NT服务器作为Tacacs服务器，地址为10.111.4.2,运行Cisco2511随机带的Easy ACS 1.0软件实现用户认证功能.

Cisco IOS配置SSH详解

可冉 — Sun, 25 May 2008 08:00:00 GMT

使用telnet进行远程设备维护的时候，由于密码和通讯都是明文的，易受sniffer侦听，所以应采用SSH替代telnet.SSH （Secure Shell）服务使用tcp 22 端口，客户端软件发起连接请求后从服务器接受公钥，协商加密方法，成功后所有的通讯都是加密的。Cisco 设备目前只支持SSH v1，不支持v2.Cisco实现 SSH的目的在于提供较安全的设备管理连接，不适用于主机到主机的通讯加密。Cisco推荐使用IPSEC作为端对端的通讯加密解决方案。

　　1.IOS设备（如6500 MSFC、8500、7500）的配置：

　　a）软件需求

　　IOS版本12.0.（10）S 以上含IPSEC 56 Feature

　　推荐使用 IOS 12.2 IP PLUS IPSEC 56C以上版本

　　基本上Cisco全系列路由器都已支持，但为运行指定版本的软件您可能需要相应地进行硬件升级

　　b）定义用户

　　user mize pass nnwh@163.net

　　user sense secret ssn

　　d）定义域名

　　ip domain-name mize.myrice.com //配置SSH必需

　　e）生成密钥

　　crypto key generate rsa modulus 2048

　　执行结果：

The name for the keys will be: 6509-mize.myrice.com 
% The key modulus size is 2048 bits 
Generating RSA keys ... 
[OK]

　　f）指定可以用SSH登录系统的主机的源IP地址

access-list 90 remark Hosts allowed to SSH in //低版本可能不支持remark关键字 
access-list 90 permit 10.10.1.100 
access-list 90 permit 10.10.1.101

　　g）限制登录

line con 0 
login local 
line vty 0 4 
login local //使用本地定义的用户名和密码登录 
transport input SSH //只允许用SSH登录(注意：禁止telnet和从交换引擎session!) 
access-class 90 in //只允许指定源主机登录

2.CatOS（如6500/4000交换引擎）的配置：

　　a）软件需求

　　运行CatOS的6500/4000交换引擎提供SSH服务需要一个6.1以上“k9”版本的软件，如： cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.

　　8540/8510交换机支持SSH需要以上12.1（12c）EY版本软件。

　　3550交换机支持SSH需要12.1（11）EA1以上版本软件。

　　其他交换机可能不支持SSH.

　　b）生成密钥

　　set crypto key rsa 2048

　　密钥的生成需要1-2分钟，执行完毕后可用命令show crypto key查看生成的密钥。

　　c）限制管理工作站地址

set ip permit 10.10.1.100 ssh //只允许使用SSH登录的工作站 
set ip permit 10.10.1.101 ssh 
set ip permit enable ssh //检查SSH连接的源地址 
set ip permit enable telnet //检查telnet连接的源地址 
set ip permit enable snmp //检查snmp请求的源地址

　　如果服务的ip permit 处于disable状态，所有的连接将被允许（当然服务如telnet本身可能包含用户认证机制）。如果指定服务的ip permit 处于enable状态，则管理工作站的地址必须事先用set ip permit <管理工作站IP地址> [可选的子网掩码] [允许使用的服务类型（ssh/telnet/snmp）]来定义

　　可用命令 show ip permit 来检查ip permit 的配置

　　某些服务可能存在安全漏洞（如http）或协议本身设计就是比较不安全的（如snmp、telnet）。如果服务不是必要的，可以将之关闭；如果服务是必须的，应采取措施保证这些服务仅向合法用户提供：

　　6500/4000交换引擎：

set ip http server disable //关闭http服务 
set ip permit enable snmp //限制SNMP源地址 
set snmp comm. read-only //清空预设的SNMP COMM字 
set snmp comm. read-write 
set snmp comm. read-write-all

　8500、7500、MSFC等IOS设备：

no ip http server //关闭http服务 
no snmp //关闭snmp服务 
no service dhcp //关闭 dhcp 服务 
no ip finger //关闭 finger 服务 
no service tcp-small-server //关闭tcp基本服务 
no service udp-small-server //关闭 udp基本服务 
service password-encryption //启用明文密码加密服务

　　3.SSH 客户端

　　a）从管理工作站登录

　　必须使用支持SSH v1协议的终端仿真程序才能使用SSH协议管理设备，推荐使用Secure CRT 3.3，也可以使用免费软件putty.下面介绍使用Secure CRT登录SSH设备的方法：

　　运行Secure CRT程序，选择菜单File – Quick Connect…设置以下参数：Protocol（协议）： ssh1 Hostname（主机名）： 10.10.1.1 Port（端口）： 22 Username（用户名）： mize Ciper（加密方法）： 3DES Authentication（认证方式）assword 点击Connect，这时可能会提示您接受来自设备的加密公钥，选择Accept once（只用一次）或Accept & Save （保存密钥以便下次使用）。由于协议实现的问题，可能会碰到SSH Buffer Overflow的问题，如果出现“收到大于16k的密钥”的提示，请重新连接。连接正常，输入密码即可登录到系统。

　　第二次登录点击File – Connect 点击连接10.10.1.1即可。

　　b）从IOS设备用SSH协议登录其他设备

　　IOS设备也可以发起SSH连接请求（作为SSH Client），从IOS设备登录支持3DES的IOS设备，使用以下命令（-l 指定用户名）：

　　ssh –l mize 10.10.3.3

　　从IOS设备登录支持 DES（56位）的IOS，使用以下命令（-c des指定1 des加密方式）：

　　ssh –c des –l mize 10.10.5.5

　　从IOS设备登录支持 3DES的CatOS，如6509/4006的交换引擎，使用如下命令（无需指定用户名）：

　　ssh 10.10.6.6

　　4.限制telnet源地址

　　对于未支持SSH 的设备，可采取限制telnet源地址的方法来加强安全性。为了不致于增加一个管理员地址就要把所有的设备配置修改一遍，可以采用中继设备的方法，即受控设备只允许中继设备的telnet访问，中继设备则允许多个管理员以较安全的方法（如SSH）登录。

　　设置中继设备：

inter lo 0 
ip address 10.10.1.100 255.255.255.255 
ip telnet source-interface Loopback0 //发起telnet的源地址

　　设置受控设备：

access-list 91 remark Hosts allowed to TELNET in 
access-list 91 permit 10.10.1.100 
access-list 91 permit 10.10.1.101 
line con 0 
password xxxxxxxx 
line vty 0 4 
password xxxxxxxx 
access-class 91 in

可冉 2008-05-25 16:00 发表评论

MPLS简介

可冉 — Sun, 25 May 2008 07:55:00 GMT

MPLS（Multiprotocol Label Switch）最初是用来提高路由器的转发速度而提出的一个协议，但是由于MPLS在流量工程（Traffic Engeering）和VPN这一在目前IP网络中非常关键的两项技术中表现，MPLS已日益成为扩大IP网络规模的重要标准。
MPLS协议的关键是引入了标签（Label）的概念。它是一种短的易于处理的、不包含拓扑信息、只具有局部意义的信息内容。Label短是为了易于处理，通常可以用索引直接引用。只具有局部意义是为了便于分配。熟识ATM的人可能很自然是想到ATM中的VPI/VCI。可以这么说，ATM中的VPI/VCI就是一种标签，所以说ATM实际上就是一种标签交换。

　　在MPLS网络中，IP包在进入第一个MPLS设备时，MPLS边缘路由器就用标签封装起来。 MPLS边缘路由器分析IP包的内容并且为这些IP包选择合适的标签，相对于传统的IP路由分析，MPLS不仅分析IP包头中的目的地址信息。它还分析IP包头中的其他信息，如TOS等。尔后所有MPLS网络中节点都是依据这个简短标签来作为转发判决依据。当该IP包最终离开MPLS网络时，标签被边缘路由器分离。

　　MPLS的协议发展过程

　　1996年，Ipsilon公司推出了IP Switching协议，在数据通讯界立即引起具大震动。 Ipsilon公司由一个默默无闻的小公司，一举成为数据通讯界众所周知的公司，并由此引发了路由器技术的一次大革命，各公司纷纷推出自己的三层交换方案，而其中对MPLS协议发展具有关键作用的有如下一些协议：
　　1) IP Switching。由Ipsilon于1996年提出，并推出支持该协议的商业产品。该协议使ATM交换机成为一台路由器，因而具有ATM交换机的高性能，从而突破传统路由器的性能限制。IP交换的基本目的是采用弃用ATM控制平面的方法来高效地集成ATM交换机IP路由器。IP Switching的标签建立是由数据流驱动的。 Ipsilon定义一套协议，包括标签绑定协议（称为Ipsilon Flow Management Protocol或者IFMP，RFC）和交换机管理协议（称为General Switch Management Protocol 或者GSMP，RFC）。GSMP只是用来控制单个ATM交换机及那些跨越该交换机的虚连接。

　　2) Tag Switching是由CISCO开发的一种标签（CISCO称之为标记）的方法。同IP Switching不同的是Tag Switching不是信赖数据流的驱动来建立标签转发表项，它是信赖于控制驱动（有一个相当于ATM协议的控制平面），Tag Switching网络由 Tag Edge Routers和Tag Switching Routers组成。IP包在Tag Edge Routers上进行标记封装，下一跳的路由确定信赖标准路由算法（如OSPF、BGP等）。标记的绑定和分布采用标记分布协议（Tag Distribution Protocol，TDP）。

　　3) Aggregate Route-based IP Switch （ARIS）是IBM的一种标签交换方案。同Tag Switching、ARIS是把标签同汇集路由器相差联，不同于IP Switching中同流相关联，标签的绑定和标签交换路径的建立是由控制流（如路由更新）来决定的。通常出口路由器是发起方。ARIS在设计时是考虑到使用ATM作为其数据链路层的，ARIS是一个点到点的协议。它直接运行在相邻路由器的IP之上，并提供在邻接路由器之间建立和交换标签的方法。ARIS的关键概念是"出口标识（Egress Identifier）。标签分发始于出口路由器，并有规律地通过网络传递到入口路由器。

　　显然，各厂家独立的基于标签交换的解决方案是不可能被其他厂家接受的，需要形成统一的标准。所以在1997年，IETF成立一个工作组，经过多次商讨。MPLS(Multiprotocol Label Switching)这个术语被确实下去，作独立于厂商的一系列标准的名称。
MPLS的宗旨就是要集成标签切换转发的高性能和网络层路由的灵活性的扩展性。它适合IPV4和IPV6。

　　目前各MPLS协议都处于草案阶段，但有多家厂商已经着手实现MPLS3。有的已经推出产品，可也说，组建大型的基于MPLS的IP网络并从中受益的运营商，必将成为下一次互连网络扩张的领导者。

　　MPLS的优越性

　　IP＋ATM怎样不同于简单地在ATM骨干上运行IP呢？答案就是MPLS。MPLS是商业IP网络关键技术，它允许服务提供商首次在单一网络上获得IP，ATM，FR的综合利润。因为MPLS提供IP的灵活连接和可扩展性，以及FR和ATM的私有性和QOS，它已变成广泛被接收的标准。

　　运用MPLS，IP服务能通过以下的过程在具有选路和多业务的交换网络上进行传送：
　　1、网络决定包的选路和QOS需求
　　2、标记被分配给每个包，告诉交换机或路由器哪儿、怎样去发送这个包，每个包的特定的服务属性：QOS，私有性等等
　　3、包在没有额外的选路的情况下，在网络骨干上被交换。

　　基于MPLS的解决方案使得新的网络世界的服务成为可能，如具有QOS的VPN。MPLS标记的主要好处是能够为单个数据流区别服务类。

　　MPLS提供IP服务的高性能扩展，因为服务的决策在网络边缘决定，并且不需要中间的再处理而进行交换。MPLS使得ATM网络能够实现端到端的三层智能和获得重要的高性能。另外，MPLS消除IP over ATM所需要的复杂的协议和地址解析。运用MPLS具有附加值的扩展，服务提供商能快速有效地传送先进的IP服务，例如：
　　具有FR私有性，而没有端到端虚拟电路的无连接的IP VPNs
　　多个IP服务类去实现一个大范围的商业策略
　　低费用的受控服务扩展了对小和中等规模的商务的市场共享
　　实现基于MPLS的IP＋ATM的解决方案的服务提供商保留所有的用户商务，并且开始从新出现的IP机遇中建造有利润的服务。运用IP＋ATM的解决方案能够：
　　使得现在产生利润的服务成为可能。
　　从IP增值业务中建造收入和利润的增长
　　减小进入市场的时间
　　减小可*作的费用
　　增加投资回报
　　增加市场共享

可冉 2008-05-25 15:55 发表评论

PIX 的配置

可冉 — Thu, 22 May 2008 05:08:00 GMT

Saved
:
PIX Version 6.3(1)
interface ethernet0 auto 设定端口0 速率为自动
interface ethernet1 100full 设定端口1 速率为100兆全双工
interface ethernet2 auto 设定端口2 速率为自动
nameif ethernet0 outside security0 设定端口0 名称为 outside 安全级别为0
nameif ethernet1 inside security100 设定端口1 名称为 inside 安全级别为100
nameif ethernet2 dmz security50 设定端口2 名称为 dmz 安全级别为50
enable password Dv0yXUGPM3Xt7xVs encrypted 特权密码
passwd 2KFQnbNIdI.2KYOU encrypted 登陆密码
hostname hhyy 设定防火墙名称
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
no fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521

允许用户查看、改变、启用或禁止一个服务或协议通过PIX防火墙，防火墙默认启用了一些常见的端口，但对于ORACLE等专有端口，需要专门启用。

names
access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.170.0 255.255.255.0
access-list 101 permit ip 192.168.12.0 255.255.255.0 192.168.180.0 255.255.255.0
access-list 101 permit ip 192.168.23.0 255.255.255.0 192.168.180.0 255.255.255.0
access-list 101 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

建立访问列表，允许特定网段的地址访问某些网段

access-list 120 deny icmp 192.168.2.0 255.255.255.0 any
access-list 120 deny icmp 192.168.3.0 255.255.255.0 any
access-list 120 deny icmp 192.168.4.0 255.255.255.0 any
access-list 120 deny icmp 192.168.5.0 255.255.255.0 any
access-list 120 deny icmp 192.168.6.0 255.255.255.0 any
access-list 120 deny icmp 192.168.7.0 255.255.255.0 any
access-list 120 deny icmp 192.168.8.0 255.255.255.0 any
access-list 120 deny icmp 192.168.9.0 255.255.255.0 any
access-list 120 deny icmp 192.168.10.0 255.255.255.0 any
access-list 120 deny icmp 192.168.11.0 255.255.255.0 any
access-list 120 deny icmp 192.168.12.0 255.255.255.0 any
access-list 120 deny icmp 192.168.13.0 255.255.255.0 any
access-list 120 deny icmp 192.168.14.0 255.255.255.0 any
access-list 120 deny icmp 192.168.15.0 255.255.255.0 any
access-list 120 deny icmp 192.168.16.0 255.255.255.0 any
access-list 120 deny icmp 192.168.17.0 255.255.255.0 any
access-list 120 deny icmp 192.168.18.0 255.255.255.0 any
access-list 120 deny icmp 192.168.19.0 255.255.255.0 any
access-list 120 deny icmp 192.168.20.0 255.255.255.0 any
access-list 120 deny icmp 192.168.21.0 255.255.255.0 any
access-list 120 deny icmp 192.168.22.0 255.255.255.0 any
access-list 120 deny udp any any eq netbios-ns
access-list 120 deny udp any any eq netbios-dgm
access-list 120 deny udp any any eq 4444
access-list 120 deny udp any any eq 1205
access-list 120 deny udp any any eq 1209
access-list 120 deny tcp any any eq 445
access-list 120 deny tcp any any range 135 netbios-ssn
access-list 120 permit ip any any

建立访问列表120防止各个不同网段之间的ICMP发包及拒绝135、137等端口之间的通信（主要防止冲击波病毒）

access-list 110 permit ip 192.168.99.0 255.255.255.0 192.168.101.0 255.255.255.0

pager lines 24
logging on
logging monitor debugging
logging buffered debugging
logging trap notifications
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 10.1.1.4 255.255.255.224 设定外端口地址
ip address inside 192.168.1.254 255.255.255.0 设定内端口地址
ip address dmz 192.168.19.1 255.255.255.0 设定DMZ端口地址
ip audit info action alarm
ip audit attack action alarm
ip local pool hhyy 192.168.170.1-192.168.170.254

建立名称为hhyy的地址池，起始地址段为：192.168.170.1-192.168.170.254

ip local pool yy 192.168.180.1-192.168.180.254

建立名称为yy 的地址池，起始地址段为：192.168.180.1-192.168.180.254

no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside
no failover ip address dmz
no pdm history enable
arp timeout 14400

不支持故障切换

global (outside) 1 10.1.1.13-10.1.1.28
global (outside) 1 10.1.1.7-10.1.1.9
global (outside) 1 10.1.1.10

定义内部网络地址将要翻译成的全局地址或地址范围

nat (inside) 0 access-list 101

使得符合访问列表为101地址不通过翻译，对外部网络是可见的

nat (inside) 1 192.168.0.0 255.255.0.0 0 0

内部网络地址翻译成外部地址

nat (dmz) 1 192.168.0.0 255.255.0.0 0 0

DMZ区网络地址翻译成外部地址

static (inside,outside) 10.1.1.5 192.168.12.100 netmask 255.255.255.255 0 0
static (inside,outside) 10.1.1.12 192.168.12.158 netmask 255.255.255.255 0 0
static (inside,outside) 10.1.1.3 192.168.2.4 netmask 255.255.255.255 0 0

设定固定主机与外网固定IP之间的一对一静态转换

static (dmz,outside) 10.1.1.2 192.168.19.2 netmask 255.255.255.255 0 0

设定DMZ区固定主机与外网固定IP之间的一对一静态转换

static (inside,dmz) 192.168.0.0 192.168.0.0 netmask 255.255.0.0 0 0

设定内网固定主机与DMZ IP之间的一对一静态转换

static (dmz,outside) 10.1.1.29 192.168.19.3 netmask 255.255.255.255 0 0

设定DMZ区固定主机与外网固定IP之间的一对一静态转换

access-group 120 in interface outside
access-group 120 in interface inside
access-group 120 in interface dmz

将访问列表应用于端口

conduit permit tcp host 10.1.1.2 any
conduit permit tcp host 10.1.1.3 any
conduit permit tcp host 10.1.1.12 any
conduit permit tcp host 10.1.1.29 any

设置管道：允许任何地址对全局地址进行TCP协议的访问

conduit permit icmp 192.168.99.0 255.255.255.0 any

设置管道：允许任何地址对192.168.99.0 255.255.255.0地址进行PING测试

rip outside passive version 2
rip inside passive version 2
route outside 0.0.0.0 0.0.0.0 10.1.1.1

设定默认路由到电信端

route inside 192.168.2.0 255.255.255.0 192.168.1.1 1
route inside 192.168.3.0 255.255.255.0 192.168.1.1 1
route inside 192.168.4.0 255.255.255.0 192.168.1.1 1
route inside 192.168.5.0 255.255.255.0 192.168.1.1 1
route inside 192.168.6.0 255.255.255.0 192.168.1.1 1
route inside 192.168.7.0 255.255.255.0 192.168.1.1 1
route inside 192.168.8.0 255.255.255.0 192.168.1.1 1
route inside 192.168.9.0 255.255.255.0 192.168.1.1 1
route inside 192.168.10.0 255.255.255.0 192.168.1.1 1
route inside 192.168.11.0 255.255.255.0 192.168.1.1 1

设定路由回指到内部的子网

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225
1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt connection permit-ipsec
sysopt connection permit-pptp
service resetinbound
service resetoutside
crypto ipsec transform-set myset esp-des esp-md5-hmac

定义一个名称为myset的交换集

crypto dynamic-map dynmap 10 set transform-set myset

根据myset交换集产生名称为dynmap的动态加密图集（可选）

crypto map vpn 10 ipsec-isakmp dynamic dynmap

将dynmap动态加密图集应用为IPSEC的策略模板（可选）

crypto map vpn 20 ipsec-isakmp

用IKE来建立IPSEC安全关联以保护由该加密条目指定的数据流

crypto map vpn 20 match address 110

为加密图指定列表110作为可匹配的列表

crypto map vpn 20 set peer 10.1.1.41

在加密图条目中指定IPSEC对等体

crypto map vpn 20 set transform-set myset

指定myset交换集可以被用于加密条目

crypto map vpn client configuration address initiate

指示PIX防火墙试图为每个对等体设置IP地址

crypto map vpn client configuration address respond

指示PIX防火墙接受来自任何请求对等体的IP地址请求

crypto map vpn interface outside

将加密图应用到外部接口

isakmp enable outside

在外部接口启用IKE协商

isakmp key ******** address 10.1.1.41 netmask 255.255.255.255

指定预共享密钥和远端对等体的地址

isakmp identity address

IKE身份设置成接口的IP地址

isakmp client configuration address-pool local yy outside
isakmp policy 10 authentication pre-share

指定预共享密钥作为认证手段

isakmp policy 10 encryption des

指定56位DES作为将被用于IKE策略的加密算法

isakmp policy 10 hash md5

指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

isakmp policy 10 group 2

指定1024比特Diffie-Hellman组将被用于IKE策略

isakmp policy 10 lifetime 86400

每个安全关联的生存周期为86400秒（一天）

vpngroup cisco idle-time 1800
vpngroup pix_vpn address-pool yy
vpngroup pix_vpn idle-time 1800
vpngroup pix_vpn password ********
vpngroup 123 address-pool yy
vpngroup 123 idle-time 1800
vpngroup 123 password ********
vpngroup 456 address-pool yy
vpngroup 456 idle-time 1800
vpngroup 456 password ********
telnet 192.168.88.144 255.255.255.255 inside
telnet 192.168.88.154 255.255.255.255 inside
telnet timeout 5
ssh timeout 5
console timeout 0
vpdn group 1 accept dialin pptp
vpdn group 1 ppp authentication pap
vpdn group 1 ppp authentication chap
vpdn group 1 ppp authentication mschap
vpdn group 1 ppp encryption mppe 40
vpdn group 1 client configuration address local hhyy
vpdn group 1 pptp echo 60
vpdn group 1 client authentication local
vpdn username cisco password *********
vpdn enable outside
username cisco password 3USUcOPFUiMCO4Jk encrypted privilege 2
vpnclient vpngroup cisco_vpn password ********
vpnclient username pix password ********
terminal width 80
Cryptochecksum:9524a589b608c79d50f7c302b81bdfa4

可冉 2008-05-22 13:08 发表评论

如何在CISCO中配置ISDN

可冉 — Thu, 22 May 2008 01:02:00 GMT

Step 1

　　configure term
　　isdn switch-type basic-net3
　　dialer-list 1 protocol ip permit
　　
　　step 2

　　interface bri 0
　　ip address negotiated
　　encapsulation ppp
　　dialer string 169
　　dialer load-threshold 255 outbound
　　dialer-group 1
　　ppp authentication chap callin
　　ppp chap hostname 169
　　ppp chap password 169

　　Step 3
　　
　　interface Ethernet0
　　ip address 192.168.1.1 255.255.255.0
　　ip nat inside
　　
　　interface BRI0
　　ip nat outside
　　
　　Step 4

　　ip nat inside source list 1 interface BRI0 overload
　　ip route 0.0.0.0 0.0.0.0 BRI0
　　access-list 1 permit 192.168.1.0 0.0.0.255
　　FW:有几个不懂还请帮着解释一下
　　isdn switch-type basic-net3 （这是中国交换机的型号？）
　　dialer load-threshold 255 outbound （呵呵~~~~~看不懂）
　　ip nat inside（为什么在以太网上用NAT，不是用在串口上映射私有地址号吗？）
　　interface BRI0
　　ip nat outside（什么意思？）
　　ip nat inside source list 1 interface BRI0 overload （呵呵~~~~老大，我看不懂这个了）
　　sdn switch-type basic-net3 （这是中国交换机的型号）
　　dialer load-threshold 255 outbound （采用链路）
　　ip nat inside（私有地址在公网上不许用（建议：看网络基础））
　　interface BRI0
　　ip nat outside（作为NAT的外部端口）
　　ip nat inside source list 1 interface BRI0 overload （做PAT）
　　dialer load-threshold 255 outbound 是百分百的带宽利用率
　　FW:关于dialer load-threshold
　　根据需要增加呼叫提高带宽
　　在轮换组中一个接口的值达到设定的参数时，后面的呼叫从轮换组中的接口拨出。说白了就是设置一个负载值让路由器在需要的时候拨第2个B通道

可冉 2008-05-22 09:02 发表评论

VLSM与CIDR详解

可冉 — Mon, 28 Apr 2008 05:13:00 GMT

VLSM(可变长度子网掩码)

VLSM提出供了在一个主类(A、B、C类)网络内包含多个子网掩码的能力，以及对一个子网的再进行子网划分的能力。它的优点如下：对IP地址更为有效的使用-如果不采用VLSM，公司将被限制为在一个A、B、C类网络号内只能使用一个子网掩码；就用路由归纳的能力更强-VLSM允许在编址计划中有更多的体系分层，因此可以在路由表内进行更好的路由归纳。

       VLSM提出供了在一个主类(A、B、C类)网络内包含多个子网掩码的能力，以及对一个子网的再进行子网划分的能力。它的优点如下：
       1：对IP地址更为有效的使用-如果不采用VLSM，公司将被限制为在一个A、B、C类网络号内只能使用一个子网掩码；
       2：就用路由归纳的能力更强-VLSM允许在编址计划中有更多的体系分层，因此可以在路由表内进行更好的路由归纳。

CIDR(无类别域间路由)

CIDR是开发用于帮助减缓IP地址和路由表增大问题的一项技术。CIDR（Classless Inter-Domain Routing，无类域间路由）的基本思想是取消IP地址的分类结构，将多个地址块聚合在一起生成一个更大的网络，以包含更多的主机。

CIDR支持路由聚合，能够将路由表中的许多路由条目合并为成更少的数目，因此可以限制路由器中路由表的增大，减少路由通告。同时，CIDR有助于IPv4地址的充分利用。ISP常用这样的方法给客户分配地址,ISP提供给客户1个块(block size),类似这样:192.168.10.32/28,这排数字告诉你你的子网掩码是多少,/28代表多少位为1,最大/32.但是你必须知道的1点是:不管是A类还是B类还是其他类地址,最大可用的只能为30/,即保留2位给主机位。

CIDR，是将路由表中的条目汇总，如将多个C类地址汇总为一个B类地址。VLSM，是将一个网划分为多个子网，充分利用网络资源。简单直观的说就是，VLSM是把一个ip分成几个连续的ip网段；CIDR是把几个ip地址合并成一个ip在外网显示。

路由归纳
       在大型互连网络中，存在着成百上千的网络。在这环境中，一般不希望路由器在它的路由表中保存所有的这些路由。路由归纳（也被子称为路由聚合或超网supernetting）可以减少路由器必须保存的路由条目数量，因为它是在一个归纳地址中代表一系列网络号的一种方法。
       在大型、复杂的网络中使用路由归纳的另一个优点是它可以使其它路由器免受网络拓朴结构变化的影响。只有在就用了一个正确的地址规划时，路由归纳才能可行和最有效，在子网环境中，当网络地址是以2的指数形式的连续区块时，路由归纳是最有效的。
       路由选择协议根据共享网络地址部分来归纳或聚合路由。无类别路由选择协议---OSPF和EIGRP-支持基于子网地址，包括VLSM编者按址的路由归纳。有类别路由选择协议- RIPv1和IGRP-自动地在有类别网络的边界上归纳路由。有类别路由选择协议不支持在任何其它比特边界上的路由归纳，而无类别路由选择协议支持在任何比特边界上的路由归纳。

       因为路由表的条目少了，路由归纳可以减少对路由器内存的占用，减少路由选择协议造成的网络流量。网络中的路由归纳能够正确的工作，必须满足下面要求：
      1:多个IP地址必须共享相同的高位比特；
      2:路由选择协议必须根据32比特的IP地址和高达32比特的前缀长度来作出路由转发决定
      3:路由更新必须将前缀长度（子网掩码）与32比特的IP地址一起传输。
变长子网掩码(VLSM)的作用:节约IP地址空间;减少路由表大小.使用VLSM时,所采用的路由协议必须能够支持它。

可冉 2008-04-28 13:13 发表评论

IPv4与IPv6协议的比较

可冉 — Sun, 27 Apr 2008 07:18:00 GMT

1、概述

互联网已经成为现代社会信息基础设施的重要组成部分，在国民经济发展和社会进步中起着举足轻重的作用，同时也成为当今高科技发展的重要支撑环境，互联网的巨大成功有目共睹。

现在被全球广泛使用的互联网协议IPv4是“互联网协议第四版”，已经有30年的历史。从技术上看，尽管IPv4在过去的应用具有辉煌的业绩，但是现在看来已经露出很多弊端。

全球范围内WLAN、2.5G、3G无线移动数据网络的发展加快了以互联网为核心的通信模式的形成，由于移动通信用户的增长要比固定网用户快得多，特别是各种具有联网功能的移动终端的迅猛发展，考虑到随时随地的、任何形式、直接的个人多媒体通信的需要，现有的IPv4已经远远不能满足网络市场对地址空间、端到端的IP连接、服务质量、网络安全和移动性能的要求。因此人们寄希望于新一代的IP协议来解决以上问题。

IPv6协议正是基于这一思想提出的，它是“互联网协议第六版”的缩写。在设计IPv6时不仅仅扩充了IPv4的地址空间，而且对原IPv4协议各方面都进行了重新考虑，做了大量改进。除了提出庞大的地址数量外，IPv6与IPv4相比，还有很多的工作正在进行以期得到更高的安全性、更好的可管理性，对QoS和多播技术的支持也更为良好。下面的章节将从几个主要的方面探讨一下IPv6与IPv4的区别。

2、IPv4与IPv6协议的比较

2.1 报头格式

IPv4报头如表1所示，包含20bit+选项，13个字段，包括3个指针。

表1 IPv4报头

IPv6报头由基本报头+扩展报头链组成，其中基本报头如表2所示，包含40bit，8个字段。

表2 IPv6报头

IPv4和IPv6报头格式主要区别如下。

IPv6报头采用基本报头+扩展报头链组成的形式，这种设计可以更方便地增添选项以达到改善网络性能、增强安全性或添加新功能的目的。

2.1.1 固定的IPv6基本报头

IPv6基本报头被固定为40bit，使路由器可以加快对数据包的处理速度，提高了转发效率，从而提高网络的整体吞吐量，使信息传输更加快速。

2.1.2 简化的IPv6基本报头

IPv6基本报头中去掉了IPv4报头中阴影部分的字段，其中段偏移和选项和填充字段被放到IPv6扩展报头中进行处理。

去掉报头校验(HeaderChecksum，中间路由器不再进行数据包校验，去掉此字段的原因有三：一是因为大部分二层链路层已经对数据包进行了校验和纠错控制，链路层的可靠保证使得三层网络层不必再进行报头校验；二是端到端的四层传输层协议也有校验功能以发现错包；三是报头校验需随着TTL值的变化在每一跳重新进行计算，增加包传送的时延。
IPv6基本报头中去掉与IP分片相关的域，使得路由器无需再对数据包进行分片，而分片工作由源终端设备根据最大传输单元MTU路径发现来进行。这样IPv6的数据包可以远远超过64kbit/s，应用程序可以利用MTU，获得更快、更可靠的数据传输。

2.1.3 IPv6报头新增流标记宇段

IPv6协议不仅保存了IPv4报头中的业务类别字段，而且新增了流标记字段，使得业务可以根据不同的数据流进行更细的分类，实现优先级控制和QoS保障，极大地改善了IPv6的服务质量。

2.1.4 IPv6报头采用128bit地址长度

这是IPv4与IPv6最主要的区别。IPv4采用32bit长度，理论上可以提供大约43亿个IP地址，这么多的IP地址似乎可以满足网络连接的需要，但事实上网络中任意交换机和交换机任意端口均需一个独立地址，为此网络缺乏足够地址满足各种潜在的用户。

IPv6采用128bit长度，相对IPv4，增加了296倍的地址空间。按保守方法估算IPv6实际可分配的地址，整个地球的每平方米面积上仍可分配1000多个地址。这样几乎可以不受限制地提供IP地址，从而确保了端到端连接的可能性。表3给出IPv4和IPv6的可用地址空间。

表3 IPv4和IPv6的可用地址空间

2.2 IP地址分配

IPv4地址分配初期采用基于类别的方式，有3类主要方式：A、B和C以及2种特殊的网络地址D和E。

*类型A地址：其中前7bit用于网络标识，后24bit用于主机标识，A类地址可容纳128个网络，任意A类网络中可包括16777216个主机。

*类型B地址：其中前14bit用于网络标识，后16bit用于主机标识，B类地址可容纳16384个网络，任意B类网络中可包括16384个主机。

*类型C地址：其中前21bit用于网络标识，后8bit用于主机标识，C类地址可容纳2097152个网络，任意C类网络中可包括256主机。

A、B、C类地址用于标识某一网络节点的接口，称为单播地址，D类地址不是用于标识单一的接口，而是用于标识多个网络节点接口的集合。E类地址是预留地址。

A类网络地址是用于标识世界上最大型的网络，除了其中少量的预留和可重新分配的地址，A类地址目前已经分配完毕。B类地址也将使用殆尽。

IPv4基于上述类别处理的管理方式限制了实际可使用的地址，例如一个拥有300个用户的网络期望采用一个B类地址，然而如果实际分配一个B类地址则用户拥有了65536个地址域，这远远超过用户需要的地址空间，造成地址的大量浪费。

为解决这种地址分配方式的弱点，IETF通过了无类域间路由选择(CIDR，ClassInter-DomainRoutin)方案。CIDR方案取消了IPv4协议中地址类别分配方式，可以任意设定网络号和地址号的边界，即根据网络规模的需要重新定义地址掩码，这样可为用户提供聚合多个C类的地址。但是CIDR方案的不足之处是必须在知道网络掩码后才能确定地址中网络编号和主机编号。

IPv6协议可根据用户的需要进行层状地址分配，这和IPv4采用块状地址分配是不同的，后者方式导致某些地址无法使用。在IPv6的分层地址分配方式中，高级网络管理部门可为下级网络管理部门划分地址分配区域，下级网络管理部门则可为更下层的管理部门进一步划分地址分配区域。

IPv6将用户划分成3种类型。

(1)使用企业内部网络和Internet；

(2)目前使用企业内部网络，将来可能会用到Internet：

(3)通过家庭、飞机场、旅馆以及其他地方的电话线和Internet网络互联。

IPv6协议为这些用户提供了不同地址分配方式。

(1)4种类型的点到点通信/单播地址；用于标识单一网络设备接口，单播通信传播的分组可传送到地址标识的接口。

(2)改进的多播地址格式；用于标识归属于不同节点的设备接口集合，多播通信传送的分组可发送到地址标识的所有接口，这种地址方式是非常有用的。例如，可将网络中发送的新消息传送给所有登记的用户。特殊的多播地址可限制在特定网络链路或特定的系统组中进行通信。IPv6协议没有定义广播地址，但可使用多播地址替代。

(3)新的任意播(Anycast)地址格式；IPV6协议中引入了任意播地址，用于标识属于不同节点的设备接口集合，任意播传送的分组可发送到地址标识的某一接口，接收到信息的接口通常是最近距离的网络节点，这种方式可提高路由选择的效率，网络节点可通过地址表示通信过程传输路由可经过的中间跳数，即信息传输路由可不必由路由器决定。

2.3 路由协议

IP网路由协议主要包括域内路由协议和域间路由协议。

2.3.1域内路由协议

目前IP网域内路由协议主要采用IS-IS和OSPF两种。其中OSPF用来交换IPv4路由信息的版本叫IS-IS用来交换IPv6路由信息的版本叫OSPFv3；IS-IS用来交换IPv4路由协议的版本叫IS-IS，用来交换IPv6路由协议的版本叫IS-ISv6。

(1)OSPFv3与OSPFv2的区别

OSPFv3(RFC2740)与OSPFv2(RFC2328)相比在原理上并没有根本的区别，OSPFv3仍采用链路状态LSA数据库，并保持邻接路由器之间的同步。但由于从IPv4到IPv6上地址长度的变化，为了支持IPv6地址格式，OSPFv3对OSPFv2协议进行了许多修改。从路由协议标准化进程看，OSPFv3协议已较为成熟，已有定型的RFC2740协议。OSPFv3提高了通用性，使网络可以适应不断变化的要求。这使复杂的网络得以简化，并且它采取了一些增强措施以保证升级方便地进行，OSPFv3还进行了优化并且安全性也得到了提高。

OSPFv3的主要目的是“开发一种独立于任何具体网络层的路由协议”。为实现这一目的，C)St’FV3的内部路由器信息被重新进行了设计。与过去的版本不同，()SF·Fv3不向位于数据包和链路状态公告(LSA)起始位置的报头插入基于IP的数据。C)St’Fv3利用独立于网络协议的信息来执行过去需要IP报头数据的关键任务，如识别发布路由数据的LSA。

除了改变报头数据外，OSPFv3还对LSA所发挥的作用进行了重新定义。在OSPFv3中，公告网络拓扑和IPv6数据的任务被分配到新的和已有的LSA中。

OSPFv3增加了多种可选功能，如多播OSPFv3，以实现通用性。为了达到这一目的，OSPFv3扩展了网络设备用来公告使能的功能选项数据域。多数OSPFv3路由器间信息中都包含选项域，运行OSPFv3的设备可以支持多达24种可选功能，而以前的版本只能支持8种功能。

为了简化复杂的容错网络的建设，OSPFv3引入了InstanceID和R-bit选项。作为每个OSPFv3包头的一个组件，InstanceID不再依赖于过去需要的复杂的认证方案或访问清单，就可以控制共享物理网络和OSPF域的路由器之间的通信。除了InstanceID外，OSPFv3还可以通过R-bit使服务器这类最终系统具有有效的冗余性。

OSPFv3与过去的协议的不同之处在于它通过提供非本身固有的安全性来简化消息的结构。通过利用IPv6包的安全子包头的集成系统，OSPFv3消息可以被认证和加密，而这在以前是需要增加独立复杂的协议才能实现的功能。

OSPFv3提供了更强的功能，并且它具有很大的通用性，从而可以很方便地支持新型网络协议。新的特性简化了网络设备和运行，在使用OSPFv3的情况下，升级将不再那么麻烦。

(2)IS-ISv6与IS—ISv4的区别

另一个被运营商广泛使用的连接状态协议是ISISforIPv6。我们知道ISIS是IS标准路由协议(ISO/IEC10589)，最初用于支持CLNS网络的动态协议。由于ISIS的设计非常有利于新功能的扩展，它首先扩展了IPv4路由协议的功能(RFC1195)，有人将这种既能为CLNS服务，也能为IP服务的协议叫做IntegratedISIS。

依照类似的方法，ISIS也可以通过简单的扩展来处理IPv6的路由信息。支持IPv6的IS-IS协议标准草案已经经过多次讨论修改，目前，还未正式形成RFC标准，只有draft-ietf-isis-ipv6.txt标准草案。Draft-ietf-isis-ipv6.txt草案通过在IS-IS数据包(Hello、LSP和SNP)中引入以下可变长度的数据域(TLV)，从而使其支持IPV6路由功能，这一设计只需要对IS-IS路由协议进行少量的修改即可使它支持IPv6odraft-ietf-isis-ipv6.txt只增加了有关IPv6的TLV，在邻居数据库、拓扑数据库的建立和维护上基本保持了ISO10589和RFCl195的模式。因此，CLNSIFV4和IPv6具有相同的拓扑结构。也就是说，draft-ietf-isis-ipv6.txt要求IPv4和IPv6的网络是完全重合的。我们将这种实现称为ISISfor IPv6单一拓扑模式。

很快人们认识到单一拓扑模式对IPv4和IPv6网络完全重合的要求限制了IPv6网络的部署。显然IPv6的规模和覆盖范围都将大于老一代IPv4网络，部分网络将只具有IPv6属性，例如，部分网络只有IPv6地址而没有IPv4地址。这时ISISforIPv6单一拓扑模式就可能导致一些IPV4的数据报文错误地被转发到这部分IPv6网络，造成路由的混乱和麻烦，无法满足IPv4、IPV6不同扩展范围的需要。ISISfor IPv6多重拓扑模式(draft-ietf-isis-wg-multi-topology)是针对这一问题的解决方案，它通过使用IPv4 IPv6不同的拓扑去除了两个网络必须一致的限制。多重拓扑模式为IPv4和IPV6网络建立不同的拓扑数据库，分别进行spf最短路径优先算法的计算，为IPv4和IPv6提供相互独立的路由子系统，使IPv6网络的建设摆脱IPv4的限制，为IPv6网络的成长打开了发展空间。

2.3.2域间路由协议

BGP4(RFC1771)是目前被所有IS，运营商广泛使用的IPv4外部路由协议，BGP4是一个路径矢量协议，它的基本功能是在自治系统间自动交换无环路的路由信息，通过交换带有自治区域号(AS)序列属性的路由可达信息，来构造自治区域的拓扑图，从而消除路由环路并实施用户配置的策略。

BGP特点：

*距离矢量协议；

*传输协议：TCP，端口号：17；

*支持CIDR(无类别域间选路)；

*路由更新只发送增量路由；

*丰富的路由过滤和路由策略。

支持IPV4的BGP经历了4个版本：RFC1105(BGPl)，RFC1163(BGP2)，RFC1267(BGP3)，和目前广泛使用的RFC1771(BGP4)。支持IPv6的域间路由协议是BGP4+，在BGP4+上支持IPv6的路由器必须符合RFC 2858和RFC2545。利用BGP4+实现ISP网络之间的互通。

在IPV4环境中，BGP4是一种广泛使用的用于自治域之间路由传播的路径矢量路由协议。在随后定义的一系列标准中使得BGP4的功能更加强大，可以用于承载多种协议：MPLS-VPN、Multicast等协议均是通过BGP4进行工作的。在RFC2545(UseofBGP4 Multiprotocol Extensions for IPv6 Inter-Domain Routing)中描述了如何使用MP_REACH_NLRI来传达IPv6的可达信息。

2.4 域名解析

IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的，都是采用树型结构的域名空间。虽然IPv4协议与IPv6协议是存在着相当大区别的两套协议，但这并不意味着需要单独两套DNS体系，相反在DNS的体系和域名空间上两者必须是一致的，IPv4和IPv6共同拥有统一的域名空间。在IPv4到IPv6的过渡阶段，域名可以同时对应于多个IPv4和IPv6的地址。随着IPv6网络的普及，IPv6地址将逐渐取代IPv4地址。

可聚集全局单播地址是目前主要应用的IPv6地址，因IPv6可聚集全局单播地址是在全局范围内使用的地址，必须进行层次划分及地址聚集。下面就以IPv6DNS系统对这类地址的解析过程来介绍IPv6DNS系统的解析原理。

IPv6全局单播地址的分配方式如下：顶级地址聚集机构TLA(即大的ISP或地址管理机构)获得大块地址，负责给次级地址聚集机构NLA(中小规模ISP)分配地址，NLA给站点级地址聚集机构SLA(子网)和网络用户分配地址。IPv6地址的层次性在DNS中通过地址链技术可以得到很好的支持。

2.4.1正向解析

IPv4的地址正向解析的资源记录是“A”，而IPv6地址的正向解析目前有两种资源记录，即“AAAA”和“A6”记录。其中“AAAA”较早提出，它是对IPv4协议“A”“录的简单扩展，由于IP地址由32bit扩展到128bit扩大了4倍，所以资源记录由“A”扩大成4个“A”。但“AAAA”用来表示域名和IPv6地址的对应关系，并不支持地址的层次性。

AAAA资源记录类型用来将一个合法域名解析为IPv6地址，与IPv4所用的A资源记录类型相兼容。之所以给这新资源记录类型取名为AAAA，是因为128bit的IPv6地址正好是32bitIPv4地址的4倍。

“A6”是在RFC2874基础上提出，它是把一个IPv6地址与多个“A6”记录建立联系，每个“A6”记录都只包含了IPv6地址的一部分，结合后拼装成一个完整的IPv6地址。“A6”记录支持一些“AAAA”所不具备的新特性，如地址聚集，地址更改(Renumber)等。

“A6”记录根据可聚集全局单播地址中的TLA、NLA和SLA项目的分配层次把128bit的IPv6的地址分解成为若干级的地址前缀和地址后缀，构成了一个地址链。每个地址前缀和地址后缀都是地址链上的一环，一个完整的地址链就组成一个IPv6地址。这种思想符合IPv6地址的层次结构，从而支持地址聚集。

同时，用户在改变ISP时，要随ISP改变而改变其拥有的IPv6地址。如果手工修改用户子网中所有在DNS中注册的地址，是一件非常繁琐的事情。而在用“A6”记录表示的地址链中，只要改变地址前缀对应的ISP名字即可，可以大大减少DNS中资源记录的修改。并且在地址分配层次中越靠近底层，所需要改动的越少。

2.4.2反向解析

IPv6反向解析的记录和IPv4一样，是“PTR”，但地址表示形式有两种。一种是用“.”分隔的半字节十六进制数字格式(NibbleFormat)，低位地址在前，高位地址在后，域后缀是“IP6.INT.”。另一种是比特串(Bit--string)格式，以“＼[”开头，十六进制地址(无分隔符，高位在前，低位在后)居中，地址后加“]”，域后缀是“IP6.ARPA.”。半字节十六进制数字格式与“AAAA”对应，是对IPv4的简单扩展。二进制串格式与“A6”记录对应，地址也象“A6”一样，可以分成多级地址链表示，每一级的授权用“DNAME”记录。和“A6”一样，二进制串格式也支持地址层次特性。

总之，以地址链形式表示的IPv6地址体现了地址的层次性，支持地址聚合和地址更改。但是，由于一次完整的地址解析分成多个步骤进行，需要按照地址的分配层次关系到不同的DNS服务器进行查询。所有的查询都成功才能得到完整的解析结果。这势必会延长解析时间，出错的机会也增加。因此，需要进一步改进DNS地址链功能，提高域名解析的速度才能为用户提供理想的服务。

2.5 自动配置

IPv6协议中引入了自动配置(“即插即用”)功能，一个主机进行Internet网络登记后，位置或配置发生变化时只需进行很少的改动即可进行工作，这样可大幅度降低网络管理者的配置和地址映射管理，移动工作者也可方便地在任何地方任何时间接入到Internet网络。

IPv6协议中自动配置功能无需采用动态主机配置协议(DHCP，DynamicHostConfigurationProtoco1)。IPv6协议可为任意主机生成一个“本地IP地址”，这个地址内嵌一个以太网卡地址，由于MAC地址是全球唯一的，这样IP地址就不会重复，IPv6的自动配置功能正是基于这种唯一IP地址的概念。

2.6 安全

IPv4中存在一系列的安全性漏洞，应用程序只能通过本身的私有性和认证性操作机制完成安全性操作。IPv6协议给出两个备选项用于解决这个问题：一个是“安全性操作”选项，另一个是“IPv6加密安全头部”选项。由于不同的用户或不同应用环境有不同的安全性操作，IPv6协议允许分别或组合使用这两个备选项，以提供不同优先级别的网络服务性能。

IPv6协议明确要求实现SECtarget=_blankclass=qqx_gjz>IPSec，从而从根本上保证了互联网通信的安全性，有望解决基于IPv4协议的互联网的安全性。IPSec可以在传输模式(TransportMode)和隧道模式(Tunnel Mode)两种模式下工作，满足不同类型的安全性的需求。它主要包括以下几个组成部分：

*认证报头AH(AuthemicationHeader)：只用于认证。

*安全净荷封装ESP(EnleapsulatingSecurityPayload):加密+认证。

*互联网密钥交换IKE(InternetKeyExchange)：实现密钥的管理和交换，如ISAKMP和Oakley。

由于IPv6数据包头的扩展包头中提供IPSEC加密功能，因此主机可以进行端到端的加密，以提供端到端的安全性。对于提供虚拟专网服务的运营商来说，可以提供IPSEC数据加密服务，提高数据的安全性。

3、总结

本文主要从IP报头格式、IP地址分配方式、路由协议、域名解析、自动配置和安全等几个主要方面对IPv4和IPv6进行了比较。

综上所述，IPv4地址耗尽并不是部署和升级到IPv6的唯一理由，IPv6协议可满足下一个世纪的高性能、可扩展性的网络互联，并可解决IPv4协议中存在的许多问题。新技术支持新应用，新应用推动新技术的标准化和商业化，IPv6的商业应用将迎来明媚的曙光。

可冉 2008-04-27 15:18 发表评论

OSPF的五种协议报文OSPF的五种协议报文

可冉 — Wed, 26 Mar 2008 05:39:00 GMT

HELLO 报文，发现及维持邻居关系，选举DR，BDR.

DD报文，描述本地LSDB的情况。

LSR报文，向对端请求本端没有或对端的更新的LSA.

LSU报文，向对方更新LSA.

LSAck报文，收到LSU之后进行确认。

可冉 2008-03-26 13:39 发表评论

IPV6技术白皮书（八）

可冉 — Wed, 12 Mar 2008 01:26:00 GMT

IPv6试验网络

1 目前全球有哪些IPv6实验网和商用网？

IPv6标准颁布之后，全球有了实验床，一些大的电信公司也有了半商用网和商用网。1999年7月，IANA授权APNIC、ARIN和RIPE分配商用IPv6地址，此时IPv6进入了实用化阶段。示范网发展的总趋势是提供以国家乃至洲际为单位的纯IPv6连接。当前比较有名的IPv6实验网包括以下几个：

（1）6Bone

6Bone是为了在Internet上推广IPv6的一个全球性测试平台，是世界上成立最早也是迄今规模最大的全球范围的IPv6示范网，用来测试IPv6实现的互相连接性，检测IPv6在实际环境中的工作情况等等。6Bone于1996年1月由几个需要测试其原型系统之间互操作性的IPv6实施小组建成，其相关活动皆属于IETF下Ngtrans工作小组（现为V6ops工作组）的一部分。6Bone并不是一个独立于Internet的物理网络，而是利用隧道（Tunnel）技术将各个国家和地区组织维护的IPv6网络通过运行在IPv4上的Internet连接在一起。6Bone的主干是由许多相互连接的网络服务提供者（ISP）及用户网络所组成。6Bone的目标是通过对早期不同IPv6技术的实施来获取实践经验，从这个实验网上获得的信息将形成一整套有关各种机制和程序的文献，这些文献的内容涉及：转换至本地IPv6（native IPv6）的建议、共享操作经验、维护全球的IPv6缺省自由路由树。

（2）6REN

建立于1998年底的IPv6研究与教育网（6REN）是一个非官方协调的研究与教育网，提供产品级的IPv6连接，并作为一个IPv6工具、应用和程序开发的平台。该平台可以免费参与并对所有提供IPv6业务的研究与教育网开放，也鼓励其它赢利和非赢利IPv6网络加入。

为了加速IPv6朝实用化的方向迈进，1998年12月，IETF的IPng和Ngtrans工作小组提出建立全球性的IPv6研究和教育网6REN（IPv6 Research and Education Network Initiative）。6REN在最初的参与者ESnet、Internet2/vBNS、Canarie、Carin和WIDE间建立了实用化的ATM上的纯IPv6连接，提供了更加有效的测试平台。从整体上看，6REN只是自愿组成的相互协作的一个IPv6科研教育网的雏形。

在6REN不断发展期间，为了更好的支持6REN参与者之间的纯IPv6对等直连（Peering Points），CANARIE和ESnet共同发起了一个IPv6交换计划－6TAP（IPv6 Transit Access Point），它以位于芝加哥的STAR TAP为依托，建立了以ATM交换机为中心的IPv6洲际网络。其主要目的是在STAR TAP提供一台支持IPv6的路由器和路由服务器，以对早期的IPv6路由管理和路由服务进行测试，使得能够对IPv6运行规程的制订有一些帮助。

（3）BNS

从1996年起，美国开始了下一代互联网研究与建设。美国国家科学基金会设立了“下一代Internet”研究计划NGI，支持大学和科研单位建立高速网络试验床vBNS（Very High Speed Backbone Network Service），进行高速计算机网络及其应用的研究。1998年美国100多所大学联合成立UCAID（University Corporation for Advanced Internet Development），从事Internet2研究计划。UCAID建设了另一个独立的高速网络试验床Abilene，并于1999年1月开始提供服务。

MCI WorldCom于1995年与美国国家科学基金（NSF）合作开发了VBNS＋业务，自1997年开始提供IPv6隧道，1998年推出本地IPv6（native IPv6），1999年开始提供产品的ARIN IPv6网络地址。VBNS＋提供的是一种半商务性的业务。

（4）Zama Network

Zama Network在2001年春天成为美国首家提供商业IPv6业务的业务提供商。Zama最初的目标是服务于北美与亚太地区之间的通信，最近它在东京建立了一个节点。2001年3月，该公司推出了Smarter-Kit业务，包括接入Zama的本地IPv6骨干网，并且客户可以从Zama接入6Bone和世界上其它基于IPv6的网络。目前Zama正在与NEC和其它厂商进行IPv6的测试。

（5）6NET

2002年1月欧洲启动了为期3年的IPv6研究和实施计划：6NET试验网。在6NET计划中，将至少有11个国家级的研究和教育网络在速率高达2.5Gb/s的链路上建立纯IPv6网络。建立6NET网的目的是为了引入、测试新的IPv6服务和应用程序；测试将IPv6网络和现有IPv4体系结构综合在一起的过渡策略；对IPv6网络下的地址分配、路由和DNS操作进行评估；促进IPv6技术的快速发展。

（6）Euro6IX

2002年1月欧洲同时启动了为期3年的IPv6研究和实施计划：Euro6IX试验网。Euro6IX的目标是支持IPv6在欧洲迅速引入。该项目将研究、设计和建设一个泛欧的纯IPv6网，叫做Euro6IX测试床，它将提供用目前技术可以获得的最先进服务和一系列基于IPv6的应用，这些服务与应用既可在Euro6IX内提供试验用，也可供第三方试验用。Euro6IX还研究在世界范围内建设下一代互联网所需的各种网络等级。Euro6IX的基础设施将包括不同的网络等级（地区纯IPv6交换机、泛欧核心网、服务提供商）。在Euro6IX试验网计划中，欧洲主要的电信商将携手建立一定数量的IPv6交换节点，以支持IPv6在欧洲范围内的快速引入。

2 北美现在最大IPv6网络是什么？

2003年10月20日，包括思科、3Com等在内的数家技术巨头宣布推出了北美最大的、基于新型Internet地址系统的网络“MoonV6”。

基于IPv6的下一代Internet技术的“MoonV6”网络，是北美IPv6特别工作组（NAv6TF），新罕布什尔大学互操作实验室（UNH-IOL），Joint Interoperability Testing Command，美国国防部的一些机构和Internet2合作完成的重要成果。

IPv6论坛主席Jim Bound表示，目前推出的这一网络仅仅是个开始，他们的目标远不止此。Bound透露，目前这一网络的最大客户是美国国防部，这家联邦政府机构已计划在2008年完成向IPv6的全面迁移。

3 日本IPv6实验网的开展情况如何？

在日本，各大ISP公司纷纷搭建IPv6网络：

IIJ公司2000年8月份提供了实验性质的纯IPv6连接；

NTT公司1997年提供连接到日本6bone-jp试验网的IPv6服务网络“NTTv6Net”，到2000年3月份进军欧洲市场，提供高服务质量的IPv6商用网；2000年，NTT多媒体通信实验室宣布其San Jose数据中心提供一种商用IPv6因特网交换（IX）业务，并签署服务级协议；

WIDE PROJCT在东京建立的将超过20个ISP直接互联在一起的试验性IPv6 IX网（Iner-net Exchange），这也是世界上最大的IPv6 IXes之一。

4 什么是中国的CNGI项目？

CNGI项目是由包括信息产业部、国家科技部、国家发改委和中国工程院在内的8个部委联合发起并经国务院批准启动的。2003年国家发展改革委会同有关部门组织进行中国下一代互联网战略研究，并准备安排“中国下一代互联网示范工程CNGI”大型项目。2002年3月完成了“中国下一代互联网示范工程CNGI实施方案建议”，同年8月国务院批复同意国家发改委“关于推动我国下一代互联网发展有关工作的请示”，正式启动“中国下一代互联网示范工程CNGI”。这一项目的实施不仅涉及资金巨大，更重要的是它表明我国政府对以IPv6为基础的下一代网络建设的高度重视与大力支持。根据CNGI的规划，我国将在2005年底建成一个覆盖全国的IPv6网络，成为世界上最大的IPv6网络之一。通过大规模IPv6网络建设的部署实施及商用探索，在未来的几年内，我国将成为以IPv6为基础的下一代网络领域的领先国家。

CNGI的主要研究内容包括以下三部分：

1）建设下一代互联网示范网络，包括：核心网（含城域网）建设；驻地网（CPN）建设；国际联网和交换中心；

2）网络技术的开发试验和重大应用示范，包括：网络关键技术开发试验；网络中间件技术开发试验；重大网络应用示范；

3）关键设备和软件开发及推广应用，包括：关键软、硬件网络设备产业化；重大应用产业化；

我国主要运营商都在积极参与CNGI网络建设项目并争取尽快提供相应的应用与服务。运营商的全面参与必将大大加速IPv6商用化进程。对于我国下一代网络产业而言，CNGI项目将成为推动下一代网络部署及商用化进程的催化剂。

5 国内试验网络如何连接到6Bone?

CERNET IPv6试验床从6Bone获得p-TLA（pseudo-Top Level Aggregation，伪顶级聚类）3FFE:3200::/24的地址空间；并且建立了5条以tunnel为基础的国际IPv6虚拟链路，直接通达美国、英国和德国的IPv6网络，间接地与几乎所有现有的6Bone成员互连。试验床按地区分配NLA1 ID（Next Level Aggregation, level 1 Identifier，次级聚类）。试验床正式使用部分已经发展了2个地区级的试验网络；学生试验部分已经建立了4个地区IPv6网络。

可冉 2008-03-12 09:26 发表评论

IPV6技术白皮书（七）

可冉 — Wed, 12 Mar 2008 01:24:00 GMT

多播技术

1、介绍

多播技术提供一种一个发送者向一组接收者传送数据的有效传输方式。如图1，多播传输中，数据被发送到接收者的多播地址，而不是每个接收者的单播地址，发送者只发送一个数据拷贝，源端到目标端路径上的中间节点复制该数据。

图1 多播示意图.

多播在实际中有许多应用，如不同地域的指挥官可以利用多点多播系统参与计划编制会议，然后利用多播协议把计划传给下级指挥官；对地理上分布的逻辑数据库的数据修改以及视频点播、远程教学、网络电视等。

2．多播地址

为发送IP多播数据，发送者需要确定一个合适的多播地址，这个地址代表一个组。IPv4多播地址采用D类IP地址确定多播的组。在Internet中，多播地址范围是从224.0.0.0到234.255.255.255。其中比较重要的地址有：

224.0.0.1 －网段中所有支持多播的主机

　　224.0.0.2 －网段中所有支持多播的路由器

　　224.0.0.4 －网段中所有的DVMRP路由器

　　224.0.0.5 －所有的OSPF路由器

　　224.0.0.6 －所有的OSPF指派路由器

　　224.0.0.9 －所有RIPv2路由器

　　224.0.0.13 －所有PIM路由器

IPV6地址空间中有1/256的地址空间分配给多播地址。一个FF（11111111）值标识该地址是多播地址。标识段高三位始终设置为0并保留。第四位T标识设置为0时表示一个永久分配的多播地址。T标识设置为1时，表示非永久分配的多播地址，这种地址作为一个临时的多播地址。

3. 组管理协议

主机使用组管理协议IGMP消息通告本地的多播路由器它想接收多播流量的主机组地址。如果主机支持IGMPv2，它还可以通告多播路由器退出某主机组。多播路由器通过IGMP协议为其每个端口都维护一张主机组成员表，并定期的探询表中的主机组的成员，以确定该主机组是否存活。

4．多播路由协议

为实现多播通信，就必须建立支持多播的路由协议，目前常用的多播路由协议有距离向量多播路由协议DVMRP、协议无关密集模式多播协议和协议无关分散模式多播协议。

DVMRP是一个适用于单个独立系统的内部网关协议，它是一种基于距离向量算法的多播路由协议。建立在RIP基础上，采用本身的动态路由协议来进行路由交换和路由表的构建。目前已基本上被PIM所取代。

PIM协议的目的是在Internet 上提供足够规模的域间多播路由。PIM有两种兼容的操作模式：密集模式和发散模式。

密集模式采用了DVMRP一样的方式，建立PIM-DM环境中建造起来的基于资源的多播树。PIM-DM独立于IP路由协议，“协议无关多播”由此而得名。PIM-DM适用于发送者和接收者非常接近，且只有一小部分发送者和大量的接收者或多播流量持续并非常大的情况。　

PIM-SM与PIM-DM相似，都是建立在多播路由协议基础上用于决定RPF接口的协议。PIM-SM协议假定在网络中接收者的人数很稀疏或者多播组被广域网分割开，适用于多播组中接收者较少、间歇性多播流量的情况。不同于PIM-DM的广播方式，PIM-SM定义了一个集合点(RP)，所有的接收者在RP注册，多播分组由RP转发给接收者。

移动IP　

1、为什么需要移动IP

在讨论为什么需要移动IP以前，先对现有的路由技术在相关方面作简要的介绍：

a. 各个节点只根据IP报头中的目的IP地址来作转发决策，只在有错误发生时才去检查源地址；

b. 一般来说，路由决策依赖于目的IP地址的网络前缀而不是整个目的地址；

c. 同一条链路上的所有节点都应有相同的网络前缀，它们可以通过IP地址中的主机部分来识别；

d. 对于同一条链路上的多台主机，可以只用一条网络前缀路由，而无需列出所有的特定主机路由，对于有几百条链路，每条链路上又有几百台主机的网络来说，采用网络前缀路由而不是特定主机路由可以极大地简化路由表的表项。

在上述路由机制下，因特网上的一个节点在改变了其在网络上的接入点以后，如果不重新配置其IP地址，那么它就不能继续与网上的其它节点进行通信，移动IP就是为解决这个问题而提出的。

2．什么是移动IP

简单来说，移动IP提供了一种IP路由机制，使移动节点可以以一个永久的I P地址连接到任何链路上。移动IP可以看作是一个路由协议，只是与其它路由协议相比，移动IP具有特殊的功能，它的目的是将数据包路由到那些可能一直在快速地改变位置的移动节点上。移动IP只是将数据包路由到移动节点的网络层标准，对TCP等其他技术以及应用程序的改进则不是移动IP的范畴。

设计移动IP时有以下几个要求：

a. 移动节点在改变数据链路层的接入点后应仍能与因特网上的其他节点通信；

b. 无论移动节点连接哪个数据链路层接入点，它应仍能用原来的IP地址进行通信；

c. 移动节点应能与不具备移动IP功能的计算机通信；

d. 移动节点不应比因特网上的其他节点面临新的或更多的安全威胁。

3．移动IPv6机制

下面先从一个整体的角度介绍一下IPv6对移动性问题的解决方案。参见图1，Node A链接到Link 1上，它有一个地址A1，这个地址A1是可以通过Router 1到达的，当Node A没有发生移动时，Node B与Node A通信时，Node B发送的数据包会按照现有的路由方式到达Node A。

可是当Node A发生了移动，从Link 1移动到Link 2时，如果Node A不改变其IP地址，Node B发送的数据包按照现有的以前缀为基础的路由方式就不能够到达Node A了。

1）．Router会定期广播发送Router Advertisement消息,带有本地链路上的前缀信息，Node A接收到这个消息后，知道自己发生了移动，它会根据新的前缀信息通过地址自动配置得到一个新的地址A2；

2)．Node A会发送一个信息包M2给Router 1，这个信息包告诉Router 1现在Node A的新地址A2，此后，Router 1再发现有需要送到Node A的原来的地址A1的数据包，它会把这个数据包截获，然后把这个包作为净荷，在其上面再加上一层IPv6报头，把新的数据包发送到Node A的新地址A2，这个过程应用的是“隧道技术”；

3)．假如Node B发送数据包给Node A，它并不知道Node A已经发生了移动，此时它会把这个数据包继续发送给Node A原来的地址A1；

4)．Node B发送的数据包到达Router 1以后，Router 1会截获这个数据包，同时把这个数据包转发到Node A的新地址A2；

5)．Node A收到Router 1转发过来的数据包以后，通过检查这个数据包的源地址，它知道Node B想与它进行通信，于是它会发送一个信息包M3给Node B，告诉自己的新地址A2；

6)．Node B收到这个数据包以后，会记录下Node A的新地址A2，这样如果再有数据包需要发给Node A，它会直接把数据包发给地址A2。至此Node A和Node B之间可以实现双向通信；

7)．若有其余节点想与Node A进行通信，其建立通信的过程与Node B类似。

4．移动IPv6与移动IPv4的比较

互联网发展的最初动力是实现计算机之间的信息共享，那时没有考虑到会有对移动性的需求，作为互联网基础的IPv4在制订之初并没有考虑到要解决移动性问题。随着社会的发展，互联网的应用越来越广泛，人们提出了许多新的需求，对移动性的需求就是其中的一种。在移动性方面，IPv4提出的是一种补救性的措施，因此它的方案有很多不完善的地方，主要表现在以下几个方面：

a. 在移动IPv4中，存在一个外地代理的概念，它实际上是外地链路上的一个路由器，由它来为移动到本链路的移动节点接收数据包；

b. 在移动IPv4中，有两种转交地址：配置转交地址和代理转交地址。其中，配置转交地址通过配置规程如DHCP、BOOTP等协议得到，它是一个真正的独立的IPv4地址，此时移动节点可以自己用此地址发送或者接受数据包；代理转交地址实际上就是外地代理的地址，外地代理代替移动节点接收数据包，简单处理后，再把包传送给移动节点；

c. 移动IPv4中存在着“三边路由”问题。由通信节点送给连接在外地链路上的移动节点的数据包先被路由到它的家乡代理上，然后经隧道送到移动节点的转交地址，然而，由移动节点发出的数据包却被直接路由到了通信节点，这构成了一个三角形，如图3所示。在安全性方面，移动IPv4采用的是静态配置的“mobile security association”，因此不能对移动IPv6进行路由优化。

5．为什么IPv6能够更好地解决移动性问题

IPv6在制定之初就考虑到了要解决移动性问题，因此它的基本理论中就有许多是为解决移动问题而提出的，这使得IPv6的移动解决方案是一个对移动性问题的根本的解决方案。IPv6有许多适用于解决移动性问题的新特性，这些特性都是IPv4所不具备的，因此IPv6能够更好地解决移动性问题，主要表现在以下方面：

a. 地址自动配置：IPv6有足够多的全球地址，另外IPv6实现了一种称为无状态地址自动配置的机制，任意节点可以根据当前所在链路的前缀信息以及自己的网络接口信息自动生成一个全球地址。IPv6的地址自动配置机制使得移动节点可以很容易地得到转交地址，不需要人为的参与。

b. 邻居发现：在邻居发现中规定，路由器应该定期广播发送其前缀信息，移动节点根据这些前缀信息能够快速地判断自己是否发生了移动，并通过地址自动配置得到转交地址；邻居发现中还定义了代理宣告的概念，“proxy advertisement”，使得home agent可以通过发送代理邻居宣告消息截获发送到移动节点家乡地址的数据包，并把这个包“tunnel”到移动节点的转交地址。

c. 安全机制：IPv6内置安全机制并已经标准化，它支持对企业网的无缝远程访问。在安全性方面，IPv6同IP安全性(IPSec)机制和服务一致。除了必须提供网络层安全这一强制性机制外，IPSec还提供两种服务。认证报头(Authentication Header, AH)用于保证数据的一执行，同时还可以用之进行身份验证，而封装的安全负载报头（Encapsulation Security Payload Header, ESP）用于保证数据的保密性和数据的一致性。同时由于IPv6的新特性，也可以为移动IPv6专门设计安全机制。

d. 黑洞检测：移动IPv6中的移动检测机制提供了移动节点和它的当前路由器之间的双向可到达的确认机制，即移动节点可以随时知道当前路由器是否继续可达，同时路由器也可以知道节点是否继续可达。如果移动节点检测到当前路由器不再可用，它就会去请求另外一台路由器。而Mobile IPv4只提供了“前向”可到达的检测机制，即路由器可以随时确认移动节点是否继续可达，但是移动节点却不能检测到路由器是否继续可达。

e. 路由报头：IPv6中定义了路由报头，报头中指定了数据包在从源节点到目的节点的过程中应该经过的节点的地址。大多数发送到移动节点的数据包都要使用路由报头，数据包的目的地址是移动节点的转交地址，并且包含一个路由报头，路由报头的下一跳是这个移动节点的家乡地址。

f. 动态家乡代理地址发现机制：在IPv6中，定义了一种称为“anycast”的地址，它也是一个地址组，地址组中的所有的机器都会收到发往这个“anycast”地址的数据包，但是只会有一台机器对这个数据包做出响应。移动节点家乡链路上所有的路由器都配置为“Mobile-IPv6 anycast address”，移动节点把“家乡代理地址发现清求” 消息发到这个“Mobile-IPv6 anycast address”，所有的家乡代理都收到了这条消息，但是有且仅有一个家乡代理对此做出响应。

g. 透明性的实现：节点的移动对移动节点和通信节点上的应用程序是透明的。对于通信节点来说，移动节点发送数据包时使用“home address option”，可以使其不必知道移动节点的转交地址；对于移动节点上的应用程序来说，通信节点发送数据包时采用“Router Header”，仍旧可以使应用程序不必知道移动节点的转交地址。

6．有待解决的问题

移动IPv6的发展还处在初级阶段，目前提出来的还只是移动解决方案的基础理论，移动IPv6的最终目标是实现全球范围的真正的移动网络，它会满足移动计算和个人通信的所有要求。

要真正实现全球范围内移动网络，还需要完成以下几个方面的工作：

1)．在协议的发展方面，还需要进一步完善一下几个协议

IPv6协议； Mobile IPv6协议； IPSec协议； SCTP； Diameter

2)．在协议的改进方面，需要研究以下几个问题：

a. 服务质量，包括差分服务质量和端到端服务质量的支持

b. 增强TCP协议，以支持移动IP

TCP假设所有的数据段丢失都是由于拥塞引起的，这种假设在因特网中大多数情况下是正确的，但在无线和移动环境中这个假设却不成立，在这种环境中，TCP的这个假设使得TCP性能变得很差。在这些背景之下，有人提出了对TCP改进的方案，许多改进方案关系到协议栈中各层(数据链路层、网络层、T C P 和应用层)协调工作以达到最佳的性能。因此，对于移动功能来说，问题并不只是如何将数据包路由到移动节点上，移动IP提供了这种数据包的路由能力，但它并未包括这些提供更完整的移动功能的改进方案。

3)．在移动本身方面，还需要解决如下问题：

a. AAA，即(Authentication、Authorization、Accouting)，它是指身份认证、授权机制、自动计费服务）

b. Buffer Management：移动IPv6中定义了多种数据结构，在节点中需要占用一定的资源，如何有效地管理这些资源，并使之不会对现有的服务性能造成太大的影响，是一个需要研究的问题

c. 与无线通信技术的融合：Internet技术的发展日新月异，无线通信技术如AMPS、GSM、CDPD、GPRS、WAP、BLUETOOTH、IMT-2000等层出不穷，再加上移动通信设备的进一步完善，以移动无线Internet为核心的移动计算网络正在向我们走来，未来的网络将是一个无线、有线与互联网三者合一的数字化的地球，其覆盖将超越一切地理的障碍，使得信息无处不在，因此，移动IP技术与无线通信技术的融合就变得是必不可少的了。

d. Seamless Handover，无缝切换：本文所讲的移动IPv6的基础理论只是在宏观的方面解决移动性问题，即它只是解决了移动的路由问题；无缝切换是为了解决节点移动过程中可能出现的问题而提出的，它把节点移动对通信产生的影响减小到最小，这是为了提高性能，在移动的微观方面所做的改进。无缝切换包括两个方面的内容：Fast Handover和Smooth Handover，现在解决快速切换和平滑切换都已经有人提出了一些方案，但是大多数都还没有成为标准。

移动IPv6的前景是诱人的，但是它的发展还只是处在起步阶段，前面介绍的移动IPv6的基础理论只是在宏观的方面解决移动性问题，即它所解决的问题是：当一个节点改变了网络接入点以后，如何把数据包继续路由到这个节点上，它并没有考虑这个过程对其他方面的影响，也没有过多地考虑性能和服务质量方面的问题。实际上，要实现全球范围的真正的移动网络，需要整个移动IPv6的体系结构的协调，除了解决路由问题以外，还有许多需要解决的问题，（见图4），整个移动IPv6体系的完善还有很长的路要走。

可冉 2008-03-12 09:24 发表评论

IPV6技术白皮书（六）

可冉 — Wed, 12 Mar 2008 01:21:00 GMT

IPv6的发展战略和规划

1 下一代网络与IPv6的关系是什么？

IPv6与下一代网络的发展密切相关。随着电信业，Internet技术的发展，下一代网络（NGN/NGI）已初具端倪，并将进一步演进和发展。ITU-T的NGN计划（NGN 2004 Project）将下一代网络看作是全球信息基础设施（GII）的具体实现；ETSI将NGN定义为是一种规范和部署网络的概念，通过采用分层、分面和开放接口的方式，给业务提供者和运营者提供一个平台，借助这一平台逐步演进，以生成、部署和管理新的业务；IETF重在发展增强的IP网（可扩展性、安全性和移动性等）；3GPP、3GPP2提出了All-IP核心网络。

在Internet成功商业化的同时，下一代互联网的研究与开发工作在各国政府的支持下逐渐展开。1995年美国科学基金会（NSF）资助了下一代因特网（NGI）研究计划，建立了NGI主干网（vBNS）；1998年美国大学先进网络联盟（UCAID）成立，设立Internet2研究计划，建立主干网Abilene；1998年亚太地区先进网络组织A-PAN成立，推动亚太地区下一代因特网的研究；2001年欧共体资助下一代因特网研究计划，建立主干网GEANT。通过这些计划的实施，全球已初步建成大规模先进网络试验环境，攻克了一批网络关键技术。

而无论是产业界的NGN（Next Generation Network）还是学术界的NGI（Next Generation Internet），均以IPv6作为其核心技术。

2 以IPv6为核心的下一代网络对运营商有什么好处？

以IPv6为核心的下一代网络将为运营商实现以下价值：

1）下一代网络使网络建设变得更加容易。利用基于IP的网元而不是传统电路交换机，一个新兴的通信公司可把建网费用降低70%；

2）下一代网络的运行成本要低很多。下一代网不需另建具有支撑维护功能的重叠网，是一种多业务网，并且在用户管理、业务提供、用户资料修改和自我计费方面更加自动化；

3）下一代网络给新兴的通信公司带来很大的创收机会。他们可以提供应用软件递送或电子商务之类的高收入服务；还可以利用集中的业务控制、应用编程接口和公共编程语言来使业务生成变得更加容易和便宜；

4）下一代网络能帮助运营商加强与用户的关系，减少用户流失。运营商可以提供基于Web的接口，让用户通过该接口直接定购新业务、改变服务内容和支付费用，从而与用户建立更广泛更紧密的关系。运营商还可以为用户的特殊需要定制服务，为电子服务开设专门的门户。

通过对IPv6设备的研究，找到合理的IPv4向IPv6过渡的解决方案，运营商可以最大限度地保护现有投资。这不仅保护了运营商的现有投资，而且可以全面保护运营商在IP设备上的投资。

3 未来IPv6的发展趋势是什么？

未来IPv6的发展主要呈现以下趋势：

标准制定上的协作和联合

越来越多的国际标准化组织因IPv6在下一代网络发展中的重要性而加入了IPv6标准的制定工作，使得IPv6相关标准的制定从以IETF为主体向IETF与ITU-T、3GPP等其它标准化组织协作和联合的方向发展。但是各个标准化组织对IPv6协议标准制定的侧重点各不相同，例如ITU-T重点考虑IPv6在NGN中的应用，3GPP则强调IPv6在3G核心网上的作用。

产品研发更具广度与深度

IPv6产品的研发主要集中在操作系统、网络设备、协议软件和应用软件等领域。目前主要的网络设备厂商已研制开发出了支持IPv6的路由器、交换机等初期产品，有些产品已投入试验床或商业试验网应用；一些计算机和操作系统厂商在其产品中加入了IPv6功能等。未来IPv6的研发将不仅重视基础设施产品的开发，还将注重应用软件、终端产品的研发，同时在支持IPv6协议方面具有更完善的功能。

科学研究与商业应用并重

目前建成的大部分IPv6或下一代因特网试验床仅用于科学研究。但在重视科学研究的同时也需要关注IPv6的商业化应用。因此，未来的科学研究试验床和商业试验床将共存发展，一些科研试验床在条件成熟时将转为商用或试验商用网，以推进IPv6的商用化进程。

业务创新将成为主题

目前缺少IPv6的创新应用阻碍了IPv6的发展。而需要大量的终端设备和地址的应用像VPN、家庭用户上网游戏、VOD和组播等没有得到普及也影响了对IPv6的需求。只有“杀手级的应用”才能真正把IPv6带入网络并满足人们的需要。未来围绕IPv6的业务创新应充分利用IPv6的优势，如拥有大量的公有IP地址、提供服务质量和安全保证、支持移动性等。

4 美国对IPv6的态度是怎么样的？

IPv6在北美遭到忽视。作为互联网的发源地，全世界大部分的网络资源和核心技术都掌握在美国人的手里，而且全世界74%的IP地址为美国所拥有，在地址资源的分配与管理上美国也拥有一套更为完善的制度，因此他们很少感受到地址容量紧张的压力。由于互联网原有的架构并不影响他们的发展战略和盈利空间，因此美国对IPv6并不十分重视。

但是最近，美国人对IPv6的态度发生了一些细微的变化。在IPv6的RFC文件发表6年之后，思科于2001年7月10日宣布与微软、IBM、惠普、SUN和摩托罗拉结成伙伴关系，共同推进IPv6硬件和软件的开发，这标志着美国对待新标准的态度有所转变。这种态度转变的原因如下：

1）美国新经济发展受阻，因此需要寻找新的商业机会和技术热点；

2）虽然现在美国市场可能不需要IPv6的产品，但可以推向国际市场，从而使得这些公司仍在新技术中占据主导作用并从中获益；

3）由于移动设备的剧增，北美对IPv6服务有大量的潜在需求。

5 为什么美国军方要采用IPv6?

由于IPv6可以提供更好的网络安全和质量更佳的传输服务，而且可以大大增强互联网信息传输速度，美国国防部自2003年10月开始支持IPv6协议，以便这一协议能够被融入新型武器和通信系统的设计当中。在2005年前美国国防部所有网络将全面兼容IPv6，在2008年前IPv6将成为美国国防部所有连网信息系统的标准。美国国防部负责网络和信息集成的副国防部长约翰-斯特恩比特认为军方采用IPv6是一种进步，并且军方必须跟上商界的步伐。美国国防部已经开始设计能够同时与IPv4和IPv6兼容的新软件。

根据美国防部国防信息系统局2003年6月30日的一篇文章《国防部的IPv6》介绍，美国防部认为，IPv6对于美军来说至关重要，未来作战系统对IPv6的实现提出了迫切需求，各种武器系统、信息系统和指挥控制系统将通过网络实现联系，IPv6为其提供了实现的技术基础和可能。同时，IPv6具有IPv4所没有的绝对优势，它巨大的地址空间、高度的灵活性和安全性、可动态进行地址分配的特性以及完全的分布式结构有着巨大的军事价值和潜力，特别是对移动用户的支持更是以前所有的技术所不能相比的。美国国防部已具体提出了IPv6的进度安排：

· 2002年至2004年形成标准的IPv6协议；

· 2005年至2007年，IPv6和IPv4协议共同运行；

· 2008年实现美国本土全面的IPv6计划，IPv4协议退出。

6 欧洲国家对IPv6的态度是怎样的？

在欧洲，政府和各大公司对IPv6的态度都比较积极。他们认为采用IPv6将为下一代固定网服务和移动网服务的广泛部署彻底解决地址空间问题，而且他们担心在未来互联网设备与应用的发展方面落后于像日本这样的国家。所以，虽然欧洲在IPv4地址上的压力比亚洲小，但也希望在IPv6上有所作为。

欧洲移动通信事业相当发达，它们希望能够在移动通信领域中掌握先机，通过3G的部署来实现它们在未来的网络经济中与美国并驾齐驱的愿望。专家认为欧洲的3G将在2-3年内步入实际应用阶段。为了抓住这一发展的契机，欧洲的各大厂商和运营商都对IPv6寄予了厚望并竭尽全力对它进行推广和研究，如诺基亚、爱立信、英国电信等公司一直都是IPv6研究方向的主要引导者。

迄今为止欧委会已经提供5500万欧元的资金，其中部分资金用于两个IPv6的试验项目。欧委会希望欧洲国家尽早采用IPv6，从而加强欧洲固定运营商和移动运营商的竞争能力，强化生产相关设备的其它行业的竞争能力，如汽车和家用电器行业。欧委会的许多建议都希望集中强化欧盟的支持，以鼓励IPv6服务与应用在固定网和无线网上开展大规模试验以及开发IPv6的设备与服务。美国公司对IPv6的接纳将会促进欧洲IPv6的部署，同时也会加大IPv6技术和产品的竞争。

7 亚太地区国家对IPv6的态度是怎样的？

由于IP地址紧缺等原因，亚洲对待IPv6的态度比欧美积极，并已走在世界的前列。目前亚洲国家中，对IPv6报以极大热情的是日本，日本政府制定了“e-Japan”的战略：1999年-2000年开始分配IPv6的地址，2001年-2005年开始全日本的IPv6商用化服务。目前全世界只有日本的设备厂商提供IPv6的硬件支持，如NEC、日立、富士通，而且日本已经有10多家ISP提供IPv6业务，如WIDE的NSPIXP6等。

虽然日本的IPv6研发和应用走在了亚太各国的前列，但同时亚太地区一些经济较发达的国家和地区如韩国、新加坡等也对新技术比较关注。韩国情报通信部近日宣布，韩国将在2007年普及新一代IPv6因特网。韩国将组建“新一代因特网战略协议会”，以有效促进新一代因特网的研发、服务及商业运营。韩国政府也将投资1885亿韩元（约合1.6亿美元），用于新一代因特网的研发和商用化。自2005年起，韩国公共部门通信网将首先采用新一代因特网体系。同时，韩国将建立有线和无线一体化的试验网，提供IPv6制式的因特网电话服务，试用相关设备和技术。韩国情报通信部决定今年年底前建立一个新一代因特网示范馆，以促进其尽快普及。

8 中国为什么要发展IPv6？

中国已经在IPv4的发展中错过了机遇，而世界现在给了我们一个新的机会，从以下几个方面都可以说明我们不应再与IPv6擦肩而过了：

1）对于IPv4我们没有发言权，造成了目前申请地址的困难。我们应尽快参与国际IPv6的研究，成为未来IPv6顶级地址分配单位之一，从根本上解决地址申请的问题；

2）若我们尽早地加入国际IPv6的研究，可以使在我国设立域名解析根服务器成为可能，这样可以加快域名解析的速度，减少不必要的出国流量，也可避免受制于人；

3）中国的电信运营商可以借此机会在将来的IPv6商业运用中占据先机，甚至有可能让各种国外网络生产厂商按照中国网络企业的意见设计和生产更符合中国网络情况的硬件产品（如更高效的路由系统）；

4）国内生产厂商可以利用本地化的先天优势抢占商机，在争夺市场份额方面获得主动，也有助于增强其在全球网络设备市场中的竞争能力；

5）由于应用IPv6协议能大幅度改善网络的传输质量，因此，哪个电信运营商能够率先进行商业运用，必然大大改善其QoS，增强在同行业中的竞争实力；

6）第三代移动通信协议（3GPP）已经明确要求使用IPv6，作为潜在移动通信用户最多的中国，没有任何理由将这样巨大的市场机会拱手送人。

9 为什么我国对IPv6地址的需求十分迫切?

由于种种原因，我国目前拥有的全部IPv4地址不足3000万，但据信息产业部统计，中国目前固定电话用户数已超过5亿；据广电总局统计，截止到2000年底，中国有线电视用户已经超过8000万，并以每年新增1000万户的速度发展，预计3-4年后达到1亿户；另外根据信息产业部2003年公布的数字，中国互联网用户已发展到6000万。在移动通信市场方面，截止2002年10月底，中国的移动电话用户数已经突破1.9亿，并且还在以较高的速度增长。从以上数据可以看出，IPv4地址已远远无法满足通信网络市场发展的需求，它极大地限制了各种新型数据通信业务的开展。

10 中国政府和科学界对IPv6的发展和应用持什么态度？

随着IPv6在全球越来越受重视，中国作为全球最需要IP地址的国家之一，尤其需要积极参与IPv6标准制订以及推进IPv6产业化和商业化进程。在中国的IPv6产业化进程中，我国政府对IPv6技术及产业发展给予了极大的关注与支持，并在标准制订、技术研发、国家立项与资金支持、政府间交流与合作等方面发挥了主导与积极的推动作用。

中国对于IPv6技术的态度是“积极跟踪、把握机遇、稳妥推进”，在必要的时候进行网上实验。参考IPv6在别的国家的发展现状，该协议在中国的大规模应用还要有一段时间。但是中国会密切关注IPv6的发展，目前中国高校和科研机构已经与国外一些运营商合作，对IPv6进行研究实验。

对中国而言，IPv6的发展为中国的信息产业带来的不仅是可以提升整个通信产业界的整体实力，更为中国获得了一个从引进技术转变到引导技术发展的机会。作为互联网和移动通信大国，中国的通信业发展将对全球通信业发展带来深远影响，中国也将会逐渐成为全球新技术和应用发展的主要目标市场。

随着IPv6等下一代网络的核心技术日趋成熟、电信业务需求和技术的发展以及网络体系结构的演变，IPv6所具有的诸多优势和功能使其成为构筑下一代网络的重要基础，建设基于IPv6的下一代网络必然是我国以及全球电信业重要的战略发展方向。

可冉 2008-03-12 09:21 发表评论

IPv6技术白书（五）

可冉 — Wed, 12 Mar 2008 01:20:00 GMT

IPv6应用和过渡

1 如何推动IPv6实用化？

市场、成本与政策是推动IPv6实用化的关键。

市场需求驱动IPv6

IPv6从趋势变成现实，在技术上得以保障的前提下，业务和市场是真正使IPv6得以广泛应用的条件。未来的电信网将是基于IP技术的网络，电信级的IP网和GPRS、3G移动上网成为了公认的两个“杀手”性应用，推动了IPv6的发展。

降低门槛启动IPv6

IPv6虽然是发展趋势，也比较成熟，但仍存在一些需要解决的问题。逐步将 IPv4向IPv6迁移，是业界的共识。目前数量巨大的IPv4协议网络中的设备和装置仍然需要得到IPv6的支持。因此，在IPv4环境下，降低IPv6的启动门槛，成为铺开IPv6的重要条件。降低门槛的一个办法是提供硬件支持IPv6的产品，以节省用于升级的成本。降低门槛的另一个办法是通过软件升级的方法，可以用在一些要求不太高的环境。

政策规划推动IPv6

IPv6推动最快的是日本。日本采取了模型证实实验，由地方政府、企业用户、家庭用户组成一个模型地区，进行从IPv4方式过渡到IPv6方式的试验，来制定合适的过渡模型。为了促进IPv6产业发展，日本制定了一系列的优惠、低利息、无利息贷款等各种支持。目前，日本已经形成了IPv6运营商、IPv6设备提供商、IPv6终端提供商、IPv6用户这样一个完整的产业链，使得日本的IPv6走在了世界的前面。除了日本，还有与我们紧邻的韩国政府也采取了有力的推动措施。同样积极的还有欧洲国家。我国的IPv6发展已经得到了政府的高度重视。中国应尽快制定IPv6的发展措施，制定推动IPv6的时间表，以有利于国内信息通信业的发展。

2 现有网络转换为IPv6网络存在哪些困难？

从IPv4过渡到IPv6并不是一件容易的事情，因为从IPv4升级到IPv6涉及到很多技术问题和商业问题，甚至还有政治问题。最明显的当然是技术更换的策略，以及基础设施的升级和建设。IPv4的可靠性和普遍应用是IPv6发展中主要的减速因素。具体来说，现有网络向IPv6网络的转化存在下述几个方面的困难：

(1) 现有的IPv4网络运行十分稳定，设备制造商（包括芯片设计与生产商）、网络运营商、网络连接提供商等正从IPv4上获得稳定的收益，在目前他们还不想转到IPv6上，因为那意味着淘汰现有设施，构建新的通信网络，新的IPv6网络的成本需要相当长的时间才能收回；

(2) 网络管理员惧怕任何需要对大量基础设施进行升级的操作。浏览器、IP电话、网络游戏、Web商业应用等每一个使用IPv6网络的应用都必须进行修改；

(3) 人们在IPv4基础设施及应用开发上的投资十分巨大，由于IPv6与IPv4的不同，现有网络仅靠简单的软件升级是无法很好的支持通信服务性能的，要想提升IPv6网络性能，必须在芯片一级上按IPv6的特性进行设计才行，这是一项相当大的开销，因此人们在还能容忍现有IPv4网络的情况下，不会轻易进行IPv6改造；

(3) 当前人们开发网络应用时都还基于IPv4网络，因此IPv6网络提供给用户的应用还十分少。只要现有的IPv4网络还能够十分经济的解决人们各个方面的应用需求，IPv6就无法得到长足的发展和大面积推广。数据业务是驱动IPv6技术实现的一个最重要的动力源。如果没有足够的需求必须要采用独立的合法IP地址，那么运营商也就不会热衷于升级设备或扩建基础设施；

(4) 操作系统对IPv6的支持还不充分。目前作为终端用户最常用的操作系统之一的Windows不能提供对IPv6的完全支持，使得设备开发商无法及时推出支持IPv6的应用设备，特别是IPv6终端设备。这使得用户也无法很好的熟悉并使用IPv6网络；

(5) 缺乏IPv6的网管和安全产品。在IPv6中，原则上所有的终端都拥有全局IP地址。因此，存在着能够从Internet访问内部网中所有终端的危险性，安全成为IPv6连接的最大问题。目前，适配IPv6的防火墙产品的开发还很落后，可以说导入IPv6的时间受到IPv6防火墙产品性能的限制；

美国政府和IETF似乎也未做好向IPv6过渡的准备。由于美国长期在信息技术领域处于国际领先地位，且拥有大量地址，因此不急于向IPv6过渡。但是随着手持设备的大量使用，在两三年内，美国乃至全球都会感到IP地址的缺乏。IETF当然是IPv6技术获得推进的关键性组织，但它的思路似乎是等到技术细节完全确定后，才在全球范围内推广使用IPv6。但我国以及亚太的一些国家，如韩国、日本等，已经不可能再等待了。对中国而言，电信业和网络市场其实是全球新技术和新设备的温床，IPv6应当在这里获得第一推动性的发展。

3 当前IPv6试验网上的典型应用有那些？

目前，国际上进行的IPv6实验主要集中在以下几个关键技术上：

(1) IPv6基本功能的实现：地址和路由机制、ICMPv6、主机自动配置、各种平台的IPv6代码和应用程序接口（API）已经实现，Cisco和Bay已经制造出支持IPv6的路由器，主要应用向支持IPv6的升级也正在进行；

(2) 从IPv4向IPv6过渡的技术：IPv6和IPv4必然有一段较长的共存时间，在此期间，IPv4和IPv6的互通主要采用以下技术：双协议栈，隧道（Tunnel）及隧道代理（Tunnel Broker），NAT-PT，无状态IPv4-IPv6翻译（Stateless IPv4-IPv6 Translator，SIIT），其中隧道技术和双协议栈技术已经得到广泛的使用；

(3) IPv6的安全性：不少研究开发项目是将IPv6同IPSec（IP Security）结合起来的，典型的，如KAME和NRL开发的IPv6协议栈，都包含IPSec的代码；

(4) IPv6对服务质量（Quality of Service，QoS）的支持：包括对“综合服务”（InteServ）特别是“区分服务”（DiffServ）的支持；

(5) IPv6支持移动性的能力：这一方面的研究同IPv4移动性的研究并列进行。然而，初步的研究和实践倾向于选择IPv6作为支撑移动计算的平台；移动性的实现同安全、服务质量等方面的技术密切相关。

4 未来的IPv6网络上可能会出现什么应用？

IPv6通过自动识别机能、无限多的地址、网络安全设置，能对每个终端（包括无线终端）、每个家电、每个生产流程、每个感应器，都进行IP全球化管理。可以说，在以IPv6为核心技术的下一代网络上，可以实现现有IPv4网络所提供的全部通信业务。更重要的是，IPv6所提供的巨大的地址空间以及所具有的诸多优势和功能，使其提供语音、数据、视频融合的高品质、多样化通信服务的下一代网络的实现成为可能。那时，从移动终端、汽车到自动售货机、报警系统、照相机乃至钥匙环和其他各种各样的产品都可以实时在线，一个个信息孤岛最终将连成强大的网络，人们也将在以下三方面获得全新的通信服务体验：

端到端实时通信

端到端实时通信是通信业务的基本特征，同时也是下一代网络的本质特征和发展方向。将来，所有的电信服务和信息服务都会使用下一代网络。下一代网络将逐渐取代电路交换网络和构成现有互联网的IP网，除了提供原来在这些网上提供的服务之外，运营商还将利用下一代网络的多业务能力，提供新的服务，创造新的收入增长点。

这类通信服务主要包括应用服务提供与综合话音和数据业务，其中应用服务提供主要有应用软件的递送和支持、电子商务服务两种；综合话音和数据业务是指下一代网络具有把话音和数据综合在一起的能力，包括web使能的呼叫中心、统一消息和多媒体会议。

移动互联

IPv6与移动通信的结合将为目前的互联网开拓一个全新的领域——移动互联网，无线将成为IPv6的第一个“杀手级”应用。移动互联网上有许多新型而精彩的服务，IPv6将是实现这些服务的关键。通过移动互联网，人们能够随时随地以在线方式选购商品或服务并为之付款；也可以使用移动设备查询飞机的航班、风景点的简要情况，查找地图以及要参观的地方；人们还能够找到距离最近的餐馆；如果是平时驾车外出，安装在汽车里的无线设施将提供实时定位技术，同时也起到导航和安全保护的作用。

此外，在不远的未来，家电厂商们将开发出新一代的信息家电，除了计算机之外，还可给电视机、冰箱、微波炉、空调、洗衣机等家用电器分配IP地址，以利于它们与Internet的连接。当信息家电与Internet连接后，人们不在家也可以操作家中的空调、冰箱等。

宽带网络

实行IPv6协议可以从根本上优化路由器传输效率，使得目前的各种宽带传输技术迈上一个新的台阶。到那时，困扰中国网民很久的网络速度问题将得到彻底解决，人们可以舒舒服服地呆在家里，享受超高速网络所带来的欢乐。信息家电连上光纤后，更可直接以交互方式收看电影、听音乐和广播。股民即使在家中，也能通过光纤网络和证券公司等金融机构的业务员在电视上交谈，同时进行交易。

应用是没有止境的。在以IPv6为核心的下一代网络的服务平台上开发多种多样的应用，可以带来更多的商机、更大的市场，许多今天还无法想象的服务将带给人们更大的灵活性，更多的方便和自由。

5 IPv6带来的新的应用与服务有什么特征？

在市场需求的牵引下，IPv6的优势将在具体应用中得到越来越突出的显现。IPv6所带来的创新应用与服务将具有如下特征：

· 需要大量公有地址，如信息家电、移动终端、工业传感器、自动售货机、汽车等对地址的需求；

· 对服务质量和安全高度敏感的端到端实时语音及视频应用；

· 无处不在（Ubiquitous）的信息与通信服务方式。

可冉 2008-03-12 09:20 发表评论

IPv6技术白书（四）

可冉 — Wed, 12 Mar 2008 01:18:00 GMT

IPv4/v6互通技术

本文首先介绍互通技术出现的背景及现状，随后对IPv4向IPv6过渡的三种基本技术作了简单的介绍，接下来分别介绍了IPv6小岛之间的通信方式，以及IPv6小岛与IPv4海洋之间的通信方式，最后就如何选择合适的过渡机制谈了些看法。

1．互通技术出现的背景及现状

IPv6已被认为是下一代互联网络协议核心标准之一。但是，一种新的协议从诞生到广泛应用需要一个过程，尤其是对于IPv4仍然很好的支撑着的Internet而言。在IPv6的网络流行于全球之前，总是有一些网络首先使用IPv6协议栈并希望能够与当前的Internet正常通信。为达到这一目的，研究者们必须开发出IPv4 / IPv6互通技术以保证IPv4能够平稳过渡到IPv6，除此之外，互通技术应该对普通用户做到“无缝”，对信息传递做到高效。

为了开展对于IPv4/IPv6过渡问题和高效无缝互连问题的研究，国际上，IETF组建了专门的working group即NGTRANS工作组来处理这个问题。同时，IETF在全球范围内成立试验床6-Bone，专门对IPv6的特性进行研究。目前已经出现了多种过渡技术和互连方案，这些技术各有特点，用于解决不同过渡时期、不同环境的通信问题。

在过渡的初期，Internet将由运行IPv4的\"海洋\"和运行IPv6的\"小岛\"组成。随着时间的推移，IPv4的海洋将会逐渐变小，而IPv6的小岛将会越来越多，最终完全取代IPv4。在过渡的初期，要解决的问题可以分成两大类：第一类就是解决这些IPv6的小岛之间互相通信的问题；第二类就是解决IPv6的小岛与IPv4的海洋之间通信的问题。

针对这两类问题已经提出了很多方案，有一些已经相当成熟并形成了RFC，有一些还只是作为Internet draft，有待进一步完善。

2．IPv4向IPv6过渡的三种基本技术

目前解决过渡问题基本技术主要有三种：双协议栈（RFC 2893 obsolete RFC1933）、隧道技术(RFC 2893)、NAT-PT(RFC 2766)。

(1) 双协议栈 ( Dual Stack)

采用该技术的节点上同时运行IPv4和IPv6两套协议栈。这是使IPv6节点保持与纯IPv4节点兼容最直接的方式，针对的对象是通信端节点（包括主机、路由器）。这种方式对IPv4和IPv6提供了完全的兼容，但是对于IP地址耗尽的问题却没有任何帮助。由于需要双路由基础设施，这种方式反而增加了网络的复杂度。

(2) 隧道技术 ( Tunnel)

隧道技术提供了一种以现有IPv4路由体系来传递IPv6数据的方法：将IPv6的分组作为无结构意义的数据，封装在IPv4数据报中，被IPv4网络传输。根据建立方式的不同，隧道可以分成两类：(手工)配置的隧道和自动配置的隧道。隧道技术巧妙地利用了现有的IPv4网络，它的意义在于提供了一种使IPv6的节点之间能够在过渡期间通信的方法，但它并不能解决IPv6节点与IPv4节点之间相互通信的问题。

(3) NAT-PT

转换网关除了要进行IPv4地址和IPv6地址转换，还要包括协议并翻译。转换网关作为通信的中间设备，可在IPv4和IPv6网络之间转换IP报头的地址，同时根据协议不同对分组做相应的语义翻译，从而使纯IPv4和纯IPv6站点之间能够透明通信。

3．IPv6小岛之间的通信方式

(1) 手工配置隧道 ( Configured Tunnel, RFC2893 )

这种隧道的建立是手工配置的，需要隧道两个端点所在网络的管理员协作完成。隧道的端点地址由配置来决定，不需要为站点分配特殊的IPv6地址，适用于经常通信的IPv6站点之间。每一个隧道的封装节点必须保存隧道终点的地址，当一个IPv6包在隧道上传输时终点地址会作为IPv4包的目的地址进行封装。通常封装节点要根据路由信息决定一个包是否要通过隧道转发。

采用手工配置隧道进行通信的站点之间必须有可用的IPv4 连接，并且至少要具有一个全球唯一的IPv4地址。站点中每个主机都至少需要支持IPv6，路由器需要支持双栈。在隧道要经过NAT设施的情况下这种机制不可用。

手工配置隧道的主要缺点是网络管理员的负担很重，因为他要为每一条隧道做详细的配置。

(2) 自动配置的隧道 ( Auto-configured Tunnel, RFC2893 )

这种隧道的建立和拆除是动态的，它的端点根据分组的目的地址确定，适用于单独的主机之间或不经常通信的站点之间。自动配置的隧道需要站点采用IPv4兼容的IPv6地址( IPv4 Compatible IPv6 Address，0::IPv4ADDR/96 )，这些站点之间必须有可用的IPv4连接，每个采用这种机制的主机都需要有一个全球唯一的IPv4地址。

采用这种机制不能解决IPv4地址空间耗尽的问题（采用手工配置隧道的站点就不需要IPv4地址）。两外还有一种危险就是如果把Internet 上全部IPv4路由表包括到IPv6网络中，那么会加剧路由表膨胀的问题。这种隧道的两个端点都必须支持双协议栈（手工配置就不需要）。在隧道要经过NAT设施的情况下这种机制不可用。

(3) Tunnel Broker ( RFC3053- IPv6 Tunnel Broker )

Tunnel Broker不是一种隧道机制，而是一种方便构造隧道的机制。可以简化隧道的配置过程，适用于单个主机获取IPv6连接的情况。Tunnel Broker也可用于站点之间，但这时可能会在IPv6的路由表中引入很多条目，导致IPv6的路由表过于庞大，违背了IPv6设计的初衷。用户可以通过Tunnel Broker从支持IPv6的ISP处获得持久的IPv6地址和域名。 Tunnel Broker要求隧道的双方都支持双栈并有可用的IPv4连接，在隧道要经过NAT设施的情况下这种机制不可用。采用TB方法，可以使IPv6 的ISP可以很容易对用户执行接入控制，按照策略对网络资源进行分配。

TB转换机制包括Tunnel Server(TS)和Tunnel Broker(TB)。server和boker位于不同的计算机上，对于隧道的控制通常是web形式的。

(4) 6 over 4 ( RFC2529 )，IPv4多播隧道

6 over 4 也是一种自动建立隧道的机制，这种隧道端点的IPv4地址采用邻居发现的方法确定。与手工配置隧道不同的是，它不需要任何地址配置；与自动隧道不同的是它不要求使用V4兼容的V6地址。但是采用这种机制的前提就是IPv4网络基础设施支持IPv4多播。这里的IPv4多播域可以是采用全球唯一的IPv4地址的网络，或是一个私有的IPv4网络的一部分。这种机制适用于IPv6路由器没有直接连接的物理链路上的孤立的IPv6主机，使得它们能够将IPv4广播域作为它们的虚拟链路，成为功能完全的IPv6站点。

采用这种方法连接的IPv6站点的不需要采用IPv4兼容地址，也不需要手工配置的隧道。当采用6 over 4的站点通过一台支持6 over 4的路由器与外界相连时，站点内的主机可以和外部IPv6站点通信。但是6 over 4还是没有解决一个孤立的用户连接到全球性的IPv6 Internet上。

(5) 6 to 4 ( RFC3056)

6to4也是一种自动构造隧道的机制，这种机制要求站点采用特殊的IPv6地址（2002:IPv4ADDR::/48 ），这种地址是自动从站点的IPv4地址派生出来的。所以每个采用6to4机制的节点至少必须具有一个全球唯一的IPv4地址，（这种地址分配方法，可以使得其它域的边界路由器自动地区分隧道接收端点是否在本域内）。由于这种机制下隧道端点的IPv4地址可以从IPv6地址中提取，所以隧道的建立是自动的。6to4不会在IPv4的路由表中引入新的条目，在IPv6的路由表中只增加一条表项。采用6to4机制的IPv6 ISP只需要做很少的管理工作，这种机制很适用于运行IPv6的站点之间的通信。6to4要求隧道中至少有两台路由器支持双栈和6to4，主机要求至少支持IPv6协议栈。

6to4机制允许在采用6to4的IPv6站点和纯IPv6站点之间通过中继路由器 ( 6to4 Relay Router ) 进行通信，这时不要求通信的两个端点之间具有可用的IPv4连接，中继路由器建议运行BGP4+。

这种机制把广域的IPv4网络作为一个单播的点到点链路层。这种机制适合作为V4/V6共存的初始阶段的转换工具，它可以与防火墙、NAT共存，但是NAT box必须具有全球唯一的IPv4地址，并且应有6to4机制和完备的路由功能。

在隧道终点，任何从正常IPv4链路传来的6to4数据流都可以被接受和解封装。为了防止IPv6欺骗，可采用附加的基于源地址的包过滤技术。一种方法就是检查用于封装的IPv4地址是否与被封装的IPv6包头地址一致。这种检查要在中继路由器（relay router）中设置。在任何情况下，6to4数据流中的源和目的地址嵌入的V4地址必须是以全球唯一单播地址格式，否则这些数据包将会在不被警告的情况被丢弃。

4．IPv6小岛与IPv4海洋之间的通信方式

(1) Dual Stack Model ( RFC2893 )

在这种模型下，任意节点都是完全双栈的。这时不存在IPv4与IPv6之间的相互通信问题，但是这种机制要给每一个IPv6的站点分配一个IPv4地址。这种方法不能解决IPv4地址资源不足的问题，而且随着IPv6站点的增加会很难得到满足，因此这种方法只能用在早期的变迁过程。

(2) Limited Dual Stack Model ( RFC2893 )

在这种模型下，服务器和路由器仍然是双栈的，而非服务器的主机只需要支持IPv6。这种机制可以节省大量的IPv4地址，但是在纯IPv6和纯IPv4节点之间的通信将会出现问题，为了解决这种问题，必须与其它技术结合使用。

(3) SIIT ( Stateless IP/ ICMP Translation, RFC2765 )

SIIT定义了在IPv4和IPv6的分组报头之间进行翻译的方法，这种翻译是无状态的，因此对于每一个分组都要进行翻译。这种机制可以和其它的机制(如NAT-PT)结合，用于纯IPv6站点同纯 IPv4站点之间的通信，但是在采用网络层加密和数据完整性保护的环境下这种技术不可用。纯IPv6节点和纯IPv4节点通过一个SIIT转换器通信，IPv6节点看到的对方一个IPv4mapped地址的主机，同时它自己则使用一个IPv4 translated的地址。如果IPv6主机发出的IP分组中的目的地址是一个IPv4mapped地址，那么SIIT转换器就知道这个IP分组需要进行协议转换。

(4) NAT-PT (Network Address Translation - Protocol Translation, RFC2766 )

NAT-PT就是在做IPv4/IPv6地址转换(NAT)的同时在IPv4分组和IPv6分组之间进行报头和语义的翻译(PT)。适用于纯IPv4站点和纯IPv6站点之间的通信。对于一些内嵌地址信息的高层协议（如FTP），NAT-PT需要和应用层的网关协作来完成翻译。在NAT-PT的基础上利用端口信息，就可以实现NAPT-PT，这点同目前IPv4下的NAPT没有本质区别。

NAT-PT的原理和SIIT类似，其改进的地方是将传统的IPv4下的NAT应用于SIIT中的IPv4地址的选取当中。SIIT的一个最大的缺点是需要比较大的IPv4地址池，以供IPv6应用动态分配。这个IPv4地址池很大程度上制约了SIIT 的应用。而NAT-PT采用传统的IPv4下的NAT技术来分配IPv4地址，这样就可以以很少的IPv4地址构成自己的IPv4地址分配池，可以给大量的需要进行地址转换的应用使用协议转换服务。

在实现方面，如果没有DNS-ALG的支持，只能实现由IPv6发起的与IPv4之间的通信，反之，包就会被丢弃。如果有DNS-ALG的支持，就可以实现双向的通信。有一些应用需要一定程度的地址稳定性，NAT-PT可以被配置成提供V6到特定V4地址的静态映射。

该机制适用于过渡的初始阶段，使得基于双协议栈的主机，能够运行IPv4应用程序与IPv6应用互相通信。这种技术允许不支持IPv6的应用程序透明地访问纯IPv6站点。该机制要求主机必须是双栈的，同时要在协议栈中插入三个特殊的扩展模块：域名解析器、地址映射器和翻译器，相当于在主机的协议栈中使用了NAT-PT。

(6) BIA ( Bump-In-the-API, Internet Draft )

这种技术同BIS类似，只是在API层而不是在协议栈的层次上进行分组的翻译，所以它的实现比BIS要简单一些，因为不需要对IP包头进行翻译。BIS与BIA的主要区别是：BIS用在没有IPv6协议栈的系统上，BIA用在有IPv6协议栈的系统上。

当双栈主机上的IPv4应用与其它IPv6主机通信时，API翻译器检测到从IPv4应用发出的基于socket API的函数，就调用IPv6 socket API函数与IPv6主机通信。

(7) SOCKS64 ( Socks gateway, rfc3089 )

SOCKS64是原有SOCKS协议 ( RFC1928 ) 的扩展，相当于IP层的代理。这种机制不需要修改DNS或者做地址映射，可用于多种环境，但是需要采用SOCKS代理服务器，并在客户端安装支持SOCKS代理的软件，对于用户来讲不是透明的。该机制增加了两个新的功能部件，它们构成了网关机制。

除了上述7种通信方式，IPv6小岛与IPv4海洋之间还可以通过TRT、DSTM、ALG等方式进行通信。

5．如何选择合适的过渡机制

从已有的过渡机制可以看出，目前所有的方案都是针对某一种问题而提出的。这些过渡机制都不是普遍适用的，每一种机制都适用于某种或几种特定的网络情况，而且常常需要和其它的技术组合使用。在实际应用时需要综合考虑各种实际情况来制定合适的过渡策略。对于某一类互连问题，设计者们可以找出新的方式，并随着网络技术和发展不断的改进和更新这种方式。

为选择一个合适的机制，首先需求要明确，明确应用的类型、范围和系统的类型，然后选择合适的转换机制进行设计和实施。IPv4向IPv6过渡时期，通常采用的组网原则：

· 在能直接建立IPv6链路的情况下，使用纯IPv6路由；

· 在不能使用IPv6链路的情况下，IPv6节点之间使用隧道技术；

· 双栈的IPv6/IPv4主机和纯IPv6或者纯IPv4 的主机通信不需要采用协议转换，而直接“自动”选择相应的通信协议（IPv4或者 IPv6）。

· 对于纯IPv6和纯IPv4主机之间的通信，则应该使用协议转换或者应用层网关（ALG）技术，设计的协议转换器或者ALG应该尽量保证在不修改原有应用的情况下就可以使用

可冉 2008-03-12 09:18 发表评论

IPv6技术白书(一)(二)

可冉 — Wed, 12 Mar 2008 01:17:00 GMT

前言
下一代互联网络是未来信息社会的制高点，IPv6是下一代互联网的基础和灵魂。

中国科学院计算技术研究所的研究人员在多年研究和实践工作的基础上，搜集整理了与IPv6有关的资料，形成本白皮书，内容包括互联网的基本概念、IPv6的产生背景、IPv6协议的技术特点、IPv6的应用和过渡、政府的发展战略和规划、全球IPv6试验网络的现状、IPv6标准演化过程等方面。

我们力图提供给您准确、权威的信息。如果本白皮书能够对您理解IPv6有所帮助，我们会感到由衷的欣慰。限于本书作者资料搜集方面的局限，不足之处敬请读者批评指正。

主要内容简介：

1. 基本概念

2. IPv6的产生

3. IPv6协议技术特点

4. IPv6应用和过渡

5. IPv6的发展战略和规划

6. IPv6试验网络

7. IPv6的标准演化

第一章 IPv6基础知识

      IPv6是\"Internet Protocol Version 6\"的缩写，也被称作下一代互联网协议，它是由IETF设计的用来替代现行的IPv4协议的一种新的IP协议。

     今天的互联网大多数应用的是IPv4协议，IPv4协议已经使用了20多年，在这20多年的应用中，IPv4获得了巨大的成功，同时随着应用范围的扩大，它也面临着越来越不容忽视的危机，例如地址匮乏等等。

      IPv6是为了解决IPv4所存在的一些问题和不足而提出的，同时它还在许多方面提出了改进，例如路由方面、自动配置方面。经过一个较长的IPv4和IPv6共存的时期，IPv6最终会完全取代IPv4在互连网上占据统治地位。对比IPv4，IPv6有如下的特点，这些特点也可以称作是IPv6的优点：简化的报头和灵活的扩展；层次化的地址结构；即插即用的连网方式；网络层的认证与加密；服务质量的满足；对移动通讯更好的支持。

1．1 简化的报头和灵活的扩展

     IPv6对数据报头作了简化，以减少处理器开销并节省网络带宽。IPv6的报头由一个基本报头和多个扩展报头(Extension Header)构成，基本报头具有固定的长度（40字节），放置所有路由器都需要处理的信息。由于Internet上的绝大部分包都只是被路由器简单的转发，因此固定的报头长度有助于加快路由速度。IPv4的报头有15个域，而IPv6的只有8个域，IPv4的报头长度是由IHL域来指定的，而IPv6的是固定40个字节。这就使得路由器在处理IPv6报头时显得更为轻松。与此同时，IPv6还定义了多种扩展报头，这使得IPv6变得极其灵活，能提供对多种应用的强力支持，同时又为以后支持新的应用提供了可能。这些报头被放置在IPv6报头和上层报头之间，每一个可以通过独特的“下一报头”的值来确认。除了逐个路程段选项报头（它携带了在传输路径上每一个节点都必须进行处理的信息）外，扩展报头只有在它到达了在IPv6的报头中所指定的目标节点时才会得到处理(当多点播送时，则是所规定的每一个目标节点)。在那里，在IPv6的下一报头域中所使用的标准的解码方法调用相应的模块去处理第一个扩展报头(如果没有扩展报头，则处理上层报头)。每一个扩展报头的内容和语义决定了是否去处理下一个报头。因此，扩展报头必须按照它们在包中出现的次序依次处理。一个完整的IPv6的实现包括下面这些扩展报头的实现：逐个路程段选项报头，目的选项报头，路由报头，分段报头，身份认证报头，有效载荷安全封装报头，最终目的报头。
2、层次化的地址结构

    IPv6将现有的IP地址长度扩大4倍，由当前IPv4的32位扩充到128位，以支持大规模数量的网络节点。这样IPv6的地址总数就大约有3.4*10E38个。平均到地球表面上来说，每平方米将获得6.5*10E23个地址。IPv6支持更多级别的地址层次，IPv6的设计者把IPv6的地址空间按照不同的地址前缀来划分，并采用了层次化的地址结构，以利于骨干网路由器对数据包的快速转发。

    IPv6定义了三种不同的地址类型。分别为单点传送地址(Unicast Address)，多点传送地址（Multicast Address）和任意点传送地址（Anycast Address）。所有类型的IPv6地址都是属于接口（Interface）而不是节点（node）。一个IPv6单点传送地址被赋给某一个接口，而一个接口又只能属于某一个特定的节点，因此一个节点的任意一个接口的单点传送地址都可以用来标示该节点。

    IPv6中的单点传送地址是连续的，以位为单位的可掩码地址与带有CIDR（classless inter domain router）的IPv4地址很类似，一个标识符仅标识一个接口的情况。在IPv6中有多种单点传送地址形式，包括基于全局提供者的单点传送地址、基于地理位置的单点传送地址、NSAP地址、IPX地址、节点本地地址、链路本地地址和兼容IPv4的主机地址等。

    多点传送地址是一个地址标识符对应多个接口的情况（通常属于不同节点）。IPv6多点传送地址用于表示一组节点。一个节点可能会属于几个多点传送地址。在Internet上进行多播是在1988年随着D类IPv4地址的出现而发展起来的。这个功能被多媒体应用程序所广泛使用，它们需要一个节点到多个节点的传输。RFC-2373对于多点传送地址进行了更为详细的说明，并给出了一系列预先定义的多点传送地址。

      任意点传送地址也是一个标识符对应多个接口的情况。如果一个报文要求被传送到一个任意点传送地址，则它将被传送到由该地址标识的一组接口中的最近一个（根据路由选择协议距离度量方式决定）。任意点传送地址是从单点传送地址空间中划分出来的，因此它可以使用表示单点传送地址的任何形式。从语法上来看，它与单点传送地址间是没有差别的。当一个单点传送地址被指向多于一个接口时，该地址就成为任意点传送地址，并且被明确指明。当用户发送一个数据包到这个任意点传送地址时，离用户最近的一个服务器将响应用户。这对于一个经常移动和变更的网络用户大有益处。
3、即插即用的连网方式

    IPv6把自动将IP地址分配给用户的功能作为标准功能。只要机器一连接上网络便可自动设定地址。它有两个优点。一是最终用户用不着花精力进行地址设定，二是可以大大减轻网络管理者的负担。IPv6有两种自动设定功能。一种是和IPv4自动设定功能一样的名为“全状态自动设定”功能。另一种是“无状态自动设定”功能。

    在IPv4中，动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）实现了主机IP地址及其相关配置的自动设置。一个DHCP服务器拥有一个IP地址池，主机从DHCP服务器租借IP地址并获得有关的配置信息（如缺省网关、DNS服务器等），由此达到自动设置主机IP地址的目的。IPv6继承了IPv4的这种自动配置服务，并将其称为全状态自动配置（Stateful Autoconfiguration）。

    在无状态自动配置（Stateless Autoconfiguration）过程中，主机首先通过将它的网卡MAC地址附加在链接本地地址前缀1111111010之后，产生一个链路本地单点传送地址。接着主机向该地址发出一个被称为邻居发现（neighbor discovery）的请求，以验证地址的唯一性。如果请求没有得到响应，则表明主机自我设置的链路本地单点传送地址是唯一的。否则，主机将使用一个随机产生的接口ID组成一个新的链路本地单点传送地址。然后，以该地址为源地址，主机向本地链路中所有路由器多点传送一个被称为路由器请求（ router solicitation）的配置信息。路由器以一个包含一个可聚集全球单点传送地址前缀和其它相关配置信息的路由器公告响应该请求。主机用它从路由器得到的全球地址前缀加上自己的接口ID，自动配置全球地址，然后就可以与Internet中的其它主机通信了。使用无状态自动配置，无需手动干预就能够改变网络中所有主机的IP地址。例如，当企业更换了联入Internet的ISP时，将从新ISP处得到一个新的可聚集全球地址前缀。ISP把这个地址前缀从它的路由器上传送到企业路由器上。由于企业路由器将周期性地向本地链路中的所有主机多点传送路由器公告，因此企业网络中所有主机都将通过路由器公告收到新的地址前缀，此后，它们就会自动产生新的IP地址并覆盖旧的IP地址。

     使用DHCPv6进行地址自动设定，连接于网络的机器需要查询自动设定用的DHCP服务器才能获得地址及其相关配置。可是，在家庭网络中，通常没有DHCP服务器，此外在移动环境中往往是临时建立的网络，在这两种情况下，当然使用无状态自动设定方法为宜。

4、网络层的认证与加密

    安全问题始终是与Internet相关的一个重要话题。由于在 IP协议设计之初没有考虑安全性，因而在早期的Internet上时常发生诸如企业或机构网络遭到攻击、机密数据被窃取等不幸的事情。为了加强Internet的安全性，从1995年开始，IETF着手研究制定了一套用于保护IP通信的IP安全（IPSec）协议。IPSec是IPv4的一个可选扩展协议，是IPv6的一个必须组成部分。

    IPSec的主要功能是在网络层对数据分组提供加密和鉴别等安全服务，它提供了两种安全机制：认证和加密。认证机制使 IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭到改动。加密机制通过对数据进行编码来保证数据的机密性，以防数据在传输过程中被他人截获而失密。IPSec的认证报头（Authentication Header，AH）协议定义了认证的应用方法，安全负载封装（Encapsulating Security Payload，ESP）协议定义了加密和可选认证的应用方法。在实际进行IP通信时，可以根据安全需求同时使用这两种协议或选择使用其中的一种。AH和ESP都可以提供认证服务，不过，AH提供的认证服务要强于ESP。

    IPSec定义了两种类型的SA：传输模式SA和隧道模式SA。传输模式SA是在IP报头（以及任何可选的扩展报头）之后和任何高层协议（如TCP或UDP）报头之前插入AH或ESP报头；隧道模式SA是将整个原始的IP数据包放入一个新的IP数据包中。在采用隧道模式SA时，每一个IP数据包都有两个IP报头：外部IP报头和内部IP报头。外部IP报头指定将对IP数据包进行IPSec处理的目的地址，内部IP报头指定原始IP数据包最终的目的地址。传输模式SA只能用于两个主机之间的IP通信，而隧道模式SA既可以用于两个主机之间的IP通信，还可以用于两个安全网关之间或一个主机与一个安全网关之间的IP通信。安全网关可以是路由器、防火墙或VPN设备。

   做为IPv6的一个组成部分，IPSec是一个网络层协议。它只负责其下层的网络安全，并不负责其上层应用的安全，如Web、电子邮件和文件传输等。也就是说，验证一个Web会话，依然需要使用SSL协议。不过，TCP/IPv6协议簇中的协议可以从IPSec中受益，例如，用于IPv6的OSPFv6路由协议就去掉了用于IPv4的OSPF中的认证机制。

    作为IPSec的一项重要应用，IPv6集成了虚拟专用网（VPN）的功能，使用IPv6可以更容易地、实现更为安全可靠的虚拟专用网。

5、服务质量的满足

    基于IPv4的Internet在设计之初，只有一种简单的服务质量，即采用“尽最大努力”（Best effort）传输，从原理上讲服务质量QoS是无保证的。文本传输，静态图像等传输对QoS并无要求。随着IP网上多媒体业务增加，如IP电话、VoD、电视会议等实时应用，对传输延时和延时抖动均有严格的要求。

   IPv6数据包的格式包含一个8位的业务流类别（Class）和一个新的20位的流标签（Flow Label）。最早在RFC1883中定义了4位的优先级字段，可以区分16个不同的优先级。后来在RFC2460里改为8位的类别字段。其数值及如何使用还没有定义，其目的是允许发送业务流的源节点和转发业务流的路由器在数据包上加上标记，并进行除默认处理之外的不同处理。一般来说，在所选择的链路上，可以根据开销、带宽、延时或其他特性对数据包进行特殊的处理。

   一个流是以某种方式相关的一系列信息包，IP层必须以相关的方式对待它们。决定信息包属于同一流的参数包括：源地址，目的地址，QoS，身份认证及安全性。IPv6中流的概念的引入仍然是在无连接协议的基础上的，一个流可以包含几个TCP连接，一个流的目的地址可以是单个节点也可以是一组节点。IPv6的中间节点接收到一个信息包时，通过验证他的流标签，就可以判断它属于哪个流，然后就可以知道信息包的QoS需求，进行快速的转发。
6、对移动通讯更好的支持

     未来移动通信与互联网的结合将是网络发展的大趋势之一。移动互联网将成为我们日常生活的一部分，改变我们生活的方方面面。权威机构预计，到2005年，全球将有14亿移动电话用户，其中10亿为移动互联网用户。移动互联网不仅仅是移动接入互联网，它还提供一系列以移动性为核心的多种增值业务：查询本地化设计信息、远程控制工具、无限互动游戏、购物付款等。

     移动IPv6的设计汲取了移动IPv4的设计经验，并且利用了IPv6的许多新的特征，所以提供了比移动IPv4更多的、更好的特点。移动IPv6成为IPv6协议不可分割的一部分，更详细的介绍请看：Mobile IP 技术专题。
IPv6的产生
2.1 什么是IPv6协议？
     IPv6协议是IP协议第6版本，是作为IPv4协议的后继者而设计的新版本的IP协议。IPv6相比IPv4主要有以下一些变化：

扩展的寻址能力

     IPv6将IP地址长度从32位扩展到128位，支持更多级别的地址层次、更多的可寻址节点数以及更简单的地址自动配置。通过在组播地址中增加一个“范围”域提高了多点传送路由的可扩展性。还定义了一种新的地址类型，称为“任意播地址”，用于发送包给一组节点中的任意一个；

简化的报头格式

     一些IPv4报头字段被删除或变为了可选项，以减少包处理中例行处理的消耗并限制IPv6报头消耗的带宽；

对扩展报头和选项支持的改进

     IP报头选项编码方式的改变可以提高转发效率，使得对选项长度的限制更宽松，且提供了将来引入新的选项的更大的灵活性；

标识流的能力

      增加了一种新的能力，使得标识属于发送方要求特别处理（如非默认的服务质量获“实时”服务）的特定通信“流”的包成为可能；

认证和加密能力

    IPv6中指定了支持认证、数据完整性和（可选的）数据机密性的扩展功能。
2.2 IPv6最初出现是在什么时候？导致IPv6出现的原因是什么？
     IETF于1992年开始开发IPv6协议，1995年12月在RFC1883中公布了建议标准（proposal standard），1996年7月和1997年11月先后发布了版本2和2.1的草案标准（draft standard），1998年12月发布了标准RFC2460。

     IPv6是为了解决现行Internet出现的问题而诞生的。现存的IPv4网络潜伏着两大危机：地址枯竭和路由表急剧膨胀。IPv6的出现将从根本上解决这些问题。IPv6继承了IPv4的优点，并根据IPv4多年来运行的经验进行了大幅度的修改和功能扩充，比IPv4处理性能更加强大、高效。与互联网发展过程中涌现的其它技术概念相比，IPv6可以说是引起争议最少的一个。人们已形成共识，认为IPv6取代IPv4是必然发展趋势，其主要原因归功于IPv6几乎无限的地址空间。

2.3 什么是IPng？IPng的设计目标是什么？

      早在20世纪90年代初期，互联网工程任务组IETF（Internet Engineering Task Force）就开始着手下一代互联网协议IP-the next generation（IPng）的制定工作。IETF在RFC1550里进行了征求新的IP协议的呼吁，并公布了新的协议需要实现的主要目标是：

· 支持几乎无限大的地址空间；

· 减小路由表的大小；

· 简化协议，使路由器能更快地处理数据包；

· 提供更好的安全性，实现IP级的安全；

· 支持多种服务类型，尤其是实时业务；

· 支持多点传送，即支持组播；

· 允许主机不更改地址实现异地漫游；

· 支持未来协议的演变；

· 允许新旧协议共存一段时间；

· 支持未来协议的演变以适应底层网络环境或上层应用环境的变化；

· 支持自动地址配置；

· 协议必须能扩展，它必须能通过扩展来满足将来因特网的服务需求；扩展必须是不需要网络软件升级就可实现的；

· 协议必须支持可移动主机和网络。

2.4 针对IPng的设计目标有哪些提案？
     20世纪90年代初期，IETF提出了IPng的设计原则之后，共有如下针对IPng的提案被提出：

     TUBA：含有更多地址的TCP和UDP，建议采用ISO/OSI的CLNP协议来代替IPv4，这种解决方案允许用户有20字节的NSAP地址，以及一个可以使用的OSI传输协议的平台；

     IPv7，TP/IX，CATNIP：IPv7是1992年由Robert Ullmann提出的。1993年，RFC1475进行了更详细的描述，其标题为“TP/IX：下一代的Internet”，TP/IX有64位地址。TP/IX后来演变成了RFC1707中定义的另一个协议CATNIP（Common Architecture for the Internet）。该方案包含了诸如快速信息包处理和新的RAP路由协议等观点，试图为IP、CLNP和IPX等信息包定义一个统一的格式，为众多的传输协议如OSI/TP4、TCP、UDP和SPX等提供支持；

     IP in IP，IPAE：IP in IP是1992年提出的建议，计划采用两个IPv4层来解决互联网地址的匮乏：一层用于全球骨干网络，另一层用于某些特定的范围。到了1993年，这个建议得到了进一步的发展，名称也改为了IPAE（IP Address Encapsulation），并且被采纳为SIP的过渡方案；

     SIP（Simple IP）：由Steve Deering在1992年11月提出的，他的想法是把IP地址改为64位，并且去除IPv4中一些已经过时的字段。这个建议由于其简单性立刻得到了许多公司的支持；

     PIP（Paul's Internet Protocol）：由Paul Francis提出，PIP是一个基于新的结构的IP。PIP支持以16位为单位的变长地址，地址间通过标识符进行区分，它允许高效的策略路由并实现了可移动性。1994年9月，PIP和SIP合并，称为SIPP；

     SIPP（Simple IP Plus）：试图结合SIP的简单性和PIP路由的灵活性。SIPP设计为在高性能的网络上运作，比如ATM，同时也可以在低带宽的网络上运行，如无线网络。SIPP去掉了IPv4报头的一些字段，使得报头很小，并且采用64位地址。与IPv4将选项作为IP头的基本组成部分不同，SIPP中把IP选项与报头进行了隔离。选项（如果有）将被放在报头后的数据报中并位于传输层协议头之前。使用这种方法后，路由器只有在必要的时候才会对选项头进行处理，这样就提高了对于所有数据进行处理的性能。

2.5 IPv6是如何成为IPng的标准的？

     1994年7月，IETF决定以SIPP作为IPng的基础，同时把地址数由64位增加到128位。新的IP协议称为IPv6，其版本是在1994年由IETF批准的RFC1752。

    制定IPv6的专家们充分总结了早期制定IPv4的经验以及互联网的发展和市场需求，认为下一代互联网协议应侧重于网络的容量和网络的性能。IPv6继承了IPv4的优点，摒弃了它的缺点。IPv6与IPv4是不兼容的，但它同所有其他的TCP/IP协议族中的协议兼容，即IPv6完全可以取代IPv4。同IPv4相比较，IPv6在地址容量、安全性、网络管理、移动性以及服务质量等方面有明显的改进，是下一代互联网可采用的比较合理的协议。
2.6 IPv6和IPng的区别是什么？
      目前，国际上主要由IETF(internet engeering task force)负责IPv6的标准制定工作。IPng问题就是在IPv4的地址空间出现危机时提出的，地址即将耗尽和路由表的过度膨胀是促使IPng问题产生的直接原因。IETF的IPng工作组在1994年9月提出了一个正式的草案“The Recommendation for the IP Next Generation Protocol”；1995年底确定了IPng的协议规范，分配了版本号6（版本号5已经分配给另一个草案），称为“IP version 6”（IPv6），同现在使用的版本4相区别；1998年又作了较大的改动。

     简单说，IPng更像是为“修订IP”而提出的一个概念性的名字，没有一个具体的协议叫做IPng，它是所有有关的下一代互联网协议的总称，而IPv6是IPng协议中的一个具体的协议。
2.7 为什么在IPv4后直接就用IPv6，而不是IPv5？
    IPv4是在20世纪80年代初期实现的，在90年代初期提出了以新的版本代替IPv4的提议，主要是为了克服IPv4的地址局限性。在1994年7月选出了继任者并命名为IPv6。作为一种网络设备地址表示的手段，IPv6是IP的有效新一代地址表示的协议。其实也有IPv5，只是IPv5已经用在TCP/IP协议族中的视频流媒体服务方面了。

可冉 2008-03-12 09:17 发表评论

IPv6技术白书（三）

可冉 — Wed, 12 Mar 2008 01:15:00 GMT

IPv6协议技术特点

3.1 IPv6相对于IPv4有哪些较为显著的优势？

相对于IPv4，IPv6有如下一些显著的优势：

（1）地址容量大大扩展，由原来的32位扩充到128位，彻底解决IPv4地址不足的问题；支持分层地址结构，从而更易于寻址；扩展支持组播和任意播地址，这使得数据包可以发送给任何一个或一组节点；

（2）大容量的地址空间能够真正的实现无状态地址自动配置，使IPv6终端能够快速连接到网络上，无需人工配置，实现了真正的即插即用；

（3）报头格式大大简化，从而有效减少路由器或交换机对报头的处理开销，这对设计硬件报头处理的路由器或交换机十分有利；

（4）加强了对扩展报头和选项部分的支持，这除了让转发更为有效外，还对将来网络加载新的应用提供了充分的支持；

（5）流标签的使用让我们可以为数据包所属类型提供个性化的网络服务，并有效保障相关业务的服务质量；

（6）认证与私密性：IPv6把IPSec作为必备协议，保证了网络层端到端通信的完整性和机密性；

（7）IPv6在移动网络和实时通信方面有很多改进。特别地，不像IPv4，IPv6具备强大的自动配置能力从而简化了移动主机和局域网的系统管理。

3.2 报头结构

3.2.1 IPv6的报头结构是怎样的？

新的IPv6报头的结构比IPv4简单得多， IPv6报头中删除了IPv4报头中许多不常用的域，放入了可选项和报头扩展中；IPv6中的可选项有更严格的定义。IPv4中有10个固定长度的域、2个地址空间和若干个选项，IPv6中只有6个域和2个地址空间。

虽然IPv6报头占40字节，是24字节IPv4报头的1.6倍，但因其长度固定（IPv4报头是变长的），故不需要消耗过多的内存容量。

IPv4中的报头长度（header length）、服务类型（type of service，TOS）、标识符（identification）、标志（flag）、分段偏移（fragment offset）和报头校验和（header checksum）这6个域被删除。报文总长（total length）、协议类型（protocol type）和生存时间（time to live，TTL）3个域的名称或部分功能被改变，其选项（options）功能完全被改变，新增加了2个域，即优先级和流标签。

下图为具体的IPv4与IPv6报头比较。

表1 IPv4包头格式
4bit版本号	4bit报头长度	8bit服务类型	16bit数据包长度
标识符（16bit）			标志(4bit)	分段偏移（12bit）
生存时间（8bit）		传输协议（8bit）	报头校验和（16bit）
源IP地址（32bit）
目的IP地址（32bit）
选项（24bit）					填充(8bit)

表2 ipv6包头格式
4bit版本号	4bit优先级	24bit流标签
净荷长度(16bit)			下一报头(8bit)	HOP限制(8bit)
源IP地址（128bit）
目的IP地址（128bit）

3.3 地址问题

3.3.1 为什么IPv6协议的地址长度是128位？

有些人也许要问，IPv4地址不够用，那我在IPv4上再增加几位地址表示就行了，何必非要是IPv6的128位呢？这种提问是对芯片设计及CPU处理方式不理解造成的，同时也对未来网络的扩展没有充分的预见性。芯片设计中数值的表示我们知道是全用“0”、“1”代表，CPU处理字长发展到现在分别经历了4位、8位、16位、32位、64位等，我们知道，在计算机中，当数据能用2的指数次幂字长位的二进制数表示时，CPU对数值的处理效率最高。IPv4地址对应的是32比特字长就是因为当时的互联网上的主机CPU字长为32位。现在的64位机已十分普及，128位机正在成长中。将地址定为64位在网络扩展性上显得不足，定为其它的一个长度在硬件芯片设计、程序编制方面的效率都将下降，因此从处理效率和未来网络扩展性上考虑，将IPv6的地址长度定为128位是十分合适的。

3.3.2 IPv6的128位地址是一个什么概念？

IPv6提供128位的地址空间，IPv6所能提供的巨大的地址容量可以从以下几个方面来说明：

共有2128个不同的IPv6地址，也就是全球可分配地址数为340,282,366,920,938,463,463,374,607,431,768,211,456个；

若按土地面积分配，每平方厘米可获得2.2*1020个地址。

IPv6地址耗尽的机会是很小的。在可预见的很长时期内，IPv6的128位地址长度形成的巨大的地址空间能够为所有可以想象出的网络设备提供一个全球唯一的地址，IPv6充足的地址空间将极大地满足那些伴随着网络智能设备的出现而对地址增长的需求，例如个人数据助理（PDA）、移动电话（Mobile Phone）、家庭网络接入设备（HAN）等。

3.3.3 IPv6地址是如何表示的？

IPv4地址表示为点分十进制格式，32位的地址分成4个8位分组，每个8位写成十进制，中间用点号分隔。而IPv6的128位地址则是以16位为一分组，每个16位分组写成4个十六进制数，中间用冒号分隔，称为冒号分十六进制格式。例如:21DA:00D3:0000:2F3B:02AA:00FF:FE28:9C5A 是一个完整的IPv6地址。

IPv6的地址表示有以下几种特殊情形：

IPv6地址中每个16位分组中的前导零位可以去除做简化表示，但每个分组必须至少保留一位数字。如上例中的地址，去除前导零位后可写成:21DA:D3:0:2F3B:2AA:FF:FE28:9C5A。

某些地址中可能包含很长的零序列，为进一步简化表示法，还可以将冒号十六进制格式中相邻的连续零位合并，用双冒号“::”表示。“::”符号在一个地址中只能出现一次，该符号也能用来压缩地址中前部和尾部的相邻的连续零位。例如地址1080:0:0:0:8:800:200C:417A，0:0:0:0:0:0:0:1，0:0:0:0:0:0:0:0分别可表示为压缩格式1080::8:800:200C:417A，::1，:: 。

在IPv4和IPv6混合环境中，有时更适合于采用另一种表示形式：x:x:x:x:x:x:d.d.d.d，其中x是地址中6个高阶16位分组的十六进制值，d是地址中4个低阶8位分组的十进制值（标准IPv4表示）。例如地址0:0:0:0:0:0:13.1.68.3 ，0:0:0:0:0:FFFF:129.144.52.38 写成压缩形式为::13.1.68.3，::FFFF.129.144.52.38 。

要在一个URL中使用文本IPv6地址，文本地址应该用符号“[”和“]”来封闭。例如文本IPv6地址FEDC:BA98:7654:3210:FEDC:BA98:7654:3210写作URL示例为http://[FEDC:BA98:7654:3210:FEDC:BA98:7654:3210]:80/index.html。

[NextPage]

3.3.4 IPv6地址为128位，配地址岂不是要花费很多时间？

IPv6协议支持地址自动配置，这是一种即插即用的机制。IPv6节点通过地址自动配置得到IPv6地址和网关地址。

IPv6支持无状态地址自动配置和状态地址自动配置两种地址自动配置方式。在无状态地址自动配置方式下，需要配置地址的网络接口先使用邻居发现机制获得一个链路本地地址。网络接口得到这个链路本地地址之后，再接收路由器宣告的地址前缀，结合接口标识得到一个全球地址。而状态地址自动配置的方式，如动态主机配置协议（DHCP），需要一个DHCP服务器，通过客户机/服务器模式从DHCP服务器处得到地址配置的信息。

3.3.5 IPv6地址都有哪些类型？

所有类型的IPv6地址都被分配到接口，而不是节点。IPv6地址是单个或一组接口的128位标识符，有三种类型：

(1) 单播（Unicast）地址

单一接口的标识符。发往单播地址的包被送给该地址标识的接口。对于有多个接口的节点，它的任何一个单播地址都可以用作该节点的标识符。IPv6单播地址是用连续的位掩码聚集的地址，类似于CIDR的IPv4地址。IPv6中的单播地址分配有多种形式，包括全部可聚集全球单播地址、NSAP地址、IPX分级地址、站点本地地址、链路本地地址以及运行IPv4的主机地址。单播地址中有下列两种特殊地址：

不确定地址

单播地址0:0:0:0:0:0:0:0称为不确定地址。它不能分配给任何节点。它的一个应用示例是初始化主机时，在主机未取得自己的地址以前，可在它发送的任何IPv6包的源地址字段放上不确定地址。不确定地址不能在IPv6包中用作目的地址，也不能用在IPv6路由头中；

回环地址

单播地址0:0:0:0:0:0:0:1称为回环地址。节点用它来向自身发送IPv6包。它不能分配给任何物理接口。

(2) 任意播（AnyCast）地址

一组接口（一般属于不同节点）的标识符。发往任意播地址的包被送给该地址标识的接口之一（路由协议度量距离最近的）。IPv6任意播地址存在下列限制：

· 任意播地址不能用作源地址，而只能作为目的地址；

· 任意播地址不能指定给IPv6主机，只能指定给IPv6路由器；

IPv6任意播地址

(3) 组播（MultiCast）地址

一组接口（一般属于不同节点）的标识符。发往多播地址的包被送给该地址标识的所有接口。地址开始的11111111标识该地址为组播地址。

IPv6组播地址

IPv6中没有广播地址，它的功能正在被组播地址所代替。另外，在IPv6中，任何全“0”和全“1”的字段都是合法值，除非特殊地排除在外的。特别是前缀可以包含“0”值字段或以“0”为终结。一个单接口可以指定任何类型的多个IPv6地址（单播、任意播、组播）或范围。

3.3.6 什么是IPv6的可聚集全球单播地址？

IPv6为点对点通信设计了一种具有分级结构的地址，这种地址被称为可聚集全球单播地址（Aggregatable Global Unicast Address），它在RFC2374中定义。可聚集地址具有三个层次的分级结构：

公用拓扑：提供公用互联网传送服务的供应商和交换局群体；

站点拓扑：本地的特定站点或组织，不提供到本站点以外节点的公用传送服务；

接口标识符：标识链路上的接口；

可聚集全球单播地址的分级结构划分如下图所示。开始3个地址位是地址类型前缀，用于区别其它地址类型。其后的13位TLA ID、32位NLA ID、16位SLA ID和 64位主机接口ID，分别用于标识分级结构中自上向下排列的TLA （Top Level Aggregator，顶级聚集体）、NLA（Next Level Aggregator，下级聚集体）、SLA（Site Level Aggregator，站点级聚集体）和主机接口。RES保留，以备将来TLA或NLA扩充用。TLA是与长途服务供应商和电话公司相互连接的公共网络接入点，它从国际Internet注册机构如IANA处获得地址。NLA通常是大型ISP，它从TLA处申请获得地址，并为 SLA分配地址。SLA也可称为订户（subscriber），它可以是一个机构或一个小型ISP。SLA负责为属于它的订户分配地址。SLA通常为其订户分配由连续地址组成的地址块，以便这些机构可以建立自己的地址分级结构以识别不同的子网。分级结构的最底层是网络主机。

IPv6可聚集全球单播地址

设计这样的地址格式是为了既支持基于当前供应商的聚集，又支持被称为交换局的新的聚集类型。其组合使高效的路由聚集可用于直接连接到供应商和连接到交换局两者的站点上。站点可以选择连接到两种类型中的任何一种聚集点。

3.3.7 IPv6的地址分配方式与IPv4有什么区别？

IPv4中，地址是用户拥有的。也就是说，一旦用户从某机构处申请到一段地址空间，他就永远使用该地址空间，而不管他是从哪个因特网服务提供者（ISP）处获得服务。这种方式的缺点是ISP必须在路由表中为每个用户的网络号维护一条表项。随着用户数的增加，会出现大量无法会聚的特殊路由，即使无类别域间路由（CIDR）也不能处理这样的路由表爆炸现象。

IPv6改变了地址的分配方式，从用户拥有变成了ISP拥有。全球网络号由因特网地址分配机构（IANA）分配给ISP，用户的全球网络地址是ISP地址空间的子集。每当用户改变ISP时，全球网络地址必须更新为新ISP提供的地址。这样ISP能有效地控制路由信息，避免路由爆炸现象的出现。

3.3.8 一台IPv6主机有多少地址？

通常一台IPv6主机有多个IPv6地址，即使该主机只有一个单接口。一台IPv6主机可同时拥有以下几种单点传送地址：

· 每个接口的链路本地地址；

· 每个接口的单播地址（可以是一个站点本地地址和一个或多个可聚集全球地址）；

· 回环（loopback）接口的回环地址（::1）。

此外，每台主机还需要时刻保持收听以下多点传送地址上的信息：

· 节点本地范围内所有节点组播地址（FF01::1）；

· 链路本地范围内所有节点组播地址（FF02::1）；

· 请求节点（solicited-node）组播地址（如果主机的某个接口加入请求节点组）；

· 组播组组播地址（如果主机的某个接口加入任何组播组）。

3.3.9 一台IPv6路由器有多少地址？

一台IPv6路由器可被分配以下几种单点传送地址：

· 每个接口的链路本地地址；

· 每个接口的单播地址（可以是一个站点本地地址和一个或多个可聚集全球地址）；

· 子网-路由器任意播地址；

· 其他任意播地址（可选）；

· 回环接口的回环地址（::1）。

同样，除以上这些地址外，路由器需要时刻保持收听以下多点传送地址上的信息流：

· 节点本地范围内的所有节点组播地址（FF01::1）；

· 节点本地范围内的所有路由器组播地址（FF01::2）；

· 链路本地范围内的所有节点组播地址（FF02::1）；

· 链路本地范围内的所有路由器组播地址（FF02::2）；

· 站点本地范围内的所有路由器组播地址（FF05::2）；

· 请求节点（solicited-node）组播地址（如果路由器的某个接口加入请求节点组）；

· 组播组组播地址（如果路由器的某个接口加入任何组播组）。

3.4 地址自动配置技术

3.4.1 IPv6如何实现“即插即用”？

“即插即用”是指无需任何人工干预，就可以将一个节点插入IPv6网络并在网络中启动，IPv6使用了两种不同的机制来支持即插即用网络连接：启动协议（BOOTstrap Protocol，BOOTP）和动态主机配置协议（DHCP）。这两种机制允许IP节点从特殊的BOOTP服务器或DHCP服务器获取配置信息。这些协议采用“状态自动配置”（Stateful Autoconfiguration），即服务器必须保持每个节点的状态信息，并管理这些保存的信息。

状态自动配置的问题在于，用户必须保持和管理特殊的自动配置服务器以便管理所有“状态”，即所容许的连接及当前连接的相关信息。对于有足够资源来建立和保持配置服务器的机构，该系统可以接受；但是对于没有这些资源的小型机构，工作情形较差。

3.4.2 除了状态自动配置，IPv6还提供什么自动配置服务？

除了状态自动配置，IPv6还采用了一种被称为无状态自动配置（Stateless Auto Configuration）的自动配置服务。RFC2462中描述了IPv6的无状态自动配置。无状态自动配置要求本地链路支持组播，而且网络接口能够发送和接收组播包。无状态自动配置过程要求节点采用如下步骤：

首先，进行自动配置的节点必须确定自己的链路本地地址；

然后，必须验证该链路本地地址在链路上的唯一性；

最后，节点必须确定需要配置的信息。该信息可能是节点的IP地址，或者是其他配置信息，或者两者皆有。如果需要IP地址，节点必须确定是使用无状态自动配置过程还是使用状态自动配置过程来获得。

具体地说，在无状态自动配置过程中，主机首先通过将它的网卡MAC地址附加在链路本地地址前缀1111111010之后，产生一个链路本地单播地址（IEEE已经将网卡MAC地址由48位改为了64位。如果主机采用的网卡的MAC地址依然是48位，那么IPv6网卡驱动程序会根据IEEE的一个公式将48位MAC地址转换为64位MAC地址）。接着主机向该地址发出一个邻居发现请求（Neighbor Discovery Request），以验证地址的唯一性。如果请求没有得到响应，则表明主机自我配置的链路本地单播地址是唯一的。否则，主机将使用一个随机产生的接口ID组成一个新的链路本地单播地址。然后，以该地址为源地址，主机向本地链路中所有路由器多点传送一个路由器请求（Router Solicitation）来请求配置信息，路由器以一个包含一个可聚集全球单播地址前缀和其它相关配置信息的路由器宣告（Router Advertisement）作为响应。主机用它从路由器得到的全球地址前缀加上自己的接口ID，自动配置全球地址，然后就可以与Internet中的其它主机通信了。

如果没有路由器为网络上的节点服务，也就是本地网络孤立于其他网络，则节点必须寻找配置服务器来完成其配置；否则，节点必须侦听路由器宣告报文。这些报文周期性地发往所有主机的组播地址，以指明诸如网络地址和子网地址等配置信息。节点可以等待路由器宣告，也可以通过发送组播请求给所有路由器的组播地址来请求路由器发送宣告。一旦收到路由器的响应，节点就可以使用响应的信息来完成自动配置。

使用无状态自动配置，无需手动干预就能够改变网络中所有主机的IP地址。例如，当企业更换了联入Internet的ISP时，将从新ISP处得到一个新的可聚集全球地址前缀。ISP把这个地址前缀从它的路由器上传送到企业路由器上。由于企业路由器将周期性地向本地链路中的所有主机多点传送路由器宣告，因此企业网络中所有主机都将通过路由器宣告收到新的地址前缀，此后，它们就会自动产生新的IP地址并覆盖旧的IP地址。

[NextPage]

3.5 域名解析技术

3.5.1 IPv6域名系统的体系结构是什么样的？

IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的，都是采用树型结构的域名空间，如下图所示。IPv4协议与IPv6协议的不同并不意味着IPv4 DNS体系和IPv6 DNS体系需要各自独立，相反，DNS的体系和域名空间必须一致，即IPv4和IPv6共同拥有统一的域名空间。在IPv4到IPv6的过渡阶段，域名可以同时对应于多个IPv4和IPv6的地址。以后随着IPv6网络的普及，IPv6地址将逐渐取代IPv4地址。下图的最上方是DNS树形结构中唯一的一个根（Root），用点号“.”表示。根的下一级称为顶级域（Top Level Domain，TLD），也称一级域。顶级域的下级就是二级域（Second Level Domain，SLD），二级域的下级就是三级域，依次类推。每个域都是其上级域的子域（Sub Domain），比如“.net.cn”是“.cn”的子域，而“cnnic.net.cn”既是“net.cn”的子域，同时也是“.cn”的子域。

DNS树上的每一个节点都有一个标识（Label），根节点的标识是“空”（即长度为0），其它节点的标识的长度在1到63字节之间。一个节点的域名是由从这个节点到根节点的路径上的所有标识从左到右顺序排列组成的，标识之间用“.”分隔。例如http://www.cnnic.net.cn/

DNS的整个域名空间划分成许多的区（Zone），见上图中的椭圆标记，数据采用分布式存储。每个区都有域名服务器（包括主服务器和辅服务器），以资源记录（Resource Record）的形式来存储域名信息。资源记录包括了主机名（域名）和IP地址的对应，以及子域服务器的授权等多种类型。

用户在使用DNS服务时，可以不必细致地了解DNS域名空间的树型结构体系，只需在设置网络时指定一个DNS服务器或使用动态主机配置（DHCP）等相关技术，从而使用户的应用程序可以通过操作系统内嵌的解析器（Resolver）访问DNS系统，查询域名相关的网络资源信息。

3.5.2 如何自动发现提供解析服务的DNS服务器？

(1) 无状态的DNS服务器发现

无状态DNS服务器自动发现有以下几种方式：

为子网内部的DNS服务器配置站点范围内的任意播地址。要进行自动配置的节点以该任意播地址为目的地址发送服务器发现请求，询问DNS服务器地址、域名和搜索路径等DNS信息。这个请求到达距离最近的DNS服务器，服务器根据请求，回答DNS服务器单播地址、域名和搜索路径等DNS信息。节点根据服务器的应答配置本机DNS信息，以后的DNS请求就直接用单播地址发送给DNS服务器。

与第一种方式相同，只是不用站点范围内的任意播地址，而采用站点范围内的组播地址或链路组播地址等。

一直用站点范围内的任意播地址作为DNS服务器的地址，所有的DNS解析请求都发送给这个任意播地址。距离最近的DNS服务器负责解析这个请求，得到解析结果后把结果返回请求节点，而不像第一种方式是把DNS服务器单播地址、域名和搜索路径等DNS信息告诉节点。

从网络扩展性、安全性、实用性等多方面综合考虑，第一种采用站点范围内的任意播地址作为DNS服务器地址的方式相对较好。

(2) 有状态的DNS服务器发现

有状态的DNS服务器发现方式是通过类似DHCP的服务器把DNS服务器地址、域名和搜索路径等DNS信息告知节点。当然，这需要额外的服务器。

3.5.3 在IPv4到IPv6的过渡阶段如何实现DNS？

在IPv4到IPv6的过渡过程中，作为Internet基础架构的DNS服务也要支持这种网络协议的升级和转换。可以用两种方法实现IPv4到IPv6过渡阶段的DNS：

(1) DNS-ALG与NAT-PT相结合的方法

IPv4和IPv6的DNS在记录格式等方面有所不同，为了实现IPv4网络和IPv6网络之间的DNS查询和响应，可以将应用层网关DNS-ALG与NAT-PT相结合，作为IPv4和IPv6网络之间的翻译器。例如，IPv4的地址域名映射使用“A”记录，而IPv6使用“AAAA”或“A6”记录。那么，IPv4节点发送到IPv6网络的DNS查询请求是“A”记录，DNS-ALG就把“A”改写成“AAAA”，并发送给IPv6网络中的DNS服务器。当服务器的回答到达DNS-ALG时，DNS-ALG修改回答，把“AAAA”改为“A”，把IPv6地址改成DNS-ALG地址池中的IPv4转换地址，把这个IPv4转换地址和IPv6地址之间的映射关系通知NAT-PT，并把这个IPv4转换地址作为解析结果返回IPv4主机。IPv4主机就以这个IPv4转换地址作为目的地址与实际的IPv6主机通过NAT-PT通信。这个过程示意如下图。

(2) 双协议栈方式

对于采用双协议栈方式的过渡方法，在DNS服务器中同时存在“A”记录和“AAAA”（或“A6”）记录。由于节点既可以处理IPv4协议，也可以处理IPv6协议，因此无需类似DNS ALG的转换设备。无论DNS服务器回答“A”记录还是“AAAA”记录，都可以进行通信。

[NextPage]

3.6 邻居发现

3.6.1 IPv6邻居发现协议包括哪些内容？

IPv6定义了邻居发现协议（Neighbor Discovery protocol，NDP），它使用一系列IPv6控制信息报文（ICMPv6）来实现相邻节点（同一链路上的节点）的交互管理，并在一个子网中保持网络层地址和链路层地址之间的映射。邻居发现协议中定义了5种类型的信息：路由器宣告、路由器请求、路由重定向、邻居请求和邻居宣告。通过这些信息，实现了对以下功能的支持：

· 路由器发现：即帮助主机来识别本地路由器；

· 前缀发现：节点使用此机制来确定指明链路本地地址的地址前缀以及必须发送给路由器转发的地址前缀；

· 参数发现：帮助节点确定诸如本地链路MTU之类的信息；

· 地址自动配置：用于IPv6节点自动配置；

· 地址解析：替代了ARP和RARP，帮助节点从目的IP地址中确定本地节点（即邻居）的链路层地址；

· 下一跳确定：可用于确定包的下一个目的地，即可确定包的目的地是否在本地链路上。如果在本地链路，下一跳就是目的地；否则，包需要选路，下一跳就是路由器，邻居发现可用于确定应使用的路由器；

· 邻居不可达检测：帮助节点确定邻居（目的节点或路由器）是否可达；

· 重复地址检测：帮助节点确定它想使用的地址在本地链路上是否已被占用；

· 重定向：有时节点选择的转发路由器对于待转发的包而言并非最佳。这种情况下，该转发路由器可以对节点进行重定向，使它将包发送给更佳的路由器。例如，节点将发往Internet的包发送给为节点所在的内部网服务的默认路由器，该内部网路由器可以对节点进行重定向，以使其将包发送给连接在同一本地链路上的Internet路由器。

3.6.2 IPv6邻居发现协议与IPv4地址解析协议有什么区别？

IPv6不再执行地址解析协议（ARP）或反向地址解析协议（RARP），而以邻居发现协议中的相应功能代替，IPv6邻居发现协议与IPv4地址解析协议主要区别如下：

IPv4中地址解析协议ARP是独立的协议，负责IP地址到链路层地址的转换，对不同的链路层协议要定义不同的ARP协议。IPv6中邻居发现协议NDP包含了ARP的功能，且运行于因特网控制报文协议ICMPv6上，更具有一般性，包括更多的内容，而且适用于各种链路层协议；

ARP协议以及ICMPv4路由器发现和ICMPv4重定向报文基于广播，而NDP协议的邻居发现报文基于高效的组播和单播；

可达性检测的目的是确认相应IP地址代表的主机或路由器是否还能收发报文，IPv4没有统一的解决方案。NDP中定义了可达性检测过程，保证IP报文不会发送给“黑洞”。

3.7 超长数据传送问题

3.7.1 IPv6如何解决超长数据的传送问题？

IPv6要求互联网上的每条链路具有1280或更多个八位组的最大传输单元（MTU）。无法在一段之内传送1280个八位组的链路必须根据链路的情况在IPv6下层的协议中提供分段和重组机制。具有可配置MTU的链路，比如PPP链路必须配置为具有至少1280个八位组的MTU；要发送大于路径MTU的包，节点可以使用IPv6分段报头，在源节点将包分段，并在目的节点将包重组。

3.7.2 IPv6通信中源节点如何发现到目的节点的最大传输单元？

RFC1981中描述了一种动态发现路径最大传输单元（PMTU）的方法。基本思想是源节点最初假定到目的节点的一条路径的PMTU是这条路径第一跳的已知MTU。如果发往这条路径的任何包由于太大而不能被路径上的一些节点转发，那些节点将丢弃这些包并发回ICMPv6包太大消息。源节点收到这样一个消息后应根据包太大消息中报告的MTU压缩的那一跳的MTU值减小它为这条路径假定的PMTU。当节点对PMTU的估计值小于或等于实际PMTU时路径MTU发现过程结束。要注意在这个过程中“发包-收到包太大消息”的循环可能反复多次，因为路径上总潜在可能存在MTU更小的链路。节点也可以通过停止发送比IPv6最小链路MTU大的包来终止这个发现过程。

3.8 路由技术

3.8.1 IPv6在路由方面有什么新特点？

IPv6采用聚类机制，定义了非常灵活的层次寻址及路由结构，同一层次上的多个网络在上层路由器中表示为一个统一的网络前缀，这样可以显著减少路由器必须维护的路由表项。在理想情况下，一个核心主干网路由器只须维护不超过8192个表项。这大大降低了路由器的寻路和存储开销。

IPv6协议所带来的另一个特点是提供数据流标签，即流量识别。路由器可以识别属于某个特定流量的数据包，并且这条信息第一次接收时即被记录下来，下一次这个路由器接收到同样的流量数据包后，路由器采用识别的记录情况，而不需查对路径选择表，从而减少了数据处理的时间。

多点传送路由是指目的地址是一个多点传送地址的信息包路由。在IPv6中，多点传送路由的问题与IPv4中类似，只是功能有所加强，分别成为了ICMPv6和OSPFv6的一部分，而不是IPv4中的单独协议，从而成为了IPv6整体的一部分。为了路由多点传送信息包，IPv6中创建了一个分布树（多点传送树）到达组里的所有成员。

3.8.2 IPv6中可用的路由协议包括哪些？

IPv6主要使用三种路由协议：RIPv6（Routing Information Protocol，路由信息协议）、OSPFv6（Open Shortest Path First，开放最短路径优先）和IDRPv2（Inter-Domain Routing Protocol，域间路由协议）以及可能的EIGRP和双层的IS-IS。

RIPv6是可以与IPv6共同使用的RIP版本。更新后的RIP允许接收128位地址，没有增加新特性，没有消除以前限制的相关前缀长度。这种选择的原因是为了保持RIPv6的简单性，这样它可以在非常简单的设备上实现。

OSPFv6是可以用于IPv6的OSPF版本，它也是IPv6推荐的内部网关路由协议（IGP），作为所有路由器厂商的标准实现，它适于大型网络。OSPFv6作为OSPF的更新，允许传送新的128位地址和相关的前缀长度，在OSPFv6中，区域定义为128位地址。

IDRP是和IPv6共同使用的外部网关路由协议（EGP），IDRP是一个路径矢量协议，在OSI结构中是设计在无连接网络协议（CLNP，ISO 8473）使用的，在Internet上作为EGP从BGP-4得出，适于和IPv6共同使用的IDRP版本是IDRPv2。

3.9 组播技术

3.9.1 IPv6在支持组播方面有什么特征？

IPv6加强了组播功能，这是一种可将信息传递给所有已登记了欲接收该消息的主机的功能。使用组播功能可以同时传递数据给大量的用户，传递过程只会占有一些公共或专用带宽开销而不会浪费带宽在整个网络里广播。在IPv6的组播功能中增加了 “标志”，可以区分永久性与临时性地址，更有利于组播功能的实现。IPv6还包含了一些限制组播消息传递范围的一些特性，这样，组播消息可以被局限在一个特定的位置、区域、公司或其它约定范围，从而减少了带宽的使用并可提供安全性。组播的意义在于只有用户加入相应的组播组才能收到发给该组的信息，这对于视频节目的发送来说意义尤其重大，模拟电视中的频道概念就完全可以用组播组的概念来代替。而且组播组的范围可以包括同一本地网、同一机构网、甚至IPv6全球地址空间中的任何位置的节点，这就为网络多媒体信息服务提供了更大的灵活性。

3.10 对移动性的支持

3.10.1 什么是移动IPv6？

移动IPv6协议为用户提供可移动的IP数据服务，让用户可以在世界各地都使用同样的IPv6地址，非常适合未来无线上网。

现在的互联网协议IPv4，原本不提供任何移动性支持。针对这一情况，IETF于1996年制订了支持移动互联网设备的协议，称为移动IP，其协议有两种版本：基于IPv4的移动IPv4和基于IPv6的移动IPv6。

移动IP的主要目标是：不管是连接在本地链路还是移动到外地网络，移动节点总是通过本地地址寻址。移动IP在网络层加入了新的特性，在改变网络连接点时，运行在节点上的应用程序不用修改或配置仍然可用。这些特性使得移动节点总是通过本地地址通信。这种机制对于IP层以上的协议层是完全透明的。移动节点所在的本地链路称为移动节点的家乡链路，移动节点的本地地址称为家乡地址。

移动IPv6操作包括家乡代理注册、三角路由、路由优化、绑定管理、移动检测和家乡代理发现。移动IPv6的工作机制如下图所示。图中有3条链路和3个系统。链路A上有一个路由器提供家乡代理服务，这个链路是移动节点的家乡链路。移动节点从链路A移动到链路B。链路C上有一个通信节点，可以是移动的或者静止的。

当移动节点连接到外地链路时，除了家乡地址外，它还可以通过一个或多个转交地址进行通信。转交地址是移动节点在外地链路时的IP地址。移动节点的家乡地址和转交地址之间的关联称为“绑定”。移动节点的转交地址可以自动配置。

移动IPv6的实现离不开家乡链路上的家乡代理。当移动节点离开本地时，要向家乡链路上的一个路由器注册自己的一个转交地址，要求这个路由器作为自己的家乡代理。家乡代理需要用代理邻居发现来截获家乡链路上发往移动节点家乡地址的数据包，然后通过隧道将截获的数据包发往移动节点的主转交地址。为了通过隧道发送截获的数据包，家乡代理要把数据包进行IPv6封装，外部的IPv6报头地址设为移动节点的主转交地址。

当移动节点离开本地时，家乡链路的一些节点可能重新配置，导致执行家乡代理功能的路由器被其他路由器所代替。在这种情况下，移动节点可能不知道自己家乡代理的IP地址。移动IPv6提供了一种动态家乡代理地址发现机制，移动节点可以动态发现家乡链路上家乡代理的IP地址，离开本地时，它在这个家乡代理上注册转交地址。

移动IPv6还定义了一个附加的IPv6目的选项——家乡地址选项。作为发送方的移动节点通过在发送的数据包中携带家乡地址选项可以把家乡地址告诉作为接收方的通信节点，而转交地址对于移动IPv6以上层（如传输层）是透明的。

在IPv6中，移动节点能把自己的转交地址告诉每个通信节点，使通信节点和移动节点之间进行直接路由，避免了三角路由问题。由于未来互联网上会有大量的无线移动节点，因此，在路由效率上的大规模改善可能对互联网的可扩展性产生本质的影响。

移动IPv6具有诱人的应用前景，它为新一代无线用户提供了移动支持，但在移动越区切换、QoS、安全等方面仍不能满足实际应用的需要。目前，许多研究机构（包括移动通信的著名厂商诺基亚、爱立信等）都在研究这些关键技术。

3.10.2 为什么IPv6能够比IPv4更好地解决移动问题？

移动IPv6与移动IPv4相比优势明显，主要是其设计吸收了移动IPv4的发展经验，并且抓住了设计新版本IP协议（IPv6）的大好时机，结合了IPv6的很多新特性。IPv6的出现是移动计算的一个重要里程碑，IPv6的下列主要特性对于未来的移动无线网络的发展至关重要：足够多的IP地址、安全数据报头的实现、目的选项提高了路由效率、地址自动配置、避免入口过滤、错误恢复没有软状态“瓶颈”。

移动IPv6协议的优点在移动终端数量持续上涨的今天尤其突出。IPv6将是实现移动互联网上许多新型而精彩的服务的关键。尽管IPv4中也存在移动协议，但二者之间存在本质的区别：移动IPv4协议不适用于数量庞大的移动终端。目前全世界的移动终端数就超过7亿个，而且移动电话终端的潮流才刚刚开始，包含诸如门、防盗自动警铃等设备的下一轮终端浪潮已经显露出来。移动IP需要为每个设备提供一个全球唯一的IP地址，不久的将来，当每个人都要携带一个或多个移动终端时，IPv4将没有足够的地址空间为在公共互联网上运行的每个移动终端分配一个全球唯一的IP地址，而IPv6却可以实现这一点。除了IPv6的其他优点外，单这一项功能就可以实现个人之间的直接通信。从另一个角度说，移动IPv6能够通过简单的扩展，满足大规模移动用户的需求。这样，它就能在全球范围内解决有关网络和访问技术之间的移动性问题。另外，IPv4协议中对移动性的支持不是强制的，而移动IPv6是IPv6协议中不可或缺的部分，所有IPv6的实现都必须支持移动性。

[NextPage]

3.11 安全问题

3.11.1 IPv6能彻底解决互联网中的安全问题吗？

原来的互联网安全机制只建立于应用程序级，如E-mail加密、SNMPv2网络管理安全、接入安全（HTTP、SSL）等，无法从IP层来保证Internet的安全。为了加强互联网的安全性，从1995年开始，IETF着手研究制定了一套IP安全（IP Security，IPSec）协议用于保护IP通信的安全。IPSec提供既可用于IPv4也可用于IPv6的安全性机制，它是IPv6的一个组成部分，也是IPv4的一个可选扩展协议。通过集成IPSec，IPv6实现了IP级的安全。IPSec提供如下安全性服务：访问控制、无连接的完整性、数据源身份认证、防御包重传攻击、保密、有限的业务流保密性。IPSec的认证报头（Authentication Header，AH，RFC2402中描述）协议定义了认证的应用方法，封装安全负载（Encapsulating Security Payload，ESP，RFC2406中描述）协议定义了加密和可选认证的应用方法。IPSec安全性服务完全通过AH和ESP头相结合的机制来提供，当然还要有正确的相关密钥管理协议。在实际进行IP通信时，可以根据安全需求同时使用这两种协议或选择使用其中的一种。

IPv6实质上不会比IPv4更加安全。IPv6标准的起草者、思科总部的两位“杰出网络技术领袖”Fred Baker和 Tony Hain认为IPv6从根本上来说，只是IP地址改变的协议包，并不能解决现在的互联网协议IPv4中的安全问题。但是由于IPSec提供的端到端安全性的两个基本组件——认证和加密——都是IPv6协议的必备组件，而在IPv4中，它们只是可选组件，因此，采用IPv6，安全性会更加简便、一致。更重要的是，IPv6使我们有机会在将网络转换到这种新型协议的同时发展端到端安全性。

3.11.2 为解决IPv6网络安全问题，传统的安全设备需要做那些改进？

IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备，但由于IPv6的一些新特点，IPv4网中现有的这些安全设备在IPv6网中不能直接使用，还需要做些改进：

防火墙的设计

由于IPv6相对IPv4在数据报头上有了很大的改变，所以原来的防火墙产品在IPv6网络上不能直接使用，必须做一些改进。针对IPv6的Socket套接口函数已经在RFC3493：Basic Socket Interface Extensions for IPv6中定义，以前的应用程序都必须参考新的API做相应的改动。

IPv4中防火墙过滤的依据是IP地址和TCP/UDP端口号。IPv4中IP头部和TCP头部是紧接在一起的，而且其长度是固定的，所以防火墙很容易找到头部，并应用相应的策略。然而在IPv6中TCP/UDP报头的位置有了根本的变化，它们不再是紧连在一起的，通常中间还间隔有其他的扩展头部，如路由选项头部，AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤操作，这对防火墙的处理性能会有很大的影响。

入侵检测系统（IDS）的设计

在IPv6下也使我们不得不放弃以往的网络监控技术，投身一个全新的研究领域。首先，IDS产品同防火墙一样，在IPv6下不能直接运行，还要做相应的修改。其次，IDS的工作原理实际上是一个监听器，接收网段上的所有数据包，并对其进行分析，从而发现攻击，并实施相应的报警措施。但是，如果使用传输模式进行端到端的加密，IDS就无法工作，因为它接收的是加密的数据包，无法理解。当然，解决方案之一是让IDS能对这些数据包进行解密，但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样，也有待时间的考验。

由于IPv6中引入了网络层的加密技术，未来网络上的数据通讯的保密性将会越来越强，这使网络入侵检测系统和主机入侵检测引擎也面临在多种不同平台如何部署的问题。这就需要研究IDS新的部署方式，再下一步，研究如何才能在任何网络状况、任何服务器、任何客户端、任何应用环境都能进行适当的自转换和自适应。

3.12 服务质量

3.12.1 为更好地提供服务质量，IPv6协议作了哪些考虑？

从协议的角度看，IPv6与目前的IPv4提供相同的服务质量（QoS），但是IPv6的优点体现在能提供不同的服务。这些优点来自于IPv6的包头结构中新增的优先级字段和流标签字段。优先级字段扩大到1个字节，这就可以定义256个级别的优先级，对各种多媒体信息根据紧急性确定数据包的优先级，从而保证每一项服务都能达到用户满意的质量。而有了20位长的流标签字段，在传输过程中，中间的各节点就可以识别和分开处理任何IP地址流。在IPv6中，同一个业务流的所有数据包采用相同的流标签，这样当路由器检测到相同的流标签的时候就采用相同的路径发出去，而不需要为每一个数据包重新选择路由，从而大大提高了数据包转发的效率，降低了端到端的延迟。尽管对流标签的准确应用还没有制定出有关标准，但将来它会用于基于服务级别的新计费系统。此外，在支持“总是在线”连接、防止服务中断以及提高网络性能方面，IPv6也有助于改进服务质量。

IPv6实现QoS的协议是IETF的资源保留协议（Resource Reserve Protocol，RSVP）。主机用RSVP代表应用数据流（指可以由路由器或者转发数据的主机辨别的相关数据包的流，在IPv6协议下就是拥有相同的流标签的流）向网络请求特定的服务质量，例如基于平均值的最大带宽、最大接收延迟、优先队列以及其他参数，主机也可以指定一个特定的网络服务级别，这类似于数字视频广播（Digital Video Broadcasting，DVB）中的网络信息表的概念。RSVP带着这个请求通过网络，访问这个数据流经过的网络的每个节点。在每个节点上，RSVP试图为这个流进行资源保留。这使得提供具有服务质量的图像和其它实时业务成为可能。

3.13 IPv4向IPv6的转换

3.13.1 什么是IPv6转换机制？为什么需要转换机制？

IPv6不可能立刻替代IPv4，因此在相当一段时间内IPv4和IPv6会共存在一个环境中。要提供平稳的转换过程，使得对现有的使用者影响最小，就需要有良好的转换机制。目前，这个议题是IETF ngtrans工作小组的主要目标，有许多转换机制被提出，部分已被用于6Bone上。IETF推荐了双协议栈、隧道技术以及NAT等转换机制：

IPv6/IPv4双协议栈技术

简单地说，双栈机制就是使IPv6网络节点具有一个IPv4栈和一个IPv6栈，同时支持IPv4和IPv6协议。IPv6和IPv4是功能相近的网络层协议，两者都应用于相同的物理平台，并承载相同的传输层协议TCP或UDP，如果一台主机同时支持IPv6和IPv4协议，那么该主机就可以和仅支持IPv4或IPv6协议的主机通信，IPv6/IPv4双协议栈的协议结构如下图所示：

应用层协议
TCP/UDP协议
IPv6协议	IPv4协议
链路层及物理协议

隧道技术

隧道机制就是必要时将IPv6数据包作为数据封装在IPv4数据包里，使IPv6数据包能在已有的IPv4基础设施（主要是指IPv4路由器）上传输的机制。随着IPv6的发展，出现了一些被运行IPv4协议的骨干网络隔离开的局部IPv6网络，为了实现这些IPv6网络之间的通信，必须采用隧道技术。隧道对于源站点和目的站点是透明的，在隧道的入口处，路由器将IPv6的数据分组封装在IPv4中，该IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址，在隧道出口处，再将IPv6分组取出转发给目的站点。隧道技术的优点在于隧道的透明性，IPv6主机之间的通信可以忽略隧道的存在，隧道只起到物理通道的作用。隧道技术在IPv4向IPv6演进的初期应用非常广泛。但是，隧道技术不能实现IPv4主机和IPv6主机之间的通信；

网络地址转换技术

网络地址转换（Network Address Translator，NAT）技术是将IPv4地址和IPv6地址分别看作内部地址和全局地址，或者相反。例如，内部的IPv4主机要和外部的IPv6主机通信时，在NAT服务器中将IPv4地址（相当于内部地址）变换成IPv6地址（相当于全局地址），服务器维护一个IPv4与IPv6地址的映射表。反之，当内部的IPv6主机和外部的IPv4主机进行通信时，则IPv6主机映射成内部地址，IPv4主机映射成全局地址。NAT技术可以解决IPv4主机和IPv6主机之间的互通问题。

3.13.2 目前常见的IPv4/IPv6互通转换的技术标准有哪些？

现有网络到IPv6网络的过渡在技术上已十分成熟，而且这种过渡可以是循序渐进的。国际标准化组织和许多研发机构都开发出了多种IPv4与IPv6的互通转换机制。下面给出了目前常见的IPv4/IPv6互通转换技术标准：

· 6to4：RFC 3056

· NAT-PT（Network Address Translation-Protocol Translation）：RFC 2766

· SIIT（Stateless IP/ICMP Translation）：RFC 2765

· Tunnel broker：RFC 3053

· 6over4：RFC 2529

· BIS（Bump-In-the-Stack）：RFC 2767

· BIA（Bump-in-the-API）：RFC 3338

· SOCKS-gateway：RFC 3089

· TCP/UDP-relay：RFC 3142

· DSTM（Dual Stack Transition Mechanism）：draft-ietf-ngtrans-dstm-08.txt

· ISATAP（Intra-Site Automatic Tunnel Addressing Protocol）：draft-ietf-ngtrans-isatap-08.txt

3.13.3 什么是隧道？“IPv6 over IPv4”是什么意思？

隧道（Tunnel）是指将一种协议报头封装在另一种协议报头中，这样，一种协议就可以通过另一种协议的封装进行通信。IPv6隧道是将IPv6报头封装在IPv4报头中，这样IPv6协议包就可以穿越IPv4网络进行通信。

在IPv6全面实施之前，总有一些网络先提供对IPv6的支持，但是这些IPv6网络被运行IPv4协议的骨干网络隔离开来。“IPv6 over IPv4”的隧道就用来连接这些孤立的IPv6网络。隧道技术目前是国际IPv6试验床6Bone所采用的技术。利用隧道技术可以通过现有的运行IPv4协议的Internet骨干网络（即隧道）将局部的IPv6网络连接起来，因而是IPv4向IPv6过渡的初期最易于采用的技术。隧道技术的优点在于隧道的透明性，IPv6主机之间的通信可以忽略隧道的存在，隧道只起到物理通道的作用。它不需要大量的IPv6专用路由器设备和专用链路，可以明显地减少投资。其缺点是：在IPv4网络上配置IPv6隧道是一个比较麻烦的过程，而且隧道技术不能实现IPv4主机和IPv6主机之间的通信。

可冉 2008-03-12 09:15 发表评论

无线标准802.11b的特点和应用

可冉 — Mon, 10 Mar 2008 03:05:00 GMT

价格便宜的便携式计算机、移动电话和手持式设备的日趋流行，以及Internet应用程序和电子商务的快速发展，使用户需要随时进行网络连接。为满足这些需求，可以使用两种方法将便携式设备连接到网络，而没有电缆所带来的不便。这两种标准就是IEEE 802.11b和Bluetooth。IEEE802.11b是一种11Mb/s无线标准，可为笔记本电脑或桌面电脑用户提供完全的网络服务。
　　IEEE802.11b的特点和应用范围
　　速度——2.4GHz直接序列扩频，最大数据传输速率为11Mb/s，无须直线传播。
　　动态速率转换——当射频情况变差时，可将数据传输速率降低为5.5Mb/s、2Mb/s和1Mb/s。
　　使用范围——支持的范围是在室外为300米，在办公环境中最长为100米。
　　可靠性——使用与以太网类似的连接协议和数据包确认，来提供可靠的数据传送和网络带宽的有效使用。
　　互用性——只允许一种标准的信号发送技术，WECA将认证产品的互用性。
　　电源管理——网络接口卡可转到休眠模式，访问点将信息缓冲到客户，延长了笔记本电脑的电池寿命。
　　漫游支持——当用户在楼房或公司部门之间移动时，允许在访问点之间进行无缝连接。
　　加载平衡——NIC更改与之连接的访问点，以提高性能。
　　可伸缩性-最多三个访问点可以同时定位于有效使用范围中，以支持上百个用户。
　　安全性——内置式鉴定和加密。
　　IEEE802.11b应用的范围：
　　不易接线的区域-在不易接线或接线费用较高的区域中提供网络服务；
　　灵活的工作组——为经常进行网络配置更改的工作区降低了总拥有成本；
　　网络化的会议室——用户可在从一个会议室移动到另一个会议室时进行网络连接，以获得最新的信息，并且可在决策时相互交流；
　　特殊网络——现场顾问和小工作组的快速安装和兼容软件可提高工作效率；
　　子公司网络——为远程或销售办公室提供易于安装、使用和维护的网络；
　　部门范围的网络移动-漫游功能使企业可以建立易于使用的无线网络，可覆盖所有部门。
　　两种技术的比较
　　对标准的支持——IEEE802.11b有无线以太网兼容性联盟(WECA)的支持，蓝牙有蓝牙特殊利益集团(SIG)的支持。
　　工作频段——IEEE802.11b和蓝牙都工作在2.4GHz频段上。
　　在技术上——IEEE802.11只规定了开放式系统互联参考模型(OSI/RM)的物理层和MAC层，其MAC层利用载波监听多重访问/冲突避免(CSMA/CA)协议，而在物理层，802.11定义了三种不同的物理介质：红外线、跳频扩谱方式(FHSS)以及直扩方式(DSSS)。802.11支持1～11Mb/s的数据速率，但是它只支持数据通信，要进行无线数据通信，数据设备先要安装有无线网卡。
　　蓝牙技术具有一整套全新的协议，可以应用于更多的场合。蓝牙技术中的跳频更快，因而更加稳定，同时它还具有低功耗、低代价和比较灵活等特点。
　　IEEE802.11b实现的是有形的、特定的网络，而由蓝牙形成的网络是无形的、看不见的，蓝牙技术是ad hoc网中的一个主流技术。
　　在应用上——IEEE802.11b的传输距离长、速度快，可以满足用户运行大量占用带宽的网络操作，就像在有线局域网上一样。而蓝牙技术面向的却是移动设备间的小范围连接，因而本质上说，它是一种代替电缆的技术。
　　蓝牙，适合用在手机、掌上型电脑等简易数据传递；而速率在11Mb/s的802.11b则较适合用在影像等高速无线传输，有效距离长达100米。
　　IEEE802.11b比较适于办公室中的企业无线网络，较适合用在影像等高速无线传输，有效距离长达100米；而速率小于1Mb/s的蓝牙技术则可以应用于任何可以用无线方式替代线缆的场合，适合用在手机、掌上型电脑等简易数据传递。
　　发展趋势
　　目前这些技术还处于并存状态，由于IEEE802.11b和蓝牙的载波频带都使用2.4GHz频带，当同时收发这两种规格的数据时，有可能引起数据包冲突等电波干扰等问题；从长远看，随着产品与市场的不断发展，它们将走向融合，而其中最有竞争力的就是蓝牙技术。
　　美国Mobilian公司推出了兼具无线LAN和蓝牙功能的芯片组。这个由两个芯片构成的芯片组具备无线LAN的标准方式IEEE802.11b的无线收发功能和蓝牙功能。Mobilian公司此次开发的芯片组中，通过采用消除电波干扰的方法，实现了两种规格数据通信的同时进行。
　　推进10m近距离无线通信技术标准化的IEEE802.15委员会日前采纳了可使蓝牙和IEEE802.11b共存的技术提案。此次采纳的是美国Mobilian Corp.和美国Symbol Technologies,Inc.以及美国NIST等共同提出的方案。提案书预定于2001年下半年公布。
　　Intersil、Silicon Wave合作开发蓝牙和IEEE 802.11b双模(Dual-Mode)WLAN解决方案，使手提电脑及其它设备能通过蓝牙无线通信方式连结公司的LAN或其它类似组件。
　　Intersil与Silicon Wave合作的目标是要开发出一系列双模解决方案，将兼容蓝牙的无线设备，与WECA Wi-Fi的IEEE 802.11b无线设备构建在同一平台上。估计初期将推出Cardbus32与MiniPCI两种平台，然后的目标是通过动态交换技术，使两种设备都能使用一般普通天线。这种双模无线电设备将比以往的无线设备更小。
　　3Com解决方案
　　3Com AirConnect 11Mbps WLAN基于IEEE 802.11b标准，支持动态速率转换和自动负载均衡。它包括无线接入点以及笔记本计算机和PC用的网卡。每个接入点可同时支持多达63个无线客户机，并可在标准的办公环境中提供100米的无线覆盖，用户可随意漫游。为了确保可靠的连接，AirConnect解决方案还包括Site Survey Utility(站点勘查公用软件)，帮助用户完成合理布置访问节点的任务。3Com还提供多种简单的管理界面，其中包括SNMP和每个AirConnect接入点内置的Web支持界面，使网络管理人员只需调用Web浏览器，就可以在网络的任何地点监控网络性能，改变配置或运行诊断程序。
3Com AirConnect
　　对于较小的机构，AirConnect提供WEP技术以保障安全，这是基于标准的40位第2层加密技术，还可利用无线网卡(MAC层)地址实现接入控制。对于必须为数百或数千个网络用户提供安全无线连接的商业客户，AirConnect利用基于第3层隧道、核查和加密的安全隧道解决方案。第3层隧道使用各种私有密钥，自动协商并经常改变。3Com利用网络上原有的用户名/口令设施，并简化安全管理。它还与3Com公司原有的远程接入管理系统如RADIUS和当今领先操作系统内置的MPPE支持功能互相协作，以加强安全性。
　　神州数码WLAN方案
　　神州数码网络WLAN应用方案专注于室内无线网络的应用，该产品主要包括无线网卡和无线接入器两大类，都支持IEEE 802.11b标准，可达到11Mbps的速率，室内覆盖半径为35-100米，室外为100-300米。驱动程序和接入管理软件均支持Windows 95/98/2000、Windows Me、Windows NT4.0等操作系统。带宽速率可以设为11Mbps、5.5Mbps、2Mbps、1Mbps，也可设为动态的自适应配置。为了确保网络安全，神州数码D-Link无线网络产品支持40位WEP加密，并可扩充至128位。
　　无线网卡DWL-650 PCMCIA卡，工作的发射频率为2.4GHz。DWL-650是一款11 Mbps的高速无线以太网卡，即插即用于笔记本的PCMCIA插槽。使用无线接入器组成网络。
D-Link WLAN网卡
　　无线接入器DWL-1000AP既可作为无线网络的接入点，实现无线局域网络的连接，也可通过桥接模式用于扩展有线网络的通信能力。在桥接模式下，DWL-1000AP能够直接连接宽带住宅网关或ADSL/Cable Modem，以提供无线高速接入，并支持DHCP功能。
　　爱立信确保无线安全
　　爱立信的WLAN产品包括无线接入点A11、无线网卡C11以及网络安全设备WLAN Guard，采用开放的2.4GHz频段，符合IEEE 802.11b标准，无线数据速率高达11 Mbps。接入点A11在开放空间中的最大覆盖范围可达300米。网卡C11提供笔记本电脑与WLAN接入点A11之间的连接。它可用于Windows 95／98／2000和NT 4.0，且功耗低，允许连续使用，并最大限度地提高了笔记本电脑的电池使用寿命。Omni天线既可以用于室内，也可以用于室外，特别适合大型工业环境或零售环境。Direct-4天线同样可用于室内/室外，可简便地安装在任何平直的表面上，一条定向波束可以提供75度的覆盖范围。Yagi-9天线用于室外，它使用U型螺栓简便地安装在墙壁、电线杆或天线杆上。
爱立信C11网卡
　　创智无线网络
　　创智网络的WLAN产品包括接入点和无线网卡。Powerise LastKm WXX30a是与IEEE802.11标准兼容的无线接入点(AP)。该系统提供对以太网的无缝连接，支持IEEE802.3 20BaseT标准；Web方式的配置界面，可以通过任何一个标准的浏览器软件来配置，支持漫游的重要的分发系统，还提供额外的可管理特性和安全特性。它提供2~11Mbps的高速数据传输率；开放环境中工作半径可达250M；全向天线可以实现半径为500米的共享宽带无线网路；并支持包括Windows 9x、Windows NT、Windows 2000、Linux和NetWare在内的多种操作系统。
LastKmWXX10
　　Powerise LastKmWXX10是兼容IEEE802.11b标准的高速PCMCIA/PCI无线网卡，使用先进的直接序列扩频和冲突避免技术，提供2~11Mbps的高速数据传输率。具有标准的PCMCIAⅡ/PCI型接口，支持即插即用和热插拔技术，安装和使用极其方便。

可冉 2008-03-10 11:05 发表评论

任务	命令
激活AAA访问控制	aaa new-model
用户登录时默认起用Tacacs+做AAA认证	aaa authentication login default tacacs+
列表名为no_tacacs使用ENABLE口令做认证	aaa authentication login no_tacacs enable
在运行PPP的串行线上采用Tacacs+做认证	aaa authentication ppp default tacacs+
由TACACS+服务器授权运行EXEC	aaa authorization exec tacacs+
由TACACS+服务器授权与网络相关的服务请求。	aaa authorization network tacacs+
为EXEC会话运行记帐.进程开始和结束时发通告给TACACS+服务器。	aaa accounting exec start-stop tacacs+
为与网络相关的服务需求运行记帐包括SLIP,PPP,PPP NCPs,ARAP等.在进程开始和结束时发通告给TACACS+服务器。	aaa accounting network start-stop tacacs+
指定Tacacs服务器地址	tacacs-server host 10.111.4.2
在Tacacs+服务器和访问服务器设定共享的关键字，访问服务器和Tacacs+服务器使用这个关键字去加密口令和响应信息。这里使用tac作为关键字。	tacacs-server key tac

任务	命令
设置路由器与modem的接口指令	chat-script script-name EXPECT SEND EXPECT SEND (etc.)
设置端口在挂断前的等待时间	dialer idle-timeout seconds
设置协议地址与电话号码的映射	dialer map protocol next-hop-address [name hostname] [broadcast] [modem-script modem-regexp] [system-script system-regexp] [dial-string]
设置电话号码	dialer string dial-string
指定在特定线路下路由器默认使用的chat-script	script {dialer\|reset} script-name

任务	命令
指定主线路改变后，次线路状态发生改变的延迟时间	backup delay {enable-delay \| never} {disable-delay \| never}
指定一个接口作为备份接口	backup interface type number