Мельников Д. А. - Организация и обеспечение безопасности информационно-технологических сетей и систем - 2012
.pdf152 |
Глава 12. Протокол IP шестой версии |
© 1Ру6-адрес, совмещенный с 1Ру4-адресом;
в1Ру6-адрес, отображающий 1Ру4-адрес.
!Pv6-adpec, совмещенный с 1Ро4-адресом. Это тип адреса был
предназначен для поддержки процесса перехода от 1Ру4-адресации к 1Ру6-адресации. На рис. 12.5 представлен формат 1Ру6-адреса, со вмещённого с 1Ру4-адресом.
80 б и т |
|
! |
16 б и т |
! |
32 б и т а |
! |
0 0 0 0 ................................................. |
0 0 0 0 |
I |
0 0 0 0 |
| |
1Р у4-адрес |
1 |
Рис. 12.5. Формат 1Ру6-адреса, совмещённого с 1Ру4-адресом
(Примечание. 1Ру4-адрес, который используется в 1Ру6-адресе, совмещённом с 1Ру4-адресом, должен быть глобальным уникальным однонаправленным 1Ру4-адресом.)
В настоящее время применение 1Ру6-адреса, совмещённого с 1Ру4-адресом, опротестовано, так как современные способы перехо да к 1Ру6-адресации больше не используют такие адреса. Поэтому новые и усовершенствованные алгоритмы и способы маршрутиза ции могут не использовать этот тип 1Ру6-адресов.
!Pv6-adpec, отображающий IPv4-adpec. В настоящее время опре делён второй тип 1Ру6-адреса, в который «вложен» 1Ру4-адрес. Этот тип 1Ру6-адреса используется для согласования с 1Ру4-адресами в IPузлах с 1Ру4-адресацией. На рис.12.6 представлен формат IPv6адреса, отображающего 1Ру4-адрес.
80 б и т |
|
! |
16 б и т |
! |
32 б и т а |
0 0 0 0 ............................. ................ |
■ 0 0 0 0 |
| |
FFFF |
| |
1Ру4-адрес |
Рис. 12.6. Формат 1Ру6-адреса, отображающего 1Ру4-адрес
В стандарте RFC-4038 представлены правила использования 1Ру6-адресов, отображающих 1Ру4-адреса.
Однонаправленные 1Ру6-адреса для локальных линий свя зи. Такие 1Ру6-адреса используются в пределах одной линии связи. На рис. 12.7 представлен формат однонаправленного 1Ру6-адреса для локальной линии связи.
Данные адреса предназначены для использования для обозна чения интерфейсов в рамках одного канала (линии) связи в сле дующих целях:
вавтоматическая настройка адресов; о поиск соседних 1Р-узлов;
вв условиях отсутствия маршрутизаторов.
Марш рутизаторы никогда не долж ны транслировать в дру гие линии (каналы) связи какие-либо пакеты, содержащ ие в своих
раздел II. |
153 |
долях «Адрес отправителя сообщения» или «Адрес получателя» {Руб-адрес для локальной линии связи.
10 б и т _______|__________ 54 б и т а __________;__________________ 64 б и т а __________________ j
Г 1 1 1 1 1 1 1 0 1 0 1 0 I И д ен ти ф и като р и нтерф ейса 1
Рис. 12.7. Формат однонаправленного 1Ру6-адреса для локальной
линии связи
Однонаправленные 1Ру6-адреса для локальных групп под
сетей. Такие адреса были специально разработаны для обозначения интерфейсов внутри группы подсетей без использования в них гло бальных префиксов. Однако в настоящее время применение данных адресов опротестовано (RFC-3879).
На рис. 12.8 представлен формат однонаправленного IPv6адреса для локальных групп подсетей.
■ |
10 б и т _______ !__________ 54 б и т а __________ I__________________ 64 б и |
т а __________________ I |
|||||
Г |
111 111 101 1 |
| |
0 |
| |
И д ен ти ф и като р |
и нтерф ейса |
I |
Рис. 12.8. Формат однонаправленного 1Ру6-адреса для локальных
групп подсетей
Специализированное применение этого префикса (RFC-3513) б ол ьш е не должно использоваться во вновь создаваемых системах (т() есть в новых сетях это префикс должен рассматриваться как гло
ба л ь н ы й однонаправленный 1Ру6-адрес).
Всуществующих сетях он может использоваться по-прежнему.
12.6.Альтернативные IPve-адреса
Альтернативный 1Ру6-адрес представляет собой адрес, кото рой присваивается нескольким канальным (физическим) интер фейсам (обычно принадлежащих различным IP-узлам). Передан ной с таким адресом IP-пакет доставляется на один из канальных (физических) интерфейсов (IP-узлов), имеющих такой адрес (то есть ближайший» в соответствии с принятой метрикой протокола мар шрутизации).
Альтернативные адреса выбирают из пространства однона правленных 1Ру6-адресов, используя для этого один из возможных Форматов однонаправленных адресов. Таким образом, альтерна тивные адреса, с точки зрения семантики, ничем не отличаются от однонаправленных адресов. Если однонаправленный адрес при паивается нескольким канальным (физическим) интерфейсам, то
154 |
Глава 12. Протокол IP шестой версии |
он превращается в альтернативный адрес, а IP-узлы, которым при своен этот адрес, должны однозначно «знать» (при их настройке), что такой адрес является альтернативным.
Во всех назначаемых альтернативных адресах присутствует более длинный префикс «Р», идентифицирующий топологический регион (сетевой сегмент), в котором постоянно присутствуют все интерфейсы, обозначенные альтернативными адресами с этим префиксом. Внутри региона, обозначенного префиксом «Р», аль тернативный адрес должен обслуживаться как выделенный компо нент конкретной системы маршрутизации (обычно именуемый как главный маршрут - «host route»). За пределами региона, обозначен ного префиксом «Р», альтернативный адрес может быть объединен с префиксом «Р» в общий компонент маршрутизации.
(Примечание. В наихудшем случае, префикс «Р» в группе аль тернативных адресов может иметь нулевое значение, то есть адреса этой группы могут вообще не принадлежать топологическому сег менту. В таком случае, альтернативный адрес должен обслуживать ся как выделенный компонент маршрутизации во всем пространст ве Internet, в котором точно известно предельное число поддержи ваемых «глобальных» групп альтернативных адресов. Более того, это предполагает, что обслуживание глобальных групп альтерна тивных адресов недопустимо или очень ограничено.)
Предполагаемое использование альтернативных адресов за ключается в следующем. Они могут применяться для идентифика ции группы маршрутизаторов, принадлежащей какой-либо органи зации, обеспечивающей функционирование Internet. Такие адреса могут использоваться как промежуточные адреса в заголовках мар шрутизации 1Ру6-пакетов, для решения задачи доставки пакетов че рез систему соответствующего провайдера или группы провайдеров.
Другим возможным применением альтернативных адресов может быть идентификация группы маршрутизаторов, закреплен ной за соответствующим сегментом сети, или группы маршрутиза тором, обеспечивающих доступ к сегменту по соответствующему маршруту.
Востребованные альтернативные 1Ру6-адреса. В настоящее время определены альтернативные адреса для маршрутизаторов подсетей. Формат таких адресов представлен на рис. 12.9.
________ п бит |
128-п бит__________ |
■ |
П реф икс подсети |
00000000000000 |
] |
Рис. 12.9. Формат альтернативных 1Ру6-адресв для маршрутизаторов подсетей
Раздел II. |
155 |
«Префикс подсети» в альтернативном адресе представляет собой префикс, который идентифицирует конкретную (выделенную) ли нию связи. Такой альтернативный адрес, с точки зрения семантики, совпадает с однонаправленным адресом интерфейса для линии связи, у которой групповой идентификатор интерфейсов равен нулю.
IP-пакеты, переданные на альтернативный адрес маршрутизато ра подсети, будут транслироваться на один маршрутизатор конкрет ной подсети. Необходимо, чтобы все маршрутизаторы транслировали IP-пакеты с альтернативными адресами маршрутизаторов подсетей в те подсети, в которых имеются интерфейсы с такими адресами.
Альтернативный адрес маршрутизатора подсети используется в тех реальных сетях, в которых IP-узлу необходимо иметь соедине ние хотя бы с одним маршрутизатором из группы маршрутизато ров, обслуживающих сеть.
12.7. Групповые IPve-адреса
Групповой 1Ру6-адрес представляет собой идентификатор группы интерфейсов (обычно на различных IP-узлах). Интерфейс может иметь любое количество групповых 1Ру6-адресов. Формат та ких адресов представлен на рис. 12.10.
; |
8 бит |
4 бита |
4 бита |
112 бит |
|
1 1 1 1 1 1 1 1 |
Ф лаги |
Д и ап азо н |
И д ен ти ф и катор группы |
|
R р | т |
|||
|
0 |
|
|
Рис. 12.10. Формат групповых 1Ру6-адресов
Поля группового 1Ру6-адреса имеют следующие значения:
о8-битовое поле, состоящее из единиц - указывает на то, что ад рес является групповым 1Ру6-адресом;
•4-битовое поле «Флаги». Старший бит поля зарезервирован и всегда должен быть нулевым. Назначение и правила использо вания бита «R» представлены в стандарте RFC-3956. Назначе ние и правила использования бита «Р» представлены в стан дарте RFC-3306. Если бит «Т» имеет нулевое значение - это оз начает, что имеет место жестко закрепленный за кем-то или за чем-то (так называемый «всем (хорошо) известный» - «wellknown») групповой 1Ру6-адрес, назначаемый IANA. Если же бит «Т» имеет значение «1» - это означает, что имеет место временно закрепленный за кем-то или за чем-то («временно» или «динамически» назначаемый) групповой 1Ру6-адрес;
156 |
Глава 12. Протокол IP шестой версии |
о4-битовое поле «Диапазон». Это поле используется для характе ристики (ограничения) диапазона используемого набора груп повых адресов. Оно может принимать следующие значения:
-«О» - зарезервировано;
-«1» - в пределах локального интерфейса. Этот адрес пере крывает диапазон только одного сетевого интерфейса (пет левой интерфейс или интерфейс с петлевым адресом), и используется только для групповой передачи 1Ру6-пакетов по петлевому маршруту;
-«2» - в пределах локальной линии связи. Этот адрес пере крывает диапазон в рамках одного и того же топологическо го пространства (сетевого сегмента) как диапазон соответст вующих однонаправленных адресов;
-«3» - зарезервировано;
-«4» - в пределах зоны локального администрирования. Этот адрес перекрывает наименьший диапазон, который управ ляется администратором сети (подсети), то есть в данном случае речь идёт об адресах, устанавливаемых «вручную» без каких-либо автоматизированных управляющих проце дур (включая удаленные) или процедур, не связанных с на стройкой групповых адресов;
-«5» - в пределах локальной группы подсетей. Этот адрес предназначен для покрытия диапазона одиночной группы подсетей (конкретного сетевого сегмента);
-«6» - назначение не определено («unassigned»). В этом слу чае (и последующих тоже) речь идет о том, что администра торам сетей (подсетей) разрешено использовать дополни тельные диапазоны групповых адресов в сетевых сегментах, находящихся в зонах их ответственности;
-«7» - назначение не определено;
-«8» - в пределах зоны ответственности организации. Этот ад рес предназначен для покрытия диапазона нескольких групп подсетей (конкретного сетевого сегмента), принадлежащих (находящихся в зоне ответственности) одной организации;
-«9» - назначение не определено;
-«А» - назначение не определено;
-«В» - назначение не определено;
-«С» - назначение не определено;
-«D» - назначение не определено;
-«Е» - глобальный диапазон;
-«F» - зарезервировано.
о112-битовое поле «Идентификатор группы». Оно идентифи цирует определённый набор групповых адресов, назначенных в постоянное или временное использование в рамках конкрет-
Раздел II. |
157 |
ного диапазона. Более подробное назначение и правила ис пользования данного поля представлены в стандарте RFC-3306. Особенность постоянно-назначенных групповых адресов за ключается в их независимости от величины диапазона. Например, если группе серверов сетевого времени (NTP-серверы, Network Time Protocol) присвоен постоянный групповой 1Ру6-адрес с идентифи
катором группы «101» (шестнадцатеричный), то тогда:
о«FF01:0:0:0:0:0:0:101» означает, что все NTP-серверы в качестве отправителя сообщения имеют одинаковый идентификатор интерфейса (то есть один и тот же 1Р-узел);
о«FF02:0:0:0:0:0:0:101» означает, что все NTP-серверы в качестве отправителя сообщения имеют одинаковый идентификатор линии (канала) связи;
о«FF05:0:0:0:0:0:0:101» означает, что все NTP-серверы в качестве отправителя сообщения имеют одинаковый идентификатор группы подсетей (то есть сетевого сегмента);
о«FF0E:0:0:0:0:0:0:101» означает, что все NTP-серверы «размеще ны» в Internet.
Временно присваиваемые групповые номера имеют «смысл» только в пределах конкретного диапазона. Например, группе интер фейсов конкретного сетевого сегмента присвоен временный группо вой адрес для локальной группы подсетей «FF15:0:0:0:0:0:0:101», причем этот сегмент никак не связан с аналогичным сегментом, группа ин терфейсов которого использует тот же самый адрес, либо с другим сегментом, группа интерфейсов которого использует тот же самый идентификатор группы, но в другом диапазоне, либо с другим сег ментом, группа интерфейсов которого использует постоянный груп повой адрес, но с таким же идентификатором группы.
Групповые 1Ру6-адреса не должны использоваться как «Адрес отправителя сообщения» в 1Ру6-пакетах или присутствовать в ка ком-либо заголовке маршрутизации. Маршрутизаторы никогда не должны транслировать любые 1Ру6-пакеты с групповыми адресами, принадлежащим диапазону, который обозначен в поле «Диапазон» группового адреса, размещенного в поле «Адрес получателя».
IP-узлы никогда не должны отправлять пакеты с групповыми ад ресами в поле «Адрес отправителя сообщения», в котором поле «Диа пазон» содержит зарезервированное нулевое значение. Если, тем не менее, такой пакет принят, он должен быть по умолчанию уничтожен. Целесообразно, чтобы IP-узлы никогда не отправляли пакеты с груп повыми адресами в поле «Адрес отправителя сообщения», в котором поле «Диапазон» содержит зарезервированное значение «F». Если, тем не менее, такой пакет принят, он должен восприниматься как IPv6пакеты с глобальным групповым адресом (диапазон «Е»).
158 |
Глава 12. Протокол IP шестой версии |
П редварительно назначенны е групповы е IPv6-aApeca. К пред варительно назначенным групповым ГРуб-адресам относятся так на зываемые «всем (хорошо) известные» групповые адреса. Рассмот ренные далее групповые идентификаторы имеют точные значения своих диапазонов.
Использование этих групповых идентификаторов в пределах любых других диапазонов запрещено, если флаг «Т» имеет нулевое значение.
К зарезервированным групповым 1Ру6-адресам относятся сле дующие:
FF00:0:0:0:0:0:0:0; FF01:0:0:0:0:0:0:0; FF02:0:0:0:0:0:0:0; FF03:0:0:0:0:0:0:0; FF04:0:0:0:0:0:0:0; FF05:0:0:0:0:0:0:0; FF06:0:0:0:0:0:0:0; FF07:0:0:0:0:0:0:0; FF08:0:0:0:0:0:0:0; FF09:0:0:0:0:0:0:0; FF0A:0:0:0:0:0:0:0; FF0B:0:0:0:0:0:0:0; FF0C:0:0:0:0:0:0:0; FF0D:0:0:0:0:0:0:0; FF0E:0:0:0:0:0:0:0; FFOF:0:0:0:0:0:0:0.
Эти адреса являются резервными и никогда не должны при сваиваться какой-либо группе интерфейсов.
К групповым Шуб-адресам для всех IP-узлов относятся сле дующие:
FFO1:0:0:0:0:0:0:1; FF02:0:0:0:0:0:0:1.
Эти адреса идентифицируют группу, состоящую из всех Шубузлов, в которой адрес содержит поле «Диапазон» со значением «1» или «2».
К групповым 1Ру6-адресам для всех маршрутизаторов относят ся следующие:
FF01:0:0:0:0:0:0:2; FF02:0:0:0:0:0:0:2; FF05:0:0:0:0:0:0:2 .
Эти адреса идентифицируют группу, состоящую из всех Шубмаршрутизаторов, в которой адрес содержит поле «Диапазон» со значением «1», или «2», или «5».
К групповым Шуб-адресам запрашиваемых Ш-узлов относятся следующие:
FF02:0:0:0:0:1:FFXX:XXXX.
Эти адреса вычисляются как функция однонаправленных и альтернативных адресов Ш-узлов. Групповой 1Ру6-адрес запраши ваемых Ш-узлов формируется следующим образом: 24 младших бит адреса (однонаправленного и альтернативного) присоединяются к префиксу «FF02:0:0:0:0:1:FF00::/104» и в результате имеем следую щий диапазон групповых адресов:
FF02:0:0:0:0:1:FF00:0000 ... FF02:0:0:0:0:1:FFFF:FFFF .
Например, Шуб-адресу «4037::01:800:200Е:8С6С» соответствует следующий групповой Шуб-адрес запрашиваемых Ш-узлов: «FF02::1:FF0E:8C6C».
Раздел II. |
159 |
1Ру6-адреса, которые отличаются только старшими битами (например, в следствии использовании нескольких префиксов, от носящимся к различным составным адресам), будут преобразовы ваться в точно такой же 1Ру6-адрес запрашиваемых IP-узлов, вслед ствие снижения числа групповых адресов, которые должны при надлежать одному 1Р-узлу.
Роль IP-узла состоит в вычислении и объединении (по соответст вующим интерфейсам) соответствующих групповых 1Ру6-адресов за прашиваемых IP-узлов для всех однонаправленных и альтернативных адресов, которые были присвоены интерфейсам этого IP-узла (вруч ную или автоматически).
12.8. IPve-адреса, которые должен распознавать 1Р-узел
Сервер должен распознавать следующие адреса, идентифици рующие данный сервер:
оего обязательный 1Ру6-адрес для локальной линии связи на каждом интерфейсе;
олюбые дополнительные однонаправленные и альтернативные адреса, которые присвоены интерфейсам узла (вручную или автоматически);
опетлевой адрес;
огрупповые 1Ру6-адреса для всех 1Р-узлов;
огрупповой 1Ру6-адрес запрашиваемых IP-узлов для каждого его однонаправленного и альтернативного адресов;
огрупповые адреса всех других групп интерфейсов, к которым
принадлежит данный 1Р-узел.
Маршрутизатор должен распознавать все те адреса, которые должен распознавать сервер, а также адреса, идентифицирующие данный маршрутизатор:
оальтернативный 1Ру6-адрес маршрутизатора локальной груп пы подсетей для всех интерфейсов, в которых он указан как маршрутизатор;
«любые другие альтернативные адреса, которые указаны в на стройках маршрутизатора;
0 групповые 1Ру6-адреса для всех маршрутизаторов.
160 |
Глава 12. Протокол IP шестой версии |
12.9. Формат заголовка IPve-пакета
На рис. 12.11 представлен формат заголовка 1Ру6-пакета. Заголовок 1Ру6-пакета включает 8 полей:
в«Версия IP-протокола» (Version) - 4-битовое поле, содержащее значение «6»;
•«Класс трафика» (Traffic Class) - 8-битовое поле, которое ука зывает на класс трафика;
•«Маркер потока» (Flow Label) - 20-битовое поле, которое со держит маркер потока;
•«Размер поля полезной нагрузки» (Payload Length) - 16-би товое беззнаковое целое число, которое указывает на размер поля полезной нагрузки в октетах, следующего сразу после за головка (включая заголовки расширения);
;о___________ _______________ _____________________________________ 31_
Версия IP-протокола | |
Класс трафика |
| |
М а р |
к е р |
п о |
т о к а |
|
Р а з м е р п о л я п о л е з н о й |
н а г р у з к и | |
Следующий заголовок |
| |
Число ретрансляций |
|||
А д р е с |
о т п р а в и т е л я |
п а к е т а |
|||||
А д р е с |
п о л у ч а т е л я |
п а к е т а |
|
Рис. 12.11. Формат заголовка 1Ру6-пакета
о«Следующий заголовок» (Next Header) - 8-битовый определи тель, который указывает на тип заголовка, следующего сразу за этим заголовком;
в«Число ретрансляций» (Hop Limit) - 8-битовое беззнаковое целое число, которое указывает на максимальное число ретрансляци онных участков. Это число уменьшается на единицу каждым IPузлом, через который проследовал 1Ру6-пакет. Если это поле со держит нулевое значение, то тогда 1Ру6-пакет уничтожается;
о«Адрес отправителя пакета» (Source Address) - 128-битовый адрес отправителя пакета;
в«Адрес получателя пакета» (Destination Address) - 128-битовый адрес конечного получателя пакета, которому предназначен дан ный пакет. (Однако, возможно это - не самый последний получа тель, если в 1Ру6-пакете представлен заголовок маршрутизации.)
12.10. Заголовки расширения в 1Руб-пакете
В 1Ру6-протоколе предусмотрена доставка дополнительной (служебной) закодированной информации сетевого уровня, которая может быть размещена в 1Ру6-пакете между 1Ру6-заголовоком и за
Раздел II. |
161 |
головком верхнего уровня. Для такой доставки существует несколь ко так называемых заголовков расширения, причём каждый из них идентифицируется собственным значением в поле «Следующий заголовок». На рис. 12.12 приведены примеры нескольких заголов ков расширения в 1Ру6-пакетах.
1Ру6-заголовок |
|
|
«Следующий заголовок» |
TCP-заголовок + данные |
|
|
|
|
TCP |
|
|
1Ру6-заголовок |
Заголовок маршрутизации |
|
«Следующий заголовок» |
«Следующий заголовок» |
TCP-заголовок + данные |
|
|
|
Routing |
TCP |
|
1Ру6-заголовок |
Заголовок маршрутизации |
Заголовок фрагментации |
«Следующий заголовок» |
«Следующий заголовок» |
Фрагмент |
«Следующий заголовок» |
||
|
|
TCP-заголовка + дан |
Routing |
Fragment |
ных |
TCP |
Рис. 12.12. Примеры заголовков расширения в 1Ру6-пакетах
За одним исключением, заголовки расширения не проверяются и не обрабатываются IP-узлами на протяжении всего маршрута дос тавки 1Ру6-пакета, причём до тех пор, пока последний не достигнет IP-узла (или каждого IP-узла из группы IP-узлов, в случае групповой рассылки пакета), адрес которого содержится в поле «Адрес получа теля пакета» 1Ру6-заголовка. В данном случае при нормальном де мультиплексировании поле «Следующий заголовок» ГРуб-заголовка «запрашивает» специализированный модуль для обработки первого заголовка расширения или заголовка вышележащего уровня, если конечно заголовок расширения отсутствует. Содержание и семантика каждого заголовка расширения определяет необходимо или нет пе реходить к обработке следующего заголовка. Более того, заголовки расширения должны обрабатываться именно в том порядке, как они представлены в 1Ру6-пакете. Приёмный модуль никогда не должен, например, сканировать весь 1Ру6-пакет в поисках соответствующего типа заголовка расширения и обрабатывать найденный заголовок прежде всех остальных заголовков расширения.
Указанное выше исключение относится к заголовку «Допол нительные функции: ретрансляция» («Нор-Ьу-Нор Options»), со держащему информацию, которая должна контролироваться и об рабатываться каждым IP-узлом, расположенном на маршруте дос тавки 1Ру6-пакета, включая IP-узлы отправителя и получателя. Если такой заголовок представлен, то он должен следовать сразу же после