TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))

IP选项

  • 当时处于IPv4设计阶段,Internet的规模相当小,对来自恶意用户的威胁关注较少
  • 由于IPv4头部大小的限制以及相关的安全问题,因此很多选项不再是实用或可取的。在IPv6中,大部分选项已被删除或改变,不再是IPv6基本头部的一部分,而被放在IPv6头部之后的一个或多个扩展头部中
  • IP路由器接收到一个包含选项的数据报,通常需要对该数据报进行特殊处理。在某些情况下,尽管IPv6路由器可以处理扩展头部,但很多头部被设计为仅由终端主机处理。 在有些路由器中,带选项或扩展的数据报不会像普通数据报那样被快速转发

一、IPv4选项

  • 这个完整的列表会定期更新,并可在[IPPARAM]中在线查看。选项的范围总是以32位为界。如果有必要,数值0作为填充字节被添加。这确保IPv4头部始终是32位的倍数(IHL字段的要求)
  • “编号”列是选项编号
  • “值”列给出了放在类型字段中的编号,以表示该选项的存在
  • 由于类型字段有另外的结构,所以这两列中的相应值不必相同。特别指出的是,第1 (高序) 位表示如果相关数据报被分片,该选项是否被复制到分片中。后面2位表示该选项的类别。 目前,除了“时间戳”和“跟踪”使用类别2 (调试和测量)外,表5-4中的所有选项使用类 别0(控制)。类别1和3被保留。

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第1张图片

目前,多数标准化选项在Internet中很少或从未使

  • 例如,源路由和记录路由选项需要将IPv4地址放在IPv4头部中。由于头部(总计60字节,其中20字节是基本IPv4头部) 空间有限,这些选项在当前基于IPv4的Internet中用处不大,其中一条Internet路径的平均路由器跳步数约为15
  • 另外,这些选项主要用于诊断目的,它们为防火墙的构建带来麻烦和风险。因此,IPv4选项通常在企业网络边界处被防火墙拒绝或剥离
  • 在企业网络内部,路径的平均长度更小,对恶意用户的防护可能考虑得更少,这些选项仍然可以使用
  • 另外,路由器警告选项提示可能由于在Internet上使用其他选项而有异常问题。由于它的设计目标主要是优化性能,并不会改变路由器的基本行为,所以该选项通常比其他选项更常用。正如前面所提到的,有些路由器会实现高度优化的内部路径,用于那些不包含选项的IP流量转发。路由器警告选项用于通知路由器,一个分组需使用超出常规的转发算法来处理
  • 实验性的“快速启动”选项适用于IPv4和IPv6,我们将在后面讨论IPv6扩展头部和选项时介绍它

二、IPv6扩展头部

  • IPv6扩展头部:在IPv6中,那些由IPv4选项提供的特殊功能,通过在IPv6头部之后增加扩展头部实现。IPv4路由和时间戳功能都采用这种方式,其他功能(例如分片和超大分组)很少在IPv6 中使用(但仍需要),因此没有为它们在IPv6头部分配相应的位
  • 基于这种设计,IPv6头部固定为40字节,扩展头部仅在需要时添加。在选择IPv6头部为固定大小时,要求扩展头部仅由终端主机(仅有一个例外)处理,IPv6设计者简化了高性能路由器的设计和实现,这是因为IPv6路由器处理分组所需的命令比IPv4简单
  • 实际上,分组处理性能受很多因素影响,包括协议复杂性、路由器硬件和软件功能,以及流量负载等

扩展头部结构

  • 扩展头部和更高层协议(例如TCP或UDP)头部与IPv6头部链接起来构成级联的头部(如下图)

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第2张图片

IPv6“下一个头部字段”值

  • 每个头部中的下一个头部字段表示紧跟着的头部的类型,它可能是一个 IPv6扩展头部或其他类型。值59表示这个头部链的结尾
  • 我们从表5-5中可以看到,IPv6扩展头部机制将一些功能(例如路由和分片)与选项加以区分。除了“逐跳选项”的位置之外(它是强制性的),扩展头部的顺序是建议性的,因此一个IPv6实现必须按接收的顺序处理扩展头部。只有“目的地选项”头部可以使用两次,第一次是指出包含在IPv6头部中的目的IPv6地址,第二次(位置8)是关于数据报的最终目的地。在某些情况下(例如使用路由头部),当数据报被转发到最终目的地时,IPv6头部 中的目的IP地址字段将会改变

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第3张图片

三、IPv6选项

  • 相对于IPv4,IPv6提供了一种更灵活和可扩展的方式,将扩展和选项相结合
  • 由于IPv4头部空间的限制,那些来自IPv4的选项已停止使用,而IPv6可变长度 的扩展头部或编码在特殊扩展头部中的选项可适应当前更大的Internet
  • 如果选项存在,可放人逐跳选项(与一个数据报传输路径上的每个路由器相关)或目的地选项(仅与接收方相关)。逐跳选项(称为HOPOPT)是唯一由分组经过的每个路由器处理的选项。逐跳选项和目的地选项的编码格式一样

TLV结构

  • 逐跳选项和目的地选项头部的出现可以超过一次。这些选项均被编码为类型一长度一值 (TLV)集合,如下图所示

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第4张图片

  • TLV结构如图所示,它的长度为2字节,后面是可变长度的数据字节
  • 第一字节表示选项类型,其中包括3个子字段。当5位的类型子字段无法由选项识别时,第一个子字段给出了一个IPv6节点尝试执行的动作。表5-6显示了所有可能的值

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第5张图片

IPv6选项

  • 如果一个发往组播目的地的数据报中包括一个未知选项,那么大量节点将生成返回源节点的流量。这可通过将动作子字段设置为11来避免。动作子字段的灵活性在开发新的选项时是有用的。一个新的选项可携带在一个数据报中,并被那些无法理解它的路由器所忽略,这样有助于促进新选项的增量部署。当选项数据可能在数据报转发过程改变时,改变位字段 (图5-7中的Chg)设置为1。表5-7中所示的选项已被IPv6定义。

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第6张图片

填充1和填充N选项

  • 由于IPv6选项需要与8字节的偏移量对齐,因此较小的选项用0填充到长度为8字节。 这里有两个填充选项,分别称为填充1和填充N。填充1选项(类型0)是唯一缺少长度字段和值字段的选项。它仅有1字节长,取值为0。填充N选项(类型1)向头部的选项区域 填充2字节或更多字节,它使用图5-7所示格式。对n″个填充字节,选项数据长度字段包含的值为(n-2)

IPv6超大有效载荷选项

  • 在某些TCP/IP网络中,例如那些用于互连超级计算机的网络,由于正常的64KB的IP数据报大小限制,在传输大量数据时会导致不必要的开销。IPv6超大有效载荷选项指定了 一种有效载荷大于65 535字节的IPv6数据报,称为超大报文。这个选项无法由MTU小于64kB的链路连接的节点来实现。超大有效载荷选项提供了一个32位的字段,用于携带有效载荷在65535 - 4294967295字节之间的数据报
  • 当一个用于传输的超大报文形成时,其正常负栽长度字段被设置为0。我们将在后面看到,TCP协议使用负载长度字段,计算由前面所述的Internet校验和算法得到的校验和。当使用超大有效载荷选项时,TCP必须使用来自选项的长度值,而不是基本头部中的长度字段值。虽然这个过程并不困难,但更大有效载荷使得未检测出错误的可能性增大

隧道封装选项

  • 隧道是指将一个协议封装在另一个协议中。例如,IP数据报可能 被封装在另一个IP数据报的有效载荷部分。隧道可用于形成虚拟的覆盖网络,在覆盖网络中,一个网络(例如Internet)可作为另一个IP的链路层使用。隧道可以嵌套,从这个意义上来说,一条隧道中的数据报本身也可采用递归方式封装在另一条隧道中
  • 在发送一个IP数据报时,发送者通常无法控制最终用于封装的隧道层次。发送者可使用这个选项设置一个限制。一台路由器打算将一个IPv6数据报封装在一条隧道中,它首先检查隧道封装限制选项是否存在并置位。如果这个限制选项的值为0,该数据报被丢弃,并将一个“ICMPv6参数问题”消息发送到数据报源端(即之前的隧道人口点)。 如果这个限制选项的值不为0,该数据报可进行隧道封装,但新形成(封装)的IPv6数据报必须包括一个隧道封装限制选项,其值比封装之前的数据报中的封装限制选项值减1。实际上,封装限制行动类似于IPv4的TTL和IPv6的跳数限制字段,只不过采用隧道封装层次代替转发跳步

路由器警告选项

  • 路由器警告选项指出数据报包含需要路由器处理的信息。它与IPv4的路由器警告选项的目的相同。 [RAOPTS]给出了这个选项的当前设置值

快速启动选项

  • 快速启动(QS)选项和[RFC4782]定义的TCP/IP实验性“快速启动”程序配合使用。 它适用于IPv4和IPv6,但目前建议仅用于专用网络,而不是全球性的Internet。选项包括发送者需要的以比特/秒为单位的传输速率的编码值、 QS TTL值和一些额外信息。如果沿途的路由器认为可以接受所需的速率,在这种情况下它们将递减QS TTL,并在转发数据报时保持所需的速率不变。如果路由器不同意(即其支持的速率较低),它将该速率减小到一个可 接受的速率。如果路由器不能识别QS选项,它将不递减QS TTLo接收方将向发送方提供反馈,包括接收到的数据报的IPv4TTL或IPv6跳数限制字段和自已的QSTTL之间的差异, 以及获得的速率可能被沿途的路由器所调整。这个信息被发送方用于确定发送速率(否则可能超出TCP使用的速率)。对TTL值进行比较的目的是确保沿途每台路由器参与QS谈判。 如果发现任何路由器递减IPv4TTL (或IPv6跳数限制)字段,但没有修改QS TTL值,则说明它没有启用QS

CALIPSO选项

  • 这个选项用于在某些专用网络中支持通用体系结构标签IPv6安全选项(CALIPSO)。它提供了一种为数据报做标记的方法,包括一个安全级别标识符和一些额外的信息。需要注意的是,它用于多级安全网络环境(例如,政府、军队和银行),其中所有数据的安全级别必须以某种形式的标签注明

家乡地址选项

  • 当使用IPv6移动选项时,这个选项保存发送数据报的IPv6节点的“家乡”地址。移动 IP规定了IP节点的一系列处理过程,这些节点可能改变自已的网络接人点,同时不会断开自已的高层网络连接。这里存在一个节点的“家乡”的概念,它来自其典型位置的地址前缀。当远离家乡漫游时,通常为该节点分配一个不同的IP地址。该选项允许这个 节点提供自已正常的家乡地址,以及它在漫游时的新地址(通常是临时分配)。当其他IPv6 节点需要与移动节点通信时,它可以使用该节点的家乡地址。如果家乡地址选项存在,包含它的目的地选项头部必须出现在路由头部之后,并且在分片、认证和ESP头部之前(如果这些头部也存在)。我们将在移动IP中详细讨论这个选项

四、IPv6扩展头部之路由头部

  • IPv6路由头部为发送方提供了一种IPv6数据报控制机制,以控制(至少部分控制)数 据报通过网络的路径
  • 目前,路由扩展头部有两个不同版本,分别称为类型0 (RHO)和类型2 (RH2)
  • RHO出于安全方面的考虑已被否决[RFC5095],RH2被定义为与移动IP共同 使用。为了更好地理解路由头部,我们首先讨论RHO,然后研究它为什么被放弃,以及它和 RH2的不同之处。RHO规定了数据报转发时可“访问”的一个或多个IPv6节点。图5-8显 示了这个头部

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第7张图片

  • 图中所示的IPv6路由头部涵盖了来自IPv4的宽松源路由和记录路由选项。它还支持 圃 采用IPv6地址之外的其他标识符路由的可能性,这个功能是不规范的,这里没有进一步讨 论。对于标准化的IPv6地址的路由, RHO允许发送方指定一个指向目的地址的向量
  • 这个头部包含一个8位的路由类型标识符和一个8位的剩余部分字段。对于RHO, IPv6 地址类型标识符为0 ;对于RH2,该标识符为2。剩余部分字段指出还有多少段路由需要处 理,也就是说,在到达最终目的地之前仍需访问的中间节点数。它是一个32位的从保留字 段开始的地址块,由发送方设置为0,并由接收方忽略。在数据报转发时,这些地址并非可 访间的组播IPv6地址
  • IPv6路由头部在转发过程中不会处理,直至目的IP地址字段中包含的地址所在的节 点。这时,剩余部分字段用于确定来自地址向量的下一跳地址,并将该地址与IPv6头部中 的目的IP地址字段交换。因此,在这个数据报转发过程中,剩余部分字段将会变得越来越 小,头部中的地址列表反映转发数据报的节点地址。这个转发过程可通过一个例子更好地理 解(见图5-9)

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第8张图片

  • 在图5-9中,我们可看到中间节点如何处理路由头部。发送方(s)使用一个目的地址 Rl以及一个包含地址R2、 R3和D的路由头部(类型0)来构造数据报。数据报的最终目的 地是列表中的最后一个地址(D)。剩余部分字段(在图5-9中标为“Left”)从3开始。数据 圃 报由s和Ro自动向Rl转发。由于Ro的地址在数据报中不存在,因此Ro没有修改路由头部 或地址。当数据报到达Rl时,将基本头部的目的地址和路由头部的第一个地址交换,并将 剩余部分字段递减1
  • 当数据报被转发时,重复上述将目的地址与路由头部地址列表中下一个地址交换的过 程,直至路由头部中的最后一个目的地址为止

演示案例

通过Windows XP中的一个简单的ping6命令( Windows Vista和更高版本只提供ping 命令,其中包括对IPv6的支持)的选项,可设置包含一个路由头部:

  • 当向2001:db8::100发送一个ping请求时,这个命令使用源地址2001:db8::1000 。-r选项 用于包含一个路由头部(RHO )。我们可使用Wireshark来查看输出请求

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第9张图片

  • ping消息显示为一个ICMPv6回显请求分组(见第8章)。通过查看下一个头部字段的 值,我们看到在基本头部后面跟着一个路由头部。在路由头部中,我们看到其类型为0 (表 示为RHO),还剩余一个网段(跳步)需处理。这个跳步由地址列表(编号0)中的第一个值 指定‥ 2001:db8::1000
  • 正如前面提到的,出于安全方面的担心, RHO已在[RFC5095]中被废弃,因为RHO可 用于增加DoS攻击效果o RHO的问题是允许在路由头部的多个位置指定相同地址。这可能 导致流量在一条特定路径上的两台或多台主机或路由器之间重复转发。大量的流量负载可能 在网络中沿着特定路径创建,与相同路径上的其他流量竟争带宽而造成干扰。因此, RHO目前已过时, IPv6唯一支持的路由头部是RH2。RH2与RHO基本相当,区别在于它只容纳一 个地址,而且在路由类型字段中使用的值不同

五、IPv6扩展头部之分片头部

  • 功能:分片头部用于IPv6源节点向目的地发送一个大于路径MTU的数据报
  • 对于路径 MTU以及如何确定它,我们将在后面详细讨论,但1280字节是整个网络中针对 IPv6定义的链路层最小MTU
  • 节)。在IPv4中,如果数据报大小超 过下一跳MTU,任何主机或路由器可将该数据报分片, IPv4头部中第二个32位字段表示 分片信息。在IPv6中,仅数据报的发送者可以执行分片操作,在这种情况下需要添加一个分片头部

分片头部

  • 分片头部包括的信息与IPv4头部中的相同,只不过标识符字段是32位,而不是IPv4 中采用的16位。这个更大的字段提供了在网络中容纳更多分片的能力。下图显示了分片 头部采用的格式

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第10张图片

  • 在图中,保留字段和2位的Res字段都为0,并且都会被接收方所忽略。分片偏移 字段表明数据以8字节为单位的偏移量放置在分片头部之后(相对于原始IPv6数据报的“可分片部分”,见下一段)。如果M位字段设置为1,表示在数据报中包含更多分片。如果该值 为0,表示该分片是原始数据报的最后一个分片

可分部分与不可分部分:

在分片过程中,输人的数据报称为“原始数据报”,它由两部分组成: “不可分片部分” 和“可分片部分”

  • 不可分片部分包括IPv6头部和任何在到达目的地之前需由中间节点处 理的扩展头部(即包括路由头部之前的所有头部,如果有逐跳选项扩展头部,则是该头部 之前的所有头部)
  • 可分片部分包括数据报的其余部分(即目的选项头部、上层头部和有效 载荷数据)

分片的过程

  • 当原始数据报被分片后,将会产生多个分片,其中每个分片都包含一个原始数据报中不可分片部分的副本,但是需要修改每个IPv6头部的负栽长度字段,以反映它所描述的分片的大小。在不可分片部分之后,每个新的分片都包含一个分片头部,其中包含一个分片相应的分片偏移字段(例如第一个分片的偏移量为0),以及一个原始分组的标识符字段的副本。 最后一个分片的M (更多分片)位字段设置为0
  • 分片头部中的偏移量字段以8字节为单位,因此分片需要在8字节的边界处进行,这就是第一个和第二个分片包含1448字节,而不是1452字节的原因。因此,除了最后一个分 片之外的所有分片都是8字节的倍数(最后一个分片也可能是)。接收方在对分片进行重组之前,必须确保已接收原始数据报的所有分片。重组过程需要聚合所有分片以形成原始数据 报。与IPv4分片一样,分片可能不接顺序到达接收方,但需要按顺序重组为一 个数据报,以便交给高层的其他协议处理

分片的图示案例

  • 下面的例子演示了IPv6源节点对数据报的分片过程。在图所示的例子中,一个 3960字节的有效载荷被分片,其中分片的大小都没有超过1500字节(一个典型的以太网 MTU),分片数据的大小仍为8字节的倍数
  • 在图中,我们看到较大的原始数据报被分为3个较小的分片,每个分片都包含一 个分片头部。IPv6头部的负载长度字段被修改,以反映数据和新生成的分片头部的大小。每 个分片中的分片头部包含一个公共标识符字段,以确保网络中不同的原始数据报在其生存期内不会被分配相同的标识符字段值

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第11张图片

分片的演示案例

  • 下图我们看到分片由4个发送到IPv6组播地址ff01::2的ICMPv6回显请求消息构成。每个请求都需要分片, -1 3952选项表示3952字节的数据携带在每个ICMPv6消息 的数据区中(由于有8字节的ICMPv6头部,因此生成的IPv6负载长度是3960字节)。为了 确定目的地的链路层组播地址,需要执行一个针对IPv6的特定映射过程,见第9章中的相关信息。ICMPv6回显请求(由ping程序生成)被分散在几个分片中, Wireshark可显示所有 分片的重组过程。图5-14显示了第二个分片的细节
  • 在图5-14中,正如预期的那样,我们看到了IPv6头部以及负载长度为1448字节。下 一个头部字段包含一个值44 (0x2c),我们通过表5-5可以知道,它表示在IPv6头部之后跟 着一个分片头部。分片头部指出下一个头部为ICMPv6,这意味着没有更多的扩展头部。偏 移量字段为181,表示这个分片包含原始数据报中从字节偏移量1448开始的数据。由于 更多分片字段设置为1 (在Wireshark中显示为Yes),所以我们知道它不是最后一个分片。 图5-15显示了ICMPv6回显请求数据报的最后一个分片。

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第12张图片

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第13张图片

  • 在图5-15中,我们看到偏移量字段值为362,它是以8字节为单位的,也就是说,它相 对于原始数据报的字节偏移量为362*8 = 28960总长度字段值为1072,其中包括8字节的分 片头部o wireshark为我们计算了分片方式,第一个分片和第二个分片分别包含第一组和第二 组的1448字节,最后一个分片包含1064字节。总的来说,分片过程增加了40*2+8*3= 104 宇节(2个额外的IPv6头部和每个分片有8字节的分片头部),它们需要由网络层携带。如果 加上链路层的开销,总计104 +(2*18)= 140字节(每个以太网帧包括一个14字节的头部和 一个4字节的CRC)

TCP/IP卷一:27---Internet协议之(IPv4选项、IPv6选项(IPv6扩展头部))_第14张图片

你可能感兴趣的:(TCP/IP卷一)