第二章 互联网技术(4)
6、以前的互联网安全机制建立于应用程序级,IPSec在网络层提供安全性。
IPSec提供认证和加密两种安全机制。
IPSec包括AH认证头,ESP封装安全负载,IKE internet密钥交换协议。
AH协议为IP通信提供数据源认证、数据完整性和反重播保证,免受篡改,不防窃听。
ESP用于确保IP数据包的机密性、数据的完整性及对数据源的身份验证,提供可靠性。
每一个IPSec结点都有一个安全策略库(SPD),据其对IP流的处理:拒绝、绕过或进行IPSec保护。
7、IPv6新特性:巨大的地址空间,全新的报文结构,全新的地址配置方式,更好的QoS支持,内置的安全性,全新的邻居发现协议。 支持手工地址配置和有状态自动地址配置,无状态地址配置。 邻居发现用组播代替ARP。
地址格式:首选格式、压缩格式和内嵌格式。
邻居发现协议通过交换ICMPv6实现,不同的报文:路由器请求RS,133的ICMP包;路由器公告RA,134的ICMP包;邻居请求NS,135;邻居公告NA,136。
IPv6地址自动配置分为无状态地址自动配置和有状态地址自动配置。
IPv4向IPv6的过渡技术有隧道技术、双栈技术和地址翻译技术。