IPv6 sadrumstalotības paplašinājuma galvene tiek izmantota, ja pakete pārsniedz saites maksimālo pārraides lielumu (MTU) piegādes ceļā. Sadrumstalotība sadala sākotnējo paketi mazākos fragmentos, kurus var pārsūtīt pa saiti, nepārsniedzot MTU.
Raksta beigās jūs atradīsiet nelielu pārbaude kas jums ļaus noteikt šajā lasījumā iegūtās zināšanas
Sadrumstalotība
Kad IPv6 pakete ir sadrumstalota, fragmentācijas galvene tiek pievienota katra ģenerētā fragmenta sākumam. Fragmenti tiek pārsūtīti atsevišķi tīklā un pēc tam atkārtoti samontēti galamērķa mezglā.
Ir svarīgi atzīmēt, ka sadrumstalotība IPv6 nav tik izplatīta kā IPv4. IPv6, kad vien iespējams, priekšroka tiek dota maršrutēšanai bez sadrumstalotības. Tas nozīmē, ka mezgli un maršrutētāji šajā ceļā ir jākonfigurē, lai apstrādātu pilna MTU izmēra paketes, nevis tās sadrumstalotu.
Ja pakete pārsniedz saites MTU, avota mezglam ir jāmēģina atklāt alternatīvu ceļu vai jāizmanto MTU atklāšanas metodes, lai izvairītos no sadrumstalotības.
Svarīgi aspekti
Starp svarīgākajiem sadrumstalotības aspektiem mēs varam detalizēti minēt šādus:
Sadrumstalotība avota mezglā
IPv6 fragmentācija parasti tiek veikta avota mezglā, kad tiek ģenerēta pakete, kas pārsniedz izejošās saites MTU. Avota mezgls sadala paketi mazākos fragmentos un katram fragmentam pievieno fragmentācijas paplašinājuma galveni.
Katram fragmentam ir sava sadrumstalotības galvene ar tādu informāciju kā fragmentu nobīde un karodziņš Vairāk fragmentu.
Sadrumstalotība tranzītā
Atšķirībā no IPv4, kur maršrutētāji var fragmentēt paketes tranzītā, IPv6 maršrutētājiem nav atļauts fragmentēt paketes. Tas ir pazīstams kā “maršrutēšana bez sadrumstalotības”. Maršrutētāji vienkārši nomet IPv6 paketes, kas pārsniedz saites MTU, nevis sadrumstalo tās. Tas samazina maršrutētāju apstrādes slodzi un uzlabo tīkla efektivitāti.
Savākšana un atkārtota montāža
Fragmentu atkārtota montāža tiek veikta galamērķa mezglā. Galamērķa mezgls izmanto paketes ID un lauku Fragmentu nobīde, lai savāktu saistītos fragmentus un atkārtoti apkopotu sākotnējo paketi. Vairāk fragmentu karodziņš tiek izmantots, lai noteiktu, kad ir saņemts pēdējais fragments un kad var pabeigt montāžu.
Sadrumstalošana dažādās saitēs
Ja IPv6 paketei ir jāpāriet pāri saitēm ar dažādiem MTU, var rasties ķēdes sadrumstalotība. Šajā gadījumā avota mezgls fragmentēs sākotnējo paketi fragmentos, kas atbilst katras ceļa saites MTU. Pēc tam maršrutētāji tikai pārsūtīs fragmentus, neveicot papildu sadrumstalotību.
Sadrumstalošanas iespējas
IPv6 ietver arī sadrumstalotības iespēju, ko sauc par “Jumbo Payload Option”. Šī opcija tiek izmantota, lai nosūtītu paketes, kas pārsniedz maksimālo lielumu, ko pieļauj MTU lielākajai daļai saišu. Jumbo kravnesības opcija ļauj fragmentēt un atkārtoti salikt paketes, kuru izmērs ir līdz 4 GB.
Sadrumstalotība un pakalpojuma kvalitāte (QoS)
IPv6 sadrumstalotība var ietekmēt pakalpojuma kvalitāti. Sadalot paketi, daļa no pakalpojuma kvalitātes informācijas, kas bija sākotnējā paketē, var tikt zaudēta. Tas var izraisīt veiktspējas pasliktināšanos un fragmentu prioritāšu noteikšanu atkārtotas montāžas laikā galamērķa mezglā.
Ceļš MTU atklājums (PMTUD)
Lai izvairītos no sadrumstalotības IPv6, tiek izmantots Path MTU Discovery mehānisms. PMTUD ļauj avota mezgliem pielāgot pakešu izmērus piegādes ceļā, izmantojot zemāko atrasto MTU. Tas novērš sadrumstalotību un nodrošina efektīvu pārraidi bez pakešu zuduma.
Sadrumstalotības problēmas
Sadrumstalotība IPv6 tīklā var radīt dažus ierobežojumus un problēmas:
- Apstrādes izmaksas: Fragmentu atkārtotai salikšanai galamērķa mezglā var būt nepieciešami papildu apstrādes un atmiņas resursi.
- Drošības problēmas: Sadrumstalošanu var izmantot pakalpojumu liegšanas (DoS) uzbrukumos un ļaunprātīgas trafika slēpšanas paņēmienos. Lai mazinātu šos riskus, dažas ierīces un tīkli var bloķēt vai filtrēt fragmentus.
- MTU atklājums: Tā kā IPv6 maršrutētāji nefragmentē paketes, ir svarīgi, lai avota mezgli veiktu MTU atklāšanu, lai piegādes ceļā noteiktu atbilstošo MTU. Tas novērš sadrumstalotību un nodrošina labāku pakešu pārraides efektivitāti.
Ņemiet vērā: lai gan IPv6 sadrumstalotība ir iespējama, ieteicams no tās izvairīties, kad vien iespējams. Maršrutēšana bez sadrumstalotības un pareiza MTU atklāšanas izmantošana ir ļoti svarīga, lai nodrošinātu optimālu veiktspēju un samazinātu tīkla sarežģītību.
Autentifikācija
Autentifikācijas paplašinājuma galvene nodrošina IPv6 pakešu autentifikācijas un integritātes pārbaudes mehānismu. Šī galvene ir novietota aiz IPv6 paplašinājuma galvenes un pirms lietderīgās slodzes galvenes. Tās galvenais mērķis ir nodrošināt, lai pārraides laikā netiktu mainīta paketes izcelsme un/vai saturs.
Autentifikācijas process IPv6 ar paplašinājuma Autentifikācijas galveni ietver paketes avotu, kas ģenerē ciparparakstu vai ziņojuma autentifikācijas kodu, izmantojot koplietojamo slepeno atslēgu vai asimetrisko atslēgu. Pakešu saņēmējs var pārbaudīt paketes autentiskumu un integritāti, izmantojot to pašu atslēgu.
Scenāriji
Autentifikācijas paplašinājuma galveni var izmantot dažādos scenārijos un lietojumprogrammās, kurām nepieciešams augsts drošības un autentifikācijas līmenis. Tālāk ir norādīti daži gadījumi, kad var izmantot šo galveni.
- Virtuālie privātie tīkli (VPN): VPN vidēs, kur tiek izveidoti droši savienojumi, izmantojot publiskos tīklus, to var izmantot, lai garantētu caur VPN ceļojošo pakešu autentiskumu. Tas nodrošina, ka pakotnes nāk no uzticamiem avotiem un tās sūtīšanas laikā nav mainītas.
- Konfidenciāla saziņa: Kad tiek pārsūtīti konfidenciāli vai sensitīvi dati, piemēram, finanšu vai medicīniskā informācija, tie tiek izmantoti, lai pārbaudītu, vai dati nav mainīti un ir iegūti no paredzamā avota. Tas nodrošina papildu drošības līmeni un nodrošina pārsūtīto datu integritāti.
- Pikšķerēšanas uzbrukumu novēršana: To izmanto, lai novērstu pikšķerēšanas uzbrukumus. Autentificējot IPv6 paketes, varat nodrošināt, ka tās nāk no pareiziem avotiem, un izvairīties no viltotu pakešu pieņemšanas.
- Integritātes pārbaude kritiskās lietojumprogrammās: Vidēs, kur datu integritāte ir kritiska, piemēram, rūpnieciskās kontroles sistēmās vai kritiskā infrastruktūrā, palīdzot nodrošināt, ka komandas un kontroles dati sūtīšanas laikā nav mainīti un nāk no autorizētiem avotiem.
Svarīgi ir tas, ka, lai izmantotu Autentifikācijas paplašinājuma galvenes, ir nepieciešams atbilstošs atslēgu pārvaldības mehānisms un drošības infrastruktūra. Turklāt gan avotam, gan uztvērējam jāspēj veikt nepieciešamās autentifikācijas darbības un koplietot atbilstošo slepeno vai publisko atslēgu.
Iekapsulēšanas drošības kravnesība
Paplašinājuma galvene Iekapsulēšanas drošības kravnesība (ESP) To izmanto, lai nodrošinātu IPv6 pakešu drošības pakalpojumus, piemēram, konfidencialitāti, integritāti un autentifikāciju. ESP galvene tiek novietota aiz IPv6 paplašinājuma galvenes un pirms pakešu derīgās slodzes. Tās galvenais mērķis ir aizsargāt pakešdatus no nesankcionētas piekļuves un manipulācijām pārraides laikā.
ESP paplašinājuma galvene ļauj avota un mērķa sistēmām vienoties par kriptogrāfijas algoritmiem un drošības parametriem, ko izmanto, lai aizsargātu sakarus. Sistēmas var vienoties izmantot simetrisku vai asimetrisku šifrēšanu, kā arī autentificēt ziņojumus, izmantojot kriptogrāfiskās jaucējfunkcijas.
Izmantojot ESP paplašinājuma galveni, varat nodrošināt sensitīvus sakarus, aizsargāt datu privātumu un novērst noklausīšanās un manipulācijas uzbrukumus. Tomēr tā ieviešanai ir nepieciešama pareiza konfigurācija un administrēšana, tostarp šifrēšanas un autentifikācijas atslēgu izveide un pārvaldība.
ESP paplašinājuma galvenes funkcijas
Šai galvenei ir šādas īpašības:
- Integrācija ar citiem drošības pakalpojumiem: ESP galveni var izmantot kopā ar citiem drošības pakalpojumiem, lai nodrošinātu papildu aizsardzības līmeni. Piemēram, to var apvienot ar VPN (virtuālā privātā tīkla) izmantošanu, lai izveidotu drošus savienojumus starp tīkliem vai izmantotu kopā ar ugunsmūriem un ielaušanās atklāšanas un novēršanas sistēmām, lai pastiprinātu tīkla drošību.
- Cveiktspējas apsvērumi: ESP paplašinājuma galvenes izmantošana ietver papildu apstrādi tīkla ierīcēs, kas var ietekmēt sakaru veiktspēju. Datu šifrēšanai un autentifikācijai izmantotie kriptogrāfijas algoritmi var prasīt ievērojamus skaitļošanas resursus, jo īpaši intensīvas satiksmes vidēs. Tāpēc, ieviešot ESP galveni, ir svarīgi ņemt vērā līdzsvaru starp drošību un tīkla veiktspēju.
- Atslēgu pārvaldības un drošības politikas: Lai ieviestu ESP paplašinājuma galvenes, ir pareizi jāpārvalda šifrēšanai un autentifikācijai izmantotās drošības atslēgas. Tas ietver atslēgu ģenerēšanu, izplatīšanu un drošu glabāšanu, kā arī drošības politiku izveidi to pārvaldībai un atjaunināšanai. Pareiza atslēgu pārvaldība ir būtiska, lai nodrošinātu ar ESP galveni aizsargāto datu konfidencialitāti un integritāti.
- Atbilstība standartiem: ESP paplašinājuma galvene atbilst standartiem, ko definējusi Internet Engineering Task Force (IETF) RFC 4303. Ir svarīgi ņemt vērā standartos noteiktās prasības un ieteikumus, lai nodrošinātu sadarbspēju un drošību ESP galvenes ieviešanā.
Īsa zināšanu viktorīna
Ko jūs domājat par šo rakstu?
Vai uzdrošināties novērtēt savas apgūtās zināšanas?
Ieteicamā grāmata šim rakstam
IPv6 grāmata ar MikroTik, RouterOS v7
MTCIPv6E sertifikācijas kursa mācību materiāls atjaunināts uz RouterOS v7