演示目标:取证IPv6环境中路由器与计算机上的组播地址、节点请求组播地址。
演示环境:如下图12.64所示。
演示背景:分别在路由器R1与IPv6的计算机上启用IPv6,并分析路由器与计算机上IPv6的组播地址及请求节点组播地址的构成。
演示步骤:
第一步:在路由器R1上启动IPv6,关于启动IPv6的指令前面的演示实验中已多次讲述,这里不再重复。需要注意:只在路由器R1的E1/0接口上通过“ipv6 enable”即可,因为R1会根据E1/0接口的MAC地址自动的产生本地链路地址。如下图12.65所示:路由器R1目前有三个组播地址,FF02::1、FF02::2、FF02::1:FF80:1C、其中FF02::1表示该链路上的所有IPv6节点类似于IPv4环境中的组播地址224.0.0.1;FF02::2表示该链路上的所有IPv6的路由器接点类似于IPv4环境中的组播地址224.0.0.2;FF02::1:FF80:1C表示请求节点的多播地址,正是这个节点组播地址替代了IPv4环境中的ARP请求协议报文中的目标IP:255.255.255.255,以提高解析MAC地址的效率。而该地址的生成则是通过单播IPv6地址的后25个二进制位填充固定请求节点组播前缀FF02::1:FF而得到,单播IPv6地址的最后24位即80:1C(完整格式为80:001C;6个十六进制字符,每个十六进制字符是4个二进制位,共计24个二进制位),这与理论完全相同。
第二步:计算机上产生IPv6组播地址与节点请求地址的原理与路由器上是一样,只是在查看结果时,不是那么直观,比如当用户在微软windows/XP/2003/2008/vista上安装IPv6协议时,计算机与路由器一样,会自动生产本地链路地址,如下图12.66所示,通过Ipconfig/all指令只能看到计算机所产生的IPv6地址,无法看到计算机上的IPv6组播地址。必须在CMD命令提示符下使用IPv6 if 4指令进行查看,该指令的作用是查看IPv6的4号ID接口的信息,为什么是4号ID,在IPv6地址中的%4已明确指出,当指令执行完成会得到如下图12.67所示的结果,计算机上也有三个组播地址:ff01::1、ff02::1、ff02::1:ff4f:4f50、其中ff01::1表示计算机本地接口范围的组播地址;ff02::1表示该链路上的所有IPv6节点类似于IPv4环境中的组播地址224.0.0.1;ff02::1:ff4f:4f50是请求节点组播地址,该地址的来源在理论部分有详细描述,这里不再重复。
本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1337748,如需转载请自行联系原作者
