;IPv6首先解決了IP地址數(shù)量短缺的問題，其次，對于IPv4協(xié)議中諸多不完善之處進行了較大更改 。其中最為顯著的就是將IPSec（IPSecurity）集成到協(xié)議內(nèi)部，從此IPSec將不單獨存在，而是作為IPv6協(xié)議固有的一部分貫穿于IPv6的各個部分 。
IPv6的安全機制
IPv6的安全機制主要表現(xiàn)在以下幾個方面：（1）將原先獨立于IPv4協(xié)議族之外的報頭認證和安全信息封裝作為IPv6的擴展頭置于IPv6基本協(xié)議之中，為IPv6網(wǎng)絡實現(xiàn)全網(wǎng)安全認證和加密封裝提供了協(xié)議上的保證 。（2）地址解析放在ICMP （InternetControlMessageProtocol）層中，這使得其與ARP（Address Resolution Protocol）相比，與介質(zhì)的偶合性更小，而且可以使用標準的IP認證等安全機制 。（3）對于協(xié)議中的一些可能會給網(wǎng)絡帶來安全隱患的操作，IPv6 協(xié)議本身都做了較好的防護 。例如：因為一條鏈路上多個接口同時啟動發(fā)送鄰居請求消息而帶來的鏈路擁塞隱患，IPv6采用在一定范圍內(nèi)的隨機延時發(fā)送方法來減輕鏈路產(chǎn)生擁塞的可能，這同時也減少了多個節(jié)點在同一時間競爭同一個地址的可能 。（4）除了IPSec和IPv6本身對安全所做的措施之外，其他的安全防護機制在IPv6上仍然有效 。諸如：NAT-PT（Net Address Translate- Protocol Translate）可以提供和IPv4中的NAT相同的防護功能；通過擴展的ACL（Access Control List）在IPv6上可以實現(xiàn)IPv4 ACL所提供的所有安全防護 。另外，基于VPLS（Virtual Private LAN Segment）、VPWS（Virtual Private Wire Service）的安全隧道和VPN（Virtual Private Network）等技術(shù)，在IPv6上也可以完全實現(xiàn) 。
當然IPSec的大規(guī)模使用不可避免地會對網(wǎng)絡設備的轉(zhuǎn)發(fā)性能產(chǎn)生影響，因此，需要更高性能的硬件加以保障 ?？偟膩碚f，IPv6極大地改善了網(wǎng)絡安全現(xiàn)狀 。
IPv6安全網(wǎng)絡的架構(gòu)
IPv6網(wǎng)絡的安全性主要通過3個層面實現(xiàn)：協(xié)議安全、網(wǎng)絡安全和安全加密的硬件 。下面以中興通訊公司的IPv6路由器ZXR10系列為例，介紹如何在這3個層面實現(xiàn)IPv6網(wǎng)絡的安全性 。
協(xié)議安全
IPv6的AH（AuthenticationHeader）和ESP（EncapsulatingSecurity Payload）中的擴展頭結(jié)合多樣的加密算法可以在協(xié)議層面提供安全保證 。如圖1所示的實際組網(wǎng)方案，對路由協(xié)議報文采用了ESP加密封裝，對于 IPv6的鄰居發(fā)現(xiàn)、無狀態(tài)地址配置等協(xié)議報文采用AH認證來保證協(xié)議交互的安全性 。在AH認證方面，可以采用hmac_md5_96、 hmac_sha_1_96等認證加密算法；在ESP封裝方面，經(jīng)常采用的算法有3種：DES_CBC、3DES_CBC及Null。
鑒于目前的網(wǎng)絡環(huán)境，在實現(xiàn)上，默認手工提供密鑰配置治理的方式 。但為適應將來大規(guī)模安全網(wǎng)絡組建要求，還要同時預留IKE（Internet密鑰交換）協(xié)議接口 。圖1的路由器系統(tǒng)缺省對IPv6的PMTU（路徑最大傳輸單元）、無狀態(tài)地址自動配置以及鄰居發(fā)現(xiàn)協(xié)議中的消息進行AH頭認證 ?？膳渲檬褂?ESP封裝或者AH認證來保證路由協(xié)議報文的安全 。

在傳輸模式下，路由器對于報文的加密和認證可以有基于協(xié)議、源端口和源地址、目的端口和目的地址等多種模式 。用戶可以通過治理模塊靈活地進行配置 。
網(wǎng)絡安全
IPSec隧道和傳輸模式的各種組合應用，可以提供網(wǎng)絡各層面的安全保證 。諸如：端到端的安全保證、內(nèi)部網(wǎng)絡的保密、通過安全隧道構(gòu)建安全的VPN、通過嵌套隧道實現(xiàn)不同級別的網(wǎng)絡安全等等 。
端到端的安全保證
如圖2所示，在兩端主機上對報文進行IPSec封裝，中間路由器實現(xiàn)對有IPSec擴展頭的IPv6報文的透傳，從而實現(xiàn)端到端的安全保證 。

內(nèi)部網(wǎng)絡保密
圖3所示的內(nèi)部主機和互聯(lián)網(wǎng)上其他主機進行通信時，通過配置IPSec網(wǎng)關(guān)來保證內(nèi)部網(wǎng)絡的安全 。由于IPSec作為IPv6擴展報頭不能被中間路由器而只能被目的節(jié)點解析處理，因此，IPSec網(wǎng)關(guān)可以通過IPSec隧道的方式實現(xiàn)，或者通過IPv6擴展頭中提供的路由頭和逐跳選項頭并結(jié)合應用層網(wǎng)關(guān)技術(shù)來實現(xiàn) 。其中后者實現(xiàn)方式更加靈活，有利于提供完善的內(nèi)部網(wǎng)絡安全，但是比較復雜 。

推薦閱讀

• 

  blaaloo是華為什么型號 blaaloo是華為哪個型號
• 

  小烤箱烤6寸蛋糕時間
• 

  具體指現(xiàn)在哪里 西游記的女兒國是現(xiàn)在的什么地方
• 

  簡單說說心情致自己
• 

  XP組策略禁止gpedit.msc死鎖的解決方案
• 

  快速撥打電話號碼和查找聯(lián)系人
• 

  粉紅燒麥做法圖解 查看我的菜譜吧！
• 

  無錫事業(yè)單位可以申請技能提升補貼嗎？
• 

  圖說｜魔高一尺道高一丈！掌握這10條公式一眼識電詐
• 

  夜景燈籠怎么拍才能曝光正確
• 

  進口版xf軸距多長
• 

  iphonese2現(xiàn)在價格 瀏覽更多iphone
• 

  寶馬大燈清洗裝置如何用
• 

  etc黑名單怎么解除 etc顯示黑名單怎么回事
• 

  風色軌跡什么職業(yè)爬塔,《風色軌跡》神秘新資料片
• 

  銷售難在哪里?,土雞需求一直都在

• 關(guān)于亞索傷感名字，lol亞索傷感名字大全
• 西游記三十一回概括 關(guān)于西游記三十一回概括
• 魅族16s怎么添加安全掃碼
• 如何判斷安全玻璃
• 如何理解以人為本堅持安全生產(chǎn)
• 關(guān)于N71的一點個人看法
• 楊戩傷感的名字，關(guān)于楊戩的名字
• 西游記61到70回概括 關(guān)于西游記61到70回概括
• 西游記81到85回概括 關(guān)于西游記81到85回的內(nèi)容概括
• 關(guān)于768不銹鋼外殼的保護