對(duì)于IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)這個(gè)新的網(wǎng)絡(luò)準(zhǔn)則，相對(duì)于IPv4版本的網(wǎng)絡(luò)協(xié)議在諸多方面有所改進(jìn)?，F(xiàn)在我們將對(duì)IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)中的連網(wǎng)方式和網(wǎng)絡(luò)加密方式進(jìn)行一個(gè)深入的探討。通過文章內(nèi)容，望大家對(duì)這兩方面內(nèi)容能有所掌握。

即插即用的連網(wǎng)方式

IPv6把自動(dòng)將IP地址分配給用戶的功能作為標(biāo)準(zhǔn)功能。只要機(jī)器一連接上網(wǎng)絡(luò)便可自動(dòng)設(shè)定地址。它有兩個(gè)優(yōu)點(diǎn)。一是最終用戶用不著花精力進(jìn)行地址設(shè)定，二是可以大大減輕網(wǎng)絡(luò)管理者的負(fù)擔(dān)。IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)有兩種自動(dòng)設(shè)定功能。一種是和IPv4自動(dòng)設(shè)定功能一樣的名為“全狀態(tài)自動(dòng)設(shè)定”功能。另一種是“無狀態(tài)自動(dòng)設(shè)定”功能。

在IPv4中，動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol，DHCP）實(shí)現(xiàn)了主機(jī)IP地址及其相關(guān)配置的自動(dòng)設(shè)置。一個(gè)DHCP服務(wù)器擁有一個(gè)IP地址池，主機(jī)從DHCP服務(wù)器租借IP地址并獲得有關(guān)的配置信息（如缺省網(wǎng)關(guān)、DNS服務(wù)器等），由此達(dá)到自動(dòng)設(shè)置主機(jī)IP地址的目的。IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)繼承了IPv4的這種自動(dòng)配置服務(wù)，并將其稱為全狀態(tài)自動(dòng)配置（Stateful Autoconfiguration）。

在無狀態(tài)自動(dòng)配置（Stateless Autoconfiguration）過程中，主機(jī)首先通過將它的網(wǎng)卡MAC地址附加在鏈接本地地址前綴1111111010之后，產(chǎn)生一個(gè)鏈路本地單點(diǎn)傳送地址。接著主機(jī)向該地址發(fā)出一個(gè)被稱為鄰居發(fā)現(xiàn)（neighbor discovery）的請(qǐng)求，以驗(yàn)證地址的唯一性。

如果請(qǐng)求沒有得到響應(yīng)，則表明主機(jī)自我設(shè)置的鏈路本地單點(diǎn)傳送地址是唯一的。否則，主機(jī)將使用一個(gè)隨機(jī)產(chǎn)生的接口ID組成一個(gè)新的鏈路本地單點(diǎn)傳送地址。然后，以該地址為源地址，主機(jī)向本地鏈路中所有路由器多點(diǎn)傳送一個(gè)被稱為路由器請(qǐng)求（ router solicitation）的配置信息。路由器以一個(gè)包含一個(gè)可聚集全球單點(diǎn)傳送地址前綴和其它相關(guān)配置信息的路由器公告響應(yīng)該請(qǐng)求。主機(jī)用它從路由器得到的全球地址前綴加上自己的接口ID，自動(dòng)配置全球地址，然后就可以與Internet中的其它主機(jī)通信了。使用無狀態(tài)自動(dòng)配置，無需手動(dòng)干預(yù)就能夠改變網(wǎng)絡(luò)中所有主機(jī)的IP地址。

例如，當(dāng)企業(yè)更換了聯(lián)入Internet的ISP時(shí)，將從新ISP處得到一個(gè)新的可聚集全球地址前綴。ISP把這個(gè)地址前綴從它的路由器上傳送到企業(yè)路由器上。由于企業(yè)路由器將周期性地向本地鏈路中的所有主機(jī)多點(diǎn)傳送路由器公告，因此企業(yè)網(wǎng)絡(luò)中所有主機(jī)都將通過路由器公告收到新的地址前綴，此后，它們就會(huì)自動(dòng)產(chǎn)生新的IP地址并覆蓋舊的IP地址。

使用IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)中的DHCPv6進(jìn)行地址自動(dòng)設(shè)定，連接于網(wǎng)絡(luò)的機(jī)器需要查詢自動(dòng)設(shè)定用的DHCP服務(wù)器才能獲得地址及其相關(guān)配置?？墒?，在家庭網(wǎng)絡(luò)中，通常沒有DHCP服務(wù)器，此外在移動(dòng)環(huán)境中往往是臨時(shí)建立的網(wǎng)絡(luò)，在這兩種情況下，當(dāng)然使用無狀態(tài)自動(dòng)設(shè)定方法為宜。

網(wǎng)絡(luò)層的認(rèn)證與加密

安全問題始終是與Internet相關(guān)的一個(gè)重要話題。由于在 IP協(xié)議設(shè)計(jì)之初沒有考慮安全性，因而在早期的Internet上時(shí)常發(fā)生諸如企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)遭到攻擊、機(jī)密數(shù)據(jù)被竊取等不幸的事情。為了加強(qiáng)Internet的安全性，從1995年開始，IETF著手研究制定了一套用于保護(hù)IP通信的IP安全（IPSec）協(xié)議。IPSec是IPv4的一個(gè)可選擴(kuò)展協(xié)議，是IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)的一個(gè)必須組成部分。

IPSec的主要功能是在網(wǎng)絡(luò)層對(duì)數(shù)據(jù)分組提供加密和鑒別等安全服務(wù)，它提供了兩種安全機(jī)制：認(rèn)證和加密。認(rèn)證機(jī)制使 IP通信的數(shù)據(jù)接收方能夠確認(rèn)數(shù)據(jù)發(fā)送方的真實(shí)身份以及數(shù)據(jù)在傳輸過程中是否遭到改動(dòng)。加密機(jī)制通過對(duì)數(shù)據(jù)進(jìn)行編碼來保證數(shù)據(jù)的機(jī)密性，以防數(shù)據(jù)在傳輸過程中被他人截獲而失密。IPSec的認(rèn)證報(bào)頭（Authentication Header，AH）協(xié)議定義了認(rèn)證的應(yīng)用方法，安全負(fù)載封裝（Encapsulating Security Payload，ESP）協(xié)議定義了加密和可選認(rèn)證的應(yīng)用方法。在實(shí)際進(jìn)行IP通信時(shí)，可以根據(jù)安全需求同時(shí)使用這兩種協(xié)議或選擇使用其中的一種。AH和ESP都可以提供認(rèn)證服務(wù)，不過，AH提供的認(rèn)證服務(wù)要強(qiáng)于ESP。

IPSec定義了兩種類型的SA：傳輸模式SA和隧道模式SA。

傳輸模式SA是在IP報(bào)頭（以及任何可選的擴(kuò)展報(bào)頭）之后和任何高層協(xié)議（如TCP或UDP）報(bào)頭之前插入AH或ESP報(bào)頭；隧道模式SA是將整個(gè)原始的IP數(shù)據(jù)包放入一個(gè)新的IP數(shù)據(jù)包中。在采用隧道模式SA時(shí)，每一個(gè)IP數(shù)據(jù)包都有兩個(gè)IP報(bào)頭：外部IP報(bào)頭和內(nèi)部IP報(bào)頭。外部IP報(bào)頭指定將對(duì)IP數(shù)據(jù)包進(jìn)行IPSec處理的目的地址，內(nèi)部IP報(bào)頭指定原始IP數(shù)據(jù)包最終的目的地址。傳輸模式SA只能用于兩個(gè)主機(jī)之間的IP通信，而IPv6網(wǎng)絡(luò)標(biāo)準(zhǔn)中的隧道模式SA既可以用于兩個(gè)主機(jī)之間的IP通信，還可以用于兩個(gè)安全網(wǎng)關(guān)之間或一個(gè)主機(jī)與一個(gè)安全網(wǎng)關(guān)之間的IP通信。安全網(wǎng)關(guān)可以是路由器、防火墻或VPN設(shè)備。

做為IPv6的一個(gè)組成部分，IPSec是一個(gè)網(wǎng)絡(luò)層協(xié)議。它只負(fù)責(zé)其下層的網(wǎng)絡(luò)安全，并不負(fù)責(zé)其上層應(yīng)用的安全，如Web、電子郵件和文件傳輸?shù)?。也就是說，驗(yàn)證一個(gè)Web會(huì)話，依然需要使用SSL協(xié)議。不過，TCP/IPv6協(xié)議簇中的協(xié)議可以從IPSec中受益，例如，用于IPv6的OSPFv6路由協(xié)議就去掉了用于IPv4的OSPF中的認(rèn)證機(jī)制。

作為IPSec的一項(xiàng)重要應(yīng)用，IPv6集成了虛擬專用網(wǎng)（VPN）的功能，使用IPv6可以更容易地、實(shí)現(xiàn)更為安全可靠的虛擬專用網(wǎng)。