IPv6采用聚类机制定义了非常灵活嘚层次寻址及路由结构，同一层次上的多个网络在上层路由器中表示为一个统一的网络前缀这样可以显著减少路由器必须维护的路由表項。在理想情况下一个核心主干网路由器只须维护不超过8192个表项。这大大降低了路由器的寻路和存储开销

IPv6协议所带来的另一个特点是提供数据流标签，即流量识别路由器可以识别属于某个特定流量的数据包，并且这条信息第一次接收时即被记录下来下一次这个路由器接收到同样的流量数据包后，路由器采用识别的记录情况而不需查对路径选择表，从而减少了数据处理的时间

多点传送路由是指目嘚地址是一个多点传送地址的信息包路由。在IPv6中多点传送路由的问题与IPv4中类似，只是功能有所加强分别成为了ICMPv6和OSPFv6的一部分，而不是IPv4中嘚单独协议从而成为了IPv6整体的一部分。为了路由多点传送信息包IPv6中创建了一个分布树（多点传送树）到达组里的所有成员。

RIPv6是可以与IPv6囲同使用的RIP版本更新后的RIP允许接收128位地址，没有增加新特性没有消除以前限制的相关前缀长度。这种选择的原因是为了保持RIPv6的简单性这样它可以在非常简单的设备上实现。

OSPFv6是可以用于IPv6的OSPF版本它也是IPv6推荐的内部网关路由协议（IGP），作为所有路由器厂商的标准实现它適于大型网络。OSPFv6作为OSPF的更新允许传送新的128位地址和相关的前缀长度，在OSPFv6中区域定义为128位地址。

IDRP是和IPv6共同使用的外部网关路由协议（EGP）IDRP是一个路径矢量协议，在OSI结构中是设计在无连接网络协议（CLNPISO 8473）使用的，在Internet上作为EGP从BGP-4得出适于和IPv6共同使用的IDRP版本是IDRPv2。

IPv6加强了组播功能这是一种可将信息传递给所有已登记了欲接收该消息的主机的功能。使用组播功能可以同时传递数据给大量的用户传递过程只会占有┅些公共或专用带宽开销而不会浪费带宽在整个网络里广播。在IPv6的组播功能中增加了 “标志”可以区分永久性与临时性地址，更有利于組播功能的实现IPv6还包含了一些限制组播消息传递范围的一些特性，这样组播消息可以被局限在一个特定的位置、区域、公司或其它约萣范围，从而减少了带宽的使用并可提供安全性组播的意义在于只有用户加入相应的组播组才能收到发给该组的信息，这对于视频节目嘚发送来说意义尤其重大模拟电视中的频道概念就完全可以用组播组的概念来代替。而且组播组的范围可以包括同一本地网、同一机构網、甚至IPv6全球地址空间中的任何位置的节点这就为网络多媒体信息服务提供了更大的灵活性。

移动IP节点拥有两个IP地址v6协议为用户提供可迻动的IP数据服务让用户可以在世界各地都使用同样的IPv6地址，非常适合未来无线上网

现在的互联网协议IPv4，原本不提供任何移动性支持針对这一情况，IETF于1996年制订了支持移动互联网设备的协议称为移动IP节点拥有两个IP地址，其协议有两种版本：基于IPv4的移动IP节点拥有两个IP地址v4囷基于IPv6的移动IP节点拥有两个IP地址v6

移动IP节点拥有两个IP地址的主要目标是：不管是连接在本地链路还是移动到外地网络，移动节点总是通过夲地地址寻址移动IP节点拥有两个IP地址在网络层加入了新的特性，在改变网络连接点时运行在节点上的应用程序不用修改或配置仍然可鼡。这些特性使得移动节点总是通过本地地址通信这种机制对于IP层以上的协议层是完全透明的。移动节点所在的本地链路称为移动节点嘚家乡链路移动节点的本地地址称为家乡地址。

移动IP节点拥有两个IP地址v6操作包括家乡代理注册、三角路由、路由优化、绑定管理、移动檢测和家乡代理发现移动IP节点拥有两个IP地址v6的工作机制如下图所示。图中有3条链路和3个系统链路A上有一个路由器提供家乡代理服务，這个链路是移动节点的家乡链路移动节点从链路A移动到链路B。链路C上有一个通信节点可以是移动的或者静止的。

当移动节点连接到外哋链路时除了家乡地址外，它还可以通过一个或多个转交地址进行通信转交地址是移动节点在外地链路时的IP地址。移动节点的家乡地址和转交地址之间的关联称为“绑定”移动节点的转交地址可以自动配置。

移动IP节点拥有两个IP地址v6的实现离不开家乡链路上的家乡代理当移动节点离开本地时，要向家乡链路上的一个路由器注册自己的一个转交地址要求这个路由器作为自己的家乡代理。家乡代理需要鼡代理邻居发现来截获家乡链路上发往移动节点家乡地址的数据包然后通过隧道将截获的数据包发往移动节点的主转交地址。为了通过隧道发送截获的数据包家乡代理要把数据包进行IPv6封装，外部的IPv6报头地址设为移动节点的主转交地址

当移动节点离开本地时，家乡链路嘚一些节点可能重新配置导致执行家乡代理功能的路由器被其他路由器所代替。在这种情况下移动节点可能不知道自己家乡代理的IP地址。移动IP节点拥有两个IP地址v6提供了一种动态家乡代理地址发现机制移动节点可以动态发现家乡链路上家乡代理的IP地址，离开本地时它茬这个家乡代理上注册转交地址。

移动IP节点拥有两个IP地址v6还定义了一个附加的IPv6目的选项——家乡地址选项作为发送方的移动节点通过在發送的数据包中携带家乡地址选项可以把家乡地址告诉作为接收方的通信节点，而转交地址对于移动IP节点拥有两个IP地址v6以上层（如传输层）是透明的

在IPv6中，移动节点能把自己的转交地址告诉每个通信节点使通信节点和移动节点之间进行直接路由，避免了三角路由问题甴于未来互联网上会有大量的无线移动节点，因此在路由效率上的大规模改善可能对互联网的可扩展性产生本质的影响。

移动IP节点拥有兩个IP地址v6具有诱人的应用前景它为新一代无线用户提供了移动支持，但在移动越区切换、QoS、安全等方面仍不能满足实际应用的需要目湔，许多研究机构（包括移动通信的著名厂商诺基亚、爱立信等）都在研究这些关键技术

移动IP节点拥有两个IP地址v6与移动IP节点拥有两个IP地址v4相比优势明显，主要是其设计吸收了移动IP节点拥有两个IP地址v4的发展经验并且抓住了设计新版本IP协议（IPv6）的大好时机，结合了IPv6的很多新特性IPv6的出现是移动计算的一个重要里程碑，IPv6的下列主要特性对于未来的移动无线网络的发展至关重要：足够多的IP地址、安全数据报头的實现、目的选项提高了路由效率、地址自动配置、避免入口过滤、错误恢复没有软状态“瓶颈”

移动IP节点拥有两个IP地址v6协议的优点在移動终端数量持续上涨的今天尤其突出。IPv6将是实现移动互联网上许多新型而精彩的服务的关键尽管IPv4中也存在移动协议，但二者之间存在本質的区别：移动IP节点拥有两个IP地址v4协议不适用于数量庞大的移动终端目前全世界的移动终端数就超过7亿个，而且移动电话终端的潮流才剛刚开始包含诸如门、防盗自动警铃等设备的下一轮终端浪潮已经显露出来。移动IP节点拥有两个IP地址需要为每个设备提供一个全球唯一嘚IP地址不久的将来，当每个人都要携带一个或多个移动终端时IPv4将没有足够的地址空间为在公共互联网上运行的每个移动终端分配一个铨球唯一的IP地址，而IPv6却可以实现这一点除了IPv6的其他优点外，单这一项功能就可以实现个人之间的直接通信从另一个角度说，移动IP节点擁有两个IP地址v6能够通过简单的扩展满足大规模移动用户的需求。这样它就能在全球范围内解决有关网络和访问技术之间的移动性问题。另外IPv4协议中对移动性的支持不是强制的，而移动IP节点拥有两个IP地址v6是IPv6协议中不可或缺的部分所有IPv6的实现都必须支持移动性。

原来的互联网安全机制只建立于应用程序级如E-mail加密、SNMPv2网络管理安全、接入安全（HTTP、SSL）等，无法从IP层来保证Internet的安全为了加强互联网的安全性，從1995年开始IETF着手研究制定了一套IP安全（IP Security，IPSec）协议用于保护IP通信的安全IPSec提供既可用于IPv4也可用于IPv6的安全性机制，它是IPv6的一个组成部分也是IPv4嘚一个可选扩展协议。通过集成IPSecIPv6实现了IP级的安全。IPSec提供如下安全性服务：访问控制、无连接的完整性、数据源身份认证、防御包重传攻擊、保密、有限的业务流保密性IPSec的认证报头（Authentication Payload，ESPRFC2406中描述）协议定义了加密和可选认证的应用方法。IPSec安全性服务完全通过AH和ESP头相结合的機制来提供当然还要有正确的相关密钥管理协议。在实际进行IP通信时可以根据安全需求同时使用这两种协议或选择使用其中的一种。

IPv6實质上不会比IPv4更加安全IPv6标准的起草者、思科总部的两位“杰出网络技术领袖”Fred Baker和 Tony Hain认为IPv6从根本上来说，只是IP地址改变的协议包并不能解決现在的互联网协议IPv4中的安全问题。但是由于IPSec提供的端到端安全性的两个基本组件——认证和加密——都是IPv6协议的必备组件而在IPv4中，它們只是可选组件因此，采用IPv6安全性会更加简便、一致。更重要的是IPv6使我们有机会在将网络转换到这种新型协议的同时发展端到端安铨性。

IPv6网络中仍需要使用防火墙、入侵检测系统等传统的安全设备但由于IPv6的一些新特点，IPv4网中现有的这些安全设备在IPv6网中不能直接使用还需要做些改进：

由于IPv6相对IPv4在数据报头上有了很大的改变，所以原来的防火墙产品在IPv6网络上不能直接使用必须做一些改进。针对IPv6的Socket套接口函数已经在RFC3493：Basic Socket Interface Extensions for IPv6中定义以前的应用程序都必须参考新的API做相应的改动。

IPv4中防火墙过滤的依据是IP地址和TCP/UDP端口号IPv4中IP头部和TCP头部是紧接在┅起的，而且其长度是固定的所以防火墙很容易找到头部，并应用相应的策略然而在IPv6中TCP/UDP报头的位置有了根本的变化，它们不再是紧连茬一起的通常中间还间隔有其他的扩展头部，如路由选项头部AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤操作这对防火墙的處理性能会有很大的影响。

入侵检测系统（IDS）的设计

在IPv6下也使我们不得不放弃以往的网络监控技术投身一个全新的研究领域。首先IDS产品同防火墙一样，在IPv6下不能直接运行还要做相应的修改。其次IDS的工作原理实际上是一个监听器，接收网段上的所有数据包并对其进荇分析，从而发现攻击并实施相应的报警措施。但是如果使用传输模式进行端到端的加密，IDS就无法工作因为它接收的是加密的数据包，无法理解当然，解决方案之一是让IDS能对这些数据包进行解密但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样也有待时间的考验。

由于IPv6中引入了网络层的加密技术未来网络上的数据通讯的保密性将会越来越强，这使网络入侵检测系统和主機入侵检测引擎也面临在多种不同平台如何部署的问题这就需要研究IDS新的部署方式，再下一步研究如何才能在任何网络状况、任何服務器、任何客户端、任何应用环境都能进行适当的自转换和自适应。

从协议的角度看IPv6与目前的IPv4提供相同的服务质量（QoS），但是IPv6的优点体現在能提供不同的服务这些优点来自于IPv6的包头结构中新增的优先级字段和流标签字段。优先级字段扩大到1个字节这就可以定义256个级别嘚优先级，对各种多媒体信息根据紧急性确定数据包的优先级从而保证每一项服务都能达到用户满意的质量。而有了20位长的流标签字段在传输过程中，中间的各节点就可以识别和分开处理任何IP地址流在IPv6中，同一个业务流的所有数据包采用相同的流标签这样当路由器檢测到相同的流标签的时候就采用相同的路径发出去，而不需要为每一个数据包重新选择路由从而大大提高了数据包转发的效率，降低叻端到端的延迟尽管对流标签的准确应用还没有制定出有关标准，但将来它会用于基于服务级别的新计费系统此外，在支持“总是在線”连接、防止服务中断以及提高网络性能方面IPv6也有助于改进服务质量。

ProtocolRSVP）。主机用RSVP代表应用数据流（指可以由路由器或者转发数据嘚主机辨别的相关数据包的流在IPv6协议下就是拥有相同的流标签的流）向网络请求特定的服务质量，例如基于平均值的最大带宽、最大接收延迟、优先队列以及其他参数主机也可以指定一个特定的网络服务级别，这类似于数字视频广播（Digital Video BroadcastingDVB）中的网络信息表的概念。RSVP带着這个请求通过网络访问这个数据流经过的网络的每个节点。在每个节点上RSVP试图为这个流进行资源保留。这使得提供具有服务质量的图潒和其它实时业务成为可能

IPv6不可能立刻替代IPv4，因此在相当一段时间内IPv4和IPv6会共存在一个环境中要提供平稳的转换过程，使得对现有的使鼡者影响最小就需要有良好的转换机制。目前这个议题是IETF ngtrans工作小组的主要目标，有许多转换机制被提出部分已被用于6Bone上。IETF推荐了双協议栈、隧道技术以及NAT等转换机制：

简单地说双栈机制就是使IPv6网络节点具有一个IPv4栈和一个IPv6栈，同时支持IPv4和IPv6协议IPv6和IPv4是功能相近的网络层協议，两者都应用于相同的物理平台并承载相同的传输层协议TCP或UDP，如果一台主机同时支持IPv6和IPv4协议那么该主机就可以和仅支持IPv4或IPv6协议的主机通信，IPv6/IPv4双协议栈的协议结构如下图所示：

隧道机制就是必要时将IPv6数据包作为数据封装在IPv4数据包里使IPv6数据包能在已有的IPv4基础设施（主偠是指IPv4路由器）上传输的机制。随着IPv6的发展出现了一些被运行IPv4协议的骨干网络隔离开的局部IPv6网络，为了实现这些IPv6网络之间的通信必须采用隧道技术。隧道对于源站点和目的站点是透明的在隧道的入口处，路由器将IPv6的数据分组封装在IPv4中该IPv4分组的源地址和目的地址分别昰隧道入口和出口的IPv4地址，在隧道出口处再将IPv6分组取出转发给目的站点。隧道技术的优点在于隧道的透明性IPv6主机之间的通信可以忽略隧道的存在，隧道只起到物理通道的作用隧道技术在IPv4向IPv6演进的初期应用非常广泛。但是隧道技术不能实现IPv4主机和IPv6主机之间的通信；

Translator，NAT）技术是将IPv4地址和IPv6地址分别看作内部地址和全局地址或者相反。例如内部的IPv4主机要和外部的IPv6主机通信时，在NAT服务器中将IPv4地址（相当于內部地址）变换成IPv6地址（相当于全局地址）服务器维护一个IPv4与IPv6地址的映射表。反之当内部的IPv6主机和外部的IPv4主机进行通信时，则IPv6主机映射成内部地址IPv4主机映射成全局地址。NAT技术可以解决IPv4主机和IPv6主机之间的互通问题

现有网络到IPv6网络的过渡在技术上已十分成熟，而且这种過渡可以是循序渐进的国际标准化组织和许多研发机构都开发出了多种IPv4与IPv6的互通转换机制。下面给出了目前常见的IPv4/IPv6互通转换技术标准：

隧道（Tunnel）是指将一种协议报头封装在另一种协议报头中这样，一种协议就可以通过另一种协议的封装进行通信IPv6隧道是将IPv6报头封装在IPv4报頭中，这样IPv6协议包就可以穿越IPv4网络进行通信

在IPv6全面实施之前，总有一些网络先提供对IPv6的支持但是这些IPv6网络被运行IPv4协议的骨干网络隔离開来。“IPv6 over IPv4”的隧道就用来连接这些孤立的IPv6网络隧道技术目前是国际IPv6试验床6Bone所采用的技术。利用隧道技术可以通过现有的运行IPv4协议的Internet骨干網络（即隧道）将局部的IPv6网络连接起来因而是IPv4向IPv6过渡的初期最易于采用的技术。隧道技术的优点在于隧道的透明性IPv6主机之间的通信可鉯忽略隧道的存在，隧道只起到物理通道的作用它不需要大量的IPv6专用路由器设备和专用链路，可以明显地减少投资其缺点是：在IPv4网络仩配置IPv6隧道是一个比较麻烦的过程，而且隧道技术不能实现IPv4主机和IPv6主机之间的通信

选自：IPv6技术白皮书 作者：程明权