IPv6

IPv6路由协议介绍

随着IPv6的大规模部署及应用，越来越多的网络采用双栈模式用来满足IPv6和IPv4的转发需求及应用。在IPv4网络中，一系列的动态路由协议支撑着整个网络稳定的运行，那么到如今的IPv6时代，这些动态路由协议又有着什么样的变化呢？

从IPv4到IPv6，动态路由协议RIP演变为了RIPng，OSPF演变为了OSPFv3，BGP演变为了BGP4+，相比于这些路由协议，ISIS具备着非常强的可扩展性，在原有协议的基础上加入了IPv6地址簇便使其支持在IPv6环境中运行。而事实上，RIP/ISIS/BGP协议本身的实现并没有过于依赖于IP协议，所以仅需在支持IPv4的版本上作简单的修改即可支持IPv6。但OSPF协议却是直接基于IP协议实现，所以IPv4协议到IPv6协议的变化使得OSPFv3也产生了较大的变化。

在现在安全性越来越受重视的趋势下，路由协议的安全属于相当重要的基础，下面我们就来谈谈这些动态路由协议在IPv6环境中，它的安全状况如何？

IPv6

IPv6路由协议的安全性

在网络部署中，路由协议的安全大部分是基于路由报文欺骗的安全威胁，在IPv4中所有路由协议都拥有自身的认证机制来应对这样的威胁，但在IPv6中，RIPng、OSPFv3都取消了自身的认证机制，改用IPSec来保障报文安全，而IPv6 ISIS和BGP4+则保留了原来的认证方式，使用keychain来进行报文认证，同时ISIS还提供option checksum来保障携带的TLV字段的安全。

路由协议的安全特性较少，主要体现在报文认证上，在IPv6环境中路由协议的认证尤其依赖IPSec，在路由器性能足够的情况下，尽量使用IPSec保障协议报文合法性。

相比于其他路由协议，OSPF在IPv4中就有着非常广泛的应用，在IPv6网络中，OSPFv3同样如此。

基于IPv6的OSPFv3又会有哪些安全性的变化呢？下面我们就来一起走进OSPFv3路由协议的安全世界。

OSPFv3

OSPFv3路由协议的安全机制

在探究OSPFv3协议的安全机制之前，我们来进行一个对比，基于IPv4的OSPF与基于IPv6的OSPFv3究竟哪里不一样？

下图依次是OSPFv2与OSPFv3的报文头部，可以从图中看出，OSPFv3的报头中不再包含AuType和Authentication字段，那么OSPFv3是不是就没有任何安全机制了呢？答案并不是。

OSPF协议常常被称之为位于IP层之上（3.5层）的协议，其运行机制与IP协议密不可分，同样的，在OSPFv3协议中，并不是没有任何的安全机制，而是复用了IPv6报头当中的扩展报头来实现安全认证功能。下图是IPv6报文格式。

从图中可以看出IPv6新增了扩展报头字段，该字段使得IPv6协议扩展性更强、灵活性更强。下表是IPv6扩展报头的种类及描述。