IPv6安全网络的架构(图)_1

　　ipv6首先解决了ip地址数量短缺的问题，其次，对于ipv4协议中诸多不完善之处进行了较大更改。其中最为显著的就是将ipsec（ipsecurity）集成到协议内部，从此ipsec将不单独存在，而是作为ipv6协议固有的一部分贯穿于ipv6的各个部分。

    ipv6的安全机制

    ipv6的安全机制主要表现在以下几个方面：（1）将原先独立于ipv4协议族之外的报头认证和安全信息封装作为ipv6的扩展头置于ipv6基本协议之中，为ipv6网络实现全网安全认证和加密封装提供了协议上的保证。（2）地址解析放在icmp （internetcontrolmessageprotocol）层中，这使得其与arp（address resolution protocol）相比，与介质的偶合性更小，而且可以使用标准的ip认证等安全机制。（3）对于协议中的一些可能会给网络带来安全隐患的操作，ipv6 协议本身都做了较好的防护。例如：因为一条链路上多个接口同时启动发送邻居请求消息而带来的链路拥塞隐患，ipv6采用在一定范围内的随机延时发送方法来减轻链路产生拥塞的可能，这同时也减少了多个节点在同一时间竞争同一个地址的可能。（4）除了ipsec和ipv6本身对安全所做的措施之外，其他的安全防护机制在ipv6上仍然有效。诸如：nat-pt（net address translate- protocol translate）可以提供和ipv4中的nat相同的防护功能；通过扩展的acl（access control list）在ipv6上可以实现ipv4 acl所提供的所有安全防护。另外，基于vpls（virtual private lan segment）、vpws（virtual private wire service）的安全隧道和vpn（virtual private network）等技术，在ipv6上也可以完全实现。