IPv6 Security
NAT阻止认证首部,在NAT场景仅能加密载荷,破坏端到端通信模型。
IPSec是端到端安全。
IPv6能提供全局唯一地址,无需NAT。
具有巨型扩展首部链的数据包可能是危险的。
路由器不再执行分段和重组,避免大数据包的穿越。
RFC3971 安全邻居发现SEND
RFC3972 CGA方案:
修饰符+该节点公开密钥+子网前缀 => SHA1 => 接口标识符
子网前缀 + 接口标识符 => 网络地址
NAT阻止认证首部,在NAT场景仅能加密载荷,破坏端到端通信模型。
IPSec是端到端安全。
IPv6能提供全局唯一地址,无需NAT。
具有巨型扩展首部链的数据包可能是危险的。
路由器不再执行分段和重组,避免大数据包的穿越。
RFC3971 安全邻居发现SEND
RFC3972 CGA方案:
修饰符+该节点公开密钥+子网前缀 => SHA1 => 接口标识符
子网前缀 + 接口标识符 => 网络地址
