10.26日学习笔记

一、IPv6 设计哲学与头部格式
固定 40 B 基本头，取消校验和、取消中间分片、选项改为扩展头链。
字段：Version(4) | TC(8) | Flow Label(20) | Payload Length(16) | Next Header(8) | Hop Limit(8) | Src 128b | Dst 128b
扩展头顺序：HBH → Dest → Routing → Fragment → Auth → ESP → Mobility → HIP → SHIM6 → Upper
中间节点仅处理 HBH；其余端到端，提升转发性能。
MTU 与分片：最小链路 MTU 1280 B；PMTUD 通过 ICMPv6 Type 2（Packet Too Big）实现；主机禁止中间分片，只能在源节点生成。
二、地址表示与分类
语法：8 组 16 bit，十六进制，前导 0 可省，连续 0 可“::”一次。
前缀写法：2001:db8::/32（保留文档）、2000::/3（全球单播）、fe80::/10（链路本地）、fc00::/7（唯一本地 ULA）、ff00::/8（组播）。
特殊地址：
::/128 未指定
::1/128 环回
::ffff:0:0/96 IPv4 映射（仅内部使用，不用于报文）
任播（Anycast）：单播地址格式，全局注入 BGP，最近节点接收。
组播旗位：Flag 4bit（0RPT）、Scope 4bit（1-interface, 2-link, 5-site, E-global）、Group ID 112bit。
Solicited-node 组播：ff02::1:ff00:0/104 + 接口地址后 24bit，用于 ND 解析。
三、地址自动分配三部曲
SLAAC（RFC 4862）
过程：RS → RA（携带前缀/64、标志位）→ 主机生成接口标识符（IID）→ 地址生效 DAD。
IID 生成方案：
‑ EUI-64：MAC 中间插 FFFE，U/L 位取反（风险：可追踪）
‑ RFC 7217：稳定语义不透明（哈希 Net_Iface + Net_Prefix + Secret）
‑ RFC 8981：临时地址（Privacy Extensions），随机 IID，生命周期短。
DHCPv6（RFC 8415）
四种模式：Stateful (M=1,O=1)、Stateless (M=0,O=1)、SLAAC+DHCPv6-light、Prefix Delegation (IA_PD)。
端口：UDP 546/547；Relay-Agent 选项（Remote-ID、Interface-ID）。
身份认证：RECONFIGURE-KEY、HMAC-SHA256、RADIUS 集成。
网络注册与准入：IEEE 802.1X + RA-Guard + DHCPv6-Shield → 防虚假 RA/DHCP。
四、邻居发现协议（NDP，RFC 4861）
五大报文：RS、RA、NS、NA、Redirect（Type 133-137）
地址解析：NS 目标字段 = 目标地址，组播到 Solicited-node；NA 单播回。
无 ARP，改用 NDP；安全威胁：NDP 欺骗 → 对应缓解：
SeND (CGA) — 复杂未普及
RA-Guard（交换机过滤非信任端口 RA）
IPv6 Snooping（DHCPv6/ND Inspection）→ 绑定表（L2+L3）
DAD 过程： tentative 地址 → 发送 NS → 收到 NA 则地址冲突。
五、路由协议 IPv6 地址族
OSPFv3（RFC 5340）
基于链路而非网段，使用链路本地地址建立邻居；支持多实例、多拓扑；认证移除，改由扩展头 AH/ESP。
ISIS：多拓扑（MT-ID 2）分离 IPv4/6，新增 NLPID 0x8E。
EIGRP for IPv6：无需网络命令，在接口下 ipv6 eigrp 1；RTP 使用链路本地。
BGP4+（RFC 4760/8950）
MP-BGP AFI=2 SAFI=1（单播）、SAFI=4（标签）、SAFI=128（带标签 VPN）
Next-hop 编码：global addr + link-local addr；VPN 场景用 ::ffff:IPv4 映射。
过渡静态默认：::/0 指向 ISP，与 IPv4 0.0.0.0/0 双默认。
六、过渡技术全景
双栈（Dual Stack）— 最干净，要求端到端 IPv6 连通 + 地址充足。
隧道类
手工 6in4（proto-41）— 需静态配置，防火墙放行 41。
6to4（2002::/16）— 任意播中继 192.88.99.1，已废弃。
ISATAP（站点内）— 使用 ::0:5EFE:IPv4 嵌入，淘汰。
GRE / IPv6 over MPLS（6PE）— 核心 MPLS 不升级，边缘双栈。
DMVPN / FlexVPN 双栈隧道。
DS-Lite（RFC 6333）— 运营商 CGN + IPv4-in-IPv6 隧道，解决 IPv4 枯竭。
翻译类
NAT64（RFC 6146）+ DNS64（RFC 6147）
‑ 前缀 64:ff9b::/96（Well-known）或自定义 /32
‑ 状态表：IPv6<→IPv4 五元组；支持 TCP/UDP/ICMP 转换（RFC 6145）
464XLAT（RFC 6877）— 手机网 IPv6-only，客户端 CLAT 做 4→6，服务端 NAT64。
MAP-T / MAP-E（RFC 7597/7598）— 无状态翻译/封装，端口段算法（PSID）。