ipv6的邻居发现协议都取代了ipv4的哪些功能，哪些是ipv4所不具备的功能

IPv6在IPv4的基础上进行改进，它的一个重要的设计目标是与IPv4兼容，因为不可能要求立即将所有节点都演进到新的协议版本，如果没有一个过渡方案，再先进的协议也没有实用意义。 如何完成从IPv4到IPv6的转换，是IPv6发展需要解决的第一个问题。目前，IETF已经成立了专门的工作组，研究IPv4到IPv6的过渡问题和高效无缝互通问题，并且已提出了很多方案。为了实现IPv4到IPv6过渡的逐步演进、逐步部署、地址兼容、降低费用四个目标，IETF推荐了双协议栈、隧道技术以及NAT等演进方案。这些演进方案已经在欧洲、日本以及我国的商用或实验网络中得到论证和实践。这些演进方案需要进一步与中国具体的网络实践和运营实践相结合，需要在大规模的商用实践中论证、发展与完善。 1、双协议栈技术 双协议栈技术是使IPv6节点与IPv4节点兼容的最直接方式，应用对象是主机、路由器等通信节点。支持双协议栈的IPv6节点与IPv6节点互通时使用IPv6协议栈，与IPv4节点互通时借助于4over6使用IPv4协议栈。IPv6节点访问IPv4节点时，先向双栈服务器申请一个临时IPv4地址，同时从双栈服务器得到网关路由器的TEP（TunnelEndPoint）IPv6地址。IPv6节点在此基础上形成一个4over6的IP包，4over6包经过IPv6网传到网关路由器，网关路由器将其IPv6头去掉，将IPv4包通过IPv4网络送往IPv4节点。网关路由器要记住IPv6源地址与IPv4临时地址的对应关系，以便反方向将IPv4节点发来的IP包转发到IPv6节点。这种方式对IPv4和IPv6提供了完全的兼容，但由于需要双路由基础设施，增加了网络的复杂度，依然无法解决IP地址耗尽的问题。 2、隧道技术 随着IPv6网络的发展，出现了许多局部的IPv6网络，但是这些IPv6网络需要通过IPv4骨干网络相连。将这些孤立的“IPv6岛”相互联通必须使用隧道技术。利用隧道技术，可以通过现有的运行IPv4协议的Internet骨干网络将局部的IPv6网络连接起来，因而是IPv4向IPv6过渡的初期最易于采用的技术。 路由器将IPv6的数据分组封装入IPv4，IPv4分组的源地址和目的地址分别是隧道入口和出口的IPv4地址。在隧道的出口处，再将IPv6分组取出转发给目的站点。隧道技术只要求在隧道的入口和出口处进行修改，对其他部分没有要求，因而非常容易实现。但是隧道技术不能实现IPv4主机与IPv6主机的直接通信。 3、网络地址转换/协议转换技术 网络地址转换/协议转换技术通过与SIIT协议转换和传统的IPv4下的动态地址翻译以及适当的应用层网关相结合，实现了只安装了IPv6的主机和只安装了IPv4机器的大部分应用的相互通信，是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。支持NAT－PT的网关路由器应具有IPv4地址池，在从IPv6向IPv4域中转发包时使用。此外，网关路由器支持DNS－ALG，在IPv6节点访问IPv4节点时发挥作用。NAT－PT方式的优点是不需要进行IPv4、IPv6节点的升级改造；缺点是IPv4节点访问IPv6节点的实现方法比较复杂，网络设备进行协议转换、地址转换的处理开销较大，一般在其他互通方式无法使用的情况下使用。 上述技术在很大程度上依赖于从支持IPv4的互联网到支持IPv6的互联网的转换，我们期待IPv4和IPv6可在这一转换过程中互相兼容。目前，6to4机制便是较为流行的实现手段之一。6to4技术转换策略计划者考虑的关键问题是，当使用者对ISP所提供的基本IPv6传输协议还没有合理的选择时，如何激活IPv6路由域间的连通性。当缺少本地IPv6服务时，提供连通性的解决办法之一是将IPv6的分组封装到IPv4的分组中。6to4是一种自动构造隧道的方式，它的好处在于只需要一个全球唯一的IPv4地址便可使得整个站点获得IPv6的连接。在IPv4NAT协议中加入对IPv6和6to4的支持，是一个很吸引人的过渡方案。 总之，从IPv4向IPv6的过渡是人们未来实现全球Internet不可跨越的步骤，它不是一朝一夕就可以办得到的。从IPv4向IPv6的转换是一个相当长的过渡时期，在此过渡期间需要IPv4与IPv6共存，并解决好互相兼容的问题，逐步实现平滑地演进，最终让所有的网络节点都运行IPv6，充分发挥IPv6在地址空间、性能和安全性等方面的优势。

需要。

防火墙支持多维一体化安全防护，可从用户、应用、时间、五元组等多个维度，对流量展开IPS、AV、DLP等一体化安全访问控制，能够有效的保证网络的安全；支持多种VPN业务，如L2TP VPN、GRE VPN 、IPSec VPN和SSL VPN等，与智能终端对接实现移动办公；提供丰富的路由能力，支持RIP/OSPF/BGP/路由策略及基于应用与URL的策略路由；支持IPv4/IPv6双协议栈同时，可实现针对IPV6的状态防护和攻击防范。

支持丰富的攻击防范功能。包括：Land、Smurf、Fraggle、Ping of Death、Tear Drop、IP Spoofing、IP分片报文、ARP欺骗、ARP主动反向查询、TCP报文标志位不合法、超大ICMP报文、地址扫描、端口扫描等攻击防范，还包括针对SYN Flood、UDP Flood、ICMP Flood、DNS Flood等常见DDoS攻击的检测防御。

最新支持SOP 1:N完全虚拟化。可在H3C SecPath F1000-AK1X5设备上划分多个逻辑的虚拟防火墙，基于容器化的虚拟化技术使得虚拟系统与实际物理系统特性一致，并且可以基于虚拟系统进行吞吐、并发、新建、策略等性能分配。

支持安全区域管理。可基于接口、VLAN划分安全区域。

支持包过滤。通过在安全区域间使用标准或扩展访问控制规则，借助报文中UDP或TCP端口等信息实现对数据包的过滤。此外，还可以按照时间段进行过滤。

支持基于应用、用户的访问控制，将应用与用户作为安全策略的基本元素，并结合深度防御实现下一代的访问控制功能。

支持应用层状态包过滤（ASPF）功能。通过检查应用层协议信息（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议），并监控基于连接的应用层协议状态，动态的决定数据包是被允许通过防火墙或者是被丢弃。

支持验证、授权和计帐（AAA）服务。包括：基于RADIUS/HW TACACS+、CHAP、PAP等的认证。

支持静态和动态黑名单。

支持NAT和NAT多实例。

支持VPN功能。包括：支持L2TP、IPSec/IKE、GRE、SSL等，并实现与智能终端对接。

支持丰富的路由协议。支持静态路由、策略路由，以及RIP、OSPF等动态路由协议。

支持安全日志。

支持流量监控统计、管理。

灵活可扩展的一体化DPI深度安全

与基础安全防护高度集成的一体化安全业务处理平台。

全面的应用层流量识别与管理：通过H3C长期积累的状态机检测、流量交互检测技术，能精确检测Thunder/Web Thunder（迅雷/Web迅雷）、BitTorrent、eMule（电骡）/eDonkey（电驴）、QQ、MSN、PPLive等P2P/IM/网络游戏/炒股/网络视频/网络多媒体等应用；支持P2P流量控制功能，通过对流量采用深度检测的方法，即通过将网络报文与P2P协议报文特征进行匹配，可以精确的识别P2P流量，以达到对P2P流量进行管理的目的，同时可提供不同的控制策略，实现灵活的P2P流量控制。

高精度、高效率的入侵检测引擎。采用H3C公司自主知识产权的FIRST（Full Inspection with Rigorous State Test，基于精确状态的全面检测）引擎。FIRST引擎集成了多项检测技术，实现了基于精确状态的全面检测，具有极高的入侵检测精度；同时，FIRST引擎采用了并行检测技术，软、硬件可灵活适配，大大提高了入侵检测的效率。

实时的病毒防护：采用流引擎查毒技术，可以迅速、准确查杀网络流量中的病毒等恶意代码。

迅捷的URL分类过滤：提供基础的URL黑白名单过滤同时，可以配置URL分类过滤服务器在线查询。

全面、及时的安全特征库。通过多年经营与积累，H3C公司拥有业界资深的攻击特征库团队，同时配备有专业的攻防实验室，紧跟网络安全领域的最新动态，从而保证特征库的及时准确更新。H3C公司是中国国家信息安全漏洞库（CNNVD）一级技术支撑单位和国家信息安全漏洞共享平台（CNVD）技术组成员。

---