什么是鄰居發(fā)現(xiàn)協(xié)議(NDP)？

鄰居發(fā)現(xiàn)協(xié)議（NDP）是用于管理本地網(wǎng)絡(luò)上設(shè)備之間通信的重要IPv6協(xié)議。它取代并改進了部分IPv4協(xié)議，并處理地址解析、路由器發(fā)現(xiàn)和網(wǎng)絡(luò)參數(shù)配置等任務(wù)。

現(xiàn)代網(wǎng)絡(luò)是一頭復(fù)雜的野獸。如果想馴服它們，那么理解協(xié)議是必須用雙手抓住的東西。在現(xiàn)代IPv6網(wǎng)絡(luò)中漫游的協(xié)議之一是鄰居發(fā)現(xiàn)協(xié)議(NDP)。本文將探討NDP、其功能及其在網(wǎng)絡(luò)運營中的重要性。

什么是鄰居發(fā)現(xiàn)協(xié)議(NDP)？

鄰居發(fā)現(xiàn)協(xié)議(NDP)是IPv6協(xié)議套件的重要組成部分。它旨在管理本地網(wǎng)絡(luò)上設(shè)備之間的通信。它既是多個IPv4協(xié)議的替代，也是對多個IPv4協(xié)議的重大增強，包括地址解析協(xié)議(ARP)、ICMP路由器發(fā)現(xiàn)和ICMP重定向。

但首先，我們來了解一下歷史。NDP是從ARP發(fā)展而來的，這一改進有助于解決IPv4網(wǎng)絡(luò)的限制。NDP引入了新的特性來支持IPv6新的和改進的尋址能力。在IPv4網(wǎng)絡(luò)中，ARP主要負責處理地址解析，而在IPv6網(wǎng)絡(luò)中，NDP承擔了更多的責任。

NDP協(xié)議具有相當多的組件：

路由器發(fā)現(xiàn)：這允許主機在本地網(wǎng)絡(luò)上找到路由器。

地址解析：IPv6地址映射到MAC地址的方式與IPv4中的ARP類似。

鄰居不可達檢測：查明鄰居是否仍然可達。

重復(fù)地址檢測：此功能可確保本地鏈路上的IPv6地址是唯一的，且不會與其他地址沖突。

NDP還提供簡化網(wǎng)絡(luò)操作的特性和功能：

無狀態(tài)地址自動配置：允許設(shè)備配置自己的IPv6地址，無需人工干預(yù)或DHCP服務(wù)器。

路由器請求和廣告：允許主機請求路由器信息并允許路由器廣告其存在和網(wǎng)絡(luò)參數(shù)。

鄰居請求和廣告：促進節(jié)點之間的地址解析和可達性確認。

雖然NDP帶來了很多好處，但它也存在一些漏洞。該協(xié)議容易受到NDP欺騙或拒絕服務(wù)(DoS)攻擊。這就是為什么我們需要使用可用的安全措施，如安全鄰居發(fā)現(xiàn)(SEND)或RAGuard，它們可以幫助防止這些風險被利用。

鄰居發(fā)現(xiàn)協(xié)議在IPv6網(wǎng)絡(luò)中的使用方式

現(xiàn)在我們知道鄰居發(fā)現(xiàn)協(xié)議(NDP)在IPv6網(wǎng)絡(luò)中發(fā)揮著核心作用，我們可以將它與IPv4中的類似功能進行比較。

IPv6網(wǎng)絡(luò)中如何使用鄰居發(fā)現(xiàn)協(xié)議

在IPv4中，需要一些協(xié)議來在網(wǎng)絡(luò)上執(zhí)行重要功能。第一個協(xié)議稱為地址解析協(xié)議(ARP)。ARP管理IP到MAC地址的映射，并允許數(shù)據(jù)找到通往網(wǎng)絡(luò)上正確設(shè)備的路徑。

接下來是ICMP路由器發(fā)現(xiàn)，它處理路由器發(fā)現(xiàn)，以便設(shè)備知道將發(fā)往其他網(wǎng)絡(luò)的數(shù)據(jù)發(fā)送到何處。最后，我們有ICMP重定向，當原始路徑不可訪問且需要尋找另一條路由時，它可以管理路徑重定向。IPv6中的NDP結(jié)合了這些功能，并提供了更簡化的解決方案。

鄰居發(fā)現(xiàn)協(xié)議在IPv6網(wǎng)絡(luò)中的工作原理

在IPv6網(wǎng)絡(luò)中，NDP本身就執(zhí)行許多功能。以下是NDP為IPV6網(wǎng)絡(luò)執(zhí)行的一些最重要的功能。

地址解析：NDP將IPv6地址映射到MAC地址，類似于ARP在IPv4中的工作方式。

路由器發(fā)現(xiàn)：與ICMP路由器發(fā)現(xiàn)一樣，NDP使用路由器發(fā)現(xiàn)來允許設(shè)備在網(wǎng)絡(luò)上定位路由器。

前綴發(fā)現(xiàn)：此功能可幫助設(shè)備找到與網(wǎng)絡(luò)的哪些部分直接通信，也稱為鏈路上確定。

參數(shù)發(fā)現(xiàn)：這為設(shè)備提供了在網(wǎng)絡(luò)上正常工作所需的所有參數(shù)和設(shè)置。

地址自動配置：顧名思義，這有助于網(wǎng)絡(luò)上設(shè)備的自動IP地址配置。

下一跳確定：當流量離開網(wǎng)絡(luò)時，這有助于提供有關(guān)下一跳詳細信息的信息，以便正確路由數(shù)據(jù)。

鄰居不可達檢測：這會告訴設(shè)備本地網(wǎng)絡(luò)上哪些目的地可用，并告知它們設(shè)備是否不再可用。

重復(fù)地址檢測：這可以防止重復(fù)地址引起網(wǎng)絡(luò)沖突。

IPv6環(huán)境中鄰居發(fā)現(xiàn)協(xié)議的優(yōu)勢

NDP在IPv6網(wǎng)絡(luò)中提供的一些優(yōu)勢包括：

簡化網(wǎng)絡(luò)配置

對于網(wǎng)絡(luò)配置來說，越簡單越好。無狀態(tài)地址自動配置(SLAAC)允許設(shè)備配置自己的IPv6地址，無需手動配置或DHCP服務(wù)器。

自動路由器發(fā)現(xiàn)讓我們告別手動設(shè)置默認網(wǎng)關(guān)配置；一切都是自動完成的。

提高安全性

IPv6默認具有IPsec，可以用來保護NDP消息，保證其真實性。

安全鄰居發(fā)現(xiàn)(SEND)協(xié)議增加了另一層安全性，具有地址所有權(quán)證明和消息保護。

提高網(wǎng)絡(luò)效率

與IPv4的基于廣播的ARP相比，基于多播的鄰居發(fā)現(xiàn)通過減少網(wǎng)絡(luò)流量來提高網(wǎng)絡(luò)效率。

鄰居不可達檢測通過快速識別不可達節(jié)點并在必要時使用其他路由來優(yōu)化數(shù)據(jù)傳輸。

通過路徑MTU發(fā)現(xiàn)優(yōu)化數(shù)據(jù)包大小，這也提高了網(wǎng)絡(luò)效率。

借助所有這些改進，我們可以構(gòu)建比舊版IPv4網(wǎng)絡(luò)更強大、更安全、更高效的IPv6網(wǎng)絡(luò)。要充分利用所有這些新功能，我們必須了解NDP（鄰居發(fā)現(xiàn)協(xié)議）在IPv6中的工作原理，尤其是現(xiàn)在越來越多的組織正在切換。

NDP的一些實際應(yīng)用有哪些？

現(xiàn)在我們知道了鄰居發(fā)現(xiàn)協(xié)議(NDP)在網(wǎng)絡(luò)環(huán)境中的作用，我們可以看看它的一些實際應(yīng)用。以下是NDP在不同場景中的作用的一些示例。

局域網(wǎng)(LAN)中的鄰居發(fā)現(xiàn)協(xié)議

在局域網(wǎng)中，NDP負責確保同一網(wǎng)段上的設(shè)備之間的順暢通信。以下是它在局域網(wǎng)上為我們做的一些巧妙的事情：

NDP負責處理加入網(wǎng)絡(luò)的設(shè)備的自動IP地址配置，這比ARP處理IPv4網(wǎng)絡(luò)中尋址的方式（將請求廣播到LAN上的每個主機）造成的破壞更小。

它允許設(shè)備發(fā)現(xiàn)本地網(wǎng)絡(luò)上的路由器。當主機加入網(wǎng)絡(luò)時，它會發(fā)送路由器請求消息(RS)來查找可用的路由器。路由器會以路由器通告(RA)進行響應(yīng)，其中包含有關(guān)其自身的重要信息，例如其IP地址、網(wǎng)絡(luò)前綴和其他配置詳細信息。

NDP可快速將IPv6地址解析為MAC地址，以進行本地通信。當設(shè)備想要與同一子網(wǎng)上的另一臺設(shè)備通信時，它會發(fā)送鄰居請求(NS)消息。這是對與特定IPv6地址關(guān)聯(lián)的MAC地址的請求。然后，目標設(shè)備會使用鄰居通告(NA)進行響應(yīng)，其中包含所請求的MAC地址信息。

NDP還通過使用重復(fù)地址檢測(DAD)來防止網(wǎng)絡(luò)上出現(xiàn)重復(fù)的IP地址。

當我們將所有這些功能添加到一起時，我們將獲得自配置、高效的本地網(wǎng)絡(luò)，而不需要我們進行大量的手動設(shè)置，這總是受到歡迎的！

廣域網(wǎng)(WAN)中的鄰居發(fā)現(xiàn)協(xié)議

當我們想到NDP時，我們通常主要將其與本地鏈接聯(lián)系起來，但它在WAN中也發(fā)揮著作用：

NDP有助于發(fā)現(xiàn)跨網(wǎng)絡(luò)邊界通信的第一跳路由器，從而使流量能夠找到通往其他網(wǎng)絡(luò)段的路徑。

它還負責處理不同網(wǎng)段上設(shè)備的地址解析。一旦收到MAC地址，設(shè)備就會通過路由器將流量發(fā)送到其他網(wǎng)段。然后路由器會確保網(wǎng)段之間的路由正確，實現(xiàn)無縫銜接。

IPv6移動性是可能的，因為NDP允許移動節(jié)點在網(wǎng)絡(luò)之間移動時發(fā)現(xiàn)新的路由器。

常見的NDP問題和故障排除方法有哪些？

在大多數(shù)情況下，NDP運行完美。但與所有與技術(shù)相關(guān)的事物一樣，它也有其缺點。您可能會偶爾遇到可能導(dǎo)致網(wǎng)絡(luò)出現(xiàn)問題的問題，因此如果您支持運行NDP的IPv6網(wǎng)絡(luò)，了解這些問題是什么以及如何修復(fù)它們非常重要。我們收集了一些常見問題和故障排除步驟，可幫助您入門。

地址解析失敗

地址解析是負責將IPv6地址映射到MAC地址的主要NDP功能之一。如果您在地址解析方面遇到問題，則可能會出現(xiàn)以下一些癥狀：

鄰居緩存條目不完整：鄰居緩存存儲IPv6地址和MAC地址之間的映射。如果條目不完整，可能會導(dǎo)致通信問題和IP地址沖突。

防火墻規(guī)則阻止NDP消息：防火墻可以阻止必要的NDP消息，這也會破壞地址解析。

網(wǎng)絡(luò)擁塞導(dǎo)致數(shù)據(jù)包丟失：如果數(shù)據(jù)包丟失率高，則可能是由于網(wǎng)絡(luò)擁塞造成的。擁塞會影響NDP消息和地址解析。

基本故障排除步驟：

●使用“ping”命令測試網(wǎng)絡(luò)上目標設(shè)備的連通性并檢查答復(fù)的一致性。

●使用“ip-6neighbourshow”檢查鄰居緩存，尋找映射中的不一致之處。

●驗證您的防火墻規(guī)則沒有阻止ICMPv6消息。

在某些情況下，你需要使用以下工具來分析網(wǎng)絡(luò)流量：Wireshark確定是否丟失了NDP數(shù)據(jù)包。

鄰居不可達檢測問題

鄰居不可達檢測(NUD)可確保節(jié)點能夠與鄰居通信。問題通常是由以下一些問題引起的：

● 節(jié)點無法響應(yīng)鄰居請求(NS)消息，這將中斷網(wǎng)絡(luò)上的通信。

● 非對稱路由會導(dǎo)致可達性沖突，因為傳入和傳出的路由不同。

● 配置錯誤的計時器可能會導(dǎo)致鄰居條目過早過期。

基本故障排除步驟：

● 使用“ping”測試雙向連接。檢查是否收到響應(yīng)，如果可能，請嘗試從目標設(shè)備使用ping命令。

● 檢查路由器的不對稱路由配置。

● 有時，如果您遇到可達性問題，則需要調(diào)整NUD計時器。

● 在某些情況下，您需要使用Wireshark等工具分析網(wǎng)絡(luò)流量來監(jiān)控NDP數(shù)據(jù)包。

重復(fù)地址檢測問題

重復(fù)地址檢測(DAD)可防止IP地址沖突，但是當網(wǎng)絡(luò)上出現(xiàn)以下問題時，可能會出現(xiàn)問題：

● 配置錯誤的節(jié)點反復(fù)嘗試使用相同的地址可能會引起沖突。

● 網(wǎng)絡(luò)延遲造成DAD中的誤報并引發(fā)地址沖突。

● 響應(yīng)所有DAD請求的惡意節(jié)點將造成中斷。

基本故障排除步驟：

● 一個好的開始是檢查系統(tǒng)日志以查找DAD故障。這將幫助您確定問題的來源以及問題是否仍然存在。

● 您可以使用“ip-6addressshow”查看可疑設(shè)備上的當前地址狀態(tài)。

● 在某些情況下，您可能需要使用WireShark或其他數(shù)據(jù)包檢查工具分析網(wǎng)絡(luò)流量以檢測可疑的DAD響應(yīng)。

● 實施安全鄰居發(fā)現(xiàn)(SEND)以防止DAD攻擊。

解決NDP相關(guān)問題的最佳實踐

預(yù)防勝于治療，但有時您仍需要排除NDP問題。無論哪種方式，這些最佳實踐都可以幫助您阻止問題出現(xiàn)在您的網(wǎng)絡(luò)上，并在問題發(fā)生時更有效地排除故障。

使用監(jiān)控工具

使用網(wǎng)絡(luò)監(jiān)控軟件跟蹤NDP性能可讓您及早發(fā)現(xiàn)問題，從而在出現(xiàn)問題時為您贏得寶貴的時間。此外，請考慮設(shè)置警報，以便您能夠及時發(fā)現(xiàn)任何異常的NDP行為或異常流量。

定期更新和修補

基本的日常管理可以起到很大的作用。只需讓所有網(wǎng)絡(luò)設(shè)備和操作系統(tǒng)保持最新狀態(tài)，您就可以獲得最新的功能和修復(fù)。對于已知問題，您需要盡快應(yīng)用安全補丁來修補網(wǎng)絡(luò)上存在的任何漏洞。

優(yōu)化NDP參數(shù)

如果您遇到?jīng)_突或其他連接問題，則應(yīng)根據(jù)網(wǎng)絡(luò)規(guī)模和布局調(diào)整NDP計時器。此外，請考慮配置NDP消息處理的隊列大小和其他參數(shù)，以微調(diào)網(wǎng)絡(luò)，直到您對網(wǎng)絡(luò)的性能和可靠性感到滿意為止。

安防措施

安全鄰居發(fā)現(xiàn)(SEND)等基本安全措施可以防止基于NDP的攻擊，并且在交換機上配置RAGuard也可以防止惡意路由器通告。

記錄網(wǎng)絡(luò)

最佳做法是使用準確的網(wǎng)絡(luò)圖和IP地址分配來保持網(wǎng)絡(luò)文檔的更新。此文檔流程的一部分應(yīng)包括保留與NDP相關(guān)的配置記錄，以便在緊急情況下快速參考。

進行定期審計

如果您懷疑配置異常，您還應(yīng)該定期檢查整個網(wǎng)絡(luò)的NDP配置并執(zhí)行間歇性網(wǎng)絡(luò)掃描以檢測未經(jīng)授權(quán)的IPv6節(jié)點。

如果您遵循最佳實踐并了解可能遇到的最常見的NDP問題，您就可以讓您的IPv6網(wǎng)絡(luò)順利運行。

總結(jié)

鄰居發(fā)現(xiàn)協(xié)議在IPv6網(wǎng)絡(luò)中發(fā)揮著重要作用，用于處理設(shè)備通信和網(wǎng)絡(luò)管理任務(wù)。IPv6的采用將繼續(xù)增長，因此了解NDP比以往任何時候都更加重要。一旦您熟悉了NDP，隨著越來越多的組織轉(zhuǎn)向這一新標準，您將能夠更有效地維護和排除IPv6網(wǎng)絡(luò)故障。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。