ipv6 到底是不是加密的？

ipv6 不是个地址扩充吗? 6 字节的 ip 地址

印象中最初的 IPv6 标准议案是有 ipsec 的，但由于现实原因变为非强制了。

挑几个答：

ipv6 的加密是通过 ipsec 实现的吗？
在 IP 层是的。

默认状态是开启还是关闭呢？
关闭的，以前的 RFC 规定是默认开启的，后来改掉了。

ipsec 是在系统层实现的吗？
不是在操作系统内核实现的，但大多数操作系统都提供系统级支持。

ipv6 的加密对硬件性能有要求吗？
取决于加密（ AES、3DES 等）和完整性（ MD5、SHA 等）算法，与 IPv6 或 IPsec 本身无关。

对系统性能的影响有多大呢？
取决于是否有硬件加速（ offloading ），有就不大，比如一些采用 MIPS、ARM 架构的专门为 VPN 设计的硬件路由器、防火墙、多业务网关，虽然 CPU 参数不高，但开启 IPsec 后对性能影响很小；反观一些凌动、赛扬的软路由，如果无法成功调用硬件加速，IPsec 性能就惨不忍睹。

ipv6 加密的安全性如何？
同上，取决于加密算法和完整性算法，此外还取决于认证算法。

加密后是不是就对中间人攻击和监听都免疫了？
加密只能防旁路监听，防中间人和重放攻击要靠认证（ PSK、Kerberos、证书等）和完整性保护（哈希校验等）。

ipsec 应该是要吃性能的……为了性能还是不加密吧。。

虽然现在的光猫都开始搞硬件加密了。。。

@Tianao 有了 ipsec，还有必要在第七层开 tls 吗？

@qwerthhusn 有必要，安全就是要多层，攻破其中一层还有别的防御在

再有，你的 ip 消息总是会离开 ipsec 的，从出口出去后也需要加密

@Tianao 感谢大佬的回复，再请教几个问题：
默认开启不是挺好吗？出于什么考虑给取消掉了呢？
ipset 开启后，对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢？

请问下端到端的 ip 协议的加密连接怎么建立呢 @Tianao

@brMu #7 你想想你家的电视空调这些低端设备，ipsec 全吃 cpu，它们怎么加密

@Tianao IPSec 在 Linux 上就是内核实现的，不然为什么性能吊打 OpenVPN 之流。

@qwerthhusn tls 在四层

@qwerthhusn
有必要，简单来讲，永远不要信任自己用户其他服务的提供商。IP 层提供是主机到主机的通信，因此 IPsec 提供的是主机到主机的安全，而 TLS 可以提供端口到端口的安全，因此 TLS 提供的管道末端比 IPsec 更靠近最终应用。通常情况下，端口到端口既应用到应用。


@brMu
默认开启不是挺好吗？出于什么考虑给取消掉了呢？
如 #9 所说，有在物联网设备等嵌入式设备上性能、成本和复杂性方面的考量，但更多的是因为公钥基础设施（证书体系）的不完善。我个人同时认为，主机到主机的安全隧道既不能替代高层安全方法，也不是为不受保护的高层流量提供透明安全的理想且优雅的选择。

ipset 开启后，对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢？
是的，所以历史包袱很重，你看现在大多运营商门户虽然支持了 IPv6 却没有支持 HTTPS。


@cwbsw 查了一下确实是这样，从 2.6 版本开始 Linux 内核已经实现了 IPsec。

@julyclyde 你说的是 TCP/IP 四层模型的话，在第四层吧？？？反正不管是四层五层七层，这个应该在倒数第二层

有没有什么办法在两个 ipv6 主机重新打开这个功能？比如从路由到虚拟服务器？

@qwvy2g 可以啊，安装 strongswan。