@qwerthhusn
有必要，简单来讲，永远不要信任自己用户其他服务的提供商。IP 层提供是主机到主机的通信，因此 IPsec 提供的是主机到主机的安全，而 TLS 可以提供端口到端口的安全，因此 TLS 提供的管道末端比 IPsec 更靠近最终应用。通常情况下，端口到端口既应用到应用。


@brMu
默认开启不是挺好吗？出于什么考虑给取消掉了呢？
如 #9 所说，有在物联网设备等嵌入式设备上性能、成本和复杂性方面的考量，但更多的是因为公钥基础设施（证书体系）的不完善。我个人同时认为，主机到主机的安全隧道既不能替代高层安全方法，也不是为不受保护的高层流量提供透明安全的理想且优雅的选择。

ipset 开启后，对方也就是要访问的网站、服务器、BT 节点等是不是要也开启才可以通呢？
是的，所以历史包袱很重，你看现在大多运营商门户虽然支持了 IPv6 却没有支持 HTTPS。


@cwbsw 查了一下确实是这样，从 2.6 版本开始 Linux 内核已经实现了 IPsec。

挑几个答：

ipv6 的加密是通过 ipsec 实现的吗？
在 IP 层是的。

默认状态是开启还是关闭呢？
关闭的，以前的 RFC 规定是默认开启的，后来改掉了。

ipsec 是在系统层实现的吗？
不是在操作系统内核实现的，但大多数操作系统都提供系统级支持。

ipv6 的加密对硬件性能有要求吗？
取决于加密（ AES、3DES 等）和完整性（ MD5、SHA 等）算法，与 IPv6 或 IPsec 本身无关。

对系统性能的影响有多大呢？
取决于是否有硬件加速（ offloading ），有就不大，比如一些采用 MIPS、ARM 架构的专门为 VPN 设计的硬件路由器、防火墙、多业务网关，虽然 CPU 参数不高，但开启 IPsec 后对性能影响很小；反观一些凌动、赛扬的软路由，如果无法成功调用硬件加速，IPsec 性能就惨不忍睹。

ipv6 加密的安全性如何？
同上，取决于加密算法和完整性算法，此外还取决于认证算法。

加密后是不是就对中间人攻击和监听都免疫了？
加密只能防旁路监听，防中间人和重放攻击要靠认证（ PSK、Kerberos、证书等）和完整性保护（哈希校验等）。

目前来看稳定和速度肯定都是 v4 更好啦。

稳定：v4 的协议栈和上层接口都更加成熟、路由拓扑更加完善、路由连通性更佳、路由收敛更快

速度：大部分情况下协议开销更小、路由更优更全因此容量更大。

百度确实辣鸡，但服务器带宽成本可能超乎你想象。

然后再看 IP 协议，IPv4 还是 IPv6 ？
最后还要考虑是否需要内网穿透或者配合地址转换隧道？

首先要看在哪里用，硬路由 /防火墙 /多业务网关，还是软路由 /服务器？

极致性价比不折腾 -> TP-LINK
高性价比不折腾 -> H3C
高性价比小折腾 -> UBNT
高性价比大折腾 -> MikroTik

楼主准备来哪开？我去对门开家蛇店。

这不就是 KVM 吗？😓你可以不接显示器啊

@cwbsw 普通用户终端前的防火墙通常情况下应该只禁几个特殊端口，剩下的全开放啊。

这是 police 被黑得最惨的一次。

虽然有了全球可路由的 IP 地址，但是位于防火墙后的节点还是无法直接访问。

所以防火墙规则为什么不放行？

@whwq2012 别的公司不一定，IT 做的如此野鸡的公司基本随便重装。

如果是光猫上的防火墙策略，禁入站 ping 很可能也会禁入站 TCP。建议先电脑直接拨号试下是局端的问题还是光猫的问题。

确实奇葩的一批，可以投稿迷惑行为大赏了，但也没有指定卖家，看起来确实是种 workaround，可以理解……总比限定 IE6 再装几个控件甚至 .exe 或者用野鸡快捷支付渠道的恶心行为要强。

不能，因为降噪是在耳机内就已经完成的，音频在进行无线传输时只有一个通道。

找行政部门，这是他们的问题。

这太正常，君不见宝洁、庄臣、利洁时，3M、霍尼韦尔，IBM、Oracle、EMC ……