很多同学第一次接触 IPv6 时都会产生这种疑惑:
“IPv4 用 ARP 找 MAC 地址,那 IPv6 为什么不用 ARP?”“NDP 跟 ARP 不都是把网络地址映射成物理地址吗?有什么本质区别?”
乍一看,两者的功能确实类似,但它们背后的机制、性能、安全性以及可扩展能力可以说完全不是一个时代的产物。
这里我们不做纯粹的协议条目式对比,而是从机制、效率、安全、场景演进几个角度,讲讲 NDP 为什么能替代 ARP,以及 IPv6 时代它多强。
一、ARP:IPv4 时代的“广播式问路人”
ARP(Address Resolution Protocol)很经典,但也有明显的时代局限性。
核心逻辑:广播问一圈
想知道某个 IP 对应哪个 MAC?
“全网听一下!谁是 192.168.1.10?请告诉我你的 MAC!”
然后目标主机单播回应。
主要问题:
1)广播太多
广播会让整个二层网络都承压,规模越大越糟糕。
2)无法验证来源
ARP 欺骗(ARP Spoofing)在网络安全界就是“祖传漏洞”。谁都能冒充别人回应。
3)缺乏邻居状态管理
ARP 只解决“问地址”,没有“邻居真的还活着吗”的检测机制。
可以说 ARP 是简单有效,但也“过于简单”。
二、NDP:IPv6 时代的“智慧邻居管理器”
NDP(Neighbor Discovery Protocol)不仅替代了 ARP,还承担了更多任务。
它基于 ICMPv6,通过多播(Multicast)而非广播,效率高得多。
NDP = 现代化“邻居服务中心”
NDP 实际上包括 5 种消息:
- NS(Neighbor Solicitation):类似 ARP 请求(多播)
- NA(Neighbor Advertisement):类似 ARP 回复
- RA(Router Advertisement):路由通告
- RS(Router Solicitation):请求路由信息
- Redirect:重定向
除了“查 MAC”,它还能:
- 自动获取 IPv6 地址(无状态自动配置 SLAAC)
- 获取默认网关
- 维护邻居状态
- 检测链路是否仍可达
- 安全扩展(SeND)
这是 IPv6 设计之初就埋下的“高级能力”。
三、ARP vs NDP:不是简单升级,而是体系革新
下面从几个关键点总结:
1)广播 vs 多播:性能差异立竿见影
多播替代广播,是 IPv6 时代性能提升的关键一步。
2)安全性:ARP 几乎无防护,NDP 可强化
ARP 没有内置安全能力,因此出现过大量:
- ARP 欺骗
- ARP 中间人攻击
- ARP 泛洪
NDP 虽然默认仍可能遭到攻击,但它支持:
SeND(Secure Neighbor Discovery)
- 数字签名
- 加密验证
- 防止伪造地址
这是 ARP 完全做不到的。
3)状态管理:NDP 有 Neighbor Cache,ARP 没有
ARP 只负责“问一下谁是谁”,后续是否在线不管。
NDP 有完整的状态机:
- INCOMPLETE
- REACHABLE
- STALE
- DELAY
- PROBE
这让 IPv6 网络的可用性、稳定性更好。
4)功能边界:ARP 仅解决一个问题,NDP 是一套体系
NDP 涵盖:
- 地址解析(替代 ARP)
- 地址自动配置(替代部分 DHCP 功能)
- 默认网关发现
- 链路可达性探测
- 重定向管理
它是 IPv6 的“邻居自治系统”。
四、为什么 IPv6 时代必须用 NDP?
总结成一句话:
ARP 只解决“点名”,而 NDP 建立了整个 IPv6 的自治运转体系。
IPv6 的规模是 IPv4 无法比拟的,如果继续用 ARP 式广播问路,会让网络压力和安全性完全不可控。
NDP 的出现不是“升级补丁”,而是适配新网络时代的系统级变革。
再总结
- ARP = 广播问 MAC 的简单方案,缺乏安全性与扩展性。
- NDP = 基于 ICMPv6 的智能邻居管理体系,集多播、高安全、地址自动配置、可达性探测于一身。
两者完成的是同一件事,但 NDP 是面向未来网络规模设计的现代机制。
热门跟贴