2026-04-18 06:07:39 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文解读IETF草案IPv8，其64位地址将IPv4作为真子集实现完全兼容。核心创新为引入统一区域服务器整合网络服务解决管理碎片化，通过ASN前缀路由将全球路由表限制在约十七万条以杜绝前缀劫持。协议内置出口验证等纵深安全机制，纯软件升级即可部署，为互联网演进提供系统性方案。 综合评分： 84 文章分类： 技术标准,网络安全,安全建设,解决方案

cover_image

互联网协议第 8 版（IPv8）

原创

总结翻译的总结翻译的

黑鸟

2026年4月17日 23:48 广东

在小说阅读器读本章

去阅读

互联网协议第 8 版（IPv8）是一套可管理的网络协议套件，彻底改变了从家庭网络到全球互联网的所有规模网络的运营、安全与监控方式。IPv8 网络中每个可管理元素均通过本地缓存提供的 OAuth2 JWT 令牌进行授权。

设备所需的所有服务均通过单次 DHCP8 租约响应交付。所有发往互联网的数据包在出口时，均会通过 DNS8 查询和 WHOIS8 注册的活跃路由进行双重验证。网络遥测、身份验证、名称解析、时间同步、访问控制和地址转换被统一整合到单一连贯的区域服务器（Zone Server）平台中。

IPv4 是 IPv8 的真子集：当路由前缀字段设为 0 时，IPv8 地址即为标准 IPv4 地址。无需修改任何现有设备、应用或网络，协议套件 100% 向后兼容，不存在 “标志日”，任何层级均无强制迁移要求。

IPv8 同时解决了 IPv4 地址耗尽问题：每个自治系统号（ASN）持有者可获得 4294967296 个主机地址，且全球路由表在结构上被限制为每个 ASN 仅一条条目。

IPv8 旨在同时解决 IPv4 和 IPv6 的三大根本性缺陷：

网络管理碎片化

DHCP、DNS、NTP 等服务各自独立，运维成本高、安全不一致、故障排障难
IPv4 地址耗尽

CGNAT 虽延长了 IPv4 寿命，但带来延迟升高、P2P 协议破坏、排障复杂度激增等问题
IPv6 部署失败

IPv6 仅解决地址耗尽，未改善管理体验，双栈模式商业成本过高，25 年部署后仍仅承载少数全球流量
全球路由表失控

BGP4 路由表 2024 年已突破 90 万条，无结构上限，前缀劫持、路由泄露频发

理论总地址数：2^64 = 18,446,744,073,709,551,616 个（约 1844 亿亿个）

是 IPv4（2^32≈42.9 亿个）的42.9 亿倍

远小于 IPv6（2^128≈3.4×10^38 个），但已完全满足人类可预见的所有联网需求，同时避免了 IPv6 地址过度冗余带来的运维和安全问题

IPv8 核心架构与关键特性

#

1. 64 位地址体系（兼容 IPv4）

地址格式：r.r.r.r.n.n.n.n

前 32 位（r.r.r.r）：ASN 路由前缀，直接编码 32 位无符号整数 ASN
后 32 位（n.n.n.n）：主机地址，语义与 IPv4 完全一致

核心特殊地址段

总地址空间：2^64 个唯一地址，每个 ASN 分配 2^32 个主机地址，彻底解决地址耗尽
人类可读：支持 ASN 点分表示法（如64496.192.0.2.1），符合 IPv4 运维习惯

#

统一区域服务器（Zone Server）

#

IPv8 的核心创新，整合所有网络核心服务于双活平台：

一站式服务交付：设备仅需发送一次 DHCP8 请求，即可获得地址、DNS、NTP、认证、网关等所有配置
统一身份认证：基于 OAuth2 JWT 令牌，本地缓存验证，断网仍可正常认证，无需逐服务管理凭证
统一更新管理：Update8 协议，仅允许来自 DNS 验证的源，硬件级强制回滚防护
统一遥测与日志：NetLog8 标准格式，故障无需跨系统关联数据

3. 革命性路由机制

两级路由表

全球层（按 ASN 前缀路由）+ 本地层（按主机地址路由，与 IPv4 完全一致）
路由表结构上限

强制 / 16 最小可注入前缀，禁止更细粒度拆分，全球路由表上限为 ASN 总数（当前约 17.5 万条）
统一成本因子（CF）

综合往返时间、丢包率、拥塞、链路容量、经济策略、地理距离等 7 个维度，跨 ASN 端到端选路，自动负载均衡，物理光速下限防异常
强制路由验证

BGP8 路由必须通过 WHOIS8 注册验证，否则不安装，从架构上杜绝前缀劫持

内置纵深安全架构

东西向安全

ACL8 区域隔离 + NIC 固件 ACL + 交换机端口 OAuth2 硬件 VLAN 强制，三层防护阻止横向移动
南北向安全

出口强制 DNS8 查询 + WHOIS8 路由验证，彻底阻断硬编码 IP 的恶意 C2 通信
边界自动防护

自动过滤内部地址、RINE 地址、内部链路地址，违规立即生成安全告警

#

100% 向后兼容与无强制过渡

无需双栈

IPv4 是 IPv8 的真子集，现有设备、应用、网络无需任何修改即可接入 IPv8 网络
8to4 自动隧道

IPv8 孤岛可通过 IPv4 网络通信，HTTPS 封装自动加密，零手动配置
经济激励过渡

CF 度量会标记 8to4 隧道的更高延迟，自动激励运营商升级，无行政强制
分阶段独立升级

一级 ISP、云厂商、企业、消费级 ISP 可按任意顺序、任意节奏升级，全程互操作

#

本草案为 IPv8 核心协议，另有 9 份配套草案构成完整体系：

draft-thain-routing-protocols-00：BGP8、IBGP8、OSPF8、IS-IS8、CF 度量
draft-thain-rine-00：区域间网络交换（RINE）
draft-thain-zoneserver-00：区域服务器架构
draft-thain-whois8-00：WHOIS8 路由验证协议
draft-thain-netlog8-00：NetLog8 遥测协议
draft-thain-support8-00：ARP8、ICMPv8、Route8
draft-thain-ipv8-mib-00：IPv8 MIB 与 SNMPv8
draft-thain-wifi8-00：WiFi8 协议
draft-thain-update8-00：Update8 更新协议与网卡认证

#

本文件为 IETF 互联网草案，有效期仅 6 个月（至 2026 年 10 月 16 日），目前处于 “工作进展” 状态，不得作为正式标准引用。草案已向 IANA 申请分配 IP 版本号 8、预留相关地址段和 DNS A8 记录类型。

草案链接：

https://www.ietf.org/archive/id/draft-thain-ipv8-00.html

引言1.1 需求用语规范1.2 网络管理现存问题1.3 IPv8 管理理念1.4 东西向与南北向安全1.5 地址耗尽问题1.6 路由协议优化1.7 向后兼容与过渡方案
设计动机与问题说明2.1 管理碎片化2.2 地址耗尽2.3 路由表膨胀2.4 合格替代协议的要求
IPv8 地址格式3.1 结构3.2 地址空间3.3 IPv4 在 IPv8 中的表示3.4 ASN 在 r.r.r.r 字段的编码3.5 内部区域前缀（127.0.0.0/8）3.6 企业间互操作前缀（127.127.0.0）3.7 双 XLATE8 互操作模型3.8 私有互操作 ASN（ASN 65534）3.9 RINE 对等前缀（100.0.0.0/8）3.10 内部链路约定（222.0.0.0/8）3.11 地址使用模型
地址类型4.1 任播
IPv8 数据包头部5.1 头部格式5.2 套接字 API 兼容性
ASN 点分表示法
DNS A8 记录类型
路由协议规则8.1 强制路由协议8.2 废弃路由协议8.3 eBGP8—— 强制外部网关协议8.4 IBGP8—— 区域间路由8.5 OSPF8—— 区域内路由8.6 IS-IS8—— 可选内部网关协议8.7 两级路由表8.8 VRF—— 虚拟路由转发
ICMPv8
组播10.1 自治系统内组播10.2 跨自治系统组播10.3 跨自治系统组播组分配
任播
广播
兼容性与过渡13.1 单协议栈运行13.2 IPv4 网络兼容性13.3 8to4—— 纯 IPv4 网络承载 IPv8 通信13.4 过渡阶段
运营商级 NAT（CGNAT）规则
应用程序兼容性
云服务商适配性
设备合规等级17.1 一级 —— 终端设备17.2 二级 —— 二层网络设备17.3 三级 —— 三层网络设备17.4 生成树 —— 强制 PVRST17.5 网卡速率限制
安全考量18.1 ASN 前缀伪造18.2 内部区域前缀防护18.3 RINE 前缀防护18.4 内部链路约定防护18.5 RFC 1918 地址隐私保护18.6 跨自治系统组播过滤18.7 /16 最小前缀强制规则
互联网编号分配机构（IANA）相关事项19.1 IP 版本号19.2 内部区域前缀预留19.3 RINE 前缀预留19.4 内部链路约定19.5 跨自治系统组播地址范围19.6 广播地址预留19.7 DNS A8 记录类型19.8 组播组分配19.9 私有 ASN 预留

#

1.1 需求用语规范

本文档中大写形式的必须（MUST）、禁止（MUST NOT）、要求（REQUIRED）、应当（SHALL）、不应（SHALL NOT）、应该（SHOULD）、不应该（SHOULD NOT）、推荐（RECOMMENDED）、不推荐（NOT RECOMMENDED）、可以（MAY）、可选（OPTIONAL），需严格按照 BCP 14（RFC2119、RFC8174）的定义解读，且仅适用于全大写形式。

1.2 网络管理现存问题

现代网络管理的核心问题是碎片化。DHCP、DNS、NTP（网络时间协议）、日志、监控、身份认证均为独立产品，需单独授权、配置与维护，彼此无网络状态共享。设备接入网络后，往往需要手动配置十余个独立服务才能正常运行。安全策略不统一，部分服务需认证，部分则无需认证。故障排查需要跨多个独立系统关联数据，效率极低。

碎片化问题随设备数量增加而加剧，小型网络难以承担复杂运维成本，大型网络无法解决策略不一致问题。全球互联网缺乏统一机制，无法验证路由发布者是否合法持有该路由，也无法验证外网传输数据包是否经过有效路由注册校验。

IPv6（RFC8200）仅解决了地址耗尽问题，未改善管理碎片化。历经 25 年部署，IPv6 仅承载少量全球互联网流量。双协议栈过渡的运维成本过高，且无管理体验提升，商业价值不足。IPv8 可同时解决上述两大问题。

1.3 IPv8 管理理念

IPv8 的核心运营单元是区域服务器（Zone Server），采用双活架构，承载网段所需全部服务：地址分配（DHCP8）、域名解析（DNS8）、时间同步（NTP8）、遥测采集（NetLog8）、认证缓存（OAuth8）、路由验证（WHOIS8 解析器）、访问控制（ACL8）、IPv4/IPv8 转换（XLATE8）。

设备接入 IPv8 网络时，仅需发送一次 DHCP8 探测报文，即可收到包含所有服务端点的响应，无需后续手动配置。设备在用户首次操作前，即可完成认证、日志、时间同步、区域策略生效，实现全功能就绪。

IPv8 网络所有可管理单元，均通过 OAuth2 JWT 令牌（RFC7519）授权，令牌由区域服务器的 OAuth8 缓存本地验证，无需往返外部身份提供商。远程设备即使暂时无法连接云身份提供商，仍可正常认证，OAuth8 缓存存储全部公钥，可在亚毫秒级完成本地签名校验。JWT 令牌可由本地 OAuth2 授权机构（家庭路由器本地授权模式）或缓存的企业 OAuth2 提供商提供，认证统一且无需逐服务管理凭证。

一层至四层协议栈组件的固件与软件更新，通过Update8 协议管理。Update8 定义了标准厂商源格式、区域服务器验证代理、可选本地缓存、按设备重要性调度、网卡硬件级防回滚机制。设备仅能从区域服务器验证的 DNS 域名源获取更新，默认禁止连接 IP 地址标识的更新源。

r.r.r.r 字段的 127.0.0.0/8 段，永久预留为 IPv8 内部区域前缀空间。企业可将 127.1.0.0、127.2.0.0 等前缀分配给不同网络区域，内部区域地址不对外路由，区域间无地址冲突。企业可构建任意规模的地理分布式私有网络，使用通用路由协议，无需外部地址协调。

1.4 东西向与南北向安全

IPv8 解决两类核心流量安全问题：

东西向安全

：网络内部设备间流量，通过 ACL8 区域隔离强制管控。设备仅能与指定服务网关通信，服务网关仅能与指定云服务通信，架构上杜绝设备或区域间横向移动。三层防护机制：网卡固件 ACL8、区域服务器网关 ACL8、交换机端口 OAuth2 硬件 VLAN 管控。
南北向安全

：内网设备访问互联网的流量，在区域服务器出口执行两步强制验证：第一步，出站连接必须完成 DNS8 查询，无查询则无 XLATE8 状态表项，连接直接阻断；第二步，目的 ASN 需通过 WHOIS8 注册表验证，非合法注册路由则丢弃数据包。该机制彻底阻断恶意软件通过硬编码 IP 的命令与控制通道。

全球路由层面，BGP8 路由发布需先通过 WHOIS8 验证，未通过验证的路由不加入路由表，无需手动维护虚假路由过滤列表。前缀劫持在架构上极难实现，攻击者需同时攻破区域互联网注册机构（RIR）注册表并生成有效签名的 WHOIS8 记录。

1.5 地址耗尽问题

互联网编号分配机构（IANA）于 2011 年 2 月完成 IPv4 单播地址分配。CGNAT（运营商级网络地址转换）虽延长了 IPv4 使用寿命，但带来延迟升高、点对点协议失效、排障困难等问题。地址耗尽是架构性问题，32 位 IPv4 地址空间无法根本解决。

IPv8 通过寻址架构天然解决地址耗尽，64 位地址空间提供 2^64 个唯一地址。每个 ASN 持有者分配 2^32 个主机地址（4294967296 个），可满足任意规模组织需求，无需 CGNAT 与重新编址。

IPv4 是 IPv8 的真子集，r.r.r.r=0.0.0.0 的 IPv8 地址即为 IPv4 地址，按 IPv4 标准规则处理。现有设备、应用、网络无需修改，100% 向后兼容，无强制迁移。

全球 BGP8 路由表架构限定为每个 ASN 一条条目，/16 最小注入前缀规则禁止路由细拆分。多数运营商为区域 ASN 发布一条 / 8 汇总路由，而 BGP4 路由表 2024 年已超 90 万条且无上限，BGP8 路由表规模由 ASN 分配量限定，当前约 17.5 万条。

1.6 路由协议优化

IPv8 扩展了 OSPF8（RFC2328）、BGP8（RFC4271，含 iBGP8 与 eBGP8）、IS-IS8，新增统一路径质量度量指标成本因子（CF）。

CF 是 32 位累积度量值，基于 TCP 会话遥测的 7 项指标计算：往返时间、丢包率、拥塞窗口状态、会话稳定性、链路容量、路由策略、地理物理距离。CF 在源到目的的每一跳 BGP8 路径累积，路由器自主选择 CF 最低路径，无需协同。

CF 融合了 EIGRP 的动态路径质量、OSPF 的累积成本模型、多路径比例负载均衡，以单一开放算法实现跨自治系统端到端运行，突破 OSPF 与 EIGRP 仅在自治系统内生效的限制。

CF 的地理维度设置物理下限，路径性能无法超越光速大圆距离，超物理极限的路径会被标记为异常。CF 是开放版本化算法，CFv1 为基础版本，未来可通过 IETF 流程新增碳成本、抖动、时段、应用层延迟等指标。

1.7 向后兼容与过渡方案

IPv4 是 IPv8 的真子集：

IPv8 地址 r.r.r.r=0.0.0.0=IPv4 地址
按 IPv4 标准规则处理
无需修改 IPv4 设备、应用、内网

IPv8 无需双协议栈运行，无强制升级日。8to4 隧道可让被纯 IPv4 网络隔离的 IPv8 节点直接通信。CF 会标记 8to4 隧道的高延迟，自动激励 IPv4 运营商升级，无需行政强制。

过渡阶段相互独立，一级运营商、云服务商、企业、家庭宽带运营商可按任意顺序与节奏部署 IPv8，8to4 隧道保障全程互通。

2 设计动机与问题说明

2.1 管理碎片化

IPv4 网络无统一集成管理模型，DHCP、DNS、NTP、系统日志、SNMP（简单网络管理协议）、认证等协议历经四十年独立制定，无统一身份模型、认证机制与遥测格式。

运维层面需掌握多协议专业知识，安全策略不统一，故障排查需跨系统关联日志，管理复杂度随运维负担增长，而非网络规模。IPv8 通过统一管理套件解决该问题，所有服务共享 OAuth2 JWT 身份模型、DHCP8 服务交付、NetLog8 遥测、OAuth8 认证缓存。

2.2 地址耗尽

IANA2011 年完成 IPv4 地址分配，区域注册机构 2011-2020 年陆续耗尽地址池。CGNAT 延长 IPv4 寿命，但牺牲性能与兼容性。IPv6 仅解决地址耗尽，双协议栈部署成本过高，25 年仍未普及。IPv8 无需双栈，IPv4 为真子集，过渡无中断。

2.3 路由表膨胀

BGP4 全球路由表 2024 年超 90 万条前缀，无架构上限，路由细拆分是主因。BGP4 无路由发布权限校验，前缀劫持、路由泄露、虚假路由频发。IPv8 通过 / 16 最小前缀规则禁止细拆分，WHOIS8 强制验证路由所有权，全球路由表限定为每个 ASN 一条条目。

2.4 合格替代协议的要求

R1. 集成管理：统一身份、认证、遥测、服务交付R2. 单协议栈：无需双栈R3. 完全向后兼容：现有 IPv4 应用不变R4. 完全向后兼容：RFC 1918 内网不变R5. 完全向后兼容：CGNAT 部署不变R6. 超大地址空间R7. 软件升级即可部署，无需换硬件R8. 兼容 IPv4 运维习惯的可读地址R9. 协议级东西向与南北向安全R10. 架构限定全球路由表规模IPv8 满足全部十项要求。

3 IPv8 地址格式

3.1 结构

IPv8 地址为 64 位值，格式：r.r.r.r.n.n.n.n

r.r.r.r：32 位 ASN 路由前缀
n.n.n.n：32 位主机地址（与 IPv4 语义完全一致）

3.2 地址空间

总地址数：2^64=18446744073709551616 个唯一地址分配规则：2^32 个 ASN 前缀 × 每个 ASN 前缀 2^32 个主机地址

3.3 IPv4 在 IPv8 中的表示

格式：0.0.0.0.n.n.n.nr.r.r.r=0.0.0.0 的数据包，必须按 IPv4 标准规则路由 n.n.n.n 字段，IPv4 是 IPv8 真子集，无需修改现有设备、应用、网络。

3.4 ASN 在 r.r.r.r 字段的编码

32 位 ASN 以网络字节序的 32 位无符号整数直接编码至 r.r.r.r 字段：

ASN 64496（示例 A）=0.0.251.240
ASN 64497（示例 B）=0.0.251.241
ASN 64498（示例 C）=0.0.251.242

3.5 内部区域前缀（127.0.0.0/8）

r.r.r.r 字段 127.0.0.0/8 段永久预留为 IPv8 内部区域前缀，用于标识企业私有地址空间的网络区域。格式：127.x.x.x.n.n.n.n（x.x.x 为区域标识）示例：

127.1.0.0.n.n.n.n：美洲区
127.2.0.0.n.n.n.n：欧洲区
127.3.0.0.n.n.n.n：亚太区

内部区域前缀规则：

禁止路由至企业自治系统外
禁止出现在广域网接口与公网链路
禁止用于 eBGP8 发布
可通过 OSPF8、IS-IS8、IBGP8 在内网自由使用

该前缀提供 2^56 个有效内网地址，区域间无冲突，支持企业构建任意规模分布式私有网络。编码为 127.0.0.0/8 的 ASN（2130706432-2147483647）预留内网使用，IANA 不得分配为公网路由。

3.6 企业间互操作前缀（127.127.0.0）

127.127.0.0 前缀预留为企业间互操作隔离区（DMZ），企业互联时部署 XLATE8 引擎对接该地址段，不暴露内部区域地址，详见区域服务器规范 16.9 节。

3.7 双 XLATE8 互操作模型

企业 A：127.1.0.0.x → XLATE8-A → 127.127.0.0 → XLATE8-B → 127.2.0.0.x：企业 B特性：

双方不可见对方内部地址
自主控制暴露服务
无地址重叠，无复杂 NAT
服务暴露配置仅需数分钟

3.8 私有互操作 ASN（ASN 65534）

ASN 65534 预留用于企业间私有 BGP8 对等（RFC6996），格式：0.0.255.254.x.x.x.xASN 65533（0.0.255.253.x.x.x.x）预留用于文档与测试。

3.9 RINE 对等前缀（100.0.0.0/8）

r.r.r.r 字段 100.0.0.0/8 段永久预留为 ** 区域间网络交换（RINE）** 对等地址，仅用于互联网交换中心（IXP）与私有互联设施的 AS 间对等链路寻址。规则：

禁止在全球 BGP8 路由表发布
禁止分配给终端设备
所有 eBGP8 边界路由器必须过滤

3.10 内部链路约定（222.0.0.0/8）

n.n.n.n 字段 222.0.0.0/8 段为 IPv8 内部链路约定地址，每个 AS 可使用 <自身 ASN>.222.x.x.x 作为 AS 内路由器间链路地址，类似 IPv4 的 RFC 1918 私有地址，全球公认、过滤、不对外路由。

3.11 地址使用模型

多数设备使用 127.x.x.x 内网地址，公网 ASN 地址仅用于对外服务。

4 地址类型

n.n.n.n 的 222.0.0.0/8 段按约定用于内部链路寻址。

4.1 任播

IPv8 中任播非独立地址类型，是 eBGP8 实现的路由属性，成本因子（CF）自动将数据包路由至最近的 BGP8 节点。

5 IPv8 数据包头部

5.1 头部格式

IPv8 版本号为 8，头部在 IPv4 基础上，将 32 位源 / 目的地址替换为 64 位。

IPv8 头部比 IPv4 长 8 字节。

5.2 套接字 API 兼容性

现有 IPv4 应用使用标准 BSD 套接字 API（AF_INET、sockaddr_in），IPv8 兼容层透明拦截调用，应用无感知。新应用可使用 AF_INET8 与 sockaddr_in8 结构体：

struct&nbsp;sockaddr_in8&nbsp;{&nbsp; &nbsp;&nbsp;sa_family_t&nbsp; &nbsp; sin8_family; &nbsp;&nbsp;/* 地址族：AF_INET8 */&nbsp; &nbsp;&nbsp;in_port_t&nbsp; &nbsp; &nbsp; sin8_port; &nbsp; &nbsp;&nbsp;/* 端口号 */&nbsp; &nbsp;&nbsp;uint32_t&nbsp; &nbsp; &nbsp; &nbsp;sin8_asn; &nbsp; &nbsp; &nbsp;/* r.r.r.r ASN前缀 */&nbsp; &nbsp;&nbsp;struct&nbsp;in_addr&nbsp;sin8_addr; &nbsp; &nbsp;&nbsp;/* n.n.n.n 主机地址 */};

6. ASN 点分表示法

格式：<ASN>.<n>.<n>.<n>.<n>其中 ASN 是自治系统号，n.n.n.n 是主机地址。根据 [RFC5398]，ASN 64496-64511 被预留用于文档目的。

示例：

64496.192.0.2.1 = 0.0.251.240.192.0.2.1（示例 A）
64497.192.0.2.1 = 0.0.251.241.192.0.2.1（示例 B）

所有 IPv8 兼容实现必须在所有接受 IPv8 地址的上下文中支持 ASN 点分表示法。

7. DNS A8 记录类型

类型：A8（IANA 分配待批）
格式：网络字节序的 64 位 IPv8 地址

RFC 1918 私有地址禁止在公共 DNS 中发布为 A8 记录。

IPv8 解析器应该同时请求 A 记录和 A8 记录。对于运行在 IPv8 主机上的 IPv4 应用，解析器返回 n.n.n.n 部分；协议栈会透明地添加 r.r.r.r 前缀。

标准 A8 响应是一个奇偶地址对 —— 一个偶数地址和一个奇数地址，默认提供负载均衡和冗余。

示例记录：

ns1.example.com. &nbsp;IN &nbsp;A8 &nbsp;0.0.59.65.192.0.2.1ns1.example.com. &nbsp;IN &nbsp;A8 &nbsp;0.0.59.65.192.0.2.2

8. 路由协议行为

8.1 强制路由协议

| 协议 | 范围 | 功能 | 状态 | | — | — | — | — | | eBGP8 | 跨 AS | 公共互联网强制外部网关协议 | 强制 | | IBGP8 | 跨区域 | 内部区域路由强制协议 | 强制 | | OSPF8 | 区域内 | 区域内路由强制协议 | 强制 | | IS-IS8 | AS 内 | 所有三层栈必须提供 | 必须可用 | | 静态路由 | 所有范围 | 传统和 VRF 路由强制协议 | 强制 | | BGP4 | 过渡 | IPv4 AS 兼容性 | 过渡用 |

8.2 已废弃的路由协议

| 协议 | 在 IPv8 中的状态 | 备注 | | — | — | — | | RIP/RIPv2 | 已废弃 | 由 OSPF8 替代 | | EIGRP | 已废弃 | 厂商可扩展 |

8.3 eBGP8—— 强制外部网关协议

eBGP8 是强制的外部网关协议。所有三层设备必须实现 eBGP8。eBGP8 与 BGP4 [RFC4271] 100% 向后兼容。完整规范见 [ROUTING-PROTOCOLS]。

跨 AS 边界的最小可注入前缀是 / 16。比 / 16 更具体的前缀禁止跨 AS 边界广告。

8.4 IBGP8—— 区域间路由

IBGP8 在整个自治系统内分发经过 WHOIS8 验证的外部路由，并完整支持 CF 度量。CF_total = CF_external + CF_intrazone

8.5 OSPF8—— 区域内路由

OSPF8 是扩展了 CF 导出接口的 OSPFv2 [RFC2328]。所有三层设备必须实现 OSPF8。完整规范见 [ROUTING-PROTOCOLS] 第 10.3 节。

8.6 IS-IS8—— 可选内部网关协议

IS-IS8必须在所有 IPv8 三层路由栈中提供。运营商和运维人员可以自行决定是否部署 IS-IS8。IPv8 不对内部网关协议（IGP）的选择提出建议。完整规范见 [ROUTING-PROTOCOLS] 第 10.4 节。

8.7 两级路由表

| 层级 | 范围 | 索引 | 描述 | | — | — | — | — | | 1 | 全球 | r.r.r.r | 路由到正确的 AS 边界路由器 | | 2 | 本地 | n.n.n.n | 与现有 IPv4 路由表完全相同 |

当 r.r.r.r = 0.0.0.0 时，跳过第一层查找。

8.8 VRF—— 虚拟路由转发

VRF（虚拟路由转发）对所有 IPv8 三层设备是强制的。所有 IPv8 兼容设备必须实现管理 VRF（VLAN 4090）和带外（OOB）VRF（VLAN 4091）。VRF 隔离是路由表的固有属性，无法通过软件错误配置绕过。

9. ICMPv8

ICMPv8（互联网控制消息协议第 8 版）扩展了 ICMP [RFC792] 以支持 64 位 IPv8 地址。ICMPv8 与 ICMPv4 向后兼容，必须同时支持两个版本。ICMPv8 在回显（Echo）、目的不可达、超时、重定向和参数问题消息中携带完整的 64 位 IPv8 地址。路径 MTU 发现已针对更大的 IPv8 包头进行了扩展。完整规范见 [SUPPORT8]。

10. 组播

10.1 ASN 内组播

0.0.0.0.224.0.0.0/4

：所有 ASN 内组播
0.0.0.0.239.0.0.0/8

：管理范围的 ASN 内组播

r.r.r.r = 0.0.0.0 且 n.n.n.n 在组播范围内的数据包禁止转发到本地 AS 边界之外。

10.2 跨 ASN 组播

ff.ff.00.00.n.n.n.n

：通用跨 ASN 组播
ff.ff.00.01.n.n.n.n

：OSPF8 协议流量
ff.ff.00.02.n.n.n.n

：BGP8 对等体发现
ff.ff.00.03.n.n.n.n

：EIGRP（预留，已废弃）
ff.ff.00.04.n.n.n.n

：RIP（预留，已废弃）
ff.ff.00.05.n.n.n.n

：IS-IS8（预留，厂商扩展）

10.3 跨 ASN 组播组分配

ff.ff.00.00.224.0.0.1

：所有 IPv8 路由器
ff.ff.00.00.224.0.0.2

：所有 IPv8 区域服务器
ff.ff.00.00.224.0.0.5

：所有 OSPF8 路由器
ff.ff.00.00.224.0.0.6

：OSPF8 指定路由器
ff.ff.00.00.224.0.0.10

：IBGP8 对等体发现
ff.ff.00.00.239.0.0.0/8

：管理范围

11. 任播

IPv8 中的任播是通过 eBGP8 和成本因子（CF）度量实现的路由属性，不需要特殊的 r.r.r.r 前缀。CF 会将每个数据包路由到测量路径成本最低的最近实例。

12. 广播

r.r.r.r 值 ff.ff.ff.ff 被永久预留用于广播，并映射到二层广播地址。r.r.r.r = ff.ff.ff.ff 的数据包禁止路由到本地网段之外。

13. 兼容性与过渡

13.1 单栈运行

IPv8 不需要双栈运行。IPv4 是 IPv8 的真子集（r.r.r.r = 0.0.0.0），不存在标志日，也没有强制迁移。

13.2 IPv4 网络兼容性

未部署 IPv8 的网络将继续正常运行，无需任何修改。IPv8 边界路由器会为纯 IPv4 目的地剥离 r.r.r.r 前缀。

13.3 8to4—— 跨纯 IPv4 网络的 IPv8 通信

被纯 IPv4 传输 ASN 分隔的 IPv8 ASN 通过 8to4 隧道进行通信。HTTPS 隧道是首选封装方式 —— 它提供自动加密，且无需特殊配置即可穿越大多数防火墙。8TO4-ENDPOINT BGP8 属性会自动携带 IPv4 隧道端点，零手动隧道配置。完整规范见 [ROUTING-PROTOCOLS] 第 11 节。

13.4 过渡顺序

阶段 1：一级 / 二级 ISP 路由器通过软件更新部署 IPv8
阶段 2：云提供商内部部署 IPv8
阶段 3：企业网络可选采用 ASN 前缀
阶段 4：消费级 ISP 部署 IPv8

8to4 隧道使每个阶段都能与尚未完成的阶段互操作，各阶段之间没有依赖关系。

14. CGNAT 行为

现有 CGNAT 设备无需修改。支持 IPv8 的 CGNAT 在转换过程中禁止修改 r.r.r.r 字段，仅对 n.n.n.n 字段进行 NAT 转换。没有 ASN 的 CGNAT 运营商必须使用 r.r.r.r = 0.0.0.0。

15. 应用兼容性

现有 IPv4 应用无需任何修改。IPv8 套接字兼容性层通过 DNS8 拦截和 XLATE8 透明地管理 r.r.r.r 前缀。新应用可以使用第 5.2 节定义的 AF_INET8 和 sockaddr_in8。

16. 云提供商适用性

IPv8 通过基于 ASN 的地址区分，解决了 VPC（虚拟私有云）地址重叠、VPC 对等复杂度以及多云路由问题。127.x.x.x 内部区域前缀使云提供商能够为客户 VPC 分配唯一的区域前缀，无需重新编址。每个客户 VPC 获得一个唯一的 127.x.x.x 区域前缀 —— 无论每个 VPC 内部如何重用 RFC 1918 地址，任意两个客户网络都不会重叠。

17. 设备合规等级

17.1 1 级 —— 终端设备

终端设备必须实现：Route8 统一路由表、静态路由、VRF（管理平面）、两个默认网关（偶数 / 奇数）、DHCP8 客户端、ARP8、ICMPv8、到区域服务器的 TCP/443 持久连接、NetLog8 客户端、ACL8 客户端执行、管理 VRF（VLAN 4090）、带外 VRF（VLAN 4091）、启动时发送免费 ARP8。

终端设备可以实现：OSPF8、IS-IS8、eBGP8、IBGP8。

终端设备不需要任何路由协议即可到达其默认网关。

17.2 2 级 —— 二层网络设备

二层设备必须实现：802.1Q 中继、带标签流量的 VLAN 自动创建、管理 VRF（VLAN 4090）、带外 VRF（VLAN 4091）、交换机端口 OAuth2 绑定、LLDP（链路层发现协议）、NetLog8 客户端、ARP8（仅管理平面）、ICMPv8（仅管理平面）、PVRST（每 VLAN 快速生成树）、作为 PVRST 根的区域服务器能力、粘性 MAC 绑定、区域服务器 MAC 通知。

17.3 3 级 —— 三层网络设备

三层设备必须实现：所有 1 级要求、eBGP8、IBGP8、OSPF8、IS-IS8（可用）、静态路由、完整 VRF、XLATE8（边缘设备强制）、WHOIS8 解析器、ACL8 网关执行、区域服务器服务（如果担任区域服务器角色）、PVRST 根能力、交换机端口 OAuth2 绑定支持。

17.4 生成树 —— 强制 PVRST

PVRST（每 VLAN 快速生成树）对所有 IPv8 二层和三层设备是强制的。不推荐使用 MST（多生成树）。区域服务器默认是 PVRST 根：

主区域服务器（.254）：偶数 VLAN 的 PVRST 根，优先级 4096
备区域服务器（.253）：奇数 VLAN 的 PVRST 根，优先级 4096

17.5 网卡速率限制

IPv8 认证的网卡固件会强制执行无法被软件覆盖的速率限制：

广播：最高每秒 10 个
未认证用户：每秒 10 个，每分钟最高 30 个
已认证用户：每秒 100 个，每分钟最高 300 个

DHCP8 区域服务器是提升速率限制的唯一授权机构。完整的网卡认证规范见 [UPDATE8]。

18. 安全考虑

18.1 ASN 前缀欺骗

IPv8 边界路由器必须实施入站过滤，验证收到数据包的源 r.r.r.r 与 BGP8 对等体的 ASN 匹配，符合 BCP 38 [RFC2827]。

18.2 内部区域前缀防护

127.x.x.x 内部区域前缀禁止出现在广域网接口上。边界路由器必须在外部接口上丢弃源或目的 r.r.r.r 为 127.x.x.x 的数据包，并为每个违规生成 NetLog8 安全告警（SEC-ALERT）。

18.3 RINE 前缀防护

100.x.x.x RINE 前缀禁止出现在 eBGP8 广告或非对等接口上。边界路由器必须为每个违规生成 NetLog8 安全告警（SEC-ALERT）。

18.4 内部链路约定防护

边界路由器必须过滤收到的包含 n.n.n.n 地址在 222.0.0.0/8 范围内的 BGP8 广告，并为每个违规生成 NetLog8 E3 陷阱。

18.5 RFC 1918 地址隐私

n.n.n.n 中的 RFC 1918 私有地址在公共互联网上保持不可路由，与 IPv4 行为一致。

18.6 跨 ASN 组播过滤

路由协议预留前缀 ff.ff.00.01 至 ff.ff.00.05必须在所有边界路由器上过滤。

18.7 /16 最小前缀强制

禁止接受来自外部 BGP8 对等体的比 / 16 更具体的前缀。此类广告必须被拒绝，并通过 NetLog8 记录为安全告警（SEC-ALERT）。

19. IANA 考虑

IANA（互联网编号分配机构）是负责全球互联网资源编号分配的机构。本草案向 IANA 提出以下申请：

19.1 IP 版本号

申请在 IP 版本号注册表中为互联网协议第 8 版分配版本号 8。

19.2 内部区域前缀预留

申请预留 r.r.r.r 范围 127.0.0.0 至 127.255.255.255 作为 IPv8 内部区域前缀空间。ASN 号 2130706432 至 2147483647禁止分配用于公共互联网路由。

19.3 RINE 前缀预留

申请预留 r.r.r.r 范围 100.0.0.0 至 100.255.255.255 作为 IPv8 RINE 对等结构范围。ASN 号 1677721600 至 1694498815禁止分配用于公共互联网路由。

19.4 内部链路约定

申请将 n.n.n.n 范围 222.0.0.0/8 记录为 IPv8 内部链路地址约定。

19.5 跨 ASN 组播范围

申请在 ff.ff.00.00 至 ff.ff.ef.ff 范围内建立 IPv8 跨 ASN 组播前缀注册表。

19.6 广播预留

申请预留 r.r.r.r 值 ff.ff.ff.ff 作为 IPv8 广播地址。

19.7 DNS A8 记录类型

申请为第 7 节定义的 A8 记录类型分配 DNS 资源记录类型号。

19.8 组播组分配

申请分配第 10.3 节定义的 ff.ff.00.00.224.0.0.0/24 范围内的组播组。

19.9 私有 ASN 预留

申请按照 [RFC6996] 的规定，预留 ASN 65534 用于私有公司间 BGP8 对等，预留 ASN 65533 用于文档和测试目的。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑鸟总结翻译的总结翻译的《互联网协议第 8 版（IPv8）》