13.11 IPv6注意事项

防火墙中有一些专用于IPv6的配置项。首先，IPv6不再使用ARP协议，取而代之的是NDP（Neighbor Discovery Protocol），而NDP工作在IP层，需要配置IP地址后才可以使用。为此，系统用虚拟网卡MAC地址生成了一个IPv6链路本地地址。在主机级别防火墙和虚拟机级别的防火墙上，NDP配置项默认都是启用的，以便邻居发现（NDP）数据包的收发。

除了邻居发现以外，NDP也被用于完成其他任务，比如自动配置和路由通知。

虚拟机默认可以发送路由查询消息（以获取路由）和接收路由通知数据包。这允许虚拟机使用无状态的自动配置。但是，虚拟机默认不能向外发送宣称自己是路由器的路由通知数据包，除非设置“允许路由通知”（radv:1）配置项。

为便于NDP使用链路本地地址通信，防火墙提供了一个“IP过滤器”（ipfilter:1）配置项。启用该配置的效果类似于在虚拟机网卡上启用IP地址集合ipfilter-net*，然后把链路本地地址添加进去一样（详情可查看标准IP地址集合ipfilter-net*一节）。