同样是找地址，为什么 IPv6 不再用 ARP？NDP 到底改进了什么？

很多同学第一次接触 IPv6 时都会产生这种疑惑：

“IPv4 用 ARP 找 MAC 地址，那 IPv6 为什么不用 ARP？”“NDP 跟 ARP 不都是把网络地址映射成物理地址吗？有什么本质区别？”

乍一看，两者的功能确实类似，但它们背后的机制、性能、安全性以及可扩展能力可以说完全不是一个时代的产物。

这里我们不做纯粹的协议条目式对比，而是从机制、效率、安全、场景演进几个角度，讲讲 NDP 为什么能替代 ARP，以及 IPv6 时代它多强。

一、ARP：IPv4 时代的“广播式问路人”

ARP（Address Resolution Protocol）很经典，但也有明显的时代局限性。

核心逻辑：广播问一圈

想知道某个 IP 对应哪个 MAC？

“全网听一下！谁是 192.168.1.10？请告诉我你的 MAC！”

然后目标主机单播回应。

主要问题：

1）广播太多

广播会让整个二层网络都承压，规模越大越糟糕。

2）无法验证来源

ARP 欺骗（ARP Spoofing）在网络安全界就是“祖传漏洞”。谁都能冒充别人回应。

3）缺乏邻居状态管理

ARP 只解决“问地址”，没有“邻居真的还活着吗”的检测机制。

可以说 ARP 是简单有效，但也“过于简单”。

二、NDP：IPv6 时代的“智慧邻居管理器”

NDP（Neighbor Discovery Protocol）不仅替代了 ARP，还承担了更多任务。

它基于 ICMPv6，通过多播（Multicast）而非广播，效率高得多。

NDP = 现代化“邻居服务中心”

NDP 实际上包括 5 种消息：

• NS（Neighbor Solicitation）：类似 ARP 请求（多播）
• NA（Neighbor Advertisement）：类似 ARP 回复
• RA（Router Advertisement）：路由通告
• RS（Router Solicitation）：请求路由信息
• Redirect：重定向

除了“查 MAC”，它还能：

• 自动获取 IPv6 地址（无状态自动配置 SLAAC）
• 获取默认网关
• 维护邻居状态
• 检测链路是否仍可达
• 安全扩展（SeND）

这是 IPv6 设计之初就埋下的“高级能力”。

三、ARP vs NDP：不是简单升级，而是体系革新

下面从几个关键点总结：

1）广播 vs 多播：性能差异立竿见影

多播替代广播，是 IPv6 时代性能提升的关键一步。

2）安全性：ARP 几乎无防护，NDP 可强化

ARP 没有内置安全能力，因此出现过大量：

• ARP 欺骗
• ARP 中间人攻击
• ARP 泛洪

NDP 虽然默认仍可能遭到攻击，但它支持：

SeND（Secure Neighbor Discovery）

• 数字签名
• 加密验证
• 防止伪造地址

这是 ARP 完全做不到的。

3）状态管理：NDP 有 Neighbor Cache，ARP 没有

ARP 只负责“问一下谁是谁”，后续是否在线不管。

NDP 有完整的状态机：

• INCOMPLETE
• REACHABLE
• STALE
• DELAY
• PROBE

这让 IPv6 网络的可用性、稳定性更好。

4）功能边界：ARP 仅解决一个问题，NDP 是一套体系

NDP 涵盖：

• 地址解析（替代 ARP）
• 地址自动配置（替代部分 DHCP 功能）
• 默认网关发现
• 链路可达性探测
• 重定向管理

它是 IPv6 的“邻居自治系统”。

四、为什么 IPv6 时代必须用 NDP？

总结成一句话：

ARP 只解决“点名”，而 NDP 建立了整个 IPv6 的自治运转体系。

IPv6 的规模是 IPv4 无法比拟的，如果继续用 ARP 式广播问路，会让网络压力和安全性完全不可控。

NDP 的出现不是“升级补丁”，而是适配新网络时代的系统级变革。

再总结

• ARP = 广播问 MAC 的简单方案，缺乏安全性与扩展性。
• NDP = 基于 ICMPv6 的智能邻居管理体系，集多播、高安全、地址自动配置、可达性探测于一身。

两者完成的是同一件事，但 NDP 是面向未来网络规模设计的现代机制。