IPv6过渡技术之隧道

《IPv6过渡技术之隧道》由会员分享，可在线阅读，更多相关《IPv6过渡技术之隧道（16页珍藏版）》请在装配图网上搜索。

1、IPv6过渡技术之隧道随着IPv4地址的极度紧缺和Ipv6技术的日益成熟,Ipv6网络距离我们越来越近了.虽然在一些发在国家,IPv6网络已经有相当规模的部署,但是目前骨干网络仍是以IPv4网络为主.怕以若使不同地理区域的IPv6网络互通,特别是网络结构跨度很大的情况下,不可能在短期内把区域之间的网络设备全部升级到IPv6.因此,必须有一套机制来保证IPv6网络的孤岛间能够利用现有IPv4网络来实现通信.IETF专门成立了下一代网络过渡工作组.负责研究IPv4与IPv6的共存和互通问题,这个工作组推出了10多个RFC和20多个草案,其中主要有两种主流过渡技术:隧道技术和转换技术所有过渡技术都是

2、基于IPv4/IPv6双栈实现的.本文的内容主要讨论隧道方面的过渡技术.双栈骨干网在双栈骨干网部署中,网络中的所有路由器均同时保持IPv4 与IPv6协议堆栈.应用程序在使用 IPv4 或 IPv6 之间进行选择,并由应用程序按照 IP 业务负载的类型与通信的特定需要选择正确的地址.如今,双栈路由选择是具有需要两种协议的IPv4 与IPv6组合应用程序网络基础架构的首选部署策略.然而,该策略却有若干限制：网络中的所有路由器必须升级到 IPv6；路由器还需要双寻址方案、 IPv4与IPv6选路协议的双重管理以与IPv4与IPv6两个选路表所需的足够存储空间.通过IPv4实现IPv6的隧道传输方法

3、是在IPv4 数据包内封装IPv6业务负载,通过IPv4骨干网进行发送如图所示.这使孤岛状IPv6 终端系统和路由器能够通过现有IPv4基础架构进行通信.如同RFC2893所定义的那样,隧道的两个端点需要使用适当的IPv6和IPv4地址进行配置.坐落于端点的边缘路由器,通常为双栈路由器,将按照配置转发通过隧道的业务负载.过渡技术概述隧道技术介绍:1.本文档中介绍的隧道技术以IPv6 in Ipv4隧道技术为主2.大多的隧道技术基本思想都是一个加封装与解封装的过程,区别在于封装部分的不同,例如MPLS隧道封装的是标签,IPSEC隧道封装的IPSEC头部,而我们今天介绍的IPv6 in IPv4隧

4、道是通过在IPv6报文头上直接封装IPv4头部完成的.3.IPv6 in IPv4隧道技术是将IPv的隧道当作为IPv6的虚链路,任何支持IPv4/IPv6双栈的节点都可以通过支持隧道技术来实现两两互通,它可应用在路由器-路由器,主机-主机,主机-路由器之间4.与其他的隧道封装技术相比,IPv6 in IPv4隧道技术的优点有:实现简单,实用性强标准成熟技术门槛低,网络设备和主机不要支持其他的协议只需支持IPv4/v6双栈即可完成部署IPv6 in IPv4隧道技术原理将IPv6数据报文封装上IPv4的报文头,通过隧道使IPv6报文穿越IPv4网络,实现隔离的IPv6网络间的互通.IPv4报头

5、中的各字段:Header length:IPv4报头长度+IPv6报头长度+IPv6 Data长度Protocol:0x41Source Address:做隧道封装的源IP地址Destimation Address:做隧道封装的目的IPv4地址IPv6 in IPv4隧道报文处理流程:1.IPv6报文到达隧道的源端设备2.隧道的源端设备查路由表判定该报文要通过入隧道转发.3.隧道的源端设备检查隧道配置,在IPv6报文前封装IPv4报头,通过隧道的实现物理接口将报文转发出去.4.封装了IPv6报文的IPv4报文到达隧道目的端设备,目的端设备判断该封装报文的目的地是本设备后,对报文进行解封装后送I

6、Pv6协议栈处理.5.目的端设备根据解封装后IPv6报文的地址,查IPv6路由将报文进一步处理.目的端设备如何知道收到的IPv4报文是一个封装了IPv6的报文要送IPv6协议栈处理?查协议号0x41IPv6 in IPv4隧道分类配置隧道IPv6手动隧道GRE隧道自动隧道6to4隧道ISATAP隧道IPv4兼容IPv6自动隧道6over4隧道隧道代理其他.手动隧道VS自动隧道手动隧道:顾名思义,它有于隧道封装的IP地址必须全部手动配置,它是一条点到点的链路自动隧道:用于隧道封装的目的地址不需要手动配置,隧道就可以正常工作,自动隧道是从IPv6报文的目的地址中直接或间接地自动获取IPv4地址来进

7、行隧道封装的,有点到点和点到多点的链路.手动隧道上的链路本地地址,根据隧道上配置的源IPv4地址自动生成,格式为FE80:v4Addr隧道下没有MAC的概念,仅处理三层业务,隧道的源地址理念上可以指定为接口IP地址,接口从IP地址,环回口IP地址等.从安全性方面考虑,隧道应该在解封装前对报文的源,目的的IPv4地址进行合法性检查.手动隧道手动隧道是最简单的实现V6和V6网络互通的隧道技术,同时也是其他IP隧道技术的其他,手动隧道适用于比较成型的IPv6网络,目前应用最广的隧道技术优点实现比较简单支持组摠报文转发,可以在隧道上运行动态路由协议缺点网络变化则需要隧道配置也实时变化.配置IPv6手动

8、隧道首先保证IPv4路由全网可达可以通过动态IPv6路由协议学习路由的方法代替手工配置静态路由,但不能运行ISISv6R1:ipv6 unicast-routing 开启IPv6单播,必须要打这条命令,否则IPv6不会启用interface loopback 0ipv6 address 2000:1/64interface f0/0ip address 192.168.1.1no shutinterfce tunnel 0 定义一个隧道接口0ipv6 address 2002:1/64 tunnel source 192.168.1.1 隧道源IPv4地址,可以不在同一个网段tunnel de

9、stination 10.1.1.1 隧道目的IPv4地址tunnel mode ipv6ip 隧道封装类型为IPv4IPip route 10.1.1.0 255.255.255.0 192.168.1.2让tunnel接口状态为up的条件有3个:1.配置了tunnel接口的IP地址;2.配置了源地址和目的地址;3.源和目的地址之间要有可达的路由.R2:interface f0/0ip address 192.168.1.2 255.255.255.0no shutinterface f1/0ip addres 172.16.1.1 255.255.255.0no shutip route

10、10.1.1.0 255.255.255.0 172.16.1.2R3:interface f0/0ip address 172.16.1.2 255.255.255.0no shutinterface f1/0ip address 10.1.1.2 255.255.255.0no shutip route 192.168.1.0 255.255.255.0 172.16.1.1R4:interface loopback 0ipv6 2001:1/64interface f0/0ip address 10.1.1.1 255.255.255.0no shutinterface tunnel 0

11、ipv6 2002:2/64tunnel source 10.1.1.1tunnel destination 192.168.1.1tunnel mode ipv6ipip route 192.168.1.0 255.255.255.0 10.1.1.2在IPv6手动隧道运行路由协议-RIPng只要在隧道接口接口上启用RIPngR1:interface tunnel 0ipv6 rip RIPoTU enableR2:interface tunnel 0ipv6 rip RIPoTU enable在IPv6手动隧道运行路由协议-OSPFv3配置：r1:ipv6 unicast-routingi

12、n e1/0ipv6 add 2000:1/64no shipv6 ospf 1 a 0 在接口上定义ospfv3属于哪个区域ipv6 router ospf 1 启用ospfv3,必须手工定义路由器id,否则ospfv3不会启用router-id 1.1.1.1r2:ipv6 unicast-routingin e1/0ipv6 add 2000:2/64no shipv6 ospf 1 a0in e1/1ip add 192.168.1.1 255.255.255.0no shipv6 router ospf 1router-id 2.2.2.2in tunnel 0 定义一个隧道接口0i

13、pv6 add 2001:1/64 隧道ipv6地址,必须和对端隧道ipv6地址属于同一网段tunnel source 192.168.1.1 隧道源ipv4地址,可以不在同一个网段tunnel destnation 192.168.1.2 隧道目的ipv4地址tunnel mode ipv6ip 隧道类型为ipv6ipipv6 ospf 1 a 0r3:ipv6 unicast-routingin e1/0ip add 192.168.1.2 255.255.255.0no shin e1/1ipv6 add 2002:1/64no shipv6 ospf 1 a 0ipv6 router

14、ospf 1router-id 3.3.3.3in tunnel 0 参考上面的说明ipv6 add 2001:2/64tunnel source 192.168.1.2tunnel destnation 192.168.1.1tunnel mode ipv6ipipv6 ospf 1 a 0r4:ipv6 unicast-routingipv6 router ospf 1router-id 4.4.4.4in e1/0ipv6 add 2002:2/64no shipv6 ospf 1 a 0验证命令：show ipv6 route 查看ipv6路由表ping查看r1路由表R1#show i

15、pv6 roIPv6 Routing Table - 8 entriesCodes: C - Connected, L - Local, S - Static, R - RIP, B - BGPU - Per-user Static routeI1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summaryO - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2C

16、 2000:/64 0/0via :, Ethernet1/0L 2000:1/128 0/0via :, Ethernet1/0O 2001:/64 110/11121via FE80:C801:14FF:FE3C:1C, Ethernet1/0O 2002:/64 110/11131via FE80:C801:14FF:FE3C:1C, Ethernet1/0C 2012:5:19:/64 0/0via :, Ethernet1/0L 2012:5:19:1/128 0/0via :, Ethernet1/0L FE80:/10 0/0via :, Null0L FF00:/8 0/0vi

17、a :, Null0已经学到r4的路由和隧道接口的ipv6地址再ping,能够ping通就正常了R1#ping 2002:2Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 2002:2, timeout is 2 seconds:!Success rate is 100 percent , round-trip min/avg/max = 44/108/136 ms在Windows XP下配置IPv6手动隧道C:ipv6 ifcr v6v4 100.1.1.2 100.1.1.1xp提示Created interf

18、ace7.C:ipv6adu 7/1000:2 创建接口7的IPv6地址C:ipv6 rtu :/0 7/1000:1 创建一条默认缺省路由,他的下一跳是1000:1R1:interface tunnel0ipv6 add 1000:1/64tunnel mode ipv6iptunnel source 100.1.1.1tunnel destination 100.1.1.2GRE隧道GenericRoutingEncapsulation,简称GREGRE隧道是Cisco开发的,在Cisco路由器上,默认的隧道协议为GRE封装IPv6过渡技术使用的GRE隧道,仍使用标准的GER封装,只不过乘

19、客协议为IPv6协议IP协议号为47,GRE报头中的协议类型为0x86DD支持ISISv6等各种IPv6动态路由协议对于GRE隧道,可使用卡车类比.公路相当于传输协议.对GER隧道来说,这可以是IPv4或IPv6卡车相当于隧道协议.对GRE隧道来说,这是GRE封装.货物相当于乘客协议,对GRE隧道来说,这可以是IPv6或其他协议interfce tunnel 0 定义一个隧道接口0ipv6 address 2002:1/64tunnel source 192.168.1.1 隧道源IPv4地址,可以不在同一个网段tunnel destination10.1.1.1 隧道目的IPv4地址tunn

20、el mode gre ip 隧道封装类型为GRE自动隧道优点:配置简单 维护方便缺点:IPv6地址使用有限制 不能转发组播报文,即不能在隧道上运行多数的路由协议6TO4自动隧道采用IPv6-IPv4封装格式,使用2002:V4ADDR:/48前缀的IPv6地址是点到多点的隧道技术,在过渡技术初期较为有效.只要申请了公网IPv4地址,就自动拥有对应的6to4类型的IPv6全球地址,因此说无需申请正式的IPv6地址就可以部署基于6to4技术的IPv6网络用于隧道封装的目的IPv4地址从目的IPv6地址的第3-6个字节自动获得,RFC3056规则用于6to4隧道封装的IPv4地址不能是私网地址.隧

21、道上的链路本地地址根据配置的源IPv4地址自动生成,格式为FE80:V4ADDR可以节省IPv4和IPv6地址,一个公网IPv4地址就可以组建一个大的6to4网络由于IPv6地址被限制为特殊的6to4地址,所以6to4隧道技术不适用在大型IPv6骨干网络中使用.6to4自动隧道术语:6to4前缀:标准中规定6to4隧道必须使用的IPv6前缀.6to4地址:使用6to4前缀生成的IPv6地址纯IPv6地址:使用非6to4前缀的IPv6地址6to4路由器:支持6to4隧道的路由器,通常是一个介于IPv6站点和广域IPv4网络之间的边界路由器.6to4主机:至少拥有一个6to4地址的IPv6主机6t

22、o4站点:内部使用6to4地址的IPv6站点中继路由器:能够支持6to4地址和纯IPv6地址间路由的6to4路由器.6to4隧道的应用环境有两种：一种是通信双方都处于6to4域中,并且均采用6to4地址；另一种是通信的一端处于6to4域中,并采用6to4地址,而另一端则处于纯IPv6域中,采用纯IPv6地址,此时应使用6to4中继器进行连接.6to4隧道技术原理6to4隧道技术的核心思想是在站点的地址前缀中蕴含了IPv4隧道的端点地址,其关键是在站点边界路由器的IPv4地址和站点内主机的IPv6地址之间建立了一种映射,直接将边界路由器的IPv4地址作为站内主机IPv6地址前缀的一部分.6to4

23、边界路由器通常是连接6to4局域网和IPv4网络的边界路由器,同时支持6to4地址和IPv4地址,此路由器至少具有一个6to4隧道接口,在此接口上实现对IPv6数据的IPv4封装与解封装,它要和其他非6to4网互联,需要指定中断路由器的IPv4地址,对目的地址为非6to4地址包,它以中断路由器的IPv4地址为目的地址封装数据包.6to4中继路由器是一种高级的6to4路由器,一般位于IPv6主干网的边界,用于连接纯IPv6网和IPv4网,它必定具有一个6to4伪接口用于和其他通信.6to4网间的通信过程以图2主机A,B的通信过程为例,A发出报文的源地址为2002:102:304:1,目的地址为2

24、002:506:708:1,报文被路由到边界路由器A,在边界路由器A中,存在着一条2002:/16的路由表项,此表项指向6to4接口,路由器把收到报文从此接口封装转发,封装后的IPv4报文源地址为1.2.3.4,目的地址是从IPv6报文的目的地址2002:506:708:1中提取的,为5.6.7.8.边界路由器B在5.6.7.8接口收到报文后解封装,然后由IPv6路由进程处理,路由进程查找路由表后将报文送入6to4网进行正常的路由传送,最后到达主机B.6to4网与纯IPv6网间的通信过程以图2主机A,C的通信过程为例,A发出报文的源地址为2002:102:304:1,目的地址为3001:2:3

25、:4:1,报文被路由到边界路由器A,边界路由器中存在一条缺省路由,本地出口为6to4伪接口,下一条为中继路由器192.88.99.1,于是在边界路由器以192.88.99.1为目的地址封装此报文,中继路由器收到此报文后解封装,经6to4伪接口交由IPv6路由进程进一步路由传送,对于C回复的数据包,经IPv6主干网的路由传送后,最后到达一台6to4中继路由器,这台中继路由器上存在着2002:/16的路由表项,其出口为6to4伪接口,于是将此数据包经6to4伪接口封装,封装的IPv4目的地址为1.2.3.4,封装后的报文IPv4网上进行路由传送,最终经边界路由器A解封装后送到主机A.interfa

26、ce tunnel 12ipv6 address 2002:AC10:6501:/128tunnel source loopback 101tunnel mode ipv6ip 6to4以上配置与手工隧道类似.区别之一,是没有指定隧道的目标地址,因为目标IPv4地址内嵌在IPv6地址中.另一个差别是,使用了ipv6ip 6to4封装.6to4中继6to4隧道只能将前缀为2002:/16的网络连接起来,但是在实际网络中如何让6to4网络和纯IPv6网络互通呢?这个时候就需要使用6to4中断路由器.支持IPv6路由的网络设备一般都可以做6to4中继路由器,实际上,这个时候的组网对6to4网络的边缘

27、路由器要求比较高.需要在边缘路由器上使用路由迭代和静态IPv6路由配置,来实现将目的IPv6地址为纯IPv6类型地址的报文也能自动进行IPv4封装并进入6to4隧道转发给中断路由器.配置:增加一条静态路由:ipv6 route 目的IPv6地址 对端的6to4IPv6地址.6to4隧道的最大的缺点在于,只能使用静态路由或BGP.这是因为其他路由协议使用链路本地地址来建立邻接关系和交换更新,而链路本地地址不符合6to4隧道的要求,因此不能用于6to4隧道.另一个缺点是不能在隧道的IPv4路径上使用NAT,这同样是由于6to4隧道对地址的要求.6to4隧道与NAT的兼容性6to4隧道与静态NAT静

28、态NAT在对数据进行翻译时,只进行IPv4地址翻译,不进行TCP/UDP端口,ICMP查询ID的翻译,所以不需要了解IPv4所封装的上层协议类型,上层协议类型不影响对IPv6 in IPv4数据包的翻译,但翻译后,各种隧道机制能否正常工作,内网的主机能否使用隧道技术接入IPv6网络,则取决于地址翻译的类型,隧道的配置.6to4地址格式中嵌有隧道端点的IPv4地址,对私网主机,其内部局部地址就嵌在IPv4地址中,以此IPv6地址为源地址的隧道数据包,虽然NAT能对其IPv4报头进行翻译,但报文接收端提取到的隧道端点地址却是主机的内部局部地址,在外网中,私有地址是不可路由的,用这地址作为隧道的对端

29、显然是不正确的,因此,要让内网主机用6to4隧道接入IPv6网,关键是让外网主机知道内网主机经过翻译后的全局地址,因此,内部主机若能在6to4地址中嵌入自己的内部全局地址,或许就能以这类隧道访问IPv6网.以图3所示网络为例,通过实验进行分析,主机A安装的是Windows 2000,B是公网的一台主机,安装的Windows XP,NAT网关在Cisco 2621路由器上实现,主机B上Windows XP安装了IPv6协议栈后,会自动完成6to4的相关配置,在思科路由器上给主机A配置静态NAT,其全局地址为2.2.2.3.在主机A的Windows 2000上配置6to4隧道,需要执行命令6to4

30、cfg,此命令随IPv6协议栈一起安装,执行完后自动生成一个6to4接口,自动配置6to4地址2002:101:102:101:102,嵌入的是内部局部地址,根据前面的设想,删除此地址,按主机A的内部全局地址重新配置6to4地址2002:202:203:202:203,用ping6命令测试,主机A,B能以6to4隧道连通.6to4隧道与动态NAT动态NAT与静态NAT基本是相同的,主机A的内部全局地址由NAT网关根据一定的策略从地址池中选取,主机A每次对外部网络的访问,其内部全局地址都可能不同,很难按照静态NAT的方法给主机A配置6to4地址,A,B就无法以6to4隧道的形式通信.6to4隧道

31、与NAPTNAPT在翻译数据包的IPv4地址时,加入了对TCP/UDP端口号,ICMP查询ID的翻译,因此NAPT设备必须要能找到相应的UDP/TCP报头和ICMP报头,隧道数据报文不同于普通的IPv4数据报文,其UDP/TCP端口号,ICMP查询ID位于IPv6报头与扩展报头之后,而目前的NAPT设备都不支持IPv6协议,无法识别这种IPv4封装的IPv6报文,就找不到相应的UDP/TCP报头和ICMP报头,此时如何处理这种特殊的数据报文,在NAT相关的RFC3056文档中,并没有给出相应的办法.仍以图3所示网络为例研究NAPT设备对这种报文的处理方式,在路由器上设置NAPT,全局地址为2.

32、2.2.3.在主机A上ping6主机B的6to4地址,没有成功;观察路由器上NAPT翻译过程可以得出,最后路由器丢弃这种数据包,这是由于Cisco2621路由器不支持IPv6协议,把IPv6 in IPv4数据包仍按普通IPv4数据包一样对待,试图进行网络地址,端口翻译,因此肯定是要失败的.6to4隧道穿越NAT方案的设计6to4隧道穿越NAT困难,关键是外网的隧道端点得到的内网主机地址不合法,不能用来作为隧道的另一端.采取一些特殊办法,使外网的隧道端点知道内部主机翻译后的全局地址,用此地址作为隧道的另一端,外网的隧道数据包就能穿越NAT设备而到达内部主机.受静态NAT启发,如果NAPT网关不

33、丢弃隧道数据包而是直接转发,内部主机以全局地址生成6to4地址,那么,外网回复的数据包是能被送到NAPT网关的,NATP网关若能把数据包又送回到内部主机,隧道就能正常工作,再进一步,内部主机以本地局部地址生成6to4地址,对回复的数据包,NAPT网关再进行相反方向的翻译,数据包就可以到达内部主机,而且这种方案中,内部主机不需要知道它的全局地址,所以具有较大的灵活性.方案的总体设计以图4网络为例说明本文的穿越方案.每台主机以自己的内部地址配置6to4地址,独享2002:v4addr/48的地址前缀,按6to4原理,每台主机都是一台边界路由器,只不过它没有自己的子网,把它称为退化了的边界路由器.以

34、主机A为例,它的本地6to4地址前缀为2002:101:102:/48,访问IPv6域的数据包在经NAPT时,将其源地址中嵌入的本地地址1.1.1.2翻译为NAPT的出口地址200.201.43.160形成2002:cac9:2ba0:/48的地址前缀,那么外部IPv6域就可以把回复的数据包送到200.201.43.160接口,此时再进行相反方向的翻译,主机A就能收到恢复的数据包,可以与外部正常通信,从外部来看,整个NAPT域是一个6to4域,边界路由器是NAPT网关,但实际上内部各个主机自成一个6to4域,NAPT网关只是进行了地址翻译,没有起到6to4边界路由的功能,因此把每个主机形成的6

35、to4域称为微6to4域,把整个NAPT域称为宏6to4域,NAPT网关称为宏边界路由器.无状态翻译机制.本文所述方案的关键在于宏边界路由器的地址翻译上,翻译策略分为有状态翻译和无状态翻译两种.有状态翻译要记录每一个数据流的状态;无状态翻译不记录数据流的状态,只是根据某种固定规则,处理流经的数据包,有状态翻译灵活,安全,能有效地防止外部网络对内网的攻击,而无状态翻译简单,容易实现,本方案采用无状态翻译策略,不记录连接状态,把翻译规则嵌入到6to4地址格式中,对出入的数据包,直接进行地址翻译,另外,在翻译时,采取尽力而为,最小丢弃的原则,把不能处理的数据包,交还给操作系统,由其决定处理办法.6t

36、o4地址格式的扩展采用无状态翻译,手工配置建立固定的地址映射关系,只适合于小规模应用.本方案中对6to4的地址格式进一步细化,提出一种扩展6to4地址格式,把地址映射关系嵌入其中,细化后的地址格式如图5所示.在6to4地址格式的后32位,再嵌入一个IPv4地址V4ADDR2,而且V4ADDR1=V4ADDR2=本地接口地址.把这种地址称其为扩展6to4地址格式,相应地把原来6to4地址格式称为标准6to4地址.在内部网络中,主机的6to4接口都配置扩展6to4格式地址,此时,V4ADDR1,V4ADDR2为主机的IPv4内部局部地址,为了以后叙述方便,此类地址称为IPv6内部局部地址,按照前面

37、叙述的翻译方案,IPv6内部局部地址V4ADDR1字段在翻译后被改为主机的IPv4内部全局地址,相应地,把此时的地址称为IPv6内部全局地址,从这个全局地址中的V4ADDR1和V4ADDR2字段就可知道地址的映射关系.翻译规则本文的地址翻译方案,涉与到两类数据包:内网主机发出的数据包和外部网络回复的数据包.具体的地址翻译规则如图6所示.转自:/wenku.baidu /view/1fd46909763231126edb111e.html在Windows XP下配置6to4自动隧道C:ipv6 adu 3/2002:6401:102:1:2 6to4的接口号为3C:ipv6 rtu 2002:/

38、16 3C:ipv6 rtu :/0 3/2002:6401:101:1:1R1:interface tunnel 0ipv6 address 2002:6401:101:1:1/64tunnel source 100.1.1.1tunnel mode ipv6ip 6to4ipv6 route 2002:/16 tunnel 0IPv4兼容IPv6自动隧道采用IPv6-IPv4封装格式,使用:IP-Address/96前缀的IPv6地址用于隧道封装的目的IPv4地址从报文目的IPv6地址的低32位中自动获得是点到多点的隧道技术,隧道两端必须都采用IPv4兼容地址隧道上的链路本地地址根据配置的

39、源IPv4地址自动生成,格式为FE80:V4ADDR只能在兼容地址间通信,且每个隧道节点都依赖不同的IPv4地址,有很大的局限性逐渐被淘汰的过渡技术配置:差别之一是:没有给隧道接口分配IPv6地址.将自动给隧道接口分配IPv6地址,它是指定隧道源接口对应的IPv4兼容的IPv6地址.另一个差别是使用命令tunnel mode ipv6ip auto-tunnel.interface tunnel 12tunnel source loopback 101tunnel mode ipv6ip auto-tunnel在Windows XP下配置IPv4兼容IPv6自动隧道C:ipv6 adu 2/:

40、100.1.1.2C:ipv6 rtu :/0 2/:100.1.1.1R1:interface tunnel 0tunnel source 100.1.1.1tunnel mode ipv6ip auto-tunnel注:与H3C的区别是:Cisco不需要配置隧道的IPv6地址,根据隧道源地址自动生成,而H3C需要配置IPv6地址.ISATAP自动隧道采用IPv6-IPv4封装格式,使用Prefix:0:5EFE:IP-Address格式的IPv6地址隧道的链路本地地址和全球单播地址的格式相同,仅前缀不同是点到点的隧道技术,主要用于主机-主机,主机-路由器的连接.设备用于隧道封装的目的IPv

41、4地址从目的IPv6地址的低32位中自动获得单播IPv4地址可以是公网地址,也可以是私网地址,这样有效地避免了IPv4地址紧缺的问题.容易受到外网的欺骗攻击和内网的DOS攻击.ISATAP隧道不仅完成隧道功能,还可以通过IPv4网络承载IPv6网络的ND协议,从而使跨IPv4网络的设备仍然可以进行IPv6设备的自动配置.ISATAP的主要缺点是不支持IPv6多播,不能跨越NAT设备配置:隧道接口的IPv6地址是自动分配的,根据网络前缀.interface tunnel 0ipv6 address 12:12:/64 eui-64tunnel source boopback 101tunnel

42、mode ipv6ip isatap在Windows XP下配置ISATAP自动隧道R1:interface tunnel 0ipv6 add 30:30:/64 eui-64ipv6 source f0/0ipv6 mode ipv6ipisatapno ipv6 nd suppress-raC:ipv6 rlu 2 100.1.1.1与H3C命令的区别转:/ doc88 /p-143577681626.html6over4隧道RFC25296over4隧道使得没有直接与IPv6路由器相连的孤立IPv6主机通过IPv4组播域以此作为虚拟链路层形成IPv6的互联.所以,在同一个IPv4的组播域

43、中,至少需要有一个使用6over4的IPv6路由器和该6over4主机连接.通过6over4机制,IPv6可以独立于底层的链路,而且可以跨越支持组播的IPv4子网.6over4机制要求IPv4网络支持组播功能,但目前的大多数网络均没有此功能,因此在实际应用中,它很少被利用.另外,利用IPv4的组播特性作为虚拟链路层,是一种本地传送机制,适用范围很小,只适用于双栈主机间的通信,不能解决将一个孤立节点连接到全局IPv6网络中的问题.6over4隧道通常只能应用在网络边缘,例如企业网和接入网.隧道代理隧道代理通常应用于独立的小型的IPV6站点,特别是独立的分布在IPv4互联网中的IPV6主机需要连接

44、到已有的IPV6网的情况.隧道代理TB提供一种简化配置隧道的方法,可以减少繁重的隧道配置工作.隧道代理的思想就是通过提供专用的服务器作为隧道代理,自动地管理用户发出的隧道请求.用户通过Tunnel Broker能够方便IPv4和IPV6网络建立隧道连接,从而访问外部可用的IPV6资源.隧道代理这种过渡机制对于在IPV6的早期为吸引更多的IPV6使用者能方便快捷地实现IPV6连接有很大的益处,同时也为早期的IPV6提供商提供了一种非常简捷的接入方式.Teredo隧道位于NAT后的IPv6节点采用一般的隧道技术IPv6-over-IPv4是不能和NAT域外的IPv6节点进行通信的,因为目前的NAT

45、一般不支持协议类型为41也就是IPv6-over-IPv4的数据包.Teredo隧道有别于一般的IPv6-over-IPv4隧道,确切地讲,它是一种IPv6-over-UDP隧道,数据包通过被封装在UDP载荷中的方式穿过NAT.Teredo隧道的通信实体包括客户端、服务器、中继、特定于Teredo主机的中继.Teredo客户端是指支持Teredo隧道接口的IPv4/v6节点,通过此隧道接口,数据包传送给其他的Teredo客户端以与IPv6网络上的其他节点通过Teredo中继.Teredo地址只是分配给 Teredo客户端,其他实体并不分配Teredo地址.Teredo服务器指连接IPv4网络与

46、IPv6网络的IPv4/v6节点,支持用来接收数据包的Teredo隧道接口,其常见作用是帮助 Teredo客户端进行地址配置,协助在Teredo客户端之间或者客户端与纯IPv6主机之间建立通信连接,它使用UDP 3544端口侦听Teredo通信.Teredo中继指能够在IPv4网络上的Teredo客户端之间使用Teredo隧道接口以与与纯IPv6主机之间传送数据包的IPv4/v6路由器,它使用UDP 3544端口侦听Teredo通信.特定于Teredo主机的中继指同时具有IPv4与IPv6 Internet连接并无需Teredo中继即可通过 IPv4网络直接与Teredo客户端通信的IPv4/

47、v6节点,它使用UDP 3544端口侦听Teredo通信.它能够使Teredo客户端与6to4主机、带有非6to4全球地址前缀的IPv6主机或者组织内部地址中使用全球前缀的ISATAP以与6over4 主机进行有效通信.Teredo隧道可使NAT域内的IPv6节点获得全球性的IPv6连接,在IPv4地址匮乏而广泛运行NAT的地区,尤其是中国,它无疑具有较好的应用前景.但Teredo的运行需要Relay的支持,而且它不支持隧道中间存在Symmetric NAT；另外,Teredo地址采用规定格式的前缀也不符合IPv6路由分等级的思想.这些不足在一定程度上将影响Teredo的部署.假如原来的IPv

48、6、6to4或者ISATAP连接可用,那么主机就不必作为Teredo的客户端.现在,越来越多的IPv4 NAT经过了升级以便能够支持6to4 ,而且IPv6连接变得越来越普遍,因此,Teredo的使用将会越来越少,直到完全被放弃.多协议标记交换Multi-ProtocolLabelSwitching,简称MPLS隧道使用 MPLS 技术,孤立的 IPv6 域能够通过一个 MPLS IPv4 核心网络在彼此间进行通信.因为 MPLS 转发是基于标记的基础之上,而非基于 IP 包头本身,所以这种实施需要的骨干网基础设施升级大大减少,核心路由器的重新配置也有所下降,从而为部署IPv6提供了一个非常经

49、济合算的方法.此外, MPLS固有的VPN与业务负载技术维护服务使IPv6网络能够通过支持IPv4VPN与MPLS-TE的基础架构并入VPN或外部网络.MPLS隧道主要有3种形式：在CE客户边缘路由器上配置IPv6隧道、MPLS上的电路透传二层隧道IPv6、在PE提供商边缘路由器起用IPv66PE.其中,前两者在扩展性上存在一定的问题；后者是一种较好的策略.6PE要求IPv6站点必须通过CE连接到一个或多个运行MP-BGP多协议扩展-边界网关协议的双栈PE上,这些PE之间通过MP-BGP来交换IPv6的路由可达信息,通过隧道来传送IPv6数据包.6PE适合从边缘到核心的网络过渡策略.首先它在骨

50、干网和城域核心网仍然可以保持原有的IPv4协议,而只是在网络边缘通过MPLS技术来实现IPv4数据包和IPv6数据包的传送.其次它扩展性较好,当原有网络已经实现了MPLS时,各个边缘网络可以自主选择网络过渡时间和组网方式本地网的组网方式不受MPLS隧道机制的影响.6PE路由器用两层的MPLS标签来封装IPv6数据：顶层标签由核心网络设备使用的LDP标记分布路径来分发,用来根据路由信息将数据包承载到目的地的6PE；第二层或底部标签与目的地的IPv6前缀有关,通过multi-protocol BGP-4来传播.6PE的缺点主要是,其实施是以网络中已经部署实施了MPLS为前提条件的,对于尚没有部署M

51、PLS的网络不适用.表1是几种MPLS隧道方式特点的比较.IPv6 NAT-PTNAT-PT 是一种纯 IPv6 节点和 IPv4 节点间的互通方式,所有包括地址、协议在内的转换工作都由网络设备来完成.支持 NAT-PT 的网关路由器应具有 IPv4 地址池,在从 IPv6 向 IPv4 域中转发包时使用,地址池中的地址是用来转换 IPv6 报文中的源地址的.此外网关路由器需要 DNS-ALG 和 FTP-ALG 这两种常用的应用层网关的支持,在 IPv6 节点访问 IPv4 节点时发挥作用.如果没有 DNS-ALG 的支持,只能实现由 IPv6 节点发起的与 IPv4 节点之间的通信,反之则

52、不行.如果没有 FTP-ALG 的支持,IPv4 网络中的主机将不能用FTP软件从IPv6 网络中的服务器上下载文件或者上传文件,反之亦然.NAT-PT分类NAT-PT一共有 3种模式：1 静态NAT-PT,它使用了一种静态的ipv6 和ipv4地址一一对应的处理方式.类似于IPv4 中的静态NAT2 动态NAT-PT它使用一个IPv4地址池,然后再IPv6网络中动态的将预定义的NAT-PT前缀加到目前的IPv4地址.这种模式需要一个IPv4 地址池来执行,类似于IPv4 的动态NAT3 NAPT-PT它使用多个有NAT-PT前缀的IPv6地址和一个源IPv4地址之间多对一的动态映射,转换同时

53、在3层和UDP/TCP层上进行.它和IPv4中的PAT类似.静态NAT-PT配置方式如下：Router#int fa0/0Router#ip address 1.1.1.1 255.255.255.0Router#ipv6 natRouter#int fa0/1Router#ipv6 address 2001:aaaa:1/64Router#ipv6 natRouter#exitRouter#ipv6 nat prefix 2001:aaaa:ffff:/96Router#ipv6 nat v6v4 source 2001:aaaa:1 1.1.1.1Router#ipv6 nat v4v6

54、source 1.1.1.1 2001:aaaa:1Router#do show ipv6 nat translationProtIPv4 sourceIPv6 sourceIPv4 destinationIPv6 destination-1.1.1.12001:AAAA:1Tcp1.1.1.1,802001:AAAA:1,801.1.1.1,222001:AAAA:1,22动态NAT-PTRouter#int fa0/0Router#ip address 1.1.1.1 255.255.255.0Router#ipv6 natRouter#int fa0/1Router#ipv6 addre

55、ss 2001:aaaa:1/64Router#ipv6 natRouter#exitRouter#ipv6 nat prefix 2001:aaaa:ffff:/96Router#ipv6 access-list ipv6 permit 2001:aaaa:/48 anyRouter#ipv6 nat v6v4 pool ipv4-pool 1.1.1.1 1.1.1.30 prefix-length 24Router#ipv6 nat v6v4 source list ipv6 pool ipv4-poolNAPT-PTRouter#int fa0/0Router#ip address 1

56、.1.1.1 255.255.255.0Router#ipv6 natRouter#int fa0/1Router#ipv6 address 2001:aaaa:1/64Router#ipv6 natRouter#exitRouter#ipv6 nat prefix 2001:aaaa:ffff:/96Router#ipv6 access-list ipv6 permit 2001:aaaa:/48 anyRouter#ipv6 nat v6v4 pool ipv4-pool 1.1.1.1 1.1.1.30 prefix-length 24Router#ipv6 nat v6v4 source list ipv6 pool ipv4-pooloverload.