windows 2008 配置网络连接性.doc

Error! No text of specified style in document.第2章 配置网络连接性很多年来，Internet协议(Internet Protocol，IP)成功地实现了内部网络和Internet的网络连接。IP版本4(IPv4)是在1981年发布的RFC(Request For Comment，请求注解)791中定义的，此后未经实质性修改。IPv4是一个健壮的协议，Internet中的大多数成员都实现了它，绝大多数工作站和服务器都有IPv4地址，IPv4地址通常由动态主机配置协议(Dynamic Host Configuration Protocol，DHCP)服务器或自动专用IP寻址(Automatic Private IP Addressing，APIPA)提供。然而，自1981年以来，Internet的发展突飞猛进，导致了下列与使用IPv4相关的问题，并规定了其最终替换者的需求。l IPv4地址空间可能会耗尽。l 维护Internet主干路由器上的大量路由表。l 更简单且更自动化地配置IP地址以及其他配置设置不依赖于DHCP的需求。l 默认地实现安全的端到端加密的需求。l 更好地支持数据的实时传送的需求。本章讨论IPv6是如何解决这些问题和满足这些需求的。其实以前版本的Windows Server操作系统就可使用IPv6，但需要安装它。Windows Server 2008(以及Windows Vista，这里在对等网络中使用)上默认地提供IPv6。然而，IPv4不会很快就销声匿迹，Internet中的大多数机器仍然使用IPv4。因此，IPv6必须与IPv4兼容。本章讨论IPv4到IPv6的迁移策略，以及应当如何规划IPv4和IPv6的互操作性。本章还讨论了可用来配置IPv6和调试IPv6连接问题的工具，接着讨论了DHCP版本6(DHCPv6)和Windows Server 2008对域名系统(Domain Name System，DNS)的增强。本章考查目标：l 规划基础结构服务服务器角色本章课程设置：l 第1课 在Windows Server 2008中使用IPv6l 第2课 配置DNS课前准备为顺利完成本章课程的学习，须做好以下准备工作。l 安装Windows Server 2008，并将试验PC配置为ernal域中的一个域控制器(DC)，如前言和第1章所述。你还需要一台运行Windows Vista Business Edition、Enterprise Edition或Ultimate Edition的客户端PC，并且该PC是ernal域的成员。这可以是另一台PC，也可以是你的DC所在的同一台PC上安装的虚拟机。虽然使用一台运行Windows XP Professional的客户端PC可以完成大多数练习，但第5章和第4章的一些练习可能会出现问题。因此，建议大家不要使用Windows XP Professional客户端。实践经验Ian McLean还记得千年虫问题吗？1999年，网络世界一片混乱，起码媒体是这么报道的。这好像是在午夜的钟声敲响时,新千年开始了，所有的计算机都会爆炸，而飞机都会反向飞行。可以预见到管理层的反应是，在午夜前5分钟切断一切的电源，并在进入新千年后5分钟再打开。网络专家们知道，可怕的千年虫就像灰姑娘的水晶鞋一样。当2000年拉开序幕时，少数旧式的4位处理器可能会受到影响，但不会发生任何其他大事。而我们还有一些比假想的年终问题更需要担心的问题。你看，网络世界正处于一片混乱之中。有人预测，到2000年4月份，再也没有IPv4地址可供分配了。IPv6和Internet的IPv6网段已经存在了，但是IPv6 Internet没有得到广泛使用。一些专业网络工程师当时表现出非常不专业的恐慌迹象。一位玩世不恭的老作者名为McLean，他当时正在商谈写一本关于IPv6的书。这本书一直没有写出来，幸好没有写出来，因为它不会有销路。突然间，NAT和专用网络开始盛行。那些坚持要求几百个公用地址的组织发现，他们用两个地址就能把问题解决得非常完美。无类域间路由(Classless Interdomain Routing，CIDR)的使用，使Internet号码分配机构(Internet Assigned Numbers Authority，IANA)能够从那些已经分到了65000个B类网络地址但只用了1000个地址的组织那里夺回IP地址。这个问题好像已经解 决了。只可惜问题并没有解决，只不过被掩盖了。IPv4 地址空间还是面临耗尽的威胁。IPv4头结构仍然引起Internet路由器的问题。APIPA仅分配不可路由的内部地址，而我们严重依赖于DHCP。所有已经发生的情况是，我们要争取完全而平稳的迁移，而现在这种情况正在发生。在默认情况下，“Internet协议”总是指IPv4。现在它指的是IPv6了，现代服务器和客户端操作系统都使用IPv6。第1课 在Windows Server 2008中使用IPv6IPv4和IPv6地址很容易区分。IPv4地址使用32位，导致它的地址空间只有40亿多个地址。IPv6使用128位，使它的地址空间有2128个地址或者340 282 366 920 938 463 463 374 607 431 768 211 456个地址，这个数字大得难于理解。这就表示地球表面上每平方米有6.5223或54 525 952个地址。实际上，IPv6地址空间允许多级子网以及Internet主干网和组织内各子网之间的地址分配。IPv6地址空间被描述为“无限制的资源”。(记住，1981年也曾这样描述过IPv4地址。)然而，剧增的地址空间允许我们将几个(而不是一个)唯一的IPv6地址分配给一个网络实体，每个地址用于不同的目的。本课描述IPv6表示法和各种类型的IP地址，包括用于兼容IPv4的IPv6地址。学习目标：l 解释IPv6是怎样解决IPv4的缺陷的l 识别各种类型的IPv6地址，并能解释它们的用法l 建议一种合适的IPv4到IPv6的迁移策略l 实现IPv4与IPv6的互操作性l 使用IPv6工具l 配置DHCPv6作用域预计课程时间：50分钟2.1.1 解决IPv4缺陷引起的问题IPv4的第一个缺陷是其地址空间可能被耗尽。回顾过去可知，32位地址结构是不够用的。IPv6使用128位，这就提供了足够多的地址，使每个需要一个地址的设备都有一个唯一的公用IPv6地址。此外，IPv6地址的64位主机部分(接口ID)可以根据网络适配器硬件自动生成。1. 自动地址配置通常，IPv4地址不是人工配置的，就是使用DHCP配置的。通过APIPA的自动配置适用于不路由到其他网络的孤立子网。IPv6满足了更简单且更自动化的地址配置的需求，既支持状态地址配置又支持无状态地址配置。状态地址配置使用DHCPv6。如果使用无状态地址配置，一个链路上的主机自动地使用该链路的IPv6地址和(可选)从本地路由器通告的前缀派生的地址来配置它们自己。也可以配置无状态的DHCPv6配置，其中主机被自动配置，但是DNS服务器(例如)从DHCPv6获得它们的配置。快速测试1.一个IPv4地址有多少位？2.一个IPv6地址有多少位？参考答案1.32。2.128。2. 标头大小和扩展标头IPv4和IPv6的标头是不兼容的，因而主机或路由器必须同时使用IPv4和IPv6的实现，以便识别和处理这两种标头格式。因此，设计目标之一就是保持IPv6标头的大小在合理的界限内。不重要字段和可选字段移到IPv6标头后面的扩展标头中。因此，IPv6标头只有IPv4标头的两倍大小，而IPv6扩展标头的大小仅受IPv6数据包的限制。3. 路由表大小Internet的IPv6网段上使用的IPv6全局地址旨在根据多级Internet服务提供商(ISP)的共同特征，创建一个有效的、有层次的且可概括的路由基础结构。在Internet的IPv6网段上，主干路由器大大减少了使用路由聚合的路由表，并对应于顶层聚合器的路由基础结构。路由聚合路由聚合将流量从较小前缀的网络路由到较大前缀的网络。换句话说，它允许将许多毗邻的地址块合并起来，汇成一个更大的地址块。路由聚合减少了大型网络上的通告路由数。当ISP将网络分割成更小的子网来为较小的提供商提供服务时，它只需将该路由通告它的主要超网，以便将流量发送到较小的提供商。路由聚合在大型ISP有一个连续的IP地址范围要管理时使用。能汇总的IP地址(IPv4或IPv6)称为可聚合地址。4. 网络级安全性基于Internet的专用通信需要对数据进行加密以防传输时被他人看见或修改。Internet协议安全(IPSec)提供了此功能，但是IPv4并没有强制要求使用它。IPv6强制要求使用IPSec，这就为网络安全需求提供了一种标准解决方案，增强了不同IPv6实现之间的互操作性。5. 实时数据传输服务质量(Quality of Service，QoS)存在于IPv4中，因而可以保证网络上实时流量(如视频和音频传输)所需的带宽。然而，IPv4实时流量支持依赖于服务类型(Type of Service，ToS)字段和负载标识，通常使用用户数据报协议(User Datagram Protocol，UDP)或传输控制协议(Transmission Control Protocol，TCP)端口。IPv4 ToS字段具有有限的功能，如果IPv4数据包负载被加密了，就不可能使用TCP和UDP端口标识负载。负载标识包含在IPv6标头的流标记(Flow Label)字段，因而负载加密不影响QoS操作。6. 消除广播流量IPv4依赖于地址解析协议(Address Resolution Protocol，ARP)广播将IP地址解析为网络接口卡(NIC)的MAC地址。广播增加了网络流量，并且效率低下，因为每个主机都要处理它们。IPv6的ND(Neighbor Discovery，邻居发现)协议使用一系列IPv6的Internet控制消息协议(ICMPv6)，ICMPv6管理同一链路上的节点(相邻节点)的交互。ND用有效的多播和单播ND消息取代了ARP广播、ICMPv4路由器发现和ICMPv4重定向消息。2.1.2 IPv6地址结构分析IPv6提供了对等于IPv4地址类型的地址和IPv6特有的其他地址。一个节点可以有几个IPv6地址，其中每个地址都有自己的独特目的。本节描述IPv6地址语法和各种类型IPv6地址。1. IPv6地址语法IPv6 128位地址沿着16位边界分隔，每个16位块转换为一个4位的十六进制数，并通过冒号进行分隔。这种表示形式称为冒号十六进制。全局单播IPv6地址将在本课后面进行描述，它等价于IPv4单播地址。为了说明IPv6地址语法，考虑下面这个IPv6全局单播地址：21cd:0053:0000:0000:03ad:003f:af37:8d62通过删除每个16位块中的前导零，可以简化IPv6表示形式。但是，每个块必须至少包含一位。压缩前导零后，地址表示形式变为：21cd:53:0:0:3ad:3f:af37:8d62在冒号十六进制格式下，一连串设置为0的16位块可以压缩为:。因此，前面的示例地址可以写作：21cd:53:3ad:3f:af37:8d62某些类型的地址包含长串的零，正是使用这种表示法的良好例子。例如，多播地址ff05:0:0:0:0:0:0:2可以压缩为ff05:2。2. IPv6地址前缀前缀是地址的一部分，指示具有固定值或反映子网标识符的位。IPv6前缀的表示方式与CIDR IPv4表示法(松散表示法)相同。例如，21cd:53:/64是地址21cd:53:23ad:3f:af37:8d62所在的子网。一个IPv6子网前缀(或子网ID)被分配给一个单独的链路。多个子网ID可以分配给相同的链路。这种技术称为multinetting。注意 IPv6地址不用子网掩码的点分十进制表示法IPv6只支持前缀长度表示法，不支持IPv4点分十进制子网掩码表示形式(诸如)。3. IPv6地址类型IPv6的三种地址类型是单播、多播和任意播。l 单播 单播标识单播地址类型的作用域内的单个接口。发往单播地址的数据包将传输到单个接口。RFC 2373允许多个接口使用相同的地址，只要这些接口作为主机上实现的IPv6的单个接口出现。这就适应了负载平衡系统。l 多播 多播地址标识多个接口。发往多播地址的数据包将传输到该地址标识的所有接口。l 任意播 任意播地址标识多个接口。发往任意播地址的数据包将传输到该地址标识的最近接口。最近接口定义为路由距离(跃点数)最短的接口。任意播地址用于一对一(许多中的一个)通信，传输到单个接口。相关信息 IPv6地址体系结构有关IPv6地址结构和体系结构的更多信息，请参阅RFC 2373，地址为/ rfc/rfc2373.txt。注意 接口和节点IPv6地址标识接口而不是节点。节点通过为其中一个接口分配的任意单播地址所标识。4. IPv6单播地址IPv6支持下列5种类型的单播地址：l 全局单播地址l 链路本地地址l 站点本地地址l 特殊地址l NSAP(Network Service Access Point，网络服务接入点)和IPX(Internetwork Packet Exchange，互联网络数据包交换)映射的地址全局单播地址 IPv6全局单播地址等效于IPv4公用地址，并且可以在IPv6 Internet上全局路由和访问。这些地址可以被聚合以产生一个有效的路由基础结构，因而有时称之为可聚合的全局单播地址。可聚合的全局单播地址在整个IPv6 Internet上是唯一的。(使一个IP地址在其中是唯一的网络区域称为该地址的作用域。)全局单播地址的格式前缀(Format Prefix，FP)占据三个高阶位，它们总是为001。接下来的13位由Internet号码分配机构(Internet Assigned Numbers Authority，IANA)分配，称为顶级聚合器(Top Level Aggregator，TLA)。IANA依次将TLA分配给本地Internet注册机构，将各TLA分配给大型Internet服务提供商(ISP)。再接下来的8位保留给将来扩展时用。接下来的24位包含下一级聚合器(Next Level Aggregator，NLA)。NLA标识一个特定的客户站点。NLA使ISP能够在一个网络中创建多层寻址结构。再接下来的16位包含站点级聚合器(Site Level Aggregator，SLA)，SLA用来组织下流ISP的寻址和路由，以及标识一个站点或站点内的子网。接下来的64位标识一个子网内的接口。这是64位扩展的唯一标识符(64-bit Extended Unique Identifier，EUI-64)地址，由IEEE定义。根据IEEE 802标准的规定，EUI-64地址要么直接分配给网卡，要么从网络适配器的48位MAC地址导出。简单地讲，接口标识由网络适配器硬件提供。IPv6中无状态地址自动配置的隐私扩展直接从计算机硬件导出接口ID可能启用便携式电脑的记录，从而使其所有者被跟踪，有人已经对此表示关心。这就引起了隐私保护问题，未来的系统可能以其他方式分配接口ID。RFC 3041和RFC 4941解决了这个问题。有关的详细信息，请访问：/ rfc/rfc3041.txt和/rfc/rfc4191.txt.总之，FP、TLA、保留位和NLA标识了公共拓扑结构，SLA标识了站点拓扑结构，而接口标识符(ID)标识了接口。图2.1说明了一个可聚合的全局单播地址的结构。图2.1 全局单播地址结构相关信息 全局单播地址格式有关可聚合的全局单播地址的详细信息，请参阅RFC 2374，地址为/ rfc/rfc2374.txt。考试提示 需要知道可聚合的全局单播地址是IPv4公用单播地址的等效IPv6地址。你应当能够从它的3个高阶位标识全局单播地址。知道全局单播地址的各个组成部分有助于理解IPv6寻址的工作机制，但是70-646考试不可能测试RFC提供的那么深的知识。链路本地地址 链路本地IPv6地址相当于通过APIPA自动配置的IPv4地址，该地址使用/16前缀。通过格式前缀1111 1110 10可以标识链路本地地址，后面跟着54个零(链路本地地址总是以fe8开始)。节点使用链路本地地址与相同链路上的相邻节点进行通信。链路本地地址的作用域是本地链路。邻居发现过程(ND)要求使用链路本地地址，该地址始终是自动配置的，即使没有分配任何其他单播地址也这样。站点本地地址 站点本地IPv6地址等效于IPv4专用地址空间(/8、/12和/16)。没有直接与IPv6 Internet直接路由连接的专用Intranet可以使用不会与可聚合的全局单播地址冲突的站点本地地址。站点本地地址的作用域是站点。站点本地地址可以使用有状态的地址配置进行分配，诸如从一个DHCPv6范围分配站点本地地址。当主机接收不含地址前缀的路由器通告消息时，使用有状态地址配置。当本地链路上没有路由器时，也将使用有状态地址配置协议。站点本地地址也可以通过无状态地址配置进行配置。这是基于包含无状态地址前缀的路由器通告消息，并且要求主机不使用有状态地址配置协议。另外，地址配置可以使用无状态配置和有状态配置的组合。当路由器广告消息包含无状态地址前缀但要求主机使用有状态地址配置协议时，就会发生这种组合配置。相关信息 IPv6地址自动配置有关IPv6地址是如何进行配置的详细信息，请参见/technet/ technetmag/issues/2007/08/CableGuy/。虽然该文章题为IPv6 Autoconfiguration in Windows Vista，但它还介绍了Windows Server 2008的自动配置，并描述了客户端和服务器操作系统上自动配置的区别。站点本地地址以fec0开头，后面跟着32个0，然后是一个16位子网标识符(可用来在组织中创建子网)。64位接口ID标识子网上的一个特定接口。图2.2显示了Windows Server 2008 DC Glasgow的接口上配置的(DNS服务器)链路本地和站点本地地址。该配置中没有全局地址，因为DC绝对不会直接连接到Internet。你的试验计算机上的IPv6地址可能与这里显示的不同。图2.2 计算机接口上的IPv6地址链路本地地址和站点本地地址通过使用链路本地地址，可以实现分离子网上主机间的IPv6连接。然而，如果只用了链路本地地址，则不能将链路本地地址分配给路由器接口(默认网关)，并且不能从一个子网路由到另一个子网。DNS服务器不能只用链路本地地址。如果使用链路本地地址，需要规定它们的接口ID，即地址尾部的%符号后面的数字，如图2.2所示。在Windows Server 2008 DNS中，链路本地地址不是动态注册的。由于上述这些原因，站点本地地址通常用在专用网络的子网上，以实现该网络上的IPv6连接。如果网络上的每个设备都有自己的全局地址(IPv6实现规定的一个目标)，则这些全局地址可以在内部子网间路由，可以路由到外围区域以及路由到Internet。特殊地址 IPv6有两个特殊地址：未指定地址和环回地址。未指定地址0:0:0:0:0:0:0:0(或:)用来指示地址不存在，等效于IPv4未指定地址。未指定地址通常作为尝试验证临时地址唯一性的数据包的原地址使用。未指定地址永远不会分配给接口，也永远不会作为目标地址使用。环回地址0:0:0:0:0:0:0:1(或:1)用于标识环回接口，相当于IPv4环回地址。NSAP和IPX地址 NSAP地址标识开放系统互联(Open Systems Interconnection，OSI)网络中使用的网络端点。它们用来规定一种连接到异步传输模式(Asynchronous Transfer Mode，ATM)网络的设备。IPX不再广泛使用了，因为现代Novell Netware网络支持TCP/IP。FP为0000001的IPv6地址映射到NSAP地址，FP为0000010的IPv6地址映射到IPX地址。考试提示 70-646不可能包含有关NSAP或IPX映射的问题。5. IPv6多播地址IPv6多播地址使一个IPv6数据包能够发送到许多主机，这些主机都有相同的多播地址。它们的FP为11111111(它们始终以ff开头)。后面的字段规定标志、作用域和多播组ID，如图2.3所示。图2.3 多播地址结构标志字段保存标志设置。当前定义的唯一一个标志是Transient(T)标志，它使用该字段的低阶位。如果该标志设为0，则多播地址是已知的，换句话说，它是由Internet号码分配机构(IANA)永久分配。如果该标志设为1，则多播地址是临时的。快速测试l fec0:0:0:eadf:1ff是哪种类型的地址？参考答案l 单播站点本地地址。作用域字段指示IPv6网络中适合多播通信的作用域。路由器使用多播作用域以及多播路由协议提供的信息来确定是否可以转发多播通信。例如，使用多播地址ff02:2的通信采用链路本地作用域，并且永远不会转发出本地链路。表2.1列出了已分配的作用域字段值。表2.1 作用域字段值值作 用 域0保留1节点本地作用域2链路本地作用域5站点本地作用域8组织本地作用域E全局作用域F保留组ID表示多播组，在作用域内是唯一的。永久分配的组ID与作用域无关。临时组ID只与特定作用域有关。从ff01:到ff0f:的多播地址是保留的已知地址。理论上，有2112个组ID可用。实际上，由于IPv6多播地址映射到以太网多播MAC地址的方式，RFC 2373(IP Version 6 Addressing Architecture)建议，从IPv6多播地址的低阶32位分配组ID，并将其原始组ID位设置为0。这样，每个组ID映射到唯一的以太网多播MAC地址。相关信息 分配组ID有关分配组ID的详细信息，请参阅/rfc/rfc2373.txt。请求节点多播地址 请求节点多播地址可以在地址解析期间有效地查询网络节点。IPv6使用ND消息将链路本地IPv6地址解析为节点MAC地址。但是IPv6不是使用本地链路作用域所有节点的多播地址(将被本地链路上的所有节点处理)作为邻居请求消息的目标，而是使用请求节点的多播地址。该地址由前缀ff02:1:ff00:0/104和要解析的IPv6地址的最后24位组成。例如，如果一个节点的链路本地地址为fe80:6b:28c:16d2:c97，则对应的请求节点地址是ff02:1:ffd2:c97。使用请求节点多播地址的结果是，地址解析使用一种不被所有网络节点处理的机制。由于MAC地址、接口ID和请求节点地址间的关系，请求节点地址充当有效地址解析的伪单播地址。6. IPv6任意播地址任意播地址分配给多个接口，路由基础结构将发往任意播地址的数据包转发到这些接口的最近接口。路由基础结构必须知道已分配了任意播地址的接口及其距离(即路由跃点数)。目前，任意播地址只作为目标地址使用，并且只分配给路由器。任意播地址从单播地址空间中分配，任意播地址的作用域是分配该任意播地址的单播地址类型的作用域。子网路由器任意播地址 子网路由器任意播地址是从给定接口的子网前缀创建的。在子网路由器任意播地址中，子网前缀中的位保持当前值，而剩下的位设置为0。所有附加到一个子网的路由器接口都被分配该子网的子网路由器任意播地址。子网路由器任意播地址用来与附加到一个远程子网的多个路由器之一进行通信。快速测试l 一个节点具有链路本地地址fe80:aa:cdfe:aaa4:cab7，则其对应的请求节点地址是什么？参考答案l ff02:1:ffa4:cab7。2.1.3 规划IPv4到IPv6过渡策略至于何时从IPv4过渡到IPv6并没有规定时间范围。网络管理员需要做出的决定之一是，早日接受IPv6并利用它的增强功能(诸如地址和更健壮的安全性)，还是等待并利用他人的使用经验。这两种策略都是可以的。然而，你确实需要查明上流ISP是否支持IPv6，以及组织中的网络硬件是否也支持IPv6协议。最直接的过渡方法，即双协议栈过渡方法，要求同时支持IPv4和IPv6。同时也不要过迟地决定过渡到IPv6。如果一直等到IPv4地址耗尽了，那时双协议栈将不可用，而你(和你所支持的用户)将会发现过渡过程更困难。当前，过渡规划的基本假设是，现有的IPv4基础结构可用，最直接的需求是通过现有的IPv4网络传输IPv6数据包，使得IPv6网络孤岛不会出现。随着越来越多的网络完成过渡，需求将变为在IPv6基础结构上传输IPv4数据包，以支持遗留的IPv4应用程序及避免出现IPv4网络孤岛。因为没有一种策略能够满足所有需求，所以存在多种过渡策略和技术。RFC 4213(Basic Transition Mechanisms for Hosts and Routers)描述了这些过渡技术的关键要素，诸如双协议栈和配置的隧道。该RFC还基于协议支持定义了许多节点类型，包括只支持IPv4的遗留系统、将只支持IPv6的未来系统以及同时支持IPv6和IPv4的双协议栈节点。相关信息 IPv4到IPv6的过渡有关基本过渡机制的详细信息，请参阅/rfc/rfc4213.txt，以及从/en-us/library/bb726951.aspx下载白皮书IPv6 Transition Technologies。1. 双协议栈过渡双协议栈(也称为双IP层)无疑是最直接的过渡方法。它假设主机和路由器同时支持这两个协议，并且可以发送和接收IPv4和IPv6数据包。因此，双协议栈节点可以通过使用IPv4数据包与IPv4设备互操作，以及通过使用IPv6数据包与IPv6设备互操作。它还可以运行于以下三种模式之一。l 只启用IPv4协议栈。l 只启用IPv6协议栈。l 同时启用IPv4和IPv6协议栈。因为双协议栈节点同时支持两个协议，所以可以使用IPv4 32位地址和IPv6 128位地址配置它。例如，它可以使用DHCP来获取IPv4地址，使用无状态自动配置或DHCPv6来获得IPv6地址。当前的IPv6实现通常是双协议栈的。仅实现了IPv6的产品几乎没有通信 伙伴。2. 配置的隧道过渡策略如果采用配置的隧道过渡策略，则在IPv6路由基础结构尚在开发期间，现有的IPv4路由基础结构仍然起作用，但是还承载IPv6通信流量。隧道是两个网络端点之间一种单向的点对点链路。数据采用封装的形式通过一个隧道，其中IPv6数据包封装到IPv4数据包中。封装IPv4标头在隧道入口点创建，并在隧道出口点消除。隧道端点地址是由存储在封装端点中的配置信息决定的。配置的隧道也称为显式隧道。可以把它们配置为路由器到路由器、主机到路由器、主机到主机或者路由器到主机，但是它们最有可能在路由器到路由器配置中使用。配置的隧道可以通过隧道代理(tunnel broker)进行管理。隧道代理是管理来自最终用户的隧道请求的专用服务器，如RFC 3053(IPv6 Tunnel Broker)所述。相关信息 隧道代理有关隧道代理的详细信息，请参阅/rfc/rfc3053.txt。3. 自动隧道技术RFC 2893(Transition Mechanisms for IPv6 Hosts and Routers)(被RFC 4213替换)描述了自动隧道技术。自动隧道技术允许IPv4/IPv6节点通过IPv4路由基础结构进行通信，而不必使用预先配置的隧道。执行自动隧道技术的节点将被分配一种称为IPv4兼容地址的特殊地址(本课后文将会介绍IPv4兼容地址)，它在一个128位IPv6地址格式中承载32位IPv4地址。IPv4地址可以自动地从IPv6地址中提取。相关信息 自动隧道技术有关自动隧道技术的详细信息，请参见/rfc/rfc2893.txt。不过请注意，该文档的状态已过时，RFC 4213是当前标准。4. 6to4RFC 3056(Connection of IPv6 Domains via IPv4 Clouds)描述了6to4隧道机制。6to4隧道技术允许IPv6站点通过IPv4网络互相通信而不必使用显式隧道，同时还允许IPv6站点通过中继路由器与纯IPv6域进行通信。该策略将IPv4 Internet看作一个单一数据链路。相关信息 6to4隧道技术有关6to4隧道技术的详细信息，请参阅/rfc/rfc3056.txt。5. TeredoRFC 4380(Teredo:Tunneling IPv6 over UDP through Network Address Translations (NATs)描述了Teredo，这是对6to4方法的增强，并且得到了Windows Server 2008的支持。Teredo使位于IPv4 NAT设备之后的节点能够使用UDP隧道发送数据包来获得IPv6连接。Teredo要求使用服务器和中继路由器来辅助路径连接。相关信息 Teredo有关Teredo的详细信息，请参阅/rfc/rfc4380.txt和http:/www.microsoft. com/technet/network/ipv6/teredo.mspx。6. 站点内自动隧道寻址协议RFC 4214(Intra-Site Automatic Tunnel Addressing Protocol(ISATAP)定义了ISATAP，它使用以下过程通过IPv4网络来连接IPv6主机和路由器，即将IPv4网络看作IPv6的一个链路层，而将网络上的其他节点看作潜在的IPv6主机或路由器。这就创建了主机到主机、主机到路由器或路由器到主机的自动隧道。相关信息 ISATAP有关ISATAP的详细信息，请参阅/rfc/rfc4214.txt，以及从http:/www. /downloads/details.aspx?FamilyId=B8F50E07-17BF-4B5C-A1F9-5A09E2AF698B&displaylang=en下载白皮书Manageable Transition to IPv6 using ISATAP。2.1.4 实现IPv4到IPv6的兼容性除了本课前面描述的各种地址类型外，IPv6还提供了下列几种兼容地址，以帮助从IPv4过渡到IPv6及实现过渡技术。1. IPv4兼容地址IPv4兼容地址0:0:0:0:0:0:w.x.y.z (或 :w.x.y.z)被双协议栈节点使用，通过IPv4基础结构与IPv6进行通信。最后4个八位字节(w.x.y.z)表示IPv4地址的点分十进制表示。双协议栈节点是同时支持IPv4和IPv6协议的节点。当IPv4兼容地址作为IPv6目标地址使用时，则自动地用一个IPv4标头封装IPv6流量，并使用IPv4基础结构发送到目的地。2. IPv4映射地址IPv4映射地址0:0:0:0:0:ffff:w.x.y.z (或:fffff:w.x.y.z)用来表示一个只用IPv4的节点到一个IPv6节点，从而将不兼容IPv6的IPv4设备映射到IPv6空间。IPv4映射的地址始终不会作为IPv6数据包的源或目标地址。3. Teredo地址Teredo地址有一个32位Teredo前缀。在Windows Server 2008(和Windows Vista)中，该前缀是2001:/32。该前缀后面是帮助配置该地址的Teredo服务器的IPv4(32位)公用地址。后面的16位保留给Teredo标志使用，目前只定义了最高阶的标志位，即“Cone Flag”。只有当接入Internet的NAT是Cone NAT时，“Cone Flag”才可以使用。注意 Windows XP和Windows Server 2003在Windows XP和Windows Server 2003中，Teredo前缀最初为3ffe:831f:/32。运行Windows XP和Windows Server 2003的计算机，当用Microsoft Security Bulletin MS06-064更新后，将使用2001:/32 Teredo前缀。接下来的16位存储的是与该Teredo客户端接口的所有Teredo通信相对应的外部UDP端口的隐藏版本。当Teredo客户端向Teredo服务器发送初始数据包时，NAT会将数据包的源UDP端口映射到一个不同的外部UDP端口。主机接口的所有Teredo通信均使用同一外部映射的UDP端口。表示该外部端口的值通过与0xffff进行逻辑异或运算而被隐藏起来。隐藏外部端口可以预防NAT在数据包的有效载荷内转发时对其进行转换。最后32位存储与Teredo客户端接口的所有Teredo通信相对应的外部IPv4地址的隐藏版本。该外部地址通过与0xffffffff进行逻辑异或运算后被隐藏。就像UDP端口一样，这就预防NAT在数据包的有效载荷内转发时转换外部IPv4地址。外部地址通过与0xffffffff进行逻辑异或运算而被隐藏。例如，公共IPv4地址隐藏后其冒号十六进制格式是7c94:fffe(等于0x836b0001，而0x836b0001 XOR 0xffffffff 等于0x7c94fffe)。隐藏外部地址预防NAT在数据包的有效载荷内转发时转换外部IPv4地址。例如，Northwind Traders目前在总公司和分公司实现了如下IPv4专用网络。l 总公司： /24l 分公司1： /24l 分公司2： /24l 分公司3： /24公司想要建立Teredo客户端和其他Teredo客户端之间的IPv6通信，以及Teredo客户端与纯IPv6主机之间的通信。IPv4 Internet上的Teredo服务器的存在使这种通信能够发生。Teredo服务器是指连接IPv4 Internet和IPv6 Internet的IPv6/IPv4节点，支持Teredo隧道接口。Northwind Traders网络的Teredo地址与几个因素有关，诸如所用的NAT服务器的端口和类型，但它们可能如下所示。l 总公司：2001:ce49:7601:e866:efff:f5ff:9bfe到2001:0a0a:64fe:e866:efff: f5ff:9b01l 分公司1: 2001: ce49:7601:e866:efff:f5ff:fffe到2001:0a0a:0afe:e866:efff:f5ff:ff01l 分公司2: 2001: ce49:7601:e866:efff:f5ff:f5fe到2001:0a0a:14fe:e866:efff:f5ff:f501l 分公司3: 2001: ce49:7601:e866:efff:f5ff:ebfe到2001:0a0a:1efe:e866:efff:f5ff:ebfe注意，例如，是0a00:6401的对等地址，而0a00:6401与ffff:ffff进行逻辑异或运算的结果是f5ff:9bfe。考试提示 70-646考试不可能要求考生生成Teredo地址。然而，可能要求辨别这样一个地址，并计算出它隐藏的IPv4地址。幸运的是，考试时可以使用科学计算器。Cone NATCone NAT可以是完整Cone、限制Cone或端口限制的Cone。在完整Cone NAT中，所有来自同一个内部IP地址的请求都被映射到相同的外部IP地址和端口，并且任何一 个外部主机通过把一个数据包发送到映射的外部地址，可以把一个数据包发送到内部 主机。在受限制的Cone NAT中，所有来自同一个内部IP地址和端口的请求都被映射到相同的外部IP地址和端口，但若内部主机以前把一个数据包发送给外部主机，则外部主机可以把一个数据包发送给内部主机。在端口限制的Cone NAT中，这种限制包括端口号。具有一个指定的IP地址和源端口的外部主机，当且仅当内部主机以前曾发送数据包到该IP地址和端口时，才能把数据包发送到该内部主机。4. ISATAP地址IPv6可以使用ISATAP地址在一个IPv4 Intranet上进行两个节点间的通信。ISATAP地址以一个64位单播链路本地、站点本地、全局或6to4全局前缀开头。接下来的32位是ISATAP标识符0:5efe。最后32位存储点分十进制或十六进制格式的IPv4地址。ISATAP地址可以合并一个公共的或专用的IPv4地址。例如：ISATAP地址fe80:5efe:w.x.y.z有一个链路本地前缀；fec0:1111:0:5efe:w.x.y.z地址有一个站点本地前缀；3ffe:1a05:510:1111:0:5efe:w.x.y.z地址有一个全局前缀；而2002:9d36:1:2:0:5efe:w.x.y.z地址有一个6to4全局前缀。在所有情况下，w.x.y.z表示一个IPv4地址。在默认情况下，Windows Server 2008自动地为每个分配给节点的IPv4地址配置ISATAP地址fe80:5efe:w.x.y.z。该链路本地ISATAP地址允许两台主机使用各自的ISATAP地址通过IPv4网络进行通信。通过使用IPv6工具netsh interface ipv6 6to4、netsh interface ipv6 isatap和netsh interface ipv6 add v6v4tunnel，可以实现IPv6到IPv4配置。例如，为了创建本地地址1和一个称为Remote的接口上的远程地址16之间的IPv6-in-IPv4隧道，可以输入netsh interface ipv6 add v6v4tunnel Remote 1 16。通过使用netsh interface ipv6 set address命令或Internet协议版本6(TCP/IPv6)图形用户界面(GUI)，还可以人工配置合适的兼容性地址，如后文所述。注意 6to4cfgWindows Server 2008不支持6to4cfg工具。2.1.5 使用IPv6工具Windows Server 2008提供了一些用来配置IPv6接口和检查IPv6连接性及路由的工具，还有一些用来实现和检查IPv4到IPv6兼容性的工具。本章第2课将讨论验证IPv6地址的DNS名称解析的工具。在Windows Server 2008中，标准命令行工具，诸如ping、ipconfig、pathping、tracert、netstat和route等，具有完整的IPv6功能。例如，图2.4展示了用ping命令来检查试验网络上的一个链路本地IPv6地址的连接性。每个人的试验网络上的IPv6地址可能会有所不同。注意，如果从一台主机ping另一台主机，还需要包括接口ID，例如ping fe80:fd64:b38b:cac6:cdd4%15。本课后文将会讨论接口ID。注意 ping6Windows Server 2008不支持ping6命令行工具。特定用于IPv6的工具在强大的netsh(网络外壳)命令结构中提供。例如，netsh interface ipv6 show neighbors命令显示本地子网上所有主机的IPv6接口。在本课后面的练习中，配置好一个子网上的IPv6连接以后，将使用该命令。图2.4 ping一个IPv6地址1. 验证IPv6配置和连接如果要解决连接问题或者只想检查网络配置，无疑最有用的工具是ipconfig，这当然也是最常用的工具。ipconfig /all工具同时显示IPv4和IPv6配置，该工具的输出如图2.2所示。如果想要只显示本地计算机上的IPv6接口的配置，可以使用netsh interface ipv6 show address命令。图2.5显示了在Glasgow计算机上运行该命令的输出。注意，在每个IPv6地址后面跟着一个%字符和数字。这是接口ID，标识用该IPv6地址配置的接口。图2.5 显示IPv6地址和接口ID如果管理一个有许多站点的企业网络，还需要知道站点ID。使用命令netsh interface ipv6 show address level=verbose可以获得站点ID。该命令的部分输出如图2.6所示。图2.6 显示IPv6地址和站点ID2. 配置IPv6接口通常，大多数IPv6地址是通过自动配置或DHCPv6进行配置的。然而，如果需要手动配置IPv6地址，可以使用netsh interface