基于IPv6的组网研究和设计毕业论文.doc

基于IPv6的组网研究和设计毕业论文目 录第一章 引言11.1选题的意义11.2本人所作工作11.3论文的组织结构2第二章 IPv6概述3第二章 IPv6概述32.1 IPv6的表示32.2 IPV6地址类型32.2.1 单播（Unicast）32.2.2 任意播（Anycast）42.2.3 多播（Multicast）42.3 IPV6的邻居发现过程42.4 DNS系统52.5 IPV6的ACL62.5.1 IPv6 ACL分类62.5.2 IPv6 ACL命名62.5.3 IPv6 ACL匹配顺序62.6 DHCPv672.6.1 DHCPv6网络构成72.6.2 DHCPv6地址/前缀分配过程72.6.3地址/前缀租约更新过程82.6.4 DHCPv6无状态配置8第三章 IPv6的路由选择93.1 RIPng93.1.1 RIPng报文格式93.1.2 RIPng工作原理103.1.3 RIPng和RIPv1、RIPv2的区别103.2 OSPFV3103.2.1 OSPFv3简介113.2.2 OSPFv3和OSPFv2的主要区别如下：11第四章 IPV6与IPv4的共存与整合策略124.1双协议栈124.2 隧道134.2.1隧道代理134.2.2 隧道服务器134.2.3 配置隧道144.2.4 6to4隧道144.2.5 ISATAP隧道154.2.6 TEREDO隧道154.3 协议转换164.3.1 NAT-PT原理164.3.2 NAT-PT机制164.3.3 NAT-PT实现过程174.4 各种隧道技术比较18第五章 基于IPv6的组网设计195.1 网络总体设计及所需环境、设备概述195.1.1 综合网络拓扑图195.1.2 设备型号介绍205.2 OSPFv3的配置205.2.1 OSPFv3实验拓扑图与地址规划205.2.2 设备的基本配置215.3 RIPng的配置225.3.1 实验拓扑图与地址分配225.3.2 RIPng 配置命令分析225.3.3 结果验证235.4 采用配置隧道255.4.1 实验拓扑图255.4.2 配置隧道的配置265.4.3 实验结果的观察与验证285.5 DHCPv6的配置295.5.1 Cisco 设备的DHCPv6应用分析295.5.2 Cisco 路由器DHCPv6的配置305.5.3 主机从DHCPv6服务器获取的结果315.6 NAT-PT315.6.1实验拓扑图315.6.2相关配置说明315.7 主机隧道配置335.7.1主机隧道配置拓扑335.7.2主机隧道配置过程335.7.3主机隧道配置的结果验证345.8 ISATAP隧道配置345.8.1ISATAP实验拓扑355.8.2主机启用ISATAP355.8.3路由器的ISATAP配置及其主机的结果验证35结 论37致 谢38参考文献39附 录 A40第一章 引言1.1选题的意义IPv4自1981年发布以来，由于它的可靠、易实施、及可操作性，经受住了从互联网扩大到今天的全球性应用的Internet的考验，这是对它最初设计的肯定。我们现有的互联网是在IPv4协议的基础上运行的，IPV4采用32位地址，总量约为43亿个。随着网络的迅猛发展，全球数字化和信息化的加速，园区网络越来越多的应用到校园和企业当中， 由于IPv4地址空间的短缺以及存在的一些安全方面的漏洞极大地影响了园区网的发展。所以人们急需要从现有的IPv4网络中向下一代互联网即IPv6网络迁移。用于下一代互联网的IPv6地址可以提供足够的地址空间，足以满足快速增长的全局可路由地址的需求，并能提供更多的地址层次。IPv6的地址空间不但被增加到128 bit，还将层次化要求设计到了全局可路由地址的格式之中。IPv6地址提高了扩展能力，由于吸取了IPv4的经验教训，IPv6在设计之初就解决了扩展性、易于配置性和安全性等问题。今年2月3日，国际互联网名称与地址分配机构(ICANN)发布公告称，最后所剩的5组IP地址(基于互联网通信协议IPv4)被分配给了全球5大区域互联网注册管理机构，IPv4地址已经枯竭。于是IPV6协议的运营就显得很有必要了，其所拥有的地址容量是IPv4的约81028倍，正像其宣传口号一样：IPV6让地球上每一粒沙子都具有IP地址。此课题主要分析了IPv6地址结构与分类、IPv6寻址、邻节点发现过程，域名系统、DHCPv6、ICMPv6、IPv6路由与安全等一系列有关IPv6 基础知识与特性，对IPv6进行了较为深入的研究，并介绍了IPV6与V4的共存与整合的三种方式: 隧道技术、双协议栈、NAT-PT为IPv4到IPv6过渡直至IPv6本地化提供理论基础；另外，通过具体的拓扑结构选取与配置，重点介绍了CISCO IPv6的实现，以及在Cisco路由器上设计、配置、部署和调试IPv6的技术。1.2本人所作工作1. 简述互联网的历史和发展以及互联网在中国的发展和现状，同时阐述下一代网络协议IPv6的发展历史及其优越性;2介绍IPv6协议基本概念，了解IPv6寻址、IPv6报头结构、ICMPv6机制、邻节点发现、DHCPv6、IPv4到IPv6的过渡技术分析、IPv6路由、IPv6的安全性进行初步分析。3. 通过路由器模拟软件完成IPv6网络逻辑拓扑搭建，并结合江苏大学计算机学院网络工程实验室的设备物理拓扑图，匹配逻辑拓扑，在网络设备IOS命令行模式下进行配置与测试，并对配置结果进行分析与论证。1.3论文的组织结构本论文共由5章构成：第一章：引言，主要介绍毕业设计的意义和IPv6的目前状况。第二章：IPv6概述，主要介绍IPv6的地址编址方式、常用应用DHCPv6、DNS、ACL。第三章：IPv6路由协议介绍，包括距离矢量RIPng与链路状态路由协议OSPFv3以及与IPv4中相对应路由协议的比较。第四章：IPv4与IPv6 的共存策略，包括双协议栈、隧道技术与NAT-PT，并对各自的原理进行了分析。第五章：基于IPv6组网设计，本章为论文的核心部分。详细论述了基于IPv6的组网设计原理与过程。最后，对毕业设计进行简要总结。 第二章 IPv6概述2.1 IPv6的表示1. IPv6的数制选择在IPv4中，为了迎合人们的习惯，IPv4地址使用点分十进制表示。在IPv6中，用点号分隔将会导致有16个十进制数要用点分隔。2. IPv6地址的十六进制表示及其简化IPv6地址为128位长（16个字节），但通常写作8组，每组为四个十六进制数的形式，并用冒号分隔。例如： i) 2001:0db8:85a3:08d3:1319:8a2e:0370:7344ii) 2001:0db8:0000:2f3b:02aa:00ff:fe28:9c5a以上都是合法的IPv6地址。 可通过压缩每个16位的前导零，进一步简化IPv6的表示方法，但是每个块必须至少有一个数字，上面两地址压缩前导零后，结果如下： i) 2001:db8:85a3:8d3:1319:8a2e:370:7344ii) 2001:db8:0:2f3b:2aa:ff:fe28:9c5a某些IPv6地址有连续的几串零，为了进一步精简IPv6地址，冒号十六进制格式中出现的连续的为0的16位段时，这些段可压缩表示为: 。如多播地址FF02:0:0:0:0:0:0:2 可精简为FF02:2. 但这种零压缩在地址中只能出现一次，否则就无法计算出每个:包含的0段数或0位数。 3. IPv6地址的前缀IPv6地址的前缀（FP, Format Prefix）的表示和IPv4地址前缀在CIDR中的表示方法类似。2.2 IPV6地址类型2.2.1 单播（Unicast）单一接口的地址。发送到单播地址的数据包被送到由该地址标识的接口。并且：IPv6中的单播地址分配有多种形式，包括全部可聚集全球单播地址、NSAP地址、IPX分级地址、站点本地地址、链路本地地址以及运行IPv4的主机地址。单播地址中有下列几种特殊地址:(1) 不确定地址单播地址0:0:0:0:0:0:0:0称为不确定地址。它不能分配给任何节点，它的一个应用示例是初始化主机时，在主机未取得自己的地址以前，可在它发送的任何IPv6包的源地址字段放上不确定地址。不确定地址不能在IPv6包中用作目的地址，也不能用在IPv6路由头中。(2) 回环地址单播地址0:0:0:0:0:0:0:1称为回环地址。节点用它来向自身发送IPv6包，它不能分配给任何物理接口。(3) 链路本地地址用于邻居发现协议和无状态自动配置中链路本地上节点之间的通信。使用链路本地地址作为源或目的地址的数据报文不会被转发到其他链路上。使用的前缀为FE80:/10。(4) 站点本地地址与IPv4中的私有地址类似。使用站点本地地址作为源或目的地址的数据报文不会被转发到本站点（相当于一个私有网络）外的其它站点。使用前缀为FEC0:/10 。2.2.2 任意播（Anycast）一组接口的地址。大多数情况下，这些接口属于不同的节点。发送到任意播地址的数据包被送到由该地址标识的其中一个接口，往往是距离源点最近。2.2.3 多播（Multicast）一组接口的地址（通常分属不同节点）。发送到多播地址的数据包被送到由该地址标识的每个接口。2.3 IPV6的邻居发现过程IPv6 邻居探索 (ND) 是一组确定邻居节点之间关系的消息和过程。ND 代替在 IPv4 中使用的“地址解析协议 (ARP)”、“Internet 控制消息协议 (ICMP)”、“路由器发现”和“ICMP 重定向”，并提供了其他功能。邻居发现协议实现了路由器和前缀发现、地址解析、下一跳地址确定、重定向、邻居不可达检测、重复地址检测等功能，可选实现链路层地址变化、输入负载均衡、泛播地址和代理通告等功能。 邻居发现协议采用5种类型的IPv6控制信息报文(ICMPv6)来实现邻居发现协议的各种功能。这5种类型消息如下。 (1) 路由器请求(Router Solicitation)：当接口工作时，主机发送路由器请求消息，要求路由器立即产生路由器通告消息，而不必等待下一个预定时间。 (2) 路由器通告(Router Advertisement)：路由器周期性地通告它的存在以及配置的链路和网络参数，或者对路由器请求消息作出响应。路由器通告消息包含在连接(on-link)确定、地址配置的前缀和跳数限制值等。 (3) 邻居请求(Neighbor Solicitation)：节点发送邻居请求消息来请求邻居的链路层地址，以验证它先前所获得并保存在缓存中的邻居链路层地址的可达性，或者验证它自己的地址在本地链路上是否是惟一的。 (4) 邻居通告(Neighbor Advertisement)：邻居请求消息的响应。节点也可以发送非请求邻居通告来指示链路层地址的变化。 (5) 重定向(Redirect)：路由器通过重定向消息通知主机。对于特定的目的地址，如果不是最佳的路由，则通知主机到达目的地的最佳下一跳。2.4 DNS系统域名系统 Domain Name System 简称 DNS 是一个多级分层分布式的数据库管理系统，它已经成为 Internet 必不可少的组成部分。 DNS 的主要功能是通过域名和 IP 地址之间的相互映射关系来精确定位网络资源， 即根据域名查询 IP地址或根据IP地址查找对应域名。 DNS 作为当今 Internet 的基础架构 ，众多的网络服务都是建立在 DNS 体系基础之上并随着网络应用的日益广泛而变得越来越重要。IPv6网络中的DNS与IPv4的DNS在体系结构上是一致的，都是采用树型结构的域名空间。虽然IPv4协议与IPv6协议是存在着相当大区别的两套协议，但这并不意味着需要单独两套DNS体系，相反在DNS的体系和域名空间上两者必须是一致的，IPv4和IPv6共同拥有统一的域名空间。都支持正向解析和反向解析，只是记录方式不同。2.5 IPV6的ACL访问控制列表（ACL） 是路由器和交换机接口的指令列表，用来控制端口进出的数据包。IPv6 ACL则是根据三层及以上层信息进行数据包过滤的机制，通过允许或拒绝特定数据包进入网络，对网络访问进行控制。2.5.1 IPv6 ACL分类IPv6 ACL根据ACL序号来区分不同的ACL，可以分为三种类型，如表2-1所示。表 2- 1 IPv6 ACL分类IPv6 ACL类型ACL序号范围区分报文的依据基本IPv6 ACL20002999只根据源IPv6地址信息制定匹配规则高级IPv6 ACL30003999根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6承载的协议类型、协议的特性等三层、四层信息来制定匹配规则简单IPv6 ACL1000042767根据报文的源IPv6地址信息、目的IPv6地址信息、IPv6地址组合标记、IPv6承载的协议类型、协议的特性等三层、四层信息来制定匹配规则。简单IPv6 ACL在TCP标记、分片报文标记上有更丰富的内容2.5.2 IPv6 ACL命名用户在创建IPv6 ACL时，可以为ACL指定一个名称。每个IPv6 ACL最多只能有一个名称。命名的ACL使用户可以通过名称唯一地确定一个IPv6 ACL，并对其进行相应的操作。2.5.3 IPv6 ACL匹配顺序一个ACL中可以包含多个规则，而每个规则都指定不同的报文匹配选项，将一个报文和ACL的规则进行匹配时， IPv6 ACL支持以下两种匹配顺序：(1)配置顺序：按照用户配置规则的先后顺序进行规则匹配。(2)自动排序：按照“深度优先”的顺序进行规则匹配。在报文匹配规则时，会按照匹配顺序去匹配定义的规则，一旦有一条规则被匹配，报文就不再继续匹配其它规则了，设备将对该报文执行第一次匹配的规则指定的动作。2.6 DHCPv6IPv6 主机可以使用多种方法来配置地址： (1) 无状态地址自动配置 用于对链接本地地址和其他非链接本地地址两者进行配置，方法是与相邻路由器交换路由器请求和路由器公告消息。 (2) 有状态地址自动配置 通过使用如 DHCP 的配置协议，用来配置非链接本地地址。 2.6.1 DHCPv6网络构成包括以下三种角色：(1) DHCPv6客户端：动态获取IPv6地址、IPv6前缀或其他网络配置参数的设备。 (2) DHCPv6服务器：负责为DHCPv6客户端分配IPv6地址、IPv6前缀和其他网络配置参数的设备。DHCPv6服务器不仅可以为DHCPv6客户端分配IPv6地址，还可以为其分配IPv6前缀。 (3) DHCPv6中继：DHCPv6客户端通过本地链路范围的组播地址与DHCPv6服务器通信，以获取IPv6地址和其他网络配置参数。2.6.2 DHCPv6地址/前缀分配过程 DHCPv6服务器为客户端分配地址/前缀的过程分为两类：交互两个消息的快速分配过程 （1）DHCPv6客户端在发送的Solicit消息中携带Rapid Commit选项，标识客户端希望服务器能够快速为其分配地址/前缀和网络配置参数；（2）如果DHCPv6服务器支持快速分配过程，则直接返回Reply消息，为客户端分配IPv6地址/前缀和其他网络配置参数。如果DHCPv6服务器不支持快速分配过程，则采用交互四个消息的分配过程为客户端分配IPv6地址/前缀和其他网络配置参数。 交互四个消息的分配过程 (1) Solicit：DHCPv6客户端发送该消息，请求DHCPv6服务器为其分配IPv6地址/前缀和网络配置参数(2) Advertise：如果Solicit消息中没有携带Rapid Commit选项，或Solicit消息中携带Rapid Commit选项，但服务器不支持快速分配过程，则DHCPv6服务器回复该消息，通知客户端可以为其分配的地址/前缀和网络配置参数(3) Request：如果DHCPv6客户端接收到多个服务器回复的Advertise消息，则根据消息接收的先后顺序、服务器优先级等，选择其中一台服务器，并向该服务器发送Request消息，请求服务器确认为其分配地址/前缀和网络配置参数(4) Reply：DHCPv6服务器回复该消息，确认将地址/前缀和网络配置参数分配给客户端使用2.6.3地址/前缀租约更新过程 DHCPv6服务器分配给客户端的IPv6地址/前缀具有一定的租借期限。租借期限由有效生命期（Valid Lifetime）决定。地址/前缀的租借时间到达有效生命期后，DHCPv6客户端不能再使用该地址/前缀。在有效生命期到达之前，如果DHCPv6客户端希望继续使用该地址/前缀，则需要更新地址/前缀租约。2.6.4 DHCPv6无状态配置DHCPv6服务器可以为已经具有IPv6地址/前缀的客户端分配其他网络配置参数，该过程称为DHCPv6无状态配置。 DHCPv6客户端通过地址无状态自动配置功能成功获取IPv6地址后，如果接收到的RA（Router Advertisement，路由器通告）报文中M标志位（Managed address configuration flag，被管理地址配置标志位）为0、O标志位（Other stateful configuration flag，其他配置标志位）为1，则DHCPv6客户端会自动启动DHCPv6无状态配置功能，以获取除地址/前缀外的其他网络配置参数。第三章 IPv6的路由选择下一代路由选择信息协议（RIPng,应用于IPv6）是一种基于Ipv6的路由协议。在国际性网络中，如因特网，拥有很多应用于整个网络的路由选择协议，形成网络的每一个自治系统（AS），每个AS都有属于自己的路由选择技术，不同的自治系统，路由选择技术不同。自治系统内部的路由选择协议称为内部网关协议（IGP）。而RIPng与OSPFv3都能在AS中被用作IGP协议。3.1 RIPng3.1.1 RIPng报文格式 RIPng是基于UDP的协议，并且使用端口号521发送和接收数据报。RIPng报文大致可分为两类：选路信息报文和用于请求信息的报文。它们都使用相同的格式，由固定的首部和路由表项RTE组成，如下图所示： 32bitCommandVersionUnused IPv6 Prefix 1Route TagPrefix LengthMetricIPv6 Prefix 1Route TagPrefix LengthMetricRoute EntryRoute Entry8168图3- 1 RIPng报文格式RIPng中仍然使用固定的度量方式，即跳数，RIPng的最大工作直径为15跳， 16即意味着目的地不可达。与RIPv2不同的是，RIPng的下一跳字段是由一个单独的RTE指定的。 3.1.2 RIPng工作原理 与RIPv2类似，路由器在查询响应、周期更新、触发更新三种情况下会收到响应报文，接收报文的路由器根据响应报文判断是否对本地路由表进行更新。 基于距离矢量算法的路由协议会产生慢收敛和无限计数的问题而引发了路由的不一致。RIPng使用与RIPv2类似的水平分割技术、毒性逆转技术、触发更新技术来解决这些问题，同时抑制广播风暴，减少路由信息数量。3.1.3 RIPng和RIPv1、RIPv2的区别根据上面的介绍，应该看到RIPng的目标并不是创造一个全新的协议，而是对RIP进行必要的改造以使其适应IPv6的选路要求，因此RIPng的基本工作原理同RIP是一样的，其主要的变化在地址和报文格式方面，RIPng与RIPv1、RIPv2的主要区别有以下几点： (1) 地址版本。RIPv1、RIPv2基于IPv4，地址域只有32bit，而RIPng基于IPv6，使用的所有地址均为128bit。 (2) 子网掩码和前缀长度。IPv6的地址前缀有明确的含义，因此RIPng中不再有子网掩码的概念，取而代之的是前缀长度。同样也是由于使用了IPv6地址，RIPng中也没有必要再区分网络路由、子网路由和主机路由。 (3) 对下一跳的表示。RIPv1中没有下一跳的信息，接收端路由器把报文的源IP地址作为到目的网络路由的下一跳。RIPv2中明确包含了下一跳信息，便于选择最优路由和防止出现选路环路及慢收敛。与RIPv2不同，为防止RTE过长，同时也是为了提高路由信息的传输效率，RIPng中的下一跳字段是作为一个单独的RTE存在的。 (4) 报文长度。RIPv1、RIPv2中对报文的长度均有限制，规定每个报文最多只能携带25个RTE。而RIPng对报文长度、RTE的数目都不作规定，报文的长度是由介质的MTU决定的。RIPng对报文长度的处理，提高了网络对路由信息的传输效率。 (5) RIPng使用IPv6的多播地址FF02:9收发路由更新报文。3.2 OSPFV33.2.1 OSPFv3简介 OSPFv3也称IPv6 OSPF 协议，是一种链路状态路由协议，它是对基于IPv4的OSPFv2的改进。3.2.2 OSPFv3和OSPFv2的主要区别如下： (1)基于链路的协议 在OSPFv3中用“链路”替代了OSPFv2中的“网络”、“子网”等术语。在OSPFv3中，路由器接口与链路相连而不是连接到子网上，任意两个节点都可以通过它们所处的链路来相互通信。 (2)洪泛范围的扩大 在OSPFv2中,除了AS-External-LSA的洪泛范围是自治系统内部之外 ，每一个LSA 都与一个域相关 ,所以洪泛范围是域内部。而在OSPFv3中,LSA的洪泛范围已被扩展为三种:本地链路范围、域内部范围和自治系统内部范围。 (3)本地链路地址的使用 OSPFv3为了实现“邻居发现”和“自动配置”,在单独的链路上使用本地链路地址。IPv6路由器不转发那些有本地链路源地址的数据包并且本地链路地址只允许在Link-LSA中出现。 (4)通过路由器ID识别邻居 在OSPFv3中,所有链路类型的邻居路由器通过它的路由器ID来识别,而在OSPFv2中,在点对点链路和虚链路上的邻居路由器通过它的路由器ID来识别的,而广播 NBMA和点对多点的网络都是通过它们的IPv4的接口地址来识别的。 第四章 IPV6与IPv4的共存与整合策略 如何完成从IPv4到IPv6的转换是IPv6发展需要解决的第一个问题。现有的几乎每个网络及其连接设备都支持IPv4，因此要想一夜间就完成从IPv4到IPv6的转换是不切实际的。IPv6必须能够支持和处理IPv4体系的遗留问题。可以预见，IPv4向IPv6的过渡需要相当长的时间才能完成。目前，IETF已经成立了专门的工作组，研究IPv4到IPv6的转换问题，并且已提出了很多方案：双协议栈技术、隧道技术、网络地址转换/协议转换技术。4.1双协议栈 双协议栈（DUALSTACK）：网络中的主机、服务器和路由器可以同时使用IPv4和IPv6协议栈。当双栈节点连接到一个启用双栈的网络时，双栈模式为节点在IPv6或IPv4上建立端到端的会话提供了灵活性。如图图4-1双栈体系结构图（左）及其包含类型（右）表示了一个同时支持IPv4和IPv6的双栈体系结构图和对应的包含类型。 简单地说，就是节点即可使用IPv4地址，也可使用IPv6地址。但这里有 一个问题，节点到底使用哪个协议进行通信呢，有两种方法可以强制一个双栈节点在IPv6 连接可用时使用IPv6协议栈: （1）用户手动控制：如果用户已知目的IPv6主机名的IPv6地址，就可以直接使用IPv6地址来建立会话。 （2）使用DNS服务：可以在域名服务（DNS）中配置一个既有IPv4地址也有IPv6地址的完全合格域名（FQDN）。FQDN可以是一个描述IPv4地址的A记录，也可以是一个描述IPv6地址的AAAA记录。如果一个IPv4单协议网络的应用请求域名服务，用A记录解析FQDN。如果应用收到A记录，就用这个IPv4地址和该主机通信；一个IPv6单协议网络的应用请求域名服务，用一个AAAA记录解析FQDN。如果应用收到AAAA记录，就用这个IPv6地址和该主机通信； 一个同时支持IPv6和IPv4的应用请求域名服务，用所有可能类型的地址解析FQDN。应用首先查找AAAA记录，如果没有找到AAAA记录，就继续查找A记录用于通信。 应用层TCP/UDPIPv6TCP/UDPIPv4网络接口层应用层TCP/UDPIPv6TCP/UDPIPv4网络接口层IPv6IPv6 over IP IPv4图4-1双栈体系结构图（左）及其包含类型（右）4.2 隧道隧道机制就是用IPv4封装IPv6数据包并且把这些封装了的数据包通过IPv4 网络送往一个IPv4目的节点，目的节点拆封数据包并剥离出IPv6数据包。隧道封装(TUNNELING)就是运用隧道使孤立的IPv6主机、服务器、路由器和域利用现有的IPv6基础设施与其他IPV6网络通信,孤立的IPv6机也能够利用IPv4作为传输层建立端到端IPv6会话。主要有以下技术来实现IPv4隧道的配置和创建：4.2.1隧道代理配置隧道需要在两个端点手动进行配置，因此，当静态配置时，配置隧道机制是不可扩展的。为了方便IPv4网络上配置隧道的部署，IETF定义了一种被称为隧道代理的机制。隧道代理是一个外部系统，而不是路由器，它在IPv4网络中作为服务器，并接受双栈节点的隧道建立请求。4.2.2 隧道服务器隧道服务器是隧道代理的简化模型。隧道服务器把代理和双栈路由器结合在一个系统中，而不是两单独的系统，请求一个配置隧道的方法大体上跟隧道代理相同，但是隧道服务器比之隧道代理是有优点的。4.2.3 配置隧道配置隧道在双栈节点上被启用并静态地配置。因为配置隧道是IPv6支持的第一个过渡机制，所以在目前所有可用的IPv6实现中被广泛地支持。配置隧道可以看作是一条点到点链路，在配置隧道的每一端，必须手动地给隧道接口分配IPv4地址和IPv6地址。隧道接口需要分配以下地址：(1) 本地IPv4地址通过这个IPv4地址，本地的双栈节点在IPv4网络上可达。本地的IPv4地址用作输出流的源IPv4地址。(2)远端IPv4地址通过这个IPv4地址，远端的双栈节点在IPv4网络上可达。远端的IPv4地址用作输出流的目的IPv4地址。(3)本地IPv6地址本地分配给隧道接口的IPv6地址。4.2.4 6to4隧道在两个IPv6域间建立、操作、管理和支持配置隧道至少需要两个实体的同步，对于某些组织来说有些麻烦。IETF定义了另一种称为6to4的机制来简化通过隧道在IPv4网络上配置IPv6。这种机制在由IPv6节点组成的站点之间采用动态隧道方法，不需要手动地事先调整隧道的源和目的IPv4地址。IP数据包的隧道封装是根据6to4站点上产生的数据包的目的地址自动完成的。这种机制在站点边缘的边界路由器上启用，6to4路由器必须通过IPv4路由器基础设施到达其他的6to4站点和6to4路由器。6to4前缀都基于IANA分配的2002:/16地址空间。每个6to4站点至少使用一个分配给6to4路由器的全球单播IPv4地址，IPv4的32位地址被转换为16进制格式后附加在2002:/16前缀后面。最终表现形式是2002:IPv4-address:/48。6to4前缀基于全球惟一的IPv4地址，所以没必要在6to4站点之间传播/48前缀的IPv6路由。6to4中继：提供IPv6因特网流量转发到非2002:/16前缀的网络。如果公共6to4中继离你的站点很远，会造成你的站点和IPv6因特网之间的IPv6流量的网络性能很差。为了帮助一个6to4站点在因特网上找到可用的6to4中继并且给6to4机制增加更多可扩展性，RFC3068引入了一个任意播前缀，这样6to4数据包可以被自动路由到IPv4因特网上最近的6to4中继。IANA分配了6to4中继任意播前缀/24专门用于自动路由6to4数据包到最近的6to4中继。在6to4置中，可以使用ipv6route:/02002:c058:6301:命令配置默认的IPv6路由。通过GRE隧道部署IPv6，对域内使用IS-IS作为IPv6路由选择协议的组织提供了方便。 4.2.5 ISATAP隧道站点间自动隧道寻址协议（ISATAP）由RFC4212定义，它是一种地址分配技术，是主机到主机、主机到路由器以及路由器到路由器的自动隧道技术，是在一个管理域（如一个站点）内用IPv4传输IPv6的隧道传输机制，它可以在IPv4网络上创建一个虚拟IPv6网络。IPv6数据包在IPv4中的隧道封装在ISATAP主机之间或者ISATAP主机和ISATAP路由器之间执行。隧道封装是自动的，意味着当启用了ISATAP时没必要在主机上应用手动配置，对于ISATAP主机到ISATAP路由器的隧道，ISATAP主机必须首先从可用的路由器列表中找出一个ISATAP路由器的IPv4地址。分配给ISATAP主机和ISATAP路由器的ISATAP地址由专用的可聚合全球单播IPv6地址和特殊格式的接口标识组合而成。一个ISATAP主机上启用的ISATAP地址使用本地链路前缀（FE80:/10）。必须给站点内的ISATAP操作分配一个可聚合或者本地站点的/64前缀。ISATAP主机通过在IPv4上建立起来的ISATA隧道从ISATAP路由器发送的广播消息中接收/64前缀。ISATAP在ISATAPIPv6地址中嵌入IPv4地址。接口标识在IANA保留给ISATAP的高阶32位0000:5EFE后追加32位IPv4地址IPv4兼容隧道。4.2.6 TEREDO隧道这是IETF设计的用于IPv4到IPv6过渡的一种新隧道机制。它的主要目标是传送IPv6数据包到隐藏在IPv4单协议网络域上NAT设备后的双栈节点，这是因为协议41（配置隧道和6to4使用）不能穿过NAT。TEREDO使用IPv4的UDP数据报传送IPv6数据包。通过使用单个IPv4地址与一个NAT设备的UDP映射，TEREDO可以在IPv4的UDP数据报上传送IPv6连接到同一个NAT设备后的多个节点。TEREDO机制由TEREDO服务器、TEREDO中继和客户端组成。服务器连接到IPv4网络，它管理着客户端之间的信令流量；中继充当IPv6路由器，它连接到IPv6网络并且能够在IPv4的UDP数据包上提供IPv6连接到NAT之后的TEREDO客户端。客户端上必须配置TEREDO服务器的IPv4地址。4.3 协议转换IPv6与IPv4网络上单协议网络的节点进行通信是可能的，不过，这些机制需要在IPv4和IPv6两种网络的边界上进行协议转换。 4.3.1 NAT-PT原理(Network Address Translation-Protocol)附带协议转换器的网络地址转换器，是一种纯IPv6节点和IPv4节点间的互通方式，所有包括地址、协议在内的转换工作都由网络设备来完成。支持NAT-PT的网关路由器应具有IPv4地址池，在从IPv6向IPv4域中转发包时使用,地址池中的地址是用来转换IPv6报文中的源地址的。此外网关路由器需要DNS-ALG和FTP-ALG这两种常用的应用层网关的支持，在IPv6节点访问IPv4节点时发挥作用。如果没有DNS-ALG的支持，只能实现由IPv6节点发起的与IPv4节点之间的通信，反之则不行。如果没有FTP-ALG的支持，IPv4网络中的主机将不能用FTP软件从IPv6网络中的服务器上下载文件或者上传文件，反之亦然。如图4-2所示，NAT-PT作用于IPv4和IPv6网络边缘的设备上，所有的地址转换过程都在该设备上实现，对IPv4和IPv6网络来说是透明的，即用户不必改变目前的IPv4网络中主机得配置就可实现IPv6网络与IPv4网络的通信。图 4-1 NAT-PT示意图但由于NAT-PT具有一定的局限性，所以在一些场合不推荐使用（如IPv6网络中主机跨越IPv4网络与另一IPv6网络中主机通信推荐使用隧道技术），例如属于同一会话的请求和响应都必须通过同一NAT-PT设备才能进行NAT-PT转换；不能转换IPv4报文头的可选项部分；缺少端到端的安全性。4.3.2 NAT-PT机制有三种NAT-PT机制可实现IPv4和IPv6地址之间的相互转换：1.静态映射的NAT-PT机制静态映射的NAT-PT机制是指采用手工配置的IPv6地址与IPv4地址的一一对应关系来实现IPv6地址与IPv4地址的转换。2.动态映射的NAT-PT机制和静态映射不同，动态映射没有IPv6和IPv4地址之间的一一对应关系。动态映射要求先创建一个地址池，然后根据需要从地址池中选取空闲地址来完成IPv6地址与IPv4地址的映射。3. NAPT-PT机制NAPT-PT（Network Address Port Translation-Protocol Translation，附带协议转换的网络地址端口转换）是在IP地址动态转换的基础上对TCP、UDP的端口号也进行IPv6到IPv4的转换。采用这种“地址端口号”的映射方式，不同的IPv6地址转换时，可以对应同一个IPv4地址，通过端口号来区分不同的IPv6主机，从而使多个IPv6主机能共享一个IPv4地址完成转换。4.3.3 NAT-PT实现过程1. IPv6侧发起会话(1) 当IPv6网络中的设备发送给IPv4网络的报文到达NAT-PT设备后，如果设备判断该报文是要转发到IPv4网络，则会利用在IPv6侧已经配置的静态或者动态的映射关系，进行IPv6地址到IPv4地址的转换，将报文的源IPv6地址转换为IPv4地址。(2) 根据IPv4侧配置的IPv4与IPv6的映射关系将目的地址转换为IPv4地址。如果没有配置映射关系，那么，如果报文中的目的IPv6地址的低32位可以直接转换为合法的IPv4地址，则直接转换为目的IPv4地址；否则，转换不成功。(3) 报文的源IPv6地址和目的IPv6地址都转换为IPv4地址后，设备按照正常的转发流程将报文转发到IPv4网络中的设备。同时，将IPv6地址与转换后的IPv4地址的映射关系保存在设备中。(4) IPv4网络中的设备发送给IPv6网络中的报文到达NAT-PT设备后，将根据存储的映射关系进行相反的转换，从而将报文回送到IPv6网络中的设备。2. IPv4侧发起会话(1) 当IPv4网络中的设备发送给IPv6网络的报文到达NAT-PT设备后，如果设备判断该报文是要转发到IPv6网络，则会利用在IPv4侧已经配置的静态或者动态的映射关系，进行IPv4地址到IPv6地址的转换，将报文的源IPv4地址转换为IPv6地址。(2)根据IPv6侧配置的IPv6与IPv4映射关系将目的IPv4转换为IPv6地址。(3)报文的源IPv4地址和目的IPv4地址都转换为IPv6地址后，设备按照正常的转发流程将报文转发到IPv6网络中的设备。同时，将IPv4地址与转换后的IPv6地址的映射关系保存在设备中。(4)IPv6网络中的设备发送给IPv4网络中的报文到达NAT-PT设备后，将根据存储的映射关系进行相反的转换，从而将报文回送到IPv4网络中的设备。4.4 各种隧道技术比较表4- 1各种隧道机制的比较机制主要作用优点限制要求IPv4上的IPv6GRE隧道常规通信连接用的稳定而安全的链路。著名的标准隧道技术；采用 Ipv4 IPSec可以保证隧道端点间的安全。只在两点间建立隧道；较大管理开销；GRE隧道在主机上实施得较少。ISP 注册的IPv6 地址；双栈路由器；如果隧道上为IPv6配置了IS-IS，则需要自动6to4 隧道多个远端 IPv6 域的连接；常用的通信方法易于建立，无管理开销当与 IPv6互联网通信时，回程路径选择不是最优的。如果没有通过IPsec (或IPv4或IPv6)进行保护，有潜在的安全问题IPv6 前缀(2002:/16)；双栈路由器ISATAP隧道园区站点；无路由站点转换当园区网上有松散的 IPv6主机时，可简化IPv6 部署与纯 IPv6第3层交换机相比，可能不能提供最佳性能的路径；无法为 IPv6组播业务提供解决方案在 IPv6主机和路由器上实施 ISATAP；双栈路由器6over4隧道园区站点；无路由站点转换N/A不常见，被ISATAP取代N/A第五章 基于IPv6的组网设计5.1 网络总体设计及所需环境、设备概述5.1.1 综合网络拓扑图基于设计需要，建立如下拓扑，如图5-1 综合拓扑图：图5-1 综合拓扑图如图5-1 综合拓扑图所示：左右各三个路由器组成的环形结构拓扑分别使用了OSPFv3 和RIPng路由协议，构成了两个IPV6孤岛，为连接孤岛实现全网的通信，在R3和R4上使用了隧道协议。R4作为边界路由器，需同时启用OSPFv3和RIPng路由协议，并且进行路由协议重发布，才能使得各独立自治系统中的路由器拥有全网络的路由条目，实现数据转发。另外，结合了无状态地址自动配置，在图5-1 综合拓扑图左下方区域，客户端根据网络RA（路由通告）和自己的MAC地址计算出自己的IPv6地址，同时使用DHCP服务器来获取DNS服务器的地址和域名，路由器 R1为DHCPv6 server；右下方,为PC3是手工设置IPv6，PC3、PC4运用ISATAP隧道获得IPv6地址。 5.1.2 设备型号介绍1) Cisco2801 路由器，IOS版本号为: c280nm-advipservicesk9-mz.124-15.T1.bin 2) Cisco 3560三层交换机以及Cisco 2960以太网二层交换机 3）PC机装载windows server 2008 及windows xp操作系统5.2 OSPFv3的配置5.2.1 OSPFv3实验拓扑图与地址规划对图5-1 综合拓扑图中运行OSPFv3的纯IPv6网络单独进行分析，其拓扑图如下图5-2 OSPFv3拓扑图图5-1 综合拓扑图图5-2 OSPFv3拓扑图I Pv6地址规划如下表5- 1路由器各接口的IPv6地址 表5- 1路由器各接口的IPv6地址设备名端口IPv6地址R1S0/02001:1/64R1S0/12003:1/64R2S0/02002:2/64R2S0/12001:2/64R3S0/02003:3/64R3S0/12002:3/645.2.2 设备的基本配置(1)IPv6 unicast-routing启用IPV6单播服务(2)IPv6 router ospf process-id 在路由器上启用一个OSPFv3进程。process-id参数标识了一个唯一的OSPFv3进程。这个命令是在全局基础上使用的。(3)router-id ipv4-address对IPv6单协议网络的OSPF路由器而言，在OSPFv3配置中必须要定义router-id参数，route-id在OSPF中是作为路由器唯一标识的。使用router-id ipv4-address命令定义为一个IPv4地址，取值可以使用任何IPv4地址。例如：router-id 则定义为该路由器的唯一标识。(4)IPv6 ospf process-id area area-id标识指定给这个接口的IPv6前缀作为OSPFv3网络的组成部分。这个命令替换了OSPFv2所使用的network area命令(5)area area-id range IPv6-prefix/prefix-length聚合匹配IPv6-prefix/prefix-length参数的IPv6路由。R2的配置：R2#show runIPv6 unicast-routinginterface Serial0/0no ip addressIPv6 address 2001:2/64IPv6 ospf 100 area 1interface Serial0/1no ip addressIPv6 address 2003:2/64IPv6 ospf 100 area 1IPv6 router ospf 100 router-id 5.3 RIPng的配置 5.3.1 实验拓扑图与地址分配对图5-1 综合拓扑图中运行RIPng的纯IPv6网络单独进行分析，其拓扑图如下图5-3 RIPng配置拓扑图 所示：图5-3 RIPng配置拓扑图各接口地址分配如表5- 2路由器各接口的IPv6地址 表5- 2路由器各接口的IPv6地址设备名端口IPv6地址R4S0/02011:1/64R4Loopback02010:1/64R5S