用于WindowsXP的IPv6配置方案和测试实验室

1、更多 IT 解决方案 网络连接 安全用于 Windows XP 的 IPv6 配置方案和测试实验室更新日期： 2004年06月11日操作系统白皮书摘要Microsoft Windows XP 包括了一个新的 IP 版本 6 (IPv6) 协议，这是一个面向开发人员的版本。这个 IPv6 的实现被设计用来支持少量的连接方案，并向应用程序开发人员提供了可以正常运行的协议套件，这样，对工作在 IPv4 或者 IPv6 之上的应用程序的修改和测试就可以开始了。此外，Windows XP 的 IPv6 协议为 Windows 网络专家提供了一个机会，让他们可以在达到生产质量水平的 IPv6 的版本加入到

2、 Windows 未来版本里之前，开始学习和体验这个重要的协议。本白皮书描述了六个常见 IPv6 配置方案，并指导建立了一个 IPv6 测试实验室。本页内容致谢介绍使用本地链接地址的单独子网在两个本地链接主机之间使用 IPSecIPv6 互联网络上不同子网节点之间的 IPv6 流量IPv4 互联网络不同子网上节点之间的 IPv6 流量跨跃 Internet (6to4) 不同站点的节点之间的 IPv6 流量连接到 6bone建立 IPv6 测试实验室摘要更多信息致谢Microsoft Corporation，项目经理，Joseph DaviesMicrosoft Corporation，技术编

3、辑，John KaiserMicrosoft Corporation，开发主管，Dave Thaler返回页首介绍IP 版本 6 (IPv6) 是一套标准的协议，它是用于 Internet 的下一代网络层协议。Internet 协议当前的版本（叫做 IP 版本 4 或者 IPv4）自从 1981 年通过 RFC 791 公布以来就没有发生过实质性的变化。IPv4 已经被证明是一个可靠的、易于实现和可互操作的协议，并且经过了当今 Internet 全球互联网络应用的考验。但是，当初在设计 IPv4 的时候没有预计到：Internet 最近呈指数级增长的态势以及 IPv4 地址空间即将耗尽的状况。

4、Internet 的增长以及 Internet 骨干路由器维护大型路由表的能力。对更简单配置方案的需求。对 IP 这一层安全的要求。对更好地支持数据实时传送的需求（也叫做服务质量）。为 了解决这些问题，Internet 工程任务组 (IETF) 开发了一套叫做 IP 版本 6 (IPv6) 的协议和标准。这个先前叫做下一代 IP (IPng) 的新版本融合了很多用于更新 IPv4 协议的提议的概念。IPv6 专门设计用来通过避免新特性的任意加入把对上下层协议的影响减到最小。Windows XP 包括了一个 IPv6 协议套件的开发人员版本，专门用于应用程序开发人员。为了正确部署 IPv6，它必

5、须被应用程序使用。应用程序必须经过修改才能够使用新的与 IP 版本无关的 Windows 套接字应用程序编程接口 相同的 API 函数被用于 IPv4 或者 IPv6 上，而 API 调用的结果要依靠所安装的协议和可用的地址。关于修改应用程序让其工作在 IPv4 和IPv6 之上的更多信息，请查看题目为给 Windows 套接字应用程序加入 IPv6 能力的白皮书，以及 Microsoft IPv6 的 Web 网站： /ipv6。尽管还不是设计用在生产环境里，Windows XP 的 IPv6 协议支持很多特性，让你能够通过使用本机的 IPv6

6、数据包或者通过在 IPv4 路由基础结构上发送 IPv6 数据包来建立和测试 IPv6 的功能。本白皮书的各个章节将描述下列配置方案：使用本地链接地址的单独子网。在两个本地链接主机之间使用 IPSec。IPv6 互联网络上不同子网节点之间的 IPv6 流量。IPv4 互联网络不同子网上节点之间的 IPv6 流量。跨跃 Internet (6to4) 不同站点的节点之间的 IPv6 流量。连接到 6bone。此外，本白皮书将指导你如何使用五台计算机建立一个可以运行的 IPv6 测试实验室网络。注意： 本白皮书假设你熟悉 IPv6 的概念、协议和寻址等知识。要获取信息，见 http:/www.mi

7、/ipv6上题目为IP 版本 6 介绍白皮书。返回页首使用本地链接地址的单独子网这个配置只需要同一个网段（也叫做连接或者子网）上至少有两个节点安装有 IPv6，而不需要中间路由器。图 1 显示了使用本地链接地址的单独子网上两个节点的配置情况。图 1：使用本地链接地址的单独子网上的两个节点在缺省情况下，Windows XP 的 IPv6 协议会为已经安装的以太网络适配器所对应的每个接口都配置一个本地链接地址。本地链接地址的前缀是 FE80:/64。IPv6 地址的最后 64 位叫做接口标识符。它派生自网络适配的 48 位 MAC 地址。要利用以太网卡的 48 位（6个字节）

8、 MAC 地址创建 IPv6 接口标识符，就需要：把十六进制数 0xFF-FE 插入到 MAC 地址的第三和第四个字节之间。对通用本地位（MAC 地址第一个字节的第二个低位）取补码。如果它是 1，那它就要被设置成 0；如果它是 0，它就要被设置成 1。例如，如果 MAC 地址是 00-60-08-52-F9-D8：那么就要把十六进制数 0xFF-FE 插入到 MAC 地址的 0x08 （第三个字节）和 0x52 （第四个字节）中间，这就构成了 64 位的地址 00-60-08-FF-FE-52-F9-D8。通用本地位，即MAC 地址的 0x00（第一个字节）的第二个低位，取补码。 0x00 的

9、第二个低位是 0，在取补码之后变成了 1。其结果是，对于第一个字节来说，0x00 变成了 0x02。结果是，与以太网卡 MAC 地址 00-60-08-52-F9-D8 相对应的接口标识符是 02-60-08-FF-FE-52-F9-D8。节 点的本地链接地址是前缀 FE80:/64 和以十六进制冒号符号表示的 64 位接口标识符的结合体。结果是，这个示例节点的本地链接地址是 FE80:260:8FF:FE52:F9D8，他带有前缀 FE80:/64 和接口标识符 02-60-08-FF-FE-52-F9-D8。你可以使用 ipv6 if 命令查看本地链接地址，其输出结果见下面的例子：Inte

10、rface 4: Ethernet: Local Area Connectionuses Neighbor Discoveryuses Router Discoverylink-layer address: 00-04-5a-56-0f-a4preferred link-local fe80:204:5aff:fe56:fa4, life infinitemulticast interface-local ff01:1, 1 refs, not reportablemulticast link-local ff02:1, 1 refs, not reportablemulticast link

11、-local ff02:1:ff56:fa4, 1 refs, last reporterlink MTU 1500 (true link MTU 1500)current hop limit 128reachable time 44500ms (base 30000ms)retransmission interval 1000msDAD transmits 1interface 3: 6to4 Tunneling Pseudo-Interfacedoes not use Neighbor Discoverydoes not use Router Discoverypreferred glob

12、al 2002:9d3c:8852:9d3c:8852, life infinitelink MTU 1280 (true link MTU 65515)current hop limit 128reachable time 28500ms (base 30000ms)retransmission interval 1000msDAD transmits 0Interface 2: Automatic Tunneling Pseudo-Interfacedoes not use Neighbor Discoveryuses Router Discoveryrouter link-layer a

13、ddress:EUI-64 embedded IPv4 address: 2preferred link-local fe80:5efe:2, life infinitepreferred global :2, life infinitelink MTU 1280 (true link MTU 65515)current hop limit 128reachable time 20000ms (base 30000ms)retransmission interval 1000msDAD transmits 0Interfa

14、ce 1: Loopback Pseudo-Interfacedoes not use Neighbor Discoverydoes not use Router Discoverylink-layer address:preferred link-local :1, life infinitepreferred link-local fe80:1, life infinitelink MTU 1500 (true link MTU )current hop limit 128reachable time 18000ms (base 30000ms)retransmission interva

15、l 1000msDAD transmits 0接口 4 是一个与已经安装的以太网适配器对应的接口，它的本地链接地址是 FE80:204:5AFF:FE56:FA4。测试两个本地链接主机之间的连接性你可以用 IPv6 在两个本地链接主机之间进行简单的 ping （ICMPv6 Echo Request 和 Echo Reply 消息的交换）操作，其步骤如下：1.用 ipv6 install 命令在同一个链接（子网）上运行着 Windows XP 的两台主机计算机（主机 A 和主机 B）上安装 IPv6 协议。2.在主机 A 上使用 ipv6 if 获取本地链接地址以及用于本地连接接口的接口索引。

16、例如，主机 A 的本地链接地址是 FE80:210:5AFF:FEAA:20A2，本地连接的接口索引是 4。3.在主机 B 上使用 ipv6 if 获取本地链接地址以及用于叫做本地连接的接口的接口索引。例如，主机 A 的本地链接地址是 FE80:260:97FF:FE02:6EA5，本地连接的接口索引是 5。4.在主机 A 上，使用 Ping6.exe 命令和主机 A 的本地连接接口的接口索引来 ping 主机 B。例如，我们用示例地址和接口索引来 ping 主机 B，命令是 ping6 FE80:260:97FF:FE02:6EA5%4。使用范围 ID当你指定本地链接或者本地站点的目标地址时

17、，你应该指定范围 ID，从而明确流量的范围（网络的区域）。例 如，在一台带有连接到多个不同链接的以太网适配器的计算机上，每个以太网适配器都被分配了一个本地链接地址。这个配置里的目标本地链接地址是不明确的，因 为特定的本地链接地址能够被分配给多个节点，这些节点位于所有已经安装的以太网适配器都能够到达的链接上。为了定义目的地网络的区域，范围 ID 被用来表示发送和接收流量的以太网适配器。在 Windows XP 的 IPv6 协议里，范围 ID 来自 ipv6 if 命令所显示的接口编号或者索引。接口索引在每台本地 IPv6 主机上被定义。由于这一点，主机 A 所使用的、用来到达主机 B 的接口索

18、引可能与主机 B 所使用的、用来到达主机 A 的接口索引不相同。在使用本地站点地址的时候，连接到多个站点是有可能的。在本文里，每个站点都被分配了一个站点标识符。为了定义目的地网络的区域，范围 ID 被用来表示站点标识符。在 Windows XP 的 IPv6 协议里，范围 ID 来自 ipv6 if 命令所显示的站点 ID。如果你只是连接到一个站点，那么缺省的站点标识符就是 1，且不需要指定范围 ID。站点标识符在每台本地 IPv6 主机上被定义。由于这一点，主机 A 所使用的、用来到达主机 B 的站点标识符可能与主机 B 所使用的、用来到达主机 A 的站点标识符不相同。全球地址不需要范围 I

19、D。用来指定带有地址的范围ID的符号是 Address%ScopeID，在这里 Address 是一个本地链接或者网站链接 IPv6 地址，而 ScopeID 是某个接口索引或者站点索引。返回页首在两个本地链接主机之间使用 IPSec这 个配置方案显示了如何在同一个子网的两台主机之间建立 Internet 协议安全 (IPSec) 的安全关联 (SA)。SA 通过使用身份验证头 (AH) 和 Message Digest 5 (MD5) 散列算法进行身份验证。在这个例子里，配置方案会保证两个相邻的主机之间所有流量的安全。主机 1 的本地链接地址是 FE80:2AA:FF:FE53:A92C，主

20、机 2 的本地链接地址是 FE80:2AA:FF:FE92:D0F1。要在同一子网上两台主机之间建立 SA，就要：1.在主机 1 上，使用 ipsec6 s 命令创建空白的安全关联 (.sad) 和安全策略 (.spd) 文件。在这个例子里，Ipsec6.exe 命令是 ipsec6 s test。这会创建两个带有空白项文件，空白项用于手动配置安全关联 (Test.sad) 和安全策略 (Test.spd)。2.在主机 1 上，编辑 .spd 文件，加入一个能够保护主机 1 和主机 2 之间所有流量安全的安全策略。表格 1 显示了加到 Test.spd 里第一个项（Test.spd 里的第一个

21、项没有被修改）前面的安全策略项。表 1：主机 1 的安全策略项.spd 文件的域名称示例值策略2RemoteIPAddr- FE80:2AA:FF:FE92:D0F1LocalIPAddr- *协议- *RemotePort- *LocalPort- *IPSecProtocolAHIPSecMode传输RemoteGWIPAddr*SABundleIndexNONE方向双向行动应用InterfaceIndex03.在配置本安全策略的项结尾处输入一个分号。策略项必须以递减的数字次序排列。4.在主机 1 上，编辑 .sad 文件，加入 SA 项，以保护主机 1 和主机 2 之间所有流量的安全。必

22、须创建两个安全关联，一个用于到主机 2 的流量，另一个用于来自主机 2 的流量。表 2 显示了被添加到 Test.sad 的第一个 SA 项（用于到 主机 2 的流量）。表 2：用于主机 1 的第一个文件安全关联项.sad 文件的域名称示例值SAEntry2SPI3001SADestIPAddrFE80:2AA:FF:FE92:D0F1DestIPAddr策略SrcIPAddr策略协议策略DestPort策略SrcPort策略AuthAlgHMAC-MD5KeyFileTest.key方向出战SecPolicyIndex25.在配置这个 SA 的项结尾处输入一个分号。表 3 显示了加到 Tes

23、t.sad 的第二个 SA 项 （用于来自主机 2 的流量）。表 3：用于主机 1 的第二个安全关联项.sad 文件字段名示例值SAEntry1SPI3000SADestIPAddrFE80:2AA:FF:FE53:A92CDestIPAddr策略SrcIPAddr策略协议策略DestPort策略SrcPort策略AuthAlgHMAC-MD5KeyFileTest.key方向入站SecPolicyIndex26.在配置本 SA 的项结尾处输入一个分号。SA 项必须以递减的数字次序排列。7.在 主机 1 上，创建一个包含某些数据的文件，这些数据被用来创建和验证 Message Digest 5

24、 (MD5) 密钥散列，这一个散列用来保护与主机 2 进行交换的数据包。在这个例子里，使用了一个文本文件。Test.key 和内容一起被创建。没有额外的字符、空白或者行。Windows XP 的 IPv6 协议只支持用于快速模式 SA （也叫做 IPSec 或者 Phase II SA）的手动配置密钥，因为没有通过 Internet 密钥交换 (IKE) 进行主要模式协商。手动密钥通过创建含有手动密钥文本或者二进制数据的文件来配置。在这个例子里，用于 SA 的同一个密钥被用在两个方向上。通过创建不同的密钥文件并用 .sad 文件里的 KeyFile 段参考它们，你可以对入站和出站的 SA 使用

25、不同的密钥。8.在主机 2 上，使用 ipsec6 s 命令来创建空白的安全关联 (.sad) 和安全策略 (.spd) 文件。在这个例子里，Ipsec6.exe 命令是 ipsec6 s test。这就创建了带有用于配置安全关联 (Test.sad) 和安全策略 (Test.spd) 的空白项的两个文件。为了简化这个例子，用于 .sad 和 .spd 文件的相同文件名被用在了主机 2 上。你可以选择在每台主机上使用不同的文件名。9.在主机 2 上，编辑 .spd 文件，添加一个安全策略，以保护主机 1 和主机 2 之间所有流量的安全。表 4 显示被添加到 Test.spd 里放在第一个项之前

26、（Test.spd 里的第一个项没有被修改）的安全策略项。表 4： 用户主机 2 的安全策略项.spd 文件的域名称示例值策略2RemoteIPAddr- FE80:2AA:FF:FE53:A92CLocalIPAddr- *协议- *RemotePort- *LocalPort- *IPSecProtocolAHIPSecMode传输RemoteGWIPAddr*SABundleIndexNONE方向双向行动应用InterfaceIndex010.在配置本安全策略的项结尾处输入一个分号。策略项必须以 递减的数字次序排列。11.在主机 2 上，编辑 .spd 文件，添加一个安全策略，以保护主

27、机 1 和主机 2 之间所有流量的安全。必须创建两个安全关联：一个用于到主机 1 的流量，另一个用于来自主机 2 的流量。表 5 显示了被加到 Test.sad 的第一个 SA 项 （用于到主机 1 的流量）。表 5：用于主机 2 的第一个安全关联.sad 文件的域名称示例值SAEntry2SPI3001SADestIPAddrFE80:2AA:FF:FE53:A92CDestIPAddr策略SrcIPAddr策略协议策略DestPort策略SrcPort策略AuthAlgHMAC-MD5KeyFileTest.key方向出站SecPolicyIndex212.在配置本 SA 的项结尾处输入一

28、个分号。下面的表格显示了被加到 Test.sad 的第二个 SA 项 （用于来自主机 1 的 流量）。表 6：用于主机 2 的第二个安全关联.sad 文件字段名示例值SAEntry1SPI3000SADestIPAddrFE80:2AA:FF:FE92:D0F1DestIPAddr策略SrcIPAddr策略协议策略DestPort策略SrcPort策略AuthAlgHMAC-MD5KeyFileTest.key方向入站SecPolicyIndex213.在配置本 SA 的项结尾处输入一个分号。SA 项必须以递减的数字次序排列。14.在主机 2 上，创建一个文本文件，它包含一个文本字符串，用来对

29、使用主机 1 创建的 SA 进行身份验证。在这个例子里，This is a test 这个内容被用来创建 Test.key。没有多余的字符、空白或者行。15.在主机 1 上，用 ipsec6 l 命令从 .spd 和 .sad 文件里添加已配置好的安全策略和 SA 。在这个例子里 ipsec6 l test 命令要在主机 1 上运行。16.在主机 2 上，用 ipsec6 l 命令从 .spd 和 .sad 文件里添加已配置好的安全策略和 SA 。在这个例子里 ipsec6 l test 命令要从主机 2 上运行。17.在主机 2 上，使用 ping6 命令来 ping 主机 1。如果使用网络

30、监视器来捕捉流量，那么你应该看得到 ICMPv6 Echo Request 和 Echo Reply 消息的交换，IPv6 头和 ICMPv6 头之间有一个身份验证头 (AH)。返回页首IPv6 互联网络上不同子网节点之间的 IPv6 流量这个配置方案需要三台计算机（两台主机和一台路由器计算机）以及 IPv6 协议安装之外的对路由器的额外配置。这里有两个分隔的网段（也叫做链接或者子网），以及一个支持 IPv6 的路由器，用来转发（不同）网段的主机之间的数据包。图 2 显示了由一台路由器连接的分隔网段上两台主机的配置方案。图 2：由路由器连接的分隔网段上的两台主机查看完整的图像。在 缺省情况下，

31、Windows XP 的 IPv6 协议会给与已经安装的以太网络适配器对应的每个接口配置一个本地链接 IP 地址。本地链接地址具有前缀 FE80:/64。IPv6 地址的最后 64 位是接口标识符，它派生自网络适配器的 48 位 MAC 地址。有了本地链接地址，主机 A 和主机 B 就能够与路由器计算机进行通讯，但是无法相互通讯。在本配置方案里，多出的本地站点前缀由路由器来公布。这个本地站点前缀被主机 A 和主机 B 用来自动地配置本地站点地址，后者派生自网络适配器的 48 位 MAC 地址。在主机 A 和主机 B 具有了本地站点地址之后，他们就可以相互通讯了。在路由器计算机上，输入 ipv6

32、 if 命令来取得两个网络适配器的接口索引号。子网 1 是 主机 A 连接的网段。子网 2 是主机 B 连接的网段。在你取得了接口索引号之后，在路由器计算机上输入下面的命令：ipv6 ifcSubnet1InterfaceIndexforwards advertisesipv6 ifc Subnet2InterfaceIndex forwards advertisesipv6 rtu FEC0:0:0:1:/64 Subnet1InterfaceIndex publishipv6 rtu FEC0:0:0:2:/64 Subnet2InterfaceIndex publish在这里：Subne

33、t1InterfaceIndex 是路由器计算机上连接到子网 1 的网络适配器的接口索引Subnet2InterfaceIndex 是路由器计算机上连接到子网 2 的网络适配器的接口索引例如，如果路由器计算机子网 1 和子网 2 接口索引分别是 4 和 5，那么命令就是：ipv6 ifc 4 forwards advertisesipv6 ifc 5 forwards advertisesipv6 rtu FEC0:0:0:1:/64 4 publishipv6 rtu FEC0:0:0:2:/64 5 publish你应该等待 30 秒钟，以便路由器计算机在子网 1 和子网 2 上公布新的本

34、地站点前缀，主机 A 和主机 B 会根据这些前缀自动地配置本地站点地址。在主机 A 上，输入 ipv6 if 命令，以便根据本地站点前缀 FEC0:0:0:1:/64 检查以太网适配的新 IPv6 地址。在主机 B ipv6 if 命令，以便根据本地站点前缀 FEC0:0:0:2:/64 检查以太网适配的新 IPv6 地址。在主机 A 上，使用 ping6 命令和主机 B 的本地站点地址来 ping 主机 B。例如，如果主机 B 的本地站点地址是 FEC0:2:260:97FF:FE02:6EA5，那么命令就是 ping6 FEC0:2:260:97FF:FE02:6EA5。返回页首IPv4

35、互联网络不同子网上节点之间的 IPv6 流量Windows XP 的 IPv6 协议提供了下列方法，供 IPv4 互联网络不同子网的 IPv6 节点进行通讯：使用与 IPv4 兼容的地址站内自动隧道寻址协议 (ISATAP) 地址使用 6over46over4 要求 IPv4 互联网络能够进行多路广播。由于大多数 IPv4 网络都不能进行多路广播，所以 6over4 被极少使用。更多信息请查看 RFC 2529。使用 6to4尽 管 6to4 是主要设计用来允许在单独的、能够使用 IPv6 的 6to4 站点之间进行通讯的，但是正在使用 Windows XP 的 IPv6 协议的 6to4 站

36、点也可以使用 6to4 地址和 6to4 隧道来进行跨越 IPv4 intranet 或者 Internet 的通讯。更多信息见本白皮书 跨跃 Internet (6to4) 不同站点的节点之间的 IPv6 流量章节。在 上面所有的情况里，尽管 IPv6 流量正在被当作 IPv4 的负载携带（把 IPv4 基础结构当作 IPv6 的链路层处理），但是它仍然是 IPv6 流量。使用与这些方法相关地址的应用程序正在使用相同的 Windows 套接字函数，就好像全球 IPv6 地址和 IPv6 基础结构正在被使用一样。你可以用这些方法来测试你应用程序的 IPv6 功能，而不需要在你的组织里部署 IP

37、v6 路由器。使用与 IPv4 兼容的地址与 IPv4 兼容的地址派生自 IPv4 的公共地址，它为在现有 IPv4 Internet 基础结构上连接 IPv6 主机或者站点提供了方法。在使用与 IPv4 兼容的地址时，IPv6 流量不需要 IPv6 路由器的加入。其流量被封装在 IPv4 头里。图 3 所显示的配置方案是分隔网段的两个节点正在使用与 IPv4 兼容的地址跨越 IPv4 路由器进行通讯。图 3：使用与 IPv4 兼容的地址跨越 IPv4 路由器进行通讯在缺省情况下，Windows XP 的 IPv6 协议会自动地为自动隧道伪接口（接口索引 2）上的 IPv4 公共地址配置与 I

38、Pv4 兼容的地址。与 IPv4 兼容的地址形式是 :w.x.y.z，在这里 w.x.y.z 是一个分配给计算机网络接口的 IPv4 公共地址。示例见本白皮书使用本地链接地址的单独子网章节的 ipv6 if 命令的输出。Windows XP 的 IPv6 协议还会自动地创建一个 :/96 路由，利用自动隧道伪接口（接口索引 2）来转发所有与 IPv4 地址兼容的流量。被这台主机转发到与 IPv4 兼容的目的地的所有流量都被用 IPv4 头封装起来。当 你向与 IPv4 兼容的地址发送流量的时候，流量被从与 IPv4 兼容的地址发送出来，并用 IPv4 头封装起来。IPv4 头里的 Protoc

39、ol 字段被设置成 41，表明该负载是一个 IPv6 数据包。IPv4 数据包允许流量跨跃 IPv4 基础结构流动。嵌入到 IPv6 头里与 IPv4 兼容的来源和目的地地址里的 IPv4 头成为了 IPv4 头里 IPv4 的来源和目的地地址。例如，当主机 A （所配置的 IPv4 地址是 7）使用与 IPv4 兼容的地址把 IPv6 流量发送到主机 B （所配置的 IPv4 地址是 3）的时候，用于 IPv4 和 IPv6 头的来源和目的地地址见表 7。表 7：与 IPv4 兼容的地址示例字段值Ipv6 源地址:7IPv

40、6 目的地地址:3IPv4 源地址7IPv4 目标地址3IPv4 路由结构会根据 IPv4 目标地址 3 把数据包从主机 A 转发到 主机 B。在被主机 B 接收之后，IPv4 数据包负载（IPv6 数据包）被传递给 IPv6 协议。要测试连接性，就要使用 ping6 命令。例如，主机 A 会使用下面的命令以及主机 B 与 IPv4 兼容的地址 ping 主机 B。ping6 :3使用站内自动隧道寻址协议地址用于在 IPv4 网络上 IPv6/IPv4 节点之间通讯的另一种地址分配和

41、隧道机制在 Internet 草案站内自动隧道寻址协议 (ISATAP) (draft-ietf-ngtrans-isatap-0x.txt) 里有描述。这些地址叫做 ISATAP 地址。ISATAP 地址使用本地管理接口 ID :0:5EFE:w.x.y.z ，在这里：0:5EFE 部分由一个分配给互联网地址分配机构 (IANA) 的组织单位标识符 (OUI) 和一个表示嵌入式 IPv4 地址 (PE) 的类型组成。而 w.x.y.z 部分是一个任意的 IPv4 单路广播地址，包括公共地址和私有地址。ISATAP 的接口 ID 可以与任何符合 IPv6 单点广播地址的 64 位前缀组合起来。

42、这包括本地链接地址前缀 (FE80:/64)、本地站点前缀和全球前缀（包括 6to4 前缀）。就 像与 IPv4 兼容的地址、6over4 地址和 6to4 地址一样，ISATAP 包含一个嵌入式 IPv4 地址，在使用 ISATAP 寻址的 IPv6 流量通过隧道跨越 IPv4 网络的时候，这个嵌入式 IPv4 地址被用来确定 IPv4 头里是来源还是目的地 IPv4 地址。在缺省情况下，Windows XP 的 IPv6 协议会在分配给节点的每个 IPv4 地址的自动隧道伪接口（接口索引 2）上自动配置一个 ISATAP 地址 FE80:5EFE:w.x.y.z 。这个本地链接 ISATA

43、P 地址允许两台主机通过使用对方的 ISATAP 地址在 IPv4 网络上通讯。示例请见本白皮书使用本地链接地址的单独子网章节 ipv6 if 命令的输出。例 如，主机 A 的 IPv4 地址是 9 ，而主机 B IPv4 地址是 0。当 Windows XP 的 IPv6 协议启动的时候，主机 A 就会被自动地配置 ISATAP 地址 FE80:5EFE:9，而主机 B 被会被自动地配置 ISATAP 地址 FE80:5EFE:0。当主机 A 使用主机 B 的ISATAP 地址把 IPv6 流量发送给主机 B

44、 的时候，用于 IPv4 和IPv6 头的来源和目的地地址见表 8。表 8：ISATAP 地址举例字段值Ipv6 源地址FE80:5EFE:9IPv6 目的地地址FE80:5EFE:0IPv4 源地址9IPv4 目的地地址0要测试连接性，就要使用 ping6 命令。例如主机 A 要使用下面的命令并利用主机 B 的本地链接 ISATAP 地址来 ping 主机 B：ping6 FE80:5EFE:0%2由于 ping6 命令的目的地是一个本地链接地址，所以该命令的 %ScopeID 部分被

45、用来指定流量发出接口的接口索引。在这里，%2 表明是接口 2，它是分配给主机 A 上自动隧道伪接口的接口索引。使用 ISATAP 路由器使 用本地链接 ISATAP 地址允许同一个逻辑子网（IPv4 网络）上的 IPv6/IPv4 主机相互进行通讯，但是不能与其它子网上 IPv6 地址的主机进行。要使用 ISATAP 派生出的全球地址与逻辑子网之外的主机进行通讯，使用 ISATAP 的 IPv6 主机就必须将其数据包通过隧道发送到 ISATAP 路由器。ISATAP 路由器是能够进行以下操作的 IPv6 路由器：在一个逻辑子网（IPv4 网络）上的 ISATAP 主机和其它子网上的主机之间转发

46、数据包。其它子网可以是其他的 IPv4 网络（比如是组织网络或者 IPv4 Internet 的一部分）或者是一个本地 IPv6 路由域里的子网（比如是组织的 IPv6 网络或者 IPv6 Internet 的一部分）。作为 ISATAP 主机默认的路由器。公布地址前缀，以识别 ISATAP 主机所在的逻辑子网。ISATAP 使用被公布的地址前缀来配置本地站点和全球 ISATAP 地址。当 ISATAP 主机接收到来自一个 ISATAP 路由器的路由器公布时，缺省的路由 (:/0) 被使用自动隧道伪接口添加，同时下一跳地址被设置成为与 ISATAP 路由器的逻辑子网接口相对应的本地链接 ISA

47、TAP 地址。当目的地是逻辑子网之外的数据包被发送的时候，它们就通过隧道被发送到 ISATAP 路由器，这个路由器与用 IPv4 网络（包含 ISATAP 路由器和 ISATAP主机）定义的逻辑子网上的 ISATAP 路由接口相对应。这个路由器然后就会转发 IPv6 数据包。对于 Windows XP 的 IPv6 协议，ISATAP 路由器 intranet IPv4 地址的配置可以通过下面的途径获得：_ISATAP 名称到 IPv4 地址的成功解析。用 ipv6 rlu 命令。解析 _ISATAP 名称当 Windows XP 的 IPv6 协议启动的时候，它会尝试使用普通的 TCP/IP

48、 主机和 NetBIOS 名解析技术把 _ISATAP 解析成一个 IPv4 地址。如果成功的话，主机会发送一个用 IPv4 封装的路由器请求 (Router Solicitation) 消息到 ISATAP 路由器。ISATAP 路由器会用一个用 IPv4 封装的单点广播路由器公布消息进行响应，公布它是默认的路由器，并含有用于自动配置集于 ISATAP 地址的前缀。要确保对 _ISATAP 解析的成功，你可以采取下面的步骤：如果 ISATAP 路由器是一台运行 Windows XP 的计算机，那么就把这台计算机命名为 _ISATAP ，它就会自动地在 DNS 和 WINS 里注册正确的记录。

49、在 DNS 的相对应域里手动创建一条 _ISATAP 地址 (A) 记录。例如对于 domain，为 _ISATAP. 创建一条 A 记录。在 WINS 里，为 NetBIOS 名 “_ISATAP ” 创建一条静态的 WINS 记录。把下面的项加到需要解析 _ISATAP 名称的 Hosts 文件里：IPv4Address _ISATAP把下面的项加到需要解析 _ISATAP 名称的 Lmhosts 文件里：IPv4Address _ISATAP使用 ipv6 rlu 命令尽管 _ISATAP 名称的自动解

50、析是配置 ISATAP 路由器 IPv4 地址的推荐方法，但是你可以用 ipv6 rlu 命令进行手动配置。这条命令的句法是：ipv6 rluInterfaceIndexIPv4Address在这里 InterfaceIndex 是自动隧道伪接口（一般都被设置为 2）的接口索引，而 IPv4Address 是 ISATAP 路由器 intranet 接口的 IPv4 地址。例如，如果 ISATAP 路由器的 IPv4 地址是 ，那么命令就是ipv6 rlu 2 一 旦配置好了，主机就会向 ISATAP 路由器发送一条用 IPv4 封装的路由器请求

51、消息。ISATAP 路由器会用一个用 IPv4 封装的单点广播路由器公布消息进行响应，这条消息含有一个前缀，用于自动配置基于 ISATAP 的地址。只有当主机的子网上没有 IPv6 路由器的时候才需要这个额外的配置。注意： 由 ipv6 rlu 命令作出的配置改变不是持久的，所以计算机每次启动的时候都需要执行这条命令。返回页首跨跃 Internet (6to4) 不同站点的节点之间的 IPv6 流量6to4 是一项隧道技术，在 RFC 3056 里有描述。在使用 6to4 的时候，IPv6 流量在 IPv4 互联网络上（例如 Internet）发送之前，它会被一个 IPv4 头封装起来。6to

52、4 使用 2002:WWXX:YYZZ:/48 的全球地址前缀，在这里 WWXX:YYZZ 是全球地址的 Next Level Aggregator (NLA) 部分和公共 IPv4 地址的十六进制冒号表示 (w.x.y.z)，后者被分配给站点或者主机。6to4 主机的完整 6to4 地址是 2002:WWXX:YYZZ:SLA ID:Interface ID。RFC 3056 定义了下面的术语：6to4 主机用至少一个 6to4 地址配置的 IPv6 主机。6to4 路由器IPv6/IPv4 路由器，用于转发站点内部的 6to4 主机与 IPv4 互联网络（例如 Internet）上其它 6

53、to4 路由器或者 6to4 中继路由器之间用 6to4 寻址的流量。6to4 中继路由器IPv6/IPv4 路由器，用于转发 Internet 上 6to4 路由器和 6bone 上主机之间用 6to4 寻址的流量。当你使用 6to4 主机、6to4 站点内部的IPv6 路由结构、站点边界的 6to4 路由器，以及 6to4 中继路由器的时候，下面的通讯类型是可能的：6to4 主机可以和同一站点内部的另一台 6to4 主机进行通讯。可以通过 IPv6 路由基础结构来使用这种类型的通讯，这个基础结构能够让流量到达站点里所有的主机。6to4 主机可以跨跃 IPv4 网络与其它站点里的 6to4

54、主机进行通讯。当 一台 6to4 主机把准备发往另一个站点里 6to4 主机的 IPv6 流量发到了本地站点的 6to4 路由器的时候，这种类型的通讯就会发生。本地站点的 IPv6 路由器会用 IPv4 头封装 IPv6 流量，并把它发送到 Internet 上目的地站点的 6to4 路由器上。目的地站点的 6to4 路由器会删掉 IPv4 头，并通过目的地站点的 IPv6 路由基础结构把 IPv6 数据包转发给 正确的 6to4 主机。6to4 主机能够与 6bone 上的主机进行通讯。当 一台 6to4 主机把准备发往 6bone 主机的 IPv6 流量发到本地站点的 6to4 路由器的时候，这种类型的通讯就会发生。本地站点的 IPv6 路由器会用 IPv4