【正文】 樣，6to4隧道也是一種自動(dòng)構(gòu)造隧道的方式。6to4隧道是點(diǎn)到多點(diǎn)的自動(dòng)隧道，主要用于將多個(gè)IPv6孤島通過(guò)IPv4網(wǎng)絡(luò)連接到IPv6網(wǎng)絡(luò)。6to4隧道通過(guò)IPv6報(bào)文的目的地址中嵌入的IPv4地址，可以自動(dòng)獲取隧道的終點(diǎn)。6to4隧道采用特殊的地址：6to4地址，它以2002開(kāi)頭，后面跟著32位的IPv4地址轉(zhuǎn)化的32位16進(jìn)制表示，構(gòu)成一個(gè)48位的6to4前綴2002:IPv4ADDR::/48。6to4隧道的地址格式6to4隧道只能將前綴為2002::/16的網(wǎng)絡(luò)連接起來(lái)，但在IPv6網(wǎng)絡(luò)中也會(huì)使用像2001::/16這樣的非6to4網(wǎng)絡(luò)地址。為了使這些地址可達(dá)，必須有一臺(tái)6to4路由器作為網(wǎng)關(guān)轉(zhuǎn)發(fā)到IPv6網(wǎng)絡(luò)的報(bào)文，從而實(shí)現(xiàn)6to4網(wǎng)絡(luò)（地址前綴以2002開(kāi)始）與IPv6網(wǎng)絡(luò)的互通，這臺(tái)路由器就叫做6to4中繼（6to4 Relay）路由器。6to4隧道的作用就是解決孤立的IPv6站點(diǎn)、IPv6子網(wǎng)，在沒(méi)有Internet提供商提供IPv6服務(wù)的情況下的與其他孤立的IPv6站點(diǎn)、IPv6主干網(wǎng)內(nèi)部站點(diǎn)之間的通信問(wèn)題。通常在這種情況下，隧道是建立在IPv6子網(wǎng)或者IPv6站點(diǎn)的邊界路由器上。起點(diǎn)在源站點(diǎn)的邊界路由器上、終點(diǎn)在目的站點(diǎn)的邊界路由器上。6to4隧道的應(yīng)用因此在實(shí)際網(wǎng)絡(luò)中，這種隧道可以很好地解決IPv6的分支網(wǎng)絡(luò)間通過(guò)IPv4網(wǎng)絡(luò)建立6to4隧道實(shí)現(xiàn)互聯(lián)。而且由于可以實(shí)現(xiàn)6to4 Relay的功能，使得6to4隧道可以在更加復(fù)雜的IPv6路由環(huán)境下提供IPv6孤島間的通信。需要注意的是，因?yàn)?to4地址是自動(dòng)從站點(diǎn)的IPv4地址派生出來(lái)的，因此如果需要6to4隧道穿越IPv4公網(wǎng)時(shí)（如，現(xiàn)在的Internet），就要求每個(gè)6to4節(jié)點(diǎn)必須具有一個(gè)全球唯一的IPv4地址。但是通常駐地網(wǎng)中主機(jī)和出口路由器之間建立隧道，跨越公網(wǎng)的可能性比較小。還有一種運(yùn)用模式，如下圖所示。與ISATAP隧道的典型應(yīng)用場(chǎng)景類(lèi)似，6to4隧道也能提供主機(jī)—路由器的隧道部署方式。此時(shí)，只要6to4主機(jī)與6to4路由器的IPv4路由可達(dá)即可實(shí)現(xiàn)隧道，并不要求必須是全球唯一的IPv4地址。主機(jī)—路由器的6to4隧道應(yīng)用首先在6to4路由器上完成6to4隧道的配置（具體配置略），然后在主機(jī)上進(jìn)行相應(yīng)配置。依然以Windows XP操作系統(tǒng)為例，在Windows XP上，6to4隧道的偽接口通常為接口3。 進(jìn)入網(wǎng)絡(luò)配置命令行NETSH下C:\ netsh到 `netsh interface39。 命令行下netshinterface到 `netsh interface ipv639。命令行下netsh interface ipv6到 `netsh interface ipv6 6to439。命令行下netsh interface ipv6 6to4設(shè)置6to4隧道地址netsh interface ipv6　6to4add address 3 2002:201:102::1其中3是6to4隧道的偽接口，這相當(dāng)于在路由器上配置隧道口IPv6地址配置靜態(tài)路由使PC有到2002::/16的網(wǎng)段netsh interface ipv6　6to4add route 2002::/16 3配置完成后可以看到PC上6to4端口狀態(tài)如下：C:\ipv6 if 3Interface 3: 6to4 Tunneling PseudoInterface Guid {A995346E9F3E2EDB47D19CC7BA01CD73} does not use Neighbor Discovery does not use Router Discovery routing preference 1 preferred global 2002:201:102::1, life infinite (manual) link MTU 1280 (true link MTU 65515) current hop limit 128 reachable time 37500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48注：使用這種方式配置，主機(jī)重啟后相關(guān)配置依然存在，不影響6to4隧道的建立和使用。配置靜態(tài)路由的作用是給主機(jī)指明到隧道的路由，跟ISATAP的不同，ISATAP主機(jī)的地址是自動(dòng)從路由器獲得的、IPv6的網(wǎng)絡(luò)地址（前64位）與路由器一致，而6to4主機(jī)地址是配置獲得的，且網(wǎng)絡(luò)地址與路由器不同，所以必須指定路由。小結(jié)通過(guò)與ISATAP主機(jī)—路由器隧道相比，6to4主機(jī)—路由器隧道在主機(jī)上的配置還是相對(duì)復(fù)雜一些，要求在6to4的主機(jī)上配置6to4地址和IPv6路由。操作者必須對(duì)IPv6有一定的配置經(jīng)驗(yàn)，并且能夠合理地規(guī)劃大量用戶(hù)端的6to4格式IPv6地址。隧道模式優(yōu)點(diǎn)：保護(hù)原有投資（不用把原有設(shè)備升級(jí)換代），原有網(wǎng)絡(luò)拓?fù)浜吐酚蓭缀鯚o(wú)需調(diào)整，客戶(hù)端只要簡(jiǎn)單設(shè)置即可訪問(wèn)全球IPv6資源。使用隧道完成的主機(jī)—路由器隧道，在主機(jī)的配置比較簡(jiǎn)便易行，只需要確定隧道對(duì)端路由器接口的IPv4地址即可，同時(shí)對(duì)于主機(jī)的要求是必須都要有IPv4地址。因此對(duì)于用戶(hù)端而言，配置方面與原有的IPv4環(huán)境差異不大，不需為網(wǎng)絡(luò)中的所有成員重新做地址分配和規(guī)劃。這種技術(shù)非常適合于在一個(gè)駐地網(wǎng)中使用，尤其在IPv4仍然是網(wǎng)絡(luò)主宰的今天。隧道模式缺點(diǎn)：隧道技術(shù)屬于過(guò)渡技術(shù)，不是最終的理想方案；隧道兩端點(diǎn)設(shè)備需要花費(fèi)額外的系統(tǒng)開(kāi)銷(xiāo)。但屬于在原有IPv4網(wǎng)絡(luò)平滑支撐IPv6業(yè)務(wù)的有效手段。 第二平面模式拓?fù)浜?jiǎn)述：原有網(wǎng)絡(luò)建設(shè)已經(jīng)成熟穩(wěn)定，所有駐地網(wǎng)三層設(shè)備均為IPv4設(shè)備。為了實(shí)現(xiàn)IPv6駐地網(wǎng)，新增1臺(tái)IPv6出口路由器。 IPv6出口路由器通過(guò)GE鏈路連接新增雙棧交換機(jī)，再由雙棧交換機(jī)把原有接入交換機(jī)新配置的上行鏈路進(jìn)行匯聚（原有上行鏈路不變），這條鏈路需要Trunk所有擁有IPv6終端的VLAN。實(shí)現(xiàn)原理：對(duì)于雙棧終端，IPv4網(wǎng)關(guān)部署在匯聚3層IPv4交換機(jī)上。駐地網(wǎng)內(nèi)所有三層設(shè)備由于均是IPv4設(shè)備，不能完成對(duì)IPv6報(bào)文的轉(zhuǎn)發(fā)，所以將原有二層交換機(jī)雙歸屬到上層IPv4和IPv6路由交換機(jī)。需要把IPv6客戶(hù)端的網(wǎng)關(guān)地址設(shè)置為新增IPv6交換機(jī)的地址。在新增IPv6交換機(jī)上可以不必配置IPv4地址以避免駐地網(wǎng)IPv4報(bào)文占用IPv6資源。模式優(yōu)點(diǎn)：開(kāi)銷(xiāo)小，管理簡(jiǎn)單、IPv4和IPv6的邏輯界面清晰，原有網(wǎng)絡(luò)拓?fù)浜吐酚蓭缀鯚o(wú)需調(diào)整，客戶(hù)端只要簡(jiǎn)單設(shè)置即可訪問(wèn)全球IPv6資源。模式缺點(diǎn)：由于原有網(wǎng)絡(luò)接入交換機(jī)剩余上行端口數(shù)量和接入交換機(jī)到新增IPv6交換機(jī)之間的光纖鏈路資源不確定，即便有剩余資源，也需要補(bǔ)充投資。所以此方案可行性不大，可能只有特殊的、小規(guī)模的網(wǎng)絡(luò)適合，在此僅作為一種理論方案探討。第8章 IPv6駐地網(wǎng)設(shè)施的關(guān)鍵技術(shù)考查點(diǎn)建設(shè)環(huán)節(jié)設(shè)施關(guān)鍵技術(shù)考查點(diǎn)推薦H3C設(shè)備駐地網(wǎng)交換系統(tǒng)核心網(wǎng)性能：支持高密度10GE和GE的線速轉(zhuǎn)發(fā)S12500S9500ES7500E性能：支持所有板卡的分布式轉(zhuǎn)發(fā)性能：支持端口緩存200ms能力，實(shí)現(xiàn)無(wú)損以太網(wǎng)（大型駐地網(wǎng)）可靠性：支持交換矩陣與主控的分離，并可擴(kuò)展（大型駐地網(wǎng)）可靠性：支持IRF智能彈性架構(gòu)或虛擬交換技術(shù)，將多臺(tái)物理交換虛擬為統(tǒng)一交換，并實(shí)現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉(zhuǎn)發(fā)。并無(wú)需另配專(zhuān)用虛擬化卡實(shí)現(xiàn)。安全性：支持集成硬件的IPv6/IPv4防火墻與IPS入侵檢測(cè)IPv6業(yè)務(wù)：支持OSPFvRIPng、BGP4+等IPv6主要路由協(xié)議IPv6業(yè)務(wù)：支持PIMSM、PIMDM、MLD等IPv6主要組播協(xié)議IPv6業(yè)務(wù)：支持ISATAP、6to4等IPv6主要隧道過(guò)渡技術(shù)匯聚網(wǎng)性能：支持較高密度10GE和GE的線速轉(zhuǎn)發(fā)S7500ES5800性能：支持所有板卡的分布式轉(zhuǎn)發(fā)可靠性：支持IRF智能彈性架構(gòu)或虛擬交換技術(shù)，將多臺(tái)物理交換虛擬為統(tǒng)一交換，并實(shí)現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉(zhuǎn)發(fā)。并無(wú)需另配專(zhuān)用虛擬化卡實(shí)現(xiàn)。安全性：支持集成硬件的IPv6/IPv4防火墻與IPS入侵檢測(cè)IPv6業(yè)務(wù)：支持OSPFvRIPng、BGP4+等IPv6主要路由協(xié)議IPv6業(yè)務(wù)：支持PIMSM、PIMDM、MLD等IPv6主要組播協(xié)議IPv6業(yè)務(wù)：支持ISATAP、6to4等IPv6主要隧道過(guò)渡技術(shù)接入網(wǎng)性能：支持密度GE的線速轉(zhuǎn)發(fā)S5500EIE500可靠性：支持IRF智能彈性架構(gòu)或虛擬交換技術(shù)，將多臺(tái)物理交換虛擬為統(tǒng)一交換，并實(shí)現(xiàn)跨設(shè)備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉(zhuǎn)發(fā)。并無(wú)需另配專(zhuān)用虛擬化卡實(shí)現(xiàn)。安全性：支持ND攻擊、DHCPv6仿冒、RA仿冒等安全問(wèn)題的防御安全性：支持ARP攻擊等安全問(wèn)題的防御IPv6業(yè)務(wù)：支持一定的IPv6路由協(xié)議IPv6業(yè)務(wù)：MLD snoopingIPv6組播協(xié)議駐地網(wǎng)無(wú)線系統(tǒng)自適應(yīng)無(wú)線環(huán)境調(diào)整信道自動(dòng)調(diào)整——當(dāng)AP變化時(shí)（數(shù)量調(diào)整、位置調(diào)整）會(huì)導(dǎo)致信道重疊，自動(dòng)調(diào)整信道（support or 、world wide setting、Channel setting、Data Rate management、autoselection of channel during AP boot up）將會(huì)大幅降低管理工作量WX6000系列控制器；無(wú)線插卡控制器；WA2620AGN接入點(diǎn)；WA2612AGN接入點(diǎn)；S5120POE；iMC統(tǒng)一管理平臺(tái)（無(wú)線管理組件）功率自動(dòng)調(diào)整——當(dāng)AP變化時(shí)（數(shù)量調(diào)整、位置調(diào)整）會(huì)導(dǎo)致功率互相影響，自動(dòng)調(diào)整功率（max transmit power setting）將會(huì)大幅降低管理工作量自適應(yīng)負(fù)載均衡用戶(hù)級(jí)負(fù)載均衡——用戶(hù)數(shù)量多，密集，當(dāng)一臺(tái)AP承載過(guò)多用戶(hù)時(shí)，需要均衡到其他AP，保證使用效果的最佳 AP級(jí)負(fù)載均衡——有多臺(tái)無(wú)線交換機(jī)時(shí)，AP均衡的向交換機(jī)進(jìn)行注冊(cè)，有利于使用效果支持智能負(fù)載均衡技術(shù)，保證只對(duì)處于AP覆蓋重疊區(qū)的無(wú)線用戶(hù)才啟動(dòng)AP負(fù)載均衡功能，有效的避免誤均衡的出現(xiàn)快速三層漫游AP和無(wú)線控制器之間通過(guò)CAPWAP隧道傳遞用戶(hù)數(shù)據(jù)，CAPWAP隧道可以穿越現(xiàn)有L2/L3網(wǎng)絡(luò)；AP、CAPWAP隧道、無(wú)線交換機(jī)構(gòu)建無(wú)線域，用戶(hù)可以在無(wú)線域中靈活漫游快速切換技術(shù)保證用戶(hù)漫游時(shí)50ms語(yǔ)音級(jí)快速切換透明重認(rèn)證保證用戶(hù)漫游前后權(quán)限一致無(wú)線IPv6支持IPv6環(huán)境——有線網(wǎng)IPv6已經(jīng)是用戶(hù)必須技術(shù)，無(wú)線網(wǎng)IPv6是必然趨勢(shì)。如果不支持IPv6勢(shì)必造成將來(lái)改造成本再投入。H3C通過(guò)部署AP與無(wú)線交換機(jī)互聯(lián)基于IPv6的隧道，支持IPv6環(huán)境下的無(wú)線組網(wǎng)需求IPv6 ACL、IPv6組播——無(wú)線網(wǎng)實(shí)現(xiàn)IPv6，需要對(duì)用戶(hù)按照不同策略進(jìn)行訪問(wèn)控制支持ACLDNSTracertTelnetTFTP IPvFTP IPvDHCP clientPing6有線無(wú)線一體化實(shí)現(xiàn)統(tǒng)一認(rèn)證管理實(shí)現(xiàn)PoE管理——大規(guī)模無(wú)線高密度覆蓋，必須靠電信級(jí)PoE交換機(jī)完成供電，且通過(guò)PoE供電設(shè)備隨時(shí)可以完成故障AP的遠(yuǎn)程重啟實(shí)現(xiàn)有線無(wú)線統(tǒng)一網(wǎng)管無(wú)線網(wǎng)安全防御能力無(wú)線接入支持豐富封裝技術(shù)（WEP、Dynamic WEP、TKIP、CCMP)，防止無(wú)線報(bào)文被監(jiān)聽(tīng)和篡改支持用戶(hù)身份鑒別和安全準(zhǔn)入（PSK＋MAC authentication、＋11Key handshake、Static/ Dynamic blacklist），業(yè)務(wù)隔離，限制用戶(hù)互訪支持WAPI標(biāo)準(zhǔn)部署、室外部署支持專(zhuān)業(yè)的室外防雷防水防塵套件支持雙模接入（、）駐地網(wǎng)安全防御教育CNGI互聯(lián)接口防護(hù)L2L3層防御功能：針對(duì)IPv6的防火墻部署，支持部署二層三層模式F5000SecBlade FWL2L3層防御性能：支持10G性能并可線性擴(kuò)容，對(duì)于大型學(xué)?？芍С?0G處理能力L4L7層防御功能：針對(duì)IPv6報(bào)文上層內(nèi)容的深度檢測(cè)與過(guò)濾，支持與微軟MAPP、CVE等全文機(jī)構(gòu)的合作并取得其正式的認(rèn)證，支持與卡巴斯基等專(zhuān)業(yè)防毒企業(yè)的特征合作，集成漏洞庫(kù)、專(zhuān)業(yè)病毒庫(kù)、應(yīng)用協(xié)議庫(kù)。L2L3層防御性能：支持2G性能并可線性擴(kuò)容，對(duì)于大型學(xué)?？芍С?G處理能力教育CNGI互聯(lián)接口優(yōu)化功能：針對(duì)IPv4/IPv6出口流量，實(shí)現(xiàn)精細(xì)化的控制管理，支持對(duì)國(guó)內(nèi)常見(jiàn)P2P/加密P2P的識(shí)別與控制，并擁有本地化的應(yīng)用特征分析團(tuán)隊(duì)，可提供定期特征庫(kù)升級(jí)服務(wù)ACG 8800SeBlade ACG性能：支持2G性能并可線性擴(kuò)容，對(duì)于大型學(xué)校可支持4G處理能力服務(wù)器群或數(shù)據(jù)中心防護(hù)L2L3層防御功能：針對(duì)IPv6的防火墻部署，支持部署二層三層模式T5000SecBlade IPSL2L3層防御性能：支持10G性能并可線性擴(kuò)容，對(duì)于大型學(xué)?？芍С?0G處理能力L4L7層防御功能：針對(duì)IPv6報(bào)文上層內(nèi)容的深度檢測(cè)與過(guò)濾，支持與微軟MAPP、CVE等全文機(jī)構(gòu)的合作并取得其正式的認(rèn)證，支持與卡巴斯基等專(zhuān)業(yè)防毒企業(yè)的特征合作，集成漏洞庫(kù)、專(zhuān)業(yè)病毒庫(kù)、應(yīng)用協(xié)議庫(kù)。L2L3層防御性能：支持2G性能并可線性擴(kuò)容，對(duì)于大型學(xué)?？芍С?G處理能力園區(qū)骨干網(wǎng)防護(hù)L2L3層防御功能：針對(duì)IPv6的防火墻部署，支持部署二層三層模式，支持虛擬防火墻SecBlade FWL2L3層防御性能：支持10G性能并可線性擴(kuò)容，可與核心交換系統(tǒng)無(wú)縫集成、無(wú)瓶頸集成，并結(jié)合所內(nèi)各子網(wǎng)子系統(tǒng)靈活劃分安全域策略桌面接入風(fēng)險(xiǎn)防御安全性：支持ND攻擊、DHCPv6仿冒、RA仿冒等安全問(wèn)題的防御S5500EIE5