【正文】 樣，6to4隧道也是一種自動構造隧道的方式。6to4隧道是點到多點的自動隧道，主要用于將多個IPv6孤島通過IPv4網(wǎng)絡連接到IPv6網(wǎng)絡。6to4隧道通過IPv6報文的目的地址中嵌入的IPv4地址，可以自動獲取隧道的終點。6to4隧道采用特殊的地址：6to4地址，它以2002開頭，后面跟著32位的IPv4地址轉化的32位16進制表示，構成一個48位的6to4前綴2002:IPv4ADDR::/48。6to4隧道的地址格式6to4隧道只能將前綴為2002::/16的網(wǎng)絡連接起來，但在IPv6網(wǎng)絡中也會使用像2001::/16這樣的非6to4網(wǎng)絡地址。為了使這些地址可達，必須有一臺6to4路由器作為網(wǎng)關轉發(fā)到IPv6網(wǎng)絡的報文，從而實現(xiàn)6to4網(wǎng)絡（地址前綴以2002開始）與IPv6網(wǎng)絡的互通，這臺路由器就叫做6to4中繼（6to4 Relay）路由器。6to4隧道的作用就是解決孤立的IPv6站點、IPv6子網(wǎng)，在沒有Internet提供商提供IPv6服務的情況下的與其他孤立的IPv6站點、IPv6主干網(wǎng)內部站點之間的通信問題。通常在這種情況下，隧道是建立在IPv6子網(wǎng)或者IPv6站點的邊界路由器上。起點在源站點的邊界路由器上、終點在目的站點的邊界路由器上。6to4隧道的應用因此在實際網(wǎng)絡中，這種隧道可以很好地解決IPv6的分支網(wǎng)絡間通過IPv4網(wǎng)絡建立6to4隧道實現(xiàn)互聯(lián)。而且由于可以實現(xiàn)6to4 Relay的功能，使得6to4隧道可以在更加復雜的IPv6路由環(huán)境下提供IPv6孤島間的通信。需要注意的是，因為6to4地址是自動從站點的IPv4地址派生出來的，因此如果需要6to4隧道穿越IPv4公網(wǎng)時（如，現(xiàn)在的Internet），就要求每個6to4節(jié)點必須具有一個全球唯一的IPv4地址。但是通常駐地網(wǎng)中主機和出口路由器之間建立隧道，跨越公網(wǎng)的可能性比較小。還有一種運用模式，如下圖所示。與ISATAP隧道的典型應用場景類似，6to4隧道也能提供主機—路由器的隧道部署方式。此時，只要6to4主機與6to4路由器的IPv4路由可達即可實現(xiàn)隧道，并不要求必須是全球唯一的IPv4地址。主機—路由器的6to4隧道應用首先在6to4路由器上完成6to4隧道的配置（具體配置略），然后在主機上進行相應配置。依然以Windows XP操作系統(tǒng)為例，在Windows XP上，6to4隧道的偽接口通常為接口3。 進入網(wǎng)絡配置命令行NETSH下C:\ netsh到 `netsh interface39。 命令行下netshinterface到 `netsh interface ipv639。命令行下netsh interface ipv6到 `netsh interface ipv6 6to439。命令行下netsh interface ipv6 6to4設置6to4隧道地址netsh interface ipv6　6to4add address 3 2002:201:102::1其中3是6to4隧道的偽接口，這相當于在路由器上配置隧道口IPv6地址配置靜態(tài)路由使PC有到2002::/16的網(wǎng)段netsh interface ipv6　6to4add route 2002::/16 3配置完成后可以看到PC上6to4端口狀態(tài)如下：C:\ipv6 if 3Interface 3: 6to4 Tunneling PseudoInterface Guid {A995346E9F3E2EDB47D19CC7BA01CD73} does not use Neighbor Discovery does not use Router Discovery routing preference 1 preferred global 2002:201:102::1, life infinite (manual) link MTU 1280 (true link MTU 65515) current hop limit 128 reachable time 37500ms (base 30000ms) retransmission interval 1000ms DAD transmits 0 default site prefix length 48注：使用這種方式配置，主機重啟后相關配置依然存在，不影響6to4隧道的建立和使用。配置靜態(tài)路由的作用是給主機指明到隧道的路由，跟ISATAP的不同，ISATAP主機的地址是自動從路由器獲得的、IPv6的網(wǎng)絡地址（前64位）與路由器一致，而6to4主機地址是配置獲得的，且網(wǎng)絡地址與路由器不同，所以必須指定路由。小結通過與ISATAP主機—路由器隧道相比，6to4主機—路由器隧道在主機上的配置還是相對復雜一些，要求在6to4的主機上配置6to4地址和IPv6路由。操作者必須對IPv6有一定的配置經(jīng)驗，并且能夠合理地規(guī)劃大量用戶端的6to4格式IPv6地址。隧道模式優(yōu)點：保護原有投資（不用把原有設備升級換代），原有網(wǎng)絡拓撲和路由幾乎無需調整，客戶端只要簡單設置即可訪問全球IPv6資源。使用隧道完成的主機—路由器隧道，在主機的配置比較簡便易行，只需要確定隧道對端路由器接口的IPv4地址即可，同時對于主機的要求是必須都要有IPv4地址。因此對于用戶端而言，配置方面與原有的IPv4環(huán)境差異不大，不需為網(wǎng)絡中的所有成員重新做地址分配和規(guī)劃。這種技術非常適合于在一個駐地網(wǎng)中使用，尤其在IPv4仍然是網(wǎng)絡主宰的今天。隧道模式缺點：隧道技術屬于過渡技術，不是最終的理想方案；隧道兩端點設備需要花費額外的系統(tǒng)開銷。但屬于在原有IPv4網(wǎng)絡平滑支撐IPv6業(yè)務的有效手段。 第二平面模式拓撲簡述：原有網(wǎng)絡建設已經(jīng)成熟穩(wěn)定，所有駐地網(wǎng)三層設備均為IPv4設備。為了實現(xiàn)IPv6駐地網(wǎng)，新增1臺IPv6出口路由器。 IPv6出口路由器通過GE鏈路連接新增雙棧交換機，再由雙棧交換機把原有接入交換機新配置的上行鏈路進行匯聚（原有上行鏈路不變），這條鏈路需要Trunk所有擁有IPv6終端的VLAN。實現(xiàn)原理：對于雙棧終端，IPv4網(wǎng)關部署在匯聚3層IPv4交換機上。駐地網(wǎng)內所有三層設備由于均是IPv4設備，不能完成對IPv6報文的轉發(fā)，所以將原有二層交換機雙歸屬到上層IPv4和IPv6路由交換機。需要把IPv6客戶端的網(wǎng)關地址設置為新增IPv6交換機的地址。在新增IPv6交換機上可以不必配置IPv4地址以避免駐地網(wǎng)IPv4報文占用IPv6資源。模式優(yōu)點：開銷小，管理簡單、IPv4和IPv6的邏輯界面清晰，原有網(wǎng)絡拓撲和路由幾乎無需調整，客戶端只要簡單設置即可訪問全球IPv6資源。模式缺點：由于原有網(wǎng)絡接入交換機剩余上行端口數(shù)量和接入交換機到新增IPv6交換機之間的光纖鏈路資源不確定，即便有剩余資源，也需要補充投資。所以此方案可行性不大，可能只有特殊的、小規(guī)模的網(wǎng)絡適合，在此僅作為一種理論方案探討。第8章 IPv6駐地網(wǎng)設施的關鍵技術考查點建設環(huán)節(jié)設施關鍵技術考查點推薦H3C設備駐地網(wǎng)交換系統(tǒng)核心網(wǎng)性能：支持高密度10GE和GE的線速轉發(fā)S12500S9500ES7500E性能：支持所有板卡的分布式轉發(fā)性能：支持端口緩存200ms能力，實現(xiàn)無損以太網(wǎng)（大型駐地網(wǎng)）可靠性：支持交換矩陣與主控的分離，并可擴展（大型駐地網(wǎng)）可靠性：支持IRF智能彈性架構或虛擬交換技術，將多臺物理交換虛擬為統(tǒng)一交換，并實現(xiàn)跨設備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉發(fā)。并無需另配專用虛擬化卡實現(xiàn)。安全性：支持集成硬件的IPv6/IPv4防火墻與IPS入侵檢測IPv6業(yè)務：支持OSPFvRIPng、BGP4+等IPv6主要路由協(xié)議IPv6業(yè)務：支持PIMSM、PIMDM、MLD等IPv6主要組播協(xié)議IPv6業(yè)務：支持ISATAP、6to4等IPv6主要隧道過渡技術匯聚網(wǎng)性能：支持較高密度10GE和GE的線速轉發(fā)S7500ES5800性能：支持所有板卡的分布式轉發(fā)可靠性：支持IRF智能彈性架構或虛擬交換技術，將多臺物理交換虛擬為統(tǒng)一交換，并實現(xiàn)跨設備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉發(fā)。并無需另配專用虛擬化卡實現(xiàn)。安全性：支持集成硬件的IPv6/IPv4防火墻與IPS入侵檢測IPv6業(yè)務：支持OSPFvRIPng、BGP4+等IPv6主要路由協(xié)議IPv6業(yè)務：支持PIMSM、PIMDM、MLD等IPv6主要組播協(xié)議IPv6業(yè)務：支持ISATAP、6to4等IPv6主要隧道過渡技術接入網(wǎng)性能：支持密度GE的線速轉發(fā)S5500EIE500可靠性：支持IRF智能彈性架構或虛擬交換技術，將多臺物理交換虛擬為統(tǒng)一交換，并實現(xiàn)跨設備鏈路聚合、統(tǒng)一配置管理、分布式二層三層轉發(fā)。并無需另配專用虛擬化卡實現(xiàn)。安全性：支持ND攻擊、DHCPv6仿冒、RA仿冒等安全問題的防御安全性：支持ARP攻擊等安全問題的防御IPv6業(yè)務：支持一定的IPv6路由協(xié)議IPv6業(yè)務：MLD snoopingIPv6組播協(xié)議駐地網(wǎng)無線系統(tǒng)自適應無線環(huán)境調整信道自動調整——當AP變化時（數(shù)量調整、位置調整）會導致信道重疊，自動調整信道（support or 、world wide setting、Channel setting、Data Rate management、autoselection of channel during AP boot up）將會大幅降低管理工作量WX6000系列控制器；無線插卡控制器；WA2620AGN接入點；WA2612AGN接入點；S5120POE；iMC統(tǒng)一管理平臺（無線管理組件）功率自動調整——當AP變化時（數(shù)量調整、位置調整）會導致功率互相影響，自動調整功率（max transmit power setting）將會大幅降低管理工作量自適應負載均衡用戶級負載均衡——用戶數(shù)量多，密集，當一臺AP承載過多用戶時，需要均衡到其他AP，保證使用效果的最佳 AP級負載均衡——有多臺無線交換機時，AP均衡的向交換機進行注冊，有利于使用效果支持智能負載均衡技術，保證只對處于AP覆蓋重疊區(qū)的無線用戶才啟動AP負載均衡功能，有效的避免誤均衡的出現(xiàn)快速三層漫游AP和無線控制器之間通過CAPWAP隧道傳遞用戶數(shù)據(jù)，CAPWAP隧道可以穿越現(xiàn)有L2/L3網(wǎng)絡；AP、CAPWAP隧道、無線交換機構建無線域，用戶可以在無線域中靈活漫游快速切換技術保證用戶漫游時50ms語音級快速切換透明重認證保證用戶漫游前后權限一致無線IPv6支持IPv6環(huán)境——有線網(wǎng)IPv6已經(jīng)是用戶必須技術，無線網(wǎng)IPv6是必然趨勢。如果不支持IPv6勢必造成將來改造成本再投入。H3C通過部署AP與無線交換機互聯(lián)基于IPv6的隧道，支持IPv6環(huán)境下的無線組網(wǎng)需求IPv6 ACL、IPv6組播——無線網(wǎng)實現(xiàn)IPv6，需要對用戶按照不同策略進行訪問控制支持ACLDNSTracertTelnetTFTP IPvFTP IPvDHCP clientPing6有線無線一體化實現(xiàn)統(tǒng)一認證管理實現(xiàn)PoE管理——大規(guī)模無線高密度覆蓋，必須靠電信級PoE交換機完成供電，且通過PoE供電設備隨時可以完成故障AP的遠程重啟實現(xiàn)有線無線統(tǒng)一網(wǎng)管無線網(wǎng)安全防御能力無線接入支持豐富封裝技術（WEP、Dynamic WEP、TKIP、CCMP)，防止無線報文被監(jiān)聽和篡改支持用戶身份鑒別和安全準入（PSK＋MAC authentication、＋11Key handshake、Static/ Dynamic blacklist），業(yè)務隔離，限制用戶互訪支持WAPI標準部署、室外部署支持專業(yè)的室外防雷防水防塵套件支持雙模接入（、）駐地網(wǎng)安全防御教育CNGI互聯(lián)接口防護L2L3層防御功能：針對IPv6的防火墻部署，支持部署二層三層模式F5000SecBlade FWL2L3層防御性能：支持10G性能并可線性擴容，對于大型學?？芍С?0G處理能力L4L7層防御功能：針對IPv6報文上層內容的深度檢測與過濾，支持與微軟MAPP、CVE等全文機構的合作并取得其正式的認證，支持與卡巴斯基等專業(yè)防毒企業(yè)的特征合作，集成漏洞庫、專業(yè)病毒庫、應用協(xié)議庫。L2L3層防御性能：支持2G性能并可線性擴容，對于大型學?？芍С?G處理能力教育CNGI互聯(lián)接口優(yōu)化功能：針對IPv4/IPv6出口流量，實現(xiàn)精細化的控制管理，支持對國內常見P2P/加密P2P的識別與控制，并擁有本地化的應用特征分析團隊，可提供定期特征庫升級服務ACG 8800SeBlade ACG性能：支持2G性能并可線性擴容，對于大型學?？芍С?G處理能力服務器群或數(shù)據(jù)中心防護L2L3層防御功能：針對IPv6的防火墻部署，支持部署二層三層模式T5000SecBlade IPSL2L3層防御性能：支持10G性能并可線性擴容，對于大型學校可支持40G處理能力L4L7層防御功能：針對IPv6報文上層內容的深度檢測與過濾，支持與微軟MAPP、CVE等全文機構的合作并取得其正式的認證，支持與卡巴斯基等專業(yè)防毒企業(yè)的特征合作，集成漏洞庫、專業(yè)病毒庫、應用協(xié)議庫。L2L3層防御性能：支持2G性能并可線性擴容，對于大型學校可支持5G處理能力園區(qū)骨干網(wǎng)防護L2L3層防御功能：針對IPv6的防火墻部署，支持部署二層三層模式，支持虛擬防火墻SecBlade FWL2L3層防御性能：支持10G性能并可線性擴容，可與核心交換系統(tǒng)無縫集成、無瓶頸集成，并結合所內各子網(wǎng)子系統(tǒng)靈活劃分安全域策略桌面接入風險防御安全性：支持ND攻擊、DHCPv6仿冒、RA仿冒等安全問題的防御S5500EIE5