IPv6 over IPv4隧道

为什么需要IPv6 over IPv4隧道？

由于IPv4地址的枯竭和IPv6的先进性，IPv4过渡为IPv6势在必行。因为IPv6与IPv4的不兼容性，所以需要对原有的IPv4设备进行替换。但是IPv4设备大量替换所需成本会非常巨大，且现网运行的业务也会中断，显然并不可行。所以，IPv4向IPv6过渡是一个渐进的过程。在过渡初期，IPv4网络已经大量部署，而IPv6网络只是散落在各地的“孤岛”，IPv6 over IPv4隧道就是通过隧道技术，使IPv6报文在IPv4网络中传输，实现IPv6网络之间的孤岛互连。

什么是隧道？

隧道（Tunnel）是一种封装技术。它利用一种网络协议来传输另一种网络协议，即利用一种网络传输协议，将其他协议产生的数据报文封装在自身的报文中，然后在网络中传输。隧道是一个虚拟的点对点的连接。一个Tunnel提供了一条使封装的数据报文能够传输的通路，并且在一个Tunnel的两端可以分别对数据报文进行封装及解封装。隧道技术就是指包括数据封装、传输和解封装在内的全过程。隧道技术是IPv6向IPv4过渡的一个重要手段。

IPv6 over IPv4隧道技术原理

1. 边界设备启动IPv4/IPv6双协议栈，并配置IPv6 over IPv4隧道。

2. 边界设备在收到从IPv6网络侧发来的报文后，如果报文的目的地址不是自身且下一跳出接口为Tunnel接口，就要把收到的IPv6报文作为数据部分，加上IPv4报文头，封装成IPv4报文。

3. 在IPv4网络中，封装后的报文被传递到对端的边界设备。

4. 对端边界设备对报文解封装，去掉IPv4报文头，然后将解封装后的IPv6报文发送到IPv6网络中。

IPv6 over IPv4隧道的分类

一个隧道需要有一个起点和一个终点，起点和终点确定了以后，隧道也就可以确定了。IPv6 over IPv4隧道的起点的IPv4地址必须为手工配置，而终点的确定有手工配置和自动获取两种方式。根据隧道终点的IPv4地址的获取方式不同可以将IPv6 over IPv4隧道分为手动隧道和自动隧道。

• 手动隧道：手动隧道即边界设备不能自动获得隧道终点的IPv4地址，需要手工配置隧道终点的IPv4地址，报文才能正确发送至隧道终点

• 自动隧道：自动隧道即边界设备可以自动获得隧道终点的IPv4地址，所以不需要手工配置终点的IPv4地址，一般的做法是隧道的两个接口的IPv6地址采用内嵌IPv4地址的特殊IPv6地址形式，这样路由设备可以从IPv6报文中的目的IPv6地址中提取出IPv4地址。

手动隧道

根据IPv6报文封装的不同，手动隧道又可以分为IPv6 over IPv4手动隧道和IPv6 over IPv4 GRE隧道两种。

IPv6 over IPv4手动隧道

手动隧道直接把IPv6报文封装到IPv4报文中去，IPv6报文作为IPv4报文的净载荷。手动隧道的源地址和目的地址也是手工指定的，它提供了一个点到点的连接。手动隧道可以建立在两个边界路由器之间为被IPv4网络分离的IPv6网络提供稳定的连接，或建立在终端系统与边界路由器之间为终端系统访问IPv6网络提供连接。隧道的边界设备必须支持IPv6/IPv4双协议栈。其它设备只需实现单协议栈即可。因为手动隧道要求在设备上手工配置隧道的源地址和目的地址，如果一个边界设备要与多个设备建立手动隧道，就需要在设备上配置多个隧道，配置比较麻烦。所以手动隧道通常用于两个边界路由器之间，为两个IPv6网络提供连接。

IPv6 over IPv4手动隧道报文封装格式：

IPv6 over IPv4手动隧道转发机制为：当隧道边界设备的IPv6侧收到一个IPv6报文后， 根据IPv6报文的目的地址查找IPv6路由转发表，如果该报文是从此虚拟隧道接口转发出去，则根据隧道接口配置的隧道源端和目的端的IPv4地址进行封装。封装后的报文变成一个IPv4报文，交给IPv4协议栈处理。报文通过IPv4网络转发到隧道的终点。隧道终点收到一个隧道协议报文后，进行隧道解封装。并将解封装后的报文交给IPv6协议栈处理。

IPv6 over IPv4 GRE隧道

IPv6 over IPv4 GRE隧道使用标准的GRE隧道技术提供了点到点连接服务，需要手工指定隧道的端点地址。GRE隧道本身并不限制被封装的协议和传输协议，一个GRE隧道中被封装的协议可以是协议中允许的任意协议（可以是IPv4、IPv6、OSI、MPLS等）。

IPv6 over IPv4 GRE隧道封装和传输过程：

IPv6 over IPv4 GRE隧道的在隧道的边界路由器的传输机制和IPv6 over IPv4手动隧道相同。

自动隧道

自动隧道中，用户仅需要配置设备隧道的起点，隧道的终点由设备自动生成。为了使设备能够自动产生终点，隧道接口的IPv6地址采用内嵌IPv4地址的特殊IPv6地址形式。设备从IPv6报文中的目的IPv6地址中解析出IPv4地址，然后以这个IPv4地址代表的节点作为隧道的终点。

根据IPv6报文封装的不同，自动隧道又可以分为6to4隧道和ISATAP隧道两种。

6to4隧道

6to4隧道也属于一种自动隧道，隧道也是使用内嵌在IPv6地址中的IPv4地址建立的。需要将IPv4地址十进制转换成十六进制再填入IPv6地址中，组成2002:xx:xx::/48的地址。

2002:xx:xx::/48这个IPv6地址的目的是为了边界路由器可以通过这个IPv6地址得知终点的IPv4地址。然后边界路由就会通过算出来的IPv4地址做一个IPv4包头，再将IPv6作为数据载荷放入IPv4包头中，最后将这个整合后的IPv4报文发往IPv4网络，到达目的后，终点的边界路由器会将IPv4包头拆开，露出IPv6包头，送入IPv6网络。

6to4地址可以表示为2002::/16，而一个6to4网络可以表示为2002:IPv4地址::/48。6to4地址的网络前缀长度为64bit，其中前48bit被边界设备上的IPv4地址决定了，用户不能改变，也就是说边界设备创建隧道的源接口的IP地址决定了整个IPv6网络的48bit的前缀。后16位是由用户自己定义的。

6to4隧道的封装和转发过程：

当IPv6报文封装到IPv4报文中发到隧道口后，报文中的IPv4地址和IPv6地址必须能相互对应起来，这样才能被正确转发。

6to4 中继

常规的6to4隧道IPv6网络的地址都需要是固定的48bit的形式，这样方便我们区分目的。但我们也可以使用非2002格式的IPv6地址，只需要在边界路由器上加一条IPv6默认路由下一跳指向对端边界路由器的隧道地址。这样做因为路有递归原则，通过IPv6地址算出的IPv4地址还是对方边界路由器的IPv4地址，可以顺利通信。

ISATAP隧道

ISATAP（Intra-Site Automatic Tunnel Addressing Protocol）是另外一种自动隧道技术。ISATAP隧道同样使用了内嵌IPv4地址的特殊IPv6地址形式，只是和6to4不同的是，6to4是使用IPv4地址做为网络前缀，而ISATAP用IPv4地址做为接口标识。其接口标识符格式：

如果IPv4地址是全局唯一的，则u位为1，否则u位为0。g位是IEEE群体/个体标志。由于ISATAP是通过接口标识来表现的，所以，ISATAP地址有全局单播地址、链路本地地址、ULA地址、组播地址等形式。ISATAP地址的前64位是通过向ISATAP路由器发送请求来得到的，它可以进行地址自动配置。在ISATAP隧道的两端设备之间可以运行ND协议。ISATAP隧道将IPv4网络看作一个非广播的点到多点的链路（NBMA）。

ISATAP过渡机制允许在现有的IPv4网络内部署IPv6，该技术简单而且扩展性很好，可以用于本地站点的过渡。ISATAP支持IPv6站点本地路由和全局IPv6路由域，以及自动IPv6隧道。ISATAP同时还可以与NAT结合，从而可以使用站点内部非全局唯一的IPv4地址。典型的ISATAP隧道应用是在站点内部，所以，其内嵌的IPv4地址不需要是全局唯一的。

ISATAP隧道示例

如上图所示，在IPv4网络内部有两个双栈主机Host B和Host C，它们分别有一个私网IPv4地址。要使其具有ISATAP功能，需要进行如下操作：

1. 首先配置ISATAP隧道接口，这时会根据IPv4地址生成ISATAP类型的接口ID。

2. 根据接口ID生成一个ISATAP链路本地IPv6地址，生成链路本地地址以后，主机就有了在本地链路上进行IPv6通信的能力。

3. 进行自动配置，主机获得IPv6全球单播地址、ULA地址等。

4. 当主机与其它IPv6主机进行通讯时，从隧道接口转发，将从报文的下一跳IPv6地址中取出IPv4地址作为IPv4封装的目的地址。如果目的主机在本站点内，则下一跳就是目的主机本身，如果目的主机不在本站点内，则下一跳为ISATAP路由器的地址。