闲谈IPv6-6to4隧道和ISATAP隧道_思科的6to4隧道和ipsec

浙江温州皮鞋湿，下雨进水不会胖！

本来我是不准备涉及这个话题的，我希望看到的是一个纯粹的IPv6网络，而对为了与IPv4网络共存而引入的兼容性技术没有丝毫的兴趣。所以说，我就一直没有去写这方面的东西。

但是，具有讽刺意义的是，那些IPv6所特有的炫酷技术，比如Anycast，比如自动配置，比如源地址选择，比如聚类分配等等，一般技术开发和运维人员涉及的还真不多，反而大家都必须要打交道的就是IPv6如何与IPv4网络共存的技术。

所以，这是绕不开的。

本文主要闲聊一下关于隧道的技术。

以前做VPN的时候，彻底把隧道玩恶心了，但同时也驯服了各种各样的隧道技术。任何隧道技术，都逃不开一句话，即 用一种协议作为运输协议承载另一个作为载荷的协议。 之所以我们可以见到各种五花八门的隧道技术，那是因为以下的真理：

• 任何协议都可以做运输协议
• 任何协议都可以做载荷
• so 任何协议都可以承载任何协议

就这么简单！

于是，用IPv4作为运输协议去承载IPv6报文，这是理所当然的啊！本文到底就能结束了。但是本文想表达的还有另一个点，那就是：

• IPv6地址具有非常强的编码能力！

按照隧道的概念，就像曾经配置IPSec的隧道模式ESP一样，在两个IPv6孤岛网络的边缘配置两台固定的双栈路由器作为隧道的两个端点，然后 IPv6报文就能被两个路由器用IPv4封装起来传输了， 一条隧道连接了两座孤岛！

这太没有意思了。无聊！

但是在配置IPSec隧道时，大致也只能这么做了吧，充其量有个叫做easy vpn的技术或者类似的技术可以稍微减少一些工作量，但我并不觉得它们有多easy，相反，只要是配置IPSec这类，我就会严重发愁。

我真的为这个发愁了好几年，为此还患上了电话狂躁症，而且是晚期，只要我的电话一响，我就想摔手机，因为我知道电话那头肯定要问网络拓扑，隧道配置之类的常规问题。

若干年后，我接触了IPv6相关的隧道配置。

IPv4承载IPv6报文的隧道可比这好玩多了。它竟然可以全自动地运行！

嗯，是的，不光纯IPv6节点可以实现自动配置，IPv6-in-IPv4隧道也可以自动化！

那么，是什么机制让IPv6-in-IPv4隧道具备了这种能力呢？答案就是 IPv4
地址可以被编码藏匿在IPv6地址中，从而使用IPv6的自动配置特性！

直接看例子吧。

我们已经对于 6to4隧道 ， ISATAP隧道 听得太多了，概念我就不扯了，自行百度，谷歌，一搜一大堆。我这里想把这两类隧道的操作流程展示一下。让我们暂且抛开技术细节和理论概念以及实现的源码，来一个感官上的体验。

在展示之前，我们先要理解为什么需要隧道，隧道解决什么问题。

无论如何，隧道解决的是 如何让一个孤立于IPv4网络中的IPv6节点A访问另一个IPv6节点B。

我们把被访问的IPv6节点B视为存在于一个IPv6中心网络中，这意味着在两种场景下有两种方案可以满足需求：

• 节点A处在纯IPv6孤立站点中，采用站点到IPv6中心网络的方案

啊哈，这就是 6to4隧道！ 也许概念上或者术语上还不筋道，但原理上就是如此。

• 节点A孤立存在，采用节点到IPv6中心网络的方案
  
  啊哈，这就是 ISATSP隧道！ 概念上不太严谨，但差不多，就是这么回事儿。

大概就这么多东西，没别的东西了。剩下的，自己动手配置一下可好？

嗯，相关的配置，请使用iproute2，参看ip-address manual，可知一切！

IPv6全网实施以后，人们的思维必须转变。

IPv6其实不是在分配IP地址，而是在分配IP网段，要只知道，其实大多数情况下，IPv6只是分配一个64位的地址前缀，而不是分配一个全128位的IPv6地址。最典型的情况，IPv6在最精细的情形下，分配的是一个/64的前缀…

天呐，按IPv4的理解方式，你只要把IPv6地址当成是一个拥有64位地址空间的地址集就好了。剩下的低64位，那是可以由你自己自己来支配的，比如你可以根据你的设备MAC地址用EUI-64规则生成，也可以随机生成，反正一切随你自己。

IPv6时代，没有谁可以有能力完全管理到独立的/128地址，宇宙大帝也不能。

所以说，对于隧道，不再需要用单独的IP地址来建立隧道，而是可以用网段来建立，然后这些网段前缀就可以结合IPv6自动配置去配置IPv4隧道了，多么好！不过说白了，IPv6-in-IPv4隧道的简便性，还是因为 IPv6地址空间足够大，足以将IPv4地址编码于其中 所受益。

浙江温州皮鞋湿，下雨进水不会胖！