附錄B（資料性附錄）IPv6過渡技術

實現IPv4與IPv6共存期的應用互訪和平滑演進是實現IPv4向IPv6成功過渡的基礎。在整個網絡過渡時期，將會有多種不同技術得到應用，以滿足過渡時期的不同需求。根據實現機制的不同，過渡技術主要包括雙棧、隧道技術和翻譯技術。在實際應用中，一般會綜合考慮網絡，用戶，業務，升級成本等諸多因素，將三種過渡技術結合使用，以制定合理的網絡過渡解決方案。IPSec隧道在穿越不同種的網絡時有以下場景。

傳輸模式**IPSec 6over4 隧道:**

傳輸模式IPSec 6over4隧道是在IPv6 over IPv4隧道基礎上嵌套IPSec隧道，以此增強傳輸隧道的安全性。

在IPv4網絡向IPv6網絡過渡的初期，IPv4網絡已被大量部署，而IPv6網絡只是散布在世界各地的一些孤島。利用隧道技術可以在IPv4網絡上創建隧道，從而實現IPv6孤島之間的互連。在IPv4網絡上用于連接IPv6孤島的隧道稱為IPv6 over IPv4隧道。為了保證IPv6報文安全地通過IPv4網絡，可以利用IPSec技術提供保護。

如圖D-1所示，IPv6報文到達IPSec VPN后，設備會利用IPv6 over IPv4技術為報文封裝IPv4報文頭，然后利用IPSec技術為報文增加IPSec報文頭。封裝后的報文可以安全穿越IPv4網絡，到達對端設備后再進行解封裝，然后IPv6報文會被繼續轉發到目的端，從而實現了隔離IPv6網絡安全地互通。

IPSec 6over4傳輸模式IPSec 6over4隧道封裝IPv6報文分為兩個階段：首先借助IPv6 over IPv4技術為報文封裝IPv4報文頭，然后在IPv4報文頭后插入IPSec報文頭。由于這兩個階段相對獨立，所以IPSec 6over4隧道可以根據IPv6 over IPv4隧道的不同分類，適用于多種網絡過渡初期場景。根據創建隧道方式的不同，常用IPv6 over IPv4隧道模式如下所示。

· IPv6 over IPv4 GRE隧道

· IPv6 over IPv4手動隧道

· IPv6 over IPv4自動隧道

· 6to4隧道

· 6RD隧道

· ISATAP隧道

隧道模式**IPSec 6over4隧道:**

隧道模式IPSec 6over4可以同時實現IPv6 over IPv4隧道和IPSec隧道，增強了傳輸隧道的安全性。

如圖D.2所示，IPv6報文到達IPSec VPN網關后，設備會利用IPSec 6over4技術為報文封裝新的IPv4報文頭，并插入IPSec報文頭。封裝后的報文可以安全穿越IPv4網絡，到達對端設備后再進行解封裝，然后IPv6報文會被繼續轉發到目的端，從而實現了隔離IPv6網絡安全地互通。

隧道模式IPSec 6over4隧道不同于傳輸模式IPSec 6over4隧道，它并不借助IPv6 over IPv4技術為報文封裝IPv4報文頭，而是同時為IPv6報文增加IPv4報文頭和IPSec報文頭。隧道的兩端為Tunnel接口，不同物理接口的流量可以按照靜態路由或策略路由找到對應的Tunnel接口，經過加密或解密處理后繼續轉發。