基于eNSP和VMware的ISATAP隧道分析與仿真實驗

摘要：針對單一仿真軟件平臺中很難實現ISATAP隧道技術仿真實驗教學的情況，提出了一種基于eNSP和VMware相結合的仿真方案，設計了網絡拓撲圖和IP地址規劃，系統配置ISATAP網關、雙棧主機，在橋接虛擬網卡后通過Wireshark分析報文結構，測試驗證其可行性.該方案為實驗教學解決了ISATAP隧道技術，同時也為真實網絡環境的設計方案提供邏輯網絡設計階段的驗證.

關鍵詞：IPv6過渡技術；站點內自動隧道尋址協議；eNSP；VMware Workstation

中圖分類號：TP393.0"" 文獻標志碼：A

ISATAP Tunnel Analysis andSimulation Experiments Based on eNSP and VMware

Abstract：Aiming at the situation that it is difficult to realize the simulation experiment teaching of ISATAP tunnel technology in a single simulation software platform， a simulation scheme based on eNSP and VMware is proposed， the network topology diagram and IP address planning are designed， and the system is configured with ISATAP gateway and dual-stack host. After the virtual network adapter is bridged， the packet structure is analyzed through Wireshark， and its feasibility is verified through testing. This paper provides an experimental method to solve ISATAP tunnel technology in experimental teaching， and it can also be used to verify the design scheme of the real network environment in the logical network design stage.

Key words：IPv6 transition technology; ISATAP; eNSP; VMware Workstation

0 引言

新一代網絡協議IPv6演進期間，IPv4和IPv6網絡一直共存，為了保障IPv6的平滑過渡，IPv6過渡技術將在此期間提供兩種協議報文的信息交互來保障網絡的互聯互通.IPv6過渡技術分為雙棧技術、翻譯技術和隧道技術3類，其中ISATAP隧道技術是一種自動隧道建立的技術，其優勢是在不改造IPv4整體網絡的前提下，將部署在IPv4網絡中但有IPv6通信需求的雙棧主機，通過升級現網連接IPv6的路由器作為ISATAP網關，實現內網雙棧主機通過自動隧道的方式與IPv6網絡通信[1].

在計算機網絡相關專業的實驗教學中，從成本及便利性的角度通常會采用仿真平臺來設計、配置和驗證網絡功能.目前用于仿真網絡構建與配置的仿真軟件根據其功能和應用范圍一般分為兩大類型：第一類是網絡設備廠商自主研發用于模擬運行的自家網絡設備，如Cisco公司的Packet Tracer、華為的eNSP和H3C的HCL等；第二是用于模擬通用性或自定義協議的運行及測試，不針對特定廠商系統的功能，如mininet、NS3等，在實際實驗環境中不同的仿真平臺都有各自的優缺點，其中第一類仿真平臺主要用于網絡工程項目案例規劃、前期驗證，同時也是高校在計算機網絡課程中采用的實驗環境[2].但這類仿真平臺對主機的仿真功能有限，無法獨立完成ISATAP隧道技術的完整仿真配置和驗證過程.針對此問題，本文設計了eNSP和VMware結合的實驗方案，解決了ISATAP隧道技術的仿真實驗難的問題.

1 ISATAP隧道技術介紹

1.1 網絡隧道技術工作原理

網絡隧道也稱為tunnel，是通過在一種網絡協議中封裝另一種網絡協議從而實現多層封裝[3].在IPv6和IPv4共存的網絡中，網絡隧道技術是一種可以在不需要大量升級軟硬件的前提下快速提供一個成本低廉、部署簡單的IPv6過渡技術，其工作原理是在IPv4協議中封裝IPv6協議，從而讓IPv6報文“穿越”IPv4網絡，反之亦可.根據隧道建立機制分為手工隧道和自動隧道兩類.手工隧道包括IPv6 over IPv4手工tunnel、IPv6 over IPv4 GRE tunnel；自動隧道的隧道目的地址是根據隧道技術的規定通過IPv4協議中的目標地址自動生成，包括IPv6 over IPv4 auto-tunnel、6to4tunnel、6over4 tunnel和ISATAP tunnel等[4].

1.2 ISATAP隧道分析

1.2.1 ISATAP隧道工作原理

根據ISATAP在RFC標準文檔5214中的定義，建立其基本工作過程如圖1所示，具體步驟為：①雙棧主機通過基于ICMPv6的NDP協議無狀態化自動配置ISATAP地址；②將IPv6報文封裝在IPv4中作為承載負荷通過隧道經IPv4網絡傳送至ISATAP網關；③ISATAP網關剝離IPv4首部；④剝離后得到的報文轉發到IPv6網絡.下面分別從ISATAP雙棧主機地址生成、報文封裝和報文解封裝3個報文處理流程，詳細分析ISATAP隧道技術的工作原理.

1.2.2 ISATAP雙棧主機地址生成

ISATAP雙棧主機需要同時支持IPv4和IPv6協議棧（下文簡稱為雙棧主機），其IPv6地址使用規定的地址格式，通過無狀態化自動配置方式生成，實現過程包括3個步驟：①生成ISATAP鏈路本地地址;②發送路由器請求;③獲取網絡前綴重新編址[5].雙棧主機在使用ISATAP隧道傳輸時，其自身IPv6地址和隧道對端ISATAP網關的IPv6地址均使用一種稱為“ISATAP地址”的特殊地址格式，其格式為：網絡前綴（64位）：0000：5EFE：IPv4地址（32位）[6]，其中網絡前綴（Prefix）是通過向ISATAP網關請求獲取，為了雙棧主機能和其他IPv6網絡或其他ISATAP雙棧主機通信，ISATAP網關分配的網絡前綴必須是全球單播地址前綴（如2001：/16），用于構造ISATAP主機地址[7].

1.2.3 ISATAP隧道報文分析

由于雙棧主機所在的網絡是IPv4網絡，其發送的任何IPv6報文都無法在網絡中直接傳送，所以在1.2.2節中介紹的NDP協議消息報文和后續的業務數據報文均是通過ISATAP隧道封裝的方式“穿越”IPv4網絡，其封裝的方式是將上層協議傳遞的IPv6報文封裝到IPv4協議中，整個IPv6報文作為IPv4協議的載荷數據進行承載，外層的IPv4首部中的源IP地址字段使用雙棧主機的IPv4地址，目標地址字段使用ISATAP網關的IPv4接口地址，封裝后，通過隧道傳輸到ISATAP網關.

1.2.4 剝離IPv4首部后轉發至IPv6主機

當ISATAP網關從tunnel接口接收到報文，首先根據隧道的工作機制，報文中IPv4首部信息剝離去除，然后根據內層IPv6首部的目標地址字段進行匹配本地IPv6路由表，最后按照匹配表項的下一跳地址封裝成對應的MAC幀，從轉發接口送至IPv6網絡.后續的轉發就是IPv6網絡的正常路由過程傳送至目標主機.

1.2.5 IPv6主機返回報文

IPv6主機需要向雙棧主機的返回信息或主動訪問雙棧主機時，結構如圖2所示，其工作流程為：①上層協議提交的IPv6協議報文，在IPv6網絡路由至ISATAP網關；②ISATAP網關根據路由表匹配到tunnel隧道出接口；③按ISATAP隧道封裝方式增加外層IPv4協議首部；④封裝后的報文通過IPv4網絡路由至雙棧主機；⑤雙棧主機解封裝外層IPv4協議，去除IPv4首部后提交IPv6協議處理.

2 仿真實驗設計

2.1 eNSP與VMware Workstation簡介

eNSP是華為技術有限公司自主研發的用于網絡構建與配置調試的網絡模擬仿真平臺，因為其運行的是真實的華為VRP網絡設備操作系統，可以支持華為AR系列路由器、華為S系列及CE系列交換機、華為WLAN設備和華為USG防火墻等網絡設備的仿真，所以其功能仿真上可以達到真實場景的效果，由于平臺集成的模擬PC終端功能有限，因此不能模擬終端操作系統（如Windows系統）上的所有操作[8].eNSP平臺不僅可以在單機上仿真運行，還可以采用多機運行eNSP進行分布式仿真組網，甚至還能實現與物理網絡的連通，其實現方法是通過平臺內置的“Cloud”組件設置.文中為了解決平臺自身的PC終端功能缺陷問題，設計了通過“Cloud”組件橋接綁定到主機的網絡端口，實現eNSP平臺與物理機網卡橋接連通，甚至以物理機虛擬網卡作為轉發端進而與VMware平臺上的多個模擬主機互連.

VMware Workstation是目前最常用的虛擬機平臺之一，其運行在Windows或MAC系統的物理機之上，可以創建運行市面上常見的操作系統虛擬機.每個虛擬機獨立運行并具備基本的組網功能，其組網方式可以分為橋接、NAT和僅主機3種模式.在橋接模式中，虛擬機的網卡和物理機網卡同屬于一個網段，虛擬機通過vmnet0虛擬交換機直接與外部物理網絡通信；在NAT模式中，虛擬機網卡首先通過vmnet8虛擬交換機，然后在進行網絡地址轉換后通過vmnet0虛擬交換機與外部物理網絡通信；在僅主機模式中，虛擬機網卡通過vmnet1虛擬交換機與其他虛擬機及物理機通信，不能與外部網絡通信.

2.2 網絡拓撲設計

仿真實驗是基于eNSP平臺與VMware模擬軟件相結合進行設計與配置，在實驗拓撲設計中，采用“Cloud”組件實現eNSP平臺的路由器接口連接VMware中的一臺Windows 7系統虛擬機的方式，實現雙棧主機與eNSP中的網絡設備互連.

網絡拓撲的設計結構如圖3所示，ISATAP路由器作為ISATAP隧道的網關分別通過GE0/0/0接口連接IPv6網絡、通過GE0/0/1接口連接IPv4網絡；IPv4-Router運行于純IPv4環境中分別連接ISATAP路由器與雙棧主機；雙棧主機通過VMware模擬器仿真再通過Cloud接入到eNSP平臺的IPv4-Router路由器GE0/0/0接口.

2.3 主機與接口IP地址分配

IPv6網絡環境中ISATAP路由器的接口地址為3001：：/64、IPv6HOST主機的地址為3002：：/64，IPv4環境中ISATAP路由器的接口地址為1.1.1.1/8、IPv4-Router路由器分別連接1.1.1.0/8網段和192.168.56.0/24網段，具體接口規劃和地址分配如表1所列.

2.4 ISATAP主機橋接與配置

雙棧主機若使用ISATAP隧道技術，必須在雙棧主機中配置netsh腳本命令，而eNSP仿真平臺集成的終端設備PC組件僅能實現網絡基本連通性測試，如ping、tracert等功能.為了實現仿真效果本實驗通過Cloud組件橋接IPv4-Router與Vmware虛擬主機.Vmware Workstations是用于桌面虛擬計算機的模擬軟件，可以在單一物理機上安裝和運行多個不同的操作系統主機，并實現模擬主機、物理網絡及各模擬主機內部的網絡組建.

仿真實驗的Vmware虛擬平臺選用Vmware Workstations 15.7，并安裝一個Windows 7旗艦版系統的虛擬主機，仿真連接操作如下：

（1）配置Cloud參數界面，如圖4所示，雙擊拓撲中的Cloud組件，選擇綁定信息“UDP”、點擊“添加”，從而創建一個用于和ENSP中的網絡設備連接的內部端口，此接口的命名為Ethernet0/0/1，連接到IPv4-Router.

（2）實驗中，還需要一個接口用于連接到Vmware虛擬主機，連接界面如圖5所示，繼續在Cloud中建立一個綁定信息為vmnet1接口（IP地址為：172.16.4.3/24）的端口用于連接到物理機，從而和“host only模式”的模擬機建立網絡連接[9]，然后建立編號1和2兩個端口的映射配置，此處注意要建立雙向通道映射才能實現內部端口的相互收發信息.

（3）在雙棧主機上配置地址，并測試連通性.IPv4地址在本地連接中配置為192.168.56.2/24、默認網關為192.168.56.1，IPv6地址按系統默認的自動獲取方式.由于雙棧主機在仿真平臺中與IPv4-Router的連通需要通過VMnet1網卡中轉，故要保證物理機的VMnet1網卡IP地址為192.168.56.0/24網段，本實驗使用192.168.56.3/24配置，然后通過ping測試雙棧主機與IPv4-Router的連通性，驗證eNSP與主機Vmware虛擬主機橋接成功.

2.5 ISATAP網關配置

ISATAP路由作為ISATAP隧道的網關設備，一方面要實現IPv6網絡和IPv4網絡的路由可達，另一方面要建立與各雙棧主機之間的隧道，根據前面的地址規劃，具體配置命令與解析如下：

（1）設備全局使用IPv6特性，配置各接口地址.由于大部分的網絡設備在出廠缺省設置中并未開啟IPv6特性，需要手工全局開啟，同時在接口添加IPv6地址前，需要手工開啟接口的IPv6功能，兩個操作缺一不可.

（2）創建ISATAP隧道，定義IPv6前綴.隧道可以用于IPv4網絡中的雙棧設備及主機與ISATAP網關的通信，且不要求主機具有全球唯一的IPv4地址，從而滿足內部私有網絡中各雙棧主機直接與IPv6網絡通信.IPv6前綴定義為2001：：/64，具體配置命令和功能解析如表2所列.

（3）配置路由協議，實現網絡互通.仿真拓撲中，在IPv6網絡只需要配置相關接口地址和IPv6HOST的默認網關即可實現網絡互通，IPv4網絡由于有多個網段組成，本實驗采用在ISATAP路由器和IPv4-Router上啟用動態路由協議OSPF實現網絡互通.

3 測試與報文分析

3.1 網絡連通性測試

3.1.1 IPv4網絡的連通性測試

在雙棧主機上使用ping和tracert測試到達ISATAP網關的連通性，以驗證雙棧主機與VMware、eNSP仿真平臺的網絡橋接設置，仿真實驗環境已經實現IPv4網絡可達，這是后期的隧道建立的前提.

3.1.2 IPv6網絡連通性測試

ISATAP-Router路由器上通過ping ipv6 3001：：2測試仿真拓撲中IPv6HOST主機的連通，通過display ipv6 routing-table查看IPv6路由表.驗證所有IPv6網段均出現在路由表中，實現仿真環境下模擬的IPv6全網可達.

3.2 ISATAP隧道的測試驗證

3.2.1 ISATAP網關端驗證

在ISATAP路由器中通過display ipv6 int tunnel 0/0/0查看隧道端口信息，其中“Tunnel 0/0/0 current state ： UP”和“IPv6 protocol current state ： UP”可以判斷隧道接口的物理層和數據鏈路層狀態均為“UP”；Tunnel端口通過無狀態化自動配置的鏈路本地地址為“FE80：：5EFE：101：101”、全球可聚合單播地址為“2001：：5EFE：201：101/64”，ISATAP地址組成中接口標識符部分前4個字節為5EFE、后4個字節0101：：0101是IPv4地址1.1.1.1轉換成十六進制的編碼，根據ISATAP隧道的原理，地址生成符合ISATAP協議的規定，驗證仿真平臺中隧道建立也是成功的.

3.2.2 雙棧主機端驗證

在雙棧主機上通過“netsh interface ipv6 isatap set router 1.1.1.1 enable”腳本命令設置本機的ISATAP隧道建立對應的網關設備IPv4地址為1.1.1.1，然后在主機上查看ISATAP接口的信息，結果如圖6所示，根據信息“IPv6 地址 . . . . . . . . . . . . ： 2001：：5efe：192.168.56.2（首選）”可知主機獲取 2001：： /64 的網絡前綴，自動生成ISATAP地址2001：：5efe：192.168.56.2， ISATAP隧道已經成功建立.

3.3 雙棧主機訪問IPv6網絡通信測試

在雙棧主機上直接訪問IPv6HOST主機，使用ping -6 3001：：2測試可觀察訪問成功，這就是直觀的ISATAP隧道技術仿真成功的結果.

同時，在雙棧主機上通過Wireshark捕獲的報文可以看出雙棧主機訪問IPv6網絡的ICMPv6報文封裝從外層到內層分別是：Ethernet →IPv4 Protocol→IPv6 Protocol→ICMPv6 Protocol，亦可以針對每個協議進行展開查看，驗證源、目IP地址等相關封裝字段的值.在ISATAP路由器連接IPv6網絡的G0/0/0接口捕獲的報文如圖7所示，轉發到IPv6網絡時，會剝離IPv4協議封裝的首部信息，完成整個ISATAP隧道技術的封裝和解封裝操作過程.通過抓包及報文分析驗證了隧道的封裝和解封裝內容符合網絡規劃的設計和協議的規定.

4 結語

ISATAP隧道技術是IPv6過渡技術中相對簡單且提供了一種快速、擴展性靈活的平滑過渡方案，通過基于自身IPv4地址自動構造IPv6地址的機制，實現IPv4網絡中的設備無特殊要求和過多配置就可以快速實現自動隧道建立.本文通過eNSP和VMware結合的仿真平臺詳細分析了ISATAP隧道的工作原理和過程，通過Wireshark抓包做報文分析，完整驗證該技術在實際網絡環境下實施思路可行性.下一步將針對ISATAP地址生成過程階段中可能面臨的偽造報文攻擊和地址欺騙攻擊做詳細的分析，從加強安全性防御的角度進一步優化.

參考文獻：

[1] 劉清華.企業IPv4/IPv6網絡ISATAP隧道技術的仿真實現及性能分析[J].成都大學學報（自然科學版），2018，37（3）：291-295.

[2] 王穎舒，王旭，左宇，等.網絡虛擬化仿真軟件綜述[J].西南交通大學學報，2020，55（1）：34-40.

[3] 邱愛華，張濤，喬曠怡，等.空間應用載荷的天地端到端IP隧道協議通信架構設計[J].國防科技大學學報，2019，41（3）：99-105.

[4] 劉建國，渠灝，黃紅明，等.IPv6+智能骨干網絡技術研究[J].電信科學，2023，39（5）：155-166.

[5] 袁華，張凌.IPv6基礎實驗教學的探索[J].計算機工程與科學，2014，36（A2）：220-225.

[6] 甄龍飛，馬克.基于新一代互聯網地址過渡轉換技術的研究與分析[J].新一代信息技術，2019，2（24）：87-93.

[7] 雷震甲.網絡工程師教程[M].第5版.北京：清華大學出版社，2018.

[8] 董良杰.基于華為ENSP和Vmware Workstation軟件模擬MAC洪泛攻擊與防御的實驗綜述報告[J].數字通信世界，2021（4）：209-210

[9] 朱洪武.基于VMware云計算軟件的數據中心云管平臺改進及實現[J].西南民族大學學報（自然科學版），2021，47（1）：53-59.