网络专家 - 2005 年 10 月
对 Windows Vista 和 Windows Server“Longhorn”中 IPv6 的更改
Microsoft Windows Vista 和 Windows Server“Longhorn”(目前正在进行 Beta 测试)都包括下一代 TCP/IP 堆栈,这是一个用 Internet 协议版本 4 (IPv4) 和 Internet 协议版本 6 (IPv6) 的集成版本重新设计的 TCP/IP 协议堆栈。有关详细信息,请参阅 Windows Vista 和 Windows Server“Longhorn”中的下一代 TCP/IP 堆栈。
本文介绍了下一代 TCP/IP 堆栈中 IPv6 和 Teredo IPv6 转换技术的新功能。
本页内容
 | IPv6 |
| 双 IP 分层体系结构 |
| 默认情况下安装和启用 |
| Teredo |
| IPv6 和 Teredo 的安全性 |
| 更多信息 |
IPv6
IPv6 将长期取代 IPv4,它是二十世纪七十年代末设计的 TCP/IP 协议组中当前广泛使用的 Internet 层。IPv6 为基于 TCP/IP 的网络连接提供了下列益处:
| • | 大地址空间 - IPv6 的 128 位地址空间提供充足的空间,来为当前可预测未来的 Internet 上的每个设备提供全局地址。 |
| • | 有效的路由 - 使用可支持层次路由基础结构的最新型 IPv6 报头和寻址,Internet 上的 IPv6 路由器转发 IPv6 通信的速度可以比转发 IPv4 通信的速度快。 |
| • | 易于配置 - IPv6 主机可以通过与动态主机配置协议 (DHCP) 服务器进行交互或通过与其本地路由器进行交互,并使用无状态地址自动配置自行进行配置。 |
| • | 增强的安全性 - IPv6 标准通过针对地址和端口扫描攻击提供更好的保护,并通过要求所有 IPv6 实现都支持 Internet 协议安全性 (IPsec) 来对 IPv6 通信进行密码保护,可以解决 IPv4 的一些安全问题。 |
对 Windows Vista 和 Windows Server“Longhorn”中 IPv6 的更改如下:
| • | 双 IP 分层体系结构 |
| • | 默认情况下安装和启用 |
双 IP 分层体系结构
Windows XP 和 Windows Server 2003 中 IPv6 的实现是一个双堆栈体系结构,它具有通过 Network Connections 文件夹安装的 IPv4 和 IPv6 各自的协议组件。IPv4 和 IPv6 各自的协议组件都有其自己的传输层和分帧层,传输层包括传输控制协议 (TCP) 和用户数据报协议 (UDP)。
下一代 TCP/IP 堆栈是通过 Network Connections 文件夹安装的单协议组件,支持双 IP 分层体系结构,其中,IPv4 和 IPv6 共用同一个传输层和分帧层。
默认情况下安装和启用
在 Windows Vista 和 Windows Server“Longhorn”中,默认情况下,使用 Network Connections 文件夹中 Internet 协议 (TCP/IP) 组件的连接属性安装和启用 IPv6。现在,在 Windows Vista 和 Windows Server“Longhorn”中,许多操作系统组件都支持 IPv6。
Windows Vista 和 Windows Server“Longhorn”中的 Network Connections 文件夹下的 Internet 协议 (TCP/IP) 组件既包含 IPv4,也包含 IPv6。像 Windows XP 和 Windows Server 2003 一样,通过 Internet 协议 (TCP/IP) 组件的属性来配置 IPv4 设置,通过 netsh interface ipv6 上下文中的命令来配置 IPv6 设置。
若要在物理界面中禁用下一代 TCP/IP 堆栈中的 IPv6,必须在命令提示符下使用以下命令:
| • | netsh netio add bindingfilter framing ipv6 fl68 block persistent |
若要在已经禁用 IPv6 后启用它,请使用以下命令:
| • | netsh netio delete bindingfilter framing ipv6 fl68 persistent |
注意:只有重启计算机,这些命令才能生效。 |
如果同时启用了 IPv4 和 IPv6,下一代 TCP/IP 堆栈将优先使用 IPv6。例如,如果域名系统 (DNS) Name Query Response 消息包含 IPv6 和 IPv4 地址的列表,则下一代 TCP/IP 堆栈将首先尝试通过 IPv6 进行通信,并遵从 RFC 3484 中定义的地址选择规则。
IPv6 优先于 IPv4 为启用 IPv6 的应用程序提供了更好的网络连接,因为 IPv6 连接可以使用 IPv6 转换技术(例如 Teredo),该技术使对等应用程序或服务器应用程序在无需 NAT 配置或应用程序修改的情况下在网络地址转换 (NAT) 后运行。
默认情况下启用 IPv6 并优先使用 IPv6 通信不会损坏 IPv4 连接。例如,在 DNS 基础结构中没有 IPv6 记录的网络上,不会尝试使用 IPv6 地址进行通信,除非用户或应用程序指定目标 IPv6 地址。
若要利用 IPv6 连接,必须更新网络应用程序,以使用非特定于 IPv4 或 IPv6 的 Windows 套接字功能。有关详细信息,请参阅 Windows 套接字应用程序的 IPv6 指南。
注意:由于在 Internet 上错误配置了 DNS 服务器,使用 IPv4 和 IPv6 的计算机无法解析名称并连接到 Internet 资源。当错误配置的 DNS 服务器接收到一个将名称解析为一个或多个 IPv6 地址的请求(AAAA 记录的请求)时,会出现这种少见的问题。如果 DNS 服务器不支持 IPv6,名称查询将失败。然后,查询节点发送一个将该名称解析为一组 IPv4 地址的请求(A 记录的请求)。错误配置的 DNS 服务器将删除 IPv4 地址后续的 DNS 查询,整个名称解析尝试将失败,从而导致损坏请求节点的网络连接。如果遇到这种问题,请向您的 Internet 服务提供商咨询,以重新配置其 DNS 服务器,以便在 AAAA 记录的 DNS 查询失败后接受 A 记录的后续 DNS 查询。另外,您可以暂时禁用请求计算机上的 IPv6。这种问题存在于 DNS 服务器上,在所有使用 IPv4 和 IPv6 的计算机上也很常见。 |
Teredo
Teredo 是一种 IPv6 转换技术,允许由一个或多个 NAT 分隔的 IPv6/IPv4 节点使用全局 IPv6 地址进行端到端通信。NAT 通常在 Internet 上使用,通过在使用专用 IPv4 地址的专用网络主机之间转换通信的地址和端口号来保留公用 IPv4 地址空间。
虽然 NAT 延长了公用 IPv4 地址空间的使用期限,但此功能是以违背 Internet 的最初设计原则(所有节点应使用唯一的全局地址进行通信)为代价获得的。由于专用地址的重复使用以及发生在 NAT 中的专用地址和公用地址之间的转换,在没有手动配置 NAT 或修改应用程序协议的情况下,位于 NAT 后的专用网络上的服务器和对等网络无法进行通信。
虽然 NAT 后的服务器和对等网络的 IPv4 通信在穿越 NAT 时会有问题,但基于 Teredo 的 IPv6 通信可以在无需配置 NAT 或修改应用程序协议的情况下穿越 NAT。Teredo IPv6 地址为全局地址,对于整个 Internet 是唯一的。对于不支持 IPv4 通信的全局寻址和端到端连接的环境,Teredo 可以恢复 IPv6 通信的全局地址和端到端连接。
Teredo 首次是与 Advanced Networking Pack for Windows XP(含 Service Pack 1) 一起发布的,并且包含在 Windows XP Service Pack 2 和 Windows Server 2003 Service Pack 1 中。Teredo 随 Windows Vista(默认情况下启用)和 Windows Server“Longhorn”(默认情况下禁用)一同提供。已经启用 IPv6 的应用程序不需要其他修改。Teredo 仅是下一代 TCP/IP 堆栈用于发送和接收 IPv6 通信的方式之一。
与 Windows XP 和 Windows Server 2003 不同,Windows Vista 和 Windows Server“Longhorn”支持下列内容:
| • | 现在,已为域成员计算机启用了 Teredo。如果计算机是域的成员,Windows XP 和 Windows Server 2003 的 Teredo 将自动禁用。域成员计算机更有可能连接到已部署了本机 IPv6 连接或站内自动隧道寻址协议(ISATAP,一种 IPv6 转换技术)的网络。但是,域成员计算机还可以受益于基于 Teredo 的 IPv6 连接。 |
| • | 如果一个或多个对称 NAT 后有一个 Teredo 客户端,此时 Teredo 就可以工作了。对称 NAT 将相同的内部(专用)地址和端口号映射到不同的外部(公用)地址和端口,这取决于外部目标地址(用于出站通信)。如果 Windows XP 和 Windows Server 2003 的 Teredo 检测到它在对称 NAT 后,它将自行禁用。这种新的行为使 Teredo 可以在一大组连接到 Internet 的主机之间工作。 |
注意:Teredo 通信是已经封装为基于 IPv4 的 UDP 消息的 IPv6 数据包。如果边缘防火墙删除所有出站 UDP 通信,Teredo 客户端将无法初始化或与其他 Teredo 客户端进行通信。 |
IPv6 和 Teredo 的安全性
默认情况下启用 IPv6 和 Teredo 不会使您的计算机更易于被恶意用户或恶意程序攻击,原因如下:
| • | 包含在 Windows Vista 和 Windows Server“Longhorn”中且默认情况下启用的 Windows 防火墙是用于 IPv4 和 IPv6 通信且基于主机的有状态防火墙。对不需要、未请求、传入通信的所有保护均适用于 IPv4 和 IPv6 通信。 |
| • | Windows 防火墙允许基于 TCP 或 UDP 端口或通过指定程序名的有用、未请求、传入通信出现异常,并允许应用到个人计算机。基于 Windows 防火墙的异常比在典型 NAT 上配置的异常更具体。 |
| • | Windows 过滤平台是 Windows Vista 和 Windows Server“Longhorn”中的一个新体系结构,它允许第三方软件开发商访问 TCP/IP 数据包处理路径,在其中,进一步处理传出和传入数据包之前可以检查或更换这些数据包。通过利用 TCP/IP 处理路径,ISV 可以创建防火墙、防病毒软件、诊断软件以及其他类型的应用程序和服务。Windows 过滤平台主要用于 IPv4 和 IPv6 通信。基于主机的第三方防火墙产品通常会支持 IPv4 和 IPv6 通信。 |
默认情况下,运行 Windows Vista 的计算机启用 IPv6、Teredo 以及 Windows 防火墙,并防止出现不需要、未请求、传入 IPv6 通信。
有关使用 IPv6 和 Teredo 的安全隐患的详细信息,请参阅使用 IPv6 和 Teredo。
更多信息
有关此主题的详细信息,请查阅下列资源:
| • | |
| • | |
| • | |
| • | |
| • |
有关任何关于此专栏内容的反馈,请写入 Microsoft TechNet。请注意,这并不等同于我们的技术支持,我们不保证一定会给您答复。
有关所有“网络专家”专栏的列表和其他信息,请单击此处。