The Cable Guy經過 VPN 連線的 IPv6 流量

Joseph Davies

當您在內部網路上開始評估網際網路通訊協定第 6 版 (Internet Protocol version 6，IPv6) 的角色並開始規劃其部署時，您應該要先瞭解 Windows 對於 IPv6 流量如何經過虛擬私人網路 (VPN) 連線進行傳輸的支援。使用 VPN 連線，您就可以延伸您的網路，包含使連結經過公用

網路 (例如網際網路)。VPN 連線均受到增強式驗證通訊協定的保護，以驗證連線使用者的認證，還有各種可保護資料機密性的加密方法。

Windows® XP 和 Windows Server® 2003 都有包含一個 IPv6 通訊協定堆疊，但是許多核心服務和網路元件都沒有支援 IPv6。Windows Vista™ 和 Windows Server 2008 (先前的代號為 "Longhorn") 都有提供完整的 IPv6 支援，根據預設會安裝並啟用。事實上，幾乎所有 Windows Vista 和 Windows Server 2008 包含的網路應用程式和服務，都支援 IPv6。本月，我將研討 Windows Vista、Windows Server 2008、Windows XP 及 Windows Server 2003 對於經過 VPN 連線傳送之 IPv6 流量的支援，其中將涵蓋以網際網路通訊協定版本 4 (Internet Protocol version 4，IPv4) 以及 IPv6 建立的 VPN 連線。

經過 IPv4 網際網路的 VPN 連線

就目前大部分的內部網路而言，VPN 連線都是經過 IPv4 網際網路。[圖 1] 顯示此 VPN 連線類型的 Windows 元件。這些元件是由下列項目所組成：

圖 1** 經過 IPv4 網際網路之 VPN 連線的 Windows 元件 **(按影像可放大)

VPN 用戶端 這是初始化遠端存取 VPN 連線至 VPN 伺服器並與內部網路資源進行通訊的電腦。遠端存取 VPN 連線可以讓 VPN 用戶端執行有如直接連線到內部網路的動作。VPN 用戶端可以執行 Windows 的用戶端版本或伺服器版本。

VPN 伺服器 此電腦會接聽是否有遠端 VPN 連線嘗試、強制執行驗證和確認連線條件，以及在 VPN 用戶端和內部網路資源之間路由封包。VPN 伺服器通常會執行 Windows 的伺服器版本，加上 [路由及遠端存取] 服務。

VPN 路由器 VPN 路由器是初始化或接聽網站對網站之 VPN 連線嘗試的電腦。網站對網站的 VPN 連線會連接內部網路的兩個部分。VPN 路由器會執行 Windows 的伺服器版本，加上 [路由及遠端存取] 服務。

VPN 連線 VPN 連線是 VPN 用戶端和 VPN 伺服器之間的邏輯連結，或是由 VPN 通訊協定的封裝所定義之 VPN 路由器之間的邏輯連結。

具備 IPv6 能力的內部網路 此內部網路可以轉送 IPv6 流量，其中可採用原始格式或透過 IPv4 封包。

IPv6/IPv4 主機 此內部網路節點可以傳送與接收 IPv6 流量，其中可採用原始格式或透過 IPv4 封包。

Windows 的 VPN 用戶端、伺服器及路由器，都可以使用下列 VPN 通訊協定來封裝經過 VPN 連線傳送的封包。點對點通道通訊協定 (Point-to-Point Tunneling Protocol，PPTP)、IPsec 上加第二層通道通訊協定 (Layer Two Tunneling Protocol with Internet Protocol security，L2TP/IPsec)，以及安全通訊端通道通訊協定 (Secure Socket Tunneling Protocol，SSTP)。只有 Windows Vista 含 Service Pack 1 (SP1，正在進行 Beta 測試) 以及 Windows Server 2008 才能支援 SSTP。

針對經過 IPv4 網際網路的 VPN 連線，有兩種方法會用於傳送 IPv6：透過 IPv4 封包傳送的 IPv6 封包 (以下將稱為 IPv6-over-IPv4 流量)，以及原始 IPv6 流量。

在本專欄中，對於經過 VPN 連線的 IPv6 流量支援，都會以 VPN 通訊協定和 Windows 版本指出。對於遠端存取 VPN 連線，給定的 VPN 通訊協定和 Windows 版本的組合，即隱含 Windows 遠端存取用戶端以及遠端存取伺服器元件的支援。

IPv6-over-IPv4 流量

在此方法中，遠端存取用戶端或內部網路上的 IPv6/IPv4 主機會使用 IPv4 標頭封裝 IPv6 封包，然後以 IPv4 封包傳送結果。在內部網路上，IntraSite Automatic Tunnel Addressing Protocol (ISATAP) IPv6 轉換技術 (RFC 4214) 可以讓 IPv6/IPv4 節點在僅有 IPv4 的內部網路上交換 IPv6 流量。有了 ISATAP，您就可以在僅有 IPv4 的內部網路上啟用 IPv6 連線，不需要設定或升級現有的路由器即可支援原始 IPv6 定址與轉送。如需有關 ISATAP 的詳細資訊，請參閱 microsoft.com/technet/network/ipv6/ipv6coexist.mspx 的 "IPv6 Transition Technologies"。

[圖 2] 顯示經過 IPv4 網際網路的 VPN 連線傳送 IPv4 封包時的一般封包結構。IPv4 封包會以 VPN 通訊協定的標頭封裝，且視 VPN 通訊協定而定，可能還會有 VPN 結尾。結果會以 IPv4 標頭封裝，以允許封包經過 IPv4 網際網路轉送。

圖 2** 使用經過 IPv4 網際網路之 VPN 連線的 IPv4 封包 **

對於 IPv6-over-IPv4 流量而言，經過 VPN 連線傳送之 IPv4 封包的內容，是 IPv6 封包。[圖 3] 顯示經過 IPv4 網際網路的 VPN 連線傳送 IPv6-over-IPv4 封包時的一般封包結構。

圖 3** 使用經過 IPv4 網際網路之 VPN 連線的 IPv6-over-IPv4 封包 **

對於遠端存取 VPN 連線，經過 IPv4 網際網路的 IPv6-over-IPv4 流量在 Windows Vista、Windows Server 2008、Windows XP SP1 或以上以及 Windows Server 2003 上，均由 PPTP 和 L2TP/IPsec 支援，而在 Windows Vista SP1 以及 Windows Server 2008 上，則是由 SSTP 支援。對於網站對網站 VPN 連線，經過 IPv4 網際網路的 IPv6-over-IPv4 流量在 Windows Server 2008 以及 Windows Server 2003 上，是由 PPTP 和 L2TP/IPsec 支援。

原始 IPv6 流量

對於原始 IPv6 流量而言，經過 VPN 連線傳送 IPv6 封包時，VPN 用戶端、伺服器或路由器不會使用 IPv4 封裝。這樣的方法適用於有原始 IPv6 連線的內部網路，而且 VPN 用戶端、伺服器及路由器都必須支援 IPv6 控制通訊協定 (IPv6 Control Protocol，IPV6CP)，RFC 2472，其中定義 IPv6 節點如何在採用點對點通訊協定 (Point-to-Point Protocol，PPP) 的連線中交涉 IPv6 的組態選項。Windows Vista 以及 Windows Server 2008 都有支援 IPV6CP，但是 Windows XP 以及 Windows Server 2003 都沒有。[圖 4] 顯示經過 IPv4 網際網路的 VPN 連線傳送原始 IPv6 封包時的一般封包結構。

圖 4** 使用經過 IPv4 網際網路之 VPN 連線的原始 IPv6 封包 **

對於遠端存取 VPN 連線，經過 IPv4 網際網路的原始 IPv6 流量在 Windows Vista 以及 Windows Server 2008 上，均由 PPTP 和 L2TP/IPsec 支援，而在 Windows Vista SP1 以及 Windows Server 2008 上，則是由 SSTP 支援。對於網站對網站 VPN 連線，經過 IPv4 網際網路傳送的原始 IPv6 流量在 Windows Server 2008 上，是由 PPTP 和 L2TP/IPsec 支援。

經過 IPv6 網際網路的 VPN 連線

您也可以建立經過 IPv6 網際網路的 VPN 連線。如此的 VPN 連線目前較為罕見，但是隨著愈來愈多網際網路服務供應商提供 IPv6 給客戶，而愈來愈多組織開始在內部邊緣網路上使用 IPv6 網際網路連線，此連線方式將會普及化。

若要支援經過 IPv6 網際網路的 VPN 連線，使用的 VPN 通訊協定必須支援經過 IPv6 的連線。在 Windows Vista 以及 Windows Server 2008 上，L2TP/IPsec 和 SSTP VPN 通訊協定均支援經過 IPv6 的遠端存取 VPN 連線。在 Windows Server 2008 上，L2TP/IPsec 支援經過 IPv6 的網站對網站連線。經過 IPv6 網際網路的 VPN 連線所使用的元件集合，與經過 IPv4 網際網路的 VPN 連線所使用的元件集合相同，無論是遠端存取的 VPN 連線或網站對網站的 VPN 連線。

經過 IPv6 網際網路傳送 IPv6 封包的方法也有兩種：IPv6-over-IPv4 流量以及原始 IPv6 流量。[圖 5] 顯示經過 IPv6 網際網路的 VPN 連線傳送 IPv6-over-IPv4 封包時的一般封包結構。

圖 5** 使用經過 IPv6 網際網路之 VPN 連線的 IPv6-over-IPv4 封包 **

對於遠端存取 VPN 連線，經過 IPv6 的 IPv6-over-IPv4 流量在 Windows Vista 以及 Windows Server 2008 上，是由 L2TP/IPsec 支援，而在 Windows Vista SP1 以及 Windows Server 2008 上，則是由 SSTP 支援。對於網站對網站 VPN 連線，經過 IPv6 網際網路的 IPv6-over- IPv4 流量在 Windows Server 2008 上，是由 L2TP/IPsec 支援。有如經過 IPv4 網際網路的 IPv6-over-IPv4 流量，經過 IPv6 網際網路的 IPv6-over-IPv4 流量也需要您在內部網路上部署 IPv6 轉換技術 (例如 ISATAP)。

[圖 6] 顯示經過 IPv6 網際網路的 VPN 連線傳送 IPv6 封包時的一般封包結構。有如經過 IPv4 網際網路的原始 IPv6 流量，經過 IPv6 網際網路的原始 IPv6 流量也需要有 IPV6CP 支援，以及需要您在內部網路上部署原始 IPv6 連線。

圖 6** 使用經過 IPv6 網際網路之 VPN 連線的原始 IPv6 封包 **

對於遠端存取 VPN 連線，經由 IPv6 網際網路的原始 IPv6 流量在 Windows Vista 以及 Windows Server 2008 上，是由 L2TP/IPsec 支援，而在 Windows Vista SP1 以及 Windows Server 2008 上，則是由 SSTP 支援。對於網站對網站 VPN 連線，經過 IPv6 網際網路的 IPv6 流量在 Windows Server 2008 上，是由 L2TP/IPsec 支援。

結論

[圖 7] 顯示透過 VPN 連線傳送 IPv6 流量的四種方法，以及 Windows 對於其中兩種 VPN 連線類型的支援。總而言之，如果您有在內部網路上使用 IPv6 轉換技術 (例如 ISATAP)，您就可以使用經過 IPv4 網際網路的 VPN 連線或經過 IPv6 網際網路的 VPN 連線，來傳送 IPv6-over-IPv4 流量。如果您的內部網路支援原始 IPv6 連線，您就可以在 Windows Vista 以及 Windows Server 2008 中，使用經過 IPv4 網際網路的 VPN 連線或經過 IPv6 網際網路的 VPN 連線，來傳送原始 IPv6 流量。

Figure 7 Windows 對於透過 VPN 連線傳送 IPv6 流量的支援

Joseph Davies 是 Microsoft 的技術文件作家，從 1992 年開始教導和編寫 Windows 網路方面的主題。他寫過五本 Microsoft Press 的書，同時也是每個月線上 TechNet Cable Guy 專欄的作家。

© 2008 Microsoft Corporation and CMP Media, LLC. 保留所有權利；未經允許，嚴禁部分或全部複製.