[科普中国]-Teredo隧道

Teredo是一个IPv6转换机制，它可为运行在IPv4互联网但没有IPv6网络原生连接的支持IPv6的主机提供完全的连通性。与其他的类似协议不同，它可以在网络地址转换（NAT）设备（例如家庭路由器）后完成功能。

简介Teredo使用跨平台隧道协议提供IPv6连通性，将IPv6数据报文封装在IPv4用户数据报协议（UDP）数据包内。Teredo路由器将这些数据报在IPv4互联网上传输及通过NAT设备。其他在IPv6网络上的Teredo节点（被称为Teredo中继，英文为Teredo relays）接收数据包，解开它们的封装，以及传递它们。1

Teredo是一种临时措施。在长远的未来，所有IPv6主机都应该使用本地的IPv6连接。Teredo应在原生IPv6连接可用时被停用。Christian Huitema在微软开发了Teredo，并且互联网工程任务组（IETF）将其标准化为RFC4380。Teredo服务器监听UDP端口3544。

目的6to4，最常用的IPv6通过IPv4的隧道协议2，但它需要隧道端点有一个公网IPv4地址。然而，许多主机目前通过一个或多个NAT设备来连接IPv4互联网，原因之一是IPv4位址枯竭。在这种情况下，只有NAT设备有IPv4地址，6to4隧道端点必须在NAT设备上被实现。出于技术或经济原因，目前已被部署的许多NAT设备无法升级为实现6to4。

Teredo通过在UDP/IPv4数据包内封装IPv6数据包来缓解这个问题，大多数NAT可以正确转发此种流量。这样一来，NAT后的IPv6感知主机可以作为Teredo隧道端点，即使它没有专用的公网IPv4地址。实际上，一个实现Teredo的主机可以在没有本地网络环境合作的条件下获得IPv6连通性。3

从长远来看，所有IPv6主机都应该使用原生IPv6连接。临时性的Teredo协议包括“落幕程序”规定：Teredo实现应该提供一个方法在当IPv6成熟并且使用一个非脆弱的连通机制时停止Teredo连接的使用。根据IETF89，微软计划在2014年上半年停用他们为Windows准备的Teredo服务器，并鼓励停用公共运行的Teredo中继。

概述Teredo协议执行几种功能：

诊断UDP通过IPv4（UDPv4）的连通性并发现当前的NAT种类（使用STUN协议的简化版）

为每个使用它的主机分配一个全局可路由的唯一IPv6地址

将IPv6数据包封装在UDPv4数据报中以通过IPv4网络传输（包括NAT穿透）

在Teredo主机与原生（或其他非Teredo）IPv6主机路由流量

节点类型Teredo定义了几种不同类型的节点：

Teredo客户端

一个在NAT后具有IPv4互联网连接的主机，并且使用Teredo隧道协议来访问IPv6互联网。Teredo客户端在以Teredo前缀 (2001::/32) 为开头分配一个IPv6地址。

Teredo服务器

一个众所周知的主机，用于初始化Teredo隧道的配置。Teredo服务器从不转发任何客户端的流量（除了IPv6 ping），因此有着适度的带宽限制（最多每个客户端几百比特）[来源请求]，单台服务器就可以支持许多客户端。此外，Teredo服务器可以用完全无状态的方式实现，因此无论支持多少客户端，它都只占用同样的内存。

Teredo中继

Teredo隧道的远端。Teredo中继必须代表它服务的Teredo客户端转发所有数据，但Teredo客户端直接到Teredo客户端的交换除外。因此，一个中继需要大量的带宽，并且只能同时支持有限数量的客户端。每个Teredo中继服务一定范围内的IPv6主机（例如单个校园/公司，单个互联网服务供应商或整个运营商网络，或甚至整个IPv6互联网）；它在任Teredo客户端与任何所述范围内的主机间转发流量。

Teredo特定主机中继

此种Teredo中继只服务于运行它的主机。因此，它没有特别的带宽或路由要求。具有特定主机中继的计算机使用Teredo与其他Teredo客户端通信，但继续用其主IPv6网络提供与其他IPv6互联网的连接。

IPv6地址每个Teredo客户端被分配一个公共IPv6地址，其构造如下（高阶位编号为0）：

位0至31保持Teredo前缀（2001::/32）。

位32至63嵌入要使用的Teredo服务器的IPv4主地址。

位64至79保持一些标记位及其他比特。这16位的格式为：首先是MSB——“CRAAAAUG AAAAAAAA”。“C”位设为1，如果Teredo客户端位于一个锥形NAT后面，否则为0；但RFC 5991将它改为始终为0以避免向陌生人暴露此情况。“R”位目前未分配，应该设为0发送。“U”和“G”位设为0以模拟MAC地址中的“通用/本地”和“组/个人”位。第十二个“A”位在原RFC 4380规范中为0，但在RFC 5991中更改为由Teredo客户端选择的随机位，以额外保护Teredo避免基于IPv6的扫描攻击。

位80至95包含混淆后的UDP端口号。这是NAT映射给Teredo客户端的端口号，将所有比特翻转。

位96至127包含混淆后的IPv4地址。这是NAT的公网IPv4地址，将所有比特翻转。

举例来说，IPv6地址2001:0000:4136:e378:8000:63bf:3fff:fdd2就是通过一个Teredo中继：

使用地址为65.54.227.120的Teredo地址（十六进制的4136e378）

在锥形NAT后面，并且客户端不完全兼容RFC 5991（设置了第64比特）

很可能（99.98%）不兼容RFC 5991（12个随机位均为0，在兼容时的发生概率小于0.025%）

使用其NAT映射的40000端口（十六进制取反（not）63bf等于9c40，即十进制数字40000）

NAT公共IPv4地址192.0.2.45（取反3ffffdd2等于c000022d，这就变成了192.0.2.45）

服务器Teredo客户端使用Teredo服务器通过简化的类STUN“鉴别流程”检测客户端是否在任何类型的NAT后面。Teredo客户端也通过定期发送UDP数据包来维护其NAT上对其Teredo服务器的绑定，这样确保服务器始终可以联系到其客户端——NAT打孔正常工作的必要条件。

如果一个Teredo中继（或另一个Teredo客户端）必须发送一个IPv6数据包到一个Teredo客户端，它首先发送一个Teredo气泡（bubble）包到客户端的Teredo服务器（根据Teredo客户端的Teredo IPv6地址推算）。然后服务器转发“气泡”包到客户端，使Teredo客户端软件了解它必须打孔到Teredo中继。

Teredo服务器也可以将Teredo客户端的ICMPv6包传输到IPv6互联网。在实践中，当一个Teredo客户端想联系一个原生IPv6节点，它必须定位相应的Teredo中继——即公网IPv4和UDP端口号，以发送封装的IPv6包。为做到此目的，客户端制作一个传往IPv6节点的ICMPv6 Echo请求（ping），并经它配置的Teredo服务器发送。Teredo服务器解开封装并将ping传往IPv6互联网，使ping最终抵达IPv6节点。IPv6节点应该在收到ICMPv6 Echo回复后按照RFC 2460应答。这个应答包首先被路由到最近的Teredo中继，然后逐步抵达与其联系的Teredo客户端。

维护一个Teredo服务器所需的带宽很少，因为它们不参与IPv6数据包的实际发送与接收。另外，它不涉及对互联网路由协议的任何访问。Teredo服务器的必备条件仅有：

可以发出源地址属于Teredo前缀的ICMPv6数据包

两个不同的公网IPv4地址。虽然这没有写在官方的规范中，但微软Windows客户端期望两个连续的地址——第二个IPv4地址用于NAT检测

公共Teredo服务器：

teredo.remlab.net / teredo-debian.remlab.net (德国)

teredo.ngix.ne.kr (韩国)

teredo.managemydedi.com (美国芝加哥)

teredo.trex.fi (芬兰)

win8.ipv6.microsoft.com (隐藏于Windows RT 8.1中的Teredo服务器)，Windows 7中不存在。

win10.ipv6.microsoft.com （Windows10中的Teredo服务器）

中继Teredo中继可能需要大量的网络带宽。另外，它必须输出（宣告）Teredo IPv6前缀（2001::/32）到其他IPv6主机。这样之后，Teredo中继就能收到其他寻址到Teredo客户端的IPv6主机的流量，然后通过UDP/IPv4转发它们。与此对应，它会收到其他通过UDP/IPv4寻址到IPv6主机的Teredo客户端发来的数据包，将这些数据包注入到IPv6网络。

在实践中，网络管理员可以设置一个只服务于他们公司或校园的私有Teredo中继。这可以为他们的IPv6网络与任何Teredo客户端提供一个短途路径。但是，在超过单个网络的规模上设置一个Teredo中继需要输出BGP IPv6路由到其他自治系统（AS）的能力。

不同于6to4，连接中的两个端点可以使用不同的中继，在原生IPv6主机与一个Teredo客户端之间的流量使用同一个Teredo中继，即最靠近原生IPv6主机网络侧的那个。Teredo客户端不能自己定位一个中继，因为它不能自己发送IPv6数据包。如果它需要启动与一个原生IPv6主机的连接，它首先通过Teredo服务器使用客户端的Teredo IPv6地址发送一个数据包到原生IPv6主机。原生IPv6主机之后照常响应客户端的Teredo IPv6地址，这能使数据包最终找到Teredo中继，从而启动与客户端的连接（可能使用Teredo服务器进行NAT打孔）。Teredo客户端和原生IPv6主角之后使用中继进行通信，只要它们需要。此设计意味着Teredo服务器与客户端都不需要知道任何Teredo中继的IPv4地址。它们通过全局IPv6路由表自动找到合适的路由，因为所有Teredo中继都宣告网络2001::/32。

2006年3月30日，意大利ISP ITGate是第一个在其IPv6互联网上宣告到2001::/32的路由的AS，这使RFC 4380兼容的Teredo实现有望充分可用。但截至2007年2月16日，它已不再有效。

2009年第一季度，IPv6骨干Hurricane Electric使用任播技术启用了14个Teredo中继[2]并全局性宣告2001::/32。这些中继分别位于西雅图、弗里蒙特、洛杉矶、芝加哥、达拉斯、多伦多、纽约、Ashburn、迈阿密、伦敦、巴黎、阿姆斯特丹、法兰克福和香港。

预计大型网络运营商将维护Teredo中继。与6to4一样，仍不清楚如果大部分互联网主机通过基于IPv4的Teredo使用IPv6，Teredo将会如何扩展。虽然微软自发布用于Windows XP的Teredo伪隧道以来运行有一组Teredo服务器，但他们从未为IPv6互联网整体提供Teredo中继服务。

限制Teredo不兼容所有NAT设备。根据RFC 3489的术语，它支持全锥、受限和端口受限的NAT设备，但不支持对称NAT。最初的Shipworm规范制作的最终版Teredo协议也支持对称NAT，但最终由于安全考虑而放弃。

台湾的国立交通大学之后提出了SymTeredo，这增强了原有的Teredo协议以支持对称NAT，并且微软和Miredo的实现实施了某些的未规定、非标准的扩展以改进对对称NAT的支持。但是在对称NAT后的Teredo客户端与在对称NAT或端口限制NAT后的Teredo客户端的连通似乎仍然不可能。

另外，Teredo假设两个客户端交换封装的IPv6数据包时，他们使用的映射/外部的UDP端口号与他们联系Teredo服务器（以及创建Teredo IPv6地址）的端口号相同。若无此假设，两个客户端直接不可能创建直接通信，从而中继不得不进行三角形路由。一个Teredo实现尝试在启动时检测NAT类型，并且如果NAT看起来对称，则拒绝运作。（此限制有时可以在NAT设备上配置转发规则来解决，但这需要NAT设备的管理权限。）

Teredo只能为每个隧道端点提供一个IPv6地址。因此，不能使用一个Teredo隧道连接多个主机，这不同于6to4和某些点对点IPv6隧道。所有Teredo客户端与IPv6互联网的可用带宽都受到Teredo中继可用资源的限制，这与6to4等中继没什么区别。4

本词条内容贡献者为:

李航 - 副教授 - 西南大学