web-dev-qa-db-ja.com

IPv6への切り替えは、NATのドロップを意味します。それは良いことですか?

これは 標準的な質問 IPv6とNATについてです

関連:

そのため、私たちのISPは最近IPv6をセットアップしました。私は、争いに飛び込む前に、移行が何を伴うべきかを研究しています。

私は3つの非常に重要な問題に気づきました:

  1. 私たちのオフィスNATルーター(古いLinksys BEFSR41)はIPv6をサポートしていません。新しいルーターAFAICTもサポートしていません。IPv6について読んでいる本は、NATとにかく「不要」。

  2. このルーターを取り除き、すべてを直接インターネットに接続することになっているとしたら、パニックに陥ります。誰もが閲覧できるように、インターネット上に請求データベース(大量のクレジットカード情報が含まれている!)を配置します。 Windowsのファイアウォールを設定して、6つのアドレスのみがアクセスできるようにすることを提案したとしても、私は冷や汗をかきます。私は、Windows、Windowsのファイアウォール、またはリモートで快適に操作できるほどのネットワークを信頼していません。

  3. IPv6機能がまったくない古いハードウェアデバイス(プリンタなど)がいくつかあります。そして、おそらく1998年頃までさかのぼるセキュリティ問題の洗濯リスト。そして、おそらく実際にそれらにパッチを当てる方法はないでしょう。そして、新しいプリンターのための資金はありません。

IPv6とIPSECはこれらすべてを何らかの方法で安全にすることになっていると聞いていますが、これらのデバイスをインターネットから見えないようにする物理的に分離されたネットワークがなければ、本当にできます方法がわかりません。同様に、本当に私が作成した防御がどのように短期間でオーバーランするかを確認できます。私は何年もインターネット上でサーバーを実行しており、それらを保護するために必要な種類のことにはかなり精通していますが、請求データベースのようにネットワーク上に何かプライベートを置くことは常に完全に問題外です。

物理的に独立したネットワークがない場合、NATで何を置き換えますか?

111
Ernie

何よりもまず、セキュリティデバイスが正しく構成されている限り、パブリックIPの割り当てを心配する必要はありません。

物理的に独立したネットワークがない場合、NATで何を置き換えますか?

1980年代以来、ルーターとファイアウォールで物理的に分離してきたものと同じです。 NATで得られるセキュリティ上の大きな利点の1つは、デフォルトで拒否の設定を強制することです。それを介してanyサービスを取得するには、明示的にパンチ穴を開ける必要があります。より洗練されたデバイスでは、ファイアウォールのようにIPベースのACLをそれらの穴に適用することもできます。おそらく「ファイアウォール」がボックス、実際に。

正しく構成されたファイアウォールは、NATゲートウェイとまったく同じサービスを提供します。NATゲートウェイは、より簡単なので、頻繁に使用されますほとんどのファイアウォールよりも安全な構成に入る。

IPv6とIPSECはこれらすべてを何らかの方法で安全にすることになっていると聞きましたが、これらのデバイスをインターネットから見えなくする物理的に分離されたネットワークがないと、私は本当にどうやって見ることができません。

これは誤解です。私は/ 16のIPv4割り当てを持つ大学で働いています。私たちのIPアドレス消費の大部分は、そのパブリック割り当てに費やされています。確かに私たちのすべてのエンドユーザーのワークステーションとプリンター。 RFC1918の使用は、ネットワークデバイスと、そのようなアドレスが必要な特定のサーバーに限定されます。私が初日に現れたとき、私が確かにそうしたので、あなたがたった今震えたとしても、私は驚くことではないでしょう。

それでも、私たちは生き残ります。どうして? ICMPスループットが制限されたdefault-denyに設定された外部ファイアウォールがあるためです。 140.160.123.45が理論的にルーティング可能だからといって、公共のインターネット上のどこからでもアクセスできるわけではありません。これは、ファイアウォールが行うように設計されたものです。

適切なルーター構成と、割り当て内の異なるサブネットが互いに完全に到達できない場合があります。これは、ルーターテーブルまたはファイアウォールで実行できます。これは別のネットワークであり、過去にセキュリティ監査人を満足させました。

誰もが閲覧できるように、インターネット上に請求データベース(大量のクレジットカード情報が含まれている!)を配置します。

私たちの請求データベースはパブリックIPv4アドレス上にあり、その存在はずっと続いていますが、ここからそこに到達できないことを証明しています。アドレスがパブリックv4ルーティング可能リストにあるからといって、配信されることが保証されているわけではありません。インターネットの悪と実際のデータベースポートの間にある2つのファイアウォールが悪を排除します。最初のファイアウォールの背後にある私のデスクからでも、そのデータベースにアクセスできません。

クレジットカード情報は特別なケースの1つです。これはPCI-DSS標準の対象であり、標準では、そのようなデータを含むサーバーはNATゲートウェイの背後にある必要がある1。私たちのものであり、これらの3つのサーバーは、RFC1918アドレスの合計サーバー使用量を表しています。セキュリティを追加するのではなく、複雑さの層を追加しますが、監査のためにチェックボックスをオンにする必要があります。


オリジナルの「IPv6はNAT過去のものになる」)アイデアは、インターネットブームが本格的に本格化する前に提唱されました。1995年にNATは、小さなIP割り当てを回避します。2005年には、多くのセキュリティのベストプラクティスドキュメントと少なくとも1つの主要な標準(具体的にはPCI-DSS)に明記されていました。具体的なメリットはNAT NATデバイスの背後にあるIPランドスケープがどのように見えるか(RFC1918のおかげで、彼らは良い推測をしている)、およびNATフリーIPv4でネットワークの偵察を実行する外部エンティティが知らない(私の仕事など)そうではありません。これは、多層防御の小さなステップであり、大きなステップではありません。

RFC1918アドレスの代わりは、ユニークローカルアドレスと呼ばれるものです。 RFC1918のように、ピアがルーティングを許可することに明確に同意しない限り、それらはルーティングしません。 RFC1918とは異なり、それらは(おそらく)グローバルに一意です。 ULAをグローバルIPに変換するIPv6アドレストランスレータは、より高い範囲の周辺機器に存在しますが、SOHO機器にはまだありません。

パブリックIPアドレスで問題なく生き残ることができます。 「公開」は「到達可能」を保証するものではなく、問題はないことを覚えておいてください。


2017年の更新

過去数ヶ月間、Amazon aws はIPv6サポートを追加しています。これは Amazon-vpc オファリングに追加されたばかりであり、それらの実装は、大規模な展開がどのように行われることが期待されるかについていくつかの手掛かりを与えます。

  • / 56割り当て(256サブネット)が与えられます。
  • 割り当ては完全にルーティング可能なサブネットです。
  • ファイアウォールルール( security-groups )を適切に制限して設定することが期待されています。
  • NATはなく、提供もされていないため、すべての送信トラフィックはインスタンスの実際のIPアドレスから送信されます。

NATに戻るというセキュリティ上の利点の1つを追加するために、現在 Egress-only Internet Gateway を提供しています。これにより、NATに似た利点が1つ提供されます。

  • その背後にあるサブネットには、インターネットから直接アクセスできません。

これにより、誤って構成されたファイアウォールルールが誤って受信トラフィックを許可した場合に備えて、多層防御のレイヤーが提供されます。

このオファリングは、内部アドレスをNATのように単一のアドレスに変換しません。送信トラフィックには、接続を開いたインスタンスのソースIPがまだあります。ファイアウォールのオペレーターがVPCは、特定のIPアドレスではなく、ネットブロックをホワイトリストに登録することをお勧めします。

Routeableは、必ずしもreachableを意味するわけではありません。


1:PCI-DSS標準は2010年10月に変更され、RFC1918アドレスを必須とするステートメントが削除され、「ネットワーク分離」に置き換えられました。

190
sysadmin1138

私たちのオフィスNATルーター(古いLinksys BEFSR41)はIPv6をサポートしていません。新しいルーターもサポートしていません。

IPv6は多くのルーターでサポートされています。消費者とSOHOを目的とした安価なものの多くではありません。最悪の場合、Linuxボックスを使用するか、ルーターをdd-wrtなどでフラッシュし直して、IPv6をサポートしてください。多くのオプションがありますが、おそらくもっと難しく見えなければなりません。

このルーターを取り除き、すべてを直接インターネットに接続する場合は、

IPv6への移行については、ルーターやファイアウォールなどの周辺セキュリティデバイスを取り除く必要があることを示唆しているものはありません。ルーターとファイアウォールは、ほとんどすべてのネットワークの必須コンポーネントです。

すべてNATルーターは、実質的にステートフルファイアウォールとして機能します。RFC1918アドレスの使用に魔法はありません。すべてを保護します。ハードワークを行うのはステートフルビットです。適切に構成されたファイアウォールは、実際のアドレスまたはプライベートアドレスを使用している場合にも保護します。

RFC1918アドレスから得られる唯一の保護は、人々がファイアウォール設定のエラー/怠惰を回避できるようにすることであり、それでもそれほど脆弱ではありません。

IPv6機能がまったくない古いハードウェアデバイス(プリンタなど)がいくつかあります。

そう?すべてのデバイスがサポートまたは交換されるまで、インターネット経由で利用できるようにする必要はほとんどありません。内部ネットワークでは、IPv4とIPv6を引き続き実行できます。

複数のプロトコルを実行することがオプションではない場合、ある種のゲートウェイ/プロキシをセットアップする必要があるかもしれません。

IPSECはこのすべてを何らかの方法で安全にすることになっています

IPSECは暗号化し、パケットを認証します。ボーダーデバイスを取り除くこととは何の関係もなく、転送中のデータをより保護します。

58
Zoredache

はい。 NATは機能していません。IPv6を介してNATの標準を承認する試みがいくつか行われましたが、どれもこれまでに成功していません。

これにより、実際にはPCI-DSS標準に準拠しようとするプロバイダーに問題が発生しました。これは、NATの背後にいる必要があると実際に規格が述べているためです。

私にとって、これは私が今まで聞いた中で最も素晴らしいニュースのいくつかです。私はNATを嫌い、そしてキャリアグレードを嫌うNAT.

NATは、IPv6が標準になるまで私たちを通過させるためのバンドエイドソリューションであることを意味するだけでしたが、インターネット社会に浸透しました。

移行期間では、IPv4とIPv6は、類似した名前を除いて、まったく異なることを覚えておく必要があります。 1。したがって、デュアルスタックのデバイスでは、IPv4はNAT処理され、IPv6はNAT処理されません。これは、2つの完全に分離したデバイスを1つのプラスチックにパッケージ化したようなものです。

では、IPv6インターネットアクセスはどのように機能するのでしょうか。まあ、インターネットがNAT=の前に機能していた方法が発明されました。ISPはIP範囲を割り当てます(現在と同じですが、一般的に/ 32を割り当てます。つまり取得できるIPアドレスは1つだけですが、範囲には数百万の利用可能なIPアドレスが含まれます。これらのIPアドレスは、選択したとおりに自由に設定できます(自動構成またはDHCPv6を使用)。これらのIPアドレスはそれぞれインターネット上の他のコンピュータから見ることができます。

怖いですね。ドメインコントローラー、ホームメディアPC、ポルノの隠された隠し場所を備えたiPhoneは、すべてインターネットからアクセスできるようになりますか?うーん、ダメ。これがファイアウォールの目的です。 IPv6のもう1つの優れた機能は、「ほとんどすべてのホームデバイスがそうであるように」「すべてを許可する」アプローチから「すべてを拒否する」アプローチにファイアウォールを強制することです。特定のIPアドレスのサービスを開く場所。ホームユーザーの99.999%は、ファイアウォールをデフォルトのままにして完全にロックダウンします。これは、未承諾のトラフィックが許可されないことを意味します。

1それだけではありませんが、どちらも同じプロトコルを上で実行することを許可していますが、相互に互換性はありません

35
Mark Henderson

NAT=のPCI-DSS要件は、実際のセキュリティではなくセキュリティシアターであることがよく知られています。

最新のPCI-DSSは、NAT=の絶対的な要件の呼び出しをバックオフしています。多くの組織が、NAT 「同等のセキュリティ実装」。

NATを求める他のセキュリティシアタードキュメントがありますが、監査証跡を破壊し、インシデントの調査/軽減を困難にするため、NATのより詳細な調査(PATの有無にかかわらず) )ネットセキュリティのネガティブであること。

NATなしの優れたステートフルファイアウォールは、NATに対してIPv6の世界では非常に優れたソリューションです。IPv4では、NATアドレス保護のために許容する必要のある悪。

18
Owen DeLong

シングルスタックのIPv6のみのネットワークを利用できるようになるまでには(残念ながら)しばらく時間がかかります。それまでは、IPv6が優先されるデュアルスタックが利用可能な場合に実行する方法です。

ほとんどのコンシューマールーターは、現在のファームウェアでIPv6をサポートしていませんが、サードパーティのファームウェア(dd-wrtを備えたLinksys WRT54Gなど)でIPv6をサポートできます。また、多くのビジネスクラスのデバイス(Cisco、Juniper)はIPv6を標準でサポートしています。

PAT(コンシューマールーターで一般的な多対1 NAT)を他の形式のNATや、NATフリーのファイアウォールと混同しないことが重要です。インターネットがIPv6のみになった後も、ファイアウォールは内部サービスの公開を防止します。同様に、1対1のIPv4システムNAT=は自動的には保護されません。これがファイアウォールポリシーの仕事です。

12
techieb0y

NATがIPv6の世界で存続する場合、それはおそらく1:1 NATです。フォームNAT IPv4スペースでは決して見られません。1とは:1 NAT?これは、グローバルアドレスからローカルアドレスへの1:1変換です。IPv4の同等機能は、すべての接続を1.1.1.2にのみ変換して10.1.1.2に変換し、1.0.0.0/8スペース全体に対して同様に変換します。 IPv6バージョンでは、グローバルアドレスを一意のローカルアドレスに変換します。

気にしないアドレス(Facebookを閲覧する社内オフィスのユーザーなど)のマッピングを頻繁にローテーションすることで、セキュリティを強化できます。内部的には、ULA番号は同じままなので、スプリットホライズンDNSは引き続き正常に機能しますが、外部的には、クライアントが予測可能なポートに接続することはありません。

しかし、本当に、それはそれが作り出す面倒のための少し改善されたセキュリティです。 IPv6サブネットのスキャンは非常に大きなタスクであり、IPアドレスがそれらのサブネットに割り当てられる方法(MAC生成方法?ランダム方法?人間が読めるアドレスの静的割り当て?)を調整しなければ、実行不可能です。

ほとんどの場合、企業ファイアウォールの背後にあるクライアントはグローバルアドレス(おそらくULA)を取得し、境界ファイアウォールはこれらのアドレスへのあらゆる種類の着信接続をすべて拒否するように設定されます。すべての意図と目的のために、これらのアドレスは外部から到達できません。内部クライアントが接続を開始すると、その接続に沿ったパケットの通過が許可されます。 IPアドレスを完全に異なるものに変更する必要性は、攻撃者にそのサブネット上の2 ^ 64の可能なアドレスを経験させることによって処理されます。

11
sysadmin1138

ネットワーク管理者がNATを1つの光で見ると、中小企業と住宅の顧客が別の光でそれを見るように見えるので、この主題については非常に多くの混乱があります。

静的NAT(1対1 NATと呼ばれることもあります)は、プライベートネットワークまたは個々のPCに絶対に保護なしを提供します。IPアドレスの変更は、保護が懸念されます。

ほとんどのレジデンシャルゲートウェイやwifi APと同様のダイナミックオーバーロードNAT/PATは、プライベートネットワークやPCの保護に役立ちます。設計上、これらのデバイスのNATテーブルは状態テーブルです。送信リクエストを追跡し、NATテーブルにマッピングします-接続がタイムアウトします一定の時間が経過すると、NATテーブルの内容と一致しない任意の受信フレームがデフォルトで削除されます-NATルーターはプライベートネットワークでそれらを送信する場所を知っているので、それらをドロップします。このようにして、ハッキングの脆弱性を残している唯一のデバイスはルーターです。ほとんどのセキュリティエクスプロイトはWindowsベースであるため、このようなデバイスをインターネットとあなたのWindows PCは本当にあなたのネットワークを保護するのに役立ちます。それは本来意図された機能ではないかもしれません、それはパブリックIPを節約することでした、しかしそれは仕事をします。ボーナスとして、これらのデバイスのほとんどは何倍ものファイアウォール機能も持っていますデフォルトでICMP要求をブロックします。これは、ネットワークの保護にも役立ちます。

上記の情報を踏まえると、IPv6に移行するときにNATで破棄すると、数百万のコンシューマデバイスおよびスモールビジネスデバイスが潜在的なハッキングにさらされる可能性があります。専門的に管理されたファイアウォールがあるため、企業ネットワークにはほとんど影響を与えません。エッジで。コンシューマおよびスモールビジネスネットワークでは、おそらく* nixベースのNATインターネットとPCの間にルーターがありません。人がファイアウォールに切り替えることができなかった理由はありません。唯一の解決策-正しく展開すればはるかに安全になりますが、99%の消費者が方法を理解する範囲を超えます。動的なオーバーロードNATこれを使用するだけで、ある程度の保護を提供します-プラグあなたの住宅用ルーターであなたは保護されています。

つまり、NATをIPv4で使用されているのとまったく同じ方法で使用できなかった理由はありません。実際、ルーターは、IPv6アドレスを1つ持つように設計できます。 WANポートの背後にIPv4プライベートネットワークがあり、NATがその上にあるポートです(これは、NATがその上にあるなど)。これは、消費者および居住者向けのシンプルなソリューションです。別のオプションは、パブリックIPv6 IP ---中間デバイスはL2デバイスとして機能しますが、状態テーブル、パケット検査、および完全に機能するファイアウォールを提供します。基本的に、NATはありませんが、未承諾の着信フレームをブロックします。覚えておくべき重要なことは、 PCを直接WAN中間デバイスなしの接続に接続しないでください。もちろん、Windowsファイアウォールに依存したくない場合を除いて、それは別の議論です。すべてのネットワーク、さらにはホームネットワーク、Windowsファイアウォールを使用することに加えて、ローカルネットワークを保護するエッジデバイスが必要です。

IPv6への移行はますます困難になりますが、かなり簡単に解決できない問題はありません。古いIPv4ルーターまたはレジデンシャルゲートウェイを破棄する必要がありますか?多分、しかし時が来れば安価な新しいソリューションが利用可能になるでしょう。うまくいけば、多くのデバイスがファームウェアフラッシュを必要とするだけです。 IPv6は、現在のアーキテクチャによりシームレスに適合するように設計できますか?確かに、それはそれが何であるかであり、それが消えることはありません。したがって、あなたはそれを学び、それを生き、それを愛することもできます。

11
Computerguy

RFC 4864はIPv6ローカルネットワーク保護を説明しています 、実際にNATに頼ることなく、NATの認識された利点をIPv6環境で提供するための一連のアプローチ。

このドキュメントでは、IPv6サイトでネットワークアーキテクチャの整合性を保護するために組み合わせることができるいくつかの手法について説明しました。ローカルネットワーク保護と総称されるこれらの技術は、プライベートネットワークの「内部」と「外部」の間の明確に定義された境界の概念を保持し、ファイアウォール、トポロジの非表示、およびプライバシーを可能にします。ただし、必要な場所でアドレスの透過性を維持するため、アドレス変換の不利な点なしにこれらの目標を達成します。したがって、IPv6のローカルネットワーク保護は、対応する欠点なしにIPv4ネットワークアドレス変換の利点を提供できます。

最初に、NATの認識されている利点が何であるかを説明し(適切な場合はそれらを明らかにします)、次に、同じ利点を提供するために使用できるIPv6の機能について説明します。また、実装に関するメモとケーススタディ。

ここで転載するには長すぎるが、説明する利点は次のとおりです。

  • 「内側」と「外側」の間の単純なゲートウェイ
  • ステートフルファイアウォール
  • ユーザー/アプリケーションの追跡
  • プライバシーとトポロジーの隠蔽
  • プライベートネットワークでのアドレス指定の独立した制御
  • マルチホーミング/再番号付け

これは、NAT=が必要となる可能性があるすべてのシナリオをほぼカバーしており、NATなしでIPv6でそれらを実装するためのソリューションを提供します。

使用するテクノロジーには次のものがあります。

  • 一意のローカルアドレス:内部ネットワークでこれらを優先して、内部通信を内部的に維持し、ISPが停止しても内部通信を継続できるようにします。
  • アドレスの有効期間が短く、明確に構造化されていないインターフェイス識別子を持つIPv6プライバシー拡張機能:これらは、個々のホストやサブネットスキャンへの攻撃を防ぐのに役立ちます。
  • IGP、モバイルIPv6、またはVLANを使用して、内部ネットワークのトポロジを隠すことができます。
  • ULAに加えて、ISPのDHCP-PDは、IPv4を使用する場合よりも番号の付け直し/マルチホーミングを簡単にします。

RFCを参照してください 詳細については、ここでも、長すぎて再印刷したり、抜粋したりすることはできません。)

IPv6移行セキュリティのより一般的な説明については、 RFC 4942 を参照してください。

10
Michael Hampton

やや。 IPv6アドレスには実際にはさまざまな「タイプ」があります。 RFC 1918に最も近いもの(10/8、172.16/12、192.168/16)は「一意のローカルアドレス」と呼ばれ、RFC 4193で定義されています。

http://en.wikipedia.org/wiki/Unique_local_address

したがって、fd00 ::/8から始めて、40ビットの文字列を追加し(RFCで事前定義されたアルゴリズムを使用してください!)、グローバルに一意である疑似ランダム/ 48プレフィックスができあがります。必要に応じて、残りのアドレス空間を割り当てます。

また、(IPv6)ルーターで組織の外部へのfd00 ::/7(fc00 ::/8およびfd00 ::/8)をブロックする必要があります。そのため、アドレス名に「ローカル」があります。これらのアドレスは、グローバルアドレス空間にある間は、「組織」内にあるだけで、世界中に到達できないはずです。

PCI-DSSサーバーが他の内部IPv6ホストへの接続にIPv6を必要とする場合、会社のULAプレフィックスを生成し、この目的に使用する必要があります。必要に応じて、他のプレフィックスと同様にIPv6の自動構成を使用できます。

ホストが複数のアドレスを持つことができるようにIPv6が設計されているとすると、マシンは、ULAに加えて、グローバルにルーティング可能なアドレスも持つことができます。したがって、外部の世界と内部のマシンの両方と通信する必要があるWebサーバーは、ISPによって割り当てられたprefexアドレスとULAプレフィックスの両方を持つことができます。

NATのような機能が必要な場合は、NAT66も確認できますが、一般的にはULAを中心に設計します。さらに質問がある場合は、「ipv6-ops」メーリングリストをチェックしてください。

8
DAM

私見:そうではない。

SNAT/DNATが役立つ場所はまだいくつかあります。たとえば、一部のサーバーは別のネットワークに移動されましたが、アプリケーションのIPを変更したくない/望んでいません。

4
sumar

IPv6でのNAT(本当になくなる場合))の喪失がユーザーのプライバシーにどのように影響するかについての明確な答えは見ていません。

個々のデバイスのIPアドレスが公開されているため、さまざまなデバイスからインターネット上を移動する際のWebサービスの監視(時間、空間およびサイト全体での収集、保存、集計、および多数の二次的な使用の促進)がはるかに容易になります。 ISP、ルーター、およびその他の機器がなければ、デバイスごとに頻繁に変更される可能性のある動的IPv6アドレスを簡単に作成できます。

もちろん、静的wi-fi MACアドレスが公開されるという問題が何であっても、それは別の話です...

3
LogEx

うまくいけば、NATは永遠になくなるでしょう。これは、IPアドレスが不足していて、より優れた、より安価で、ステートフルなファイアウォールでより簡単に管理できないセキュリティ機能がない場合にのみ役立ちます。

IPv6 =希少性がなくなったので、NATである醜いハックから世界を取り除くことができます。

3
growse

政治と基本的なビジネス慣行は、NATの存在を促進する可能性が最も高いでしょう。大量のIPv6アドレスは、ISPがデバイスごとに課金したり、制限された数のデバイスにのみ接続を制限したりすることを意味します。 /のこの最近の記事を参照してください。例えば:

http://news.slashdot.org/story/11/03/17/0157239/British-ISPs-Could-Charge-Per-Device

2
Steve-o

NATをサポートする多くのスキームがあります。ただし、すべてのIPV6ネットワークがあり、アップストリームIPV6プロバイダーに接続している場合、NAT = V6ネットワークを介してV4ネットワーク間をトンネリングできることを除いて、新しい世界秩序の一部ではありません。

シスコには、4to6シナリオ、移行、およびトンネリングに関する多くの一般情報があります。

http://www.Cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-nat_trnsln_ps6350_TSD_Products_Configuration_Guide_Chapter.html

http://www.Cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6-tunnel.html

ウィキペディアでも:

https://secure.wikimedia.org/wikipedia/en/wiki/IPv6_transition_mechanisms

2
Greg Askew