Intgration du protocole IPv6 une infrastructure IPv4

Mr White Mr Blue Mr Black Mr Brown

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

2-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Intgration du protocole IPv6 une infrastructure IPv4

INTRODUCTION ................................................................................................................................................................. 4 I. 1. 2. II. 1. 2. 3. 4. CAHIER DES CHARGES ------------------------------------------------------------------------------------------------------------------------------4 Contexte ................................................................................................................................................................ 4 Objectifs du projet ................................................................................................................................................. 4 REPONSES AU CAHIER DES CHARGES ---------------------------------------------------------------------------------------------------------------4 Solutions ................................................................................................................................................................ 4 Dtails de la structure ........................................................................................................................................... 5 Matriel Utilis ...................................................................................................................................................... 5 Rpartition des lots ............................................................................................................................................... 5

IPV6 PRESENTATION ET CONCEPTS .................................................................................................................................... 8 I. II. III. IV. LES LIMITES DE LIPV4 -----------------------------------------------------------------------------------------------------------------------------8 PRESENTATION DE LIPV6 -------------------------------------------------------------------------------------------------------------------------8 LADRESSAGE IPV6 (NOTATION) -------------------------------------------------------------------------------------------------------------------9 LADRESSAGE IPV6 (STRUCTURE)---------------------------------------------------------------------------------------------------------------- 10

DHCPV6 SOUS WINDOWS SERVEUR 2008 ........................................................................................................................ 13 I. II. III. IV. V. VI. INTRODUCTION----------------------------------------------------------------------------------------------------------------------------------- 13 COMMANDES DE BASE --------------------------------------------------------------------------------------------------------------------------- 13 STATELESS/STATEFUL ---------------------------------------------------------------------------------------------------------------------------- 13 INSTALLATION DU ROLE DHCP ------------------------------------------------------------------------------------------------------------------ 14 OPTIONS DETENDUES --------------------------------------------------------------------------------------------------------------------------- 16 RESERVATIONS ----------------------------------------------------------------------------------------------------------------------------------- 17

NAT-PT ............................................................................................................................................................................ 18 I. II. III. IV. V. VI. INTRODUCTION AU NAT-PT -------------------------------------------------------------------------------------------------------------------- 18 UTILISATION DE NAT-PT EN STATIQUE --------------------------------------------------------------------------------------------------------- 19 UTILISATION DE NAT-PT EN DYNAMIQUE ------------------------------------------------------------------------------------------------------ 20 UTILISATION DU PAT OVERLOAD ---------------------------------------------------------------------------------------------------------------- 20 UTILISATION DE V4MAPPED -------------------------------------------------------------------------------------------------------------------- 20 CONCLUSION SUR LE NAT-PT ------------------------------------------------------------------------------------------------------------------- 21

NAT64.............................................................................................................................................................................. 22 FOREFRONT: UNIFIED ACCESS GATEWAY (UAG)-------------------------------------------------------------------------------------------- 23 Explications et installation du UAG DirectAccess NAT64 and DNS64 : ................................................................ 24 Mise en place de Forefront UAG :........................................................................................................................ 29 II. NAT64 INTEGRE A UN SERVEUR LINUX : -------------------------------------------------------------------------------------------------------- 30 1. TAYGA : (Tayga v0.9.1, 12-12-2010).................................................................................................................... 30 2. ECDYSIS :.............................................................................................................................................................. 31 I. 1. 2. CONCLUSION DU RAPPORT .............................................................................................................................................. 32

SOURCES............................................................................................................................... ERREUR ! SIGNET NON DEFINI.

3-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Introduction
I. Cahier des charges

1. Contexte
Lentreprise Corellia Corp intgre le protocole IPv6 au sein de son rseau interne mais dispose dquipements qui doivent pour le moment continuer de fonctionner sur IPv4 pour des raisons techniques. Les deux protocoles doivent coexister temporairement sur le rseau sans en affecter les fonctionnalits ou les performances.

2. Objectifs du projet
Notre objectif est dtablir une premire tape dans la migration dun site IPv4 vers lIPv6. Le site dispose dun matriel daccs internet avec une adresse publique IPv6, dun serveur DNS, et DHCP ainsi quun serveur Web publi. Les postes clients sont quips de Windows 7. Au terme de lopration dcrite dans ce document, les deux protocoles pourront coexister et les diffrents services rseau y seront adapts.

II.

Rponses au cahier des charges

1. Solutions
Le but tant ici de convertir lensemble du rseau IPv4 vers IPv6 hormis quelques machines. Il est plus judicieux de procder dabord lactivation du protocole IPv6 sur lensemble du matriel Windows compatible (Serveurs, Postes), except les postes devant conserver leur configuration IPv4 (voir schma P.6). Le fonctionnement par Double Pile permet une garantie de la fonctionnalit du rseau. En effet IPv4 et IPv6 cohabitent sans problme au sein du rseau, et la configuration du protocole IPv4 restant la seule approprie lensemble des services rseaux mis en place, la structure ne souffrira daucune interruption de service. En outre, il sera possible en parallle de vrifier la connectivit interclients/serveurs via lIPv6, ce qui facilite bien entendu la mise en uvre de lopration dans son ensemble. La communication entre les quipements IPv4 et IPv6 se fait par Translation dAdresse (Protocole NAT-PT) et ncessite la configuration dun routeur Cisco compatible.

4-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

2. Dtails de la structure
Le serveur DHCP est capable de distribuer un adressage et des options dtendue pour les deux types de protocoles utiliss sur le rseau. Le routeur se charge de rendre la communication possible entre les htes IPv4 et IPv6 (NAT-PT) Le site distant (imagin dans le schma) est accessible depuis lensemble de la structure.

3. Matriel Utilis
-

4x Poste Client Win7 (Intel Celeron, 1Go DDR2, Eth 10/100) 1x Serveur 2008 R2 DNS + ISS (Dell Optiplex, Dual 4200+, 1Go DDR2, Eth 10/100) 1x Serveur 2008 R2 DHCP + PARTAGE (Dell Optiplex, Dual 4200+, 1Go DDR2, Eth 10/100) 1x Serveur 2008 R2 FOREFRONT (Dell Optiplex, Dual 4200+, 2Go DDR2, Eth 10/100 x3) 1x Serveur 2008 R2 IIS Distant (P4, 2.4Ghz, 1Go DDR, Eth 10/100) 1x Switch NETGEAR (Ethernet 10/100 x8) 1x Routeur CISCO 1841 (IOS 15.1)

4. Rpartition des lots

White Config. DHCPv4/v6 Config. DNS Cration Sites Web Adressage Installation Schmas Config. ForeFront Config. Routeur NAT-PT NAT64 X X X X X X X X X X X X X X Blue X X X Black Brown

5-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

6-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

7-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

IPv6 Prsentation et concepts

I. Les limites de lIPv4

LIPv4 a t finalis au dbut des annes 80 (RFC 791) et propose une plage dattribution thorique dun peu plus de 4 Milliards dadresses (4 294 967 296 prcisment) afin de connecter des ordinateurs et dautres appareils relis au rseau. A cette poque il tait quasiment inimaginable quil y aurait un jour suffisamment de machines sur un unique rseau pour que lon commence manquer dadresses disponibles. De plus, sur les ~4 Milliards dadresses attribuables thoriques, beaucoup ne sont pas utilisables pour adresser des machines sur le rseau, soit parce quelles sont destines des usages particuliers (bouclage, APIPA, adresses prives, rseaux de test, multicast), soit parce quelles ont t mal attribues en rgle gnrale. Par exemple, les premiers organismes avoir t relis lInternet se sont vus attribuer des plages de 16 Millions dadresses (et plus), ce qui est bien plus que ncessaire pour les structures de lpoque. Une mauvaise gestion des plages dadresses et une implmentation assez lente dun protocole plus volu ont contribus la pnurie actuelle dadresses IPv4. En Fvrier 2011, ses limites dfinitives ont t atteintes et cet tat durgence pousse aujourdhui de plus en plus de structures migrer (bien que tardivement) vers son successeur, lIPv6.

II.

Prsentation de lIPv6

LIPv6 nest pas une rvolution en soi puisquil existe depuis le dbut des annes 90 et t finalis depuis 1998 (RFC 2460). Son systme dadressage nest plus limit 32 bits comme il ltait pour lIPv4 mais 128, ce qui permet dattribuer un nombre considrable dadresses (3,41038, soit plus de 667 millions de milliards d'adresses par millimtre carr la surface de la terre). Hormis ce changement important et primordial -une des priorits du protocole tant le nombre dadresses disponibles- lIPv6 intgre nativement une quantit de fonctionnalits et de protocoles adapts aux structures modernes et aux besoins de plus en plus prsents en termes de scurit. On pourra noter par exemple limplmentation de lIPSEC, lattribution automatique des adresses, les adresses lien-local, etc. La quantit considrable dadresses permet galement une grande flexibilit dans leurs attributions. En

8-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

effet, la traduction dadresse (NAT) rendue trs populaire par le manque dadresses IPv4 nest dsormais plus ncessaire.

III.

Ladressage IPv6 (notation)

Une adresse IPv6 tant longue de 128 bits, il est devenu trs difficile den retenir les valeurs dcimales comme ctait le cas en IPv4. La notation par suite de chiffres dcimaux spars par des points a donc t change en une notation hexadcimale de 8 groupes de 2 octets : 2001:0dc9:0000:18a3:0000:0000:ac1f:82f1 On peut constater que mme en utilisant cette notation raccourcie il est difficile de retenir ne serait-ce que la moiti dune adresse, cependant certains raccourcis sont possibles. Par exemple, il est permis denlever de 1 3 zros non significatifs dans chaque groupe de 4 chiffres hexadcimaux. Selon cette mthode, ladresse cite en exemple peut donc scrire : 2001:0dc9:0:18a3:0:0:ac1f:82f1 La structure de ladresse est dj simplifie, mais il est encore possible de la raccourcir. En effet il est aussi permis de supprimer un ou plusieurs groupes de 16 bits conscutifs en conservant le sparateur (:) de chaque ct de la suite de zros supprime : 2001:0dc9:0:18a3::ac1f:82f1 Ce raccourci est dautant plus pratique si lon dispose du choix des adresses utilises pour un rseau, en effet une structure dadresse du type : 2001:0001:0001:0001:0000:0000:0000:82f1 Peut scrire : 2001:1:1:1::82f1 La lecture de ladresse se trouve grandement simplifie !

9-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Notons quil nest cependant pas possible de supprimer plus dune suite de zros dans la mme adresse, prenons par exemple ladresse suivante : 2001:0dc9:0:18a3::ac1f:82f1 La notation 2001:0dc9::18a3::ac1f:82f1 n est pas autorise. Nous comprenons ici que mme si la complexit des adresses IPv6 peut sembler repoussante ( raison) aux premiers abords, des mthodes ont t cres pour en simplifier lusage, ce qui rend son utilisation plus aise que lon pourrait simaginer, surtout si lon peut sarranger avec le type de plages utiliser.

IV.

Ladressage IPv6 (structure)

Les rseaux IPv6 sont nots en utilisant le CIDR : la premire adresse du rseau est suivie par un slash et un nombre qui indique la taille en bits du rseau : cest le prfixe. Par exemple : Le prfixe 2001:db8:1f89::/48 reprsente l'ensemble des adresses qui commence 2001:db8:1f89:0:0:0:0:0 et finit 2001:db8:1f89:ffff:ffff:ffff:ffff:ffff Le prfixe fc00::/7 reprsente les adresses de fc00:0:0:0:0:0:0:0 : fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff

10-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Aussi, et cela de manire similaire lIPv4, certains prfixes jouent un rle prcis. Voici un tableau dtaill des prfixes et de leurs fonctions lheure actuelle :

*Toutes les autres adresses routables (plus des trois quarts) sont actuellement rserves pour usage ultrieur.

Format standard dadressage IPv6 :

X:X:X:X:X:X:X:X
Prfixe ID dinterface ID de sous-rseau

11-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Ladresse de Boucle Locale (::1/128) : Cest lquivalent de ladresse IPv4 127.0.0.1, elle permet une machine de senvoyer des paquets elle-mme. Ladresse Indtermine (::/128) : Cette adresse 0:0:0:0:0:0:0:0 (ou encore note "::") est utilise pendant l'initialisation de l'adresse IPv6 d'une machine. C'est une phase temporaire. Ladresse de Lien Local (fe80::/10) : Cette adresse est obtenue par attribution automatique et permet aux machines du mme espace de lien de communiquer (pourrait sapparenter APIPA en IPv4). Ces adresses ne sont pas routables. Ladresse de Site Local (fec0::/10) : Adresse restreinte au site. Lide est de reprendre le principe des plages dadresses prives en IPv4 (10.0.0.0/8 172.16.0.0/12 192.168.0.0/16). Un routeur de sortie de site ne peut les acheminer. Ladresse IPv4 mappe (::ffff:a.b.c.d) : Une machine IPv6 tant capable de communiquer (EN THEORIE) aussi bien avec une machine IPv4 qu'avec une machine IPv6 utilise des adresses IPv4 mappes pour communiquer avec les autres machines IPv4 et utilise des adresses IPv6 normale pour communiquer avec les autres machines IPv6. La machine possde alors les deux empilements (Dual Stack). Ladresse Multicast (ff00::/8) : Cette adresse spcifie un groupe d'hte appartenant au groupe de diffusion. La porte est spcifie par un champ Scope , lequel est reprsent par une valeur hexadcimale (ex : 1 = Nud, 2 = Lien, 5 = Siteetc.) Ladresse Anycast (ff00::/8) : L'adresse anycast est ni plus ni moins qu'une adresse multicast, la diffrence qu'un paquet mis avec cette adresse de destination ne sera remis qu' un seul membre du groupe.

12-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

DHCPv6 Sous Windows Serveur 2008

I. Introduction

Avec le protocole IPv6, lutilisation dun serveur DHCP pour attribuer les adresses IP nest plus obligatoire. En effet les htes IPv6 peuvent sauto-configurer grce au mcanisme de dcouverte des voisins. Cependant lutilisation dun DHCP peut tre utile pour configurer des options dtendue ou afin daffecter des adresses particulires.

II.

Commandes de base
Ping : permet deffectuer une requte ICMPv6 Echo sous Windows 7/Serveur 2008. Cependant sous Windows XP et Ubuntu, les requtes ICMPv6 Echo sont ralises grce la commande Ping6 . Ipconfig /renew6 : permet de renouveler ladresse IPv6 Ipconfig /release6 : permet de librer ladresse IPv6

III.

Stateless/Stateful

Lorsque quun client veut localiser un serveur DHCPv6, celui-ci met une requte ICMPv6 DHCP sollicitation en multicast. Les routeurs et serveurs DHCP rpondent alors par un message Router advertissement Dans ce message se trouvent deux flags ayant pour valeur 0 ou 1 : Le Managed Address Configuration Flag ou M flag Le Other Stateful Configuration Flag ou O flag

13-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Il existe donc quatre combinaisons possibles : M flag=0, O flag=0 : Correspond un rseau sans serveur DHCPv6 M flag=1, O flag=1 : Le serveur DHCPv6 fournit les adresses IPv6 et les options. M flag=0, O flag=1 : Le serveur DHCPv6 fournit les options mais pas les adresses IPv6. M flag=1, O flag=0 : Combinaison possible mais improbable dans laquelle le serveur DHCPv6 fournirait les adresses IPv6 mais pas les options.

IV.

Installation du rle DHCP

Le rle DHCPv6 sinstalle simultanment au rle DHCPv4. La configuration est sensiblement identique hormis la fentre Mode DHCPv6 sans tat . Cette fentre offre deux choix : Activer le mode sans tat DHCPv6 pour ce serveur qui correspond au mode DHCPv6 Stateless. Dsactiver le mode sans tat DHCpv6 pour ce serveur qui correspond au mode DHCPv6 Stateful.

14-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

DHCPv6 Stateful DHCPv6 Stateless

Ces modes peuvent ensuite tre modifis avec les commandes suivantes : netsh inteface ipv6 set interface [InterfaceName] managedaddress=[enable/disable] Permet de dfinir le M flag sur 0 ou 1 netsh inteface ipv6 set interface [InterfaceName] otherstatefuladdress=[enable/disable] Permet de dfinir le O flag sur 0 ou 1 Il faut ensuite configurer les routeurs du rseau en mode DHCP Client .
Router (config-if) #

ipv6 dhcp client pd [hint ipv6-prefix]

Il faut galement activer si ncessaire la fonction DHCPv6 Relay Agent.

15-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

V.

Options dtendues
La liste des options dtendue du DHCPv6 est totalement diffrente de celle du DHCPv4 (Mme si certaines occupent la mme fonction) : 00021 : Liste des noms de domaine de serveurs SIP : Cette option spcifie une liste des noms de domaine des serveurs proxy SIP sortant que le client va utiliser dans le cadre de la VOIP. 00022 : Liste dadresses IPv6 de serveurs SIP: Cette option spcifie une liste dadresses IPv6 indiquant les serveurs proxy SIP sortant la disposition du client. Les serveurs doivent tre classs par ordre de prfrence galement pour la VOIP 00023 : Liste dadresses IPv6 de serveurs rcursifs DNS : Cette option fournie une liste d'adresses IPv6 laquelle l'hte peut envoyer des requtes DNS. Les serveurs DNS sont numrs dans l'ordre de prfrence pour l'utilisation par le rsolveur DNS de l'hte. 00024 : Liste de recherche du domaine : Cette option spcifie une liste de nom de domaine que les clients utilisent lors de la rsolution des noms dhtes avec le serveur DNS. 00027 : Liste dadresses IPv6 NIS : Cette option spcifie une liste dadresses IPv6 indiquant les Network Information Services (NIS), Serveurs la disposition du client. Les clients doivent traiter la liste des serveurs NIS comme une liste ordonne. Le serveur peut dresser cette liste par ordre de prfrence. 00028 : Liste dadresses IPv6 NIS+ : Cette option est sensiblement la mme que la prcdente lexception du fait quelle indique les serveurs NIS fonctionnant en v2 (NIS +). 00029 : Liste des domaines NIS : Cette option utilise la liste des noms de domaines pour transmettre au client la liste de serveurs NIS. 00030 : Liste des domaines NIS+ : Mme option que celle du dessus mais avec les serveurs NIS fonctionnant en v2. 00031 : Liste dadresses IPv6 de serveurs SNTP : Cette option fournie une liste dune ou plusieurs adresses IPv6 du serveur SNTP la disposition du client pour la synchronisation du temps.

16-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Parmi ces options les plus utilises sont 00023 : Liste dadresses IPv6 de serveurs rcursifs DNS et 00024 : Liste de recherche du domaine

VI.

Rservations

Comme avec un serveur DHCPv4, il est possible deffectuer des rservations dadresse avec un serveur DHCPv6. Cependant celles-ci ne seffectuent pas en fonction dune adresse MAC mais en fonction du DUID et de lIAID. Le DUID (DHCP Unique IDentifier) est un identifiant unique usage exclusif du DHCP. Cet identifient est gnr par le client et ne doit pas changer dans le temps. Il concerne le client et non une interface du client. LIAID (Identity Association IDentifier) identifie linterface sur le systme.

17-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

NAT-PT
I. Introduction au NAT-PT

NAT-PT (Network Address Translation Protocol Translation) est un outil de migration conut pour aider les utilisateurs dans la transition de leurs rseaux IPv4 vers IPv6. Utiliser ce protocole de translation entre IPv6 et Ipv4 permet la communication directe entre des htes utilisant des protocoles rseaux diffrents. Cependant, il nest pas recommand dutiliser ce protocole pour communiquer dun rseau IPv6 un autre si ces derniers sont spars par un rseau IPv4, des techniques de tunnels sont plus adaptes ce genre de situations. Les utilisateurs peuvent utiliser un systme statique ou des systmes dynamiques pour lapplication du protocole NAT-PT dans leur rseau.

Dans notre cas lutilisation de NAT-PT aurait permis aux utilisateurs dordinateur avec des adresses IPv4 daccder au site web en IPv6.

18-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Avant la mise en place de ce procd sur le site, des tests on t raliss sur des maquettes simplifis. Les tests raliss sont expliqu ci-dessous.

II.

Utilisation de NAT-PT en statique

Schma de la maquette :

Dans ce cas de figure on traduit une adresse IPv4 par une adresse ipv6 fixe et vice versa. IPV6 2000:1:1:1::1/64 2000:1:1:1::2/64 2000:1:1:1::3/64 Correspond IPV4 192.168.1.1 192.168.1.2 192.168.1.3

V6V4

Chaque adresse IPv6 est convertie en adresse IPv4 correspondante, on nomme ce sens de translation V6V4. Ipv4 192.168.1.10 192.168.2.11 192.168.3.12 Correspond IPv6 2000::C0A8:000A 2000::C0A8:000B 2000::C0A8:000C

V4V6

19-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Chaque adresse IPv4 est convertie en adresse IPv6 correspondante, on nomme ce sens de translation V4V6. Dans ce sens il est pratique de convertir ladresse IPv4 en hexadcimal et de lajouter aprs le prfixe IPV6. Le prfixe IPv6 NAT-PT (2000::/96 dans notre cas) est rserv pour les adresses IPv4, il peut faire partie du rseau IPv6 existant, ou utiliser le prfixe dun rseau diffrent.

III.

Utilisation de NAT-PT en dynamique

Dans ce cas de figure, des pools dadresses sont allous lors de la transition dun rseau IPv6 un rseau IPv4 et vice versa. IPV6 Correspond IPV4 192.168.1.1 V6V4 192.168.1.2 2000:1:1:1::/96 192.168.1.3 Le nombre dadresse dans le pool dtermine le nombre de connexions simultanes possibles. Ipv4 Correspond IPv6 V4V6 192.168.1.0/24 2000::/96

IV.

Utilisation du PAT overload

Ici une seule adresse IPv4 est utilise par de multiples sessions IPv6 par lutilisation de ports associs. V6V4 IPV6 2000:1:1:1::/64 Ipv4 192.168.1.0/24 Correspond Correspond IPV4 192.168.0.199 IPv6 2000:1:1:1::C0A8:01C7

V4V6

V.

Utilisation De V4Mapped

Les utilisateurs peuvent envoyer des paquets depuis leur rseau IPv6 un rseau IPv4 sans configurer de plan dadresses de destination IPv6. Un paquet arrivant une interface est analys pour savoir si le prfix NAT-PT t configur avec la commande ipv6 nat prefix v4-mapped .

20-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Si le prfixe correspond, alors une liste daccs vrifie que ladresse source correspond, sinon le paquet est abandonn. Lutilisation de cette mthode ncessite dutiliser un serveur DNS ALG (Application Layer Gateway) en IPV4 pour lenregistrement des adresses ipv4 converties en adresses ipv6 et vice versa avec un serveur DNS ALG IPV6.

VI.

Conclusion sur le NAT-PT

Si le NAT-PT semble sur le papier simple a mettre en uvre, nous avons pu constater que malgr de nombreux essais avec les diffrentes mthodes proposes par le protocole ainsi que les tests sur diffrent IOS, aucune solution ne nous a permis de faire communiquer deux rseau de manire fonctionnel. Une autre mthode de translation dadresse tant possible avec le protocole NAT64 nous avons dcid de ne pas nous attard sur le protocole NAT-PT qui semble tre moins fiable que son successeur.

21-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

NAT64
Network Address Translator IPv6 to IPv4

Pour continuer dans notre volont de faire coexister IPv4 et IPv6, nous allons parler du NAT64, une technique de traduction entre IPv6 et IPv4, permettant une machine purement IPv6 de se connecter une machine purement IPv4. Aujourd'hui encore, la majorit des serveurs sont accessibles uniquement en IPv4. Or, les dernires adresses IPv4 disponibles l'IANA ont t distribues le 3 fvrier 2011. Demain, les nouvelles machines recevront donc uniquement des adresses IPv6. Comment se connecteront-elles ces serveurs purement v4 ? Une des solutions est de traduire automatiquement les paquets IPv6 du client en IPv4 pour les envoyer au serveur, et de faire la traduction inverse au retour. Cela se nomme NAT64 (RFC 6144 et 6145). NAT64 ressemble beaucoup l'actuel NAT44 dans la mesure o il permet : Les communications client-serveur, Certaines communications pair--pair, Des communications depuis l'extrieur, si on a configur statiquement le traducteur pour reconnatre certaines adresses. De ne pas avoir modifier les clients ou les serveurs, tout est fait dans le routeur du rseau IPv6-pur. Il s'en distingue par le fait qu'on ne se contente pas de traduire les adresses, il faut traduire tout l'en-tte du paquet, et par le fait que, pour que les applications tournant sur la machine purement v6 trouvent une adresse IPv6, un serveur DNS spcial, DNS64 (RFC 6147) est ncessaire. Vu la ncessit de faire plus de travail qu'en NAT44, la spcification ne fonctionne que pour certains protocoles des couches suprieures, pour l'instant uniquement ICMP, UDP et TCP. NAT64 prend la suite du NAT-PT qui a t dprci par lIETF (RFC 4966) pour des raisons de simplification et de scurit.

22-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

I.

FOREFRONT: Unified Access Gateway (UAG)

DirectAccess est bas sur la technologie IPv6. Cest une technologie de tunnel jusqu' la passerelle UAG, qui apporte de nombreuses possibilits. Comme toutes les structures actuelles ne grent pas forcment lIPv6, Forefront UAG a incorpor la technologie NAT64/DNS64. NAT64 est en grande partie base sur les travaux de lIETF (RFC 6146). Il permet dtablir une communication entre un rseau IPv6 et un rseau IPv4. On peut le considrer comme un sous-ensemble du NAT-PT. Pour que le NAT64 fonctionne il doit tre utilis conjointement au DNS64 (RFC 6147). DNS64 est un serveur DNS sur le serveur UAG, o les requtes DNS des clients UAG sont traites deux fois : la premire requte DNS pour les enregistrements IPv6 et la seconde pour les enregistrements IPv4. Si les enregistrements DNS IPv6 existent, ils sont retourns au client. Sil ny en a pas, alors les enregistrements sont rsolus en un faux enregistrement IPv6 qui appartient au dispositif NAT64. Pour interroger le DNS64 la place du serveur DNS habituel du client, une stratgie de groupe est utilise. Celle-ci va modifier les rglages de la table des stratgies de rsolution de nom (Name Resolution Policy Table (NRPT)). Les rgles NRPT vont dire au client denvoyer les requtes DNS avec un suffixe DNS spcifique un serveur donn.

23-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

1. Explications et installation du UAG DirectAccess NAT64 and DNS64 :

Illustration par un exemple :
tape 1: requte client DNS

Tout commence quand le client DirectAccess envoie une requte DNS au DNS64 UAG. Les clients DirectAccess sont relis au rseau de lentreprise seulement en IPv6, leurs requtes DNS IPv6 sont donc toujours des requtes DNS AAAA (quad A). Toutes les requtes DNS sont assignes au DNS64 UAG. Dans cet exemple : contoso.com est le suffixe du domaine, 2002:c00a:a02::c00a:a02 est ladresse du DNS64, inout.contoso.com est le nom du serveur.

24-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Si le client essai de trouver ladresse IP du serveur appel x.contoso.com :

tape 2: requte DNS64

Ensuite comme on lavait expliqu prcdemment le serveur DNS64 va envoyer 2 requtes DNS : IPv4 (requte A) et IPv6 (AAAA) au serveur DNS. Le serveur UAG localise le serveur DNS partir de sa propre configuration DNS.

25-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

tape 3: Rponse DNS

Aprs avoir obtenu les rponses du serveur DNS, le serveur DNS64 dcide quelle adresse renvoyer au client : Si le serveur DNS64 a une rponse IPv6 (AAAA) alors il retourne cette adresse au client. Si le serveur DNS64 a seulement une rponse IPv4 (A), cest quil y a uniquement une connectivit IPv4 sur ce serveur. Le serveur NAT64 devra donc rediriger tout le trafic. Comme le client a besoin d'une adresse IPv6, le serveur DNS64 gnre une adresse IPv6 partir de l'adresse IPv4 base sur le prfixe NAT64, configur sur l'UAG DirectAccess.

Dans cet exemple, x.contoso.com est un serveur IPv4 qui ncessite que le serveur DNS64 redirige tout le trafic :

26-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Configuration du prfixe NAT64 dans UAG :

tape 4: Le client envoie des paquets au serveur : Maintenant que le poste client a ladresse du serveur, il peut lui envoyer des paquets. Ceux-ci sont envoys au serveur UAG DirectAccess NAT64, les adresses IPv6 sont formes partir du prfix NAT64 et routes par le serveur UAG DirectAccess.

27-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

tape 5: NAT64 transmet le paquet en utilisant IPv4 NAT64 reoit les paquets et les trient pour dterminer ladresse IPv4 qui est associe ladresse IPv6. Il va ensuite crer un nouveau paquet IPv4 et va lenvoyer au serveur de destination. Pour le serveur de destination, lorigine du paquet IPv4 est le serveur UAG.

28-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

2. Mise en place de Forefront UAG :

Les pr-requis dinstallation de ce produit : Windows Server 2008 et Windows Server 2008 R2 en Edition Standard et Enterprise Architecture 64-bits Un minimum de 4 GB de mmoire (8 GB recommand) 2,5 GB despace disque disponible 2 Cartes rseau.

Il faut galement deux adresses IPv4 publiques et une intgration dans Active Directory. La solution Forefront UAG semblait tre la plus aboutie, puisque nous sommes dans un environnement Microsoft, et qu travers DirectAccess nous pouvions intgrer le NAT64 et le DNS64. Malheureusement pour des raisons techniques (capacit du serveur, deux adresses publiques ncessaires, ) et de temps nous navons pas pu rendre fonctionnelle cette organisation. Cest pourquoi nous avons envisag dautres solutions.

29-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

II.

NAT64 intgr un serveur Linux :

Actuellement peu de systmes efficaces existent pour mettre en place le NAT64. Du cot des logiciels libre, il existe plusieurs solutions bases sur Linux qui ont lambition de lintgrer. Nous avons test deux dentre elles : Tayga et Ecdysis.

1. TAYGA : (Tayga v0.9.1, 12-12-2010)

Tayga est une solution stateless dimplmentation du NAT64 pour Linux. Cette solution utilise le driver TUN pour lchange de paquets avec le kernel, il est bas sur le mme driver utilis par OpenVPN. Nous avons choisi de linstaller sur un serveur Ubuntu. Le NAT Stateless est simplement une conversion "un pour un" des adresses IP en utilisant une table de mappage fournie par ladministrateur rseau. En traduisant des paquets entre IPv4 et IPv6, la source et les adresses de destination dans les en-ttes de paquet sont substitues en utilisant un mappage de 1:1. Ceci signifie que, afin d'changer des paquets travers le NAT64, chaque hte IPv4 doit tre reprsent par une adresse IPv6 unique, et chaque hte IPv6 doit tre reprsent par une adresse IPv4 unique.

30-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Dans les situations o le NAT64 stateful est requis, Tayga peut tre combin un NAT classique IPv4 stateful (Masquerade). Le NAT tant intgr directement dans Tayga. Mappage IPv4 en IPv6 : Tayga traduit les adresses IPv4 dans un rseau IPv6 en se basant sur la RFC6052. Cet article stipule quune adresse IPv4 32bit doit tre ajoute au prfixe IPv6 dfini. Ladresse qui en rsulte pourra tre utilise pour contacter des htes IPv4 travers le NAT64. Il est recommand dutiliser un prfixe NAT64 en /96. Un site qui utilise un adressage en 2001:db8:1::/48 utilisera, par exemple, un prfix NAT64 2001:db8:1:ffff::/96. L'hte IPv4 198.51.100.10 pourrait alors tre accessible via le NAT64 laide de l'adresse 2001: db8: 1: ffff:: C633:640a. Par convention, il est possible d'utiliser la syntaxe 2001: db8: 1: ffff:: 198.51.100.10. La RFC 6052 spcifie que le prfixe 64:ff9b::/96 peut-tre utilis pour le NAT64 plutt que dallouer une adresse IPv6 quutilise le rseau de lentreprise. Toutefois, cela entraine plusieurs restrictions, en particulier les adresses IPv4 prives (10.x.x.x, 192.168.x.x, etc) ne sont pas accessible en passant par le serveur NAT64. Si le NAT64 est ncessaire uniquement pour quelques htes, Tayga peut tre configur sans prfixe NAT64 et la traduction des adresses peut tre attribue hte par hte. Mappage IPv6 en IPv4 : Tayga requiert quune adresse IPv4 unique soit assigne chaque hte Ipv6 qui ont besoin dutilis le NAT64. Cette affectation peut se faire de manire statique par ladministrateur rseau, ou dynamiquement par tayga partir dun pool dadresses IPv4 dsign cet effet. Lutilisation dun mappage statique est souhaitable pour les serveurs et autre htes ncessitant une adresse prcise.

2. ECDYSIS :
Le terme decdysis dsigne la mue des arthropodes, NAT64 permet lIP de muer vers un nouveau protocole. Ecdysis utilise cette fois un live-cd bas sur Fedora qui intgre le NAT64 comme un module du kernel linux. Il permet le support des protocoles : TCP, UDP et ICMP. Ce programme suit les recommandations de lIETF : "NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers". A la diffrence de Tayga, Ecdysis repose sur une technologie Stateful. Stateful car le traducteur garde un souvenir des flux de donnes en cours et peut donc, pour la traduction, tenir compte d'un tat des paquets prcdents. Nous navons pas russi faire fonctionner correctement ces deux solutions utilisant Linux et le NAT64. Ce sont des techniques assez rcentes et sans assez de retour pour pouvoir tre utilises au sein dun rseau dentreprise, pour le moment.

31-32

mars 2012

Intgration du protocole IPv6 une infrastructure IPv4

Conclusion du rapport
Le protocole Ipv6 apporte bien des volutions par rapport son prdcesseur tant au niveau du nombre dadresse disponible quau niveau de loptimisation des dlais et de la simplicit de routage. Des rseaux Ipv6 relis entre eux sont trs rapidement fonctionnels, cependant lintgration de ces derniers une infrastructure Ipv4 ne se fait pas sans avoir tudi les besoins matriels et personnels vis--vis de lajout de tels rseaux. Dans le cas dune migration dipv4 vers Ipv6 dans lentreprise Corellia Corp, lide tait de faire cohabiter les deux protocoles, en ayant la fois des machines sous IPv4 uniquement, et des machines utilisant la double pile. Lentreprise disposant galement dun site en IPv6 hberg en externe, une solution devait tre trouv pour accder ce dernier depuis tous les postes. La migration a galement t applique aux serveurs DHCP et DNS. Lintgration dIPv6 au DHCP sest droul correctement mais aura ncessit de reconfigurer le routeur de manire ce quil laisse le DHCP fournir les adresses IPv6 et les options dtendue. Lajout dentres IPv6 dans le DNS na pas pos de problmes. Cependant des problmes sont survenus lors des tests pour tenter de faire communiquer des htes purement IPv4 avec des htes purement IPv6. Lintrt aurait t de permettre aux postes IPv4 de lentreprise de pouvoir accder au contenu du site web IPv6 de lentreprise Corellia. Malgr les tests ralis avec des protocoles tel que NAT-PT et NAT64 aucuns nont t concluant pour le but recherch. La cohabitation IPV4/IPv6 dans le cadre de la double pile est donc possible et fonctionnelle dans linfrastructure de lentreprise. Pour ce qui est de laccs au site IPV6 par les htes IPv4 une solution temporaire serait daffecter ce site une adresse IPv4 le temps que lentreprise ait le budget pour mettre jour son matriel obsolte. De manire gnrale, la cohabitation ipv4/ipv6 est ncessaire afin de pouvoir accder lensemble des sites internet. La double pile doit alors tre applique au routeur de sortie jusqu' ce que lensemble des rseaux mondiaux ai fait leur transition vers IPv6.

32-32