Tổng quan về các công nghệ chuyển đổi IPv4-IPv6- 123docz.net

5. Kết cấu của đề tài

2.1Tổng quan về các công nghệ chuyển đổi IPv4-IPv6

2.1.1 Tổng quan công nghệ chuyển đổi

Việc thay thế chuyển đổi một giao thức Internet không phải là điều dễ dàng. Địa chỉ IPv6 không thể tức khắc thay thế IPv4 trong thời gian ngắn. Đây phải là quá trình dần dần. Do vậy, trong điều kiện địa chỉ IPv4 đã cạn kiệt nhưng địa chỉ IPv6 lại chưa đủ điều kiện để thay thế hoàn toàn thì cần có những giải pháp để hai thế hệ địa chỉ cùng tồn tại với nhau. Để hai dạng giao thức trên cùng tồn tại song song với nhau thì hai dạng giao thức đó phải có khả năng chuyển đổi lẫn nhau.

2.1.2 Phân loại các công nghệ chuyển đổi IPv4-IPv6

Những công nghệ chuyển đổi được sử dụng phổ biến hiện nay là :

 Dual-stack:

Dual-stack (còn gọi là chồng hai giao thức) là hình thức thực thi TCP/IP bao gồm cả lớp mạng của IPv4 và lớp mạng của IPv6. Cơ chế này đảm bảo rằng mỗi Host/Router được cài cả 2 giao thức IPv4 – IPv6, những ứng dụng nào hỗ trợ Dual- Stack sẽ hoạt động được với cả địa chỉ IPv4 và địa chỉ IPv6. Theo cơ chế này, IPv6 sẽ cùng tồn tại với IPv4 và chúng sẽ dùng chung cơ sở hạ tầng IPv4.

 Công nghệ đường hầm (Tunnel)

Công nghệ đường hầm là một phương pháp sử dụng cơ sở hạ tầng sẵn có của mạng IPv4 để thực hiện các kết nối IPv6 bằng cách sử dụng các thiết bị mạng có khả năng hoạt động Chồng hai giao thức tại hai điểm đầu và cuối nhất định. Các thiết bị này "bọc" gói tin IPv6 trong gói tin có phần đầu IPv4 và truyền tải đi trong mạng IPv4 tại điểm đầu và gỡ bỏ phần đầu IPv4, nhận lại gói tin IPv6 ban đầu tại điểm đích cuối đường truyền IPv4.

Hình 2.2 Công nghệ đường hầm(Tunnel)

 NAT64/46:

Sử dụng phương pháp biên dịch địa chỉ để cho phép các thiết bị chỉ sử dụng IPv6 kết nối với các thiết bị sử dụng IPv4 và ngược lại, sử dụng một kỹ thuật dịch tương tự như NAT cho IPv4.

2.2 Tông quan về giáo thức NAT64/46 và DNS64 trên cisco ASA 5505

Cơ chế NAT64/46 được thực hiện trong một thiết bị, có ít nhất hai interface. Một interface dùng để kết nối đến mạng IPv4, và một interface dùng để kết nối đến mạng IPv6. Chúng ta sẽ cấu hình để các gói tin từ mạng IPv6 đi đến mạng IPv4 sẽ được định tuyến thông qua thiết bị NAT64/46 này.

Đối với Cisco ASA 5505 version 9.0 trở lên nó hộ trợ việc chuyển đổi giao tiếp từ IPv6 sang IPv4 và ngược lại (NAT64/46) và tích hợp với chức năng DNS64 trong cùng một thiết bị vật lý.

Lưu ý: NAT64 và DNS64 chỉ là các chức năng mang tính logic, chúng hoàn toàn có

thể được nằm trên các thiết bị khác nhau hoặc cùng một thiết bị vật lý.

2.2.1 NAT64/46

Khi lưu lượng truy cập đi từ mạng IPv6 sang mạng chỉ sử dụng IPv4, NAT64/46 sẽ chuyển đổi địa chỉ IPv6 sang IPv4 và chuyển lưu lượng truy cập từ IPv4 sang IPv6. Chúng ta, cần xác định hai vùng địa chỉ, một vùng địa chỉ IPv4 để ràng buộc các địa chỉ IPv6 trong mạng IPv4 (NAT64) và một vùng địa chỉ IPv6 để ràng buộc các địa chỉ IPv4 trong mạng IPv6 (NAT46).

Công nghệ NAT64 có thể được chia thành 2 phương thức:

+ Stateless NAT64:

Là một cơ chế biên dịch cho thuật toán ánh xạ địa chỉ IPv6 sang địa chỉ IPv4, và địa chỉ IPv4 sang địa chỉ IPv6. Giống với NAT44, nó không duy trì bất kỳ ràng buộc hay trạng thái phiên nào trong khi thực hiện biên dịch, nó hỗ trợ cả truyền thông bắt đầu từ IPv6 và bắt đầu từ IPv4. Stateless Translation là phương pháp ánh xạ địa chỉ được cấu hình bởi người quản trị hệ thống, thích hợp khi bộ biên dịch NAT64 được sử dụng phía trước máy chủ IPv4 để cho phép nó có thể giao tiếp được với các IPv6 Client ở xa.

+ Stateful NAT64:

Nó là một cơ chế biên dịch stateful cho dịch địa chỉ mạng IPv6 sang địa chỉ IPv4 và địa chỉ IPv4 sang địa chỉ IPv6. Giống với NAT44, nó được gọi là stateful vì nó tạo ra hoặc sửa đổi ràng buộc hay trạng thái phiên trong khi thực hiện biên dịch. Nó hỗ

24 trợ cả truyền thông bắt đầu từ IPv6 hoặc bắt đầu từ IPv4 sử dụng ánh xạ tĩnh hoặc động.

2.2.2 DNS64

DNS64 là một thành phần của phương pháp chuyển đổi IPv6-IPv4. DNS64 sẽ được sử dụng cùng với một cơ chế biên dịch (NAT64) để cho phép người dùng IPv6 có thể giao tiếp bằng tên miền với các máy chủ IPv4, bằng cách tạo ra bản ghi AAAA tổng hợp từ bản ghi A có sẵn.

Tương tự như bản ghi A, bản ghi AAAA cũng cung cấp phân giải tên miền thành địa chỉ IP. Tuy nhiên, bản ghi A chỉ sử dụng được trong mạng IPv4 và bản ghi AAAA cũng chỉ sử dụng được với mạng IPv6.

DNS64 cho phép phân giải địa chỉ từ vùng mạng IPv4 bằng cách tạo ra bản ghi AAAA tổng hợp cho các host, khi các host này không có bản ghi AAAA. Điều này được thực hiện bằng phương pháp cấu hình địa chỉ IPv6 prefix với địa chỉ IPv4 được cung cấp bằng cách lookup bản ghi A. Địa chỉ IPv4 sẽ được nhúng vào 32 bit cuối cùng của địa chỉ IPv6, tạo thành một địa chỉ IPv6 tổng hợp. (adsbygoogle = window.adsbygoogle || []).push({});

2.3 Hoạt động của NAT64/46 và DNS64

2.3.1 Hoạt động của DNS64 trong kết nối IPv6-IPv4

Khi máy IPv6 client muốn truy cập dịch vụ web server sử dụng ipv4 nó sẽ thực hiện gửi dns truy vấn như sau:

Bước 1:

• IPv6 Client sẽ thực hiện gửi truy vấn bản ghi AAAA tên miền lhu.edu.vn đến thành phần DNS64.

Bước 2:

• DNS64 sẽ gửi truy vấn bản ghi A của tên miền lhu.edu.vn đến DNS Authoritative, và sẽ nhận được câu trả lời là tên miền lhu.edu.vn có IP là 118.69.126.40

lhu.edu.vn(A)= 118.69.126.40

• DNS64 sẽ thực hiện tổng hợp bản ghi AAAA từ thông tin bản ghi A nói trên, bằng cách sử dụng phương pháp biên dịch với IPv6 prefix (ở đây sử dụng 201b::/ 96). Sau khi tổng hợp chúng ta sẽ có thông tin IPv6 của lhu.edu.vn:

lhu.edu.vn (AAAA) = 201b::118.69.126.40

• Thông tin này sẽ được gửi lại cho IPv6 Client.

2.3.2 Hoạt động của NAT64/46 trong kết nối IPv6-IPv4

Hình 2.5 Hoạt động của NAT64/46

 Sau khi nhận được thông tin bản ghi tổng hợp IPv6 từ phía DNS64, IPv6 Client sẽ thực hiện gửi một kết nối TCP SYN đến 201b::118.69.126.40, trên cổng 80.  Gói tin được định tuyến đến thiết bị NAT64/46 để tạo ra một phiên mới và gán

một liên kết ràng buộc. Chúng sẽ thay đổi địa chỉ nguồn của những liên kết ràng buộc được tạo ra (sử dụng NAT64), và chuyển đổi địa chỉ đích IPv6 thành

26 địa chỉ IPv4 bằng cách loại bỏ đi prefix (sử dụng NAT46). Khi nhận được trả lời SYN / ACK, NAT64/46 sẽ thực hiện hoạt động ở chế độ ngược (reverse) và chuyển tiếp các gói tin IPv6 cho Client.

2.4 Hoạt động của NAT64/46 và DNS64

Khi máy client sử dụng IPv6 muốn truy cập web lhu.edu.vn trên Internet ipv4 nó sẽ thực hiện 3 bước như sau:

Hình 2.6 Hoạt động của NAT64/46 và DNS64

1. IPv6 Client gửi yêu cầu tìm kiếm thông tin tên miền www.lhu.edu.vn tới DNS Server (201b::808:808), các NAT rule thực hiện biên dịch cho đỉa chỉ nguồn và đích trong DNS yêu cầu như sau:

 2001:db8:acad:1:2 sang một cổng duy nhất trên 10.10.10.2 (NAT64 interface PAT rule.)

 201b::808:808 sang 8.8.8.8 (NAT46 rule. 808:808 là IPv6 tương đương 8.8.8.8)

2. Máy chủ DNS trả lời bằng bản ghi A cho biết www.lhu.edu.vn là 118.69.126.40. NAT46 rule với DNS64, chuyển bản ghi A sang bản ghi AAAA tương đương với IPv6 và dịch 118.69.126.40 thành 201b::7645:7e28 trong bản ghi AAAA sử dụng Prefix 201b::/96. Ngoài ra, địa chỉ nguồn và đích trong phản hồi DNS không được dịch:

 8.8.8.8 sang 201b::808:808

 10.10.10.2 sang 2001:db8:acad:1::2

3. Sau khi nhận được thông tin bản ghi tổng hợp IPv6 từ ASA, IPv6 Client sẽ thực hiện gửi một kết nối TCP SYN đến 201b::ac10:10a trên cổng 80 và đưa ra yêu cầu HTTP tới lhu.edu.vn. Nguồn và đích của yêu cầu HTTP được dịch:

 2001:db8:1::2 sang một cổng duy nhất trên 10.10.10.2 (NAT64 interface PAT rule).

28 (adsbygoogle = window.adsbygoogle || []).push({});

CHƯƠNG 3: XÂY DỰNG CÁC DỊCH VỤ TRÊN HỆ THỐNG MẠNG LAN SỬ DỤNG IPV6 KẾT NỐI VỚI INTERNET ĐANG SỬ DỤNG IPV4 3.1 Xây dựng hệ thống mạng

3.1.1 Sơ đồ logic hệ thống mạng

Hình 3.1 Sơ đồ logic hệ thống mạng

3.1.2 Giới thiệu về hệ thống mạng trên

Theo sơ đồ mạng trên hệ thống mạng chia thành 2 mạng: mạng IPv4 và IPv6, đặt một Cisco ASA 5505 (IPv6-ASA) ở giữa để làm nhiệm vụ kết nối và chuyển đổi giao tiếp từ mạng IPv4 sang mạng IPv6 và ngược lại:

 Mạng IPv4

Trong vùng mạng này bao gồm:

+ DSL Modem: sử dụng để kết nối Internet IPv4 thông qua dây điện thoại, kết nối giữa IPv4 private và IPv4 public address.

+ IPv4-FW: sử dụng để bảo mật hệ thống mạng bên trong và NAT các mạng

inside sử dụng IPv4 được kết nối với Internet.

+ SWL3: có một hệ thống mạng LAN (IPv4 LAN) thuộc vào vlan 50 với dải

địa chỉ là 192.168.10.0/24, kết nối giữa IPv4-FW và IPv6-FW.

 Mạng IPv6

Trong vùng mạng này bao gồm:

+ IPv6-FW: phân biệt thành 3 vùng kết nối với IPv6-FW, đó là vùng thuộc về

inside với dải địa chỉ IPv6 là 2001:123::/64 kết nối user trên IPv6-R và vùng DMZ bao gồm có web server thuộc dải IPv6 là 2001:db8:1:2::/64 và vùng outside tích hợp với mạng IPv4 với dải IPv4 là 10.10.10.0/24.

+ IPv6-R: sử dụng để kết nối IPv6-FW, IPv6 LAN và đóng vai tròStateless DHCPv6 server.

+ IPv6-SW: kết nối các IPv6 client trong hệ thống mạng IPv6 LAN. 3.2 Cấu hình trên các thiết bị

 Cấu hình NAT trên IPv4-FW

Sử dụng PAT Cho phép tất cả các lớp mạng thuộc vào vùng inside ra ngoài kết nối Internet.

IPv4-FW(config)#object network ipv4_inside

IPv4-FW(config-network-object)#subnet 0.0.0.0 0.0.0.0

IPv4-FW(config-network-object)#nat (inside,outside) dynamic interface  Cấu hình định tuyến trên IPv4-FW

Cấu hình định tuyến mặc định (default route) chỉ đến DSL modem trên cổng outside.

IPv4-FW(config)#route outside 0.0.0.0 0.0.0.0 172.16.10.1 Cấu hình định tuyến OSPF cho mạng bên trong.

IPv4-FW(config)#router ospf 1

IPv4-FW(config-router)#network 10.20.20.0 255.255.255.0 area 0 IPv4-FW(config-router)#default-information originate

 Cấu hình định tuyến OSPF trên SWL3

SWL3(config)#router ospf 1 (adsbygoogle = window.adsbygoogle || []).push({});

SWL3(config-router)#network 10.10.10.0 0.0.0.255 area 0 SWL3(config-router)#network 10.20.20.0 0.0.0.255 area 0

30 SWL3(config-router)#network 192.168.10.0 0.0.0.255 area 0

 Cấu hình trên IPv6-FW

+ Cấu hình interface inside

IPv6-FW(config)#interface Vlan 10

IPv6-FW(config-if)#description Connect to IPv6 Network IPv6-FW(config-if)#nameif inside

IPv6-FW(config-if)#security-level 100

IPv6-FW(config-if)#ipv6 address 2001:db8:acad:1::1/64 IPv6-FW(config)#interface Ethernet0/1

IPv6-FW(config-if)#switchport access vlan 10

+ Cấu hình interface outside

IPv6-FW(config)#interface Vlan 20

IPv6-FW(config-if)#description Connect to IPv4 Network IPv6-FW(config-if)#nameif outside

IPv6-FW(config-if)#security-level 0

IPv6-FW(config-if)#ip address 10.10.10.3 255.255.255.0 IPv6-FW(config)#interface Ethernet0/2

IPv6-FW(config-if)#switchport access vlan 20

+ Cấu hình interface DMZ

IPv6-FW(config)#interface Vlan 30

IPv6-FW(config-if)#description Connect to IPv6 DMZ Web Server IPv6-FW(config-if)#no forward interface Vlan10

IPv6-FW(config-if)#nameif DMZ IPv6-FW(config-if)#security-level 50

IPv6-FW(config-if)#ipv6 address 2001:db8:1:2::1/64 IPv6-FW(config)#interface Ethernet0/3

IPv6-FW(config-if)#switchport access vlan 30

+ Cấu hình định tuyến

IPv6-FW(config)# route outside 0.0.0.0 0.0.0.0 10.10.10.1

IPv6-FW(config)# ipv6 route inside 2001:db8:acad:1::/64 2001:123::2  Cấu hình định tuyến trên IPv6-R

3.3 Cấu hình để các PC trong IPv6 LAN (2001:db8:acad:1::/64) kết nối Internet IPv4 Internet IPv4

Để thực hiện công việc này, chúng ta phải NAT trên IPv6-FW (1) để ánh xạ IPv6 sang IPv4 và ngược lại (sử dụng NAT64/46 và DNS64), cần làm hai bước như

Hình 3.2 Sơ đồ logic IPv6 LAN kết nối Internet IPv4

Bước 1: Tạo ra một vùng địa chỉ IPv6 Prefix / 96 sử dụng để ánh xạ tất cả các địa (adsbygoogle = window.adsbygoogle || []).push({});

chỉ IPv4 sang địa chỉ IPv6 và thêm quy tắc NAT46.

IPv6-FW(config)#object network IPv6_outside_mapped IPv6-FW(config-network-object)# subnet 201b::/96 IPv6-FW(config)#object network IPv4_outside_network IPv6-FW(config-network-object)#subnet 0.0.0.0 0.0.0.0

IPv6-FW(config-network-object)#nat(outside,inside) static IPv6_outside_mapped dns Với quy tắc này mọi địa chỉ IPv4 trên mạng outside đến cổng inside được dịch sang một địa chỉ trên mạng 201b::/96 sử dụng biên pháp nhúng đỉa chỉ IPv4, Ngoài ra,

32 các DNS phản hồi được chuyển đổi từ bản ghi A (IPv4) sang AAAA (IPv6) sử dụng DNS64 đã bật trong cuối dòng, và các địa chỉ được chuyển đổi từ IPv4 sang IPv6.

Bước 2: Tạo một network object cho mạng IPv6 bên trong và thêm quy tắc NAT64.

IPv6-FW(config)#object network IPv6_inside_network

IPv6-FW(config-network-object)# subnet 2001:db8:acad:1::/64

IPv6-FW(config-network-object)# nat (inside,outside) dynamic interface

Với quý tắc này, mọi lưu lượng truy cập từ mạng 2001:db8:acad:1::/64 trên cổng inside đến cổng outside sẽ được biên dịch bằng NAT64 PAT sử dụng đỉa chỉ IPv4 của cổng outside.

 KIỂM TRA KẾT QUẢ

Tất cả các PC trong mạng IPv6 LAN sử dụng DNS của google 8.8.8.8 bằng cách chuyển đổi IPv4 sang IPv6 (http://www.nish.com/routing/convert-ipv4-into-ipv6/) và nhúng vào IPv6 Prefix /96 đã cấu hình ở bước 1.

Ví dụ: 201b::808:808, 808:808 là IPv6, tương đương bằng 8.8.8.8

Sử dụng PC04 để kiểm tra kết nối Internet IPv4 bằng cách sử dụng ping và nslookup, các PC trong mạng IPv6-LAN sử dụng Stateless DHCPv6 đã cấu hình trên IPv6-R.

+ Sử dụng dnslookup để phân giải tên miền lhu.edu.vn và facebook.com thành địa chỉ.

Hình 3.4 Kiểm tra IPv6 LAN kết nối Internet IPv4 bắng nslookup

Theo hình trên chúng ta sẽ thấy địa chỉ của lhu.edu.vn trong mạng IPv6 LAN được phân giải thành 201b::7645:7e28 bằng cách nhúng địa chỉ 118.69.126.40 vào 32bit cuối của IPv6 prefix 201b::/96 (7645:7e28 tương đương 118.69.126.40).

+ Sử dụng ping 201b::7645:7e28=> 118.69.126.40 => lhu.edu.vn

3.4 Cấu hình để Internet IPv4 và mạng IPv4 LAN truy cập được web server (2001:db8:1:2::5) (2001:db8:1:2::5)

Để các PC ở ngoài Internet IPv4 và IPv4 LAN truy cập được web server trong vùng DMZ, cần phải NAT trên 3 thiết bị như sau:

Hình 3.6 Sơ đồ logic từ Internet và IPv4 LAN truy cập web server

(1) Cấu hình NAT64/46 và DNS64 trên IPv6-FW

+ NAT46

Tạo ra một vùng địa chỉ IPv6 Prefix /96 sử dụng để ánh xạ tất cả các địa chỉ IPv4 sang địa chỉ IPv6 trong vùng DMZ và thêm các quy tắc NAT46.

IPv6-FW(config)#object network IPv4_outside_network_to_DMZ IPv6-FW(config-network-object)#subnet 0.0.0.0 0.0.0.0

+ NAT64

Xác định địa chỉ IPv6 của web server để ánh xạ với 10.10.10.10 trong mạng IPv4, sử dụng ánh xạ tĩnh, nó hỗ trợ truyền thông bắt đầu cả hai hướng từ IPv6 hoặc bắt đầu từ IPv4.

IPv6-FW(config)#object network IPv6_Web_server IPv6-FW(config-network-object)#host 2001:db8:1:2::5 (adsbygoogle = window.adsbygoogle || []).push({});

IPv6-FW(config-network-object)#nat (DMZ,outside) static 10.10.10.10 dns

Với quý tắc này nó cho phép bên ngoại sử dụng IPv4 có thể truy cập dịch vụ web sử dụng IPv6 với địa chỉ đích trong mạng IPv4 là 10.10.10.10 nó sẽ ánh xạ sang địa chỉ đích trong mạng IPv6 là 2001:db8:1:2::5 khi gói tin trả lời sẽ thực hiện hoạt động ở chế độ ngược (reverse).

+ Tạo access-list để cho phép mạng bến ngoại truy cập web server trong DMZ

IPv6-FW(config)#access-list outside_to_IPv6_Web_server extended permit tcp any host 2001:db8:1:2::5 eq www

IPv6-FW(config)#access-group outside_to_IPv6_Web_server in interface outside

(2) Cấu hình static NAT44 trên IPv4-FW để ánh xạ 10.10.10.10 với 172.16.10.10

IPv4-FW(config)#object network IPv6_Web_server IPv4-FW(config-network-object)#host 10.10.10.10

IPv4-FW(config-network-object)#nat (inside,outside) static 172.16.10.10

+ Tạo access-list để cho phép mạng bến ngoại truy cập web server trong DMZ

IPv4-FW(config)#access-list outside_to_IPv6_Web_server extended permit tcp any host 10.10.10.10 eq www

IPv4-FW(config)#access-group outside_to_IPv6_Web_server in interface outside

(3) Cấu hình NAT44 trên DSL Modem (NAT Port)

36 NAT port sẽ ánh xạ địa chỉ 172.16.10.10 với một địa chỉ public trên port 80, khi PC từ bên ngoài Internet muốn truy cập web server (2001:db8:1:2::5), nó sẽ truy cập vào địa chỉ public của DSL Modem trên port 80 và ánh xạ sang:

172.16.10.10 => 10.10.10.10 =>2001:db8:1:2::5

3.5 Xây dựng dịch vụ web

 Cấu hình địa chỉ cho web server

Hình 3.8 Cấu hình địa chỉ IPv6 tĩnh cho web server

 Cấu hình cho dịch vụ web chạy bằng tên miền (ipv6web.ddns.net)

 Kiểm tra web server chạy được hay không