5. Kết cấu của đề tài
2.3.2 Hoạt động của NAT64/46 trong kết nối IPv6-IPv4
Hình 2.5 Hoạt động của NAT64/46
Sau khi nhận được thông tin bản ghi tổng hợp IPv6 từ phía DNS64, IPv6 Client sẽ thực hiện gửi một kết nối TCP SYN đến 201b::118.69.126.40, trên cổng 80. Gói tin được định tuyến đến thiết bị NAT64/46 để tạo ra một phiên mới và gán
một liên kết ràng buộc. Chúng sẽ thay đổi địa chỉ nguồn của những liên kết ràng buộc được tạo ra (sử dụng NAT64), và chuyển đổi địa chỉ đích IPv6 thành
26 địa chỉ IPv4 bằng cách loại bỏ đi prefix (sử dụng NAT46). Khi nhận được trả lời SYN / ACK, NAT64/46 sẽ thực hiện hoạt động ở chế độ ngược (reverse) và chuyển tiếp các gói tin IPv6 cho Client.
2.4 Hoạt động của NAT64/46 và DNS64
Khi máy client sử dụng IPv6 muốn truy cập web lhu.edu.vn trên Internet ipv4 nó sẽ thực hiện 3 bước như sau:
Hình 2.6 Hoạt động của NAT64/46 và DNS64
1. IPv6 Client gửi yêu cầu tìm kiếm thông tin tên miền www.lhu.edu.vn tới DNS Server (201b::808:808), các NAT rule thực hiện biên dịch cho đỉa chỉ nguồn và đích trong DNS yêu cầu như sau:
27
2001:db8:acad:1:2 sang một cổng duy nhất trên 10.10.10.2 (NAT64 interface PAT rule.)
201b::808:808 sang 8.8.8.8 (NAT46 rule. 808:808 là IPv6 tương đương 8.8.8.8)
2. Máy chủ DNS trả lời bằng bản ghi A cho biết www.lhu.edu.vn là 118.69.126.40. NAT46 rule với DNS64, chuyển bản ghi A sang bản ghi AAAA tương đương với IPv6 và dịch 118.69.126.40 thành 201b::7645:7e28 trong bản ghi AAAA sử dụng Prefix 201b::/96. Ngoài ra, địa chỉ nguồn và đích trong phản hồi DNS không được dịch:
8.8.8.8 sang 201b::808:808
10.10.10.2 sang 2001:db8:acad:1::2
3. Sau khi nhận được thông tin bản ghi tổng hợp IPv6 từ ASA, IPv6 Client sẽ thực hiện gửi một kết nối TCP SYN đến 201b::ac10:10a trên cổng 80 và đưa ra yêu cầu HTTP tới lhu.edu.vn. Nguồn và đích của yêu cầu HTTP được dịch:
2001:db8:1::2 sang một cổng duy nhất trên 10.10.10.2 (NAT64 interface PAT rule).
28
CHƯƠNG 3: XÂY DỰNG CÁC DỊCH VỤ TRÊN HỆ THỐNG MẠNG LAN SỬ DỤNG IPV6 KẾT NỐI VỚI INTERNET ĐANG SỬ DỤNG IPV4 3.1 Xây dựng hệ thống mạng
3.1.1 Sơ đồ logic hệ thống mạng
Hình 3.1 Sơ đồ logic hệ thống mạng
3.1.2 Giới thiệu về hệ thống mạng trên
Theo sơ đồ mạng trên hệ thống mạng chia thành 2 mạng: mạng IPv4 và IPv6, đặt một Cisco ASA 5505 (IPv6-ASA) ở giữa để làm nhiệm vụ kết nối và chuyển đổi giao tiếp từ mạng IPv4 sang mạng IPv6 và ngược lại:
Mạng IPv4
Trong vùng mạng này bao gồm:
+ DSL Modem: sử dụng để kết nối Internet IPv4 thông qua dây điện thoại, kết nối giữa IPv4 private và IPv4 public address.
29
+ IPv4-FW: sử dụng để bảo mật hệ thống mạng bên trong và NAT các mạng
inside sử dụng IPv4 được kết nối với Internet.
+ SWL3: có một hệ thống mạng LAN (IPv4 LAN) thuộc vào vlan 50 với dải
địa chỉ là 192.168.10.0/24, kết nối giữa IPv4-FW và IPv6-FW.
Mạng IPv6
Trong vùng mạng này bao gồm:
+ IPv6-FW: phân biệt thành 3 vùng kết nối với IPv6-FW, đó là vùng thuộc về
inside với dải địa chỉ IPv6 là 2001:123::/64 kết nối user trên IPv6-R và vùng DMZ bao gồm có web server thuộc dải IPv6 là 2001:db8:1:2::/64 và vùng outside tích hợp với mạng IPv4 với dải IPv4 là 10.10.10.0/24.
+ IPv6-R: sử dụng để kết nối IPv6-FW, IPv6 LAN và đóng vai tròStateless DHCPv6 server.
+ IPv6-SW: kết nối các IPv6 client trong hệ thống mạng IPv6 LAN. 3.2 Cấu hình trên các thiết bị
Cấu hình NAT trên IPv4-FW
Sử dụng PAT Cho phép tất cả các lớp mạng thuộc vào vùng inside ra ngoài kết nối Internet.
IPv4-FW(config)#object network ipv4_inside
IPv4-FW(config-network-object)#subnet 0.0.0.0 0.0.0.0
IPv4-FW(config-network-object)#nat (inside,outside) dynamic interface Cấu hình định tuyến trên IPv4-FW
Cấu hình định tuyến mặc định (default route) chỉ đến DSL modem trên cổng outside.
IPv4-FW(config)#route outside 0.0.0.0 0.0.0.0 172.16.10.1 Cấu hình định tuyến OSPF cho mạng bên trong.
IPv4-FW(config)#router ospf 1
IPv4-FW(config-router)#network 10.20.20.0 255.255.255.0 area 0 IPv4-FW(config-router)#default-information originate
Cấu hình định tuyến OSPF trên SWL3
SWL3(config)#router ospf 1
SWL3(config-router)#network 10.10.10.0 0.0.0.255 area 0 SWL3(config-router)#network 10.20.20.0 0.0.0.255 area 0
30 SWL3(config-router)#network 192.168.10.0 0.0.0.255 area 0
Cấu hình trên IPv6-FW
+ Cấu hình interface inside
IPv6-FW(config)#interface Vlan 10
IPv6-FW(config-if)#description Connect to IPv6 Network IPv6-FW(config-if)#nameif inside
IPv6-FW(config-if)#security-level 100
IPv6-FW(config-if)#ipv6 address 2001:db8:acad:1::1/64 IPv6-FW(config)#interface Ethernet0/1
IPv6-FW(config-if)#switchport access vlan 10
+ Cấu hình interface outside
IPv6-FW(config)#interface Vlan 20
IPv6-FW(config-if)#description Connect to IPv4 Network IPv6-FW(config-if)#nameif outside
IPv6-FW(config-if)#security-level 0
IPv6-FW(config-if)#ip address 10.10.10.3 255.255.255.0 IPv6-FW(config)#interface Ethernet0/2
IPv6-FW(config-if)#switchport access vlan 20
+ Cấu hình interface DMZ
IPv6-FW(config)#interface Vlan 30
IPv6-FW(config-if)#description Connect to IPv6 DMZ Web Server IPv6-FW(config-if)#no forward interface Vlan10
IPv6-FW(config-if)#nameif DMZ IPv6-FW(config-if)#security-level 50
IPv6-FW(config-if)#ipv6 address 2001:db8:1:2::1/64 IPv6-FW(config)#interface Ethernet0/3
IPv6-FW(config-if)#switchport access vlan 30
+ Cấu hình định tuyến
IPv6-FW(config)# route outside 0.0.0.0 0.0.0.0 10.10.10.1
IPv6-FW(config)# ipv6 route inside 2001:db8:acad:1::/64 2001:123::2 Cấu hình định tuyến trên IPv6-R
31
3.3 Cấu hình để các PC trong IPv6 LAN (2001:db8:acad:1::/64) kết nối Internet IPv4 Internet IPv4
Để thực hiện công việc này, chúng ta phải NAT trên IPv6-FW (1) để ánh xạ IPv6 sang IPv4 và ngược lại (sử dụng NAT64/46 và DNS64), cần làm hai bước như
sau:
Hình 3.2 Sơ đồ logic IPv6 LAN kết nối Internet IPv4
Bước 1: Tạo ra một vùng địa chỉ IPv6 Prefix / 96 sử dụng để ánh xạ tất cả các địa
chỉ IPv4 sang địa chỉ IPv6 và thêm quy tắc NAT46.
IPv6-FW(config)#object network IPv6_outside_mapped IPv6-FW(config-network-object)# subnet 201b::/96 IPv6-FW(config)#object network IPv4_outside_network IPv6-FW(config-network-object)#subnet 0.0.0.0 0.0.0.0
IPv6-FW(config-network-object)#nat(outside,inside) static IPv6_outside_mapped dns Với quy tắc này mọi địa chỉ IPv4 trên mạng outside đến cổng inside được dịch sang một địa chỉ trên mạng 201b::/96 sử dụng biên pháp nhúng đỉa chỉ IPv4, Ngoài ra,
32 các DNS phản hồi được chuyển đổi từ bản ghi A (IPv4) sang AAAA (IPv6) sử dụng DNS64 đã bật trong cuối dòng, và các địa chỉ được chuyển đổi từ IPv4 sang IPv6.
Bước 2: Tạo một network object cho mạng IPv6 bên trong và thêm quy tắc NAT64.
IPv6-FW(config)#object network IPv6_inside_network
IPv6-FW(config-network-object)# subnet 2001:db8:acad:1::/64
IPv6-FW(config-network-object)# nat (inside,outside) dynamic interface
Với quý tắc này, mọi lưu lượng truy cập từ mạng 2001:db8:acad:1::/64 trên cổng inside đến cổng outside sẽ được biên dịch bằng NAT64 PAT sử dụng đỉa chỉ IPv4 của cổng outside.
KIỂM TRA KẾT QUẢ
Tất cả các PC trong mạng IPv6 LAN sử dụng DNS của google 8.8.8.8 bằng cách chuyển đổi IPv4 sang IPv6 (http://www.nish.com/routing/convert-ipv4-into-ipv6/) và nhúng vào IPv6 Prefix /96 đã cấu hình ở bước 1.
Ví dụ: 201b::808:808, 808:808 là IPv6, tương đương bằng 8.8.8.8
Sử dụng PC04 để kiểm tra kết nối Internet IPv4 bằng cách sử dụng ping và nslookup, các PC trong mạng IPv6-LAN sử dụng Stateless DHCPv6 đã cấu hình trên IPv6-R.
33
+ Sử dụng dnslookup để phân giải tên miền lhu.edu.vn và facebook.com thành địa chỉ.
Hình 3.4 Kiểm tra IPv6 LAN kết nối Internet IPv4 bắng nslookup
Theo hình trên chúng ta sẽ thấy địa chỉ của lhu.edu.vn trong mạng IPv6 LAN được phân giải thành 201b::7645:7e28 bằng cách nhúng địa chỉ 118.69.126.40 vào 32bit cuối của IPv6 prefix 201b::/96 (7645:7e28 tương đương 118.69.126.40).
+ Sử dụng ping 201b::7645:7e28=> 118.69.126.40 => lhu.edu.vn
34
3.4 Cấu hình để Internet IPv4 và mạng IPv4 LAN truy cập được web server (2001:db8:1:2::5) (2001:db8:1:2::5)
Để các PC ở ngoài Internet IPv4 và IPv4 LAN truy cập được web server trong vùng DMZ, cần phải NAT trên 3 thiết bị như sau:
Hình 3.6 Sơ đồ logic từ Internet và IPv4 LAN truy cập web server
(1) Cấu hình NAT64/46 và DNS64 trên IPv6-FW
+ NAT46
Tạo ra một vùng địa chỉ IPv6 Prefix /96 sử dụng để ánh xạ tất cả các địa chỉ IPv4 sang địa chỉ IPv6 trong vùng DMZ và thêm các quy tắc NAT46.
IPv6-FW(config)#object network IPv4_outside_network_to_DMZ IPv6-FW(config-network-object)#subnet 0.0.0.0 0.0.0.0
35
+ NAT64
Xác định địa chỉ IPv6 của web server để ánh xạ với 10.10.10.10 trong mạng IPv4, sử dụng ánh xạ tĩnh, nó hỗ trợ truyền thông bắt đầu cả hai hướng từ IPv6 hoặc bắt đầu từ IPv4.
IPv6-FW(config)#object network IPv6_Web_server IPv6-FW(config-network-object)#host 2001:db8:1:2::5
IPv6-FW(config-network-object)#nat (DMZ,outside) static 10.10.10.10 dns
Với quý tắc này nó cho phép bên ngoại sử dụng IPv4 có thể truy cập dịch vụ web sử dụng IPv6 với địa chỉ đích trong mạng IPv4 là 10.10.10.10 nó sẽ ánh xạ sang địa chỉ đích trong mạng IPv6 là 2001:db8:1:2::5 khi gói tin trả lời sẽ thực hiện hoạt động ở chế độ ngược (reverse).
+ Tạo access-list để cho phép mạng bến ngoại truy cập web server trong DMZ
IPv6-FW(config)#access-list outside_to_IPv6_Web_server extended permit tcp any host 2001:db8:1:2::5 eq www
IPv6-FW(config)#access-group outside_to_IPv6_Web_server in interface outside
(2) Cấu hình static NAT44 trên IPv4-FW để ánh xạ 10.10.10.10 với 172.16.10.10
IPv4-FW(config)#object network IPv6_Web_server IPv4-FW(config-network-object)#host 10.10.10.10
IPv4-FW(config-network-object)#nat (inside,outside) static 172.16.10.10
+ Tạo access-list để cho phép mạng bến ngoại truy cập web server trong DMZ
IPv4-FW(config)#access-list outside_to_IPv6_Web_server extended permit tcp any host 10.10.10.10 eq www
IPv4-FW(config)#access-group outside_to_IPv6_Web_server in interface outside
(3) Cấu hình NAT44 trên DSL Modem (NAT Port)
36 NAT port sẽ ánh xạ địa chỉ 172.16.10.10 với một địa chỉ public trên port 80, khi PC từ bên ngoài Internet muốn truy cập web server (2001:db8:1:2::5), nó sẽ truy cập vào địa chỉ public của DSL Modem trên port 80 và ánh xạ sang:
172.16.10.10 => 10.10.10.10 =>2001:db8:1:2::5
3.5 Xây dựng dịch vụ web
Cấu hình địa chỉ cho web server
Hình 3.8 Cấu hình địa chỉ IPv6 tĩnh cho web server
Cấu hình cho dịch vụ web chạy bằng tên miền (ipv6web.ddns.net)
37
Kiểm tra web server chạy được hay không
38
KIỂM TRA KẾT QUẢ
Sử dụng một PC ở ngoài Internet IPv4 với địa chỉ IPv4 public là (113.161.144.100) để kiểm tra kết nối web server (2001:db8:1:2::5) và sử dụng wireshark để chụp gói tin trên web server.
+ PC ở ngoài Internet IPv4
Hình 3.11 Sử dụng PC ở ngoài Internet IPv4 truy cập web server sử dụng IPv6 Theo hình trên (3.11) PC ở ngoài Internet có thể truy cập web server
(2001:db8:1:2::5)
+ Trên web server (2001:db8:1:2::5)
Trong hình (3.12) sẽ thấy các kết nối từ PC ở ngoài Internet IPv4 có địa chỉ IPv4 public (113.161.144.100) kêt nối với web server sử dụng IPv6 (2001:db8:1:2::5). (2) Trong wireshark trên web server chúng ta sẽ thấy TCP (SYN) với địa chỉ nguồn là 201b::71a1:9064 tương đương với IPv4 là 113.161.144.100 và địa chỉ đích là 2001:db8:1:2::5 (web server).
(6) Web server sẽ gửi TCP (SYN,ACK) với địa nguồn chính là địa chỉ của nó (2001:db8:1:2::5) và địa chỉ đích là 201b::71a1:9064 => 113.161.144.100
39 Hình 3.12 Sử dụng wireshark chụp gói tin trên web server
3.6 Kết quả đạt được
+ Qua bài lab thử nghiệm trên cấu hình cho thấy 2 mạng IPv6 và IPv4 có thể giao tiếp với nhau qua bộ biên dịch (Cisco ASA 5505) sử dụng công nghệ NAT64/46 và DNS64.
+ Nhờ Cisco ASA 5505 mà việc trao đổi giữa 2 mạng diễn ra dễ dàng. từ đó áp dụng vào thực tiễn, khi IPv4 đang cạn kiện, IPv6 đang dần được triển khai,áp dụng các phương thức trên giúp chúng ta có thể dễ dàng liên hệ với nhau giữa 2 hệ thống mạng IPv4 và IPv6 mà không làm phá vỡ cấu trúc Internet cũng như không làm gián đoạn hoạt động của mạng Internet.
40
KẾT LUẬN
Không gian địa chỉ là một vấn đề nóng bỏng của toàn thế giới nói chung và của Việt Nam ta nói riêng. Khi chuyển sang sử dụng IPv6 thì ta có thể dễ dàng và đơn giản hơn trong việc triển khai địa chỉ cho các cơ quan, tổ chức. Bên cạnh đó, các thiết bị khi hoạt động trên nền IPv6 có thể dễ dàng thay đổi vị trí mà không gây trở ngại lớn cho người quản trị. Tuy nhiên, để dạng địa chỉ này hoạt động tốt thì thông thường các thiết bị phải được hổ trợ cả hai giao thức IPv4 và IPv6. Mà điều này sẽ là trở ngại lớn trong phần mềm cũng như phần cứng của thiết bị về mặt kinh tế cũng như kỹ thuật.
Trên thực tế tại VN, các doanh nghiệp cung cấp dịch vị Internet (ISP) chưa nhận thấy được sự cần thiết cần phải sử dụng loại địa chỉ này vì nhiều nguyên nhân khác nhau. Song cho đến thời điểm này nước VN cũng đã có được những bước đi ban đầu để có thể triển khai dạng địa chỉ này như: đã có những đề tài cấp nhà nước nghiên cứu về IPv6; các nhà cung cấp dịch vụ viễn thông như Viettel, Mobiphone, EVN Telecome…cũng đã đưa cán bộ của mình đi tập huấn kỹ thuật; Hiện nay VNNIC đã triển khai chính sách hỗ trợ cấp phát miễn phí IPv6 cho mọi thành viên đã được cấp IPv4.
HƯỚNG PHÁT TRIỂN CỦA ĐỀ TÀI
Việc nghiên cứu và triển khai địa chỉ IPv6 là cần thiết để có định hướng, lập kế hoạch phát triển và triển khai ứng dụng các công nghệ mới vào mạng viễn thông Việt Nam. Việc triển khai dạng địa chỉ này cần phải thực hiện qua nhiều giai đoạn và phụ thuộc vào yêu cầu thực tại cũng như các chuẩn mà thế giới đưa ra để ứng dụng. Do đó, nội dung của đồ án này cần được tiếp tục nghiên cứu, mở rộng.
TÀI LIỆU THAM KHẢO
TÀI LIỆU INTERNET
[1]. Trung tâm internet Việt Nam-VINNIC, Giới thiệu về IPv6.
https://www.vnnic.vn/ipv6/congnghe/gi%E1%BA%A3i-ph%C3%A1p- nat64dns64?lang=en
[2]. NAT64/46: Translating IPv6 Addresses to IPv4
https://www.cisco.colm/c/en/us/td/docs/security/asa/asa96/configuration/firewall/asa- 96-firewall-config/nat-reference.html
http://www.labminutes.com/sec0104_asa_9_nat46_nat64_twice_nat_1
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/enterprise-ipv6- solution/white_paper_c11-676278.html
[3] CLI Book 2: Cisco ASA Series Firewall CLI Configuration Guide (NAT64/46).
https://www.cisco.com/c/en/us/td/docs/security/asa/asa96/configuration/firewall/asa- 96-firewall-config/nat-