Triển khai các đường hầm ISATAP

Một phần của tài liệu Nghiên cứu triển khai mô hình mạng ứng dụng IP version 6 (Trang 108)

Giao thức đánh địa chỉ đường hầm tự động trong site (ISATAP) được thiết kế để cung cấp khả năng kết nối IPv6 cho các nút hai ngăn xếp trên mạng dựa trên IPv4.

Chức năng chính và các thành phần của ISATAP được trình bày dưới đây:

Tự động tạo đƣờng hầm: Việc đóng gói các gói tin IPv6 trong IPv4 được thực hiện giữa các host ISATAP hoặc giữa một host ISATAP và một router ISATAP. Đường hầm được tự động tạo ra, có nghĩa là không cần phải gán các cấu hình bằng tay trên các host khi ISATAP được cho phép. Tuy nhiên, đối với đường hầm host-to- router ISATAP, host ISATAP ban đầu phải tìm địa chỉ IPv4 của router ISATAP từ danh sách router có khả năng.

Khuôn dạng địa chỉ ISATAP: Địa chỉ ISATAP được gán cho các host ISATAP và các router ISATAP được tạo ra bằng cách ghép tiền tố IPv6 unicast toàn cầu dành cho hoạt động ISATAP và khuôn dạng đặc biệt của interface ID.

Hình 5.17 trình bày khuôn dạng của các địa chỉ ISATAP.

Hình 5.17 – Khuôn dạng của địa chỉ ISATAP

Tiền tố: Đại diện cho 64 bit cao của địa chỉ IPv6. Một địa chỉ ISATAP được cho phép trên host ISATAP sử dụng tiền tố link-local (FE80::/10). Một tiền tố toàn cầu hoặc một tiền tố site-local phải được gán cho hoạt động ISATAP trong một site. Tiền tố /64 được nhận bởi các host ISATAP từ các bản tin quảng bá router gửi bởi các router ISATAP thông qua các đường hầm ISATAP được thiết lập trên IPv4.

Nhận dạng giao diện: Đại diện 64 bit thấp của địa chỉ IPv6 được gán cho các host ISATAP. Giống như cơ chế 6to4, ISATAP nhúng địa chỉ IPv4 vào trong các địa chỉ IPv6 ISATAP. Trường nhận dạng giao diện được tạo ra bằng việc gắn thêm 32 bit của địa chỉ IPv4 với giá trị 32 bit cao hơn 0000:5EFE, mà được dành riêng bởi IANA cho hoạt động ISATAP. Bởi vì hoạt động ISATAP trong phạm vi một site, các địa chỉ IPv4 được sử dụng bởi các host và các router ISATAP có thể là địa chỉ riêng hoặc địa chỉ toàn cầu.

Như minh họa trong hình 5.18, host ISATAP trên mạng IPv4 có địa chỉ IPv4 206.123.20.100 sử dụng địa chỉ link-local fe80::5efe:ce7b:1464. Địa chỉ link-local được dựa trên khuôn dạng ISATAP. Host ISATAP A cũng có địa chỉ IPv6 unicast toàn cầu 3ffe:b00:ffff:2:5efe:ce7b:1464 được gán. 64 bít thấp của địa chỉ toàn cầu này giống như của địa chỉ link-local. Host A nhận được tiền tố ISATAP 3ffe:b00:ffff:2::/64 từ router ISATAP R1. Khi host ISATAP phải gửi gói tin IPv6 tới router R1 tại địa chỉ 3ffe:b00:ffff:2:5efe:ce7b:1fc8, giao diện ISATAP của host A tự động đóng gói gói tin IPv6 trong IPv4. Các gói tin IPv4 này sử dụng địa chỉ 206.123.20.100 làm địa chỉ IPv4 nguồn và 206.123.31.200 làm địa chỉ đích.

Quảng bá tiền tố ISATAP: Sau khi host ISATAP được cho phép với địa chỉ link-local của nó sử dụng khuôn dạng ISATAP trong 64 bit thấp, nó gửi một bản tin yêu cầu tới router ISATAP thông qua đường hầm ISATAP. Sau đó router ISATAP trả lời bằng bản tin quảng bá router cho host ISATAP đó, và nó chỉ ra tiền tố ISATAP được định nghĩa trong site. Sau khi nhận được tiền tố ISATAP, host sẽ cấu hình địa chỉ

IPv6 unicast toàn cầu dựa trên khuôn dạng ISATAP này. Host ISATAP sử dụng địa chỉ link-local của router như là địa chỉ router IPv6 mặc định.

Hình 5.18 – Địa chỉ gán cho Host ISATAP và router ISATAP

Hình 5.19 trình bày tất cả các bước mà một tiền tố ISATAP được quảng bá tới các host ISATAP trên mạng IPv4 sử dụng cơ chế ISATAP. Đầu tiên, host ISATAP A, sử dụng địa chỉ link-local fe80::5efe:ce7b:1464, gửi một bản tin yêu cầu tới router ISATAP R1 tại địa chỉ đích fe80::5efe:ce7b:1fc8. Gói tin IPv6 này được đóng gói trong một gói tin IPv4: Địa chỉ IPv4 nguồn là 206.123.20.100 và địa chỉ IPv4 đích là 206.123.31.200. Sau khi router R1 nhận được bản tin yêu cầu này. Nó trả lời bằng việc gửi một bản tin quảng bá router cho host A. Gói tin IPv6 này cũng được đóng gói trong gói tin IPv4: Địa chỉ nguồn IPv4 bây giờ là 206.123.31.200 và địa chỉ đích IPv4 là 206.123.20.100. Bản tin quảng bá router chứa tiền tố ISATAP 3ffe:b00:ffff:2::/64, mà host A sử dụng để cấu hình địa chỉ IPv6 của nó.

Hình 5.19 – Quảng bá tiền tố ISATAP 5.2.3.5. Triển khai đường hầm có khả năng tương thích IPv4 tự động

Phần này miêu tả đường hầm có khả năng tương thích IPv4 tự động, cũng giống như các kỹ thuật khác được sử dụng để mang các gói tin IPv6 trên các mạng IPv4. Tuy nhiên, kỹ thuật này được hỗ trợ ít trong việc triển khai IPv6, bởi vì nó ít được sử dụng và được triển khai trên mạng Internet, không giống như các đường hầm được cấu hình bằng tay và cơ chế 6to4.

Cơ chế đường hầm có khả năng tương thích IPv4 tự động là một trong những cơ chế chuyển đổi đầu tiên được định nghĩa bởi IETF. Cơ chế này cho phép tự động tạo ra các đường hầm (không cần cấu hình bằng tay) trên các mạng IPv4 mang các gói tin IPv6 chỉ giữa các host hai ngăn xếp. Cơ chế này cho phép các host IPv6 bị cách ly bởi các mạng IPv4 tự động tạo ra các đường hầm tới các host IPv6 bị cách ly khác. 32 bit thấp của các địa chỉ IPv6 nguồn và đích biểu diễn các địa chỉ IPv4 nguồn và đích của hai đầu đường hầm. Tiền tố IPv6 có khả năng tương thích IPv4 là ::/96 (tạo bởi 96 số 0).

Hình 5.20 trình bày router R1 triển khai một đường hầm có khả năng tương thích IPv4 động tới router R2 trên Internet. Địa chỉ IPv4 của router R1 là 206.123.31.200, và địa chỉ IPv6 của nó là ::206.123.31.200. Địa chỉ IPv4 của router R2 là 132.214.1.10, và địa chỉ IPv6 là ::132.214.1.10. Giả sử router R1 gửi một gói tin IPv6 đầu tiên tới router R2 sử dụng địa chỉ IPv6 nguồn ::206.123.31.200 và đích ::132.214.1.10. Router R1 tự động triển khai một đường hầm có khả năng tương thích IPv4 tự động tới R2 để mang các gói tin IPv6 trên mạng Internet.

Hình 5.20 – Đường hầm có khả năng tương thích IPv4 được tạo ra giữa hai router

Mặc dù cơ chế đường hầm có khả năng tương thích IPv4 tự động có vẻ như cung cấp một cách đơn giản để triển khai các đường hầm mang các gói tin IPv6 trên IPv4, nhưng nó có một vài giới hạn sau:

Tính đồng nhất: Các liên lạc luôn được thực hiện chỉ giữa các địa chỉ có khả năng tương thích IPv4. Tuy nhiên, cơ chế này bị giới hạn cho trường hợp đường hầm từ host-to-host. Một router cũng có thể hoạt động như một host cho một vài ứng dụng, như việc thiết lập một phiên Telnet-over-IPv6 giữa hai router.

Sự giới hạn về không gian địa chỉ: Bởi vì cơ chế này và sự thiết lập đường hầm chỉ dựa trên các địa chỉ IPv4 của host, cơ chế này không đưa ra một giải pháp cho việc thiếu không gian địa chỉ IPv4.

Khả năng mở rộng: Cơ chế này yêu cầu một địa chỉ IPv4 unicast toàn cầu cho mỗi host để cho phép triển khai IPv6 rộng hơn trên Internet.

5.2.4. IPv6 trong các mạng MPLS

Các trường đại học khác nhau ở Châu âu đã chỉ đạo nghiên cứu về IPv6 trong các mạng MPLS (chuyển mạch nhãn đa giao thức). Các mạng lõi mà đã có MPLS được thực hiện có thể chọn một trong các cách sau đây:

IPv6 thuần túy trên MPLS: Trong trường hợp này, IPv6 sử dụng song song với IPv4. Điều này ngụ ý rằng tất cả các router trong mạng MPLS là hai ngăn xếp và sử dụng các giao thức định tuyến IPv6 kết hợp với giao thức phân bổ nhãn LDP.

Đƣờng hầm lớp 2 trên MPLS: Các gói tin lớp 2 (ví dụ Ethernet hoặc ATM) được chuyển mạch trên mạng lõi MPLS. Điều này có thể thực hiện trên hầu hết các mặt phẳng chung bao gồm cả Cisco IOS và Juniper JunOS.

IPv6 trên lõi IPv4/MPLS: Phương pháp này dựa trên sự phân phổ các tiền tố IPv6 (cùng với các nhãn tương ứng) giữa các router chuyển mạch nhãn ở biên sử dụng BGP4 trên IPv4. Next hop được nhận dạng bằng một địa chỉ IPv4. Cisco gọi cơ chế này là 6PE (router biên nhà cung cấp IPv6)

6PE của Cisco:

Khái niệm về 6PE dựa trên cấu trúc định tuyến phân cấp của MPLS trình bày trong hình 5.21. Ở đây không có ý định trình bày về công nghệ MPLS, mà chỉ đưa ra để thấy rằng MPLS có thể hỗ trợ một cách dễ dàng cho IPv6.

Hình 5.21 – Phân cấp định tuyến MPLS

Trong trung tâm của mạng MPLS là các router của nhà cung cấp dịch vụ (P). Chúng chuyển các gói MPLS, có nghĩa rằng chúng không xử lý tiêu đề lớp 3. Tại biên của mạng lõi là các router biên của nhà cung cấp dịch vụ (PE). Chúng nhận các gói tin IP thông thường từ các router biên phía khách hàng (CE), gắn một nhãn MPLS, và chuyển chúng tới các router của nhà cung cấp. Các gói tin MPLS chỉ được gửi giữa các router PE và các router P trong hình 6.20. Quá trình định tuyến làm việc như sau:

 Các router PE và CE sử dụng các giao thức định tuyến phổ biến như (RIP,

OSPF, BGP, hoặc định tuyến tĩnh). Router PE học các tiền tố mà nó có thể đến thông qua các router CE nhờ các giao thức định tuyến này.

 Các router PE phân bổ các tiền tố này với những router khác sử dụng các

nó trên BGP tới các router PE khác và chèn bản thân nó như next hop cho các tiền tố này.

 Mỗi router PE vì thế có khả năng xác định các tuyến tới các router PE khác

bằng việc sử dụng một giao thức IGP như IS-IS hoặc OSPF.

Các gói tin IPv6 sau đó có thể được định tuyến trên cơ sở hạ tầng MPLS mà không cần cấu hình IPv6 trên các router nhà cung cấp dịch. Các router PE phải yêu cầu là dual-stack. Các router CE có thể là dual-stack hoặc chỉ là IPv6.

Thực tế là MPLS có thể được sử dụng để vận chuyển các gói tin IPv6 trên IPv4 không có nghĩa là sẽ thực hiện MPLS cho mục đích này. Nếu không có một cơ cở hạ tầng MPLS, các cơ chế đường hầm khác có thể thích hợp hơn cho yêu cầu đó. Nhưng nếu đã có một MPLS thì đó là một điểm khởi đầu tốt.

5.2.5. Lựa chọn một cơ chế đường hầm thích hợp

Mặc dù một vài cơ chế đường hầm có thể mang các gói IPv6 trên cơ sở hạ tầng mạng IPv4 có sẵn, nhưng nên nhớ rằng đường hầm được cấu hình, 6to4, và đường hầm GRE sẽ được sử dụng để liên kết các site. ISATAP có thể được sử dụng để liên kết các host với các router ở đầu ra trong một miền IPv4. Tunnel server và tunnel broker cũng có thể được sử dụng để triển khai khả năng IPv6 trên một phạm vi lớn cho các nút bị cách ly mà ở trên các miền chỉ chạy IPv4. Đường hầm có khả năng tương thích IPv4 thì không được sử dụng bởi vì nó đang bị phản đối.

5.3. Sự thông dịch địa chỉ mạng và giao thức (NAT- PT)[1],[7],[5]Các kỹ thuật thông dịch địa chỉ và giao thức được miêu tả trong RFC 2765 và Các kỹ thuật thông dịch địa chỉ và giao thức được miêu tả trong RFC 2765 và 2766. Chúng đưa ra các cơ chế thông dịch để bổ sung cho các kỹ thuật hai ngăn xếp và đường hầm. Mục đích là cung cấp sự định tuyến thông suốt cho các nút trong các mạng IPv6 để liên lạc với các nút trong các mạng IPv4 và ngược lại. Thuật toán thông dịch IP/ICMP Stateless chỉ ra các thuật toán mà thông dịch giữa các tiêu đề gói tin IPv4 và IPv6. Nó không chỉ ra một cơ chế cho sự phân chia các địa chỉ IPv4. Giao thức thông dịch địa chỉ mạng và giao thức NAT-PT sử dụng một dải các địa chỉ IPv4 public để gán cho các node IPv6 một cách tự động khi các phiên được bắt đầu qua các ranh giới giao thức.

5.3.1. Sử dụng các Gateway lớp ứng dụng (ALG)

Kỹ thuật ALG là một kiến trúc mạng mà trong đó các gateway hỗ trợ hai ngăn xếp cho phép các nút trong một miền chỉ chạy IPv6 có thể liên lạc được với các nút trong một miền chỉ chạy IPv4.

Hình 5.22 trình bày một kiến trúc mạng mà trong đó một ALG được triển khai giữa một miền chỉ chạy IPv4 và một miền chỉ chạy IPv6. Host A chỉ chạy IPv6 thiết lập một phiên kết nối tới server B chỉ chạy IPv4 thông qua một ALG C. ALG C duy trì một phiên độc lập với host A sử dụng IPv6 như là giao thức vận chuyển và một phiên

độc lập khác với server B trên IPv4. ALG C chuyển phiên IPv6 thành IPv4, và ngược lại. ALG C được đặt trong một subnet nơi mà cả IPv4 và IPv6 được cho phép. ALG được hỗ trợ hai ngăn xếp.

Hình 5.22 – Phiên IP được thiết lập giữa IPv4 và IPv6 thông qua ALG

Phương pháp ALG có thể được sử dụng để chuyển đổi các ứng dụng Internet như mail, web, và bất kỳ giao thức nào khác:

Mail: Các host chỉ chạy IPv6 trên các mạng IPv6 thuần túy có thể gửi các bản tin email sử dụng SMTP trên IPv6 tới SMTP server nội bộ của nó. Sau khi nhận được các bản tin, SMTP server cục bộ mà có hỗ trợ hai ngăn xếp và hoạt động như một ALG cho SMTP có thể gửi các bản tin tới SMTP server đích trên Internet. SMTP server cục bộ đầu tiên thử liên lạc với SMTP server đích thông qua IPv6 (sử dụng dịch vụ tên miền). Ngược lại, nó sẽ quay trở lại miền IPv4 để phân phát các bản tin.

Web: Các trình duyệt trên các host chỉ chạy IPv6 có thể được cấu hình để vượt qua một proxy web server trên IPv6 để đến bất kỳ website IPv4 đích nào trên Internet. Một proxy web server cục bộ có hỗ trợ hai ngăn xếp có thể được cho phép trong một mạng cục bộ để hoạt động như một ALG cho HTTP. Ở một phía, proxy web server cục bộ nhận được các yêu cầu HTTP trên IPv6 từ các host chỉ chạy IPv6. Ở phía bên kia, proxy web server đầu tiên thử liên lạc với các web server đích thông qua IPv6 (sử dụng dịch vụ tên miền). Ngược lại, nó sẽ liên lạc với web server đích thông qua IPv4.

5.3.2. NAT-PT

NAT-PT là một triển khai của SIIT. Gateway NAT sử dụng một dải địa chỉ IPv4 public duy nhất và đóng chúng vào các địa chỉ IPv6. Các nút ở cuối không cần phải thay đổi. NAT-PT được thiết lập cho thực nghiệm và không được xem như một cơ chế được ưa thích, nhưng nó được thực hiện và sử dụng trong một số trường hợp cụ thể.

Giống như ALG, NAT-PT không yêu cầu các nút chỉ chạy IPv4 hoặc chỉ chạy IPv6 phải hỗ trợ hai ngăn xếp. NAT-PT cũng giống như cơ chế NAT trong IPv4 bởi vì nó là một cơ chế stateful. NAT-PT bao gồm sự thông dịch địa chỉ và thông dịch giao thức.

Thông dịch địa chỉ mạng (NAT): Thông dịch địa chỉ IP, IP, TCP, UDP, và các phần checksum trong tiêu đề ICMP.

Thông dịch cổng địa chỉ mạng (NAPT): Ngoài các trường được thông dịch bởi NAT, các chỉ số nhận dạng cổng như TCP và UDP và các kiểu bản tin ICMP được thông dịch.

Thông dịch địa chỉ mạng và thông dịch giao thức (NAT-PT): Cho phép các host IPv6 liên lạc với các host IPv4 sử dụng một địa chỉ IPv4 đơn.

Về hoạt động của nó, NAT-PT yêu cầu một cấu hình định tuyến cụ thể để định tuyến tất cả các gói tin IPv6 (được đánh địa chỉ với tiền tố /96) tới thiết bị NAT-PT. Tiền tố /96 phải được dành riêng trong miền IPv6 cho hoạt động NAT-PT. Sau đó, thiết bị NAT-PT sẽ thông dịch các địa chỉ IPv6 đích trong tiền tố /96 thành các địa chỉ IPv4 theo quy tắc ánh xạ của nó.

Hình 5.23 trình bày sự triển khai của thiết bị NAT-PT tại biên của mạng A chỉ chạy IPv6 và mạng Internet IPv4. 3ffe:b00:ffff:0:0:1::/96 là tiền tố được định trước cho hoạt động của NAT-PT trong mạng A. Các gói tin tạo ra từ mạng A và sử dụng

Một phần của tài liệu Nghiên cứu triển khai mô hình mạng ứng dụng IP version 6 (Trang 108)

Tải bản đầy đủ (PDF)

(152 trang)