Mecanisme de tranziție IPv4IPv6 [603345]
UNIVERSITATEA „TITU MAIORESCU” DIN BUCUREȘTI
FACULTATEA DE INFORMATICĂ
LUCRARE DE LICENȚĂ
Mecanisme de tranziție IPv4/IPv6
COORDONATOR ȘTIINȚIFIC:
Conf. univ. dr. ing. Iosif P RAOVEANU
ABSOLVENT: [anonimizat]/IULIE
2020
UNIVERSITATEA TITU MAIORESCU
FACULTATEA DE INFORMATICĂ
DEPARTAMENTUL DE INFORMATICĂ
REFERAT
DE APRECIERE A LUCRĂRII DE LICENȚĂ/DISERTAȚIE
TITLU: –
_____________________________________________________________________
________________________________________________________________________
ABSOLVENT/
MASTERAND:_________________________________________________
PROFESOR
COORDONATOR:_____________________ ___________________________
Referitor la conținutul lucrării, fac următoarele aprecieri:
A. Conținutul științific al lucr ării 1 2 3 4 5 6 7 8 9 10
B. Documentarea din literatura de specialitate 1 2 3 4 5 6 7 8 9 10
C. Contribuția proprie 1 2 3 4 5 6 7 8 9 10
D. Calitatea exprimării scrise și a redactării lucrării 1 2 3 4 5 6 7 8 9 10
E. Conlucrarea cu coordonatorul științific 1 2 3 4 5 6 7 8 9 10
F. Realizarea aplicației practice 1 2 3 4 5 6 7 8 9 10
Punctaj total = (A+B+C+D+E+2F)/7
În concluzie, consider că lucrarea de licență/disertație întrunește/ nu întrunește condițiile
pentru a fi susținută în fața comisiei pentru examenul de licență/disertație din sesiunea
__________________________ și o apreciez cu nota___________________.
CONDUCĂTOR ȘTIINȚIFIC,
______________________________
CUP RINS
INTRODUCERE ………………………….. ………………………….. ………………………….. …………….. 5
CAPITOLUL I PROTOCOLUL IPv4 ………………………….. ………………………….. ………….. 9
1.1. Generalități ………………………….. ………………………….. ………………………….. ………………………… 9
1.2. ICMP versiunea 4 ………………………….. ………………………….. ………………………….. ………………. 10
1.3. Structura ICMP ………………………….. ………………………….. ………………………….. …………………. 12
CAPITOLUL II PROTOCOLUL IPv6 ………………………….. ………………………….. ………. 14
2.1. Generalități ………………………….. ………………………….. ………………………….. ………………………. 14
2.2. Obiectivele implementării IPv6 ………………………….. ………………………….. ……………………….. 15
2.3. Adresarea IPv6 ………………………….. ………………………….. ………………………….. ………………….. 16
2.4. ICMP versiunea 6 ………………………….. ………………………….. ………………………….. ………………. 18
2.5. Avantajele utilizării IPv6 ………………………….. ………………………….. ………………………….. …….. 19
2.6. Relația dintre IPv4 și IPv6 prin intermediul mecanismelor de tranziție ………………………….. 20
2.7. Securitatea în IPv6 ………………………….. ………………………….. ………………………….. …………….. 21
CAPITOLUL III TRANZIȚIA DE LA IPv4 LA IPv6 ………………………….. ……………… 26
3.1. Aspecte generale ………………………….. ………………………….. ………………………….. ………………. 26
3.2. Stiva dublă ………………………….. ………………………….. ………………………….. ……………………….. 26
3.3. Încapsularea (Tunelarea) ………………………….. ………………………….. ………………………….. ……. 27
3.4. Translație NAT -PT ………………………….. ………………………….. ………………………….. ……………… 28
CAPITOLUL IV TIPURILE ȘI PROCESELE DE TUNELARE ÎN TRANZIȚIA
IPv4/IPv6 ………………………….. ………………………….. ………………………….. ………………………. 31
4.1. Aspecte generale ………………………….. ………………………….. ………………………….. ………………. 31
4.2. Tunelarea configurată (manuală) ………………………….. ………………………….. …………………….. 31
4.3. Tunelarea automată ………………………….. ………………………….. ………………………….. ………….. 32
4.3.1. Tunelul ISATAP ………………………….. ………………………….. ………………………….. ……. 34
4.3.2. Tunel ul 6to4 ………………………….. ………………………….. ………………………….. ……….. 36
4.3.3. Tunelul Teredo ………………………….. ………………………….. ………………………….. ……. 38
4.3.4. Tunel „brokers” ………………………….. ………………………….. ………………………….. …… 40
CAPITOLUL V APLICAȚIA PRACTICĂ – SCENARII DE IMPLEMENTARE A
MECANISMELOR DE TRANZIȚIE IPv4/IPv6 ………………………….. ……………………… 42
5.1. Scenariul 1 – Tunel manual ………………………….. ………………………….. ………………………….. … 43
5.2. Scenariul 2 – Tunel ISATAP ………………………….. ………………………….. ………………………….. …. 44
5.3. Scenariul 3 – Tunel ISATAP implementat pe Sistemul de operare Windows …………………… 46
5.4. Scenariul 4 – Tunel 6 to 4 ………………………….. ………………………….. ………………………….. …… 48
5.5. Testare în aplicația HP ALM (HP Application Lifecycle Management) ………………………….. .. 50
CONCLUZII ………………………….. ………………………….. ………………………….. …………………. 52
Bibliografie ………………………….. ………………………….. ………………………….. ……………………. 54
Anexa 1 – Imagine de ansamblu a proiectului practic ………………………….. ………………………….. ….. 55
Anexa 2 – IP-urile interfețelor de pe echipamente ………………………….. ………………………….. ……… 56
Anexa 3 – Abrevieri ………………………….. ………………………….. ………………………….. …………………….. 57
Pagină 5 din 58
INTRODUCERE
O rețea reprezintă un grup de dispozitive (Calculatoare Personale, Routere, Switch –
uri etc.) care sunt conectate între ele și care pot schimba informații fiind destinate unor
utilizatori publici sau privați. Cele mai multe rețele sunt organizate sub forma unei stive de
straturi.
Modelul ISO -OSI (Figura 1) împarte structura rețelei în șapte nivel uri, construite
unul deasupra celuilalt . Nivel urile superioare beneficiază de serviciile oferite de nivelurile
inferio are. Acest model permite realizarea de componente software necesare funcționării
rețelei care implementează diferite funcții (codare, criptare, împachetare etc.). Modelul nu
precizează cum se construiesc nivel urile, dar pune accent pe serviciile oferite de fiecare și
specifică modul de comunicare între nivel uri prin intermediul interfețelor1.
Figură 1 Modelul ISO/OSI
Nivelul fizic are rolul de a transmite datele de la un calculator la altul prin
intermediul unui canal de comunicație (cablu UTP, fibră optică, unde radio etc.). La acest
1 Modelul ISO -OSI https://www.math.uaic.ro/~mapetrii/fisiere/ISR/C2.pdf
Pagină 6 din 58
nivel datele sunt trimise sub forma unui șir de biți. Cele mai frecvente probleme la acest
nivel sunt pe partea electrică (nivelul tensiunii electrice , impulsuri electrice etc.).
Nivelul legăturii de date corectează erorile de transmitere care apar la nivelul fizic.
La acest nivel biții sunt împărțiți în cadre, adică pachete le sunt încapsu late cu antet și marcaj
la final, care includ adresele sursei și destinației pentru a face posibilă expedierea datelor
între două terminale2.
Nivelul rețea asigură dirijarea unităților de date între sursă și destinație. În anumite
rețele , rolul nivelului se reduce la ce l de „tampon” și retransmisie a pachetelor. În cadrul
WAN -urilor, se realizează procesul de rutare a pachetelor.
Nivelul transpo rt conectează două calculatoare între ele detectând și corectând
erorile pe care nivelul rețea nu le tratează . La acest nivel principalele funcții sunt acelea de
a stabili o conexiun e sigur ă, a iniția un transfe r, a control a fluxul de date și de a închide
conexiun ea.
Nivelul sesiune stabilește și întreține legăturile între procesele aplicației. O sesiune
începe doar dacă conexiunea între noduri este stabilită. Nivelul sesiune este considerat ca
fiind interfața dintre utilizator și rețea3.
Figură 2 Conexiunea criptată SSH (stânga) și conexiunea necriptată Telnet (dreapta) –
captură realizată din Wireshark
2 Modelul ISO -OSI https://www.math.uaic.ro/~mapetrii/fisiere/ISR/C2.pdf
3 Modelul ISO -OSI https://www.math.uaic.ro/~mapetrii/fisiere/ISR/C2.pdf
Pagină 7 din 58
La nivel ul prezentare se realizează și se codific ă datel e prin compresie sau criptare .
În Figura 2 este reprezentat două tipuri de conexiuni prin intermediul programului
Wireshark, una de tip SSH care este criptată, fiind posibilă decriptarea doar deținând o cheie
RSA de 1024 de biți, iar cealaltă conexiune este de tip Telnet care este o transmisie a
informațiilor în clar, unde se poate observa foarte ușor numele utilizatorului și parola
acestuia.
Nivelul aplicație convertește pachetele de date în formatul acceptat de un anumit
terminal. Nivelul aplicație nu comunică cu soft-urile utilizatorilor ci controlează mediul în
care se execută aplicațiile, punându -le la dispoziție servicii de comunicație4.Pentru ca două
calculatoare să poată comunica unul cu celălalt, amândouă trebuie să respecte același set de
reguli.
Internetul a creat o lume nouă, o societate informatică al cărei potențial este departe
de a fi utilizat la capacitate maximă . Internetul este o rețea globală alcătuită prin
interconectarea calculatoarelor și a rețelelor de calculatoare de pe tot cuprinsul globului,
care comunică între ele prin protocolul TCP/IP și utilizează o structură de adresare comună
definită prin DNS (Domain Name System)5.
Internetul este bazat pe anumite protocoale. Cel mai important protocol folosit de
utilizatori se numește IP (Internet Protocol). TCP (Transport Control Protocol) funcționează
doar cu IP.
Protocolul IP este cel care trimite pachetele dintr -un loc în altul, iar TCP asigură
stabilitatea comunicației. Protocolul IP are rolul de a livra pachetele de date de la sursă la
destinație pe baza adreselor lor6.
Protocolul IP trebuie să fie implementat în fiecare c alculator care comunică cu
Internetul precum și în fiecare gateway sau router care leagă diferite rețele.
Prima versiune de adresare, denumită Internet Protocol versiunea 4 (IPv4), este încă
protoco lul de Internet dominant. Ulterior s -a dezvoltat Internet Protocol versiunea 6 (IPv6)
pentru a înlocui protocolul IPv4 care a devenit insuficient ca spațiu de adrese IP.
4 Modelul ISO -OSI https://www.math.uaic.r o/~mapetrii/fisiere/ISR/C2.pdf
5 Rețele de Telecomunicații, Tatiana Rădulescu, 2008, pag. 382
6 Configurarea și administrarea rețelelor locale https://ro.scribd.com/doc/180751273/2013 -RL-pdf
Pagină 8 din 58
Protocolul Internet versiunea 4 (IPv4) este prima versiune utilizată pe scară largă.
Alături de IPv6, protocoalele au la bază standarde și metode de Inter net „networking ”. Toate
protocoalele Internet folosesc IP -ul ca mecanism de bază pentru transportul datelor. IP este
un protocol de comunicație de tip datagramă, adică nu se bazează pe conexiune și care
include facilitați pentru adresare a, fragmentarea , reasamblarea pachetelor și securitate.
Din cauza faptului ca s -au epuizat adresele IPv4 în urma creșterii numărului de
dispozitive, s -a pus problema implementării unui nou protocol care să acopere în primă fază
multitudinea de terminale care se conectează la Internet. Astfel a apărut un nou Protocol IP,
denumit IPv6 al cărui lungime este de 128 de biți, ceea ce duce la un număr aproape de
infinit de adrese. IPv6 este exprimat în hexazecimal.
Acest lucru nu a dus la dispariția IPv4, deoarece multe companii încă utilizează acest
protocol, iar un număr însemnat de termin ale și aplicații nu sunt optimizate în utilizarea
noului protocol IPv6. Din acest motiv și din cauza faptului ca IPv4 nu este compatibil cu
IPv6 s-au implementat mecanisme de tranziție care să facă posibilă folosirea fie în mod
alternativ sau concomitent a ambelor protocoale. Existând în acest moment două tipuri de
rețele, una sub IPv4, iar cealaltă sub IPv6, a fost necesar să se descopere soluții pentru a
realiza conexiunea între cele două categorii de rețele.
Mecanismele de tranziție pot fi clasificate în trei categorii: Stiva dublă (Dual Stack),
Încapsularea (Tunelarea) și Translația (NAT -PT).
În aplicația practică se simulează câteva sisteme de încapsulare, atât tunelare
manuală, cât și tunelarea automată reprezentate prin diferite topologii de rețele. S unt
exemplificate cele mai frecvent utilizate tipuri de tunele, creând o conexiune de la o rețea
IPv6 către altă rețea IPv6, în având ca intermediar una sau mai multe rețele de tip IPv4.
Lucrarea este structurată în cinci capitole. Primul capitol descrie protocolul IPv4, în
al doilea capitol se descrie noul protocol IPv6, în capitolul trei sunt tratate mecanismele de
tranziție IPv4/IPv6, capitolul patru exemplifică principalele metode de î ncapsulare
(tunelare) a pachetelor, iar capitolul cinci descrie aplicația practică structurată în patru
scenarii, fiecare scenariu reprezentând o situație în care poate fi utilizat un tip de tunelare,
manual sau automat.
Pagină 9 din 58
CAPITOLUL I
PROTOCOLUL IPv4
1.1. Generalități
IPv4 este un protocol utilizat în comutarea de pachete , precum rețelele Ethernet.
Acesta nu garantează livrarea și nu asigură succesiunea corectă sau evitarea pachete lor
duplicat e. Aceste aspecte, inclusiv cel de integritate a datelor, sunt ab ordate printr -un
protocol de transport situat la un nivel superior, și anume Transmission Control Protocol
(TCP). IPv4 c uprinde toate protocoalele și procedurile necesare pentru ca o conexiune să
parcurgă rețele multiple. Pachetele de date de la acest nive l trebuie să fie rutabile.
Protocolul IPv4 este fără conexiune, de tip datagramă, ceea ce înseamnă că pachetele
își caută singure drumul prin rețea. Utilizează o schem ă de adresare pe 32 de biți care
identifică în mod unic calculatoarele conectate, dispoz itivele de rețea și rețeaua, atât pentru
sură cât și pentru destinați e7.
Adresele IP neînregistrate oficial pot fi utilizate numai în cadru restrâns, în rețeaua
locală respectivă, ele nefiind recunoscute în afară.
Protocolul IPv4 folosește cinci clase de adrese. Ele sunt reprez entate în mod uzual
în format zecimal pe 4 octeți, separați prin punct (de ex. 192.168.9.1) .
Clasa A definește adrese de host de la 10.0.0.0 la 126.0.0.0 (primul bit din adresă
are valoarea 0), fiecare adresă de rețea clasa A conține 16.774.214 adrese distincte.
Clasa B definește adrese de host de la 128.1.0.0 la 192.254.0.0 (primii doi biți din
adresa au valoarea 10), fiecare a dresă de rețea clasa B conține 65.534 adrese distincte.
Clasa C definește adrese de host de la 192.0.1.0 la 192.254.0.0 ( primii doi biți din
adresă au valoarea 110), fiecare adresă de rețea de clasă C suportă 254 adrese distincte de
host.
7 Rețele de comunicații de date
https://wbt.unitbv.ro/web/moodle/ file.php/1/Ghiduri/Retele_de_comunicatii_date.pdf
Pagină 10 din 58
Clasa D defineșt e adrese de tip difuzare multiplă (multicast), dar nu are o utilizare
prea largă (primii patru biți din adresa au valoarea 1110), adresele din clasa D au valori
cuprinse între 224.0.0.0 și 239.255.255.254.
Această împărțire în clase poate conduce în mod uz ual la pierderi semnificative de
adrese IP , fiind necesară o subnetare cât mai eficientă a unei rețele sau al unui spațiu de
adrese alocat.
1.2. ICMP versiunea 4
ICMP (Internet Control Message Protocol ) este considerat ca fiind p arte component ă
din IP. El trimite rapoarte privind erorile de transmisie, controlul fluxului, gateway și alte
funcții privind mentenanța și controlul comunicației8.
Siguranța transferurilor de date este dată în Internet de protocoalele nivelului
transport și anume de Transmission Control Protocol (TCP), care furnizează retransmisia
între sursă și destinație, resegmentarea și controlul conexiunii (Figura 3) . Serviciile care nu
se bazează pe conexiune de nivel transport sunt oferite de User Datagram Protocol
(UDP) (Figura 4) .
Figură 3 TCP Portul sursă generat aleatoriu (55881 în acest caz) și portul destinație
HTTPS (443)
8 Internet Control Message Protocol ICMP
http://www.csc.villanova.edu/~mdamian/Past/networksfa12/Notes/ICMP.pdf
Pagină 11 din 58
Figură 4 UDP captură în Wireshark
ICMP este un protocol din TCP/IP care se folosește la semnalizarea și
diagnosticarea problemelor din rețea. Mesajele de tip ICMP sunt încapsulate în interiorul
pachetelor IP. Versiunea ICMP pentru IPv4 este adesea cunoscută ca ICMPv4, în schimb
IPv6 dispune de un protocol similar cunoscut sub prescurtarea de ICMPv6 .
ICMP este cel mai utilizat în interogările de ping și traceroute.
Ping trimite mesaje ICMP de tip „echo request” către calculatorul destinatar și
așteaptă de la acesta mesaje de tip „echo reply”. Dacă acestea nu sunt primite, se poate
presupune că ceva nu este în regulă cu conexiunea dintre cele două calculatoare.
Toate pachetele IP au în antet un zonă special ă numit ă TTL (Time to Live). Valoarea
acestui câmp scade de fiecare dată când pachetul trece printr -un router (Figura 5) . Pentru a
evita buclele de ru tare, adică pachetul să stea în livrare la infinit, cu alte cuvinte routerul să
încerce livrarea lui la nesfârșit, în momentul în care câmpul TTL ajunge la zero, routerul
care a decrementat ultima dată câmpul TTL trimite un mesaj de tip „time exceeded” căt re
calculatorul -sursă și pachetul nu este trimis mai departe , fiind eliminat9.
9 Introducere în Rețele de Calculatoare, Ramon Năstase, pag. 50
Pagină 12 din 58
Figură 5 Diferite valori ale TTL -ului care vin de la diferite surse din Internet (Yahoo,
Google)
Programul traceroute folosește acest mecanism și trimite către calculatorul
destinatar, pachete de la toate routerele din componența rețelei ce creează traseul.
1.3. Structura ICMP
Segmentul ICMP este alcătuit din:
– Antet (Figura 6) – se mai numește „header ” și începe imediat după antetul IPv4.
Toate pachetele ICMP au un antet de opt octeți și o secțiune de date utile de lungime
variabilă.
– Tip – reprezintă tipul pachetului ICMP ;
– Cod – subtipul pachetului ICMP în funcție de tipul selectat anterior ;
– Suma de control – calculată în funcție de câmpurile antet ICMP ;
– Restul antetului – este un câmp de patru octeți ce variază ca și conținut pe baza ;
tipului/codului antetului ICMP.
Pagină 13 din 58
Figură 6 Antetul IP (Protocol Internet)
Mesajele ICMP s unt încapsulate în interiorul pachetelor IP. Ele pot genera un număr
mare de pachete care trimise în rețea către o destinație pot întoarce informații utile unor soft –
uri de monitorizare sau administratorului de sistem, ajutând la optimizarea și depanarea
software și hardware a rețelei.
Există o serie d e mesaje ICMP, dintre aceste cele mai importante sunt10:
– Mesajul „Destination host unreachable”, este folosit atunci când subrețeaua sau
un anumit router nu po ate localiza destinația sau un pachet nu poate fi livrat;
– Mesajul „Time exceeded”, este trimis atunci când un pachet este eliminat d in
cauza contorului său ajuns în zero;
– Mesajul „Redirect message”, este folosit atunci când un router crede că un pachet
este d irijat greșit;
– Mesajele „Echo Request și Echo Reply”, ne arată dacă o destinație este
accesibilă și activă.
10 Internet Control Message Pro tocol ICMP
http://www.csc.villanova.edu/~mdamian/Past/networksfa12/Notes/ICMP.pdf
Pagină 14 din 58
CAPITOLUL II
PROTOCOLUL IPv6
2.1. Generalități
Creșterea rapidă a numărului de echipamente (Figura 7) conectate la Internet a
determinat apariția unor probleme a căror soluționare dev enea obligatorie într -un timp cât
mai scurt .
Figură 7 Evoluția estimativă numărului de echipamente conectate la Internet exprimat în
miliarde
Să ne gândim la faptul că Protocolul IPv4 a fost dezvoltat în anii `80 și s -a propus
folosirea a 32 de biți pentru definirea unei adrese, ceea ce rezultă faptul că nu mărul maxim
de adrese IP care pot fi generate este de 4.2 miliarde (2^32)11.
Analizând graficul din Figura 7 putem observa lesne că numărul adreselor IPv4 s -a
epuizat încă dinaintea anului 2012. Mai precis IANA (Internet Assigned Numbers
Authority) în anul 2011 a alocat ultimul spațiu de adrese IPv4.
Una din măsurile pentru diminuarea acestei probleme a fost ce a de încetinire a
„consumului” de adrese IPv4 prin tehnici de NAT (și totodată introducerea conceptului de
11 Introducere în Rețele de Calculatoare, Ramon Năstase, pag. 40
Pagină 15 din 58
IP Public și IP Privat), utilizat și la metodele de tranziție IPv4/IPv6. O altă măsură mult mai
eficientă față de NAT este introducerea protocolului IPv6.
2.2. Obiectivele implementării IPv6
Obiectivele majore ale implementării noii versiuni de IP au fost:
– „Să suporte miliarde de gazde, inclusiv cu alocarea ineficientă a spațiului de
adrese;
– Să reducă dimensiunea tabelelor de ruta re;
– Să simplifice protocolul, pentru a permite ruterelor să proceseze pachete mai
rapid;
– Să asigure o securitate mai bună (autentificare și confidențialitate) față de IP –
ul cure nt;
– Să acorde o mai mare atenție tipului de serviciu, în special pentru datele de t imp
real;
– Să ajute trimiterea multiplă pri n permiterea specificării de domenii;
– Să creeze condițiile pentru ca o gazdă să poată migra fără schimbarea adresei
sale;
– Să permită evoluția protocolului în viitor;
– Să permită coexistența noului și vechiului proto col pentru câțiva ani. ”12
IPv6 își îndeplinește obiectivel e, menținând caracteristicile bune din IPv4, le elimină
sau diminuează pe cele rele și adaugă unele noi acolo unde este nevoie.
În general IPv6 nu este compatibil cu IPv4, dar este compatibil cu toate celelalte
protocoale Internet, incluzând TCP, UDP, ICMP, IGMP, OSPF și DNS, câteodată fiind
necesare mici modificări, de exemplu pentru a putea lucra cu adrese mai lungi13.
Cel mai important aspect este acela că IPv6 are adrese mai lungi decât IPv4. Ele au
o lungime de 128 de biți (16 octeți) , ceea ce duce la faptul că este îndeplinit scopul pentru
care a fost creat, acela de a furniza o sursă efectiv nelimitat ă de adrese IP.
12 Rețele de Calculatoare, Andrew S. Tanenbaum, pag. 405
13 Rețele de Calculatoare, Andrew S. Tanenbaum, pag. 406
Pagină 16 din 58
A doua îmbunătățire a protocolului IPv6 este reprezentată de simplificarea antetului
(Figura 8), conținând doar 7 câmpuri față de 13 din IPv4. Această schimbare permite
routerelor să proceseze pachetele mai rapid14.
A treia îmbunătățire importantă a fos t suportul mai bun pentru opțiuni , fiind esențială
în noul antet, deoarece câmpurile care erau obligatorii în IPv4 acum sunt opționale , astfel
routerel e au posibilitatea să sară peste opțiunile care nu le sunt destinate. Această
caracteristică accelerează timpul de procesare a pachetelor15.
Figură 8 Antetul IPv6
Un al patrulea avantaj este regăsit in domeniul de securitate. Autentificarea și
confidențialitatea sunt trăsături cheie ale noului IP.
Și în final a fost acordată o mai mare atenție tipului de serviciu decât în trecut.
2.3. Adresare a IPv6
Adresele IPv4 sunt scrise prin împărțirea lor în 4 valori pe 8 biți și adăugarea
punctelor între ele, adresele IPv6 pe de altă parte, sunt scrise ca 8 valori pe 16 biți cu două
14 Protocolul Internet – versiunea 6
http://calin.comm.pub.ro/Didactice/ARI/Notite%20curs/Notite/par2_2_Niv%203%20 -%20IPv6.pdf
15 Rețele de Calculatoare, Andrew S. Tanenbaum, pag. 407
Pagină 17 din 58
puncte „:” între ele, iar fiecare valoare de 1 6 biți este afișată în hexazecima l. Un exemplu
de adresă IPv6 este 2002:db8:5::1.
Cu toate că în foarte multe privințe IPv6 funcționează la fel ca IPv4, noul protocol
diferă în unele aspecte.
Din cauza lungimii mari a unei adrese IPv6, reprezentarea acesteia este îngreunată
din acest mo tiv se folosește numerotația hexazecimală. Structura unei astfel de adrese este
alcătuită din prefix care depinde de topologia rețelei și ID care identifică o interfață.
Tipurile de adrese IPv6 sunt16:
– Adrese unicast: ce identifică o singură interfață din interiorul unui grup de
adrese. Pachetele trimise unei adrese unicast sunt livrate unei singure interfețe.
– Adrese multicast: poate identifica mai multe interfețe sau niciuna. Pachetele
trimise spre o adresă multicast sunt livrate tuturor interfețelor iden tificate.
– Adrese a nycast : identifică mai multe interfețe.
Adresele unica st globale sunt identificate prin prefixul 001 FP. În numerotația
hexazecimală 001x înseamnă că prima cifră este 2 sau 3, adică plaja adreselor global e este
cuprinsă între 2000 și 3FFF. Aceste adrese sunt echivalente adreselor publice IPv4 și sunt
rutabile în Internet. Domeniul adreselor unicast globale este întregul Internet.
Adresarea globală creează o structură topologică de rețea cu trei niveluri:
– Topologia publică, este o colecție de rețele ISP care asigură acces la Internet;
– Topologia subrețea, este o colecție de subrețele din interiorul unei organizații;
– Identificatorul de interfață specifică o interfață unică pe o subrețea din interiorul
unei or ganizații.
Adresele unicast locale sunt de două feluri:
– Adresele link -local sunt utilizate pentru procesul de descoperire a vecinilor, sunt
identificate prin formatul de prefix FE80::/10. Domeniu în care se aplică este un
link local din interiorul unei reț ele. Aceste adrese sunt echivalente adreselor
APIPA (Automatic Private IP Adressing) din IPv4. Un router nu rutează o astfel
de adresă.
16 Adresarea IPv4 și IPv6 http://ham.elcom.pub.ro/rs/platf/rs -lab5.pdf
Pagină 18 din 58
– Adresele site -local, sunt identificate prin prefixul FEC0::/10 și sunt echivalente
adreselor private din IPv4. Rețelel e private care nu au legătură rutată la Internet
pot utiliza aceste adrese fără a intra în conflict cu adresele globale. Domeniul în
care se aplică este site -ul loca l, ele nu pot fi trimise în alte site -uri și nici nu pot
fi primite din alte site -uri.
Adrese le IPv6 multicast operează traficul asemănător cu IPv4. Nodurile IPv6
locate arbitrar pot asculta pentru trafic multicast pe orice adrese multicast IPv6, ele se pot
asocia sau dezasocia oricând de la un grup multicast. Formatul de prefix multicast începe
cu FF.
Adresele IPv6 anycast sunt atribuite mai multor interfețe. Pachetele trimise către o
adresă anycast sunt livrate de structura de rutare spre cea mai apropiată interfață care are
atribuită o astfel de adresă. Adresele anycast nu au un format special, ele pot fi adrese de tip
unicast și devin automat anycast atunci când sunt atribuite mai multor interfețe . La
configurarea unei interfețe cu o adresă anycast, acest lucru se specifică prin cuvântul cheie
„anycast”.
Tradițional, ultimii 64 de biți ai unei adrese IPv6 sunt generați de la o adresa MAC
prin înlocuirea unui bit și adăugarea biților „ff:fe” în mij loc. Astfel o adresă MAC
00:0b:99:f6:21:6a devine 20b:99ff:fef6:216a ca ultima parte a unei adrese IPv6, parte care
se numește „interface identifier”. Drept urmare dacă toate routerele trimit același prefix
pentru primii 64 de biți, terminalul va configura mereu aceeași adresă IPv6.
2.4. ICMP versiunea 6
În IPv6, antetul (Figura 8) și procesul de forwardare a pachetelor de către routere au
fost simplificate. Deși antetele de IPv6 sunt de două ori mai mari decât cele de IPv4,
procesarea pachetelor este mult mai eficientă din următoarele motive17:
– Antetul de IPv6 a fost simplificat prin mutarea câmpurilor rar folosite în antete
de extensie opționale;
– Routerele IPv6 nu fragmentează pachetele. Gazdele cu IPv6 trebuie ori să
descopere dimensiunea maximă a pachetelor acceptate de toate routerele de pe
17 IPv6 Header Deconstructed https://www.ipv6.com/general/ipv6 -header -deconstructed/
Pagină 19 din 58
cale, să fragmenteze pachetele la capetele transmisiunii sau să folosească un
MTU de 1280 de octeți, care este minimum acceptat de protocol;
– Antetul IPv6 nu este protejat de o sumă de control „checksum”, făcându -se
presu punerea că integritatea datelor este asigurată atât la nivelul legătură de date,
cât și la nivelul transport. Astfel routerele nu trebuie să recalculeze suma de
control atunci când schimbă unul din elementele pachetului;
– Câmpul TTL din IPv4 a fost redenumit în „Hop Limit”, deoarece routerele nu
mai trebuie să calculeze timpul petrecut de pachet în cozile dispozitivelor de
rețea;
– Versiune – 4 biți – Identifică versiunea protocolului IP care generează pachetul;
– Clasă de tra fic și etichetă de flux – 8 biți, respectiv 20 biți, sunt câmpuri pentru
definirea politicilor de Quality of Service. Deși nu s -au definit utilizări explicite
ale acestor câmpuri, s -a intenționat utilizarea acestora într -un context asemănător
„multiplexări i” de fluxuri;
– Lungime de date – 16 biți, reprezintă un pointer către următorul antet opțional;
– Limită de hop -uri – 8 biți , are rol asemănător câmpului TTL din antetul
pachetului IPv4. Elimină necesitatea ca routerele să calculeze timpul se stocare
al unui pachet;
– Câmpurile de adrese – câte 128 biți fiecare, conțin adresele de rețea a sistemului
sursă și a sistemului destinaț ie. Aceste câmpuri nu sunt modificate la trecerea
pachetelor prin routere.
2.5. Avantajele utilizării IPv6
„Noul protocol IPv6 prezintă o serie de avantaje față de versiunea IPv4:
– Pune la dispoziție un număr foarte mare de adrese IP unice, riscul epuizării
acestora fiind minim;
– Permite fiecărui dispozitiv conectat la Internet să aibă propria adresă IP, ceea
ce simplifică designul rețelelor și permite o mai ușoară configurare a acestora;
– Permite ca pachetele de date să fie mult mai mari, eficientizându -se ast fel
transmiterea informațiilor în rețea;
– Încurajează dezvoltarea și utilizarea de noi dispozitive, întrucât vor exista
suficiente adrese astfel încât acestea să poată fi conectate la internet;
Pagină 20 din 58
– Permite o mai bună conectivitate între terminale. IPv6 este una dintre soluțiile
care pot fi adoptate pentru implementarea de dispozitive și aplicații cunoscute
sub numele generic de „Internet of things”;
– Oferă o mai bună calitate a serviciilor, în special a celor de transmitere de voce
și video în timp real. Routerel e IPv6 identifică diferitele categorii de trafic și
alocă fiecărui tip lungimea de bandă necesară pentru o calitate ridicată a
serviciilor furnizate;
– Garantează o securitatea sporită. A fost dezvoltat un protocol de securitate
IPSEC care, deși poate fi fol osit opțional și pentru IPv4, este obligatoriu pentru
toate sistemele IPv6 și oferă o serie de servicii de securitate de tipul criptării,
autentificării și integrității ”18.
Alte caracteristici de îmbunătățire incluse în noul protocol IPv6 sunt: Configurare
„plug -and-play”, r utare mai eficientă, identificare prin „flow label” a unei conexiuni,
mecanism de securitate, descoperirea vecinilor, mobilitate, posibilitatea unei tranz iții optime
de la IPv4 la IPv6.
2.6. Relația dintre IPv4 și IPv6 prin intermediul mecanismelor de
tranziție
Deși la nivel global, IANA nu mai dispune de adrese IPv4, astfel de adrese vor
continua să fie alocate de către registrele regionale, până la epuizarea acestora.
Așa cum este cazul în acest moment, IPv4 și IPv6 vor continua să coexiste chiar și
în momentul în care va fi posibilă doar alocarea de adrese IPv6. IPv6 nu a fost creat pentru
a înlocui IPv4, astfel că cele două protocoale pot fi folosite în paralel în Internet.
Este însă important să se evite dezvoltarea a două infrastructuri de Internet paralele
și să se asigure continuitatea serviciilor care în momentul de față rulează IPv4.
În acest scop, și având în vedere că IPv6 nu este în mod direct compatibil cu IPv4,
au fost dezvoltate o serie de tehnici care permit celor două protocoale să comunice între ele.
Cele mai cunoscute astfel de tehnici sunt următoarele:
18 ApTI – Asociația pentru Tehnologie și Internet, Probleme actuale ale adreselor de Internet – Despre IPv6,
2011
Pagină 21 din 58
– Stiva dublă : este o metodă de integrare care permite dispozitivelor să
implementeze ambele tipuri de protocoale IPv4 și IPv6 și să se conecteze la rețele
pe care rulează servicii și aplicații atât IPv4 cât și IPv6. Această metodă permite
introducerea IPv6 în arhitecturile construite în baza IPv4. Dezavantajul Stivei
duble constă în faptul că dispozitivele trebuie să aibă și o adresă IPv4, ceea ce
devine problematic din momentul în care adresele IPv4 se apropie de epuizare.
– Tunelarea sau încapsularea : permite interconectarea a două rețele IPv6
separate peste o rețea IPv4. Pachetel e IPv6 din prima rețea sunt încapsulate în
pachete IPv4, transportate de -a lungul rețelei IPv4 și decapsulate când ajung la
a doua rețea IPv6. Atunci când majoritatea rețelelor vor fi pe bază de IPv6,
metoda va permite comunicarea între rețelele IPv4 de -a lungul unei infrastructuri
IPv6.
– Translatarea: este necesară în cazul în care o gazdă IPv6 trebuie să comunice
cu o gazdă IPv4 și presupune utilizarea unui algoritm pentru translatarea IPv6 în
IPv4.
2.7. Securitatea în IPv6
Protoc olul IPv6, cu toate îmbunătățirile sale aduse în ceea ce privește antetele de
pachete IP și noua schemă de adresare, securitatea este principa lul subiect . În special în
perioada de tranziție în care IPv4 și IPv6 vor fi utilizate împreună, pot apărea probleme
suplimentare de s ecuritate19:
În continuare vom vorbi despre probleme care pot apărea în cadrul translat ării
adreselor de rețea (NAT), securit ății protocolului Internet , securit ății de nivel (Layer) 2 și
în general, probleme care pot apărea în procesele de tranziție IPv4/IPv6 .
Translatarea adreselor de rețea (NAT):
În IPv6, restricționarea numărul ui limitat de adres e IP publice disponibile nu mai
reprezintă o problem ă. In IPv4, tehnologia NAT era util izată tocmai pentru a rezolva
problema numărului de adrese. Utilizatorii care se conectează la internet în spatele unui
router NAT sunt oarecum ascunși în spatele terminalelor , deoarece adresa lor IP nu este
19 IPv6 Transition and Security Threat Report, Emin Caliskan, pag. 7
Pagină 22 din 58
expusă, acesta fiind un motiv principal pentru c are NAT se utilizează și în IPv6. Un avantaj
îl reprezintă adresarea locală unică (ULA ). Utilizarea adreselor private definite poate ajuta,
de asemenea, utilizatorii să -și protejeze adresele IP. În concluzie , NAT nu este necesară și
este chiar descurajată a fi utilizată în rețelele IPv6.
Securitatea protocolului Internet (IPsec):
Unul dintre principalele motiv e din spatele tranziției IPv4 la IPv6 se referă la
capabilitățile avansate de securitate. IPsec este un pachet de protocoale în care pachetele IP
sunt criptate și autentificate în timpul transmisiei. Este mai degrabă un cadru (framework)
decât un protocol unic. IPsec poate fi folosit pentru protejarea fluxurilor de date între o
pereche de gazde (gaz dă-gazdă), între o pereche de gateway -uri de securitate (rețea -rețea )
sau între o poartă de securitate și o gazdă (rețea -gazdă)20.
În ceea ce privește relațiile dintre protocoalele IPsec și IPv4 /IPv6, IPv6 acceptă în
mod nativ IPsec în timp ce IPv4 nu. IPs ec a fost dezvoltat împreună cu IPv6 și a fost inițial
necesar în toate standardele și implementările conforme IPv6 . Se recomandă ca IPsec să fie
utilizat cu IPv6 . Nu toate dispozitivele , cum ar fi telefoane mobile , imprimante sau
dispozitive de uz casnic , au capacități de calcul suficiente pentru procesul de criptate în
IPsec . IPsec poate fi utilizat și în IPv4. Mai mult decât atât, se poate presupune că în IPv4 ,
implementările IPsec sunt mai omniprezente decât în IPv6. Cu toate acestea, utilizarea IPsec
în IPv4 nu este o abordare nativă pentru această tehnologie de transmisie sigură și aduce
supra încărcări suplimentare acestor conexiuni .
O ultimă idee legată de relația IPv6 și IPsec este aceea că IPv6 deși este considerat
a fi mai sigur decât IPv4 datorită suportului IPsec proiectat , este posibil ca nu toate
comunicațiile IPv6 sa aibă IPsec din cauza unor probleme diverse, cum ar fi cheltuieli
operaționale. IPv4 poate utiliza, de asemenea, funcții IPsec, în ciuda faptului că nu ar fi o
implementare nativă. Ca urmare, trecerea la IPv6 și utilizarea IPsec ar fi o soluție de
securitate , dar acest lucru nu va împiedica transmisiile de pachete necriptate în viitor.
Securitate de nivel (Layer 2):
Securitatea nivelu lui 2 joacă un rol important pentru IPv6, deoarece diferă de IPv4
prin operațiunile care se petrec la acest nivel . Procesele de nivel 2 (Local Links) tratează
20 IP Encapsulating Security Payload (ESP) https://tools.ietf.org/html/rfc2406
Pagină 23 din 58
securitatea „First Hop ” (FHS) care cuprinde diferite probleme cum ar fi descoperirea
implicită a gateway -ului, configurația rețelei locale și inițializarea adreselor21.
Ținând cont de spațiul de adrese IPv6, comunicațiile de tip link local între routere și
noduri le finale sunt d iferite. Spre deosebire de IPv4, ICMPv6 are anumite caracteristici care
sunt necesare pentru comunicarea de tip link local în sensul că există un nou mecanism
„Router Discovery ” (RD) care utilizează mesaje ICMPv6 pentru a descoperi routere le în
IPv6. Rout erele răspund la mesajele de soli citare a routerului (RS) cu mesaje RA
(Advertisement Router) , aceste mesaje fiind salvate în tabelele de rutare ale nodurilor finale
pentru un anumit timp . Această operație de descoperire a routerului ar putea fi utilizată
pentru a implementa atacuri „Man in the Middle ” (MITM) în Layer 2. Dacă un atacator se
poate poziționa într -o rețea locală IPv6, ar putea trimite mesaje RA false unei victime și
poate acțio na ca un router putând asculta tot traficul de rețea provenind de la victim ă22.
Pentru a aborda astfel de mesaje de tip RA false într-o rețea IPv6, există câteva
soluții care pot fi aplicat e. Una dintre ele folosește semnături IDS personalizate care verifi că
adresa MAC și IP -ul expeditorului. O altă soluție este utilizarea NDPMon, care este un
utilitar de domeniu public. Aceasta verifică toate mesajele RA și le compară cu un fișier de
configurare XML . O altă soluție pentru atenuarea atacurilor de rețea locală în IPv6 este
folosirea unui instrument numit „rafixd”. Ideea din spatele acestui instrument este de a
detecta și a șterge toate mesajele RA false din rețea.
O altă problemă de securitate Layer 2 p entru rețelele IPv6 se bazează pe „Neighbor
Discovery ”, care este similar cu „Router Discovery” , dar între gazde. În loc de Router
Advertisement și Router Solicitation așa cum a fost între routere, există operațiuni Neighbor
Advertisement (NA) și Neighbor Solicitation (NS) între gazdele IPv6. Un tip de atac poate
să apară în timpul procesului de rezoluție a adreselor între gazde. În loc de Address
Resolution Protocol (ARP), așa cum este în IPv4, ICMPv6 este utilizat pentru rezoluția de
adrese în IPv6. În ti mpul rezoluției de adrese terminalele redirecțion ează pachetel e către
endpoint -uri pentru a aduna informații despre adresa MAC. După schimbul NS și NA, nodul
care transmite pachetul de date învață adresa MAC a nodului final și creează o intrare în
21 CISCO – IPv6 First -Hop Security Concerns https://www.cisco.com/c/en/us/about/security -center/ipv6 –
first-hop.html
22 IPv6 Transition and Security Threat Report, Emin Caliskan, pag. 8
Pagină 24 din 58
cache. D acă nu sunt folosite mecanisme de protecție adecvate, un atacator poate fi situat
între aceste noduri și executa atacuri MITM și poate monitoriz a traficul.
Un ultim exemplu de amenințări la adresa securității locale se referă la efectuarea
atacurilor DDoS folosind tehnica DAD (Duplicate Address Detection). DAD este un
mecanism care împiedică gazdele să folosească adrese duplicate. În esență, acest tip de atac
DDoS ar putea bloca o gazdă să obțină o adresă IP în rețelele IPv6 prin abuzul de DAD. În
acest mec anism duplicat de detectare a adreselor, gazdele sondează alte noduri din jur pentru
a verifica dacă cineva are adresa IP solicitată. Dacă nimeni nu răspunde cu un mesaj NA
către solicitant, gazda poate începe să folosească adresa IP pe care intenționează să o aibă.
Dacă un nod din rețea trimite un mesaj NA care o revendică adresa IP solicitată, gazda nu
va lua acea adresă IP și nu va încerca alta. Dacă atacatorul răspunde la fiecare mesaj care
provine de la acel nod, acesta va împiedica respectivul nod să -și obțin ă o adresă IP, iar
atacatorul va începe un atac DDoS. Pentru a atenua aceste atacuri, IETF a publicat
mecanisme de protecție Secure Neighbor Discovery (SEND)23 și Cryptographically
Generated Addresses (CGA)24.
Pentru CGA și o al tă metodă de combatere numită „Cheile bazate pe adresă ” (ABK),
Microsoft a publicat un articol de cercetare care ar putea fi util pentru a fi implementat în
rețelele IPv625.
Probleme generale legate de tranziție:
Tranziția IPv6 pare să dureze mai mult decât s -a estimat; majoritatea companiilor și
organizațiile guvernamentale amână continuu tranziția, iar altele sunt reticente în a trece la
IPv6. Această situație obligă organizațiile să ia în considerare utilizarea ambelor versiuni în
același timp.
O abordare tehnică pentru a trata rețelele care utilizează IPv4 și IPv6 în același timp
este dual stack. În operațiile cu stivă duală, IPv6 este utilizat pentru a comunica cu alte gazde
IPv6 atunci când este necesar , în caz contrar, se folosește IPv4. Aceas ta abordare s-ar putea
transforma într -o amenințare concentrată pe gazdă, mai degrabă decât pe rețea . Deoarece
atât IPv4 cât și IPv6 sunt activate într -o gazdă, IPv4 poate să nu fie protejat în mod
corespunzător, folosind firewall -uri personale și alte mec anisme de prevenire. Chiar și
23 SEcure Neighbor Discovery (SEND), RFC 3971, March 2005. https://tools.ietf.org/html/rfc3971
24 Aura, T., Cryptographically Generated Addresses (CGA), RFC 3972, March 2005.
25 Securing IPv6 Neighbor and Router Discovery, http://research.microsoft.com/pubs/69145/wise02.pdf.
Pagină 25 din 58
atunci când rețeaua nu rulează IPv6, dacă un atacator trimite Router Advertisement (RA)
către calculator , acest lucru ar putea obliga PC -ul să înceapă să folosească IPv6 în tăcere.
Acest atac este unul simplu , dar eficient în tehnica de exploatare a calculatoarelor cu stivă
dublă.
Un alt tip de amenințare poate proveni din tunelurile IPv6, deoarece mecanismele
de tunelare nu au deloc securitate încorporată; nici o autentificare, nici o verificare a
integrității și nici confidențialitate. Această situație ar putea crea cu ușurință oportunități
pentru atacatori să efectueze „înăbușirea ” tunelului (MITM), injectarea tunelului sau
utilizarea neautorizată a unui serviciu de tunel. Dacă nu există mecanisme de prevenire
adecvate, cum ar fi verificarea adresei sursă IPv4, utilizarea tehnicilor „antispoofing ”,
utilizarea Listelor de control de acces (ACL) și IPsec, aceste amenințări ar putea chiar să
ocolească firewall -urile.
Controalele de securitate ale hosturilor ar trebui să se ocupe atât de atacurile IPv4
cât și de IPv6 pentru a face față acestei probleme de tranziție specifice perioadei, dar această
abordare se bazează doar pe un punct de vedere tehnic. Cauza reală a problemelor de
tranziție sunt legate de conștientizare a problemelor de securitate în IPv6 și de gestionarea
eficientă a acestei perioade.
Pagină 26 din 58
CAPITOLUL III
TRANZIȚIA DE LA IPv4 LA IPv6
3.1. Aspecte generale
În acest moment Internetul este alcătuit din rețele ce au la bază IPv4, IPv6 și rețele
duale IPv4/IPv6. Din cauza incompatibilității dintre cele două protocoale a fost nevoie de
un sistem de tranziție care a fost dezvoltat de către Internet Engineering Task Force (IETF)
pentru a asigura o conexiune fără restricții.
Mecanismele de tranziție pot fi clasificate în 3 categorii (Figura 9) :
– Stiva dublă ;
– Încapsularea (Tunelarea) ;
– Translația (NAT -PT).
Figură 9 Mecanismele de tranziție
3.2. Stiva dublă
Scopul acesteia este de permite dispozitivelor de calcul să își păstreze
funcționalitățile oferite de tradiționalul IPv4, însă și să poată accesa rețele care utilizează
IPv6.
Acest mecanism presupune includerea a doua stive de protocol ce funcționează în
paralel și permite nodurilor rețelei să comunice atât prin IPv4 cât și p rin IPv6. Poate fi
Pagină 27 din 58
implementat atât în nodurile rețelei, unde permite transportul pachetelor ce aparțin ambelor
protocoale, cât și în dispozitivele utilizatorilor26.
Dezvoltarea stivei duble (Figura 10) ce partajează aceeași interfață de rețea implică
operarea celor două protocoale pe aceeași legătură fizică. Ethernet -ul și alte tehnologii de
nivel 2 suportă atât IPv4 cât și IPv627.
Tehnologia nu este dificil de implementat, deși poate necesita upgrade -uri deoarece
toate routerele trebuie să fie cu stivă duală. Stiva dublă necesită de asemenea acces la
sistemul DNS I Pv6 cât și suficientă memorie atât pentru IPv4 cât și pentru IPv6. Având în
vedere că managementul dual al protocoalelor poate introduce provocări cum ar fi epuizarea
memoriei, procesorului și cerințe suplimentare de securitate, astfel de provocări potențiale
ar trebui să fie abordate proactiv pentru a ajuta la asigurarea unei soluții cât mai eficiente.
Figură 10 Stiva Dublă
3.3. Încapsularea (Tunelarea)
Tunelul este o strategie folosită atunci când două computere care utilizează IPv6
doresc să comunice între ele și pachetul trebuie să treacă printr -o regiune care folosește IPv4
(Figura 11 )28.
26 IPv6 Implementation Dual Stack, Samwel Nyangala, 2013, pag. 35
27 CISCO – Federal Agencies and the Transition to IPv6
http://www.cu.ipv6tf.org/pdf/cdccont_0900aecd805c54d0.pdf
28 CISCO – IPv6 over GRE Tunnels https://www.cisco.com/c/en/us/td/docs/ios –
xml/ios/inte rface/configuration/xe -3s/ir -xe-3s-book/ip6 -ip4-gre-tunls -xe.pdf
Pagină 28 din 58
Figură 11 Tunel – Prezentare generală
Un tunel este un punct bidirecțional de legătură între două puncte finale ale unei
rețele. Datele sunt transportate prin tunel folosind un proces numit încapsulare în care este
transportat pachetul IPv6 în interiorul unui pachet IPv4. Termenul de „Tunelare” se referă
la un mijloc de încapsulare a unei versiuni de IP în alta, astfel încâ t pachetele poată fi trimise
pe un canal de comunicație care nu acceptă versiunea IP încapsulată.
De exemplu, când două rețele IPv6 izolate trebuie să comunice printr -o rețea IPv4,
routerele dual -stack de la marginile rețelei pot fi utilizate pentru a con figura un tunel care
încapsulează pachetele IPv6 în IPv4, permițând sistemului IPv6 să comunice fără a fi nevoie
de actualizarea infrastructurii de rețea IPv4 care există între ele. Acest mecanism poate fi
utilizat atunci când două noduri care utilizează p rotocoale identice vrea să comunice printr –
o rețea care folosește un protocol de rețea diferit.
Procesul de tunelare implică trei etape: încapsulare, decapsulare și tunel de
management. El necesită, de asemenea, două puncte finale ale tunelului, care în cazurile
generale sunt noduri IPv4/IPv6 cu două stive, care să se ocupe de încapsulare și decapsulare.
Vor exista probleme legate de performanță asociate tunelului, atât în ceea ce privește
latența în capsulării/decapsulării, cât și în ceea ce privește lățimea de bandă suplimentară
utilizată. Tunelul este una dintre strategiile de implementare principală pentru toți furnizorii
de servicii și întreprinderi în perioada de coexistență a IPv4 și IPv6 .
3.4. Translați e NAT -PT
Termenul NAT -PT este un acronim pentru „Network Address Translation ” și
„Protocol Translation ”. NAT se refer ă la transla ția unei adrese IPv4 într-o adresa IPv6 și
invers, PT reprezint ă transla ția pachetului IPv4 într-un pachet semantic echivalent IPv6 și
Pagină 29 din 58
invers. NAT -PT permite hosturilor si apli cațiilor IPv6 native s ă comunice cu hosturile și
aplica țiile native IPv4 și invers29.
Un dispozitiv NAT -PT se afl ă la grani ța dintre o re țea IPv6 și IPv4. Acesta folose ște
o mul țime de adrese IPv4 pe care le atribuie dinamic unor noduri IPv6, iar aceasta operațiune
se termin ă atunci c ând exist ă sesiuni ini țiate dincolo de grani țele IPv4 -IPv6. NAT -PT
permite stabilirea comunica ției între re țele IPv4 și IPv6.
Un mediu ce folose ște NAT -PT include o re țea IPv6 și un router de frontier ă, care
este în esen ță un server cu stiv ă dublă de NAT -PT. Mediul de asemenea necesit ă un server
DNS pentru fiecare re țea. În rețeaua IPv6, toate gazdele trebuie s ă aibă IPv6 cu stiv ă activ ă.
În rețeaua IPv4, toate gazdele trebuie sa aib ă IPv4 cu stiv ă activ ă30.
Pașii necesari pentru a crea un sistem NAT -PT sunt urm ătorii:
– Instalarea și configurarea re țelelor IPv4 și IPv6
– Instalarea și configurarea serverelor DNS IPv4 și IPv6
– Instalarea și configurarea routerului (NAT -PT Server)
Figura de mai jos (Figura 12) ilustreaz ă conceptul esen țial asupra NAT -PT:
– Nodul A IPv6 este situat în rețeaua IPv6 cu o adres ă: 2002:A001 ::BAD3 :1001 .
– Nodul B IPv6 este situat în rețeaua IPv6 cu o adres ă: 2002:A001 ::BAD3 :1002 .
– Nodul C IPv4 se afl ă în rețeaua IPv4 cu o adres ă: 192.168.15.30.
Serverul NAT -PT este conectat la două rețele diferite de tip IPv4, respectiv IPv6 . Acest
server are disponibile adrese de „pool” IPv4, incluse în rețeaua 120.130.26 .0/30, pe care le
va aloca automat în procesul de translație și are configurat și un Prefix IPv6, de exemplu
rețeaua 3001::/64.
29 CISCO – IP Addressing: NAT Configuration Guide, Cisco IOS Release 15M&T
https://www.cisco.com/c/en/us/td/docs/ios -xml/ios/ipaddr_nat/configuration/15 -mt/nat -15-mt-
book/ip6 -natpt.html
30 A Comparative Performance Study of IPv6 Transitioning Mechanisms – NAT -PT vs. TRT vs. DSTM
http://opendl.ifip -tc6.org/db/conf/networking/networking2006/MackayE06.pdf
Pagină 30 din 58
Figură 12 Comunicație IPv4/IPv6 și Ipv6/IPv6
Vom considera ca exemplu nodul A IPv6 care vrea s ă comunice cu nodul C IPv4.
Nodul A IPv6 trimite un pachet cu adresa surs ă, AS = 2002:A001 ::BAD3 :1001 către
destina ția nodului C cu IP -ul 192.168.15.30 . Serverul NAT -PT recepționează pachetul IPv6,
verifică daca există definit un tip de translatare, static sau dinamic pentru nodul C și
transformă adresa pachetului în IPv4 din plaja 120.130.26.0/ 30.
Astfel d upă translație , adresa surs ă (cu care se va identifica nodul A) va fi o adres ă
din cele disponibile (de exemplu: 120.130.26. 2), iar adresa de destina ție este 192.168.15.30.
NAT -PT va p ăstra maparea dintre 120.130.26. 2 și 2005 :A001 ::BAD3 :1001 până la sfârșitul
sesiunii. În cazul unei comun icații inverse, adresa surs ă va fi 1 92.168.15.30, adresa de
destina ție va fi 120.130.26. 2, iar NAT -PT va schimba adresa surs ă cu 3001: :192.168.15.30
și adresa destina ție cu 2005 :A001 ::BAD3 :1001 , iar comunicarea va continua.
Trebuie , însă ca re țeaua IPv6 s ă fie configurat ă astfel încât toate pachetele care
conțin un prefix în adresa de destina ție să fie direcționate către gateway -ul NAT -PT, unde
este tradus într-o adres ă IPv4.
Pagină 31 din 58
CAPITOLUL IV
TIPURILE ȘI PROCESELE DE TUNELARE ÎN TRANZIȚIA
IPv4 /IPv6
4.1. Aspecte generale
Tehnica încapsulării a făcut posibilă conexiunea rețelelor IPv6 la rețele ce foloseau
IPv4. Aceasta procedură constă în încapsularea pachetelor IPv6 în pachete IPv4, care mai
apoi sunt transmise în Internet și la recepție se face operația inversă. Încapsularea este de
două feluri:
– Explicită, care necesită configurarea echipamentului, în acest caz se utilizează
tunelarea configurată, predefinită sau manu ală;
– Implicită, care nu necesită nicio configurare anterioară și sunt folos ite tehnicile
de tunelare automată.
4.2. Tunelarea configurată (manuală)
Pentru a conecta fiecare rețea IPv6 la o altă rețea , este configurat un tunel între
fiecare pereche din ambele rețele. Acesta este configurat manual, astfel încât fiecare router
particip ant știe adresa extremităților tunelului. Protocoalele de rutare procesează tunelele ca
pe un singur hop.
Tunelul configurat manual este una dintre numeroasele tehnici de tunelare
disponibile în prezent, sunt utilizate în principal ca legături stabile pentru o comunicare
frecventă. Tunelul folosește mecanisme de securitate bazate pe standarde, precum cele
furnizate de IP Security (IPSEC) pentru a asigura securitatea comunicării res pective. În
cadrul tunelelor configurate manual o adresă IPv6 este configurată manual pe o interfață de
tunel, iar adresele IPv4 sunt configurate manual la sursa de tunel și destinația tunelului.
Deoarece sunt configurate unu la unu între punctele finale cunoscute, tunelurile
configurate manual fac ca informațiile despre trafic să fie disponibile pentru fiecare punct
final, atunci când este utilizat IPSEC, acestea oferă, de asemenea, o securitate suplimentară
împotriva atacurilor. Această strategie de tran ziție este ușor de implementat pe
infrastructurile IPv4 existente. Cu toate acestea, este important de remarcat faptul că,
Pagină 32 din 58
deoarece tunelele configurate manual necesită configurare la ambele capete și deoarece
poate fi doar între două puncte au nevoie de u n management mai mare asupra sursei atunci
când sunt implementate mai multe tuneluri. Independența tunelului și a legăturii de
topologice necesită diagnosticări suplimentare. Din acest motiv, tunelurile configurate
manual sunt ideale pentru rețele cu un nu măr limitat de tuneluri necesare.
Figură 13 Tunel Manual
În Figura 13 a fost configurat un tunel manual pentru a asigura conexiunea dintre
rețelele de tip IPv6 (1001:10:: /64 și 2002:10:: /64) peste rețeaua de tip IPv4 (10.10.10.0
/24). După atribuirea adreselor IP la toate interfețele s -a trecut la implementarea propriu –
zisă a tunelului 5005:50:50::/64 , către rețeaua 2002:10 ::/64 ca sursă a fost declarată
interfața f0/1 din routerul R1, iar către rețeaua 1001:10 ::/64 ca sursă a fost declarată
interfața f0/1 din routerul R2. Ca ultim pas după configurarea tunelului a fost
implementată rutarea statică IPv6 pentru a dirija traficul prin tunelul creat.
4.3. Tunelarea automată
Tunelarea automată nu necesită o preconfigurare. Tunelele sunt create pe baza
informațiilor continue în pachetul IPv6 (sursă și destinație).
Tunelurile aut omate necesită adrese compatibile IPv4 și pot fi utilizate pentru a
conecta noduri IPv6 atunci când routerele IPv6 nu sunt disponibile.
Pagină 33 din 58
Aceste tunele pot avea originea fie pe o gazdă dublă, fie pe un router dual prin
configurarea unei interfețe de rețea d e tunelare automată.
Tunelurile se termină întotdeauna pe gazda dublă și funcționează determinând
dinamic adresa IPv4 de destinație, punctul final al tunelului, prin extragerea adresei de pe
adresa de destinație compatibilă cu IPv4.
Dacă terminalul care p rimește informația utilizează o adresă IPv6 compatibilă
tunelarea are loc automat fără niciun fel reconfigurare.
În tunelarea automată, expeditorul trimite receptorului un pachet IPv6 folosind
adresa compatibilă IPv6 ca adresă de destinație. Când pachetul ajunge la „granița” rețelei
IPv4, routerul îl încapsulează într -un pachet IPv4, care ar trebui ulterior să aibă o adresă de
acest tip, routerul extrage adresa IPv4 încorporată pe adresa IPv6. Pachetul călătorește
apoi încapsulat în IPv4. Destinatarul, car e folosește o stivă duală de adrese primește un
pachet IPv4. Recunoaște adresa sa, citește antetul și află că este purtător al unui pachet
IPv4. Apoi trece pachetul în sistemul IPv6 pentru procesare.
Atât tunelurile configurate cât și tunelurile automate pot fi definite pentru a
funcționa de la router la router, calculator la calculator, calculator la router și router la
gazdă, dar cel mai des sunt utilizate într -o configurație de la router la router.
În metodele bazate pe tunelare, când un capăt de tunel primește un pachet de date
încapsulat, acesta decapsulează pachetul și îl trimite către cealaltă zonă de expediere
locală.
Tipurile de tunelări automate sunt:
– ISATAP: tunelare automată de la client la router, de la routrer la client și de la
client la client; este bazată pe un format particular de adresă IPv6 cu includerea
unei adrese IPv4 integrate;
– 6 to 4: este o tehnică de tunelare IPv6 peste IPv4 bazată pe un format particular
de adresă IPv6 ce ide ntifică pachetele 6to4 și realizează tunelarea lor. Formatul
adresei constă într -un prefix 6to4 (de exemplu 2001::/64), urmat de o adresă
IPv4 unică globală ce indică destinația.
– Teredo: tunelare automată prin firewall NAT peste rețelele IPv4.
Pagină 34 din 58
4.3.1. Tunel ul ISATAP
ISATAP (Intra -Site Automatic Tunneling Adressing Protocol) este un protocol
experimental ce oferă tunelare IPv6 peste IPv4, în configurații de la client la router, router
la client și client la client. Adresele ISATAP IPv6 sunt formate folosind adresele IPv4
pentru a defini ID -ul interfeței. De exemplu, ID -ul interfeței ISATAP corespunzător
adresei 192.168.10. 5 este ::5efe:192.168.10.5 .
Hosturile care suportă ISATAP necesită menținerea unei liste potențiale de rutare
ce conține adresa IPv4 și adresa asociată a fiecărui router ce deține interfața ISATAP.
Clienții ISATAP solicită informații de la routerele locale prin IPv4. Destinația solicitării
trebuie să fie indentificată de către client prin configurația manuală anterioară, căutând în
DNS hostname -ul „isatap” conținut într -un domeniu sau folosind o opțiune DHCP ce
indică adresa ISATAP a routerului. Un clint IS ATAP încapsulează pachetul IPv6 cu un
header IPv4 folosind adresa IPv4 corespunzătoare routerului descoperit prin PRL
(Potential Routers List)31.
În rețeaua IPv4, se poate configura unul dintre router e ca un router ISATAP IPv6
la care se pot conecta clienț ii IPv6. Adresa sursă IPv4 a clienților și routerului ISATAP
este încorporată în adresa IPv6, astfel încât fiecare dispozitiv să știe să ajungă în cealaltă
parte a rețelei IPv4.
În Figura 1 4 avem o adresă IPv6 I SATAP32:
– 000:5efe: este rezervată valorii UOI care indică faptul că aceasta este o adresă
ISATAP;
– Ultimii 32 de biți este adresa IPv4 exprimată în hexazecima l.
Figură 14 ID-ul interfeței ISATAP
31 Intra -Site Automatic Tunnel Addressing Protocol (ISATAP) https:/ /www.ietf.org/rfc/rfc4214.txt
32 IPv6 ISATAP (Intra Site Automatic Tunnel Addressing Protocol) https://networklessons.com/cisco/ccie –
routing -switching -written/ipv6 -isatap -intra -site-automatic -tunnel -addressing -protocol
Pagină 35 din 58
Fiind ușor de configurat mulți clienți acceptă ISATAP, inclusiv sistemele de
operare Windows și Linux, făcând acest tip de tunelare foarte comun.
Un dezavantaj al tunelării ISATAP este că nu acceptă multicast IPv6, aceasta
înseamnă că nu se vor putea rula protocoale de rutare precum OSPFv3 sau EIGRP.
Configurarea unui tunel ISATAP:
În Figura 1 5, avem următoarea topol ogie:
Figură 14 Tunelare ISATAP
Scopul este acela de a stabili conexiunea dintre Clienții ISATAP care fac parte din
rețele IPv4 și rețeaua IPv6 (2001:1:2:3::/24). Isatap_Router a fost configurat ca router
ISATAP cu adresa de tunel 2001:2:2:3::/64, având declarat ca sursă interfața f0/1 situată
într-o rețea de tip IPv4.
În cadrul rețelelor IPv4 (192.168.4.0/24, 192.168.3.0/24 și 192.168.2.0/24) a fost
implementat protocolul de rutare RIPv2.
Ulterior a fost configurat fiecare client ISATAP, iar ca rezultat putem observa
încapsularea adreselor IP după cum urmează :
– IP-ul Clientului ISATAP 1 din 192.168.2.1 s -a transformat în IP-ul
2001:2:2:3::c0a8:201
– IP-ul Clientului ISATAP 2 din 192.168.3.1 s -a transformat în IP-ul
2001:2:2:3::c0a8:301
Astfel s -a putut realiza legătura dintre rețelele IPv4 și rețeaua IPv6.
Pagină 36 din 58
În tab elul de mai jos se poate vedea o adres ă IPv4 zecimală transformată în adresa
IPv6:
Zecimal 192 168 2 5
Binar 11000000 10101000 00000010 00000 101
Hexazecimal C0 A8 02 05
Pe baza tabelului a dresa globală IPv6 a l unui Clien t ISATAP (care are la origine
adresa 192.168.2.5) , plecând de la o adresă de tipul 2001:db8:13:13::/64 (configurată într –
un tunel ISATAP) , va fi 2001:db8:13:13:: c0a8: 205.
4.3.2. Tunelul 6to4
Un tunel automat 6to4 permite conectarea domeniilor IPv6 izolate printr -o rețea
IPv4 către o rețea IPv6 aflată la distanță. Diferența cheie între tunelurile automate 6to4 și
tunelurile configurate manual este aceea că tunelul automat nu este punct la punct ci este
punct -la-multipunct. În tunelurile automate 6to4, routerele nu sunt configurate în perechi,
deoarece tratează infrastructura IPv4 ca pe o legătură virtuală multi acces non-transmisie
(NBMA). Adresa IPv4 încorporată în adresa IPv6 este utilizată pentru a descoperi celălalt
capăt al tunelului automat33.
Un tunel automat 6to4 poate fi configurat pe un router aflat la capătul unei rețele
IPv6 izolată și creează un tunel pe bază de pachet e către un router situat la capătul altei
rețele IPv6 printr -o infrastructură IPv4. Destinația t unelul ui este determinată de adresa
IPv4 a routerului aflat la un capăt, adresa IPv6 porn ind, de exemplu, cu prefixul 2002 :: /
16. Routerul de la fiecare capăt al unui tunel 6to4 trebuie să suporte atât stivele de protocol
IPv4 cât și IPv6. Tunelurile 6to4 pot fi configurate între routere sau între un router și o
gazdă.
Cel mai simplu scenariu de implementare pentru tunele le 6to4 este interconectarea
mai multor rețele IPv6, fiecare dintre ele având cel puțin câte o conexiune la o rețea IPv4
partajată. Rețeaua IPv4 ar putea fi Internet sau o companie.
33 CISCO – IPv6 Automatic 6to4 Tunnels https://www.cisco.com/c/en/us/td/docs/ios –
xml/ios/interface/configuration/xe -3s/ir -xe-3s-book/ip6 -6to4 -tunls -xe.pdf
Pagină 37 din 58
Cu alte cuvinte, „6to4” este o tehnică de tunelare IPv6 peste IPv4 bazată pe un
format particular de adresă IPv6 ce identifică pachetele 6to4 și realizează tunelarea lor.
Formatul adresei constă într -un prefix de forma 2002::/16, urmat de o adresă IPv4 unică
globală ce indică destinația. Adresa IPv4 reprezintă adresa routerului 6to4 ce se află la
ieșirea din tunel.
Configurarea unui tunel 6to4:
În Figura 1 6 avem următoarea topologie de rețea:
Figură 16 Tunel 6to4
Routerul R1 și R2 sunt conectate între ele prin interfețele FastEthernet f0/0.
Routerul R4 poate reprezenta accesul la Internet, sau către un furnizor de date cu rețea
IPv4.
Tunelul 6to4 pentru R1, de exemplu, se configurează cu următoarele comenzi:
R1(config)#interface tunnel 0
R1(config -if)#tunnel mode ipv6ip 6to4
R1(config -if)#tunnel sour ce 10.0.1.1
R1(config -if)#ipv6 address 2002:a00:101::/128
Pe lângă configurarea propriu -zisă a tunelului este necesar să configurăm și rutarea
statică IPv6 prin intermediul următoare lor comenzi:
R1(config)# ipv6 route 2002::/16 tunnel
R1(config -if)#ipv6 route 2001:db8:0:2::/64 2002:a00:201::.
Pagină 38 din 58
6 over 4
Este o tehnica de tunelare automat ă care se folose ște la IPv4 multicast. IPv4
multicast este necesar și este considerat ca fiind un strat de leg ătura virtual Ethernet.
Adresele IPv6 sunt formate folosind un prefix local (FE80::). De exemplu u n host
6 over 4 cu adresa IPv4 192.223.16.85 va forma o interfa ță IPv6 de forma ::CODF:1055,
adică o adres ă 6 over 4 de forma FE80::C0DF:1055. Tunelele 6 over 4 pot fi de forma
client la client , client la router și router la client , unde respectivele routere și hosturi
trebuie configurate s ă suporte protocolul 6 over 4. Pachetele IPv6 sunt tunelate în headere
IPv4 folosind adresa corespunz ătoare IPv4 de multicast. To ți membrii grupul ui de
multicast primesc pachetele tunelate.
Când sunt tunelate mesaje le IPv6 multicast, adresa destina ției IPv4 este format ă ca
239.192.Y.Z, unde Y si Z sunt ultimii doi bi ți din adresa IPv6.
4.3.3. Tunel ul Teredo
Teredo funcționează prin tunelarea IPv6 pe un port UDP pe porțiunea rețelei IPv4 .
Framework -ul Teredo este alcătuit din trei componente de bază:
– Clientul Teredo;
– Releul Teredo;
– Server ul Teredo.
Clienți Teredo sunt noduri care doresc să folosească Teredo pentru a ajunge la un
la un alt c lient prin Internetul IPv6. Clienții sunt noduri dual -stack (IPv4 și IPv6) care se
află în spatele unuia sau mai multor NAT -uri IPv4. Clienții Teredo trimit și primesc
întotdeauna traficul Teredo IPv6 tunelat în UDP peste IPv4.
Tunelarea printr -un firewal l ce realizează Network Address Translation (NAT)
poate fi dificilă, dar nu imposibilă. Aceasta se datoreză faptului că multe dispozitive NAT
sau firewall nu permit trecerea pachetelor IPv4 cu valoarea câmpului de protocol setată la
valoarea 41, ce reprezi ntă pachetele IPv6 tunelate. Teredo activează traversarea prin NAT
a pachetelor IPv6 tunelate peste UDP. Teredo încorpore ază headerul adițional UDP pentru
Pagină 39 din 58
a facilita traversarea prin NAT sau firewall. Teredo adaugă întâi headerul UDP și apoi cel
IPv434.
Procesul de tunelare Teredo începe cu un client Teredo ce realizeaz ă o procedur ă
de descoperire a celui mai apropiat releu Teredo fa ță de destina ția IPv6 dorit ă și identific ă
tipul firewall -ului NAT ce intervine de -a lungul conexiu nii. Hostul Teredo trebuie s ă fie
pre-configurat cu o adres ă IPv4. Determinarea celui mai apropiat releu se face prin
trimiterea unui ping (ICMPv6) c ătre destina ție. Pingul este încapsulat cu un header UDP și
apoi IPv4 și este trimis c ătre serverul Teredo, care realizeaz ă decapsularea și trimite
pachetul ICMPv6 nativ la destina ție. R ăspunsul hostului destina ție va fi comutat folosind
IPv6 c ătre cel mai apropiat releu. În acest fel, clientul determin ă adresa IPv4 și portul celui
mai apropiat releu (Figura 1 7).
Figură 17 Conexiune între doi Clien ți Teredo care comunică printr -un releu Teredo
Tipul NAT -ului ce intervine poate s ă conduc ă la necesitatea realiz ării unui pas
adițional de ini țializare a map ării tabelei NAT.
Tipurile NAT au fost definite în general ca:
– Con full – toate pachetele IP de la aceea și adres ă IP și acela și port intern sunt
mapate de c ătre NAT c ătre adresa și portul extern corespunz ător.
34 INFOSEC – Teredo Tunneling https://resources.infosecinstitute.com/teredo -tunneling/#gref
Pagină 40 din 58
– Con restric ționat – toate pachetele IP de la aceea și adres ă IP și port sunt mapate de
către NAT c ătre adresa și portul extern corespunz ător. Un host extern poate comunica cu
hostul intern numai dac ă hostul intern a trimis anterior un pachet c ătre hostul extern. Acest
lucru restric ționeaz ă pachetele primite, dar nesolicitate.
– Con cu port restric ționat – toate pachetele de la aceea și adres ă IP intern ă și acela și
port sunt mapate de c ătre NAT c ătre adresa și portul extern corespunz ător. Hosturile
externe pot comunica cu hostul intern numai dac ă hostul intern a trimis anterior un pachet
către hostul extern, folosind aceea și adres ă și port ale hostului extern.
– Simetric – toate pachetele de la o anumit ă adres ă IP și un port intern ce au ca
destina ție o adres ă IP și un port anume, sunt mapate c ătre o adres ă IP și un port particular.
Pachetele de la aceea și adres ă IP și port c ătre o destina ție cu adresa IP și port diferit,
rezult ă într-o mapare diferit ă a adresei IP și a portului. Hosturile externe pot comunica cu
hostul intern numai dac ă hostul intern a trimis în prealabil un pachet c ătre hostul extern
folosind aceea și adres ă și port cu cele ale hostului extern.
Teredo nu suport ă traversarea dispozitivelor simetrice. Pentru a completa maparea
în NAT a comunic ării dintre hostul intern și hostul d estinație, se trimite un „bubble
packet” la host. Un „bubble packet ” permite NAT -ului s ă completeze maparea adreselor
IP interne și externe și a porturilor interne și externe în cazul NAT -ului cu port
restric ționat.
În general, pachetul „bubble” este trimi s direct de la surs ă, reprezentat ă de clientul
Teredo, la hostul destina ție. Dar dac ă hostul destina ție este de asemenea în spatele unui
firewall, pachetul „bubble” poate fi aruncat. Astfel, clientul Teredo va intra în time -out,
apoi va trimite pachetul „bubble” la destina ție prin inter mediul serverului Teredo. Dac ă ne
asum ăm ideea c ă hostul destina ție este de asemenea un client Teredo, o mapare a firewall –
ului exist ă de asemenea între destina ție și serverul Teredo. Serverul destina ție va
recep ționa pachetul „bubble”, apoi va r ăspunde la hostul emi țător direct, complet ând
maparea firewall -ului de la destina ție la emi țător prin ambele dispozitive.
4.3.4. Tunel „brokers ”
Acest mecanism asigur ă o altă tehnic ă de tunelare automat ă peste re țelele IPv4.
Tunne l broker gestioneaz ă cererile de tunelare de la clien ții cu stiv ă dublă și serverele
Pagină 41 din 58
tunel -broker, destinate conect ării la re țelele IPv6. Clien ții cu stiv ă dublă ce încear că să
acceseze o re țea IPv6 pot fi op țional direc ționați printr -un DNS c ătre un tunel broker web
server ce va realiza autentificarea în vederea folosirii acestui serviciu. Odat ă autorizat,
tunel broker -ul realizeaz ă următoarele func ții:
– Atribuie și configureaz ă un server de tunel și îl informeaz ă cu privire la
noul client.
– Atribuie o adres ă IPv6 sau prefix unui client;
– Informe ază clientul cu privire la serverul de tunel atribuit lui și parametrii
IPv6, incluz ând adresa/prefixul și DNS -ul.
Din perspectiva utilizatorului final, setarea conexiunilor tunelului cu re țeaua IPv6
pare a fi similar ă cu setarea unei conexiuni VPN.
Pagină 42 din 58
CAPITOLUL V
APLICAȚIA PRACTICĂ – SCENARII DE
IMPLEMENTARE A MECANISMELOR DE TRANZIȚIE
IPv4/IPv6
Aplicația practică (ANEXA 1) a fost realizată cu ajutorul programului GNS335.
GNS3 este un software gratuit (open source ), dezvoltat și susținut de peste 800.000 de
membri și care acceptă echipamente CISCO.
Programul GNS3 permite crearea și simularea topologiilor de rețele oferind
posibilitatea de a rula un server local pe dispozitivul pe care este instalat.
GNS3 suportă atât emularea cât și simularea echipamentelor de date (PC -uri,
Switch -uri, Routere etc.):
– Emularea: GNS3 imită sau emulează hardware -ul unui dispozitiv și rulează
efectiv imagini pe echipamentul virtual. De exemplu se poate copia un CISCO
IOS (sistemul de operare) dintr -un router CISCO real și să poată fi rulat în
GNS3;
– Simularea: GNS3 poate simula caracteristicile și funcționalitatea unui
dispozitiv, cum ar fi un switch. Nu se rulează efectiv sistemele de op erare
(CISCO IOS), ci mai degrabă se simulează un echipament încorporat deja în
programul GNS3 (de exemplu Switch -ul de Layer 2) .
Aplicația practică este formată din echipamente de date (PC -uri, Switch -uri și
Routere), interconectate între ele, care alcăt uiesc rețele de tip IPv4 și IPv6.
Scopul aplicației este acela de a realiza conexiunea dintre rețelele IPv4 și rețelele
IPv6 prin intermediul mecanismelor de tranziție IPv4/IPv6, utilizând procesele de
încapsulare (tunelare) manuale și automate.
Proiectul se împarte în patru scenarii, fiecare scenariu având o topologie de rețea
proprie și reprezentând câte o situație de implementare a mecanismelor de tranziție sub
35 DOCUMENTATION/GETTING STARTED WITH GNS3
https://docs.gns3.com/1PvtRW5eAb8RJZ11maEYD9_aLY8kkdhgaMB0wPCz8a38/index.html
Pagină 43 din 58
diverse aspecte, utilizându -se ambele protocoale IPv4 și IPv6 și protocoale de rutar e
statică și dinamică (RIPv2).
5.1. Scenariul 1 – Tunel manual
În primul scenariu s -a configurat trei rețele IPv6, 2002:10::/64, 1001:10::/64 și
2001:1:2:3::/64, fiecare rețea cuprinde câte trei calculatoare cu IP-uri din rețelele
corespunzătoare (Anexa 2).
Între routerul RA și routerul RH există o rețea IPv4, 10.10.1 0.0/30, cu două IP-uri
utilizabile.
Scopul este ca rețelele IPv6 să poate comunica între ele peste rețeaua IPv4. Pentru
a face posibil acest lucru a fost necesar implementarea unui tunel configurat (manual) care
să traverseze rețeaua IPv4.
Pagină 44 din 58
Tunelul manual , al cărui adresă este 5005:50:50::/64, a fost realizat între interfețele
f1/0 ale routerelor RA și RH cu următoarele comenzi (pentru RA) :
#ipv6 unicast -routing
#no sh
#int tunnel 0
#ipv6 enable
#ipv6 address 5005:50:50::1/64
#tunnel sour ce fa0/1
#tunnel destination 10.10.10.2
#tunnel mode ipv6ip
După cum se poate observa, în configurarea unui tunel manual este necesar a se
specifica adresa IPv6 dintr -un capăt tunelului (5005:50:50::1/64), la fel se procedează și în
celălalt capăt, adresa IPv6 va fi ::2/64. A mai fost necesar să se specifice în mod clar sursa
și destinația pentru a preciza practic tunelului de unde va începe și unde se va încheia . Pe
lângă aceste configurări a mai trebuit implementat protocolul de rutare stati că specific
pentru IPv6, pentru a redirecționa traficul din rețele le IPv6 prin tunelul proaspăt creat,
acest lucru se realizează cu comanda:
#ipv6 route 2002:10::/64 5005:50:50::1
Acești pași sunt aplicați pe ambele routere (sursa și destinația tunelului).
Tunelul se poate vizualiza cu comanda:
#show ipv6 interface tunnel 0
5.2. Scenariul 2 – Tunel ISATAP
Al doilea scenariu este alcătuit din dou ă routere (RD și RC) și un client ISATAP
(RClient_Isatap1), în spatele routerului RD, care este folosit ca router ISATAP, se află o
interfață de test „ loopback ” cu adresa IP 15.15.11.1. Scopul este acela de a realiza
conexiunea dintre interfața loopback și clientul ISATAP prin protocolul IPv6.
Pagină 45 din 58
Au fost alocate adrese IP pe fiecare din interfețe (Anexa 2) și s -a realizat
protocolul de rutare dinamic RIPv2 pentru a face posibilă comunicarea între rețelele IPv4 .
.
Routerul RD a fost configurat ca router ISATAP cu ajut orul următoarelor comenzi:
#ipv6 unicast
#interface tunnel 1
#no ip address
#no ip redirect
#ipv6 address 2001:a001::/64 eui -64
#no ipv6 nd ra su
#tunnel source 10.15.11.1
#tunnel mode ipv6ip isatap
După cum se observă a fost necesară doar declararea sursei (interfața loopback) și
a adresei tunelului (2001:a001::/64).
Pagină 46 din 58
Clientul ISATAP a fost configurat cu următoarele comenzi:
#interface tunnel 1
#no ip address
#ipv6 enable
#ipv6 address auto
#tunnel source 192.168.12.5
#tunnel destination 10.15.11.1
#tunnel mode ipv6ip
Tunelul ISATAP a încapsulat automat adresele IP, astfel adresa interfeței loopback
din 10.15.11.1 a devenit 2001:a001::5efe:a0f:b01, iar adresa Clientului ISATAP din
192.168.12 .5 a devenit 2001:a001::c0a8:c05, unde a0f:b01 și c0a8:c05 sunt adresele IPv4
transformate în hexazecimal.
5.3. Scenariul 3 – Tunel ISATAP implementat pe Sistemul de operare Windows
Programul GNS3 oferă posibilitatea de a comunica direct din dispozitivul perso nal
printr -un „Cloud” cu echipamentele emulate (routere) configurate în GNS3 prin
intermediul unei interfețe de test „loopback ”.
.
Pagină 47 din 58
Astfel s -a creat o interfață loopback în dispozitivul personal (KM -TEST Microsoft
Loopback Adapter) denumită Ethernet 4 cu adresa IP 192.168.11.2, iar routerului RB i -a
fost alocată adresa de gateway 192.168.11.1
Următorul pas a fost configurarea tunelului ISATAP cu adresa 2001::/64 pe
router ul RB, adresa IP transformându -se din 192.168.11.1 în 2001::5efe:c0a8:b01
Clientul ISATAP (dispoz itivul personal) a fost configurat din sistemul de operare
Windows prin intermediul Command Promptului astfel:
C:\WINDOWS \system32>netsh interface isatap
netsh interface isatap>set router 192.168.11.1
netsh interface isatap>show router
Router Name : 192.168.11.1
Use Relay : default
Resolution Interval : default
netsh interface isatap>set state enable
netsh interface isatap >show state
ISATAP State : enabled
Se poate observa cu comanda „ipconfig” cum tunelul ISATAP a fost activat, iar
IP-ul 192.168.11.2 a fost integrat în adresa IPv6 2001::/64
C:\WINDOWS \system32>ipconfig
Tunnel adapter isatap.{1443E2DE -1CD3 -4D53 -B59F-BACDA33B6B47}:
Connection -specific DNS Suffix . :
IPv6 Address. . . . . . . . . . . : 2001::5efe:192.168.11.2
Link-local IPv6 Address . . . . . : fe80::5efe:192.168.10.2%45
Default Gateway . . . . . . . . . : fe80::5efe:192.168.10.1%45
Verificând cu ping în adresa IPv6 de gateway putem vedea că cele două dispozitive
comunică între ele.
C:\WINDOWS \system32>ping 2001::5efe:c0a8:b01
Pinging 2001::5efe:192.168.11.1 with 32 bytes of data:
Reply from 2001::5efe:192.168.11.1: time=10ms
Reply from 2001::5efe:192.168.11.1: time=9ms
Reply from 2001::5efe:192.168.11.1: time=4ms
Reply from 2001::5efe:192.168.11.1: time=5ms
Pagină 48 din 58
Ping statistics for 2001::5efe:192.168.11.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli -seconds:
Minimum = 4ms, Maximum = 10ms, Average = 7ms
5.4. Scenariul 4 – Tunel 6 to 4
În ultimul scenariu este reprezentat procesul de tunelare 6 to 4. Topologia este
alcătuită din trei rețele IPv6 (2001:db8:0:1::/64, 2001:db8:0:2::/64, 2001:db8:0:3::/64)
situate la extremități reprezentate prin interfețe loopback . Routerele (RE, RF și RG) sunt
legate între ele prin intermediul routerului RIPv4_Cloud reprezentând o rețea de tip IPv4
care poate semnifica accesul la Internet. Scopul acestui scenariu este de a realiza
Pagină 49 din 58
conexiunea dintre rețelele IPv6 care sunt izolate și două sau mai multe rețe le IPv4. Pentru
a realiza conexiune a s-a optat pentru modul de tunelare 6 to 4.
Adresele pe interfețe au fost atribuite conform Anexei 2.
Între rețelele IPv4 a fost implementat procesul de rutare dinamică RIPv2 pentru a
realiza comunicarea dintre routere s ub protocolul IPv4.
Pe fiecare router care conține în spate o rețea IPv4 s -a configurat tunelul 6 to 4 cu
ajutorul următoarelor comenzi (exemplu routerul RG):
#interface tunnel 0
#tunnel mode ipv6ip 6to4
#tunnel source 10.0.1.1
#ipv6 address 2002:a00:101::/128
Ulterior s -au creat rutări statice IPv6 pe fiecare tunel în parte sub următoarea
formă:
#ipv6 route 2002::/16 tunnel 0
# ipv6 route 2001:db8:0:2::/64 2002:a00:201::
#ipv6 route 2001:db8:0:3::/64 2002:a00:301::
Vizualizarea tunelelor se realizează cu com enzile :
#show ipv6 route
#show tunnel endpoint
În acest caz tunelul 6 to 4 nu a mai încapsulat adresele IPv4 ci doar a creat o punte
de comunicație de la sursă către toate dest inațiile descoperite, adică din routerul RF același
tunel (2002:a001:101::/128) realizează trafic și cu routerul RE și cu routerul RG.
În acest mod s -au configurat și celelalte două routere (RE și RG) care au în spate
adrese de rețea IPv6.
Pagină 50 din 58
5.5. Testare în aplicația HP ALM (HP Application Lifecycle
Management)
Proiectul practic, realizat în GNS3, a fost testat cu ajutorul aplicației HP ALM (HP
Application Lifecycle Management) după cum urmează:
Pasul 1: Au fost creați pașii care trebuie îndepliniți în cadru testării aplicației.
Pagină 51 din 58
Pasul 2: Au fost configurați parametrii și introduși pe parcurs în cadrul pașilor de
testare (Design Steps)
Pasul 3: A fost realizată testarea manuală, s -a parcurs fiecare pas în parte având ca
„status” valoare a „Passed”.
Pagină 52 din 58
CONCLUZII
Ținând cont de faptul că încă există foarte multe instituții care utilizează protocolul
IPv4 din diferite motive, cum ar fi echipamente care nu suportă încă protocolul IPv6, dar
în același timp numărul de dispozitiv e se află într -o continuă creștere de la an la an, nu se
poate, cel puțin pentru moment, renunța la protocolul IPv4 sau trece doar la IPv6 .
Implementarea totală a noului protocol necesită atât timp și resurse, cât și
disponibilitatea și încrederea din partea utilizatorilor finali și nu în ultimu l rând
îmbunătățirea echipamentelor care nu pot face față noului protocol (de exemplu memorii
RAM insuficiente).
Din acest motiv mecanismele de tranziție IPv4/IPv6 sunt absolut necesare în
vederea creării legăturilor de comunicații dintre ambele protocoal e.
Cel mai utilizat mecanism de tranziție este cel de încapsulare deoarece oferă
posibilitatea transmiterii pachetelor de date pe distanțe uriașe fără să țină cont de hopuri
sau echipamente intermediare oferind în același timp și securitate , protocolul IPv6 având
în mod nativ și IPsec , spre deosebire de stiva duală care va trebui configurată pe fiecare
echipament intermediar în parte, ceea ce este imposibil de realizat pe distanțe foarte mari,
iar conceptul de translație (NAT -PT) prin simplu fapt că adresa IPv4 a calculatorului
rămâne privată, iar public respectivul host iese cu o altă adresă IPv6, poate reprezenta un
avantaj pentru persoanele rău intenționate.
După cum s -a putut observa în demonstrațiile din cadrul aplicației practice, un
tunel manual sau automat transportă informațiile de la sursa lui direct la destinația proprie
fără a ține cont de hopuri. Singura condiție atunci când dorim să transportăm pachete IPv 6
peste rețele IPv4 este aceea de a exista o legătură acitvă și rutată într e sursa și destinația
respectivului tunel, cu atât mai mult în cazul unui tunel manual, acesta necesită
configurarea atât a sursei cât și a destinației . De aici rezultă faptul că un tunel IPv6 nu
poate exista fără protocoalele de rutare IPv4 dintre echipam ente.
Principalul rol al proiectului practic este acela de a reprezenta eficiența și ușurința
prin care se pot realiza procesele de tunelare, modul de încapsulare a IP -urilor și realizarea
conexiunilor dintre rețele ce conțin protocoalele IPv4, respectiv I Pv6.
Pagină 53 din 58
Până se va implementa în totalitate protocolul IPv6, procesul de tranziție creează o
legătură strânsă între cele două protocoale, coexistând împreună și oferind servicii
utilizatorilor și dintr -o parte și din cealaltă.
Pagină 54 din 58
Bibliografie
1. Adresarea IPv4 și IPv6 http://ham.elcom.pub.ro/rs/platf/rs -lab5.pdf
2. ApTI – Asociația pentru Tehnologie și Internet, Probleme actuale ale adreselor de
Internet – Despre IPv6, 2011
3. CISCO – Federal Agencies and the Transition to IPv6
http://www. cu.ipv6tf.org/pdf/cdccont_0900aecd805c54d0.pdf
4. CISCO – IP Addressing: NAT Configuration Guide, Cisco IOS Release 15M&T
https://www.cisco.com/c/en/us/td/docs/ios -xml/ios/ipaddr_nat/configuration/15 –
mt/nat -15-mt-book/ip6 -natpt.html
5. CISCO – IPv6 Automatic 6to 4 Tunnels https://www.cisco.com/c/en/us/td/docs/ios –
xml/ios/interface/configuration/xe -3s/ir-xe-3s-book/ip6 -6to4-tunls -xe.pdf
6. CISCO – IPv6 First -Hop Security Concerns
https://www.cisco.com/c/en/us/about/security -center/ipv6 -first-hop.html
7. "H3C S12500 ISATA P Tunnel and 6to4 Tunnel Configuration Examples"
8. INFOSEC – Teredo Tunneling https://resources.infosecinstitute.com/teredo –
tunneling/#gref
9. Intra -Site Automatic Tunnel Addressing Protocol (ISATAP)
https://www.ietf.org/rfc/rfc4214.txt
10. IPv6 Header Deconstructe d https://www.ipv6.com/general/ipv6 -header –
deconstructed/
11. IPV6 IMPLEMENTATION Dual Stack, Samwel Nyangala, 2013
12. IPv6 Transition and Security Threat Report, Emin Caliskan, pag. 7
13. Modelul ISO -OSI https://www.math.uaic.ro/~mapetrii/fisiere/ISR/C2.pdf
14. Network Security IPv6 Security for IPv4 Engineers, Fernando Gont, 2019
15. Rețele de Telecomunicații, Tatiana Rădulescu, Editura Thalia, 2005, București
16. Rețele de Calculatoare, Ediția a treia revizuită, Andrew S. Tanenbaum
17. Rețele de comunicații de date
https://wbt.uni tbv.ro/web/moodle/file.php/1/Ghiduri/Retele_de_comunicatii_date.pdf
18. SEcure Neighbor Discovery (SEND), RFC 3971, March 2005.
https://tools.ietf.org/html/rfc3971
19. The Teredo Protocol: Tunneling Past Network Security and Other Security
Implications Dr. James H oagland
Pagină 55 din 58
Anexa 1 – Imagine de ansamblu a proiectului practic
Pagină 56 din 58
Anexa 2 – IP-urile interfețelor de pe echipamente
Pagină 57 din 58
Anexa 3 – Abrevieri
ACL Access Control List Listă de Control Acces
ARP Adress Resolution Protocol Protocolul de rezolvare a
adreselor
CGA Cryptographically Generated Address Adresă Generată Criprografic
DAD Duplicate Address Detection Detectare Adrese Duplicate
DDoS Distributed Denial -of-Service Blocarea unui Serviciu
DNS Domain Name System Sistem Nume de Domeniu
IANA Internet Assigned Numbers Authority –
ICMP Internet Control Message Protocol Protocolul Mesajelor de
Control
IETF Internet Engineering Task Force
IP Internet Protocol Protocolul Intern et
IPSEC Internet Protocol Security Securitatea Protocolului
Internet
ISATAP Intra-Site Automatic Tunnel
Addressing Protocol –
ISO/OSI International Organization for
Standardization / Open Systems
Interconnection –
MAC Media Access Control –
MITM Man In The Midd le –
NA Neighbor Advertisement –
NAT -PT Network Address Translatio n –
Protocol Translation –
NDPMon The Neighbor Discovery Protocol
Monitor –
RD Router Discovery –
RIPv2 Routing Information Protocol version
2 –
RS Router Solicitation message –
Pagină 58 din 58
RSA Rivest –Shamir –Adleman –
SEND Secure Neighbor Discovery –
TCP/IP Transmission Control
Protocol/Internet Protocol Protocol de control al
transmisiei/Protocol Interne t
TTL Time to Live
UDP User Datagram Protocol Protocolul Datagramelor
Utilizator
ULA Unique Local Address Adrese Locale Unice
UTP Unshielded twisted -pair Cablu din cupru torsadat
WAN Wide Area Network Rețea de arie extinsă
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Mecanisme de tranziție IPv4IPv6 [603345] (ID: 603345)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.