Mecanisme de tranziție IPv4IPv6 [603346]

UNIVERSITATEA „TITU MAIORESCU” DIN BUCUREȘTI
FACULTATEA DE INFORMATICĂ

LUCRARE DE
LICENȚĂ
Mecanisme de tranziție IPv4/IPv6

COORDONATOR ȘTIINȚIFIC:
Conf. univ. dr. ing. Iosif Praoveanu

ABSOLVENT: [anonimizat]/IULIE
2020

Cuprins
Tastați titlul capitolului (nivel 1) ………………………….. ………………………….. ………………………….. ……. 1
Tastați titlul capitolului (nivel 2) ………………………….. ………………………….. ………………………….. …. 2
Tastați titlul capitolului (nivel 3) ………………………….. ………………………….. ………………………….. 3
Tastați titlul capitolului (nivel 1) ………………………….. ………………………….. ………………………….. ……. 4
Tastați titlul capitolului (nivel 2) ………………………….. ………………………….. ………………………….. …. 5
Tastați titlul capitolului (nivel 3) ………………………….. ………………………….. ………………………….. 6

Pagină 5 din 42
INTRODUCERE

O rețea reprezintă un ansamblu de dispozitive (Calculatoare Personale, Routere,
Switch -uri etc.) interconectate, care pot schimba informații între ele fiind destinate unor
utilizatori publici sau privați.
Rețelele pot fi de mai multe tipuri (Lan – Local Ar ea Network, MAN – Metropolitan
Area Network, WAN – Wide Area Network, WLAN – Wirreless LAN).
O rețea de tip LAN este o rețea limitată din punct de vedere geometric, fiind private
localizate într -o singură clădire sau într -un campus de cel mult câțiva kilom etri. LAN -urile
se disting de alte tipuri de rețele prin trei caracteristici: mărime, tehnologie de transmisie și
topologie. LAN -urile având dimensiuni restrânse înseamnă că timpul de transmisie în cazul
cel mai defavorabil este limitat și cunoscut dinaint e. Ele utilizează frecvent o tehnologie de
transmisie care constă dintr -un singur cablu la care sunt atașate toate dispozitivele. Cele mai
pot opera la viteze mai mari, până la sute de megabiți/sec.
Mai multe rețele LAN combinate și interconectate alcătui esc un MAN, o rețea mai
extinsă, la nivelul unui oraș, care oferă viteză mai ridicată de transfer de date , însă utilizează
în mod normal tehnologii similare cu rețeaua LAN, se poate spune ca MAN este o versiune
extinsă a rețelei de tip LAN. Un aspect cheie pentru un MAN este prezența unui mediu de
difuzare la care sunt atașate toate calculatoarele, acesta simplifică mult proiectarea în
comparație cu alte tipuri de rețele.
O rețea WAN este alcătuită din mai multe rețele permițând extinderea pe mai multe
orașe, țări sau continente . În cazul celor mai multe WAN -uri, rețeaua conține numeroase
cabluri sau linii telefonice, fiecare din ele legând o pereche de routere. Dacă două routere
nu împart un același cablu, dar doresc să comunice, atunci ele trebuie să f acă acest lucru
indirect, prin intermediul altor routere. Când un pachet este transmis de la un router la altul
prin intermediul unuia sau mai multor routere, pachetul este primit în întregime de fiecare
router intermediar, este reținut acolo până când lin ia de ieșire cerută devine liberă și apoi
este retransmis. O subrețea care funcționează pe acest principiu se numește subrețea punct –
la-punct. O a doua posibilitate pentru un WAN este utilizarea unui satelit sau a unui sistem
radio terestru. Uneori routere le sunt conectate la o rețea punct -la-punct și numai unele dintre

Pagină 6 din 42
ele au antene de satelit. Rețelele de sateliți sunt în mod inerent rețele cu difuzare și se
utilizează mai ales atunci când proprietatea de difuzare este importantă.
Pentru a reduce din comp lexitatea proiectării, cele mai multe rețele sunt organizate
sub forma unei serii de straturi sau niveluri. Numărul de niveluri, numele, conținutul și
funcția variază de la rețea la rețea.
Proiectarea, întreținerea și administrarea rețelelor de comunicații se poate face mai
eficient prin folosirea unui model de rețea stratificat.
Modelul ISO -OSI (Figura 1) împarte arhitectura rețelei în șapte nivele, construite
unul deasupra celuilalt, adăugând funcționalitate serviciilor oferite de nivelul infer ior.
Nivelele superioare beneficiază de serviciile oferite de cele inferioare in mod transparent.
Acest model permite realizarea de module software necesare funcționării rețelei care
implementează diferite funcții (codare, criptare, împachetare etc.). Mode lul nu precizează
cum se construiesc nivelele, dar pune accent pe serviciile oferite de fiecare și specifică
modul de comunicare între nivele prin intermediul interfețelor. Proiectarea arhitecturii pe
nivele determină extinderea sau îmbunătățirea facilă a sistemului.

Figură 1 Modelul ISO/OSI

Pagină 7 din 42
Nivelul fizic are rolul de a transmite datele de la un calculator la altul prin
intermediul unui canal de comunicație (cablu UTP, fibră optică, unde radio etc.). La acest
nivel datele sunt văz ute ca un șir de biți. Problemele tipice sunt de natură electrică (nivelul
tensiunii electrice, durata impulsurilor de tensiune electrică, asigurarea păstrării formei
semnalului propagat). La acest nivel natura sursei de informație (date, voce, audio) nu s e
mai cunoaște, ceea ce face ca procesul de comunicație să fie considerat transparent.
Nivelul legăturii de date corectează erorile de transmitere care apar la nivelul fizic.
La acest nivel biții sunt împărțiți în cadre, adică pachete încapsulate cu antet și marcaj final,
care includ adresele sursei și destinației pentru a face posibilă expedierea datelor între două
calculatoare.
Nivelul rețea asigură dirijarea unităților de date între sursă și destinație. În unele
LAN -uri, funcția nivelului de rețea se red uce la cea de buffering și retransmisie a pachetelor.
În cadrul WAN -urilor, se realizează operația de rutare a pachetelor.
Nivelul transport conectează două calculatoare între ele detectând și corectând
erorile pe care nivelul rețea nu le tratează. Este si tuat în mijlocul ierarhiei , asigurând
nivelelor superioare o interfață independentă de tipul rețelei utilizate. La acest nivel funcțiile
superioare sunt stabilirea unei conexiuni sigure, inițierea transferului, controlul fluxului de
date și închiderea conexiunii.
Nivelul sesiune stabilește și întreține sesiuni între procesele aplicației. O sesiune
începe doar dacă legătura între noduri este stabilită. Nivelul sesiune este considerat ca fiind
interfața dintre utilizator și rețea.

Pagină 8 din 42

Figură 2 Conexiunea criptată SSH (stânga) și conexiunea necriptată Telnet (dreapta) –
captură realizată din Wireshark
Nivelul prezentare transformă datele în formate înțelese de entitățile ce intervin într –
o conexiune. La acest nivel se reali zează și codificarea datelor prin compresie sau criptare
(Figura 2) , fiind apoi reprezentate în formatul lor standard acceptat. Tot aici se supervizează
comunicațiile în rețea cu imprimantele, monitoarele și formatele în care se transferă
fișierele.
Nivelu l aplicație implementează algoritmii software care co nvertesc mesajele în
formatul acceptat de un anumit terminal. Nivelul aplicație nu comunică cu aplicațiile ci
controlează mediul în care se execută aplicațiile, punându -le la dispoziție servicii de
comun icație.
Pentru ca două calculatoare să poată comunica unul cu celălalt, amândouă trebuie să
respecte același set de reguli. O rețea de calculatoare specifică mai multe protocoale
independente pe care utilizatorii trebuie să le respecte. Pentru fiecare subp roblemă care
trebuie rezolvată există un protocol.
Internetul și în mod special WWW (World Wide Web) a creat o lume nouă, o
societate informatică al cărei potențial este departe de a fi utilizat în întregime. Internetul
este o rețea globală formată prin i nterconectarea calculatoarelor și a rețelelor de calculatoare
de pe tot cuprinsul globului, care comunică între ele prin protocolul TCP/IP și utilizează o
structură de adresare comună definită prin DNS (Domain Name System).

Pagină 9 din 42
Internetul este bazat pe anumite protocoale. Cel mai important protocol folosit de
utilizatori se numește IP (Internet Protocol). TCP (Transport Control Protocol) funcționează
doar cu IP.
Protocolul IP este cel care mută pachetele dintr -un loc în altul, iar TCP asigură
fiabilitatea comun icației. IP are rolul de a livra pachetele de date de la sursă la destinație pe
baza adreselor lor. În acest scop se definește metode de adresare și structuri de încapsulare
a datagramelor .
Protocolul IP trebuie să fie implementat în fiecare „host computer” care comunică
cu Internetul precum și în fiecare gateway sau router care interconectează diferite rețele.
Prima versiune de adresare, denumită Internet Protocol versiunea 4 (IPv4), este încă
protocolul de Internet dominant. Ulterior s -a dezvolta t Internet Protocol versiunea 6 (IPv6)
pentru a înlocui protocolul IPv4 care va deveni insuficient ca spațiu de adrese IP.
Protocolul Internet versiunea 4 (IPv4) este a patra dezvoltare a Protocolului Internet
(IP) și prima versiune utilizată pe scară larg ă. Alături de IPv6, protocoalele au la bază
standarde și metode de Inter netnetworking. IPv4 este descris în publicația IETF RFC 791 .
Toate protocoalele Internet folosesc IP ca mecanism de bază pentru transportul
datelor. IP este un protocol de comunicație de tip datagramă, adică nu se bazează pe
conexiune, care include facilitați pentru adresare, fragmentarea și reasamblarea pachetelor
și securitate.
Accesibilitatea la rețeaua Internet poate fi realizată prin:
– Folosirea de gateway pentru acces la servicii furnizate de alte rețele ;
– Acces radio de mare capacitate ;
– Acces Internet prin rețeaua TV sau rețeaua de distribuție a energiei electrice ;
– Acces prin sistemele cu sateliți cu acces fix sau mobil, în special pentru zone
izolate.

1. Protocolul IPv4 (Internet Protocol – version 4)
IPv4 este un protocol fără conexiune utilizat pe pachete comutate, precum rețelele
Ethernet. Acesta funcționează pe modul de livrare pe modelul de livrare „cel mai bun efort”,

Pagină 10 din 42
în măsura în care nu garantează livrarea și nu asigură succesiunea corectă sau evitarea de
pachete duplicat.
Aceste aspecte, inclusiv cel de integritate a datelor, sunt abordate printr -un protocol
de transport strat superior, cum ar fi Transmission Constrol Protocol (TCP).
Cuprinde toate protocoalele și procedurile necesare pentru ca o conexiune să
parcurgă rețele multiple. Pachetele de date de la acest nivel trebuie să fie rutabile.
Protocolul IPv4 este fără conexiune, de tip datagramă, ceea ce înseamnă că pachetele
își caută singure drumul prin rețe a.
Protocolul IPv4 utilizează o schemă binară de adresare pe 32 de biți care identifică
în mod unic calculatoarele conectate, dispozitivele de rețea și rețeaua, atât pentru sură cât și
pentru destinația pachetului. Adresele IP sunt înregistrate și administ rate de către centrele
regionale NIC (Network Information Center).
Adresele IP neînregistrate oficial pot fi utilizate numai în cadru restrâns, în rețeaua
locală respectivă, ele nefiind recunoscute în afară.
Protocolul IPv4 folosește cinci clase de adrese. Ele reprezintă în mod uzual în format
zecimal pe 4 octeți, separați prin punct (de ex. 192.168.9.1), deși adresele sunt binare.
Clasa A definește adrese de host de la 10.0.0.0 la 126.0.0.0 (primul bit din adresă
are valoarea 0), fiecare adresă de rețea cl asa A conține 16.774.214 adrese distincte de host.
Clasa B definește adrese de host de la 128.1.0.0 la 192.254.0.0 (primii doi biți din
adresa au valoarea 10), fiecare adresă de rețea clasa B conține 65.534 adrese distincte de
host.
Clasa C definește adres e de host de la 192.0.1.0 la 192.254.0.0 ( primii doi biți din
adresă au valoarea 110), fiecare adresă de rețea de clasă C suportă 254 adrese distincte de
host.
Clasa D definește adrese de tip difuzare multiplă (multicast), dar nu are o utilizare
prea larg ă (primii patru biți din adresa au valoarea 1110), adresele din clasa D au valori
cuprinse între 224.0.0.0 și 239.255.255.254.
Clasa E a fost definită, dar este rezervată pentru uzul inter NIC.

Pagină 11 din 42
Această împărțire în clase poate conduce în mod uzual la pierd eri semnificative de
adrese IP.
Pentru a se evita această de adrese, mai ales în cazurile în care necesitatea reală
pentru o rețea nu acoperă în întregime o clasă, s -a dezvoltat CIDR (Classless Interdomain
Routing).
1.1 ICMP versiunea 4
ICMP și IGMP sunt considerate ca fiind părți componente ale IP, din punct de vede
arhitectural sunt nivele peste IP. ICMP trimite rapoarte privind erorile de transmisie,
controlul fluxului, primul gateway și alte funcții privind mentenanța și controlul
comunicației. IGMP fu rnizează modalități prin care host -urile și routerele se alătură și
formează un grup multicast.
Siguranța transferurilor de date este dată în Internet de protocoalele nivelului
transport și anume de Transmission Control Protocol (TCP), care furnizează retransmisia
între sursă și destinație, resegmentarea și controlul conexiunii (Figura 3) . Serviciile care nu
se bazează pe conexiune de nivel transport sunt oferite de User Datagram Protocol
(UDP) (Figura 4) .

Figură 3 TCP Portul sursă generat aleatoriu (55881 în acest caz) și portul destinație
HTTPS (443)

Pagină 12 din 42

Figură 4 UDP captură în Wireshark
Internet Control Message Protocol (abreviat ICMP) este un protocol din suita
TCP/IP care folosește la semnali zarea și diagnosticarea problemelor din rețea. Protocolul
este definit în RFC792. Mesajele ICMP sunt încapsulate în interiorul pachetelor IP.
Versiunea ICMP pentru IPv4 este adesea cunoscută ca ICMPv4, în schimb IPv6 dispune de
un protocol similar cunoscut sub abrevierea ICMPv6 .
ICMP este cel mai utilizat în interogările de ping și traceroute.
Ping trimite mesaje ICMP de tip „echo request” către calculatorul destinatar și
așteaptă de la acesta mesaje de tip „echo reply”. Dacă acestea nu sunt primite, se poate
presupune că ceva nu este în regulă cu conexiunea dintre cele două calculatoare.
Toate pachetele IP au în antet un câmp special numit TTL (Time to Live). Acest
câmp este decrementat de fiecare dată când trece printr -un router (Figura 5) . Pentru a evita
buclele de rutare, în momentul în care câmpul TTL ajunge la zero, este trimis de către
routerul care l -a decrementat ultima dată un mesaj de tip „time exceeded” către calculatorul –
sursă și pachetul nu este trimis mai departe.

Pagină 13 din 42

Figură 5 Diferite valori ale TTL -ului care vin de la diferite surse din Internet (Yahoo,
Google)
Programul traceroute folosește acest mecanism și trimite către calculatorul
destinatar, pachete de la toate routerele din componența rețelei ce cre ează traseul.
Protocolul Internet (IP) operează în felul următor:
• Procesul IP care transmite realizează următoarele acțiuni:
– Sunt recepționate date, adresa destinatarului, alți parametrii de la nivelul
superior, de exemplu TCP;
– Este creat headerul datagramei care este plasat înaintea datei care a fost
recepționată, se definește adresa următorului nod cu acces la adresa
destinatarului;
– Transmite datagrama către nivelul inferior, care acces la rețea.
• Procesul care rutează:
– Recepționează datagramele, calculează și compară „checksum” pentru detecția
erorilor și citește adresa IP;
– Determină următoarea adresă de rutare în rețea;
– Transmite datagrama la adresa de îndrumare prin rețea.

Pagină 14 din 42
• Procesul care recepționează:
– Recepționează daragrama, calculează și compară „checksum”;
– Îndepărtează headerul IP;
– Transmite datele utilizatorului către nivelul utilizatorului specificat în câmpul
„protocol” (TCP sau UDP).

Figură 6 Antetul IP (Protocol Internet)

1.2 Structura segmentului ICMP
Segmentul ICMP este alcătuit din:
• Antet (Figura 6) – se mai numește „header” și începe imediat după antetul IPv4.
Toate pachetele ICMP au un antet de opt octeți și o secțiune de date utile de lungime
variabilă.
• Tip – reprezintă tipul pachetului ICMP
• Cod – subtipul pachetului ICMP în funcție de tipul selectat anterior
• Suma de control – calculată în funcție de câmpurile antet ICMP, șir de date (este
descrisă în RFC 1071).
• Restul antetului – este un câmp de patru octeți ce variază ca și conținut pe baza
tipului/codului antetului ICMP.

Pagină 15 din 42

Protocolul ICMP
ICMP (Internet Control Message Protocol) este un protocol din suita TCP/IP care
folosește la semnalizarea și diagnosticarea proble melor din rețea. Mesajele ICMP sunt
încapsulate în interiorul pachetelor IP. ICMP poate genera un număr mare de pachete care
trimise în rețea către o destinație pot întoarce informații utile unor soft -uri de monitorizare
sau administratorului de sistem al rețelei, la optimizarea și depanarea software și hardware
a rețelei.
Există o serie de mesaje ICMP, dintre aceste cele mai importante sunt:
– Mesajul „Destination host unreachable”, este folosit atunci când subrețeaua sau
un anumit router nu pot localiza de stinația sau un pachet nu poate fi livrat;
– Mesajul „Time exceeded”, este trimis atunci când un pachet este eliminat
datorită contorului său ajuns în zero;
– Mesajul „Redirect message”, este folosit atunci când un router crede că un pachet
este dirijat greșit ;
– Mesajele „Echo Request și Echo Reply”, ne arată dacă o destinație este
accesibilă și activă.

1.3 Interacțiunea dintre IPv4 și nivelul Legătură de Date
Orice dispozitiv construit după regulile definite de OSI poate funcționa într -o rețea
de echipamente făcute de alți producători care respectă standardul. Este un model abstract
de referință și este pus în practică de seturi de protocoale precum TCP/IP.
Stratul „Rețea” separă atât domeniile de coliziune (stratul Fizic), cât și domeniile de
broadcast (strat Legătură de Date). În acest strat, o adresă fizică MAC, hardware este
translatată în adresă rutabilă (IP). Pachetele sunt plasate la nivelul „Legătură d e Date” unde
are loc adresarea fizică a datelor, denumite frame -uri. În cadrul rețelelor de tip LAN, cea
mai des folosită adresă este adresa MAC, specifică protocolului Ethernet.
Adresa de nivel „Legătură de Date” este:
– Plată, adică nu are o structură ierarhică;

Pagină 16 din 42
– Fizică, este înscrisă în ROM -ul plăcii de rețea, numită și adresă BIA (Burned in
Address);
– Locală, se poate schimba pe fiecare segment din rețeaua locală.
Adresa MAC este o adresă pe 48 de biți și se reprezintă sub forma a 12 cifre
hexazecimale, adresa destinație este determinată după următoarele criterii:
– Dacă sursa și destinația fac parte din aceeași subrețea, atunci adresa MAC
destinație va fi cea a dispozitivului destinație;
– Dacă sursa și destinația nu fac pa rte din aceeși subrețea, atunci adresa MAC
destinație va fi adresa default gateway -ului, adică adresa MAC de pe interfața
fa0/0 a routerului R1.
Pentru a verifica dacă se află pe același subnet cu destinația, clientul va compara
rezultatul operațiunii de aplicare a operatorului „AND” dintre IP -ul său și subnetul măștii
asociate și rezultatul aplicării operatorului „AND” între IP -ul destinație și subnetul măștii
sale (clientul). Dacă cele două rezultate sunt identice, cele două dispozitive fac parte din
aceeași subrețea și sursa va trimite direct frame -urile către destinație. Dacă rezultatele nu
sunt identice, atunci sursa va trimite frame -urile către „default gateway”, care se va ocupa
de ajungerea lor la destinație. În momentul de față procesul de încapsul are a luat sfârșit,
datele fiind plasate pe mediul de transmisie la nivelul „Fizic”.
Stratul aplicație inserează un antet în pachetul de date, identificând gazda și portul
destinație. Protocolul gazdă -la-gazdă, în funcție de aplicație TCP sau UDP, segment ează
acest bloc de date în fragmente care au fiecare un antet TCP. Noua structură se numește
segment TCP. Fiecare segment este trimis protocolului IP, care îi adaugă antetul propriu,
apoi pachetul este trimis stratului Legături de Date. Clientul web primeș te frame -urile, le
decapsulează la nivelul „Legătură de Date”, la nivelul rețea și la nivelul transport unde
plasează pagina primită de la serverul web către browser pentru a fi afișată și prezentată
utilizatorului.

Pagină 17 din 42
2. Protocolul IPv6 (Internet Protocol – version 6)
Creșterea rapidă a numărului de echipamente (Figura 7) conectate la Internet a
determinat apariția unor probleme a căror soluționare devine obligatorie într -un timp cât mai
scurt:

Figură 7 Evoluția estimativă numărului de echipamente conectate la Internet

– Iminenta epuizare a spațiului de adresare IPv4 (Figura 7);
– Necesitatea de a ruta trafic între un număr tot mai mare de rețele care alcătuiesc
Internetul.
Să ne gândim la faptul că Protocolul IPv4 a fost dezvoltat în anii `80 și s -a propus
folosirea a 32 de biți pentru definirea unei adrese, ceea ce rezultă faptul că numărul maxim
de adrese IP care pot fi generate este de 4.2 miliarde (2^32).
Analizând graficul din Figura 3 putem o bserva lesne că numărul adreselor IPv4 s -a
epuizat încă dinaintea anului 2012. Mai precis IANA (Internet Assigned Numbers
Authority) în anul 2011 a alocat ultimul spațiu de adrese IPv4.
Una din măsurile pentru diminuarea acestei probleme a fost cea de înc etinire a
„consumului” de adrese IPv4 prin tehnici de NAT (și totodată introducerea conceptului de
IP Public și IP Privat), utilizat și la metodele de tranziție IPv4/IPv6. O altă măsură mult mai
eficientă față de NAT este introducerea protocolului IPv6.

Pagină 18 din 42
2.1 Obiectivele implementării IPv6
Obiectivele majore implementării noii versiuni de IP au fost:
– Să suporte miliarde de gazde, inclusiv cu alocarea ineficientă a spațiului de
adrese;
– Să reducă dimensiunea tabelelor de rutate;
– Să simplifice protocolul, pentru a permite ruterelor să proceseze pachete mai
rapid;
– Să simplifice protocolul, pentru a permite ruterelor să proceseze pachetele mai
rapid;
– Să asigure o securitate mai bună (autentificare și confidențialitate) față de IP -ul
curent;
– Să acorde o mai mare atenție tipului de serviciu, în special pentru datele de timp
real;
– Să ajute trimiterea multiplă prim permiterea specificării de domenii;
– Să creeze condițiile pentru ca o gazdă să poată migra fără schimbarea adresei
sale;
– Să permită evoluția protocolului î n viitor;
– Să permită coexistența noului și vechiului protocol pentru câțiva ani.
IPv6 îndeplinește obiectivele destul de bine. El menține caracteristicile bune ale
IP-ului, le elimină sau diminuează pe cele rele și adaugă unele noi acolo unde este nevoie.
În general IPv6 nu este compatibil cu IPv4, dar este compatibil cu toate celelalte
protocoale Internet, incluzând TCP, UDP, ICMP, IGMP, OSPF și DNS, câteodată fiind
necesare mici modificări, de exemplu pentru a putea lucra cu adrese mai lungi.
Cel mai important aspect este acela că IPv6 are adrese mai lungi decât IPv4. Ele au
o lungime de 16 octeți, ceea ce duce la faptul că este îndeplinit scopul pentru care a fost
creat, acela de a furniza o sursă efectiv nelimitată de adrese Internet.
A doua îmb unătățire a lui IPv6 este reprezentată de simplificarea antetului (Figura
8), conținând doar 7 câmpuri față de 13 din IPv4. Această schimbare permite routerelor să
proceseze pachetele mai rapid.

Pagină 19 din 42
A treia îmbunătățire importantă a fost suportul mai bun pent ru opțiuni , fiind esențială
în noul antet, deoarece câmpurile care erau obligatorii acum sunt opționale ușurând
routerelor să sară peste opțiunile care nu le sunt destinate. Această caracteristică accelerează
timpul de procesare a pachetelor.

Figură 8 Antetul IPv6
Un al patrulea avantaj este regăsit in domeniul de securitate. Autentificarea și
confidențialitatea sunt trăsături cheie ale noului IP.
În final a fost acordată o mai mare atenție tipului de serviciu decât în trecut.

2.2 Generalități IPv6
Adresele IPv4 sunt scrise prin împărțirea lor în 4 valori pe 8 biți și adăugarea
punctelor între ele, adresele IPv6 pe de altă parte, sunt scrise ca 8 valori pe 16 biți cu două

Pagină 20 din 42
puncte „:” între ele, iar fiecare valoare de 1 6 biți este afișată în hexazecimal. Un exemplu
de adresă IPv6 este 2002:db8:5::1, iar adresa loopback IPv6 devine ::1.
Cu toate că în foarte multe privințe IPv6 funcționează la fel ca IPv4, noul protocol
se depărtează în unele aspecte. Este nevoie de un se rver DHCP pentru a aloca dinamic adresa
IP, acest lucru funcționează foarte bine dacă este un singur server DHCP, însă dacă există
mai multe servere pot apărea informații conflictuale. De asemenea poate fi greu să se obțină
aceeași adresă după restartarea unui server DCHP. Cu IPv6, serverul DCHP este în mare
măsură inutil datorită autoconfigurării stateless. Acesta este un mecanism prin care routerele
trimit „router advertisments” (RA) ce conțin 64 de biți ai unei adrese IPv6, iar terminalul
generează ceila lți 64 de biți pentru a forma o adresă completă.
Tradițional, ultimii 64 de biți ai unei adrese IPv6 sunt generați de la o adresa MAC
prin înlocuirea unui bit și adăugarea biților „ff:fe” în mijloc. Astfel o adresă MAC
00:0b:99:f6:21:6a devine 20b:99ff:fe f6:216a ca ultima parte a unei adrese IPv6, parte care
se numește „interface identifier”. Drept urmare dacă toate routerele trimit același prefix
pentru primii 64 de biți, terminalul va configura mereu aceeași adresă IPv6.
Deși protocolul DHCPv6 poate atribui adrese IPv6 în același mod ca DHCP, nu s –
au întâlnit clienți care folosesc această proprietate. Cu IPv6, DHCP este fol osit în special
pentru a distribui informații adiționale precum adrese de server DNS, deși va exista un mod
de a face asta prin RA în curând micșorând și mai mult nevoia de DHCP in IPv6.

2.3 Descrierea antetului IPv6
În IPv6, antetul (Figura 8) și procesul d e forwardare a pachetelor de către routere au
fost simplificate. Deși antetele de IPv6 sunt de două ori mai mari decât cele de IPv4,
procesarea pachetelor este mult mai eficientă din următoarele motive:
– Antetul de IPv6 a fost simplificat prin mutarea câmpurilor rar folosite în antete
de extensie opționale;
– Routerele IPv6 nu fragmentează pachetele. Gazdele cu IPv6 trebuie ori să
descopere dimensiunea maximă a pachetelor acceptate de toate routerele de pe
cale, să fragmenteze pachetele la capetel e transmisiunii sau să folosească un
MTU de 1280 de octeți, care este minimum acceptat de protocol;

Pagină 21 din 42
– Antetul IPv6 nu este protejat de o sumă de control „checksum”, făcându -se
presupunerea că integritatea datelor este asigurată atât la nivelul legătură de da te,
cât și la nivelul transport. Astfel routerele nu trebuie să recalculeze suma de
control atunci când schimbă unul din elementele pachetului;
– Câmpul TTL din IPv4 a fost redenumit în „Hop Limit”, deoarece routerele nu
mai trebuie să calculeze timpul petre cut de pachet în cozile dispozitivelor de
rețea;
– Versiune – 4 biți – Identifică versiunea protocolului IP care generează pachetul;
– Clasă de trafic și etichetă de flux – 8 biți, respectiv 20 biți, sunt câmpuri pentru
definirea politicilor de Quality of Ser vice. Deși nu s -au definit utilizări explicite
ale acestor câmpuri, s -a intenționat utilizarea acestora într -un context asemănător
„multiplexării” de fluxuri;
– Lungime de date – 16 biți, reprezintă un pointer către următorul antet opțional;
– Limită de hop -uri – 8 biți , are rol asemănător câmpului TTL din antetul
pachetului IPv4. Elimină necesitatea ca routerele să calculeze timpul se stocare
a unui pachet;
– Câmpurile de adrese – câte 128 biți fiecare, conțin adresele de rețea a sistemului
sursă și a sistemului destinație. Aceste câmpuri nu sunt modificate la trecerea
pachetelor prin routere.

2.4 Avantajele utilizării IPv6

Noul protocol IPv6 prezintă o serie de avantaje față de versiunea IPv4:
– Pune la dispoziție un număr foarte mare de adrese IP unice, riscul epuizării
acestora fiind minim;
– Permite fiecărui dispozitiv conectat la Internet să aibă propria adresă IP, ceea ce
simplifică designul rețelelor și permite o mai ușoară configurare a acestora;
– Permite ca pachetele de date să fie mult mai mari, eficientizându -se astfel
transmiterea informațiilor în rețea;
– Încurajează dezvoltarea și utilizarea de noi dispozitive, întrucât vor exista
suficiente adrese astfel în cât acestea să poată fi conectate la internet;

Pagină 22 din 42
– Permite o mai bună conectivitate între terminale. IPv6 este una dintre soluțiile
care pot fi adoptate pentru implementarea de dispozitive și aplicații cunoscute
sub numele generic de „Internet of things”;
– Oferă o mai bună calitate a serviciilor, în special a celor de transmitere de voce
și video în timp real. Routerele IPv6 identifică diferitele categorii de trafic și
alocă fiecărui tip lungimea de bandă necesară pentru o calitate ridicată a
serviciilor furniza te;
– Garantează o securitatea sporită. A fost dezvoltat un protocol de securitate
IPSEC care, deși poate fi folosit opțional și pentru IPv4, este obligatoriu pentru
toate sistemele IPv6 și oferă o serie de servicii de securitate de tipul criptării,
autentif icării și integrității.

2.5 Relația dintre IPv4 și IPv6
Deși la nivel global, IANA nu mai dispune de adrese IPv4, astfel de adrese vor
continua să fie alocate de către registrele regionale și de către ISP -iști, până la epuizarea
acestora.
Așa cum este cazul în acest moment, IPv4 și IPv6 vor continua să coexiste chiar și
în momentul în care va fi posibilă doar alocarea de adrese IPv6. IPv6 nu a fost creat pentru
a înlocui IPv4, astfel că cele două protocoale pot fi folosite în paralel în Internet.
Este însă important să se evite dezvoltarea a două infrastructuri Internet paralele și
să se asigure continuitatea serviciilor care în momentul de față rulează IPv4.
În acest scop, și având în vedere că IPv6 nu este în mod direct compatibil cu IPv4,
au fost de zvoltate o serie de tehnici care permit celor două protocoale să comunice între ele.
Cele mai cunoscute astfel de tehnici sunt următoarele:
– Stiva dublă : este o metodă de integrare care permite dispozitivelor să
implementeze ambele tipuri de protocoale IPv4 și IPv6 și să se conecteze la rețele
pe care rulează servicii și aplicații atât IPv4 cât și IPv6. Această metodă permite
introducerea IPv6 în arhitecturile construite în baza IPv4. Dezavantajul Stivei
duble constă în faptul că dispozitivele trebuie să aib ă și o adresă IPv4, ceea ce
devine problematic din momentul în care adresele IPv4 se apropie de epuizare.

Pagină 23 din 42
– Tunelarea sau încapsularea : permite interconectarea a două rețele IPv6 separate
peste o rețea IPv4. Pachetele IPv6 din prima rețea sunt încapsulate în pachete
IPv4, transportate de -a lungul rețelei IPv4 și decapsulate când ajung la a doua
rețea IPv6. Atunci când majoritatea rețelelor vor fi pe bază de IPv6, metoda va
permite comunicarea între rețelele IPv4 de -a lungul unei infrastructuri IPv6.
– Translata rea: este necesară în cazul în care o gazdă IPv6 trebuie să comunice cu
o gazdă IPv4 și presupune utilizarea unui algoritm pentru translatarea IPv6 în
IPv4.

2.6 Securitatea în IPv6
Protocul IPv6, cu toate îmbunătățirile sale în ceea ce privește antetele de pachete IP
și noua schemă de adresare, este în principa lul subiect . În special în perioada de tranziție în
care IPv4 și IPv6 vor fi utilizate împreună, pot apărea probleme suplimentare de securitate.
Pe lângă toate acestea, IPv6 este încă în fază incipientă.
Probleme tehnice:
Pot exista trei tipuri de probleme legate de partea tehnică și anume: translatarea
adreselor de rețea (NAT), securitatea protocolului internet , securitatea de nivel ( Layer) 2.
Translatarea adreselor de rețea (NAT):
În IPv6, numărul limitat de restricții de adresă IP publice disponibile nu mai
reprezintă o problem ă. In IPv4, tehnologia NAT era utilizată tocmai pentru a rezolva
problema numărului de adrese. Utilizatorii care se conectează la internet în spatele unui
router NAT sunt oarecum ascunși în spatele terminalelor , deoarece adresa lor IP nu este
expusă, acesta fiind un motiv principal pentru care NAT se utilizează și în IPv6. Un avantaj
îl reprezintă adresarea locală unică (ULA ). Utilizarea adreselor private definite poate ajuta,
de asemenea, utilizatorii să -și protejeze adresele IP. În concluzie , NAT este nu este necesară
și este chiar descurajată a fi utilizată în rețelele IPv6.
Securitatea protocolului Internet (IPsec):
Unul dintre principalele motiv e din spatele tranziției IPv4 la IPv6 se referă la
capabilitățile avansate de securitate. IPsec este un pachet de protocoale în care pachetele IP
sunt criptate și autentificate în timpul transmis iei. Este mai degrabă un farmework decât un
protocol unic. IPsec poate fi folosit pentru protejarea fluxurilor de date între o pereche de

Pagină 24 din 42
gazde (gazdă -gazdă), între o pereche de gateway -uri de securitate (rețea -rețea ) sau între o
poartă de securitate și o gazdă (rețea -gazdă).
În ceea ce privește relațiile dintre protocoalele IPsec și IPv4 -IPv6, IPv6 acceptă în
mod nativ IPsec în timp ce IPv4 nu. IPsec a fost dezvoltat împreună cu IPv6 și a fost inițial
necesar în toate standardele și implementările conforme IPv6 . Se recomandă ca IPsec să fie
utilizat cu IPv6 .Nu toate dispozitivele , cum ar fi smartphone -uri, imprimante sau dispozitive
de uz casnic , au capacități de calcul suficiente pentru procesul de criptate în IPsec . IPsec
poate fi utilizat și în IPv4. Mai mult decât atât, se poate presupune că în IPv4 , implementările
IPsec sunt mai omniprezente decât IPv6. Cu toate acestea, utilizarea IPsec în IPv4 nu este o
abordare nativă pentru această tehnologie de transmisie sigură și aduce supra încarcări
suplimentare acestor conexiuni .
O ultimă idee legată de relația IPv6 și IPsec este aceea că IPv6 deși este considerat
a fi mai sigur decât IPv4 datorită suportului IPsec proiectat , este posibil ca nu toate
comunicațiile IPv6 sa aibă IPsec din cauza problemelor de scalabilitate și a altor cheltuieli
operaționale. IPv4 poate utiliza, de asemenea, funcții IPsec, în ciuda faptului că nu ar fi o
implementare nativă. Ca urmare, trecerea la IPv6 și utilizarea IPsec ar fi o soluție de
securitate , dar acest lucru nu va împiedica transmisiile de pachete necriptate în viitor.
Securitate de nivel (Layer 2):
Securitatea nivelului 2 joacă un rol important pentru IPv6, deoarece diferă de IPv4
prin operațiunile care se petrec în ace st layer . Procesele de nivel 2 (Local Links) tratează
securitatea „First Hop ” (FHS) care cuprinde diferite probleme cum ar fi descoperirea
implicită a gateway -ului, configurația rețelei locale și inițializarea adreselor
Ținând cont de spațiul de adrese IPv6, comunicațiile de tip link local între routere și
noduri le finale sunt diferite. Spre deosebire de IPv4, ICMPv6 are anumite caracteristici care
sunt necesare pentru comunicarea de tip link local în sensul că există un nou mecanism
„Router Discovery ” (RD) care utilizează mesaje ICMPv6 pentru a descoperi routere le în
IPv6. Routere le răspund la mesajele de soli citare a routerului (RS) cu mesaje RA
(Advertisement Router) , aceste mesaje fiind salvate în tabelele de rutare a le nodurilor finale
un anumit timp . Această operație de descoperire a routerului ar putea fi utilizată pentru a
implementa atacuri Man in the Middle (MITM) în Layer 2. Dacă un atacator se poate
poziționa într -o rețea locală IPv6, ar putea trimite mesaje RA false unei victime și poate
acționa ca un router și poate tot traficul de rețea provenind de la victim ă.

Pagină 25 din 42
Pentru a aborda astfel de mesaje de tip RA false într-o rețea IPv6, există câteva
soluții care pot fi aplicat e. Una dintre ele folosește semnături IDS personalizate care verifică
adresa MAC și IP a expeditorului. O altă soluție este utilizarea NDPMon, care este un utilitar
de domeniu public. Aceasta verifică toat e mesajele RA și le compară cu un fișier de
configurare XML . O altă soluție pentru atenuarea atacurilor de rețea locală în IPv6 este
folosirea unui instrument numit „rafixd”. Ideea din spatele acestui instrument este de a
detecta și a șterge toate mesajele RA false din rețea.
O altă problemă de securitate Layer 2 pentru rețelele IPv6 se bazează pe „Neighbor
Discovery ”, care este similar cu „Router Desc overy” , dar între gazde. În loc de Router
Advertisement și Router Solicitation așa cum a fost între routere , există operațiuni Neighbor
Advertisement (NA) și Neighbor Solicitation (NS) între gazdele IPv6. Un tip de atac poate
să apară în timpul procesului de rezoluție a adreselor între gazde. În loc de Address
Resolution Protocol (ARP), așa cum este în IPv4, IC MPv6 este utilizat pentru rezoluția de
adrese în IPv6. În timpul rezoluției de adrese terminalele redirecțion ează pachetel e către
endpoint -uri pentru a aduna informații despre adresa MAC. După schimbul NS și NA, nodul
care transmite pachetul de date învață adresa MAC a nodului final și creează o intrare în
cache. Dacă nu sunt folosite mecanisme de protecție adecvate, un atacator poate fi situat
între aceste noduri și executa atacuri MITM și poate monitoriz a traficul.
Un ultim exemplu de amenințări la adresa securității locale se referă la efectuarea
atacurilor DDoS folosind tehnica DAD (Duplicate Address Detection). DAD este un
mecanism care împiedică gazdele să folosească adrese duplicate. În esență, acest tip de atac
DDoS ar putea bloca o gazdă să obțină o adresă IP în rețelele IPv6 prin abuzul de DAD. În
acest mecanism duplicat de detectare a adreselor, gazdele sondează alte noduri din jur pentru
a verifica dacă cineva are adresa IP solicitată. Dacă nimeni nu răspund e cu un mesaj NA
către solicitant, gazda poate începe să folosească adresa IP pe care intenționează să o aibă.
Dacă un nod din rețea trimite o NA care o revendică adresa IP solicitată, gazda nu va lua
acea adresă IP și nu va încerca alta. Dacă atacatorul r ăspunde la fiecare mesaj care provine
de la acel nod, acesta va împiedica respectivul nod să -și obține o adresă IP, iar atacatorul va
începe un atac DDoS. Pentru a atenua aceste atacuri, IETF a publicat mecanisme de protecție
Secure Neighbor Discovery (SEN D) și Cryptographically Generated Addresses (CGA).

Pagină 26 din 42
Pentru CGA și o altă metodă de atenuare numită Cheile bazate pe adresă (ABK),
Microsoft a publicat un articol de cercetare care ar putea fi util pentru a fi implementat în
rețelele IPv6.
Probleme legate d e tranziție:
Tranziția IPv6 pare să dureze mai mult decât s -a estimat; majoritatea companiilor și
organizațiile guvernamentale amână continuu tranziția, iar altele sunt reticente în a trece la
IPv6. Această situație obligă organizațiile să ia în considerare utilizarea ambelor versiuni în
același timp.
O abordare tehnică pentru a trata rețelele care utilizează IPv4 și IPv6 în același timp
este dual stack. În operațiile cu stivă duală, IPv6 este utilizat pentru a comunica cu alte gazde
IPv6 atunci c ând este necesar , în caz contrar, se folosește IPv4. Aceasta abordare s-ar putea
transforma într -o amenințare concentrată pe gazdă, mai degrabă decât pe rețea . Deoarece
atât IPv4 cât și sunt activate într -o gazdă, IPv4 poate să nu fie protejat în mod cores punzător,
folosind firewall -uri personale și alte mecanisme de prevenire. Chiar și atunci când rețeaua
nu rulează IPv6, dacă un atacator trimite Router Advertisement (RA) către calculator , acest
lucru ar putea obliga PC -ul să înceapă să folosească IPv6 în tăcere. Acest atac este unul
simplu , dar eficient în tehnica de exploatare a calculatoarelor cu stivă dublă.
Un alt tip de amenințare poate proveni din tunelurile IPv6, deoarece mecanismele
de tunelare nu au deloc securitate încorporată; nici o autentific are, nici o verificare a
integrității și nici confidențialitate. Această situație ar putea crea cu ușurință oportunități
pentru atacatori să efectueze „înăbușirea ” tunelului (MITM), injectarea tunelului sau
utilizarea neautorizată a unui serviciu de tunel. Dacă nu există mecanisme de prevenire
adecvate, cum ar fi verificarea adresei sursă IPv4, utilizarea tehnicilor „antispoofing ”,
utilizarea Listelor de control de acces (ACL) și IPsec, aceste amenințări ar putea chiar să
ocolească firewall -urile.
Controalele de securitate ale hosturilor ar trebui să se ocupe atât de atacurile IPv4
cât și de IPv6 pentru a face față acestei probleme de tranziție specifice perioadei, dar această
abordare se bazează doar pe un punct de vedere tehnic. Cauza reală a problemelor de
tranziție sunt legate de conștientizarea problemelor de securitate în IPv6 și de gestionarea
eficientă a acestei perioade.

Pagină 27 din 42
3. Tranziția de l a IPv4 la IPv6
În acest moment Internetul este alcătuit din rețele ce au la bază IPv4, IPv6 și rețele
duale IPv4/IPv6. Din cauza incompatibilității dintre cele două protocoale a fost nevoie de
un sistem de tranziție care a fost dezvoltat de către Inter net Engineering Task Force (IETF)
pentru a asigura o conexiune fără restricții.
Mecanismele de tranziție pot fi clasificate în 3 categorii (Figura 9) :
– Stiva dublă ,
– Încapsularea (Tunelarea),
– Translația (NAT -PT).

Figură 9 Mecanismele de tranziție

3.1 Stiva dublă
Scopul acesteia este de permite dispozitivelor de calcul să își păstreze
funcționalitățile oferite de tradiționalul IPv4, însă și să poată accesa rețele care utilizează
IPv6.
Acest mecanism presupune includerea a doua stive de protocol ce funcționează în
paralel și permite nodurilor rețelei să comunice atât prin IPv4 cât și prin IPv6. Poate fi
implementat atât în nodurile rețelei, unde permite transportul pachetelor ce aparțin ambelo r
protocoale, cât și în dispozitivele utilizatorilor.
Dezvoltarea stivei duble (Figura 10) ce partajează aceeași interfață de rețea implică
operarea celor două protocoale pe aceeași legătură fizică. Ethernet -ul și alte tehnologii de
nivel 2 suportă încărc ături atât IPv4 cât și IPv6.

Pagină 28 din 42
Tehnologia nu este dificil de implementat, deși poate necesita upgrade -uri deoarece
toate routerele trebuie să fie cu stivă duală. Stiva dublă necesită de asemenea acces la
sistemul DNS Ipv6 cât și suficientă memorie atât pentr u IPv4 cât și pentru IPv6. Având în
vedere că managementul dual al protocoalelor poate introduce provocări cum ar fi epuizarea
memoriei, procesorului și cerințe suplimentare de securitate, astfel de provocări potențiale
ar trebui să fie abordate proactiv p entru a ajuta la asigurarea unei soluții cât mai eficiente.

Figură 10 Stiva Dublă
3.2 Încapsularea (Tunelarea)
Tunelul este o strategie folosită atunci când două computere care utilizează IPv6
doresc să comunice între ele și pachetul trebuie să treacă printr -o regiune care folosește IPv4
(Figura 11 ).

Figură 11 Tunel – Prezentare generală
Un tunel este un punct bidirecțional de legătură între două puncte finale ale unei
rețele. Datele sunt transportate prin tunel folosind un proces numit încapsulare în care este
transportat pachetul IPv6 în interiorul unui pachet IPv4. Termenul de „Tunelare” se referă
la un mijloc de încapsulare a unei versiuni de IP în alta, astfel încâ t pachetele poată fi trimise
pe un canal de comunicație care nu acceptă versiunea IP încapsulată. De exemplu, când
două rețele IPv6 izolate trebuie să comunice printr -o rețea IPv4, routerele dual -stack de la
marginile rețelei pot fi utilizate pentru a conf igura un tunel care încapsulează pachetele IPv6

Pagină 29 din 42
în IPv4, permițând sistemului IPv6 să comunice fără a fi nevoie de actualizarea
infrastructurii de rețea IPv4 care există între ele. Acest mecanism poate fi utilizat atunci
când două noduri care utilizează pr otocoale identice vrea să comunice printr -o rețea care
folosește un protocol de rețea diferit. Procesul de tunelare implică trei etape: încapsulare,
decapsulare și tunel de management. El necesită, de asemenea, două puncte finale ale
tunelului, care în cazurile generale sunt noduri IPv4/IPv6 cu două stive, care să se ocupe de
încapsulare și decapsulare. Vor exista probleme legate de performanță asociate tunelului,
atât în ceea ce privește latența în capsulării/decapsulării, cât și în ceea ce privește lățime a de
bandă suplimentară utilizată. Tunelul este una dintre strategiile de implementare cheie
pentru toți furnizorii de servicii și întreprinderi în perioada de coexistență a IPv4 și IPv6 .
3.3 Translați e NAT -PT
Termenul NAT -PT este un acronim pentru „Network Address Translation ” și
„Translation Protocol ”. NAT se refer ă la transla ția unei adrese IPv4 într-o adresa IPv6 și
invers, PT reprezint ă transla ția pachetului IPv4 într-un pachet semantic echivalent IPv6 și
invers. NAT -PT permite hosturilor si aplica țiilor IPv6 native s ă comunice cu hosturile și
aplica țiile native IPv4 și invers.
Un dispozitiv NAT -PT se afl ă la grani ța dintre o re țea IPv6 și IPv4. Acesta folose ște o
mulțime de adrese IPv4 pe care le atribuie d inamic unor noduri IPv6, iar aceasta misiune se
termin ă atunci c ând exist ă sesiuni ini țiate dincolo de grani țele IPv4 -IPv6. NAT -PT permite
stabilirea comunica ției între re țele IPv4 și IPv6. Un mediu ce folose ște NAT -PT include o
rețea IPv6 și un router de frontier ă, care este in esen ța un server cu stiv ă dublă de NAT -PT.
Mediul de asemenea necesit ă un server DNS pentru fiecare re țea. In re țeaua IPv6, toate
gazdele trebuie s ă aibă IPv6 cu stiva activ ă. In re țeaua IPv4, toate gazdele trebuie sa aib ă
IPv4 cu stiva activ ă.
Pașii necesari pentru a crea un mediu NAT -PT sunt urm ătorii:
– Instalarea și configurarea re țelelor IPv4 și IPv6
– Instalarea și configurarea serverelor DNS IPv4 și IPv6
– Instalarea și configurarea routerului – frontiera (NAT -PT Se rver)

Figura de mai jos (Figura 12) ilustreaz ă conceptul esen țial asupra NAT -PT:

Pagină 30 din 42
– Nodul A IPv6 este situat în rețeaua IPv6 cu o adres ă IPv6: FEDC: BA98 :: 7654:
3210.
– Nodul B IPv6 este situat în rețeaua IPv6 cu o adres ă IPv6: FEDC: BA98 :: 7654:
3211.
– Nodul C IPv4 se afl ă în rețeaua IPv4 cu o adres ă IPv4: 132.146.243.30.
Serverul NAT -PT are doua porturi Ethernet, fiecare este conectat la o re țea diferit ă. Acest
server are o mul țime de adrese IPv4, incluse în subre țeaua IPv4 120.130.26/24.

Figură 12 Comunicație IPv4/IPv6 și Ipv6/IPv6
Vom considera ca exemplu nodul A IPv6 care vrea s ă comunice cu nodul C IPv4.
Nodul A IPv6 creeaz ă un pachet cu adresa surs ă, SA=FEDC::BA98:7654:3210 și adresa de
destina ție, DA=Prefix:132.146.243.30, prefixul este static și orice pachet derivat dintr -un
nod IPv6 destinat re țelei IPv4 va con ține ca prefix o parte a adresei de destina ție IPv6. NAT –
PT va traduce antetul IP, inclu siv sursa și adresa de destina ție. Dup ș traducere, adresa surs ă
va fi o adresa din mul țimea adreselor disponibile (de exemplu: 120.130.26.1) și adresa de
destina ție este 132.146.243.30. NAT -PT va p ăstra maparea dintre 120.130.26.1 și
FEDC:BA98::7654:3210 p ână la sfârșitul sesiunii. În cazul unei comun icații inverse, adresa
sursă va fi 132.146.243.30 și adresa de destina ție va fi 120.130.26.1 și NAT -PT va schimba
adresa surs ă cu Prefix ul: 132.146.243.30 și adresa destina ție cu FEDC:BA98:7654:3210, și
comunicarea va continua. Trebuie ca re țeaua IPv6 s ă fie pre -configurat ă astfel încât toate
pachetele care con țin un prefix în adresa de destina ție să fie îndreptate c ătre gateway NAT –
PT, unde este tradus într-o adres ă IPv4.
4. Tipurile și procesele de tunelare în tranziția IPv4/IPv6

Pagină 31 din 42
Tehnica încapsulării a făcut posibilă conexiunea rețelelor IPv6 la rețele ce foloseau
IPv4. Aceasta procedură constă în încapsularea pachetelor IPv6 în pachete IPv4, care mai
apoi sunt transmise în Int ernet și la recepție se face operația inversă. Încapsularea este de
două feluri:
– Explicită, care necesită configurarea echipamentului, în acest caz se utilizează
tunelarea configurată, predefinită sau manulă;
– Implicită, care nu necesită nicio configurare a nterioară și sunt folosite tehnicile
de tunelare automată.

4.1 Tunelarea configurată (manuală)
Pentru a conecta fiecare rețea IPv6 la o altă rețea , este configurat un tunel între
fiecare pereche de din ambele rețele. Acesta este configurat manual, astfel încât fiecare
router participant știe adresa extremităților tunelului. Protocoalele de rutare procesează
tunelele ca pe un singur hop.
Tunelul configurat manual este una dintre numeroasele tehnici de tunelare
disponibile în prezent, sunt utilizate în principal ca legături stabile pentru o comunicare
frecventă. Tunelul folosește mecanisme de securitate bazate pe standarde, precum cele
furnizate de IP Security (IPSEC) pentru a asigura securitatea comunicării respective. În
cadrul tunelelor configurate manual o adresă IPv6 este configurată manual pe o interfață de
tunel, iar adresele IPv4 sunt configurate manual la sursa de tunel și destinația tunelului.
Deoarece sunt configurate unu la unu între punctele finale cunoscute, tunelurile
configurate manual fac ca informațiile despre trafic să fie disponibile pentru fiecare punct
final, atunci când este utilizat IPSEC, acestea oferă, de asemenea, o securitate suplimentară
împotriva atacurilor. Această strategie de tranziție este ușor de implementat pe
infras tructurile IPv4 existente. Cu toate acestea, este important de remarcat faptul că,
deoarece tunelele configurate manual necesită configurare la ambele capete și deoarece
poate fi doar între două puncte au nevoie de un management mai mare asupra sursei atun ci
când sunt implementate mai multe tuneluri. Independența tunelului și a legăturii de
topologice, necesită diagnosticări suplimentare. Din acest motiv, tunelurile configurate
manual sunt ideale pentru rețele cu un număr limitat de tuneluri necesare.

Pagină 32 din 42

Figură 13 Tunel Manual
În Figura 13 a fost configurat un tunel manual pentru a asigura conexiunea dintre
rețelele de tip IPv6 (1001:10:: /64 și 2002:10:: /64) peste rețeaua de tip IPv4 (10.10.10.0
/24). După atribuirea adreselor IP la toate interfețele s -a trecut la implementarea propriu –
zisă a tunelului 5005:50:50::/64 , către rețeaua 2002:10 /64 ca sursă a fost declarată interfața
f0/1 din routerul R1, iar către rețeaua 1001:10 /64 ca sursă a fost declarată interfața f0/1 din
routerul R2. Ca ultim pas după configurarea tunelului a fost implemen tată rutarea statică
IPv6 pentru a dirija traficul prin tunelul creat.

4.2 Tunelarea automată
Tunelarea automată nu necesită o preconfigurare. Tunelele sunt create pe baza
informațiilor continue în pachetul IPv6 (sursă și destinație).
Tunelurile automate necesită adrese compatibile IPv4 și pot fi utilizate pentru a
conecta noduri IPv6 atunci când routerele IPv6 nu sunt disponibile.
Aceste tunele pot avea originea fie pe o gazdă dublă, fie pe un router dual prin
configurarea unei interf ețe de rețea de tunelare automată.
Tunelurile se termină întotdeauna pe gazda dublă și funcționează determinând
dinamic adresa IPv4 de destinație, punctul final al tunelului, prin extragerea adresei de pe
adresa de destinație compatibilă cu IPv4.

Pagină 33 din 42
Dacă ter minalul care primește informația utilizează o adresă IPv6 compatibilă
tunelarea are loc automat fără niciun fel reconfigurare.
În tunelarea automată, expeditorul trimite receptorului un pachet IPv6 folosind
adresa compatibilă IPv6 ca adresă de destinație. Când pachetul ajunge la „granița” rețelei
IPv4, routerul îl încapsulează într -un pachet IPv4, care ar trebui ulterior să aibă o adresă de
acest tip, routerul extrage adresa IPv4 încorporată pe adresa IPv6. Pachetul călătorește
apoi încapsulat în IPv4. Des tinatarul, care folosește o stivă duală de adrese primește un
pachet IPv4. Recunoaște adresa sa, citește antetul și află că este purtător al unui un pachet
IPv4. Apoi trece pachetul în sistemul IPv6 pentru procesare.
Atât tunelurile configurate cât și tune lurile automate pot fi definite pentru a
funcționa de la router la router, calculator la calculator, calculator și router și router la
gazdă, dar cel mai des sunt utilizate într -o configurație de la router la router.
În metodele bazate pe tunelare, când un capăt de tunel primește un pachet de date
încapsulat, acesta decapsulează pachetul și îl trimite către cealaltă zonă de expediere
locală.
Tipurile de tunelări automate sunt:
– ISATAP: tunelare automată de la client la router, de la routrer la client și de la
client la client; este bazată pe un format particular de adresă IPv6 cu includerea
unei adrese IPv4 integrate;
– 6 to 4: este o tehnică de tunelare IPv6 peste IPv4 bazată pe un format particular
de adresă IPv6 ce ide ntifică pachetele 6to4 și realizează tunelarea lor. Formatul
adresei constă într -un prefix 6to4 (de exemplu 2001::/64), urmat de o adresă
IPv4 unică globală ce indică destinația.
– Teredo: tunelare automată prin firewall NAT peste rețelele IPv4.

4.2.1 Tunelare ISATAP
Isatap (Intra -Site Automatic Tunneling Adressing Protocol) este un protocol
experimental ce oferă tunelare IPv6 peste IPv4, în configurații de la client la router, router
la client și client la client. Adresele ISATAP IPv6 sunt formate folosind adr esele IPv4
pentru a defini ID -ul interfeței. De exemplu, ID -ul interfeței ISATAP corespunzător
adresei 192.168.10.5 este ::5efe:192.168.10.5 .

Pagină 34 din 42
Hosturile care suportă ISATAP necesită menținerea unei liste potențiale de rutare
ce conține adresa IPv4 și adresa asociată a fiecărui router ce deține interfața ISATAP.
Clienții ISATAP solicită informații de la routerele locale prin IPv4. Destinația solicitării
trebuie să fie indentificată de către client prin configurația manuală anterioară, căutând în
DNS hostname -ul „isatap” conținut într -un domeniu sau folosind o opțiune DHCP ce
indică adresa ISATAP a routerului. Un clint ISATAP încapsulează pachetul IPv6 cu un
header IPv4 folosind adresa IPv4 corespunzătoare routerului descoperit prin PRL.
În rețeaua IPv4, se poa te configura unul dintre router ca un router ISATAP IPv6 la
care se pot conecta clienții IPv6. Adresa sursă IPv4 a clienților și routerului ISATAP este
încorporată în adresa IPv6, astfel încât fiecare dispozitiv să știe să ajungă în cealaltă parte
a rețele i IPv4.
În Figura 1 4 avem o adresă IPv6 Isatap:
– 000:5efe: este rezervată valorii UOI care indică faptul că aceasta este o adresă
ISATAP;
– Ultimii 32 de biți este adresa IPv4 exprimată în hexazecima.

Figură 14 ID-ul interfeței ISATAP
Fiind ușor de configurat mulți clienți acceptă ISATAP, inclusiv sistemele de
operare Windows și Linux, făcând acest tip de tunelare foarte comun.
Un dezavantaj al tunelării ISATAP este că nu acceptă multicast IPv6, aceasta
înseamnă că nu se vor putea rula protocoale de rutare precum OSPFv3 sau EIGRP.
Configurarea unui tunel ISATAP:
În Figura 1 5, avem următoarea topol ogie:

Pagină 35 din 42

Figură 14 Tunelare ISATAP
R1 este Clientul ISATAP, R3 este routerul ISATAP (headend ). Se utilizează
adresa 2001:db8:13:13::/64 ca prefix al interfeței tunelului. S -a realizat rutarea OSPFv2
pentru a face posibilă comunicarea dintre R1 și R3 sub protocolul IPv4. R3 conține o
interfață Loopback cu adresa IPv6 ::3.
Configurarea routerului ISATAP (R3) :
Prima dată se va activa IPv6 unicast routing ( R3(config)#ipv6 unicast -routing ),
apoi ne concentrăm asupra configurării tunelului propriu zis cu următoarele comenzi:
R3(config)#interface Tunnel 0
R3(config -if)#ipv6 addre ss 2001:db8:13:13::/64 eui -64
R3(config -if)#no ipv6 nd suppress -ra
R3(config -if)#tunnel source FastEthernet0/0
R3(config -if)#tunnel mode ipv6ip isatap
S-a configurat adresa 2001:db8:13:13::/64 ca prefix, iar EUI -64 se utilizează
pentru a configura automat ultimii 64 de biți. În mod implicit, routerul nu va trimite
avertismente pe interfața tunelului, motiv pentru care trebuie să adăugăm comanda no ipv6
și suppress -ra.
Configurarea Clientului ISATAP (R1):
Se realizează cu următoarele comenzi:
R1(config)#inte rface Tunnel 0
R1(config -if)#ipv6 address autoconfig
R1(config -if)#tunnel source FastEthernet 0/0

Pagină 36 din 42
R1(config -if)#tunnel destination 192.168.23.3
R1(config -if)#tunnel mode ipv6ip
Verficarea se realizează cu comanda show ipv6 interface Tunnel 0 , unde putem
observa atât prefixul link -local, cât și global unicast care conțin biții 0000:5efe care indică
faptul că aceasta este o rețea ISATAP. Adresa IPv6 se termină cu :c0a8:1703.
În tabelul de mai jos se poate vedea adresa IPv4 zecimală încorporată în adresa
IPv6:
Zecimal 192 168 23 3
Binar 11000000 10101000 00010111 00000011
Hexazecimal C0 A8 17 03

Adresa globală IPv6 a Clientului ISATAP va fi 2001:db8:13:13::c0a8:c01.
4.2.2 Tunelul 6to4
Un tunel automat 6to4 permite conectarea domeniilor IPv6 izolate printr -o
rețea IPv4 către o rețea IPv6 aflată la distanță. Diferența cheie între tunelurile
automate 6to4 și tunelurile configurate manual este accea că tunelul automat nu
este punct la punct ci este punct -la-multipunct. În tunelurile automate 6to4,
routerele nu sunt configurate în perechi, deoarece t ratează infrastructura IPv4 ca pe
o legătură virtuală multi acces non-transmisie (NBMA). Adresa IPv4 încorporată în
adresa IPv6 este utilizată pentru a descoperi celălalt capăt al tunelului automat.
Un tunel automat 6to4 poate fi configurat pe un router aflat la capătul unei
rețele IPv6 izolată și creează un tunel pe bază de pachet e către un router situat la
capătul altei rețele IPv6 printr -o infrastructură IPv4. Destinația t unelul ui este
determinată de adresa IPv4 a routerului aflat la un capăt, adresa IPv 6 porn ind, de
exemplu, cu prefixul 2002 :: / 16 . Routerul de la fiecare capăt al unui tunel 6to4
trebuie să suporte atât stivele de protocol IPv4 cât și IPv6. Tunelurile 6to4 pot fi
configurate între routere sau între un router și o gazdă.
Cel mai simplu s cenariu de implementare pentru tunele le 6to4 este
interconectarea mai multor rețele IPv6, fiecare dintre ele având cel puțin câte o

Pagină 37 din 42
conexiune la o rețea IPv4 partajată. Rețeaua IPv4 ar putea fi Internet sau o
companie.
Cu alte cuvinte, „6to4” este o tehni că de tunelare IPv6 peste IPv4 bazată pe
un format particular de adresă IPv6 ce identifică pachetele 6to4 și realizează
tunelarea lor. Formatul adresei constă într -un prefix de forma 2002::/16, urmat de o
adresă IPv4 unică globală ce indică destinația. Adr esa IPv4 reprezintă adresa
routerului 6to4 ce se află la ieșirea din tunel.
Configurarea unui tunel 6to4:
În Figura 1 6 avem următoarea topologie de rețea:

Figură 16 Tunel 6to4

Routerul R1 și R2 sunt conectate între ele prin interfețele FastEthernet f0/0.
Routerul R4 poate reprezenta accesul la Internet, sau către un furnizor de date cu rețea
IPv4.
Tunelul 6to4 pentru R1, de exemplu, se configurează cu următoarele comenzi:
R1(config)#interface tunnel 0
R1(config -if)#tunnel mode ipv6ip 6to4
R1(config -if)#tunnel source 10.0.1.1
R1(config -if)#ipv6 address 2002:a00:101::/128
Pe lângă configurarea propriu -zisă a tunelului este necesar să configurăm și rutarea
statică IPv6 prin intermediul următoarei comenzi: R1(config)# ipv6 route 2002::/16 tunnel
și R1(config -if)#ipv6 route 2001:db8:0:2::/64 2002:a00:201::.
6 over 4

Pagină 38 din 42
Este o teh nica de tunelare automat ă care se folose ște la IPv4 multicast. IPv4
multicast este necesar și este considerat ca fiind un strat de leg ătura virtual Ethernet.
Adresele IPv6 sunt formate folosind un prefix local (FE80::). De exemplu u n host
6 over 4 cu adresa IPv4 192.223.16.85 va forma o interfa ță IPv6 de forma ::CODF:1055,
adică o adres ă 6 over 4 de forma FE80::C0DF:1055. Tunelele 6 over 4 pot fi de forma
client la client , client la router și router la client , unde respectivele routere și hosturi
trebuie configurate s ă suporte protocolul 6 over 4. Pachetele IPv6 sunt tunelate în headere
IPv4 folosind adresa corespunz ătoare IPv4 de multicast. To ți membrii grupului de
multicast primesc pachetele tunelate.
Când sunt tunelate mesaje le IPv6 multicast, adresa destina ției IPv4 este format ă ca
239.192.Y.Z, unde Y si Z sunt ultimii doi bi ți din adresa IPv6.
4.2.3 Tunel ul Teredo
Teredo funcționează prin tunelarea IPv6 pe un port UDP pe porțiunea rețelei IPv4 .
Framework -ul Teredo este alcătuit din trei componente de bază:
– Clientul Teredo;
– Releul Teredo;
– Server ul Teredo.
Clienți Teredo sunt noduri care doresc să folosească Teredo pentru a ajunge la un
la un alt client prin Internetul IPv6. Clienții sunt noduri dual -stack (IPv4 și IPv6) care se
află în spatele unuia sau mai multor NAT -uri IPv4. Clienții Teredo trimit și primesc
întotdeauna traficul Teredo IPv6 tunelat în UDP peste IPv4.
Tunelarea printr -un firewall ce realizează Network Address Translation (NAT)
poate fi dificilă, dar nu imposi bilă. Aceasta se datoreză faptului că multe dispozitive NAT
sau firewall nu permit trecerea pachetelor IPv4 cu valoarea câmpului de protocol setată la
valoarea 41, ce reprezintă pachetele IPv6 tunelate. Teredo activează traversarea prin NAT
a pachetelor IP v6 tunelate peste UDP. Teredo încorporeză headerul adițional UDP pentru
a facilita traversarea prin NAT sau firewall. Teredo adaugă întâi headerul UDP și apoi cel
IPv4.
Procesul de tunelare Teredo începe cu un client Teredo ce realizeaz ă o procedur ă
de des coperire a celui mai apropiat releu Teredo fa ță de destina ția IPv6 dorit ă și identific ă

Pagină 39 din 42
tipul firewall -ului NAT ce intervine de -a lungul conexiunii. Hostul Teredo trebuie s î fie
pre-configurat cu o adres ă IPv4. Determinarea celui mai apropiat releu se face prin
trimiterea unui ping (ICMPv6) c ătre destina ție. Pingul este încapsulat cu un header UDP și
apoi IPv4 și este trimis c ătre serverul Teredo, care realizeaz ă decapsularea și trimite
pachetul ICMPv6 nativ la destina ție. R ăspunsul hostului destina ție va fi comutat folosind
IPv6 c ătre cel mai apropiat releu. În acest fel, clientul determin ă adresa IPv4 și portul celui
mai apropiat releu (Figura 1 7).

Figură 17 Conexiune între doi Clien ți Teredo care comunică printr -un releu Teredo

Tipul NAT -ului ce intervine poate s ă conduc ă la necesitatea realiz ării unui pas
adițional de ini țializare a map ării tabelei NAT.

Tipurile NAT au fost definite în general ca:
– Con full – toate pachetele IP de la aceea și adres ă IP și acela și port intern sunt
mapate de c ătre NAT c ătre adresa și portul extern corespunz ător.
– Con restric ționat – toate pachetele IP de la aceea și adres ă IP și port sunt mapate de
către NAT c ătre adresa și portul extern corespunz ător. Un host extern poate comunica cu
hostul intern numai dac ă hostul intern a trimis anterior un pachet c ătre hostul extern. Acest
lucru restric ționeaz ă pachetele primite, dar nesolicitate.

Pagină 40 din 42
– Con cu port restric ționat – toate pachetele IP de la aceea și adres ă IP intern ă și
acela și port su nt mapate de c ătre NAT c ătre adresa și portul extern corespunz ător.
Hosturile externe pot comunica cu hostul intern numai dac ă hostul intern a trimis anterior
un pachet c ătre hostul extern, folosind aceea și adres ă și port ale hostului extern.
– Simetric – toate pachetele de la o anumit ă adres ă IP și un port intern ce au ca
destina ție o adres ă IP și un port anume, sunt mapate c ătre o adres ă IP și un port particular.
Pachetele de la aceea și adres ă IP și port c ătre o destina ție cu adresa IP și port diferit,
rezult ă într-o mapare diferit ă a adresei IP și a portului. Hosturile externe pot comunica cu
hostul intern numai dac ă hostul intern a trimis în prealabil un pachet c ătre hostul extern
folosind aceea și adres ă și port cu cele ale hostului extern.
Teredo nu suport ă traversarea dispozitivelor simetrice. Pentru a completa maparea
in NAT a comunic ării dintre hostul intern si hostul des tinație, se trimite un „bubble
packet” la host. Un „bubble packet ” permite NAT -ului s ă completeze maparea adreselor
IP in terne și externe și a porturilor interne și externe în cazul NAT -ului cu port
restric ționat.
În general, pachetul „bubble” este trimis direct de la surs ă, reprezentat ă de clientul
Teredo, la hostul destina ție. Dar dac ă hostul destina ție este de asemenea în spatele unui
firewall, pachetul „bubble” poate fi aruncat. Astfel, clientul Teredo va intra în time -out,
apoi va trimite pachetul „bubble” la destina ție prin inter mediul serverului Teredo. Dac ă
asum ăm ideea c ă hostul destina ție este de asemenea un client Teredo, o mapare a firewall –
ului exist ă de asemenea între destina ție și serverul Teredo. Serverul destina ție va
recep ționa pachetul „bubble”, apoi va r ăspunde la hostul emi țător direct, complet ând
maparea firewall -ului de la destina ție la emi țător prin ambele dispozitive.
4.2.4 Tunel „brokers ”
Acest mecanism asigur ă o alta tehnic ă de tunelare automat ă peste re țelele IPv4.
Tunnel broker gestioneaz ă cererile de tunelare de la clien ții cu stiv ă dublă și serverele
tunnel -broker, destinate conect ării la re țelele IPv6. Clien ții cu stiv ă dublă ce încear ăa să
acceseze o re țea IPv6 pot fi op țional direc ționați printr -un DNS c ătre un tunnel broker web
server ce va realiza autentificarea în vederea folosirii acestui serviciu. Odat ă autor izat,
tunnel broker -ul realizeaz ă următoarele func ții:

Pagină 41 din 42
– Atribuie și configureaz ă un server de tunel și îl informeaz ă cu privire la
noul client.
– Atribuie o adres ă IPv6 sau prefix unui client;
– Informe ază clientul cu privire la serverul de tunel atribuit lui și parametrii
IPv6, incluz ând adresa/prefixul și DNS -ul.
Din perspectiva utilizatorului final, setarea conexiunilor tunelului cu re țeaua IPv6
pare a fi similar ă cu setarea unei conexiuni VPN.
5. Aplicația practică – Scenarii de implementare a mecanismelor
de tranziție IPv4/IPv6

Pagină 42 din 42
Bibliografie