روش NAT-PT در مهاجرت به IPV6

دسته: IPV6

تکنولوژی NAT-PT امکان ارتباط نودهایی که صرفا IPV4 هستند را با نودهای صرفا IPV6 برقرار می کند. در این تکنولوژی وجود حداقل یک IPV6 Prefix با prefix length برابر با /96 ضروری است و تمام ترافیک های به مقصد این prefix به سمت روتر NAT-PT مسیریابی می شوند.

روتر NAT-PT ترافیک های به مقصد این Prefix را به محدوده آدرس IPV4 با توجه به جدول Translation تبدیل می کند.

در شکل زیر نود IPV6 با آدرس 3ffe:b00:ffff:1::2 می خواهد با نود IPV4 با آدرس 206.123.31.200 ارتباط برقرار کند. برای پیاده سازی NAT-PT یک محدوده آدرس 3ffe:b00:ffff:0:0:1::/96 در نظر گرفته می شود که برای پیاده سازی NAT-PT ضروری است. مبدا IPV6 ترافیکی با آدرس مبدا 3ffe:b00:ffff:1::2 به آدرس مقصد 3ffe:b00:ffff:0:0:1::a، که از محدوده آدرس 3ffe:b00:ffff:0:0:1::/96 انتخاب شده است، ارسال می کند. ترافیک در روتر NAT-PT دریافت می شود. روی این روتر قبلا نگاشت از آدرس 206.123.31.200 به 3ffe:b00:ffff:0:0:1::a توسط مدیر شبکه تعریف شده است (نگاشت v4v6). همچنین نگاشت دیگری نیز از آدرس 3ffe:b00:ffff:1::2 به آدرسی از  نوع IPV4 توسط مدیر شبکه تعریف می گردد (نگاشت v6v4). بنابراین با توجه به نگاشت های تعریف شده و به نحوی که در شکل زیر نشان داده شده است آدرس مبدا و مقصد ترافیک از IPV6 به IPV4 تغییر داده می شود و ترافیک IPV4 تحویل مقصد می گردد. آدرس مبدا و مقصد ترافیک برگشتی نیز به همین ترتیب از IPV4 به IPV6 تغییر می یابد. بدین ترتیب امکان ارتباط بین دو شبکه IPV4 و IPV6 برقرار می گردد.

اگر به جریان ترافیکی این سناریو دقت کرده باشید، متوجه خواهید شد که برای ایجاد ارتباط بین دو شبکه IPV4 و IPV6 با روش NAT-PT موارد زیر ضروری است

  • محدوده آدرس IPV6 با prefix length برابر با /96 انتخاب می گردد. به ازاء هر آدرس در شبکه IPV4 یک آدرس از محدوده /96 انتخاب می گردد و بین آنها نگاشت صورت می گیرد
  • به ازاء هر آدرس در شبکه IPV6 نیز یک آدرس از نوع IPV4 در محدوده ای دلخواه در نظر گرفته شده و بین آنها نگاشت ایجاد می گردد.

NAT PT

مکانیزم NAT-PT

مثال فوق در ذیل پیاده سازی شده است. برای فعال کردن NAT-PT به صورت Static مراحل زیر ضروری است

  • روی روتر NAT-PT ویژگی IPV6 NAT را با دستور ipv6 nat روی اینترفیس فعال کنید
  • محدوده ای از آدرس IPV6 با طول /96 برای نگاشت آدرس های IPV4 به این محدوده تعیین کنید.
  • آدرس های IPV4 را یک به یک به محدوده آدرس IPV6 تعیین شده در مرحله قبل نگاشت کنید (v4v6).
  • آدرس های IPV6 را یک به یک به محدده اختیاری آدرس IPV4 نگاشت نمایید (v6v4).

NAT PT2

پیاده سازی NAT-PT

!!! NAT-PT

ipv6 unicast-routing

!

interface FastEthernet0/0

 ip address 206.123.31.1 255.255.255.0

 ipv6 nat

!

interface FastEthernet0/1

 ipv6 address 3FFE:B00:FFFF:1::1/64

 ipv6 nat

!
ipv6 nat v4v6 source 206.123.31.200 3FFE:B00:FFFF::1:0:A

ipv6 nat v6v4 source 3FFE:B00:FFFF:1::2 206.123.30.2

ipv6 nat prefix 3FFE:B00:FFFF::1:0:0/96
!

NAT-PT#sh ipv6 nat translations

Prot  IPv4 source              IPv6 source

      IPv4 destination         IPv6 destination

---   ---                      ---

      206.123.31.200           3FFE:B00:FFFF::1:0:A

---   206.123.30.2             3FFE:B00:FFFF:1::2

      ---                      ---

پیاده سازی NAT-PT

PT به تنهایی نمی تواند ارتباط بین شبکه IPV4 و IPV6 را برقرار نماید. زمانی که کاربر IPV6 درخواست اتصال به سروری را که صرفا اتصال IPV4 دارد (مثلا www.foo4.com) ارسال می کند، درخواست DNS باید از IPV6 به IPV4 و همچنین پاسخ DNS باید از IPV4 به IPV6 تغییر نماید. این ویژگی توسط NAT-ALG پیاده سازی می شود که معمولا در همان روتر NAT-PT پیاده سازی می شود. کاربر درخواست خود را به DNS سرور نهایی است ارسال می کند. اما همانطور که می دانید آدرس کاربر از نوع IPV6 است اما سرور DNS آدرس IPV4 دارد. روتر NAT-ALG در بین مسیر درخواست DNS را از IPV6 به IPV4 تغییر می دهد و پاسخ DNS دریافتی را نیز با توجه به prefix تعریف شده در NAT-PT از IPV4 به IPV6 تغییر می دهد و به کاربر IPV6 اعلام می کند. از این به بعد پروسه اتصال کاربر IPV6 با سرور IPV4 همانند سناریوی قبل خواهد بود. بنابراین یکی از محدودیت های NAT-PT وابستگی آن به سرویس DNS ALG است.

از دیگر محدودیت های NAT-PT می توان موارد زیر را بر شمرد:

  • Single Point of Failure: اگر روتر NAT-PT قطع شود همه ارتباطات بین شبکه IPV4 و IPV6 از دست می رود. راه حل استاندارد redundancy تیز برای NAT-PT وجود ندارد
  • عدم امکان ارسال ترافیک امن روی NAT-PT: از آنجایی که روتر NAT-PT هدر IP بسته ارسالی را به صورت کامل تغییر می دهد. در صورت پیاده سازی Authentication و integrity که هویت ارسال کننده ترافیک و همچنین صحت محتوی آن را تایید می کند، در مقصد با مشکل مواجه خواهد شد. بنابراین امکان پیاده سازی Authentication و integrity روی ترافیک هایی که از NAT-PT عبور می کند، وجود ندارد.
  • عدم اجرای بعضی از برنامه ها روی NAT-PT: خیلی از application هایی که آدرس IP را در هدر لایه application قرار می دهند و همچنین پورت ها را به صورت تصادفی انتخاب می کنند روی NAT-PT درست کار نمی کنند. FTP نمونه ای از آن است.
  • از IPV4 option حمایت نمی کند
  • از Path MTU Discovery حمایت نمی کند
  • از Multicast حمایت نمی کند
  • انتقال دیتابیس DNS بین دو دامنه IPV4 و IPV6 هنوز حل نشده است

نوشتن دیدگاه

تصویر امنیتی
تصویر امنیتی جدید