NAT-PT v IPv6

NAT-PT pro Ipv6Semestrální projekt SPS 2010David ŘíhošekPavel BednářObsah:RIH058BED157

1. Network Address Translation pro IPv62. Testovací topologie3. Základní konfigurace3.1 RA:3.2 RB:3.3 RC:3.3.1 Př.1 Static NAT-PT3.3.2 Př. 2 Dynamic NAT-PT pro přístup IPv6 hostů na IPv4 hosty3.3.3 Př.3 Dynamic NAT-PT pro přístup IPv4 hostů na IPv6 hosty4. Ukázkové výpisy z hraničního routeru RC5. Závěr6. Použitá LiteraturaAbstrakt: Tento dokument popisuje problematiku propojování sítí IPv6 a IPv4pomocí NAT-PT na platformě CiscoKlíčová Slova: NAT-PT, IPv6, IPv4, Network Address Translation1. Network Address Translation pro IPv6Network Address Translation Protocol Translation (NAT-PT) se používá propřeklad paketů mezi IPv4 a IPv6. Cílem je, aby se počítače z IPv6 sítě dostaly ke

službám poskytovaným protokolem IPv4 a naopak. Obvykle se proto používá vkoncových IPv6 sítích, aby místním počítačům umožnil přístup do IPv4 Internetu.Základem tohoto protokolu jsou překladová pravidla podle SIIT * , k nimždoplňuje mechanismus pro mapování a překlad adres. Pro mapování z IPv4 do IPv6tj. klient je v IPv4 síti, se používá jeden IPv6 prefix (nejčastěji délky 96 bitů), do nějžmapuje IPv4 adresy tak, že je připojí na konec. K IPv6 Adrese o délce 96 bitů sepřipojí 32 bitů IPv4. Směrovací tabulky v IPv6 síti musí zajistit, aby se paketysměřující na některou z adres daného prefixu doručovaly stroji implementujícímuNAT-PT. Tato implementace se provádí obvykle na hraničním routeru mezi sítěmiIPv6 a IPv4.Pro opačné mapování, tj. z IPv6 do IPv4, klient je v IPv6 síti, používá jednu či několiksvých IPv4 adres. Funguje podobně jako běžný NAT - pokud některý z IPv6 strojůodesílá paket do IPv4 sítě, vytvoří pro IPv6 adresu a port odesilatele záznam vesvých mapovacích tabulkách, datagram přeloží do IPv4 a nastaví v něm adresu aport podle tabulky. Když pak na tuto adresu a port přijde z IPv4 odpověď, přeloží ji doIPv6, opět s použitím mapovací tabulky pro určení cílové adresy a portu.V obou příkladech se jedná o smíšený provoz, záleží na tom, ve které části sítě jeumístěn klient./ * SIIT Stateless IP/ICMP Translation (SIIT) je nejstarší z prostředků pro vzájemnýpřeklad paketů mezi IPv4 a IPv6.Obr.1 NAT-PT přístup sítě IPv6 do Ipv4 Internetu. Klienti IPv6 nedokáží komunikovats IPv4 DNS a dále s IPv4 internetem. Pro překlad adres a přístup do internetu jetřeba použít NAT-PT.

2. Testovací topologiePro testování byly použity dva počítače na platformě Linux a 3 routery Cisco 2600 series s podporou IPv6.Překlad adres se provádí na hraničním routeru RC. Ten zajišťuje překlad paketů pro oba směry.Cílem konfigurace je předvést funkčnost propojení mezi sítěmi IPv4 a IPv6 pomocí příkazu PING mezi počítači.Obr.2 Testovací topologieR AR CR BFE 0/1FE 0/1FE 0/0FE 0/0192.168.1.1/24FE 0/0RIP-NGRIP-v2FE 0/1RIP-NG3001:A:0:1::1/643001:A:0:1::2/64 192.168.0.1/24192.168.0.2/24PC 1 IPv64001:A:0:1::1/64RIP-v2PC 2 IPv4192.168.1.2/244001:A:0:1::2/64

3. Základní konfigurace3.1 RA: Základní nastavení IPv6 sítě + směrovací protokol RIP-NG na lince k RC,Připojení počítačePC1.Hostname RAipv6 unicast-routinginterface fastethernet 0/1ipv6 address 3001:A:0:1::1/64IPV6 enableIpv6 rip natpt enableno shutdown3.2 RB: Základní nastavení IPv4 sítě + směrovací protokol RIPv2 na lince k RC,Připojení počítače PC2.Hostname RBinterfacefast ethernet 0/0ip address 192.168.0.1 255.255.255.0no shutdownrouter ripversion 2Konfigurace routeru RA, RB, PC1 a PC2 se během testování neměnila.3.3 RC: Konfigurace se měnila podle jednotlivých zadání popsaných níže. RCsloužil jako hraniční router mezi sítěmi IPv4 a IPv6.Před konfigurací bylo potřeba povolit ipv6 sítě pomocí příkazuipv6 unicast-routing3.3.1 Př.1 Static NAT-PT

Následující příklad nastavuje NAT-PT prefix globálně. Nat-PT je potřeba povolit naobou rozhraních, a na obou rozhraních nastavit statické mapování adres v NAT-PT.Rozhraní FastEthernet 0/1 je nastaveno jako IPv6 only a rozhraní FastEthernet 0/0jako IPv4 only. Překlad adres zajišťuje router.interface FastEthernet 0/1ipv6 address 3001:A:0:1::2/64ipv6 enableipv6 natno shutdowninterface FastEthernet 0/0ip address 192.168.0.2 255.255.255.0ipv6 natno shutdownipv6 nat v4v6 source 192.168.1.2 3001:A:1:1::2ipv6 nat v6v4 source 4001:A:0:1::2 192.168.2.2ipv6 nat prefix 3001:A:1:1::/96Ve statickém mapování se využívá mapování tzv. 1:1. 1 IPv4 adresa je pevněsvázána s 1 IPv6 adresou. Nastavení pomocí prvních dvou příkazů. Každý příkazzajišťuje překlad pro jeden směr. Poslední příkaz říká routeru, že má používatpřeklad nad prefixem 3001:A:1:1::/96Zapojení bylo ověřeno pomocí komunikace obou krajních počítačů pomocí příkazuping/ping6. Výpisy jsou uvedeny v následující kapitole. Příkazem ping do IPv4 sítě,ping6 do IPv6 sítě.3.3.2 Př. 2 Dynamic NAT-PT pro přístup IPv6 stanic na IPv4 stanice

Následující příklad nastavuje NAT-PT prefix globálně pro celé podsítě, ne jenomjednotlivé adresy. NAT-PT je potřeba povolit na obou rozhraních. Dá se také nastavitjedno statické NAT-PT mapování (Používá se např. Pro přístup k DNS serveru.)Využívá se ho pro to, aby adresa DNS byla pevně svázána s IPv6 adresou na kteroubudou přistupovat IPv6 stanice pro kontakt DNS. Dynamický NAT-PT se zde používápro mapování IPv6 adres do adresního prostoru IPv4 za použití IPv4 adresuložených v v4pool. Pakety překládané pomocí NAT-PT jsou filtrovány IPv6 accesslistem pt-list1. To zajišťuje jejich vybrání a následný překlad. Rozhraní FastEthernet0/1 je nastaveno jako IPv6 only a rozhraní FastEthernet 0/0 jako IPv4 only.interface FastEthernet0/1ipv6 address 3001:A:0:1::2/64ipv6 enableipv6 natno shutdowninterface FastEthernet0/0ip address 192.168.0.2 255.255.255.0ipv6 natno shutdownipv6 nat v4v6 source 192.168.0.2 3001:A:0:1::2ipv6 nat v6v4 source list pt-list1 pool v4poolipv6 nat v6v4 pool v4pool 10.0.0.1 10.0.0.10 prefix-length 24ipv6 nat prefix 3001:A:0:1::/96ipv6 access-list pt-list1permit ipv6 3001:A:0:1::/64 anyPrvní příkaz zajišťuje statické mapování překlad IPv4 adresy (DNS) na IPv6.V našem příkladě jej nevyužíváme, je zde jen na ukázku pro složitější konfigurace.Druhý příkaz zajišťuje používání pt-list1 access listu který vyfiltruje všechnypožadované IPv6 adresy na překlad a přiřazuje mu v4pool kde jsou uloženy IPv4adresy na které se překládá.Třetí příkaz přiřazuje do v4pool IPv4 adresy na které se má překládat.Poslední příkaz pouze že překlad bude prováděn nad IPv6 prefixem 3001:A:0:1::/96Funkčnost konfigurace byla opět vyzkoušena pomocí příkazů ping jako v předchozímpříkladu.3.3.3 Př.3 Dynamic NAT-PT pro přístup IPv4 stanic na IPv6 stanice

Následující příklad nastavuje NAT-PT prefix globálně pro celé podsítě, ne jenomjednotlivé adresy. NAT-PT je potřeba povolit na obou rozhraních. Dá se také nastavitjedno statické NAT-PT mapování (Používá se např. Pro přístup k DNS serveru.)Využívá se ho pro to, aby adresa DNS byla pevně svázána s IPv6 adresou na kteroubudou přistupovat IPv6 stanice pro kontakt DNS. V tomto příkladě se dynamickýNAT-PT využívá pro mapování IPv4 adres na adresy IPv6 za použití adresuložených v v6pool. Acceslist pt-list2 se využívá pro vybrání IPv4 adres určených propřeklad. Mapování se provádí tak, že k IPv6 prefixu se přidá celá Ipv4 adresa.Rozhraní FastEthernet 0/1 je nastaveno jako IPv6 only a rozhraní FastEthernet 0/0jako IPv4 only.interface FastEthernet0/1ipv6 address 3001:A:0:1::2/64ipv6 enableipv6 natno shutdowninterface Ethernet0/0ip address 192.168.0.2 255.255.255.0ipv6 natno shutdownipv6 nat v4v6 source list 72 pool v6poolipv6 nat v4v6 pool v6pool 3001:A:0:1::2 3001:A:0:2::2 prefixlength128ipv6 nat v6v4 source 3001:A:0:1::1 10.0.0.1ipv6 nat prefix 3001:A:0:1::/96!access-list 72 permit 192.168.0.0 0.0.0.255První příkaz určuje source list 72 jako zdrojové IPv4 adresy pro překlad na IPv6.Druhý příkaz určuje adresu IPv6 poolu do kterého se budou mapovat IPv4 adresy.Třetí příkaz zajišťuje statické mapování pro DNSPoslední povoluje NATZ-PT nad sítí 3001:A:0:1::/96Při odpovědi zpět se využívá opět překladu na hraničním routeru. IPv6 staniceodpovídá na IPv6 adresu která byla předtím IPv4 stanici přiřazena routerem. Tytopakety jsou směrovány na router, který má v paměti uloženo mapování a provedezpětný překlad. Dále jsou pakety směrovány v IPv4 síti k cíli.4. Ukázkové výpisy z hraničního routeru RC

4.1 Ukázkový výpis komunikace pomocí příkazu show ipv6 nat translations proprvní příklad. Je zde vidět pevná vazba mezi adresami.Router# show ipv6 nat translationsProt IPv4 source IPv6 sourceIPv4 destinationIPv6 destination--- --- ---192.168.1.2 3001:A:1:1::2--- --- ---192.168.2.2 4001:A:0:1::2--- 192.168.1.2 3001:A:1:1::2192.168.2.2 4001:A:0:1::2--- --- ---4.2 Ukázkový výpis komunikace pomocí příkazu show ipv6 nat statistics proprvní příklad.Příkaz ukazuje aktivní překlady. Pro komunikaci dvou stanic je potřeba více překladů,protože se překládá jak směr tam, tak směr zpět + 2 interní default překlady.Router# show ipv6 nat statisticsTotal active translations: 4 (4 static, 0 dynamic; 0 extended)NAT-PT interfaces:FastEthernet0/0, FastEthernet0/1Hits: 0 Misses: 0Expired translations: 04.3 Ukázkový výpis komunikace pomocí příkazu debug ipv6 nat pro první příklad.Výpis ukazuje průběh překladů při komunikaci pomocí příkazu ping. Je zde vidětvždy zdrojová a cílová adresa + jejich překlady.00:06:10: IPv6 NAT: icmp src (4001:A:0:1::2) -> (192.168.2.2),dst (3001:A:1:1::2) -> (192.168.1.2)00:06:10: IPv6 NAT: icmp src (192.168.2.2) -> (4001:A:0:1::2),dst (192.168.1.2) -> (3001:A:1:1::2)00:06:15: IPv6 NAT: icmp src (3001:A:1:1::2) -> (192.168.1.2),dst (4001:A:0:1::2) -> (192.168.2.2)00:06:15: IPv6 NAT: icmp src (192.168.2.2) -> (4001:A:0:1::2),dst (192.168.1.2) -> (3001:A:1:1::2)

Tyto ukázkové výpisy jsou zde uvedeny pouze pro první příklad, v dalších příkladechbyly velice podobné.5. ZávěrJak je vidět z předchozích příkladů vyplývá:IPv6 NAT-PT dokáže adresy překládat v obou směrech.IPv6 NAT-PT vyžaduje IPv6 NAT /96 prefix.IPv6 NAT-PT dynamický překlad využívá IPv4 address pool pro mapování velkéhomnožství IPv6 adres do několika IPv4 adres.IPv6 NAT-PT dovoluje mapovat IPv4 adresy do IPv6 NAT prefixu.V roce 2009 byl NAT-PT nahrazen novější technologií NAT64. Hlavním problémemNAT-64 byl přístup k DNS serverům který je v NAT64 vyřešen lépe. Toto řešení jedostupné v loňské semestrální práci Integrace IPv6 do sítě s IPv4 (P. Burda, J.Knapek, D. Turoň).6. Použitá Literaturahttp://ipv6.com/articles/nat/NAT-Pros-and-Cons.htmhttp://www.cisco.com/en/US/docshttp://cciethebeginning.wordpress.com/2009/07/27/ipv6-nat-pt-transition/Integrace IPv6 do sítě s IPv4 (P. Burda, J. Knapek, D. Turoň)