• Articolo

The Cable GuyEseguire la migrazione di Intranet a IPv6 con ISATAP

Joseph Davies

Questo articolo è basato su una versione non definitiva di Windows Server 2008. Tutte le informazioni riportate sono soggette a modifica.

Un dubbio comune relativo al protocollo IPv6 riguarda il fatto che, per utilizzarlo, è necessario distribuire indirizzamento e routing IPv6 nativi, il che richiede un'analisi dettagliata degli schemi di indirizzamento IPv6, configurazione e aggiornamenti del router e una pianificazione dell'implementazione. Sebbene queste operazioni andrebbero eseguite per la

connettività IPv6 nativa, è possibile distribuire con facilità la connettività IPv6 con tunnel tramite Intra-Site Automatic Tunnel Addressing Protocol (ISATAP). Con la connettività IPv6 con tunnel, gli host che supportano ISATAP possono comunicare utilizzando il traffico IPv6 incapsulato con un'intestazione IPv4 (il campo del protocollo IPv4 è impostato su 41). Il traffico ISATAP può attraversare una Intranet solo IPv4, è così possibile iniziare a testare immediatamente le applicazioni compatibili con IPv6, senza dover attendere un'infrastruttura IPv6 nativa.

ISATAP è una tecnologia di assegnazione degli indirizzi e di tunneling automatico definita in RFC 4214 che fornisce la connettività IPv6 unicast tra gli host IPv6/IPv4 attraverso una Intranet solo IPv4. Gli host ISATAP utilizzano un'interfaccia di tunneling logica assegnata agli indirizzi ISATAP, che dispone del modulo UnicastPrefix:0:5EFE:w.x.y.z (quando w.x.y.z è un indirizzo IPv4 privato assegnato all'host ISATAP) o UnicastPrefix:200:5EFE:w.x.y.z (quando w.x. y.z è un indirizzo IPv4 pubblico assegnato all'host ISATAP). UnicastPrefix indica qualsiasi prefisso di indirizzo unicast a 64 bit, inclusi i prefissi locali al collegamento, globali e locali univoci. 2001:DB8::98CA:200:131.107.28.9 e 2001:DB8::98CA:0:10.91.211.17 sono esempi di indirizzi ISATAP.

Migrazione di Intranet a IPv6 con ISATAP

Una distribuzione ISATAP è costituita da una o più subnet ISATAP logiche, reti solo IPv4 assegnate al prefisso di subnet IPv6 a 64 bit. Su una subnet ISATAP logica vi sono host ISATAP e router ISATAP. Un host ISATAP utilizza un'interfaccia di tunneling ISATAP per incapsulare il traffico IPv6. Questo traffico può essere inviato direttamente ad altri host ISATAP sulla stessa subnet ISATAP logica. Per raggiungere destinazioni che si trovano su altre subnet ISATAP o su subnet IPv6 native, il traffico viene inviato a un router ISATAP. Un router ISATAP è un router IPv6 che annuncia i prefissi di subnet agli host ISATAP e inoltra il traffico IPv6 tra gli host ISATAP e gli host su altre subnet IPv6. Nella Figura 1 vengono illustrati i componenti di ISATAP su una Intranet semplificata.

Figura 1 Porzioni compatibili con IPv6 e solo IPv4 della rete Intranet

Figura 1** Porzioni compatibili con IPv6 e solo IPv4 della rete Intranet **(Fare clic sull'immagine per ingrandirla)

ISATAP consente di distribuire le funzionalità di indirizzamento e routing IPv6 nativi sulla rete Intranet in tre fasi.

Fase 1: Intranet solo IPv4 In questa fase, l'intera rete Intranet può essere un'unica subnet ISATAP logica. Nella Figura 2 viene riportato un esempio con una rete Intranet solo IPv4 con un router ISATAP che annuncia esclusivamente un prefisso di indirizzo locale univoco o globale agli host ISATAP.

Figura 2 Una Intranet solo IPv4

Figura 2** Una Intranet solo IPv4 **(Fare clic sull'immagine per ingrandirla)

Fase 2: porzioni compatibili con IPv6 e solo IPv4 della rete Intranet In questa fase intermedia, la rete Intranet dispone di una porzione solo IPv4 (la subnet ISATAP logica) e di una porzione compatibile con IPv6. La porzione compatibile con IPv6 dell'Intranet supporta IPv4 ed è stata aggiornata per supportare l'indirizzamento e il routing IPv6 nativi. Questa configurazione è illustrata nella Figura 1.

Fase 3: Intranet compatibile con IPv6 In questa fase finale, l'intera Intranet supporta sia IPv4 che l'indirizzamento e il routing IPv6 nativi. Si noti che ISATAP non è più necessario. Nella Figura 3 viene riportato un esempio.

Figura 3 Intranet compatibile con IPv6

Figura 3** Intranet compatibile con IPv6 **(Fare clic sull'immagine per ingrandirla)

Con ISATAP, è possibile disporre di connettività IPv6 tra gli host e le applicazioni durante le prime due fasi della transizione da una rete Intranet solo IPv4 a una compatibile con IPv6.

Windows Server 2008 e Windows Vista

Il protocollo IPv6 per Windows Server® 2008 e Windows Vista® supporta ISATAP sia sotto forma di host ISATAP che come router ISATAP. Esiste un'interfaccia di tunneling ISATAP separata per ogni interfaccia LAN installata sul computer che dispone di un suffisso DNS differente. Ad esempio, se un computer su cui è in esecuzione Windows Vista dispone di due interfacce LAN entrambe associate alla stessa rete Intranet e assegnate allo stesso suffisso DNS, vi sarà solo un'interfaccia di tunneling ISATAP. Se queste due interfacce LAN sono associate a due reti diverse con suffissi DNS diversi, vi saranno due interfacce di tunneling ISATAP. Per i computer su cui è in esecuzione Windows Server 2008 o Windows Vista SP1, le interfacce di tunneling ISATAP sono posizionate in uno stato di supporto disconnesso a meno che il nome "ISATAP" non possa essere risolto.

Per impostazione predefinita, il protocollo IPv6 per Windows Vista senza Service Pack installati configura automaticamente gli indirizzi ISATAP locali al collegamento (FE80::5EFE: w.x.y.z o FE80::200:5EFE:w.x.y.z) sulle interfacce tunnel ISATAP per gli indirizzi IPv4 assegnati alle interfacce LAN corrispondenti.

Il protocollo IPv6 per Windows Server 2008 e Windows Vista SP1 configura gli indirizzi ISATAP locali al collegamento sulle interfacce tunnel ISATAP solo se il nome "ISATAP" può essere risolto.

Per ricevere un messaggio di annuncio router dal router ISATAP, l'host ISATAP deve inviare al router ISATAP un messaggio di richiesta router. Su una subnet Ethernet, un host IPv6 nativo invia un messaggio di richiesta router multicast e, successivamente, i router sulla subnet rispondono con un messaggio di annuncio router. Poiché ISATAP non utilizza il traffico multicast IPv4 né richiede un'infrastruttura compatibile con il multicast IPv4, l'host ISATAP deve trasmettere in unicast il messaggio di richiesta router al router ISATAP.

Per trasmettere in unicast il messaggio di richiesta router al router ISATAP, l'host ISATAP deve prima determinare l'indirizzo IPv4 unicast dell'interfaccia del router ISATAP sulla subnet ISATAP logica. Per il protocollo IPv6 per Windows Server 2008 e Windows Vista, un host ISATAP ottiene l'indirizzo IPv4 unicast del router ISATAP attraverso la risoluzione del nome host "ISATAP" in un indirizzo IPv4 o con il comando netsh interface isatap set router.

Migrazione della rete Intranet: Fase 1

Per distribuire ISATAP sulla rete Intranet per la fase 1 della migrazione a IPv6, procedere come segue:

Determinare il prefisso di subnet ISATAP È necessario determinare il prefisso di subnet a 64 bit da assegnare alla subnet ISATAP logica corrispondente alla rete Intranet. È possibile ottenere un prefisso a 48 bit da un ISP o un registro Internet o derivare il proprio prefisso locale univoco a 48 bit (vedere la specifica RFC 4193 in linea all'indirizzo tools.ietf.org/html/rfc4193).

Dal prefisso a 48 bit, scegliere un ID di subnet a 16 bit per la subnet ISATAP logica. La combinazione del prefisso a 48 bit e dell'ID di subnet a 16 bit è il prefisso della subnet ISATAP a 64 bit. Ad esempio, il prefisso locale univoco a 48 bit FD8A:219C:052A::/48 e l'ID di subnet 1 formano il prefisso di subnet a 64 bit FD8A:219C:052A:1::/64.

Specificare un computer router ISATAP Determinare quale computer sarà il router ISATAP. Sebbene molti router commerciali supportino la funzionalità di router ISATAP, le informazioni qui riportate riguardano i computer su cui è in esecuzione Windows Server 2008.

Il computer router ISATAP non necessita di più interfacce LAN, né di essere collegato a una porzione compatibile con IPv6 della rete Intranet per la fase 1; tuttavia, il computer successivamente deve poter essere aggiornato con un'interfaccia LAN aggiuntiva collegata alla porzione compatibile con IPv6 della rete Intranet.

Configurare il computer router ISATAP Sul computer router ISATAP, l'uso del comando che segue consente di posizionare le interfacce di tunneling ISATAP sul computer router ISATAP in uno stato di supporto connesso:

netsh interface isatap set router IPv4Address

IPv4Address indica l'indirizzo IPv4 assegnato all'interfaccia LAN del computer router ISATAP associato alla subnet ISATAP logica.

Successivamente, determinare il nome o l'indice di interfaccia dell'interfaccia di tunneling ISATAP corrispondente all'interfaccia LAN del computer router ISATAP associato alla subnet ISATAP logica, tutto tramite l'output di questo comando:

netsh interface ipv6 show interfaces

Successivamente, utilizzare questo comando per attivare la funzionalità di annuncio sull'interfaccia ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex advertise=enabled

ISATAPInterfaceNameOrIndex è il nome o l'indice di interfaccia dell'interfaccia di tunneling ISATAP.

Successivamente, utilizzare questo comando per configurare il computer router ISATAP in modo che annunci il prefisso di subnet ISATAP agli host ISATAP:

netsh interface ipv6 add route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex publish=yes

ISATAPSubnetPrefix indica il prefisso di subnet ISATAP determinato

Configurare il DNS Nel DNS, aggiungere un record (A) di indirizzi per il nome ISATAP ai domini appropriati affinché gli host ISATAP sulla rete Intranet possano risolvere il nome "ISATAP". Ad esempio, se gli host Intranet utilizzano il suffisso DNS contoso.com, è necessario aggiungere un record A al dominio contoso.com per il nome isatap.contoso.com con l'indirizzo IPv4 assegnato all'interfaccia LAN del router ISATAP sulla rete Intranet solo IPv4.

Se sul server DNS è in esecuzione Windows Server 2008, utilizzare l'editor del registro di sistema (regedit.exe) sul server DNS per rimuovere la voce ISATAP dal valore del Registro di sistema HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList.

Testare gli host ISATAP Da un host ISATAP sulla rete Intranet, utilizzare lo strumento Ipconfig per visualizzare gli indirizzi assegnati. Gli host ISATAP devono disporre di un indirizzo con il formato ISATAPSubnetPrefix:: 5EFE:w.x.y.z o ISATAPSubnetPrefix:: 200:5EFE:w.x.y.z. Ad esempio, se il prefisso di subnet ISATAP è FD8A:219C: 052A:1::/64 e un host ISATAP dispone dell'indirizzo IPv4 10.1.31.97, l'host ISATAP deve avere l'indirizzo FD8A: 219C:052A:1::5FE:10.1.31.97 assegnato alla relativa interfaccia di tunneling ISATAP.

Se un host ISATAP non dispone di un indirizzo ISATAP basato sul prefisso di subnet ISATAP, verificare che l'host possa risolvere il nome "ISATAP". In caso negativo, verificare che i record A siano stati creati nei domini appropriati e, per i server DNS su cui è in esecuzione Windows Server 2008, verificare che il valore del Registro di sistema GlobalQueryBlockList sia stato modificato per rimuovere la voce ISATAP. Se il nome può essere risolto, verificare che il computer router ISATAP sia stato configurato correttamente. In caso positivo, verificare che i router sulla rete Intranet consentano l'inoltro del traffico 41 del protocollo IPv4.

Quando gli host ISATAP possono configurarsi correttamente con indirizzi basati sul prefisso di subnet ISATAP, registrano questi indirizzi ISATAP come record AAAA in DNS e iniziano a utilizzarli per la connettività basata su IPv6.

Migrazione della rete Intranet: Fase 2

Nella fase 2 della migrazione a IPv6, è necessario modificare la configurazione del router ISATAP per eseguire l'inoltro tra le porzioni solo IPv4 e compatibili con IPv6 della rete Intranet.

Sul computer router ISATAP, inserire il comando seguente:

netsh interface ipv6 show interfaces

Dall'output del comando sopra riportato, determinare il nome o l'indice di interfaccia dell'interfaccia LAN associata alla porzione compatibile con IPv6 della rete Intranet e l'interfaccia di tunneling ISATAP.

Utilizzare questo comando per attivare l'inoltro sull'interfaccia ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=enabled

Utilizzare questo comando per attivare l'inoltro sull'interfaccia LAN:

netsh interface ipv6 set interface LANInterfaceNameOrIndex forwarding=enabled

LANInterfaceNameOrIndex è il nome o l'indice di interfaccia dell'interfaccia LAN.

Utilizzare il comando seguente per aggiungere una route predefinita al router ISATAP:

netsh interface ipv6 add route ::/0 LANInterfaceNameOrIndex NextHopAddress publish=yes

NextHopAddress è l'indirizzo IPv6 di un vicino router IPv6 nativo sulla porzione compatibile con IPv6 della rete Intranet.

Per rendere la subnet ISATAP logica raggiungibile dalla porzione compatibile con IPv6 della rete Intranet, è importante configurare i router IPv6 nativi con una route per il prefisso di subnet ISATAP che si riferisca al computer router ISATAP.

Per disattivare in modo selettivo ISATAP per i computer sulla porzione compatibile con IPv6 della rete Intranet, manipolare i record A per il nome ISATAP nel DNS affinché i computer sulla porzione compatibile con IPv6 della rete Intranet non possano risolvere il nome ISATAP.

Un'altra possibilità consiste nel creare e impostare il valore del Registro di sistema HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponents su 0x4 (tipo DWORD).

Migrazione della rete Intranet: Fase 3

Per la fase 3, quando l'intera rete Intranet è compatibile con IPv6, sarà necessario rimuovere la distribuzione di ISATAP attraverso DNS e riconfigurare il computer router ISATAP. Per DNS, rimuovere tutti i record A per il nome ISATAP. Ciò impedirà a tutti gli host di determinare l'indirizzo IPv4 del router ISATAP.

Per il computer router ISATAP, eseguire il comando seguente:

netsh interface isatap set router default

Questo comando reimposta il componente ISATAP sullo stato predefinito.

Determinare il nome o l'indice di interfaccia dell'interfaccia di tunneling ISATAP dall'output di questo comando:

netsh interface ipv6 show interfaces

Utilizzare questo comando per disattivare le funzionalità di inoltro e annuncio sull'interfaccia ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=disabled advertise=disabled

Utilizzare questo comando per rimuovere la route del prefisso di subnet ISATAP dal computer router ISATAP:

netsh interface ipv6 delete route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex

ISATAPSubnetPrefix indica il prefisso di subnet ISATAP.

Per ulteriori informazioni sulla distribuzione di ISATAP, nonché considerazioni sui router ISATAP ridondanti e sul firewall, vedere la "Guida alla distribuzione di Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)" all'indirizzo go.microsoft.com/fwlink/?LinkId=106926.

Joseph Davies è un autore tecnico di Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto otto libri per Microsoft Press ed è autore della rubrica mensile Cable Guy di TechNet. È possibile trovare ulteriori informazioni sulla rubrica The Cable Guy all'indirizzo microsoft.com/technet/community/columns/cableguy/about.mspx.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.