Le petit câbleurTrafic IPv6 sur les connexions VPN
Joseph Davies
Comme vous commencez à évaluer le rôle d’Internet Protocol version 6 (IPv6) sur votre intranet et commencez à planifier son déploiement, vous devez comprendre comment le trafic IPv6 est pris en charge sur les connexions du réseau privé virtuel (VPN) dans Windows. Avec les connexions VPN, vous pouvez étendre votre réseau pour inclure des liens sur les
réseaux publics tels qu’Internet. Les connexions VPN sont protégées par des protocoles d’authentification renforcés pour valider les informations d’identification de l’utilisateur qui se connecte et les méthodes de cryptage pour assurer la confidentialité des données.
Windows® XP et Windows Server® 2003 incluent une pile de protocoles IPv6, mais beaucoup de services de base et de composants réseau ne prennent pas en charge IPv6. Windows Vista™ et Windows Server 2008, ancien nom de code « Longhorn », disposent d’une prise en charge complète pour IPv6, qui est installée et activée par défaut. En fait, presque toutes les applications réseau et les services inclus dans Windows Vista et Windows Server 2008 prennent en charge IPv6. Ce mois-ci, j’examine la prise en charge dans Windows Vista, Windows Server 2008, Windows XP et Windows Server 2003 pour le trafic IPv6 envoyé sur les connexions VPN qui sont établies sur Internet Protocol version 4 (IPv4) et Internet IPv6.
Connexions VPN sur Internet IPv4
Pour la plupart des intranets d’aujourd’hui, les connexions VPN sont créées sur Internet IPv4. La figure 1 affiche des composants Windows pour les connexions VPN de ce type. Ces composants comprennent les éléments suivants :
Figure 1** Composants Windows pour les connexions VPN sur Internet IPv4 **(Cliquer sur l'image pour l'agrandir)
Client VPN C’est un ordinateur qui établit une connexion VPN d’accès distant à un serveur VPN et communique avec les ressources intranet. Une connexion VPN d’accès distant autorise le client VPN à agir comme s’il était directement connecté à l’intranet. Un client VPN peut exécuter les versions client ou serveur de Windows.
Serveur VPN Cet ordinateur écoute les tentatives de connexion VPN distantes, applique les exigences d’authentification et de connexion, et achemine des paquets entre les clients VPN et les ressources intranet. Un serveur VPN exécute généralement une version serveur de Windows avec le Routage et les Services d’accès distant.
Routeur VPN Un routeur VPN est un ordinateur qui établit ou écoute les tentatives de connexion VPN site à site. Une connexion VPN site à site connecte deux parties d’un intranet. Un routeur VPN exécute une version serveur de Windows ainsi que le Routage et les Services d’accès distant.
Connexion VPN Une connexion VPN est le lien logique entre le client VPN et le serveur VPN ou entre les routeurs VPN comme défini par l’encapsulation d’un protocole VPN.
Intranet compatible IPv6 Cet intranet peut transférer le trafic IPv6 en mode natif ou par tunnel comme paquets IPv4.
Hôte IPv6/IPv4 Ce nœud d’intranet envoie et reçoit le trafic IPv6 en mode natif ou par tunnel comme paquets IPv4.
Les clients VPN basés sur Windows, les serveurs et les routeurs peuvent utiliser les protocoles VPN suivants pour encapsuler les paquets envoyés sur la connexion VPN : Le protocole PPTP (Point-to-Point Tunneling Protocol), le protocole L2TP/IPsec (Layer Two Tunneling Protocol avec Internet Protocol security) et le protocole SSTP (Secure Socket Tunneling Protocol). SSTP est pris en charge uniquement par Windows Vista avec Service Pack 1 (SP1, en phase de test bêta) et Windows Server 2008.
Pour les connexions VPN sur Internet IPv4, deux méthodes sont utilisées pour envoyer IPv6 : Les paquets IPv6 sont transférés par tunnel comme paquets IPv4, ci-après appelés trafic IPv6 sur IPv4 et trafic IPv6 natif.
Dans cet article, la prise en charge du trafic IPv6 sur les connexions VPN est décrite en termes de protocoles VPN et versions de Windows. Pour les connexions VPN d’accès distant, une combinaison donnée de protocole VPN et la version de Windows implique la prise en charge par le client d’accès distant et les composants de serveur d’accès distant de Windows.
Trafic IPv6 sur IPv4
Dans cette méthode, un client d’accès distant ou un hôte IPv6/IPv4 sur l’intranet encapsule les paquets IPv6 avec un en-tête IPv4 et envoie le résultat comme un paquet IPv4. Pour les intranets, la technologie de transition IPv6 (RFC 4214) du protocole ISATAP (IntraSite Automatic Tunnel Addressing Protocol) permet aux nœuds IPv6/IPv4 un échange de trafic IPv6 sur un intranet IPv4 uniquement. Avec ISATAP, vous pouvez activer la connectivité IPv6 sur votre intranet IPv4 uniquement sans avoir à configurer ou mettre à niveau vos routeurs existants pour prendre en charge l’adressage et le transfert IPv6 natif. Pour plus d’informations sur ISATAP, voir « Technologies de transition IPv6 » à l’adresse microsoft.com/technet/network/ipv6/ipv6coexist.mspx.
La figure 2 affiche la structure de paquet générale pour le trafic VPN lors de l’envoi d’un paquet IPv4 utilisant une connexion VPN sur Internet IPv4. Le paquet IPv4 est encapsulé par le protocole VPN avec un en-tête et, en fonction du protocole VPN, un code de fin. Le résultat est encapsulé avec un en-tête IPv4 qui permet le transfert sur Internet IPv4.
Figure 2** Paquets IPv4 utilisant une connexion VPN sur Internet IPv4. **
Pour le trafic IPv6 sur IPv4, la charge utile du paquet IPv4 envoyé sur la connexion VPN est un paquet IPv6. La figure 3 affiche la structure de paquet générale pour le trafic VPN lors de l’envoi d’un paquet IPv6 sur IPv4 utilisant une connexion VPN sur Internet IPv4.
Figure 3** Paquets IPv6 sur IPv4 utilisant une connexion VPN sur Internet IPv4 **
Pour les connexions VPN d’accès distant, le trafic IPv6 sur IPv4 via Internet IPv4 est pris en charge par PPTP et L2TP/IPsec dans Windows Vista, Windows Server 2008, Windows XP SP1 ou supérieur et Windows Server 2003 et par SSTP dans Windows Vista SP1 et Windows Server 2008. Pour les connexions VPN site à site, le trafic IPv6 sur IPv4 via Internet IPv4 est pris en charge par PPTP et L2TP/IPsec dans Windows Server 2008 et Windows Server 2003.
Trafic IPv6 natif
Pour le trafic IPv6 natif, le client, le serveur ou le routeur VPN envoie les paquets IPv6 sur l’ensemble de la connexion VPN sans l’encapsulation IPv4 initiale. Cela est valable pour les intranets qui possèdent la connectivité IPv6 native et nécessite que les clients, les serveurs et les routeurs VPN prennent en charge le Protocole de contrôle IPv6 (IPV6CP), RFC 2472, qui définit comment les nœuds IPv6 négocient les options de configuration IPv6 pour les connexions basées sur PPP (Point-to-Point Protocol). Windows Vista et Windows Server 2008 prennent en charge IPV6CP alors que Windows XP et Windows Server 2003 ne le prennent pas en charge. La figure 4 affiche la structure de paquet générale pour le trafic VPN lors de l’envoi d’un paquet IPv6 natif utilisant une connexion VPN sur Internet IPv4.
Figure 4** Paquets IPv6 natifs utilisant une connexion VPN sur Internet IPv4 **
Pour les connexions VPN d’accès distant, le trafic IPv6 natif sur Internet IPv4 est pris en charge par PPTP et L2TP/IPsec dans Windows Vista et Windows Server 2008 et par SSTP dans Windows Vista SP1 et Windows Server 2008. Pour les connexions VPN site à site, le trafic IPv6 natif qui transite sur Internet IPv4 est pris en charge par PPTP et L2TP/IPsec dans Windows Server 2008.
Connexions VPN sur Internet IPv6
Vous pouvez également établir des connexions VPN sur Internet IPv6. Ces connexions VPN sont rares maintenant, mais deviendront plus courantes à mesure que plus de fournisseurs de services Internet offrent IPv6 à leurs clients et plus d’organisations incluent la connectivité Internet IPv6 dans leurs réseaux de bord intranet.
Afin de prendre en charge les connexions VPN sur Internet IPv6, les protocoles VPN qui sont utilisés doivent prendre en charge des connexions sur IPv6. Dans Windows Vista et Windows Server 2008, les protocoles VPN de L2TP/IPsec et de SSTP prennent en charge les connexions VPN d’accès distant sur IPv6. Dans Windows Server 2008, L2TP/IPsec prend en charge des connexions site à site sur IPv6. Les connexions VPN sur Internet IPv6 utilisent la même série de composants que ceux des connexions VPN sur Internet IPv4 pour les connexions VPN d’accès distant et site à site.
Il y a également deux manières d’envoyer les paquets IPv6 sur Internet IPv6 : TraficIPv6 sur IPv4 et trafic IPv6 natif. La figure 5 illustre la structure générale des paquets IPv6 sur IPv4 lorsqu’ils sont envoyés sur une connexion VPN via Internet IPv6.
Figure 5** Paquets IPv6 sur IPv4 natifs utilisant une connexion VPN sur Internet IPv6 **
Pour les connexions VPN d’accès distant, le trafic IPv6 sur IPv4 via Internet IPv6 est pris en charge par L2TP/IPsec dans Windows Vista et Windows Server 2008 et par SSTP dans Windows Vista SP1 et Windows Server 2008. Pour les connexions VPN de site à site, le trafic IPv6 sur IPv4 via Internet IPv6 est pris en charge par L2TP/IPsec dans Windows Server 2008. Tout comme pour le trafic IPv6 sur IPv4 via Internet IPv4, le trafic IPv6 sur IPv4 via Internet IPv6 nécessite le déploiement d’une technologie de transition IPv6 telle qu'ISATAP sur votre intranet.
La figure 6 affiche la structure générale des paquets IPv6 natifs lorsqu’ils sont envoyés sur une connexion VPN via Internet IPv6. Tout comme pour le trafic natif IPv6 sur Internet IPv4, le trafic IPv6 natif sur Internet IPv6 nécessite la prise en charge IPV6CP et le déploiement de la connectivité IPv6 native sur votre intranet.
Figure 6** Paquets IPv6 natifs utilisant une connexion VPN sur Internet IPv6 **
Pour les connexions VPN d’accès distant, le trafic Pv6 natif sur Internet IPv6 est pris en charge par L2TP/IPsec dans Windows Vista et Windows Server 2008 et par SSTP dans Windows Vista SP1 et Windows Server 2008. Pour les connexions VPN site à site, le trafic IPv6 natif sur Internet IPv6 est pris en charge par L2TP/IPsec dans Windows Server 2008.
Conclusion
La figure 7 affiche les quatre méthodes pour envoyer le trafic IPv6 sur les connexions VPN et la prise en charge dans Windows pour les deux différents types de connexions VPN. En quelques mots, si vous utilisez une technologie de transition IPv6 telle que ISATAP sur votre intranet, vous pouvez envoyer le trafic IPv6 sur IPv4 via les connexions VPN sur Internet IPv4 et IPv6. Si votre intranet prend en charge la connectivité IPv6 native, vous pouvez envoyer le trafic IPv6 natif sur les connexions VPN sur Internet IPv4 et IPv6 avec Windows Vista et Windows Server 2008.
Figure 7 Prise en charge du trafic IPv6 sur les connexions VPN dans Windows
| Méthode d’envoi du trafic IPv6 | Connexions VPN d’accès distant | Connexions VPN de site à site |
| Trafic IPv6 sur IPv4 via Internet IPv4 | PPTP et L2TP/IPsec dans Windows Vista, Windows Server 2008, Windows XP SP1 ou supérieur et Windows Server 2003 SSTP dans Windows Vista SP1 et Windows Server 2008 | PPTP et L2TP/IPsec dans Windows Server 2008 et Windows Server 2003 |
| Trafic IPv6 natif sur Internet IPv4 | PPTP et L2TP/IPsec dans Windows Vista et Windows Server 2008 SSTP dans Windows Vista SP1 et Windows Server 2008 | PPTP et L2TP/IPsec dans Windows Server 2008 |
| Trafic IPv6 sur IPv4 via Internet IPv4 | L2TP/IPsec dans Windows Vista et Windows Server 2008 SSTP dans Windows Vista SP1 et Windows Server 2008 | L2TP/IPsec dans Windows Server 2008 |
| Trafic IPv6 natif sur Internet IPv6 | L2TP/IPsec dans Windows Vista et Windows Server 2008 SSTP dans Windows Vista SP1 et Windows Server 2008 | L2TP/IPsec dans Windows Server 2008 |
Joseph Davies est rédacteur technique chez Microsoft et il enseigne et écrit sur le réseau Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et on lui doit la chronique en ligne mensuelle Le petit câbleur de TechNet.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.