• Article

Le petit câbleurMigrez votre réseau Intranet vers IPv6 avec ISATAP

Joseph Davies

Cet article se base sur une version préliminaire de Windows Server 2008. Toutes les informations contenues dans cet article sont susceptibles d’être modifiées.

Une idée fausse au sujet d'IPv6 (Internet Protocol version 6) est que pour l'utiliser, vous devez déployer l'adressage et le routage IPv6 natifs, ce qui nécessite une analyse détaillée des modèles d'adressage IPv6, des mises à jour et la configuration de routeurs et une planification du déploiement. Même si ceci doit être fait au final pour la

connectivité IPv6 native, vous pouvez déployer facilement la connectivité IPv6 en tunnel en utilisant ISATAP (Intra-Site Automatic Tunnel Addressing Protocol). Avec la connectivité en tunnel IPv6, les hôtes qui prennent en charge ISATAP peuvent communiquer en utilisant le trafic IPv6 encapsulé avec un en-tête IPv4 (le champ Protocole IPv4 est déterminé sur la valeur 41). Le trafic ISATAP peut parcourir un intranet utilisant uniquement IPv4, donc vous pouvez commencer à tester les applications IPv6 tout de suite, sans attendre une infrastructure IPv6 native.

ISATAP est une technologie attribution d'adresses et de tunneling automatique définie dans RFC 4214 qui fournit la connectivité IPv6 monodiffusion entre des hôtes IPv6/IPv4 sur un intranet IPv4 uniquement. Les hôtes ISATAP utilisent une interface de tunneling logique à laquelle sont attribuées des adresses ISATAP, à la forme UnicastPrefix:0:5EFE:w.x.y.z (lorsque w x.y.z est une adresse IPv4 privée attribuée à l'hôte ISATAP) ou UnicastPrefix:200:5EFE:w.x.y.z (lorsque w x.y.z est une adresse IPv4 publique attribuée à l'hôte ISATAP). UnicastPrefix est n'importe quel préfixe d'adresse monodiffusion de 64 bits, y compris les préfixes locaux au lien, globaux et uniques locaux. Des adresses ISATAP sont par exemple 2001:DB8::98CA:200:131.107.28.9 et 2001:DB8::98CA:0:10.91.211.17.

Migration d'intranet vers IPv6 avec ISATAP

Un déploiement ISATAP consiste en un sous-réseau ISATAP logiques ou plus, qui sont des réseaux IPv4 uniquement auxquels est attribué un préfixe de sous-réseau IPv6 de 64 bits. Sur un sous-réseau ISATAP logique se trouvent des hôtes ISATAP et des routeurs ISATAP. Un hôte ISATAP utilise une interface de tunneling ISATAP pour encapsuler le trafic IPv6. Ce trafic peut être directement envoyé à d'autres hôtes ISATAP sur le même sous-réseau ISATAP logique. Pour atteindre des destinations situées sur d'autres sous-réseaux ISATAP ou sur des sous-réseaux IPv6 natifs, le trafic est envoyé à un routeur ISATAP. Un routeur ISATAP est un routeur IPv6 qui publie les préfixes de sous-réseau aux hôtes ISATAP et qui transfère le trafic IPv6 entre les hôtes ISATAP et les hôtes sur les autres sous-réseaux IPv6. La figure 1 représente les composants ISATAP sur un intranet simplifié.

Figure 1 Les portions à capacité IPv4 uniquement et IPv6 de votre intranet

Figure 1** Les portions à capacité IPv4 uniquement et IPv6 de votre intranet **(Cliquer sur l'image pour l'agrandir)

ISATAP vous permet de déployer des capacités d'adressage IPv6 natif et de routage sur votre intranet en suivant trois phases.

Phase 1 : Intranet IPv4 uniquement Dans cette phase, l'ensemble de votre intranet peut être un seul sous-réseau ISATAP logique. La figure 2 montre un exemple avec un intranet IPv4 avec routeur ISATAP qui publie seulement un préfixe d'adresse global ou unique local à des hôtes ISATAP.

Figure 2 Un Intranet IPv4 uniquement

Figure 2** Un Intranet IPv4 uniquement **(Cliquer sur l'image pour l'agrandir)

Phase 2 : Portions à capacité IPv4 uniquement et IPv6 de votre intranet Dans cette phase, votre intranet a une portion IPv4 uniquement (le sous-réseau ISATAP logique) et une portion compatible IPv6. La portion compatible IPv6 de votre intranet prend en charge IPv4 et a été mise à jour pour prendre en charge l'adressage IPv6 natif et le routage. Vous avez vu cette configuration dans la figure 1.

Phase 3 : Intranet compatible IPv6 Dans cette phase finale, l'ensemble de votre intranet prend en charge l'adressage IPv4 et IPv6 natif et le routage. Notez que ISATAP n'est plus nécessaire. La figure 3 en montre un exemple.

Figure 3 Intranet compatible IPv6

Figure 3** Intranet compatible IPv6 **(Cliquer sur l'image pour l'agrandir)

Avec ISATAP, vous pouvez bénéficier de la connectivité IPv6 entre les hôtes et les applications pendant les deux premières phases de la transition d'un intranet IPv4 uniquement à un intranet compatible IPv6.

Windows Server 2008 et Windows Vista

Le protocole IPv6 pour Windows Server® 2008 et Windows Vista® prend en charge ISATAP en tant qu'hôte ISATAP et routeur ISATAP. Il y a une interface de tunneling ISATAP séparée pour chaque interface LAN installée dans l'ordinateur possédant un suffixe DNS différent. Par exemple, si un ordinateur Windows Vista possède deux interfaces LAN et qu'elles sont toutes deux liées au même intranet et qu'elles ont le même suffixe DNS, il y a seulement une interface de tunneling ISATAP. Si ces deux interfaces LAN sont attachées à deux réseaux différents avec des suffixes DNS différents, il y a deux interfaces de tunneling ISATAP. Pour les ordinateurs Windows Server 2008 ou Windows Vista SP1, les interfaces de tunnel ISATAP sont placées dans un état de déconnexion de média, à moins que le nom « ISATAP » puisse être résolu.

Par défaut, le protocole IPv6 pour Windows Vista sans Service Pack installé configure automatiquement les adresses ISATAP locales au lien (FE80::5EFE: w.x.y.z ou FE80::200:5EFE:w.x.y.z) sur les interfaces de tunnel ISATAP pour les adresses IPv4 qui sont attribuées aux interfaces LAN correspondantes.

Le protocole IPv6 pour Windows Server 2008 et Windows Vista SP1 configure les adresses ISATAP locales au lien sur les interfaces de tunnel ISATAP seulement si le nom « ISATAP » peut être résolu.

Pour recevoir un message de publication de routeur de la part du routeur ISATAP, l'hôte ISATAP doit envoyer au routeur ISATAP un message de sollicitation de routeur. Sur un sous-réseau Ethernet, un hôte IPv6 natif envoie un message de sollicitation de routeur en multidiffusion, puis les routeurs sur le sous-réseau répondent par un message de publication de routeur. Parce que ISATAP n'utilise pas le trafic de multidiffusion IPv4 ou nécessite une infrastructure multidiffusion compatible IPv4, l'hôte ISATAP doit monodiffuser le message de sollicitation de routeur au routeur ISATAP.

Pour monodiffuser le message de sollicitation de routeur au routeur ISATAP, l'hôte ISATAP doit d'abord déterminer l'adresse IPv4 de monodiffusion à partir de l'interface du routeur ISATAP sur le sous-réseau ISATAP logique. Pour le protocole IPv6 pour Windows Server 2008 et Windows Vista, un hôte ISATAP obtient l'adresse IPv4 de monodiffusion du routeur ISATAP par le biais de la résolution correcte du nom d'hôte « ISATAP » sur une adresse IPv4 ou avec la commande netsh interface isatap set router.

Migrez votre Intranet : Phase 1

Afin de déployer ISATAP sur votre intranet pour la phase 1 de votre migration vers IPv6, vous devez effectuer les étapes suivantes.

Déterminer le préfixe de sous-réseau ISATAP Vous devez déterminer le préfixe de sous-réseau 64 bits à attribuer au sous-réseau ISATAP logique qui correspond à votre intranet. Vous pouvez obtenir un préfixe de 48 bits auprès d'un registre ISP ou Internet, ou vous pouvez dériver votre propre préfixe de 48 bits local unique (voir le RFC 4193 en ligne à l'adresse tools.ietf.org/html/rfc4193).

À partir du préfixe de 48 bits, choisissez un ID de sous-réseau de 16 bits pour le sous-réseau ISATAP logique. La combinaison du préfixe de 48 bits et de l'ID de sous-réseau de 16 bits est le préfixe de sous-réseau ISATAP de 64 bits. Par exemple, le préfixe de 48 bits local, unique FD8A:219C:052A::/48 et l'ID de sous-réseau 1 forment le préfixe de sous-réseau de 64 bits FD8A:219C:052A:1::/64.

Désignation d'un ordinateur comme routeur ISATAP Déterminez quel ordinateur sera le routeur ISATAP. Même si beaucoup de routeurs commerciaux prennent en charge la fonctionnalité de routeur ISATAP, l'information que je fournis ici est spécifique aux ordinateurs exécutant Windows Server 2008.

L'ordinateur routeur ISATAP n'a pas besoin de plusieurs interfaces LAN, ni d'être connecté à une portion compatible IPv6 de votre intranet pour la phase 1. Cependant, il doit être choisi de manière à pouvoir plus tard être mis à jour avec une interface LAN supplémentaire qui sera connectée à la portion compatible IPv6 de votre intranet.

Configuration de l'ordinateur routeur ISATAP Sur l'ordinateur routeur ISATAP, l'émission de la commande suivante place les interfaces de tunneling ISATAP sur l'ordinateur routeur ISATAP dans un état de média connecté :

netsh interface isatap set router IPv4Address

IPv4Address est l'adresse IPv4 attribuée à l'interface LAN de l'ordinateur routeur ISATAP qui est attaché au sous-réseau ISATAP logique.

Ensuite, déterminez le nom ou l'index d'interface de l'interface de tunneling ISATAP qui correspond à l'interface LAN de l'ordinateur routeur ISATAP lié au sous-réseau ISATAP logique, le tout à partir de la sortie de cette commande :

netsh interface ipv6 show interfaces

Ensuite, utilisez cette commande pour activer la publication sur l'interface ISATAP :

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex advertise=enabled

ISATAPInterfaceNameOrIndex est le nom ou l'index d'interface de l'interface de tunneling ISATAP.

Ensuite, utilisez cette commande pour configurer l'ordinateur routeur ISATAP pour publier le préfixe de sous-réseau ISATAP aux hôtes ISATAP :

netsh interface ipv6 add route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex publish=yes

ISATAPSubnetPrefix est le préfixe de sous-réseau ISATAP résolu

Configuration du DNS Dans votre DNS, ajoutez un enregistrement d'adresse (A) pour le nom ISATAP sur les domaines appropriés pour que les hôtes ISATAP de votre intranet puissent résoudre avec succès le nom « ISATAP ». Par exemple, si vos hôtes intranet utilisent le suffixe DNS contoso.com, vous devez maintenant ajouter un enregistrement A au domaine contoso.com pour le nom isatap.contoso.com avec l'adresse IPv4 qui est attribuée à l'interface LAN du routeur ISATAP sur l'intranet IPv4 uniquement.

Si le serveur DNS exécute Windows Server 2008, utilisez l'éditeur du Registre (regedit.exe) sur le serveur DNS pour supprimer l'entrée ISATAP de la valeur de Registre HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList.

Test des hôtes ISATAP À partir d'un hôte ISATAP sur votre intranet, utilisez l'outil Ipconfig pour afficher les adresses attribuées. Les hôtes ISATAP doivent avoir une adresse de la forme suivante ISATAPSubnetPrefix:: 5EFE:w.x.y.z ou ISATAPSubnetPrefix:: 200:5EFE:w.x.y.z. Par exemple, si votre préfixe de sous-réseau ISATAP est FD8A:219C: 052A:1::/64 et qu'un hôte ISATAP a l'adresse IPv4 10.1.31.97, l'hôte ISATAP doit avoir l'adresse FD8A: 219C:052A:1::5FE:10.1.31.97 attribuée à son interface de tunneling ISATAP.

Si un hôte ISATAP n'a pas d'adresse ISATAP basée sur le préfixe de sous-réseau ISATAP, vérifiez que l'hôte est capable de résoudre le nom « ISATAP ». Dans la négative, vérifiez que les enregistrements A ont été créés dans les domaines appropriés et, pour les serveurs DNS exécutant Windows Server 2008, vérifiez que la valeur de Registre GlobalQueryBlockList a été modifiée en supprimant l'entrée ISATAP. Si le nom peut être résolu, vérifiez que l'ordinateur routeur ISATAP a été correctement configuré. Si c'est le cas, vérifiez que les routeurs sur votre intranet autorisent le transfert du trafic IPv4 de protocole 41.

Lorsque les hôtes ISATAP peuvent se configurer avec succès avec les adresses basées sur le préfixe de sous-réseau ISATAP, ils enregistrent ces adresses ISATAP en tant qu'enregistrements AAAA dans le DNS et commencent à les utiliser pour la connectivité IPv6.

Migrez votre Intranet : Phase 2 :

Dans la phase 2 de votre migration vers IPv6, il vous faut modifier votre configuration de routeur ISATAP pour exécuter le transfert entre les portions IPv4 uniquement et les portions compatibles IPv6 de votre intranet.

Sur l'ordinateur routeur ISATAP, exécutez la commande suivante :

netsh interface ipv6 show interfaces

À partir de la sortie de la commande ci-dessus, déterminez le nom ou l'index d'interface de l'interface LAN liée à la portion compatible IPv6 de l'intranet et à l'interface de tunneling ISATAP.

Utilisez cette commande pour activer le transfert sur l'interface ISATAP :

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=enabled

Utilisez cette commande pour activer le transfert sur l'interface LAN :

netsh interface ipv6 set interface LANInterfaceNameOrIndex forwarding=enabled

LANInterfaceNameOrIndex est le nom ou l'index d'interface de l'interface LAN.

Utilisez la commande suivante pour ajouter un itinéraire par défaut au routeur ISATAP :

netsh interface ipv6 add route ::/0 LANInterfaceNameOrIndex NextHopAddress publish=yes

NextHopAddress est l'adresse IPV6 d'un routeur IPv6 natif voisin sur la portion compatible IPv6 de l'intranet.

Pour rendre le sous-réseau logique ISATAP accessible à partir de la portion compatible IPv6 de l'intranet, il est important que vous configuriez les routeurs IPv6 natifs avec un routage pour le préfixe de sous-réseau ISATAP qui pointe en retour vers l'ordinateur routeur ISATAP.

Pour désactiver de manière sélective ISATAP pour les ordinateurs sur la portion compatible IPv6 de l'intranet, manipulez les enregistrements A pour le nom ISATAP dans votre DNS de manière à ce qu'il soit impossible pour les ordinateurs sur la portion compatible IPv6 de l'intranet de résoudre le nom ISATAP.

Autre option  vous pouvez créer et déterminer la valeur de Registre HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponents sur 0x4 (type DWORD).

Migrez votre Intranet : Phase 3 :

Pour la phase 3, lorsque tout votre intranet est compatible IPv6, vous aurez besoin de supprimer le déploiement ISATAP par le biais du DNS et de reconfigurer l'ordinateur routeur ISATAP. Pour le DNS, supprimez tous les enregistrements A pour le nom ISATAP. Ceci empêchera tout hôte de déterminer l'adresse IPv4 du routeur ISATAP.

Pour l'ordinateur routeur ISATAP, exécutez la commande suivante :

netsh interface isatap set router default

Cette commande réinitialise le composant ISATAP à son état par défaut.

Déterminez le nom ou l'index d'interface de l'interface de tunneling ISATAP à partir du résultat de cette commande :

netsh interface ipv6 show interfaces

Utilisez cette commande pour désactiver le transfert et la publication sur l'interface ISATAP :

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=disabled advertise=disabled

Utilisez cette commande pour supprimer le routage de préfixe de sous-réseau ISATAP de l'ordinateur routeur ISATAP :

netsh interface ipv6 delete route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex

ISATAPSubnetPrefix est le préfixe de sous-réseau ISATAP

Pour plus d'informations sur le déploiement ISATAP, y compris des détails sur les routeurs ISATAP redondants et les considérations de pare-feu, reportez-vous au « Guide de déploiement ISATAP » à l'adresse go.microsoft.com/fwlink/?LinkId=106926.

Joseph Davies est rédacteur technique chez Microsoft. Il enseigne et rédige des articles sur les réseaux Windows depuis 1992. Il a écrit cinq livres pour Microsoft Press et est l'auteur de la chronique en ligne mensuelle Le petit câbleur de TechNet. Plus d'informations sur Le petit câbleur à l'adresse microsoft.com/technet/community/columns/cableguy/about.mspx.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.