The Cable GuyTraffico IPv6 su connessioni VPN

Joseph Davies

Quando si inizia a valutare il ruolo del protocollo IPv6 sulla Intranet e a pianificarne la distribuzione, è necessario comprendere in che modo il traffico IPv6 viene supportato sulle connessioni VPN (Virtual Private Network) in Windows. Grazie alle connessioni VPN, è possibile estendere la rete privata per comprendere collegamenti attraverso

reti pubbliche, ad esempio Internet. Le connessioni VPN sono protette mediante protocolli di autenticazione avanzata per convalidare le credenziali dell'utente che sta effettuando la connessione e metodi di crittografia per garantire la riservatezza dei dati.

In Windows® XP e Windows Server® 2003 è incluso uno stack del protocollo IPv6, che però non è supportato da molti servizi di base e componenti di rete. Windows Vista™ e Windows Server 2008, nome in codice precedente "Longhorn", dispongono invece di un supporto completo per IPv6, installato e attivato per impostazione predefinita e quasi tutti i servizi e le applicazioni di rete incluse al loro interno supportano tale protocollo. Questo mese, esaminerò il supporto fornito da Windows Vista, Windows Server 2008, Windows XP e Windows Server 2003 per il traffico IPv6 inviato su connessioni VPN stabilite attraverso reti Internet IPv4 e IPv6.

Connessioni VPN attraverso rete Internet IPv4

Per la maggior parte delle reti Intranet attuali, le connessioni VPN vengono create attraverso la rete Internet IPv4. Nella Figura 1 sono illustrati i componenti basati su Windows per le connessioni VPN di questo tipo. Essi sono:

Figura 1** Componenti basati su Windows per connessioni VPN attraverso rete Internet IPv4 **(Fare clic sull'immagine per ingrandirla)

Client VPN Il client VPN è un computer da cui viene avviata una connessione VPN di accesso remoto a un server VPN e che comunica con le risorse Intranet. Una connessione VPN di accesso remoto consente al client VPN di agire come se fosse connesso direttamente alla rete Intranet. Su un client VPN può essere eseguita la versione client o server di Windows.

Server VPN Questo computer ascolta i tentativi di connessione VPN remota, applica i requisiti di autenticazione e connessione e indirizza i pacchetti tra i client VPN e le risorse Intranet. Su un server VPN viene in genere eseguita una versione server di Windows con il servizio Routing e Accesso remoto.

Router VPN Un router VPN è un computer che avvia o ascolta i tentativi di connessione VPN da sito a sito. Una connessione VPN da sito a sito connette due porzioni di una rete Intranet. Su un router VPN viene eseguita una versione server di Windows e il servizio Routing e Accesso remoto.

Connessione VPN Una connessione VPN costituisce il collegamento logico tra il client VPN e il server VPN o tra i router VPN, come definito dall'incapsulamento di un protocollo VPN.

Intranet compatibile con IPv6 Questa Intranet è in grado di inoltrare il traffico IPv6 in modo nativo o con tunnel come pacchetti IPv4.

Host IPv6/IPv4 Questo nodo Intranet invia e riceve il traffico IPv6 in modo nativo o con tunnel come pacchetti IPv4.

I protocolli VPN che possono essere utilizzati da client, server e router VPN basati su Windows per incapsulare i pacchetti inviati attraverso la connessione VPN sono i seguenti: PPTP (Point-to-Point Tunneling Protocol), L2TP/IPsec (Layer Two Tunneling Protocol with Internet Protocol security) e SSTP (Secure Socket Tunneling Protocol). SSTP è supportato soltanto da Windows Vista con Service Pack 1 (SP1 in fase di beta testing) e Windows Server 2008.

Per le connessioni VPN attraverso rete Internet IPv4, sono disponibili due metodi per l'invio del traffico IPv6: pacchetti IPv6 con tunnel come pacchetti IPv4, di seguito definito traffico IPv6 su IPv4 e traffico IPv6 nativo.

In questo articolo, il supporto del traffico IPv6 attraverso connessioni VPN viene indicato in termini di protocolli VPN e versioni di Windows. Per le connessioni VPN di accesso remoto, una determinata combinazione di protocollo VPN e versione di Windows significa il supporto da parte di entrambi i componenti client e server di accesso remoto.

Traffico IPv6 su IPv4

Mediante questo metodo, un client di accesso remoto o un host IPv6/IPv4 della rete Intranet incapsula i pacchetti IPv6 con un'intestazione IPv4 e ne invia il risultato come pacchetto IPv4. Per le reti Intranet, la tecnologia di transizione a IPv6 ISATAP (IntraSite Automatic Tunnel Addressing Protocol) consente ai nodi IPv6/IPv4 di scambiare il traffico IPv6 attraverso una rete Intranet solo IPv4. Con ISATAP, è possibile attivare la connettività IPv6 sulla rete Intranet solo IPv4 senza dover necessariamente configurare o aggiornare i router esistenti per supportare l'indirizzamento e l'inoltro IPv6 nativo. Per ulteriori informazioni su ISATAP, vedere l'articolo "Tecnologie di transizione IPv6" all'indirizzo microsoft.com/technet/network/ipv6/ipv6coexist.mspx.

Nella Figura 2 è illustrata la struttura generale dei pacchetti per il traffico VPN quando viene inviato un pacchetto IPv4 utilizzando una connessione VPN attraverso la rete Internet IPv4. Il pacchetto IPv4 viene incapsulato dal protocollo VPN con un'intestazione e, a seconda del protocollo VPN, un trailer. Il risultato viene quindi incapsulato con un'intestazione IPv4 che consente l'inoltro attraverso la rete Internet IPv4.

Figura 2** Pacchetti IPv4 per una connessione VPN attraverso la rete Internet IPv4 **

Per il traffico IPv6 su IPv4, il payload del pacchetto IPv4 inviato attraverso la connessione VPN è costituito da un pacchetto IPv6. Nella Figura 3 è illustrata la struttura generale dei pacchetti per il traffico VPN quando viene inviato un pacchetto IPv6 su IPv4 utilizzando una connessione VPN attraverso la rete Internet IPv4.

Figura 3** Pacchetti IPv6 su IPv4 per una connessione VPN attraverso la rete Internet IPv4 **

Per le connessioni VPN di accesso remoto, il traffico IPv6 su IPv4 attraverso la rete Internet IPv4 è supportato dai protocolli PPTP e L2TP/IPsec in Windows Vista, Windows Server 2008, Windows XP SP1 o versione successiva e Windows Server 2003 e dal protocollo SSTP in Windows Vista SP1 e Windows Server 2008. Per le connessioni VPN da sito a sito, il traffico IPv6 su IPv4 attraverso la rete Internet IPv4 è supportato dai protocolli PPTP e L2TP/IPsec in Windows Server 2008 e Windows Server 2003.

Traffico IPv6 nativo

Per il traffico IPv6 nativo, il client, il server o il router VPN invia i pacchetti IPv6 attraverso la connessione VPN senza l'incapsulamento IPv4 iniziale. Questo avviene sulle reti Intranet che dispongono di connettività IPv6 nativa ed è necessario che i client, i server e i router VPN supportino il protocollo IPv6CP (IPv6 Control Protocol), RFC 2472, che definisce il modo in cui i nodi IPv6 negoziano le opzioni di configurazione IPv6 per le connessioni basate su PPP (Point-to-point Protocol). Windows Vista e Windows Server 2008 supportano il protocollo IPV6CP, ma non altrettanto Windows XP e Windows Server 2003. Nella Figura 4 è illustrata la struttura generale dei pacchetti per il traffico VPN quando viene inviato un pacchetto IPv6 nativo utilizzando una connessione VPN attraverso la rete Internet IPv4.

Figura 4** Pacchetti IPv6 nativi per una connessione VPN attraverso la rete Internet IPv4 **

Per le connessioni VPN di accesso remoto, il traffico IPv6 nativo attraverso la rete Internet IPv4 è supportato dai protocolli PPTP e L2TP/IPsec in Windows Vista e Windows Server 2008 e dal protocollo SSTP in Windows Vista SP1 e Windows Server 2008. Per le connessioni VPN da sito a sito, il traffico IPv6 nativo che viaggia attraverso la rete Internet IPv4 è supportato dai protocolli PPTP e L2TP/IPsec in Windows Server 2008.

Connessioni VPN attraverso rete Internet IPv6

Le connessioni VPN possono avvenire anche attraverso la rete Internet IPv6. Tali connessioni sono attualmente poco frequenti, ma si diffonderanno con l'aumento dell'offerta di servizi IPv6 da parte dei provider di servizi Internet ai loro clienti e man mano che le organizzazioni includeranno questo tipo di connettività nelle reti perimetrali alla rete Intranet.

Per supportare le connessioni VPN attraverso rete Internet Pv6, i protocolli VPN utilizzati devono supportare le connessioni su IPv6. In Windows Vista e Windows Server 2008, i protocolli VPN L2TP/IPsec e SSTP supportano le connessioni VPN di accesso remoto su IPv6. In Windows Server 2008, il protocollo L2TP/IPsec supporta le connessioni da sito a sito su IPv6. Le connessioni VPN attraverso rete Internet IPv6 utilizzano lo stesso insieme di componenti utilizzato per le connessioni VPN sia di accesso remoto sia da sito a sito attraverso la rete Internet IPv4.

Esistono inoltre due metodi per l'invio di pacchetti IPv6 sulla rete Internet IPv6: come traffico IPv6 su Pv4 e come traffico IPv6 nativo. Nella Figura 5 è illustrata la struttura generale dei pacchetti IPv6 su IPv4 quando vengono inviati su una connessione VPN attraverso la rete Internet IPv6.

Figura 5** Pacchetti IPv6 su IPv4 per una connessione VPN attraverso la rete Internet IPv6 **

Per le connessioni VPN di accesso remoto, il traffico IPv6 su IPv4 attraverso la rete Internet IPv6 è supportato dal protocollo L2TP/IPsec in Windows Vista e Windows Server 2008 e dal protocollo SSTP in Windows Vista SP1 e Windows Server 2008. Per le connessioni VPN da sito a sito, il traffico IPv6 su IPv4 attraverso la rete Internet IPv6 è supportato dal protocollo L2TP/IPsec in Windows Server 2008. Analogamente al traffico IPv6 su IPv4 sulla rete Internet IPv4, per il traffico IPv6 su IPv4 sulla rete Internet IPv6 è necessaria la distribuzione di una tecnologia di transizione a IPv6 come ISATAP sulla rete Intranet.

Nella Figura 6 è illustrata la struttura generale dei pacchetti IPv6 nativi quando vengono inviati su una connessione VPN attraverso la rete Internet IPv6. Analogamente al traffico IPv6 nativo sulla rete Internet IPv4, per il traffico IPv6 nativo sulla rete Internet IPv6 sono necessari il supporto del protocollo IPV6CP e la distribuzione della connettività IPv6 nativa sulla rete Intranet.

Figura 6** Pacchetti IPv6 nativi per una connessione VPN attraverso la rete Internet IPv6 **

Per le connessioni VPN di accesso remoto, il traffico IPv6 nativo attraverso la rete Internet IPv6 è supportato dai protocolli L2TP/IPsec e L2TP/IPsec in Windows Vista e Windows Server 2008 e dal protocollo SSTP in Windows Vista SP1 e Windows Server 2008. Per le connessioni VPN da sito a sito, il traffico IPv6 nativo attraverso la rete Internet IPv6 è supportato dal protocollo L2TP/IPsec in Windows Server 2008.

Conclusioni

Nella Figura 7 sono illustrati i quattro metodi per l'invio del traffico IPv6 su connessioni VPN e il supporto fornito in Windows per i due diversi tipi di connessioni di VPN. In poche parole, se si utilizza una tecnologia di transizione a IPv6 come ISATAP sulla rete Intranet, è possibile inviare traffico IPv6 su IPv4 su connessioni VPN attraverso reti Internet IPv4 e IPv6. Se la rete Intranet supporta la connettività IPv6 nativa, è possibile inviare traffico IPv6 nativo su connessioni VPN attraverso le reti Internet sia IPv4 sia IPv6 con Windows Vista e Windows Server 2008.

Figure 7 Supporto del traffico IPv6 su connessioni VPN in Windows

Joseph Davies è un autore tecnico di Microsoft. Dal 1992 tiene corsi e scrive su argomenti legati alle reti Microsoft. Ha scritto cinque libri per Microsoft Press ed è autore della rubrica mensile Cable Guy di TechNet.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.