• Artykuł

Windows Server 2008

Migracja intranetu do IPv6 przy użyciu ISATAP Udostępnij na: Facebook

Autor: Joseph Davies

Opublikowano: 25 sierpnia 2008

Zawartość strony
Migracja intranetu do IPv6 przy użyciu ISATAP   Migracja intranetu do IPv6 przy użyciu ISATAP
Windows Server 2008 oraz Windows Vista   Windows Server 2008 oraz Windows Vista
Migracja intranetu: Faza 1   Migracja intranetu: Faza 1
Migracja intranetu: Faza 2   Migracja intranetu: Faza 2
Migracja intranetu: Faza 3   Migracja intranetu: Faza 3

Typowym nieporozumieniem dotyczącym Internet Protocol wersji 6 (IPv6) jest przekonanie, że aby go wykorzystywać, trzeba wdrożyć macierzyste adresowanie i routing IPv6, co wymaga szczegółowej analizy schematów adresowania IPv6, aktualizacji i konfiguracji routera oraz harmonogramu projektu. Chociaż i tak należy to kiedyś wykonać, aby uzyskać macierzystą łączność IPv6, można łatwo wdrożyć połączenia tunelowe IPv6 przy użyciu protokołu ISATAP (Intra-Site Automatic Tunnel Addressing Protocol). Dzięki połączeniom tunelowym IPv6 hosty wspierające ISATAP mogą komunikować się przy użyciu ruchu IPv6, który jest hermetyzowany z wykorzystaniem nagłówka IPv4 (pole IPv4 Protocol jest ustawione na 41). Ruch ISATAP może przechodzić przez intranet IPv4, a zatem możemy od razu rozpocząć testowanie możliwości aplikacji z wsparciem dla IPv6, bez konieczności oczekiwania na macierzystą infrastrukturę IPv6.

ISATAP to technologia przypisywania adresów oraz automatycznego tunelowania zdefiniowana w specyfikacji RFC 4214, która pozwala na pojedyncze emisje (unicast) IPv6 między hostami IPv6/IPv4 w obrębie intranetu z wsparciem jedynie dla IPv4. Hosty ISATAP wykorzystują logiczny interfejs tunelowania przypisany do adresów ISATAP o formacie UnicastPrefix:0:5EFE:w.x.y.z (gdzie w.x.y.z to prywatny adres IPv4 przypisany do hosta ISATAP) lub UnicastPrefix:200:5EFE:w.x.y.z (gdzie w.x. y.z to publiczny adres IPv4 przypisany do hosta ISATAP). UnicastPrefix to dowolny 64-bitowy prefiks adresu emisji pojedynczej, taki jak prefiks link-local, prefiks globalny lub unikalny prefiks lokalny. Przykładowe adresy ISATAP to 2001:DB8::98CA:200:131.107.28.9 oraz 2001:DB8::98CA:0:10.91.211.17.

Migracja intranetu do IPv6 przy użyciu ISATAP

Rozmieszczenie ISATAP składa się z jednej lub więcej logicznych podsieci ISATAP, które są sieciami IPv4 z przypisanym 64-bitowym przedrostkiem podsieci IPv6. W logicznej podsieci ISATAP znajdują się hosty ISATAP oraz routery ISATAP. Host ISATAP wykorzystuje interfejs tunelowania ISATAP do hermetyzacji ruchu IPv6. Ruch ten może być przesyłany bezpośrednio do innych hostów ISATAP w tej samej logicznej podsieci ISATAP. Gdy lokalizacje docelowe znajdują się w innych podsieciach ISATAP lub w macierzystych podsieciach IPv6, ruch jest przesyłany do routera ISATAP. Router ISATAP to router IPv6, który anonsuje prefiksy podsieci w hostach ISATAP i przekazuje ruch IPv6 dalej między hostami ISATAP a hostami w innych podsieciach IPv6. Rysunek 1 prezentuje komponenty ISATAP w uproszczonym intranecie.

Rysunek 1: Elementy z wsparciem jedynie dla IPv4 oraz z wsparciem dla IPv6 w sieci intranet.

ISATAP pozwala na wdrażanie możliwości adresowania i routingu IPv6 w sieci intranet w trzech fazach.

Faza 1: Intranet z wsparciem jedynie dla IPv4 W tej fazie cały intranet może stanowić pojedynczą, logiczną podsieć ISATAP. Rysunek 2 prezentuje przykład intranetu z wsparciem jedynie dla IPv4 oraz z routerem ISATAP, który jedynie anonsuje globalny lub unikalny lokalny prefiks adresu na hostach ISATAP.

Rysunek 2: Intranet z wsparciem jedynie dla IPv4.

Faza 2: Części intranetu z wsparciem jedynie dla IPv4 oraz również dla IPv6 W środkowej fazie intranet zawiera część wspierającą jedynie IPv4 (logiczna podsieć ISATAP) oraz część z wsparciem dla IPv6. Część z wsparciem dla IPv6 intranetu wspiera IPv4 i została uaktualniona tak, aby wspierać macierzyste adresowanie i routing IPv6. Konfiguracja ta została zaprezentowana na Rysunku 1.

Faza 3: Intranet z wsparciem dla IPv6 W końcowej fazie cały intranet wspiera zarówno IPv4, jak i macierzyste adresowanie i routing IPv6. ISATAP nie jest już potrzebny. Rysunek 3 prezentuje przykład.

Rysunek 3: Intranet z wsparciem dla IPv6.

Przy użyciu protokołu ISATAP możemy zapewnić łączność IPv6 między hostami i aplikacjami podczas pierwszych dwóch faz przejścia z intranetu z wsparciem jedynie dla IPv4 do intranetu z wsparciem dla IPv6.

 Do początku strony Do początku strony

Windows Server 2008 oraz Windows Vista

Protokół IPv6 dla systemów Windows Server® 2008 oraz Windows Vista® wspiera technologię ISATAP zarówno w postaci hosta ISATAP, jak i routera ISATAP. Istnieje osobny interfejs tunelowania ISATAP dla każdego interfejsu sieci LAN, który jest zainstalowany na komputerze o innym sufiksie DNS. Na przykład, jeśli komputer z systemem Windows Vista posiada dwa interfejsy sieci LAN i oba są podłączone do tego samego intranetu oraz mają ten sam sufiks DNS, istnieje tylko jeden interfejs tunelowania ISATAP. Jeśli te dwa interfejsy sieci LAN są podłączone do dwóch różnych sieci z różnymi sufiksami DNS, istnieją dwa interfejsy tunelowania ISATAP. W przypadku komputerów z systemem Windows Server 2008 lub Windows Vista SP1, interfejsy tunelowania ISATAP są umieszczone w stanie odłączonego nośnika, chyba że nazwa "ISATAP" może zostać rozpoznana.

Domyślnie protokół IPv6 dla systemu Windows Vista bez zainstalowanych dodatków Service Pack automatycznie konfiguruje adresy ISATAP typu link-local (FE80::5EFE: w.x.y.z lub FE80::200:5EFE:w.x.y.z) w interfejsach tunelowania ISATAP dla adresów IPv4, które są przypisane do odpowiadających im interfejsów sieci LAN.

Protokół IPv6 dla systemów Windows Server 2008 oraz Windows Vista SP1 konfiguruje adresy ISATAP typu link-local w interfejsach tunelowania ISATAP tylko wtedy, gdy nazwa "ISATAP" może zostać rozpoznana.

Aby otrzymać komunikat Router Advertisement z routera ISATAP, host ISATAP musi wysłać do routera ISATAP komunikat Router Solicitation. W podsieci Ethernet macierzysty host IPv6 wysyła komunikat multiemisji (multicast) Router Solicitation, a następnie routery w podsieci odpowiadają przy użyciu komunikatu Router Advertisement. Ponieważ ISATAP nie wykorzystuje ruchu multiemisji IPv4 i nie wymaga infrastruktury z wsparciem dla multiemisji IPv4, host ISATAP musi dokonać emisji pojedynczej komunikatu Router Solicitation na router ISATAP.

Aby dokonać emisji pojedynczej komunikatu Router Solicitation do routera ISATAP, host ISATAP musi określić adres IPv4 emisji pojedynczej interfejsu routera ISATAP w logicznej podsieci ISATAP. W przypadku protokołu IPv6 dla systemów Windows Server 2008 oraz Windows Vista, host ISATAP uzyskuje adres IPv4 emisji pojedynczej routera ISATAP, dzięki pomyślnemu rozpoznaniu nazwy hosta "ISATAP" dla adresu IPv4 lub przy pomocy polecenia netsh interface isatap set router.

 Do początku strony Do początku strony

Migracja intranetu: Faza 1

Aby rozmieścić rozwiązanie ISATAP w intranecie w ramach fazy 1 migracji do IPv6, należy wykonać następujące czynności.

Określić prefiks podsieci ISATAP należy określić 64-bitowy prefiks podsieci, który ma zostać przypisany do logicznej podsieci ISATAP właściwej dla intranetu. 48-bitowy prefiks można pozyskać z rejestru internetowego lub ISP. Można także zdobyć swój własny 48-bitowy unikalny prefiks lokalny (patrz RFC 4193 online pod adresem tools.ietf.org/html/rfc4193).

Po uzyskaniu 48-bitowego prefiksu należy wybrać 16-bitowy identyfikator podsieci dla logicznej podsieci ISATAP. Kombinacja 48-bitowego prefiksu oraz 16-bitowego identyfikatora podsieci stanowi 64-bitowy prefiks podsieci ISATAP. Na przykład, 48-bitowy unikalny prefiks lokalny FD8A:219C:052A::/48 oraz identyfikator podsieci 1 tworzą 64-bitowy prefiks podsieci FD8A:219C:052A:1::/64.

Wyznaczenie komputera routera ISATAP Należy określić, który komputer będzie pełnił rolę routera ISATAP. Chociaż funkcjonalność routera ISATAP jest wspierana przez wiele komercyjnych routerów, prezentowane w niniejszym artykule informacje będą dotyczyć komputerów z systemem Windows Server 2008.

W fazie 1 komputer routera ISATAP nie potrzebuje wielu interfejsów sieci LAN, ani nie musi być połączony z częścią intranetu z wsparciem dla IPv6. Jednak należy wybrać komputer tak, aby w przyszłości mógł on zostać uaktualniony przy użyciu dodatkowego interfejsu sieci LAN, który będzie połączony z częścią intranetu z wsparciem dla IPv6.

Konfiguracja komputera routera ISATAP Na komputerze routera ISATAP należy wykonać następujące polecenie, które umieszcza interfejsy tunelowania ISATAP na komputerze routera ISATAP w stanie podłączonego nośnika:

netsh interface isatap set router IPv4Address

IPv4Address to adres IPv4 przypisany do interfejsu sieci LAN komputera routera ISATAP, który jest połączony z logiczną podsiecią ISATAP.

Następnie należy określić nazwę lub indeks interfejsu dla interfejsu tunelowania ISATAP, który odpowiada interfejsowi sieci LAN komputera routera ISATAP, który jest połączony z logiczną podsiecią ISATAP. Wszystko na podstawie danych wyjściowych tego polecenia:

netsh interface ipv6 show interfaces

Następnie należy użyć poniższego polecenia do włączenia anonsowania w interfejsie ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex advertise=enabled

ISATAPInterfaceNameOrIndex to nazwa lub indeks interfejsu dla interfejsu tunelowania ISATAP.

Później należy użyć poniższego polecenia do skonfigurowania komputera routera ISATAP tak, aby anonsował on prefiks podsieci ISATAP na hostach ISATAP:

netsh interface ipv6 add route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex publish=yes

ISATAPSubnetPrefix to określony prefiks podsieci ISATAP.

Konfiguracja systemu DNS W systemie DNS należy dodać rekord (A) adresu dla nazwy ISATAP do odpowiednich domen, aby hosty ISATAP w intranecie mogły pomyślnie rozpoznać nazwę "ISATAP." Na przykład, jeśli hosty intranetowe wykorzystują sufiks DNS contoso.com, trzeba dodać rekord A do domeny contoso.com dla nazwy isatap.contoso.com przy użyciu adresu IPv4, który został przypisany do interfejsu sieci LAN routera ISATAP w intranecie z wsparciem jedynie dla IPv4.

Jeśli na serwerze DNS uruchomiony jest system Windows Server 2008, należy użyć edytora rejestru (regedit.exe) na serwerze DNS w celu usunięcia wpisu ISATAP z wartości klucza HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DNS\Parameters\GlobalQueryBlockList.

Testowanie hostów ISATAP Na hoście ISATAP w sieci intranet należy użyć narzędzia Ipconfig do wyświetlania przypisanych adresów. Hosty ISATAP powinny posiadać adres o postaci ISATAPSubnetPrefix:: 5EFE:w.x.y.z lub ISATAPSubnetPrefix:: 200:5EFE:w.x.y.z. Na przykład, jeśli prefiks podsieci ISATAP to FD8A:219C: 052A:1::/64 oraz host ISATAP posiada adres IPv4 10.1.31.97, do interfejsu tunelowania ISATAP hosta ISATAP powinien być przypisany adres FD8A: 219C:052A:1::5FE:10.1.31.97.

Jeśli host ISATAP nie posiada adresu ISATAP bazującego na prefiksie podsieci ISATAP, należy sprawdzić, czy host może rozpoznać nazwę "ISATAP." Jeśli nie, należy sprawdzić, czy rekordy A zostały stworzone w odpowiednich domenach oraz w przypadku serwerów DNS z systemem Windows Server 2008, czy z wartości klucza rejestru GlobalQueryBlockList usunięty został wpis ISATAP. Jeśli nazwa może zostać rozpoznana, należy sprawdzić, czy komputer routera ISATAP został prawidłowo skonfigurowany. Jeśli tak, należy sprawdzić, czy routery w intranecie umożliwiają przesyłanie dalej ruchu protokołu IPv4 41.

Jeśli hosty ISATAP mogą pomyślnie skonfigurować się przy użyciu adresów bazujących na prefiksie podsieci ISATAP, rejestrują te adresy ISATAP w formie rekordów AAAA w systemie DNS i zaczynają wykorzystywać je w połączeniach bazujących na IPv6.

 Do początku strony Do początku strony

Migracja intranetu: Faza 2

W fazie 2 migracji do IPv6 niezbędne jest zmodyfikowanie konfiguracji routera ISATAP tak, aby realizował on przesyłanie między częściami intranetu z wsparciem jedynie dla IPv4 oraz z wsparciem dla IPv6.

Na komputerze routera ISATAP należy wykonać następujące polecenie:

netsh interface ipv6 show interfaces

Na podstawie danych wyjściowych powyższego polecenia należy określić nazwę lub indeks interfejsu dla interfejsu sieci LAN połączonego z częścią intranetu oferującą wsparcie dla IPv6 oraz interfejsu tunelowania ISATAP.

Następujące polecenie służy do włączenia funkcji przesyłania dalej w interfejsie ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=enabled

Poniższe polecenie służy do włączenia funkcji przesyłania dalej w interfejsie sieci LAN:

netsh interface ipv6 set interface LANInterfaceNameOrIndex forwarding=enabled

LANInterfaceNameOrIndex to nazwa lub indeks interfejsu dla interfejsu sieci LAN.

Należy użyć następującego polecenia w celu dodania domyślnej trasy do routera ISATAP:

netsh interface ipv6 add route ::/0 LANInterfaceNameOrIndex NextHopAddress publish=yes

NextHopAddress to adres IPv6 sąsiedniego macierzystego routera IPv6 w części intranetu z wsparciem dla IPv6.

Aby uczynić logiczną podsieć ISATAP dostępną z części intranetu z wsparciem dla IPv6, należy skonfigurować routery IPv6 przy użyciu trasy dla prefiksu podsieci ISATAP, która wskazuje z powrotem komputer routera ISATAP.

Aby selektywnie wyłączać ISATAP dla komputerów w części intranetu z wsparciem dla IPv6, należy manipulować rekordami A dla nazwy ISATAP w systemie DNS tak, by komputery w części intranetu z wsparciem dla IPv6 nie mogły rozpoznawać nazwy ISATAP.

Inną możliwością jest stworzenie klucza rejestru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip6\Parameters\DisabledComponents i ustawienie jego wartości na 0x4 (typ DWORD).

 Do początku strony Do początku strony

Migracja intranetu: Faza 3

W fazie 3, gdy cały intranet oferuje wsparcie dla IPv6, trzeba usunąć rozmieszczenie ISATAP za pośrednictwem systemu DNS oraz zmienić konfigurację komputera routera ISATAP. Z systemu DNS należy usunąć wszystkie rekordy A dla nazwy ISATAP. To uniemożliwi hostom określanie adresu IPv4 routera ISATAP.

Należy uruchomić następujące polecenie dla komputera routera ISATAP:

netsh interface ipv6 add route ::/0 LANInterfaceNameOrIndex NextHopAddress publish=yes

To polecenie resetuje komponent ISATAP z powrotem do stanu domyślnego.

Należy określić nazwę lub indeks interfejsu dla interfejsu tunelowania ISATAP na podstawie danych wyjściowych tego polecenia:

netsh interface ipv6 show interfaces

Następujące polecenie służy do wyłączenia funkcji przesyłania dalej oraz anonsowania w interfejsie ISATAP:

netsh interface ipv6 set interface ISATAPInterfaceNameOrIndex forwarding=disabled advertise=disabled

Następujące polecenie służy do usunięcia trasy prefiksu podsieci ISATAP z komputera routera ISATAP:

netsh interface ipv6 delete route ISATAPSubnetPrefix ISATAPInterfaceNameOrIndex

ISATAPSubnetPrefix to prefiks podsieci ISATAP.

Więcej informacji na temat rozmieszczania rozwiązań ISATAP, w tym szczegółowe informacje dotyczące redundantnych routerów ISATAP oraz kwestii zapory sieciowej, znaleźć można w artykule "Intra-Site Automatic Tunnel Addressing Protocol Deployment Guide" pod adresem go.microsoft.com/fwlink/?LinkId=106926.

O autorze

Joseph Davies pracuje jako autor techniczny w firmie Microsoft i od 1992 roku zajmuje się uczeniem i pisaniem o zagadnieniach związanych z sieciami Windows. Napisał osiem książek wydanych przez Microsoft Press i jest autorem artykułów online publikowanych co miesiąc w ramach serii TechNet Cable Guy. Więcej informacji na temat serii The Cable Guy znaleźć można po adresem technet.microsoft.com/pl-pl/magazine/cc135901(en-us).aspx.

 Do początku strony Do początku strony

Windows Server 2008