¿Para qué se utiliza el túnel IPv6 ISATAP?
ISATAP (Protocolo de direccionamiento de túnel automático dentro del sitio) es una tecnología de asignación de direcciones y túnel automático de host a host, de host a enrutador y de enrutador a host. Proporciona conectividad IPv6 de unidifusión a través de IPv4 interno. ISATAP se utiliza generalmente para la comunicación entre nodos IPv6/IPv4 en redes IPv4. ISATAP utiliza el identificador de interfaz administrado localmente: :0:5EFE:w.x.y.z, donde: la parte 0:5EFE es el identificador de unidad institucional (00-00-5E) asignado por la Autoridad de Números Asignados de Internet (IANA) y representa la parte integrada. Está compuesto del número de tipo (FE) del tipo de dirección IPv4. La parte w.x.y.z es cualquier dirección IPv4 de unidifusión, que puede ser una dirección privada o pública.
Editar características de este párrafo
Cualquier prefijo válido de 64 bits de una dirección de unidifusión IPv6 se puede combinar con un identificador de interfaz ISATAP, incluido el prefijo de dirección local de enlace (FE80:: /64), prefijos globales (incluidos los prefijos 6to4) y prefijos locales del sitio. La dirección ISATAP también contiene una dirección IPv4 integrada, que es similar a las direcciones asignadas IPv4, las direcciones 6over4 y las direcciones 6to4. El propósito de la dirección IPv4 incorporada es determinar la dirección IPv4 de origen o la dirección IPv4 de destino en el encabezado IPv4 después de que el flujo de tráfico IPv6 destinado a la dirección ISATAP se tuneliza a través de la red IPv4.
Edite el principio técnico de este párrafo
El principio básico de la tecnología de transición ISATAP se muestra en la Figura 1.
Figura 1 Principio básico de la tecnología ISATAP Antes de que un host de doble pila pueda comunicarse con otros hosts o enrutadores, primero debe obtener una dirección ISATAP. El host de doble pila primero envía una solicitud de enrutamiento al servidor ISATAP, obtiene un prefijo de dirección IPv6 de 64 bits y luego agrega el identificador de interfaz de 64 bits ∷0:5EFE:X.X.X.X (X.X.X.X aquí es la dirección de unidifusión IPv4 del servidor dual -stack host), formando así una dirección ISATAP. Una vez que el host de doble pila se configura con una dirección ISATAP, se convierte en un cliente ISATAP y puede comunicarse con otros clientes ISATAP en el dominio IPv4. En términos generales, la configuración de direcciones ISATAP admite tanto la configuración automática de direcciones sin estado como la configuración manual. 1. El proceso de comunicación entre hosts ISATAP en el mismo dominio IPv4 En el mismo dominio IPv4, el proceso de comunicación entre dos clientes ISATAP es el siguiente: ① Después de que el host 1 de doble pila obtiene la dirección ISATAP del host 2 de doble pila. entrega los paquetes de datos que deben enviarse a la interfaz ISATAP; ② ISATAP extrae las direcciones de origen y destino IPv4 correspondientes de la dirección de origen IPv6 y la dirección de destino del paquete de datos y encapsula el paquete de datos con el encabezado IPv4; el paquete de datos encapsulado se envía al host 2 de doble pila según su IPv4. ④ El host 2 de doble pila desencapsula el paquete de datos después de recibirlo y obtiene el paquete de datos IPv6 original; datos de respuesta al host 2 de doble pila a través de un proceso similar al proceso anterior de Stack Master 1. Del proceso de comunicación anterior, podemos ver que ISATAP en realidad utiliza la red IPv4 como plataforma portadora y completa la comunicación IPv6 estableciendo un túnel automático IPv6 en IPv4 en ella. 2. Proceso de comunicación entre el host ISATAP y otras redes Además de comunicarse con otros hosts ISATAP dentro del dominio ISATAP, el host ISATAP también puede comunicarse con otras redes a través del enrutador ISATAP.
Por ejemplo, el host ISATAP puede comunicarse con el servidor IPv6 en la red IPv6 a través del enrutador ISATAP. El principio de comunicación se muestra en la Figura 2 y el proceso de comunicación es el siguiente:
Figura 2 Host ISATAP y. el servidor IPv6 en la red IPv6 El proceso de comunicación entre sí ① El host ISATAP obtiene la dirección ISATAP (dirección local del sitio) y establece el siguiente punto de salto en la dirección ISATAP del enrutador ISATAP (dirección local del sitio); el host envía un paquete saliente con un destino fuera de la dirección de subred, ISATAP primero encapsula el paquete de datos IPv6 con IPv4 y luego lo envía a la dirección IPv4 del enrutador ISATAP a través de un túnel ③ Después de eliminar el encabezado IPv4, el enrutador ISATAP reenvía; el paquete de datos IPv6 al servidor IPv6 de destino en la red IPv6 ④ El servidor IPv6 directamente El paquete de datos IPv6 de respuesta se envía de regreso a la red ISATAP ⑤ Cuando el paquete de datos IPv6 de respuesta pasa a través del enrutador ISATAP, el enrutador ISATAP primero lo encapsula; el paquete de datos IPv6 de respuesta en IPv4 y luego lo reenvía al host ISATAP. ⑥ Después de que el host ISATAP reciba el paquete de datos de respuesta, elimine el encabezado IPv4 del paquete de datos y restáurelo al paquete de datos IPv6 original. A través de los pasos anteriores, el host ISATAP y el servidor IPv6 en la red IPv6 han completado un proceso completo de comunicación de datos.
Editar este párrafo mecanismos relacionados con la resolución de direcciones
La tecnología de transición ISATAP utiliza el mecanismo de descubrimiento de vecinos IPv6 (consulte IETF RFC 2461) para implementar la redirección de rutas, la detección de vecinos inalcanzables (NUD) y la ruta siguiente. selección de lúpulo. La dirección ISATAP se obtiene mediante el cálculo estático de la dirección IPv4 de la capa de enlace. Después de obtener la dirección ISATAP, el host confirma si se puede acceder al vecino enviando solicitudes de vecino y recibiendo mensajes de anuncio de vecino. Además, el host también necesita realizar una detección de inaccesibilidad del vecino. Debido a que se implementa en un determinado dominio ISATAP, se supone que las direcciones IPv4 no se repiten, por lo que no es necesario detectar direcciones ISATAP para direcciones duplicadas. Cuando un nodo ISATAP realiza el descubrimiento de enrutadores y prefijos, además de utilizar la lista de prefijos de estructuras de datos y la lista de enrutadores predeterminados en el descubrimiento de vecinos, el enlace ISATAP también agrega una nueva estructura de datos: la lista de enrutadores potenciales (PRL) y una nueva variable de configuración. PrlRefreshInterval. La lista de enrutadores potenciales enumera los enrutadores potenciales que pueden usar los nodos ISATAP. La variable PrlRefreshInterval se usa para establecer el número de segundos entre dos actualizaciones PRL consecutivas después de la inicialización.
Editar las ventajas técnicas de este párrafo
La tecnología de transición ISATAP tiene las siguientes ventajas: ①El prefijo de dirección IPv6 utilizado por la tecnología de transición ISATAP puede ser cualquier prefijo legal de unidifusión IPv6 de 64 bits, incluida la dirección global. prefijos (comenzando con 2001:, 2002:, 3ffe:), prefijos de enlace local (comenzando con fe80:) y prefijos locales de sitio (comenzando con fec0:), etc., lo que facilita la transición de esta tecnología a otras La combinación de Las tecnologías, especialmente cuando se combinan con la tecnología de 6 a 4 túneles, pueden hacer que el host de doble pila de la intranet sea muy fácil de acceder a la red troncal IPv6; ②La tecnología de transición ISATAP no requiere que el nodo final del túnel tenga una dirección IPv4 globalmente única. Siempre que el host de doble pila tenga una dirección de unidifusión IPv4, no importa si la dirección es pública o privada.
Esto evita efectivamente el problema de direcciones IPv4 insuficientes; ③La tecnología de transición ISATAP no requiere que el sitio proporcione servicios IPv4 especiales (como multidifusión, etc.) y es simple y fácil de implementar ④Cuando se utiliza la tecnología de transición ISATAP, no hay ningún impacto en; la puerta de enlace fronteriza En el caso del alcance de agregación, se pueden implementar nuevos hosts IPv6 dentro del sitio IPv4, por lo que se puede utilizar para la comunicación IPv6 entre hosts de doble pila en la red privada interna.
Edite este párrafo sobre problemas de seguridad de red y estrategias de respuesta
Dado que ISATAP utiliza tecnología de túnel, los problemas de seguridad de red que enfrenta la tecnología de túnel son también los problemas de seguridad de red que enfrenta ISATAP con mayor frecuencia. El ataque vulnerable es un ataque de suplantación de direcciones. Sin precauciones, se puede inyectar fácilmente una gran cantidad de paquetes de protocolo tipo 41 en el enlace ISATAP mediante un ataque de suplantación de direcciones. Los ataques de suplantación de direcciones en la red ISATAP pueden provenir de fuera de la red ISATAP. Dado que los enlaces ISATAP se utilizan en todo el sitio IPv4, los ataques desde fuera del sitio se pueden restringir restringiendo estrictamente el acceso al sitio. Es decir, se debe considerar el problema del filtrado de datos en la entrada de la red. Filtrado de datos IPv6 y filtrado de paquetes de protocolo tipo 41 en la entrada del enrutador fronterizo del sitio para garantizar esto. Los ataques de suplantación de direcciones en la red ISATAP también pueden provenir de la red ISATAP. Los ataques de suplantación de direcciones en el sitio se pueden llevar a cabo a través de un nodo disfrazado de enrutador. Todos los hosts ISATAP en la red ISATAP están en el mismo enlace. Este tipo de ataque desde el mismo enlace es difícil de prevenir, especialmente en la red ISATAP. Cuando hay una gran cantidad de hosts en la red. Teniendo en cuenta que las direcciones de interfaz IPv4 publicadas por el enrutador ISATAP se proporcionan en la PRL, estas direcciones se pueden utilizar en estrategias de prevención de seguridad. Sin embargo, este método de prevención debe garantizar que los datos de PRL se actualicen en cualquier momento. Esta operación es casi imposible de implementar manualmente y actualmente no existe una solución automática mejor. Esta se ha convertido en la mayor debilidad de la tecnología ISATAP. Además, dado que todos los hosts ISATAP del sitio están en el mismo enlace IPv6, aunque el tráfico se puede monitorear en el enrutador ISATAP como de costumbre, dado que el enrutador ISATAP está en el borde del sitio y el enlace ISATAP se usa entre hosts en el sitio Los paquetes transmitidos a través del enrutador no pasan a través del enrutador, por lo que no hay forma de monitorear y eliminar la posibilidad de ataques internos. Para prevenir eficazmente ataques de suplantación de direcciones IPv6 de origen dentro del sitio ISATAP, se debe habilitar un mecanismo de seguridad para mitigar los ataques de suplantación de direcciones en la interfaz ISATAP del enrutador. Al menos la puerta de enlace fronteriza del sitio ISATAP debe registrar la fuente de. la dirección de origen de la suplantación de direcciones. De esta manera, una vez que se produce un ataque de suplantación de direcciones, estos registros se pueden utilizar para el análisis y se puede encontrar rápidamente el origen del ataque de suplantación de direcciones. Dado que la tecnología ISATAP utiliza el protocolo de descubrimiento de vecinos descrito en RFC 2461, el ataque más vulnerable al protocolo de descubrimiento de vecinos es un ataque de denegación de servicio (DoS). Por lo tanto, también es necesario considerar las cuestiones de seguridad en esta área. Para conocer precauciones específicas a este respecto, consulte la sección "Consideraciones de seguridad" de IETF RFC 2461.