Dual-Stack Lite
En raison de la pénurie d’adresses IPv4 et des avantages d’IPv6 par rapport à IPv4, de nombreux fournisseurs de services Internet ont commencé à passer à l’infrastructure IPv6. Mais pendant la transition, les FSI doivent continuer à prendre en charge IPv4 avec IPv6, car la plupart de l’Internet public utilise toujours uniquement IPv4, et de nombreux abonnés ne prennent pas en charge IPv6.
Dual Stack Lite (DS-Lite) est une solution de transition IPv6 pour les FAI disposant d’une infrastructure IPv6 pour connecter leurs abonnés IPv4 à Internet. DS-Lite utilise le tunnel IPv4-in-IPv6 pour envoyer au FAI le paquet IPv4 d’un abonné via un tunnel sur le réseau d’accès IPv6. Le paquet IPv6 est décapsulé pour récupérer le paquet IPv4 de l’abonné et est ensuite envoyé à Internet après la traduction d’adresse et de port NAT et d’autres traitements liés au LSN. Les paquets de réponse traversent le même chemin d’accès à l’abonné.
L’appliance Citrix ADC implémente le composant AFTR d’un déploiement DS-Lite et est conforme à la RFC 6333.
Architecture
L’architecture Dual-Stack Lite pour un fournisseur de services Internet comprend les composants suivants :
- Basic Bridging Large (B4). B4 (Basic Bridging Broadband) est un périphérique ou un composant qui réside dans les locaux de l’abonné. Généralement, B4 est un composant dans les périphériques CPE dans les locaux de l’abonné. Les abonnés IPv4 sont connectés au réseau d’accès ISP uniquement IPv6 via le périphérique CPE contenant le composant B4. La fonction principale du B4 est d’initier un tunnel IPv6 entre B4 et un routeur de transition de famille d’adresses (AFTR) afin d’envoyer ou de recevoir des paquets de requête IPv4 d’abonné ou de réponse via le tunnel. B4 inclut une adresse IPv6 connue sous le nom d’adresse du point de terminaison du tunnel B4. B4 utilise cette adresse pour envoyer des paquets IPv6 à AFTR et recevoir des paquets d’AFTR.
- Routeur de transition de famille d’adresses (AFTR). AFTR est un dispositif ou un composant résidant dans le réseau central du FSI. AFTR met fin au tunnel IPv6 à partir du périphérique B4. En d’autres termes, le tunnel IPv6 est formé entre B4 dans le local de l’abonné et AFTR dans le réseau central du fournisseur de services Internet. AFTR décapsule les paquets IPv6 reçus de B4 pour récupérer les paquets IPv4 d’origine des abonnés. AFTR envoie les paquets IPv4 au périphérique ou au composant LSN. LSN achemine les paquets IPv4 vers leur destination après avoir effectué la traduction d’adresse et de port NAT (NAT 44) et d’autres traitements liés au LSN. AFTR inclut une adresse IPv6 connue sous le nom d’adresse du point de terminaison du tunnel AFTR. AFTR utilise cette adresse pour envoyer des paquets IPv6 vers B4 et recevoir des paquets IPv6 de B4. L’appliance Citrix ADC implémente le composant AFTR.
- Logiciel. Le tunnel IPv6 créé entre B4 et AFTR est appelé un logiciel.
L’architecture DS-Lite d’un fournisseur de services Internet utilisant une appliance Citrix ADC se compose d’abonnés dans des espaces d’adressage privés accédant à Internet via une appliance Citrix ADC déployée dans le réseau central du fournisseur de services Internet. Les abonnés IPv4 sont connectés à un périphérique CPE qui inclut la fonctionnalité DS-Lite B4. Le périphérique CPE est connecté au réseau central du fournisseur de services Internet via le réseau d’accès IPv6 uniquement du fournisseur de services Internet. L’appliance Citrix ADC contient les fonctionnalités DS-Lite AFTR et LSN.
Les abonnés IPv4 connectés au périphérique CPE se voient attribuer des adresses IPv4 privées manuellement ou via un serveur DHCP s’exécutant sur le périphérique CPE. Sur le périphérique CPE, l’adresse du point de terminaison du tunnel AFTR est spécifiée manuellement ou via DHCPv6. La configuration des périphériques CPE est spécifique au fournisseur et ne relève donc pas de la présente documentation.
À la réception d’un paquet de requête provenant d’un abonné IPv4 et destiné à un emplacement sur Internet, le composant B4 du périphérique CPE encapsule le paquet IPv4 dans un paquet IPv6 et l’envoie à l’appliance Citrix ADC dans le réseau central du fournisseur de services Internet. La fonctionnalité AFTR de l’appliance Citrix ADC décapsule le paquet IPv6 pour récupérer le paquet IPv4 d’origine de l’abonné. La fonctionnalité LSN de l’appliance Citrix ADC traduit l’adresse IP source et le port du paquet IPv4 en une adresse IP NAT et un port NAT sélectionnés dans le pool NAT configuré, puis envoie le paquet à sa destination sur Internet.
L’appliance conserve un enregistrement de toutes les sessions actives qui utilisent les fonctionnalités AFTR et LSN. Ces sessions sont appelées sessions DS-Lite. L’appliance Citrix ADC gère également les mappages entre l’adresse IPv6 B4, l’adresse et le port IPv4 de l’abonné, et l’adresse et le port NAT IPv4, pour chaque session DS-Lite. Ces mappages sont appelés mappings LSN DS-Lite. À partir des entrées de session DS-Lite et des entrées de mappage DS-Lite LSN, l’appliance Citrix ADC reconnaît un paquet de réponse (reçu d’Internet) comme appartenant à une session DS-Lite particulière.
Lorsque l’appliance Citrix ADC reçoit un paquet de réponse appartenant à une session DS-Lite particulière, la fonctionnalité LSN de l’appliance traduit l’adresse IP de destination et le port du paquet de réponse de l’adresse IP et du port NAT vers l’adresse IP et le port de l’abonné, la fonctionnalité AFTR encapsule le dans un paquet IPv6 et l’envoie au périphérique CPE. La fonctionnalité B4 du périphérique CPE décapsule le paquet IPv6 pour récupérer le paquet de réponse IPv4, puis envoie le paquet IPv4 à l’abonné.
Exemple
Prenons un exemple de déploiement DS-Lite composé de Citrix ADC NS-1 dans le réseau central d’un fournisseur de services Internet, d’un périphérique CPE B4-CPE-1 dans un local d’abonné et d’un seul abonné IPv4 SUB-1. B4-CPE-1 prend en charge la fonctionnalité B4 de la fonction DS-Lite.
Le tableau suivant répertorie les paramètres utilisés dans cet exemple.
Entité | Nom | Détails |
---|---|---|
Adresse IPv4 de l’abonné SUB-1 | 192.0.2.51 | |
Adresse IPv6 du point de terminaison logiciel sur le périphérique B4 (B4-CPE-1) | 2001:DB8::3:4 | |
Adresse IPv6 du point de terminaison logiciel sur le périphérique AFTR (NS-1) | 2001:DB8::5:6 |
Paramètres de l’appliance Citrix ADC NS-1 :
Entité | Nom | Détails |
---|---|---|
Client LSN | LSN-DSLITE-CLIENT-1 | Network6 (Identification du trafic à partir de périphériques B4) = 2001:DB8::3:0/100 |
Piscine LSN | LSN-DSLITE-POOL-1 | IP LSN (IP NAT) = 203.0.113.61 - 203.0.113.70 |
Profil IPv6 | LSN-DSLITE-PROFILE-1 | Type = DS-LITE ; adresse IPv6 (adresse IPv6 AFTR) = une adresse IPv6 appartenant à Citrix ADC de type SNIP6 = 2001:DB8::5:6 |
Groupe LSN | LSN-DSLITE-GROUP-1 | Client LSN = LSN-DSLITE-CLIENT-1 ; pool LSN = LSN-DSLITE-POOL-1 ; profil IPv6 = LSN-DSLITE-PROFILE-1 |
Voici le flux de trafic dans cet exemple :
-
L’abonné IPv4 SUB-1 envoie une requête à (
http://www.example.com/
). Le paquet IPv4 a :- Adresse IP source = 192.0.2.51
- Port source = 2552
- Adresse IP de destination = 198.51.100.250
- Port de destination = 80
-
À la réception du paquet de requête IPv4, B4-CPE-1 l’encapsule dans la charge utile d’un paquet IPv6, puis envoie le paquet IPv6 à NS-1. Le paquet IPv6 a :
- Adresse IP source = 2001:DB8::3:4
- Adresse IP de destination = 2001:DB8::5:6
-
Lorsque NS-1 reçoit le paquet IPv6, le module AFTR décapsule le paquet en supprimant les en-têtes IPv6. Le paquet résultant est le paquet de requête IPv4 d’origine de SUB-1.
-
Le module LSN de NS-1 traduit l’adresse IP source et le port du paquet en une adresse IP NAT et un port NAT sélectionnés dans le pool NAT configuré. Le paquet IPv4 traduit a :
- Adresse IP source = 203.0.113.61
- Port source = 3002
- Adresse IP de destination = 198.51.100.250
- Port de destination = 80
-
Le module LSN crée également un mappage LSN et une entrée de session pour cette session DS Lite. Le mappage comprend les informations suivantes :
- Adresse IP source du paquet IPv6 (adresse IPv6 de B4-CPE-1) = 2001:DB8::3:4
- Adresse IP source du paquet IPv4 (adresse IPv4 de SUB-1) = 192.0.2.51
- Port source du paquet IPv4 = 2552
- Adresse IP NAT = 203.0.113.61
- Port NAT = 3002
-
NS-1 envoie le paquet IPv4 obtenu à sa destination sur Internet.
-
Le serveur de www.example.com traite le paquet de requête et envoie un paquet de réponse. Le paquet de réponse IPv4 a :
- Adresse IP source = 198.51.100.250
- Port source = 80
- Adresse IP de destination = 203.0.113.61
- Port de destination = 3002
-
Lors de la réception du paquet IPv4, NS-1 examine le mappage LSN et les entrées de session et constate que le paquet de réponse IPv4 appartient à une session DS Lite. Le module LSN de NS-1 traduit l’adresse IP de destination et le port. Le paquet IPv4 a maintenant :
- Adresse IP source = 198.51.100.250
- Port source = 80
- Adresse IP de destination = 192.0.2.51
- Port de destination = 2552
-
Le module AFTR de NS-1 encapsule le paquet IPv4 dans un paquet IPv6, puis envoie le paquet IPv6 à B4-CPE-1. Le paquet IPv6 a :
- Adresse IP source = 2001:DB8::5:6
- Adresse IP de destination = 2001:DB8::3:4
-
À la réception du paquet, B4-CPE-1 supprime l’encapsulation du paquet IPv6 en supprimant les en-têtes IPv6, puis envoie le paquet IPv4 obtenu au CL-1.