NAT46 apatride
La fonction NAT46 sans état permet la communication entre les réseaux IPv4 et IPv6 via la traduction de paquets IPv4 vers IPv6, et vice versa, sans conserver d’informations de session sur l’appliance Citrix ADC.
Pour une configuration NAT46 sans état, l’appliance convertit un paquet IPv4 en IPv6 ou un paquet IPv6 en IPv4 tel que défini dans les RFC 6145 et 2765.
Une configuration NAT46 sans état sur l’appliance Citrix ADC comporte les composants suivants :
-
Entrée INAT IPv4-IPv6. Entrée INAT définissant une relation 1:1 entre une adresse IPv4 et une adresse IPv6. En d’autres termes, une adresse IPv4 de l’appliance écoute les demandes de connexion au nom d’un serveur IPv6. Un paquet de requête IPv4 pour cette adresse IPv4 est traduit en paquet IPv6, puis le paquet IPv6 est envoyé au serveur IPv6.
L’appliance convertit un paquet de réponse IPv6 en paquet de réponse IPv4 dont le champ d’adresse IP source est défini comme adresse IPv4 spécifiée dans l’entrée INAT. Le paquet traduit est ensuite envoyé au client.
-
Préfixe NAT46 IPv6. Préfixe IPv6 global de longueur 96 bits (128-32=96) configuré sur l’appliance. Lors de la traduction de paquets IPv4 en paquets IPv6, l’appliance définit l’adresse IP source du paquet IPv6 traduit sur une concaténation du préfixe IPv6 NAT46 [96 bits] et de l’adresse source IPv4 [32 bits] qui a été reçue dans le paquet de requête.
Lors de la traduction de paquets IPv6 vers IPv4, l’appliance définit l’adresse IP de destination du paquet IPv4 traduit sur les 32 derniers bits de l’adresse IP de destination du paquet IPv6.
Prenons un exemple dans lequel une entreprise héberge le site www.example.com sur le serveur S1, qui possède une adresse IPv6. Pour activer la communication entre les clients IPv4 et le serveur IPv6 S1, l’appliance Citrix ADC NS1 est déployée avec une configuration NAT46 sans état qui inclut une entrée INAT IPv4-IPv6 pour le serveur S1 et un préfixe NAT46. L’entrée INAT inclut une adresse IPv4 à laquelle l’appliance écoute les demandes de connexion des clients IPv4 pour le compte du serveur IPv6 S1.
Le tableau suivant répertorie les paramètres utilisés dans cet exemple :
Entités | Nom | Valeur |
---|---|---|
Adresse IP du client | Client_IPv4 (à titre de référence uniquement) | 192.0.2.60 |
Adresse IPv6 du serveur | SEVR_IPv6 (à titre de référence uniquement) | 2001:DB8:5001::30 |
Adresse IPv4 définie dans l’entrée INAT pour le serveur IPv6 S1 | Map-SEVR-IPv4 (à titre de référence uniquement) | 192.0.2.180 |
Préfixe IPv6 pour la traduction NAT 46 | NAT46_PREFIX (à titre de référence uniquement) | 2001:DB8:90: |
Voici le flux de trafic dans cet exemple :
- IPv4 Client CL1 envoie un paquet de requête à l’adresse Map-SEVR-IPv4 (192.0.2.180) sur l’appliance Citrix ADC.
- L’appliance reçoit le paquet de requête et recherche dans les entrées INAT NAT46 l’adresse IPv6 mappée à l’adresse Map-SEVR-IPv4 (192.0.2.180). Il trouve l’adresse SEVR-IPv6 (2001:DB 8:5001::30).
- L’appliance crée un paquet de requête IPv6 traduit avec :
- Champ adresse IP de destination = SEVR-IPv6 = 2001:DB 8:5001::30
- Champ d’adresse IP source = Concaténation du préfixe NAT (96 premiers bits) et client_IPv4 (32 derniers bits) = 2001:DB 8:90::192.0.2.60
- L’appliance envoie la requête IPv6 traduite à SEVR-IPv6.
- Le serveur IPv6 S1 répond en envoyant un paquet IPv6 à l’appliance Citrix ADC avec :
- Champ d’adresse IP de destination = Concaténation du préfixe NAT (96 premiers bits) et client_IPv4 (32 derniers bits) = 2001:DB 8:90::192.0.2.60
- Champ d’adresse IP source = SEVR-IPv6 = 2001:DB 8:5001::30
- L’appliance reçoit le paquet de réponse IPv6 et vérifie que son adresse IP de destination correspond au préfixe NAT46 configuré sur l’appliance. Comme l’adresse de destination correspond au préfixe NAT46, l’appliance recherche dans les entrées INAT NAT46 l’adresse IPv4 associée à l’adresse SEVR-IPv6 (2001:DB 8:5001::30). Il trouve l’adresse Map-SEVR-IPv4 (192.0.2.180).
- L’appliance crée un paquet de réponse IPv4 avec :
- Champ d’adresse IP de destination = Préfixe NAT46 retiré de l’adresse de destination de la réponse IPv6 = Client_IPv4 (192.0.2.60)
- Champ d’adresse IP source = adresse Map-SEVR-IPv4 (192.0.2.180)
- L’appliance envoie la réponse IPv4 traduite au CL1 client.
Limites du NAT46 apatrides
Les restrictions suivantes s’appliquent au NAT46 apatrides :
- La traduction des options IPv4 n’est pas prise en charge.
- La traduction des en-têtes de routage IPv6 n’est pas prise en charge.
- La traduction des en-têtes d’extension hop-by-hop des paquets IPv6 n’est pas prise en charge.
- La traduction des en-têtes ESP et EH des paquets IPv4 n’est pas prise en charge.
- La traduction des paquets de multidiffusion n’est pas prise en charge.
- La traduction des en-têtes d’option de destination et des en-têtes de routage source n’est pas prise en charge.
- La traduction des paquets UDP IPv4 fragmentés qui ne contiennent pas de somme de contrôle UDP n’est pas prise en charge.
Configurer NAT46 sans état
La création des entités requises pour la configuration NAT46 sans état sur l’appliance Citrix ADC implique les procédures suivantes :
- Créez une entrée INAT de mappage IPv4-IPv6 avec le mode sans état activé.
- Créez un préfixe IPv6 NAT46.
Procédures CLI
Pour configurer une entrée de mappage INAT à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- add inat <name> <publicIPv4> <privateIPv6> -mode STATELESS
- montrer inat <name>
Pour créer un préfixe NAT46 à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
- set inatparam -nat46v6Prefix <ipv6_addr|*>
- montrer inatparam
Exemple :
> add inat exmpl-com-stls-nat46 192.0.2.180
2001:DB8:5001::30 -mode stateless
Done
> set inatparam -nat46v6Prefix 2001:DB8:90::/96
Done
<!--NeedCopy-->
Procédures GUI
Pour créer une entrée de mappage INAT à l’aide de l’interface graphique :
-
Accédez à Système > Réseau > Itinéraires > INAT.
-
Ajoutez une nouvelle entrée INAT ou modifiez une entrée INAT existante.
-
Définissez les paramètres suivants :
- Nom*
- Adresse IP publique*
- Adresse IP privée* (Activez la case à cocher IPv6 et entrez l’adresse au format IPv6.)
- Mode (sélectionnez Stateless dans la liste déroulante.)
* Paramètre obligatoire
Pour créer un préfixe NAT46 à l’aide de l’interface graphique :
Accédez à Système > Réseau, dans le groupe Paramètres, cliquez sur Configurer les paramètres INATet définissez le paramètre Préfixe.
Définition des paramètres globaux pour NAT46 sans état
L’appliance fournit des paramètres globaux facultatifs pour les configurations NAT46 sans état.
Pour définir des paramètres globaux pour NAT46 sans état à l’aide de l’interface de ligne de commande :
À l’invite de commandes, tapez :
-
set inatparam [-Nat46 Ignoretos ( OUI NON )] [-Nat46ZeroChecksum ( ACTIVÉ DÉSACTIVÉ )] [-NAT46v6MTU] \ [-**Nat46Fragheader** ( **ACTIVÉ** DÉSACTIVÉ )] - montrer inatparam
Exemple :
> set inatparam -nat46IgnoreTOS YES -nat46ZeroCheckSum DISABLED -nat46v6Mtu 1400 -nat46FragHeader DISABLED
Done
<!--NeedCopy-->
Pour définir des paramètres globaux pour NAT46 sans état à l’aide de l’interface graphique :
Accédez à Système > Réseau, dans le groupe Paramètres, cliquez sur Configurer les paramètres INAT .