Gran escala NAT64

Debido al agotamiento inminente de las direcciones IPv4, los ISP han comenzado a realizar la transición a la infraestructura IPv6. Sin embargo, durante la transición, los ISP deben seguir soportando IPv4 junto con IPv6, porque la mayor parte de Internet público todavía utiliza IPv4. NAT64 a gran escala es una solución de transición IPv6 para ISP con infraestructura IPv6 para conectar a sus suscriptores solo IPv6 a Internet IPv4. DNS64 es una solución para permitir la detección de dominios solo IPv4 por parte de clientes solo IPv6. DNS64 se utiliza con NAT64 a gran escala para permitir una comunicación perfecta entre los clientes solo IPv6 y los servidores solo IPv4.

Un dispositivo Citrix ADC implementa NAT64 y DNS64 a gran escala y cumple con los RFC 6145, 6146, 6147, 6052, 3022, 2373, 2765 y 2464.

Arquitectura

La arquitectura NAT64 de un ISP que utiliza un dispositivo Citrix ADC consiste en suscriptores IPv6 que acceden a Internet IPv4 a través de un dispositivo Citrix ADC implementado en la red principal del ISP. Los suscriptores IPv6 están conectados a la red principal del ISP a través de la red de acceso solo IPv6 del ISP.

Imagen localizada

La funcionalidad NAT64 a gran escala de un dispositivo Citrix ADC permite la comunicación entre los clientes IPv6 y los servidores IPv4 a través de la traducción de paquetes IPv6 a IPv4, y viceversa, mientras mantiene la información de sesión en el dispositivo Citrix ADC. La funcionalidad Citrix ADC DNS64 representa dominios solo IPv4 a IPv6. mediante la síntesis de registros DNS AAAA para dominios solo IPv4 y el envío a los suscriptores.

NAT64 a gran escala tiene dos componentes principales: Prefijo NAT64 y grupo NAT IPv4. DNS64 tiene un componente principal, el prefijo DNS64, que tiene el mismo valor que el prefijo NAT64.

Al recibir una solicitud AAAA de un suscriptor solo IPv6 para un nombre de dominio alojado en un servidor web solo IPv4 en Internet, la funcionalidad Citrix ADC DNS64 sintetiza un registro AAAA para el nombre de dominio y lo envía al suscriptor. El registro AAAA se sintetiza concatenando el prefijo DNS64 (que se establece en el prefijo NAT64) y la dirección IPv4 real del nombre de dominio.

El suscriptor ahora tiene una dirección de destino IPv6 que corresponde al nombre de dominio deseado. El suscriptor envía la solicitud a la dirección IPv6 sintetizada. Al recibir la solicitud IPv6, la funcionalidad de Citrix ADC NAT64 a gran escala traduce el paquete de solicitud IPv6 en un paquete de solicitud IPv4. NAT64 a gran escala establece la dirección de destino de la solicitud IPv4 en la dirección IPv4, que se extrae de la dirección de destino de la solicitud IPv6 mediante la eliminación del prefijo NAT64 de la dirección IPv6. El puerto de destino se conserva de la solicitud IPv6. NAT64 de gran escala también establece la dirección IP de origen:puerto de origen del paquete IPv4 en la dirección IP NAT:puerto NAT seleccionado del grupo NAT configurado.

El dispositivo mantiene un registro de todas las sesiones activas que utilizan la funcionalidad NAT64 a gran escala. Estas sesiones se llaman sesiones NAT64 a gran escala. El dispositivo también mantiene las asignaciones entre la dirección IPv6 del suscriptor y el puerto, y la dirección y el puerto NAT IPv4, para cada sesión NAT64 a gran escala. Estas asignaciones se denominan asignaciones NAT64 a gran escala. Desde entradas de sesión NAT64 a gran escala y entradas de asignación NAT64 a gran escala, el dispositivo Citrix ADC reconoce que un paquete de respuesta (recibido de Internet) pertenece a una sesión NAT64 concreta.

Cuando el dispositivo recibe un paquete de respuesta IPv4 perteneciente a una sesión NAT64 concreta, utiliza la información almacenada en la sesión NAT64 para traducir el paquete IPv4 en un paquete IPv6 y, a continuación, envía el paquete de respuesta IPv6 al suscriptor.

Ejemplo: Flujo de tráfico de implementación NAT64 y DNS64

Considere un ejemplo de implementación NAT64 y DNS64 a gran escala que consiste en el dispositivo Citrix ADC NS-1 y dos servidores DNS locales, DNS-1 y DNS-2, en la red principal de un ISP y suscriptor IPv6 SUB-1. SUB-1 está conectado a NS-1 a través de la red de acceso IPv6 del ISP. NS-1 incluye configuraciones NAT64 y DNS64 a gran escala para habilitar la comunicación entre el suscriptor IPv6 SUB-1 y los hosts IPv4 (internos y externos).

La configuración NAT64 a gran escala incluye un prefijo NAT64 (2001:DB 8:300: :/96) y un grupo NAT IPv4 para la traducción de solicitudes IPv6 a solicitudes IPv4 y respuestas IPv4 a respuestas IPv6.

La configuración de DNS64 incluye un servidor virtual de equilibrio de carga DNS LBVS-DNS64-1 (2001:DB 8:9999: :99) y un prefijo DNS64 (2001:DB 8:300: :/96). LBVS-DNS64-1 representa el servidor DNS local DNS-1 y DNS-2 a los suscriptores del ISP. El prefijo DNS64, que tiene el mismo valor que el prefijo NAT64, se utiliza para sintetizar registros DNS AAAA a partir de registros DNS A recibidos de servidores DNS DNS-1 y DNS-2. NS-1 responde con un registro AAAA sintetizado a SUB-1 para una solicitud DNS para resolver un host IPv4.

Imagen localizada

Flujo de tráfico DNS64

Fluye el tráfico entre el suscriptor IPv6 SUB-1 y el sitio www.example.com, que reside en un servidor web solo IPv4 en Internet, de la siguiente manera:

  1. El suscriptor IPv6 SUB-1 envía una solicitud AAAA DNS para www.example.com a su servidor DNS designado (2001:DB 8:9999: :99).
  2. El servidor virtual de equilibrio de carga DNS LBVS-DNS64-1 (2001:DB 8:9999: :99) en el dispositivo Citrix ADC NS1 recibe la solicitud AAAA. El algoritmo de equilibrio de carga de LBVS-DNS64-1 selecciona el servidor DNS DNS-1 y reenvía la solicitud AAAA a él.
  3. DNS-1 devuelve un registro vacío o un mensaje de error, porque no hay ningún registro AAAA disponible para www.example.com.
  4. Dado que la opción DNS64 está habilitada en LBVS-DNS64-1 y la solicitud AAAA de CL1 coincide con la condición especificada en DNS64-Directiva-1, NS1 envía una solicitud DNS A a DNS-1 para la dirección IPv4 de www.example.com.
  5. DNS-1 responde con el registro A de 192.0.2.60 para www.example.com.
  6. El módulo DNS64 en NS1 sintetiza un registro AAAA para www.example.com encadenar el prefijo DNS64 (2001:DB 8:300: :/96) asociado a LBVS-DNS64-1, y la dirección IPv4 (192.0.2.60) para www.example.com = 2001:DB 8:300: :192.0.2.60
  7. NS1 envía el registro AAAA sintetizado al cliente IPv6 CL1. NS1 también almacena en caché el registro A en su memoria. NS1 utiliza el registro A almacenado en caché para sintetizar registros AAAA para solicitudes AAAA posteriores.

Flujo de tráfico NAT64

  1. El suscriptor IPv6 SUB-1 envía una solicitud a 2001:DB8:5001:30 www.example.com. El paquete IPv6 tiene:

    • Dirección IP de origen = 2001:DB 8:5001:30
    • Puerto de origen = 2552
    • Dirección IP de destino = 2001:DB 8:300: :192.0.2.60
    • Puerto de destino = 80
  2. El suscriptor IPv6 SUB-1 envía una solicitud a 2001:DB8:5001:30 www.example.com. El paquete IPv6 tiene:

    • Dirección IP de origen = 2001:DB 8:5001:30
    • Puerto de origen = 2552
    • Dirección IP de destino = 2001:DB 8:300: :192.0.2.60
    • Puerto de destino = 80
  3. Cuando NS-1 recibe el paquete IPv6, el módulo NAT64 a gran escala crea un paquete de solicitud IPv4 traducido con:

    • Dirección IP de origen = Una de las direcciones IPv4 disponibles en el grupo NAT configurado (203.0.113.61)
    • Puerto de origen = Uno de los puertos disponibles con la dirección NAT IPv4 asignada (3002)
    • Dirección IP de destino = dirección IPv4 extraída de la dirección de destino de la solicitud IPv6 mediante la eliminación del prefijo NAT64 (2001:DB 8:300: :/96) de la dirección IPv6 (192.0.2.60)
    • Puerto de destino = puerto de destino de la solicitud IPv6 (80)
  4. El módulo NAT64 a gran escala también crea entradas de asignación y sesión para este flujo NAT64 a gran escala. Las entradas de sesión y asignación incluyen la siguiente información:

    • Dirección IP de origen del paquete IPv6 = 2001:DB 8:5001:30
    • Puerto de origen del paquete IPv6 = 2552
    • Dirección IP NAT = 203.0.113.61
    • Puerto NAT = 3002
    • NS-1 envía el paquete IPv4 resultante a su destino en Internet.
  5. Al recibir el paquete de solicitud, el servidor de www.example.com procesa el paquete y envía un paquete de respuesta a NS-1. El paquete de respuesta IPv4 tiene:

    • Dirección IP de la fuente = 192.0.2.60
    • Puerto de origen = 80
    • Dirección IP de destino = 203.0.113.61
    • Puerto de destino = 3002
  6. Al recibir el paquete de respuesta IPv4, NS-1 examina la asignación NAT64 a gran escala y las entradas de sesión y descubre que el paquete de respuesta IPv4 pertenece a una sesión NAT64 a gran escala. El módulo NAT64 a gran escala crea un paquete de respuesta IPv6 traducido:

    • Dirección IP de origen = 2001:DB 8:300: :192.0.2.60
    • Puerto de origen = 80
    • Dirección IP de destino = 2001:DB 8:5001:30
    • Puerto de destino = 2552
  7. NS-1 envía la respuesta IPv6 traducida al cliente SUB-1.

Funciones NAT64 de gran escala compatibles con dispositivos Citrix ADC

NAT64 a gran escala en un dispositivo Citrix ADC admite el conjunto de funciones LSN estándar. Para obtener más información sobre estas funciones de LSN, consulte Arquitectura LSN.

A continuación se presentan algunas de las funciones NAT64 a gran escala compatibles con los dispositivos Citrix ADC:

  • ALG. Soporte de aplicación Layer Gateway (ALG) para protocolos SIP, RTSP, FTP, ICMP y TFTP.
  • NAT determinista/Fijo. Soporte para preasignación de bloques de puertos a suscriptores para minimizar el registro.
  • Mapeo. Compatibilidad con la asignación independiente del punto final (EIM), la asignación dependiente de direcciones (ADM) y la asignación dependiente del puerto de direcciones (APDM).
  • Filtrado. Compatibilidad con el filtrado independiente del punto final (EIF), el filtrado dependiente de direcciones (ADF) y el filtrado dependiente del puerto de direcciones (APDF).
  • Cuotas. Límites configurables en el número de puertos, sesiones por suscriptor y sesiones por grupo LSN.
  • Asignación estática. Soporte para definir manualmente una asignación NAT64 a gran escala.
  • Flujo de horquilla. Soporte para la comunicación entre suscriptores o hosts internos mediante direcciones IP NAT.
  • 464XLAT conexiones. Compatibilidad con la comunicación entre aplicaciones solo IPv4 en hosts de suscriptor IPv6 y hosts IPv4 en Internet a través de una red IPv6.
  • Prefijos NAT64 y DNS64 de longitud variable. El dispositivo Citrix ADC admite la definición de prefijos NAT64 y DNS64 de longitudes de 32, 40, 48, 56, 64 y 96.
  • Múltiples prefijos NAT64 y DNS64. El dispositivo Citrix ADC admite varios prefijos NAT64 y DNS64.
  • Clientes LSN. Soporte para especificar o identificar suscriptores para NAT64 a gran escala mediante prefijos IPv6 y reglas ACL6 ampliadas.
  • Captura de registros. Soporte para el registro de sesiones NAT64 para la aplicación de la ley. Además, los siguientes también son compatibles para el registro.
    • SYSLOG fiable. Soporte para enviar mensajes SYSLOG a través de TCP a servidores de registro externos para un mecanismo de transporte más confiable.
    • Equilibrio de carga de servidores de registro. Compatibilidad con el equilibrio de carga de servidores de registro externos para evitar el almacenamiento de mensajes de registro redundantes.
    • Registro mínimo. Las configuraciones deterministas LSN o las configuraciones dinámicas LSN con bloque de puertos reducen significativamente el volumen de registro NAT64 a gran escala.
    • Registro de información MSISDN. Soporte para incluir información MSISDN de los suscriptores en registros NAT64 a gran escala para identificar y rastrear la actividad del suscriptor a través de Internet.