 |
| Dùng Địa Chỉ Mạng IPv6 Trong Môi Trường Internet & Network |
Đã đến lúc nói về một điều khiến nhiều người trong số chúng ta cảm thấy khó chịu. Các bạn đã sử dụng các phương pháp cũ quá lâu rồi. Đã đến lúc chuyển sang IPv6.
Nhưng tất nhiên, IPv6 không chỉ đơn giản là "chuyển đổi" mọi thứ. Rất nhiều hệ thống trên thế giới vẫn chưa áp dụng nó sau gần 30 năm, và mặc dù hỗ trợ phần mềm gần như là bắt buộc hiện nay, nhưng điều đó không có nghĩa là nó được triển khai rộng rãi. Ngoài ra, vẫn còn rất nhiều quan niệm sai lầm từ các quản trị viên mạng, những người còn e ngại hoặc chưa hiểu đúng về IPv6, và chúng ta muốn giải quyết tất cả những điều đó.
Tuy nhiên, để tôi có thể mô tả cho bạn cách thiết lập tốt nhất cho mạng lưới của bạn trong tương lai, tôi cần tự mình hiểu rõ cách thức hoạt động của tất cả các cơ chế và hành vi chuyển đổi IPv6. Để hiểu được những điểm yếu của cơ chế chuyển đổi, tôi đã dành trọn một tuần chỉ với IPv6 và báo cáo về những điểm yếu.
Trước hết, tôi muốn nhấn mạnh rằng NAT mà bạn biết và ghét không phải là thứ được hình thành khi Giao thức Internet (Internet Protocol) ra đời, và theo nhiều cách, nó đã gây ra rất nhiều rắc rối trong việc định tuyến. Bạn nên ngừng nghĩ về NAT như một cơ chế bảo mật mà hãy nghĩ về nó như một giải pháp phòng ngừa cạn kiệt địa chỉ khẩn cấp. Tương tự, CG-NAT là một cơ chế phòng ngừa cạn kiệt địa chỉ khẩn cấp tồi tệ mà không ai thực sự muốn triển khai trừ khi họ thực sự cần. Đừng đổ lỗi cho nhà cung cấp khi họ triển khai CG-NAT, hãy tận dụng IPv6 và định tuyến toàn cầu.
 |
| Tìm Hiểu Về Địa Chỉ Mạng IPv6 |
Rào cản lớn nhất khi tự triển khai IPv6 thường không nằm ở sự hỗ trợ của ISP, bộ định tuyến hay máy khách. Mà nằm ở quá trình tư duy, thúc đẩy việc quên đi những phương pháp thiết kế mạng cũ. Với IPv6, chúng ta không chỉ sao chép những sai lầm của IPv4 và bổ sung thêm không gian địa chỉ rộng hơn, mà còn quay trở lại cách thức hoạt động ban đầu của giao thức Internet trước khi cạn kiệt địa chỉ, loại bỏ việc chuyển đổi địa chỉ mạng, chúng ta có thể tập trung hơn vào thiết kế và định tuyến mạng con phù hợp.
> Sau đây là một số lưu ý nhanh có thể rất quan trọng để hiểu về IPv6:
- Địa chỉ dài 128 bit và được viết thành 8 khối hex chứa bốn ký tự được phân tách bằng dấu hai chấm
(tức là fd69:beef:cafe:feed:face:6969:0420:0001 )
- Có thể bỏ qua số 0 đứng đầu (tức là 0420 có thể trở thành 420 , nhưng không phải 42 )
- Nhóm số không (0) có thể được bỏ qua bằng hai dấu hai chấm, nhưng chỉ một lần trong một địa chỉ
(tức là 2000:1::1 , nhưng không 2000::1::1 vì điều đó là mơ hồ)
- Tiền tố mạng (hầu như) luôn dài 64 bit, với hậu tố máy khách 64 bit, sử dụng ký hiệu CIDR (tức là 2000::/3 )
- Tất cả các địa chỉ phải được coi như là duy nhất trên toàn cầu, ngay cả khi chúng chỉ nằm trong tổ chức nội bộ của chúng ta
- Bạn được khuyến khích có nhiều địa chỉ tùy thích trên một giao diện duy nhất, cho các mục đích hoặc phạm vi khác nhau
- Tương tự như vậy, chúng ta có thể có nhiều bộ định tuyến quảng bá tiền tố trên cùng một miền lớp 2 và điều này được khuyến khích
- Chúng ta không còn cần phải gán địa chỉ tập trung thông qua DHCP nữa, vì các nút mạng hiện tại có thể tự gán địa chỉ cho mình trong không gian máy khách cục bộ 64 bit rộng lớn
- Vì mọi thứ đều có thể được định tuyến toàn cầu và duy nhất, chúng ta không cần phải thực hiện chuyển đổi địa chỉ mạng hay chuyển tiếp cổng, hoặc mở cổng mạng
#. Thực nghiệm với mô hình Mạng Tại Nhà / Phòng Labs
Một câu hỏi tôi thường xuyên nhận được khi đề cập đến IPv6 là "điều này mang lại lợi ích gì cho hệ thống mạng tại nhà hoặc phòng labs của tôi". Vậy, sau đây là một số lý do bạn nên bắt đầu sử dụng IPv6 trong hệ thống mạng của mình:
 |
| Triển Khai Mạng Trên Nền IPv6 |
- Giao tiếp ngang hàng như chơi game thường phải xử lý chuyển đổi NAT, nhưng với IPv6, điều này không còn là vấn đề nữa, đặc biệt là đối với nhiều game thủ sử dụng cùng một kết nối
- IPSec VPN được sử dụng rộng rãi nhưng thường hoạt động kém vì nó gặp khó khăn khi vượt qua NAT, do đó, giống như chơi game, đây không phải là vấn đề với IPv6
- Vì chúng ta luôn có một địa chỉ liên kết cục bộ nên chúng ta không cần phải gán địa chỉ nào cả trên các liên kết điểm-điểm hoặc mạng bị cô lập
- Nếu bạn muốn lưu trữ các dịch vụ, bạn không cần phải sử dụng các cổng khác nhau hoặc proxy ngược để tách lưu lượng ra khỏi cổng duy nhất trên địa chỉ WAN duy nhất
- Ưu điểm tương tự này áp dụng cho các máy chủ đơn lẻ, nơi bạn có thể chỉ định nhiều địa chỉ cho các dịch vụ khác nhau, có khả năng sử dụng cùng một cổng
#. Cơ chế dùng cho quá trình chuyển đổi từ Mạng IPv4 sang Mạng IPv6 hoàn toàn
Các phương pháp chuyển đổi chính là Dual-Stack, SIIT, NAT64 và 464XLAT, mỗi phương pháp đều có độ phức tạp tăng dần và có những ưu điểm khác nhau.
 |
| Dual Stack - Triển Khai Song Song IPv4/IPv6 |
> Dual Stack
Trong hầu hết các trường hợp, bạn sẽ triển khai mạng dual-stack. Với thiết lập này, cả IPv4 và IPv6 đều được triển khai hoàn toàn trên toàn bộ mạng. Tài nguyên có thể truy cập thông qua một trong hai phiên bản IP, tất cả các phân đoạn mạng phải được gán cả mạng con IPv4 và IPv6, và tất cả các bộ định tuyến phải có bảng định tuyến cho cả IPv4 và IPv6. Máy khách có thể chọn truy cập bất kỳ tài nguyên nào thông qua một trong hai phiên bản IP, có khả năng nhận cả bản ghi A và AAAA cho các đích đến. Như bạn thấy, điều này có thể quản lý được đối với mạng gia đình chỉ có một bộ định tuyến nhưng nhìn chung khó mở rộng quy mô. Tuy vậy, đây là cách dễ nhất để triển khai IPv6 trong mạng gia đình hoặc tổ chức nhỏ của bạn.
> Chuyển đổi IP/ICMP không trạng thái ( SIIT _ Stateless IP/ICMP Translation )
 |
| Chuyển Đổi IP/ICMP Tại Biên Mạng |
> NAT64
Một cơ chế khác là NAT64. Cơ chế này hoạt động tương tự như NAT IPv4 'cũ', ở chỗ chúng ta có một nhóm địa chỉ được ngụy trang đằng sau một địa chỉ công khai duy nhất. Tuy nhiên, trong trường hợp của chúng ta, nhóm địa chỉ là IPv6 và địa chỉ công khai là IPv4. Vì vậy, máy chủ NAT64 tiếp nhận yêu cầu từ các máy khách IPv6 gốc với địa chỉ IPv4 đích được mã hóa thành địa chỉ IPv6 đích (có thể sử dụng tiền tố đã biết 64:ff9b::/96 và thêm IPv4 32 bit vào cuối). Sau đó, nó thực hiện cả chuyển đổi giao thức, địa chỉ và cổng như trong NAT IPv4, và các kết nối đi sẽ khiến máy chủ NAT64 xuất hiện như một mạng bình thường đằng sau một địa chỉ IPv4 công khai duy nhất. Nhược điểm của cơ chế này là các máy khách cần biết rằng chúng nên kết nối đến các đích IPv4. Giống như NAT truyền thống, đây là một quá trình chuyển đổi có trạng thái và áp đặt cổng NAT64 như một điểm nghẽn tiềm ẩn trên mạng (như dịch vụ NAT vẫn luôn như vậy).
 |
| Địa Chỉ Mạng IPv6 - Phân Phối Thông Qua DNS64 |
Cơ chế phổ biến nhất được sử dụng cùng với NAT64 là DNS64. Trong cơ chế chuyển đổi này, máy chủ DNS nhận biết rằng nó đang phục vụ một mạng chỉ IPv6 và tiền tố được sử dụng để chuyển đổi NAT64. Nếu máy chủ DNS gặp một truy vấn không có bản ghi AAAA nhưng có bản ghi A hợp lệ, nó sẽ tổng hợp bản ghi AAAA bằng cách kết hợp bản ghi A với tiền tố NAT64. Giờ đây, bất kỳ phần mềm máy khách nào sử dụng DNS sẽ tự động kết nối với cổng NAT64 để truy cập internet IPv4 qua IPv6.
> 464XLAT
Ngoài DNS64, cơ chế cuối cùng có thể được triển khai trong mạng NAT64 được gọi là '464XLAT'. Về mặt khái niệm, nó gần giống với sự kết hợp của NAT64 ở cấp độ mạng và SIIT ở cấp độ thiết bị riêng lẻ (4->6 1:1 theo sau là 6->4 NAT), mặc dù thuật ngữ khác nhau thường được sử dụng do các tổ chức khác nhau đã phát triển cơ chế này. Máy chủ NAT64 ở biên mạng thường thực hiện NAT máy khách hoặc CG-NAT và được gọi là 'PLAT' (Bộ chuyển đổi phía nhà cung cấp). Mỗi máy khách sau đó chạy 'CLAT' (Bộ chuyển đổi phía máy khách) riêng của mình, tự gán một địa chỉ IPv4 trong ngăn xếp mạng của nó cũng như một địa chỉ IPv6 để giao tiếp với PLAT. Các ứng dụng máy khách gửi gói tin bằng IPv4 sẽ xem IPv4 của CLAT là tuyến IPv4 mặc định và CLAT sau đó sẽ thực hiện chuyển đổi 4->6 không trạng thái. Điều này loại bỏ hoặc giảm nhu cầu sử dụng DNS64, áp dụng các yêu cầu mạng tương tự cho cổng NAT64, và cho phép các máy khách tương thích thực hiện chuyển đổi IPv4 sang IPv6 nếu cần giao tiếp trực tiếp với IPv4. Đây thường là phương pháp được sử dụng trong các mạng ISP, vì thực thể NAT64/PLAT của họ đã được yêu cầu làm cổng CG-NAT và họ có thể triển khai dịch vụ CLAT trên modem/cổng của mình để cung cấp giao diện IPv4 đầu cuối cho máy khách mà không gặp bất kỳ nhược điểm nào.
 |
| Cơ Chế Chuyển Đổi 464XLAT + DNS64 |
Trên mạng của chúng tôi, việc sử dụng 464XLAT chủ yếu bị giới hạn bởi hỗ trợ phần mềm máy khách. Cả iOS và MacOS đều có chức năng CLAT gốc sẽ tự động kích hoạt, nhưng các phiên bản MacOS cũ hơn và về cơ bản là mọi hệ điều hành khác hiện đang sử dụng đều không tự động hoạt động. Tuy nhiên, vẫn có thể dễ dàng triển khai cả 464XLAT và DNS64 trên cùng một mạng, vì vậy các máy khách không hỗ trợ 464XLAT gốc sẽ quay lại DNS64 và chỉ gặp sự cố với IPv4 literals trong một số phần mềm ngang hàng nhất định.
#. Rút kết kinh nghiệm thực tế trong quá trình chuyển đổi Mạng IPv6 hoàn toàn
Tóm tắt những kinh nghiệm mà chúng tôi đã rút kết ra được trong một tuần chỉ sử dụng Mạng IPv6 hoàn toàn :
- Khoảng một nửa số trang web mà chúng tôi dựa vào hỗ trợ IPv6 gốc, do đó cần phải có nhiều áp lực hơn đối với quản trị viên trang web và CDN để hỗ trợ IPv6 gốc
- Có vẻ như thiếu động lực (đánh giá theo các bài đăng trên diễn đàn) để kích hoạt IPv6 trên các dịch vụ internet của quản trị viên, hoặc là vì họ không quan tâm, hoặc là do phải quản lý sự hiện diện của IPv4 công cộng và IPv6 công cộng nhiều hơn.
- Mạng nên được thiết kế theo hướng IPv6 trước thay vì IPv4 trước và phương pháp thiết kế này phần lớn giải quyết được hầu hết các vấn đề chính
- NAT64 sẽ thay thế NAT truyền thống trong kiến trúc mạng và về cơ bản là giải pháp thay thế tạm thời khi có sự hỗ trợ phần mềm tốt hơn từ bộ định tuyến
- Riêng DNS64 là một cơ chế chuyển đổi có thể sử dụng được và có lẽ là 'đủ' cho Wifi công cộng hoặc các mạng được quản lý tốt khác, nơi bạn biết dịch vụ nào quan trọng với mình hoặc không bận tâm đến việc địa chỉ IPv4 ngang hàng bị lỗi.
- 464XLAT là giải pháp không có nhược điểm nào mà người dùng có thể nhìn thấy và là cách mạng ISP nên được triển khai trong tương lai, kết hợp với CG-NAT
- Apple có hỗ trợ IPv6 tuyệt vời trên các thiết bị của họ, hỗ trợ đầy đủ cấu hình tự động 464XLAT trên các thiết bị có NAT64 và nhìn chung có thái độ tuyệt vời trong việc buộc các nhà phát triển hỗ trợ IPv6
- Các hệ điều hành khác thì hơi thất thường
Đăng nhận xét