ISATAP
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) je IPv6 přestupní mechanismus vytvořený pro přenos IPv6 paketů mezi uzly s duální implementací nad IPv4 sítí.
Na rozdíl od 6over4 (starší podobný protokol užívající IPv4 multicast), ISATAP používá IPv4 jako NBMA (nonbroadcast multiple-access network neboli síť, kde se přenáší data přímo mezi dvěma počítači, aniž by ostatní o této komunikaci věděli) datovou vrstvu, takže infrastruktura podpůrné IPv4 sítě nemusí podporovat IP multicast.
Jak ISATAP funguje
[editovat | editovat zdroj]ISATAP vytváří IPV6 adresu za pomoci IPv4 adresy.
Generovaní adresy
[editovat | editovat zdroj]Každý host vytvoří virtuální IPv6 síťové rozhraní. Adresa je vytvořená pomocí spojení fe80:0000:0000:0000:0000:5efe:
s 32 bity z původní IPv4 adresy vyjádřené v šestnáctkové soustavě.
Příklad: host s IPv4 192.0.2.143
použije IPv6 adresu fe80:0000:0000:0000:0000:5efe:c000:028f
, protože 192.0.2.143
je v šestnáctkové soustavě c000028f
. Zkrácená forma adresy by byla fe80::5efe:c000:28f
.
Objevování sousedů
[editovat | editovat zdroj]Protože ISATAP nepoužívá IPv4 jako multicast vrstvu, ICMPv6 nemůže být použito pro objevení sousedů. Díky tomuto je ISATAP trochu komplexnější než 6over4.
Avšak nepřítomnost podpory multicastu zabraňuje automatickému nalezení routeru. Proto ISATAP hosté musí být konfigurováni se seznamem potenciálních routerů (potential routers list (PRL)). Každý z těchto routerů je čas od času otestován posláním ICMPv6 Router Discovery Message pro zjištění, který z nich je funkční, a pro provedení unicast-only autokonfigurace (typicky pro zjištění IPv6 prefixů, které mohou být použity).
Prakticky se PRL vytváří dotazováním DNS, rozuměj překládáním isatap.example.com
pro případ, že lokální doménou je example.com
. Lokální doména je většinou získána díky DHCP (přes IPv4) nebo staticky nastavená.
Slabé stránky ISATAPu
[editovat | editovat zdroj]ISATAP typicky vytváří svůj PRL ve spolupráci s DNS, je to tudíž závislost protokolu nižší třídy na protokolu vyšší třídy. Tohle je porušení zásad návrhů sítí a některým síťovým specialistům se zdá málo robustní.[1]
ISATAP nese stejná bezpečnostní rizika jako 6over4, virtuální IPv4 spojení musí být pečlivě omezeno na hranicích sítě tak, aby externí hosté nemohli předstírat, že patří do ISATAP spojení. Tomu je normálně zabráněno tak, že proto-41 nemůže projít firewallem.
Implementace ISATAPu
[editovat | editovat zdroj]ISATAP je implementován ve Windows XP, Windows Vista, Windows 7, Windows Mobile, Linux, a v některých verzích Cisco IOS.
Odkazy
[editovat | editovat zdroj]Reference
[editovat | editovat zdroj]- ↑ Archivovaná kopie. www.ops.ietf.org [online]. [cit. 2010-06-05]. Dostupné v archivu pořízeném dne 2011-07-09.
Literatura
[editovat | editovat zdroj]- F. Templin, T. Gleeson, D. Thaler Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) RFC 5214, March 2008.