IPv6 - IPv4 routing, IPv6 adres plan

Kijk eerst even of je L3 switch NAT64 ondersteund. Zo niet, ga op zoek naar een oplossing die deze functionaliteit wel aanbied.

Uit het gelinkte artiekel:

Technologies Facilitating IPv6/IPv4 Translation

AFT can be achieved using either of the following two technologies:

• Network Address Translation-Protocol Translation (NAT-PT)
• Network Address Translation 64 (NAT64)

NAT-PT has been deemed deprecated by IETF because of its tight coupling with Domain Name System (DNS) and its general limitations in translation, all of which are documented in RFC 4966. With the deprecation of NAT-PT and the increasing urgency to get moving on IPv6 transition, IETF proposed NAT64 as the viable successor to NAT-PT.

Network Address Translation IPv6 to IPv4, or NAT64, technology facilitates communication between IPv6-only and IPv4-only hosts and networks (whether in a transit, an access, or an edge network). This solution allows both enterprises and ISPs to accelerate IPv6 adoption while simultaneously handling IPv4 address depletion. The DNS64 and NAT64 functions are completely separated, which is essential to the superiority of NAT64 over NAT-PT.

All viable translation scenarios are supported by NAT64, and therefore NAT64 is becoming the most sought translation technology. AFT using NAT64 technology can be achieved by either stateless or stateful means:

• Stateless NAT64, defined in RFC 6145, is a translation mechanism for algorithmically mapping IPv6 addresses to IPv4 addresses, and IPv4 addresses to IPv6 addresses. Like NAT44, it does not maintain any bindings or session state while performing translation, and it supports both IPv6-initiated and IPv4-initiated communications.
• Stateful NAT64, defined in RFC 6146, is a stateful translation mechanism for translating IPv6 addresses to IPv4 addresses, and IPv4 addresses to IPv6 addresses. Like NAT44, it is called stateful because it creates or modifies bindings or session state while performing translation. It supports both IPv6-initiated and IPv4-initiated communications using static or manual mappings.

Table 2 and Figure 3 compare stateless and stateful NAT64.
Specific protocols such as FTP and SIP that embed IP address information within the payload require ALG support for AFT.

Merk ook op dat je mogelijk een DNS64 server in moet richten.

Wat is trouwens de reden dat je niet dualstack wilt draaien? Er zijn wat nadelen aan NAT64, niet ieder protocol zal werken omdat het afhankelijk is van zowel NAT als een omzetting in DNS

Lightthunder schreef op woensdag 14 december 2016 @ 15:41:
Ik heb de 3750 tot mijn beschikking maar kan nergens vinden of het NAT64 ondersteund.

Laat ik het anders vragen:
Hoe kan ik communiceren in het netwerk tussen IPv4 en IPv6 als mijn ontwerp als volgt is?

Simpel, met NAT64. Aangezien je L3 switch dit niet ondersteund, zul je een ander apparaat in moeten zetten om dit voor elkaar te krijgen.

IPv4 en IPv6 zijn simpelweg niet compatible. Het is daarom niet mogelijk om verkeer te routeren van een IPv4 naar een IPv6 netwerk of omgekeerd. Hier dient NAT toegepast te worden en de gemiddelde L3 switch heeft al moeite met IPv4 only NAT, laat staan NAT64.

Advies:
Herzie je huidige strategie of schaf een router aan die NAT64 ondersteund.

Lightthunder schreef op woensdag 14 december 2016 @ 15:58:
Omdat op de Cisco pagina staat dat NAT64 veelal wordt gebruikt voor een geleidelijke overgang van 4 naar 6.
Het idee is dat álleen VLAN 20 (zie tekening vorige post) op IPv6 zal draaien, waar de rest van het netwerk nog op IPv4 draait.

Ik dacht dat het een goede oplossing is om de L3 te laten communiceren tussen 4 en 6 d.m.v. NAT64.
Voor dualstack zal elk apparaat/software in het netwerk om moeten kunnen gaan met IPv6. Voor NAT64 is dat niet nodig.

De L3 switch ondersteund geen NAT64 dus dat is niet zo'n geweldig idee. Het is overigens ook niet nodig (of handig) om een deel van je netwerk nu al alleen op IPv6 over te zetten als dat niet nodig is. Je moet namelijk nogal wat inrichten om ervoor te zorgen dat dat gedeelte van je netwerk in staat is om via IPv4 op het internet te komen.

Als je je netwerk dualstack inricht, kunnen alle apparaten die IPv6 ondersteunen, via IPv6 communiceren. Indien een apparaat alleen IPv4 ondersteund, zullen alle apparaten via IPv4 communiceren met dat apparaat. Voorwaarde is wel dat je gebruik maakt van hostnames en dat alle apparaten die zowel IPv4 als IPv6 ondersteunen, zowel een A als een AAAA record in de DNS krijgen.

[b][message=49489603,noline]Lightthunder schreef op woensdag 14 december 2016 @
EDIT: reactie op


[...]


Precies, met NAT64.

Maar nu komen we weer terug op mijn oorspronkelijke vraag:
Stel, ik koppel een router aan de L3 switch om NAT64 te configureren voor VLAN20, kan de L3 dan alsnog routeren tussen de IPv4 gateway van VLAN10 en het NAT64 adres van VLAN20 of hoe werkt dit dan?

Overal op internet vind ik ontwerpen, welke gebaseerd zijn op complete netwerktransities van 4 naar 6, niet waar slechts 'n onderdeel van t netwerk op 6 draait.

Nee want de L3 ondersteund geen NAT64. NAT64 is niet echt een adres, het is een stuk programatuur dat op je router draait. De routering zal dus ook plaatvinden op de router.

Lightthunder schreef op dinsdag 20 december 2016 @ 08:34:
[...]


Ik zal het iets duidelijker proberen te omschrijven. Zie dat mijn eerste post dan ook niet volledig genoeg is.

Vanuit mijn stagebedrijf heb ik de vraag gekregen hoe ik IPv4 en IPv6 met elkaar kan laten communiceren in een LAN en om dit uit te werken in een testomgeving. Er is geen naamomzetting nodig, DNS64 komt dan ook niet aan bod. Er zijn meerdere mogelijkheden om de communicatie te laten plaatsvinden:
* Translation – 6:4, NAT64, NAT-PT, hoe het ook allemaal mag heten. Ideaal voor organisaties die geleidelijk willen overstappen op IPv6 of bepaalde gedeeltes in het LAN op IPv6 willen draaien
• Dual Stack – heb je zelf hierboven al uitgelegd. Draait zowel op IPv4 als IPv6, maar is GÉÉN optie, want dat willen ze absoluut niet
• Tunneling – een IPv6 pakket inpakken in een IPv4 pakket

Ik heb tot dusver de basiskennis, maar ik kan nergens vinden wat nou een échte praktijkoplossing zou zijn voor mijn omgeving. Ik heb beschikking tot Cisco apparatuur, L2, L3, router en heb momenteel (zie tekening vorige post) dat de L3 switch kan routeren tussen VLAN 10 en VLAN 20 (als ze beide een IPv4 adres hebben) en wil nu de router koppelen aan de L3 switch zodat deze kan routeren tussen VLAN 10 en VLAN 20 als deze een IPv6 adres hebben.

Dan komt mijn vraag weer naar boven:
Vraag IPv4 – IPv6 routing en visa versa
Voor het routeren tussen IPv4 en IPv6 dient er een bepaalde translation (6:4) plaats te vinden echter kan ik nergens in Jip en Janneke vinden hoe ik dit kan configureren op mijn L3 switch. Kan iemand mij eenvoudig uitleggen of voorzien van een URL waar de translation techniek wél eenvoudig is uitgelegd?

Een L3 switch kan geen NAT64. Je kunt en hoeft dus ook niets op de switch te configureren. De translatie dient door een NAT64 capable apparaat gedaan te worden.

Een goolge search op cisco NAT64 configuration examples levert nogal wat hits op. Antwoord lijkt me dus simpel:
Gebruik een router met NAT64 capability om te routeren tussen de VLAN's. Zorg dat de router de default gateway is voor zowel het IPv4 als het IPv6 netwerk en lees de documentatie van de desbetreffende router door.
Je kunt ervoor kiezen om al je IPv4 verkeer door je L3 switch te laten regelen en een static route naar je router in te stellen. Dit lijkt mij echter kinda pointless omdat je dit alleen kunt bereiken door:

• Je NAT64 apparaat 1 IPv4 adres te geven waardoor je alle hosts in het IPv6 netwerk onder een IPv4 adres schuift. Ik neem aan dat je je realizeerd dat dit een port forwarding hell oplevert.
• Je NAT64 apparaat een IPv4 subnet geeft dat je vanuit je L3 routeerd naar je NAT64. Kun je per IPv6 adres een IPv4 adres bijhouden in je NAT64 lijstje. Op deze manier heb je via een enorme omweg het IPv6 netwerk gedeelte dualstack uitgerust.

Je posts zijn duidelijk genoeg, we begrijpen wat je wil bereiken. Mijns inziens zijn de antwoorden ook duidelijk genoeg, je kunt niet routeren tussen een IPv4 en een IPv6 netwerk met een L3 switch die geen NAT64 ondersteund. Ik begrijp eerlijk gezegd niet waarom je denkt dat je vraag herhalen hier verandering in kan aanbrengen.

Even ter verduidelijking.
Routeren tussen IPv4 en IPv6 is niet mogelijk ZONDER translatie. Een IPv6 header is volledig anders ingedeeld dan een IPv4 header. Elk pakketje dient dus eerst gestript te worden van de respectievelijke header, de adressen dienen vertaald te worden en er moet een volledig nieuwe header gemaakt te worden voor het pakketje. Dit word doorgaans door een NAT64 systeem gedaan. Dit betekend dus ook dat het bron adres van de client vervangen word door het bron adres van het NAT64 apparaat.
Omdat een IPv4 header geen IPv6 adressen kan bevatten en omgekeerd, dient er ook translatie plaats te vinden op het doel-adres. Van IPv6 naar IPv4 is dit simpel, er kan namelijk een prefix bedacht worden die het NAT64 apparaat eraf kan halen. Van IPv4 naar IPv6 zal er over het algemeen een lijstje met mappings bijgehouden moeten worden.

Lightthunder schreef op dinsdag 20 december 2016 @ 09:35:
[...]


Haha ik zeg nergens dat ik denk dat het wel zo is en zoals ik aangaf in mijn vorige post: momenteel de L3 voor intervlan routing IPv4 en de router voor intervlan routing IPv6. Alleen nu de translation nog op de router.

Dat klopt maar je impliceert meerdere malen doordat je blijft vasthouden aan routering via je L3 switch, zie je vraag hieronder.

Lightthunder schreef op dinsdag 20 december 2016 @ 08:34:
[...]
Dan komt mijn vraag weer naar boven:
Vraag IPv4 – IPv6 routing en visa versa
Voor het routeren tussen IPv4 en IPv6 dient er een bepaalde translation (6:4) plaats te vinden echter kan ik nergens in Jip en Janneke vinden hoe ik dit kan configureren op mijn L3 switch. Kan iemand mij eenvoudig uitleggen of voorzien van een URL waar de translation techniek wél eenvoudig is uitgelegd?

Hier wek je toch echt het beeld dat je je L3 switch wil gebruiken om de translation (6:4) plaats te laten vinden. Je rept immers met geen woord over je router.
De enige andere lezing die ik kan bedenken doet vermoeden dat je niet precies weet hoe je een default gateway/static route in kunt stellen in een Cisco L3 switch. Dit is namelijk de enige instelling die je potentieel dient te doen in je L3 switch.

Als laatste wil ik je nog meegeven dat het slim is om je toch te verdiepen in DNS64. Het is anders namelijk vrijwel onmogelijk om gebruik te maken van internet op het IPv6 gedeelte van je LAN.

luxan schreef op dinsdag 20 december 2016 @ 10:11:
[...]
Als laatste wil ik je nog meegeven dat het slim is om je toch te verdiepen in DNS64. Het is anders namelijk vrijwel onmogelijk om gebruik te maken van internet op het IPv6 gedeelte van je LAN.

Hij geeft volgens mij aan dat het niet in de scope van zijn project zit dat ze op het internet moeten kunnen. Wat ik ervan begrijp wil hij twee netwerken, een ipv4-only en een ipv6-only netwerk, met elkaar laten praten. Puur ter test natuurlijk, want in de echte wereld wil je natuurlijk DS / DS-lite gaan draaien.

Ik zou toch nog eens goed nadenken of je niet liever Dual Stack draait in plaats van NAT64. Ik heb het idee dat je de doelstelling van beide oplossingen nog niet helemaal begrijpt. Het is namelijk niet zo dat 'elk apparaat/software in het netwerk om moeten kunnen gaan met IPv6' als je voor Dual Stack kiest.

Lightthunder schreef op dinsdag 20 december 2016 @ 08:34:
[...]
...Dual Stack; heb je zelf hierboven al uitgelegd. Draait zowel op IPv4 als IPv6, maar is GÉÉN optie, want dat willen ze absoluut niet...

Waarom willen ze dat niet? Wat is de user case?
Zo ongeveer ieder zichzelf respecterend operating system heeft momenteel dual stack.
Een transitie zonder dual stack oplossing is minstens tien keer zo duur

Lightthunder schreef op vrijdag 23 december 2016 @ 10:03:
[...]
Oké! Momenteel heb ik een router mét NAT64 ondersteuning gekoppeld aan de L3 switch. Nu heb ik deze en deze pagina voor mij.

Ik heb het scenario van de 1e link even voor mezelf nagetekend. Zoals je ziet op die pagina, wordt er een IPv4 only netwerk gekoppeld aan een IPv6 only netwerk. In principe is een VLAN IPv4 (vlan 10) en een VLAN IPv6 (vlan 20) toch hetzelfde?

VLAN werkt op OSI laag 2. Aangezien er op dat niveau niets gedaan word met IP, kun niet echt spreken van een IPv4 VLAN of een IPv6 VLAN. Voor OSI laag 2 zijn het gewoon twee VLAN's Wat je vervolgens op OSI laag 3 over dat VLAN heen gooit, moet je zelf weten. Dit kan IPv4 of IPv6 zijn maar ook IPX of Appletalk.
Als je echter OSI laag 3 in beschouwing neemt, zit er een duidelijk verschil tussen een pakketje op een IPV4 VLAN en een pakketje op een IPv6 VLAN.

[ Voor 5% gewijzigd door luxan op 23-12-2016 17:44 ]

Ik weet even niet of dit boek al voorbij is gekomen en heb het boek zelf nog niet gelezen (ligt op de plank voor volgend jaar), maar wellicht dat dit voor TS ook interessant leesvoer is:

IPv6 Address Planning
https://www.bol.com/nl/p/...6/#product_specifications

Zijn nog meer IPv6 boeken van O'Reilly trouwens:

IPV6 Network Administration
https://www.bol.com/nl/p/...tration/9200000039848799/

IPv6 Essentials
https://www.bol.com/nl/p/ipv6-essentials/9200000024499343/

Ook gekocht voor volgend jaar, maar wellicht zeker met dit soort trajecten nuttig om aan te schaffen en te lezen. (Let op: IPv6 Network Administration komt volgend jaar een nieuwe uit, DIE wil je hebben, de oude is uit 2004. Had ik per ongeluk besteld voordat ik zag dat er een nieuwe uit kwam.)