Распознавание типов адресов IPv6 в системах Windows для поддержки DirectAccess. Часть 1. Обзор IPv6 и DirectAccess

Введение

В течение последних десяти лет мы слышали, что нам придется изучить IPv6. Все это время нам говорили, что «у нас заканчиваются IPv4-адреса» и что «интернету приходит конец!» и «вашему холодильнику нужен собственный IP-адрес, поэтому мы должны внедрить IPv6» или другие подобные уловки. Так что же произошло за последнее десятилетие? Взгляните на свою собственную сеть — используете ли вы IPv6? Планируете ли вы начать использовать IPv6 в следующем году? Некоторые из вас ответят «да», но многие ответят «нет». Если вы похожи на большинство ИТ-специалистов, IPv6 является частью фонового шума в средствах массовой информации, посвященных ИТ-технологиям, и вам, вероятно, это слегка любопытно, но это не то, что мешает вам спать по ночам.

IPv6, безусловно, предлагает некоторые преимущества по сравнению с все еще доминирующим IPv4. Он обеспечивает адресное пространство, которое на несколько порядков больше. Он поддерживает новые функции, такие как автоматическая настройка адресов без сохранения состояния, которые должны упростить IP-адресацию. Он разработан, чтобы быть более безопасным, с IPsec, интегрированным в протокол. Почему же тогда эта чудесная версия Интернет-протокола нового поколения до сих пор не получила более широкого распространения? Наиболее вероятная причина заключается в том, что компании не нашли веских причин для того, чтобы пройти через кривую расходов и обучения, необходимых для осуществления перехода.

А ИТ-специалисты не горят желанием взглянуть на ИС совершенно по-новому. Адреса IPv6 кажутся «чужими» тем, кто к ним не привык. Если вы вспомните, когда узнали об IPv4, вы, вероятно, помните, что это было непросто и потребовало много времени для освоения четырехугольной системы с точками. Теперь вам это удобно, и это работает для вас. У вас не заканчиваются IP-адреса, и вы не чувствуете какой-либо блокировки с IPv4. Итог: несмотря на свои теоретические преимущества, IPv6 действительно не предлагает вам ничего на практическом уровне, кроме большей сложности и чего-то еще, на что у вас нет времени учиться.

Долгое время я чувствовал то же самое. Но Windows 7 и Windows Server 2008 R2 изменили мое мнение о IPv6. Почему? Поскольку эта мощная комбинация клиента и сервера предлагает новую технологию, которая обещает изменить игру удаленного доступа, позволить удаленным работникам работать продуктивно из любой точки мира и позволить ИТ-администраторам управлять компьютерами удаленных работников так же, как они управлять машинами, расположенными в корпоративной сети. Эта новая технология называется DirectAccess. Впервые я написал о DirectAccess в еще в августе 2009 года. Теперь, в этой серии из трех частей, я углублюсь в то, как работает DirectAccess и, в частности, как он зависит от IPv6.

Что DirectAccess делает для вас

DirectAccess позволяет размещать компьютеры-члены домена в любом месте в Интернете:

• Клиенты DirectAccess могут подключаться к Интернету напрямую с помощью общедоступного IP-адреса.
• Клиенты DirectAccess могут находиться за брандмауэром NAT или NAT с частным IP-адресом.
• Клиенты DirectAccess могут даже быть заблокированы за веб-прокси

Во всех этих сценариях клиент DirectAccess сможет подключаться к корпоративной сети и к домену. Большим преимуществом здесь является то, что взаимодействие с клиентом DirectAccess . Пользователи вообще не заметят разницы, независимо от их местонахождения. И что наиболее важно с точки зрения конечного пользователя, пользователю не нужно инициировать подключение DirectAccess; соединение устанавливается при запуске машины, даже до того, как пользователь войдет в систему. На этом этапе приложения управления ИТ имеют доступ к клиенту DirectAccess, чтобы можно было применять нужные конфигурации, исправления и обновления программного обеспечения безопасности. Это устраняет дельту, которую мы привыкли видеть между состояниями безопасности корпоративной сети и клиента удаленного доступа. Теперь все члены домена, независимо от их местоположения, могут иметь одинаковый уровень управления и безопасности.

DirectAccess важен, потому что все большее число пользователей рабочих компьютеров работают из дома или подключаются к корпоративной сети, находясь в пути. Ранее это означало, что вам приходилось развертывать различные решения для удаленного доступа, такие как VPN-серверы, серверы шлюза служб терминалов или пограничные серверы приложений (например, OWA в Microsoft Exchange). Эти решения работают, но не являются бесшовными для пользователей. Виртуальные частные сети требуют, чтобы пользователь подключался к Интернету, а затем подключался к виртуальной частной сети, и это может помешать работе пользователя, в то время как администрирование компьютеров, подключенных к виртуальной частной сети, является более сложным, поскольку администратор должен зависеть от пользователя для подключения к виртуальной частной сети. Службы терминалов также требуют дополнительных административных усилий. OWA — по крайней мере, до Exchange 2010 — не обеспечивает такого же богатого взаимодействия с пользователем, как клиент Outlook.

DirectAccess решает эти проблемы и позволяет клиентам DirectAccess напрямую обращаться к ресурсам внутренней сети, а также иметь доступ как к интрасети, так и к Интернету без административных проблем, связанных с раздельным туннелированием. А поскольку DirectAccess использует IPsec для аутентификации и шифрования трафика, вы можете быть уверены, что соединение будет безопасным.

Имея все это в виду, вы можете легко понять, что существует огромный интерес к DirectAccess в ИТ-сообществе. Будучи немного скептиком, я подумал, что DirectAccess слишком хорош, чтобы быть правдой, когда я впервые прочитал об этом. Наверняка была бы заминка, подвох, скрытый «подводный камень», который превратил бы эту ИТ-мечту в кошмар — потому что мы все знаем, что если что-то звучит слишком хорошо, чтобы быть правдой, это, вероятно, так и есть.

Такой уловкой оказался IPv6. Дни мысли о том, что IPv6 был не более чем новинкой или чем-то, что китайцы используют для построения своей коммуникационной инфраструктуры, подошли к концу. IPv6 теперь требовалось читать, потому что DirectAccess полностью зависит от IPv6.

Почему Microsoft не заставила DirectAccess работать с IPv4? Проблема в том, что при адресации IPv4 у вас часто есть системы в двух разных сетях, которые используют одни и те же частные IP-адреса. Просто недостаточно доступных IPv4-адресов для каждого компьютера, чтобы иметь глобально уникальный адрес. Это создает конфликт, если мы хотим общаться между ними. Однако с IPv6 все компьютеры имеют уникальные IPv6-адреса.

Роль IPv6

В этом нет ничего необязательного; клиент DirectAccess использует IPv6 для связи с сервером DirectAccess, который работает только на Windows Server 2008 R2. Есть приемы, которые вы можете использовать и будете использовать, чтобы заставить его работать в сетевой инфраструктуре IPv4, но суть в том, что вам нужно быть знакомым с IPv6, чтобы заставить DirectAccess работать правильно.

Теперь хорошие новости: это не означает, что вам придется переключать всю вашу сеть на IPv6. Вам даже не нужно иметь подключение к Интернету IPv6. Я не могу назвать себя экспертом по DirectAccess (я оставлю эту работу моему мужу, который в эти дни работает исключительно над DirectAccess для Microsoft), но теперь я знаю достаточно, чтобы заставить его работать в нашей офисной сети, и я обнаружил, что хотя Мне нужно знать некоторые вещи о IPv6, мне определенно не нужно быть IPv6 Pro, чтобы заставить его работать.

Прежде чем вы слишком воодушевитесь, я не говорю, что вам не нужно ничего знать о IPv6 и технологиях, связанных с IPv6. Как я уже говорил, клиенты DirectAccess — это клиенты IPv6, и они используют только IPv6 для связи с сервером DirectAccess. Но после подключения к серверу DirectAccess обмен данными может продолжаться как обмен данными IPv6 или может быть преобразован в обмен данными IPv4 с использованием шлюза IPv6/IPv4 (Microsoft Unified Access Gateway является примером шлюза перехода протокола IPv6/IPv4 с использованием шлюза IPv6/IPv4). технологии DNS64/NAT64).

Взятие туннеля

Проблема в том, что почти все мы все еще живем в инфраструктуре IPv4. Все наши DNS-серверы, DHCP-серверы и маршрутизаторы ориентированы на IPv4, и большинство из них в настоящее время не поддерживают IPv6. Чтобы заставить DirectAccess работать, нам нужно воспользоваться технологиями перехода IPv6. Технологии перехода IPv6 позволяют туннелировать пакеты IPv6 внутри пакетов IPv4. Сообщения маршрутизируются на основе их внешнего заголовка IPv4, и когда они достигают места назначения, заголовок IPv4 удаляется, и пакет IPv6 предоставляется приложениям назначения.

Этот тип туннелирования не является чем-то новым. Подумайте о VPN-подключениях, использующих знакомые протоколы, такие как PPTP, L2TP/IPsec и SSTP. Каждая из этих технологий VPN сетевого уровня позволяет вам туннелировать двухточечные соединения через Интернет, используя протокол VPN для инкапсуляции соединения виртуального канального уровня. DirectAccess работает аналогичным образом, за исключением того, что мы инкапсулируем не соединение канального уровня, а соединение сетевого уровня IPv6.

Существует несколько технологий перехода IPv6, с которыми вы будете работать при развертывании DirectAccess. Это включает:

• ISATAP (Протокол автоматической туннельной адресации внутри сайта)
• Тередо
• 6 до 4
• IP-HTTPS

Во второй части этой серии мы подробно рассмотрим каждую из этих технологий.

Резюме

В этой первой из трех частей мы обсудили основные моменты DirectAccess, IPv6 и почему первое зависит от второго. Этот обзор формирует основу для части 2, в которой мы более подробно рассмотрим детали четырех технологий перехода на IPv6, то, как каждая из них работает и в каких обстоятельствах подходит каждая из них. Затем в части 3 мы обсудим различные типы адресов IPv6, как они создаются и как распознать каждый тип. К тому времени, когда мы закончим эту серию, я надеюсь, вы увидите, что IPv6 на самом деле не такой страшный, скучный или такой трудоемкий, как вы могли подумать. - Деб С.