Отключение 6to4 транзитного протокола для клиентов DirectAccess

Введение.

Реализация работы DirectAccess сервер-клиент, осуществляется исключительно с использованием протокола IPv6. Для обеспечения работы технологии DirectAccess необходим внешний IPv4 адрес. Для создания защищенного IPv6 туннеля DirectAccess использует следующие протоколы:

  • 6to4
  • Teredo
  • IP-HTTPS

  1. 6to4 — используется когда сервер DirectAccess имеет публичный IPv4 адрес и находится во внешней сети.
  2. Teredo — необходимы два последовательных адреса IPv4
  3. IP-HTTPS — используется во всех сценариях DirectAccess и исключительно когда сервер DirectAccess находится в зоне DMZ или за NAT.

6to4, Teredo — в чем преимущество.

Не все протоколы туннелирования IPv6 одинаково равны. Для Windows 7 клиентов DirectAccess протоколы 6to4 и Teredo обеспечивают значительные преимущества в производительности, по сравнению с IP-HTTPS (8.x клиентов Windows можно использовать NULL-шифрования для IP-HTTPS, что исключает преимущество производительности). 6to4 и Teredo могут предложить почти идентичную производительность, но 6to4 страдает некоторыми специфичными ему проблемами и должен быть отключен по умолчанию для всех сценариев развертывания DirectAccess.

Примечание: IP-HTTPS NULL шифрование отключено для всех клиентов, когда используется VPN подключение для удаленного доступа или используется одноразовый пароль (OTP) для аутентификации, настроенных на сервере DirectAccess, это может повлиять на производительность 8.x клиентов Windows использующих IP-HTTPS протокол.

Надежность.

6to4 – это переходный механизм, позволяющий передавать IPv6 пакеты через IPv4-сети и не требующий создания двусторонних туннелей. Он, как правило, используется, когда конечный пользователь или сайт хотят получить соединение с IPv6-Интернетом, но не могут получить его от провайдера. Протокол туннелирования 6to4 используется когда клиент DirectAccess имеет публичный IPv4 адрес, назначенный его сетевому интерфейсу. 6to4 использует IP-протокол 41 для транспортировки, и не работает, когда клиент находится за NAT. Если исходящий IP протокол 41 заблокирован (общий сценарий), то клиент должен отказаться от использования 6to4 и перейти к использованию Teredo или IP-HTTPS. По моему опыту не всегда происходит переключение. Это главная причина, почему я рекомендую отключить его по умолчанию.

Active Directory IP подсети.

Использование протокола 6to4 также имеет проблемы, когда дело доходит до настройки активных IP подсетей в многоузловом развертывании DirectAccess. 6to4 адреса начинаются с 2002::/16 с последующей приставкой IPv4-адрес клиента, представленных в шестнадцатеричной форме WWXX:YYZZ::WWXX:YYZZ. Например, если IPv4-адрес клиента DirectAccess является 198.51.100.83 , то его 6to4 адрес будет выглядеть следующим образом: 2002:C633:6453::C633:6453. Так как этот IPv6-адрес создается с использованием только IPv4-адреса клиента, нет никакого способа, чтобы привязать клиента к определенной точке входа. Администратор вынужден будет использовать присвоение адреса 2002::/16 к самому центральному AD сайту. Это, несомненно, приведет к использованию некоторым клиентам DirectAccess контроллеров домена, которые не являются идеальными, в конечном итоге это может привести к замедлению и отказу в работе.

Итог.

В некоторых развертываниях протоколы 6to4 и Teredo могут предложить гораздо лучшие эксплуатационные преимущества, по сравнению с протоколом IP-HTTPS. Протоколы 6to4 и Teredo имеют одинаковую производительность, однако с учетом проблем которые имеет 6to4, он должен быть отключен по умолчанию, для использования DirectAccess сервером. Это исключит возможность возникновения проблем с подключением, но в то же время позволит клиентам использовать протокол Teredo IPv6 без потери производительности.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *