mercredi 17 avril 2013

[DirectAcess] DNS64 qu'est-ce que c'est ?

DNS64 késako ?

Le service DNS64 est un regroupement d'extensions DNS pour du NAT entre un client IPv6 et un serveur en IPv4. Le mécanisme DNS64 correspond à la RFC 6147, ici ce sera la passerelle DirectAccess qui hébergera ce service.


Principe de fonctionnement (avec Forefront UAG)

Afin de déterminer l'adresse IPv6 de la ressource d'entreprise en IPv4 les étapes suivantes seront effectuées :
  1. Le poste client connecté en DirectAccess au réseau d'entreprise effectue une requête DNS de type AAAA (ressource IPv6) pour le serveur myserver.security.lab dans notre exemple, à la passerelle DirectAccess.
  2.  La passerelle DirectAccess relais cette requête auprès de son serveur DNS, ce dernier ne possédant pas de nom associé pour une entrée en IPv6, répond par la négative à la passerelle DirectAccess.
  3. Dans ce cas la passerelle DirectAccess tente de demander la même ressource mais cette fois ci pour une entrée de type A (ressource IPv4) pour le serveur myserver.security.lab.
  4. Le serveur DNS répond à la passerelle DirectAccess par l'entrée 192.168.10.20 présente dans l'entrée A pour l'enregistrement myserver.security.lab.
  5. Pour finir le service DNS64 répond au client DirectAccess par une réponse DNS de type AAAA construite à partir de l'information de type A reçue. En effet ce dernier va construire l'IPv6 à partir de l'adresse IPv4 du serveur demandé en y ajoutant le préfixe NAT64, ce qui donne comme réponse NAT64prefix::192.168.10.20 pour l'enregistrement myserver.security.lab.

Principe de fonctionnement (avec Windows Server 2012 URA)

Je tiens à remercier Benoît Sautière pour son aide sur cette partie qu'il détail dans son article DNS64 behavior change in Windows Server 2012.

Afin de déterminer l'adresse IPv6 de la ressource d'entreprise en IPv4 les étapes suivantes seront effectuées :
  1. Le poste client connecté en DirectAccess au réseau d'entreprise effectue une requête DNS de type AAAA (ressource IPv6) pour le serveur myserver.security.lab dans notre exemple, à la passerelle DirectAccess.
  2. Dans ce cas la passerelle DirectAccess tente de demander la même ressource mais cette fois ci pour une entrée de type A (ressource IPv4) pour le serveur myserver.security.lab.
  3. Attention la passerelle DirectAccess sous Windows 2012 URA n'effectue plus par défaut de requête DNS de type AAAA (voir l'article de Benoît Sautière).
  4. Le serveur DNS répond à la passerelle DirectAccess par l'entrée 192.168.10.20 présente dans l'entrée A pour l'enregistrement myserver.security.lab.
  5. Pour finir le service DNS64 répond au client DirectAccess par une réponse DNS de type AAAA construite à partir de l'information de type A reçue. En effet ce dernier va construire l'IPv6 à partir de l'adresse IPv4 du serveur demandé en y ajoutant le préfixe NAT64, ce qui donne comme réponse NAT64prefix::192.168.10.20 pour l'enregistrement myserver.security.lab.

Aucun commentaire:

Publier un commentaire