Post on 10-Mar-2018
Страница 3 www.specialist.ru
Причины перехода на IPv6 Что такое IPv6 Адресация в IPv6 Роль многоадресной передачи в IPv6 Настройка IPv6 на устройствах CISCO ICMPv6 и NDP Фрагментация и PMTUD Способы задания адресов DNS и IPv6 Маршрутизация IPv6 Безопасность IPv6 Заключение
Содержание
Страница 5 www.specialist.ru
Вы могли об этом не знать
• У IANA и RIR-ов адресное пространство IPv4 кончилось
• Потребителю чаще всего все равно• Абсолютно неважно, IPv4 или IPv6 используется для доставки контента• Они не поймут, что значит “Не тот протокол”!
• Рынок адресов IPv4 стал спекулятивным• Рост, фрагментация и проверка происхождения в таблице IPv4 - неизбежность
• Продажа префиксов /15 IPv4 – цена $9.00/IP• Продажа префиксов /16 IPv4 – цена $9.20/IP• Продажа префиксов /17 IPv4 – цена $9.50/IP
Страница 6 www.specialist.ru
Основные «возмутители спокойствия»
•Расширение на новые рынки•Нехватка адресов – Защита вложений
•Партнерские отношения с компаниями, перешедшими на IPv6•Гос. структуры, партнеры, клиенты
•Microsoft и другие производители ПО
Рост/защита
Партнерство
OS/Программы
Старые проблемы
Новые технологии
•Поглощения и слияния•NAT перекрытие
•Виртуальные среды высокой плотности(виртуализация серверов, VDI)
•SmartGrid
Внеш
ние
прич
ины
Внут
ренн
иепр
ичин
ы
Страница 8 www.specialist.ru
Что такое IPv6?
• Длина адреса 128 бит• Запись в шестнадцатеричной системе• Маски CIDR
• Новое поведение• Обнаружение соседей (Neighbour
Discovery)• Новые способы назначения адресов
(Stateless Addressing)• Нет широковещательным рассылкам,
теперь только многоадресные
Страница 9 www.specialist.ru
Насколько велико адресное пространство?
• 128 бит это формально 2^128 = 340 282 366 920 938 463 463 374 607 431 768 211 456
• Однако, так как адрес IPv6 – это {64 бит сеть; 64 бит хост}, то это 2^64 = 18 446 744 073 709 551 616 сетей по 18 446 744 073 709 551 616 адресов в каждой
• Сравните с размером всего адресного пространства IPv4:2^32 = 4 294 967 296
Страница 10 www.specialist.ru
Сравнение заголовков IPv4 и IPv6
не изменилось
убрали
новое имя
новое поле
Страница 11 www.specialist.ru
Расширенные заголовки
• заголовки можно цеплять в цепочки
• порядок важен!
V Class Flow Len 6 Hop
Destination
Source
Upper Layer TCP Header
Payload
Class Flow43 Hop
Destination
VLen
Source
Upper Layer UDP Header
Payload
Routing Header17
V Class Flow43 Hop
Destination
Len
Source
Upper Layer TCP Header
Payload
Routing Header60
Destination Options6
Страница 12 www.specialist.ru
Стек IPv6
Link Layer
Physical Layer
AXRP
TCP UDP ICMP
DHCP HTTP TLS
HTTP
NDP MLD MRD
Internet Protocol
Страница 13 www.specialist.ru
Сравнение IPv4 и IPv6Служба IPv4 IPv6Адресация 32 бит, NAT 128 бит
Назначение адресов Ручное, DHCP Ручное, SLAAC*,DHCP, DHCP-Lite*
Безопасность IPSec IPSec
Мобильность Mobile IP Mobile IP w/DirectRouting
Качествообслуживания
DiffServ, IntServ DiffServ, IntServ
Многоадреснаяпередача
IGMP, PIM, MBGP MLD, PIM, MBGP, Scope Identifier
*) хост назначает себе адрес сам
Страница 15 www.specialist.ru
Устройство адреса IPv6
• Первые три бита равны «001», т.е. общий вид префикса 2000::/3• Клиенту обычно дают /48, т.е. 65536 сетей /64• Interface ID станция назначает себе сама, исходя из MAC-адреса
Страница 16 www.specialist.ru
Синтаксис записи адреса IPv6
• Это цифры, а не буквы – регистр не имеет значения– 2001:0dB8:0000:130f:0000:0000:087c:AaAa
• Запись можно сократить– 2001:0db8:0000:130f::87c:aaaa
• Последовательные нулевые блоки можно заменить на «::»• Эта запись может быть только один раз
• Нули в начале блоков можно не писать– 2001:db8:0:130f::87c:aaaa
• IPv6 использует формат записи маски CIDR– 2001:0db8:0000:130f:0000:0000:087c:aaaa/128
Страница 17 www.specialist.ru
Синтаксис записи адреса IPv6
• Адрес Loopback теперь точечный (/128)0:0:0:0:0:0:0:1 == ::1
• Аналогично 127.0.0.0/8 в IPv4
• Неспецифицированный адрес0:0:0:0:0:0:0:0 == ::
• Используется в DHCP request, Duplicate AddressDetection DAD
• Default Route::/0
Страница 18 www.specialist.ru
Области адресов IPv6• На одном интерфейсе может быть множество адресов IPv6
Link LocalSite LocalGlobal
Multicast
Страница 19 www.specialist.ru
Типы адресов IPv6 Три типа unicast-адресов
• Link-Local – Для взаимодействия внутри одного L2-домена(fe80::/64)• Unique-Local – Маршрутизируемые в пределах одного административного
домена (частные адреса) (fc00::/7)• Global – Глобально маршрутизируемые через Internet (2000::/3)
Многоадресные группы(ff00::/8)– Первое 16-битное слово в двоичном виде: 1111.1111.zzzz.ssss– ZZZZ – флаги
0x0 (0000) = постоянный0x1 (0001) = временный
– SSSS – область действия0x1 (0001) = interface-local0x2 (0010) = link-local0x3 (0011) = subnet-local0x4 (0100) = admin-local0x5 (0101) = site-local0x8 (1000) = organization-local0xE (1110) = GLOBAL
Страница 20 www.specialist.ru
Адреса link-local
1111 1110 10
fe80::/10
• Обязательные• Могут быть назначены автоматически через EUI-64• Действительны только в пределах канала
10 Bits 54 Bits 64 Bits
Remaining 54 bits = 0 Interface ID
Страница 21 www.specialist.ru
Адреса unique-local
1111 110L
fc00::/7
• FC00::/8 назначаются реестром (L bit = 0), FD00::/8самоназначаемые (L bit = 1)• Реестры пока не выделяют пространство ULA
• Global ID может быть создан по алгоритму• 40 бит как результат SHA-1 Digest {EUI-64 && Time}
• Не есть хорошая практика
n Bits 16 Bits 64 Bits
Global ID Subnet Interface ID
Страница 22 www.specialist.ru
Адреса глобально маршрутизируемые
001
• Глобально маршрутизируемые• Не забывайте про безопасность!!
• Обычно есть наилучшая практика• Стандартные размеры блоков /32, /48, /52, /56, /64
Provider Site Host
n бит 16 бит 64 бит
Global Routing Prefix Subnet Interface ID
Страница 23 www.specialist.ru
Адреса на интерфейсе
Тип адреса Обязательность Комментарий
Link Local Да Должен быть на каждом интерфейсе
Unique LocalНет Действителен только в
пределах административного домена
Global Unicast Нет Глобально маршрутизируемAuto-Config 6to4 Нет Для 6to4 туннелей 2002::Solicited Node Multicast
Да Для NDP и DAD
All Nodes Multicast Да Для ICMPv6
Страница 24 www.specialist.ru
PI и PA адреса
Enterprise
ISP Org
/48
/48/32
RegistriesIPv4
Pools Running Out
IANAIPv4
Pool Empty
Provider Assigned
2000::2000::/3
/12 /12
Provider Independent
Страница 25 www.specialist.ru
Interface ID• Interface ID может быть назначен различными способами
• Автоконфигурация из 64-bit EUI-64 или расширением 48-bit MAC• Автогенерация псевдослучайного числа (по требованиям безопасности)• Назначение по DHCP• Ручная настройка
Global Routing Pref Subnet
64 Bits
Interface ID
Страница 26 www.specialist.ru
Interface ID (EUI-64)
• Расширение 48-битного MAC-адреса до 64 бит путем вставки FFFE в середину• Не-ethernet интерфейсы используют
первый MAC-адреса из пула маршрутизатора
• Cisco инвертирует 7-й бит
00 90 27 17 FC 0F
000000U0 Where U=1 = Unique
0 = Not UniqueU = 1
17 FC 0F
MAC Address
FF FE
00 90 27 FF FE 17 FC 0F
00 90 27
02 90 27 FF FE 17 FC 0F
Страница 27 www.specialist.ru
Псевдослучайный Interface ID• Включено по умолчанию в Microsoft Windows
• Включается/выключается через GPO или CLInetsh interface ipv6 set global randomizeidentifiers=disabled store=persistent netsh interface ipv6 set privacy state=disabled store=persistent
• Или, используйте DHCP с привязкой к нужному пулу
• Псевдослучайные адреса создаются для public и link-local
Страница 28 www.specialist.ru
Адресация префиксов
• /64везде
• /64 + /126– 64 для хостов– 126 для P2P
• /64 + /127– 64 для хостов– 127 для P2P
• /128 для loopback
64 bits > 64 bits
Оптимизация расхода
Специальные случаи:/126—для p2p/127—для p2p с осторожностью – RFC6164 (RFC3627)/128—loopback
Необходимо избегать пересечения с адресами:Router Anycast (RFC3513)Embedded RP (RFC3956)ISATAP addresses
Рекомендовано RFC3177 и IAB/IESG
удобно ОБЯЗАТЕЛЬНО
для SLAAC(и MSFT DHCPv6)
Большой расходадреов (18.466Quintillion)
Страница 30 www.specialist.ru
Мультикасты IPv6 (RFC 4291)Мультикасты в IPv6 имеют префикс FF00::/8 (1111 1111)
• Второй октет описывает lifetime и scope
Flags
R = 0R = 1
No embedded RP Embedded RP
P = 0P = 1
Not based on unicast Based on unicast
T = 0T = 1
Permanent address (IANA assigned)Temporary address (local assigned)
Scope
1 Node2 Link3 Subnet4 Admin5 Site8 OrganisationE Global
8Bits 4 Bits 4 Bits 112 Bits
1111 1111 0 R P T Scope Variable Format
Страница 31 www.specialist.ru
Общеизвестные мультикасты IPv6Значение
All NodesAll Routers All Nodes All RoutersOSPFv3 RoutersOSPFv3 DR Routers Solicited-Node
“02” означает что это постоянный адрес (t = 0) с областью ‘Link-local’ (2)http://www.iana.org/assignments/ipv6-multicast-addresses
Адрес ОбластьFF01::1 Node-LocalFF01::2 Node-LocalFF02::1 Link-LocalFF02::2 Link-LocalFF02::5 Link-LocalFF02::6 Link-LocalFF02::1:FFXX:XXXX Link-Local
Страница 32 www.specialist.ru
Solicited-Node multicast IPv6• Для каждого Unicast
• Используется в сообщениях neighbour solicitation (NS)
• FF02::1:FF & {lower 24 bits from IPv6 Unicast interface ID}
High Order40 Bits64 Bits
Low Order24 bits
Interface ID
0000 FF Low 240001000000000000FF02
Routing Prefix
Страница 33 www.specialist.ru
Пример Solicited-Node multicast IPv6
32 bits
33 33 FF 3A 8B 18
24 bits
0000 FF 3A8B180001000000000000
64 Bits Interface ID
0200 0CFF
64 Bits Network ID
FE80 0000
FF02
8B1800000000 FE3A Link-Local
Solicited Node Multicast
EthernetMulticast
Страница 34 www.specialist.ru
Пример интерфейса IPv6show ipv6 interface e0Ethernet0 is up, line protocol is upIPv6 is enabled, link-local address is FE80::200:CFF:FE3A:8B18No global unicast address is configuredJoined group address(es):
FF02::1 FF02::2FF02::1:FF3A:8B18
MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabledND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 millisecondsND advertised reachable time is 0 millisecondsND advertised retransmit interval is 0 millisecondsND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses.
Solicited Node Multicast Address
All RoutersAll Nodes
Link-local address (FE80::)
Страница 36 www.specialist.ru
ipv6 unicast-routing!interface FastEthernet0/0ip address 10.151.1.1 255.255.255.0
Fast0/0
Enable IPv6 routing
Enable IPv6 on interface and automatically create link-local address
Вариант №1: Только link-local адрес
duplex autospeed autoipv6 enable!
Страница 37 www.specialist.ru
интерфейс IPv6 с настроенным link-localадресом
BRKRST-1069 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
r1#show ipv6 interface fast0/0FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address isFE80::207:50FF:FE5E:9460
Global unicast address(es): None
Joined group address(es):FF02::1 FF02::2FF02::1:FF5E:9460
MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled
Hosts use stateless autoconfig for addresses.
r1# show interface fast0/0FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 0007.505e.9460 (bia0007.505e.9460)
EUI-64 derived from MAC address0007.505e.9460
MAC address 0007.505e.9460
Listening for all hosts multicastListening for all routers multicast
Solicited Node multicast for link-local address
Страница 38 www.specialist.ru
Вариант №2: ручное назначение адреса
ipv6 unicast-routing!interface FastEthernet0/0ip address 10.151.1.1 255.255.255.0duplex auto speed autoipv6 address 2001:db8::1/64!
Enables IPv6 and assigns a global prefix and manual interface ID
Fast0/0
Страница 39 www.specialist.ru
интерфейс IPv6 с настроенным вручную адресом
r1#show ipv6 interface fast0/0 FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::207:50FF:FE5E:9460Global unicast address(es):
2001:db8::1, subnet is 2001:db8::/64Joined group address(es):FF02::1 FF02::2FF02::1:FF00:1FF02::1:FF5E:9460
MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled
Hosts use stateless autoconfig for addresses.
Global unicast address with manual interface ID of “1”Routable /64 subnet
Corresponding Solicited Node multicast address for Link-Local interface IDCorresponding Solicited Node multicast address for manual interface ID
Страница 40 www.specialist.ru
Вариант №3: назначение адреса через EUI-64
ipv6 unicast-routing!interface FastEthernet0/0ip address 10.151.1.1 255.255.255.0duplex auto speed autoipv6 address 2001:db8::/64 eui-64!
Enables IPv6 and assigns a global prefix and EUI-64 interface ID
Fast0/0
Страница 41 www.specialist.ru
интерфейс IPv6 с настроенным через EUI-64 адресом
r1#show ipv6 interface fast0/0FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::207:50FF:FE5E:9460Global unicast address(es):
2001:db8::207:50FF:FE5E:9460, subnet is 2001:db8::/64Joined group address(es):FF02::1 FF02::2FF02::1:FF5E:9460
MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled
Hosts use stateless autoconfig for addresses.
r1#show interface fast0/0FastEthernet0/0 is up, line protocol is upHardware is AmdFE, address is 0007.505e.9460 (bia
0007.505e.9460)
Link-Local address with EUI-64 interface ID
MAC address 0007.505e.9460 used for EUI-64
Manually configured address with EUI-64 Interface ID
Solicited Node multicast for both manual and link-local address
Страница 43 www.specialist.ru
ICMPv6
IPv6
ICMPv6
SLAAC
Stateless Address Auto-Configuration
NDP
Neighbour Discovery
(ARP)
MLD
Multicast Listener
Discovery
MRD
Multicast Router
Discovery
Страница 44 www.specialist.ru
Заголовок ICMPv6
• Используется также для Neighbour Discovery, Path MTUdiscovery и Multicast Listener Discovery (MLD)
Next Header58
IPv6 basic header
ICMPv6 Header (58)
ICMPv6 Type ICMPv6 Code ChecksumICMPv6 Data
Страница 45 www.specialist.ru
Сообщения Neighbor DiscoveryСообщение Назначение Код
ICMPОтправитель Получатель
Router Solicitation(RS)
Вынудитьроутеры послать RA
133 Узлы Все роутеры
RouterAdvertisement (RA)
Анонс роутера о себе, своих префиксах и доп. параметрах
134 Роутеры Отправитель RSВсе узлы
NeighbourSolicitation (NS)
Поиск соседа (аналог ARP Request)
135 Узел Искомый узел
Neighbour Advertisement(NA)
Ответ на запрос о соседе (аналог ARP Response) либо анонс (аналог GARP)
136 Узлы Отправитель запроса
Страница 46 www.specialist.ru
Поиск и анонс роутера (RS и RA)
• Router solicitations (RS) посылаются узлами при старте для запроса RA для настройки своих интерфейсов
• Роутеры периодически посылают Router Advertisements (RA) на all-nodes multicast address
RS RA
Router Solicitation
ICMP Type 133IPv6 Source Link Local (FE80::1)
IPv6Destination
All Routers Multicast (FF02::2)
Query Please send RA
Router Advertisement
ICMP Type 134IPv6 Source Link Local (FE80::2)
IPv6Destination
Sender of RSAll Nodes Multicast(FF02::1)
Data Options, subnet prefix, lifetime, autoconfig flag
Страница 47 www.specialist.ru
Поиск и анонс соседа (NS и NA)
A BNS NA
Neighbour AdvertismentICMP Type 136IPv6 Source B UnicastIPv6Destination
A Unicast
Data FE80:: address of B, MACAddress
Neighbour SolicitationICMP Type 135IPv6 Source A UnicastIPv6Destination
B Solicited Node Multicast
Target /Options
B Unicast / FE80:: addressof A
Query What is B link layer address?
Страница 48 www.specialist.ru
Состояние записей в кэше соседей IPv6
• INCOMPLETE• Разрешение адреса еще не завершено и канальный адрес соседа еще не
определен
• REACHABLE• Сосед недавно был достижим (в течение недавних десятков секунд)
• STALE• Достижимость соседа неизвестна, но пока к нему не пойдет трафик, достижимость
проверяться не будет
• DELAY• Задержать посылку поисковых зондов до получения подтверждения от
вышестоящих протоколов
• PROBE• Сосед признан недостижимым, идет посылка зондов unicast Neighbour Solicitation
для проверки достижимости
Страница 49 www.specialist.ru
Пример DAD
A BNS NA
Tentative IPFE80::260:8FF:FE52:F9D8 Actual IP
FE80::260:8FF:FE52:F9D8
NSICMP Type 135 (Neighbour Solicitation)
Ethernet DA 33-33-FF-52-F9-D8IPv6 Header
IPv6 Source ::IPv6 Destination FF02::1:FF52:F9D8
NS HeaderTarget Address FE80::260:8FF:FE52:F9D8
NAICMP Type 135 (Neighbour Solicitation)
Ethernet DA 33-33-00-00-00-01IPv6 Header
IPv6 Source FE80::260:8FF:FE52:F9D8IPv6 Destination FF02::1
NA HeaderTarget Address FE80::260:8FF:FE52:F9D8
Neighbour Discovery OptionTarget MAC 00-60-08-52-F9-D8
Страница 51 www.specialist.ru
Фрагментация в IPv6• Нефрагментируемая часть
• Заголовок IPv6 плюс все заголовки, которые должны быть обработаны на маршруте
• Повторяется с каждым фрагментом, прикрепленым к последнему в цепочке “fragment header”
• Фрагментируемая часть
• Заголовки, которые нужны только узлу-получателю = the end-to-endheaders + upper layer header and data
• Делится на куски с размером, кратным 8 октетам
• Минимальное MTU для IPv6 - 1280 байт• Все каналы ДОЛЖНЫ поддерживать его
Страница 52 www.specialist.ru
Fragment Header в IPv6
• Фрагментация выполняется узлом-отправителем• Маршрутизаторы не фрагментируют
• Используется «Fragment header», когда узел-отправитель хочет послать пакет, больший, чем MTU на пути
44
IPv6 basic header
Fragment Header (44)
Next Header
Next Header Reserved Fragment Offset 00 MIdentificationFragment Data
Страница 53 www.specialist.ru
Path MTU Discovery
Packet, MTU=1500
ICMPv6 Too Big, Use MTU=1400
Packet, MTU=1400 ICMPv6
Too Big, Use MTU=1300
Packet, MTU=1300
• Store PMTU per destination (if received)
• Age out PMTU (10 mins), reset to first link MTU
Source DestinationMTU 1500 MTU
1500MTU 1400 MTU 1300
Страница 55 www.specialist.ru
Способы назначения адресов IPv6
• Ручное назначение
• Stateless Address Autoconfiguration (SLAAC RFC 4862)• Позволяет назначать адреса автоматически
• Stateful DHCPv6 (RFC 3315)• Позволяет DHCPv6 назначать адреса IPv6 и остальные опции
• DHCPv6-PD (RFC 3633)• Позволяет DHCPv6 назначать подсети роутеру/CPЕ-устройству
• Stateless DHCPv6 (RFC 3736)• SLAAC для назначения адресов и DHCPv6 для опций
Страница 56 www.specialist.ru
Stateless Address Autoconfiguration (RFC 4862)• SLAAC используется для настройки адреса по принципу “plug and play”
Address comprisesPrefix Received + Link-Layer
2001:db8:face::22c:4ff:fe00:fe56
MAC00:2c:04:00:fe:56 2001:db8:face::/64
R1
RA2
RS1
3DAD
Router Advertisement
(RA)Ethernet
DA/SARouter R2 / Host A
Prefix Information
2001:db8:face::/64
Default Router Router R1
A
Страница 57 www.specialist.ru
Stateful DHCPv6• RA сообщение содержит флаги, описывающие порядок получения адреса (A, M и O биты)
Router 1(DHCPv6 Relay)
RA1
3
Send DHCP Solicit to FF02::1:2 (All DHCP Relays)
2DHCPServer
2001:db8:face::/
4
2001:db8:face::1/64, DNS1, DNS2, NTP
A
RS
RAA bit (Address config flag) Set to 0 - Do not use SLAAC for
host configM bit (Managed address
configuration flag)Set to 1 - Use DHCPv6 for host IPv6 address
O bit (Other configuration flag) Set to 1 - Use DHCPv6 for additional info (DNS, NTP)
Страница 58 www.specialist.ru
Stateless DHCPv6
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public
• RA сообщение содержит флаги, описывающие порядок получения адреса (A, M и O биты)
Router 1(DHCPv6 Relay)
RA2
3
DHCPServer
5
DNS1, DNS2, NTP2001:db8:face::/64
2001:db8:face::22c:4ff:fe00:fe56
4DHCP Solicit to FF02::1:2 for options only
A1
RS
RAA bit (Address config flag) Set to 1 - Use SLAAC for host
address configOn-link Prefix 2001:db8:face::/64
M bit (Managed address configuration flag)
Set to 0 - Do not use DHCPv6 for IPv6 address
O bit (Other configuration flag) Set to 1 - Use DHCPv6 for additional info (DNS, NTP)
Страница 59 www.specialist.ru
Конфигурирование DHCPv6
Хост получит адрес и опции по SLAAC options. Ничего больше
Хост получит полный конфиг от сервера DHCP (2001:db8::10)
A bit (default) для SLAAC
interface e0/0ipv6 address 2001:db8:1000::1/64
M bit & O bit (Stateful DHCP)
interface e0/0ipv6 address 2001:db8:1000::1/64ipv6 nd managed-config-flagipv6 nd other-config-flagipv6 dhcp relay destination 2001:db8::10
A bit & O bit (Stateless DHCP)
interface e0/0ipv6 address 2001:db8:1000::1/64 ipv6 nd other-config-flagipv6 dhcp relay destination 2001:db8::10
Хост получает адрес по SLAAC, а опции по DHCP с сервера (2001:db8::10)
Страница 60 www.specialist.ru
Выбор маршрутизатора по умолчанию
IPv6Host
IPv6Network
IPv6Host
interface Ethernet0/0ipv6 nd reachable-time 15000 ipv6 nd router-preference High
interface Ethernet0/0ipv6 nd reachable-time 15000 ipv6 nd router-preference Low
2 Mbps
10 Mbps
A
B
Страница 62 www.specialist.ru
Записи DNS для IPv6
Функция IPv4 IPv6
Хост адрес A Recordwww.abc.test. IN A92.168.30.1
AAAA Record (Quad A)www.abc.test. IN AAAA 2001:db8:C18:1::2
Адрес Хост PTR Record1.30.168.192.in-addr.arpa. IN PTRwww.abc.test.
PTR Record2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.1.c.0.8.b.d.0.1.0.0.2.ip6.arpa IN PTR www.abc.test.
Страница 63 www.specialist.ru
Dual-Stack и DNS для IPv6
DNSServer
www.example.org = * ?
IPv4
2001:db8:1::1
• В случае «dual stack» приложение:• Имеющее доступ к IPv4 и IPv6• Может запросить DNS об адресе IPv4 и/или IPv6 – записи (A) или
(AAAA)• Выбирает какой-то один адрес и с ним устанавливает соединение,
используя соответствующий протокол
IPv4IPv6
IPv6
192.168.0.3
www IN A 192.168.0.3 www IN AAAA 2001:db8:1::1
Страница 65 www.specialist.ru
Обзор маршрутизации IPv6
• Маршрутизация в IPv6 аналогична IPv4• По прежнему есть два класса протоколов : IGP and EGP• По прежнему алгоритм поиска маршрута – по наибольшему
совпадению префикса
• IGP• RIPng (RFC 2080)• Cisco EIGRP for IPv6• Integrated IS-IS for IPv6 (RFC 5308)• OSPFv3 (RFC 5340)
• EGP• MP-BGP4 (RFC 4760) and Using MP-BGP for IPv6 (RFC 2545)
• Cisco IOS поддерживает все протоколы маршрутизации IPv6
Страница 66 www.specialist.ru
Статическая маршрутизация в IPv6
ipv6 route ipv6-prefix/prefix-length {ipv6-address | interface-type interface-number [ipv6-address]} [administrative-distance] [administrative-multicast-distance | unicast | multicast] [tag tag]!Router(config)# ipv6 route 2001:db8::0/32 2001:db8:1:1::1 10!Router(config)# ipv6 route 2001:db8::/32 ethernet 1/0 fe80::215:c7ff:fe21:8640!
Forward a packets via link-local NH
• Аналогична IPv4
• Обязательно указание NEXT_HOP / INTERFACE
Forward a packets via NH using admin of 10
Static routing CLI for IPv6
Страница 67 www.specialist.ru
Пример маршрутизации по умолчанию IPv6
:e LAN1: 2001:db8:c18:1::/64:a Ethernet0
router 1#!ipv6 unicast-routing!interface Ethernet0ipv6 address 2001:db8:c18:1::a/64!interface Ethernet1ipv6 address 2001:db8:c18:2::a/64!ipv6 route ::/0 2001:db8:c18:1::e
LAN2: 2001:db8:c18:2::/64Ethernet1
IPv6 Internet
Router 1
:a
Default route to Router 2
Страница 68 www.specialist.ru
EIGRP для IPv6
• Добавлены три новых TLVs
• Сообщения Hello используют адрес FF02::A (all EIGRP routers)
• Автосуммаризация выключена в IPv6 (в отличие от IPv4)
• Есть режим “shutdown”
• RID по прежнему 32 бита
Страница 69 www.specialist.ru
Настройка EIGRP для IPv6
P 2001:db8:c18:1::/64, 1 successors, FD is 28160, serno 1 via Connected, Ethernet0via FE80::260:3eff:fe47:1530 (30720/28160), Ethernet0
Ethernet0
Ethernet1
Router2#!ipv6 router eigrp 100eigrp router-id 10.10.10.1
!interface Ethernet0ipv6 address 2001:db8:c18:1::/64 eui-64ipv6 eigrp 100!
LAN1: 2001:db8:c18:1::/64
LAN2: 2001:db8:c18:2::/64
Router 1
Router1# show ipv6 eigrp neighborH Address Interface
0 FE80::260:3eff:fe47:1530 E0
Hold Uptime(sec)
14 00:01:43 1
SRTT RTO Q Seq(ms) Cnt Num
4500 0 1
Router1# show ipv6 eigrp topology all-links
Router 2 2001:db8:c18:1:260:3eff:fe47:1530
Ethernet0
Neighbours and next hops are identified by link-local address
Страница 70 www.specialist.ru
Обзор OSPFv3
• OSPFv3 это OSPF для IPv6 (RFC 5340)
• За основу был взят OSPFv2
• Распространяет только префиксы IPv6
• Работает параллельно OSPFv2
• Нет встроенной аутентификации
Страница 73 www.specialist.ru
Конфигурация OSPFv3 (классический синтаксис)
2001:410:ffff:1::1/64
Eth1/1Router 2
Router1#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::1/64ipv6 ospf 100 area 0!ipv6 router ospf 100
router-id 10.1.1.3!
Router 1
Area 1
Interlink connectionRouter2#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::2/64ipv6 ospf 100 area 0!interface Ethernet1/1ipv6 address 2001:db8:cafe::1/48ipv6 ospf 100 area 1
Enables IPv6 facingArea 1
Interlink connection
OSPFv3 processEth1/0
32 bit ID specified in dotted decimal notation!ipv6 router ospf 100
router-id 10.1.1.4
2001:db8:ffff:1::1/64
Eth1/0 2001:db8:ffff:1::2/64
Страница 74 www.specialist.ru
Конфигурация OSPFv3 (унифицированный синтаксис)
Area 1
2001:410:ffff:1::1/64
Eth1/0 2001:db8:ffff:1::1/64
Eth1/1Router 2
Router1#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::1/64ospfv3 100 area 0 ipv6!router ospfv3 100
router-id 10.1.1.3!
Router 1
Eth1/0 2001:db8:ffff:1::2/64
Interlink connectionRouter2#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::2/64ospfv3 100 area 0 ipv6!interface Ethernet1/1ipv6 address 2001:db8:cafe::1/48ospfv3 100 area 1 ipv6
Enables IPv6 facingArea 1
Interlink connection
OSPFv3 process
32 bit ID specified in dotted decimal notation!router ospfv3 100
router-id 10.1.1.4
Страница 75 www.specialist.ru
Конфигурация OSPFv3 для IPv4 (RFC 5838)(унифицированный синтаксис)
!ipv6 unicast-routing!interface Loopback0ip address 10.0.0.1 255.255.255.255ipv6 address 2001:DB8::1/128ospfv3 1 ipv4 area 1ospfv3 1 ipv6 area 0
!interface GigabitEthernet2ip address 10.0.12.1 255.255.255.0negotiation auto ipv6 enableospfv3 1 ipv4 area 1ospfv3 1 ipv4 network point-to-pointospfv3 1 ipv6 area 0ospfv3 1 ipv6 network point-to-point
!...
...!router ospfv3 1router-id 10.0.0.1!address-family ipv4 unicastpassive-interface Loopback0
exit-address-family!address-family ipv6 unicastpassive-interface Loopback0
exit-address-family
Страница 76 www.specialist.ru
Обзор MP-BGP для IPv6
• Использует TCP• BGP-4 работает поверх TCP (179 порт) сессии через IPv4 или IPv6• Переносимый NLRI (IPv4, IPv6, MPLS) не зависит от транспорта (однако
атрибут NEXT_HOP зависит)
• Router ID• BGP router-id по прежнему записывается как 32 bit dotted decimal
• Next-hop содержит global IPv6 address (или link local address) при использовании транспорта IPv6
• Link local address ставится как next-hop только в том случае, если BGP-спикер находится в одной сети с обоими соседями (источник NLRI и получатель)
Страница 77 www.specialist.ru
Конфигурация MP-BGP для IPv6
2001:db8:2:1::f AS65001 E0/0
Router2#!interface Ethernet0/0ipv6 address 2001:db8:2:1::1/64!router bgp 65002bgp router-id 10.10.10.1no bgp default ipv4-unicastneighbor 2001:db8:2:1::f remote-as 65001!address-family ipv6neighbor 2001:db8:c18:2:1::f
activatenetwork 2001:db8:a::/48
!
Router 1
Router 2E0/0 2001:db8:2:1::1
TCP over IPv6 BGPSession
Use IPv6 address family
Disable default IPv4 behaviour
Router ID in dotted decimal notation
Activate IPv6 session
2001:db8:a::/48AS65002
IPv6 prefix to be advertised
Страница 79 www.specialist.ru
Безопасность в LAN (First Hop Security)• Port ACL
blocks all ICMPv6 RA from hostsinterface FastEthernet0/2
ipv6 traffic-filter ACCESS_PORT inaccess-group mode prefer port
• RAguard lite (12.2(33)SXI4 & 12.2(54)SG )also dropping all RA received on this portinterface FastEthernet0/2
ipv6 nd raguardaccess-group mode prefer port
• RAguard (12.2(50)SY, 15.0(2)SE)ipv6ipv6ipv6
nd raguardnd raguardnd raguard
policy HOST device-role host policy ROUTER device-role router attach-policy HOST vlan 100
interface FastEthernet0/0ipv6 nd raguard attach-policy ROUTER
HOSTDevice-role
RA
R A
RA
RA
RA
ROUTERDevice-role
Страница 80 www.specialist.ru
IOS IPv6 Extended ACL
• Can match on• Upper layers: TCP, UDP, SCTP port numbers, ICMPv6 code and type• TCP flags SYN, ACK, FIN, PUSH, URG, RST• Traffic class (only six bits/8) = DSCP, Flow label (0-0xFFFFF)
• IPv6 extension headers• routing matches any RH, routing-type matches specific RH• mobility matches any MH, mobility-type matches specific MH• dest-option matches any destination options• auth matches AH• hbh matches hop-by-hop (since 15.2(3)T)
• fragments keyword matches• Non-initial fragments (same as IPv4)
• undetermined-transport keyword does not match• TCP/UDP/SCTP and ports are in the fragment• ICMP and type and code are in the fragment• Everything else matches (including OSPFv3, …)• Only for deny ACE
Страница 81 www.specialist.ru
IOS IPv6 Extended ACL (прод.)• Неявные строки в конце каждого IPv6 ACL разрешают neighbor discovery:
...
permit icmp any any nd-na permit icmp any any nd-ns
• На IOS XE (т.e. ASR1k) есть отличие: по умолчанию ND / NA пакеты не разрешены
Страница 82 www.specialist.ru
IOS IPv6 Extended ACL (прод.)
• Частая ошибка – просто добавить deny log в конец IPv6 ACL
deny ipv6 any any
Решение – добавить нужные строчки
. . .! Now log all denied packets permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any log
. . .! Now log deny ipv6! Heu . .
all denied packets any any log. I forget about these implicit lines
permit icmppermit icmp
any any nd-naany any nd-ns
Страница 85 www.specialist.ru
Заключение
!interface Ethernet0/0ip address 192.168.99.1 255.255.255.0ipv6 address 2001:db8:213:1::1/64 ospfv3 1 area 0 ipv6
!interface Serial 1/0ip address 192.0.2.1 255.255.255.252ipv6 address 2001:db8:ffff:1::1/64
!interface Serial 2/0ip address 192.0.2.5 255.255.255.252ipv6 address 2001:db8:ffff:2::1/64
!
IPv4/IPv6 Core
CE PE P P PE CE
IPv6 + IPv4CoreDual Stack App IPv4 + IPv6 Edge IPv6 and/or IPv4 edge
Interface Ethernet0/0
router ospfv3 1address-family ipv6 unicastexit-address-family
!router bgp 65000...address-family ipv4neighbor 192.0.2.2 activateneighbor 192.0.2.6 activate!address-family ipv6neighbor 2001:db8:ffff:1::2 activateneighbor 2001:db8:ffff:2::2 activate...
s1/0
s2/0
IPv4IPv6
IPv4
IPv6
Страница 90 www.specialist.ru
Преимущества обучения в «Специалисте»
Более 1000 актуальных курсов Лучшие преподаватели Гарантированное удобное расписание на год вперед Престижные международные сертификаты Традиции МГТУ им. Баумана Комфортные учебные классы Отличная техническая база Гибкая система скидок Бесплатная помощь в трудоустройстве
Телефон для записи: +7 (495) 232-32-16E-mail: info@specialist.ruСайт: www.specialist.ru
Страница 91 www.specialist.ru
Все направления подготовки Бухучет, 1С Курсы для пользователей ПК Компьютерная графика, верстка и дизайн Интернет и Web-технологии Проектирование и 3D моделирование Программирование, базы данных Администрирование и безопасность сетей Кадры, менеджмент Управление проектами Курсы для школьников, подготовка к ЕГЭ и ГИА Курсы английского языка
Телефон для записи: +7 (495) 232-32-16E-mail: info@specialist.ruСайт: www.specialist.ru
Страница 92 www.specialist.ru
Благодарю за внимание!
С удовольствием отвечу на Ваши вопросы.