IPv6 в корпоративных сетях CISCO
advertisement
IPv6 в корпоративных сетях CISCO
Cisco Connect 2015 day #0
ВЛАДИМИР ТАИРОВ
VTAIROV@SPECIALIST.RU
Страница 2
Содержание
Причины перехода на IPv6
Что такое IPv6
Адресация в IPv6
Роль многоадресной передачи в IPv6
Настройка IPv6 на устройствах CISCO
ICMPv6 и NDP
Фрагментация и PMTUD
Способы задания адресов
DNS и IPv6
Маршрутизация IPv6
Безопасность IPv6
Заключение
Страница 3
www.specialist.ru
Причины перехода на IPv6
Страница 4
www.specialist.ru
Вы могли об этом не знать
• У IANA и RIR-ов адресное пространство IPv4 кончилось
• Потребителю чаще всего все равно
• Абсолютно неважно, IPv4 или IPv6 используется для доставки контента
• Они не поймут, что значит “Не тот протокол”!
• Рынок адресов IPv4 стал спекулятивным
• Рост, фрагментация и проверка происхождения в таблице IPv4 - неизбежность
• Продажа префиксов /15 IPv4 – цена $9.00/IP
• Продажа префиксов /16 IPv4 – цена $9.20/IP
• Продажа префиксов /17 IPv4 – цена $9.50/IP
Страница 5
www.specialist.ru
Внутренние
причины
Внешние
причины
Основные «возмутители спокойствия»
Рост/защита
•Расширение на новые рынки
•Нехватка адресов – Защита вложений
Партнерство
•Партнерские отношения с компаниями,
перешедшими на IPv6
•Гос. структуры, партнеры, клиенты
OS/Программы
Старые проблемы
Новые технологии
Страница 6
•Microsoft и другие производители ПО
•Поглощения и слияния
•NAT перекрытие
•Виртуальные среды высокой плотности
(виртуализация серверов, VDI)
•SmartGrid
www.specialist.ru
Что такое IPv6?
Страница 7
www.specialist.ru
Что такое IPv6?
• Длина адреса 128 бит
• Запись в шестнадцатеричной системе
• Маски CIDR
• Новое поведение
• Обнаружение соседей (Neighbour
Discovery)
• Новые способы назначения адресов
(Stateless Addressing)
• Нет широковещательным рассылкам,
теперь только многоадресные
Страница 8
www.specialist.ru
Насколько велико адресное пространство?
• 128 бит это формально
2^128 = 340 282 366 920 938 463 463 374 607 431 768 211 456
• Однако, так как адрес IPv6 – это {64 бит сеть; 64 бит хост},
то это 2^64 = 18 446 744 073 709 551 616 сетей
по 18 446 744 073 709 551 616 адресов в каждой
• Сравните с размером всего адресного пространства IPv4:
2^32 = 4 294 967 296
Страница 9
www.specialist.ru
Сравнение заголовков IPv4 и IPv6
не изменилось
убрали
новое имя
новое поле
Страница 10
www.specialist.ru
Расширенные заголовки
V Class Flow
Len
6
Hop
V Class Flow
Len
43
Hop
V Class Flow
43
Len
Destination
Destination
Destination
Source
Source
Source
Upper Layer TCP Header
Payload
17
Routing Header
Upper Layer UDP Header
Payload
60
6
Hop
Routing Header
Destination Options
Upper Layer TCP Header
Payload
• заголовки можно цеплять в цепочки
• порядок важен!
Страница 11
www.specialist.ru
Стек IPv6
HTTP
DHCP
HTTP
TCP
X
ARP
TLS
NDP
UDP
MLD
MRD
ICMP
Internet Protocol
Link Layer
Physical Layer
Страница 12
www.specialist.ru
Сравнение IPv4 и IPv6
Служба
IPv4
IPv6
Адресация
32 бит, NAT
128 бит
Назначение адресов
Ручное, DHCP
Ручное, SLAAC*,
DHCP, DHCP-Lite*
Безопасность
IPSec
IPSec
Мобильность
Mobile IP
Mobile IP w/Direct
Routing
Качество
обслуживания
DiffServ, IntServ
DiffServ, IntServ
Многоадресная
передача
IGMP, PIM, MBGP
MLD, PIM, MBGP,
Scope Identifier
*) хост назначает себе адрес сам
Страница 13
www.specialist.ru
Адресация IPv6
Страница 14
www.specialist.ru
Устройство адреса IPv6
• Первые три бита равны «001», т.е. общий вид префикса 2000::/3
• Клиенту обычно дают /48, т.е. 65536 сетей /64
• Interface ID станция назначает себе сама, исходя из MAC-адреса
Страница 15
www.specialist.ru
Синтаксис записи адреса IPv6
• Это цифры, а не буквы – регистр не имеет значения
– 2001:0dB8:0000:130f:0000:0000:087c:AaAa
• Запись можно сократить
– 2001:0db8:0000:130f::87c:aaaa
• Последовательные нулевые блоки можно заменить на «::»
• Эта запись может быть только один раз
• Нули в начале блоков можно не писать
– 2001:db8:0:130f::87c:aaaa
• IPv6 использует формат записи маски CIDR
– 2001:0db8:0000:130f:0000:0000:087c:aaaa/128
Страница 16
www.specialist.ru
Синтаксис записи адреса IPv6
• Адрес Loopback теперь точечный (/128)
0:0:0:0:0:0:0:1 == ::1
• Аналогично 127.0.0.0/8 в IPv4
• Неспецифицированный адрес
0:0:0:0:0:0:0:0 == ::
• Используется в DHCP request, Duplicate Address
Detection DAD
• Default Route
::/0
Страница 17
www.specialist.ru
Области адресов IPv6
• На одном интерфейсе может быть множество адресов IPv6
Global
Site Local
Link Local
Multicast
Страница 18
www.specialist.ru
Типы адресов IPv6
Три типа unicast-адресов
• Link-Local – Для взаимодействия внутри одного L2-домена(fe80::/64)
• Unique-Local – Маршрутизируемые в пределах одного административного
домена (частные адреса) (fc00::/7)
• Global – Глобально маршрутизируемые через Internet (2000::/3)
Многоадресные группы(ff00::/8)
– Первое 16-битное слово в двоичном виде: 1111.1111.zzzz.ssss
– ZZZZ – флаги
0x0 (0000) = постоянный
0x1 (0001) = временный
– SSSS – область действия
0x1 (0001) = interface-local
0x2 (0010) = link-local
0x3 (0011) = subnet-local
0x4 (0100) = admin-local
0x5 (0101) = site-local
0x8 (1000) = organization-local
0xE (1110) = GLOBAL
Страница 19
www.specialist.ru
Адреса link-local
10 Bits
54 Bits
64 Bits
Remaining 54 bits = 0
Interface ID
1111 1110 10
fe80::/10
• Обязательные
• Могут быть назначены автоматически через EUI-64
• Действительны только в пределах канала
Страница 20
www.specialist.ru
Адреса unique-local
n Bits
Global ID
16 Bits
64 Bits
Subnet
Interface ID
1111 110L
fc00::/7
• FC00::/8 назначаются реестром (L bit = 0), FD00::/8
самоназначаемые (L bit = 1)
• Реестры пока не выделяют пространство ULA
• Global ID может быть создан по алгоритму
• 40 бит как результат SHA-1 Digest {EUI-64 && Time}
• Не есть хорошая практика
Страница 21
www.specialist.ru
Адреса глобально маршрутизируемые
Provider
n бит
Global Routing Prefix
Site
Host
16 бит
Subnet
64 бит
Interface ID
001
• Глобально маршрутизируемые
• Не забывайте про безопасность!!
• Обычно есть наилучшая практика
• Стандартные размеры блоков /32, /48, /52, /56, /64
Страница 22
www.specialist.ru
Адреса на интерфейсе
Тип адреса
Обязательность Комментарий
Link Local
Да
Должен быть на каждом
интерфейсе
Нет
Действителен только в
пределах административного
домена
Global Unicast
Нет
Глобально маршрутизируем
Auto-Config 6to4
Solicited Node
Multicast
All Nodes Multicast
Нет
Для 6to4 туннелей 2002::
Да
Для NDP и DAD
Да
Для ICMPv6
Unique Local
Страница 23
www.specialist.ru
PI и PA адреса
Provider Assigned
Provider Independent
IANA
2000::/3
/48
Страница 24
2000::
Registries
/12
/32
IPv4
Pool Empty
/12
IPv4
Pools Running Out
ISP
Org
/48
Enterprise
www.specialist.ru
Interface ID
• Interface ID может быть назначен различными способами
Автоконфигурация из 64-bit EUI-64 или расширением 48-bit MAC
Автогенерация псевдослучайного числа (по требованиям безопасности)
Назначение по DHCP
Ручная настройка
•
•
•
•
64 Bits
Global Routing Pref Subnet
Страница 25
Interface ID
www.specialist.ru
Interface ID (EUI-64)
MAC Address
• Расширение 48-битного MACадреса до 64 бит путем
вставки FFFE в середину
• Не-ethernet интерфейсы используют
первый MAC-адреса из пула
маршрутизатора
• Cisco инвертирует 7-й бит
00
00
00
90
90
27
90
000000U0
U = 1
02
Страница 26
90
27
27
17
FF
FE
FF
FE
FC
0F
17
FC
0F
17
FC
0F
1 = Unique
Where U=
27
FF
0 = Not Unique
FE
17
FC
0F
www.specialist.ru
Псевдослучайный Interface ID
• Включено по умолчанию в Microsoft Windows
• Включается/выключается через GPO или CLI
netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent
netsh interface ipv6 set privacy state=disabled store=persistent
• Или, используйте DHCP с привязкой к нужному пулу
• Псевдослучайные адреса создаются для public и link-local
Страница 27
www.specialist.ru
Адресация префиксов
64 bits
Рекомендовано
RFC3177 и
IAB/IESG
удобно
ОБЯЗАТЕЛЬНО
для SLAAC
(и MSFT DHCPv6)
Большой расход
адреов
(18.466
Quintillion)
Страница 28
> 64 bits
Оптимизация
расхода
Специальные случаи:
/126—для p2p
/127—для p2p с
осторожностью – RFC6164
(RFC3627)
/128—loopback
Необходимо избегать
пересечения с адресами:
Router Anycast (RFC3513)
Embedded RP (RFC3956)
ISATAP addresses
• /64
везде
• /64 + /126
– 64 для хостов
– 126 для P2P
• /64 + /127
– 64 для хостов
– 127 для P2P
• /128 для
loopback
www.specialist.ru
Роль многоадресной передачи в IPv6
Страница 29
www.specialist.ru
Мультикасты IPv6 (RFC 4291)
Мультикасты в IPv6 имеют префикс FF00::/8 (1111 1111)
• Второй октет описывает lifetime и scope
8Bits
4 Bits
4 Bits
112 Bits
1111 1111
0 R P T
Scope
Variable Format
Flags
R
R
P
P
T
T
Страница 30
=
=
=
=
=
=
0
1
0
1
0
1
Scope
No embedded RP
Embedded RP
Not based on unicast
Based on unicast
Permanent address (IANA
assigned)
Temporary address (local
assigned)
1
2
Node
Link
3
Subnet
4
Admin
5
Site
8
Organisation
E
Global
www.specialist.ru
Общеизвестные мультикасты IPv6
Адрес
Область
FF01::1
Node-Local
Значение
All Nodes
FF01::2
Node-Local
All Routers
FF02::1
Link-Local
All Nodes
FF02::2
Link-Local
All Routers
FF02::5
Link-Local
FF02::6
Link-Local
OSPFv3 Routers
OSPFv3 DR Routers
FF02::1:FFXX:XXXX
Link-Local
Solicited-Node
“02” означает что это постоянный адрес (t = 0) с
областью ‘Link-local’ (2)
http://www.iana.org/assignments/ipv6-multicast-addresses
Страница 31
www.specialist.ru
Solicited-Node multicast IPv6
• Для каждого Unicast
• Используется в сообщениях neighbour solicitation (NS)
• FF02::1:FF & {lower 24 bits from IPv6 Unicast interface ID}
64 Bits
High Order
40 Bits
Routing Prefix
Interface ID
FF02
Страница 32
0000
0000
0000
0000
Low Order
24 bits
0001
FF
Low 24
www.specialist.ru
Пример Solicited-Node multicast IPv6
64 Bits Interface ID
64 Bits Network ID
FE80
0000
0000
0000
0200
0CFF
8B18
FE3A
Link-Local
24 bits
FF02
0000
0000
0000
0000
0001
FF
Solicited
Node
Multicast
3A8B18
32 bits
33
Страница 33
33
FF
3A
8B
18
Ethernet
Multicast
www.specialist.ru
Пример интерфейса IPv6
show ipv6 interface e0
Ethernet0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::200:CFF:FE3A:8B18
No global unicast address is configured
Joined group address(es):
All Nodes
FF02::1
All Routers
FF02::2
Solicited Node Multicast Address
FF02::1:FF3A:8B18
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
ND DAD is enabled, number of DAD attempts: 1
ND reachable time is 30000 milliseconds
ND advertised reachable time is 0 milliseconds
ND advertised retransmit interval is 0 milliseconds
ND router advertisements are sent every 200 seconds
ND router advertisements live for 1800 seconds
Hosts use stateless autoconfig for addresses.
Страница 34
Link-local address (FE80::)
www.specialist.ru
Настройка IPv6 на устройствах CISCO
Страница 35
www.specialist.ru
Вариант №1: Только link-local адрес
Fast0/0
Enable IPv6 routing
ipv6 unicast-routing
!
interface FastEthernet0/0
ip address 10.151.1.1 255.255.255.0
duplex auto
speed auto
Enable IPv6 on interface and automatically create link-local address
ipv6 enable
!
Страница 36
www.specialist.ru
интерфейс IPv6 с настроенным link-local
адресом
r1#show ipv6 interface fast0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is
FE80::207:50FF:FE5E:9460
Global unicast address(es):
None
Joined group address(es):
FF02::1
FF02::2
FF02::1:FF5E:9460
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
Hosts use stateless autoconfig for addresses.
r1# show interface fast0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 0007.505e.9460 (bia
0007.505e.9460)
BRKRST-1069
© 2015 Cisco and/or its affiliates. All rights reserved.
Cisco Public
Страница 37
EUI-64 derived from MAC address
0007.505e.9460
Listening for all hosts multicast
Listening for all routers multicast
Solicited Node multicast for link-local address
MAC address 0007.505e.9460
www.specialist.ru
Вариант №2: ручное назначение адреса
Fast0/0
ipv6 unicast-routing
!
interface FastEthernet0/0
ip address 10.151.1.1 255.255.255.0
duplex auto
speed auto
Enables IPv6 and assigns a global prefix and manual interface ID
ipv6 address 2001:db8::1/64
!
Страница 38
www.specialist.ru
интерфейс IPv6 с настроенным вручную
адресом
r1#show ipv6 interface fast0/0
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::207:50FF:FE5E:9460
Global unicast address(es):
Routable /64 subnet
2001:db8::1, subnet is 2001:db8::/64
Global unicast address with manual interface ID of “1”
Joined group address(es):
FF02::1
FF02::2
Corresponding Solicited Node multicast address for manual interface ID
FF02::1:FF00:1
Corresponding Solicited Node multicast address for Link-Local interface ID
FF02::1:FF5E:9460
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
Hosts use stateless autoconfig for addresses.
Страница 39
www.specialist.ru
Вариант №3: назначение адреса через EUI-64
Fast0/0
ipv6 unicast-routing
!
interface FastEthernet0/0
ip address 10.151.1.1 255.255.255.0
duplex auto
speed auto
Enables IPv6 and assigns a global prefix and EUI-64 interface ID
ipv6 address 2001:db8::/64 eui-64
!
Страница 40
www.specialist.ru
интерфейс IPv6 с настроенным через EUI-64
адресом
r1#show ipv6 interface fast0/0
Link-Local address with EUI-64 interface ID
FastEthernet0/0 is up, line protocol is up
IPv6 is enabled, link-local address is FE80::207:50FF:FE5E:9460
Global unicast address(es):
Manually configured address with EUI-64 Interface ID
2001:db8::207:50FF:FE5E:9460, subnet is 2001:db8::/64
Joined group address(es):
FF02::1
Solicited Node multicast for both manual and link-local address
FF02::2
FF02::1:FF5E:9460
MTU is 1500 bytes
ICMP error messages limited to one every 100 milliseconds
ICMP redirects are enabled
Hosts use stateless autoconfig for addresses.
r1#show interface fast0/0
MAC address 0007.505e.9460 used for EUI-64
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is 0007.505e.9460 (bia
0007.505e.9460)
Страница 41
www.specialist.ru
ICMPv6 и NDP
Страница 42
www.specialist.ru
ICMPv6
SLAAC
NDP
MLD
Stateless
Address AutoConfiguration
Neighbour
Discovery
(ARP)
Multicast
Listener
Discovery
MRD
Multicast
Router
Discovery
ICMPv6
IPv6
Страница 43
www.specialist.ru
Заголовок ICMPv6
Next Header
58
IPv6 basic header
ICMPv6 Header (58)
ICMPv6 Type
ICMPv6 Data
ICMPv6 Code
Checksum
• Используется также для Neighbour Discovery, Path MTU
discovery и Multicast Listener Discovery (MLD)
Страница 44
www.specialist.ru
Сообщения Neighbor Discovery
Сообщение
Назначение Код
ICMP
Отправитель
Получатель
Router Solicitation
(RS)
Вынудить
роутеры
послать RA
133
Узлы
Все роутеры
Router
Advertisement
(RA)
Анонс роутера
о себе, своих
префиксах и
доп.
параметрах
134
Роутеры
Отправитель RS
Все узлы
Neighbour
Solicitation (NS)
Поиск соседа
(аналог ARP
Request)
135
Узел
Искомый узел
Neighbour
Advertisement
(NA)
Ответ на
запрос о соседе
(аналог ARP
Response) либо
анонс (аналог
GARP)
136
Узлы
Отправитель
запроса
Страница 45
www.specialist.ru
Поиск и анонс роутера (RS и RA)
RS
Router
Solicitation
ICMP Type
IPv6 Source
Router
Advertisement
133
Link Local (FE80::1)
IPv6 All Routers Multicast
Destination (FF02::2)
Query
RA
Please send RA
ICMP Type
IPv6 Source
134
Link Local (FE80::2)
IPv6 Sender of RS
Destination All Nodes Multicast
(FF02::1)
Data Options, subnet prefix,
lifetime, autoconfig flag
• Router solicitations (RS) посылаются узлами при старте для запроса RA для настройки
своих интерфейсов
• Роутеры периодически посылают Router Advertisements (RA) на all-nodes multicast address
Страница 46
www.specialist.ru
Поиск и анонс соседа (NS и NA)
A
B
NS
Neighbour
Solicitation
Neighbour
Advertisment
ICMP Type
135
IPv6 Source
A Unicast
IPv6
Destination
B Solicited Node Multicast
Target /
Options
B Unicast / FE80:: address
of A
Query
What is B link layer
address?
Страница 47
NA
ICMP Type
136
IPv6 Source
B Unicast
IPv6
Destination
A Unicast
Data
FE80:: address of B, MAC
Address
www.specialist.ru
Состояние записей в кэше соседей IPv6
• INCOMPLETE
• Разрешение адреса еще не завершено и канальный адрес соседа еще не
определен
• REACHABLE
• Сосед недавно был достижим (в течение недавних десятков секунд)
• STALE
• Достижимость соседа неизвестна, но пока к нему не пойдет трафик, достижимость
проверяться не будет
• DELAY
• Задержать посылку поисковых зондов до получения подтверждения от
вышестоящих протоколов
• PROBE
• Сосед признан недостижимым, идет посылка зондов unicast Neighbour Solicitation
для проверки достижимости
Страница 48
www.specialist.ru
Пример DAD
Tentative IP
FE80::260:8FF:FE52:F9D8
A
B
NS
Ethernet DA
NA
NA
NS
ICMP Type
135 (Neighbour Solicitation)
33-33-FF-52-F9-D8
ICMP Type
Ethernet DA
IPv6 Destination
::
FF02::1:FF52:F9D8
IPv6 Source
IPv6 Destination
FE80::260:8FF:FE52:F9D8
33-33-00-00-00-01
FE80::260:8FF:FE52:F9D8
FF02::1
NA Header
NS Header
Target Address
135 (Neighbour Solicitation)
IPv6 Header
IPv6 Header
IPv6 Source
Actual IP
FE80::260:8FF:FE52:F9D8
Target Address
FE80::260:8FF:FE52:F9D8
Neighbour Discovery Option
Target MAC
Страница 49
00-60-08-52-F9-D8
www.specialist.ru
Фрагментация и PMTUD
Страница 50
www.specialist.ru
Фрагментация в IPv6
• Нефрагментируемая часть
• Заголовок IPv6 плюс все заголовки, которые должны быть
обработаны на маршруте
• Повторяется с каждым фрагментом, прикрепленым к последнему в
цепочке “fragment header”
• Фрагментируемая часть
• Заголовки, которые нужны только узлу-получателю = the end-to-end
headers + upper layer header and data
• Делится на куски с размером, кратным 8 октетам
• Минимальное MTU для IPv6 - 1280 байт
• Все каналы ДОЛЖНЫ поддерживать его
Страница 51
www.specialist.ru
Fragment Header в IPv6
Next Header
44
IPv6 basic header
Fragment Header (44)
Next Header
Identification
Fragment Data
Reserved
Fragment Offset
00
M
• Фрагментация выполняется узлом-отправителем
• Маршрутизаторы не фрагментируют
• Используется «Fragment header», когда узел-отправитель хочет послать пакет,
больший, чем MTU на пути
Страница 52
www.specialist.ru
Path MTU Discovery
Source
MTU 1500
MTU
1500
MTU
1400
Destination
MTU 1300
Packet, MTU=1500
ICMPv6 Too Big, Use MTU=1400
Packet, MTU=1400 ICMPv6
Too Big, Use MTU=1300
Packet, MTU=1300
• Store PMTU per destination (if received)
• Age out PMTU (10 mins), reset to first link MTU
Страница 53
www.specialist.ru
Способы задания адресов
Страница 54
www.specialist.ru
Способы назначения адресов IPv6
• Ручное назначение
• Stateless Address Autoconfiguration (SLAAC RFC 4862)
• Позволяет назначать адреса автоматически
• Stateful DHCPv6 (RFC 3315)
• Позволяет DHCPv6 назначать адреса IPv6 и остальные опции
• DHCPv6-PD (RFC 3633)
• Позволяет DHCPv6 назначать подсети роутеру/CPЕ-устройству
• Stateless DHCPv6 (RFC 3736)
• SLAAC для назначения адресов и DHCPv6 для опций
Страница 55
www.specialist.ru
Stateless Address Autoconfiguration (RFC 4862)
• SLAAC используется для настройки адреса по принципу “plug and play”
MAC
00:2c:04:00:fe:56
A
R1
1
2
RS
RA
3
DAD
Address comprises
Prefix Received + Link-Layer
2001:db8:face::22c:4ff:fe00:fe56
Страница 56
2001:db8:face::/64
Router
Advertisement
(RA)
Ethernet
DA/SA
Router R2 / Host A
Prefix
Information
2001:db8:face::/64
Default Router
Router R1
www.specialist.ru
Stateful DHCPv6
• RA сообщение содержит флаги, описывающие порядок получения адреса (A, M и O биты)
Router 1
(DHCPv6 Relay)
2
RA
A
1
RS
3
2001:db8:face::/
DHCP
Server
4
Send DHCP Solicit to FF02::1:2 (All DHCP Relays)
2001:db8:face::1/64, DNS1, DNS2, NTP
RA
A bit (Address config flag)
Set to 0 - Do not use SLAAC for
host config
M bit (Managed address
configuration flag)
Set to 1 - Use DHCPv6 for host
IPv6 address
O bit (Other configuration flag)
Страница 57
Set to 1 - Use DHCPv6 for
additional info (DNS, NTP)
www.specialist.ru
Stateless DHCPv6
• RA сообщение содержит флаги, описывающие порядок получения адреса (A, M и O биты)
3 2001:db8:face::22c:4ff:fe00:fe56
Router 1
(DHCPv6 Relay)
A
1
RS
2
RA
4
DHCP Solicit to FF02::1:2 for options only
DHCP
Server
5
2001:db8:face::/64
DNS1, DNS2, NTP
RA
A bit (Address config flag)
On-link Prefix
M bit (Managed address
configuration flag)
Set to 1 - Use SLAAC for host
address config
2001:db8:face::/64
Set to 0 - Do not use DHCPv6 for
IPv6 address
O bit (Other configuration flag)
© 2015 Cisco and/or its affiliates. All rights reserved.
Страница 58
Set to 1 - Use DHCPv6 for
additional info (DNS, NTP)
Cisco Public
www.specialist.ru
Конфигурирование DHCPv6
A bit (default) для SLAAC
interface e0/0
ipv6 address 2001:db8:1000::1/64
M bit & O bit (Stateful DHCP)
interface e0/0
Хост получит адрес и опции по SLAAC
options. Ничего больше
Хост получит полный конфиг от
сервера DHCP (2001:db8::10)
ipv6 address 2001:db8:1000::1/64
ipv6 nd managed-config-flag
ipv6 nd other-config-flag
ipv6 dhcp relay destination 2001:db8::10
A bit & O bit (Stateless DHCP)
interface e0/0
ipv6 address 2001:db8:1000::1/64 ipv6 nd other-config-flag
ipv6 dhcp relay destination 2001:db8::10
Страница 59
Хост получает адрес по SLAAC,
а опции по DHCP с сервера
(2001:db8::10)
www.specialist.ru
Выбор маршрутизатора по умолчанию
interface Ethernet0/0
ipv6 nd reachable-time 15000
ipv6 nd router-preference Low
IPv6
Host
A
IPv6
Host
2 Mbps
B
10 Mbps
IPv6
Network
interface Ethernet0/0
ipv6 nd reachable-time 15000
ipv6 nd router-preference High
Страница 60
www.specialist.ru
DNS и IPv6
Страница 61
www.specialist.ru
Записи DNS для IPv6
Функция
IPv4
IPv6
Хост адрес
A Record
AAAA Record (Quad A)
www.abc.test. IN A
92.168.30.1
www.abc.test. IN AAAA 2001:db8:C18:1::2
Адрес Хост
PTR Record
PTR Record
1.30.168.192.inaddr.arpa. IN PTR
www.abc.test.
2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.1.c.0.8.b.d.0.
1.0.0.2.ip6.arpa IN PTR www.abc.test.
Страница 62
www.specialist.ru
Dual-Stack и DNS для IPv6
192.168.0.3
www.example.org = * ?
IPv4
DNS
Server
IPv4
IPv6
IPv6
www IN A
192.168.0.3
www IN AAAA 2001:db8:1::1
2001:db8:1::1
• В случае «dual stack» приложение:
• Имеющее доступ к IPv4 и IPv6
• Может запросить DNS об адресе IPv4 и/или IPv6 – записи (A) или
(AAAA)
• Выбирает какой-то один адрес и с ним устанавливает соединение,
используя соответствующий протокол
Страница 63
www.specialist.ru
Маршрутизация IPv6
Страница 64
www.specialist.ru
Обзор маршрутизации IPv6
• Маршрутизация в IPv6 аналогична IPv4
• По прежнему есть два класса протоколов : IGP and EGP
• По прежнему алгоритм поиска маршрута – по наибольшему
совпадению префикса
• IGP
•
•
•
•
RIPng (RFC 2080)
Cisco EIGRP for IPv6
Integrated IS-IS for IPv6 (RFC 5308)
OSPFv3 (RFC 5340)
• EGP
• MP-BGP4 (RFC 4760) and Using MP-BGP for IPv6 (RFC 2545)
• Cisco IOS поддерживает все протоколы маршрутизации IPv6
Страница 65
www.specialist.ru
Статическая маршрутизация в IPv6
• Аналогична IPv4
• Обязательно указание
NEXT_HOP / INTERFACE
Static routing CLI for IPv6
ipv6 route ipv6-prefix/prefix-length {ipv6-address | interface-type interface-number [ipv6-address]}
[administrative-distance] [administrative-multicast-distance | unicast | multicast] [tag tag]
!
Forward a packets via NH using admin of 10
Router(config)# ipv6 route 2001:db8::0/32 2001:db8:1:1::1 10
!
Router(config)# ipv6 route 2001:db8::/32 ethernet 1/0 fe80::215:c7ff:fe21:8640
!
Forward a packets via link-local NH
Страница 66
www.specialist.ru
Пример маршрутизации по умолчанию IPv6
IPv6 Internet
LAN1: 2001:db8:c18:1::/64
:a
Ethernet0
:e
Router 1
:a
router 1#
!
ipv6 unicast-routing
!
interface Ethernet0
ipv6 address 2001:db8:c18:1::a/64
!
interface Ethernet1
ipv6 address 2001:db8:c18:2::a/64
!
ipv6 route ::/0 2001:db8:c18:1::e
Страница 67
Ethernet1
LAN2: 2001:db8:c18:2::/64
Default route to Router 2
www.specialist.ru
EIGRP для IPv6
• Добавлены три новых TLVs
• Сообщения Hello используют адрес FF02::A (all EIGRP routers)
• Автосуммаризация выключена в IPv6 (в отличие от IPv4)
• Есть режим “shutdown”
• RID по прежнему 32 бита
Страница 68
www.specialist.ru
Настройка EIGRP для IPv6
Router 2
2001:db8:c18:1:260:3eff:fe47:1530
Ethernet0
LAN1: 2001:db8:c18:1::/64
Ethernet0
Router 1
Ethernet1
LAN2: 2001:db8:c18:2::/64
Router1# show ipv6 eigrp neighbor
H Address
Interface
0 FE80::260:3eff:fe47:1530 E0
Router2#
!
ipv6 router eigrp 100
eigrp router-id 10.10.10.1
!
interface Ethernet0
ipv6 address 2001:db8:c18:1::/64 eui-64
ipv6 eigrp 100
!
Hold Uptime SRTT RTO Q Seq
(sec)
(ms)
Cnt Num
14 00:01:43
1
4500 0 1
Router1# show ipv6 eigrp topology all-links
P 2001:db8:c18:1::/64, 1 successors, FD is 28160, serno 1
via Connected, Ethernet0
via FE80::260:3eff:fe47:1530 (30720/28160), Ethernet0
Страница 69
Neighbours and next hops are identified by link-local address
www.specialist.ru
Обзор OSPFv3
• OSPFv3 это OSPF для IPv6 (RFC 5340)
• За основу был взят OSPFv2
• Распространяет только префиксы IPv6
• Работает параллельно OSPFv2
• Нет встроенной аутентификации
Страница 70
www.specialist.ru
Конфигурация OSPFv3 (классический синтаксис)
Router 1
Eth1/0
Eth1/0
Router1#
interface Ethernet1/0
ipv6 address 2001:db8:ffff:1::1/64
ipv6
ospf 100 area 0
2001:db8:ffff:1::1/64
!
ipv6 router ospf 100
router-id 10.1.1.3
2001:db8:ffff:1::2/64
!
Router 2
Eth1/1
Area
1
2001:410:ffff:1::1/64
Страница 73
Router2#
interface Ethernet1/0
ipv6 address 2001:db8:ffff:1::2/64
ipv6 ospf 100 area 0
!
interface Ethernet1/1
ipv6 address 2001:db8:cafe::1/48
ipv6 ospf 100 area 1
!
32 bit ID
ipv6 router ospf 100
router-id 10.1.1.4
Interlink connection
OSPFv3 process
Interlink connection
Enables IPv6 facing Area 1
specified in dotted decimal notation
www.specialist.ru
Конфигурация OSPFv3 (унифицированный синтаксис)
Router 1
Eth1/0
2001:db8:ffff:1::1/64
Eth1/0
2001:db8:ffff:1::2/64
Router 2
Eth1/1
Area
1
2001:410:ffff:1::1/64
Страница 74
Router1#
interface Ethernet1/0
ipv6 address 2001:db8:ffff:1::1/64
ospfv3 100 area 0 ipv6
!
router ospfv3 100
router-id 10.1.1.3
!
Router2#
interface Ethernet1/0
ipv6 address 2001:db8:ffff:1::2/64
ospfv3 100 area 0 ipv6
!
interface Ethernet1/1
ipv6 address 2001:db8:cafe::1/48
ospfv3 100 area 1 ipv6
!
32 bit ID
router ospfv3 100
router-id 10.1.1.4
Interlink connection
OSPFv3 process
Interlink connection
Enables IPv6 facing Area 1
specified in dotted decimal notation
www.specialist.ru
Конфигурация OSPFv3 для IPv4 (RFC 5838)
(унифицированный синтаксис)
!
ipv6 unicast-routing
!
interface Loopback0
ip address 10.0.0.1 255.255.255.255
ipv6 address 2001:DB8::1/128
ospfv3 1 ipv4 area 1
ospfv3 1 ipv6 area 0
!
interface GigabitEthernet2
ip address 10.0.12.1 255.255.255.0
negotiation auto
ipv6 enable
ospfv3 1 ipv4 area 1
ospfv3 1 ipv4 network point-to-point
ospfv3 1 ipv6 area 0
ospfv3 1 ipv6 network point-to-point
!
...
Страница 75
...
!
router ospfv3 1
router-id 10.0.0.1
!
address-family ipv4 unicast
passive-interface Loopback0
exit-address-family
!
address-family ipv6 unicast
passive-interface Loopback0
exit-address-family
www.specialist.ru
Обзор MP-BGP для IPv6
• Использует TCP
• BGP-4 работает поверх TCP (179 порт) сессии через IPv4 или IPv6
• Переносимый NLRI (IPv4, IPv6, MPLS) не зависит от транспорта (однако
атрибут NEXT_HOP зависит)
• Router ID
• BGP router-id по прежнему записывается как 32 bit dotted decimal
• Next-hop содержит global IPv6 address (или link local address) при
использовании транспорта IPv6
• Link local address ставится как next-hop только в том случае, если BGPспикер находится в одной сети с обоими соседями (источник NLRI и
получатель)
Страница 76
www.specialist.ru
Конфигурация MP-BGP для IPv6
2001:db8:a::/48
AS65002
Router 2
Router 1
E0/0
2001:db8:2:1::1
TCP over
IPv6
BGP
Session
2001:db8:2:1::f
E0/0
Страница 77
AS65001
Router2#
!
interface Ethernet0/0
ipv6 address 2001:db8:2:1::1/64
!
router bgp 65002
Router ID in dotted decimal notation
bgp router-id 10.10.10.1
Disable default IPv4 behaviour
no bgp default ipv4-unicast
neighbor 2001:db8:2:1::f remoteas 65001
!
Use IPv6 address family
address-family ipv6
Activate IPv6 session
neighbor 2001:db8:c18:2:1::f
activate
IPv6 prefix to be advertised
network 2001:db8:a::/48
!
www.specialist.ru
Безопасность IPv6
Страница 78
www.specialist.ru
Безопасность в LAN (First Hop Security)
•
Port ACL
interface FastEthernet0/2
ipv6 traffic-filter ACCESS_PORT in
access-group mode prefer port
RA
blocks all ICMPv6 RA from hosts
ROUTER
Device-role
RA
•
RAguard lite (12.2(33)SXI4 & 12.2(54)SG )
also dropping all RA received on this port
•
RAguard
(12.2(50)SY, 15.0(2)SE)
ipv6 nd raguard policy HOST device-role host
ipv6 nd raguard policy ROUTER device-role router
ipv6 nd raguard attach-policy HOST vlan 100
interface FastEthernet0/0
ipv6 nd raguard attach-policy ROUTER
Страница 79
RA
interface FastEthernet0/2
ipv6 nd raguard
access-group mode prefer port
HOST
Device-role
R
A
RA
www.specialist.ru
IOS IPv6 Extended ACL
•
Can match on
•
•
•
•
IPv6 extension headers
•
•
•
•
•
•
routing matches any RH, routing-type matches specific RH
mobility matches any MH, mobility-type matches specific MH
dest-option matches any destination options
auth matches AH
hbh matches hop-by-hop (since 15.2(3)T)
fragments keyword matches
•
•
Upper layers: TCP, UDP, SCTP port numbers, ICMPv6 code and type
TCP flags SYN, ACK, FIN, PUSH, URG, RST
Traffic class (only six bits/8) = DSCP, Flow label (0-0xFFFFF)
Non-initial fragments (same as IPv4)
undetermined-transport keyword does not match
•
•
•
•
Страница 80
TCP/UDP/SCTP and ports are in the fragment
ICMP and type and code are in the fragment
Everything else matches (including OSPFv3, …)
Only for deny ACE
www.specialist.ru
IOS IPv6 Extended ACL (прод.)
•
Неявные строки в конце каждого IPv6 ACL разрешают neighbor discovery:
...
permit icmp any any nd-na
permit icmp any any nd-ns
•
На IOS XE (т.e. ASR1k) есть отличие: по умолчанию ND / NA пакеты не
разрешены
Страница 81
www.specialist.ru
IOS IPv6 Extended ACL (прод.)
•
Частая ошибка – просто добавить deny log в конец IPv6 ACL
. . .
! Now log all denied packets
deny ipv6 any any log
! Heu . . . I forget about these implicit lines
permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any
Решение – добавить нужные строчки
. . .
! Now log all denied packets
permit icmp any any nd-na
permit icmp any any nd-ns
deny ipv6 any any log
Страница 82
www.specialist.ru
Заключение
Страница 84
www.specialist.ru
Заключение
Dual Stack App
IPv6 + IPv4
Core
IPv4 + IPv6 Edge
Interface Ethernet0/0
CE
PE
IPv6 and/or IPv4 edge
P
P
PE
CE
IPv4
s1/0
IPv4
IPv6
s2/0
IPv4/IPv6
Core
IPv6
!
interface Ethernet0/0
ip address 192.168.99.1 255.255.255.0
ipv6 address 2001:db8:213:1::1/64
ospfv3 1 area 0 ipv6
!
interface Serial 1/0
ip address 192.0.2.1 255.255.255.252
ipv6 address 2001:db8:ffff:1::1/64
!
interface Serial 2/0
ip address 192.0.2.5 255.255.255.252
ipv6 address 2001:db8:ffff:2::1/64
!
Страница 85
router ospfv3 1
address-family ipv6 unicast
exit-address-family
!
router bgp 65000
...
address-family ipv4
neighbor 192.0.2.2 activate
neighbor 192.0.2.6 activate
!
address-family ipv6
neighbor 2001:db8:ffff:1::2 activate
neighbor 2001:db8:ffff:2::2 activate
...
www.specialist.ru
Преимущества обучения в
«Специалисте»
Более 1000 актуальных курсов
Лучшие преподаватели
Гарантированное удобное расписание на год вперед
Престижные международные сертификаты
Традиции МГТУ им. Баумана
Комфортные учебные классы
Отличная техническая база
Гибкая система скидок
Бесплатная помощь в трудоустройстве
Телефон для записи: +7 (495) 232-32-16
E-mail: info@specialist.ru
Сайт: www.specialist.ru
Страница 90
www.specialist.ru
Все направления подготовки
Бухучет, 1С
Курсы для пользователей ПК
Компьютерная графика, верстка и дизайн
Интернет и Web-технологии
Проектирование и 3D моделирование
Программирование, базы данных
Администрирование и безопасность сетей
Кадры, менеджмент
Управление проектами
Курсы для школьников, подготовка к ЕГЭ и ГИА
Курсы английского языка
Страница 91
Телефон для записи: +7 (495) 232-32-16
E-mail: info@specialist.ru
Сайт: www.specialist.ru
www.specialist.ru
Благодарю за внимание!
С удовольствием отвечу на Ваши вопросы.
Страница 92
www.specialist.ru
