IPv6 в корпоративных сетях CISCO

Cisco Connect 2015 day #0

Страница 2

ВЛАДИМИР ТАИРОВ

VTAIROV@SPECIALIST.RU

Страница 3 www.specialist.ru

Причины перехода на IPv6 Что такое IPv6 Адресация в IPv6 Роль многоадресной передачи в IPv6 Настройка IPv6 на устройствах CISCO ICMPv6 и NDP Фрагментация и PMTUD Способы задания адресов DNS и IPv6 Маршрутизация IPv6 Безопасность IPv6 Заключение

Содержание

Страница 4 www.specialist.ru

Причины перехода на IPv6

Страница 5 www.specialist.ru

Вы могли об этом не знать

• У IANA и RIR-ов адресное пространство IPv4 кончилось

• Потребителю чаще всего все равно• Абсолютно неважно, IPv4 или IPv6 используется для доставки контента• Они не поймут, что значит “Не тот протокол”!

• Рынок адресов IPv4 стал спекулятивным• Рост, фрагментация и проверка происхождения в таблице IPv4 - неизбежность

• Продажа префиксов /15 IPv4 – цена $9.00/IP• Продажа префиксов /16 IPv4 – цена $9.20/IP• Продажа префиксов /17 IPv4 – цена $9.50/IP

Страница 6 www.specialist.ru

Основные «возмутители спокойствия»

•Расширение на новые рынки•Нехватка адресов – Защита вложений

•Партнерские отношения с компаниями, перешедшими на IPv6•Гос. структуры, партнеры, клиенты

•Microsoft и другие производители ПО

Рост/защита

Партнерство

OS/Программы

Старые проблемы

Новые технологии

•Поглощения и слияния•NAT перекрытие

•Виртуальные среды высокой плотности(виртуализация серверов, VDI)

•SmartGrid

Внеш

ние

прич

ины

Внут

ренн

иепр

ичин

ы

Страница 7 www.specialist.ru

Что такое IPv6?

Страница 8 www.specialist.ru

Что такое IPv6?

• Длина адреса 128 бит• Запись в шестнадцатеричной системе• Маски CIDR

• Новое поведение• Обнаружение соседей (Neighbour

Discovery)• Новые способы назначения адресов

(Stateless Addressing)• Нет широковещательным рассылкам,

теперь только многоадресные

Страница 9 www.specialist.ru

Насколько велико адресное пространство?

• 128 бит это формально 2^128 = 340 282 366 920 938 463 463 374 607 431 768 211 456

• Однако, так как адрес IPv6 – это {64 бит сеть; 64 бит хост}, то это 2^64 = 18 446 744 073 709 551 616 сетей по 18 446 744 073 709 551 616 адресов в каждой

• Сравните с размером всего адресного пространства IPv4:2^32 = 4 294 967 296

Страница 10 www.specialist.ru

Сравнение заголовков IPv4 и IPv6

не изменилось

убрали

новое имя

новое поле

Страница 11 www.specialist.ru

Расширенные заголовки

• заголовки можно цеплять в цепочки

• порядок важен!

V Class Flow Len 6 Hop

Destination

Source

Upper Layer TCP Header

Payload

Class Flow43 Hop

Destination

VLen

Source

Upper Layer UDP Header

Payload

Routing Header17

V Class Flow43 Hop

Destination

Len

Source

Upper Layer TCP Header

Payload

Routing Header60

Destination Options6

Страница 12 www.specialist.ru

Стек IPv6

Link Layer

Physical Layer

AXRP

TCP UDP ICMP

DHCP HTTP TLS

HTTP

NDP MLD MRD

Internet Protocol

Страница 13 www.specialist.ru

Сравнение IPv4 и IPv6Служба IPv4 IPv6Адресация 32 бит, NAT 128 бит

Назначение адресов Ручное, DHCP Ручное, SLAAC*,DHCP, DHCP-Lite*

Безопасность IPSec IPSec

Мобильность Mobile IP Mobile IP w/DirectRouting

Качествообслуживания

DiffServ, IntServ DiffServ, IntServ

Многоадреснаяпередача

IGMP, PIM, MBGP MLD, PIM, MBGP, Scope Identifier

*) хост назначает себе адрес сам

Страница 14 www.specialist.ru

Адресация IPv6

Страница 15 www.specialist.ru

Устройство адреса IPv6

• Первые три бита равны «001», т.е. общий вид префикса 2000::/3• Клиенту обычно дают /48, т.е. 65536 сетей /64• Interface ID станция назначает себе сама, исходя из MAC-адреса

Страница 16 www.specialist.ru

Синтаксис записи адреса IPv6

• Это цифры, а не буквы – регистр не имеет значения– 2001:0dB8:0000:130f:0000:0000:087c:AaAa

• Запись можно сократить– 2001:0db8:0000:130f::87c:aaaa

• Последовательные нулевые блоки можно заменить на «::»• Эта запись может быть только один раз

• Нули в начале блоков можно не писать– 2001:db8:0:130f::87c:aaaa

• IPv6 использует формат записи маски CIDR– 2001:0db8:0000:130f:0000:0000:087c:aaaa/128

Страница 17 www.specialist.ru

Синтаксис записи адреса IPv6

• Адрес Loopback теперь точечный (/128)0:0:0:0:0:0:0:1 == ::1

• Аналогично 127.0.0.0/8 в IPv4

• Неспецифицированный адрес0:0:0:0:0:0:0:0 == ::

• Используется в DHCP request, Duplicate AddressDetection DAD

• Default Route::/0

Страница 18 www.specialist.ru

Области адресов IPv6• На одном интерфейсе может быть множество адресов IPv6

Link LocalSite LocalGlobal

Multicast

Страница 19 www.specialist.ru

Типы адресов IPv6 Три типа unicast-адресов

• Link-Local – Для взаимодействия внутри одного L2-домена(fe80::/64)• Unique-Local – Маршрутизируемые в пределах одного административного

домена (частные адреса) (fc00::/7)• Global – Глобально маршрутизируемые через Internet (2000::/3)

Многоадресные группы(ff00::/8)– Первое 16-битное слово в двоичном виде: 1111.1111.zzzz.ssss– ZZZZ – флаги

0x0 (0000) = постоянный0x1 (0001) = временный

– SSSS – область действия0x1 (0001) = interface-local0x2 (0010) = link-local0x3 (0011) = subnet-local0x4 (0100) = admin-local0x5 (0101) = site-local0x8 (1000) = organization-local0xE (1110) = GLOBAL

Страница 20 www.specialist.ru

Адреса link-local

1111 1110 10

fe80::/10

• Обязательные• Могут быть назначены автоматически через EUI-64• Действительны только в пределах канала

10 Bits 54 Bits 64 Bits

Remaining 54 bits = 0 Interface ID

Страница 21 www.specialist.ru

Адреса unique-local

1111 110L

fc00::/7

• FC00::/8 назначаются реестром (L bit = 0), FD00::/8самоназначаемые (L bit = 1)• Реестры пока не выделяют пространство ULA

• Global ID может быть создан по алгоритму• 40 бит как результат SHA-1 Digest {EUI-64 && Time}

• Не есть хорошая практика

n Bits 16 Bits 64 Bits

Global ID Subnet Interface ID

Страница 22 www.specialist.ru

Адреса глобально маршрутизируемые

001

• Глобально маршрутизируемые• Не забывайте про безопасность!!

• Обычно есть наилучшая практика• Стандартные размеры блоков /32, /48, /52, /56, /64

Provider Site Host

n бит 16 бит 64 бит

Global Routing Prefix Subnet Interface ID

Страница 23 www.specialist.ru

Адреса на интерфейсе

Тип адреса Обязательность Комментарий

Link Local Да Должен быть на каждом интерфейсе

Unique LocalНет Действителен только в

пределах административного домена

Global Unicast Нет Глобально маршрутизируемAuto-Config 6to4 Нет Для 6to4 туннелей 2002::Solicited Node Multicast

Да Для NDP и DAD

All Nodes Multicast Да Для ICMPv6

Страница 24 www.specialist.ru

PI и PA адреса

Enterprise

ISP Org

/48

/48/32

RegistriesIPv4

Pools Running Out

IANAIPv4

Pool Empty

Provider Assigned

2000::2000::/3

/12 /12

Provider Independent

Страница 25 www.specialist.ru

Interface ID• Interface ID может быть назначен различными способами

• Автоконфигурация из 64-bit EUI-64 или расширением 48-bit MAC• Автогенерация псевдослучайного числа (по требованиям безопасности)• Назначение по DHCP• Ручная настройка

Global Routing Pref Subnet

64 Bits

Interface ID

Страница 26 www.specialist.ru

Interface ID (EUI-64)

• Расширение 48-битного MAC-адреса до 64 бит путем вставки FFFE в середину• Не-ethernet интерфейсы используют

первый MAC-адреса из пула маршрутизатора

• Cisco инвертирует 7-й бит

00 90 27 17 FC 0F

000000U0 Where U=1 = Unique

0 = Not UniqueU = 1

17 FC 0F

MAC Address

FF FE

00 90 27 FF FE 17 FC 0F

00 90 27

02 90 27 FF FE 17 FC 0F

Страница 27 www.specialist.ru

Псевдослучайный Interface ID• Включено по умолчанию в Microsoft Windows

• Включается/выключается через GPO или CLInetsh interface ipv6 set global randomizeidentifiers=disabled store=persistent netsh interface ipv6 set privacy state=disabled store=persistent

• Или, используйте DHCP с привязкой к нужному пулу

• Псевдослучайные адреса создаются для public и link-local

Страница 28 www.specialist.ru

Адресация префиксов

• /64везде

• /64 + /126– 64 для хостов– 126 для P2P

• /64 + /127– 64 для хостов– 127 для P2P

• /128 для loopback

64 bits > 64 bits

Оптимизация расхода

Специальные случаи:/126—для p2p/127—для p2p с осторожностью – RFC6164 (RFC3627)/128—loopback

Необходимо избегать пересечения с адресами:Router Anycast (RFC3513)Embedded RP (RFC3956)ISATAP addresses

Рекомендовано RFC3177 и IAB/IESG

удобно ОБЯЗАТЕЛЬНО

для SLAAC(и MSFT DHCPv6)

Большой расходадреов (18.466Quintillion)

Страница 29 www.specialist.ru

Роль многоадресной передачи в IPv6

Страница 30 www.specialist.ru

Мультикасты IPv6 (RFC 4291)Мультикасты в IPv6 имеют префикс FF00::/8 (1111 1111)

• Второй октет описывает lifetime и scope

Flags

R = 0R = 1

No embedded RP Embedded RP

P = 0P = 1

Not based on unicast Based on unicast

T = 0T = 1

Permanent address (IANA assigned)Temporary address (local assigned)

Scope

1 Node2 Link3 Subnet4 Admin5 Site8 OrganisationE Global

8Bits 4 Bits 4 Bits 112 Bits

1111 1111 0 R P T Scope Variable Format

Страница 31 www.specialist.ru

Общеизвестные мультикасты IPv6Значение

All NodesAll Routers All Nodes All RoutersOSPFv3 RoutersOSPFv3 DR Routers Solicited-Node

“02” означает что это постоянный адрес (t = 0) с областью ‘Link-local’ (2)http://www.iana.org/assignments/ipv6-multicast-addresses

Адрес ОбластьFF01::1 Node-LocalFF01::2 Node-LocalFF02::1 Link-LocalFF02::2 Link-LocalFF02::5 Link-LocalFF02::6 Link-LocalFF02::1:FFXX:XXXX Link-Local

Страница 32 www.specialist.ru

Solicited-Node multicast IPv6• Для каждого Unicast

• Используется в сообщениях neighbour solicitation (NS)

• FF02::1:FF & {lower 24 bits from IPv6 Unicast interface ID}

High Order40 Bits64 Bits

Low Order24 bits

Interface ID

0000 FF Low 240001000000000000FF02

Routing Prefix

Страница 33 www.specialist.ru

Пример Solicited-Node multicast IPv6

32 bits

33 33 FF 3A 8B 18

24 bits

0000 FF 3A8B180001000000000000

64 Bits Interface ID

0200 0CFF

64 Bits Network ID

FE80 0000

FF02

8B1800000000 FE3A Link-Local

Solicited Node Multicast

EthernetMulticast

Страница 34 www.specialist.ru

Пример интерфейса IPv6show ipv6 interface e0Ethernet0 is up, line protocol is upIPv6 is enabled, link-local address is FE80::200:CFF:FE3A:8B18No global unicast address is configuredJoined group address(es):

FF02::1 FF02::2FF02::1:FF3A:8B18

MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabledND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 millisecondsND advertised reachable time is 0 millisecondsND advertised retransmit interval is 0 millisecondsND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds Hosts use stateless autoconfig for addresses.

Solicited Node Multicast Address

All RoutersAll Nodes

Link-local address (FE80::)

Страница 35 www.specialist.ru

Настройка IPv6 на устройствах CISCO

Страница 36 www.specialist.ru

ipv6 unicast-routing!interface FastEthernet0/0ip address 10.151.1.1 255.255.255.0

Fast0/0

Enable IPv6 routing

Enable IPv6 on interface and automatically create link-local address

Вариант №1: Только link-local адрес

duplex autospeed autoipv6 enable!

Страница 37 www.specialist.ru

интерфейс IPv6 с настроенным link-localадресом

BRKRST-1069 © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

r1#show ipv6 interface fast0/0FastEthernet0/0 is up, line protocol is up

IPv6 is enabled, link-local address isFE80::207:50FF:FE5E:9460

Global unicast address(es): None

Joined group address(es):FF02::1 FF02::2FF02::1:FF5E:9460

MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled

Hosts use stateless autoconfig for addresses.

r1# show interface fast0/0FastEthernet0/0 is up, line protocol is up

Hardware is AmdFE, address is 0007.505e.9460 (bia0007.505e.9460)

EUI-64 derived from MAC address0007.505e.9460

MAC address 0007.505e.9460

Listening for all hosts multicastListening for all routers multicast

Solicited Node multicast for link-local address

Страница 38 www.specialist.ru

Вариант №2: ручное назначение адреса

ipv6 unicast-routing!interface FastEthernet0/0ip address 10.151.1.1 255.255.255.0duplex auto speed autoipv6 address 2001:db8::1/64!

Enables IPv6 and assigns a global prefix and manual interface ID

Fast0/0

Страница 39 www.specialist.ru

интерфейс IPv6 с настроенным вручную адресом

r1#show ipv6 interface fast0/0 FastEthernet0/0 is up, line protocol is up

IPv6 is enabled, link-local address is FE80::207:50FF:FE5E:9460Global unicast address(es):

2001:db8::1, subnet is 2001:db8::/64Joined group address(es):FF02::1 FF02::2FF02::1:FF00:1FF02::1:FF5E:9460

MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled

Hosts use stateless autoconfig for addresses.

Global unicast address with manual interface ID of “1”Routable /64 subnet

Corresponding Solicited Node multicast address for Link-Local interface IDCorresponding Solicited Node multicast address for manual interface ID

Страница 40 www.specialist.ru

Вариант №3: назначение адреса через EUI-64

ipv6 unicast-routing!interface FastEthernet0/0ip address 10.151.1.1 255.255.255.0duplex auto speed autoipv6 address 2001:db8::/64 eui-64!

Enables IPv6 and assigns a global prefix and EUI-64 interface ID

Fast0/0

Страница 41 www.specialist.ru

интерфейс IPv6 с настроенным через EUI-64 адресом

r1#show ipv6 interface fast0/0FastEthernet0/0 is up, line protocol is up

IPv6 is enabled, link-local address is FE80::207:50FF:FE5E:9460Global unicast address(es):

2001:db8::207:50FF:FE5E:9460, subnet is 2001:db8::/64Joined group address(es):FF02::1 FF02::2FF02::1:FF5E:9460

MTU is 1500 bytesICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled

Hosts use stateless autoconfig for addresses.

r1#show interface fast0/0FastEthernet0/0 is up, line protocol is upHardware is AmdFE, address is 0007.505e.9460 (bia

0007.505e.9460)

Link-Local address with EUI-64 interface ID

MAC address 0007.505e.9460 used for EUI-64

Manually configured address with EUI-64 Interface ID

Solicited Node multicast for both manual and link-local address

Страница 42 www.specialist.ru

ICMPv6 и NDP

Страница 43 www.specialist.ru

ICMPv6

IPv6

ICMPv6

SLAAC

Stateless Address Auto-Configuration

NDP

Neighbour Discovery

(ARP)

MLD

Multicast Listener

Discovery

MRD

Multicast Router

Discovery

Страница 44 www.specialist.ru

Заголовок ICMPv6

• Используется также для Neighbour Discovery, Path MTUdiscovery и Multicast Listener Discovery (MLD)

Next Header58

IPv6 basic header

ICMPv6 Header (58)

ICMPv6 Type ICMPv6 Code ChecksumICMPv6 Data

Страница 45 www.specialist.ru

Сообщения Neighbor DiscoveryСообщение Назначение Код

ICMPОтправитель Получатель

Router Solicitation(RS)

Вынудитьроутеры послать RA

133 Узлы Все роутеры

RouterAdvertisement (RA)

Анонс роутера о себе, своих префиксах и доп. параметрах

134 Роутеры Отправитель RSВсе узлы

NeighbourSolicitation (NS)

Поиск соседа (аналог ARP Request)

135 Узел Искомый узел

Neighbour Advertisement(NA)

Ответ на запрос о соседе (аналог ARP Response) либо анонс (аналог GARP)

136 Узлы Отправитель запроса

Страница 46 www.specialist.ru

Поиск и анонс роутера (RS и RA)

• Router solicitations (RS) посылаются узлами при старте для запроса RA для настройки своих интерфейсов

• Роутеры периодически посылают Router Advertisements (RA) на all-nodes multicast address

RS RA

Router Solicitation

ICMP Type 133IPv6 Source Link Local (FE80::1)

IPv6Destination

All Routers Multicast (FF02::2)

Query Please send RA

Router Advertisement

ICMP Type 134IPv6 Source Link Local (FE80::2)

IPv6Destination

Sender of RSAll Nodes Multicast(FF02::1)

Data Options, subnet prefix, lifetime, autoconfig flag

Страница 47 www.specialist.ru

Поиск и анонс соседа (NS и NA)

A BNS NA

Neighbour AdvertismentICMP Type 136IPv6 Source B UnicastIPv6Destination

A Unicast

Data FE80:: address of B, MACAddress

Neighbour SolicitationICMP Type 135IPv6 Source A UnicastIPv6Destination

B Solicited Node Multicast

Target /Options

B Unicast / FE80:: addressof A

Query What is B link layer address?

Страница 48 www.specialist.ru

Состояние записей в кэше соседей IPv6

• INCOMPLETE• Разрешение адреса еще не завершено и канальный адрес соседа еще не

определен

• REACHABLE• Сосед недавно был достижим (в течение недавних десятков секунд)

• STALE• Достижимость соседа неизвестна, но пока к нему не пойдет трафик, достижимость

проверяться не будет

• DELAY• Задержать посылку поисковых зондов до получения подтверждения от

вышестоящих протоколов

• PROBE• Сосед признан недостижимым, идет посылка зондов unicast Neighbour Solicitation

для проверки достижимости

Страница 49 www.specialist.ru

Пример DAD

A BNS NA

Tentative IPFE80::260:8FF:FE52:F9D8 Actual IP

FE80::260:8FF:FE52:F9D8

NSICMP Type 135 (Neighbour Solicitation)

Ethernet DA 33-33-FF-52-F9-D8IPv6 Header

IPv6 Source ::IPv6 Destination FF02::1:FF52:F9D8

NS HeaderTarget Address FE80::260:8FF:FE52:F9D8

NAICMP Type 135 (Neighbour Solicitation)

Ethernet DA 33-33-00-00-00-01IPv6 Header

IPv6 Source FE80::260:8FF:FE52:F9D8IPv6 Destination FF02::1

NA HeaderTarget Address FE80::260:8FF:FE52:F9D8

Neighbour Discovery OptionTarget MAC 00-60-08-52-F9-D8

Страница 50 www.specialist.ru

Фрагментация и PMTUD

Страница 51 www.specialist.ru

Фрагментация в IPv6• Нефрагментируемая часть

• Заголовок IPv6 плюс все заголовки, которые должны быть обработаны на маршруте

• Повторяется с каждым фрагментом, прикрепленым к последнему в цепочке “fragment header”

• Фрагментируемая часть

• Заголовки, которые нужны только узлу-получателю = the end-to-endheaders + upper layer header and data

• Делится на куски с размером, кратным 8 октетам

• Минимальное MTU для IPv6 - 1280 байт• Все каналы ДОЛЖНЫ поддерживать его

Страница 52 www.specialist.ru

Fragment Header в IPv6

• Фрагментация выполняется узлом-отправителем• Маршрутизаторы не фрагментируют

• Используется «Fragment header», когда узел-отправитель хочет послать пакет, больший, чем MTU на пути

44

IPv6 basic header

Fragment Header (44)

Next Header

Next Header Reserved Fragment Offset 00 MIdentificationFragment Data

Страница 53 www.specialist.ru

Path MTU Discovery

Packet, MTU=1500

ICMPv6 Too Big, Use MTU=1400

Packet, MTU=1400 ICMPv6

Too Big, Use MTU=1300

Packet, MTU=1300

• Store PMTU per destination (if received)

• Age out PMTU (10 mins), reset to first link MTU

Source DestinationMTU 1500 MTU

1500MTU 1400 MTU 1300

Страница 54 www.specialist.ru

Способы задания адресов

Страница 55 www.specialist.ru

Способы назначения адресов IPv6

• Ручное назначение

• Stateless Address Autoconfiguration (SLAAC RFC 4862)• Позволяет назначать адреса автоматически

• Stateful DHCPv6 (RFC 3315)• Позволяет DHCPv6 назначать адреса IPv6 и остальные опции

• DHCPv6-PD (RFC 3633)• Позволяет DHCPv6 назначать подсети роутеру/CPЕ-устройству

• Stateless DHCPv6 (RFC 3736)• SLAAC для назначения адресов и DHCPv6 для опций

Страница 56 www.specialist.ru

Stateless Address Autoconfiguration (RFC 4862)• SLAAC используется для настройки адреса по принципу “plug and play”

Address comprisesPrefix Received + Link-Layer

2001:db8:face::22c:4ff:fe00:fe56

MAC00:2c:04:00:fe:56 2001:db8:face::/64

R1

RA2

RS1

3DAD

Router Advertisement

(RA)Ethernet

DA/SARouter R2 / Host A

Prefix Information

2001:db8:face::/64

Default Router Router R1

A

Страница 57 www.specialist.ru

Stateful DHCPv6• RA сообщение содержит флаги, описывающие порядок получения адреса (A, M и O биты)

Router 1(DHCPv6 Relay)

RA1

3

Send DHCP Solicit to FF02::1:2 (All DHCP Relays)

2DHCPServer

2001:db8:face::/

4

2001:db8:face::1/64, DNS1, DNS2, NTP

A

RS

RAA bit (Address config flag) Set to 0 - Do not use SLAAC for

host configM bit (Managed address

configuration flag)Set to 1 - Use DHCPv6 for host IPv6 address

O bit (Other configuration flag) Set to 1 - Use DHCPv6 for additional info (DNS, NTP)

Страница 58 www.specialist.ru

Stateless DHCPv6

© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Public

• RA сообщение содержит флаги, описывающие порядок получения адреса (A, M и O биты)

Router 1(DHCPv6 Relay)

RA2

3

DHCPServer

5

DNS1, DNS2, NTP2001:db8:face::/64

2001:db8:face::22c:4ff:fe00:fe56

4DHCP Solicit to FF02::1:2 for options only

A1

RS

RAA bit (Address config flag) Set to 1 - Use SLAAC for host

address configOn-link Prefix 2001:db8:face::/64

M bit (Managed address configuration flag)

Set to 0 - Do not use DHCPv6 for IPv6 address

O bit (Other configuration flag) Set to 1 - Use DHCPv6 for additional info (DNS, NTP)

Страница 59 www.specialist.ru

Конфигурирование DHCPv6

Хост получит адрес и опции по SLAAC options. Ничего больше

Хост получит полный конфиг от сервера DHCP (2001:db8::10)

A bit (default) для SLAAC

interface e0/0ipv6 address 2001:db8:1000::1/64

M bit & O bit (Stateful DHCP)

interface e0/0ipv6 address 2001:db8:1000::1/64ipv6 nd managed-config-flagipv6 nd other-config-flagipv6 dhcp relay destination 2001:db8::10

A bit & O bit (Stateless DHCP)

interface e0/0ipv6 address 2001:db8:1000::1/64 ipv6 nd other-config-flagipv6 dhcp relay destination 2001:db8::10

Хост получает адрес по SLAAC, а опции по DHCP с сервера (2001:db8::10)

Страница 60 www.specialist.ru

Выбор маршрутизатора по умолчанию

IPv6Host

IPv6Network

IPv6Host

interface Ethernet0/0ipv6 nd reachable-time 15000 ipv6 nd router-preference High

interface Ethernet0/0ipv6 nd reachable-time 15000 ipv6 nd router-preference Low

2 Mbps

10 Mbps

A

B

Страница 61 www.specialist.ru

DNS и IPv6

Страница 62 www.specialist.ru

Записи DNS для IPv6

Функция IPv4 IPv6

Хост адрес A Recordwww.abc.test. IN A92.168.30.1

AAAA Record (Quad A)www.abc.test. IN AAAA 2001:db8:C18:1::2

Адрес Хост PTR Record1.30.168.192.in-addr.arpa. IN PTRwww.abc.test.

PTR Record2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.1.c.0.8.b.d.0.1.0.0.2.ip6.arpa IN PTR www.abc.test.

Страница 63 www.specialist.ru

Dual-Stack и DNS для IPv6

DNSServer

www.example.org = * ?

IPv4

2001:db8:1::1

• В случае «dual stack» приложение:• Имеющее доступ к IPv4 и IPv6• Может запросить DNS об адресе IPv4 и/или IPv6 – записи (A) или

(AAAA)• Выбирает какой-то один адрес и с ним устанавливает соединение,

используя соответствующий протокол

IPv4IPv6

IPv6

192.168.0.3

www IN A 192.168.0.3 www IN AAAA 2001:db8:1::1

Страница 64 www.specialist.ru

Маршрутизация IPv6

Страница 65 www.specialist.ru

Обзор маршрутизации IPv6

• Маршрутизация в IPv6 аналогична IPv4• По прежнему есть два класса протоколов : IGP and EGP• По прежнему алгоритм поиска маршрута – по наибольшему

совпадению префикса

• IGP• RIPng (RFC 2080)• Cisco EIGRP for IPv6• Integrated IS-IS for IPv6 (RFC 5308)• OSPFv3 (RFC 5340)

• EGP• MP-BGP4 (RFC 4760) and Using MP-BGP for IPv6 (RFC 2545)

• Cisco IOS поддерживает все протоколы маршрутизации IPv6

Страница 66 www.specialist.ru

Статическая маршрутизация в IPv6

ipv6 route ipv6-prefix/prefix-length {ipv6-address | interface-type interface-number [ipv6-address]} [administrative-distance] [administrative-multicast-distance | unicast | multicast] [tag tag]!Router(config)# ipv6 route 2001:db8::0/32 2001:db8:1:1::1 10!Router(config)# ipv6 route 2001:db8::/32 ethernet 1/0 fe80::215:c7ff:fe21:8640!

Forward a packets via link-local NH

• Аналогична IPv4

• Обязательно указание NEXT_HOP / INTERFACE

Forward a packets via NH using admin of 10

Static routing CLI for IPv6

Страница 67 www.specialist.ru

Пример маршрутизации по умолчанию IPv6

:e LAN1: 2001:db8:c18:1::/64:a Ethernet0

router 1#!ipv6 unicast-routing!interface Ethernet0ipv6 address 2001:db8:c18:1::a/64!interface Ethernet1ipv6 address 2001:db8:c18:2::a/64!ipv6 route ::/0 2001:db8:c18:1::e

LAN2: 2001:db8:c18:2::/64Ethernet1

IPv6 Internet

Router 1

:a

Default route to Router 2

Страница 68 www.specialist.ru

EIGRP для IPv6

• Добавлены три новых TLVs

• Сообщения Hello используют адрес FF02::A (all EIGRP routers)

• Автосуммаризация выключена в IPv6 (в отличие от IPv4)

• Есть режим “shutdown”

• RID по прежнему 32 бита

Страница 69 www.specialist.ru

Настройка EIGRP для IPv6

P 2001:db8:c18:1::/64, 1 successors, FD is 28160, serno 1 via Connected, Ethernet0via FE80::260:3eff:fe47:1530 (30720/28160), Ethernet0

Ethernet0

Ethernet1

Router2#!ipv6 router eigrp 100eigrp router-id 10.10.10.1

!interface Ethernet0ipv6 address 2001:db8:c18:1::/64 eui-64ipv6 eigrp 100!

LAN1: 2001:db8:c18:1::/64

LAN2: 2001:db8:c18:2::/64

Router 1

Router1# show ipv6 eigrp neighborH Address Interface

0 FE80::260:3eff:fe47:1530 E0

Hold Uptime(sec)

14 00:01:43 1

SRTT RTO Q Seq(ms) Cnt Num

4500 0 1

Router1# show ipv6 eigrp topology all-links

Router 2 2001:db8:c18:1:260:3eff:fe47:1530

Ethernet0

Neighbours and next hops are identified by link-local address

Страница 70 www.specialist.ru

Обзор OSPFv3

• OSPFv3 это OSPF для IPv6 (RFC 5340)

• За основу был взят OSPFv2

• Распространяет только префиксы IPv6

• Работает параллельно OSPFv2

• Нет встроенной аутентификации

Страница 73 www.specialist.ru

Конфигурация OSPFv3 (классический синтаксис)

2001:410:ffff:1::1/64

Eth1/1Router 2

Router1#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::1/64ipv6 ospf 100 area 0!ipv6 router ospf 100

router-id 10.1.1.3!

Router 1

Area 1

Interlink connectionRouter2#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::2/64ipv6 ospf 100 area 0!interface Ethernet1/1ipv6 address 2001:db8:cafe::1/48ipv6 ospf 100 area 1

Enables IPv6 facingArea 1

Interlink connection

OSPFv3 processEth1/0

32 bit ID specified in dotted decimal notation!ipv6 router ospf 100

router-id 10.1.1.4

2001:db8:ffff:1::1/64

Eth1/0 2001:db8:ffff:1::2/64

Страница 74 www.specialist.ru

Конфигурация OSPFv3 (унифицированный синтаксис)

Area 1

2001:410:ffff:1::1/64

Eth1/0 2001:db8:ffff:1::1/64

Eth1/1Router 2

Router1#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::1/64ospfv3 100 area 0 ipv6!router ospfv3 100

router-id 10.1.1.3!

Router 1

Eth1/0 2001:db8:ffff:1::2/64

Interlink connectionRouter2#interface Ethernet1/0ipv6 address 2001:db8:ffff:1::2/64ospfv3 100 area 0 ipv6!interface Ethernet1/1ipv6 address 2001:db8:cafe::1/48ospfv3 100 area 1 ipv6

Enables IPv6 facingArea 1

Interlink connection

OSPFv3 process

32 bit ID specified in dotted decimal notation!router ospfv3 100

router-id 10.1.1.4

Страница 75 www.specialist.ru

Конфигурация OSPFv3 для IPv4 (RFC 5838)(унифицированный синтаксис)

!ipv6 unicast-routing!interface Loopback0ip address 10.0.0.1 255.255.255.255ipv6 address 2001:DB8::1/128ospfv3 1 ipv4 area 1ospfv3 1 ipv6 area 0

!interface GigabitEthernet2ip address 10.0.12.1 255.255.255.0negotiation auto ipv6 enableospfv3 1 ipv4 area 1ospfv3 1 ipv4 network point-to-pointospfv3 1 ipv6 area 0ospfv3 1 ipv6 network point-to-point

!...

...!router ospfv3 1router-id 10.0.0.1!address-family ipv4 unicastpassive-interface Loopback0

exit-address-family!address-family ipv6 unicastpassive-interface Loopback0

exit-address-family

Страница 76 www.specialist.ru

Обзор MP-BGP для IPv6

• Использует TCP• BGP-4 работает поверх TCP (179 порт) сессии через IPv4 или IPv6• Переносимый NLRI (IPv4, IPv6, MPLS) не зависит от транспорта (однако

атрибут NEXT_HOP зависит)

• Router ID• BGP router-id по прежнему записывается как 32 bit dotted decimal

• Next-hop содержит global IPv6 address (или link local address) при использовании транспорта IPv6

• Link local address ставится как next-hop только в том случае, если BGP-спикер находится в одной сети с обоими соседями (источник NLRI и получатель)

Страница 77 www.specialist.ru

Конфигурация MP-BGP для IPv6

2001:db8:2:1::f AS65001 E0/0

Router2#!interface Ethernet0/0ipv6 address 2001:db8:2:1::1/64!router bgp 65002bgp router-id 10.10.10.1no bgp default ipv4-unicastneighbor 2001:db8:2:1::f remote-as 65001!address-family ipv6neighbor 2001:db8:c18:2:1::f

activatenetwork 2001:db8:a::/48

!

Router 1

Router 2E0/0 2001:db8:2:1::1

TCP over IPv6 BGPSession

Use IPv6 address family

Disable default IPv4 behaviour

Router ID in dotted decimal notation

Activate IPv6 session

2001:db8:a::/48AS65002

IPv6 prefix to be advertised

Страница 78 www.specialist.ru

Безопасность IPv6

Страница 79 www.specialist.ru

Безопасность в LAN (First Hop Security)• Port ACL

blocks all ICMPv6 RA from hostsinterface FastEthernet0/2

ipv6 traffic-filter ACCESS_PORT inaccess-group mode prefer port

• RAguard lite (12.2(33)SXI4 & 12.2(54)SG )also dropping all RA received on this portinterface FastEthernet0/2

ipv6 nd raguardaccess-group mode prefer port

• RAguard (12.2(50)SY, 15.0(2)SE)ipv6ipv6ipv6

nd raguardnd raguardnd raguard

policy HOST device-role host policy ROUTER device-role router attach-policy HOST vlan 100

interface FastEthernet0/0ipv6 nd raguard attach-policy ROUTER

HOSTDevice-role

RA

R A

RA

RA

RA

ROUTERDevice-role

Страница 80 www.specialist.ru

IOS IPv6 Extended ACL

• Can match on• Upper layers: TCP, UDP, SCTP port numbers, ICMPv6 code and type• TCP flags SYN, ACK, FIN, PUSH, URG, RST• Traffic class (only six bits/8) = DSCP, Flow label (0-0xFFFFF)

• IPv6 extension headers• routing matches any RH, routing-type matches specific RH• mobility matches any MH, mobility-type matches specific MH• dest-option matches any destination options• auth matches AH• hbh matches hop-by-hop (since 15.2(3)T)

• fragments keyword matches• Non-initial fragments (same as IPv4)

• undetermined-transport keyword does not match• TCP/UDP/SCTP and ports are in the fragment• ICMP and type and code are in the fragment• Everything else matches (including OSPFv3, …)• Only for deny ACE

Страница 81 www.specialist.ru

IOS IPv6 Extended ACL (прод.)• Неявные строки в конце каждого IPv6 ACL разрешают neighbor discovery:

...

permit icmp any any nd-na permit icmp any any nd-ns

• На IOS XE (т.e. ASR1k) есть отличие: по умолчанию ND / NA пакеты не разрешены

Страница 82 www.specialist.ru

IOS IPv6 Extended ACL (прод.)

• Частая ошибка – просто добавить deny log в конец IPv6 ACL

deny ipv6 any any

Решение – добавить нужные строчки

. . .! Now log all denied packets permit icmp any any nd-na permit icmp any any nd-ns deny ipv6 any any log

. . .! Now log deny ipv6! Heu . .

all denied packets any any log. I forget about these implicit lines

permit icmppermit icmp

any any nd-naany any nd-ns

Страница 84 www.specialist.ru

Заключение

Страница 85 www.specialist.ru

Заключение

!interface Ethernet0/0ip address 192.168.99.1 255.255.255.0ipv6 address 2001:db8:213:1::1/64 ospfv3 1 area 0 ipv6

!interface Serial 1/0ip address 192.0.2.1 255.255.255.252ipv6 address 2001:db8:ffff:1::1/64

!interface Serial 2/0ip address 192.0.2.5 255.255.255.252ipv6 address 2001:db8:ffff:2::1/64

!

IPv4/IPv6 Core

CE PE P P PE CE

IPv6 + IPv4CoreDual Stack App IPv4 + IPv6 Edge IPv6 and/or IPv4 edge

Interface Ethernet0/0

router ospfv3 1address-family ipv6 unicastexit-address-family

!router bgp 65000...address-family ipv4neighbor 192.0.2.2 activateneighbor 192.0.2.6 activate!address-family ipv6neighbor 2001:db8:ffff:1::2 activateneighbor 2001:db8:ffff:2::2 activate...

s1/0

s2/0

IPv4IPv6

IPv4

IPv6

Страница 90 www.specialist.ru

Преимущества обучения в «Специалисте»

Более 1000 актуальных курсов Лучшие преподаватели Гарантированное удобное расписание на год вперед Престижные международные сертификаты Традиции МГТУ им. Баумана Комфортные учебные классы Отличная техническая база Гибкая система скидок Бесплатная помощь в трудоустройстве

Телефон для записи: +7 (495) 232-32-16E-mail: info@specialist.ruСайт: www.specialist.ru

Страница 91 www.specialist.ru

Все направления подготовки Бухучет, 1С Курсы для пользователей ПК Компьютерная графика, верстка и дизайн Интернет и Web-технологии Проектирование и 3D моделирование Программирование, базы данных Администрирование и безопасность сетей Кадры, менеджмент Управление проектами Курсы для школьников, подготовка к ЕГЭ и ГИА Курсы английского языка

Телефон для записи: +7 (495) 232-32-16E-mail: info@specialist.ruСайт: www.specialist.ru

Страница 92 www.specialist.ru

Благодарю за внимание!

С удовольствием отвечу на Ваши вопросы.