ipv6 deployment status in taiwan the 1st global …2016/12/15 · ipv6 網路升級教育訓練...
TRANSCRIPT
1
健行科技大學
魯大德博士
2016.5.27
IPv6 網路升級教育訓練
個人特殊成就
•參加中華電信主辦電信加值應用大賽3G行動校園網應用組連續三年獲得佳績。(2008年-亞軍 獎金 20 萬 , 2007年-冠軍 獎金 30 萬, 2006年-佳作 獎金 10萬) ,獲得技職百分百的專訪
•101年優良教師(春風獎)、95年優良教師
•100~104 學年優良導師
•2015年華佗盃網路解疑技能大賽–混合組第二名
•2010~2016 華佗盃網路解疑技能大賽 – 佳作/優勝
•2014 紐倫堡國際發明展競賽 – 銅牌
•2016、2013 亞洲機器人運動技能大賽-第二名、第三名、佳作x4
2
自我介紹
•魯大德
–中央大學電機系 博士
–健行科技大學(清雲科技大學)
• 資工系兼網路組組長 (2004~2008)
• 資工系副教授兼系主任(2008~2010)
• 資工系副教授 (2010~迄今)
3
1. Google IPv6 Overview
2. IPv6 Statistics
IPv6 Overview
4
IPv6位址結構
• 使用128位元的位址空間,每4 位元位址以16進位制字符表示(0010 0000 0000 0011 即為2003)
• 分為八組,每4個16進位制字符以冒號分隔:
– 每組字符開頭之數字0可省略,例如000F可簡寫為F
– 一組字符全為0則可簡寫為0,例如0000可簡寫為0
– 連續幾組字符全為0,則可省略為雙冒號 ,但以一次為限,例如0000:000:0000可簡寫為 ::
• 範例:20030000000000B30000000000000123
2003:0000:0000:00B3:0000:0000:0000:0123(完整寫法)
2003:0:0:B3::123(簡寫)
5
IPv6區域網路
• IPv4 NAT上網
– NAT, Network Address Translation (網路地址轉換)
– 一個Public IP位址轉成無數個Private IP位址 (IP分享器)
• IPv6 使用Public IPv6位址直接上網(Routing)
– 同時需要一個 IPv6 WAN位址及一段IPv6 LAN位址
– 區域網路內的電腦可與網際網路雙向直接互通
6
NAT 211.72.211.8/32
192.168.0.2/24
192.168.0.1/24
192.168.0.3/24
Router 2001:a:b:1::1/64
2001:a:b:2::1/64
2001:a:b:1::1/64
2001:a:b:3::1/64
可自行指定任何Private網段
使用ISP核發的Public網段
IPv6位址網段如何表示
• IPv4位址網段表示方式
– 192.168.0.0/24 (或192.168.0.0/255.255.255.0)
代表192.168.0.0 – 192.168.0.256
– 192.168.0.0/25 (或192.168.0.0/255.255.255.128)
代表192.168.0.0 – 192.168.0.128
• IPv6位址網段表示方式:
– 2001:1:2:3::/64 64 bits Routing Prefix,又稱為 /64
代表2001:1:2:3:: - 2001:1:2:3:ffff:ffff:ffff:ffff
前64位元由ISP配發,其餘(64位元)可自由任意使用
• /64代表多少IPv6位址?
– IPv4有32位元位址空間IPv4位址總共大約43億個(232)
– /64 IPv6位址有64位元空間264=232232= 43億 43億
7
IPv6前置碼結構
• 在IPv6的前置碼位元中又可細分為子網路前置碼(Subnet Prefix)、站點前置碼(Site
Prefix)、網路服務商前置碼(ISP Prefix)及區域網際網路前置碼(RIR,Regional
Internet registry)
IPv6區域網路位址
• 所有電腦直接使用公用(Public) IPv6位址
– 辦公室網路或家用網路均直接使用ISP提供之IPv6位址
– 網路內主機對外通信不再經由NAT,而是直接通信
• 每個區域網路一律分配 /64 之IPv6位址
– IPv6位址 = 64位元 Network ID + 64位元 Host ID
• ISP核發 /48的IPv6位址
– Network ID = 48位元 Routing Prefix + 16位元 Subnet ID
9
2001:4420:6054 0000 ~ FFFF :: ~ FFFF:FFFF:FFFF:FFFF
Routing Prefix
(路由首碼) 48 bits, 由ISP配發而來
Subnet ID
(子網路識別碼) 16 bits,自行分配
Host ID
(主機識別碼) 64 bits, 子網路內自由使用
2001:4420:6054:0000::/48
= 2001:4420:6054:0000::/64 ~ 2001:4420:6054:FFFF::/64
Network ID (網路識別碼) Host ID (主機識別碼)
ISP發給IPv6位址
• 辦公室用戶
– 配發/48 LAN位址一段 (48 bits Prefix, 16 bits Subnet ID)
可再分成65,536個 /64子網段
– 配發/56 LAN位址一段 (56 bits Prefix, 8 bits Subnet ID)
可再分成256個 /64子網段
10
IPv6位址分類圖
IPv6 Link Local位址
• IPv6 Link Local位址定義用前10位元固定為『1111111010』
• 這種位址的前12 bits 固定是『1111111010xx』,如下圖所示,換算成16進位為FE8、FE9、FEA或FEB開始,因此『FE8~FEB』開頭的位址代表Link Local位址
• 此類位址僅供特定實體網段上的本地通信使用,通常用於鏈路通信,例如:自動位址設定、相鄰設備發現和路由器發現等
ICMPv6 訊息種類
• ICMPv6增加支援NDP與Auto-Config運作訊息種類編號,所以在訊息種類編號也增加來辨識NDP封包與Auto-Config
Type Type 描述
128 Echo Request
129 Echo Reply
133 Router Solicitation message (RS)
134 Router Advertisement message(RA)
135 Neighbor Solicitation message(NS)
136 Neighbor Advertisement message(NA)
137 Redirect message
IPv6配置方式
• 四種方案的配置
方案2
方案1
方案4 方案3
Google Public DNS IP addresses
• The Google Public DNS IP addresses (IPv4) :
8.8.8.8
8.8.4.4
• The Google Public DNS IPv6 addresses :
2001:4860:4860::8888
2001:4860:4860::8844
Google Public DNS64 (64:ff9b::/96)
NAT64: IPv6 access to IPv4
15
摘 要
IPv6的建置目的
IPv6升級方案
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
16
目 錄
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
結論
17
目 錄
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
結論
18
方案 A (RA+SLAAC) 1/5
• Router Advertisement (RA) 路由宣告
19
Router Solicitation
Router Advertisement
IPv6 Prefix, GatewayClient Router
RS和RA的運作關係
方案 A (RA+SLAAC) 2/5
• RA 格式
20
M: Managed Address Configuration,bit =1,代表要請電腦另外再去跟
DHCPv6 要 IPv6 Prefix。
O: Other Configuration,bit =1,代表請電腦去跟 DHCPv6 要 DNS 等資訊。
使用EUI-64 方式
• MAC只有48位元,而介面ID有64位元,中間差了16位元,EUI-64的作法是將MAC中間插入FFFE的16位元
• 例如:網路介面MAC為00:03:6B:E9:D4:80,使用EUI-64方式介面ID為02:03:6B:FF:FE :E9:D4:80,如下圖步驟所示。
22
結合SLAAC及DHCPv6進行無狀態位址自動配置
RA IPv6 prefix及Default Gateway位址
SLAAC 結合「首碼」和「介面識別碼」自動產生位址
Client PC 提供DNS伺服器位址
方案 A (RA+SLAAC) 4/5
方案 A (RA+SLAAC) 5/5
23
RASLAAC設定方法
RASLAAC (config)#ipv6 unicast-routing
RASLAAC (config)#interface f0/0
RASLAAC (config-if)#ipv6 add 2001:B030:D900::1/64
RASLAAC (config-if)#ipv6 add 2001:B030:D900:61::/64 eui-64
ClientA設定方法
ClientA (config)#ipv6 unicast-routing
ClientA (config)#interface f0/0
ClientA (config-if)#ipv6 add autoconfig
ClientA (config-if)#ipv6 enable
方案一 ipconfig
24
25
目 錄
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
結論
26
方案 B (Static IPv6 Address)
27
方案二 ipconfig
28
目 錄
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
結論
29
方案 C (RA+ Stateless DHCPv6) 1/3
30
結合SLAAC及DHCPv6進行無狀態位址自動配置
RA IPv6 prefix及Default Gateway位址
DHCPv6 提供DNS伺服器位址及其他資訊(如NTP)
SLAAC 結合「首碼」和「介面識別碼」自動產生位址
發送 O-bit設為1的RA封包
31
結合SLAAC及DHCPv6進行無狀態位址自動配置 1. Router Solicitation
ICMPv6 type 133
來源位址 = Link-Local 位址 目的位址 = FF02::2(所有路由器)
TTL=1
2. Router Advertise
ICMPv6 type 134
來源位址 = Link-Local位址(路由器)
目的位址 = FF02::1(所有Client端)
首碼 = 2002:2:2:2:2::/64
3. SLAAC 自動產生位址結合「首碼」和「介面識別碼」
自動產生位址2002:2:2:2:c8f5:dc0d:a4ed:b3d8
方案 C (RA+ Stateless DHCPv6) 2/3
32
方案 C (RA+ Stateless DHCPv6) 3/3
DHCPv6Server設定方法
DHCPv6Server#conf t
DHCPv6Server(config)#ipv6 unicast-routing
DHCPv6Server(config)#ipv6 dhcp pool DHCPv6-Pool
DHCPv6Server(config-dhcpv6)#dns-server 2001:4860:4860::8888(Google IPv6 DNS Server)
DHCPv6Server(config-dhcpv6)#dns-server 2001:4860:4860::8844(Google IPv6 DNS Server)
DHCPv6Server(config-dhcpv6)#dns-server 2001:B000::1 (HiNet IPv6 DNS Server)
DHCPv6Server(config-dhcpv6)#dns-server 2001:B000::101(HiNet IPv6 DNS Server)
DHCPv6Server(config-dhcpv6)#exit
DHCPv6Server(config)#interface f0/0
DHCPv6Server(config-if)#ipv6 add 2001:B030:D900::1/64
DHCPv6Server(config-if)#ipv6 add 2001:B030:D900:61::/64 eui-64
DHCPv6Server(config-if)#ipv6 nd other-config-flag
DHCPv6Server(config-if)#ipv6 dhcp server DHCPv6-Pool rapid-commit
DHCPv6Server(config-if)#end
方案三 ipconfig
33
目 錄
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
結論
34
方案 D (RA+ Stateful DHCPv6) 1/2
35
結合RA及DHCPv6進行有狀態位址自動配置
RA Default Gateway位址
DHCPv6 提供 IPv6 位址配置資訊(包括 Prefix、Host ID)
提供DNS伺服器位址及其他資訊(如NTP)
發送 M-bit設為1,O-bit設為1的RA封包
36
方案 D (RA+ Stateful DHCPv6) 1/2
DHCPv6Server設定方法
DHCPv6Server#conf t
DHCPv6Server(config)#ipv6 unicast-routing
DHCPv6Server(config)#ipv6 dhcp pool DHCPv6-POOL
DHCPv6Server(config-dhcpv6)#address prefix 2001:A056:C8D:9063::/64
DHCPv6Server(config-dhcpv6)# 2001:4860:4860::8888
DHCPv6Server(config-dhcpv6)# 2001:4860:4860::8844
DHCPv6Server(config-dhcpv6)#exit
DHCPv6Server(config)#interface g4/0
DHCPv6Server(config-if)#ipv6 address 2001:A056:C8D:9063::1/64
DHCPv6Server(config-if)#ipv6 nd prefix 2001:A056:C8D:9063::/64
DHCPv6Server(config-if)#ipv6 enable
DHCPv6Server(config-if)#ipv6 nd managed-config-flag
DHCPv6Server(config-if)#ipv6 nd other-config-flag
DHCPv6Server(config-if)#ipv6 dhcp server DHCPv6-POOL
DHCPv6Server(config-if)#end
方案四 ipconfig
37
IPv6 升級檢測工具與參考資料
• 線上檢測服務升級IPv6 GSNv6
• IPv6內部網路升級實作技術手冊
• 內部網路升級-Router/DHCPv6升級IPv6
• 內部網路升級-防火牆升級IPv6
• 內部網路升級-入侵防禦系統升級IPv6
38
防火牆的策略
39
防護基本概念
40
防火牆設定程序
41
IPv4/IPv6 防火牆
• 透通模式 Transparent Mode
42
IPv4/IPv6 防火牆
• 路由模式 Route Mode
43
透通模式與路由模式策略上的主要差異
• 路由模式可以管 控 DMZ 區對於內部使用者的訪問。所以必須拒絕 DMZ 區對於內部使用 區塊的存取,但開放內部使用者區塊對於 DMZ 的訪問
44
防火牆基本策略
• 內部對外部連線防護的策略
• 內部使用者,完整的 IPv6 對外服務,並保留其原本 IPv4 的 NAT 轉換模式對外存取
IPv4 服務,
• 不允許外部的 IPv4 或 IPv6 所發起的服 務請求。
• DMZ 區或是 Server 區塊內的設備,除了有必要的 DNS 請求外,預設是不允許伺服器的所有 IPv4 /IPv6 對外連線需求
45
• 防火牆外部對內部連線防護的策略
• 為抵擋可能的外來攻擊,防火牆必須阻絕所有外部 IPv4 /IPv6 位址對於內 部使用者區域的所有連線訪問,
• 提供外部的訪客,適合的 DMZ 區 服務。如 DNS 查詢、Web 訪問、Email 收發信及
FTP 檔案存取
46
防火牆基本策略
透通模式 Transparent Mode Policy
47
路由模式 Route Mode Policy
48
目 錄
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
結論
49
結 論
方案 A (RA + SLAAC)
方案 B (Static IPv6 Address)
方案 C (RA + Stateless DHCPv6)
方案 D (RA + Stateful DHCPv6)
50
51 51 51 51 51
感謝聆聽 !!
Q&A