Upload
others
View
7
Download
0
Embed Size (px)
Citation preview
網路網路通訊協定升級推動辦公室
(單位名稱)
IPv6內部網路升級作業規劃書
(參考範本)
1
大綱
IPv6內部網路升級規劃
IPv6內部連網軟硬體
IPv6內部網路架構
IPv6內部網路升級方案
時程規劃
補充說明
2
IPv6內部網路升級規劃
IPv6內部連網軟硬體
IPv6內部網路架構
IPv6內部網路升級方案
3
IPv6內部連網軟硬體
連網環境所用之軟硬體包括路由器、第三層交換機、防火牆、入侵防禦系統(Intrusion Prevention System,IPS)、及動態主機設定協定(DHCP)伺服器。軟硬體清單範例如下:
4
軟硬體編號 品名 硬體廠牌型號或軟體供應商距離報廢/授權年限
已內含IPv6能力
980303-03 路由器 CISCO 2811 3 N
970606-05 第三層交換機 Cisco 3750-E 2 N
970404-04 防火牆 Fortigate 620C 1 N
970404-05 入侵防禦系統 Fortigate 3040B 1 N
970909-01 DHCP伺服器主機 HP BL460C 4 Y
991010-02 DHCP伺服軟體 Microsoft-IIS 無年限問題 Y
IPv6內部網路架構 連外線路接到一部路由器,再連接至防火牆,提供資訊安全防護功能,並區分成兩個子網路,分別提供服務伺服器及辦公室網路使用,網路架構範例如下:
5
IPv6內部網路升級方案
6
□方案一(RA+SLAAC)。
□方案二(Static IPv6 Address)。
□方案三(RA+Stateless DHCPv6)。
□方案四(RA+Stateful DHCPv6)。
IPv6內部網路升級方案
□方案一(RA+SLAAC):使用RA自動組態配發電腦IPv6位址,不使用DHCPv6。此無狀態位址自動配置(Stateless Address Auto-configuration, SLAAC),讓主機經由Router Advertisement (RA)的封包收到IPv6 Prefix及Default Gateway的資訊自動產生該主機的IPv6位址。
□方案二(Static IPv6 Address):人工配置位址,逐台主機人工配置IPv6位址、預設閘道與DNS伺服器位址,不使用RA自動組態配發電腦IPv6位址,也不使用DHCPv6。
□方案三(RA+Stateless DHCPv6):RA搭配無狀態DHCPv6定址(Stateless DHCPv6),結合SLAAC及DHCPv6進行無狀態位址自動配置,RA負責IPv6位址及Default Gateway指配,DHCPv6則提供DNS伺服器位址及其他資訊(如NTP)。
□方案四(RA+Stateful DHCPv6):全狀態DHCPv6位址自動配置(Stateful DHCPv6),IPv6位址配置(包括Prefix、Host ID)及DNS伺服器位址等資訊均由DHCPv6負責。 7
IPv6內部網路升級方案
四個方案針對IPv6位址指派技術的比較表
8
編號 方案重點預設閘道
Prefix
指派Host ID
指派DNS位址指
派
方案一 RA+SLAAC RA
指派RA
指派EUI-64或亂數法自動產生
Windows不支援RA取得DNS
方案二Static IPv6
Address
手動設定
手動設定
手動設定
手動設定
方案三RA+Stateless
DHCPv6
RA
指派RA
指派EUI-64或亂數法自動產生
DHCP
指派
方案四RA+Stateful
DHCPv6
RA
指派DHCP
指派DHCP
指派DHCP
指派
IPv6內部網路升級方案
方案選擇時的考量可依據四個方案的特點
9
編號 方案重點 說明
方案一 RA+SLAAC 1.設定簡單,適合於訪客網路區域使用。2.可在Dual Stack環境下運作。3.IPv4斷線時,無法在Native IPv6的環境下運作。
方案二Static IPv6
Address
1.適合電腦數量固定,且網路架構穩定,不需經常異動之環境。
2.可在Dual Stack環境下運作。3.可於IPv4斷線時,在Native IPv6的環境下運作。
方案三RA+Stateless
DHCPv6
1.設定簡單,適合於訪客網路區域使用。2.可在Dual Stack環境下運作。3.可於IPv4斷線時,在Native IPv6的環境下運作。
方案四RA+Stateful
DHCPv6
1.兼具中央控管及IPv6位址動態派發管理之彈性。2.可在Dual Stack環境下運作。3.可於IPv4斷線時,在Native IPv6的環境下運作。
時程規劃
由於IPv4已經枯竭,配合網際網路通訊協定升級推動方案之規劃,擬規劃內部使用網路訂於
□已完成
□ 105年
□ 106年
□ 107年或以上
10
內部網路IPv6升級測試作業
測試作業進行步驟說明如下:
測試內部電腦取得IPv6位址(Windows作業系統使用ipconfig指令);
測試內部電腦使用IPv6對外連線(例如開啟IPv6檢測網站:http://test-ipv6.gsnv6.tw,可顯示來源IPv6位址),確認IPv6網路已連通。
11
補充說明
Q1.哪些是要參與內部網路升級的單位
說明:
交通部105年4月21日發函各機關的單位清單,是已參與升級方案進行外部服務升級的單位清單,建議所列單位持續參與內部網路升級,若有需要調整,請機關發函回覆修正。若確認無誤,不須回函。每個單位因為辦公地點不同,內部網路設備、架構、升級方式及汰換時程之考量亦不同,原則上每個單位各自提一份作業規劃書。
12
補充說明
Q2.內部辦公室同仁不對外連線的電腦,是否需升級IPv6?
說明:
內部網路若為封閉網路(完全無法連接Internet),則無需升級IPv6。
13
補充說明
Q3.原有內部網路環境使用虛擬IPv4位址及NAT,要如何啟動升級IPv6?
說明:
虛擬IPv4位址原是因應IPv4位址不夠使用,配合NAT所使用之技術方案,因為IPv6位址非常多,故目前國際上並無IPv6 NAT的標準,機關(構)在原本使用虛擬IPv4的內部環境升級IPv6,先將網路設備進行IPv6升級,配發IP位址時,在IPv4方面維持使用虛擬IPv4位址,IPv6方面配發使用Public IPv6位址進行連線即可,不會衝突。 14
補充說明
Q4.規劃內部網路升級作業時,哪些設備需要升級IPv6?
說明:
內部網路若欲升級IPv6,相關的軟硬體如路由器、DHCP伺服器、防火牆、入侵防禦系統等需搭配升級。
15
補充說明
Q5.內部網路升級時是否有針對設備進行IPv6升級實作技術的參考手冊?
說明:
各項內部網路設備升級及參數設定可參考「TWNIC IPv6內部網路升級作業建議書」,建議書中針對一般單位常使用的設備廠牌提供操作步驟與範例。書中的實作設備包括Cisco 路由器;Linux 和Windows Server 2012 DHCPv6;Fortinet、Cisco、Juniper及ZyXEL防火牆及Fortinet和Tippingpoint 入侵防禦系統等。
16
2008/06 1
IPv6介紹
2
什麼是IP?
• IP(Internet protocol)是電腦在網際網路上用來辨認溝通彼此的方法。而IP位址就像是每家都有的門牌地址。當我們上網或送email時,所打的網域名稱(如www.twnic.net.tw)會轉換成210.17.9.228網址。根據這個網址,網際網路就可以將訊息送到指定的主機。
http://www.twnic.net.tw)會轉換成210.17.9.228
3
擁擠的IPv4網路世界!?
• 目前分配給電腦的位址稱為IPv4位址,其位址是由 4組 8位元數字( 0~255) 排列組成而成,例如210.130.1.1。
• 總共232個位址可用,合計4,294,967,296個,最上游之IP管理組織IANA於2011年已核發完畢。
• 如果無法再核發新的IP位址??–所有新增的電腦用戶無法再核發真實IP位址,網路應用將受限。
–持續的網路發展動能將減緩,行動上網及物聯網將嚴重受阻。千禧蟲危機 百年蟲危機 IP危機
一般常見的IPv4位址
4
5
IP位址分配的組織
• 以紐約的IANA為中心(現委由ICANN管理),其下再依區域分成五個區域註冊中心(Regional Internet Registries),
– 歐洲地區:RIPE NCC• Réseaux IP Européens Network Coordination Centre
– 北美地區:ARIN• American Registry for Internet Numbers
– 亞太地區:APNIC• Asia Pacific Network Information Centre
– 拉丁美洲:LACNIC• Latin American and Caribbean Internet Addresses Registry
– 非洲: AfriNIC• Africa Network Information Centre
6
國際網際網路編碼授權機構
全球網際網路號碼管理架構
區域授權機構
負責管理全球IPv4/v6, Domain Name及
Protocol等之編碼與註冊
7
位址指派機構之階層式架構圖
以亞太地區來說,RIR 可透過 NIR (National Internet Registry) 將資源發放給LIR (Local Internet Registry,一般皆為ISP) ,LIR 再將資源指定分發給其客戶。如此階層式的組織不但使得資源分配及管理更有效率,也可避免資源過度
集中,避免不公平的資源分配
8
IPv4位址枯竭影響與衝擊
• 影響– 無IPv4位址來提供新型態網路服務– 既有網路服務無法擴展
• 衝擊– 將造成網際網路發展停滯
• 解決方案– 使用NAT技術– IPv4 to IPv6位址移轉技術– 回收未使用的IPv4位址– 全面佈署IPv6– 其他---
9
IPv4位址枯竭因應措施
• 開源–開放保留的IP位址
– IP位址的移轉或交易
– IP位址的回收等等
• 節流–調整現行的IP位址發放原則
–使用NAT相關技術延緩等等)
• 進行IPv6的佈署–分階段實行
IPv4位址枯竭因應建議策略因應措施 開源(回收、移轉) 節流(使用NAT) 部署IPv6
優勢(Strengths)
無技術門檻與實施費用。 屬於現有成熟技術,可大量節省IP位址的使用,花費比部署IPv6相對便宜。
擁有大量的位址,可根本解決位址不足問題。
劣勢(Weaknesses)
無確實可行的方法(回收或移轉均無好的實行經驗),也非長期可行政策。
NAT本身對一些應用的連線所有限制、每一個網路使用者需要的連線數正快速增加中,減少可共享一個IP的使用者數。
對於大量實施在一些技術上仍有顧慮(如設備能力不足、安全性尚未完整考量)且部署費用相對較高。
機會(Opportunities)
有不少可回收位址(約有50個/8未出現在BGP routing table中、36個/8是歷史或特殊用途位址)。
短期內有可能是唯一便宜可行的技術。
唯一長期的解決方案,極有可能是未來會被全面採用的協定。
威脅(Threats)
合法擁有的IP位址要回收不容易,需擁有者願意配合。
非長期解決方案且對於大量的使用者、電信等級的NAT均仍有待市場考驗。
尚無明顯看到IPv6使用者市場,讓大部份的公司採觀望態度。
11
IPv4所遭遇的挑戰
• IP位址有限多人(戶)共用一個位址
• NAT雖可減緩位址之消耗但是
–終究抵擋不住新興市場需求(如金磚四國)爆發性需求。
– 2014年全球上網人口約27億仍迅速增加中!
• 行動上網需要更多IP位址及行動能力(Mobility)支援
– IPv4位址不足外,Mobility支援能力先天不足。
IPv4技術本身的缺陷• 數目限制:
– IPv4的網路位址只有32位元
– 採用Class的方式劃分區域較缺乏彈性
• 效能問題:
– 新興應用所需要的「QoS」服務,在IPv4上面實做極為困難。
– CIDR的出現導致網路管理上的困難。
• 安全問題:
– IPv4無法在基本的網路層提供安全的加密通訊
• 組態設定:
– DHCP伺服器安裝設定不易,而且維持運作要花不少人力物力
– 全自動化的組態設定
12
IPv4不只無法支應快速成長的為址需求,它的缺點是無法支援網路安全及國際漫遊的能力,還有IPv4需要利用網路位址翻譯器
(Network Address Translator;NAT),對經營者而言,它就增加了成本及管理上的負擔。
13
為何需要IPv6?• 解決 IPv4 的問題
– 即將發生 IPv4 位址不足 (預計2011年)
– NAT 的應用增加
– 對等式 (Peer-to-Peer) 網路技術問題
– 行動設備的支援性
• 下一代 Internet 的標準
– IETF 已完成 IPv6 核心網路的標準
– 全球將邁入 IPv6 新世紀 (例如:3G)
– 行動裝置、 P2P 軟體應用
– IPv6的安全性
• IPv6與物聯網社會
– P2P通信、無國界通信、End2End security等特性
– 與雲端運算特性結合
– 利用IPv6實現更為廣闊的物聯網服務與應用
14
IPv6的發展 (1/2)
• 1992年,IETF之IPv4的Address空間不足的問題開始被檢討 。
• 1994年,下一代的網際網路協定開始被提案,CATNIP (Common Architecture for the
Internet)、TUBA (TCP/IP with Bigger Addresses)、SIPP (Simple Internet Protocol Plus)三個提案中出線。
• 1995年,SIPP被更名為IPv6,IPv6的規範將被RFC1752(The Recommendation for the IP
Next Generation Protocol)公開。
15
IPv6的發展 (2/2)
• 1998年,IPv6之位址架構與通訊協定之規範分別在RFC2373 (IP Version 6 Addressing Architecture)與RFC2460 (Internet Protocol Version 6(IPv6) Specification)公開。
• 1999年,全球第一個業界團體(共有42個單位加盟)成立了「IPv6 Forum」。ARIN 將全球第一個之IPv6 Prefix:2001:400::/35授予給ESnet。
• 2002年,全球各區域性的Internet Registry RIR(Regional Internet Registries)實施新的「IPv6 Address Allocation and Assignment Global Policy」。
16
IPv6之優點與支援狀況• IPv6 發展之優勢(相對於IPv4)
– 足夠的位址空間– 彈性的聯網機制 (Plug & Play)– 安全機制– QoS功能增強– 強化的Mobility與Multicast能力等
• 標準已臻完備– 2007年底止 IETF通過191項RFC標準,幾乎涵蓋所有IPv4既有標準。– 3GPP/3GPP2, IMS/NGN及WiMax等皆將IPv6列為必須採用之標準。
• 軟硬體設備支援已漸成熟– Windows 7與Vista已內建IPv6且通過IPv6 Ready Logo認證
• 尚未蓬勃發展的主要因素– IPv4位址尚未迫切短缺,業者普遍以不變應萬變– 發展期過長,致使專家不斷在IPv4技術上尋求位址不足之解決方法– 許多IPv4 applications均將NAT issue考慮在內– 尚無法找到有明確利基的IPv6 business model
17
什麼是IPv6?
• V = version= 版本。IPv6 就是第六版的IP規範
• IPv6總共有2的128次方個可以使用,IPv6位址寫法為八組四個位數,每位數是由16進位的0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f 所組成,中間用冒號分隔,像是2001:0c50:ffff:0001:02e0:18ff:fe95:b229 。
• 別擔心這麼一大串背不起來,我們日常上網還是以使用網域名稱(例如www.twnic.net.tw)來連線,系統會自動轉換網域名稱為IPv6位址,所以一般使用者不需要直接輸入IPv6位址。
IPv4 & IPv6位址
18
19
IPv6 位址表示法 (native)
• IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間,以16進位(24)表示,可寫成32組數字 (0~F)
• 如二進位0010在十六進位中即為2,1010即為A– 0010 0000 0000 0011 即為2003
• 用以下位址為例– 20030000000000B30000000000001234 (太長容易記錯)– 2003:0000:0000:00B3:0000:0000:0000:1234(分為八段,以冒號分隔)
– 2003:0:0:B3::1234(簡寫)• 簡寫規則:
– 每16Bits如開頭之4bit表示為0,即可省略– 若16Bits全為0,則可簡寫為0– 若連續完整之16Bits段落皆為0000,則可全省略,簡寫為::,但以一次為限
IPv6網站
網站URL IPv4 IPv6
http://www.twnic.net.tw 210.17.9.228 2001:c50:ffff:1:21b:fcff:fe41:6c0f
https://www.gsnv6.tw/ 211.72.210.215 2001:288:4:1::215
http://ipv6launch.tw/ 61.220.48.10 2001:b020:0:77::12
http://www.ipv6.org.tw 210.17.9.228 2001:c50:ffff:1:21a:92ff:fe43:d665
http://www.rd.ipv6.org.tw/ 203.145.207.171 2001:e10:1440:ffff::171
http://v6directory.twnic.net.tw/ 61.220.48.10 2001:b020:0:77::12
http://interop.ipv6.org.tw/ 202.39.164.14 2001:b030:5e00:1::2
http://www.sprint.net/ 208.24.22.50 2600::
20
※台灣已支援IPv6網站列表請參考IPv6台灣網站名錄網站 http://v6directory.twnic.net.tw/
http://www.twnic.net.tw/https://www.gsnv6.tw/http://ipv6launch.tw/http://www.ipv6.org.tw/http://www.rd.ipv6.org.tw/http://v6directory.twnic.net.tw/http://interop.ipv6.org.tw/http://www.sprint.net/http://v6directory.twnic.net.tw/
21
IPv6位址範例• www.ipv6.hinet.net 2001:b000::2
• www.ipv6.sparqnet.net 2401:8000::100
• ipv6.seed.net.tw 2001:4580::2
• showroom.twnic.net.tw 2001:44f0::201:80ff:fe63:69c9
http://www.ipv6.hinet.net/http://www.ipv6.sparqnet.net/http://ipv6.seed.net.tw/http://showroom.twnic.net.tw/
IPv6 Server位址設定
22
只有一台 Server IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2:201:80ff:fe63:69c9
只有二台 Server IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2::1
www2.ipv6lab.tw 211.72.210.2 2001:288:4:2::2
有很多台 Server IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2:211:72:210:1
www2.ipv6lab.tw 211.72.210.2 2001:288:4:2:211:72:210:2
dns.ipv6lab.tw 211.72.210.15 2001:288:4:2:211:72:210:15
mail.ipv6lab.tw 211.72.210.28 2001:288:4:2:211:72:210:28
不建議 IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2::211.72.210.1(=2001:288:4:2::d348:d201)
23
使用IPv6的理由
• 提供更多的IP位址空間–滿足未來IPv4可能不足的危機。
• 更好的資料傳送品質管理(QoS)–對於多媒體影音有更好的QoS支援。
• 更契合無線行動通訊的協定–利用Mobile IPv6協定,增加IP定址的便利性與縮短資料傳送延遲的時間。
• 強化的安全機制(IPSec)–確保End-to-End(端點到端點)的安全。
24
IPv6的五個主要優點
• IPv6優點一:
–大量位址空間
• IPv6優點二:
–服務品質保證(QoS, Quality of Service)
• IPv6優點三:
–隨插即用
• IPv6優點四:
–點對點傳輸
• IPv6優點五:
–網路層安全性
25
IPv6優點一:大量位址空間
• IPv6位址總共有2的128次方個可以使用,也就是有3402823669209384634633746074317682
11456個IPv6位址可以使用。
• 一平方公尺能有多少IPv6的位址呢?以地球總面積來算算看,地球總面積約5億1仟萬平方公里,每平方公尺將有655570793348866943898599個IPv6的位址(約有6仟5佰萬兆個)。
26
IPv6優點二:服務品質保證(QoS, Quality of Service)
• QoS是一種控制機制,傳統的IPv4 網路並未提供完整的QoS機制,訊息的傳遞未被分類,全部擠在網路上爭先恐後是造成網路擁塞的主因之一。
• IPv6的應用主要特色有:提供順暢、有秩序的網路傳輸將網路資源分級與分類,通過流量控管保持網路傳輸的順暢。
• 這就像車輛走在道路上,不同的車種走不同的通道,快速而有秩序的通過以保待通道的順暢性。提供特定標籤給特殊需求者優先的服務權,如緊急醫療服務系統、119、110…等社會緊急資源的應用。
• 透過IPv6與建全的QoS機制能確保即時線上的連線、防止服務中斷以及提高網路的效能,讓訊息傳輸達到一定的水準。
27
IPv6優點三:隨插即用
• IPv6通訊協定支援自動組態(Auto-configuration),IPv6主機接上網路後可自動取得位址。這種「隨插即用」的特色可以減輕網路管理者及使用者設定及管理IP位址的負擔。
• 若配合DNS自動更新設定,可立即隨插即用上線使用。
28
IPv6優點四:點對點傳輸
• 在IPv6的世界裡,每個上網的人都有專屬的位址,這使得點對點的運用變得更便利,如網路電話、視訊傳輸,可即時快速的傳送給對方。
29
IPv6優點五:網路層安全性
• 內建個人電腦身份認證加密功能(IPsec)
• IPSec
– IPSec是過去為了解決IPv4的安全性問題所產生的IP安全協定。
– IPv6將IPSec納入其架構中,讓IPSec直接可以鑲嵌在IPv6的封包中。
30
位址枯竭解決方案 - IPv6
• IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間
特性 IPv4 IPv6
位址數量 232 = 4.3 109 2128 = 3.41038
網路位址轉換器(NAT)
大量使用 NAT,用戶端戶連技術複雜,成本提高
不須使用 NAT,用戶自由互連,有利應用服務發展
用戶端位址配置
需手動配置或需設置系統來協助
支援自動組態,位址自動配置,隨插隨用
網路安全性 IPSec需另外設定 內建IPSec加密機制
行動性支援支援度低,不易支援跨網段漫游連線
支援度高,有利於解決跨網段漫游的連線障礙
QoS機制 QoS支援度低 表頭設計直接支援QoS機制
31
Unicast Address Structure
2003:0:0:B3::1234/64
網路位址部份 2003:0:0:B3
Interface 位址部份: 非簡寫樣式 :0:0:0:1234
簡寫樣式 ::1234
Network位址基本上由網路設備發送
Interface位址基本上由Host端決定
32
Network ID 設定與配送機制
1. 採用Neighbor Discovery (ND),播放Router Advertisement
2. DHCPv6 – Prefix-Delegation
3. 手動設定
4. Tunnel Server 系統自動產生或指定
5. VPN Server (IPv4 and/or IPv6)
33
Interface ID 產生方式
1. 採用modified EUI-64 演算法,經由MAC Address計算出Interface 位址
2. 作業系統自動產生隨機位址
3. 手動設定
4. Tunnel Server系統自動產生或指定
5. 經由加密機制產生之虛擬位址(IPv6 IPSec)
6. DHCPv6伺服器指定(Stateful)
34
由MAC Address 產生Interface ID
1. First three octets of MAC is Company-ID
2. Last three octets of MAC is Node-ID
3. 將 FFFE置入Company ID與Node-ID間
4. Company ID 2進位表示法之第7碼為Univeral/Local-Bit,設為1表示Global Scope
如: MAC Address為 00-C0-3F-BB-93-91,則
1. Company ID 為00-C0-3F, Node ID為BB-93-91
2. 00-C0-3F-FF-FE-BB-93-91
3. Company ID 2進位表示法為00000000 11000000 00111111
4. 將第7bit改為1,為00000010 11000000 001111111
5. 重組為02-C0-3F
6. Interface ID為 02C0:3FFF:FEBB:9391
35
由EUI-64產生之IPv6位址(WinXP)
36
The conversion of a universally administered, unicast
IEEE 802 address to an IPv6 interface identifier
37
由演算法產生之IPv6位址(Win 7)
38
ipconfig (Win 7)
39
ipconfig /all (Win 7)
40
pathping (Windows)
41
pathping (Windows)
42
pathping (Windows)
43
pathping (Windows)
44
使用IPv6位址開啟網頁
IPv6位址前後需要加入中括號才能連線
45
IPv4 vs. IPv6
Version IPv4 IPv6
位址空間 2^32 =4,294,967,296 2^128 ≒3.4*10^38
ICMP發放方式 以廣播(Broadcast )方式 以群播(Multicast)方式
QoS策略 推測遺失資料與暫存器 資源保留與優先等級
協定的可擴充性
沒有彈性(最多提供1個Option欄位的擴充)
較有彈性(具有延伸標頭)
IPSec的支援 本身沒有支援,需額外設定 將IPSec納入本身協定中
Plug and Play 需透過DHCP分配IP具有Statefull (透過DHCPv6 )與Stateless (自動組態)分配IP
繞回位址 127.0.0.1 ::1
表示方式 十進位表示,以點分隔 十六進位表示,以冒號分隔
46
IPv6參考資源網站
• IPv6計畫入口網站 http://www.ipv6.org.tw/
• IPv6技術手冊 http://ipv6launch.tw/book.html
• IPv6 Virtual Lab http://ipv6launch.tw/ipv6lab/
• IPv6準備度分析網站 http://v6readiness.ipv6.org.tw/
• IPv6台灣網站名錄網站 http://v6directory.twnic.net.tw/
• IPv6設備名錄網站 http://v6product.ipv6.org.tw/
http://www.ipv6.org.tw/http://ipv6launch.tw/book.htmlhttp://ipv6launch.tw/ipv6lab/http://v6readiness.ipv6.org.tw/http://v6directory.twnic.net.tw/http://v6product.ipv6.org.tw/
47
THANK YOU
1
IPv6 Cisco Router設定
Cisco Router
設定IPv6
2
網路架構圖
3
Windows10
ISP路由器
LAN 192.168.1.1
2001:470:fa1f:d901::1/64
WAN 210.201.80.1
2001:470:fa1f:cccc::a901/6
4
WAN 210.201.80.254
2001:470:fa1f:cccc::1
192.168.1.10
2001:470:fa1f:d901::10/64
fa0/0fa0/1
Windows Server 2012
192.168.1.12
2001:470:fa1f:d901::12/64
Linux CentOS 6.5
192.168.1.5
2001:470:fa1f:d901::5/64
CISCO 7200
IPv4 NAT Server
Switc
h
啟動Router支援IPv6及設定網路介面位址
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration Mode
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ipv6 unicast-routing //啟動路由器支援IPv6路由協定
Router(config)#interface FastEthernet0/0 //進入FastEthernet0/0介面
Router(config-if)#ipv6 nd ra suppress //此介面不需RA功能,先將RA功能關閉
Router(config-if)#ipv6 address 2001:470:fa1f:cccc::a901/64 //指定IPv6位址,此為對外的WAN端
Router(config-if)#no shutdown //啟用此介面
Router(config-if)#
*Mar 24 14:41:47.635: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 24 14:41:47.639: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/0 Physical Port Administrative
State Down
*Mar 24 14:41:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, change
d state to up
Router(config-if)#exit //離開FastEthernet0/0介面
Router(config)#ipv6 route ::/0 2001:470:fa1f:cccc::1 //設定對外IPv6預設路由
Router(config)#
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 address 2001:470:fa1f:d901::1/64 //指定IPv6位址,此為對內的LAN端
Router(config-if)#no shutdown //啟用此介面
Router(config-if)#
*Mar 24 14:42:44.919: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar 24 14:42:44.923: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/1 Physical Port Administrative
State Down
*Mar 24 14:42:45.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, change
d state to up
Router(config-if)#
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
//以下指令依是否只使用DHCPv6而不使用RA之需求進行設定
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用R
A配發位址,兩個 172800 秒指的是 valid time 與 life time
4
確認IPv6對外連線
Router#ping 2600:: //使用ping進行測試,也可ping其他ipv6主機Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2600::, timeout is 2 seconds:
!!!!! //出現驚嘆號表示可以正常對外連線Success rate is 100 percent (5/5), round-trip min/avg/max = 576/590/604 ms
Router#
5
Router#ping 2600:: //使用ping進行測試,也可ping其他ipv6主機
Router#show running-config //查看目前設定狀況
----------------------------interface FastEthernet0/0
no ip address
duplex auto
speed auto
ipv6 address 2001:470:FA1F:CCCC::A901/64
ipv6 nd ra suppress
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
ipv6 address 2001:470:FA1F:D901::1/64
!
----------------------------
使用Windows 10作為用戶端進行驗證及測試
6
使用Windows 10作為用戶端進行驗證及測試
7
IPv6路由設定實作
• IPv6網路架構
8
WAN IPv6位址 WAN IPv6匣道 LAN IPv6網段
單台LAN IPv6設定 2001:470:fa1f:cccc::a901/64 2001:470:fa1f:cccc::1 2001:470:fa1f:d901::/64
IPv6路由設定實作
• Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1a
R1a(config)#ipv6 unicast-routing
R1a(config)#interface FastEthernet0/0
R1a(config-if)#ipv6 nd suppress-ra ##此為舊版指令R1a(config-if)#ipv6 nd ra suppress
R1a(config-if)#ipv6 address 2001:470:fa1f:cccc::a901/64
R1a(config-if)#no shutdown
R1a(config-if)#exit
R1a(config)#ipv6 route ::/0 2001:470:fa1f:cccc::1
• ===
• R1a>enable
R1a#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1a(config)#interface FastEthernet0/1
R1a(config-if)#ipv6 address 2001:470:fa1f:d901::1/64
R1a(config-if)#no shutdown
R1a(config-if)#exit
9
1
IPv6位址配發與管理介紹
大綱
• IPv6有什麼不一樣
• 如何使用128位元的Public Address
• 無狀態自動定址怎麼用
2
IPv6有什麼不一樣
3
• 我可以配發到多少位址?
• 一個Subnet要分配位址?128位元位址
全使用Public IP
• Neighbor Discovery 取代ARP
• Router Advertisement提供自動定址取消Broadcast 以Multicast代替
• IPv6網路如何自動配發位址?
• 家用網路如何取得Public位址?無狀態自動定址Plug & Play !?
• IPv6 Fragmentation如何運作?
• 什麼是IPv6 Path MTU Discovery?固定長度Header / Extension Header
128位元位址全使用Public IP
4
IPv6位址結構
• 使用128位元的位址空間,每4 位元位址以16進位制字符表示(0010 0000 0000 0011 即為2003)
• 分為八組,每4個16進位制字符以冒號分隔:
– 每組字符開頭之數字0可省略,例如000F可簡寫為F
– 一組字符全為0則可簡寫為0,例如0000可簡寫為0
– 連續幾組字符全為0,則可省略為雙冒號,但以一次為限,例如0000:000:0000可簡寫為 ::
• 範例:20030000000000B30000000000000123
2003:0000:0000:00B3:0000:0000:0000:0123(完整寫法)
2003:0:0:B3::123(簡寫)
5
IPv6位址網段如何表示
• IPv4位址網段表示方式
– 192.168.0.0/24 (或192.168.0.0/255.255.255.0)代表192.168.0.0 – 192.168.0.256
– 192.168.0.0/25 (或192.168.0.0/255.255.255.128)代表192.168.0.0 – 192.168.0.128
• IPv6位址網段表示方式:
– 2001:1:2:3::/6464 bits Routing Prefix,又稱為 /64代表2001:1:2:3:: - 2001:1:2:3:ffff:ffff:ffff:ffff前64位元由ISP配發,其餘(64位元)可自由任意使用
• /64代表多少IPv6位址?
– IPv4有32位元位址空間IPv4位址總共大約43億個(232)
– /64 IPv6位址有64位元空間264=232232= 43億 43億
6
IPv6區域網路
• IPv4 NAT上網– NAT, Network Address Translation (網路地址轉換)
– 一個Public IP位址轉成無數個Private IP位址 (IP分享器)
• IPv6 使用Public IPv6位址直接上網(Routing)– 同時需要一個 IPv6 WAN位址及一段IPv6 LAN位址
– 區域網路內的電腦可與網際網路雙向直接互通
7
NAT211.72.211.8/32
192.168.0.2/24
192.168.0.1/24
192.168.0.3/24
Router2001:a:b:1::1/64
2001:a:b:2::2/64
2001:a:b:2::1/64
2001:a:b:2::3/64
可自行指定任何Private網段
使用ISP核發的Public網段
PPPoE上網時,ISP如何發放IPv6網段?
IPv6區域網路位址
• 所有電腦直接使用公用(Public) IPv6位址– 辦公室網路或家用網路均直接使用ISP提供之IPv6位址
– 網路內主機對外通信不再經由NAT,而是直接通信
• 每個區域網路一律分配 /64 之IPv6位址– IPv6位址 = 64位元 Network ID + 64位元 Host ID
• 如果ISP核發 /56的IPv6位址?– Network ID = 56位元 Routing Prefix + 8位元 Subnet ID
8
2001:0db8:0:12 00 ~ FF :: ~ FFFF:FFFF:FFFF:FFFF
Routing Prefix
(路由首碼)56 bits, 由ISP配發而來
Subnet ID
(子網路識別碼)8 bits,自行分配
Host ID
(主機識別碼)64 bits, 子網路內自由使用
2001:0db8:0:1200::/56 = 2001:0db8:0:1200::/64 ~ 2001:0db8:0:12FF::/64
Network ID (網路識別碼) Host ID (主機識別碼)
ISP會發給我多少IPv6位址
• 單機PPPoE撥接上網
– 單機撥接,配發/64位址1個
• Home Router PPPoE撥接上網
– 配發 /64 WAN位址1個
– 配發 /64 LAN位址一段 (DHCP-PD)
• 小型辦公室用戶
– 配發/56 LAN位址一段 (56 bits Prefix, 8 bits Subnet ID)
– 可再分成256個 /64子網段
• 中型辦公室用戶
– 配發/48 LAN位址一段 (48 bits Prefix, 16 bits Subnet ID)
– 可再分成65,536個 /64子網段
9
如何規劃IPv6位址的配置方式
以2001:a:b:cd00/56為例
10
網段 用途
2001:a:b:cd00/56 機房
2001:a:b:cd10/56 第1辦公大樓
2001:a:b:cd20/56 第2辦公大樓
2001:a:b:cd30/56 第3辦公大樓
… …
2001:a:b:cd00/64 Loopback
2001:a:b:cd01/64 Link
2001:a:b:cd02/64 Server Farm 1
2001:a:b:cd03/56 Server Farm 2
… …
2001:a:b:cd10/64 Loopback
2001:a:b:cd11/64 Link
2001:a:b:cd12/64 LAN 1
2001:a:b:cd13/56 LAN 2
… …
Link :/127Subnet :/64
無狀態自動定址Plug & Play !?
11
IP位址自動指派技術
• IPv4 DHCP
– 指派位址、Gateway、DNS
– 指派其他參數(Option)
– 安全管理(MAC過濾、指派固定位址、提供位址使用紀錄)
• IPv6 ? (簡化後的複雜)– Stateless Address Auto-configuration, SLAAC
– Stateless DHCPv6
– Stateful DHCPv6
12
IPv6位址自動指派技術SLAAC
• 無狀態位址自動配置(Stateless Address Auto-configuration, SLAAC)
– 用戶端發出Router Solicitation, RS (FF02::2)
– Router Advertisement, RA (FF02::1)提供IPv6 Prefix、Gateway address、DNS address
– 用戶端產生Host ID(EUI-64/Randomize/Privacy Extensions)• EUI-64, netsh interface ipv6 set global randomizeidentifiers=disabled
• 亂數法, netsh interface ipv6 set global randomizeidentifiers=enabled
• Privacy Extensions, netsh interface ipv6 set privacy state=enabled
– IPv6位址 = IPv6 Prefix + Host ID
13
用戶端
路由器
RS
RA (IPv6 Prefix、Gateway、DNS)
IPv6位址自動指派技術SLAAC
• SLAAC優點
– 簡單方便,Plug & Play
– 不需要安裝DHCP伺服器
– 用戶端不需要DHCP程式
• SLAAC缺點
– Windows作業系統尚未支援RDNSS協定,無法經由RA獲得DNS Server位址 (在雙協定下,IPv4 DNS足以運作)
– 不會紀錄IPv6位址使用者,不會定時維護IPv6使用狀況(DHCP renew)
• 適用場域
– 物件連網
14
IPv6位址自動指派技術Stateless DHCPv6
• 無狀態DHCPv6 (Stateless DHCPv6)– 用戶端發出Router Solicitation, RS (FF02::2)
– Router Advertisement, RA(FF02::1)提供Prefix、Gateway
– 用戶端產生Host ID(EUI-64/Randomize/Privacy Extensions)
– IPv6位址 = IPv6 Prefix + Host ID
– 用戶端發出DHCP Solicit (FF02::1:2)
– DHCPv6伺服器回應DHCP Advertise提供DNS位址
15
用戶端
路由器
RS
RA (IPv6 Prefix、Gateway)
DHCPv6 Solicit
DHCPv6 Advertise (DNS)
IPv6位址自動指派技術Stateless DHCPv6
• Stateless DHCPv6優點
– 結合SLAAC與DHCPv6,功能齊全
– 不需要管理DHCP Address Pool
– 雙協定模式下,DHCP無法運作時影響不大
• SLAAC缺點
– 不會紀錄IPv6位址使用者,不會定時維護IPv6使用狀況(DHCP renew)
– Windows XP不支援DHCPv6,但有外掛程式
• 適用場域
– 家用網路或沒有嚴格網路安全考量的網路環境
16
IPv6位址自動指派技術Stateful DHCPv6
• 有狀態DHCPv6 (Stateful DHCPv6)– 用戶端發出Router Solicitation, RS (FF02::2)
– Router Advertisement, RA(FF02::1)提供Gateway
– 用戶端發出DHCP Solicit (FF02::1:2)
– DHCPv6伺服器回應DHCP Advertise提供IPv6 位址、DNS位址
17
用戶端
路由器
RS
RA (Gateway)
DHCPv6 Solicit
DHCPv6 Advertise (IPv6位址、DNS)
IPv6位址自動指派技術Stateful DHCPv6
• Statelful DHCPv6優點
– 結合SLAAC與DHCPv6,功能齊全
– 透過DHCP紀錄可依據IP位址追蹤使用者
– 可依據安全需求限制使用者,設定固定位址
• SLAAC缺點
– 管理者需具備較多網路相關技術
– 網路異常事件的查修較為複雜
– Windows XP不支援DHCPv6,但有外掛程式
• 適用場域
– 具備嚴格網路安全考量的網路環境
– 大部分辦公室環境建議選用Statelful DHCPv6
18
如何選擇IPv6位址自動指派技術
• 關鍵在RA封包裡的兩個位元(M-bit、O-bit)
• Cisco IOS 設定方式
config t
interface fa0/1
no ipv6 nd suppress-ra //啟動發送RA封包的功能
ipv6 nd managed-config-flag //設定M-bit為1
ipv6 nd other-config-flag //設定O-bit為1
ipv6 nd prefix []::/64 172800 172800 no-autoconfig19
位址指派 M-bit O-bitSLAAC+RDNSS 0 0
Stateless DHCPv6 0 1
Stateful DHCPv6 1 1
IPv6位址指派技術比較表
派址方式
預設閘道
Prefix指派
Host ID指派
DNS位址指派
說明適用環境
人工配置位址
手動設定
手動設定
手動設定
手動設定
穩定可靠、較無資安疑慮,但無彈性、設定麻煩
伺服器及網路設備
SLAAC + RDNSS
RA指派
RA指派
EUI-64或亂數法自動產生
RA指派
簡單方便,但無法管理位址指派原則及使用紀錄,但大部分作業系統尚未支援RDNSS
物件連網應用服務
Stateless DHCPv6
RA指派
RA指派
EUI-64或亂數法自動產生
DHCP指派
簡單方便,但無法管理位址指派原則及使用紀錄,另外,Windows XP不支援DHCPv6(可外掛)
家用網路環境
Stateful DHCPv6
RA指派
DHCP指派
DHCP指派
DHCP指派
可管理位址指派原則及使用紀錄,但Prefix與Gateway分由DHCP及RA指派,增加偵錯難度,另外,Windows XP不支援DHCPv6(可外掛)
辦公室網路環
境
20
Windows Server 2012 DHCPv6
伺服器設定支援IPv6
1
(一)設定Windows Server 2012固定IPv6位址
• 設定DHCP Server之前,建議先設定固定IP位址
2
(二)安裝DHCPv6伺服器
• 1. 使用圖形介面新增DHCP伺服器角色
• (1) 使用圖形介面新增網站伺服器角色。「新增角色及功能」 「下一步」 「角色型或功能型安裝」 「下一步」 點選「DHCP伺服器」 「新增功能」
3
(二)安裝DHCPv6伺服器
4
(三)設定及啟用DHCPv6伺服器1.啟動DHCP主控台管理工具
• 1.啟動DHCP主控台管理工具
5
2.以滑鼠右鍵按一下「IPv6」,再選取「新增領域」
6
3.請輸入領域名稱和描述
7
4.輸入IPv6首碼,並在喜好設定上輸入255 (如果只有一部DHCPv6伺服器)
8
5.新增DHCPv6排除範圍
9
6.設定有效存留期和慣用存留期
10
7.選擇立即啟用領域後,完成領域新增精靈程式
11
8.以滑鼠右鍵按一下「IPv6」,再選取「位址租用」,即可看到管理主控台上所維護的IP租用狀態(Statefule),包括
用戶端的IP位址,名稱與到期日
12
9.以滑鼠右鍵按一下「領域選項」,再選取「設定選項」,設定DNS伺服
13
10.勾選「00023 DNS遞迴名稱伺服器IPv6位址清單」,並在下方新增DNS 伺服器IPv6位址
14
11.以滑鼠右鍵按一下「IPv6」,再選取「領域選項」,即可看到「00023 DNS遞迴名稱伺
服器IPv6位址清單」設定之內容
15
(四)使用Windows 10作為用戶端驗證及測試DHCPv6
• 1. SLAAC+ Stateless DHCPv6
– 當Cisco Router設定發送RA及設定M-bit=0及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會至少同時取得2個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),Cache DNS Server資訊由DHCPv6取得(但當Router與DHCPv6伺服器是由不同台提供功能,可能還是會由DHCPv6伺服器取得第3個IP位址)。
16
17
2.SLAAC+ Stateful DHCPv6(隨機IPv6位址)
• 當Cisco Router設定發送RA及設定M-bit=1及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會同時取得3個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),最後一個是由DHCPv6取得。
18
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)• 若要使用SLAAC+ Stateful DHCPv6,Cisco Router需設定M-
bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送),並在CentOS DHCPv6伺服器的/etc/dhcp/dhcpd6.conf設定檔中,需要先取得Windows 10用戶端的DUID(此處要注意,要把Windows 10的DUID的「-」改為「:」),再加入設定檔後,重新啟動DHCPv6服務。
• 註:DUID的全名為「DHCP Unique Identifiers」(DHCP唯一識別碼),在IPv4的時候,若要依DHCP設定用戶端固定IP,可以依用戶端的MAC address做為識別碼,在IPv6,無法使用MAC address,取而代之的識別碼為DUID,每部用戶端設備只能有1個DUID,若需要辨別單一用戶端的多張網卡(例如同時擁有無線及有線網卡),則需要加入IAID(全名為Identity Association Identifier),每部用戶端的網卡的IAID必需不同,Windows Server 2008之後的DHCPv6 Server已支援IAID的設定。
19
20
21
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
• 若要使用Stateful DHCPv6,Cisco Router需設定M-bit=1,O-bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送)
• Windows 10建議重新開機
22
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration ModeEnter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用RA配
發位址,兩個 172800 秒指的是 valid time 與 life time
23
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
• 若要手動指定IPv6位址,Cisco Router設定不發送RA Prefix(但Gateway還是需要透過RA發送),也不能有DHCPv6伺服器,Windows 10建議重新開機,以免還存留使用RA或是DHCPv6取得的IPv6位址。
24
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
25
2626262626
Thank you!
Linux DHCPv6伺服器設定支援IPv6
1
(一)設定CentOS固定IPv6位址
• 設定DHCP Server之前,建議先設定固定IP位址,編輯/etc/sysconfig/network-scripts/ifcfg-eth1,設定IPv4及IPv6位址,設定完成後,重新啟動網路設定
• Command : # vim /etc/sysconfig/network-
scripts/ifcfg-eth1
• Command : # /etc/init.d/network restart
2
(一)設定CentOS固定IPv6位址-續[root@251 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
#HWADDR=00:15:5D:50:F4:11
TYPE=Ethernet
#UUID=c56a3c8c-4cf8-4356-9e13-dbacb2edac60
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.1.5
NETMASK=255.255.255.0
GATEWAY=192.168.1.254
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6ADDR=2001:470:fa1f:d901::5/64
IPV6_DEFAULTGW=2001:470:fa1f:d901::1
3
[root@251 ~]# /etc/init.d/network restart
Shutting down interface eth1: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth1: Determining if ip address 192.168.1.5 is already in use for device eth1...
[ OK ]
[root@251 ~]#
(二)安裝DHCPv6伺服器
• 若是CentOS 5.x,先下載rpm,再進行安裝
– wget
ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/dibo2
010/CentOS_5/i386/dhcp-4.1.1-24.1.i386.rpm
– yum -y remove dhclient
– rpm -ivh dhcp-4.1.1-24.1.i386.rpm
• 若是CentOS 6.x,直接使用yum安裝
– yum -y install dhcp
4
[root@251 ~]# yum -y install dhcp
Loaded plugins: fastestmirror, security
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package dhcp.x86_64 12:4.1.1-49.P1.el6.centos will be installed
--> Processing Dependency: dhcp-common = 12:4.1.1-49.P1.el6.centos for package: 12:dhcp-4.1.1-49.
P1.el6.centos.x86_64
----------------------------
[root@251 ~]#
ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/dibo2010/CentOS_5/i386/dhcp-4.1.1-24.1.i386.rpm
(三)設定及啟用DHCPv6伺服器1.複製DHCPv6主設定檔
• 1.複製DHCPv6主設定檔
– DHCPv6設定檔預設位於/etc/dhcp/dhcpd6.conf,但裡面無可參考使用之設定內容,可參考安裝附帶之範例檔進行設定,將/usr/share/doc/dhcp-4.1.1/dhcpd6.conf.sample複製到/etc/dhcp/dhcpd6.conf之後,再修改內容。
5
[root@251 dhcp]#/bin/cp -f /usr/share/doc/dhcp-4.1.1/dhcpd6.conf.sample /etc/dhcp/dhcpd6.conf
[root@251 dhcp]#
• 2.編輯修改dhcpd6.conf設定檔
6
[root@251 ~]# vim /etc/dhcp/dhcpd6.conf
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
subnet6 2001:470:fa1f:d901::/64 { #設定IPv6位址網段
# Range for clients
range6 2001:470:fa1f:d901::2 2001:470:fa1f:d901::ffff; #設定IPv6位址網段範圍
# Range for clients requesting a temporary address
range6 2001:470:fa1f:d901::/64 temporary;
# Additional options
option dhcp6.name-servers 2001:4860:4860::8888,2001:4860:4860::8844; #設定IPv6 Cache Ser
ver
option dhcp6.domain-search "ipv6lab.tw";
# Example for a fixed host address
host specialclient1 {
host-identifier option dhcp6.client-id 00:01:00:01:1E:22:D2:C3:00:15:5D:D2:0E:55; #依用
戶端網卡DUID設定固定IP6位址
fixed-address6 2001:470:fa1f:d901::dada; #依用戶端網卡DUID設定固定IP6位址
}
}
• 3.關閉SELinux
– CentOS預設會啟用SELinux,會影響到DHCPv6的啟動,所以需把SELinux關閉,可以用指令「setenforce 0」暫時關閉
– 或是修改/etc/sysconfig/selinux
• 找到「SELINUX=enforcing」然後修改為「SELINUX=disabled」要重新開機 reboot / restart 後才會套用。
7
• 4.修改防火牆設定放行DHCPv6– 修改防火牆設定,增加以下2行放行DHCPv6的rule
• -A INPUT -m state --state NEW -m tcp -p tcp --dport 547 -j ACCEPT
• -A INPUT -m state --state NEW -m udp -p udp --dport 547 -j ACCEPT
8
[root@251 ~]# vim /etc/sysconfig/ip6tables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m tcp -p tcp --dport 547 -j ACCEPT #放行tcp 547
-A INPUT -m udp -p udp --dport 547 -j ACCEPT #放行udp 547
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
[root@251 ~]# /etc/init.d/ip6tables restart
ip6tables: Setting chains to policy ACCEPT: filter [ OK ]
ip6tables: Flushing firewall rules: [ OK ]
ip6tables: Unloading modules: [ OK ]
ip6tables: Applying firewall rules: [ OK ]
[root@251 ~]#
• 5.啟動/關閉/重啟DHCPv6
– Command : # /etc/init.d/dhcpd6 start //啟動DHCPv6
– Command : # /etc/init.d/dhcpd6 stop //關閉DHCPv6
– Command : # /etc/init.d/dhcpd6 restart //重啟DHCPv6
9
[root@251 ~]# /etc/init.d/dhcpd6 start
Starting dhcpd (DHCPv6): [ OK ]
[root@251 ~]#
(四)使用Windows 10作為用戶端驗證及測試DHCPv6
• 1. SLAAC+ Stateless DHCPv6
– 當Cisco Router設定發送RA及設定M-bit=0及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會至少同時取得2個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),Cache DNS Server資訊由DHCPv6取得(但當Router與DHCPv6伺服器是由不同台提供功能,可能還是會由DHCPv6伺服器取得第3個IP位址)。
10
1.SLAAC+ Stateless DHCPv6
11
2.SLAAC+ Stateful DHCPv6
(隨機IPv6位址)• 當Cisco Router設定發送RA及設定M-bit=1及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會同時取得3個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),最後一個是由DHCPv6取得。
12
2.SLAAC+ Stateful DHCPv6
(隨機IPv6位址)
13
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)• 若要使用SLAAC+ Stateful DHCPv6,Cisco Router需設定M-
bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送),並在CentOS DHCPv6伺服器的/etc/dhcp/dhcpd6.conf設定檔中,需要先取得Windows 10用戶端的DUID(此處要注意,要把Windows 10的DUID的「-」改為「:」),再加入設定檔後,重新啟動DHCPv6服務。
• 註:DUID的全名為「DHCP Unique Identifiers」(DHCP唯一識別碼),在IPv4的時候,若要依DHCP設定用戶端固定IP,可以依用戶端的MAC address做為識別碼,在IPv6,無法使用MAC address,取而代之的識別碼為DUID,每部用戶端設備只能有1個DUID,若需要辨別單一用戶端的多張網卡(例如同時擁有無線及有線網卡),則需要加入IAID(全名為Identity Association Identifier),每部用戶端的網卡的IAID必需不同,目前CentOS6.5使用yum安裝的DHCPv6 Server尚不支援IAID的設定。
14
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)[root@251 ~]# vim /etc/dhcp/dhcpd6.conf
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
subnet6 2001:470:fa1f:d901::/64 { #設定IPv6位址網段
# Range for clients
range6 2001:470:fa1f:d901::2 2001:470:fa1f:d901::ffff; #設定IPv6位址網段範圍
# Range for clients requesting a temporary address
range6 2001:470:fa1f:d901::/64 temporary;
# Additional options
option dhcp6.name-servers 2001:4860:4860::8888,2001:4860:4860::8844; #設定IPv6 Cache Ser
ver
option dhcp6.domain-search "ipv6lab.tw";
# Example for a fixed host address
host specialclient1 {
host-identifier option dhcp6.client-id 00:01:00:01:1E:22:D2:C3:00:15:5D:D2:0E:55; #依用
戶端網卡DUID設定固定IP6位址
fixed-address6 2001:470:fa1f:d901::dada; #依用戶端Windows 10網卡DUID設定固定IP
6位址
}
host specialclient2 { #若需派發多個固定IPv6位址,則再繼續增加
host-identifier option dhcp6.client-id 00:01:00:01:1E:22:D2:C3:00:15:5D:D2:0E:22; #依用
戶端網卡DUID設定固定IP6位址
fixed-address6 2001:470:fa1f:d901::da22; #依用戶端Windows 10網卡DUID設定固定IP
6位址
}
}
15
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)
16
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
• 若要使用Stateful DHCPv6,Cisco Router需設定M-bit=1,O-bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送)
• Windows 10建議重新開機
17
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration ModeEnter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用RA配
發位址,兩個 172800 秒指的是 valid time 與 life time
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
18
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
• 若要手動指定IPv6位址,Cisco Router設定不發送RA Prefix(但Gateway還是需要透過RA發送),也不能有DHCPv6伺服器,Windows 10建議重新開機,以免還存留使用RA或是DHCPv6取得的IPv6位址。
19
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
20
Windows Server 2012 DHCPv6
伺服器設定支援IPv6
21
(一)設定Windows Server 2012固定IPv6位址
• 設定DHCP Server之前,建議先設定固定IP位址
22
(二)安裝DHCPv6伺服器
• 1. 使用圖形介面新增DHCP伺服器角色
• (1) 使用圖形介面新增網站伺服器角色。「新增角色及功能」 「下一步」 「角色型或功能型安裝」 「下一步」 點選「DHCP伺服器」 「新增功能」
23
(二)安裝DHCPv6伺服器
24
(三)設定及啟用DHCPv6伺服器1.啟動DHCP主控台管理工具
• 1.啟動DHCP主控台管理工具
25
2.以滑鼠右鍵按一下「IPv6」,再選取「新增領域」
26
3.請輸入領域名稱和描述
27
4.輸入IPv6首碼,並在喜好設定上輸入255 (如果只有一部DHCPv6伺服器)
28
5.新增DHCPv6排除範圍
29
6.設定有效存留期和慣用存留期
30
7.選擇立即啟用領域後,完成領域新增精靈程式
31
8.以滑鼠右鍵按一下「IPv6」,再選取「位址租用」,即可看到管理主控台上所維護的IP租用狀態(Statefule),包括
用戶端的IP位址,名稱與到期日
32
9.以滑鼠右鍵按一下「領域選項」,再選取「設定選項」,設定DNS伺服
33
10.勾選「00023 DNS遞迴名稱伺服器IPv6位址清單」,並在下方新增DNS 伺服器IPv6位址
34
11.以滑鼠右鍵按一下「IPv6」,再選取「領域選項」,即可看到「00023 DNS遞迴名稱伺
服器IPv6位址清單」設定之內容
35
(四)使用Windows 10作為用戶端驗證及測試DHCPv6
• 1. SLAAC+ Stateless DHCPv6
– 當Cisco Router設定發送RA及設定M-bit=0及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會至少同時取得2個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),Cache DNS Server資訊由DHCPv6取得(但當Router與DHCPv6伺服器是由不同台提供功能,可能還是會由DHCPv6伺服器取得第3個IP位址)。
36
37
2.SLAAC+ Stateful DHCPv6(隨機IPv6位址)
• 當Cisco Router設定發送RA及設定M-bit=1及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會同時取得3個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),最後一個是由DHCPv6取得。
38
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)• 若要使用SLAAC+ Stateful DHCPv6,Cisco Router需設定M-
bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送),並在CentOS DHCPv6伺服器的/etc/dhcp/dhcpd6.conf設定檔中,需要先取得Windows 10用戶端的DUID(此處要注意,要把Windows 10的DUID的「-」改為「:」),再加入設定檔後,重新啟動DHCPv6服務。
• 註:DUID的全名為「DHCP Unique Identifiers」(DHCP唯一識別碼),在IPv4的時候,若要依DHCP設定用戶端固定IP,可以依用戶端的MAC address做為識別碼,在IPv6,無法使用MAC address,取而代之的識別碼為DUID,每部用戶端設備只能有1個DUID,若需要辨別單一用戶端的多張網卡(例如同時擁有無線及有線網卡),則需要加入IAID(全名為Identity Association Identifier),每部用戶端的網卡的IAID必需不同,Windows Server 2008之後的DHCPv6 Server已支援IAID的設定。
39
40
41
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
• 若要使用Stateful DHCPv6,Cisco Router需設定M-bit=1,O-bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送)
• Windows 10建議重新開機
42
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration ModeEnter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用RA配
發位址,兩個 172800 秒指的是 valid time 與 life time
43
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
• 若要手動指定IPv6位址,Cisco Router設定不發送RA Prefix(但Gateway還是需要透過RA發送),也不能有DHCPv6伺服器,Windows 10建議重新開機,以免還存留使用RA或是DHCPv6取得的IPv6位址。
44
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
45
4646464646
Thank you!
IPv6防火牆
防火牆配置架構圖
2
防火牆管理策略 (1/2)
裝置 網路參數 服務與通訊埠 安全管理策略
Web IPv4 Address: 210.201.80.130/25 IPv6 Address:
2001:470:fa1f:dd01::2/64
HTTP TCP/80 HTTP+SSL TCP/443
允許對內與對外網域提供Web服務。
Mail IPv4 Address: 210.201.80.131/25 IPv6 Address:
2001:470:fa1f:dd01::3/64
SMTP TCP/25 SMTP+Secure (TLS) TCP/587 SMTP+SSL TCP/465 POP3 TCP/110 POP3+SSL TCP/995 IMAP TCP/143 IMAP+SSL TCP/993
允許對內與對外網域提供Mail相關服務。
FTP IPv4 Address: 210.201.80.132/25 IPv6 Address:
2001:470:fa1f:dd01::4/64
FTP TCP/20 (for data) (主動模式) FTP TCP/21(for control) (Server to
Client) 如果FTP有開啟被動模式,防火
牆必須開放Server端接收被動模式Data Channel之TCP連接埠範圍,或是開啟FTP ALG(Application Layer Gateway)功能。
允許對內與對外網域提供FTP服務。
3
防火牆管理策略 (2/2)
DNS
IPv4 Address: 210.201.80.133/25
IPv6 Address: 2001:470:fa1f:dd01::5/64
DNS TCP/53 DNS UDP/53
允許對內與對外網域提供DNS服務。
DHCPv6-Linux Server
IPv4 Address: 192.168.1.5 IPv6 Address:
2001:470:fa1f:d901::5/64
DHCP只在內部區域網路運作,無需特別設定。
允許對內網域提供DHCP相關服務。
DHCPv6-Windows Server
IPv4 Address: 192.168.1.12 IPv6 Address:
2001:470:fa1f:d901::12/64
DHCP只在內部區域網路運作,無需特別設定。
允許對內網域提供DHCP相關服務。
內部個人電腦
IPv4 Address: 192.168.1.10 IPv6 Address:
2001:470:fa1f:d901::10/64
內部網路可對外連線,但外部網路無法對內連線。
僅允許內部電腦可以對外建立連線,使用網際網路上網。
4
防火牆設定以ZyXEL為例
ZyXEL防火牆
7.2k 5k 10k
6
ZyXEL防火牆
18k 57k 70k 7
ZyWALL USG 20防火牆設定
1. 初始化(重
設原廠值)
2. Transparent Mode 設定
3. 啟動IPv6
功能
4. 防火牆設定
•Address Object定義
•Service Object定義
•Firewall Rule設定
5. 防火牆紀錄
6. 內部電腦
與外部電腦測試
8
背板網路界面配置
9
1. 初始化連線設定
按壓 RESET(重置鍵)凹孔 6~10 秒,恢復原廠設定。
http://192.168.1.1
10
管理界面登入
11
ZyWALL USG 20管理介面
12
2. Transparent Mode 設定-IPv4
13
ConfigurationNetworkInterfaceBridge
Transparent Mode 設定-IPv6
14
ConfigurationNetworkInterfaceBridge
br0介面設定結果
15
3. 啟動IPv6功能
16
4. 防火牆設定
17
ConfigurationObjectAddress
新增Web Server IPv4與IPv6位址Object
18
IPv4與IPv6位址Object設定結果
19
新增SMTP_TLS服務Object
20
ConfigurationObjectServiceService
新增SMTP_TLS服務Object
21
新增Web服務群組Object
22
ConfigurationObjectServiceService Group
新增Mail服務群組Object
23
服務群組Object設定結果
24
IPv4防火牆預設規則
25
IPv6防火牆預設規則
26
開放DMZ Web Server服務設定
27
開放DMZ Mail Server服務設定
28
開放DMZ FTP Server服務設定
29
開放DMZ DNS Server服務設定
30
IPv4防火牆設定結果
31
IPv6防火牆規則設定結果
32
5.防火牆紀錄
33
MonitorLog
6.內部電腦與外部電腦測試
34
問題與討論
35