Fe80: Как IPv6 помогает роутеры ломать / Хабр

Содержание

Как IPv6 помогает роутеры ломать / Хабр

Предисловие

Проснулся я сегодня с мыслью, что огромное количество инструкций по настройке NAT советуют использовать строку вида:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Многие понимают проблемы этой конструкции, и советуют добавлять:
iptables -A FORWARD -i ppp0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT

Но, зачастую, забывают задать таблице FORWARD действие DROP по умолчанию, или добавить правило REJECT в конец таблицы.
На первый взгляд, вроде бы, все кажется нормальным. Однако, это далеко не так. Дело в том, что если не запретить маршрутизировать трафик из WAN-порта в WAN-порт, кто-нибудь из вашей WAN-сети (предположим, что провайдер садит весь подъезд в одну /24) может маршрутизировать трафик через вас, просто прописав ваш IP в качестве шлюза. Все современные SOHO роутеры это учитывают, а вот неопытный администратор, который делает роутер под обычным linux, может не знать или забыть об этом. В подсети моего провайдера таких роутеров не оказалось, и мой план по захвату мира провалился. Однако, статья совсем не об этом.
Магические двоеточия

Как вы, может быть, знаете, многие современные программы и сервисы биндятся на IP :: (два двоеточия), а не на 0.0.0.0, как было раньше. IPv6 адрес :: значит то же самое, что и IPv4 0.0.0.0, т.е. «слушаем все интерфейсы». Многие считают, что если программа слушает ::, то этот сокет может принимать только IPv6-соединения, однако это далеко не так.
В IPv6 есть так называемое отображение IPv4-адресов в IPv6 диапазон. Если программа слушает сокет ::, а к ней обращаются из IPv4-адреса 1.2.3.4, то программа получит соединение с адреса ::ffff:1.2.3.4. Этого можно избежать, сделав:
sysctl -w net.ipv6.bindv6only=1

Но это нужно далеко не всегда, т.к. обычно удобно, что программа слушает один сокет, а получать соединения может по двум протоколам сразу. Практически во всех дистрибутивах, IPv6-сокеты ведут себя именно так, т.е. bindv6only=0.
fe80 и его друг ff02

Если вы не застряли в 90-х, вы гарантированно сталкивались с IPv6, сами того не зная. Абсолютно во всех современных операционных системах по умолчанию включена поддержка IPv6, а это значит, что на каждый (кроме редких исключений) интерфейс автоматически назначается IPv6 Link-Local адрес, который начинается с fe80::. Более того, в некоторых случаях этот адрес получается просто путем кодирования MAC-адреса.
Казалось бы, найти Link-Local адреса должно быть проблематично, они же все-таки длинные и страшные, но тут нам на помощь приходит мультикаст-диапазон ff02::.

Есть такой классный адрес: ff02::1. Если его попинговать (обязательно с указанием интерфейса, т.к. это Link Local адрес), то откликнутся все компьютеры в сети:

% ping6 ff02::1%enp4s0
PING ff02::1%enp4s0(ff02::1) 56 data bytes
64 bytes from fe80::21f:d0ff:fea2:46a3: icmp_seq=1 ttl=64 time=0.056 ms
64 bytes from fe80::fe8b:97ff:fe66:9100: icmp_seq=1 ttl=64 time=1.60 ms (DUP!)
64 bytes from fe80::226:9eff:fe6d:22a0: icmp_seq=1 ttl=64 time=1.62 ms (DUP!)
64 bytes from fe80::f2de:f1ff:fe27:3685: icmp_seq=1 ttl=64 time=1.70 ms (DUP!)
64 bytes from fe80::62a4:4cff:fe7b:1c90: icmp_seq=1 ttl=64 time=2.95 ms (DUP!)
64 bytes from fe80::fac0:91ff:fe32:5bbe: icmp_seq=1 ttl=64 time=3.02 ms (DUP!)
64 bytes from fe80::226:18ff:fe9e:4b3a: icmp_seq=1 ttl=64 time=3.09 ms (DUP!)
64 bytes from fe80::ba70:f4ff:fe8b:8dda: icmp_seq=1 ttl=64 time=3.14 ms (DUP!)
64 bytes from fe80::62a4:4cff:fea2:aee0: icmp_seq=1 ttl=64 time=3.27 ms (DUP!)
64 bytes from fe80::224:54ff:fedb:d17d: icmp_seq=1 ttl=64 time=3.93 ms (DUP!)
64 bytes from fe80::2a1:b0ff:fe40:904: icmp_seq=1 ttl=64 time=4.21 ms (DUP!)
64 bytes from fe80::76d0:2bff:fe69:31d8: icmp_seq=1 ttl=64 time=6.09 ms (DUP!)

Как мы видим, откликнулось 11 устройств. Кстати, этот адрес очень удобно использовать, если у вас, например, сервер настроен на получение адреса через DHCP, а DHCP упал, или если вы напрямую подключились к порту сервера, а DHCP поднимать не хочется. Вам остается просто зайти по fe80-адресу по ssh.

Если попинговать адрес ff02::2, то откликнутся все IPv6-роутеры в сети. К сожалению, в моем случае таких не было.

Сканируем роутеры

Я решил просканировать эти адреса через nmap, и вот что вышло:
% nmap -6 -T4 --open -n -iL list.txt
Скрытый текст
Starting Nmap 6.46 ( http://nmap.org ) at 2014-06-07 16:53 MSK
Nmap scan report for fe80::f2de:f1ff:fe27:3685
Host is up (0.0014s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
53/tcp open  domain

Nmap scan report for fe80::fe8b:97ff:fe66:9100
Host is up (0.0012s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
53/tcp open  domain
80/tcp open  http

Nmap scan report for fe80::226:9eff:fe6d:22a0
Host is up (0.0012s latency).
Not shown: 998 closed ports
PORT   STATE SERVICE
53/tcp open  domain
80/tcp open  http

Nmap scan report for fe80::62a4:4cff:fea2:aee0
Host is up (0.00099s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::226:18ff:fe9e:4b3a
Host is up (0.00094s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::62a4:4cff:fe7b:1c90
Host is up (0.00085s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::76d0:2bff:fe69:31d8
Host is up (0.00072s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::fac0:91ff:fe32:5bbe
Host is up (0.00037s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::ba70:f4ff:fe8b:8dda
Host is up (0.00059s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::2a1:b0ff:fe40:904
Host is up (0.00077s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap scan report for fe80::224:54ff:fedb:d17d
Host is up (0.0012s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
23/tcp open  telnet

Nmap done: 11 IP addresses (11 hosts up) scanned in 4.04 seconds

По IPv4 все эти порты закрыты.
Как мы видим, у многих роутеров открыт Telnet, веб-интерфейс и DNS извне по IPv6.
Что же это значит? Все просто — разработчики прошивки роутера просто-напросто забыли про IPv6.

Роутеры с открытым telnet:

  • ASUS RT-N10 (2.0.3.2)
  • ASUS RT-G32
  • ASUS RT-G32.C1 (2.0.2.6)
  • Upvel UR-312N4G

Роутеры с открытым веб-интерфейсом:
  • D-Link DIR-615 (E4, 5.11NV)
  • D-Link DIR-615 (E4, 5.11RU)

На многих из них были стандартные пароли admin/admin.
На большинстве этих роутеров ip6tables (iptables для IPv6) просто отсутствовал. Разработчики должны были либо вообще отключить поддержку IPv6 в ядре, либо убедиться, что http и telnet демоны слушают

0.0.0.0, а не :: но, по какой-то причине не стали этого делать.

А что, если…?

Если бы на роутере был каким-то образом настроен IPv6, и, соответственно, включена маршрутизация IPv6 пакетов (net.ipv6.conf.all.forwarding=1), а ip6tables либо вообще не настроен, либо настроен неправильно, то можно было бы точно так же, как в случае с IPv4, маршрутизировать пакеты через этот роутер.
Заключение

Некоторым компаниям я уже отправил письма об этих уязвимостях, а некоторым еще не успел. В любом случае, письма будут отправлены всем.
Используйте IPv6, не забывайте о нем.
P.S.

Для меня стало неожиданностью, что браузеры не умеют открывать адреса с указанием интерфейса. У меня никак не получилось открыть ссылку вида http://[fe80::a:b:c:d%enp4s0] во всех браузерах. Говорят, что знак процента нужно экранировать, т.е. http://[fe80::a:b:c:d%25enp4s0], но у меня и так не вышло. Пришлось использовать проброс портов.

IPv6 калькулятор подсетей: 2001:db8:58:74:1c60:2c18:1025:2b5f/96 / shootnick.ru

ПараметрЗначение
Сокращенный IPv6 адрес2001:db8:58:74:1c60:2c18:1025:2b5f
Полный IPv6 адрес2001:0db8:0058:0074:1c60:2c18:1025:2b5f
Длина префикса96
Маска префиксаffff:ffff:ffff:ffff:ffff:ffff:0000:0000
Первый адрес2001:0db8:0058:0074:1c60:2c18:0000:0000
Последний адрес2001:0db8:0058:0074:1c60:2c18:ffff:ffff
Количество доступных адресов4 294 967 296

Ссылка на эту страницу: shootnick.ru/ip6_calc/2001-db8-58-74-1c60-2c18-1025-2b5f/96

Так же у нас есть IPv4 калькулятор подсетей


Познавательное о IPv6 …

IPv6 (англ. Internet Protocol version 6) — новая версия интернет-протокола (IP), призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт целого ряда принципиальных изменений. Протокол был разработан IETF.

На конец 2012 года доля IPv6 в сетевом трафике составляла около 1%. К концу 2013 года ожидался рост до 3%. Согласно статистике Google на октябрь 2018 года, доля IPv6 в сетевом трафике составляла около 25%. В России коммерческое использование операторами связи невелико (не более 1% трафика). DNS-серверы многих российских регистраторов доменов и провайдеров хостинга используют IPv6.

После того, как адресное пространство в IPv4 закончится, два стека протоколов — IPv6 и IPv4 — будут использоваться параллельно (англ. dual stack), с постепенным увеличением доли трафика IPv6, по сравнению с IPv4. Такая ситуация станет возможной из-за наличия огромного количества устройств, в том числе устаревших, не поддерживающих IPv6 и требующих специального преобразования для работы с устройствами, использующими только IPv6.

В конце 1980-х стала очевидна необходимость разработки способов сохранения адресного пространства Интернета. В начале 1990-х, несмотря на внедрение бесклассовой адресации, стало ясно, что этого недостаточно для предотвращения исчерпания адресов и необходимы дальнейшие изменения инфраструктуры Интернета. К началу 1992 года появилось несколько предложений, и к концу 1992 года IETF объявила конкурс для рабочих групп на создание интернет-протокола следующего поколения (англ. IP Next Generation — IPng). 25 июля 1994 года IETF утвердила модель IPng, с образованием нескольких рабочих групп IPng. К 1996 году была выпущена серия RFC, определяющих Интернет-протокол версии 6, начиная с RFC 1883.

IETF назначила новому протоколу версию 6, так как версия 5 была ранее назначена экспериментальному протоколу, предназначенному для передачи видео и аудио.

Оценки времени полного исчерпания IPv4-адресов различались в 2000-х. Так, в 2003 году директор APNIC Пол Уилсон (англ. Paul Wilson) заявил, что, основываясь на темпах развёртывания сети Интернет того времени, свободного адресного пространства хватит на одно—два десятилетия. В сентябре 2005 года Cisco Systems предположила, что пула доступных адресов хватит на 4—5 лет.

3 февраля 2011 агентство IANA распределило последние 5 блоков /8 IPv4 региональным интернет-регистраторам. На этот момент ожидалось, что общий запас свободных блоков адресов у региональных интернет-регистраторов (RIR) закончится в течение срока от полугода (APNIC) до пяти лет (AfriNIC).

По состоянию на сентябрь 2015 года, об исчерпании общего запаса свободных блоков IPv4-адресов и ограничениях на выдачу новых диапазонов адресов объявили все региональные регистраторы, кроме AfriNIC; ARIN объявил о полном исчерпании свободных IPv4-адресов, а для остальных регистраторов этот момент прогнозируется начиная с 2017 года. Выделение IPv4-адресов в Европе, Азии и Латинской Америке (регистраторы APNIC, RIPE NCC и LACNIC) продолжается блоками /22 (по 1024 адреса).

8 июня 2011 года состоялся Международный день IPv6 — мероприятие по тестированию готовности мирового интернет-сообщества к переходу с IPv4 на IPv6, в рамках которого участвующие в акции компании добавили к своим сайтам IPv6-записи на один день. Тестирование прошло успешно, накопленные данные будут проанализированы и учтены при последующем внедрении протокола и для составления рекомендаций.

Перевод на IPv6 начал осуществляться внутри Google с 2008 года. Тестирование IPv6 признано успешным. 6 июня 2012 года состоялся Всемирный запуск IPv6. Интернет-провайдеры включат IPv6 как минимум для 1% своих пользователей (уже подписались AT&T, Comcast, Free Telecom, Internode, KDDI, Time Warner Cable, XS4ALL). Производители сетевого оборудования активируют IPv6 в качестве настроек по умолчанию в маршрутизаторах (Cisco, D-Link). Веб-компании включат IPv6 на своих основных сайтах (Google, Facebook, Microsoft Bing, Yahoo), а некоторые переводят на IPv6 также корпоративные сети. В спецификации стандарта мобильных сетей LTE указана обязательная поддержка протокола IPv6.

Иногда утверждается, что новый протокол может обеспечить до 5·1028 адресов на каждого жителя Земли. Такое большое адресное пространство было введено ради иерархичности адресов (это упрощает маршрутизацию). Тем не менее, увеличенное пространство адресов сделает NAT необязательным. Классическое применение IPv6 (по сети /64 на абонента; используется только unicast-адресация) обеспечит возможность использования более 300 млн IP-адресов на каждого жителя Земли.

Из IPv6 убраны функции, усложняющие работу маршрутизаторов:

  • Маршрутизаторы больше не должны фрагментировать пакет, вместо этого пакет отбрасывается с ICMP-уведомлением о превышении MTU и указанием величины MTU следующего канала, в который этому пакету не удалось войти. В IPv4 размер MTU в ICMP-пакете не указывался, и отправителю требовалось осуществлять подбор MTU техникой Path MTU discovery. Для лучшей работы протоколов, требовательных к потерям, минимальный MTU поднят до 1280 байт. Фрагментация поддерживается как опция (информация о фрагментации пакетов вынесена из основного заголовка в расширенные) и возможна только по инициативе передающей стороны.
  • Из IP-заголовка исключена контрольная сумма. С учётом того, что канальные (Ethernet) и транспортные (TCP и UDP) протоколы имеют свои контрольные суммы, ещё одна контрольная сумма на уровне IP воспринимается как излишняя. Кроме того, модификация поля hop limit (или TTL в IPv4) на каждом маршрутизаторе в IPv4 приводила к необходимости её постоянного перерасчёта.

Несмотря на больший по сравнению с предыдущей версией протокола размер адреса IPv6 (16 байтов вместо 4), заголовок пакета удлинился всего лишь вдвое: с 20 до 40 байт.

Улучшения IPv6 по сравнению с IPv4:

  • В сверхскоростных сетях возможна поддержка огромных пакетов (джамбограмм) — до 4 гигабайт;
  • Time to Live переименовано в Hop Limit;
  • Появились метки потоков и классы трафика;
  • Появилось многоадресное вещание.

При инициализации сетевого интерфейса ему назначается локальный IPv6-адрес, состоящий из префикса fe80::/10 и идентификатора интерфейса, размещённого в младшей части адреса. В качестве идентификатора интерфейса часто используется 64-битный расширенный уникальный идентификатор EUI-64, часто ассоциируемый с MAC-адресом. Локальный адрес действителен только в пределах сетевого сегмента канального уровня и используется для обмена информационными ICMPv6-пакетами.

Для настройки других адресов узел может запросить информацию о настройках сети у маршрутизаторов, отправив ICMPv6-сообщение «Router Solicitation» на групповой адрес маршрутизаторов. Маршрутизаторы, получившие это сообщение, отвечают ICMPv6-сообщением «Router Advertisement», в котором может содержаться информация о сетевом префиксе, адресе шлюза, адресах рекурсивных DNS серверов, MTU и множестве других параметров. Объединяя сетевой префикс и идентификатор интерфейса, узел получает новый адрес. Для защиты персональных данных идентификатор интерфейса может быть заменён на псевдослучайное число.

Для большего административного контроля может быть использован DHCPv6, позволяющий администратору маршрутизатора назначать узлу конкретный адрес.

Для провайдеров может использоваться функция делегирования префиксов клиенту, что позволяет клиенту просто переходить от провайдера к провайдеру, без изменения каких-либо настроек.

Введение в протоколе IPv6 поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток — это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками.

Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-битного числа. Все пакеты одного потока должны иметь одинаковые заголовки, обрабатываемые маршрутизатором.

При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки, выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т.д.) в локальном кэше. Ключом для такой записи является комбинация адреса источника и метки потока. Последующие пакеты с той же комбинацией адреса источника и метки потока обрабатываются с учётом информации кэша без детального анализа всех полей заголовка.

Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока пакет обрабатывается в обычном режиме, и для него происходит новое формирование записи в кэше. Следует отметить, что указанное время жизни потока может быть явно определено узлом отправителем с помощью протокола управления или опций заголовка переходов и может превышать 6 секунд.

Обеспечение безопасности в протоколе IPv6 осуществляется с использованием протокола IPsec, поддержка которого является обязательной для данной версии протокола.

Приоритет пакетов маршрутизаторы определяют на основе первых шести бит поля Traffic Class. Первые три бита определяют класс трафика, оставшиеся биты определяют приоритет удаления. Чем больше значение приоритета, тем выше приоритет пакета.

Разработчики IPv6 рекомендуют использовать для определённых категорий приложений следующие коды класса трафика:

  • класс трафика 0 — Нехарактеризованный трафик
  • класс трафика 1 — Заполняющий трафик (сетевые новости)
  • класс трафика 2 — Несущественный информационный трафик (электронная почта)
  • класс трафика 3 — Резерв
  • класс трафика 4 — Существенный трафик (FTP, HTTP, NFS)
  • класс трафика 5 — Резерв
  • класс трафика 6 — Интерактивный трафик (Telnet, X-terminal, SSH)
  • класс трафика 7 — Управляющий трафик (Маршрутная информация, SNMP)

В отличие от SSL и TLS, протокол IPsec позволит шифровать любые данные (в том числе UDP) без необходимости какой-либо поддержки со стороны прикладного ПО.

Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные (Multicast).

Адреса типа Unicast хорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.

Адреса типа Anycast синтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.

Адреса типа Multicast идентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.

Широковещательные адреса IPv4 (обычно xxx.xxx.xxx.255) выражаются адресами многоадресного вещания IPv6. Крайние адреса подсети IPv6 (например, xxxx:xxxx:xxxx:xxxx:0:0:0:0 и xxxx:xxxx:xxxx:xxxx:ffff:ffff:ffff:ffff для подсети /64) являются полноправными адресами и могут использоваться наравне с остальными.

Группы цифр в адресе разделяются двоеточиями (например, fe80:0:0:0:200:f8ff:fe21:67cf). Незначащие старшие нули в группах могут быть опущены. Большое количество нулевых групп может быть пропущено с помощью двойного двоеточия (fe80::200:f8ff:fe21:67cf). Такой пропуск должен быть единственным в адресе.

Типы Unicast-адресов

  • Глобальные
    Соответствуют публичным IPv4-адресам. Могут находиться в любом не занятом диапазоне. В настоящее время региональные интернет-регистраторы распределяют блок адресов 2000::/3 (с 2000:: по 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff).
  • Link-Local
    Соответствуют автосконфигурированным с помощью протокола APIPA IPv4 адресам. Начинаются с FE80:.
      Используется:
    • В качестве исходного адреса для Router Solicitation(RS) и Router Advertisement(RA) сообщений, для обнаружения маршрутизаторов.
    • Для обнаружения соседей (эквивалент ARP для IPv4).
    • Как next-hop-адрес для маршрутов.
  • Unique-Local

RFC 4193, соответствуют внутренним IP-адресам, которыми в версии IPv4 являлись 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Начинаются с цифр FCxx: и FDxx:.

Типы Multicast-адресов
Адреса мультикаст бывают двух типов:

  • Назначенные (Assigned multicast) — специальные адреса, назначение которых предопределено. Это зарезервированные для определённых групп устройств мультикастовые адреса. Отправляемый на такой адрес пакет будет получен всеми устройствами, входящими в группу.
  • Запрошенные (Solicited multicast) — остальные адреса, которые устройства могут использовать для прикладных задач. Адрес этого типа автоматически появляется, когда на некотором интерфейсе появляется юникастовый адрес. Адрес формируется из сети ff02:0:0:0:0:1:ff00::/104, оставшиеся 24 бита — такие же, как у настроенного юникастового адреса.

Пакеты состоят из управляющей информации, необходимой для доставки пакета адресату, и полезных данных, которые требуется переслать. Управляющая информация делится на содержащуюся в основном фиксированном заголовке, и содержащуюся в одном из необязательных дополнительных заголовков. Полезные данные, как правило, это дейтаграмма или фрагмент протокола более высокого транспортного уровня, но могут быть и данные сетевого уровня (например ICMPv6, OSPF).

IPv6-пакеты обычно передаются с помощью протоколов канального уровня, таких как Ethernet, который инкапсулирует каждый пакет в кадр. Но IPv6-пакет может быть передан с помощью туннельного протокола более высокого уровня, например в 6to4 или Teredo.

Адреса IPv6 отображаются как восемь четырёхзначных шестнадцатеричных чисел (то есть групп по четыре символа), разделённых двоеточием. Пример адреса:

2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d

Если две и более групп подряд равны 0000, то они могут быть опущены и заменены на двойное двоеточие (::). Незначащие старшие нули в группах могут быть опущены. Например, 2001:0db8:0000:0000:0000:0000:ae21:ad12 может быть сокращён до 2001:db8::ae21:ad12, или 0000:0000:0000:0000:0000:0000:ae21:ad12 может быть сокращён до ::ae21:ad12. Сокращению не могут быть подвергнуты 2 разделённые нулевые группы из-за возникновения неоднозначности.

Также есть специальная нотация для записи встроенного и отображённого IPv4 на IPv6. В ней последние 2 группы знаков заменены на IPv4-адрес в его формате. Пример:

::ffff:192.0.2.1

При использовании IPv6-адреса в URL необходимо заключать адрес в квадратные скобки:

http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]/

Если необходимо указать порт, то он пишется после скобок:

http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]:8080/

Понимание адреса IPv6 Link-Local — Cisco

Введение

Цель этого документа — обеспечить понимание адреса IPv6 Link-Local в сети. Локальный адрес для канала представляет собой одиночный адрес IPv6, который может быть автоматически настроен на любом интерфейсе посредством префикса локальных адресов для канала FE80::/10 (1111 1110 10) и идентификатора интерфейса в модифицированном формате EUI-64. Адреса Link-Local не обязательно связаны с MAC-адресом (настроенным в формате EUI-64). Адреса Link-Local можно также настроить вручную в формате FE80::/10 с помощью команды ipv6 address link-local.

Эти адреса обращаются только к определенному физическому каналу и используются для адресации на одном канале в таких целях, как автоматическая конфигурация адреса и протокол обнаружения соседей. Адреса Link-local можно использовать для достижения соседних узлов, подключенных к тому же каналу. Для обмена данными между узлами глобально уникальный адрес не требуется. Маршрутизаторы не перенаправляют датаграмму с использованием адресов Link-local. Маршрутизаторы IPv6 не должны перенаправлять пакеты, у которых исходные или целевые адреса Link-local относятся к другим каналам. Все интерфейсы с поддержкой IPv6 имеют одиночный адрес Link-local.

Предварительные условия

Требования

Убедитесь, что вы ознакамливаетесь с Форматами Адреса IPv6 перед попыткой этой конфигурации.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Конфигурации в этом документе основываются на Маршрутизаторе серии Cisco 3700 с Выпуском 12.4 (15) T1 программного обеспечения Cisco IOS.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В данном примере маршрутизаторы R1, R2 и R3 подключены через последовательный интерфейс, и для них настроены адреса IPv6, как упомянуто в схеме сети. Адреса обратной связи настроены на маршрутизаторах R1 и R3, а для связи друг с другом маршрутизаторы используют OSPFv3. В данном примере используется команда ping для демонстрации возможности подключения между маршрутизаторами с использованием адресов Link-local. Маршрутизаторы R1 и R3 могут пропинговать друг друга с глобальным адресом индивидуальной рассылки IPv6, но не с адресом Link-local. Однако маршрутизатор R2, напрямую подключающийся к R1 и R3, может связываться с обоими маршрутизаторами с их адреса Link-local, поскольку адреса Link-local используются только в той локальной сети, которая относится к конкретному физическому интерфейсу.

Схема сети

В настоящем документе используется следующая схема сети:

Конфигурации

В этом документе используются следующие конфигурации:

Вот ссылка на видео (доступное на сайте сообщества Cisco Support), которое демонстрирует основное различие между адресом IPv6 Link-local и глобальным индивидуальным адресом рассылки в маршрутизаторах Cisco IOS:

Понимание адреса IPv6 Link-Local

Маршрутизатор М1
!
hostname R1
!
ipv6 cef
!
ipv6 unicast-routing
!
interface Loopback10
 no ip address
 
 ipv6 address 2010::/64 eui-64

!--- Assigned a IPv6 unicast address in EUI-64 format.

  ipv6 ospf 1 area 1

!--- Enables OSPFv3 on the interface and associates the interface looback10 to area 1.

!
interface Loopback20
 no ip address
 
 ipv6 address 2020::/64 eui-64
 ipv6 ospf 1 area 2

!--- Associates the Interface loopback20 to area 2.

!
interface Serial0/0
 no ip address
 
 ipv6 address 2001::1/124
 ipv6 ospf 1 area 0

!--- Associates the Interface serial0/0 to area 0.

 clock rate 2000000
!
ipv6 router ospf 1
 router-id 1.1.1.1

!--- Router R1 uses 1.1.1.1 as router id.

 log-adjacency-changes
!
end
Маршрутизатор М2 Маршрутизатор R3
hostname R2
!
ipv6 cef
!
!
!
!
ipv6 unicast-routing
!
!
!
interface Serial0/0
 no ip address
 
 ipv6 address 2001::2/124
 ipv6 ospf 1 area 0
 clock rate 2000000
!
!
interface Serial0/1
 no ip address
 
 ipv6 address 2002::1/124
 ipv6 ospf 1 area 0
 clock rate 2000000
!
!
!
ipv6 router ospf 1
router-id 2.2.2.2
log-adjacency-changes
!
end
!
hostname R3
!
ipv6 cef
!
ipv6 unicast-routing
!
interface Loopback10
 no ip address
 
 ipv6 address 1010::/64 eui-64
 ipv6 ospf 1 area 1
!
interface Loopback20
 no ip address
 
 ipv6 address 2020::/64 eui-64
 ipv6 ospf 1 area 2
!
interface Serial0/0
 no ip address
 
 ipv6 address FE80::AB8 link-local
 ipv6 address 2002::2/124
 ipv6 ospf 1 area 0
 clock rate 2000000
!
ipv6 router ospf 1
 router-id 3.3.3.3
 log-adjacency-changes
!
end

Проверка

Проверка конфигурации OSPF

Этот раздел позволяет убедиться, что конфигурация работает правильно.

Для того чтобы убедиться, что OSPF был настроен правильно, используйте команду show ipv6 route ospf на маршрутизаторах R1 и R3.

show ipv6 route ospf
Маршрутизатор М1
R1#show ipv6 route ospf
IPv6 Routing Table - 10 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
OI  1010::C002:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
O   2002::/124 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
OI  2020::C002:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
Маршрутизатор R3
R3#show ipv6 route ospf
IPv6 Routing Table - 10 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
O   2001::/124 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
OI  2010::C000:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0
OI  2020::C000:1DFF:FEE0:0/128 [110/128]
     via FE80::C001:1DFF:FEE0:0, Serial0/0

Проверка достижимости адреса Link-Local

Маршрутизаторы могут пропинговать друг друга с глобальным адресом индивидуальной рассылки. Однако при использовании адреса Link-local могут связываться только непосредственно подключенные сети. Например, R1 может пропинговать R3 с помощью глобального адреса индивидуальной рассылки, но эти два маршрутизатора не могут обмениваться данными с помощью адресов Link-local. Это показано с помощью команд ping и debug ipv6 icmp на маршрутизаторах R1 и R3. В этом разделе содержатся сценарии для улучшения понимания адресов Link-local.

Пингование адреса Link-Local из удаленной сети

Когда маршрутизатор R1 пытается связаться с маршрутизатором R3 с помощью адреса Link-local, маршрутизатор R1 возвращает сообщение о таймауте ICMP, указывающее, что адрес Link-local определен локально и не может связаться с адресами Link-local, находящимися за пределами непосредственно подключенной сети.

Пингование адреса Link-Local R3 с маршрутизатора R1
На маршрутизаторе R1
R1#ping FE80::AB8

!--- Pinging Link-Local Address of router R3.

Output Interface: serial0/0

!--- To ping LLA, output interface must be entered.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C000:1DFF:FEE0:0
.....
Success rate is 0 percent (0/5)

!--- The ping is unsuccessful and the ICMP packet cannot reach the destination through serial0/0. !--- This timeout indicates that R1 has not received any replies from the router R3.

Пингование адреса Link-Local из непосредственно подключенной сети

Для маршрутизатора R2 маршрутизаторы R1 и R3 напрямую подключаются и могут пропинговать адрес Link-local обоих маршрутизаторов R1 и R2 путем упоминания соответствующего интерфейса, подключенного к маршрутизатору. Выходные данные показаны здесь:

Пингование адресов Link-Local R1 с маршрутизатора R2
В маршрутизаторе R2
R2#ping FE80::C000:1DFF:FEE0:0

!--- Pinging Link-Local Address of router R1.

Output Interface: serial0/0

!--- Note that, to ping LLA, output interface should be mentioned In our case, R2 connects to R1 via serial0/0.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::C000:1DFF:FEE0:0, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/19/56 ms
Выходные данные отладки от R1
R1#
*Mar  1 03:59:53.367: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.371: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.423: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.427: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.463: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.463: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.467: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.467: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R1#
*Mar  1 03:59:53.471: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 03:59:53.471: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

!--- The debug output shows that the router R2 can ping router R1's link-local address.

Пингование адресов Link-Local R3 с маршрутизатора R2
В маршрутизаторе R2
R2#pingFE80::AB8 

!--- Pinging Link-Local Address of router R3.

Output Interface: serial0/1

!--- Note that,to ping LLA,output interface should be mentioned. In our case, R2 connects to R3 throught serial0/1.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/18/60 ms
Выходные данные отладки от R3
R3#
*Mar  1 04:12:11.518: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.522: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.594: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.598: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.618: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.618: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.622: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.622: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R3#
*Mar  1 04:12:11.626: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 04:12:11.630: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

!--- The debug output shows that the router R2 can ping router R3's link-local address.

Адрес Link-local, как подразумевает его название, определен только в соответствующей локальной сети. Другими словами, маршрутизаторы могут иметь один и тот же адрес Link-local, и при этом непосредственно подключенные сети могут обмениваться данными друг с другом без конфликтов. Это не будет так же в случае глобального адреса индивидуальной рассылки. Глобальный адрес индивидуальной рассылки, являющийся маршрутизируемым, должен быть уникальным в сети. Команда show ipv6 interface brief показывает информацию об адресе Link-local на интерфейсе.

show ipv6 interface brief
На маршрутизаторе R1
R1#show ipv6 interface brief
Serial0/0                  [up/up]
    FE80::AB8
    2001::1
Loopback10                 [up/up]
    FE80::C000:1DFF:FEE0:0
    2010::C000:1DFF:FEE0:0
Loopback20                 [up/up]
    FE80::C000:1DFF:FEE0:0
    2020::C000:1DFF:FEE0:0
В маршрутизаторе R3
R3#show ipv6 interface brief

Serial0/0                  [up/up]
    FE80::AB8
    2002::2
Loopback10                 [up/up]
    FE80::C002:1DFF:FEE0:0
    1010::C002:1DFF:FEE0:0
Loopback20                 [up/up]
    FE80::C002:1DFF:FEE0:0
    2020::C002:1DFF:FEE0:0

!--- Shows that R1 and R3's serial interface has same link-local address FE80::AB8.

В данном примере маршрутизаторам R1 и R3 назначен одинаковый адрес Link-local, а R2 все равно может достигнуть обоих маршрутизаторов, указав соответствующий выходной интерфейс.

Пингование адреса Link-local R1 и R3 с R2
Прозванивание локального для канала адреса R1 от R2
R2#ping FE80::AB8
Output Interface: serial0/0

!--- R2 is connected to R1 through serial0/0.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 0/26/92 ms
Выходные данные отладки от R1
R1#
*Mar  1 19:51:31.855: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.859: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.915: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.919: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.947: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.947: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R1#
*Mar  1 19:51:31.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:51:31.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
Прозванивание локального для канала адреса R3 от R2
R2#ping FE80::AB8
Output Interface: serial0/1

!--- R2 is connected to R1 through serial0/1.

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds:
Packet sent with a source address of FE80::C001:1DFF:FEE0:0
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/28/76 ms
Выходные данные отладки от R3
R3#
*Mar  1 19:53:38.815: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.819: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.911: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.915: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.923: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.927: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0
R3#
*Mar  1 19:53:38.963: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0
*Mar  1 19:53:38.963: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0

 Примечание. R2 может пропинговать адрес Link-local R1 и R3 только потому, что они подключены напрямую. R2 не может пропинговать адрес Link-local интерфейсов обратной связи в маршрутизаторах R1 и R3, поскольку они непосредственно не подключены. Эхозапрос работает для адресов Link-local только в случае непосредственно подключенных сетей.

 Примечание. Трассировки маршрутов не работают в случае адресов Link-local и возвращаются с ошибкой % No valid source address for destination (Нет допустимого исходного адреса для назначения). сообщение об ошибке. Это вызвано тем, что маршрутизаторы IPv6 не должны перенаправлять пакеты, у которых адреса источника или назначения % No valid source address for destination ведут к другим каналам.

Дополнительные сведения

IPv6 — типы адресов и форматы

Прежде чем вводить формат адреса IPv6, мы рассмотрим шестнадцатеричную систему счисления. Шестнадцатеричная система — это позиционная система счисления, в которой используется основание (основание) 16. Для представления значений в читаемом формате эта система использует 0-9 символов для представления значений от нуля до девяти и AF для представления значений от десяти до пятнадцати. Каждая цифра в шестнадцатеричном формате может представлять значения от 0 до 15.

[ Изображение: таблица преобразования ]

Структура адреса

Адрес IPv6 состоит из 128 бит, разделенных на восемь 16-битных блоков. Каждый блок затем преобразуется в 4-значные шестнадцатеричные числа, разделенные двоеточиями.

Например, ниже приведен 128-битный адрес IPv6, представленный в двоичном формате и разделенный на восемь 16-битных блоков:

0010000000000001 0000000000000000 0011001000111000 1101111111100001 0000000001100011 0000000000000000 0000000000000000 1111111011111011

Затем каждый блок преобразуется в шестнадцатеричный и разделяется символом «:»:

2001: 0000: 3238: DFE1: 0063: 0000: 0000: FEFB

Даже после преобразования в шестнадцатеричный формат адрес IPv6 остается длинным. IPv6 предоставляет некоторые правила для сокращения адреса. Правила следующие:

Правило 1: отбросить ведущий ноль (и):

В блоке 5 0063 первые два 0 могут быть опущены, например (5-й блок):

2001: 0000: 3238: DFE1: 63: 0000: 0000: FEFB

Правило 2: Если два или более блоков содержат последовательные нули, пропустите их все и замените их знаком двойного двоеточия ::, например (6-й и 7-й блок):

2001: 0000: 3238: DFE1: 63 :: FEFB

Последовательные блоки нулей могут быть заменены только один раз на ::, так что если в адресе все еще есть блоки нулей, они могут быть сокращены до одного нуля, например (2-й блок):

2001: 0: 3238: DFE1: 63 :: FEFB

Идентификатор интерфейса

IPv6 имеет три различных типа схемы одноадресного адреса. Вторая половина адреса (последние 64 бита) всегда используется для идентификатора интерфейса. MAC-адрес системы состоит из 48 бит и представлен в шестнадцатеричном формате. MAC-адреса считаются уникальными во всем мире. Идентификатор интерфейса использует преимущества этой уникальности MAC-адресов. Хост может автоматически настроить свой идентификатор интерфейса с помощью формата расширенного уникального идентификатора IEEE (EUI-64). Во-первых, хост делит свой собственный MAC-адрес на две 24-битные половины. Затем 16-разрядное шестнадцатеричное значение 0xFFFE помещается в эти две половины MAC-адреса, что приводит к идентификатору интерфейса EUI-64.

[ Изображение: идентификатор интерфейса EUI-64 ]

Преобразование идентификатора EUI-64 в идентификатор интерфейса IPv6

Для преобразования идентификатора EUI-64 в идентификатор интерфейса IPv6 дополняется наиболее значимый 7-й бит идентификатора EUI-64. Например:

[ Изображение: идентификатор интерфейса IPV6 ]

Глобальный одноадресный адрес

Этот тип адреса эквивалентен общему адресу IPv4. Глобальные одноадресные адреса в IPv6 являются глобально идентифицируемыми и уникально адресуемыми.

[ Изображение: глобальный одноадресный адрес ]

Префикс глобальной маршрутизации: наиболее значимые 48-разрядные обозначаются как префикс глобальной маршрутизации, который назначается конкретной автономной системе. Три наиболее значимых бита префикса глобальной маршрутизации всегда установлены на 001.

Link-Local Address

Автоматически настроенный адрес IPv6 известен как локальный адрес канала. Этот адрес всегда начинается с FE80. Первые 16 бит локального адреса канала всегда устанавливаются на 1111 1110 1000 0000 (FE80). Следующие 48 битов установлены в 0, таким образом:

[ Изображение: Link-Local Address ]

Локальные адреса канала используются для связи между хостами IPv6 только по каналу (широковещательный сегмент). Эти адреса не являются маршрутизируемыми, поэтому маршрутизатор никогда не передает эти адреса за пределы ссылки.

Уникальный локальный адрес

Этот тип IPv6-адреса является глобально уникальным, но его следует использовать в локальной связи. Вторая половина этого адреса содержит идентификатор интерфейса, а первая половина разделена на префикс, локальный бит, глобальный идентификатор и идентификатор подсети.

[ Изображение: уникальный локальный адрес ]

Префикс всегда устанавливается в 1111 110. L бит, устанавливается в 1, если адрес назначен локально. Пока что значение L бит в 0 не определено. Поэтому уникальный локальный IPv6-адрес всегда начинается с «FD».

Объем адресов IPv6 Unicast:

[ Изображение: IPv6 Unicast Address Scope ]

Область действия Link-local address ограничена сегментом. Уникальный локальный адрес локально глобален, но не маршрутизируется через Интернет, ограничивая область его действия до границ организации. Адреса Global Unicast являются уникальными и узнаваемыми во всем мире. Они должны составить суть интернет-адресации v2.

IP fe80::6a3e:34ff:fea1:727b — WHOIS IP Lookup информация об IP-адресе fe80::6a3e:34ff:fea1:727b, отзывы, страна, город, ASN, ISP, интернет-провайдер, сайты на IP fe80::6a3e:34ff:fea1:727b

    • Портал WHOISWHOIS.UANIC.NAME
    • Основной сайт UANIC.NAME
    • Раздел заказа услугGlobal.UANIC.NAME
    • БиллингBilling.UANIC.NAME
    • Партнёрская программаPartners.UANIC.NAME
    • Реселлерская программаReseller.UANIC.NAME
    • Служба поддержкиSupport.UANIC.NAME
  • WHOIS
    • Публичная база WHOIS UANIC
    • Полная WHOIS информация по домену
    • Краткая WHOIS информация по домену
  • IP
    • Получить информацию об IP-адресе
    • Публичная база WHOIS IP UANIC
    • Публичная база WHOIS IP RIPE
  • SEO & Анализ
    • Подробный SEO — анализ сайта
    • Анализ поисковых запросов
    • Информация о контенте
    • Анализ HTML-верстки и содержания
    • Анализ HTML-метатегов
    • Анализ посещаемости сайта
    • Проверка стоимости сайта
    • Подбор аналогов сайта
  • Инструменты
    • Проверить доступность сайта
    • Определить стоимость сайта
    • Определить время отклика (Ping)
    • Проверить сайт на виру

Интернет-шлюз на базе Ubuntu Server 18.04 LTS. Категория: ОС Linux • Разное

Небольшой эксперимент создания интернет-шлюза на Ubuntu Server. У меня дома компьютер с установленной Windows 10 и VirtualBox. Давайте создадим четыре виртуальные машины router, pc-1, pc-2 и server . Все виртуальные машины находятся в одной сети 192.168.30.0/24. При этом у виртуальной машины router два сетевых интерфейса:

  • enp0s3 (сетевой мост) — смотрит в домашнюю сеть, получает ip-адрес 192.168.110.8 от роутера
  • enp0s8 (внутренняя сеть) — смотрит в одну сеть с виртуальными машинами pc-1, pc-2 и server

Тут надо сказать несколько слов о настройке сети в VirtualBox. Существует несколько способов, рассмотрим два из них:

  • Сетевой мост — при таком подключении виртуальная машина становится полноценным членом локальной сети, к которой подключена основная система. Виртуальная машина получает адрес у роутера и становится доступна для других устройств, как и основной компьютер, по своему ip-адресу.
  • Внутренняя сеть — тип подключения симулирует закрытую сеть, доступную только для входящих в ее состав машин. Поскольку виртуальные машины не имеет прямого доступа к физическому сетевому адаптеру основной системы, то сеть получается полностью закрытой, снаружи и изнутри.

Как нетрудно догадаться, у виртуальных машин pc-1, pc-2 и server будет по одному интерфейсу (внутренняя сеть). У виртуальной машины router два интерфейса и она будет обеспечивать выход в интернет для pc-1, pc-2 и server.

Настройка сети для router

Сначала нужно посмотреть, как называются сетевые интерфейсы в системе:

$ ls /sys/class/net
enp0s3  enp0s8  lo

Теперь редактируем файл /etc/netplan/01-netcfg.yaml

$ sudo nano /etc/netplan/01-netcfg.yaml
# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s3:
      dhcp4: yes
    enp0s8:
      dhcp4: no
      addresses: [192.168.30.1/24]
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4]

Применяем настройки и смотрим сетевые интерфейсы:

$ sudo netplan apply # применить настройки из YAML-файла к работающей системе
$ sudo netplan generate # сохранить текущие настройки в файл конфигурации networkd
$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:10:c6:da brd ff:ff:ff:ff:ff:ff
    inet 192.168.110.8/24 brd 192.168.110.255 scope global dynamic enp0s3
       valid_lft 18333sec preferred_lft 18333sec
    inet6 fe80::a00:27ff:fe10:c6da/64 scope link 
       valid_lft forever preferred_lft forever
3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:4e:0e:a0 brd ff:ff:ff:ff:ff:ff
    inet 192.168.30.1/24 brd 192.168.30.255 scope global enp0s8
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe4e:ea0/64 scope link 
       valid_lft forever preferred_lft forever

Первый сетевой интерфейс enp0s3 получил ip-адрес 192.168.110.8 от домашнего роутера (этот адрес закреплен постоянно для router). Второму сетевому интерфейсу enp0s8 мы назначили ip-адрес 192.168.30.1.

Настройка сети для pc-1, pc-2 и server

Сначала для виртуальной машины pc-1. Смотрим, как называются сетевые интерфейсы в системе:

$ ls /sys/class/net
enp0s3  lo

Открываем на редактирование файл /etc/netplan/01-netcfg.yaml:

$ sudo nano /etc/netplan/01-netcfg.yaml
# This file describes the network interfaces available on your system
# For more information, see netplan(5).
network:
  version: 2
  renderer: networkd
  ethernets:
    enp0s3:
      dhcp4: no
      addresses: [192.168.30.2/24]
      gateway4: 192.168.30.1
      nameservers:
        addresses: [8.8.8.8, 8.8.4.4]

Применяем настройки и смотрим сетевые интерфейсы:

$ sudo netplan apply # применить настройки из YAML-файла к работающей системе
$ sudo netplan generate # сохранить текущие настройки в файл конфигурации networkd
$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:28:be:b7 brd ff:ff:ff:ff:ff:ff
    inet 192.168.30.2/24 brd 192.168.30.255 scope global enp0s3
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe28:beb7/64 scope link 
       valid_lft forever preferred_lft forever

Для виртуальных машин pc-2 и server все будет аналогично, так что не буду описывать подробно. Для примера — виртуальной машине pc-2 мы назначили ip-адрес 192.168.30.3/24:

$ ip addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000
    link/ether 08:00:27:28:b0:4b brd ff:ff:ff:ff:ff:ff
    inet 192.168.30.3/24 brd 192.168.30.255 scope global enp0s3
       valid_lft forever preferred_lft forever
    inet6 fe80::a00:27ff:fe28:b04b/64 scope link 
       valid_lft forever preferred_lft forever

Настройка интернет-шлюза

Виртуальная машина router должна обеспечивать выход в интернет для всех компьютеров из локальной сети 192.168.30.0/24. По умолчанию транзитный трафик отключен, так что редактируем файл /etc/sysctl.conf:

$ sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1

Чтобы внесенные изменения вступили в силу:

$ sudo sysctl -p /etc/sysctl.conf
net.ipv4.ip_forward = 1

После этого настраиваем netfilter с помощью утилиты iptables:

$ sudo iptables -P FORWARD DROP
$ sudo iptables -A FORWARD -i enp0s8 -o enp0s3 -s 192.168.30.0/24 -j ACCEPT
$ sudo iptables -A FORWARD -i enp0s3 -o enp0s8 -d 192.168.30.0/24 -j ACCEPT

И смотрим, что получилось:

$ sudo iptables -L -v --line-numbers
Chain INPUT (policy ACCEPT 781 packets, 4517K bytes)
num  pkts  bytes  target   prot  opt  in      out     source            destination         

Chain FORWARD (policy DROP 0 packets, 0 bytes)
num  pkts  bytes  target   prot  opt  in      out     source            destination
1      57   4213  ACCEPT   all   --   enp0s8  enp0s3  192.168.30.0/24   anywhere
2      52  87384  ACCEPT   all   --   enp0s3  enp0s8  anywhere          192.168.30.0/24

Chain OUTPUT (policy ACCEPT 639 packets, 49312 bytes)
num  pkts  bytes  target   prot  opt  in      out     source            destination

Мы разрешили ходить транзитным пакетам для нашего диапазона ip-адресов, а всё остальное запретили. Теперь настроим SNAT (подмена адреса источника), что позволит всем компьютерам сети выходить в интернет, используя единственный ip-адрес 192.168.110.8.

$ sudo iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o enp0s3 -j SNAT --to-source 192.168.110.8

И смотрим, что получилось:

$ sudo iptables -t nat -L -v --line-numbers
Chain PREROUTING (policy ACCEPT 27 packets, 3020 bytes)
num  pkts  bytes  target   prot  opt  in   out     source            destination

Chain INPUT (policy ACCEPT 11 packets, 1416 bytes)
num  pkts  bytes  target   prot  opt  in   out     source            destination

Chain OUTPUT (policy ACCEPT 71 packets, 5632 bytes)
num  pkts  bytes  target   prot  opt  in   out     source            destination

Chain POSTROUTING (policy ACCEPT 71 packets, 5632 bytes)
num  pkts  bytes  target   prot  opt  in   out     source            destination
1       4    240  SNAT     all   --   any  enp0s3  192.168.30.0/24   anywhere     to:192.168.110.8

Теперь проверяем наличие интернета на виртуальных машинах pc-1, pc-2 и server:

$ host ya.ru
ya.ru has address 87.250.250.242
ya.ru has IPv6 address 2a02:6b8::2:242
ya.ru mail is handled by 10 mx.yandex.ru.

Доступ внутрь сети

Давайте теперь посмотрим, как получить доступ извне к компьютеру внутри сети 192.168.30.0/24. Установим на виртуальную машину server SSH-сервер:

$ sudo apt install openssh-server

А на виртуальной машине router будем отбирать tcp-пакеты, которые приходят на интерфейс enp0s3 на порт 2222 и отправлять эти пакеты виртуальной машине server на порт 22, заменяя в пакетах пункт назначения на 192.168.30.254:

$ sudo iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 2222 -j DNAT --to-destination 192.168.30.254:22

Смотрим, что получилось:

$ sudo iptables -t nat -L -v --line-numbers
Chain PREROUTING (policy ACCEPT 27 packets, 3020 bytes)
num  pkts  bytes  target   prot  opt  in      out     source         destination
1       0      0  DNAT     tcp   --   enp0s3  any     anywhere       anywhere     tcp dpt:2222 to:192.168.30.254:22

Chain INPUT (policy ACCEPT 11 packets, 1416 bytes)
num  pkts  bytes  target   prot  opt  in   out       source          destination

Chain OUTPUT (policy ACCEPT 71 packets, 5632 bytes)
num  pkts  bytes  target   prot  opt  in   out       source          destination

Chain POSTROUTING (policy ACCEPT 71 packets, 5632 bytes)
num  pkts  bytes  target   prot  opt  in   out     source            destination
1       4    240  SNAT     all   --   any  enp0s3  192.168.30.0/24   anywhere     to:192.168.110.8

Теперь попробуем с физического компьютера установить ssh-соединение с виртуальной машиной server. Открываем PowerShell и выполняем команду:

> ssh -p 2222 [email protected]
The authenticity of host '[192.168.110.8]:2222 ([192.168.110.8]:2222)' can't be established.
ECDSA key fingerprint is SHA256:c3C3sagcS9j1ObcH6NI+6zFkyV6yyGTc64ASKRLhB0g.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '[192.168.110.8]:2222' (ECDSA) to the list of known hosts.
[email protected]'s password: пароль
Welcome to Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-74-generic x86_64)

Мы в команде указываем порт 2222 и ip-адрес виртуальной машины router192.168.110.8, которая находится в одной сети 192.168.110.0/24 с физическим компьютером. А виртуальная машина router пробрасывает это соединение с интерфейса enp0s3 на интерфейс enp0s8 и дальше — виртуальной машине server, но уже на порт 22.

Сохранение правил netfilter

Созданные с помощью утилиты iptables правила пропадут при перезагрузке. Так что их нужно сохранить и восстанавливать при перезагрузке. В этом нам поможет пакет iptables-persistent:

$ sudo apt install iptables-persistent

При установке пакета будет предложено сохранить текущие правила iptables:

  • в файл /etc/iptables/rules.v4 для протокола IPv4
  • в файл /etc/iptables/rules.v6 для протокола IPv6

После установки пакета будет добавлена новая служба netfilter-persistent.service, которая при загрузке системы будет восстанавливать созданные нами правила:

$ systemctl status netfilter-persistent.service
● netfilter-persistent.service - netfilter persistent configuration
   Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled)
   Active: active (exited) since Sat 2020-02-22 11:20:44 MSK; 2h 32min ago
  Process: 446 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS)
 Main PID: 446 (code=exited, status=0/SUCCESS)

фев 22 11:20:43 router systemd[1]: Starting netfilter persistent configuration...
фев 22 11:20:44 router systemd[1]: Started netfilter persistent configuration.

При добавлении новых правил, надо сохранить конфигурацию с помощью команды

$ sudo iptables-save > /etc/iptables/rules.v4

Восстановить ранее сохраненную конфигурацию можно с помощью команды

$ sudo iptables-restore < /etc/iptables/rules.v4

Поиск: Linux • SSH • Ubuntu • Конфигурация • Настройка • Сервер • VirtualBox • Виртуальная машина • Маршрутизатор • iptables • NAT • Шлюз

Лучшая цена fe 80 — Отличные предложения на fe 80 от мировых продавцов fe 80

Отличные новости !!! Для fe 80 вы находитесь в нужном месте. Теперь вы уже знаете, что все, что вы ищете, вы обязательно найдете на AliExpress. У нас буквально тысячи отличных продуктов во всех товарных категориях. Ищете ли вы товары высокого класса или дешевые и недорогие оптовые закупки, мы гарантируем, что он есть на AliExpress.

Вы найдете официальные магазины торговых марок наряду с небольшими независимыми продавцами со скидками, каждый из которых предлагает быструю доставку и надежные, а также удобные и безопасные способы оплаты, независимо от того, сколько вы решите потратить.

AliExpress никогда не уступит по выбору, качеству и цене.Каждый день вы будете находить новые онлайн-предложения, скидки в магазинах и возможность сэкономить еще больше, собирая купоны. Но вам, возможно, придется действовать быстро, так как этот топовый Fe 80 в кратчайшие сроки станет одним из самых востребованных бестселлеров. Подумайте, как вам будут завидовать друзья, когда вы скажете им, что получили fe 80 на AliExpress. Благодаря самым низким ценам в Интернете, дешевым тарифам на доставку и возможности получения на месте вы можете еще больше сэкономить.

Если вы все еще не уверены в fe 80 и думаете о выборе аналогичного товара, AliExpress — отличное место для сравнения цен и продавцов.Мы поможем вам решить, стоит ли доплачивать за высококлассную версию или вы получаете столь же выгодную сделку, приобретая более дешевую вещь. И, если вы просто хотите побаловать себя и потратиться на самую дорогую версию, AliExpress всегда позаботится о том, чтобы вы могли получить лучшую цену за свои деньги, даже сообщая вам, когда вам будет лучше дождаться начала рекламной акции. и ожидаемая экономия.AliExpress гордится тем, что у вас всегда есть осознанный выбор при покупке в одном из сотен магазинов и продавцов на нашей платформе.Реальные покупатели оценивают качество обслуживания, цену и качество каждого магазина и продавца. Кроме того, вы можете узнать рейтинги магазина или отдельных продавцов, а также сравнить цены, доставку и скидки на один и тот же продукт, прочитав комментарии и отзывы, оставленные пользователями. Каждая покупка имеет звездный рейтинг и часто имеет комментарии, оставленные предыдущими клиентами, описывающими их опыт транзакций, поэтому вы можете покупать с уверенностью каждый раз. Короче говоря, вам не нужно верить нам на слово — просто слушайте миллионы наших довольных клиентов.

А если вы новичок на AliExpress, мы откроем вам секрет. Непосредственно перед тем, как вы нажмете «купить сейчас» в процессе транзакции, найдите время, чтобы проверить купоны — и вы сэкономите еще больше. Вы можете найти купоны магазина, купоны AliExpress или собирать купоны каждый день, играя в игры в приложении AliExpress. Вместе с бесплатной доставкой, которую предлагают большинство продавцов на нашем сайте, вы сможете приобрести fe 80 по самой выгодной цене.

У нас всегда есть новейшие технологии, новейшие тенденции и самые обсуждаемые лейблы. На AliExpress отличное качество, цена и сервис всегда в стандартной комплектации. Начните лучший опыт покупок прямо здесь.

# 80fe80 цвет шестигранник

В цветовом пространстве RGB шестнадцатеричный номер 80fe80 состоит из 50.2% красный, 99,6% зеленый и 50,2% синий. Тогда как в цветовом пространстве CMYK он состоит из 49,6% голубого, 0% пурпурного, 49,6% желтого и 0,4% черного. Он имеет угол оттенка 120 градусов, насыщенность 98,4% и яркость 74,9%. Шестнадцатеричный цвет # 80fe80 может быть получен смешиванием #ffffff с # 01fd01. Ближайший цвет для веб-безопасности: # 99ff99.

● # 80fe80 Описание цвета: Мягкий салатовый .

Шестнадцатеричный цвет # 80fe80 имеет значения RGB R: 128, G: 254, B: 128 и значения CMYK C: 0,5, M: 0, Y: 0,5, K: 0. Его десятичное значение — 8453760.

Hex тройной 80fe80 # 80fe80
RGB Десятичный 128, 254, 128 RGB (128 254 128)
RGB Процент 50.2, 99,6, 50,2 RGB (50,2%, 99,6%, 50,2%)
CMYK 50, 0, 50, 0
HSL 120 °, 98,4, 74,9 hsl (120,98,4%, 74,9%)
HSV (или HSB ) 120 °, 49,6, 99,6
Веб-сейф 99ff99 # 99ff99
CIE-LAB 90.335, -59,51, 49,337
XYZ 48,238, 77,028, 32,747
xyY 0,305, 0,487, 77,028
CIE- LCH 90.335, 77.302, 140.339
CIE-LUV 90,335, -58,286, 75,343
Hunter-Lab 87,766, -55,483, 39,314
Двоичный 10000000, 11111110, 10000000
Разделение дополнительных цветов
  • # 34fd34
      # 34fd34   RGB (52,253,52)  
  • # 4dfe4d
      # 4dfe4d   rgb (77,254,77)  
  • # 67fe67
      # 67fe67   RGB (103,254,103)  
  • # 80fe80
      # 80fe80   RGB (128,254,128)  
  • # 99fe99
      # 99fe99   RGB (153,254,153)  
  • # b3feb3
      # b3feb3   RGB (179 254 179)  
  • #ccffcc
      #ccffcc   RGB (204,255,204)  
Монохромный цвет

Ниже вы можете увидеть некоторые цвета, близкие к # 80fe80.Набор связанных цветов может быть полезен, если вам нужна вдохновляющая альтернатива исходному выбору цвета.

  • # a0fe80
      # a0fe80   RGB (160 254 128)  
  • # 95fe80
      # 95fe80   RGB (149 254 128)  
  • # 8bfe80
      # 8bfe80   RGB (139 254 128)  
  • # 80fe80
      # 80fe80   RGB (128,254,128)  
  • # 80fe8b
      # 80fe8b   RGB (128 254 139)  
  • # 80fe95
      # 80fe95   RGB (128 254 149)  
  • # 80fea0
      # 80fea0   RGB (128,254,160)  
Подобные цвета Текст с шестнадцатеричным цветом # 80fe80

Этот текст имеет цвет шрифта # 80fe80.

   Текст здесь   
# 80fe80 цвет фона

Цвет фона этого абзаца # 80fe80.

  

Содержимое

# 80fe80 цвет границы

Этот элемент имеет цвет границы # 80fe80.

  
Содержимое
CSS коды
 .текст {color: # 80fe80;}  
  .background {background-color: # 80fe80;}  
  .border {border: 1px solid # 80fe80;}  

Оттенок достигается путем добавления черного к любому чистому оттенку, а оттенок создается путем смешивания белого с любым чистым цветом. В этом примере # 000900 — самый темный цвет, а # f5fff5 — самый светлый.

  • # 000900
      # 000900   RGB (0,9,0)  
  • # 001d00
      # 001d00   RGB (0,29,0)  
  • # 003000
      # 003000   RGB (0,48,0)  
  • # 014401
      # 014401   RGB (1,68,1)  
  • # 015701
      # 015701   RGB (1,87,1)  
  • # 016b01
      # 016b01   RGB (1,107,1)  
  • # 017e01
      # 017e01   RGB (1,126,1)  
  • # 019101
      # 019101   RGB (1,145,1)  
  • # 01a501
      # 01a501   RGB (1,165,1)  
  • # 01b801
      # 01b801   RGB (1,184,1)  
  • # 02cc02
      # 02cc02   RGB (2,204,2)  
  • # 02df02
      # 02df02   RGB (2,223,2)  
  • # 02f302
      # 02f302   RGB (2,243,2)  
Оттенок Изменение цвета
  • # 0bfd0b
      # 0bfd0b   RGB (11,253,11)  
  • # 1ffd1f
      # 1ffd1f   RGB (31,253,31)  
  • # 32fd32
      # 32fd32   RGB (50,253,50)  
  • # 46fe46
      # 46fe46   RGB (70,254,70)  
  • # 59fe59
      # 59fe59   RGB (89,254,89)  
  • # 6dfe6d
      # 6dfe6d   RGB (109,254,109)  
  • # 80fe80
      # 80fe80   RGB (128,254,128)  
  • # 93fe93
      # 93fe93   RGB (147 254 147)  
  • # a7fea7
      # a7fea7   RGB (167 254 167)  
  • #bafeba
      #bafeba   RGB (186,254,186)  
  • #ceffce
      #ceffce   RGB (206,255,206)  
  • # e1ffe1
      # e1ffe1   RGB (225,255,225)  
  • # f5fff5
      # f5fff5   RGB (245,255,245)  
Оттенок Изменение цвета

Тон получается путем добавления серого к любому чистому оттенку.В этом случае # bbc3bb — менее насыщенный цвет, а # 80fe80 — наиболее насыщенный.

  • # bbc3bb
      # bbc3bb   RGB (187,195,187)  
  • # b6c8b6
      # b6c8b6   RGB (182 200 182)  
  • # b1cdb1
      # b1cdb1   RGB (177,205,177)  
  • # acd2ac
      # acd2ac   RGB (172210172)  
  • # a7d7a7
      # a7d7a7   RGB (167 215 167)  
  • # a2dca2
      # a2dca2   RGB (162,220,162)  
  • # 9ee09e
      # 9ee09e   rgb (158,224,158)  
  • # 99e599
      # 99e599   rgb (153,229,153)  
  • # 94ea94
      # 94ea94   RGB (148 234 148)  
  • # 8fef8f
      # 8fef8f   RGB (143 239 143)  
  • # 8af48a
      # 8af48a   RGB (138 244 138)  
  • # 85f985
      # 85f985   RGB (133,249,133)  
  • # 80fe80
      # 80fe80   RGB (128,254,128)  
Изменение тона и цвета

Ниже вы можете увидеть, как # 80fe80 воспринимается людьми с нарушением цветового зрения.Это может быть полезно, если вам нужно обеспечить доступность ваших цветовых комбинаций для дальтоников.

Монохромность
  • #cacaca Ахроматопсия 0,005% населения
  • # bbd4bb Атипичная ахроматопсия 0,001% населения
Трихромность
  • # ceee7e Протаномалия 1% мужчин, 0.01% женщин
  • # d0eaa7 Дейтераномалия 6% мужчин, 0,4% женщин
  • # 9df4d0 Тританомалия 0,01% населения

# f0fe80 цвет шестнадцатеричный

В цветовом пространстве RGB шестнадцатеричный # f0fe80 состоит из 94,1% красного, 99,6% зеленого и 50,2% синего. Тогда как в цветовом пространстве CMYK оно состоит из 5.5% голубой, 0% пурпурный, 49,6% желтый и 0,4% черный. Он имеет угол оттенка 66,7 градусов, насыщенность 98,4% и яркость 74,9%. Шестнадцатеричный цвет # f0fe80 может быть получен путем смешивания #ffffff с # e1fd01. Ближайший цвет для веб-безопасности: # ffff99.

● # f0fe80 описание цвета: Мягкий желтый .

Шестнадцатеричный цвет # f0fe80 имеет значения RGB R: 240, G: 254, B: 128 и значения CMYK C: 0,06, M: 0, Y: 0,5, K: 0. Его десятичное значение — 15793792.

Hex тройной f0fe80 # f0fe80
RGB Десятичный 240, 254, 128 RGB (240 254 128)
RGB Процент 94.1, 99,6, 50,2 RGB (94,1%, 99,6%, 50,2%)
CMYK 6, 0, 50, 0
HSL 66,7 °, 98,4, 74,9 hsl (66,7,98,4%, 74,9%)
HSV (или HSB ) 66,7 °, 49,6, 99,6
Веб-сейф ffff99 # ffff99
CIE-LAB 96.397, -21,872, 58,082
XYZ 75,273, 90,968, 34,014
xyY 0,376, 0,454, 90,968
CIE- LCH 96,397, 62,064, 110,635
CIE-LUV 96,397, -3,207, 78,525
Hunter-Lab 95,377, -26,036, 45,619
Двоичный 11110000, 11111110, 10000000
Разделение дополнительных цветов
  • # e7fd34
      # e7fd34   RGB (231,253,52)  
  • # eafe4d
      # eafe4d   RGB (234,254,77)  
  • # edfe67
      # edfe67   RGB (237 254 103)  
  • # f0fe80
      # f0fe80   RGB (240 254 128)  
  • # f3fe99
      # f3fe99   RGB (243 254 153)  
  • # f6feb3
      # f6feb3   RGB (246 254 179)  
  • # f9ffcc
      # f9ffcc   RGB (249,255,204)  
Монохромный цвет

Ниже вы можете увидеть некоторые цвета, близкие к # f0fe80.Набор связанных цветов может быть полезен, если вам нужна вдохновляющая альтернатива исходному выбору цвета.

  • # feed80
      # feed80   RGB (254 237 128)  
  • # fef780
      # fef780   RGB (254 247 128)  
  • # fbfe80
      # fbfe80   RGB (251 254 128)  
  • # f0fe80
      # f0fe80   RGB (240 254 128)  
  • # e6fe80
      # e6fe80   RGB (230 254 128)  
  • # dbfe80
      # dbfe80   RGB (219 254 128)  
  • # d1fe80
      # d1fe80   RGB (209,254,128)  
Подобные цвета Текст с шестнадцатеричным цветом # f0fe80

Этот текст имеет цвет шрифта # f0fe80.

   Текст здесь   
# f0fe80 цвет фона

Цвет фона этого абзаца # f0fe80.

  

Содержимое

# f0fe80 цвет границы

Этот элемент имеет цвет границы # f0fe80.

  
Содержимое
CSS коды
 .текст {color: # f0fe80;}  
  .background {background-color: # f0fe80;}  
  .border {border: 1px solid # f0fe80;}  

Оттенок достигается путем добавления черного к любому чистому оттенку, а оттенок создается путем смешивания белого с любым чистым цветом. В этом примере # 080900 — самый темный цвет, а # fefff5 — самый светлый.

  • # 080900
      # 080900   RGB (8,9,0)  
  • # 1a1d00
      # 1a1d00   RGB (26,29,0)  
  • # 2b3000
      # 2b3000   RGB (43,48,0)  
  • # 3c4401
      # 3c4401   RGB (60,68,1)  
  • # 4d5701
      # 4d5701   RGB (77,87,1)  
  • # 5f6b01
      # 5f6b01   RGB (95,107,1)  
  • # 707e01
      # 707e01   RGB (112,126,1)  
  • # 819101
      # 819101   RGB (129,145,1)  
  • # 93a501
      # 93a501   RGB (147,165,1)  
  • # a4b801
      # a4b801   RGB (164,184,1)  
  • # b5cc02
      # b5cc02   RGB (181,204,2)  
  • # c7df02
      # c7df02   RGB (199,223,2)  
  • # d8f302
      # d8f302   RGB (216,243,2)  
Оттенок Изменение цвета
  • # e2fd0b
      # e2fd0b   RGB (226,253,11)  
  • # e5fd1f
      # e5fd1f   RGB (229,253,31)  
  • # e7fd32
      # e7fd32   RGB (231,253,50)  
  • # e9fe46
      # e9fe46   RGB (233,254,70)  
  • # ebfe59
      # ebfe59   RGB (235,254,89)  
  • # eefe6d
      # eefe6d   RGB (238 254 109)  
  • # f0fe80
      # f0fe80   RGB (240 254 128)  
  • # f2fe93
      # f2fe93   RGB (242 254 147)  
  • # f5fea7
      # f5fea7   RGB (245 254 167)  
  • # f7feba
      # f7feba   RGB (247 254 186)  
  • # f9ffce
      # f9ffce   RGB (249,255,206)  
  • # fbffe1
      # fbffe1   RGB (251,255,225)  
  • # fefff5
      # fefff5   RGB (254,255,245)  
Оттенок Изменение цвета

Тон получается путем добавления серого к любому чистому оттенку.В этом случае # c2c3bb — менее насыщенный цвет, а # f0fe80 — наиболее насыщенный.

  • # c2c3bb
      # c2c3bb   RGB (194,195,187)  
  • # c6c8b6
      # c6c8b6   RGB (198,200,182)  
  • # cacdb1
      # cacdb1   RGB (202,205,177)  
  • # ced2ac
      # ced2ac   RGB (206210172)  
  • # d1d7a7
      # d1d7a7   RGB (209 215 167)  
  • # d5dca2
      # d5dca2   RGB (213,220,162)  
  • # d9e09e
      # d9e09e   RGB (217,224,158)  
  • # dde599
      # dde599   RGB (221,229,153)  
  • # e1ea94
      # e1ea94   RGB (225 234 148)  
  • # e5ef8f
      # e5ef8f   RGB (229 239 143)  
  • # e8f48a
      # e8f48a   RGB (232 244 138)  
  • # ecf985
      # ecf985   RGB (236 249 133)  
  • # f0fe80
      # f0fe80   RGB (240 254 128)  
Изменение тона и цвета

Ниже вы можете увидеть, как # f0fe80 воспринимается людьми с нарушением цветового зрения.Это может быть полезно, если вам нужно обеспечить доступность ваших цветовых комбинаций для дальтоников.

Монохромность
  • #ebebeb Ахроматопсия 0,005% населения
  • # ecefd6 Атипичная ахроматопсия 0,001% населения
Трихромность
  • # f9f8b5 Протаномалия 1% мужчин, 0.) /

    続 編 の 「光 NEXT и IPv6 PPPoE の 道 」っ て の も あ ま す


    拙 宅 の ネ ッ ト ー 環境 (ち ょ い と し た 企業 ス の ネ ッ ト ワ ー ク 構成) に IPv6 を 導入 し た 試行 錯誤 を 13 13 こ れ か ら IPv6 を 導入 し よ う え て い る 方 に 何 ら の ヒ ン ト な 書 い て み ま し た。

    な み に 、 28/03/2009 に 京都 で ス ピ ー カ ー を し た IPv6 勉強 会 ~ こ れ か ら ど う す れ ば か? ~ 」と の 連 意識 し て お り 、 当日 使用 ス ラ イ ド も こ ち ダ ウ ン 000 す

    ス ラ イ ド を 自 社 の 講習 の 他 資料 等 へ の OK で す し 、 事 実 と 相違 い 範 囲 で 改 変 し し て い た 13 た だ 、 著作 権 は 放棄 し し い の で 、 こ の ス ラ を 二次 す る は 、 著作 権 者 (村 嶋 修 一 или MURA) と 著作 権 者 の Web サ イ ト URL (http: // www.vwnet.jp) を 小 さ く て 構 わ な で 何処 か に 明 記 し て い。
    二次 利用 に 際 し て 、 当 方 へ の 連絡 で す。

    ち な み に 、 pptx は プ ラ イ ー ト 発 行 の 証明書 で て い ま す の で 、 改 る 際 は 署名 を し だ さ い

    >>> IPv6_in_kyoto.pptx ( 2.3MB) <<<
    >>> IPv6_in_kyoto.pdf (IPv6_in_kyoto..zip / 3,7 МБ) <<<

    と り あ え ず 、 お 手 軽 (?) に ス ラ イ ド を 見 た 方 ​​は こ ち ら (ス ラ イ ド を PNG し て ベ タ に 並 べ て み ま し た)

    12/12/2009 に 第 18 回 Admintech.jp 勉強 会 で 「こ 始 め る IPv6 ~ Windows 編 ~」 っ て 話 を し ま し た の 、 そ の 資料 も 公開。

    >>> AdminTech-IPv6_pptx.zip (1,5 МБ) <<<
    >>> AdminTech-IPv6_pdf.zip (2,7 МБ) <<<
    >>> AdminTech28-Videos.zip (9,2 МБ) <<<

    オ ン ラ イ ン で ス ラ イ た い 方 は こ ち う ぞ (当日 使用 ビ オ も オ ン ラ イ ン で 見 す)

    な ぜ 拙 宅 に IPv6 を 導入 し よ う か と 思 っ た か と う と … 話 は 簡 単 Windows Server 2008 の 本 を 書 く た め の 検 材料 に た か っ た か ら で。 (2009/06 2009)
    Windows Server 2008 と Vista は IPv6 の 正式 サ ポ ー ト し た 証 で あ Программа с логотипом IPv6 Ready Фаза 2 」の 認定 を 受 け た OS で す。 丁 度「 IPv4 ア ド レ 渇 問題 」も 話題 に な り 、 こ れ か IPv6 が 注目 さ れ る と 予 想 し 「現場 で の IPv6 は ど の よ う に 導入 す る の が い の か」 っ 兼 IPv6

    RFC を 読 ん だ り 、 テ ク ル セ ミ ナ ー の 話 て い る と 「と な 限 り 省力 化 す が IPv6 の 本質 」と 僕 は 感 じ た の 、 基本 路線 は「 省力 化 」を 合 せ し た。
    「本質」 っ て 表現 は い す ぎ で す が 、 省力 化 の 用意 さ れ て い る 、 そ れ ら を フ ルっ て の が 多分 に あ る か も ^^;)

    ど う せ IPv6 を 導入 す る の な ら 、 内部 ネ ッ ト ワ け で は な く 、 イ ン ネ ッ ト ア ク ス IPv6 に し た い な。 そ で す な ら 、 イ ン タ ー ト 公開 サ ー バ も IPv6 で ア セ ス で き る た の IP を 取得 し ま た。
    実 は 、 こ れ が 2 つ 目 の GUA で 、 最初 に GUA を 取得 し た IPv6 の テ ス ト 運用 が 開始 た 頃 で す。 当時 は 評 価 GUA 取得 が で き て い ま し た。 そ の GUA も ISP の 契約 変 更 を し た の で 使 う な く な っ て し ま た が 、 こ れ を る 時点 で そ は ま だ 13 32 32 今 回 契約 し た GUA は 、 的 ベ ー ス な の で 月 額 使用 料 し ま す が 、 こ れ も 宿命 と 自 分 を 納 、

    一 応 ネ ッ ト を 掲 げ て い る の IPv6 を 知 ら な い っ て で す が RFC や 書籍 で 「読 ん だ 事 が あ る」 程度 で, 構築 も テ ス ト レ ベ ル の ネ ッ ト ワ ー ク を ち ょ こ っ と 構築 し た く ら い で す. 運用 レ ベ ル の IPv6 ネ ッ ト ワ ー ク を 構築 し た 経 験 は あ り ま せ ん し, IPv6 の 知識 が 十分 あ る と 言 う わ け で も あ り ま せ ん.
    う 一度 IPv6 を 再 勉強 す る か RFC を 読 み な お し 始 め た の で す が… IPv6 勉強 を 初 め て し た 当時 に 比 べ 、 IPv6 関 連 の RFC が 爆 発 的 に 増 え て い ま し た。
    ざ っ と 眺 め て … 英語 が 苦 手 な の も っ て 、 RFC の 関 連 性 て き ま せ ん (泣)

    こ れ で は 埒 明 な で 、 WIDE / JPNIC 主 催 (?) の IPv6 カ ン フ ァ レ ン ス し て み ま が ISP や メ ー カ ー 向 け の 話 ば か 、 「現場 で ど う す の?」 っ て 疑問 に 答 え の で は 無 か っ た で。
    仕 方 が な い の で IPv6 の 書籍 を 買 い あ さ っ た の が 、 執筆 陣 が カ ン フ ァ レ ス ス ピ ー ー の 多

    後 日 、 カ ン フ ァ レ ン ス ー カ ー を さ れ た 方 と コ ン タ ク ト れ て 、 現場 へ の 導入 ハ ウ 13 そ こ で 得 た 結論 は 、 「現場 導入 ノ ハ ウ の 必要性 は 十分 感 い る が 、 ま だ 提供 で だ の も の が 無 の

    仕 が な い 、 の 柱 を 買 っ て 出 る か 」っ の 今 回 IPv6 導入 目的 で ま す。

    の IPv6 エ ッ セ ン ズ 第 2 версии 」が 技術 的 な は カ バ RFC で 悩 ん で い た 部分 の 大半 を 解 消 出来 た の は 収穫 で し た。

    ず 決 め く て な い の が 、 サ イ ト IPv6 ア ド ス 体系 で す。

    色 々 調 べ て は / 48 を 、 各 セ グ メ ン に は / 64 の プ レ フ ィ ク を 使用 す る の は て い た IPv6 を 使 わ な い 方針 だ っ て 事 も わ か っ て い ま し た。

    GUA を 取得 し た の で 、 サ イ 内 GUA を 割 り 当 ン タ ー ネ ッ セ ス に NAT は 不要 に な ま す
    ん?待 て よ? GUA 使 う っ て は 、 ISP の 変 更 を し た 時 は サ イ 使用 し て い る IPv6 ア ド レ 全 て リ ナ ン な く ゃ !! っ て 事 に 気 が つ き…. (遅)
    そ う す る と 、 IPv4 で 言 う ろ の プ ラ イ ベ ー レ ス を 導入 し な く な ら な い な と RFC 読 み あ さ っ て た ら 、 ト ロ ー カ ル の 仕 見。 で も 、 こ の ロ ー カ ル は 既

    RFC を 読 む と 、 「fc00 :: / 7 + 計算 結果」 で / 48 の サ イ ト プ レ フ ィ ッ ク ス を せ よ と あ り ま す う 少 し 調 べ る と 、 fc00 :: / 8 は IANA が 予 約 し て い る の で 実 際 に 使用 で き る の は 「fd00 :: / 8」 と 言 う 事 判明。
    ULA の プ ロ グ ラ ム を 書 く 倒 な の で 、 イ ネ ッ ト 検 索 す る ULA 計算 ペ ー ジ が

    Создание уникального локального адреса (проект Каме)
    http: // www.;

    IPv6 は IP ア ド レ ス 自動 構成 が 出来 る の で 、 さ っ そ く 構成 で き る よ RA を 手持 ち の YAMAHA RTX1100 に 設定。 設定 そ の も の は 難 し く あ り ま せ ん。
    Vista と Windows Server 2008 で ipconfig し て る と 、 GUA と ULA が 自動 構成 さ れ て い ま し た。

    # YAMAHA RT シ リ ー ズ の IPv6 設定
    Префикс ipv6 1 fd75: f582: 7ae3 :: / 64 ← RA る プ レ フ ィ ッ ク ス (ULA)
    префикс ipv6 2 2001: 278: 101d :: / 64 ← RA す る プ レ フ ィ ッ ク ス (GUA)
    ipv6 префикс lan1 fd75: f582: 7ae3 :: / 64 ← LAN1 の IPv6 ア ド レ ス 構成 (ULA)
    ipv6 префикс lan1 2001: 278: 101d :: / 64 ← LAN1 の IPv6 ア ド レ ス 構成 (GUA)
    ipv6 lan1 rtadv send 1 2 ← RA 実 装


    [IPv6 ア ド レ ス の 自動 構成]

    ま ず は 成功 ^^ v

    Vista может использовать IPv6, чтобы использовать IPv6. ア ド レ ス で 、 イ ン タ ー フ ェ イ ス ID (64 ビ ッ ト の サ ッ ク ス) が ラ ン ダ 割 り 当 て ら れ 、 ォ ル 24 時間 ク ラ イ ア ン ト は れ で 良 い で す が 、 サ ー バ ド レ ス の 体系 に な っ い ま す。 ち ょ 、 こ と 調 べ た ら 、 イ ン ェ イ ス ID を ス タ テ ィ あ る EUI-64 に 変 更 コ マ ン ド netsh interface ipv6 set global randomizeidentifiers = disabled 」を 見 つ け ま し た (正直 に 言 う と MS 中 の 人 に 教 え て ら い し た)

    こ れ で 、 サ ー バ の IPv6 ア ド レ ス も 固定 で き る で 、 自動 構成 に 任 す で き ま す。
    実 際 に サ ー バ を 展開 し て み る と, Netsh コ マ ン ド を 入 力 す る 必要 は あ り ま す が, IPv6 の 設定 は 何 も 要 ら な い の で 楽 ち ん で す ね .IPv4 ア ド レ ス の 設定 が 必要 な の は 変 わ り ま せ ん け ど.

    以前 MS に 「Windows Server 2008 は EUI-64 の イ ン タ ー フ イ ス ID を デ フ ォ ル ト と す べ き と フ ィ ー ド バ し い た の で す が…
    Windows Server 2008 イ ン タ ー フ ェ ID は 、 体系 こ そ 匿名 ア ド ス け ど 、 実 は 静 的 に 当 て ら れ IP に 関 し て は 、 netsh コ マ ン 必要 な く て RA さ え 設定 き い れ ば 完全 に ン オ ペ レ ー シ ョ ン で い っ て 事
    LAN は 、 な ん か の は ず み で IPv6 ア ド レ ス が 自動 変 れ て も 、 ド メ イ ン ン ロ ー ラ の DDNS で 従 で セ キ ュ リ テ ィ の 観 か ら は し た く な い の で DMZ 上 の サ ー バ は 静 的 割 り 当 て が 保障 さ れ EUI-64 が

    Windows Server 2008 ド メ イ ン コ ン ト ロ ー ラ 等 の 一部 の 役 割 は 、 EUI-64 に し て も 自動 構成 の IPv6 ア ド レ ス は 受 け 付 け い の で 、 手動 割 り 当 て が だ っ た り し す。

    Windows で IPv6 ア ド レ ス を 手動 で 割 り 当 て る と RA 環境 で は 自動 構成 IPv6 ア ド レ ス も 出来 て し ま い こ れ を 手動 設定 IPv6 ア ド ス だ け に し た ち ら を 見 い。

    IPv6 ア ド レ ス の 自動 が 出来 る よ う に な っ た の で 次 は 名 前 で す。

    ま ず は 、 IPv4 / IPv6 デ ュ ア ル ス タ ッ ク の ド メ コ ン ト ロ ラ 構築 て 、 AAAA が 正常 動作 す る か 確認 す ね イ ン コ ン ト ロ ー IPv6 ア ド レ ス は 、 自動 IPv6 ア ド レ ス な は 自 分 自身 な の で 、 ル プ パ ッ ク で あ る 「:: 1」 を 設定 し て 的 な 構成 は 完了。
    DNS に IPv6 の 逆 引 き 参照 ゾ ー ン を を 作 っ て 、 手動 で AAAA を 登録 し 、 ド メ イ ン コ ン ラ 上 で nslookup を 使 っ て 動作 確認 を し。 ま ぁ 、 当然 の ご と く 正 / 逆 引 き と も 問題 な 動作 し ま す ね。

    そ れ で は 、 ド ン バ ー サ ー バ を 追加 よ う と 思 っ た 時 に… あ れ? 、 IPv6 の 参照 DNS は ど う す る ん だ?
    RA は 、 DNS を 設定 で き な い し … 手動 で 参照 DNS を 設定 す る 化 に な ら な い の で DHCPv6 を 使 う か …

    DHCPv6 は 管理 省力 化 重視 で レ ス を 選 択 し ま し た。 Windows Server 2008 DHCPv6 も デ フ ォ ル ト が ス テ ー ト レ ス に な っ て ま す。
    て 、 こ れ で DNS が セ ッ れ る 筈 と 、 ド メ ま だ 参加 さ せ て い な Windows Server 2008 で ipconfig / all す る と … あ れ?参照 DNS セ ッ ト さ れ て い な い?

    調 べ る と 、 DHCPv6 を 機能 さ せ に は RA で フ ラ グ ロ ー ル を す る 必要 が こ と が 判明 今 ス テ ー ト レ ス DHCPv6 の で 、 RA を 喋 ら て い RTX1100 で 「O フ ラ グ ン の 通知 を す る 設定 す る と 、 DNS ッ ト れ 13 913 ド メ イ ン に メ ン バ ー 追加 す る と DNS に AAAA と IPv6 の PTR も 登録 さ れ ま す ね。

    M フ ラ グ O フ ラ グ 意味
    НА НА ド レ ス と そ れ 以外 情報 DHCPv6 で 構成 す る (ス テ ー ト ル)
    НА ВЫКЛ ド レ ス 構成 は DHCPv6 を 使用 す る が 、 そ れ 以外 の 情報 別 の 手段 で 設定 す る
    ВЫКЛ НА ド レ ス 構成 に は RA を 使用 す が 、 そ れ 以外 の 情報 DHCPv6 を 使用 す る (ス テ ー ト レ)
    ВЫКЛ ВЫКЛ DHCPv6 を 使用 し な い

    # YAMAHA RT シ リ ー ズ で の M / O フ ラ グ コ ン ト ロ ー ル
    ipv6 lan1 rtadv send 1 2 o_flag = on ← RA 実 装 で O フ ラ グ を ON

    第二 関門 通過 ^^ v

    で は 、 実 環境 に 近 付 け め に サ ー バ セ グ と ク ラ イ ア ン ト セ ン ト に 分離 し 度 Vista の IPv6 参照 DNS が セ ッ ト さ れ ま せ ん。
    そ か 、 ス テ ー レ ス DHCPv6 は リ ン ク ロ ー カ ル に 広 告 さ れ け。

    ま た RFC を 調 べ る と 、 こ い つ の 解決 に は DHCPv6 リ レ ー す る 必要 が あ そ う 。YAMAHA の ル ー タ は IPv6 Ready Logo Program Phase-1 な の で 、 DHCPv6 リ レ ー エ ー ジ ェ ン ト は 実 れ て い ま せ ん し リ レ ー が 出来 た と し て 、 運用 面 倒 だ と 方法 を 模。 9000

    色 々 思 案 し た 結果 、 DNS は 、 IPv4 で 問 い 合 わ せ AAAA を 引 く こ と る の で 、 は IPv4 を 、 デ ー タ 通信 に は IPv6 を 使 う 方向 で 暫定 回避 さ せ る に し ま し た。

    ち な み に 、 IETF で も DNS デ ィ ス カ バ リ ー は 議論 象 に な っ て お 、 RA で 参照 DNS を 広 告 す る 案 に 落 着 く の か な と 予 想 し て い す。

    拙 宅 の イ ン タ タ ー ネ ッ 線 は 、 ソ フ ン ク テ レ コ ム の ULTINA Internet の ブ ロ ー ド バ ド ア ク セ ス フ レ ッ ツ ・ プ ラ ン で / 29 の 固定 IPv4 ア ド レ ス 運用 を し い。
    IPv6 は 、 こ い つ の オ プ シ ョ ン で 提供 さ れ て い る 6over4 の ト ン ネ リ ン グ ー ビ ス に ま し た。 こ れ 以外 デ ュ ア ル ス タ ッ ク ネ イ テ ィ ブ と か の 目 目

    こ の 環境 で イ ン タ ネ ッ に IPv6 接 続 す る は 、 6over4 の ipip ト ン ネ ル を 張 ら な く て は ま せ ん。 こ の あ の サ ン プ ル が ほ と な か っ た の で RTX1100 の マ


    [6over4 ネ ッ ト ワ ー ク]

    # YAMAHA RT シ リ ー ズ で の 6over4 ト ン ネ ル
    IPv6 route шлюз по умолчанию туннель 1 ← IPv6 の デ フ ォ ル ト ゲ ー ト ウ ェ イ を 6over4 ト ン ネ ル に 向 け る
    туннель выберите 1
    инкапсуляция туннеля ipip ← 6over4 の IPIP ト ン ネ ル
    адрес конечной точки туннеля 211.;


    [пинг]


    [tracert]

    Интернет ブ ラ ウ ザ で IPv6 で ア ク セ ス で き て い る の 確認 す る に は 、 接 元 の IP ア ド レ ス を 表示 す る 接 続 す る の が 一番 手 取 り 早 い で す。

    Какой у меня адрес IPv6? (接 続 IP ア ド レ ス 表示)
    http://whatismyipv6address.com/

    OCN IPv6 通信 確認 サ イ ト (IPv4 / IPv6 で ア ニ メ ー シ ョ ン が 違 う)
    http://www.ocnipv6.jp/


    [IPv6 Web ア ク セ ス]

    ち な み に 、 が 使 っ て い る IP ア ド レ ス は 「185.87.49.188」 だ っ た ま す。

    イ ン タ ー ネ ト 上 の DNS は A / AAAA を 分 け 隔 て を す る の で リ IPv6 用 DNS に 向 け な く て も IPv6 の 名 前 解決 で き ま す。

    LAN 側 が 大方 カ タ 付 い た の 、 次 DMZ で す。

    DMZ も 省力 化 を 目 指 し た い の で 、 RA + DHCPv6 行 方針 に し ま た 構成 さ れ る ア ド レ 的 割 り 当 て が 保障 る EUI-64 に し ま す。
    DHCPv6 ス テ ー ト レ ス 択 で す が 、 さ て 誰 に 喋 ら せ る か… 一番 ヒ マ に し て い る DNS が 良 さ そ う で す。
    IPv6 ア ド レ ス は DMZ で 、 ULA を 構成 し て も あ ま り で 、 GUA の み っ し ま し た。

    ず は 公開 DNS 構成 で す 。IPv6 ア ド レ ス を 手動 で た ワ ー ク グ プ Windows Server 2008 に DNS を ス ト ー ル し て / 逆 引 き の ゾ ー ン し 、 コ ン テ ン ツ サ の み の 設定 と セ キ チ ュ


    [公開 DNS の IPv6 設定 / デ フ ォ ル ト ゲ ー ト ウ ェ イ RA に お 任 せ]

    ソ フ ト バ ン ク レ コ ら は 、 IPv6 用 の セ ダ DNS 提供 受 け て る 正 引 き IPv6 逆 引 き の 送 IPv6 の セ カ ン ダ リ DNS を 追加 し ま し た。
    今 の と こ ろ AAAA 登録 は 、 公開 DNS だ け で す が 、 こ い つ ゾ ー ン 転 送 れ か キ モ で す ね。
    し ば ら く し て 確認 す る と 、 無 事 ゾ ー ン 転 送 が で い ま し た ^^ v

    DNS 正常 に 動作 す る こ と が 分 れ ば 、 次 は Интернет サ ー バ で す。
    RA と DHCPv6 が 効 い て い る の で 、 netsh で EUI-64 に す る だ け で IPv6 の 設定 は 完了 で す。 公開 サ で 、 セ キ ュ リ テ チ ュ ン お 忘 れ な く。
    準備 が で き た Интернет ー バ で ipcpnfig を 使 っ て 、 自動 構成 た IPv6 ア ド レ ス べ て DNS に 登録 す れ ば 公開 終了。


    [Интернет ー バ の IPv6 設定 / 全 て RA に お 任 せ]

    イ ン タ ー ネ ら の 動作 確認 を し よ う か と っ 階 で.v

    話 は 前後 し ま す フ ァ ヤ ウ ォ ー ル 設定 も。
    IPv6 自動 構成 の 場合 は NIC を 変 更 し た だ け で IPv6 ア ド レ 変 ま す。 入 れ 替 え る と IPv4 で 良 く や っ て い る サ ー バ ル ー ル で は 運用 の の で 、 セ グ メ に す る ポ リ 単 位 で 許可 す る っ て ア プ ロ ー チ で す。
    最近 の OS は 、 フ ァ イ ヤ ウ ォ 機能 を 持 っ て い る 、 個別 の セ キ ュ リ テ 設定 個 々 の で し ま す。

    あ る 程度 環境 が 整 っ の で 通信 し て い る パ ケ ャ プ チ ャ し て み る っ た 以上 に ICMP を 使 っ は 双方 向 通過 許可 に す る の が 良 で す。 こ の 考 で 言 う と 、 ー ッ ト / LAN 間 の ICMP / ICMPv6 も 通 す の が 良 い と 思 わ れ す が 、 こ の あ た り リ シ ー を ど う 考 え か に し ま す の で ト 管理者

    IPv6 の 実 装 目 処 が 立 た の 実 運用 で の IPv6 ネ ッ ト ク 設計 に つ い 考 ま し ょ う。

    ス タ テ ィ ッ ク ル ー テ ィ ン グ で 何 と か な る 規模 の ネ ッ ト ワ ー ク で あ れ ば, サ ブ ネ ッ ト プ レ フ ィ ッ ク ス (セ グ メ ン ト プ レ フ ィ ッ ク ス) 設計 は 軽 く 流 し て も い い の で す が, ダ イ ナ ミ ッ ク ル ー テ ィ ン グ じ ゃ な い と や っ て ら れ な い よ う な 規模 に な る と, 思 い つ き で サ ブ ネ ッ ト プ レ フ ィ ッ ク ス を 振 り 出 して い る と 、 あ っ い う 間 き 詰 っ て し ま う で は な く 、 ル ー テ グ の オ ー バ ー ヘ 無視 で き

    サ ブ ネ ッ ト プ レ フ ィ ス と ル ー テ ィ ン ど う す る の が 良 の と 色 々 設計 を て み と 同 じ で, ピ ラ ミ ッ ド 構造 の ネ ッ ト ワ ー ク に し て, 必要 セ グ メ ン ト 数 を サ ブ ネ ッ ト ID の ビ ッ ト 数 で 表現 で き る 数 に 丸 め て 積 み 上 げ る っ て ス タ ン ダ ー ド な 結論 に た ど り 着 き ま し た. 91 332 要 は 、 必要 数 を 順 番 に り 当 て て 行 く て IPv4 と 同 じ ア プ ロ ー チ で す。

    設計 サ ン プ ル は pptx に 書 い て い る の で 、 そ ち を 参照 し て (解 読 し て) 下 さ い。

    セ グ メ ン ト 数 が 複数 あ る 場合 は, 小 規模 で も ダ イ ナ ミ ッ ク ル ー テ ィ ン グ が 便利 で す .IPv6 ア ド レ ス は や た ら と 長 い の で, 手 で ス タ テ ィ ッ ク ル ー テ ィ ン グ を 書 く の は 現 実 的 で は あ り ま せ ん. 91 332 全 て の GW に RA を 喋 ら せ た 場合 は GW に パ ケ ッ ト が 行 ゃ う こ と も 想 定 さ す 、 ダ イ ナ ミ に 転 送 さ れ ま す し 、 1 セ グ メ ン ト に 対 し て 複数 の GW が RA を 喋 っ て い る の で 、 、 1 台 が 機能 停止 し て RA が 止 ま ら

    ダ イ ナ ミ グ は 、 Логотип IPv6 Ready 取得 の 機器 で あ れ 通常 サ ポ ト て い ま す Logo を 取 っ て い な RIPng す ら 扱 え な い 機器 し ま す の で 際 は ス タ テ ル ィ

    ち な み に 、 IPv6 の ス タ テ ィ ッ ク ル ー テ ィ ン は 、 Следующий переход だ け で は な く 、 送出 ポ ト も 併 記 す る の が 原則 っ て る で す。

    例 え ば 、 YAMAHA の RT シ リ ー ズ だ と 「IPv6 route шлюз по умолчанию 2001: 278: 101d: f :: ff: 1% 1 」み た い に 、 Next Hop に 続 い て「% 」を 書 い て 送出 ポ ー ト (こ の 例 で は LAN1) を 指定 し ま す。

    テ ス ト で は 、 話 を 簡 単 る た め に YAMAHA RTX1100 の み で 環境 構築 し ま し た 、 拙 宅 の 運用 環境 で Fortinet 社 の FortiGate 60 (UTM 個人 で い w) を 使 っ い ま す。
    Только IPv4 時 は 、 FortiGate に PPPoE を 搭載 し て い ま し た が 、 FortiGate に 6over4 через PPPoE の 設定 を し て も 、 ト ン ネ ル ま く 動 か な い ん よ ね。 サ ポ ー ッ プ し ち い w

    方 が 無 い の で 、 PPPoE と 6over4 は 実 績 の あ る RTX1100 を 使 い 、 FortiGate で は 純 粋 な IPv6 フ ァ イ ヤ ウ ォ ー ル と し て 動 す 方針 に 変 更。


    [ネ ッ ト ワ ー ク 構成 変 更]

    ネ ッ ト ワ ー 構成 大 き く 変 わ る の で 、 切 大 大 変 で し た が 何 か 運用 環境 に ち と が で き 9 1332 こ れ を 書 い て い る 時点 の FortiGate60 は 、 RA で 複数 プ レ フ ィ ッ ス が 喋 れ な い と RIPng が 実 装 さ れ て い な 色 々 問題 は あ し が (60 Логотип IPv6 Ready を 取 っ て い な い し) 、 工夫 次第 で 何 と か な る で。

    # RTX1100 の 設定
    # RTX1100 Rev.8.03.70 (пн 18 февраля 20:55:48 2008)
    логин пароль *
    пароль администратора *
    консольные колонны 200
    Консольные линии бесконечности
    IP route шлюз по умолчанию pp 1
    ip filter source-route на
    IP-фильтр направленной трансляции на
    ipv6 route шлюз по умолчанию туннель 1
    ipv6 route 2001: 278: 101d :: / 48 шлюз 2001: 278: 101d: ffff :: ff: 2% 3
    ip адрес lan3 211.121.188.193/29
    ipv6 адрес lan3 2001: 278: 101d: ffff :: ff: 1/64
    ipv6 lan3 mld router syslog = on version = 1,2
    pp выберите 1
    пп всегда на
    pppoe использовать lan2
    pppoe автоматическое подключение на
    автоматическое отключение pppoe на
    pp auth accept pap chap
    pp auth myname ID Пароль
    ppp lcp mru на 1454
    ppp тип ccp нет
    ip pp mtu 1454
    ip pp имя защищенного фильтра PPPoE
    pp включить 1
    туннель выберите 1
    туннельная инкапсуляция ipip
    адрес конечной точки туннеля 211.121.188.193 218.218.255.213
    IPv6-адрес туннеля 2001: 278: 0: 221d :: 2/64
    IPv6 туннельный безопасный фильтр в 1000 2000 9999
    IPv6 туннель безопасный фильтр выход 1001 2001 9999
    ipv6 tunnel mld host syslog = on version = 1,2
    ipv6 tunnel tcp mss limit auto
    включить туннель 1
    ip filter 1000 отклонить 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,211.121.188.192/29 * *
    ip filter 1001 отклонить * 10.0.0.0/8,172.16.0.0/12,192.168.0.0 / 16 211.121.188.192 / 29 *
    ip filter 2000 отклонить * * tcp * telnet
    ip filter 2001 отклонить * * tcp telnet *
    ip фильтр 9999 пройти * * * * *
    набор IP-фильтров PPPoE в 1000 2000 9999
    набор IP-фильтров Выход PPPoE 1001 2001 9999
    ipv6 filter 1000 отклонить fc00 :: / 7, ff05 :: / 16,2001: 278: 101d :: / 48 * * * *
    фильтр ipv6 1001 отклонить * fc00 :: / 7, ff05 :: / 16,2001: 278: 101d :: / 48 * * *
    ipv6 filter 2000 отклонить * * tcp * telnet
    ipv6 filter 2001 отклонить * * tcp telnet *
    ipv6 фильтр 9999 проход * * * * *
    ipv6 фильтр 10000 проходов * * * * *
    хост syslog хост syslog
    уведомление системного журнала на
    DNS сервер 143.90.130.165 143.90.130.39
    расписание на 1 * / * *: 00 * ntpdate ntp.nict.jp syslog
    httpd хост нет

    IPv6 は RA の 自動 構成 し れ ば 、 基本 的 に デ フ ー ト ェ イ の な の が RA を 使 い た く な い グ メ ン 、 フ ル ス タ テ ィ IPv6 ア ド レ ス を 構成 す 場合 に は デ フ ォ ゲ ー ト

    さ て 、 そ の よ う す る か 。GUA と ULA を ル ー タ に 設定 し い れ IPv6 の デ フ ォ ル ト ゲ ー ト ウ 設定 す れ ば い い の IPv6 ア ド レ ス は 悪 の よ う に 長 い 複数 の IPv6 ア ド レ ス は 書 き た く り ま せ ん し 、 ミ ス の 元 な っ ち ゃ す ね。

    RA 自動 構成 さ れ た ノ ド IPv6 が ど の よ う に れ る か を 良 見 る と…. デ フ ォ ル ト ゲ ー ト ウ fe80 :: / 10 」の リ ン カ ル に な っ て 気 が つ く は ず で。
    そ う 、 デ フ ォ ル ト ウ イ は リ ン ク ロ ー レ ス を 指定 す れ い で す。 リ ン ー カ 中 継 層 の 各 リ ン ク に て じ リ ン ク ロ ー カ ア ド レ ス を 設定 す る こ 可能 な の で す。

    つ ま り 、 3 ポ ー ト (3 セ グ メ ン ト) ル ー タ で も ポ ー ト に fe80 :: 1/10 」を 割 り 当 て る 事 が の で す
    デ フ ォ ル ト ゲ ー ト ウ と な る ポ ー ト に fe80 :: 1/10 を 割 り 当 て て お け ば 、 ど セ グ メ ン ト て も fe80 :: 1 と 1 つ だ け 入 力 す る だ け で 済 み ま す。

    YAMAHA RTX1000 だ と こ ん な 感 じ で す

    ipv6 route шлюз по умолчанию fe80 :: 1% 3 ← LAN 3 セ グ メ ン ト に あ る 上位 ー タ (fe80 :: 1) に で フ ォ ル ー ト ウ ェ イ を 向 け (ダ イ ナ ミ ッ ル ィ ン lan 6) 913 fe80 :: 1/10 ← LAN 1 に fe80 :: 1/10 を 割 り 当 て る
    ipv6 префикс lan1 fd75: f582: 7ae3: 10 :: / 64 ← LAN 1 の ULA ア ド レ ス 自動
    ipv6 префикс lan1 2001: 278: 101d: 10 :: / 64 ← LAN 1 の GUA ア ド レ ス 自動 生成
    ipv6 lan2 адрес fe80 :: 1/10
    ipv6 lan2 prefix fd75: f582: 7ae3: 20 :: / 64
    ipv6 lan2 prefix 2001: 278: 101d: 20 :: / 64
    ipv6 адрес lan3 fe80 :: 2/10 ← LAN 3 上位 ル ー タ へ の テ ン を す る の で fe80 :: 1/10 で は な く 、 fe80 :: 2/10 を 割 り る (ダ イ ナ ミ ッ ー ィ ン 13 префикс lan3 fd75: f582: 7ae3 :: / 64
    ipv6 префикс lan3 2001: 278: 101d :: / 64

    こ の ペ ー ジ へ の ア ク を 解析 す る と 、 FotiGate を キ ー ワ ー ド に い ら る 方 が 多 で FortiGate の IPv6 設定 も 書 い て お き ま す ね。

    英語 で す け ど 、 IPv6 の マ ニ ュ ア ル (Техническое примечание IPv6) は こ ち ら か ら ダ ウ き。

    僕 が 使 っ て い る Fortigate-60 3.00-b0730 (MR7, исправление 1) で も 実 装 が 若干 甘 い な が IPv6 を 使 う こ と が で き ま。 た だ し GUI を 使 っ た 設定 で は 、 UI 実 装 が バ グ っ て い る と か 項目 そ の も の が 無 り す る の で 、 コ イ ン (телнет) で の 設定 に ま 9た32 は 4.1 4.1 設定 で き る ん で は な な 想 し て い ま す。
    (4 系 で IPv6 Ready Logo Phase-2 を 取得 し た そ す)

    Telnet で FortiGate に 接 続 す る と ロ グ イ ン プ プ ト が 来 ま す の 管理 権 限 を 持 っ た ア ン ト で ロ グ し ま す。

    Fortigate-60 логин:
    Пароль: *********
    Нет записи для тип терминала «vt100»;
    с использованием настроек глупого терминала.
    Добро пожаловать!

    Fortigate-60 $

    ロ グ イ ン し た ら コ ド ラ イ ン で 設定 し ま ょ う。 ま ず FortiGate そ の も の の IPv6 設定 で す。 モ ー ド を つ 戻 き は 「конец」 を 使 い ま す。

    config system interface
    edit «internal» ← 設定 す る イ ン タ ー フ ェ イ ス
    установить тип физический
    config ipv6
    установить ip6-адрес 2001: 278: 101d :: ff: 1/64 ← イ ン タ ー フ ェ イ ス の IPv6 ア ド レ ス
    set ip6-other-flag enable ← O フ ラ グ ON
    config ip6-prefix-list
    edit 2001: 278: 101d :: / 64 ← RA で 広 告 す る プ レ フ ィ ッ ク ス (GUA)
    set включить автономный флаг
    установить флаг ссылки включить
    следующий
    изменить fd75: f582: 7ae3 :: / 64 ← RA で 広 告 す る プ レ フ ィ ッ ク (ULA)
    установить автономный флаг включить
    установить onlink-flag enable
    next
    end
    set ip6-send-adv enable ← RA ON
    end

    良 く 使 う ア ド レ ス の グ ー ピ ン グ は こ ん な す。

    config firewall addrgrp6
    edit «LAN-DC-IPv6»
    set member «LAN-DC01-GUA» «LAN-DC01-ULA» «LAN-DC02-GUA» «LAN-DC02-ULA»
    конец

    ポ リ シ ー の 実 装 は IPv4 と 変 わ り あ り ま せ ん

    config firewall policy6
    edit 1
    set srcintf «internal»
    set dstintf «dmz»
    set srcaddr «all»
    set dstaddr «all»
    set action accept
    установить расписание «всегда»
    установить службу «ЛЮБОЙ»
    установить профиль-статус включить
    установить logtraffic enable
    установить профиль «filter_wizard»
    end

    ス タ テ ィ ッ ク ル ー テ ィ グ は こ ん な 感 じ で き ま す

    config router static6
    edit 1
    set device «wan1»
    set dst 2000 :: / 3
    установить шлюз fe80 :: 1
    следующий

    ち な み に 、 ダ ー シ ョ ン は 省略 し 認識 さ れ る う で す。

    設定 が す ん で FortiGate と の 接 続 を 終了 す る 時 は 、 初期 プ ロ ン プ ト ま っ выйти し ま す。

    IPv6 普及 の 切 り 札 に な る な と 思 っ て い た NGN が 、 「マ ル チ プ レ ィ ク ス 問題」 で 苦 て い ま す。。

    一部 の 報道 (雑 誌) で は ПК の ОС 実 装 が 甘 い の が 原因 み な 情報 が 伝 え ら れ て い す が 、 そ は い で 、 NGN そ の も の の 問題 で す。

    NGN は イ ン タ ー ネ ッ ト ー テ ィ ン グ を 広 な い 閉 域 網 で す。 網 し て 考 え ら る と 接 続 を し て イ ン タ ー ネ へ の 橋 渡 し を す の 設計 が 甘 か っ た と れ て も し ょ う が よ う な 状況 13 ん32 「NGN = レ ッ ツ 地域 網 っ て リ ISP 接 続 を 設計 た 様 で す が フ 網 と 決定 NGN IPvレ IPv 利用 ユ ー ザ に 使 わ せ よ う と し で す。

    今 の フ レ ッ ツ プ レ フ ィ ッ ク ス に な っ て い は 、 ISP 利用 者 が イ ン タ ー ネ ッ ト ア フ レ ッ ツ の ー ビ を 併 用 し て 使 い な い か ら し ょ う。
    僕 も フ レ ッ ツ 網 そ の も の 計 測 を す る た め レ ッ ツ ス ク エ ア ​​に 続 し 事 あ り す 、 ISP 接 続 環境 と 併 用 き る よ う な 仕 様 の も の で は あ ま せ ん で し た (フ レ ッ ツ 内 専 用 DNS ア ド レ ス す ら わ か り や す に 公開 し て い な い 使用 ド レ 空間 も 良 か ら な い の で ル ィ ン グ テ 13) レ ッ ツ 地域 網 ISP へ 接 続 る た め の 「PPPoE 中 継 専 用 ネ ッ ト ワ ー ク」 使 わ れ て い 問題 に.

    IPv4 イ ン タ ー ネ ッ ト ア ク セ ス は 、 IPv4 через PPPoE な の で 、 ISP 接 続 の PPPoE だ け を 使 っ て い る り フ ッ ツ 網 (フ レ ッ ツ エ ア) に は 接 続 で き ま せ。 フ レ ッ ツ 続 す

    Только IPv4 の 時 は こ れ で 良 た の で す が 、 IPv6 は マ ル チ プ レ フ ィ ク 標準 仕 様 な の で NGN 閉 域 網 の プ レ フ ィ ッ 告 し よ う と 目 論 だ の 悪 な の か な と。
    僕 は NGN を 契約 し て い な い の で が 、 NGN は GUA を 使 っ て い る っ て 情報 を き ま し た。 イ ン ネ ッ ト 側 へ の ル ー ン グ 広 告 を 域 網 で 良 い と 思 う の で す が….
    NGN 内 ULA で あ れ ば 、 イ ン ー ネ ッ ト を ア ク る 際 は 、 RFC3484 / 5220 の 規則 に 則 っ て ISP が 広 告 GUA を 送信 元 と し て 選 す る の で 送信 元 IPv6 ア ド レ ス て 事 は 無 い の す が 、 GUA を 使 っ る の でv 、6 送信 IP ア ド レ ス 選 択 を 間 違 う 可能 は ゼ ロ で は あ り ま せ ん。

    も う 一 つ 問題 な り そ の が 、 ユ ー ザ の 境界 に 設置 さ れ る ゲ ー ト ェ イ (HGW) で ル ン グ

    NGN で は PPPoE を 使 い ま せ ん NGN を 使 っ た イ ン ト 続 を 大 き く 分 け る と ザ / ISP 間 を ipip ネ ル で 結 ぶ ト と 、 NGN 自 体 が イ ン ッ ト の 一部 (ISP ま で の IPv6 中 継 網) と し て 稼 働 す る テ ィ ブ 方式 の 2 案 が 想 れ て い ま。 (具体 具 は も う 少 し 化 て 4 案 あ 9000 ま す)

    только IPv4 想 定 し て 市 販 て い る 一般 的 な HGW の ル ー テ ィ ン グ は 、 上位 (PPPoE) に 対 шлюз по умолчанию を 1 つ だ け 設定 す れ 良 の で す が 、 NGN を 使 う 場合 は 、 IPv6 ル ー テ ィ ン を 2 つ 持 っ て шлюз по умолчанию を 契約 ISP に 向N け 、 NGN 宛 て の ル ー テ ィ ン を る 必要 が あ り ま す ナ ミ ッ ク ル ー テ 使 え ば 解決 し 実 装 に 影響 し て く で 、 HGW メ ー カ ー も 動 き て も 動 け な い っ て 状況 ん で し ょ う ね 。。 (各 契約 宅 に ISP が り 出 GUA プ レ フ ィ ス を ど う や っ て る か っ て の は 別 と し て 必要 で こ は DHCP 9

    気 に な る の が 、 名 前 解決 で す け ど 、 こ つ NGN 内 専 用 の ド メ を 作 っ て 、 そ い つ を グ ロ ー バ ル に 公開 す れ ば… う ー ん 、 や っ ぱ り 無理 が あ る な。 (NGN は イ ン タ ー ネ ト ト い る DNS に NGN 内部 の AAAA を 登録 し て い る よ う す け ど)

    今 NGN が 考 え て る 仕 様 だ 、 イ ン タ ー ネ ッ 相互 接 続 を す る は い か も で す ね。

    が 考 え る に NGN は フ レ ッ ツ 地域 網 と 同 じ 付 け の 中 継 し て NGN の プ レ フ ィ ッ ク 側 に 広 告 し な い の 出来 る 最 善解 決策 で は な と 思 っ て い す GUA を ULA に リ ナ ン バ す る っ っ あ る と は 思 い ま す が 今 更 の コ 辛 で し ょ う し。

    さ て 、 今後 NGN が ど ん な 進 む の か 注目 で す ね。 (NGN の マ ル チ レ ィ ッ ク ス 解決 策 へ 続 く)

    徒然 な る ま ま に 書 い た の 、 一 応 ま と め て お ま す ね

    使用 す る IPv6 ア ド レ ス

    • Только IPv6 は 現状 非 現 実 的 な の で 、 IPv4 / IPv6 デ ュ ア ル ス タ ッ ク る

    • サ イ ト に は / 48 、 セ グ メ ン ト に は / 64 プ レ フ ィ ク ス を 使 う

    • NAT は 使 わ な い

    • ULA は fd00 :: / 8 の 計算 で 求 め た サ イ ト プ レ フ ィ う

    • LAN に は GUA + ULA を 割 り 当 て る

    • DMZ に は GUA の み を 割 り 当 て る

    IPv6 ア ド レ ス の 自動 構成

    • IPv6 ア ド レ ス RA で 自動 構成

    • Vista 匿名 ア ド レ ス は 24 で 自動 更新 さ れ る が WS08 は は 的 割 り 当 て に な っ て い る

    • WS08 を EUI-64 に す る に は 「интерфейс netsh ipv6 set global randomizeidentifiers = отключено 」

    • DHCPv6 は ス テ ー ト レ ス を 使 う

    • DHCPv6 を 使 う と き は RA の フ ラ グ コ ン ト ロ ー ル が 必要

    • DMZ も RA + DHCPv6 で 楽 ち ん

    • 手動 設定 IPv6 だ け に し た い 時 は 「интерфейс netsh ipv6 set interface [イ ン タ ー フ ェ イ ス ID] routerdiscovery = disable 」

    DNS デ ィ ス カ バ リ ー

    ル ー テ ィ ン グ

    • ル ー テ ィ ン グ は 、 ル ー テ ィ ン グ ID の 16 ビ ッ ト で 設計

    • ル ー テ ィ ン グ 設計 手法 は IPv4 と 同 じ

    • 小 規模 で も ダ イ ナ ミ ッ ク ル ー テ ィ ン グ が お 勧 め

    • デ フ ォ ル ト ゲ ー に fe80 :: 1/10 を 割 り 当 お 時 が 楽

    DMZ

    ア ド レ ス 用途 RFC
    :: 不定 ア ド レ ス RFC4291
    :: 1 ル ー プ バ ッ ク RFC4291
    :: / 96 IPv4 互換 RFC4291
    :: ffff: 0: 0/96 IPv4 マ ッ プ RFC4291
    2000 :: / 3 GUA RFC4291
    2001 :: / 32 Тередо RFC4389
    2001: db8 :: / 32 ド キ ュ メ ン ト 用 RFC3849
    2002: IPv4 ド レ ス :: / 48 6to4 RFC3068
    fd00 :: / 8 ULA (定義 は fc00 :: / 7) RFC4193
    fe80 :: / 10 リ ン ク ロ ー カ ル RFC4291
    ff00 :: / 8 マ ル チ キ ャ ス ト RFC4291
    fec0 :: / 10 サ イ ト ロ ー カ ル (廃 止) RFC4291

    ff01 :: ノ ー ド ロ ー カ ル

    ff01 :: 1 Все узлы RFC2375
    ff01 :: 2 Все маршрутизаторы RFC2375

    ff02: リ ン ク ロ ー カ ル

    ff02 :: 1 Все узлы RFC2375
    ff02 :: 2 Все маршрутизаторы RFC2375
    ff02 :: 3 Не назначено RFC2375
    ff02 :: 4 Маршрутизаторы DVMRP RFC2375
    ff02 :: 5 OSPFIGP RFC2375
    ff02 :: 6 Маршрутизаторы OSPFIGP RFC2375
    ff02 :: 7 Маршрутизаторы ST RFC2375
    ff02 :: 8 ST Хосты RFC2375
    ff02 :: 9 Маршрутизаторы RIP RFC2375
    ff02 :: a Маршрутизаторы EIGRP RFC2375
    ff02 :: b Мобильные агенты RFC2375
    ff02 :: d Все маршрутизаторы PIM RFC2375
    ff02 :: e RSVP-ENCAPSULATION RFC2375
    ff02 :: 1: 1 Имя ссылки RFC2375
    ff02 :: 1: 2 Все агенты dhcp RFC2375

    ff05 :: サ イ ト ロ ー カ ル

    ff05 :: 2 Все маршрутизаторы RFC2375
    ff05 :: 1: 3 Все-dhcp-серверы RFC2375
    ff05 :: 1: 4 Все реле dhcp RFC2375
    ff05 :: 1: 1000-ff05 :: 1: 13ff Место обслуживания RFC2375

    FortiGate60 フ ァ ー ム ウ ェ ア IPv6 正式 対 応 の 3.00-b0730 (MR7, исправление 1) に 上 げ た の で す が 、 マ ニ ュ ア ル に は RIPng と MLD が 書 い て い な い し … UI も IPv6 周 り は 微妙 に バ っ て る し …. コ マ ン ド ラ イ ン 設定 す れ の ビ ル ド で も 使 く な い で す け ど 普通 に え る よ う に の は 60 は 対 象 外 に orz)
    う ぐ 、 FortiGate は リ ン ク ロ ー カ ル ア レ ス を 手動 設定 出来 な い 仕 様 っ orz

    IPv6 導入 済 み の 環境 に NTT 東 (西 も?) の 光 電話 ル ー 導入 は 要 注意 で す

    拙 宅 で は 、 サ ス 開始 か ら 使 っ て い た ISDN を 、 テ ス ト も 兼 ね て ひ 電話 に 切 り 替 え。
    NTT 東 か ら 送 ら れ て き た NTT 東 の ひ か り 電話 ル ー タ RT-200KI を (振 る 舞 い を し LAN に は 接 続 せ ず) 設置 し た の で 、 振 る 舞 い を た ら 、 こ い つ デ フ ォ で RA し ゃ べ っ て NTT 東 90 (2001): NTT 東 の90 う (2001): / 64 を 構成 し て く れ る 仕 様 に な っ て い ま す。

    最初 は 「へ ぇ B フ レ ッ IPv6 化 頑 張 っ て ん だ」 と 感 心 し い た の す が… 良 く 考 え る と マ ル チ プ レ フ ィ ッ ク ス 問題 が こ こ も 起 き る 事 が 付 き ま し た (遅

    仕 方 な く 、 LAN に は 接 続 せ ず 、 ひ か CTU と し て し ば ら く た で す が 、 メ ン テ や フ レ ッ ツ サ ー ア ク セ ス す る CTU LAN ケ を イ ン タ ー ネ ッ ト 側 さ な い よ う に ル タ し て 、 ツ へ の IPv4 ス タ テ ィ ッ ク ル ー テ ィ ン グ と, IPv6 ス タ テ ィ ッ ク ル ー テ ィ ン グ (2001: C90 :: / 32), DNS フ レ ッ ツ 網 内 の IPv4 DNS フ ォ ワ ー ド を 書 い て LAN に 接 続 し た ら … こ い つ ス テ ー ト レ ス の DHCPv6 も し ゃ べ っ て い て, 参照 DNS に 2001: c90: 0: 5 :: 1 / 2001: c90 :: 3 が 追加 さ れ Windows の AD の 認証 が エ ラ ー に orz

    RT-200K の GUI で は IPv6 の 設定 が 出来 な い の で ど う も あ り ま せ ん (一 応 サ ポ ー ト に 問 い 合 せ メ ー ル 入 れ ま が 、) 9

    ひ か り ル ー タ 導入 、 マ ル チ プ レ フ ク ス 問題 だ け は く 、 IPv6 の 名 前 解決 に も 影響 が 出 で 導入 時 に は 要 注意 で IPv6 の 設定 変 更 が 出来 れ ば だ 対 応 も 可能 な す が GUI OFF IPvッ OFF IPvッ し か な い の で ど う し よ う も あ り ま せ ん。

    IPv6 ブ リ ッ ジ を 止 り あ え IPv6 系 は ゃ べ ら な く な る 様 な で 、 拙 宅 で は ら く こ 000

    に し て も 、 こ の 中途 半 端 な 仕 様 は 何 と か し し い で す ね

    す っ た も ん と や っ て NGN の マ ル チ プ ィ ッ ク ス 、 2009 年 に 一 応 の 決 着 が つ し た。

    そ も そ も NGN の マ ル チ フ ィ ッ ク ス 問題 は NGN が 閉 域 網 で あ る か わ ら ず な IPv6 ド レ ス 体系 で あ GUA を 使 っ て い る こ と に 端 ま す。

    IPv6 で は 、 IPv6 ア ド レ ス 持 つ ノ ー ド が 複数 IPv6 ア ド レ ス を 持 つ 仕 様。 こ の た め 送信 IPv6 ア ド レ ス 選 択 は RFC3484 Выбор адреса по умолчанию для Интернет-протокола версии 6 で ル ー ル が 定 め ら れ て い ま す。
    こ の ル ー 、 閉 域 網 が 使用 す る fc00 :: / 7 と 、 イ イ ン ネ 上 2000 る る 2000 :: が 持 っ て い て も 、 イ ン ネ ッ ト を ア ク セ ス 際 に fc00 :: / 7 が 選 択 る こ と は あ ま せ ん。

    と こ ろ が 、 NGN は 閉 域 網 あ る に も か か わ GUA の 2000 :: / 3 を 使用 し る ん で す よ。
    GUA を 使 っ て い る だ け で た る 問題 で は な す が 、 NGN は ユ ー ザ に NGN 内部 に 設置 し サ RA N RA N を ユ ー ザ ー 宅内 に し ゃ べ り た い と 考 え た の で す。

    す る と 何 が 起 き る か….

    ПК は 、 NGN が 振 り 出 し た IPv6 ア レ ス と 、 ISP が 振 り 出 し た IPv6 ア ド レ が セ ッ ト さ ま 。NGN と ISP が 振 り 出 し た IPv6 ア ド レ ス は 、 と も に GUA な の で タ ー ネ ッ ト を ア セ ク す ス 際 に 先 に NGN ア ド レ ス が 送信 元 に 選 ま す。
    す る と 、 先 が NGN と な り ま す が 、 NGN は 閉 域 網 な の で 戻 り 先 が タ ー ネ ッ ト か ら き な い 所 に な っ て い 、 送信 し た た PC に パ ト 9

    つ ま り 、 NGN が RA を し て く れ る と 、 イ ン タ ト ア ク セ ス が 出来 な い ー ス が 出 て く 事 マ ル チ プ レ フ ィ ッ の で す。 (NGN 内部 ア ク セ ス 時 も 同 じ が え ま す)

    な み に 、 2011/04/28 現在 で 、 NTT 東西 が 閉 域 網 で 使用 IPv6 ア ド レ ス 使用 さ れ て ま (「KB2551233 Internet Explorer ど で NTT 東 日本 、 NTT 西 日本 の IPv6 閉 域 網 に 接 続 て る タ ア ウ ト 発 生 す る 」引用)

    2001: c90 :: / 32 NTTEAST-JPNIC-JP-20020930 NTT 東 日本
    2404: 1a8 :: / 32 NTTEAST-NGN-JPNIC-JP-2006 1002
    2408 :: / 22 NTTEAST-NGN-JPNIC-JP-2007 1015
    2001: d70 :: / 30 NTTWEST-IPv6-JPNIC-JP-20030912 NTT 西 日本
    2001: a000 :: / 21 NTTWEST-IPv6-JPNIC-JP-20041201

    こ の 問題 を 解決 た ン ネ ル 方式 」(正式 サ ー 名 は IPv6 PPPoE) と「 ネ イ テ ィ ブ 」(正式 サ ー ビ ス 名 は IPv6 IPoE) の 2 方式 で す。 (2 方式 が 併存 す る っ て 不 思議 な 結論 で す ね)

    NGN の IPv6 イ ン タ ー ネ ッ ト 接 続 (NTT 東 日本 の プ レ ス リ リ ー ス 資料 を 簡略 化)

    ま ず は 、 ネ テ ィ ブ す。
    NGN の RA は せ ず に 、 ISP か 振 り 出 し GUA を 使 っ て NGN を ア ク セ ス す る っ て で す。 で も よ く 、 代表 ISP っ て 特別 な ISP だ け が NGN へ の 相互 接 続 を 許 れ て い。 ル ー テ ィ ン グ ト ロ ー ル の キ ャ パ の っ て 理由 だ そ う ISP は 3 社 に Интернет-провайдер の 傘 下 に 入 る の 競争 を 害 し か ね な い 思 え ま す。

    も う 1 つ の ト ン ネ ル 方式。
    こ い つ も NGN の RA は し ま せ ん が 、 NGN を ア ク セ ス す 際 ア ダ プ タ 内部 で IPv6 NAT で 送信 元 を NGN の IPv6 ア ド レ ス に 変 換 し ち ゃ す
    そ も そ も IP の 思想 は 通信 な の で す IPv4 ア ド NAT る っ て 歪 ん だ だ 仕 様 を で 導入 し た っ て あ り ま す。 こ の 仕 様 も IPv6 の で 本来 の 戻 る っ て….

    そ ん な こ ん な で 、 NGN の マ ル チ プ レ フ ッ ク ス 一 応 の 解決 は ​​し た す が 、 ど ち ら の 案 ッ リ 解決 と 言 よ う に 000

    03/02/2011 に IPv4 ア ド レ ス の 中央 倉庫 で あ る IANA の 在 庫 が ゼ ロ に な り ま し た。 い よ い よ IPv4 ア ド レ ス 枯 渇 が 秒 読 み 段 入 っ た こ と に な す。

    最後 の / 8 5 ロ ッ ク は 配 布 は 、 ス ト リ ー ミ ン 中 継 さ れ 、 日本語 同時 も 1300 人 が 視 聴 聴 い た (9 僕)

    日本 が 所属 し て い る APNIC 、 世界 人口 の 半 分 近 く バ ー す る 巨大 な RIR で す。 こ の た め APNIC が 在 庫 と し て 持 っ て い IPv4 ア ド レ ス が 世界 で 一番 く な く り 、 本 当 の 意味 で の IPv4 ア ド レ ス 枯 渇 に を 迎。 APNIC の 在 22.09.2011 と 予 測 さ れ て い ま す。
    日本 国内 を 見 て も ト フ ォ ン の 普及 や ト ビ ジ ネ ス 大 等 で IP ア

    日本 の IPv4 ア ド レ ス を 管理 し て い る JPNIC は 在 庫 を 持 っ て お ら ず 、 APNIC か ら ISP に IPv4 ア ド レ ス を 割 り し て い ま す。 こ は 世界 で 一番 早 く IPv4 ア ド レ ス 枯 渇 を る 国 の 一 9 す。

    IPv4 ア ド レ ス が 枯 渇 ら と 言 っ て 、 新 IPv4 ア ド レ ス が 割 り 当 ら れ な く な る だ け な の 、 IPv4 を 使 っ た イ ン タ ー ネ え な く な る わ け は あ り ま せ ん。。
    閉 域 で あ れ ば IPv6 の 導入 は 必要 あ り ま せ ん が ー ネ ッ ト 接 続 い る の で あ れ ば 、 タ ネ ッ ト 上 で れ IP IP に 徐 々 に シ フ す る 、 Только IPv4 の 環境 で あ っ も IPv6 導入 は 避 け て れ い こ と に な り ま す。

    余 談 で す が APNIC の 在 庫 が 1 ブ ロ ッ ク に な っ JPNIC か ら 直接 割 り 当 て を け る 指定 事業 者 (LIR) や 企業 に は 、 / 22 が 1 つ 割 り 当 て ら れ る け と 言 う ポ リ に シ や 一般 ユ ー ザ ー に る の で な く 、 IPv4 イ ン タ ト の 接 続 性 を 確保 る た め の 機 の 位置 現在 で 、 APNIC の 在 庫 は 3.9 ロ ッ ク と な っ て い ま す。

    IPv6 導入 に は 、 投資 (機 材 購入 だ け で は な く 設計 等 も) 必要 な の で す が 、 20–30 億 人 が Только IPv6 の イ ン タ ー ネ ッ ト ク セ ス に な る ら し く 、 IPv6 導入 は 遅 か れ 早 か れ な り そ う で す。

    痛 み を 伴 う IPv6 導入 で す IP 本来 の 透過 で エ ン エ ン ド な 通信 が 蘇 る の 、 今 で は 想像 も で な い

    世界 レ ベ ル で 見 る ー 機器 が 生 き 残 り る の で 数 十年 IPv4 / IPv6 併存 が 続 き そ う で す が 、 日本 リ プ レ ー ス 間隔 が IPv6 対 応 は 10 年 を 待 完了 で か も で 9000

    15.04.2011 に JPNIC が ア ド レ ス 供給 を 受 け て い る APNIC の グ ロ ー バ ル IPv4 ア ド レ ス が ゼ ロ な り ま し JPNIC で は 独自 に 持 た な い の で 、 付 で 日本 の IPv4 ア ド も


    http: // www.nic.ad.jp/ja/ip/ipv4pool/

    <Использование пула IPv4 APNIC>
    http://www.apnic.net/community/ipv4-exhauration/graphical-information

    APNIC の 在 庫 を 見 る と 、 だ 1 ブ ロ ッ ク 残 っ て 、 APNIC の ラ ス ト 1 ブ ロ ッ ク ポ リ シ 、 ISP と か の 事業 者 に 対 し て / 22 の ア ド レ ス を IPv4 イ ン タ ッ ト と の 疎 通 確保 用途 に 1 度 だ け 配 布 す る し て

    い よ い よ IPv6 の 出 番 で す ね。

    [Назад]
    [ Главная]

    Авторские права © MURA Все права защищены.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *