Как IPv6 помогает роутеры ломать / Хабр
Предисловие
Проснулся я сегодня с мыслью, что огромное количество инструкций по настройке NAT советуют использовать строку вида:
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Многие понимают проблемы этой конструкции, и советуют добавлять:
iptables -A FORWARD -i ppp0 -o eth2 -m state --state ESTABLISHED,RELATED -j ACCEPT
Но, зачастую, забывают задать таблице FORWARD действие DROP по умолчанию, или добавить правило REJECT в конец таблицы.
На первый взгляд, вроде бы, все кажется нормальным. Однако, это далеко не так. Дело в том, что если не запретить маршрутизировать трафик из WAN-порта в WAN-порт, кто-нибудь из вашей WAN-сети (предположим, что провайдер садит весь подъезд в одну /24) может маршрутизировать трафик через вас, просто прописав ваш IP в качестве шлюза. Все современные SOHO роутеры это учитывают, а вот неопытный администратор, который делает роутер под обычным linux, может не знать или забыть об этом. В подсети моего провайдера таких роутеров не оказалось, и мой план по захвату мира провалился. Однако, статья совсем не об этом.
Магические двоеточия
В IPv6 есть так называемое отображение IPv4-адресов в IPv6 диапазон. Если программа слушает сокет ::, а к ней обращаются из IPv4-адреса 1.2.3.4, то программа получит соединение с адреса ::ffff:1.2.3.4. Этого можно избежать, сделав:
sysctl -w net.ipv6.bindv6only=1
Но это нужно далеко не всегда, т.к. обычно удобно, что программа слушает один сокет, а получать соединения может по двум протоколам сразу. Практически во всех дистрибутивах, IPv6-сокеты ведут себя именно так, т.е. bindv6only=0.
fe80 и его друг ff02
Если вы не застряли в 90-х, вы гарантированно сталкивались с IPv6, сами того не зная. Абсолютно во всех современных операционных системах по умолчанию включена поддержка IPv6, а это значит, что на каждый (кроме редких исключений) интерфейс автоматически назначается IPv6 Link-Local адрес, который начинается с fe80::. Более того, в некоторых случаях этот адрес получается просто путем кодирования MAC-адреса.
Казалось бы, найти Link-Local адреса должно быть проблематично, они же все-таки длинные и страшные, но тут нам на помощь приходит мультикаст-диапазон ff02::.
Есть такой классный адрес: ff02::1. Если его попинговать (обязательно с указанием интерфейса, т.к. это Link Local адрес), то откликнутся все компьютеры в сети:
% ping6 ff02::1%enp4s0 PING ff02::1%enp4s0(ff02::1) 56 data bytes 64 bytes from fe80::21f:d0ff:fea2:46a3: icmp_seq=1 ttl=64 time=0.056 ms 64 bytes from fe80::fe8b:97ff:fe66:9100: icmp_seq=1 ttl=64 time=1.60 ms (DUP!) 64 bytes from fe80::226:9eff:fe6d:22a0: icmp_seq=1 ttl=64 time=1.62 ms (DUP!) 64 bytes from fe80::f2de:f1ff:fe27:3685: icmp_seq=1 ttl=64 time=1.70 ms (DUP!) 64 bytes from fe80::62a4:4cff:fe7b:1c90: icmp_seq=1 ttl=64 time=2.95 ms (DUP!) 64 bytes from fe80::fac0:91ff:fe32:5bbe: icmp_seq=1 ttl=64 time=3.02 ms (DUP!) 64 bytes from fe80::226:18ff:fe9e:4b3a: icmp_seq=1 ttl=64 time=3.09 ms (DUP!) 64 bytes from fe80::ba70:f4ff:fe8b:8dda: icmp_seq=1 ttl=64 time=3.14 ms (DUP!) 64 bytes from fe80::62a4:4cff:fea2:aee0: icmp_seq=1 ttl=64 time=3.27 ms (DUP!) 64 bytes from fe80::224:54ff:fedb:d17d: icmp_seq=1 ttl=64 time=3.93 ms (DUP!) 64 bytes from fe80::2a1:b0ff:fe40:904: icmp_seq=1 ttl=64 time=4.21 ms (DUP!) 64 bytes from fe80::76d0:2bff:fe69:31d8: icmp_seq=1 ttl=64 time=6.09 ms (DUP!)
Как мы видим, откликнулось 11 устройств. Кстати, этот адрес очень удобно использовать, если у вас, например, сервер настроен на получение адреса через DHCP, а DHCP упал, или если вы напрямую подключились к порту сервера, а DHCP поднимать не хочется. Вам остается просто зайти по fe80-адресу по ssh. Если попинговать адрес ff02::2, то откликнутся все IPv6-роутеры в сети. К сожалению, в моем случае таких не было.
Сканируем роутеры
Я решил просканировать эти адреса через nmap, и вот что вышло:
% nmap -6 -T4 --open -n -iL list.txt
Скрытый текстStarting Nmap 6.46 ( http://nmap.org ) at 2014-06-07 16:53 MSK Nmap scan report for fe80::f2de:f1ff:fe27:3685 Host is up (0.0014s latency). Not shown: 999 closed ports PORT STATE SERVICE 53/tcp open domain Nmap scan report for fe80::fe8b:97ff:fe66:9100 Host is up (0.0012s latency). Not shown: 998 closed ports PORT STATE SERVICE 53/tcp open domain 80/tcp open http Nmap scan report for fe80::226:9eff:fe6d:22a0 Host is up (0.0012s latency). Not shown: 998 closed ports PORT STATE SERVICE 53/tcp open domain 80/tcp open http Nmap scan report for fe80::62a4:4cff:fea2:aee0 Host is up (0.00099s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::226:18ff:fe9e:4b3a Host is up (0.00094s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::62a4:4cff:fe7b:1c90 Host is up (0.00085s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::76d0:2bff:fe69:31d8 Host is up (0.00072s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::fac0:91ff:fe32:5bbe Host is up (0.00037s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::ba70:f4ff:fe8b:8dda Host is up (0.00059s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::2a1:b0ff:fe40:904 Host is up (0.00077s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap scan report for fe80::224:54ff:fedb:d17d Host is up (0.0012s latency). Not shown: 999 closed ports PORT STATE SERVICE 23/tcp open telnet Nmap done: 11 IP addresses (11 hosts up) scanned in 4.04 seconds
По IPv4 все эти порты закрыты.
Как мы видим, у многих роутеров открыт Telnet, веб-интерфейс и DNS извне по IPv6.
Что же это значит? Все просто — разработчики прошивки роутера просто-напросто забыли про IPv6.
Роутеры с открытым telnet:
- ASUS RT-N10 (2.0.3.2)
- ASUS RT-G32
- ASUS RT-G32.C1 (2.0.2.6)
- Upvel UR-312N4G
Роутеры с открытым веб-интерфейсом:
- D-Link DIR-615 (E4, 5.11NV)
- D-Link DIR-615 (E4, 5.11RU)
На многих из них были стандартные пароли admin/admin.
На большинстве этих роутеров ip6tables (iptables для IPv6) просто отсутствовал. Разработчики должны были либо вообще отключить поддержку IPv6 в ядре, либо убедиться, что http и telnet демоны слушают
А что, если…?
Если бы на роутере был каким-то образом настроен IPv6, и, соответственно, включена маршрутизация IPv6 пакетов (net.ipv6.conf.all.forwarding=1), а ip6tables либо вообще не настроен, либо настроен неправильно, то можно было бы точно так же, как в случае с IPv4, маршрутизировать пакеты через этот роутер.
Заключение
Некоторым компаниям я уже отправил письма об этих уязвимостях, а некоторым еще не успел. В любом случае, письма будут отправлены всем.
Используйте IPv6, не забывайте о нем.
P.S.
Для меня стало неожиданностью, что браузеры не умеют открывать адреса с указанием интерфейса. У меня никак не получилось открыть ссылку вида http://[fe80::a:b:c:d%enp4s0] во всех браузерах. Говорят, что знак процента нужно экранировать, т.е. http://[fe80::a:b:c:d%25enp4s0], но у меня и так не вышло. Пришлось использовать проброс портов.
IPv6 калькулятор подсетей: 2001:db8:58:74:1c60:2c18:1025:2b5f/96 / shootnick.ru
Параметр | Значение |
Сокращенный IPv6 адрес | 2001:db8:58:74:1c60:2c18:1025:2b5f |
---|---|
Полный IPv6 адрес | 2001:0db8:0058:0074:1c60:2c18:1025:2b5f |
Длина префикса | 96 |
Маска префикса | ffff:ffff:ffff:ffff:ffff:ffff:0000:0000 |
Первый адрес | 2001:0db8:0058:0074:1c60:2c18:0000:0000 |
Последний адрес | 2001:0db8:0058:0074:1c60:2c18:ffff:ffff |
Количество доступных адресов | 4 294 967 296 |
Ссылка на эту страницу: shootnick.ru/ip6_calc/2001-db8-58-74-1c60-2c18-1025-2b5f/96
Так же у нас есть IPv4 калькулятор подсетей
Познавательное о IPv6 …
IPv6 (англ. Internet Protocol version 6) — новая версия интернет-протокола (IP), призванная решить проблемы, с которыми столкнулась предыдущая версия (IPv4) при её использовании в Интернете, за счёт целого ряда принципиальных изменений. Протокол был разработан IETF.
На конец 2012 года доля IPv6 в сетевом трафике составляла около 1%. К концу 2013 года ожидался рост до 3%. Согласно статистике Google на октябрь 2018 года, доля IPv6 в сетевом трафике составляла около 25%. В России коммерческое использование операторами связи невелико (не более 1% трафика). DNS-серверы многих российских регистраторов доменов и провайдеров хостинга используют IPv6.
После того, как адресное пространство в IPv4 закончится, два стека протоколов — IPv6 и IPv4 — будут использоваться параллельно (англ. dual stack), с постепенным увеличением доли трафика IPv6, по сравнению с IPv4. Такая ситуация станет возможной из-за наличия огромного количества устройств, в том числе устаревших, не поддерживающих IPv6 и требующих специального преобразования для работы с устройствами, использующими только IPv6.
В конце 1980-х стала очевидна необходимость разработки способов сохранения адресного пространства Интернета. В начале 1990-х, несмотря на внедрение бесклассовой адресации, стало ясно, что этого недостаточно для предотвращения исчерпания адресов и необходимы дальнейшие изменения инфраструктуры Интернета. К началу 1992 года появилось несколько предложений, и к концу 1992 года IETF объявила конкурс для рабочих групп на создание интернет-протокола следующего поколения (англ. IP Next Generation — IPng). 25 июля 1994 года IETF утвердила модель IPng, с образованием нескольких рабочих групп IPng. К 1996 году была выпущена серия RFC, определяющих Интернет-протокол версии 6, начиная с RFC 1883.
IETF назначила новому протоколу версию 6, так как версия 5 была ранее назначена экспериментальному протоколу, предназначенному для передачи видео и аудио.
Оценки времени полного исчерпания IPv4-адресов различались в 2000-х. Так, в 2003 году директор APNIC Пол Уилсон (англ. Paul Wilson) заявил, что, основываясь на темпах развёртывания сети Интернет того времени, свободного адресного пространства хватит на одно—два десятилетия. В сентябре 2005 года Cisco Systems предположила, что пула доступных адресов хватит на 4—5 лет.
3 февраля 2011 агентство IANA распределило последние 5 блоков /8 IPv4 региональным интернет-регистраторам. На этот момент ожидалось, что общий запас свободных блоков адресов у региональных интернет-регистраторов (RIR) закончится в течение срока от полугода (APNIC) до пяти лет (AfriNIC).
По состоянию на сентябрь 2015 года, об исчерпании общего запаса свободных блоков IPv4-адресов и ограничениях на выдачу новых диапазонов адресов объявили все региональные регистраторы, кроме AfriNIC; ARIN объявил о полном исчерпании свободных IPv4-адресов, а для остальных регистраторов этот момент прогнозируется начиная с 2017 года. Выделение IPv4-адресов в Европе, Азии и Латинской Америке (регистраторы APNIC, RIPE NCC и LACNIC) продолжается блоками /22 (по 1024 адреса).
8 июня 2011 года состоялся Международный день IPv6 — мероприятие по тестированию готовности мирового интернет-сообщества к переходу с IPv4 на IPv6, в рамках которого участвующие в акции компании добавили к своим сайтам IPv6-записи на один день. Тестирование прошло успешно, накопленные данные будут проанализированы и учтены при последующем внедрении протокола и для составления рекомендаций.
Перевод на IPv6 начал осуществляться внутри Google с 2008 года. Тестирование IPv6 признано успешным. 6 июня 2012 года состоялся Всемирный запуск IPv6. Интернет-провайдеры включат IPv6 как минимум для 1% своих пользователей (уже подписались AT&T, Comcast, Free Telecom, Internode, KDDI, Time Warner Cable, XS4ALL). Производители сетевого оборудования активируют IPv6 в качестве настроек по умолчанию в маршрутизаторах (Cisco, D-Link). Веб-компании включат IPv6 на своих основных сайтах (Google, Facebook, Microsoft Bing, Yahoo), а некоторые переводят на IPv6 также корпоративные сети. В спецификации стандарта мобильных сетей LTE указана обязательная поддержка протокола IPv6.
Иногда утверждается, что новый протокол может обеспечить до 5·1028 адресов на каждого жителя Земли. Такое большое адресное пространство было введено ради иерархичности адресов (это упрощает маршрутизацию). Тем не менее, увеличенное пространство адресов сделает NAT необязательным. Классическое применение IPv6 (по сети /64 на абонента; используется только unicast-адресация) обеспечит возможность использования более 300 млн IP-адресов на каждого жителя Земли.
Из IPv6 убраны функции, усложняющие работу маршрутизаторов:
- Маршрутизаторы больше не должны фрагментировать пакет, вместо этого пакет отбрасывается с ICMP-уведомлением о превышении MTU и указанием величины MTU следующего канала, в который этому пакету не удалось войти. В IPv4 размер MTU в ICMP-пакете не указывался, и отправителю требовалось осуществлять подбор MTU техникой Path MTU discovery. Для лучшей работы протоколов, требовательных к потерям, минимальный MTU поднят до 1280 байт. Фрагментация поддерживается как опция (информация о фрагментации пакетов вынесена из основного заголовка в расширенные) и возможна только по инициативе передающей стороны.
- Из IP-заголовка исключена контрольная сумма. С учётом того, что канальные (Ethernet) и транспортные (TCP и UDP) протоколы имеют свои контрольные суммы, ещё одна контрольная сумма на уровне IP воспринимается как излишняя. Кроме того, модификация поля hop limit (или TTL в IPv4) на каждом маршрутизаторе в IPv4 приводила к необходимости её постоянного перерасчёта.
Несмотря на больший по сравнению с предыдущей версией протокола размер адреса IPv6 (16 байтов вместо 4), заголовок пакета удлинился всего лишь вдвое: с 20 до 40 байт.
Улучшения IPv6 по сравнению с IPv4:
- В сверхскоростных сетях возможна поддержка огромных пакетов (джамбограмм) — до 4 гигабайт;
- Time to Live переименовано в Hop Limit;
- Появились метки потоков и классы трафика;
- Появилось многоадресное вещание.
При инициализации сетевого интерфейса ему назначается локальный IPv6-адрес, состоящий из префикса fe80::/10 и идентификатора интерфейса, размещённого в младшей части адреса. В качестве идентификатора интерфейса часто используется 64-битный расширенный уникальный идентификатор EUI-64, часто ассоциируемый с MAC-адресом. Локальный адрес действителен только в пределах сетевого сегмента канального уровня и используется для обмена информационными ICMPv6-пакетами.
Для настройки других адресов узел может запросить информацию о настройках сети у маршрутизаторов, отправив ICMPv6-сообщение «Router Solicitation» на групповой адрес маршрутизаторов. Маршрутизаторы, получившие это сообщение, отвечают ICMPv6-сообщением «Router Advertisement», в котором может содержаться информация о сетевом префиксе, адресе шлюза, адресах рекурсивных DNS серверов, MTU и множестве других параметров. Объединяя сетевой префикс и идентификатор интерфейса, узел получает новый адрес. Для защиты персональных данных идентификатор интерфейса может быть заменён на псевдослучайное число.
Для большего административного контроля может быть использован DHCPv6, позволяющий администратору маршрутизатора назначать узлу конкретный адрес.
Для провайдеров может использоваться функция делегирования префиксов клиенту, что позволяет клиенту просто переходить от провайдера к провайдеру, без изменения каких-либо настроек.
Введение в протоколе IPv6 поля «Метка потока» позволяет значительно упростить процедуру маршрутизации однородного потока пакетов. Поток — это последовательность пакетов, посылаемых отправителем определённому адресату. При этом предполагается, что все пакеты данного потока должны быть подвергнуты определённой обработке. Характер данной обработки задаётся дополнительными заголовками.
Допускается существование нескольких потоков между отправителем и получателем. Метка потока присваивается узлом-отправителем путём генерации псевдослучайного 20-битного числа. Все пакеты одного потока должны иметь одинаковые заголовки, обрабатываемые маршрутизатором.
При получении первого пакета с меткой потока маршрутизатор анализирует дополнительные заголовки, выполняет предписанные этими заголовками функции и запоминает результаты обработки (адрес следующего узла, опции заголовка переходов, перемещение адресов в заголовке маршрутизации и т.д.) в локальном кэше. Ключом для такой записи является комбинация адреса источника и метки потока. Последующие пакеты с той же комбинацией адреса источника и метки потока обрабатываются с учётом информации кэша без детального анализа всех полей заголовка.
Время жизни записи в кэше составляет не более 6 секунд, даже если пакеты этого потока продолжают поступать. При обнулении записи в кэше и получении следующего пакета потока пакет обрабатывается в обычном режиме, и для него происходит новое формирование записи в кэше. Следует отметить, что указанное время жизни потока может быть явно определено узлом отправителем с помощью протокола управления или опций заголовка переходов и может превышать 6 секунд.
Обеспечение безопасности в протоколе IPv6 осуществляется с использованием протокола IPsec, поддержка которого является обязательной для данной версии протокола.
Приоритет пакетов маршрутизаторы определяют на основе первых шести бит поля Traffic Class. Первые три бита определяют класс трафика, оставшиеся биты определяют приоритет удаления. Чем больше значение приоритета, тем выше приоритет пакета.
Разработчики IPv6 рекомендуют использовать для определённых категорий приложений следующие коды класса трафика:
- класс трафика 0 — Нехарактеризованный трафик
- класс трафика 1 — Заполняющий трафик (сетевые новости)
- класс трафика 2 — Несущественный информационный трафик (электронная почта)
- класс трафика 3 — Резерв
- класс трафика 4 — Существенный трафик (FTP, HTTP, NFS)
- класс трафика 5 — Резерв
- класс трафика 6 — Интерактивный трафик (Telnet, X-terminal, SSH)
- класс трафика 7 — Управляющий трафик (Маршрутная информация, SNMP)
В отличие от SSL и TLS, протокол IPsec позволит шифровать любые данные (в том числе UDP) без необходимости какой-либо поддержки со стороны прикладного ПО.
Существуют различные типы адресов IPv6: одноадресные (Unicast), групповые (Anycast) и многоадресные (Multicast).
Адреса типа Unicast хорошо всем известны. Пакет, посланный на такой адрес, достигает в точности интерфейса, который этому адресу соответствует.
Адреса типа Anycast синтаксически неотличимы от адресов Unicast, но они адресуют группу интерфейсов. Пакет, направленный такому адресу, попадёт в ближайший (согласно метрике маршрутизатора) интерфейс. Адреса Anycast могут использоваться только маршрутизаторами.
Адреса типа Multicast идентифицируют группу интерфейсов. Пакет, посланный на такой адрес, достигнет всех интерфейсов, привязанных к группе многоадресного вещания.
Широковещательные адреса IPv4 (обычно xxx.xxx.xxx.255) выражаются адресами многоадресного вещания IPv6. Крайние адреса подсети IPv6 (например, xxxx:xxxx:xxxx:xxxx:0:0:0:0 и xxxx:xxxx:xxxx:xxxx:ffff:ffff:ffff:ffff для подсети /64) являются полноправными адресами и могут использоваться наравне с остальными.
Группы цифр в адресе разделяются двоеточиями (например, fe80:0:0:0:200:f8ff:fe21:67cf). Незначащие старшие нули в группах могут быть опущены. Большое количество нулевых групп может быть пропущено с помощью двойного двоеточия (fe80::200:f8ff:fe21:67cf). Такой пропуск должен быть единственным в адресе.
Типы Unicast-адресов
- Глобальные
Соответствуют публичным IPv4-адресам. Могут находиться в любом не занятом диапазоне. В настоящее время региональные интернет-регистраторы распределяют блок адресов 2000::/3 (с 2000:: по 3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff). - Link-Local
Соответствуют автосконфигурированным с помощью протокола APIPA IPv4 адресам. Начинаются с FE80:.- Используется:
- В качестве исходного адреса для Router Solicitation(RS) и Router Advertisement(RA) сообщений, для обнаружения маршрутизаторов.
- Для обнаружения соседей (эквивалент ARP для IPv4).
- Как next-hop-адрес для маршрутов.
- Unique-Local
RFC 4193, соответствуют внутренним IP-адресам, которыми в версии IPv4 являлись 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16. Начинаются с цифр FCxx: и FDxx:.
Типы Multicast-адресов
Адреса мультикаст бывают двух типов:
- Назначенные (Assigned multicast) — специальные адреса, назначение которых предопределено. Это зарезервированные для определённых групп устройств мультикастовые адреса. Отправляемый на такой адрес пакет будет получен всеми устройствами, входящими в группу.
- Запрошенные (Solicited multicast) — остальные адреса, которые устройства могут использовать для прикладных задач. Адрес этого типа автоматически появляется, когда на некотором интерфейсе появляется юникастовый адрес. Адрес формируется из сети ff02:0:0:0:0:1:ff00::/104, оставшиеся 24 бита — такие же, как у настроенного юникастового адреса.
Пакеты состоят из управляющей информации, необходимой для доставки пакета адресату, и полезных данных, которые требуется переслать. Управляющая информация делится на содержащуюся в основном фиксированном заголовке, и содержащуюся в одном из необязательных дополнительных заголовков. Полезные данные, как правило, это дейтаграмма или фрагмент протокола более высокого транспортного уровня, но могут быть и данные сетевого уровня (например ICMPv6, OSPF).
IPv6-пакеты обычно передаются с помощью протоколов канального уровня, таких как Ethernet, который инкапсулирует каждый пакет в кадр. Но IPv6-пакет может быть передан с помощью туннельного протокола более высокого уровня, например в 6to4 или Teredo.
Адреса IPv6 отображаются как восемь четырёхзначных шестнадцатеричных чисел (то есть групп по четыре символа), разделённых двоеточием. Пример адреса:
2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d
Если две и более групп подряд равны 0000, то они могут быть опущены и заменены на двойное двоеточие (::). Незначащие старшие нули в группах могут быть опущены. Например, 2001:0db8:0000:0000:0000:0000:ae21:ad12 может быть сокращён до 2001:db8::ae21:ad12, или 0000:0000:0000:0000:0000:0000:ae21:ad12 может быть сокращён до ::ae21:ad12. Сокращению не могут быть подвергнуты 2 разделённые нулевые группы из-за возникновения неоднозначности.
Также есть специальная нотация для записи встроенного и отображённого IPv4 на IPv6. В ней последние 2 группы знаков заменены на IPv4-адрес в его формате. Пример:
::ffff:192.0.2.1
При использовании IPv6-адреса в URL необходимо заключать адрес в квадратные скобки:
http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]/
Если необходимо указать порт, то он пишется после скобок:
http://[2001:0db8:11a3:09d7:1f34:8a2e:07a0:765d]:8080/
Понимание адреса IPv6 Link-Local — Cisco
Введение
Цель этого документа — обеспечить понимание адреса IPv6 Link-Local в сети. Локальный адрес для канала представляет собой одиночный адрес IPv6, который может быть автоматически настроен на любом интерфейсе посредством префикса локальных адресов для канала FE80::/10 (1111 1110 10) и идентификатора интерфейса в модифицированном формате EUI-64. Адреса Link-Local не обязательно связаны с MAC-адресом (настроенным в формате EUI-64). Адреса Link-Local можно также настроить вручную в формате FE80::/10 с помощью команды ipv6 address link-local.
Эти адреса обращаются только к определенному физическому каналу и используются для адресации на одном канале в таких целях, как автоматическая конфигурация адреса и протокол обнаружения соседей. Адреса Link-local можно использовать для достижения соседних узлов, подключенных к тому же каналу. Для обмена данными между узлами глобально уникальный адрес не требуется. Маршрутизаторы не перенаправляют датаграмму с использованием адресов Link-local. Маршрутизаторы IPv6 не должны перенаправлять пакеты, у которых исходные или целевые адреса Link-local относятся к другим каналам. Все интерфейсы с поддержкой IPv6 имеют одиночный адрес Link-local.
Предварительные условия
Требования
Убедитесь, что вы ознакамливаетесь с Форматами Адреса IPv6 перед попыткой этой конфигурации.
Используемые компоненты
Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.
Конфигурации в этом документе основываются на Маршрутизаторе серии Cisco 3700 с Выпуском 12.4 (15) T1 программного обеспечения Cisco IOS.
Условные обозначения
Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.
Настройка
В данном примере маршрутизаторы R1, R2 и R3 подключены через последовательный интерфейс, и для них настроены адреса IPv6, как упомянуто в схеме сети. Адреса обратной связи настроены на маршрутизаторах R1 и R3, а для связи друг с другом маршрутизаторы используют OSPFv3. В данном примере используется команда ping для демонстрации возможности подключения между маршрутизаторами с использованием адресов Link-local. Маршрутизаторы R1 и R3 могут пропинговать друг друга с глобальным адресом индивидуальной рассылки IPv6, но не с адресом Link-local. Однако маршрутизатор R2, напрямую подключающийся к R1 и R3, может связываться с обоими маршрутизаторами с их адреса Link-local, поскольку адреса Link-local используются только в той локальной сети, которая относится к конкретному физическому интерфейсу.
Схема сети
В настоящем документе используется следующая схема сети:
Конфигурации
В этом документе используются следующие конфигурации:
Вот ссылка на видео (доступное на сайте сообщества Cisco Support), которое демонстрирует основное различие между адресом IPv6 Link-local и глобальным индивидуальным адресом рассылки в маршрутизаторах Cisco IOS:
Понимание адреса IPv6 Link-Local
Маршрутизатор М1 |
---|
! hostname R1 ! ipv6 cef ! ipv6 unicast-routing ! interface Loopback10 no ip address ipv6 address 2010::/64 eui-64 !--- Assigned a IPv6 unicast address in EUI-64 format. ipv6 ospf 1 area 1 !--- Enables OSPFv3 on the interface and associates the interface looback10 to area 1. ! interface Loopback20 no ip address ipv6 address 2020::/64 eui-64 ipv6 ospf 1 area 2 !--- Associates the Interface loopback20 to area 2. ! interface Serial0/0 no ip address ipv6 address 2001::1/124 ipv6 ospf 1 area 0 !--- Associates the Interface serial0/0 to area 0. clock rate 2000000 ! ipv6 router ospf 1 router-id 1.1.1.1 !--- Router R1 uses 1.1.1.1 as router id. log-adjacency-changes ! end |
Маршрутизатор М2 | Маршрутизатор R3 |
---|---|
hostname R2 ! ipv6 cef ! ! ! ! ipv6 unicast-routing ! ! ! interface Serial0/0 no ip address ipv6 address 2001::2/124 ipv6 ospf 1 area 0 clock rate 2000000 ! ! interface Serial0/1 no ip address ipv6 address 2002::1/124 ipv6 ospf 1 area 0 clock rate 2000000 ! ! ! ipv6 router ospf 1 router-id 2.2.2.2 log-adjacency-changes ! end | ! hostname R3 ! ipv6 cef ! ipv6 unicast-routing ! interface Loopback10 no ip address ipv6 address 1010::/64 eui-64 ipv6 ospf 1 area 1 ! interface Loopback20 no ip address ipv6 address 2020::/64 eui-64 ipv6 ospf 1 area 2 ! interface Serial0/0 no ip address ipv6 address FE80::AB8 link-local ipv6 address 2002::2/124 ipv6 ospf 1 area 0 clock rate 2000000 ! ipv6 router ospf 1 router-id 3.3.3.3 log-adjacency-changes ! end |
Проверка
Проверка конфигурации OSPF
Этот раздел позволяет убедиться, что конфигурация работает правильно.
Для того чтобы убедиться, что OSPF был настроен правильно, используйте команду show ipv6 route ospf на маршрутизаторах R1 и R3.
show ipv6 route ospf |
---|
Маршрутизатор М1R1#show ipv6 route ospf IPv6 Routing Table - 10 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external OI 1010::C002:1DFF:FEE0:0/128 [110/128] via FE80::C001:1DFF:FEE0:0, Serial0/0 O 2002::/124 [110/128] via FE80::C001:1DFF:FEE0:0, Serial0/0 OI 2020::C002:1DFF:FEE0:0/128 [110/128] via FE80::C001:1DFF:FEE0:0, Serial0/0Маршрутизатор R3 R3#show ipv6 route ospf IPv6 Routing Table - 10 entries Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP U - Per-user Static route, M - MIPv6 I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 D - EIGRP, EX - EIGRP external O 2001::/124 [110/128] via FE80::C001:1DFF:FEE0:0, Serial0/0 OI 2010::C000:1DFF:FEE0:0/128 [110/128] via FE80::C001:1DFF:FEE0:0, Serial0/0 OI 2020::C000:1DFF:FEE0:0/128 [110/128] via FE80::C001:1DFF:FEE0:0, Serial0/0 |
Проверка достижимости адреса Link-Local
Маршрутизаторы могут пропинговать друг друга с глобальным адресом индивидуальной рассылки. Однако при использовании адреса Link-local могут связываться только непосредственно подключенные сети. Например, R1 может пропинговать R3 с помощью глобального адреса индивидуальной рассылки, но эти два маршрутизатора не могут обмениваться данными с помощью адресов Link-local. Это показано с помощью команд ping и debug ipv6 icmp на маршрутизаторах R1 и R3. В этом разделе содержатся сценарии для улучшения понимания адресов Link-local.
Пингование адреса Link-Local из удаленной сети
Когда маршрутизатор R1 пытается связаться с маршрутизатором R3 с помощью адреса Link-local, маршрутизатор R1 возвращает сообщение о таймауте ICMP, указывающее, что адрес Link-local определен локально и не может связаться с адресами Link-local, находящимися за пределами непосредственно подключенной сети.
Пингование адреса Link-Local R3 с маршрутизатора R1 |
---|
На маршрутизаторе R1R1#ping FE80::AB8 !--- Pinging Link-Local Address of router R3. Output Interface: serial0/0 !--- To ping LLA, output interface must be entered. Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds: Packet sent with a source address of FE80::C000:1DFF:FEE0:0 ..... Success rate is 0 percent (0/5) !--- The ping is unsuccessful and the ICMP packet cannot reach the destination through serial0/0. !--- This timeout indicates that R1 has not received any replies from the router R3. |
Пингование адреса Link-Local из непосредственно подключенной сети
Для маршрутизатора R2 маршрутизаторы R1 и R3 напрямую подключаются и могут пропинговать адрес Link-local обоих маршрутизаторов R1 и R2 путем упоминания соответствующего интерфейса, подключенного к маршрутизатору. Выходные данные показаны здесь:
Пингование адресов Link-Local R1 с маршрутизатора R2 |
---|
В маршрутизаторе R2R2#ping FE80::C000:1DFF:FEE0:0 !--- Pinging Link-Local Address of router R1. Output Interface: serial0/0 !--- Note that, to ping LLA, output interface should be mentioned In our case, R2 connects to R1 via serial0/0. Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FE80::C000:1DFF:FEE0:0, timeout is 2 seconds: Packet sent with a source address of FE80::C001:1DFF:FEE0:0 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/19/56 msВыходные данные отладки от R1 R1# *Mar 1 03:59:53.367: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.371: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.423: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.427: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.463: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.463: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.467: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.467: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 R1# *Mar 1 03:59:53.471: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 03:59:53.471: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 !--- The debug output shows that the router R2 can ping router R1's link-local address. |
Пингование адресов Link-Local R3 с маршрутизатора R2 |
---|
В маршрутизаторе R2R2#pingFE80::AB8 !--- Pinging Link-Local Address of router R3. Output Interface: serial0/1 !--- Note that,to ping LLA,output interface should be mentioned. In our case, R2 connects to R3 throught serial0/1. Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds: Packet sent with a source address of FE80::C001:1DFF:FEE0:0 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/18/60 msВыходные данные отладки от R3 R3# *Mar 1 04:12:11.518: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.522: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.594: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.598: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.618: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.618: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.622: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.622: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 R3# *Mar 1 04:12:11.626: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 04:12:11.630: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 !--- The debug output shows that the router R2 can ping router R3's link-local address. |
Адрес Link-local, как подразумевает его название, определен только в соответствующей локальной сети. Другими словами, маршрутизаторы могут иметь один и тот же адрес Link-local, и при этом непосредственно подключенные сети могут обмениваться данными друг с другом без конфликтов. Это не будет так же в случае глобального адреса индивидуальной рассылки. Глобальный адрес индивидуальной рассылки, являющийся маршрутизируемым, должен быть уникальным в сети. Команда show ipv6 interface brief показывает информацию об адресе Link-local на интерфейсе.
show ipv6 interface brief |
---|
На маршрутизаторе R1R1#show ipv6 interface brief Serial0/0 [up/up] FE80::AB8 2001::1 Loopback10 [up/up] FE80::C000:1DFF:FEE0:0 2010::C000:1DFF:FEE0:0 Loopback20 [up/up] FE80::C000:1DFF:FEE0:0 2020::C000:1DFF:FEE0:0В маршрутизаторе R3 R3#show ipv6 interface brief Serial0/0 [up/up] FE80::AB8 2002::2 Loopback10 [up/up] FE80::C002:1DFF:FEE0:0 1010::C002:1DFF:FEE0:0 Loopback20 [up/up] FE80::C002:1DFF:FEE0:0 2020::C002:1DFF:FEE0:0 !--- Shows that R1 and R3's serial interface has same link-local address FE80::AB8. |
В данном примере маршрутизаторам R1 и R3 назначен одинаковый адрес Link-local, а R2 все равно может достигнуть обоих маршрутизаторов, указав соответствующий выходной интерфейс.
Пингование адреса Link-local R1 и R3 с R2 |
---|
Прозванивание локального для канала адреса R1 от R2R2#ping FE80::AB8 Output Interface: serial0/0 !--- R2 is connected to R1 through serial0/0. Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds: Packet sent with a source address of FE80::C001:1DFF:FEE0:0 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/26/92 msВыходные данные отладки от R1 R1# *Mar 1 19:51:31.855: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.859: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.915: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.919: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.947: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.947: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 R1# *Mar 1 19:51:31.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:51:31.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0Прозванивание локального для канала адреса R3 от R2 R2#ping FE80::AB8 Output Interface: serial0/1 !--- R2 is connected to R1 through serial0/1. Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to FE80::AB8, timeout is 2 seconds: Packet sent with a source address of FE80::C001:1DFF:FEE0:0 !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 4/28/76 msВыходные данные отладки от R3 R3# *Mar 1 19:53:38.815: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.819: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.911: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.915: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.923: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.927: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.955: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.955: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 R3# *Mar 1 19:53:38.963: ICMPv6: Received echo request from FE80::C001:1DFF:FEE0:0 *Mar 1 19:53:38.963: ICMPv6: Sending echo reply to FE80::C001:1DFF:FEE0:0 |
Примечание. R2 может пропинговать адрес Link-local R1 и R3 только потому, что они подключены напрямую. R2 не может пропинговать адрес Link-local интерфейсов обратной связи в маршрутизаторах R1 и R3, поскольку они непосредственно не подключены. Эхозапрос работает для адресов Link-local только в случае непосредственно подключенных сетей.
Примечание. Трассировки маршрутов не работают в случае адресов Link-local и возвращаются с ошибкой % No valid source address for destination (Нет допустимого исходного адреса для назначения). сообщение об ошибке. Это вызвано тем, что маршрутизаторы IPv6 не должны перенаправлять пакеты, у которых адреса источника или назначения % No valid source address for destination ведут к другим каналам.
Дополнительные сведения
IPv6 — типы адресов и форматы
Прежде чем вводить формат адреса IPv6, мы рассмотрим шестнадцатеричную систему счисления. Шестнадцатеричная система — это позиционная система счисления, в которой используется основание (основание) 16. Для представления значений в читаемом формате эта система использует 0-9 символов для представления значений от нуля до девяти и AF для представления значений от десяти до пятнадцати. Каждая цифра в шестнадцатеричном формате может представлять значения от 0 до 15.
[ Изображение: таблица преобразования ]
Структура адреса
Адрес IPv6 состоит из 128 бит, разделенных на восемь 16-битных блоков. Каждый блок затем преобразуется в 4-значные шестнадцатеричные числа, разделенные двоеточиями.
Например, ниже приведен 128-битный адрес IPv6, представленный в двоичном формате и разделенный на восемь 16-битных блоков:
0010000000000001 0000000000000000 0011001000111000 1101111111100001 0000000001100011 0000000000000000 0000000000000000 1111111011111011
Затем каждый блок преобразуется в шестнадцатеричный и разделяется символом «:»:
2001: 0000: 3238: DFE1: 0063: 0000: 0000: FEFB
Даже после преобразования в шестнадцатеричный формат адрес IPv6 остается длинным. IPv6 предоставляет некоторые правила для сокращения адреса. Правила следующие:
Правило 1: отбросить ведущий ноль (и):
В блоке 5 0063 первые два 0 могут быть опущены, например (5-й блок):
2001: 0000: 3238: DFE1: 63: 0000: 0000: FEFB
Правило 2: Если два или более блоков содержат последовательные нули, пропустите их все и замените их знаком двойного двоеточия ::, например (6-й и 7-й блок):
2001: 0000: 3238: DFE1: 63 :: FEFB
Последовательные блоки нулей могут быть заменены только один раз на ::, так что если в адресе все еще есть блоки нулей, они могут быть сокращены до одного нуля, например (2-й блок):
2001: 0: 3238: DFE1: 63 :: FEFB
Идентификатор интерфейса
IPv6 имеет три различных типа схемы одноадресного адреса. Вторая половина адреса (последние 64 бита) всегда используется для идентификатора интерфейса. MAC-адрес системы состоит из 48 бит и представлен в шестнадцатеричном формате. MAC-адреса считаются уникальными во всем мире. Идентификатор интерфейса использует преимущества этой уникальности MAC-адресов. Хост может автоматически настроить свой идентификатор интерфейса с помощью формата расширенного уникального идентификатора IEEE (EUI-64). Во-первых, хост делит свой собственный MAC-адрес на две 24-битные половины. Затем 16-разрядное шестнадцатеричное значение 0xFFFE помещается в эти две половины MAC-адреса, что приводит к идентификатору интерфейса EUI-64.
[ Изображение: идентификатор интерфейса EUI-64 ]
Преобразование идентификатора EUI-64 в идентификатор интерфейса IPv6
Для преобразования идентификатора EUI-64 в идентификатор интерфейса IPv6 дополняется наиболее значимый 7-й бит идентификатора EUI-64. Например:
[ Изображение: идентификатор интерфейса IPV6 ]
Глобальный одноадресный адрес
Этот тип адреса эквивалентен общему адресу IPv4. Глобальные одноадресные адреса в IPv6 являются глобально идентифицируемыми и уникально адресуемыми.
[ Изображение: глобальный одноадресный адрес ]
Префикс глобальной маршрутизации: наиболее значимые 48-разрядные обозначаются как префикс глобальной маршрутизации, который назначается конкретной автономной системе. Три наиболее значимых бита префикса глобальной маршрутизации всегда установлены на 001.
Link-Local Address
Автоматически настроенный адрес IPv6 известен как локальный адрес канала. Этот адрес всегда начинается с FE80. Первые 16 бит локального адреса канала всегда устанавливаются на 1111 1110 1000 0000 (FE80). Следующие 48 битов установлены в 0, таким образом:
[ Изображение: Link-Local Address ]
Локальные адреса канала используются для связи между хостами IPv6 только по каналу (широковещательный сегмент). Эти адреса не являются маршрутизируемыми, поэтому маршрутизатор никогда не передает эти адреса за пределы ссылки.
Уникальный локальный адрес
Этот тип IPv6-адреса является глобально уникальным, но его следует использовать в локальной связи. Вторая половина этого адреса содержит идентификатор интерфейса, а первая половина разделена на префикс, локальный бит, глобальный идентификатор и идентификатор подсети.
[ Изображение: уникальный локальный адрес ]
Префикс всегда устанавливается в 1111 110. L бит, устанавливается в 1, если адрес назначен локально. Пока что значение L бит в 0 не определено. Поэтому уникальный локальный IPv6-адрес всегда начинается с «FD».
Объем адресов IPv6 Unicast:
[ Изображение: IPv6 Unicast Address Scope ]
Область действия Link-local address ограничена сегментом. Уникальный локальный адрес локально глобален, но не маршрутизируется через Интернет, ограничивая область его действия до границ организации. Адреса Global Unicast являются уникальными и узнаваемыми во всем мире. Они должны составить суть интернет-адресации v2.
|
Интернет-шлюз на базе Ubuntu Server 18.04 LTS. Категория: ОС Linux • Разное
Небольшой эксперимент создания интернет-шлюза на Ubuntu Server. У меня дома компьютер с установленной Windows 10 и VirtualBox. Давайте создадим четыре виртуальные машины router
, pc-1
, pc-2
и server
. Все виртуальные машины находятся в одной сети 192.168.30.0/24
. При этом у виртуальной машины router
два сетевых интерфейса:
enp0s3
(сетевой мост) — смотрит в домашнюю сеть, получает ip-адрес192.168.110.8
от роутераenp0s8
(внутренняя сеть) — смотрит в одну сеть с виртуальными машинамиpc-1
,pc-2
иserver
Тут надо сказать несколько слов о настройке сети в VirtualBox. Существует несколько способов, рассмотрим два из них:
- Сетевой мост — при таком подключении виртуальная машина становится полноценным членом локальной сети, к которой подключена основная система. Виртуальная машина получает адрес у роутера и становится доступна для других устройств, как и основной компьютер, по своему ip-адресу.
- Внутренняя сеть — тип подключения симулирует закрытую сеть, доступную только для входящих в ее состав машин. Поскольку виртуальные машины не имеет прямого доступа к физическому сетевому адаптеру основной системы, то сеть получается полностью закрытой, снаружи и изнутри.
Как нетрудно догадаться, у виртуальных машин pc-1
, pc-2
и server
будет по одному интерфейсу (внутренняя сеть). У виртуальной машины router
два интерфейса и она будет обеспечивать выход в интернет для pc-1
, pc-2
и server
.
Настройка сети для router
Сначала нужно посмотреть, как называются сетевые интерфейсы в системе:
$ ls /sys/class/net enp0s3 enp0s8 lo
Теперь редактируем файл /etc/netplan/01-netcfg.yaml
$ sudo nano /etc/netplan/01-netcfg.yaml
# This file describes the network interfaces available on your system # For more information, see netplan(5). network: version: 2 renderer: networkd ethernets: enp0s3: dhcp4: yes enp0s8: dhcp4: no addresses: [192.168.30.1/24] nameservers: addresses: [8.8.8.8, 8.8.4.4]
Применяем настройки и смотрим сетевые интерфейсы:
$ sudo netplan apply # применить настройки из YAML-файла к работающей системе $ sudo netplan generate # сохранить текущие настройки в файл конфигурации networkd
$ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:10:c6:da brd ff:ff:ff:ff:ff:ff inet 192.168.110.8/24 brd 192.168.110.255 scope global dynamic enp0s3 valid_lft 18333sec preferred_lft 18333sec inet6 fe80::a00:27ff:fe10:c6da/64 scope link valid_lft forever preferred_lft forever 3: enp0s8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:4e:0e:a0 brd ff:ff:ff:ff:ff:ff inet 192.168.30.1/24 brd 192.168.30.255 scope global enp0s8 valid_lft forever preferred_lft forever inet6 fe80::a00:27ff:fe4e:ea0/64 scope link valid_lft forever preferred_lft forever
Первый сетевой интерфейс enp0s3
получил ip-адрес 192.168.110.8
от домашнего роутера (этот адрес закреплен постоянно для router
). Второму сетевому интерфейсу enp0s8
мы назначили ip-адрес 192.168.30.1
.
Настройка сети для pc-1, pc-2 и server
Сначала для виртуальной машины pc-1
. Смотрим, как называются сетевые интерфейсы в системе:
$ ls /sys/class/net enp0s3 lo
Открываем на редактирование файл /etc/netplan/01-netcfg.yaml
:
$ sudo nano /etc/netplan/01-netcfg.yaml
# This file describes the network interfaces available on your system # For more information, see netplan(5). network: version: 2 renderer: networkd ethernets: enp0s3: dhcp4: no addresses: [192.168.30.2/24] gateway4: 192.168.30.1 nameservers: addresses: [8.8.8.8, 8.8.4.4]
Применяем настройки и смотрим сетевые интерфейсы:
$ sudo netplan apply # применить настройки из YAML-файла к работающей системе $ sudo netplan generate # сохранить текущие настройки в файл конфигурации networkd
$ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:28:be:b7 brd ff:ff:ff:ff:ff:ff inet 192.168.30.2/24 brd 192.168.30.255 scope global enp0s3 valid_lft forever preferred_lft forever inet6 fe80::a00:27ff:fe28:beb7/64 scope link valid_lft forever preferred_lft forever
Для виртуальных машин pc-2
и server
все будет аналогично, так что не буду описывать подробно. Для примера — виртуальной машине pc-2
мы назначили ip-адрес 192.168.30.3/24
:
$ ip addr 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000 link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00 inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet6 ::1/128 scope host valid_lft forever preferred_lft forever 2: enp0s3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group default qlen 1000 link/ether 08:00:27:28:b0:4b brd ff:ff:ff:ff:ff:ff inet 192.168.30.3/24 brd 192.168.30.255 scope global enp0s3 valid_lft forever preferred_lft forever inet6 fe80::a00:27ff:fe28:b04b/64 scope link valid_lft forever preferred_lft forever
Настройка интернет-шлюза
Виртуальная машина router
должна обеспечивать выход в интернет для всех компьютеров из локальной сети 192.168.30.0/24
. По умолчанию транзитный трафик отключен, так что редактируем файл /etc/sysctl.conf
:
$ sudo nano /etc/sysctl.conf
net.ipv4.ip_forward=1
Чтобы внесенные изменения вступили в силу:
$ sudo sysctl -p /etc/sysctl.conf net.ipv4.ip_forward = 1
После этого настраиваем netfilter
с помощью утилиты iptables
:
$ sudo iptables -P FORWARD DROP
$ sudo iptables -A FORWARD -i enp0s8 -o enp0s3 -s 192.168.30.0/24 -j ACCEPT $ sudo iptables -A FORWARD -i enp0s3 -o enp0s8 -d 192.168.30.0/24 -j ACCEPT
И смотрим, что получилось:
$ sudo iptables -L -v --line-numbers Chain INPUT (policy ACCEPT 781 packets, 4517K bytes) num pkts bytes target prot opt in out source destination Chain FORWARD (policy DROP 0 packets, 0 bytes) num pkts bytes target prot opt in out source destination 1 57 4213 ACCEPT all -- enp0s8 enp0s3 192.168.30.0/24 anywhere 2 52 87384 ACCEPT all -- enp0s3 enp0s8 anywhere 192.168.30.0/24 Chain OUTPUT (policy ACCEPT 639 packets, 49312 bytes) num pkts bytes target prot opt in out source destination
Мы разрешили ходить транзитным пакетам для нашего диапазона ip-адресов, а всё остальное запретили. Теперь настроим SNAT (подмена адреса источника), что позволит всем компьютерам сети выходить в интернет, используя единственный ip-адрес 192.168.110.8
.
$ sudo iptables -t nat -A POSTROUTING -s 192.168.30.0/24 -o enp0s3 -j SNAT --to-source 192.168.110.8
И смотрим, что получилось:
$ sudo iptables -t nat -L -v --line-numbers Chain PREROUTING (policy ACCEPT 27 packets, 3020 bytes) num pkts bytes target prot opt in out source destination Chain INPUT (policy ACCEPT 11 packets, 1416 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 71 packets, 5632 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 71 packets, 5632 bytes) num pkts bytes target prot opt in out source destination 1 4 240 SNAT all -- any enp0s3 192.168.30.0/24 anywhere to:192.168.110.8
Теперь проверяем наличие интернета на виртуальных машинах pc-1
, pc-2
и server
:
$ host ya.ru ya.ru has address 87.250.250.242 ya.ru has IPv6 address 2a02:6b8::2:242 ya.ru mail is handled by 10 mx.yandex.ru.
Доступ внутрь сети
Давайте теперь посмотрим, как получить доступ извне к компьютеру внутри сети 192.168.30.0/24
. Установим на виртуальную машину server
SSH-сервер:
$ sudo apt install openssh-server
А на виртуальной машине router
будем отбирать tcp-пакеты, которые приходят на интерфейс enp0s3
на порт 2222 и отправлять эти пакеты виртуальной машине server
на порт 22, заменяя в пакетах пункт назначения на 192.168.30.254
:
$ sudo iptables -t nat -A PREROUTING -i enp0s3 -p tcp --dport 2222 -j DNAT --to-destination 192.168.30.254:22
Смотрим, что получилось:
$ sudo iptables -t nat -L -v --line-numbers Chain PREROUTING (policy ACCEPT 27 packets, 3020 bytes) num pkts bytes target prot opt in out source destination 1 0 0 DNAT tcp -- enp0s3 any anywhere anywhere tcp dpt:2222 to:192.168.30.254:22 Chain INPUT (policy ACCEPT 11 packets, 1416 bytes) num pkts bytes target prot opt in out source destination Chain OUTPUT (policy ACCEPT 71 packets, 5632 bytes) num pkts bytes target prot opt in out source destination Chain POSTROUTING (policy ACCEPT 71 packets, 5632 bytes) num pkts bytes target prot opt in out source destination 1 4 240 SNAT all -- any enp0s3 192.168.30.0/24 anywhere to:192.168.110.8
Теперь попробуем с физического компьютера установить ssh-соединение с виртуальной машиной server
. Открываем PowerShell и выполняем команду:
> ssh -p 2222 [email protected] The authenticity of host '[192.168.110.8]:2222 ([192.168.110.8]:2222)' can't be established. ECDSA key fingerprint is SHA256:c3C3sagcS9j1ObcH6NI+6zFkyV6yyGTc64ASKRLhB0g. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '[192.168.110.8]:2222' (ECDSA) to the list of known hosts. [email protected]'s password: пароль Welcome to Ubuntu 18.04.3 LTS (GNU/Linux 4.15.0-74-generic x86_64)
Мы в команде указываем порт 2222 и ip-адрес виртуальной машины router
— 192.168.110.8
, которая находится в одной сети 192.168.110.0/24
с физическим компьютером. А виртуальная машина router
пробрасывает это соединение с интерфейса enp0s3
на интерфейс enp0s8
и дальше — виртуальной машине server
, но уже на порт 22.
Сохранение правил netfilter
Созданные с помощью утилиты iptables
правила пропадут при перезагрузке. Так что их нужно сохранить и восстанавливать при перезагрузке. В этом нам поможет пакет iptables-persistent
:
$ sudo apt install iptables-persistent
При установке пакета будет предложено сохранить текущие правила iptables
:
- в файл
/etc/iptables/rules.v4
для протокола IPv4 - в файл
/etc/iptables/rules.v6
для протокола IPv6
После установки пакета будет добавлена новая служба netfilter-persistent.service
, которая при загрузке системы будет восстанавливать созданные нами правила:
$ systemctl status netfilter-persistent.service ● netfilter-persistent.service - netfilter persistent configuration Loaded: loaded (/lib/systemd/system/netfilter-persistent.service; enabled; vendor preset: enabled) Active: active (exited) since Sat 2020-02-22 11:20:44 MSK; 2h 32min ago Process: 446 ExecStart=/usr/sbin/netfilter-persistent start (code=exited, status=0/SUCCESS) Main PID: 446 (code=exited, status=0/SUCCESS) фев 22 11:20:43 router systemd[1]: Starting netfilter persistent configuration... фев 22 11:20:44 router systemd[1]: Started netfilter persistent configuration.
При добавлении новых правил, надо сохранить конфигурацию с помощью команды
$ sudo iptables-save > /etc/iptables/rules.v4
Восстановить ранее сохраненную конфигурацию можно с помощью команды
$ sudo iptables-restore < /etc/iptables/rules.v4
Поиск: Linux • SSH • Ubuntu • Конфигурация • Настройка • Сервер • VirtualBox • Виртуальная машина • Маршрутизатор • iptables • NAT • Шлюз
Лучшая цена fe 80 — Отличные предложения на fe 80 от мировых продавцов fe 80
Отличные новости !!! Для fe 80 вы находитесь в нужном месте. Теперь вы уже знаете, что все, что вы ищете, вы обязательно найдете на AliExpress. У нас буквально тысячи отличных продуктов во всех товарных категориях. Ищете ли вы товары высокого класса или дешевые и недорогие оптовые закупки, мы гарантируем, что он есть на AliExpress.
Вы найдете официальные магазины торговых марок наряду с небольшими независимыми продавцами со скидками, каждый из которых предлагает быструю доставку и надежные, а также удобные и безопасные способы оплаты, независимо от того, сколько вы решите потратить.
AliExpress никогда не уступит по выбору, качеству и цене.Каждый день вы будете находить новые онлайн-предложения, скидки в магазинах и возможность сэкономить еще больше, собирая купоны. Но вам, возможно, придется действовать быстро, так как этот топовый Fe 80 в кратчайшие сроки станет одним из самых востребованных бестселлеров. Подумайте, как вам будут завидовать друзья, когда вы скажете им, что получили fe 80 на AliExpress. Благодаря самым низким ценам в Интернете, дешевым тарифам на доставку и возможности получения на месте вы можете еще больше сэкономить.
Если вы все еще не уверены в fe 80 и думаете о выборе аналогичного товара, AliExpress — отличное место для сравнения цен и продавцов.Мы поможем вам решить, стоит ли доплачивать за высококлассную версию или вы получаете столь же выгодную сделку, приобретая более дешевую вещь. И, если вы просто хотите побаловать себя и потратиться на самую дорогую версию, AliExpress всегда позаботится о том, чтобы вы могли получить лучшую цену за свои деньги, даже сообщая вам, когда вам будет лучше дождаться начала рекламной акции. и ожидаемая экономия.AliExpress гордится тем, что у вас всегда есть осознанный выбор при покупке в одном из сотен магазинов и продавцов на нашей платформе.Реальные покупатели оценивают качество обслуживания, цену и качество каждого магазина и продавца. Кроме того, вы можете узнать рейтинги магазина или отдельных продавцов, а также сравнить цены, доставку и скидки на один и тот же продукт, прочитав комментарии и отзывы, оставленные пользователями. Каждая покупка имеет звездный рейтинг и часто имеет комментарии, оставленные предыдущими клиентами, описывающими их опыт транзакций, поэтому вы можете покупать с уверенностью каждый раз. Короче говоря, вам не нужно верить нам на слово — просто слушайте миллионы наших довольных клиентов.
А если вы новичок на AliExpress, мы откроем вам секрет. Непосредственно перед тем, как вы нажмете «купить сейчас» в процессе транзакции, найдите время, чтобы проверить купоны — и вы сэкономите еще больше. Вы можете найти купоны магазина, купоны AliExpress или собирать купоны каждый день, играя в игры в приложении AliExpress. Вместе с бесплатной доставкой, которую предлагают большинство продавцов на нашем сайте, вы сможете приобрести fe 80 по самой выгодной цене.
У нас всегда есть новейшие технологии, новейшие тенденции и самые обсуждаемые лейблы. На AliExpress отличное качество, цена и сервис всегда в стандартной комплектации. Начните лучший опыт покупок прямо здесь.
# 80fe80 цвет шестигранник
В цветовом пространстве RGB шестнадцатеричный номер 80fe80 состоит из 50.2% красный, 99,6% зеленый и 50,2% синий. Тогда как в цветовом пространстве CMYK он состоит из 49,6% голубого, 0% пурпурного, 49,6% желтого и 0,4% черного. Он имеет угол оттенка 120 градусов, насыщенность 98,4% и яркость 74,9%. Шестнадцатеричный цвет # 80fe80 может быть получен смешиванием #ffffff с # 01fd01. Ближайший цвет для веб-безопасности: # 99ff99.
- ♥
● # 80fe80 Описание цвета: Мягкий салатовый .
Шестнадцатеричный цвет # 80fe80 имеет значения RGB R: 128, G: 254, B: 128 и значения CMYK C: 0,5, M: 0, Y: 0,5, K: 0. Его десятичное значение — 8453760.
Hex тройной | 80fe80 | # 80fe80 |
---|---|---|
RGB Десятичный | 128, 254, 128 | RGB (128 254 128) |
RGB Процент | 50.2, 99,6, 50,2 | RGB (50,2%, 99,6%, 50,2%) |
CMYK | 50, 0, 50, 0 | |
HSL | 120 °, 98,4, 74,9 | hsl (120,98,4%, 74,9%) |
HSV (или HSB ) | 120 °, 49,6, 99,6 | |
Веб-сейф | 99ff99 | # 99ff99 |
CIE-LAB | 90.335, -59,51, 49,337 |
---|---|
XYZ | 48,238, 77,028, 32,747 |
xyY | 0,305, 0,487, 77,028 |
CIE- LCH | 90.335, 77.302, 140.339 |
CIE-LUV | 90,335, -58,286, 75,343 |
Hunter-Lab | 87,766, -55,483, 39,314 |
Двоичный | 10000000, 11111110, 10000000 |
- # 34fd34
# 34fd34
RGB (52,253,52)
- # 4dfe4d
# 4dfe4d
rgb (77,254,77)
- # 67fe67
# 67fe67
RGB (103,254,103)
- # 80fe80
# 80fe80
RGB (128,254,128)
- # 99fe99
# 99fe99
RGB (153,254,153)
- # b3feb3
# b3feb3
RGB (179 254 179)
- #ccffcc
#ccffcc
RGB (204,255,204)
Ниже вы можете увидеть некоторые цвета, близкие к # 80fe80.Набор связанных цветов может быть полезен, если вам нужна вдохновляющая альтернатива исходному выбору цвета.
- # a0fe80
# a0fe80
RGB (160 254 128)
- # 95fe80
# 95fe80
RGB (149 254 128)
- # 8bfe80
# 8bfe80
RGB (139 254 128)
- # 80fe80
# 80fe80
RGB (128,254,128)
- # 80fe8b
# 80fe8b
RGB (128 254 139)
- # 80fe95
# 80fe95
RGB (128 254 149)
- # 80fea0
# 80fea0
RGB (128,254,160)
Этот текст имеет цвет шрифта # 80fe80.
Текст здесь
# 80fe80 цвет фона Цвет фона этого абзаца # 80fe80.
Содержимое
# 80fe80 цвет границы Этот элемент имеет цвет границы # 80fe80.
Содержимое
CSS коды .текст {color: # 80fe80;}
.background {background-color: # 80fe80;}
.border {border: 1px solid # 80fe80;}
Оттенок достигается путем добавления черного к любому чистому оттенку, а оттенок создается путем смешивания белого с любым чистым цветом. В этом примере # 000900 — самый темный цвет, а # f5fff5 — самый светлый.
- # 000900
# 000900
RGB (0,9,0)
- # 001d00
# 001d00
RGB (0,29,0)
- # 003000
# 003000
RGB (0,48,0)
- # 014401
# 014401
RGB (1,68,1)
- # 015701
# 015701
RGB (1,87,1)
- # 016b01
# 016b01
RGB (1,107,1)
- # 017e01
# 017e01
RGB (1,126,1)
- # 019101
# 019101
RGB (1,145,1)
- # 01a501
# 01a501
RGB (1,165,1)
- # 01b801
# 01b801
RGB (1,184,1)
- # 02cc02
# 02cc02
RGB (2,204,2)
- # 02df02
# 02df02
RGB (2,223,2)
- # 02f302
# 02f302
RGB (2,243,2)
- # 0bfd0b
# 0bfd0b
RGB (11,253,11)
- # 1ffd1f
# 1ffd1f
RGB (31,253,31)
- # 32fd32
# 32fd32
RGB (50,253,50)
- # 46fe46
# 46fe46
RGB (70,254,70)
- # 59fe59
# 59fe59
RGB (89,254,89)
- # 6dfe6d
# 6dfe6d
RGB (109,254,109)
- # 80fe80
# 80fe80
RGB (128,254,128)
- # 93fe93
# 93fe93
RGB (147 254 147)
- # a7fea7
# a7fea7
RGB (167 254 167)
- #bafeba
#bafeba
RGB (186,254,186)
- #ceffce
#ceffce
RGB (206,255,206)
- # e1ffe1
# e1ffe1
RGB (225,255,225)
- # f5fff5
# f5fff5
RGB (245,255,245)
Тон получается путем добавления серого к любому чистому оттенку.В этом случае # bbc3bb — менее насыщенный цвет, а # 80fe80 — наиболее насыщенный.
- # bbc3bb
# bbc3bb
RGB (187,195,187)
- # b6c8b6
# b6c8b6
RGB (182 200 182)
- # b1cdb1
# b1cdb1
RGB (177,205,177)
- # acd2ac
# acd2ac
RGB (172210172)
- # a7d7a7
# a7d7a7
RGB (167 215 167)
- # a2dca2
# a2dca2
RGB (162,220,162)
- # 9ee09e
# 9ee09e
rgb (158,224,158)
- # 99e599
# 99e599
rgb (153,229,153)
- # 94ea94
# 94ea94
RGB (148 234 148)
- # 8fef8f
# 8fef8f
RGB (143 239 143)
- # 8af48a
# 8af48a
RGB (138 244 138)
- # 85f985
# 85f985
RGB (133,249,133)
- # 80fe80
# 80fe80
RGB (128,254,128)
Ниже вы можете увидеть, как # 80fe80 воспринимается людьми с нарушением цветового зрения.Это может быть полезно, если вам нужно обеспечить доступность ваших цветовых комбинаций для дальтоников.
Монохромность- #cacaca Ахроматопсия 0,005% населения
- # bbd4bb Атипичная ахроматопсия 0,001% населения
- # ceee7e Протаномалия 1% мужчин, 0.01% женщин
- # d0eaa7 Дейтераномалия 6% мужчин, 0,4% женщин
- # 9df4d0 Тританомалия 0,01% населения
# f0fe80 цвет шестнадцатеричный
В цветовом пространстве RGB шестнадцатеричный # f0fe80 состоит из 94,1% красного, 99,6% зеленого и 50,2% синего. Тогда как в цветовом пространстве CMYK оно состоит из 5.5% голубой, 0% пурпурный, 49,6% желтый и 0,4% черный. Он имеет угол оттенка 66,7 градусов, насыщенность 98,4% и яркость 74,9%. Шестнадцатеричный цвет # f0fe80 может быть получен путем смешивания #ffffff с # e1fd01. Ближайший цвет для веб-безопасности: # ffff99.
- ♥
● # f0fe80 описание цвета: Мягкий желтый .
Шестнадцатеричный цвет # f0fe80 имеет значения RGB R: 240, G: 254, B: 128 и значения CMYK C: 0,06, M: 0, Y: 0,5, K: 0. Его десятичное значение — 15793792.
Hex тройной | f0fe80 | # f0fe80 |
---|---|---|
RGB Десятичный | 240, 254, 128 | RGB (240 254 128) |
RGB Процент | 94.1, 99,6, 50,2 | RGB (94,1%, 99,6%, 50,2%) |
CMYK | 6, 0, 50, 0 | |
HSL | 66,7 °, 98,4, 74,9 | hsl (66,7,98,4%, 74,9%) |
HSV (или HSB ) | 66,7 °, 49,6, 99,6 | |
Веб-сейф | ffff99 | # ffff99 |
CIE-LAB | 96.397, -21,872, 58,082 |
---|---|
XYZ | 75,273, 90,968, 34,014 |
xyY | 0,376, 0,454, 90,968 |
CIE- LCH | 96,397, 62,064, 110,635 |
CIE-LUV | 96,397, -3,207, 78,525 |
Hunter-Lab | 95,377, -26,036, 45,619 |
Двоичный | 11110000, 11111110, 10000000 |
- # e7fd34
# e7fd34
RGB (231,253,52)
- # eafe4d
# eafe4d
RGB (234,254,77)
- # edfe67
# edfe67
RGB (237 254 103)
- # f0fe80
# f0fe80
RGB (240 254 128)
- # f3fe99
# f3fe99
RGB (243 254 153)
- # f6feb3
# f6feb3
RGB (246 254 179)
- # f9ffcc
# f9ffcc
RGB (249,255,204)
Ниже вы можете увидеть некоторые цвета, близкие к # f0fe80.Набор связанных цветов может быть полезен, если вам нужна вдохновляющая альтернатива исходному выбору цвета.
- # feed80
# feed80
RGB (254 237 128)
- # fef780
# fef780
RGB (254 247 128)
- # fbfe80
# fbfe80
RGB (251 254 128)
- # f0fe80
# f0fe80
RGB (240 254 128)
- # e6fe80
# e6fe80
RGB (230 254 128)
- # dbfe80
# dbfe80
RGB (219 254 128)
- # d1fe80
# d1fe80
RGB (209,254,128)
Этот текст имеет цвет шрифта # f0fe80.
Текст здесь
# f0fe80 цвет фона Цвет фона этого абзаца # f0fe80.
Содержимое
# f0fe80 цвет границы Этот элемент имеет цвет границы # f0fe80.
Содержимое
CSS коды .текст {color: # f0fe80;}
.background {background-color: # f0fe80;}
.border {border: 1px solid # f0fe80;}
Оттенок достигается путем добавления черного к любому чистому оттенку, а оттенок создается путем смешивания белого с любым чистым цветом. В этом примере # 080900 — самый темный цвет, а # fefff5 — самый светлый.
- # 080900
# 080900
RGB (8,9,0)
- # 1a1d00
# 1a1d00
RGB (26,29,0)
- # 2b3000
# 2b3000
RGB (43,48,0)
- # 3c4401
# 3c4401
RGB (60,68,1)
- # 4d5701
# 4d5701
RGB (77,87,1)
- # 5f6b01
# 5f6b01
RGB (95,107,1)
- # 707e01
# 707e01
RGB (112,126,1)
- # 819101
# 819101
RGB (129,145,1)
- # 93a501
# 93a501
RGB (147,165,1)
- # a4b801
# a4b801
RGB (164,184,1)
- # b5cc02
# b5cc02
RGB (181,204,2)
- # c7df02
# c7df02
RGB (199,223,2)
- # d8f302
# d8f302
RGB (216,243,2)
- # e2fd0b
# e2fd0b
RGB (226,253,11)
- # e5fd1f
# e5fd1f
RGB (229,253,31)
- # e7fd32
# e7fd32
RGB (231,253,50)
- # e9fe46
# e9fe46
RGB (233,254,70)
- # ebfe59
# ebfe59
RGB (235,254,89)
- # eefe6d
# eefe6d
RGB (238 254 109)
- # f0fe80
# f0fe80
RGB (240 254 128)
- # f2fe93
# f2fe93
RGB (242 254 147)
- # f5fea7
# f5fea7
RGB (245 254 167)
- # f7feba
# f7feba
RGB (247 254 186)
- # f9ffce
# f9ffce
RGB (249,255,206)
- # fbffe1
# fbffe1
RGB (251,255,225)
- # fefff5
# fefff5
RGB (254,255,245)
Тон получается путем добавления серого к любому чистому оттенку.В этом случае # c2c3bb — менее насыщенный цвет, а # f0fe80 — наиболее насыщенный.
- # c2c3bb
# c2c3bb
RGB (194,195,187)
- # c6c8b6
# c6c8b6
RGB (198,200,182)
- # cacdb1
# cacdb1
RGB (202,205,177)
- # ced2ac
# ced2ac
RGB (206210172)
- # d1d7a7
# d1d7a7
RGB (209 215 167)
- # d5dca2
# d5dca2
RGB (213,220,162)
- # d9e09e
# d9e09e
RGB (217,224,158)
- # dde599
# dde599
RGB (221,229,153)
- # e1ea94
# e1ea94
RGB (225 234 148)
- # e5ef8f
# e5ef8f
RGB (229 239 143)
- # e8f48a
# e8f48a
RGB (232 244 138)
- # ecf985
# ecf985
RGB (236 249 133)
- # f0fe80
# f0fe80
RGB (240 254 128)
Ниже вы можете увидеть, как # f0fe80 воспринимается людьми с нарушением цветового зрения.Это может быть полезно, если вам нужно обеспечить доступность ваших цветовых комбинаций для дальтоников.
Монохромность- #ebebeb Ахроматопсия 0,005% населения
- # ecefd6 Атипичная ахроматопсия 0,001% населения
- # f9f8b5 Протаномалия
1% мужчин, 0.) /
続 編 の 「光 NEXT и IPv6 PPPoE の 道 」っ て の も あ ま す
拙 宅 の ネ ッ ト ー 環境 (ち ょ い と し た 企業 ス の ネ ッ ト ワ ー ク 構成) に IPv6 を 導入 し た 試行 錯誤 を 13 13 こ れ か ら IPv6 を 導入 し よ う え て い る 方 に 何 ら の ヒ ン ト な 書 い て み ま し た。
な み に 、 28/03/2009 に 京都 で ス ピ ー カ ー を し た IPv6 勉強 会 ~ こ れ か ら ど う す れ ば か? ~ 」と の 連 意識 し て お り 、 当日 使用 ス ラ イ ド も こ ち ダ ウ ン 000 す
ス ラ イ ド を 自 社 の 講習 の 他 資料 等 へ の OK で す し 、 事 実 と 相違 い 範 囲 で 改 変 し し て い た 13 た だ 、 著作 権 は 放棄 し し い の で 、 こ の ス ラ を 二次 す る は 、 著作 権 者 (村 嶋 修 一 или MURA) と 著作 権 者 の Web サ イ ト URL (http: // www.vwnet.jp) を 小 さ く て 構 わ な で 何処 か に 明 記 し て い。
二次 利用 に 際 し て 、 当 方 へ の 連絡 で す。ち な み に 、 pptx は プ ラ イ ー ト 発 行 の 証明書 で て い ま す の で 、 改 る 際 は 署名 を し だ さ い
>>> IPv6_in_kyoto.pptx ( 2.3MB) <<<
>>> IPv6_in_kyoto.pdf (IPv6_in_kyoto..zip / 3,7 МБ) <<<と り あ え ず 、 お 手 軽 (?) に ス ラ イ ド を 見 た 方 は こ ち ら (ス ラ イ ド を PNG し て ベ タ に 並 べ て み ま し た)
12/12/2009 に 第 18 回 Admintech.jp 勉強 会 で 「こ 始 め る IPv6 ~ Windows 編 ~」 っ て 話 を し ま し た の 、 そ の 資料 も 公開。
>>> AdminTech-IPv6_pptx.zip (1,5 МБ) <<<
>>> AdminTech-IPv6_pdf.zip (2,7 МБ) <<<
>>> AdminTech28-Videos.zip (9,2 МБ) <<<オ ン ラ イ ン で ス ラ イ た い 方 は こ ち う ぞ (当日 使用 ビ オ も オ ン ラ イ ン で 見 す)
な ぜ 拙 宅 に IPv6 を 導入 し よ う か と 思 っ た か と う と … 話 は 簡 単 Windows Server 2008 の 本 を 書 く た め の 検 材料 に た か っ た か ら で。 (2009/06 2009)
Windows Server 2008 と Vista は IPv6 の 正式 サ ポ ー ト し た 証 で あ Программа с логотипом IPv6 Ready Фаза 2 」の 認定 を 受 け た OS で す。 丁 度「 IPv4 ア ド レ 渇 問題 」も 話題 に な り 、 こ れ か IPv6 が 注目 さ れ る と 予 想 し 「現場 で の IPv6 は ど の よ う に 導入 す る の が い の か」 っ 兼 IPv6RFC を 読 ん だ り 、 テ ク ル セ ミ ナ ー の 話 て い る と 「と な 限 り 省力 化 す が IPv6 の 本質 」と 僕 は 感 じ た の 、 基本 路線 は「 省力 化 」を 合 せ し た。
「本質」 っ て 表現 は い す ぎ で す が 、 省力 化 の 用意 さ れ て い る 、 そ れ ら を フ ルっ て の が 多分 に あ る か も ^^;)ど う せ IPv6 を 導入 す る の な ら 、 内部 ネ ッ ト ワ け で は な く 、 イ ン ネ ッ ト ア ク ス IPv6 に し た い な。 そ で す な ら 、 イ ン タ ー ト 公開 サ ー バ も IPv6 で ア セ ス で き る た の IP を 取得 し ま た。
実 は 、 こ れ が 2 つ 目 の GUA で 、 最初 に GUA を 取得 し た IPv6 の テ ス ト 運用 が 開始 た 頃 で す。 当時 は 評 価 GUA 取得 が で き て い ま し た。 そ の GUA も ISP の 契約 変 更 を し た の で 使 う な く な っ て し ま た が 、 こ れ を る 時点 で そ は ま だ 13 32 32 今 回 契約 し た GUA は 、 的 ベ ー ス な の で 月 額 使用 料 し ま す が 、 こ れ も 宿命 と 自 分 を 納 、一 応 ネ ッ ト を 掲 げ て い る の IPv6 を 知 ら な い っ て で す が RFC や 書籍 で 「読 ん だ 事 が あ る」 程度 で, 構築 も テ ス ト レ ベ ル の ネ ッ ト ワ ー ク を ち ょ こ っ と 構築 し た く ら い で す. 運用 レ ベ ル の IPv6 ネ ッ ト ワ ー ク を 構築 し た 経 験 は あ り ま せ ん し, IPv6 の 知識 が 十分 あ る と 言 う わ け で も あ り ま せ ん.
う 一度 IPv6 を 再 勉強 す る か RFC を 読 み な お し 始 め た の で す が… IPv6 勉強 を 初 め て し た 当時 に 比 べ 、 IPv6 関 連 の RFC が 爆 発 的 に 増 え て い ま し た。
ざ っ と 眺 め て … 英語 が 苦 手 な の も っ て 、 RFC の 関 連 性 て き ま せ ん (泣)こ れ で は 埒 明 な で 、 WIDE / JPNIC 主 催 (?) の IPv6 カ ン フ ァ レ ン ス し て み ま が ISP や メ ー カ ー 向 け の 話 ば か 、 「現場 で ど う す の?」 っ て 疑問 に 答 え の で は 無 か っ た で。
仕 方 が な い の で IPv6 の 書籍 を 買 い あ さ っ た の が 、 執筆 陣 が カ ン フ ァ レ ス ス ピ ー ー の 多後 日 、 カ ン フ ァ レ ン ス ー カ ー を さ れ た 方 と コ ン タ ク ト れ て 、 現場 へ の 導入 ハ ウ 13 そ こ で 得 た 結論 は 、 「現場 導入 ノ ハ ウ の 必要性 は 十分 感 い る が 、 ま だ 提供 で だ の も の が 無 の
仕 が な い 、 の 柱 を 買 っ て 出 る か 」っ の 今 回 IPv6 導入 目的 で ま す。
の IPv6 エ ッ セ ン ズ 第 2 версии 」が 技術 的 な は カ バ RFC で 悩 ん で い た 部分 の 大半 を 解 消 出来 た の は 収穫 で し た。
ず 決 め く て な い の が 、 サ イ ト IPv6 ア ド ス 体系 で す。
色 々 調 べ て は / 48 を 、 各 セ グ メ ン に は / 64 の プ レ フ ィ ク を 使用 す る の は て い た IPv6 を 使 わ な い 方針 だ っ て 事 も わ か っ て い ま し た。
GUA を 取得 し た の で 、 サ イ 内 GUA を 割 り 当 ン タ ー ネ ッ セ ス に NAT は 不要 に な ま す
ん?待 て よ? GUA 使 う っ て は 、 ISP の 変 更 を し た 時 は サ イ 使用 し て い る IPv6 ア ド レ 全 て リ ナ ン な く ゃ !! っ て 事 に 気 が つ き…. (遅)
そ う す る と 、 IPv4 で 言 う ろ の プ ラ イ ベ ー レ ス を 導入 し な く な ら な い な と RFC 読 み あ さ っ て た ら 、 ト ロ ー カ ル の 仕 見。 で も 、 こ の ロ ー カ ル は 既RFC を 読 む と 、 「fc00 :: / 7 + 計算 結果」 で / 48 の サ イ ト プ レ フ ィ ッ ク ス を せ よ と あ り ま す う 少 し 調 べ る と 、 fc00 :: / 8 は IANA が 予 約 し て い る の で 実 際 に 使用 で き る の は 「fd00 :: / 8」 と 言 う 事 判明。
ULA の プ ロ グ ラ ム を 書 く 倒 な の で 、 イ ネ ッ ト 検 索 す る ULA 計算 ペ ー ジ がСоздание уникального локального адреса (проект Каме)
http: // www.;IPv6 は IP ア ド レ ス 自動 構成 が 出来 る の で 、 さ っ そ く 構成 で き る よ RA を 手持 ち の YAMAHA RTX1100 に 設定。 設定 そ の も の は 難 し く あ り ま せ ん。
Vista と Windows Server 2008 で ipconfig し て る と 、 GUA と ULA が 自動 構成 さ れ て い ま し た。# YAMAHA RT シ リ ー ズ の IPv6 設定
Префикс ipv6 1 fd75: f582: 7ae3 :: / 64 ← RA る プ レ フ ィ ッ ク ス (ULA)
префикс ipv6 2 2001: 278: 101d :: / 64 ← RA す る プ レ フ ィ ッ ク ス (GUA)
ipv6 префикс lan1 fd75: f582: 7ae3 :: / 64 ← LAN1 の IPv6 ア ド レ ス 構成 (ULA)
ipv6 префикс lan1 2001: 278: 101d :: / 64 ← LAN1 の IPv6 ア ド レ ス 構成 (GUA)
ipv6 lan1 rtadv send 1 2 ← RA 実 装
[IPv6 ア ド レ ス の 自動 構成]ま ず は 成功 ^^ v
Vista может использовать IPv6, чтобы использовать IPv6. ア ド レ ス で 、 イ ン タ ー フ ェ イ ス ID (64 ビ ッ ト の サ ッ ク ス) が ラ ン ダ 割 り 当 て ら れ 、 ォ ル 24 時間 ク ラ イ ア ン ト は れ で 良 い で す が 、 サ ー バ ド レ ス の 体系 に な っ い ま す。 ち ょ 、 こ と 調 べ た ら 、 イ ン ェ イ ス ID を ス タ テ ィ あ る EUI-64 に 変 更 コ マ ン ド netsh interface ipv6 set global randomizeidentifiers = disabled 」を 見 つ け ま し た (正直 に 言 う と MS 中 の 人 に 教 え て ら い し た)
こ れ で 、 サ ー バ の IPv6 ア ド レ ス も 固定 で き る で 、 自動 構成 に 任 す で き ま す。
実 際 に サ ー バ を 展開 し て み る と, Netsh コ マ ン ド を 入 力 す る 必要 は あ り ま す が, IPv6 の 設定 は 何 も 要 ら な い の で 楽 ち ん で す ね .IPv4 ア ド レ ス の 設定 が 必要 な の は 変 わ り ま せ ん け ど.以前 MS に 「Windows Server 2008 は EUI-64 の イ ン タ ー フ イ ス ID を デ フ ォ ル ト と す べ き と フ ィ ー ド バ し い た の で す が…
Windows Server 2008 イ ン タ ー フ ェ ID は 、 体系 こ そ 匿名 ア ド ス け ど 、 実 は 静 的 に 当 て ら れ IP に 関 し て は 、 netsh コ マ ン 必要 な く て RA さ え 設定 き い れ ば 完全 に ン オ ペ レ ー シ ョ ン で い っ て 事
LAN は 、 な ん か の は ず み で IPv6 ア ド レ ス が 自動 変 れ て も 、 ド メ イ ン ン ロ ー ラ の DDNS で 従 で セ キ ュ リ テ ィ の 観 か ら は し た く な い の で DMZ 上 の サ ー バ は 静 的 割 り 当 て が 保障 さ れ EUI-64 がWindows Server 2008 ド メ イ ン コ ン ト ロ ー ラ 等 の 一部 の 役 割 は 、 EUI-64 に し て も 自動 構成 の IPv6 ア ド レ ス は 受 け 付 け い の で 、 手動 割 り 当 て が だ っ た り し す。
Windows で IPv6 ア ド レ ス を 手動 で 割 り 当 て る と RA 環境 で は 自動 構成 IPv6 ア ド レ ス も 出来 て し ま い こ れ を 手動 設定 IPv6 ア ド ス だ け に し た ち ら を 見 い。
IPv6 ア ド レ ス の 自動 が 出来 る よ う に な っ た の で 次 は 名 前 で す。
ま ず は 、 IPv4 / IPv6 デ ュ ア ル ス タ ッ ク の ド メ コ ン ト ロ ラ 構築 て 、 AAAA が 正常 動作 す る か 確認 す ね イ ン コ ン ト ロ ー IPv6 ア ド レ ス は 、 自動 IPv6 ア ド レ ス な は 自 分 自身 な の で 、 ル プ パ ッ ク で あ る 「:: 1」 を 設定 し て 的 な 構成 は 完了。
DNS に IPv6 の 逆 引 き 参照 ゾ ー ン を を 作 っ て 、 手動 で AAAA を 登録 し 、 ド メ イ ン コ ン ラ 上 で nslookup を 使 っ て 動作 確認 を し。 ま ぁ 、 当然 の ご と く 正 / 逆 引 き と も 問題 な 動作 し ま す ね。そ れ で は 、 ド ン バ ー サ ー バ を 追加 よ う と 思 っ た 時 に… あ れ? 、 IPv6 の 参照 DNS は ど う す る ん だ?
RA は 、 DNS を 設定 で き な い し … 手動 で 参照 DNS を 設定 す る 化 に な ら な い の で DHCPv6 を 使 う か …DHCPv6 は 管理 省力 化 重視 で レ ス を 選 択 し ま し た。 Windows Server 2008 DHCPv6 も デ フ ォ ル ト が ス テ ー ト レ ス に な っ て ま す。
て 、 こ れ で DNS が セ ッ れ る 筈 と 、 ド メ ま だ 参加 さ せ て い な Windows Server 2008 で ipconfig / all す る と … あ れ?参照 DNS セ ッ ト さ れ て い な い?調 べ る と 、 DHCPv6 を 機能 さ せ に は RA で フ ラ グ ロ ー ル を す る 必要 が こ と が 判明 今 ス テ ー ト レ ス DHCPv6 の で 、 RA を 喋 ら て い RTX1100 で 「O フ ラ グ ン の 通知 を す る 設定 す る と 、 DNS ッ ト れ 13 913 ド メ イ ン に メ ン バ ー 追加 す る と DNS に AAAA と IPv6 の PTR も 登録 さ れ ま す ね。
M フ ラ グ O フ ラ グ 意味 НА НА ド レ ス と そ れ 以外 情報 DHCPv6 で 構成 す る (ス テ ー ト ル) НА ВЫКЛ ド レ ス 構成 は DHCPv6 を 使用 す る が 、 そ れ 以外 の 情報 別 の 手段 で 設定 す る ВЫКЛ НА ド レ ス 構成 に は RA を 使用 す が 、 そ れ 以外 の 情報 DHCPv6 を 使用 す る (ス テ ー ト レ) ВЫКЛ ВЫКЛ DHCPv6 を 使用 し な い # YAMAHA RT シ リ ー ズ で の M / O フ ラ グ コ ン ト ロ ー ル
ipv6 lan1 rtadv send 1 2 o_flag = on ← RA 実 装 で O フ ラ グ を ON第二 関門 通過 ^^ v
で は 、 実 環境 に 近 付 け め に サ ー バ セ グ と ク ラ イ ア ン ト セ ン ト に 分離 し 度 Vista の IPv6 参照 DNS が セ ッ ト さ れ ま せ ん。
そ か 、 ス テ ー レ ス DHCPv6 は リ ン ク ロ ー カ ル に 広 告 さ れ け。ま た RFC を 調 べ る と 、 こ い つ の 解決 に は DHCPv6 リ レ ー す る 必要 が あ そ う 。YAMAHA の ル ー タ は IPv6 Ready Logo Program Phase-1 な の で 、 DHCPv6 リ レ ー エ ー ジ ェ ン ト は 実 れ て い ま せ ん し リ レ ー が 出来 た と し て 、 運用 面 倒 だ と 方法 を 模。 9000
色 々 思 案 し た 結果 、 DNS は 、 IPv4 で 問 い 合 わ せ AAAA を 引 く こ と る の で 、 は IPv4 を 、 デ ー タ 通信 に は IPv6 を 使 う 方向 で 暫定 回避 さ せ る に し ま し た。
ち な み に 、 IETF で も DNS デ ィ ス カ バ リ ー は 議論 象 に な っ て お 、 RA で 参照 DNS を 広 告 す る 案 に 落 着 く の か な と 予 想 し て い す。
拙 宅 の イ ン タ タ ー ネ ッ 線 は 、 ソ フ ン ク テ レ コ ム の ULTINA Internet の ブ ロ ー ド バ ド ア ク セ ス フ レ ッ ツ ・ プ ラ ン で / 29 の 固定 IPv4 ア ド レ ス 運用 を し い。
IPv6 は 、 こ い つ の オ プ シ ョ ン で 提供 さ れ て い る 6over4 の ト ン ネ リ ン グ ー ビ ス に ま し た。 こ れ 以外 デ ュ ア ル ス タ ッ ク ネ イ テ ィ ブ と か の 目 目こ の 環境 で イ ン タ ネ ッ に IPv6 接 続 す る は 、 6over4 の ipip ト ン ネ ル を 張 ら な く て は ま せ ん。 こ の あ の サ ン プ ル が ほ と な か っ た の で RTX1100 の マ
[6over4 ネ ッ ト ワ ー ク]# YAMAHA RT シ リ ー ズ で の 6over4 ト ン ネ ル
IPv6 route шлюз по умолчанию туннель 1 ← IPv6 の デ フ ォ ル ト ゲ ー ト ウ ェ イ を 6over4 ト ン ネ ル に 向 け る
туннель выберите 1
инкапсуляция туннеля ipip ← 6over4 の IPIP ト ン ネ ル
адрес конечной точки туннеля 211.;
[пинг]
[tracert]Интернет ブ ラ ウ ザ で IPv6 で ア ク セ ス で き て い る の 確認 す る に は 、 接 元 の IP ア ド レ ス を 表示 す る 接 続 す る の が 一番 手 取 り 早 い で す。
Какой у меня адрес IPv6? (接 続 IP ア ド レ ス 表示)
http://whatismyipv6address.com/OCN IPv6 通信 確認 サ イ ト (IPv4 / IPv6 で ア ニ メ ー シ ョ ン が 違 う)
http://www.ocnipv6.jp/
[IPv6 Web ア ク セ ス]ち な み に 、 が 使 っ て い る IP ア ド レ ス は 「185.87.49.188」 だ っ た ま す。
イ ン タ ー ネ ト 上 の DNS は A / AAAA を 分 け 隔 て を す る の で リ IPv6 用 DNS に 向 け な く て も IPv6 の 名 前 解決 で き ま す。
LAN 側 が 大方 カ タ 付 い た の 、 次 DMZ で す。
DMZ も 省力 化 を 目 指 し た い の で 、 RA + DHCPv6 行 方針 に し ま た 構成 さ れ る ア ド レ 的 割 り 当 て が 保障 る EUI-64 に し ま す。
DHCPv6 ス テ ー ト レ ス 択 で す が 、 さ て 誰 に 喋 ら せ る か… 一番 ヒ マ に し て い る DNS が 良 さ そ う で す。
IPv6 ア ド レ ス は DMZ で 、 ULA を 構成 し て も あ ま り で 、 GUA の み っ し ま し た。ず は 公開 DNS 構成 で す 。IPv6 ア ド レ ス を 手動 で た ワ ー ク グ プ Windows Server 2008 に DNS を ス ト ー ル し て / 逆 引 き の ゾ ー ン し 、 コ ン テ ン ツ サ の み の 設定 と セ キ チ ュ
[公開 DNS の IPv6 設定 / デ フ ォ ル ト ゲ ー ト ウ ェ イ RA に お 任 せ]ソ フ ト バ ン ク レ コ ら は 、 IPv6 用 の セ ダ DNS 提供 受 け て る 正 引 き IPv6 逆 引 き の 送 IPv6 の セ カ ン ダ リ DNS を 追加 し ま し た。
今 の と こ ろ AAAA 登録 は 、 公開 DNS だ け で す が 、 こ い つ ゾ ー ン 転 送 れ か キ モ で す ね。
し ば ら く し て 確認 す る と 、 無 事 ゾ ー ン 転 送 が で い ま し た ^^ vDNS 正常 に 動作 す る こ と が 分 れ ば 、 次 は Интернет サ ー バ で す。
RA と DHCPv6 が 効 い て い る の で 、 netsh で EUI-64 に す る だ け で IPv6 の 設定 は 完了 で す。 公開 サ で 、 セ キ ュ リ テ チ ュ ン お 忘 れ な く。
準備 が で き た Интернет ー バ で ipcpnfig を 使 っ て 、 自動 構成 た IPv6 ア ド レ ス べ て DNS に 登録 す れ ば 公開 終了。
[Интернет ー バ の IPv6 設定 / 全 て RA に お 任 せ]イ ン タ ー ネ ら の 動作 確認 を し よ う か と っ 階 で.v
話 は 前後 し ま す フ ァ ヤ ウ ォ ー ル 設定 も。
IPv6 自動 構成 の 場合 は NIC を 変 更 し た だ け で IPv6 ア ド レ 変 ま す。 入 れ 替 え る と IPv4 で 良 く や っ て い る サ ー バ ル ー ル で は 運用 の の で 、 セ グ メ に す る ポ リ 単 位 で 許可 す る っ て ア プ ロ ー チ で す。
最近 の OS は 、 フ ァ イ ヤ ウ ォ 機能 を 持 っ て い る 、 個別 の セ キ ュ リ テ 設定 個 々 の で し ま す。あ る 程度 環境 が 整 っ の で 通信 し て い る パ ケ ャ プ チ ャ し て み る っ た 以上 に ICMP を 使 っ は 双方 向 通過 許可 に す る の が 良 で す。 こ の 考 で 言 う と 、 ー ッ ト / LAN 間 の ICMP / ICMPv6 も 通 す の が 良 い と 思 わ れ す が 、 こ の あ た り リ シ ー を ど う 考 え か に し ま す の で ト 管理者
IPv6 の 実 装 目 処 が 立 た の 実 運用 で の IPv6 ネ ッ ト ク 設計 に つ い 考 ま し ょ う。
ス タ テ ィ ッ ク ル ー テ ィ ン グ で 何 と か な る 規模 の ネ ッ ト ワ ー ク で あ れ ば, サ ブ ネ ッ ト プ レ フ ィ ッ ク ス (セ グ メ ン ト プ レ フ ィ ッ ク ス) 設計 は 軽 く 流 し て も い い の で す が, ダ イ ナ ミ ッ ク ル ー テ ィ ン グ じ ゃ な い と や っ て ら れ な い よ う な 規模 に な る と, 思 い つ き で サ ブ ネ ッ ト プ レ フ ィ ッ ク ス を 振 り 出 して い る と 、 あ っ い う 間 き 詰 っ て し ま う で は な く 、 ル ー テ グ の オ ー バ ー ヘ 無視 で き
サ ブ ネ ッ ト プ レ フ ィ ス と ル ー テ ィ ン ど う す る の が 良 の と 色 々 設計 を て み と 同 じ で, ピ ラ ミ ッ ド 構造 の ネ ッ ト ワ ー ク に し て, 必要 セ グ メ ン ト 数 を サ ブ ネ ッ ト ID の ビ ッ ト 数 で 表現 で き る 数 に 丸 め て 積 み 上 げ る っ て ス タ ン ダ ー ド な 結論 に た ど り 着 き ま し た. 91 332 要 は 、 必要 数 を 順 番 に り 当 て て 行 く て IPv4 と 同 じ ア プ ロ ー チ で す。
設計 サ ン プ ル は pptx に 書 い て い る の で 、 そ ち を 参照 し て (解 読 し て) 下 さ い。
セ グ メ ン ト 数 が 複数 あ る 場合 は, 小 規模 で も ダ イ ナ ミ ッ ク ル ー テ ィ ン グ が 便利 で す .IPv6 ア ド レ ス は や た ら と 長 い の で, 手 で ス タ テ ィ ッ ク ル ー テ ィ ン グ を 書 く の は 現 実 的 で は あ り ま せ ん. 91 332 全 て の GW に RA を 喋 ら せ た 場合 は GW に パ ケ ッ ト が 行 ゃ う こ と も 想 定 さ す 、 ダ イ ナ ミ に 転 送 さ れ ま す し 、 1 セ グ メ ン ト に 対 し て 複数 の GW が RA を 喋 っ て い る の で 、 、 1 台 が 機能 停止 し て RA が 止 ま ら
ダ イ ナ ミ グ は 、 Логотип IPv6 Ready 取得 の 機器 で あ れ 通常 サ ポ ト て い ま す Logo を 取 っ て い な RIPng す ら 扱 え な い 機器 し ま す の で 際 は ス タ テ ル ィ
ち な み に 、 IPv6 の ス タ テ ィ ッ ク ル ー テ ィ ン は 、 Следующий переход だ け で は な く 、 送出 ポ ト も 併 記 す る の が 原則 っ て る で す。
例 え ば 、 YAMAHA の RT シ リ ー ズ だ と 「IPv6 route шлюз по умолчанию 2001: 278: 101d: f :: ff: 1% 1 」み た い に 、 Next Hop に 続 い て「% 」を 書 い て 送出 ポ ー ト (こ の 例 で は LAN1) を 指定 し ま す。
テ ス ト で は 、 話 を 簡 単 る た め に YAMAHA RTX1100 の み で 環境 構築 し ま し た 、 拙 宅 の 運用 環境 で Fortinet 社 の FortiGate 60 (UTM 個人 で い w) を 使 っ い ま す。
Только IPv4 時 は 、 FortiGate に PPPoE を 搭載 し て い ま し た が 、 FortiGate に 6over4 через PPPoE の 設定 を し て も 、 ト ン ネ ル ま く 動 か な い ん よ ね。 サ ポ ー ッ プ し ち い w方 が 無 い の で 、 PPPoE と 6over4 は 実 績 の あ る RTX1100 を 使 い 、 FortiGate で は 純 粋 な IPv6 フ ァ イ ヤ ウ ォ ー ル と し て 動 す 方針 に 変 更。
[ネ ッ ト ワ ー ク 構成 変 更]ネ ッ ト ワ ー 構成 大 き く 変 わ る の で 、 切 大 大 変 で し た が 何 か 運用 環境 に ち と が で き 9 1332 こ れ を 書 い て い る 時点 の FortiGate60 は 、 RA で 複数 プ レ フ ィ ッ ス が 喋 れ な い と RIPng が 実 装 さ れ て い な 色 々 問題 は あ し が (60 Логотип IPv6 Ready を 取 っ て い な い し) 、 工夫 次第 で 何 と か な る で。
# RTX1100 の 設定
# RTX1100 Rev.8.03.70 (пн 18 февраля 20:55:48 2008)
логин пароль *
пароль администратора *
консольные колонны 200
Консольные линии бесконечности
IP route шлюз по умолчанию pp 1
ip filter source-route на
IP-фильтр направленной трансляции на
ipv6 route шлюз по умолчанию туннель 1
ipv6 route 2001: 278: 101d :: / 48 шлюз 2001: 278: 101d: ffff :: ff: 2% 3
ip адрес lan3 211.121.188.193/29
ipv6 адрес lan3 2001: 278: 101d: ffff :: ff: 1/64
ipv6 lan3 mld router syslog = on version = 1,2
pp выберите 1
пп всегда на
pppoe использовать lan2
pppoe автоматическое подключение на
автоматическое отключение pppoe на
pp auth accept pap chap
pp auth myname ID Пароль
ppp lcp mru на 1454
ppp тип ccp нет
ip pp mtu 1454
ip pp имя защищенного фильтра PPPoE
pp включить 1
туннель выберите 1
туннельная инкапсуляция ipip
адрес конечной точки туннеля 211.121.188.193 218.218.255.213
IPv6-адрес туннеля 2001: 278: 0: 221d :: 2/64
IPv6 туннельный безопасный фильтр в 1000 2000 9999
IPv6 туннель безопасный фильтр выход 1001 2001 9999
ipv6 tunnel mld host syslog = on version = 1,2
ipv6 tunnel tcp mss limit auto
включить туннель 1
ip filter 1000 отклонить 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,211.121.188.192/29 * *
ip filter 1001 отклонить * 10.0.0.0/8,172.16.0.0/12,192.168.0.0 / 16 211.121.188.192 / 29 *
ip filter 2000 отклонить * * tcp * telnet
ip filter 2001 отклонить * * tcp telnet *
ip фильтр 9999 пройти * * * * *
набор IP-фильтров PPPoE в 1000 2000 9999
набор IP-фильтров Выход PPPoE 1001 2001 9999
ipv6 filter 1000 отклонить fc00 :: / 7, ff05 :: / 16,2001: 278: 101d :: / 48 * * * *
фильтр ipv6 1001 отклонить * fc00 :: / 7, ff05 :: / 16,2001: 278: 101d :: / 48 * * *
ipv6 filter 2000 отклонить * * tcp * telnet
ipv6 filter 2001 отклонить * * tcp telnet *
ipv6 фильтр 9999 проход * * * * *
ipv6 фильтр 10000 проходов * * * * *
хост syslog хост syslog
уведомление системного журнала на
DNS сервер 143.90.130.165 143.90.130.39
расписание на 1 * / * *: 00 * ntpdate ntp.nict.jp syslog
httpd хост нетIPv6 は RA の 自動 構成 し れ ば 、 基本 的 に デ フ ー ト ェ イ の な の が RA を 使 い た く な い グ メ ン 、 フ ル ス タ テ ィ IPv6 ア ド レ ス を 構成 す 場合 に は デ フ ォ ゲ ー ト
さ て 、 そ の よ う す る か 。GUA と ULA を ル ー タ に 設定 し い れ IPv6 の デ フ ォ ル ト ゲ ー ト ウ 設定 す れ ば い い の IPv6 ア ド レ ス は 悪 の よ う に 長 い 複数 の IPv6 ア ド レ ス は 書 き た く り ま せ ん し 、 ミ ス の 元 な っ ち ゃ す ね。
RA 自動 構成 さ れ た ノ ド IPv6 が ど の よ う に れ る か を 良 見 る と…. デ フ ォ ル ト ゲ ー ト ウ fe80 :: / 10 」の リ ン カ ル に な っ て 気 が つ く は ず で。
そ う 、 デ フ ォ ル ト ウ イ は リ ン ク ロ ー レ ス を 指定 す れ い で す。 リ ン ー カ 中 継 層 の 各 リ ン ク に て じ リ ン ク ロ ー カ ア ド レ ス を 設定 す る こ 可能 な の で す。つ ま り 、 3 ポ ー ト (3 セ グ メ ン ト) ル ー タ で も ポ ー ト に fe80 :: 1/10 」を 割 り 当 て る 事 が の で す
デ フ ォ ル ト ゲ ー ト ウ と な る ポ ー ト に fe80 :: 1/10 を 割 り 当 て て お け ば 、 ど セ グ メ ン ト て も fe80 :: 1 と 1 つ だ け 入 力 す る だ け で 済 み ま す。YAMAHA RTX1000 だ と こ ん な 感 じ で す
ipv6 route шлюз по умолчанию fe80 :: 1% 3 ← LAN 3 セ グ メ ン ト に あ る 上位 ー タ (fe80 :: 1) に で フ ォ ル ー ト ウ ェ イ を 向 け (ダ イ ナ ミ ッ ル ィ ン lan 6) 913 fe80 :: 1/10 ← LAN 1 に fe80 :: 1/10 を 割 り 当 て る
ipv6 префикс lan1 fd75: f582: 7ae3: 10 :: / 64 ← LAN 1 の ULA ア ド レ ス 自動
ipv6 префикс lan1 2001: 278: 101d: 10 :: / 64 ← LAN 1 の GUA ア ド レ ス 自動 生成
ipv6 lan2 адрес fe80 :: 1/10
ipv6 lan2 prefix fd75: f582: 7ae3: 20 :: / 64
ipv6 lan2 prefix 2001: 278: 101d: 20 :: / 64
ipv6 адрес lan3 fe80 :: 2/10 ← LAN 3 上位 ル ー タ へ の テ ン を す る の で fe80 :: 1/10 で は な く 、 fe80 :: 2/10 を 割 り る (ダ イ ナ ミ ッ ー ィ ン 13 префикс lan3 fd75: f582: 7ae3 :: / 64
ipv6 префикс lan3 2001: 278: 101d :: / 64こ の ペ ー ジ へ の ア ク を 解析 す る と 、 FotiGate を キ ー ワ ー ド に い ら る 方 が 多 で FortiGate の IPv6 設定 も 書 い て お き ま す ね。
英語 で す け ど 、 IPv6 の マ ニ ュ ア ル (Техническое примечание IPv6) は こ ち ら か ら ダ ウ き。
僕 が 使 っ て い る Fortigate-60 3.00-b0730 (MR7, исправление 1) で も 実 装 が 若干 甘 い な が IPv6 を 使 う こ と が で き ま。 た だ し GUI を 使 っ た 設定 で は 、 UI 実 装 が バ グ っ て い る と か 項目 そ の も の が 無 り す る の で 、 コ イ ン (телнет) で の 設定 に ま 9た32 は 4.1 4.1 設定 で き る ん で は な な 想 し て い ま す。
(4 系 で IPv6 Ready Logo Phase-2 を 取得 し た そ す)Telnet で FortiGate に 接 続 す る と ロ グ イ ン プ プ ト が 来 ま す の 管理 権 限 を 持 っ た ア ン ト で ロ グ し ま す。
Fortigate-60 логин:
Пароль: *********
Нет записи для тип терминала «vt100»;
с использованием настроек глупого терминала.
Добро пожаловать!Fortigate-60 $
ロ グ イ ン し た ら コ ド ラ イ ン で 設定 し ま ょ う。 ま ず FortiGate そ の も の の IPv6 設定 で す。 モ ー ド を つ 戻 き は 「конец」 を 使 い ま す。
config system interface
edit «internal» ← 設定 す る イ ン タ ー フ ェ イ ス
установить тип физический
config ipv6
установить ip6-адрес 2001: 278: 101d :: ff: 1/64 ← イ ン タ ー フ ェ イ ス の IPv6 ア ド レ ス
set ip6-other-flag enable ← O フ ラ グ ON
config ip6-prefix-list
edit 2001: 278: 101d :: / 64 ← RA で 広 告 す る プ レ フ ィ ッ ク ス (GUA)
set включить автономный флаг
установить флаг ссылки включить
следующий
изменить fd75: f582: 7ae3 :: / 64 ← RA で 広 告 す る プ レ フ ィ ッ ク (ULA)
установить автономный флаг включить
установить onlink-flag enable
next
end
set ip6-send-adv enable ← RA ON
end良 く 使 う ア ド レ ス の グ ー ピ ン グ は こ ん な す。
config firewall addrgrp6
edit «LAN-DC-IPv6»
set member «LAN-DC01-GUA» «LAN-DC01-ULA» «LAN-DC02-GUA» «LAN-DC02-ULA»
конецポ リ シ ー の 実 装 は IPv4 と 変 わ り あ り ま せ ん
config firewall policy6
edit 1
set srcintf «internal»
set dstintf «dmz»
set srcaddr «all»
set dstaddr «all»
set action accept
установить расписание «всегда»
установить службу «ЛЮБОЙ»
установить профиль-статус включить
установить logtraffic enable
установить профиль «filter_wizard»
endス タ テ ィ ッ ク ル ー テ ィ グ は こ ん な 感 じ で き ま す
config router static6
edit 1
set device «wan1»
set dst 2000 :: / 3
установить шлюз fe80 :: 1
следующийち な み に 、 ダ ー シ ョ ン は 省略 し 認識 さ れ る う で す。
設定 が す ん で FortiGate と の 接 続 を 終了 す る 時 は 、 初期 プ ロ ン プ ト ま っ выйти し ま す。
IPv6 普及 の 切 り 札 に な る な と 思 っ て い た NGN が 、 「マ ル チ プ レ ィ ク ス 問題」 で 苦 て い ま す。。
一部 の 報道 (雑 誌) で は ПК の ОС 実 装 が 甘 い の が 原因 み な 情報 が 伝 え ら れ て い す が 、 そ は い で 、 NGN そ の も の の 問題 で す。
NGN は イ ン タ ー ネ ッ ト ー テ ィ ン グ を 広 な い 閉 域 網 で す。 網 し て 考 え ら る と 接 続 を し て イ ン タ ー ネ へ の 橋 渡 し を す の 設計 が 甘 か っ た と れ て も し ょ う が よ う な 状況 13 ん32 「NGN = レ ッ ツ 地域 網 っ て リ ISP 接 続 を 設計 た 様 で す が フ 網 と 決定 NGN IPvレ IPv 利用 ユ ー ザ に 使 わ せ よ う と し で す。
今 の フ レ ッ ツ プ レ フ ィ ッ ク ス に な っ て い は 、 ISP 利用 者 が イ ン タ ー ネ ッ ト ア フ レ ッ ツ の ー ビ を 併 用 し て 使 い な い か ら し ょ う。
僕 も フ レ ッ ツ 網 そ の も の 計 測 を す る た め レ ッ ツ ス ク エ ア に 続 し 事 あ り す 、 ISP 接 続 環境 と 併 用 き る よ う な 仕 様 の も の で は あ ま せ ん で し た (フ レ ッ ツ 内 専 用 DNS ア ド レ ス す ら わ か り や す に 公開 し て い な い 使用 ド レ 空間 も 良 か ら な い の で ル ィ ン グ テ 13) レ ッ ツ 地域 網 ISP へ 接 続 る た め の 「PPPoE 中 継 専 用 ネ ッ ト ワ ー ク」 使 わ れ て い 問題 に.IPv4 イ ン タ ー ネ ッ ト ア ク セ ス は 、 IPv4 через PPPoE な の で 、 ISP 接 続 の PPPoE だ け を 使 っ て い る り フ ッ ツ 網 (フ レ ッ ツ エ ア) に は 接 続 で き ま せ。 フ レ ッ ツ 続 す
Только IPv4 の 時 は こ れ で 良 た の で す が 、 IPv6 は マ ル チ プ レ フ ィ ク 標準 仕 様 な の で NGN 閉 域 網 の プ レ フ ィ ッ 告 し よ う と 目 論 だ の 悪 な の か な と。
僕 は NGN を 契約 し て い な い の で が 、 NGN は GUA を 使 っ て い る っ て 情報 を き ま し た。 イ ン ネ ッ ト 側 へ の ル ー ン グ 広 告 を 域 網 で 良 い と 思 う の で す が….
NGN 内 ULA で あ れ ば 、 イ ン ー ネ ッ ト を ア ク る 際 は 、 RFC3484 / 5220 の 規則 に 則 っ て ISP が 広 告 GUA を 送信 元 と し て 選 す る の で 送信 元 IPv6 ア ド レ ス て 事 は 無 い の す が 、 GUA を 使 っ る の でv 、6 送信 IP ア ド レ ス 選 択 を 間 違 う 可能 は ゼ ロ で は あ り ま せ ん。も う 一 つ 問題 な り そ の が 、 ユ ー ザ の 境界 に 設置 さ れ る ゲ ー ト ェ イ (HGW) で ル ン グ
NGN で は PPPoE を 使 い ま せ ん NGN を 使 っ た イ ン ト 続 を 大 き く 分 け る と ザ / ISP 間 を ipip ネ ル で 結 ぶ ト と 、 NGN 自 体 が イ ン ッ ト の 一部 (ISP ま で の IPv6 中 継 網) と し て 稼 働 す る テ ィ ブ 方式 の 2 案 が 想 れ て い ま。 (具体 具 は も う 少 し 化 て 4 案 あ 9000 ま す)
только IPv4 想 定 し て 市 販 て い る 一般 的 な HGW の ル ー テ ィ ン グ は 、 上位 (PPPoE) に 対 шлюз по умолчанию を 1 つ だ け 設定 す れ 良 の で す が 、 NGN を 使 う 場合 は 、 IPv6 ル ー テ ィ ン を 2 つ 持 っ て шлюз по умолчанию を 契約 ISP に 向N け 、 NGN 宛 て の ル ー テ ィ ン を る 必要 が あ り ま す ナ ミ ッ ク ル ー テ 使 え ば 解決 し 実 装 に 影響 し て く で 、 HGW メ ー カ ー も 動 き て も 動 け な い っ て 状況 ん で し ょ う ね 。。 (各 契約 宅 に ISP が り 出 GUA プ レ フ ィ ス を ど う や っ て る か っ て の は 別 と し て 必要 で こ は DHCP 9
気 に な る の が 、 名 前 解決 で す け ど 、 こ つ NGN 内 専 用 の ド メ を 作 っ て 、 そ い つ を グ ロ ー バ ル に 公開 す れ ば… う ー ん 、 や っ ぱ り 無理 が あ る な。 (NGN は イ ン タ ー ネ ト ト い る DNS に NGN 内部 の AAAA を 登録 し て い る よ う す け ど)
今 NGN が 考 え て る 仕 様 だ 、 イ ン タ ー ネ ッ 相互 接 続 を す る は い か も で す ね。
が 考 え る に NGN は フ レ ッ ツ 地域 網 と 同 じ 付 け の 中 継 し て NGN の プ レ フ ィ ッ ク 側 に 広 告 し な い の 出来 る 最 善解 決策 で は な と 思 っ て い す GUA を ULA に リ ナ ン バ す る っ っ あ る と は 思 い ま す が 今 更 の コ 辛 で し ょ う し。
さ て 、 今後 NGN が ど ん な 進 む の か 注目 で す ね。 (NGN の マ ル チ レ ィ ッ ク ス 解決 策 へ 続 く)
徒然 な る ま ま に 書 い た の 、 一 応 ま と め て お ま す ね
使用 す る IPv6 ア ド レ ス
Только IPv6 は 現状 非 現 実 的 な の で 、 IPv4 / IPv6 デ ュ ア ル ス タ ッ ク る
サ イ ト に は / 48 、 セ グ メ ン ト に は / 64 プ レ フ ィ ク ス を 使 う
NAT は 使 わ な い
ULA は fd00 :: / 8 の 計算 で 求 め た サ イ ト プ レ フ ィ う
LAN に は GUA + ULA を 割 り 当 て る
DMZ に は GUA の み を 割 り 当 て る
IPv6 ア ド レ ス の 自動 構成
IPv6 ア ド レ ス RA で 自動 構成
Vista 匿名 ア ド レ ス は 24 で 自動 更新 さ れ る が WS08 は は 的 割 り 当 て に な っ て い る
WS08 を EUI-64 に す る に は 「интерфейс netsh ipv6 set global randomizeidentifiers = отключено 」
DHCPv6 は ス テ ー ト レ ス を 使 う
DHCPv6 を 使 う と き は RA の フ ラ グ コ ン ト ロ ー ル が 必要
DMZ も RA + DHCPv6 で 楽 ち ん
手動 設定 IPv6 だ け に し た い 時 は 「интерфейс netsh ipv6 set interface [イ ン タ ー フ ェ イ ス ID] routerdiscovery = disable 」
DNS デ ィ ス カ バ リ ー
ル ー テ ィ ン グ
ル ー テ ィ ン グ は 、 ル ー テ ィ ン グ ID の 16 ビ ッ ト で 設計
ル ー テ ィ ン グ 設計 手法 は IPv4 と 同 じ
小 規模 で も ダ イ ナ ミ ッ ク ル ー テ ィ ン グ が お 勧 め
デ フ ォ ル ト ゲ ー に fe80 :: 1/10 を 割 り 当 お 時 が 楽
DMZ
ア ド レ ス 用途 RFC :: 不定 ア ド レ ス RFC4291 :: 1 ル ー プ バ ッ ク RFC4291 :: / 96 IPv4 互換 RFC4291 :: ffff: 0: 0/96 IPv4 マ ッ プ RFC4291 2000 :: / 3 GUA RFC4291 2001 :: / 32 Тередо RFC4389 2001: db8 :: / 32 ド キ ュ メ ン ト 用 RFC3849 2002: IPv4 ド レ ス :: / 48 6to4 RFC3068 fd00 :: / 8 ULA (定義 は fc00 :: / 7) RFC4193 fe80 :: / 10 リ ン ク ロ ー カ ル RFC4291 ff00 :: / 8 マ ル チ キ ャ ス ト RFC4291 fec0 :: / 10 サ イ ト ロ ー カ ル (廃 止) RFC4291 ff01 :: ノ ー ド ロ ー カ ル
ff01 :: 1 Все узлы RFC2375 ff01 :: 2 Все маршрутизаторы RFC2375 ff02: リ ン ク ロ ー カ ル
ff02 :: 1 Все узлы RFC2375 ff02 :: 2 Все маршрутизаторы RFC2375 ff02 :: 3 Не назначено RFC2375 ff02 :: 4 Маршрутизаторы DVMRP RFC2375 ff02 :: 5 OSPFIGP RFC2375 ff02 :: 6 Маршрутизаторы OSPFIGP RFC2375 ff02 :: 7 Маршрутизаторы ST RFC2375 ff02 :: 8 ST Хосты RFC2375 ff02 :: 9 Маршрутизаторы RIP RFC2375 ff02 :: a Маршрутизаторы EIGRP RFC2375 ff02 :: b Мобильные агенты RFC2375 ff02 :: d Все маршрутизаторы PIM RFC2375 ff02 :: e RSVP-ENCAPSULATION RFC2375 ff02 :: 1: 1 Имя ссылки RFC2375 ff02 :: 1: 2 Все агенты dhcp RFC2375 ff05 :: サ イ ト ロ ー カ ル
ff05 :: 2 Все маршрутизаторы RFC2375 ff05 :: 1: 3 Все-dhcp-серверы RFC2375 ff05 :: 1: 4 Все реле dhcp RFC2375 ff05 :: 1: 1000-ff05 :: 1: 13ff Место обслуживания RFC2375 FortiGate60 フ ァ ー ム ウ ェ ア IPv6 正式 対 応 の 3.00-b0730 (MR7, исправление 1) に 上 げ た の で す が 、 マ ニ ュ ア ル に は RIPng と MLD が 書 い て い な い し … UI も IPv6 周 り は 微妙 に バ っ て る し …. コ マ ン ド ラ イ ン 設定 す れ の ビ ル ド で も 使 く な い で す け ど 普通 に え る よ う に の は 60 は 対 象 外 に orz)
う ぐ 、 FortiGate は リ ン ク ロ ー カ ル ア レ ス を 手動 設定 出来 な い 仕 様 っ orzIPv6 導入 済 み の 環境 に NTT 東 (西 も?) の 光 電話 ル ー 導入 は 要 注意 で す
拙 宅 で は 、 サ ス 開始 か ら 使 っ て い た ISDN を 、 テ ス ト も 兼 ね て ひ 電話 に 切 り 替 え。
NTT 東 か ら 送 ら れ て き た NTT 東 の ひ か り 電話 ル ー タ RT-200KI を (振 る 舞 い を し LAN に は 接 続 せ ず) 設置 し た の で 、 振 る 舞 い を た ら 、 こ い つ デ フ ォ で RA し ゃ べ っ て NTT 東 90 (2001): NTT 東 の90 う (2001): / 64 を 構成 し て く れ る 仕 様 に な っ て い ま す。最初 は 「へ ぇ B フ レ ッ IPv6 化 頑 張 っ て ん だ」 と 感 心 し い た の す が… 良 く 考 え る と マ ル チ プ レ フ ィ ッ ク ス 問題 が こ こ も 起 き る 事 が 付 き ま し た (遅
仕 方 な く 、 LAN に は 接 続 せ ず 、 ひ か CTU と し て し ば ら く た で す が 、 メ ン テ や フ レ ッ ツ サ ー ア ク セ ス す る CTU LAN ケ を イ ン タ ー ネ ッ ト 側 さ な い よ う に ル タ し て 、 ツ へ の IPv4 ス タ テ ィ ッ ク ル ー テ ィ ン グ と, IPv6 ス タ テ ィ ッ ク ル ー テ ィ ン グ (2001: C90 :: / 32), DNS フ レ ッ ツ 網 内 の IPv4 DNS フ ォ ワ ー ド を 書 い て LAN に 接 続 し た ら … こ い つ ス テ ー ト レ ス の DHCPv6 も し ゃ べ っ て い て, 参照 DNS に 2001: c90: 0: 5 :: 1 / 2001: c90 :: 3 が 追加 さ れ Windows の AD の 認証 が エ ラ ー に orz
RT-200K の GUI で は IPv6 の 設定 が 出来 な い の で ど う も あ り ま せ ん (一 応 サ ポ ー ト に 問 い 合 せ メ ー ル 入 れ ま が 、) 9
ひ か り ル ー タ 導入 、 マ ル チ プ レ フ ク ス 問題 だ け は く 、 IPv6 の 名 前 解決 に も 影響 が 出 で 導入 時 に は 要 注意 で IPv6 の 設定 変 更 が 出来 れ ば だ 対 応 も 可能 な す が GUI OFF IPvッ OFF IPvッ し か な い の で ど う し よ う も あ り ま せ ん。
IPv6 ブ リ ッ ジ を 止 り あ え IPv6 系 は ゃ べ ら な く な る 様 な で 、 拙 宅 で は ら く こ 000
に し て も 、 こ の 中途 半 端 な 仕 様 は 何 と か し し い で す ね
す っ た も ん と や っ て NGN の マ ル チ プ ィ ッ ク ス 、 2009 年 に 一 応 の 決 着 が つ し た。
そ も そ も NGN の マ ル チ フ ィ ッ ク ス 問題 は NGN が 閉 域 網 で あ る か わ ら ず な IPv6 ド レ ス 体系 で あ GUA を 使 っ て い る こ と に 端 ま す。
IPv6 で は 、 IPv6 ア ド レ ス 持 つ ノ ー ド が 複数 IPv6 ア ド レ ス を 持 つ 仕 様。 こ の た め 送信 IPv6 ア ド レ ス 選 択 は RFC3484 Выбор адреса по умолчанию для Интернет-протокола версии 6 で ル ー ル が 定 め ら れ て い ま す。
こ の ル ー 、 閉 域 網 が 使用 す る fc00 :: / 7 と 、 イ イ ン ネ 上 2000 る る 2000 :: が 持 っ て い て も 、 イ ン ネ ッ ト を ア ク セ ス 際 に fc00 :: / 7 が 選 択 る こ と は あ ま せ ん。と こ ろ が 、 NGN は 閉 域 網 あ る に も か か わ GUA の 2000 :: / 3 を 使用 し る ん で す よ。
GUA を 使 っ て い る だ け で た る 問題 で は な す が 、 NGN は ユ ー ザ に NGN 内部 に 設置 し サ RA N RA N を ユ ー ザ ー 宅内 に し ゃ べ り た い と 考 え た の で す。す る と 何 が 起 き る か….
ПК は 、 NGN が 振 り 出 し た IPv6 ア レ ス と 、 ISP が 振 り 出 し た IPv6 ア ド レ が セ ッ ト さ ま 。NGN と ISP が 振 り 出 し た IPv6 ア ド レ ス は 、 と も に GUA な の で タ ー ネ ッ ト を ア セ ク す ス 際 に 先 に NGN ア ド レ ス が 送信 元 に 選 ま す。
す る と 、 先 が NGN と な り ま す が 、 NGN は 閉 域 網 な の で 戻 り 先 が タ ー ネ ッ ト か ら き な い 所 に な っ て い 、 送信 し た た PC に パ ト 9つ ま り 、 NGN が RA を し て く れ る と 、 イ ン タ ト ア ク セ ス が 出来 な い ー ス が 出 て く 事 マ ル チ プ レ フ ィ ッ の で す。 (NGN 内部 ア ク セ ス 時 も 同 じ が え ま す)
な み に 、 2011/04/28 現在 で 、 NTT 東西 が 閉 域 網 で 使用 IPv6 ア ド レ ス 使用 さ れ て ま (「KB2551233 Internet Explorer ど で NTT 東 日本 、 NTT 西 日本 の IPv6 閉 域 網 に 接 続 て る タ ア ウ ト 発 生 す る 」引用)
2001: c90 :: / 32 NTTEAST-JPNIC-JP-20020930 NTT 東 日本 2404: 1a8 :: / 32 NTTEAST-NGN-JPNIC-JP-2006 1002 2408 :: / 22 NTTEAST-NGN-JPNIC-JP-2007 1015 2001: d70 :: / 30 NTTWEST-IPv6-JPNIC-JP-20030912 NTT 西 日本 2001: a000 :: / 21 NTTWEST-IPv6-JPNIC-JP-20041201 こ の 問題 を 解決 た ン ネ ル 方式 」(正式 サ ー 名 は IPv6 PPPoE) と「 ネ イ テ ィ ブ 」(正式 サ ー ビ ス 名 は IPv6 IPoE) の 2 方式 で す。 (2 方式 が 併存 す る っ て 不 思議 な 結論 で す ね)
NGN の IPv6 イ ン タ ー ネ ッ ト 接 続 (NTT 東 日本 の プ レ ス リ リ ー ス 資料 を 簡略 化)
ま ず は 、 ネ テ ィ ブ す。
NGN の RA は せ ず に 、 ISP か 振 り 出 し GUA を 使 っ て NGN を ア ク セ ス す る っ て で す。 で も よ く 、 代表 ISP っ て 特別 な ISP だ け が NGN へ の 相互 接 続 を 許 れ て い。 ル ー テ ィ ン グ ト ロ ー ル の キ ャ パ の っ て 理由 だ そ う ISP は 3 社 に Интернет-провайдер の 傘 下 に 入 る の 競争 を 害 し か ね な い 思 え ま す。も う 1 つ の ト ン ネ ル 方式。
こ い つ も NGN の RA は し ま せ ん が 、 NGN を ア ク セ ス す 際 ア ダ プ タ 内部 で IPv6 NAT で 送信 元 を NGN の IPv6 ア ド レ ス に 変 換 し ち ゃ す
そ も そ も IP の 思想 は 通信 な の で す IPv4 ア ド NAT る っ て 歪 ん だ だ 仕 様 を で 導入 し た っ て あ り ま す。 こ の 仕 様 も IPv6 の で 本来 の 戻 る っ て….そ ん な こ ん な で 、 NGN の マ ル チ プ レ フ ッ ク ス 一 応 の 解決 は し た す が 、 ど ち ら の 案 ッ リ 解決 と 言 よ う に 000
03/02/2011 に IPv4 ア ド レ ス の 中央 倉庫 で あ る IANA の 在 庫 が ゼ ロ に な り ま し た。 い よ い よ IPv4 ア ド レ ス 枯 渇 が 秒 読 み 段 入 っ た こ と に な す。
最後 の / 8 5 ロ ッ ク は 配 布 は 、 ス ト リ ー ミ ン 中 継 さ れ 、 日本語 同時 も 1300 人 が 視 聴 聴 い た (9 僕)
日本 が 所属 し て い る APNIC 、 世界 人口 の 半 分 近 く バ ー す る 巨大 な RIR で す。 こ の た め APNIC が 在 庫 と し て 持 っ て い IPv4 ア ド レ ス が 世界 で 一番 く な く り 、 本 当 の 意味 で の IPv4 ア ド レ ス 枯 渇 に を 迎。 APNIC の 在 22.09.2011 と 予 測 さ れ て い ま す。
日本 国内 を 見 て も ト フ ォ ン の 普及 や ト ビ ジ ネ ス 大 等 で IP ア日本 の IPv4 ア ド レ ス を 管理 し て い る JPNIC は 在 庫 を 持 っ て お ら ず 、 APNIC か ら ISP に IPv4 ア ド レ ス を 割 り し て い ま す。 こ は 世界 で 一番 早 く IPv4 ア ド レ ス 枯 渇 を る 国 の 一 9 す。
IPv4 ア ド レ ス が 枯 渇 ら と 言 っ て 、 新 IPv4 ア ド レ ス が 割 り 当 ら れ な く な る だ け な の 、 IPv4 を 使 っ た イ ン タ ー ネ え な く な る わ け は あ り ま せ ん。。
閉 域 で あ れ ば IPv6 の 導入 は 必要 あ り ま せ ん が ー ネ ッ ト 接 続 い る の で あ れ ば 、 タ ネ ッ ト 上 で れ IP IP に 徐 々 に シ フ す る 、 Только IPv4 の 環境 で あ っ も IPv6 導入 は 避 け て れ い こ と に な り ま す。余 談 で す が APNIC の 在 庫 が 1 ブ ロ ッ ク に な っ JPNIC か ら 直接 割 り 当 て を け る 指定 事業 者 (LIR) や 企業 に は 、 / 22 が 1 つ 割 り 当 て ら れ る け と 言 う ポ リ に シ や 一般 ユ ー ザ ー に る の で な く 、 IPv4 イ ン タ ト の 接 続 性 を 確保 る た め の 機 の 位置 現在 で 、 APNIC の 在 庫 は 3.9 ロ ッ ク と な っ て い ま す。
IPv6 導入 に は 、 投資 (機 材 購入 だ け で は な く 設計 等 も) 必要 な の で す が 、 20–30 億 人 が Только IPv6 の イ ン タ ー ネ ッ ト ク セ ス に な る ら し く 、 IPv6 導入 は 遅 か れ 早 か れ な り そ う で す。
痛 み を 伴 う IPv6 導入 で す IP 本来 の 透過 で エ ン エ ン ド な 通信 が 蘇 る の 、 今 で は 想像 も で な い
世界 レ ベ ル で 見 る ー 機器 が 生 き 残 り る の で 数 十年 IPv4 / IPv6 併存 が 続 き そ う で す が 、 日本 リ プ レ ー ス 間隔 が IPv6 対 応 は 10 年 を 待 完了 で か も で 9000
15.04.2011 に JPNIC が ア ド レ ス 供給 を 受 け て い る APNIC の グ ロ ー バ ル IPv4 ア ド レ ス が ゼ ロ な り ま し JPNIC で は 独自 に 持 た な い の で 、 付 で 日本 の IPv4 ア ド も
http: // www.nic.ad.jp/ja/ip/ipv4pool/<Использование пула IPv4 APNIC>
http://www.apnic.net/community/ipv4-exhauration/graphical-informationAPNIC の 在 庫 を 見 る と 、 だ 1 ブ ロ ッ ク 残 っ て 、 APNIC の ラ ス ト 1 ブ ロ ッ ク ポ リ シ 、 ISP と か の 事業 者 に 対 し て / 22 の ア ド レ ス を IPv4 イ ン タ ッ ト と の 疎 通 確保 用途 に 1 度 だ け 配 布 す る し て
い よ い よ IPv6 の 出 番 で す ね。
[Назад]
[ Главная]Авторские права © MURA Все права защищены.