Настройка IPv6 — Документация VMmanager 5 KVM

Поиск точной фразы

Для поиска контента, содержащего точную фразу «мел и сыр», введите:

"мел и сыр"

поиск с OR

Для поиска контента, содержащего одного из выражений «мел» или «сыр», введите:

"мел OR сыр"

поиск с AND

Для поиска контента, содержащего оба выражения «мел» и «сыр», введите:

"мел AND сыр"

поиск с NOT

Для поиска контента, который содержит «мел», но не содержит «сыр», введите:

"мел NOT сыр"

Исключение выражений из поиска

Аналогично поиску с NOT, для поиска контента, который содержит «мел» и «масло», но не содержит «сыр», введите:

мел масло -сыр

Группировка выражений поиска

Для поиска контента, который обязательно должен содержать «мел», и возможно содержит «сыр» или «масло», введите:

(сыр OR масло) AND мел

Поиск по Заголовку

Для поиска контента, в Заголовок которого входит «мел», используйте ключевое слово title:

title:мел

Одиночный символ

Для поиска контента, содержащего «лак» или «лук», можно использовать символ ? :

л?к

Для поиска контента, содержащего «хлеб» или «хлебный», можно использовать символ * :

хлеб*

Множественные символы

Для поиска «хлеб» или «хлебный»:

х*б*

Допускается комбинирование подстановочных символов, для уточнения условий. Например, поисковый запрос ниже позволит найти контент, содержащий «масло», но не «масленый»:

м*л?

Поиск меток

Используйте префикс «labelText:», чтобы искать содержимое с конкретной меткой.

labelText:шоколад

Поиск близких выражений

Следующее поисковое выражение позволяет найти все фразы, в которых указанные слова отстоят друг от друга на точно указанное количество слов.

"бутерброд сыром"~2

Фраза «будерброд с плавленым сыром» удовлетворяет условиям поиска.

Неточный поиск

Этот способ поиска позволяет искать слова, близкие по написанию. Для поиска «масленый», если есть неуверенность в написании:

масленый~

Фраза «масляный» удовлетворяет условиям поиска.

Комбинированный поиск

Возможно комбинировать поисковые выражения:

масл?н* AND хлеб~ AND ("блог" AND "пост")

Настройка IPv6 в Windows 10

Главная » Пользователю Windows »Как отключить или включить протокол IPv6 в Windows

Многие пользователи операционной системы Windows рано или поздно сталкиваются с вопросом включения или отключения протокола IPv6, для достижения тех или иных целей. Данный протокол был создан в 1996 году и призван прийти на смену, а потом и вовсе заменить своего младшего брата IPv4. На сегодня (2018 год) большинство подсоединений осуществляется непосредственно через протокол версии IPv6. В нём убраны все ненужные, мешающие функции предшественника, а также увеличено количество адресов на линию. На самом деле может быть много факторов влияющих на то что DNS сервер не отвечает и в большинстве случаев всё обходится после простой настройки. В статье будет рассмотрено несколько способов от простого через графический интерфейс (самый распространённый) Windows до более тонкого с помощью редактора реестра.

Настройка протокола IPv6 через графический интерфейс

Как правило, особенно в последней версии системы от Майкрософт всё происходит автоматически и данное подключение не является исключением. Всё-таки если произошла неполадка и есть надобность выполнить проверку и исправление, то нужно попасть в окно сетевых подключений. Для этого на кнопке «Пуск» рабочего стола следует кликнуть правой кнопкой мышки, а затем выбрать строку «Сетевые Подключения». Если у вас восьмая версия ОС, то после проделанного вы окажитесь на требуемом месте, для пользователей десятки нужно следовать дальше. Затем в открывшемся окне состояния сети следует выбрать пункт «Настройка параметров адаптера». Также всю процедуру можно проделать, используя горячие клавиши. Первое, вызвать утилиту «Выполнить» горячие клавиши Win + R
. В поле окна программы вбить ncpa.cpl
и нажать на «ENTER» или кнопку «OK» находящуюся справа. Обладателям Windows 7 нужно кликнуть левой кнопкой мышки по значку пуск рабочего стола и в появившемся поле поиска ввести слово «Выполнить» затем нажать на «ENTER». Далее следовать указаниям из предыдущего предложения (воспользоваться командой ncpa.cpl
).

Затем в окне «Сетевые подключения» требуется выбрать ваше актуальное соединение, кликнуть по нему правой кнопкой мышки и зайти в пункт «Свойства». В окошке свойств актуального соединения нужно найти строку, отвечающую за подключения протокола IPv6 (IP версии 6 TCP/IPv6) и убедится, что там поставлена галочка если нет тогда исправьте. В большинстве случаев отсутствие галочки и является проблемой. 

Затем для большей уверенности зайдите в свойства подключения протокола версии IPv6. Для этого фокус должен стоять на строке, обозначающей данное соединение, после чего нужно нажать на кнопку «Свойства» находящуюся справа. Во вновь появившемся окне радиокнопки должны быть установлены в положении обозначающим автоматическое определение.

Если в автоматическом режиме существуют неполадки тогда можно воспользоваться альтернативными адресами DNS от Google. В поле напротив предпочитаемого введите 2001:4860:4860::8888

. Там, где нужен альтернативный следует прописать 2001:4860:4860::8844
. После всех изменений требуется нажать на кнопку «OK». Радиокнопку, отвечающую за получение адреса IPv6 трогать не следует.

Выполнить проверку корректности подключения можно несколькими способами. Чтобы далеко не ходить в окне сетевых подключений кликните правой кнопкой мышки на своём соединении и выберите строку «Состояние». Во вновь открывшемся окошке нужно нажать на кнопочку «Сведения». После чего откроется новое и напротив строчки «Адрес IPv6» должен появиться ваш сетевой адрес. Также можно запустить Windows PowerShell (или командную строку) там вбить команду ipconfig /all
затем нажать на «ENTER». В появившемся списке следует искать строку «IPv6-адрес» где будет требуемая запись. Также в конце стать я дам две ссылочки перейдя по которым вы сможете протестировать подключение.

Включение и отключение протокола IPv6 с помощью реестра

В моей практике был случай, когда я подключался через удалённый рабочий стол к другому компьютеру через тысячи километров. По-моему, тогда была ОС восьмой версии. Очень сильно намучился потому что никак не мог выполнить соединение. Как в следствии оказалось всё это было потому что были разные протоколы подключения, то есть у меня IPv4, а на том конце IPv6 помогла настройка через реестр. С помощью редактора реестра можно выполнить более тонкую установку в большинстве случаев она и не нужна, но я решил написать может кому пригодится.

Чтобы попасть в реестр нужно вызвать служебную утилиту «Выполнить», как это сделать описано выше и в поле программы вбить слово regedit
, затем нажать на «ENTER» либо кнопку «OK». Перед вами появится окно редактора реестра, в котором потребуется перейти по следующему пути;

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetservicesTCPIP6Parameters

С правой стороны нужно найти ключ, имеющий название «DisabledComponents
» и кликнуть по нему два раза левой кнопкой мышки. Если такого параметра нет тогда следует создать его, для этого надо кликнуть правой кнопкой мышки на свободном месте (с правой стороны редактора разумеется) затем навести стрелку на строку «Создать» и из появившегося списка выбрать параметр DWORD (32 бита). В поле где будет предложено ввести название ключа нужно прописать DisabledComponents

и нажать на «ENTER».

В открывшемся окне параметра «DisabledComponents» в поле «Значение» следует ввести одно из описанных далее.

Если желаете отключить все составные IPv6 помимо интерфейса замыкания на себя, то надо ввести 0xffffffff
. Также данная установка укажет Windows что надо отдать предпочтение IPv4, а не IPv6 через изменения записей в таблице политик префиксов.

Для того чтобы отдать предпочтение протоколу IPv4 нужно ввести в поле значение 0x20
. Рекомендую при отключении использовать именно его тогда у вас будет функционировать удалённый доступ, удалённый рабочий стол и большинство функционала протокола IPv6.

Чтобы отключить протокол IPv6 везде где есть нетуннельные интерфейсы нужно в поле ввести 0x10
. (Например, интерфейс «ЛС» или «PPP»).

Выполнение отключения везде где есть туннельные интерфейсы можно произвести с помощью значения 0x01
. К таким относятся «ISATAP», «6to4», «Teredo».

Чтобы отключить все интерфейсы кроме замыкающегося на себя следует ввести значение 0x11
.

Если вы укажите любые другие значения кроме «0x0
» или «0x20
«, то служба «Маршрутизация и удалённый доступ» перестанет работать, поэтому будьте внимательны. После того как будет введено желаемое нажмите на кнопку «OK», выйдите из реестра и перезагрузите компьютер.

Проверить корректность подключения по протоколу IPv6 можно с помощью двух сервисов, находящихся в сети, вот адрес первого , а это второго принадлежит он Google . Если у вас появятся вопросы, то их всегда можно задать в комментариях либо перейти на страницу «Контакты» и там заполнить, а затем послать форму.

12.11.2014

Ещё статьи, которые могут заинтересовать:Исправление ошибок Windows с помощью Microsoft Easy FixCcleaner безупречная очистка операционной системыКак добавить пункты переместить и копировать в папку в контекстное меню рабочего стола WindowsУстранение неполадок Windows с помощью Microsoft Easy FixЧто делать если DNS-сервер не отвечает

Страница не найдена – Information Security Squad

🔒 Как преобразовать PEM в PPK с помощью puttygen 15.10.2021

В этой статье мы расскажем, как конвертировать PEM в PPK с помощью puttygen в системах Windows. Сначала скачайте putty и установите его с официального сайоа, если вы еще не сделали этого ранее. Шаг #1: Найдите puttygen на панели задач Winodws, как показано ниже, нажмите на PuTTYgen. Шаг №2: После открытия программы Puttgen нажмите на кнопку […]

🌐 Rdesktop – клиент с открытым исходным кодом для протокола RDP от Microsoft 15.10.2021

rdesktop – это клиент с открытым исходным кодом для протокола RDP от Microsoft. Известно, что он работает с версиями Windows от NT 4 Terminal Server до Windows 2012 R2 RDS. В настоящее время rdesktop реализует протоколы RDP версий 4 и 5. Установка rdesktop использует процедуру сборки в стиле GNU. Обычно для установки rdesktop требуется следующее: […]

🐉 Metagoofil – извлечение информации с помощью Google 15.10.2021

Metagoofil – это потрясающий инструмент, который можно использовать для извлечения большого количества информации из документов Word, файлов презентаций, PDF-файлов, таблиц Excel, изображений .jpg и многих других форматов. Metagoofil также может предоставить много конструктивной информации во время тестирования на проникновение, просто сканируя собранные файлы. Давайте узнаем, как извлечь информацию из документов и изображений с помощью Metagoofil […]

🐉 Как удалить метаданные файлов в системе Kali Linux 14.10.2021

В области кибербезопасности и форензики метаданные файлов очень важны. Мы можем получить различную информацию из метаданных в файлах. Эти метаданные могут помочь нам получить гораздо больше инсайдерской информации при проведении форензики. Кроме того, если мы думаем о своей конфиденциальности, то метаданные могут повредить нам, и в этом случае мы можем удалить метаданные. В этом подробном […]

🐉 Регулярное обновление и очистка системы Kali Linux 14.10.2021

Kali Linux – это rolling дистрибутив, то есть он постоянно обновляется во всех областях операционной системы, включая ядро Linux, среду рабочего стола, все утилиты и все приложения. Поэтому нам нужно часто обновлять его, чтобы всегда оставаться в курсе событий. Как обновить и очистить Kali Linux Мало того, из-за регулярных обновлений некоторые старые пакеты приложений остаются […]

Настройка IPv6 в linux — Блог

Изначально планировалась статья на тему именно внедрения IPv6 в сети. Но так получилось, что начну я с совершенно обратной проблемы. А точнее с того, почему отсутствие каких либо настроек IPv6 для Вашего linux узла может быть вредным, и, если Вы не предполагаете использование IPv6, то лучше запретить IPv6 целиком и полностью.

По текущему состоянию дел все современные дистрибутивы linux являются готовыми к внедрению IPv6. Готовы на столько, что предполагается, что от администратора ничего и не требуется  для того, чтобы IPv6 заработал на его linux узле.

Начнём с простой ситуации — у Вас есть linux узел, который смотрит в некоторый broadcast сегмент, где бегает старый добрый IPv4. Казалось бы, как тут может помешать отсутствие каких либо настроек IPv6 для интерфейса? Ведь угадать link local адрес, который автоматически назначился на интерфейс невозможно — там ведь целых 64 бита, т.е. 2⁶⁴ вариантов. Только вот Ваш узел использует IPv4, а значит его пакеты можно перехватить и узнать MAC адрес Вашего узла. Дальше берём EUI-64, который используется всеми известными мне linux дистрибутивами,  и получаем IPv6 link local адрес Вашего узла. И что, скажите Вы, «у меня же там есть firewall, который запретит все ненужные входящие подключения».  Да, но есть одно но.

Кто помешает злодею запустить radvd(8) и анонсировать доступность какого либо префикса, например, из диапозона Unique Local Address? После чего, в связи с использованием настроек IPv6 по умолчанию, Ваш узел получит этот префикс, добавит к нему уже известный нам идентификатор интерфейса, и в выводе ifconfig(8) Вы получите примерно следующее:

eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet6 fe80::5054:ff:fecf:b25d  prefixlen 64  scopeid 0x20<link>
        inet6 fd13:dead:beef:0:5054:ff:fecf:b25d  prefixlen 64  scopeid 0x0<global>
        ether 52:54:00:cf:b2:5d  txqueuelen 1000  (Ethernet)
        RX packets 16174619  bytes 12897398075 (12.0 GiB)
        RX errors 0  dropped 22  overruns 0  frame 0
        TX packets 264  bytes 18868 (18.4 KiB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0

При этом Ваш узел пошлёт DAD (duplicate address detection) пакет, перехватив который злодей сможет узнать адрес Вашего узла даже не занимаясь анализом IPv4 пакетов — linux сам во всём сознается.

Но и этого мало. Получив Router Advertisement, linux узел добавит в свою таблицу маршрутизации марштут по умолчанию для IPv6:

[::]/0                         fe80::5054:ff:feb5:5748    UGDAe 1024 1     0 eth0
[::]/0                         fe80::5054:ff:fed3:ef48    UGDAe 1024 1     0 eth0

Таким образом, злодей становится еще и маршрутизатором по умолчанию для Вашего linux узла. А, так как в linux по умолчанию установлен приоритет использования IPv6, практически все штатные утилиты, за исключением, пожалуй, браузеров, будут пытаться попасть в сеть сеть через IPv6, т.е. через узел злодея. И, в зависимости от того, на сколько защищённые протоколы при этом используются Вами, злодей может или полностью контролировать передаваемые данные, или блокировать часть функционала Вашего узла, такую как установка пакетов и обновлений.

Самым простым способом избежать этого, особенно если интерфейсов на узле много, является полный запрет IPv6 на узле. Для этого в файл /etc/sysctl.d/ipv6.conf записываем строку:

net.ipv6.conf.all.disable_ipv6=1

И выполняем или команду:

systemctl restart systemd-sysctl

или команду:

sysctl net.ipv6.conf.all.disable_ipv6=1

Это уже в зависимости от Вашей религии.

Следует отдельно отметить, что описанное относится практически к любым linux узлам. Но особенно важно об этом помнить, если Вы настраиваете некоторый гипервизор. Вполне ожидаемо IP интерфейсы гипервизора вынесены в специальную сеть управления и/или сеть хранения, и, предполагается, что узел является изолированным от общей сети, но, в соответствии со своей задачей, имеет bridge интерфейсы. И если Вы случайно ли, осознанно ли опустили насройки IPv6 для этих bridge интефейсов, то фактически даёте возможность злодею, управляющему виртуальной машиной на гипервизоре, получить IPv6 доступ к самому гипервизору.

Также отмечу, что в своей практике, я сталкивался с ситуацией, когда linux узел, не имеющий IPv6 доступа в сеть, по какой-то причине переставал пытаться использовать IPv4 адреса для узлов, у которых в DNS есть и A и AAAA записи, и попытка отправить пакет заканчивалась сообщением no route to host. В этом случае полный запрет IPv6 также решает проблему.

IPv6 на коммутаторах доступа SNR

Введение

Сегодня мы решили затронуть тему настройки IPv6 на коммутаторах доступа SNR. Не станем писать банальностей, вроде «IPv4-адреса заканчиваются», но вспомним Республику Беларусь, где уже около года действует закон об обязательном предоставлении абонентам IPv6-адресов. Обратимся к статистике Google, которая фиксирует рост доли IPv6 в мировом сетевом трафике с 5,5% в январе 2015 до 32% в октябре 2020. Согласитесь, не взрывной, но уверенный рост. Предоставление IPv6-адресов также может стать конкурентным преимуществом для операторов связи, это можно использовать в целях маркетинга.

 
Статистика Google по использованию IPv6 в мировом сетевом трафике

Краткий обзор IPv6

Протокол сетевого уровня IPv6 (RFC 8200) решает не только проблему нехватки классических IP-адресов. Многие механизмы в нем пересмотрены, что-то оптимизировали, от чего-то отказались. Увеличение длины IP-адреса с 32 до 128 бит — пожалуй, наименьшее из изменений.

Ключевые отличия от IPv4

• Полностью переработан заголовок IP-пакета.
• Полный отказ от бродкаста в пользу мультикаста.
• Отказ от классов сетей.
• На смену протоколу ARP пришел Neighbor Discovery Protocol (NDP).
• Добавлен механизм SLAAC, позволяющий получить уникальный, глобально маршрутизируемый IPv6-адрес без использования какого-либо DHCP-сервера.
• Добавлен механизм Prefix Delegation, позволяющий CPE анонсировать префикс оператора связи, а IPv6-хосту генерировать себе на его основе адрес.
• В силу количества IPv6-адресов NAT становится не нужен.
• Введены новые типы сетевых адресов.
• Вместо маски подсети используется только длина префикса.

Заголовок IPv6

Сравним заголовки IPv4 и IPv6-пакетов, используя картинки прямо из RFC:

Заголовок пакета IPv4

Заголовок пакета IPv6

 

Можно заметить, что в новой версии протокола заголовок заметно упростился за счет использования меньшего количества полей. Разработчики посчитали, что на современном оборудовании часть из них просто не нужна. Например, нет смысла считать контрольную сумму, если это уже сделано на канальном уровне и будет сделано на транспортном. Т.к. IPv6-заголовок имеет фиксированную длину 40 байт, то и в поле IHL (Internet Header Length) больше нет смысла и т.д. Добавлено совершенно новое поле ‘IPv6 Flow Label’, служащее для упрощения маршрутизации пакетов одного потока (RFC 6437).

Neighbor Discovery Protocol вместо ARP

В IPv6 произошел полный отказ от протокола ARP, его функции взял на себя NDP. Он, в свою очередь, является частью протокола ICMPv6. Для определения MAC-адреса хоста протокол ARP использует ARP-Request и ARP-Reply сообщения, рассылаемые бродкастом. Подобным образом действует NDP через Neighbor Solicitation (NS) и Neighbor Advertisement сообщения, но делает это мультикастом. Давайте рассмотрим этот процесс подробнее в анализаторе трафика Wireshark:

ПК1 посылает в сеть мультикастовое NS-сообщение с вопросом «какой MAC-адрес у хоста 2001:db8:100::130»? ПК2 получает его, понимает, что сообщение предназначено для него. Далее формирует NA-сообщение с ответом и отвечает юникастом на IPv6-адрес отправителя. Но как этот процесс достигается, если не использовать широковещательный запрос? Существует зарезервированный IPv6 мультикастовый адрес ff02::1, который «слушают» все IPv6-хосты, но чем тогда это будет отличаться от broadcast? Ничем. Для NS-сообщений, в качестве адреса назначения, используется специальный мультикастовый адрес, который рассчитывается на основе искомого IPv6-адреса. Такой адрес начинается с ff02::1:ff00:0/104, последние 24 бита формируются из последних 24 битов искомого адреса. Например, если мы в NS-сообщении спрашиваем «кто имеет IPv6-адрес 2001:db8:100::130?», то в качестве адреса назначения будет использоваться ff02::1:ff00:130, это называется solicited-node multicast address. В свою очередь хост с адресом 2001:db8:100::130 «слушает» мультикаст-группу ff02::1:ff00:130. Такой метод допускает теоретическую ситуацию, когда несколько хостов будут «слушать» одинаковую группу и получать NS-сообщения им не предназначенные. Но это все равно намного более оптимальный алгоритм, чем broadcast. Сам же этот solicited-node multicast address на канальном уровне привязывается к мультикастовому MAC-адресу 33:33:ff:00:01:30, где ff:00:01:30 — последние 32 бита solicited-node адреса.

Типы IPv6 адресов

Если в IPv4 было, условно говоря, два типа юникастовых IP-адресов — внешние и внутренние, то в IPv6 их три:

• Global Unicast Address — аналог внешнего IPv4-адреса;
• Link-Local Unicast Address — совершенно новый тип служебных IP-адресов, служащих для взаимодействия протоколов;
• Unique Local Addresses — аналог внутреннего IPv4-адреса. 

Рассмотрим подробнее Link-Local Unicast Address. Такие адреса всегда начинаются на fe80, остальная часть генерируется автоматически, обычно на основе MAC-адреса. Должны быть уникальными только в пределах одной канальной среды, т.к. не маршрутизируются. Любой IPv6-хост в сети обязан иметь Link-Local Unicast адрес. Используется для обмена некоторыми типами сообщений в таких протоколах, как ICMPv6, DHCPv6, OSPFv3 и т.д. Является next-hop адресом для протоколов динамической маршрутизации и используется для указания шлюза по умолчанию для хостов.

Методы динамической конфигурации IPv6-адреса

Протокол DHCP также подвергся серьезной переработке в его IPv6-версии. Теперь есть три способа автоматически получить сетевой адрес:

• Stateless Address Autoconfiguration (SLAAC).
• Stateless DHCPv6.
• Stateful DHCPv6.

Если раньше этот процесс всегда происходил только между клиентом и сервером, то теперь появляется третий необходимый участник — маршрутизатор. Он периодически рассылает по сети ICMPv6-RA (Router Advertisement)-сообщения или отвечает ими на ICMPv6-RS (Router Solicitation)-сообщения. Главными для нас являются значения полей A Flag, O Flag и M Flag, которые могут быть 0 или 1. Именно на этой основе хост-клиент принимает решение, какой тип динамического IPv6-адреса ему использовать. 

SLAAC. Получая RA-сообщение с активным A-флагом, клиент сам формирует себе IPv6-адрес. Первые 64 бита берутся из поля «Prefix information» остальные формируются либо методом EUI-64, либо случайным образом. Заметьте, что DHCPv6-сервер тут вообще не используется.

Stateless DHCPv6. Минус метода SLAAC в том, что мы имеем только свой IPv6-адрес и адрес шлюза по умолчанию. Но если мы хотим автоматически получать и информацию о DNS серверах и другую информацию? Тогда в RA-сообщениях, помимо A-флага, также будет активным O-флаг. Получая такое сообщение хост также будет формировать свой IPv6-адрес сам, но еще обратится по специальному мультикастовому адресу ff02:1:2 к ближайшему DHCPv6-серверу за дополнительными реквизитами.

Stateful DHCPv6. Это, по-сути, классический метод получения IPv6-адреса динамическим способом, к которому мы привыкли в IPv4. Сервер выделяет адреса из пулов, может ориентироваться при этом на опции 18 (interface-id), 37 (remote-id) и 38 (subscriber-id). Чтобы использовать Stateful DHCPv6, мы должны анонсировать в RA-сообщениях только M-флаг. 

Prefix Delegation. При данном методе мы имеем дело с двумя маршрутизаторами. Абонентский (CPE) является запрашивающим и отправляет DHCPv6 Solicit-сообщение делегирующему. Последний отправляет ответ в виде делегированного префикса. Обычно его длина /56, это является рекомендацией RFC 6177. CPE сам добавляет к префиксу недостающие 8 бит и в Advertise-сообщении анонсирует стандартный /64 префикс. Рассмотрим этот процесс в Wireshark. Запрашивающий маршрутизатор отправляет делегирующему DHCPv6 Solicit-сообщение с опцией 25, которая сигнализирует о желании использовать Prefix Delegation. Сервер отвечает Advertise-сообщением с опцией 26, где содержится делегируемый префикс с его длиной. При этом CPE, в зависимости от настроек, анонсирует либо A, либо A+O флаги. Следовательно, клиент генерирует себе IPv6-адрес сам, на основе префикса.

Основные настройки IPv6 на коммутаторах SNR

Разобравшись с теорией, можно переходить к практике. Рассмотрим базовые настройки IPv6 на коммутаторах доступа SNR. 

Хочется отметить, что все управляемые коммутаторы SNR, от FastEthernet моделей, таких как SNR-S2985G-24TC, до гигабитных коммутаторов с 10Г аплинками ( SNR-S2989G-24TX), поддерживают одинаковый функционал и имеют одинаковые настройки в части IPv6.

Назначить IPv6-адрес управления

Назначить адрес L3-интерфейсу можно несколькими методами. Полностью указать его с длиной префикса, использовать метод EUI-64 или использовать DHCPv6-клиент. Последний способ требует предварительно внесения в конфигурацию строки ‘service dhcpv6’. Рассмотрим все три способа на трех VLAN-интерфейсах:

Switch(config)#service dhcpv6
Switch(config)#int vlan1
Switch(config-if-vlan1)#ipv6 address 2001:db8:100:1::1/64
Switch(config-if-vlan1)#int vlan2
Switch(config-if-vlan2)#ipv6 address 2001:db8:100:2::/64 eui-64
Switch(config-if-vlan1)#int vlan3
Switch(config-if-vlan2)#ipv6 dhcp-client enable

Проверим результат:

Switch#sh ipv6 interface brief
Vlan1                                            [up]
       2001:db8:100:1::1/64
       fe80::faf0:82ff:fe78:5ba/64
Vlan2                                           [up]
       2001:db8:100:2:faf0:82ff:fe78:5ba/64
       fe80::faf0:82ff:fe78:5ba/64
Vlan3                                           [up]
       2001:db8:100:3::100/64
       fe80::faf0:82ff:fe78:5ba/64
Loopback                                    [up]
       ::1/128

Задать статическую IPv6 neighbor-запись

Полностью аналогично статической ARP-записи и производится из-под VLAN-интерфейса.

Switch(config)#int vlan1
Switch(config-if-vlan1)#ipv6 neighbor 2001:db8:100:1::10 f0-de-f1-19-d5-eb interface e1/0/2

Проверим результат:

Switch#sh ipv6 neighbors
IPv6 neighbour unicast items: 4, valid: 3, matched: 3, incomplete: 0, delayed: 0, manage items: 0
IPv6 Address                                Hardware Addr          Interface       Port                    State           Age-time(sec)
2001:db8:100:1::3                       38-63-bb-71-d3-00     Vlan1         Ethernet1/0/8       reachable       1168
2001:db8:100:1::10                      f0-de-f1-19-d5-eb     Vlan1         Ethernet1/0/2       permanent   
fe80::f1ed:8839:4a8:13fc                38-63-bb-71-d3-00     Vlan1         Ethernet1/0/8       reachable       1192

Настроить DHCPv6 Relay

Switch(config)#service dhcpv6
Switch(config)#int vlan10
Switch(config-if-vlan10)#ipv6 dhcp relay destination 2001:db8:100:1::1

Security RA и его использование

Если RA-сообщения будет посылать IPv6-хост злоумышленника, то может выйти так, что клиентский ПК будет использовать его link-local адрес, как шлюз по умолчанию. Также злоумышленник может анонсировать неверный IPv6-префикс и его длину. Защититься от этого поможет функционал Security RA. Включим настройку глобально и запретим на абонентских портах RA-сообщения:

Switch(config)#ipv6 security-ra enable
Switch(config)#int e1/0/1-24
Switch(config-if-port-range)#ipv6 security-ra enable

Такие сообщения теперь могут приходить только с аплинков e1/0/25-28. Проверим конфигурацию Security RA:

Switch#sh ipv6 security-ra                 
IPv6 security RA information:
Global IPv6 Security RA State: enabled
Ethernet1/0/1
IPv6 Security RA State: Yes
Ethernet1/0/2
IPv6 Security RA State: Yes
...

Важно отметить, что механизмы защиты Security RA и SAVI являются взаимоисключающими.

SAVI и DHCPv6 Snooping

SAVI (Source Address Validation Improvement) включает в себя ND Snooping, DHCPv6 Snooping и RA Snooping. Он позволяет защищаться от нелегитимных DHCPv6-серверов и источников RA-сообщений с помощью знакомых нам доверенных портов. Выдаваемые IPv6-адреса и префиксы, привязываются к MAC-адресам и портам в биндинг-таблице. Мы также можем ограничить максимальное количество адресов на порт. Присутствует возможность создавать статические SAVI-записи, с указанием IP-адреса, MAC-адреса и номера интерфейса. 

Прежде, чем использовать IPv6-адрес, устройство должно задействовать механизм Duplicate Address Detection (DAD). На специальный мультикастовый адрес посылается ICMPv6-NS сообщение с проверкой, не занят ли кем-то еще в сети этот адрес. Если никто не ответил положительно, то адрес свободен. Настройка savi ipv6 имеет три опции и работает с DAD-NS и DHCPv6-сообщениями. ‘DHCP-ONLY’ отслеживает DHCPv6-пакеты, а DAD NS-пакеты только с link-local адресом. ‘SLAAC-ONLY’ отслеживает DAD NS-пакеты со всеми типами адресов. DHCP-SLAAC отслеживает все DHCPv6 и DAD NS-пакеты.

Настройка savi check binding имеет два режима. Simple mode удаляет записи из таблицы, когда порт находится в состоянии DOWN, а время аренды IPv6-адреса истекло. Probe mode дополнительно посылает NS-пакет перед этим для дополнительной проверки состояния клиента. Если NA-пакет не получен в ответ, запись удаляется.

Включим SAVI, аналог IPv6 source guard, на порту e1/0/3 и ограничим максимальное количество привязанных IPv6-адресов на нем 10 штуками. Заносить в биндинг таблицу будем как адреса сформированные dhcp-методом, так и slaac. Порт e1/0/25 назначим доверенным для DHCPv6 и RA-сообщений. 

Switch(config)#savi enable
Switch(config)#savi ipv6 dhcp-slaac enable
Switch(config)#savi check binding probe mode
Switch(config)#ipv6 dhcp snooping vlan 10

Switch(config)#int e1/0/3    
Switch(config-if-ethernet1/0/3)#switchport access vlan 10
Switch(config-if-ethernet1/0/3)#savi ipv6 check source ip-address mac-address
Switch(config-if-ethernet1/0/3)#savi ipv6 binding num 10

Switch(config)#int e1/0/25
Switch(config-if-ethernet1/0/25)#switchport mode trunk
Switch(config-if-ethernet1/0/25)#ipv6 nd snooping trust
Switch(config-if-ethernet1/0/25)#ipv6 dhcp snooping trust

Проверим результат:

Switch#sh savi ipv6 check source binding

Static binding count: 0
Dynamic binding count: 4
Binding count: 4

MAC                    IP                                           VLAN Port             Type    State         Expires   
--------------------------------------------------------------------------------------------------------------------------------------------------
6c-3b-6b-da-5a-d8  fe80::6e3b:6bff:feda:5ad8                100  Ethernet1/0/1    slaac   BOUND     14383    
6c-3b-6b-da-5a-d8  2001:db8:90::/56                             100  Ethernet1/0/1    dhcp    BOUND     106      
b8-27-eb-ea-05-e1  fe80::ba27:ebff:feea:5e1                 250  Ethernet1/0/2    slaac   BOUND     14380     
b8-27-eb-ea-05-e1  2001:db8:250:1::130                          250  Ethernet1/0/2    dhcp    BOUND     115       
--------------------------------------------------------------------------------------------------------------------------------------------------

CPS (Control Packet Snooping)

CPS работает совместно с SAVI и анализирует IPv6-пакеты на предмет префикса. Если он не соответствует тому, что задан в CPS, выдаваемый DHCPv6-сервером адрес не попадет в SAVI биндинг-таблицу. Рассмотрим порядок его настройки. Пропишем разрешенный префикс для global-unicast адреса, а затем префикс fe80::/64 под который будут подпадать все link-local адреса:

Switch(config)#ipv6 cps prefix 2001:db8:100:1::/64 vlan 100
Switch(config)#ipv6 cps prefix fe80::/64 vlan 100
Switch(config)#ipv6 cps prefix check enable

Теперь если DHCPv6-сервер во VLAN 100 отдаст на DHCP-SOLICIT-запрос адрес с отличным от 2001:db8:100:1::/64 префиксом, такой адрес не попадет в SAVI биндинг-таблицу.

ND Security

ND Security позволяет влиять на автоматическое изучение neighbor-записей и контролировать их, является полным аналогом ARP Security. Три рассматриваемые далее команды можно применять как глобально, так и из-под VLAN-интерфейса. Тогда они будут применяться только в этом VLAN. Рассмотрим пример использования ND Security. На данный момент имеем в neighbor-таблице две записи, связанные с тестовым ПК1. 

Switch#sh ipv6 neighbors
IPv6 neighbour unicast items: 3, valid: 2, matched: 2, incomplete: 0, delayed: 0, manage items: 0
IPv6 Address                                Hardware Addr          Interface       Port                    State           Age-time(sec)
2001:db8:100:1::3                       38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       reachable      1136
fe80::f1ed:8839:4a8:13fc                38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       reachable       1150

IPv6 neighbour table: 2 entries

Теперь рассмотрим команду ‘ipv6 nd-security updateprotect’. Как понятно из названия, она блокирует обновление MAC-адресов в neighbor-записях. Если после ее применения изменить MAC-адрес на тестовом ПК, то его запись в neighbor-таблице не обновится.

На данный момент обе записи в таблице динамические. Сконвертируем их в статические командой ‘ipv6 nd-security convert’. Записи стали статическими и попали в конфигурацию:

Switch(config)#ipv6 nd-security convert
Switch(config)#sh ipv6 neighbors       
IPv6 neighbour unicast items: 3, valid: 2, matched: 2, incomplete: 0, delayed: 0, manage items: 0
IPv6 Address                                Hardware Addr          Interface       Port                    State           Age-time(sec)
2001:db8:100:1::3                       38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       permanent   
fe80::f1ed:8839:4a8:13fc                38-63-bb-71-d3-00     Vlan1         Ethernet1/0/1       permanent   

IPv6 neighbour table: 2 entries

Switch(config)#sh run int vlan1       
!
interface Vlan1
 ipv6 address 2001:db8:100:1::1/64
 ipv6 neighbor fe80::f2de:f1ff:fe19:d5eb f0-de-f1-19-d5-eb interface Ethernet1/0/2
 ipv6 neighbor 2001:db8:100:1::4 f0-de-f1-19-d5-eb interface Ethernet1/0/2
!

Наконец, запретим автоматическое изучение новых neighbor-записей командой ipv6 nd-security learnprotect‘. ’

Заключение

Подводя итог, можно сказать, что мы поговорили про основные особенности IPv6, принцип работы и посмотрели на самые яркие отличия от IPv4. Рассмотрели типы адресов и все способы их выдачи. На этом мы, надеюсь, не заканчиваем знакомиться с протоколом IP шестой версии. Если статья вызовет достаточный интерес, то можно ждать продолжения — рассказ про работу с опциями 18 (interface-id), 37 (remote-id) и 38 (subscriber-id). А также детальное рассмотрение DHCPv6-снупинга и релея на коммутаторах доступа SNR.
По всем вопросам вы можете обратиться к вашему менеджеру. Напоминаем, что у нас есть Telegram-канал, а также подробная база знаний. 

Инструкция по настройке сетевого интерфейса на использование ipv6 pfSence

В связи с быстрым ростом сети интернет, появилась нехватка ip-адресов, так как в используемой сейчас версии протокола ip — ipv4 — оно ограничено. Ipv6 является новой версией протокола ip свободной от этого недостатка, а также обладающей рядом других преимуществ по сравнению с ipv4, например более эффективной маршрутизацией пакетов.

Для того, чтобы начать использовать IPv6 на сервере oblako.kz выключитехост, откройте настройки cервера, закладку Сети, найдите Общая публичная сеть (IPv6) и нажмите Подключить. Затем щелкнем по названию сети и запомним MAC-адрес, Ip-адрес и шлюз нового интерфейса.

После перезагрузки сервера необходимо настроить этот адаптер на уровне ОС.

PfSense это сервер который можно настраивать через web-интерфейс, поэтому зайдем в него и перейдем в самом низу страницы в раздел Interfaces кликнув на любом интерфейсе.

Выберем related settings (первая кнопка из группы справа вверху)

Здесь мы видим что второй интерфейс пока неактивен. Активируем его нажав кнопку add.

Перейдем в его настройки и там внесем необходимые параметры. Нас интересует Ipv6, Поэтому выберем соответствующий тип в параметре “Ipv6 Configuration Type”. в нашем случае это статический адрес IPv6 (Static IPv6).Галочка “Enable interface” должна быть поставлена, так как она включает/отключает интерфейс полностью.

В раздел “Static IPv6 Configuration” внесем адрес ipv6 и шлюз полученные нами ранее из панели управления.

Шлюз вносится после нажатия кнопки “Add a new gateway”.

Проверяем что шлюз добавился и нажмем на кнопку “Save” внизу страницы.

После этого мы вернемся на начальный экран, где нажмем “Apply Changes” чтобы внести изменения в конфигурацию.

Теперь необходимо добавить DNS-сервер ipv6. Для этого перейдем в раздел System-General Setup и внесем общедоступные адреса ipv6 DNS-серверов через кнопку Add DNS server.

DNS-серверов может быть несколько. Их ip-адреса, в том числе ipv6 можно узнать у Вашего провайдера Интернет или использовать общедоступные, например DNS-сервера google.

Сохраняем наши настройки кнопкой “Save”.

Для проверки можно зайти на этот сервер по ssh и попробовать обменяться ICMP-пакетами с каким-нибудь серверов, имеющим адрес ipv6, например общедоступный ipv6.google.com. Обратите внимание что для ipv6 используются такая же команда что и для ipv4 но с цифрой 6 на конце, т.е не ping а ping6.

ping6 ipv6.google.com

Если обмен прошел успешно, значит система настроена на использование Ipv6 корректно.

Обратите внимание, что с этого момента подключение по ssh доступно только с использованием Ipv6. Для использования ipv4 необходимо настроить соответствующее правило firewall.

Поделиться в соцсетях:

---

Спасибо за Вашу оценку! К сожалению, проголосовать не получилось. Попробуйте позже

Автоматизация настройки адресов в IPv6

IPv6 всем известен своей сложностью в настройке, во многом — оправданно. Взамен наследия IPv4 появились новые концепции и способы настройки. Авторы стека протоколов IPv6 хотели сделать его более простым в настройке и самонастраивающимся. К сожалению, простота для пользователя нередко оборачивается проблемами для админастратора.

В IPv4 есть всего два варианта: статическая настройка адреса и шлюза по умолчанию или DHCP. В этой статье мы рассмотрим в деталях, что же пришло на смену классическому DHCP из IPv4, как оно функционирует и как с этим жить.

Автоматизация настройки адресов в IPv6

Начнем с того, что в IPv6 наконец исчез целый ряд старых технологий. В частности, разработчики отказались от широковещательной рассылки (broadcast), во всех протоколах ее заменила многоадресная рассылка (multicast) и стандартизованные групповые адреса: например, ff02::1 — все хосты в сегменте, ff02::2 — все маршрутизаторы.

Кроме того, не все механизмы автоматической настройки требуют участия сервера или маршрутизатора.

Адреса link-local в IPv6

Начнем с концепции адресов типа link-local. Они выделяются из сети ff00::/8 и присваиваются всем сетевым картам при загрузке системы. В отличие от IPv4, в IPv6 их использование обязательно. Это дает возможность каждому устройству иметь адрес и взаимодействовать с другими устройствами той же сети, независимо от того, успешно ли отработали другие механизмы настройки и включены ли они вообще.

Для рассылки пакетов через multicast нужен адрес источника, а broadcast в IPv6, как мы помним, нет. По этой причине наличие адреса на начальном этапе загрузки особенно важно. В IPv4 с его массовым применением широковещательной рассылки данную проблему «решали», используя адрес 0.0.0.0 вместо адреса источника или назначения.

Изолированная сеть в теории может работать на одних адресах link-local, с точки зрения хостов они неотличимы от любых других. Различие есть только для маршрутизаторов, которые по стандарту обязаны не пересылать пакеты с link-local в адресе назначения в другие сети.

РЕКОМЕНДУЕМ:
Как отключить IPv6 в Debian

На практике, конечно, от сети мало пользы без соединения с интернетом или другими частными сетями, поэтому перейдем к механизмам настройки публичных адресов.64 адресов! Казалось бы, глупая идея, но для нее есть основания. В 64 бита можно поместить существующий глобально уникальный идентификатор или сгенерировать случайный с очень низкой вероятностью конфликтов.

Каждый заводской MAC-адрес гарантированно уникален, поэтому вы можете избежать потенциальных конфликтов адресов навсегда, просто использовав MAC-адрес сетевой карты как часть ее адреса IPv6. Данный механизм называется EUI-64 (Extended Unique Identifier). В деталях про него можете прочитать в приложении к RFC 2373.

Размер MAC-адреса — 48 бит (шесть байт), а нам нужно 64, поэтому он делится на две части по три байта и в середину вставляется магическое число 0xFFFE. Кроме того, инвертируется седьмой бит MAC-адреса — у глобально уникальных он по умолчанию установлен в ноль.

Поскольку адреса типа link-local не маршрутизируются, никаких проблем с приватностью такой подход не создает. Для присвоения публичных адресов он, очевидно, проблематичен — злоумышленник с доступом к дампам трафика или логам сервера легко может отождествить адреса из разных сетей — например, из дома, с работы или публичной точки доступа WiFi в гостинице — с одним устройством и отследить местоположение пользователя.

В сегодняшнем мире это далеко не самая большая угроза приватности, так что мы не будем рассматривать механизмы борьбы с ней в деталях, но они существуют. Один вариант, IPv6 privacy extensions, описан в RFC 3041. Важнее то, что в IPv6, вернее в NDP — эквивалент ARP, встроен механизм выявления коллизий адресов. Узлы сначала присваивают адресу состояние tentative и ждут, не придет ли пакет NDP с этим адресом в источнике. Если такой пакет приходит, адрес не активируется.

Таким образом, идея автоматически сгенерированных адресов применима и к локальным адресам, и к публичным. Для потребуется только адрес сети.

Маршрутизаторы при настройке сетевых карт нередко позволяют указать вручную только адрес сети, но оставить систему генерировать идентификатор хоста самостоятельно: например, interface Gi0; ipv6 address 2001:db8::/64 eui-64 в Cisco IOS, set interfaces ethernet eth0 ipv6 address eui64 2001:db8::/64 в VyOS. Хосты адрес своей сети обычно не знают, поэтому его нужно получить из внешнего источника. В такой ситуации и вступает в действие SLAAC (StateLess Address AutoConfiguration) через router advertisement.

Router Advertisement (SLAAC)

Стоит помнить, что ARP в IPv6 тоже нет, его роль взял на себя NDP — Neighbor Discovery Protocol, описанный в RFC 4861. В отличие от ARP, это не отдельный протокол промежуточного уровня между сетевыми и канальным, а подмножество ICMPv6. Это стало возможно именно потому, что адреса link-local обязательны: в сети не может быть хостов с неопределенным адресом.

Он намного функциональнее своего предшественника, и кроме всего прочего в нем есть явное разделение между ролями хоста и маршрутизатора. В IPv4 адрес маршрутизатора можно было только настроить ручками или получить через DHCP, в IPv6 же маршрутизаторы рассылают пакеты с информацией о том, что они готовы маршрутизировать трафик хостов, и заодно сообщают им свой адрес.

Этот же протокол может передать хостам адрес сети, в которой они оказались, чтобы они смогли самостоятельно настроить себе адреса.

Попробуем настроить этот механизм на GNU/Linux. Для рассылки router advertisement будем использовать пакет radvd. Он обычно присутствует в репозиториях, и сложностей с его установкой возникнуть не должно.

Предположим, что на eth0 маршрутизатора настроен адрес 2001:db8::1/64. В начале включим маршрутизацию IPv6: sudo sysctl -w net.ipv6.conf.all.forwarding=1. После чего напишем следующее в /etc/radvd.conf:

interface eth0 {     IgnoreIfMissing on;     AdvManagedFlag off;     AdvReachableTime 0;     AdvSendAdvert on;     AdvOtherConfigFlag off;     prefix 2001:db8::/64 {         AdvOnLink on;         AdvAutonomous on;     }; };

После запуска в radvd мы увидим в дампе трафика следующую картину:

11:36:49.958369 IP6 (flowlabel 0xf840b, hlim 255, next-header ICMPv6 (58) payload length: 56) fe80::a00:27ff:fe76:3417 > ff02::1: [icmp6 sum ok] ICMP6, router advertisement, length 56 hop limit 64, Flags [none], pref medium, router lifetime 1800s, reachable time 0s, retrans time 0s prefix info option (3), length 32 (4): 2001:db8::/64, Flags [onlink, auto], valid time 86400s, pref. time 14400s source link-address option (1), length 8 (1): 08:00:27:76:34:17

Это и есть router advertisement. Адрес назначения ff02::1 — групповой адрес всех хостов. Обратите внимание: в качестве адреса источника используется адрес link-local, а не глобальный публичный адрес.

Если в качестве клиентского хоста Linux, то вручную автонастройку можно включить с помощью опции sudo sysctl -w net.ipv6.conf.eth0.accept_ra=1, хотя проще сделать это через NetworkManager. После этого на интерфейсе вы увидите автоматически настроенный адрес, а в ip -6 route — запись вида default via fe80::a00:27ff:fe76:3417. Все автоматически настроенные маршруты в IPv6 используют именно адрес link-local в качестве адреса шлюза, как на хостах, так и на маршрутизаторах с RIPng, OSPFv3, а нередко и с BGP.

Через router advertisement можно раздавать только маршруты и адреса сетей. Есть расширения для раздачи адресов серверов DNS, но для раздачи дополнительной информации вроде серверов NTP или вовсе произвольных опций без DHCPv6 не обойтись.

DHCPv6

DHCPv6 очень похож на своего предшественника из IPv4, но отличается деталями реализации, и про эти различия надо помнить, чтобы правильно его настроить.

Поскольку настройка маршрута по умолчанию в IPv6 делается автоматически через router advertisement, в DHCPv6 эта возможность не предусмотрена — не ищите ее в документации.

В IPv4 хосты рассылают широковещательный запрос к серверу DHCP. В IPv6, даже когда хост настроен использовать DHCPv6, он не станет это делать, если маршрутизатор не скажет ему о присутствии в сети сервера.

Настройка RA для DHCPv6

В нашем radvd.conf была опция AdvAutonomous on. Согласно RFC 4862, флаг autonomous означает, что никакой другой механизм раздачи настроек в сети не предусмотрен и хостам следует настраивать свои адреса на основе информации об адресе сети из пакета: 2001:db8::/64 в нашем случае. Если этот флаг выставлен в ноль, то хосты игнорируют информацию об адресе сети из пакетов router advertisement.

Должны ли хосты отправлять запрос к серверу DHCPv6, определяют флаги Managed и OtherConfig. Флаг Managed означает, что хосты должны получить адреса через DHCPv6. Флаг OtherConfig означает, что хосты должны использовать SLAAC, но через DHCPv6 доступны дополнительные настройки.

Поэтому, прежде чем настраивать сервер DHCPv6, нужно снова поправить /etc/radvd.conf и прописать там AdvManagedFlag on и AdvAutonomous off, после этого перезапустить сервис.

Настройка DHCPv6

Сервер DHCPv6 вы можете найти в пакете ISC DHCP, в разных дистрибутивах он называется или dhcp-server, или isc-dhcp-server. Расположение конфига дистрибутиво-зависимо и настраивается в опциях запуска, условно будем считать, что он лежит в /etc/dhcpd/dhcpd6.conf. Напишем туда для теста минимальный конфиг:

shared-network TEST {     subnet6 2001:db8::/64 {         range6 2001:db8::1000 2001:db8::2000;         option dhcp6.name-servers 2001:db8::100;     } }

Теперь осталось только запустить сервис, настроить на клиенте опцию получать настройки из DHCPv6 и посмотреть, что будет.

РЕКОМЕНДУЕМ:
Настройка отказоустойчивой сети в Linux с keepalived

Заключение

В корпоративных сетях IPv6 все еще скорее исключение, чем правило, но, когда он туда доберется, данная статья, я надеюсь, поможет вам быть к этому готовым.

Загрузка…

Добавление IPv6-адреса к вашему серверу

Описание

Добавление дополнительного IP-адреса к вашему серверу

Содержание

Введение — Что такое IPv6?

Интернет-протокол версии 6 (IPv6) — это последняя версия Интернет-протокола (IP), протокола связи, который обеспечивает систему идентификации и определения местоположения для компьютеров в сети и маршрутизирует трафик через Интернет.

IPv6 предназначен для замены IPv4, который по-прежнему несет подавляющее большинство интернет-трафика по состоянию на 2013 год.

IPv6 использует 128-битный адрес, что позволяет использовать 2128 адресов, или приблизительно 3,4 × 1038, или более чем в 7,9 × 1028 раз больше. многие как IPv4, который использует 32-битные адреса. IPv4 допускает только приблизительно 4,3 миллиарда адресов, в то время как IPv6 допускает 3,4 × 1038 (340 ундециллионов) уникальных адресов.

IPv6-адреса представлены в виде восьми групп из четырех шестнадцатеричных цифр, разделенных двоеточиями, например 2001: 0db8: 85a3: 0042: 1000: 8a2e: 0370: 7334, но существуют способы сокращения этого полного обозначения.

Leaseweb Политики IPv6

В настоящее время мы предоставляем IPv6 бесплатно. В зависимости от услуг, которые у вас есть, вы можете запросить 65536 адресов IPv6 до полного диапазона / 64.

Общий IP-адрес адреса

Служба	Количество адресов IPv6
Выделенный диапазон восходящей линии связи	/64 (18,446,744,073,709,551,616 IPv6-адресов)
Сервер Bare Metal	65 536 IPv6-адресов
Общий IP-адрес
Облачный сервер	65 536 IPv6-адресов

Запрос IPv6

Вы можете запросить адреса IPv6, создав билет поддержки, отправив электронное письмо на адрес customercare @ leaseweb.com или создание заявки через клиентский портал Leaseweb.

Обратный DNS IPv6

В настоящее время невозможно управлять записями rDNS адресов IPv6 через клиентский портал Leaseweb.

Вы можете запросить поддержку для установки записи PTR для IPv6-адреса, создав заявку, отправив электронное письмо на адрес [email protected], или создав заявку через портал клиентов Leaseweb.

Настройте IPv6 на CentOS

Откройте / etc / sysconfig / network и добавьте следующую строку:

 NETWORKING_IPV6 = yes 

Откройте / etc / sysconfig / network-scripts / ifcfg-eth0 и добавьте следующие директивы конфигурации IPv6:

 IPV6INIT = да 

 IPV6ADDR =  

 IPV6_DEFAULTGW =  

Открыть / etc / resolv.conf и добавьте хотя бы один DNS-преобразователь IPv6 (https://kb.leaseweb.com/support/cheat-sheet)

nameserver 2001: 1af8: 3100: 1 :: 10

Перезапустите сеть:

# service network restart

Проверьте свою конфигурацию, выполнив pinging хоста IPv6:

# ping6 ipv6.google.com

Настройте IPv6 в Debian / Ubuntu

Откройте / etc / network / interfaces и добавьте следующие директивы конфигурации для IPv6:

iface eth0 inet6 static

pre-up modprobe ipv6

адрес

netmask 64

gateway

Open / etc / resolv.conf и добавьте хотя бы один DNS-преобразователь IPv6 (https://kb.leaseweb.com/support/cheat-sheet)

nameserver 2001: 1af8: 3100: 1 :: 10

Перезапустите сеть:

# /etc/init.d/networking restart

Проверьте конфигурацию, отправив эхо-запрос на хост IPv6:

# ping6 ipv6.google.com

Как настроить IPv6 на устройствах Cisco

Это краткое руководство является продолжением статьи «Что должен знать каждый сетевой администратор об IPv6».В этой статье мы исследовали ряд тем, которые являются неотъемлемой частью понимания того, как работает IPv6, включая адресацию IPV6, протокол обнаружения соседей, локальные адреса канала, многоадресную рассылку IPv6 и многое другое.

В этой статье мы рассмотрим, как настроить IPv6 в простой сети с устройствами Cisco.

Как включить IPv6

Включить IPv6 на устройстве Cisco очень просто.

!
IPv6 одноадресная маршрутизация
!
 

Эта команда включает IPv6 только на устройстве.Он устанавливает таблицу маршрутизации IPv6, позволяет настраивать адреса IPv6 на интерфейсах и предоставляет доступ к различным службам IPv6, которые может запускать устройство.

Как настроить интерфейсы для IPv6

Настройка IPv6 на интерфейсе аналогична настройке IPv4, только с дополнительными возможностями адресации. Самый простой вариант — «автоконфигурация».

!
интерфейс GigabitEthernet0 / 0
автонастройка адреса ipv6
!
 

В этом случае устройство использует протокол обнаружения соседей IPv6 для определения подсети / 64 для сети.Затем он использует свой собственный MAC-адрес и стандартный алгоритм под названием EUI-64 для создания уникального адреса.

Затем, поскольку наличие повторяющихся адресов в любом протоколе — это действительно плохо, он использует другой стандартный протокол, чтобы гарантировать, что автоматически сгенерированный адрес действительно уникален.

Проблема с автоконфигурацией заключается в том, что в сети должен быть маршрутизатор, прежде чем обнаружение соседей станет полезным. Поэтому обычно сетевые устройства необходимо специально настраивать для работы с определенной подсетью.Вы можете сделать это, продолжая использовать сгенерированную сгенерированным MAC-адресом часть узла для IPv6-адреса.

!
интерфейс GigabitEthernet0 / 0
IPv6-адрес ABCD :: / 64 eui-64
!
 

И вы также можете настроить полный адрес вручную, что позволяет вам указывать различные части хоста для адреса, а также потенциально различную длину маски подсети.

!
интерфейс GigabitEthernet0 / 0
IPv6-адрес ABCD :: 1/64
!
 

Обратите внимание, что я все еще использовал подсеть / 64.В общем, вы захотите использовать подсети / 64 для любой сети, которая включает в себя конечные устройства, такие как рабочие станции или серверы, потому что почти все использует алгоритм EUI-64. Не борись с этим.

Как настроить маршрутизацию IPv6

IPv6 имеет параметры маршрутизации, аналогичные IPv4. Вы можете настроить статические маршруты, а также различные протоколы динамической маршрутизации, такие как Open Shortest Path First (OSPF) и Border Gateway Protocol (BGP). И вы можете перераспределять маршруты между разными протоколами маршрутизации.

Однако это очень большие темы. Чтобы начать работу с IPv6 в простой сети, часто бывает достаточно статических маршрутов.

!
ipv6 route ABCD :: / 64 ABC0 :: 1
ipv6 route ABCE :: / 64 ABC1 :: 1
!
 

Синтаксис — это именно то, что вы ожидаете от маршрутизации IPv4. Трафик, отправляемый на префикс (ABCD :: / 64 в первом примере), сначала направляется маршрутизатору по адресу ABC0 :: 1.

Одним из интересных вариантов маршрутизации IPv6 является использование локальных адресов канала для устройства следующего перехода.Опция появляется автоматически, когда вы используете протокол динамической маршрутизации, но вы можете использовать как глобальные, так и локальные адреса для статических маршрутов.

Как настроить безопасность IPv6

Есть несколько полезных опций безопасности IPv6. Первый — это список контроля доступа (ACL), который похож на ACL IPv4. Сначала настройте именованный ACL.

!
список доступа ipv6 БЛОКИРОВКА-ТРАФИК
разрешить ipv6 ABCD :: / 64 любой
запретить ipv6 любой
!
 

Затем примените ACL к интерфейсу с помощью команды «ipv6 traffic-filter».

!
интерфейс GigabitEthernet0 / 0
ipv6 traffic-filter BLOCK-TRAFFIC в
!
 

Еще одна полезная функция безопасности — RA Guard , которая предотвращает внутренние атаки IPv6 на функцию обнаружения соседей. Проблема заключается в том, что устройство злоумышленника может рекламировать себя как маршрутизатор IPv6 для сегмента сети. Затем злоумышленник может либо нарушить связь, либо, что более тонко, перехватить и проверить каждый пакет по мере его прохождения.

!
интерфейс GigabitEthernet0 / 0
ipv6 и политика прикрепления raguard
!
 

Примените эту команду к каждому интерфейсу, который подключается к конечному устройству, и она заблокирует рекламу маршрутизатора IPv6 с этого интерфейса.Если коммутатор сам по себе является единственным реальным маршрутизатором в сегменте, примените эту команду ко всем интерфейсам.

Как я показал, IPv6 имеет множество параметров конфигурации, похожих на IPv4, и намного больше, которые сильно отличаются. У него есть свои сложности и свои проблемы с безопасностью. Но есть и более простые способы. Например, вы можете легко создать простое правило, согласно которому все подсети являются диапазонами адресов / 64.

Большинство ваших устройств уже включают IPv6 по умолчанию, поэтому имеет смысл подготовить и вашу сеть.Основные команды, которые мы здесь рассмотрели, — отличное начало.

Ручная настройка IPv6-адресов на интерфейсе

Вы хотите вручную настроить полный IPv6-адрес на интерфейс.

Вы можете настроить одноадресный IPv6-адрес на интерфейсе с помощью используя процесс, очень похожий на то, как мы настраивали адреса IPv4 в предыдущие главы этой книги:

 Router1 #   configure terminal  
Введите команды конфигурации, по одной в каждой строке.Закончите CNTL / Z.
Router1 (конфигурация) #   ipv6 unicast-routing  
Router1 (config) #   интерфейс       FastEthernet0/0    
Router1 (config-if) #   IPv6-адрес       AAAA :: 1/64    
Router1 (config-if) #   выход  
Router1 (config) #   конец  
Router1 # 

Мы можем настроить Anycast-адрес IPv6 с помощью Anycast . ключевое слово:

 Router1 #   настроить терминал  
Введите команды конфигурации, по одной в каждой строке.Закончите CNTL / Z.
Router1 (конфигурация) #   ipv6 unicast-routing  
Router1 (config) #   интерфейс       FastEthernet0/0    
Router1 (config-if) #   IPv6-адрес       AAFF :: 1/64       anycast  
Router1 (config-if) #   выход  
Router1 (config) #   конец  
Router1 # 

Вы можете указать локальный адрес канала IPv6 с помощью link-local keyword:

 Router1 #   настроить терминал  
Введите команды конфигурации, по одной в каждой строке.Закончите CNTL / Z.
Router1 (конфигурация) #   ipv6 unicast-routing  
Router1 (config) #   интерфейс       FastEthernet0/0    
Router1 (config-if) #   IPv6-адрес FE80 :: 1 локальный канал  
Router1 (config-if) #   выход  
Router1 (config) #   конец  
Router1 # 

В этом рецепте мы вручную настроили три разных типы адресов IPv6.В первом примере просто настраивается стандартный глобально доступный одноадресный адрес. Это похоже на стандартный одноадресный IPv4-адрес:

 Router1 (config) #   interface   

Как мне использовать автоматическую конфигурацию для установки IPv6-соединения с Интернетом на моем роутере Nighthawk? | Ответ

Чтобы настроить Интернет-соединение IPv6 с помощью автоконфигурации:

1. Запустите Интернет-браузер с компьютера или беспроводного устройства, подключенного к сети.
2. Введите http://www.routerlogin.net или http://www.routerlogin.com.
   Отображается экран входа в систему.
3. Введите имя пользователя и пароль маршрутизатора.
   Имя пользователя: admin . Пароль по умолчанию — , пароль . Имя пользователя и пароль чувствительны к регистру.
   Отобразится главный экран BASIC.
4. Выберите РАСШИРЕННЫЙ> Расширенная настройка> IPv6 .
   Отобразится экран IPv6.
5. В списке Internet Connection Type выберите Auto Config .
   Экран настраивается:
   Маршрутизатор автоматически обнаруживает информацию в следующих полях:
   • IPv6-адрес маршрутизатора в глобальной сети . В этом поле отображается IPv6-адрес, полученный для интерфейса WAN (или Интернет) маршрутизатора. Число после косой черты (/) — это длина префикса, которая также обозначается подчеркиванием (_) под IPv6-адресом. Если адрес не получен, в поле отображается «Недоступно».
   • IPv6-адрес маршрутизатора в локальной сети .В этом поле отображается IPv6-адрес, полученный для интерфейса LAN маршрутизатора. Число после косой черты (/) — это длина префикса, которая также обозначается подчеркиванием (_) под IPv6-адресом. Если адрес не получен, в поле отображается «Недоступно».
6. (необязательно) В поле Класс пользователя DHCP (если требуется) введите имя хоста.
   Большинство людей могут оставить это поле пустым, но если ваш провайдер предоставил вам конкретное имя хоста, введите его здесь.
7. (Необязательно) В поле Имя домена DHCP (если требуется) введите имя домена.
   Вы можете ввести доменное имя вашего IPv6 ISP. Не вводите здесь доменное имя провайдера IPv4. Например, если почтовый сервер вашего интернет-провайдера — mail.xxx.yyy.zzz, введите xxx.yyy.zzz в качестве имени домена. Если ваш интернет-провайдер предоставил доменное имя, введите его в это поле. Например, для кабеля Earthlink может потребоваться домашнее имя хоста, а Comcast иногда предоставляет доменное имя.
8. Укажите, как маршрутизатор назначает адреса IPv6 устройствам в вашей домашней сети (LAN), выбрав один из следующих переключателей:
   • Использовать DHCP-сервер .Этот метод передает больше информации устройствам LAN, но некоторые системы IPv6 могут не поддерживать функцию клиента DHCPv6.
   • Автоконфиг.. Это значение по умолчанию.
9. (Необязательно) Установите флажок Use This Interface ID и укажите идентификатор интерфейса, который вы хотите использовать для IPv6-адреса интерфейса LAN маршрутизатора.
   Если вы не укажете здесь идентификатор, маршрутизатор автоматически сгенерирует его из своего MAC-адреса.
10. Нажмите кнопку Применить .

Последнее обновление: 09.11.2018 | Идентификатор статьи: 24009

Как настроить IPv6 в Windows — База знаний

(QuickPacket поддерживает IPv6! Получите у нас сервер с промо-кодом PACKETS со скидкой 15% на ваш первый счет)

Интернет-протокол

версии 6 (IPv6) — это последняя версия Интернет-протокола (IP), предназначенная для замены IPv4, который по-прежнему несет более 96% мирового интернет-трафика по состоянию на май 2014 года.В этой статье рассказывается, как адаптировать и настроить IPv6 на компьютерах с Windows.

128 бит адреса IPv6 представлены в 8 группах по 16 бит в каждой. Каждая группа записывается в виде 4 шестнадцатеричных цифр, и группы разделяются двоеточием (:).

Пример
2001: 0db8: 0000: 0000: 0000: ff00: 0042: 8329

Адрес IPv6 может быть сокращен до более коротких обозначений с использованием следующих правил, где это возможно:

• Удаляются один или несколько ведущих нулей из любой группы шестнадцатеричных цифр.
• Последовательные части нулей заменяются двойным двоеточием (: :), которое может использоваться в адресе только один раз, поскольку многократное использование сделает адрес неопределенным. RFC 5952 (http://tools.ietf.org/html/rfc5952) рекомендует не использовать двойное двоеточие для обозначения пропущенной одиночной части нулей.

См. Ниже применение этих правил:

Начальный адрес 2001: 0db8: 0000: 0000: 0000: ff00: 0042: 8329

После удаления всех ведущих нулей 2001: db8: 0: 0: 0: ff00: 42: 8329

После исключения последовательных разделов нулей 2001: db8 :: ff00: 42: 8329

Адрес обратной связи «0000: 0000: 0000: 0000: 0000: 0000: 0000: 0001» может быть сокращен до «:: 1» с использованием обоих правил.

Поскольку IPv6-адрес может иметь более одного представления, Инженерная группа Интернета (IETF) выпустила предлагаемый стандарт для их представления в виде текста.

Области IPv6-адресов

Следующие пункты охватывают области IPv6-адреса.

Глобальный одноадресный адрес. Глобальный одноадресный адрес IPv6 эквивалентен общедоступному IPv4-адресу. Его область действия — весь Интернет IPv6, поэтому он является глобально маршрутизируемым и доступен в Интернете IPv6.Для повышения эффективности архитектуры маршрутизации одноадресные адреса предназначены для агрегирования.

• Глобальный префикс маршрутизации (часть топологии общедоступной маршрутизации — вместе с префиксом 001)
• ID подсети (топология сайта)
• ID интерфейса

Локальный адрес ссылки. Локальный адрес IPv6 Unicast Link аналогичен IPv4-адресу APIPA, используемому машинами под управлением Microsoft® Windows®. Это позволяет хостам в одной подсети связываться друг с другом.Он всегда настраивается автоматически, даже без всех других одноадресных адресов.

• FE80 :: / 64 префикс
• Одна подсеть, конфигурация без маршрутизатора
• Используется для некоторого процесса обнаружения соседей
• По сравнению с маршрутизируемыми адресами, локальные адреса канала неоднозначны, поэтому идентификаторы зон используются для идентификации определенных интерфейсов

Пример
fe80 :: 2b0: d0ff: fee9: 4143% 3

• Windows Vista и более поздние версии отображают идентификатор зоны IPv6 локальных адресов в выводе ipconfig

Уникальный локальный / локальный адрес сайта (ULA). Адреса локальных сайтов предоставляют частную альтернативу адресации глобальным адресам для трафика интрасети. Его можно повторно использовать для адресации нескольких сайтов в организации, поскольку префикс локального адреса сайта может быть продублирован.

• RFC 4193 определяет этот уникальный локальный адрес
• Эквивалентно частному адресу IPv4
• FD00 :: / 8 префикс
• Замена локальных адресов сайта
• Глобальный охват; не требуется идентификатор зоны

ВАЖНО: Архитектура адресации IPv6 требует, чтобы все подсети, использующие глобально уникальные адреса и ULA, всегда имели длину префикса 64-бит.Любая длина префикса подсети, отличная от 64-битной, нарушает многие функции IPv6.

Предварительные требования

Решите, будете ли вы использовать общедоступные IPv6-адреса, которые можно агрегировать глобально, или вы будете использовать частное адресное пространство. При использовании общедоступных IPv6-адресов вам необходимо получить префикс IPv6-адреса от вашего интернет-провайдера. Если ваш интернет-провайдер еще не поддерживает IPv6, вы можете получить префикс адреса у туннельного брокера.

Если вы хотите использовать частные адреса IPv6, используйте локально уникальные адреса.Однако обратите внимание, что большинство операционных систем и приложений по-прежнему поддерживают локальные адреса сайта, которые официально не рекомендуются. Это означает, что вам нужно получить уникальный префикс. Уже растет число сайтов, которые генерируют локальные уникальные префиксы адресов, такие как SixXS или Unique Local IPv6 Generator. Вы можете временно использовать частные адреса, чтобы немедленно обеспечить подключение IPv6 в своей интрасети, а затем перейти к общедоступным адресам IPv6.

Не забудьте проверить, поддерживает ли ваш продукт Microsoft IPv6.Перейдите сюда, чтобы прочитать официальный список Microsoft.

Автоматическая настройка в Windows

IPv6 может настраиваться даже без использования DHCP. Он установлен и включен по умолчанию в следующих продуктах Microsoft:

• Windows Server 2012
• Windows Server 2008 R2
• Windows Server 2008
• Окна 8
• Windows 7
• Windows Vista

IPv6 для Windows также предназначен для автоматической настройки.Он автоматически устанавливает локальные адреса канала для связи между узлами канала. Более того, если в подсети хоста есть маршрутизатор с протоколом автоматической туннельной адресации внутри сайта (ISATAP) или маршрутизатор IPv6, хост использует полученные объявления маршрутизатора для автоматической настройки дополнительных адресов, маршрутизатора по умолчанию и других параметров настройки.

Обратите внимание, что IPv6 не установлен в системах Windows XP и Windows Server 2003.

Конфигурация в сетевых системах с поддержкой IPv6

Для Windows 8 и Server 2012, если у вас уже есть ненастроенная, но готовая к IPv6 сетевая инфраструктура, вы все равно можете использовать IPv6 и настроить IPv6-адреса в следующих ситуациях:

• Для домашних пользователей с общедоступными IP-адресами Windows попытается установить соединение, используя технологию перехода IPv6 Teredo.Teredo будет работать только в том случае, если компьютер Windows не присоединен к домену и имеет UDP-доступ к Интернету без пакетов, блокирующих брандмауэр.
• Если Teredo выйдет из строя для домашних пользователей с общедоступными IP-адресами, Windows будет использовать другую технологию перехода IPv6 под названием 6to4, для которой требуется только общедоступный маршрутизируемый IP-адрес.
• Windows может разрешить имя вашей сети с помощью ISATAP через DNS или широковещательную рассылку имен. В этой ситуации Windows предполагает, что хост — это сервер ISATAP, способный принимать пакеты IPv6, инкапсулированные в пакеты IPv4.Затем он доставит эти пакеты на хосты IPv6, инкапсулирует ответы и отправит их обратно. ISATAP работает в средах IP-адресов с присоединением к домену, без присоединения к домену и с немаршрутизируемыми IP-адресами.

Ручная настройка

Вы можете вручную настроить IPv6-адреса и другие параметры в Windows с помощью следующих инструментов:

• Свойства компонента TCP / IPv6

Базовые параметры IPv6 можно настроить в свойствах компонента TCP / IPv6.

Следующие инструкции предназначены для статической адресации серверов Windows 2008 и Windows 2008 R2:

1. 1. Войдите на сервер с правами администратора.
   2. Выберите «Пуск»> «Сеть»> «Центр управления сетями и общим доступом»> «Изменить настройки адаптера».
   3. Щелкните правой кнопкой мыши «Подключение по локальной сети» сетевого адаптера и выберите «Я хочу установить IPv6». Щелкните «Свойства».
   4. Выберите TCP / IPv6 и нажмите «Свойства».
   5. Щелкните «Использовать следующий IPv6-адрес» и в поле IPv6-адреса введите IP-адрес, который вы хотите использовать.

Пример

fda8: 06c3: ce53: a890: 0000: 0000: 0000: 0001

6. Нажмите клавишу TAB, и длина префикса подсети автоматически станет равной 64.
7. Нажмите клавишу TAB еще раз и в поле Default Gateway введите IP-адрес, который вы хотите использовать для своего шлюза.

Пример

fda8: 06c3: ce53: a890: 0000: 0000: 0000: 0005

8. В поле Предпочитаемый DNS-сервер введите IP-адрес вашего DNS-сервера

.

Пример

, если ваш IP-адрес находится на вашем DNS-сервере: fda8: 06c3: ce53: a890: 0000: 0000: 0000: 0001

9.Щелкните ОК. Закройте, чтобы сохранить и выйти.

В Windows Server 2012 и Windows 8 вы можете настроить IPv6-адреса, шлюзы по умолчанию и DNS-серверы в командной строке Windows PowerShell. Вы можете использовать следующие командлеты PowerShell:

• • Set-NetIPAddress
  • Set-NetIPInterface
  • Set-NetIPv6Protocol
  • Set-NetNeighbor
  • Set-NetRouteWindows

Настройка адресов

Для настройки адресов IPv6 можно использовать командлет New-NetIPAddress.
Пример

Чтобы настроить одноадресный IPv6-адрес 2001: db8: 290c: 1291 :: 1 на интерфейсе с именем «Проводное соединение Ethernet», используйте следующую команду:

New-NetIPAddress –InterfaceAlias ​​«Проводное соединение Ethernet» –IPAddress 2001: db8: 290c: 1291 :: 1

Добавление шлюзов по умолчанию

Для настройки шлюза по умолчанию можно использовать командлет New-NetRoute Windows PowerShell.

Пример

Чтобы добавить маршрут по умолчанию, который использует интерфейс с именем «Wired Ethernet Connection» с адресом следующего перехода fe80 :: 2aa: ff: fe9a: 21b8, используйте следующую команду:

New-NetRoute –DestinationPrefix :: / 0 –InterfaceAlias ​​«Проводное соединение Ethernet» –NextHop fe80 :: 2aa: ff: fe9a: 21b8

Добавление DNS-серверов

Для настройки IPv6-адресов DNS-серверов можно использовать командлет Windows PowerShell Set-DnsClientServerAddress.

Пример
Чтобы добавить DNS-сервер с IPv6-адресом 2001: db8: 99: 4acd :: 8, который использует интерфейс с именем «Проводное соединение Ethernet», используйте следующую команду:

Set-DnsClientServerAddress -InterfaceAlias ​​«Проводное соединение Ethernet» -ServerAddresses 2001: db8: 99: 4acd :: 8

Используйте эти команды Windows PowerShell для отображения информации о конфигурации IPv6 компьютера:

• • Get-NetIPInterface -AddressFamily IPv6
  • Get-NetIPAddress -AddressFamily IPv6
  • Get-NetRoute -AddressFamily IPv6
  • Get-NetNeighbor -AddressFamily IPv6

Вы можете настроить параметры IPv6 из интерфейса контекста IPv6 Netsh.exe инструмент. Вы также можете настроить IPv6-адреса, шлюзы по умолчанию и DNS-серверы в командной строке, используя команды в контексте «netsh interface ipv6».

Настройка IPv6-адресов
Используйте команду «netsh interface ipv6 add address» со следующим синтаксисом:

netsh interface ipv6 добавить адрес [interface =] InterfaceNameorIndex [address =] IPv6Address [/ PrefixLength] [[type =] unicast | anycast] [[validlifetime =] Time | infinite] [[primarylifetime =] Time | infinite] [[store =] активный | постоянный]

Пример
Чтобы настроить одноадресный IPv6-адрес 2001: db8: 290c: 1291 :: 1 на бесконечное допустимое и предпочтительное время жизни на интерфейсе с именем «Подключение по локальной сети» и сделать адрес постоянным, используйте следующую команду:

netsh interface ipv6 добавить адрес «Подключение по локальной сети» 2001: db8: 290c: 1291 :: 1

Добавление шлюзов по умолчанию

Используйте команду «netsh interface ipv6 add route» и добавьте маршрут по умолчанию (:: / 0) со следующим синтаксисом:

netsh interface ipv6 add route [prefix =] :: / 0 [interface =] InterfaceNameorIndex [[nexthop =] IPv6Address] [[siteprefixlength =] Длина] [[metric =] MetricValue] [[publish =] нет | да | бессмертный ] [[validlifetime =] время | бесконечное] [[предпочтительное время жизни =] время | бесконечное] [[store =] активный | постоянный]

Пример

Чтобы добавить маршрут по умолчанию, который использует интерфейс с именем «Подключение по локальной сети» с адресом следующего перехода fe80 :: 2aa: ff: fe9a: 21b8, используйте следующую команду:

netsh interface ipv6 add route :: / 0 «Подключение по локальной сети» fe80 :: 2aa: ff: fe9a: 21b8

Добавление DNS-серверов

Для настройки IPv6-адресов DNS-серверов используйте команду «netsh interface ipv6 add dnsserver» со следующим синтаксисом:

netsh interface ipv6 add dnsserver [name =] InterfaceName [[address =] IPv6Address] [[index =] PreferenceValue]

По умолчанию DNS-сервер добавляется в конец списка DNS-серверов.Если указан индекс, DNS-сервер помещается в эту позицию в списке, а другие DNS-серверы перемещаются вниз по списку.

Пример
Чтобы добавить DNS-сервер с IPv6-адресом 2001: db8: 99: 4acd :: 8, который использует интерфейс с именем «Подключение по локальной сети», используйте следующую команду:

netsh interface ipv6 add dnsserver «Подключение по локальной сети» 2001: db8: 99: 4acd :: 8

Информацию о конфигурации IPv6 можно получить с помощью следующих команд в контексте «netsh interface ipv6» средства Netsh:

• • интерфейс netsh ipv6 показать адрес
  • интерфейс netsh ipv6 показать интерфейс
  • интерфейс netsh ipv6 показать маршрут
  • интерфейс netsh ipv6 показать соседей

Обратите внимание, что вы также можете просматривать адреса и маршруты IPv6 с помощью файла Ipconfig.Инструменты exe и Route.exe (например, команды ipconfig и route print -6 ).

Отключение IPv6

Хотя вы не можете удалить поддержку IPv6 из Windows Vista в Server 2012 R2, вы можете отключить ее. Вы также можете просто отключить IPv6 от физических адаптеров. Однако это будет означать, что IPv6 по-прежнему будет работать и его все еще можно будет использовать для подключения к сайтам IPv6 через IPv4. Прочтите статью службы поддержки Microsoft «Как отключить IP версии 6 или ее отдельные компоненты в Windows» для получения дополнительных сведений.

Тестирование подключения и устранение неисправностей

Windows включает следующие инструменты командной строки с поддержкой IPv6, которые можно использовать для устранения неполадок сети:

• Ipconfig
• Маршрут
• Пинг
• Tracert
• Pathping
• Netstat

Чтобы проверить связь с IPv6-адресом, используйте синтаксис: ping IPv6Address [% ZoneID] . Обратите внимание, что идентификатор зоны не требуется, если местом назначения является глобальный адрес.

Пример

Чтобы отправить сообщения ICMPv6 Echo Request на локальный адрес канала fe80 :: 260: 97ff: fe02: 6ea5 с использованием идентификатора зоны 4 (индекс интерфейса установленного адаптера Ethernet), используйте следующую команду:

пинг fe80 :: 260: 97ff: fe02: 6ea5% 4

Эта команда ping включает флаг -6, который заставляет Ping использовать IPv6. Если все в порядке, вы должны увидеть ответ, который должен быть довольно быстрым, особенно если у вас есть собственное IPv6-соединение с Интернетом.Если ваш эхо-запрос не получил ответа, возможно, брандмауэр или сетевое устройство блокируют ICMPv6 между вашей системой Windows и целью.

Как только вы узнаете, что у вас есть подключение к Интернету с помощью IPv6, обязательно протестируйте некоторые веб-сайты, поддерживающие только IPv6, чтобы убедиться, что все работает правильно.

Пример

Поиск хоста в DNS ipv6.google.com

> ipv6.google.com

Сервер: [YOUR-DNS_SERVER-IP]

Адрес:

Неавторизованный ответ:

Имя: ipv6.l.google.com

Адрес: 2607: f8b0: 4002: c06 :: 71

Псевдонимы: ipv6.google.com

Типы и конфигурация интерфейсов

— Типы конфигурации IPv6

Подобно IPv4, Тип конфигурации IPv6 определяет, если и как IPv6 адрес назначается интерфейсу. Есть несколько разных способов настроить IPv6, и точный метод зависит от сети, к которой это брандмауэр подключен и как провайдер развернул IPv6.

Предупреждение

Все интернет-провайдеры разные, а крупные провайдеры могут даже отличаться в зависимости от региона.

Интернет-провайдер определяет настройки IPv6 для канала, и они являются единственно допустимыми. источник этой информации. Таким образом, эта документация не включает примеры для конкретных провайдеров. Свяжитесь с интернет-провайдером для получения информации об их Настройки и требования клиента IPv6.

Интернет-провайдер должен предоставить инструкции и конкретные значения для настройки IPv6. на их службе. Например, в цепи со статической конфигурацией IPv6 Интернет-провайдер должен предоставить адреса подсети и значения префиксов для WAN. сам, а также для маршрутизируемых префиксов.Провайдеры, которым требуется DHCPv6, должны предоставить значения для параметров, таких как размер делегирования префикса, а также любые требования, которые они предъявляют к поведению клиентов.

См. Также

Для получения дополнительной информации о IPv6, включая базовое введение, см. IPv6.

Нет

Когда Тип конфигурации IPv6 установлен на Нет , IPv6 отключен на интерфейс. Это полезно, если интерфейс не имеет возможности подключения IPv6 или если IPv6-адрес на интерфейсе управляется другим способом, например, для VPN или туннельный интерфейс.

Статический IPv6

Элементы управления статическим IPv6 работают идентично настройкам статического IPv4. Видеть Статический IPv4 для подробностей.

С Статический IPv6 интерфейс содержит вручную настроенный IPv6-адрес. При выборе в интерфейсе доступны три дополнительных поля. экран конфигурации: IPv6-адрес , селектор длины префикса и IPv6 Поле Upstream Gateway .

Шлюзы IPv4 и IPv6 по умолчанию работают независимо друг от друга.Два не обязательно должны быть на одном интерфейсе. Изменение шлюза IPv4 по умолчанию не имеет влияние на шлюз IPv6, и наоборот.

DHCP6

DHCP6 настраивает автоматическую настройку IPv6 этого интерфейса через DHCPv6. DHCPv6 настроит интерфейс с IPv6-адресом, длиной префикса, DNS. серверы и т. д. но не шлюз. Шлюз получен через роутер реклама, поэтому этот интерфейс будет настроен на прием рекламы маршрутизатора. Это выбор дизайна как часть спецификации IPv6, а не ограничение эта реализация.Для получения дополнительной информации о рекламе маршрутизатора см. Объявления маршрутизатора.

Для IPv6 DHCP доступно несколько дополнительных полей, которых нет для IPv4. DHCP:

Использовать подключение IPv4 в качестве родительского интерфейса

Если установлено, DHCP-запрос IPv6 отправляется с использованием IPv4 на этом интерфейсе, а не чем при использовании нативного IPv6. Это требуется только в особых случаях, когда интернет-провайдер требует такой конфигурации.

Запрос только префикса IPv6

Если установлено, клиент DHCPv6 не запрашивает адрес для интерфейса. сам он запрашивает только делегированный префикс.

Размер делегирования префикса DHCPv6

Если интернет-провайдер предоставляет маршрутизируемую сеть IPv6 через делегирование префикса, он опубликуйте размер делегации, который можно выбрать здесь. Обычно это значение где-то между 48 и 64 . Для получения дополнительной информации о том, как DHCPv6 делегирование префикса работает, см. Делегирование префикса DHCP6.

Примечание

Чтобы использовать это делегирование, другой внутренний интерфейс должен быть настроен на Тип конфигурации IPv6 из Интерфейс отслеживания (Интерфейс отслеживания), чтобы он мог использовать адреса делегируется вышестоящим сервером DHCPv6.

Отправить подсказку префикса IPv6

Если установлено, DHCPv6 Prefix Delegation Size отправляется вместе с запросом. чтобы сообщить вышестоящему серверу, какой размер делегирования требуется для этого межсетевой экран. Если интернет-провайдер позволяет выбор, и выбранный размер находится в пределах их допустимый диапазон, запрошенный размер будет предоставлен вместо размера по умолчанию.

Отладка

Если установлено, клиент DHCPv6 запускается в режиме отладки.

Не ждите RA

Сообщает операционной системе не ждать объявления маршрутизатора, когда настройка интерфейса.Это требуется некоторыми интернет-провайдерами.

Не разрешать выпуск PD / Address

Запрещает операционной системе отправлять сообщение о выпуске DHCPv6 при выходе.

Некоторые интернет-провайдеры освобождают выделенный адрес или префикс, когда клиент отправляет это сообщение. Если этот параметр установлен, клиент с большей вероятностью получит такое же распределение с последующими запросами.

DHCPv6 Приоритет VLAN

Дополнительно устанавливает тег приоритета VLAN (802.1p) для трафика клиента DHCPv6.Должен может быть включен только по требованию интернет-провайдера и с предоставленными им настройками.

Расширенная конфигурация

Включает широкий спектр дополнительных параметров настройки для клиента DHCPv6. Эти параметры используются редко, а когда они требуются, значения продиктовано интернет-провайдером или администратором сети. См. Справочную страницу dhcp6c.conf для подробностей.

Переопределение конфигурации

Позволяет полю использовать пользовательский файл конфигурации.Полный путь должен быть данный. Использование настраиваемого файла требуется редко, но некоторые интернет-провайдеры требуют полей DHCP. или параметры, которые не поддерживаются в pfSense WebGUI.

SLAAC

Автоконфигурация адреса без сохранения состояния ( SLAAC ), поскольку тип IPv6 делает операционная система пытается настроить IPv6-адрес для интерфейса из объявления маршрутизатора (RA), которые объявляют префикс и связанную информацию.

Примечание

DNS обычно не предоставляется через RA, поэтому брандмауэр все равно попытаться получить DNS-серверы через DHCPv6 при использовании SLAAC.Расширения RDNSS к процессу RA в некоторых случаях может позволить получить DNS-серверы от RA. Дополнительные сведения о рекламе маршрутизатора см. В разделе Объявления маршрутизатора.

В этом выборе есть одна дополнительная опция:

Использовать подключение IPv4 в качестве родительского интерфейса

Если установлено, запросы IPv6 отправляются через уровень подключения IPv4, используемый этот интерфейс (например, PPPoE), а не родительский интерфейс напрямую. Может быть требуется некоторыми интернет-провайдерами.

6РД Тоннель

6RD — это технология туннелирования IPv6, используемая интернет-провайдерами для быстрого включения IPv6. поддержка своих сетей, передача трафика IPv6 внутри специально созданного IPv4 пакеты между маршрутизатором конечного пользователя и ретранслятором интернет-провайдера.Это связано с 6to4, но предназначен для использования в сети Интернет-провайдера с использованием адресов IPv6 из Интернет-провайдер для клиентского трафика. Чтобы использовать 6RD, провайдер должен предоставить три части информация: префикс 6RD, пограничный ретранслятор 6RD и префикс 6RD IPv4 длина.

6RD Префикс

Префикс IPv6 6RD, присвоенный провайдером, например 2001: db8 :: / 32 .

6RD Пограничное реле

IPv4-адрес реле ISP 6RD.

6RD Длина префикса IPv4

Определяет, какая часть IPv4-адреса конечного пользователя закодирована внутри 6RD. приставка.Обычно это предоставляется интернет-провайдером. Значение 0 означает весь IPv4-адрес будет встроен в префикс 6RD. Это значение позволяет Интернет-провайдеры могут эффективно направлять клиентам больше IPv6-адресов, удаляя избыточная информация IPv4, если выделение ISP полностью в пределах одного подсеть большего размера.

Туннель 6to4

Подобно 6RD, 6to4 — это еще один метод туннелирования трафика IPv6 внутри IPv4. Однако, в отличие от 6RD, 6to4 использует постоянные префиксы и реле.Как таковые есть нет настраиваемых пользователем настроек для использования опции 6to4 . Префикс 6to4 — всегда 2002 :: / 16 . Любой адрес внутри префикса 2002 :: / 16 является считается адресом 6to4, а не собственным IPv6-адресом. Также в отличие от 6RD, Туннель 6to4 может быть завершен в любом месте Интернета, а не только у конечного пользователя. Интернет-провайдер, поэтому качество соединения между пользователем и реле 6to4 может широко варьироваться.

Туннели 6to4 всегда заканчиваются на IPv4-адресе 192.88.99.1 . Этот IPv4-адрес является произвольным, что означает, что хотя IPv4-адрес тот же везде, он может быть направлен на региональном уровне к узлу, близкому к пользователю.

Еще один недостаток 6to4 заключается в том, что он полагается на другие маршрутизаторы для ретрансляции трафика. между сетью 6to4 и остальной частью сети IPv6. Существует возможность того, что некоторые одноранговые узлы IPv6 могут не иметь подключения к сети 6to4, и, следовательно, они будут недоступны для клиентов, подключенных к реле 6to4, и это также может варьироваться в зависимости от узла 6to4, к которому пользователь фактически связаны.

Интерфейс трека

Интерфейс трека Выбор работает совместно с другим интерфейсом IPv6, используя Делегирование префикса DHCPv6. Когда делегирование получено от интернет-провайдера, это опция указывает, какому интерфейсу будут назначены делегированные IPv6-адреса Интернет-провайдером и в случаях, когда получено более крупное делегирование, какой префикс внутри делегации используется.

Интерфейс IPv6

Список всех интерфейсов в системе, которые в настоящее время настроены для динамического IPv6 WAN. типы, предлагающие делегирование префиксов (DHCPv6, PPPoE, 6rd и т. д.). Выберите интерфейс из списка, который получит делегированную информацию о подсети от интернет-провайдера.

Идентификатор префикса IPv6

Если интернет-провайдер делегировал более одного префикса через DHCPv6, идентификатор префикса IPv6 контролирует, какая из делегированных подсетей /64 будет использоваться на этом интерфейс. Это значение указывается в шестнадцатеричном формате.

Например, если делегирование /60 предоставляется интернет-провайдером, это означает 16 Доступны сети /64 , поэтому идентификаторы префиксов от 0 до f могут быть использовал.

Для получения дополнительной информации о том, как работает делегирование префикса, см. Делегирование префикса DHCP6.

Как настроить глобальный одноадресный IPv6-адрес на основе EUI-64 в интерфейсе маршрутизатора Cisco

Глобальные одноадресные IPv6-адреса — это адреса с глобальной маршрутизацией в IPv6 Internet. В настоящее время оставшиеся три оставшихся бита глобальных одноадресных IPv6-адресов зафиксированы как 001. Таким образом, диапазон доступных сейчас глобальных одноадресных адресов составляет от 2000 до 3FFF. Пожалуйста, посетите Глобальные одноадресные IPv6-адреса для получения более подробной информации.Мы можем назначить интерфейсу глобальные одноадресные IPv6-адреса разными способами. Перейдите по ссылке ниже, чтобы узнать больше о различных методах назначения глобального одноадресного IPv6-адреса интерфейсу.

Глобальные одноадресные IPv6-адреса на основе

EUI-64 также являются типом автоматически настраиваемых глобальных одноадресных IPv6-адресов. Как определено в RFC 4291, IPv6 генерирует 64-битную часть интерфейса (часть хоста) глобального одноадресного IPv6-адреса из MAC-адреса интерфейса. Метод EUI-64 для генерации глобального одноадресного IPv6-адреса включает выбор 6-байтового (48-битного) MAC-адреса интерфейса и последующее создание глобального одноадресного IPv6-адреса путем расширения его до 64-битной части интерфейса (части хоста).

Щелкните следующую ссылку, чтобы узнать больше о глобальном одноадресном IPv6-адресе на основе EUI-64 и о том, как глобальный одноадресный IPv6 на основе EUI-64 генерируется из MAC-адреса интерфейса.

Следующие команды конфигурации Cisco IOS могут использоваться для настройки статического глобального одноадресного IPv6-адреса в интерфейсе маршрутизатора Cisco.

 OmniSecuR1 # настроить терминал
OmniSecuR1 (конфигурация) #int fastEthernet 0/0
OmniSecuR1 (config-if) # адрес ipv6 2001: db8: aaaa: 1 :: / 64 eui-64
OmniSecuR1 (config-if) # без выключения
OmniSecuR1 (config-if) #exit
OmniSecuR1 (конфигурация) # выход
OmniSecuR1 # 

После настройки глобального одноадресного IPv6-адреса на основе EUI-64 вы можете просмотреть состояние интерфейса с помощью команды Cisco IOS show «показать краткое описание интерфейса ipv6», как показано ниже.