ipv6內部網路升級作業規劃書 參考範本 · ipv6內部網路升級方案...
TRANSCRIPT
-
網路網路通訊協定升級推動辦公室
(單位名稱)
IPv6內部網路升級作業規劃書
(參考範本)
1
-
大綱
IPv6內部網路升級規劃
IPv6內部連網軟硬體
IPv6內部網路架構
IPv6內部網路升級方案
時程規劃
補充說明
2
-
IPv6內部網路升級規劃
IPv6內部連網軟硬體
IPv6內部網路架構
IPv6內部網路升級方案
3
-
IPv6內部連網軟硬體
連網環境所用之軟硬體包括路由器、第三層交換機、防火牆、入侵防禦系統(Intrusion Prevention System,IPS)、及動態主機設定協定(DHCP)伺服器。軟硬體清單範例如下:
4
軟硬體編號 品名 硬體廠牌型號或軟體供應商距離報廢/授權年限
已內含IPv6能力
980303-03 路由器 CISCO 2811 3 N
970606-05 第三層交換機 Cisco 3750-E 2 N
970404-04 防火牆 Fortigate 620C 1 N
970404-05 入侵防禦系統 Fortigate 3040B 1 N
970909-01 DHCP伺服器主機 HP BL460C 4 Y
991010-02 DHCP伺服軟體 Microsoft-IIS 無年限問題 Y
-
IPv6內部網路架構 連外線路接到一部路由器,再連接至防火牆,提供資訊安全防護功能,並區分成兩個子網路,分別提供服務伺服器及辦公室網路使用,網路架構範例如下:
5
-
IPv6內部網路升級方案
6
□方案一(RA+SLAAC)。
□方案二(Static IPv6 Address)。
□方案三(RA+Stateless DHCPv6)。
□方案四(RA+Stateful DHCPv6)。
-
IPv6內部網路升級方案
□方案一(RA+SLAAC):使用RA自動組態配發電腦IPv6位址,不使用DHCPv6。此無狀態位址自動配置(Stateless Address Auto-configuration, SLAAC),讓主機經由Router Advertisement (RA)的封包收到IPv6 Prefix及Default Gateway的資訊自動產生該主機的IPv6位址。
□方案二(Static IPv6 Address):人工配置位址,逐台主機人工配置IPv6位址、預設閘道與DNS伺服器位址,不使用RA自動組態配發電腦IPv6位址,也不使用DHCPv6。
□方案三(RA+Stateless DHCPv6):RA搭配無狀態DHCPv6定址(Stateless DHCPv6),結合SLAAC及DHCPv6進行無狀態位址自動配置,RA負責IPv6位址及Default Gateway指配,DHCPv6則提供DNS伺服器位址及其他資訊(如NTP)。
□方案四(RA+Stateful DHCPv6):全狀態DHCPv6位址自動配置(Stateful DHCPv6),IPv6位址配置(包括Prefix、Host ID)及DNS伺服器位址等資訊均由DHCPv6負責。 7
-
IPv6內部網路升級方案
四個方案針對IPv6位址指派技術的比較表
8
編號 方案重點預設閘道
Prefix
指派Host ID
指派DNS位址指
派
方案一 RA+SLAAC RA
指派RA
指派EUI-64或亂數法自動產生
Windows不支援RA取得DNS
方案二Static IPv6
Address
手動設定
手動設定
手動設定
手動設定
方案三RA+Stateless
DHCPv6
RA
指派RA
指派EUI-64或亂數法自動產生
DHCP
指派
方案四RA+Stateful
DHCPv6
RA
指派DHCP
指派DHCP
指派DHCP
指派
-
IPv6內部網路升級方案
方案選擇時的考量可依據四個方案的特點
9
編號 方案重點 說明
方案一 RA+SLAAC 1.設定簡單,適合於訪客網路區域使用。2.可在Dual Stack環境下運作。3.IPv4斷線時,無法在Native IPv6的環境下運作。
方案二Static IPv6
Address
1.適合電腦數量固定,且網路架構穩定,不需經常異動之環境。
2.可在Dual Stack環境下運作。3.可於IPv4斷線時,在Native IPv6的環境下運作。
方案三RA+Stateless
DHCPv6
1.設定簡單,適合於訪客網路區域使用。2.可在Dual Stack環境下運作。3.可於IPv4斷線時,在Native IPv6的環境下運作。
方案四RA+Stateful
DHCPv6
1.兼具中央控管及IPv6位址動態派發管理之彈性。2.可在Dual Stack環境下運作。3.可於IPv4斷線時,在Native IPv6的環境下運作。
-
時程規劃
由於IPv4已經枯竭,配合網際網路通訊協定升級推動方案之規劃,擬規劃內部使用網路訂於
□已完成
□ 105年
□ 106年
□ 107年或以上
10
-
內部網路IPv6升級測試作業
測試作業進行步驟說明如下:
測試內部電腦取得IPv6位址(Windows作業系統使用ipconfig指令);
測試內部電腦使用IPv6對外連線(例如開啟IPv6檢測網站:http://test-ipv6.gsnv6.tw,可顯示來源IPv6位址),確認IPv6網路已連通。
11
-
補充說明
Q1.哪些是要參與內部網路升級的單位
說明:
交通部105年4月21日發函各機關的單位清單,是已參與升級方案進行外部服務升級的單位清單,建議所列單位持續參與內部網路升級,若有需要調整,請機關發函回覆修正。若確認無誤,不須回函。每個單位因為辦公地點不同,內部網路設備、架構、升級方式及汰換時程之考量亦不同,原則上每個單位各自提一份作業規劃書。
12
-
補充說明
Q2.內部辦公室同仁不對外連線的電腦,是否需升級IPv6?
說明:
內部網路若為封閉網路(完全無法連接Internet),則無需升級IPv6。
13
-
補充說明
Q3.原有內部網路環境使用虛擬IPv4位址及NAT,要如何啟動升級IPv6?
說明:
虛擬IPv4位址原是因應IPv4位址不夠使用,配合NAT所使用之技術方案,因為IPv6位址非常多,故目前國際上並無IPv6 NAT的標準,機關(構)在原本使用虛擬IPv4的內部環境升級IPv6,先將網路設備進行IPv6升級,配發IP位址時,在IPv4方面維持使用虛擬IPv4位址,IPv6方面配發使用Public IPv6位址進行連線即可,不會衝突。 14
-
補充說明
Q4.規劃內部網路升級作業時,哪些設備需要升級IPv6?
說明:
內部網路若欲升級IPv6,相關的軟硬體如路由器、DHCP伺服器、防火牆、入侵防禦系統等需搭配升級。
15
-
補充說明
Q5.內部網路升級時是否有針對設備進行IPv6升級實作技術的參考手冊?
說明:
各項內部網路設備升級及參數設定可參考「TWNIC IPv6內部網路升級作業建議書」,建議書中針對一般單位常使用的設備廠牌提供操作步驟與範例。書中的實作設備包括Cisco 路由器;Linux 和Windows Server 2012 DHCPv6;Fortinet、Cisco、Juniper及ZyXEL防火牆及Fortinet和Tippingpoint 入侵防禦系統等。
16
-
2008/06 1
IPv6介紹
-
2
什麼是IP?
• IP(Internet protocol)是電腦在網際網路上用來辨認溝通彼此的方法。而IP位址就像是每家都有的門牌地址。當我們上網或送email時,所打的網域名稱(如www.twnic.net.tw)會轉換成210.17.9.228網址。根據這個網址,網際網路就可以將訊息送到指定的主機。
http://www.twnic.net.tw)會轉換成210.17.9.228
-
3
擁擠的IPv4網路世界!?
• 目前分配給電腦的位址稱為IPv4位址,其位址是由 4組 8位元數字( 0~255) 排列組成而成,例如210.130.1.1。
• 總共232個位址可用,合計4,294,967,296個,最上游之IP管理組織IANA於2011年已核發完畢。
• 如果無法再核發新的IP位址??–所有新增的電腦用戶無法再核發真實IP位址,網路應用將受限。
–持續的網路發展動能將減緩,行動上網及物聯網將嚴重受阻。千禧蟲危機 百年蟲危機 IP危機
-
一般常見的IPv4位址
4
-
5
IP位址分配的組織
• 以紐約的IANA為中心(現委由ICANN管理),其下再依區域分成五個區域註冊中心(Regional Internet Registries),
– 歐洲地區:RIPE NCC• Réseaux IP Européens Network Coordination Centre
– 北美地區:ARIN• American Registry for Internet Numbers
– 亞太地區:APNIC• Asia Pacific Network Information Centre
– 拉丁美洲:LACNIC• Latin American and Caribbean Internet Addresses Registry
– 非洲: AfriNIC• Africa Network Information Centre
-
6
國際網際網路編碼授權機構
全球網際網路號碼管理架構
區域授權機構
負責管理全球IPv4/v6, Domain Name及
Protocol等之編碼與註冊
-
7
位址指派機構之階層式架構圖
以亞太地區來說,RIR 可透過 NIR (National Internet Registry) 將資源發放給LIR (Local Internet Registry,一般皆為ISP) ,LIR 再將資源指定分發給其客戶。如此階層式的組織不但使得資源分配及管理更有效率,也可避免資源過度
集中,避免不公平的資源分配
-
8
IPv4位址枯竭影響與衝擊
• 影響– 無IPv4位址來提供新型態網路服務– 既有網路服務無法擴展
• 衝擊– 將造成網際網路發展停滯
• 解決方案– 使用NAT技術– IPv4 to IPv6位址移轉技術– 回收未使用的IPv4位址– 全面佈署IPv6– 其他---
-
9
IPv4位址枯竭因應措施
• 開源–開放保留的IP位址
– IP位址的移轉或交易
– IP位址的回收等等
• 節流–調整現行的IP位址發放原則
–使用NAT相關技術延緩等等)
• 進行IPv6的佈署–分階段實行
-
IPv4位址枯竭因應建議策略因應措施 開源(回收、移轉) 節流(使用NAT) 部署IPv6
優勢(Strengths)
無技術門檻與實施費用。 屬於現有成熟技術,可大量節省IP位址的使用,花費比部署IPv6相對便宜。
擁有大量的位址,可根本解決位址不足問題。
劣勢(Weaknesses)
無確實可行的方法(回收或移轉均無好的實行經驗),也非長期可行政策。
NAT本身對一些應用的連線所有限制、每一個網路使用者需要的連線數正快速增加中,減少可共享一個IP的使用者數。
對於大量實施在一些技術上仍有顧慮(如設備能力不足、安全性尚未完整考量)且部署費用相對較高。
機會(Opportunities)
有不少可回收位址(約有50個/8未出現在BGP routing table中、36個/8是歷史或特殊用途位址)。
短期內有可能是唯一便宜可行的技術。
唯一長期的解決方案,極有可能是未來會被全面採用的協定。
威脅(Threats)
合法擁有的IP位址要回收不容易,需擁有者願意配合。
非長期解決方案且對於大量的使用者、電信等級的NAT均仍有待市場考驗。
尚無明顯看到IPv6使用者市場,讓大部份的公司採觀望態度。
-
11
IPv4所遭遇的挑戰
• IP位址有限多人(戶)共用一個位址
• NAT雖可減緩位址之消耗但是
–終究抵擋不住新興市場需求(如金磚四國)爆發性需求。
– 2014年全球上網人口約27億仍迅速增加中!
• 行動上網需要更多IP位址及行動能力(Mobility)支援
– IPv4位址不足外,Mobility支援能力先天不足。
-
IPv4技術本身的缺陷• 數目限制:
– IPv4的網路位址只有32位元
– 採用Class的方式劃分區域較缺乏彈性
• 效能問題:
– 新興應用所需要的「QoS」服務,在IPv4上面實做極為困難。
– CIDR的出現導致網路管理上的困難。
• 安全問題:
– IPv4無法在基本的網路層提供安全的加密通訊
• 組態設定:
– DHCP伺服器安裝設定不易,而且維持運作要花不少人力物力
– 全自動化的組態設定
12
IPv4不只無法支應快速成長的為址需求,它的缺點是無法支援網路安全及國際漫遊的能力,還有IPv4需要利用網路位址翻譯器
(Network Address Translator;NAT),對經營者而言,它就增加了成本及管理上的負擔。
-
13
為何需要IPv6?• 解決 IPv4 的問題
– 即將發生 IPv4 位址不足 (預計2011年)
– NAT 的應用增加
– 對等式 (Peer-to-Peer) 網路技術問題
– 行動設備的支援性
• 下一代 Internet 的標準
– IETF 已完成 IPv6 核心網路的標準
– 全球將邁入 IPv6 新世紀 (例如:3G)
– 行動裝置、 P2P 軟體應用
– IPv6的安全性
• IPv6與物聯網社會
– P2P通信、無國界通信、End2End security等特性
– 與雲端運算特性結合
– 利用IPv6實現更為廣闊的物聯網服務與應用
-
14
IPv6的發展 (1/2)
• 1992年,IETF之IPv4的Address空間不足的問題開始被檢討 。
• 1994年,下一代的網際網路協定開始被提案,CATNIP (Common Architecture for the
Internet)、TUBA (TCP/IP with Bigger Addresses)、SIPP (Simple Internet Protocol Plus)三個提案中出線。
• 1995年,SIPP被更名為IPv6,IPv6的規範將被RFC1752(The Recommendation for the IP
Next Generation Protocol)公開。
-
15
IPv6的發展 (2/2)
• 1998年,IPv6之位址架構與通訊協定之規範分別在RFC2373 (IP Version 6 Addressing Architecture)與RFC2460 (Internet Protocol Version 6(IPv6) Specification)公開。
• 1999年,全球第一個業界團體(共有42個單位加盟)成立了「IPv6 Forum」。ARIN 將全球第一個之IPv6 Prefix:2001:400::/35授予給ESnet。
• 2002年,全球各區域性的Internet Registry RIR(Regional Internet Registries)實施新的「IPv6 Address Allocation and Assignment Global Policy」。
-
16
IPv6之優點與支援狀況• IPv6 發展之優勢(相對於IPv4)
– 足夠的位址空間– 彈性的聯網機制 (Plug & Play)– 安全機制– QoS功能增強– 強化的Mobility與Multicast能力等
• 標準已臻完備– 2007年底止 IETF通過191項RFC標準,幾乎涵蓋所有IPv4既有標準。– 3GPP/3GPP2, IMS/NGN及WiMax等皆將IPv6列為必須採用之標準。
• 軟硬體設備支援已漸成熟– Windows 7與Vista已內建IPv6且通過IPv6 Ready Logo認證
• 尚未蓬勃發展的主要因素– IPv4位址尚未迫切短缺,業者普遍以不變應萬變– 發展期過長,致使專家不斷在IPv4技術上尋求位址不足之解決方法– 許多IPv4 applications均將NAT issue考慮在內– 尚無法找到有明確利基的IPv6 business model
-
17
什麼是IPv6?
• V = version= 版本。IPv6 就是第六版的IP規範
• IPv6總共有2的128次方個可以使用,IPv6位址寫法為八組四個位數,每位數是由16進位的0,1,2,3,4,5,6,7,8,9,a,b,c,d,e,f 所組成,中間用冒號分隔,像是2001:0c50:ffff:0001:02e0:18ff:fe95:b229 。
• 別擔心這麼一大串背不起來,我們日常上網還是以使用網域名稱(例如www.twnic.net.tw)來連線,系統會自動轉換網域名稱為IPv6位址,所以一般使用者不需要直接輸入IPv6位址。
-
IPv4 & IPv6位址
18
-
19
IPv6 位址表示法 (native)
• IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間,以16進位(24)表示,可寫成32組數字 (0~F)
• 如二進位0010在十六進位中即為2,1010即為A– 0010 0000 0000 0011 即為2003
• 用以下位址為例– 20030000000000B30000000000001234 (太長容易記錯)– 2003:0000:0000:00B3:0000:0000:0000:1234(分為八段,以冒號分隔)
– 2003:0:0:B3::1234(簡寫)• 簡寫規則:
– 每16Bits如開頭之4bit表示為0,即可省略– 若16Bits全為0,則可簡寫為0– 若連續完整之16Bits段落皆為0000,則可全省略,簡寫為::,但以一次為限
-
IPv6網站
網站URL IPv4 IPv6
http://www.twnic.net.tw 210.17.9.228 2001:c50:ffff:1:21b:fcff:fe41:6c0f
https://www.gsnv6.tw/ 211.72.210.215 2001:288:4:1::215
http://ipv6launch.tw/ 61.220.48.10 2001:b020:0:77::12
http://www.ipv6.org.tw 210.17.9.228 2001:c50:ffff:1:21a:92ff:fe43:d665
http://www.rd.ipv6.org.tw/ 203.145.207.171 2001:e10:1440:ffff::171
http://v6directory.twnic.net.tw/ 61.220.48.10 2001:b020:0:77::12
http://interop.ipv6.org.tw/ 202.39.164.14 2001:b030:5e00:1::2
http://www.sprint.net/ 208.24.22.50 2600::
20
※台灣已支援IPv6網站列表請參考IPv6台灣網站名錄網站 http://v6directory.twnic.net.tw/
http://www.twnic.net.tw/https://www.gsnv6.tw/http://ipv6launch.tw/http://www.ipv6.org.tw/http://www.rd.ipv6.org.tw/http://v6directory.twnic.net.tw/http://interop.ipv6.org.tw/http://www.sprint.net/http://v6directory.twnic.net.tw/
-
21
IPv6位址範例• www.ipv6.hinet.net 2001:b000::2
• www.ipv6.sparqnet.net 2401:8000::100
• ipv6.seed.net.tw 2001:4580::2
• showroom.twnic.net.tw 2001:44f0::201:80ff:fe63:69c9
http://www.ipv6.hinet.net/http://www.ipv6.sparqnet.net/http://ipv6.seed.net.tw/http://showroom.twnic.net.tw/
-
IPv6 Server位址設定
22
只有一台 Server IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2:201:80ff:fe63:69c9
只有二台 Server IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2::1
www2.ipv6lab.tw 211.72.210.2 2001:288:4:2::2
有很多台 Server IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2:211:72:210:1
www2.ipv6lab.tw 211.72.210.2 2001:288:4:2:211:72:210:2
dns.ipv6lab.tw 211.72.210.15 2001:288:4:2:211:72:210:15
mail.ipv6lab.tw 211.72.210.28 2001:288:4:2:211:72:210:28
不建議 IPv4 IPv6
www.ipv6lab.tw 211.72.210.1 2001:288:4:2::211.72.210.1(=2001:288:4:2::d348:d201)
-
23
使用IPv6的理由
• 提供更多的IP位址空間–滿足未來IPv4可能不足的危機。
• 更好的資料傳送品質管理(QoS)–對於多媒體影音有更好的QoS支援。
• 更契合無線行動通訊的協定–利用Mobile IPv6協定,增加IP定址的便利性與縮短資料傳送延遲的時間。
• 強化的安全機制(IPSec)–確保End-to-End(端點到端點)的安全。
-
24
IPv6的五個主要優點
• IPv6優點一:
–大量位址空間
• IPv6優點二:
–服務品質保證(QoS, Quality of Service)
• IPv6優點三:
–隨插即用
• IPv6優點四:
–點對點傳輸
• IPv6優點五:
–網路層安全性
-
25
IPv6優點一:大量位址空間
• IPv6位址總共有2的128次方個可以使用,也就是有3402823669209384634633746074317682
11456個IPv6位址可以使用。
• 一平方公尺能有多少IPv6的位址呢?以地球總面積來算算看,地球總面積約5億1仟萬平方公里,每平方公尺將有655570793348866943898599個IPv6的位址(約有6仟5佰萬兆個)。
-
26
IPv6優點二:服務品質保證(QoS, Quality of Service)
• QoS是一種控制機制,傳統的IPv4 網路並未提供完整的QoS機制,訊息的傳遞未被分類,全部擠在網路上爭先恐後是造成網路擁塞的主因之一。
• IPv6的應用主要特色有:提供順暢、有秩序的網路傳輸將網路資源分級與分類,通過流量控管保持網路傳輸的順暢。
• 這就像車輛走在道路上,不同的車種走不同的通道,快速而有秩序的通過以保待通道的順暢性。提供特定標籤給特殊需求者優先的服務權,如緊急醫療服務系統、119、110…等社會緊急資源的應用。
• 透過IPv6與建全的QoS機制能確保即時線上的連線、防止服務中斷以及提高網路的效能,讓訊息傳輸達到一定的水準。
-
27
IPv6優點三:隨插即用
• IPv6通訊協定支援自動組態(Auto-configuration),IPv6主機接上網路後可自動取得位址。這種「隨插即用」的特色可以減輕網路管理者及使用者設定及管理IP位址的負擔。
• 若配合DNS自動更新設定,可立即隨插即用上線使用。
-
28
IPv6優點四:點對點傳輸
• 在IPv6的世界裡,每個上網的人都有專屬的位址,這使得點對點的運用變得更便利,如網路電話、視訊傳輸,可即時快速的傳送給對方。
-
29
IPv6優點五:網路層安全性
• 內建個人電腦身份認證加密功能(IPsec)
• IPSec
– IPSec是過去為了解決IPv4的安全性問題所產生的IP安全協定。
– IPv6將IPSec納入其架構中,讓IPSec直接可以鑲嵌在IPv6的封包中。
-
30
位址枯竭解決方案 - IPv6
• IPv6使用128 位元的位址空間,也就是最高可有2128的位址空間
特性 IPv4 IPv6
位址數量 232 = 4.3 109 2128 = 3.41038
網路位址轉換器(NAT)
大量使用 NAT,用戶端戶連技術複雜,成本提高
不須使用 NAT,用戶自由互連,有利應用服務發展
用戶端位址配置
需手動配置或需設置系統來協助
支援自動組態,位址自動配置,隨插隨用
網路安全性 IPSec需另外設定 內建IPSec加密機制
行動性支援支援度低,不易支援跨網段漫游連線
支援度高,有利於解決跨網段漫游的連線障礙
QoS機制 QoS支援度低 表頭設計直接支援QoS機制
-
31
Unicast Address Structure
2003:0:0:B3::1234/64
網路位址部份 2003:0:0:B3
Interface 位址部份: 非簡寫樣式 :0:0:0:1234
簡寫樣式 ::1234
Network位址基本上由網路設備發送
Interface位址基本上由Host端決定
-
32
Network ID 設定與配送機制
1. 採用Neighbor Discovery (ND),播放Router Advertisement
2. DHCPv6 – Prefix-Delegation
3. 手動設定
4. Tunnel Server 系統自動產生或指定
5. VPN Server (IPv4 and/or IPv6)
-
33
Interface ID 產生方式
1. 採用modified EUI-64 演算法,經由MAC Address計算出Interface 位址
2. 作業系統自動產生隨機位址
3. 手動設定
4. Tunnel Server系統自動產生或指定
5. 經由加密機制產生之虛擬位址(IPv6 IPSec)
6. DHCPv6伺服器指定(Stateful)
-
34
由MAC Address 產生Interface ID
1. First three octets of MAC is Company-ID
2. Last three octets of MAC is Node-ID
3. 將 FFFE置入Company ID與Node-ID間
4. Company ID 2進位表示法之第7碼為Univeral/Local-Bit,設為1表示Global Scope
如: MAC Address為 00-C0-3F-BB-93-91,則
1. Company ID 為00-C0-3F, Node ID為BB-93-91
2. 00-C0-3F-FF-FE-BB-93-91
3. Company ID 2進位表示法為00000000 11000000 00111111
4. 將第7bit改為1,為00000010 11000000 001111111
5. 重組為02-C0-3F
6. Interface ID為 02C0:3FFF:FEBB:9391
-
35
由EUI-64產生之IPv6位址(WinXP)
-
36
The conversion of a universally administered, unicast
IEEE 802 address to an IPv6 interface identifier
-
37
由演算法產生之IPv6位址(Win 7)
-
38
ipconfig (Win 7)
-
39
ipconfig /all (Win 7)
-
40
pathping (Windows)
-
41
pathping (Windows)
-
42
pathping (Windows)
-
43
pathping (Windows)
-
44
使用IPv6位址開啟網頁
IPv6位址前後需要加入中括號才能連線
-
45
IPv4 vs. IPv6
Version IPv4 IPv6
位址空間 2^32 =4,294,967,296 2^128 ≒3.4*10^38
ICMP發放方式 以廣播(Broadcast )方式 以群播(Multicast)方式
QoS策略 推測遺失資料與暫存器 資源保留與優先等級
協定的可擴充性
沒有彈性(最多提供1個Option欄位的擴充)
較有彈性(具有延伸標頭)
IPSec的支援 本身沒有支援,需額外設定 將IPSec納入本身協定中
Plug and Play 需透過DHCP分配IP具有Statefull (透過DHCPv6 )與Stateless (自動組態)分配IP
繞回位址 127.0.0.1 ::1
表示方式 十進位表示,以點分隔 十六進位表示,以冒號分隔
-
46
IPv6參考資源網站
• IPv6計畫入口網站 http://www.ipv6.org.tw/
• IPv6技術手冊 http://ipv6launch.tw/book.html
• IPv6 Virtual Lab http://ipv6launch.tw/ipv6lab/
• IPv6準備度分析網站 http://v6readiness.ipv6.org.tw/
• IPv6台灣網站名錄網站 http://v6directory.twnic.net.tw/
• IPv6設備名錄網站 http://v6product.ipv6.org.tw/
http://www.ipv6.org.tw/http://ipv6launch.tw/book.htmlhttp://ipv6launch.tw/ipv6lab/http://v6readiness.ipv6.org.tw/http://v6directory.twnic.net.tw/http://v6product.ipv6.org.tw/
-
47
THANK YOU
-
1
IPv6 Cisco Router設定
-
Cisco Router
設定IPv6
2
-
網路架構圖
3
Windows10
ISP路由器
LAN 192.168.1.1
2001:470:fa1f:d901::1/64
WAN 210.201.80.1
2001:470:fa1f:cccc::a901/6
4
WAN 210.201.80.254
2001:470:fa1f:cccc::1
192.168.1.10
2001:470:fa1f:d901::10/64
fa0/0fa0/1
Windows Server 2012
192.168.1.12
2001:470:fa1f:d901::12/64
Linux CentOS 6.5
192.168.1.5
2001:470:fa1f:d901::5/64
CISCO 7200
IPv4 NAT Server
Switc
h
-
啟動Router支援IPv6及設定網路介面位址
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration Mode
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ipv6 unicast-routing //啟動路由器支援IPv6路由協定
Router(config)#interface FastEthernet0/0 //進入FastEthernet0/0介面
Router(config-if)#ipv6 nd ra suppress //此介面不需RA功能,先將RA功能關閉
Router(config-if)#ipv6 address 2001:470:fa1f:cccc::a901/64 //指定IPv6位址,此為對外的WAN端
Router(config-if)#no shutdown //啟用此介面
Router(config-if)#
*Mar 24 14:41:47.635: %LINK-3-UPDOWN: Interface FastEthernet0/0, changed state to up
*Mar 24 14:41:47.639: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/0 Physical Port Administrative
State Down
*Mar 24 14:41:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/0, change
d state to up
Router(config-if)#exit //離開FastEthernet0/0介面
Router(config)#ipv6 route ::/0 2001:470:fa1f:cccc::1 //設定對外IPv6預設路由
Router(config)#
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 address 2001:470:fa1f:d901::1/64 //指定IPv6位址,此為對內的LAN端
Router(config-if)#no shutdown //啟用此介面
Router(config-if)#
*Mar 24 14:42:44.919: %LINK-3-UPDOWN: Interface FastEthernet0/1, changed state to up
*Mar 24 14:42:44.923: %ENTITY_ALARM-6-INFO: CLEAR INFO Fa0/1 Physical Port Administrative
State Down
*Mar 24 14:42:45.923: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0/1, change
d state to up
Router(config-if)#
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
//以下指令依是否只使用DHCPv6而不使用RA之需求進行設定
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用R
A配發位址,兩個 172800 秒指的是 valid time 與 life time
4
-
確認IPv6對外連線
Router#ping 2600:: //使用ping進行測試,也可ping其他ipv6主機Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2600::, timeout is 2 seconds:
!!!!! //出現驚嘆號表示可以正常對外連線Success rate is 100 percent (5/5), round-trip min/avg/max = 576/590/604 ms
Router#
5
Router#ping 2600:: //使用ping進行測試,也可ping其他ipv6主機
Router#show running-config //查看目前設定狀況
----------------------------interface FastEthernet0/0
no ip address
duplex auto
speed auto
ipv6 address 2001:470:FA1F:CCCC::A901/64
ipv6 nd ra suppress
!
interface FastEthernet0/1
no ip address
duplex auto
speed auto
ipv6 address 2001:470:FA1F:D901::1/64
!
----------------------------
-
使用Windows 10作為用戶端進行驗證及測試
6
-
使用Windows 10作為用戶端進行驗證及測試
7
-
IPv6路由設定實作
• IPv6網路架構
8
WAN IPv6位址 WAN IPv6匣道 LAN IPv6網段
單台LAN IPv6設定 2001:470:fa1f:cccc::a901/64 2001:470:fa1f:cccc::1 2001:470:fa1f:d901::/64
-
IPv6路由設定實作
• Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R1a
R1a(config)#ipv6 unicast-routing
R1a(config)#interface FastEthernet0/0
R1a(config-if)#ipv6 nd suppress-ra ##此為舊版指令R1a(config-if)#ipv6 nd ra suppress
R1a(config-if)#ipv6 address 2001:470:fa1f:cccc::a901/64
R1a(config-if)#no shutdown
R1a(config-if)#exit
R1a(config)#ipv6 route ::/0 2001:470:fa1f:cccc::1
• ===
• R1a>enable
R1a#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
R1a(config)#interface FastEthernet0/1
R1a(config-if)#ipv6 address 2001:470:fa1f:d901::1/64
R1a(config-if)#no shutdown
R1a(config-if)#exit
9
-
1
IPv6位址配發與管理介紹
-
大綱
• IPv6有什麼不一樣
• 如何使用128位元的Public Address
• 無狀態自動定址怎麼用
2
-
IPv6有什麼不一樣
3
• 我可以配發到多少位址?
• 一個Subnet要分配位址?128位元位址
全使用Public IP
• Neighbor Discovery 取代ARP
• Router Advertisement提供自動定址取消Broadcast 以Multicast代替
• IPv6網路如何自動配發位址?
• 家用網路如何取得Public位址?無狀態自動定址Plug & Play !?
• IPv6 Fragmentation如何運作?
• 什麼是IPv6 Path MTU Discovery?固定長度Header / Extension Header
-
128位元位址全使用Public IP
4
-
IPv6位址結構
• 使用128位元的位址空間,每4 位元位址以16進位制字符表示(0010 0000 0000 0011 即為2003)
• 分為八組,每4個16進位制字符以冒號分隔:
– 每組字符開頭之數字0可省略,例如000F可簡寫為F
– 一組字符全為0則可簡寫為0,例如0000可簡寫為0
– 連續幾組字符全為0,則可省略為雙冒號,但以一次為限,例如0000:000:0000可簡寫為 ::
• 範例:20030000000000B30000000000000123
2003:0000:0000:00B3:0000:0000:0000:0123(完整寫法)
2003:0:0:B3::123(簡寫)
5
-
IPv6位址網段如何表示
• IPv4位址網段表示方式
– 192.168.0.0/24 (或192.168.0.0/255.255.255.0)代表192.168.0.0 – 192.168.0.256
– 192.168.0.0/25 (或192.168.0.0/255.255.255.128)代表192.168.0.0 – 192.168.0.128
• IPv6位址網段表示方式:
– 2001:1:2:3::/6464 bits Routing Prefix,又稱為 /64代表2001:1:2:3:: - 2001:1:2:3:ffff:ffff:ffff:ffff前64位元由ISP配發,其餘(64位元)可自由任意使用
• /64代表多少IPv6位址?
– IPv4有32位元位址空間IPv4位址總共大約43億個(232)
– /64 IPv6位址有64位元空間264=232232= 43億 43億
6
-
IPv6區域網路
• IPv4 NAT上網– NAT, Network Address Translation (網路地址轉換)
– 一個Public IP位址轉成無數個Private IP位址 (IP分享器)
• IPv6 使用Public IPv6位址直接上網(Routing)– 同時需要一個 IPv6 WAN位址及一段IPv6 LAN位址
– 區域網路內的電腦可與網際網路雙向直接互通
7
NAT211.72.211.8/32
192.168.0.2/24
192.168.0.1/24
192.168.0.3/24
Router2001:a:b:1::1/64
2001:a:b:2::2/64
2001:a:b:2::1/64
2001:a:b:2::3/64
可自行指定任何Private網段
使用ISP核發的Public網段
PPPoE上網時,ISP如何發放IPv6網段?
-
IPv6區域網路位址
• 所有電腦直接使用公用(Public) IPv6位址– 辦公室網路或家用網路均直接使用ISP提供之IPv6位址
– 網路內主機對外通信不再經由NAT,而是直接通信
• 每個區域網路一律分配 /64 之IPv6位址– IPv6位址 = 64位元 Network ID + 64位元 Host ID
• 如果ISP核發 /56的IPv6位址?– Network ID = 56位元 Routing Prefix + 8位元 Subnet ID
8
2001:0db8:0:12 00 ~ FF :: ~ FFFF:FFFF:FFFF:FFFF
Routing Prefix
(路由首碼)56 bits, 由ISP配發而來
Subnet ID
(子網路識別碼)8 bits,自行分配
Host ID
(主機識別碼)64 bits, 子網路內自由使用
2001:0db8:0:1200::/56 = 2001:0db8:0:1200::/64 ~ 2001:0db8:0:12FF::/64
Network ID (網路識別碼) Host ID (主機識別碼)
-
ISP會發給我多少IPv6位址
• 單機PPPoE撥接上網
– 單機撥接,配發/64位址1個
• Home Router PPPoE撥接上網
– 配發 /64 WAN位址1個
– 配發 /64 LAN位址一段 (DHCP-PD)
• 小型辦公室用戶
– 配發/56 LAN位址一段 (56 bits Prefix, 8 bits Subnet ID)
– 可再分成256個 /64子網段
• 中型辦公室用戶
– 配發/48 LAN位址一段 (48 bits Prefix, 16 bits Subnet ID)
– 可再分成65,536個 /64子網段
9
-
如何規劃IPv6位址的配置方式
以2001:a:b:cd00/56為例
10
網段 用途
2001:a:b:cd00/56 機房
2001:a:b:cd10/56 第1辦公大樓
2001:a:b:cd20/56 第2辦公大樓
2001:a:b:cd30/56 第3辦公大樓
… …
2001:a:b:cd00/64 Loopback
2001:a:b:cd01/64 Link
2001:a:b:cd02/64 Server Farm 1
2001:a:b:cd03/56 Server Farm 2
… …
2001:a:b:cd10/64 Loopback
2001:a:b:cd11/64 Link
2001:a:b:cd12/64 LAN 1
2001:a:b:cd13/56 LAN 2
… …
Link :/127Subnet :/64
-
無狀態自動定址Plug & Play !?
11
-
IP位址自動指派技術
• IPv4 DHCP
– 指派位址、Gateway、DNS
– 指派其他參數(Option)
– 安全管理(MAC過濾、指派固定位址、提供位址使用紀錄)
• IPv6 ? (簡化後的複雜)– Stateless Address Auto-configuration, SLAAC
– Stateless DHCPv6
– Stateful DHCPv6
12
-
IPv6位址自動指派技術SLAAC
• 無狀態位址自動配置(Stateless Address Auto-configuration, SLAAC)
– 用戶端發出Router Solicitation, RS (FF02::2)
– Router Advertisement, RA (FF02::1)提供IPv6 Prefix、Gateway address、DNS address
– 用戶端產生Host ID(EUI-64/Randomize/Privacy Extensions)• EUI-64, netsh interface ipv6 set global randomizeidentifiers=disabled
• 亂數法, netsh interface ipv6 set global randomizeidentifiers=enabled
• Privacy Extensions, netsh interface ipv6 set privacy state=enabled
– IPv6位址 = IPv6 Prefix + Host ID
13
用戶端
路由器
RS
RA (IPv6 Prefix、Gateway、DNS)
-
IPv6位址自動指派技術SLAAC
• SLAAC優點
– 簡單方便,Plug & Play
– 不需要安裝DHCP伺服器
– 用戶端不需要DHCP程式
• SLAAC缺點
– Windows作業系統尚未支援RDNSS協定,無法經由RA獲得DNS Server位址 (在雙協定下,IPv4 DNS足以運作)
– 不會紀錄IPv6位址使用者,不會定時維護IPv6使用狀況(DHCP renew)
• 適用場域
– 物件連網
14
-
IPv6位址自動指派技術Stateless DHCPv6
• 無狀態DHCPv6 (Stateless DHCPv6)– 用戶端發出Router Solicitation, RS (FF02::2)
– Router Advertisement, RA(FF02::1)提供Prefix、Gateway
– 用戶端產生Host ID(EUI-64/Randomize/Privacy Extensions)
– IPv6位址 = IPv6 Prefix + Host ID
– 用戶端發出DHCP Solicit (FF02::1:2)
– DHCPv6伺服器回應DHCP Advertise提供DNS位址
15
用戶端
路由器
RS
RA (IPv6 Prefix、Gateway)
DHCPv6 Solicit
DHCPv6 Advertise (DNS)
-
IPv6位址自動指派技術Stateless DHCPv6
• Stateless DHCPv6優點
– 結合SLAAC與DHCPv6,功能齊全
– 不需要管理DHCP Address Pool
– 雙協定模式下,DHCP無法運作時影響不大
• SLAAC缺點
– 不會紀錄IPv6位址使用者,不會定時維護IPv6使用狀況(DHCP renew)
– Windows XP不支援DHCPv6,但有外掛程式
• 適用場域
– 家用網路或沒有嚴格網路安全考量的網路環境
16
-
IPv6位址自動指派技術Stateful DHCPv6
• 有狀態DHCPv6 (Stateful DHCPv6)– 用戶端發出Router Solicitation, RS (FF02::2)
– Router Advertisement, RA(FF02::1)提供Gateway
– 用戶端發出DHCP Solicit (FF02::1:2)
– DHCPv6伺服器回應DHCP Advertise提供IPv6 位址、DNS位址
17
用戶端
路由器
RS
RA (Gateway)
DHCPv6 Solicit
DHCPv6 Advertise (IPv6位址、DNS)
-
IPv6位址自動指派技術Stateful DHCPv6
• Statelful DHCPv6優點
– 結合SLAAC與DHCPv6,功能齊全
– 透過DHCP紀錄可依據IP位址追蹤使用者
– 可依據安全需求限制使用者,設定固定位址
• SLAAC缺點
– 管理者需具備較多網路相關技術
– 網路異常事件的查修較為複雜
– Windows XP不支援DHCPv6,但有外掛程式
• 適用場域
– 具備嚴格網路安全考量的網路環境
– 大部分辦公室環境建議選用Statelful DHCPv6
18
-
如何選擇IPv6位址自動指派技術
• 關鍵在RA封包裡的兩個位元(M-bit、O-bit)
• Cisco IOS 設定方式
config t
interface fa0/1
no ipv6 nd suppress-ra //啟動發送RA封包的功能
ipv6 nd managed-config-flag //設定M-bit為1
ipv6 nd other-config-flag //設定O-bit為1
ipv6 nd prefix []::/64 172800 172800 no-autoconfig19
位址指派 M-bit O-bitSLAAC+RDNSS 0 0
Stateless DHCPv6 0 1
Stateful DHCPv6 1 1
-
IPv6位址指派技術比較表
派址方式
預設閘道
Prefix指派
Host ID指派
DNS位址指派
說明適用環境
人工配置位址
手動設定
手動設定
手動設定
手動設定
穩定可靠、較無資安疑慮,但無彈性、設定麻煩
伺服器及網路設備
SLAAC + RDNSS
RA指派
RA指派
EUI-64或亂數法自動產生
RA指派
簡單方便,但無法管理位址指派原則及使用紀錄,但大部分作業系統尚未支援RDNSS
物件連網應用服務
Stateless DHCPv6
RA指派
RA指派
EUI-64或亂數法自動產生
DHCP指派
簡單方便,但無法管理位址指派原則及使用紀錄,另外,Windows XP不支援DHCPv6(可外掛)
家用網路環境
Stateful DHCPv6
RA指派
DHCP指派
DHCP指派
DHCP指派
可管理位址指派原則及使用紀錄,但Prefix與Gateway分由DHCP及RA指派,增加偵錯難度,另外,Windows XP不支援DHCPv6(可外掛)
辦公室網路環
境
20
-
Windows Server 2012 DHCPv6
伺服器設定支援IPv6
1
-
(一)設定Windows Server 2012固定IPv6位址
• 設定DHCP Server之前,建議先設定固定IP位址
2
-
(二)安裝DHCPv6伺服器
• 1. 使用圖形介面新增DHCP伺服器角色
• (1) 使用圖形介面新增網站伺服器角色。「新增角色及功能」 「下一步」 「角色型或功能型安裝」 「下一步」 點選「DHCP伺服器」 「新增功能」
3
-
(二)安裝DHCPv6伺服器
4
-
(三)設定及啟用DHCPv6伺服器1.啟動DHCP主控台管理工具
• 1.啟動DHCP主控台管理工具
5
-
2.以滑鼠右鍵按一下「IPv6」,再選取「新增領域」
6
-
3.請輸入領域名稱和描述
7
-
4.輸入IPv6首碼,並在喜好設定上輸入255 (如果只有一部DHCPv6伺服器)
8
-
5.新增DHCPv6排除範圍
9
-
6.設定有效存留期和慣用存留期
10
-
7.選擇立即啟用領域後,完成領域新增精靈程式
11
-
8.以滑鼠右鍵按一下「IPv6」,再選取「位址租用」,即可看到管理主控台上所維護的IP租用狀態(Statefule),包括
用戶端的IP位址,名稱與到期日
12
-
9.以滑鼠右鍵按一下「領域選項」,再選取「設定選項」,設定DNS伺服
13
-
10.勾選「00023 DNS遞迴名稱伺服器IPv6位址清單」,並在下方新增DNS 伺服器IPv6位址
14
-
11.以滑鼠右鍵按一下「IPv6」,再選取「領域選項」,即可看到「00023 DNS遞迴名稱伺
服器IPv6位址清單」設定之內容
15
-
(四)使用Windows 10作為用戶端驗證及測試DHCPv6
• 1. SLAAC+ Stateless DHCPv6
– 當Cisco Router設定發送RA及設定M-bit=0及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會至少同時取得2個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),Cache DNS Server資訊由DHCPv6取得(但當Router與DHCPv6伺服器是由不同台提供功能,可能還是會由DHCPv6伺服器取得第3個IP位址)。
16
-
17
-
2.SLAAC+ Stateful DHCPv6(隨機IPv6位址)
• 當Cisco Router設定發送RA及設定M-bit=1及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會同時取得3個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),最後一個是由DHCPv6取得。
18
-
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)• 若要使用SLAAC+ Stateful DHCPv6,Cisco Router需設定M-
bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送),並在CentOS DHCPv6伺服器的/etc/dhcp/dhcpd6.conf設定檔中,需要先取得Windows 10用戶端的DUID(此處要注意,要把Windows 10的DUID的「-」改為「:」),再加入設定檔後,重新啟動DHCPv6服務。
• 註:DUID的全名為「DHCP Unique Identifiers」(DHCP唯一識別碼),在IPv4的時候,若要依DHCP設定用戶端固定IP,可以依用戶端的MAC address做為識別碼,在IPv6,無法使用MAC address,取而代之的識別碼為DUID,每部用戶端設備只能有1個DUID,若需要辨別單一用戶端的多張網卡(例如同時擁有無線及有線網卡),則需要加入IAID(全名為Identity Association Identifier),每部用戶端的網卡的IAID必需不同,Windows Server 2008之後的DHCPv6 Server已支援IAID的設定。
19
-
20
-
21
-
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
• 若要使用Stateful DHCPv6,Cisco Router需設定M-bit=1,O-bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送)
• Windows 10建議重新開機
22
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration ModeEnter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用RA配
發位址,兩個 172800 秒指的是 valid time 與 life time
-
23
-
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
• 若要手動指定IPv6位址,Cisco Router設定不發送RA Prefix(但Gateway還是需要透過RA發送),也不能有DHCPv6伺服器,Windows 10建議重新開機,以免還存留使用RA或是DHCPv6取得的IPv6位址。
24
-
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
25
-
2626262626
Thank you!
-
Linux DHCPv6伺服器設定支援IPv6
1
-
(一)設定CentOS固定IPv6位址
• 設定DHCP Server之前,建議先設定固定IP位址,編輯/etc/sysconfig/network-scripts/ifcfg-eth1,設定IPv4及IPv6位址,設定完成後,重新啟動網路設定
• Command : # vim /etc/sysconfig/network-
scripts/ifcfg-eth1
• Command : # /etc/init.d/network restart
2
-
(一)設定CentOS固定IPv6位址-續[root@251 ~]# vim /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
#HWADDR=00:15:5D:50:F4:11
TYPE=Ethernet
#UUID=c56a3c8c-4cf8-4356-9e13-dbacb2edac60
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=static
IPADDR=192.168.1.5
NETMASK=255.255.255.0
GATEWAY=192.168.1.254
IPV6INIT=yes
IPV6_AUTOCONF=yes
IPV6ADDR=2001:470:fa1f:d901::5/64
IPV6_DEFAULTGW=2001:470:fa1f:d901::1
3
[root@251 ~]# /etc/init.d/network restart
Shutting down interface eth1: [ OK ]
Shutting down loopback interface: [ OK ]
Bringing up loopback interface: [ OK ]
Bringing up interface eth1: Determining if ip address 192.168.1.5 is already in use for device eth1...
[ OK ]
[root@251 ~]#
-
(二)安裝DHCPv6伺服器
• 若是CentOS 5.x,先下載rpm,再進行安裝
– wget
ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/dibo2
010/CentOS_5/i386/dhcp-4.1.1-24.1.i386.rpm
– yum -y remove dhclient
– rpm -ivh dhcp-4.1.1-24.1.i386.rpm
• 若是CentOS 6.x,直接使用yum安裝
– yum -y install dhcp
4
[root@251 ~]# yum -y install dhcp
Loaded plugins: fastestmirror, security
Setting up Install Process
Resolving Dependencies
--> Running transaction check
---> Package dhcp.x86_64 12:4.1.1-49.P1.el6.centos will be installed
--> Processing Dependency: dhcp-common = 12:4.1.1-49.P1.el6.centos for package: 12:dhcp-4.1.1-49.
P1.el6.centos.x86_64
----------------------------
[root@251 ~]#
ftp://ftp.pbone.net/mirror/ftp5.gwdg.de/pub/opensuse/repositories/home:/dibo2010/CentOS_5/i386/dhcp-4.1.1-24.1.i386.rpm
-
(三)設定及啟用DHCPv6伺服器1.複製DHCPv6主設定檔
• 1.複製DHCPv6主設定檔
– DHCPv6設定檔預設位於/etc/dhcp/dhcpd6.conf,但裡面無可參考使用之設定內容,可參考安裝附帶之範例檔進行設定,將/usr/share/doc/dhcp-4.1.1/dhcpd6.conf.sample複製到/etc/dhcp/dhcpd6.conf之後,再修改內容。
5
[root@251 dhcp]#/bin/cp -f /usr/share/doc/dhcp-4.1.1/dhcpd6.conf.sample /etc/dhcp/dhcpd6.conf
[root@251 dhcp]#
-
• 2.編輯修改dhcpd6.conf設定檔
6
[root@251 ~]# vim /etc/dhcp/dhcpd6.conf
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
subnet6 2001:470:fa1f:d901::/64 { #設定IPv6位址網段
# Range for clients
range6 2001:470:fa1f:d901::2 2001:470:fa1f:d901::ffff; #設定IPv6位址網段範圍
# Range for clients requesting a temporary address
range6 2001:470:fa1f:d901::/64 temporary;
# Additional options
option dhcp6.name-servers 2001:4860:4860::8888,2001:4860:4860::8844; #設定IPv6 Cache Ser
ver
option dhcp6.domain-search "ipv6lab.tw";
# Example for a fixed host address
host specialclient1 {
host-identifier option dhcp6.client-id 00:01:00:01:1E:22:D2:C3:00:15:5D:D2:0E:55; #依用
戶端網卡DUID設定固定IP6位址
fixed-address6 2001:470:fa1f:d901::dada; #依用戶端網卡DUID設定固定IP6位址
}
}
-
• 3.關閉SELinux
– CentOS預設會啟用SELinux,會影響到DHCPv6的啟動,所以需把SELinux關閉,可以用指令「setenforce 0」暫時關閉
– 或是修改/etc/sysconfig/selinux
• 找到「SELINUX=enforcing」然後修改為「SELINUX=disabled」要重新開機 reboot / restart 後才會套用。
7
-
• 4.修改防火牆設定放行DHCPv6– 修改防火牆設定,增加以下2行放行DHCPv6的rule
• -A INPUT -m state --state NEW -m tcp -p tcp --dport 547 -j ACCEPT
• -A INPUT -m state --state NEW -m udp -p udp --dport 547 -j ACCEPT
8
[root@251 ~]# vim /etc/sysconfig/ip6tables
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p ipv6-icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m tcp -p tcp --dport 547 -j ACCEPT #放行tcp 547
-A INPUT -m udp -p udp --dport 547 -j ACCEPT #放行udp 547
-A INPUT -j REJECT --reject-with icmp6-adm-prohibited
-A FORWARD -j REJECT --reject-with icmp6-adm-prohibited
COMMIT
[root@251 ~]# /etc/init.d/ip6tables restart
ip6tables: Setting chains to policy ACCEPT: filter [ OK ]
ip6tables: Flushing firewall rules: [ OK ]
ip6tables: Unloading modules: [ OK ]
ip6tables: Applying firewall rules: [ OK ]
[root@251 ~]#
-
• 5.啟動/關閉/重啟DHCPv6
– Command : # /etc/init.d/dhcpd6 start //啟動DHCPv6
– Command : # /etc/init.d/dhcpd6 stop //關閉DHCPv6
– Command : # /etc/init.d/dhcpd6 restart //重啟DHCPv6
9
[root@251 ~]# /etc/init.d/dhcpd6 start
Starting dhcpd (DHCPv6): [ OK ]
[root@251 ~]#
-
(四)使用Windows 10作為用戶端驗證及測試DHCPv6
• 1. SLAAC+ Stateless DHCPv6
– 當Cisco Router設定發送RA及設定M-bit=0及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會至少同時取得2個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),Cache DNS Server資訊由DHCPv6取得(但當Router與DHCPv6伺服器是由不同台提供功能,可能還是會由DHCPv6伺服器取得第3個IP位址)。
10
-
1.SLAAC+ Stateless DHCPv6
11
-
2.SLAAC+ Stateful DHCPv6
(隨機IPv6位址)• 當Cisco Router設定發送RA及設定M-bit=1及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會同時取得3個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),最後一個是由DHCPv6取得。
12
-
2.SLAAC+ Stateful DHCPv6
(隨機IPv6位址)
13
-
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)• 若要使用SLAAC+ Stateful DHCPv6,Cisco Router需設定M-
bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送),並在CentOS DHCPv6伺服器的/etc/dhcp/dhcpd6.conf設定檔中,需要先取得Windows 10用戶端的DUID(此處要注意,要把Windows 10的DUID的「-」改為「:」),再加入設定檔後,重新啟動DHCPv6服務。
• 註:DUID的全名為「DHCP Unique Identifiers」(DHCP唯一識別碼),在IPv4的時候,若要依DHCP設定用戶端固定IP,可以依用戶端的MAC address做為識別碼,在IPv6,無法使用MAC address,取而代之的識別碼為DUID,每部用戶端設備只能有1個DUID,若需要辨別單一用戶端的多張網卡(例如同時擁有無線及有線網卡),則需要加入IAID(全名為Identity Association Identifier),每部用戶端的網卡的IAID必需不同,目前CentOS6.5使用yum安裝的DHCPv6 Server尚不支援IAID的設定。
14
-
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)[root@251 ~]# vim /etc/dhcp/dhcpd6.conf
default-lease-time 600;
max-lease-time 7200;
log-facility local7;
subnet6 2001:470:fa1f:d901::/64 { #設定IPv6位址網段
# Range for clients
range6 2001:470:fa1f:d901::2 2001:470:fa1f:d901::ffff; #設定IPv6位址網段範圍
# Range for clients requesting a temporary address
range6 2001:470:fa1f:d901::/64 temporary;
# Additional options
option dhcp6.name-servers 2001:4860:4860::8888,2001:4860:4860::8844; #設定IPv6 Cache Ser
ver
option dhcp6.domain-search "ipv6lab.tw";
# Example for a fixed host address
host specialclient1 {
host-identifier option dhcp6.client-id 00:01:00:01:1E:22:D2:C3:00:15:5D:D2:0E:55; #依用
戶端網卡DUID設定固定IP6位址
fixed-address6 2001:470:fa1f:d901::dada; #依用戶端Windows 10網卡DUID設定固定IP
6位址
}
host specialclient2 { #若需派發多個固定IPv6位址,則再繼續增加
host-identifier option dhcp6.client-id 00:01:00:01:1E:22:D2:C3:00:15:5D:D2:0E:22; #依用
戶端網卡DUID設定固定IP6位址
fixed-address6 2001:470:fa1f:d901::da22; #依用戶端Windows 10網卡DUID設定固定IP
6位址
}
}
15
-
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)
16
-
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
• 若要使用Stateful DHCPv6,Cisco Router需設定M-bit=1,O-bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送)
• Windows 10建議重新開機
17
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration ModeEnter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用RA配
發位址,兩個 172800 秒指的是 valid time 與 life time
-
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
18
-
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
• 若要手動指定IPv6位址,Cisco Router設定不發送RA Prefix(但Gateway還是需要透過RA發送),也不能有DHCPv6伺服器,Windows 10建議重新開機,以免還存留使用RA或是DHCPv6取得的IPv6位址。
19
-
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
20
-
Windows Server 2012 DHCPv6
伺服器設定支援IPv6
21
-
(一)設定Windows Server 2012固定IPv6位址
• 設定DHCP Server之前,建議先設定固定IP位址
22
-
(二)安裝DHCPv6伺服器
• 1. 使用圖形介面新增DHCP伺服器角色
• (1) 使用圖形介面新增網站伺服器角色。「新增角色及功能」 「下一步」 「角色型或功能型安裝」 「下一步」 點選「DHCP伺服器」 「新增功能」
23
-
(二)安裝DHCPv6伺服器
24
-
(三)設定及啟用DHCPv6伺服器1.啟動DHCP主控台管理工具
• 1.啟動DHCP主控台管理工具
25
-
2.以滑鼠右鍵按一下「IPv6」,再選取「新增領域」
26
-
3.請輸入領域名稱和描述
27
-
4.輸入IPv6首碼,並在喜好設定上輸入255 (如果只有一部DHCPv6伺服器)
28
-
5.新增DHCPv6排除範圍
29
-
6.設定有效存留期和慣用存留期
30
-
7.選擇立即啟用領域後,完成領域新增精靈程式
31
-
8.以滑鼠右鍵按一下「IPv6」,再選取「位址租用」,即可看到管理主控台上所維護的IP租用狀態(Statefule),包括
用戶端的IP位址,名稱與到期日
32
-
9.以滑鼠右鍵按一下「領域選項」,再選取「設定選項」,設定DNS伺服
33
-
10.勾選「00023 DNS遞迴名稱伺服器IPv6位址清單」,並在下方新增DNS 伺服器IPv6位址
34
-
11.以滑鼠右鍵按一下「IPv6」,再選取「領域選項」,即可看到「00023 DNS遞迴名稱伺
服器IPv6位址清單」設定之內容
35
-
(四)使用Windows 10作為用戶端驗證及測試DHCPv6
• 1. SLAAC+ Stateless DHCPv6
– 當Cisco Router設定發送RA及設定M-bit=0及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會至少同時取得2個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),Cache DNS Server資訊由DHCPv6取得(但當Router與DHCPv6伺服器是由不同台提供功能,可能還是會由DHCPv6伺服器取得第3個IP位址)。
36
-
37
-
2.SLAAC+ Stateful DHCPv6(隨機IPv6位址)
• 當Cisco Router設定發送RA及設定M-bit=1及O-bit=1時,此時再加上另一台DHCPv6伺服器,Windows 10預設會同時取得3個IPv6位址,1個是SLAAC亂數產生,1個是SLAAC隨機產生(Privacy Extentions),最後一個是由DHCPv6取得。
38
-
3.SLAAC+ Stateful DHCPv6
(依DUID取得固定IPv6位址)• 若要使用SLAAC+ Stateful DHCPv6,Cisco Router需設定M-
bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送),並在CentOS DHCPv6伺服器的/etc/dhcp/dhcpd6.conf設定檔中,需要先取得Windows 10用戶端的DUID(此處要注意,要把Windows 10的DUID的「-」改為「:」),再加入設定檔後,重新啟動DHCPv6服務。
• 註:DUID的全名為「DHCP Unique Identifiers」(DHCP唯一識別碼),在IPv4的時候,若要依DHCP設定用戶端固定IP,可以依用戶端的MAC address做為識別碼,在IPv6,無法使用MAC address,取而代之的識別碼為DUID,每部用戶端設備只能有1個DUID,若需要辨別單一用戶端的多張網卡(例如同時擁有無線及有線網卡),則需要加入IAID(全名為Identity Association Identifier),每部用戶端的網卡的IAID必需不同,Windows Server 2008之後的DHCPv6 Server已支援IAID的設定。
39
-
40
-
41
-
4.Stateful DHCPv6(只依DUID取得固定IPv6位址,無SLAAC之IP)
• 若要使用Stateful DHCPv6,Cisco Router需設定M-bit=1,O-bit=1及不發送RA Prefix(但Gateway還是需要透過RA發送)
• Windows 10建議重新開機
42
Router>enable //進入Privileged Mode
Router#configure terminal //進入Global Configuration ModeEnter configuration commands, one per line. End with CNTL/Z.
Router(config)#interface FastEthernet0/1 //進入FastEthernet0/1介面
Router(config-if)#ipv6 nd other-config-flag //啟用設定O-bit =1
Router(config-if)#ipv6 nd managed-config-flag //啟用設定M-bit =1
Router(config-if)# ipv6 nd prefix 2001:470:fa1f:d901::/64 172800 172800 no-autoconfig //設定不使用RA配
發位址,兩個 172800 秒指的是 valid time 與 life time
-
43
-
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
• 若要手動指定IPv6位址,Cisco Router設定不發送RA Prefix(但Gateway還是需要透過RA發送),也不能有DHCPv6伺服器,Windows 10建議重新開機,以免還存留使用RA或是DHCPv6取得的IPv6位址。
44
-
5.手動指定IPv6位址(不使用RA也不使用DHCPv6派發IPv6位址)
45
-
4646464646
Thank you!
-
IPv6防火牆
-
防火牆配置架構圖
2
-
防火牆管理策略 (1/2)
裝置 網路參數 服務與通訊埠 安全管理策略
Web IPv4 Address: 210.201.80.130/25 IPv6 Address:
2001:470:fa1f:dd01::2/64
HTTP TCP/80 HTTP+SSL TCP/443
允許對內與對外網域提供Web服務。
Mail IPv4 Address: 210.201.80.131/25 IPv6 Address:
2001:470:fa1f:dd01::3/64
SMTP TCP/25 SMTP+Secure (TLS) TCP/587 SMTP+SSL TCP/465 POP3 TCP/110 POP3+SSL TCP/995 IMAP TCP/143 IMAP+SSL TCP/993
允許對內與對外網域提供Mail相關服務。
FTP IPv4 Address: 210.201.80.132/25 IPv6 Address:
2001:470:fa1f:dd01::4/64
FTP TCP/20 (for data) (主動模式) FTP TCP/21(for control) (Server to
Client) 如果FTP有開啟被動模式,防火
牆必須開放Server端接收被動模式Data Channel之TCP連接埠範圍,或是開啟FTP ALG(Application Layer Gateway)功能。
允許對內與對外網域提供FTP服務。
3
-
防火牆管理策略 (2/2)
DNS
IPv4 Address: 210.201.80.133/25
IPv6 Address: 2001:470:fa1f:dd01::5/64
DNS TCP/53 DNS UDP/53
允許對內與對外網域提供DNS服務。
DHCPv6-Linux Server
IPv4 Address: 192.168.1.5 IPv6 Address:
2001:470:fa1f:d901::5/64
DHCP只在內部區域網路運作,無需特別設定。
允許對內網域提供DHCP相關服務。
DHCPv6-Windows Server
IPv4 Address: 192.168.1.12 IPv6 Address:
2001:470:fa1f:d901::12/64
DHCP只在內部區域網路運作,無需特別設定。
允許對內網域提供DHCP相關服務。
內部個人電腦
IPv4 Address: 192.168.1.10 IPv6 Address:
2001:470:fa1f:d901::10/64
內部網路可對外連線,但外部網路無法對內連線。
僅允許內部電腦可以對外建立連線,使用網際網路上網。
4
-
防火牆設定以ZyXEL為例
-
ZyXEL防火牆
7.2k 5k 10k
6
-
ZyXEL防火牆
18k 57k 70k 7
-
ZyWALL USG 20防火牆設定
1. 初始化(重
設原廠值)
2. Transparent Mode 設定
3. 啟動IPv6
功能
4. 防火牆設定
•Address Object定義
•Service Object定義
•Firewall Rule設定
5. 防火牆紀錄
6. 內部電腦
與外部電腦測試
8
-
背板網路界面配置
9
-
1. 初始化連線設定
按壓 RESET(重置鍵)凹孔 6~10 秒,恢復原廠設定。
http://192.168.1.1
10
-
管理界面登入
11
-
ZyWALL USG 20管理介面
12
-
2. Transparent Mode 設定-IPv4
13
ConfigurationNetworkInterfaceBridge
-
Transparent Mode 設定-IPv6
14
ConfigurationNetworkInterfaceBridge
-
br0介面設定結果
15
-
3. 啟動IPv6功能
16
-
4. 防火牆設定
17
ConfigurationObjectAddress
-
新增Web Server IPv4與IPv6位址Object
18
-
IPv4與IPv6位址Object設定結果
19
-
新增SMTP_TLS服務Object
20
ConfigurationObjectServiceService
-
新增SMTP_TLS服務Object
21
-
新增Web服務群組Object
22
ConfigurationObjectServiceService Group
-
新增Mail服務群組Object
23
-
服務群組Object設定結果
24
-
IPv4防火牆預設規則
25
-
IPv6防火牆預設規則
26
-
開放DMZ Web Server服務設定
27
-
開放DMZ Mail Server服務設定
28
-
開放DMZ FTP Server服務設定
29
-
開放DMZ DNS Server服務設定
30
-
IPv4防火牆設定結果
31
-
IPv6防火牆規則設定結果
32
-
5.防火牆紀錄
33
MonitorLog
-
6.內部電腦與外部電腦測試
34
-
問題與討論
35