Какой первый пакет отправляет клиент ipv6 к маршрутизатору чтобы начать процесс slaac

Обновлено: 06.07.2024

Введение: Добрый день или вечер, или даже ночь дорогие хабрчани. В данной статье продолжим изучать особенности протокола IPv6 и его отличия от IPv4. В данной статье будет минимальное количество теории, а максимальное количество настройки. Начнем с настройки DHCPV6 и рассмотрим особенности работы этого протокола на основе протокола IPv6 также посмотрим на то как настраиваются протокола динамической маршрутизации на основе IPv6. Оборудования для настройки выберем Cisco (в третей части Juniper). Также хотелось поблагодарить всех пользователей которые комментируют, задают вопросы. Задавая некоторые не удобные вопросы вы заставляете меня лезть снова в книжки, что-то повторять что-то лучше осваивать и отвечать на ваши вопросы. Также каждый из вас может повлиять на выпуск следующей части. Не беспокойтесь задавать вопросы если, что-то не ясно.Ознакомиться с предыдущей статьей можно здесь

План
1 Настройка протокола DHCPV6
2 Настройка статических маршрутов
3 Настройка протоколов динамической маршрутизации (RIPng,EIGRP,OSPF,IS-IS,BGP)
4 Настройка ACL ( Расширенные именованные листы)
5 VRRP v3, HSPR
6 Настройка IPv6 ICMP ограничение по скорости
7 Настройка IPv6 Duplicate Address Detection

Принцип работы SLACC + DHCPV6 без отслеживание состояния

" alt=«image»/>

Проверка: show ipv6 dhcp pool,show ipv6 interface (type-number)

Введение: Добрый день или вечер, или даже ночь дорогие хабравчане. В данной статье продолжим изучать особенности протокола IPv6 и его отличия от IPv4. В данной статье будет минимальное количество теории и максимальное количество настройки. Начнем с настройки DHCPV6 и рассмотрим особенности работы этого протокола на основе протокола IPv6, также посмотрим на то, как настраиваются протокола динамической маршрутизации на основе IPv6. Оборудования для настройки выберем Cisco (в третей части Juniper).

IPV6 — это весело. Часть 1

Также хотелось поблагодарить всех пользователей, которые комментируют, задают вопросы. Задавая некоторые неудобные вопросы вы заставляете меня снова лезть в книжки, что-то повторять, что-то лучше осваивать и отвечать на ваши вопросы. Также каждый из вас может повлиять на выпуск следующей части. Не бойтесь задавать вопросы, если что-то не ясно.

Настройка протокола DHCPV6
Настройка статических маршрутов
Настройка протоколов динамической маршрутизации (RIPng,EIGRP,OSPF,IS-IS,BGP)
Настройка ACL ( Расширенные именованные листы)
VRRP v3,
Настройка IPv6 ICMP ограничение по скорости
Dual IPv4 and IPv6 Protocol Stacks

По просьбам трудящихся, прежде всего хотелось выразить свое мнение относительно IPv6 и подвести некий итог написанного в предыдущей главе. Разберу по пунктам:

В IPv6 нету Broadcast, ARP.
Broadcast частично заменили Multicast адреса и адреса Link Local (читайте предыдущую статью). ARP протокол заменен протоколом NDP;
В IPv6 нет технологии NAT, которая есть в IPv4. Смело спорьте с тем, кто скажет обратное. Экономия адресов в IPv6 не используется, адресов хватит на всех. Уровень безопасности, который обеспечивает NAT в технологии IPv4, заменен адресами Unique Local (читайте предыдущую статью), но нельзя забывать, что безопасность должны обеспечивать межсетевые экраны – это их функция. Название Nat64 которое можете встретить в литературе про IPv6, идет речь о совместном использовании технологии IPv6, IPv4 (читайте предыдущую статью);
По моим ощущениям, осталось 3-4 года для полного перехода на IPv6. По моим представлениям переход будет параллелен;
Благодаря Link Local адресам сетевые устройства могут общаться в пределах одного локального канала и только в пределах его;
Появилась фича которая называется: «проверка уникальности IPv6 адреса». Используется в DHCPV6, полный процесс будет описан чуть ниже. Суть ее в том, что после назначения ip-адреса устройству он посылает icmp запрос, destination выбирает данный ему адрес, если приходит ответ — то его адрес не уникален и нужно получать новый IPv6 адрес;
Появились адреса anycast (читать статью). В сети могут существовать несколько хостов с абсолютно идентичными IPv6-адресами. Вариант использования я выявил один, в случае, когда находятся три балансировщика около сервера. Им дается один и тот же адрес, который называется anycast. Принцип работы балансировщика пояснять не буду, так как это не тема статьи;
Вендоры, такие как Cisco или Juniper, полностью готовы к переходу на IPv6, дело остается за операторами связи и ИТ-компаниями.

Ошибки свойственны человеку, но для нечеловеческих ляпов нужен компьютер. (Paul Ehrlich)

IPv6-маршрутизация не включена по умолчанию. Чтобы маршрутизатор работал как IPv6-маршрутизатор, необходимо использовать команду глобальной конфигурации ipv6 unicast-routing.

Компьютер позволяет нам совершать ошибки гораздо быстрее, чем любые другие изобретения человечества: за исключением, пожалуй, текилы и оружия. (Mitch Radcliffe)

Принцип работы SLACC + DHCPV6 без отслеживание состояния

Существует для способа создания PC1 собственного уникального IID:

EUI-64, генерация случайным образом.

Этот процесс является частью процесса обнаружения соседних устройств ICMPv6 и известен как обнаружение адресов-дубликатов (DAD).

Утверждать, что Java хорош тем, что работает на всех ОС, — то же самое, что утверждать, что анальный секс хорош тем, что подходит к любому полу. (Alanna)

Создание языка программирования — это как прогулка по парку. По парку Юрского периода. (Larry Wall)

Программы — это как секс: гораздо лучше, когда бесплатно. (Linus Torvalds)

Настройка DHCPV6 пула

Настройка параметров пула

Если отладка — процесс удаления ошибок, то программирование должно быть процессом их внесения. (Edsger W. Dijkstra)

2) Настройка статических маршрутов в IPv6

2) Настройка рекурсивного статического маршрута

Название сети – next-hop.В данном примере разные сети next-hop один и тот же.
3) Настройка напрямую подключнного статического маршрута

Настройка полностью заданного статического маршрута IPv6

5)настройка маршрутов по умолчанию

Настройка суммарного IPv6-адреса

Если бы McDonalds разрабатывал ПО, один из сотни биг-маков был бы отравлен, а администрация отвечала бы: «В качестве извинения примите купон на два бесплатных биг-мака». (Mark Minasi)

3) Настройка динамической маршрутизации в IPv6
Ripng

передать маршрут по умолчанию

все это может выглядеть следующем образом-

6) Настройка IPv6 ICMP ограничение по скорости

7) Dual IPv4 and IPv6 Protocol Stacks

Учитывая печальное состояние современных компьютерных программ, разработку ПО до сих пор можно считать искусством, а не научной дисциплиной. (Bill Clinton)

Вот и подошла вторая часть к концу. Кто слушал — молодец. Из написанной статьи я понял одно: для настройки BGP, IS-IS нужно писать отдельные статьи. В целом настройка ipv6 не сильно отличается от ipv4, местами получается даже проще. В третьей части я опишу настройку протоколов на основе оборудования Juniper networks. Она, по сути, будет довольно короткой, поэтому оставляйте свои комментарии под статьей. Повторюсь, ваша критика, вопросы или пожелания могут повлиять на написании новой статьи. Всем удачи.

Во многих случаях клиент и DHCP-сервер могут находиться в разных сетях, например, узел А ( рис. 8.5) находится в сети 1, а сервер - в сети 2.

В этом случае маршрутизатор выступает в роли ретранслятора. Он получает от узла А широковещательные запросы (DHCP DISCOVER, DHCP REQUEST) и пересылает их на уникальный адрес (192.168.20.2) DHCP-сервера, который выделяет адреса узлу А.

В схеме сети рис. 8.5 между маршрутизатором и DHCP-сервером установлен коммутатор. Длительные процессы протоколов STP, RSTP могут стать причиной не назначения узлам адресной информации сервером. В этом случае рекомендуется конфигурировать порты коммутатора как граничные. Граничные порты сразу переходят в состояние пересылки (Forwarding), минуя состояния прослушивания (Listening) и обучения (Learning). За счет этого сокращается длительность переходных процессов протоколов STP, RSTP.

Маршрутизатор может не только выступать в роли DHCP-сервера, но и быть клиентом, когда получает IP-адрес для своего интерфейса от сервера провайдера. Обычно этот метод используется в домашних сетях и малых офисах SOHO по требованию провайдера. Конфигурирование интерфейса GigabitEthernet производится по команде:

8.3. Общие сведения о протоколе DHCPv6

В сетях IPv6 индивидуальные глобальные адреса могут быть созданы вручную администратором или получены автоматически (динамически). Причем, существуют разные способы динамического назначения адресов:

Использование только объявлений маршрутизатора, когда реализуется автоматическое получение адресной информации без отслеживания состояния (State Less Address Auto Configuration - SLAAC).
Использование объявлений маршрутизатора и протокола DHCPv6 без отслеживания состояния (DHCPv6 SLAAC).
Использование протокола DHCPv6 с отслеживанием состояния.

Способ динамического назначения адресов определяется комбинацией двух флагов, содержащихся в объявлении рассылки адресной информации ( Router Advertisement - RA):

флаг управления конфигурацией адресов М (Managet Address Configuration flag)
флаг другой конфигурации О (Other Configuration flag).

Режим SLAAC

Для того чтобы маршрутизатор начал рассылать адресную информацию, ему надо разрешить маршрутизацию IPv6:

Поскольку ни узел, ни маршрутизатор не знают, существует ли такой адрес на других узлах (маршрутизатор не отслеживает состояние SLAAC), то запускается процесс поиска адресов дубликатов (Duplicate Address Detection - DAD). Для этого узел посылает эхо-запрос протокола ICMPv6 в локальный канал с собственным адресом назначения. Если ответа нет, то это означает, что сформированный адрес уникальный.

Если на интерфейсе маршрутизатора был изменен режим динамического назначения адресов, то для восстановления режима SLAAC необходимо установить флаги М и О в нулевое состояние

Сегодня мы решили затронуть тему настройки IPv6 на коммутаторах доступа SNR. Не станем писать банальностей, вроде "IPv4-адреса заканчиваются", но вспомним Республику Беларусь, где уже около года действует закон об обязательном предоставлении абонентам IPv6-адресов. Обратимся к статистике Google, которая фиксирует рост доли IPv6 в мировом сетевом трафике с 5,5% в январе 2015 до 32% в октябре 2020. Согласитесь, не взрывной, но уверенный рост. Предоставление IPv6-адресов также может стать конкурентным преимуществом для операторов связи, это можно использовать в целях маркетинга.

Статистика Google по использованию IPv6 в мировом сетевом трафике

Краткий обзор IPv6

Протокол сетевого уровня IPv6 (RFC 8200) решает не только проблему нехватки классических IP-адресов. Многие механизмы в нем пересмотрены, что-то оптимизировали, от чего-то отказались. Увеличение длины IP-адреса с 32 до 128 бит - пожалуй, наименьшее из изменений.

Ключевые отличия от IPv4

Полностью переработан заголовок IP-пакета.
Полный отказ от бродкаста в пользу мультикаста.
Отказ от классов сетей.
На смену протоколу ARP пришел Neighbor Discovery Protocol (NDP).
Добавлен механизм SLAAC, позволяющий получить уникальный, глобально маршрутизируемый IPv6-адрес без использования какого-либо DHCP-сервера.
Добавлен механизм Prefix Delegation, позволяющий CPE анонсировать префикс оператора связи, а IPv6-хосту генерировать себе на его основе адрес.
В силу количества IPv6-адресов NAT становится не нужен.
Введены новые типы сетевых адресов.
Вместо маски подсети используется только длина префикса.

Заголовок IPv6

Сравним заголовки IPv4 и IPv6-пакетов, используя картинки прямо из RFC:

Заголовок пакета IPv4

Заголовок пакета IPv6

Можно заметить, что в новой версии протокола заголовок заметно упростился за счет использования меньшего количества полей. Разработчики посчитали, что на современном оборудовании часть из них просто не нужна. Например, нет смысла считать контрольную сумму, если это уже сделано на канальном уровне и будет сделано на транспортном. Т.к. IPv6-заголовок имеет фиксированную длину 40 байт, то и в поле IHL (Internet Header Length) больше нет смысла и т.д. Добавлено совершенно новое поле ‘IPv6 Flow Label’, служащее для упрощения маршрутизации пакетов одного потока (RFC 6437).

Neighbor Discovery Protocol вместо ARP

Типы IPv6 адресов

Global Unicast Address - аналог внешнего IPv4-адреса;
Link-Local Unicast Address - совершенно новый тип служебных IP-адресов, служащих для взаимодействия протоколов;
Unique Local Addresses - аналог внутреннего IPv4-адреса.

Методы динамической конфигурации IPv6-адреса

Stateless Address Autoconfiguration (SLAAC).
Stateless DHCPv6.
Stateful DHCPv6.

Основные настройки IPv6 на коммутаторах SNR

Разобравшись с теорией, можно переходить к практике. Рассмотрим базовые настройки IPv6 на коммутаторах доступа SNR.

Хочется отметить, что все управляемые коммутаторы SNR, от FastEthernet моделей, таких как SNR-S2985G-24TC, до гигабитных коммутаторов с 10Г аплинками ( SNR-S2989G-24TX), поддерживают одинаковый функционал и имеют одинаковые настройки в части IPv6.

Назначить IPv6-адрес управления

Назначить адрес L3-интерфейсу можно несколькими методами. Полностью указать его с длиной префикса, использовать метод EUI-64 или использовать DHCPv6-клиент. Последний способ требует предварительно внесения в конфигурацию строки ‘service dhcpv6’. Рассмотрим все три способа на трех VLAN-интерфейсах:

Задать статическую IPv6 neighbor-запись

Полностью аналогично статической ARP-записи и производится из-под VLAN-интерфейса.

Настроить DHCPv6 Relay

Security RA и его использование

Важно отметить, что механизмы защиты Security RA и SAVI являются взаимоисключающими.

SAVI и DHCPv6 Snooping

Настройка savi check binding имеет два режима. Simple mode удаляет записи из таблицы, когда порт находится в состоянии DOWN, а время аренды IPv6-адреса истекло. Probe mode дополнительно посылает NS-пакет перед этим для дополнительной проверки состояния клиента. Если NA-пакет не получен в ответ, запись удаляется.

CPS (Control Packet Snooping)

CPS работает совместно с SAVI и анализирует IPv6-пакеты на предмет префикса. Если он не соответствует тому, что задан в CPS, выдаваемый DHCPv6-сервером адрес не попадет в SAVI биндинг-таблицу. Рассмотрим порядок его настройки. Пропишем разрешенный префикс для global-unicast адреса, а затем префикс fe80::/64 под который будут подпадать все link-local адреса:

Теперь если DHCPv6-сервер во VLAN 100 отдаст на DHCP-SOLICIT-запрос адрес с отличным от 2001:db8:100:1::/64 префиксом, такой адрес не попадет в SAVI биндинг-таблицу.

ND Security

ND Security позволяет влиять на автоматическое изучение neighbor-записей и контролировать их, является полным аналогом ARP Security. Три рассматриваемые далее команды можно применять как глобально, так и из-под VLAN-интерфейса. Тогда они будут применяться только в этом VLAN. Рассмотрим пример использования ND Security. На данный момент имеем в neighbor-таблице две записи, связанные с тестовым ПК1.

IPv6 neighbour table: 2 entries

Теперь рассмотрим команду ‘ipv6 nd-security updateprotect’. Как понятно из названия, она блокирует обновление MAC-адресов в neighbor-записях. Если после ее применения изменить MAC-адрес на тестовом ПК, то его запись в neighbor-таблице не обновится.

На данный момент обе записи в таблице динамические. Сконвертируем их в статические командой ‘ipv6 nd-security convert’. Записи стали статическими и попали в конфигурацию:

IPv6 neighbour table: 2 entries

Наконец, запретим автоматическое изучение новых neighbor-записей командой ipv6 nd-security learnprotect‘. ’

Заключение

Подводя итог, можно сказать, что мы поговорили про основные особенности IPv6, принцип работы и посмотрели на самые яркие отличия от IPv4. Рассмотрели типы адресов и все способы их выдачи. На этом мы, надеюсь, не заканчиваем знакомиться с протоколом IP шестой версии. Если статья вызовет достаточный интерес, то можно ждать продолжения - рассказ про работу с опциями 18 (interface-id), 37 (remote-id) и 38 (subscriber-id). А также детальное рассмотрение DHCPv6-снупинга и релея на коммутаторах доступа SNR.
По всем вопросам вы можете обратиться к вашему менеджеру. Напоминаем, что у нас есть Telegram-канал, а также подробная база знаний.

Читайте также: