Erinevus lehekülje "Ipv6 praktiline kasutamine" redaktsioonide vahel
(→Sissejuhatus) |
(→Sissejuhatus) |
||
| 13. rida: | 13. rida: | ||
mac aadressi baasil. | mac aadressi baasil. | ||
| − | Tasub tähele panna, et aadresse jagab router advertisement, kuid see ei anna masinatele DNSi aadressi ja selleks tuleb seetõttu kasutada eraldi dhcpv6 serverit. | + | Tasub tähele panna, et aadresse jagab router advertisement, kuid see ei anna masinatele DNSi aadressi ja selleks tuleb seetõttu kasutada eraldi dhcpv6 serverit. Samuti |
| + | on võrgus pahalasel üsna lihtne hakata RA-d mängima seega on vajalik rakendada ka RA-Guard. | ||
Meil on võrk zoo.tartu.ee, mille ISP ehk teenusepakkuja on eraldanud ka | Meil on võrk zoo.tartu.ee, mille ISP ehk teenusepakkuja on eraldanud ka | ||
Redaktsioon: 3. juuni 2016, kell 12:20
Puust ja punaseks
Sisukord
Sissejuhatus
Erinevalt IPv4–st puudub IPv6 juures ARP–protokolli analoog, seda asendab naabrite avastamine (neighbord discovery protocol).
Ipv6 juures tuleb arvestada raiskamisega, see on lausa soovitatud nt kõigile klientidele on soovitada anda subnet /64 kui väikseim unit.
Üks oluline erinevus ipv4ga on see, et aadresse kirjutatakse kompressitud kujul
Iga võrguseade saab alati endale kuskil neli-viis erinevat tüüpi aadressi, nt aadressi lokaalseks suhtluseks samas subnetis, multicast, suhtlus maailmaga jne. Link-lokal genereeritakse mac aadressi baasil.
Tasub tähele panna, et aadresse jagab router advertisement, kuid see ei anna masinatele DNSi aadressi ja selleks tuleb seetõttu kasutada eraldi dhcpv6 serverit. Samuti on võrgus pahalasel üsna lihtne hakata RA-d mängima seega on vajalik rakendada ka RA-Guard.
Meil on võrk zoo.tartu.ee, mille ISP ehk teenusepakkuja on eraldanud ka lisaks Ipv4 aadressidele tüki ipv6 võrku. Soov oleks lubada ipv6 läbi keskse ruutiva tulemüüri ning teha teenused nagu mail, veeb ja dns kättesaadavaks ka üle ipv6 aadresside.
Võrgupilt
__|__
| | tulemüür
|_____|
|
|
-|---------|----------|----....---|--
| | |
__|__ __|__ __|__
| | | | | |
|_____| |_____| |_____|
mail veeb dns
Võrguteenuse pakkuja on enda ruuterisse kirjeldanud sellise ruutingu:
ipv6 route 2001:BB8:202D::/48 2001:BB8:202D:FF::2
Prefiks on 2001:bb8:2001::/64, tagumine ots on vabalt valitav. Näiteks www.zoo.tartu.ee võib olla 2001:bb8:2001:1::80 (pordi numbri järgi), või ipv4 eeskujul 2001:bb8:2001:1::131.
Ruuteri-tulemüüri seadistus
FreeBSD all tuleb anda seadmele ipv6 aadress, lubada ipv6 ruutimine ja seadistada rtadv teenus
ipv6_ifconfig_igb1="2001:bb8:2001::1/64" radvd_enable="YES" ipv6_enable="YES" rtadvd_flags="ed1" <-- ed1 on interface kuhu router reklaame saadab ipv6_gateway_enable="YES"
/usr/local/etc/radvd.conf
interface igb1
{
AdvSendAdvert on;
MinRtrAdvInterval 30;
MaxRtrAdvInterval 120;
AdvDefaultPreference low;
AdvHomeAgentFlag off;
prefix 2001:bb8:2001::/64
{
AdvOnLink on;
AdvAutonomous on;
};
};
Linux serverile ipv6 aadressi seadistamine
Anname võrguseadmele ipv6 aadressi
# ip -6 addr add 2001:bb8:2001::15/64 dev eth1
Seadistame ipv6 ruutingu
# ip route add ::/0 via 2001:bb8:2001::1 dev eth1
Testime
# ping -n ipv6.google.com
Naabrite vaatamine
# ip -6 neigh show 2001:bb8:2001:1::1 dev eth0 lladdr 00:1b:21:87:81:84 router REACHABLE
ruutingute vaatamine
# ip -6 route show
Ruutingu kustutamine
# ip -6 route del 2000::/3 dev eth0
Aadressi kustutamine võrguseadmelt
# ifconfig eth1 del 2001:bb8:2001::15/128
Testimine
Pingimine
$ ping6 ipv6.google.com
Traceroute
$ traceroute6 ipv6.google.com
Teenuste seadistamine
Mailiserveri seadistus
NB! Mailiserverile Ipv6 aadressi andes tuleb kindlasti kontrollida ka, et saaks ipv6 aadressile reevers kirje tehtud. Muidu kipuvad endamus teisi mailiservereid ilma reeversita ip pealt saadetud kirju ignoreerima.
Postfix ipv6 sõbralikuks
inet_protocols = all mynetworks = 127.0.0.0/8, 193.40.0.0/16, [::1]/128, [2001:BB8::]/32
Postgrey ipv6 sõbralikuks
postgrey patch http://lists.ee.ethz.ch/postgrey/msg02429.html
[2001:BB8::]/32
asemel
2001:BB8: 2001:bb8:
Postgrey võrdleb regexpe vaid domeeniga. Seega tuleb kirjutada suurtätede ja väiketähtedega ipv6 võrk. Nii ei saa kirjutada nt 193.40.0.0/ 16 võrku /^193\.40\./ kujul vaid peab olema 193.40
Veebiserveri Apache seadistus
DNS serveris on vajalik tekitada AAAA kirje mis on ipv6 analoog A kirjele. A-de arv näitab kordi kui palju on ipv6 aadresse rohkem.
Näiteks käib nimeserveris sama aadressi defineerimine ipv4 ja ipv6 jaoks järgnevalt
www.zoo.tartu.ee. 86400 IN AAAA 2001:bb8:2001:1::131 www.zoo.tartu.ee. 86400 IN A 193.40.45.131
Apache konfiguratsioon näeks välja järvnev
NameVirtualHost 193.40.0.15:80 NameVirtualHost [2001:bb8:2001::15]:80 <VirtualHost 193.40.0.15:80 [2001:bb8:2001::15]:80> ServerName webmail.zoo.tartu.ee DocumentRoot /www/webmail/ </VirtualHost>
Monitooring
Munin
Välisühenduse testimiseks komplekt
- ipv6.google.com 2a00:1450:8006::63
- www.ripe.net 2001:610:240:22::c100:68b
- www.sunet.se 2001:6b0:8:1::154
Ipv6 ja turvalisus
Hea ülevaade ipv6 probleemidest: https://tnc2012.terena.org/getfile/1584
