DHCP / DHCP6

[Ivo Hazmuk]

Ahoj,

také bych zkusil přispět svojí troškou do mlýna.

Dan Lukes napsal(a):
>> mam trochu obsahlejsi dotaz, tykajici se DHCP/DHCP6 a isc-dhcpd-server
>> balicku.
>> V soucasnosti pouzivam tento balicek pro pridelovani IPv4 adres a chci
>> zacit zkouset pridelovani IPv6, kde bych si chtel overit nektere
>> chovani. Vetsina provideru na IPv6 stale neni pripravena, takze
>> potrebuji vyresit i dalsi, souvisejici otazky, to je:
>> - - filtrovani IPv6
>> - - preklad IPv6-IPv4 a obracene
>> - - spravou adresaci v lokalni siti (fe80::?)
>
>
> No, IPv6 je presne pripad pro vyrok:
>
> V kazdem problemu se skryva rada podproblemu, z nichz nektere jsou vetsi
> nez puvodni problem.
>
> Jeden z nich je, ze u IPv6 neprideluje vsechny sitove parametry DHCP.
> Cast ze sitove konfigurace se ke klientovi dostane pres Router
> Advertising protokol.

A je to i na druhou stranu, kdy dle puvodniho navrhu SLAAC (stateless 
address autoconfiguration) nešířily IPv6 adresy DNS serverů. Následně 
byl standard upraven, ale ani v této době nebudou všechny klientské OS 
rozšíření rozumět.

> Pata je, ze neni az tak neobvykle, ze ti nekdo do site pripoji pocitac
> nakonfigurovany jako router, kterej ti bude do site plivat vlastni RTADV
> avizujici stateless konfiguraci a nepatricny prefix. O moznosti, ze by
> na nem mohl bezet taky DHCPv6 server nemluvim, to tak obvykle neni.

Toto ve Windows dělá Internet Connection Sharing. Pomůckou pro 
administrátora je NDPMon http://en.wikipedia.org/wiki/NDPMon

>> Pouzitelne IPv6 site by mely byt patrne z nasledujicich rozsahu, ale
>> zatim se v tom stale snazim zorientovat:
>> fe80::
>> fc00::
>> 2000::
>
> fc00 je obsolete, a nikdy se poradne pouzivat nezacalo, uz bych s tim v
> nove siti nezacinal (bez velmi dobryho duvodu) a z venku by ti nic
> takovyho prijit nemelo.

Jen pro upřesnění. Jsou Site Local IPv6 adresy FEC0::/10, které jsou v 
RFC 3879 označeny za zastaralé. Vedle toho jsou Unique Local IPv6 
Unicast Addresses z rozsahu FC00::/7. Osobně bych je nezatracoval.

> fe80 jsou link lokal adresy, to je taky feature na kterou si clovek musi
> zvyknout a ma to svy hacky.

A bez nich IPv6 konektivita nefunguje.

> Celkove je ten seznam dost neuplny. Bezne se budes potkavat s adresami
> 2001, 2002 a vyskytnou se i dalsi. Pro ucely tehle debaty ale asi neni
> potreba mit kompletni seznam pouzivanych adres ;-)

Já mám doma prefix začínající 2a02:: Tabulka rozdělení IPv6 adresového 
prostoru je na 
http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml

>> Doporucil by mi nekdo rozumne reseni i pro IPv6
>
> O tom jake reseni je nejvhodnejsi pro IPv6 muze vypuknout sverepa hadka.

Pravda je jen jedna a tu mám JÁ ;-)

> Misto toho ti reknu jak to mam ja (tam, kde IPv6 je).
>
> Ke kazde IPv4 siti mam IPv6 sit s takovou maskou aby pocet hostu byl
> stejny. Kazda adresa IPv4 ma tak sve prime a pevne dane alter-ego v IPv6
> prostoru.

Tohle nebude vždy všude fungovat. Někteří výrobci směrujících L3 
přepínačů mají problém se zpracováním proměnlivé délky prefixu v hw a 
když jsme zkoušeli mít spojovací sítě s prefixem délky 112 bitů, tak se 
tyto sítě nepropagovaly z OSPF do hw. Takže jsme se vrátili k prefixům 
délky 64 bitů všude.

> Naopak bych se vyhnul na prvni pohled velmi lakave moznosti delat
> lokalni site o velikosti 64bitu. Prave pro tuto velikost je definovane
> stateless pridelovani a je tu tudiz nejvetsi riziko, ze si klienti
> prideli adresu bez tebe.
>
> Hacek je, ze dhclient nastavi na interface masku /64 bez ohledu na to,
> jakou skutecnou delku prefixu sit pozaduje. Takze na FreeBSD abys masku
> konfiguroval staticky. Windows s tim problem nemaj, co pouzivaji Linuxy
> netusim, ale mam pocit, ze tam s tim taky byla alespon na nekterych potiz.
>
>> authoritative;

Filtrování je rozsáhlá kapitola. Určitě je nutné vhodně filtrovat 
ICMPv6. Více najdeš v https://www.ietf.org/rfc/rfc4890.txt

Teď na www.root.cz vycházejí pěkné články o bezpečnosti IPv6. 
http://www.root.cz/serialy/bezpecne-ipv6/#ic=serial-box&icc=title

	Mějte se
		I.