DHCP / DHCP6
Ivo Hazmuk
ivo at vutbr.cz
Tue May 5 16:37:07 CEST 2015
Ahoj,
také bych zkusil přispět svojí troškou do mlýna.
Dan Lukes napsal(a):
>> mam trochu obsahlejsi dotaz, tykajici se DHCP/DHCP6 a isc-dhcpd-server
>> balicku.
>> V soucasnosti pouzivam tento balicek pro pridelovani IPv4 adres a chci
>> zacit zkouset pridelovani IPv6, kde bych si chtel overit nektere
>> chovani. Vetsina provideru na IPv6 stale neni pripravena, takze
>> potrebuji vyresit i dalsi, souvisejici otazky, to je:
>> - - filtrovani IPv6
>> - - preklad IPv6-IPv4 a obracene
>> - - spravou adresaci v lokalni siti (fe80::?)
>
>
> No, IPv6 je presne pripad pro vyrok:
>
> V kazdem problemu se skryva rada podproblemu, z nichz nektere jsou vetsi
> nez puvodni problem.
>
> Jeden z nich je, ze u IPv6 neprideluje vsechny sitove parametry DHCP.
> Cast ze sitove konfigurace se ke klientovi dostane pres Router
> Advertising protokol.
A je to i na druhou stranu, kdy dle puvodniho navrhu SLAAC (stateless
address autoconfiguration) nešířily IPv6 adresy DNS serverů. Následně
byl standard upraven, ale ani v této době nebudou všechny klientské OS
rozšíření rozumět.
> Pata je, ze neni az tak neobvykle, ze ti nekdo do site pripoji pocitac
> nakonfigurovany jako router, kterej ti bude do site plivat vlastni RTADV
> avizujici stateless konfiguraci a nepatricny prefix. O moznosti, ze by
> na nem mohl bezet taky DHCPv6 server nemluvim, to tak obvykle neni.
Toto ve Windows dělá Internet Connection Sharing. Pomůckou pro
administrátora je NDPMon http://en.wikipedia.org/wiki/NDPMon
>> Pouzitelne IPv6 site by mely byt patrne z nasledujicich rozsahu, ale
>> zatim se v tom stale snazim zorientovat:
>> fe80::
>> fc00::
>> 2000::
>
> fc00 je obsolete, a nikdy se poradne pouzivat nezacalo, uz bych s tim v
> nove siti nezacinal (bez velmi dobryho duvodu) a z venku by ti nic
> takovyho prijit nemelo.
Jen pro upřesnění. Jsou Site Local IPv6 adresy FEC0::/10, které jsou v
RFC 3879 označeny za zastaralé. Vedle toho jsou Unique Local IPv6
Unicast Addresses z rozsahu FC00::/7. Osobně bych je nezatracoval.
> fe80 jsou link lokal adresy, to je taky feature na kterou si clovek musi
> zvyknout a ma to svy hacky.
A bez nich IPv6 konektivita nefunguje.
> Celkove je ten seznam dost neuplny. Bezne se budes potkavat s adresami
> 2001, 2002 a vyskytnou se i dalsi. Pro ucely tehle debaty ale asi neni
> potreba mit kompletni seznam pouzivanych adres ;-)
Já mám doma prefix začínající 2a02:: Tabulka rozdělení IPv6 adresového
prostoru je na
http://www.iana.org/assignments/ipv6-address-space/ipv6-address-space.xhtml
>> Doporucil by mi nekdo rozumne reseni i pro IPv6
>
> O tom jake reseni je nejvhodnejsi pro IPv6 muze vypuknout sverepa hadka.
Pravda je jen jedna a tu mám JÁ ;-)
> Misto toho ti reknu jak to mam ja (tam, kde IPv6 je).
>
> Ke kazde IPv4 siti mam IPv6 sit s takovou maskou aby pocet hostu byl
> stejny. Kazda adresa IPv4 ma tak sve prime a pevne dane alter-ego v IPv6
> prostoru.
Tohle nebude vždy všude fungovat. Někteří výrobci směrujících L3
přepínačů mají problém se zpracováním proměnlivé délky prefixu v hw a
když jsme zkoušeli mít spojovací sítě s prefixem délky 112 bitů, tak se
tyto sítě nepropagovaly z OSPF do hw. Takže jsme se vrátili k prefixům
délky 64 bitů všude.
> Naopak bych se vyhnul na prvni pohled velmi lakave moznosti delat
> lokalni site o velikosti 64bitu. Prave pro tuto velikost je definovane
> stateless pridelovani a je tu tudiz nejvetsi riziko, ze si klienti
> prideli adresu bez tebe.
>
> Hacek je, ze dhclient nastavi na interface masku /64 bez ohledu na to,
> jakou skutecnou delku prefixu sit pozaduje. Takze na FreeBSD abys masku
> konfiguroval staticky. Windows s tim problem nemaj, co pouzivaji Linuxy
> netusim, ale mam pocit, ze tam s tim taky byla alespon na nekterych potiz.
>
>> authoritative;
Filtrování je rozsáhlá kapitola. Určitě je nutné vhodně filtrovat
ICMPv6. Více najdeš v https://www.ietf.org/rfc/rfc4890.txt
Teď na www.root.cz vycházejí pěkné články o bezpečnosti IPv6.
http://www.root.cz/serialy/bezpecne-ipv6/#ic=serial-box&icc=title
Mějte se
I.
More information about the Users-l
mailing list