Um prefixo ‘bogon’ é uma rota que nunca deve aparecer na tabela de roteamento da Internet. Um pacote roteado pela Internet pública nunca deve ter um endereço de origem em um intervalo ‘bogon'(não incluindo VPNs ou outros tipos túneis). Estes são geralmente encontrados como endereços de origem de ataques DDoS.
A equipe 6Bogon mantém recomendações atualizadas para Filtro de Pacotes e para Filtro de rotas IPv6 para xSP, descrevendo as recomendações para filtragem de pacotes e filtragem de rotas para uso em roteadores de borda que falam IPv6 em/com xSPs. Continue reading →
Durante o recebimento de pacotes para comunicação entre máquinas IPv6, o Roteador efetua uma consulta na sua tabela de roteamento IPv6 para verificar se existe alguma rota para o destino. Se a rota existir o pacote será encaminhado, senão, o pacote será descartado.
A maior parte dos parâmetros de configuração de rotas estáticas em IPv6 são idênticos ao IPv4. Como por exemplo, rota estática padrão, sumarizada e flutuante.
Os parâmetros para inserir uma rota estática IPv6 em equipamentos baseados no Comware, são:
O next-hop (ou próximo salto) pode ser identificado por um endereço IPv6, interface de saída ou ambos.
É possível verificar a tabela de roteamento IPv6 com o comando display ipv6 routing-table.
A rota “ipv6 route-static ::0 0 [próximo-salto]” é uma “rota padrão” e corresponde a qualquer prefixo IPv6 (utilizado quando uma rota específica não é encontrada na tabela de roteamento).
Exemplo de Configuração
Endereço do next-hop como link-local
Caso haja a necessidade de configurar o endereço de next-hop como endereço IPv6 link-local, é necessário configurar a interface de saída, como no exemplo abaixo:
Segue abaixo um script para atualização do Comware em um Switch HP 5120 utilizando o protocolo IPv6 como transporte. A atividade é bem simples (como em IPv4) e nos ajuda a desmistificar e nos encorajar a utilizar cada vez mais o “novo” serviço. O procedimento é o mesmo para a maioria dos Switches com o Sistema Operacional Comware (3com/H3C/HPN).
<Switch>system
[Switch] ipv6
[Switch] interface vlan 1
[Switch-Vlan-Interface-1]ipv6 address 2001:db8::2/64
[Switch-Vlan-Interface-1]quit
[Switch] quit
<Switch>
<Switch>tftp ipv6 2001:db8:1 put flash:/a5120ei-cmw520-r2208p01-s168.bin
! Fazendo backup da imagem antiga para o Servidor TFTP
<Switch>delete /unreserved a5120ei-cmw520-r2208p01-s168.bin
The contents cannot be restored!!! Delete flash:/a5120ei-cmw520-r2208p01-s168.bin?[Y/N]:y
! Devido a falta de espaçoo para manter a imagem nova e a velha nesse modelo de Switch,
! iremos deletar a imagem mais antiga.
! O comando /unreserved deleta a imagem sem jogar na lixeira da memória flash
<Switch> tftp ipv6 2001:db8::1 get A5120EI-CMW520-R2220P02.bin
! Copiando a nova imagem para o Switch
<Switch>boot-loader file flash:/a5120ei-cmw520-r2220p02.bin slot all main
This command will set the boot file of the specified board. Continue? [Y/N]:y
! Configurando a nova imagem para "bootar" após o Switch reiniciar
<Switch>disp boot-loader
Slot 1
The current boot app is: flash:/a5120ei-cmw520-r2208p01-s168.bin
The main boot app is: flash:/a5120ei-cmw520-r2220p02.bin
The backup boot app is: flash:/
<Switch>reboot
Start to check configuration with next startup configuration file, please wait.........DONE!
This command will reboot the device. Current configuration will be lost, save current configuration? [Y/N]:y
This command will reboot the device. Continue? [Y/N]:y
Reboot device by command.
! Reiniciando o Switch
<HP>display version
HP Comware Platform Software
Comware Software, Version 5.20.99, Release 2220P02
Copyright (c) 2010-2013 Hewlett-Packard Development Company, L.P.
HP A5120-48G EI Switch uptime is 0 week, 0 day, 0 hour, 2 minutes
! Validando o Upgrade
<HP>display boot-loader
Slot 1
The current boot app is: flash:/a5120ei-cmw520-r2220p02.bin
The main boot app is: flash:/a5120ei-cmw520-r2220p02.bin
The backup boot app is:
Pronto, imagem atualizada! 😉
O Software utilizado para copia da imagem foi o TFTPd64 by Ph. Jounin para Windows
A comunicação entre hosts em uma rede local com IPv6 ocorre inicialmente com a utilização de mensagens ICMPv6 para descoberta de dispositivos vizinhos . O assunto gerou uma discussão bem bacana no ultimo curso de IPv6 que participamos promovido pelo NIC.br na cidade de SP. A equipe está de parabéns pelo serviço oferecido, material e treinamento!
Para o IP versão 6 foram atribuídas funções importantes ao ICMPv6 que combinam as atividades de protocolos como o ARP, ICMP Router Discover, ICMP Redirect e etc, além de adicionar novos métodos não existentes na versão anterior do protocolo IP. A facilidade de comunicação entre equipamentos é muito pratica e em determinados cenários dispensa configuração.
A eliminação de endereços broadcast para descoberta de dispositivos foram substituídas no IPv6 por mensagens com endereços Multicast como All-Routers, All-nodes, Solicited-Node, etc.
Para a comunicação entre dispositivos na LAN são utilizada as mensagens NS (Neighbor Solicitation, ICMPv6 tipo 135) e NA (Neighbor Advertisement,ICMPv6 tipo 136) para mapeamento de endereço de rede e da camada de enlace, substituindo o ARP do IPv4.
Para a auto-configuração chamada de stateless de endereços globais (únicos, com acesso a Internet) para dispositivos da LAN, são utilizadas mensagens RS (Router Solicitation , ICMPv6 tipo 133) e RA (Router Advertisement, ICMPv6 tipo 134). Nesse caso o roteador encaminhará o prefixo de rede no segmento e os dispositivos interessados “anexarão” dinamicamente a porção de host do endereço (gerada do endereço MAC ou aleatóriamente para criar seu endereço global IPv6) além da rota default para o dispositivo.
Os protocolos de descoberta de vizinhos e descoberta de roteadores traz a possibilidade de desenvolvimento de cenários como a automação residencial onde todos os equipamentos de uma casa conversam entre si e possuem acesso a Internet, entre outros…
Como uma imagem vale mais do que mil palavras, segue um desenho explicativo para a troca de mensagens de solicitação de vizinhos e roteadores elaborado pelo Adilson Florentino no curso de IPv6; e rabiscado abaixo por nós….
Publicado originalmente em 21 DE FEVEREIRO DE 2011
A Autoconfiguração Stateless de endereços para IPv6 permite aos hosts a atribuição automática de endereços de rede sem a necessidade de um servidor DHCP e/ou configuração manual nas máquinas.
O hosts IPv6 são capazes de autoconfigurar o endereço Global baseado no prefixo de rede anunciado pelo Gateway com o protocolo de Discovery, vinculando os 64 bits finais do endereço IPv6 com uma variação do endereço MAC do dispositivo( chamado de Interface Identifier IEEE EUI-64 format).
Por exemplo, digamos que um dispositivo com o endereço MAC 00:26:b9:ce:b8:90 receba do Roteador o prefixo 2001::/64 para autoconfiguração de endereço Stateless; o resultado é o seguinte endereço IPv6: 2001::226:b9ff:fece:b890/64.
Perceba no endereço que a porção responsável pelo identificador da Interface possui uma semelhança no endereço MAC citado anteriormente: 2001::226:b9ff:fece:b890/64
O endereço MAC possui apenas 48 bits; e para completar os 64bits são inseridos no meio do endereço MAC os valores em hexadecimal FFEE.
Obs: Outro valor alterado para unicidade do endereço é o 7º Bit do endereço, que é alterado para o valor 1 ( chamado de bit Universal/Local [U/L])
Configurando
ipv6
#
interface Vlan-interface2ipv6 address 2001::1/64undo ipv6 nd ra halt! Desativando a supressão de mensagens RA(router advertisement) que são os anúncios do prefixo.
Nesse caso o host autoconfigurará o endereço baseado no prefixo da interface e terá o dispositivo como Gateway da estação.
Porém…
O leitor pode perguntar: – E a configuração de DNS?
Nesse exemplo, ainda precisaremos configurar o resolver para os hosts manualmente em IPv6 ou em IPv4.
Olá Pessoal, hoje inicio mais um artigo referente ao IPv6. Tenho certeza que grande maioria dos técnicos de informática já ouviram bastante coisa sobre o tema e mesmo assim, há uma incerteza de como isso funcionará e/ou afetará a maneira como lidamos com os endereços de rede e serviços.
Nos últimos meses tenho lido bastante coisa sobre o tema e após alguns laboratórios com os endereçamentos IP versão 6, venho percebendo que o assunto não é um bicho de sete cabeças!
Como informação nunca é de mais, postarei um resumo do meu trabalho entregue na Universidade e a dica do site http://ipv6.br/que possui um curso bacana (grátis) em português sobre o assunto…
O IP versão 6, atende todas as necessidade propostas para melhora da versão anterior. Genericamente, o IPv6 não é compatível com o IPv4, mas é compatível com os outros protocolos auxiliares da Internet, como TCP, UDP, ICMP, IGMP, DNS, etc.
A principal modificação está relacionada ao endereçamento de128 bits, comparado aos 32 bits do IPv4. O aumento na quantidade de endereços oferecem um número ilimitado de endereços na Internet, melhora na confiabilidade de endereços, flexibilidade e facilidade de multihoming para diversos Provedores (ISP), auto-configuração de endereços de rede IPv6 e comunicação fim-a-fim sem a necessidade de NAT.
Devido ao tamanho dos endereços IPv6, tornou-se impraticável a representação da mesma maneira que os endereços IPv4, como resultado, 8 grupos de 16 bits separados por dois-pontos (“:”) são representados em formato hexadecimal:
1234:5678:9ABC:DEF0:1234:5678:9ABC:DEF0
Tendo em vista a utilização de vários endereços contendo números zero, essa porção do endereço poderá ser omitida e representada por dois dois-pontos(“::”). De modo que 0987poderá ser escrito como 987. Um ou mais grupos de 16bits zero podem ser substituídos por um par de dois-pontos . Os pares de dois-pontos utilizados na abreviação podem ser utilizados somente uma vez, para eliminar ambigüidade.
Como exemplo a abreviação do endereço2001:0002:0000:0000:00A1:0CC0:0234:9876 poderá ser da seguinte forma:
2001:2:0:0A1:CC0:234:9876
2001:0002::00A1:0CC0:0234:9876
2001:2::A1:CC0:234:9876
Para o uso de mais de um IP em um mesmo dispositivo, foram criados os seguintes esquemas:
Unicast: similar aos endereços unicast IPv4, um endereço unicast IPv6 é endereçado para uma única interface. Uma interface poderá ter vários endereços unicast. Os endereços em unicast podem ser global, link-local, unique local(ULA) e IPv4 compatible.
Multicast: neste esquema, um único dispositivo consegue identificar várias interfaces na rede, permitindo o envio individual de pacotes; Um pacote enviado para um endereço multicast é entregue para todas as interfaces identificadas com o endereço multicast.
Anycast: o endereço IPv6 pode estar atribuído a mais de uma interface/dispositivo, ao invés de uma individual. Todos os nós com o mesmo endereço unicast proverão serviços de maneira uniforme. Um exemplo de serviço anycast é o balanceamento de entrega de serviços de conteúdo.
No endereçamento IPv4, o broadcast resulta em inúmeros problemas, incluindo problemas na rede conhecidos como tempestade de broadcast que podem parar a LAN completamente. O Broadcast não existem nas redes IPv6, os broadcasts foram substituídos por endereços multicast e anycast.
O segundo aperfeiçoamento importante no IPv6 é a simplificação do cabeçalho. O cabeçalho IPv4 contem 12 campos básicos contra 7 do IPv6. Esta mudança permite aos roteadores encaminharem os pacotes com maior agilidade, melhorando o throughput e o retardo.
O cabeçalho IPv6 contem os seguintes campos:
Version: possui 4 bits, o mesmo que no IPv4. No IPv6 o campo contem o numero 6.
Traffic class: possui 8 bits e função similar ao campo IPv4 type of service (ToS). Este campo marca o pacote para diferenciação de Qualidade de Serviço dos pacotes IP (QoS).
Flow Label: este novo campo possui 20 bits e poderá ser utilizado para a marcação na origem para especificação do pacote como parte de um determinado fluxo. O fluxo pode ser configurado com antecedência e ter um identificador atribuído a ele e forçando aos Switches Multicamadas e Roteadores verificar nas tabelas internas que tipo de tratamento especial ele exigem, para melhor encaminhamento e desempenho.
Payload lenght: determina o numero de bytes que seguem o cabeçalho de 40bytes.
Next header: o valor de 8 bits determina o tipo de informação que segue o cabeçalho IPv6 básico.O cabeçalho pode ser simplificado porque existe a possibilidade de haver outros cabeçalhos de extensão(opcionais).
Hop limit: campo de 8 bits com função similar ao campo TTL da versão 4
Source address: Campo de 128 bits que identifica a origem do pacote.
Destination address: Campo de 128 bits que identifica o destino do pacote.
Extension headers: Esses cabeçalhos podem ser criados com a finalidade de oferecer informações extras para tornar o encaminhamento mais rápido e eficiente. Estes cabeçalhos extras permitem uma maior eficiência, devido ao tamanho do cabeçalho, que pode ser ajustado às necessidades. Os cabeçalhos devem ser utilizados de forma encadeada permitindo uma maior flexibilidade, porque podem ser sempre adicionados novos cabeçalhos para satisfazer novas especificações. As especificações actuais recomendam a seguinte ordem:
1. IPv6
2. Hop-By-Hop Options Header
3. Destination Option Header
4. Routing Header
5. Fragment Header
6. Authentication Security Payload Header
7. Destination Options Header
8. Upper-Layer Header
O cabeçalho de autenticação, pertencente ao extension headers, oferecendo um mecanismo pelo qual o receptor de um pacote pode ter certeza de quem enviou. A carga útil de segurança criptografada torna possível criptografar o conteúdo do pacote. Esses cabeçalhos utilizam técnicas criptográficas para alcançar os objetivos a que se propõem. O IPsec torna-se nativo ao IPv6 com o authentication header (AH), com o next-header com o valor igual 51 e o cabeçalho Encapsulating Security Payload (ESP), com o next-header com o valor igual 50 que poderão ser utilizados dentro do IPsec para providenciar autenticação, integridade e confidencialidade do pacote.
Muitas das alterações incorporadas ao IP versão 6 referem-se a melhora no desempenho no encaminhamento dos pacotes como a remoção do campo checksum ( presentes na camada de enlace e transporte, tornando-a redundante no cabeçalho IP) e melhora no processo de fragmentação.
Na prática, o espaço de endereços não será utilizado com eficiência, mas haverá na versão 6 uma inesgotável quantidade de endereços para PDAs, pen-tablets, celulares, carros, eletrodomésticos, edifícios inteligentes, monitoramentos médicos e etc. Devido a isso os dispositivos poderão ter mais de um endereço IP tornando possivel que certos serviços sejam executados simultaneamente numa mesma máquina e para cada um haverá uma conexão exclusiva.
Cadê a Máscara do IPv6?
Os endereços IPv6 trabalham diretamente com os prefixos, similar a representação atual que fazemos nas redes IPv4 ( 192.168.1.0/24) que representam a os bits de rede e os bits de host.
Para as redes locais é sugerido a utilização de prefixos /64, então se quiséssemos configurar o primeiro endereço válido da rede 2001:0db8:0000:000:0000:0000:0000:0000/64 em um roteador, poderiamos configurar com o endereço IPv6 na interface como ipv6 address2001:db8::1/64 ( fácil, fácil )!
E vocês, qual a sua experiência com endereços IPv6 (alguma, nenhuma)? Comentem!!
Bibliografia Redes de Computadores – 4ª edição
Andrew S. Tanenbaum Building Scalable Cisco Internetworks – 3ª edição
Diane Teare
Olá amigos, hoje escreverei um artigo sobre o RIPng, o primeiro post de uma série sobre IPv6.
O RIPng é um protocolo de Roteamento dinâmico, IGP, de vetor de distancia que permite que Roteadores troquem informações sobre as suas rotas/prefixos IPv6 dentro do domínio RIPng, utilizando-se da contagem de saltos como custo para cada prefixo (rede).
Assim como no RIP versão 1 e 2 (redes IPv4), o RIPng utiliza a contagem de até 15 saltos, conforme os Roteadores vão repassando os prefixos para os vizinhos é adicionado o custo 1 ao prefixo declarado em cada Roteador , o 16º salto é considerado inalcançável(infinito).
O RIPng possui os mesmos temporizadores (timers), procedimentos e mensagens que o RIP versão 2 ( 30 segundos para atualizações, 180 para timeout, 120 para garbage-collection e 180 segundos para holddown).
Diferente do RIP versão 2, a autenticação fica a encargo do IPv6. O RIPng encaminha e recebe datagramas UDP na porta 521.
Configurando o RIPng
• O Switch 1 possui o a rede 2001:db8:90::/64 o A comunicação com o Switch 2 será pela rede 2001:db8:1::/64 o A comunicação com o Switch 3 será pela rede 2001:db8:2::/64
• O Switch 2 possui o a rede 2001:db8:20::/64 o A comunicação com o Switch 1 será pela rede 2001:db8:1::/64 o A comunicação com o Switch 3 será pela rede 2001:db8::/64
• O Switch 3 possui o a rede 2001:0db8:30::/64 o A comunicação com o Switch 2 será pela rede 2001:db8::/64 o A comunicação com o Switch 1 será pela rede 2001:db8:2/64
Switch 1
sysname SW1
#
vlan 1
#
vlan 2
#
vlan 90
#
ipv6! Ativando o IPv6
#
interface Vlan-interface1ipv6 address 2001:DB8:1::1/64! Configurando o endereço IPv6 2001:0db8:1::1/64 ripng 1 enable! Ativando o RIPng processo 1 na interface VLAN 1
#
interface Vlan-interface2ipv6 address 2001:DB8:2::2/64! Configurando o endereço IPv6 2001:db8:2::2/64 ripng 1 enable! Ativando o RIPng processo 1 na interface VLAN 2
#
interface Vlan-interface90ipv6 address 2001:DB8:90::1/64! Configurando o endereço IPv6 2001:db8:90::1/64ripng 1 enable! Ativando o RIPng processo 1 na interface VLAN 90
#
interface GigabitEthernet1/0/31
#
interface GigabitEthernet1/0/32port link-type accessport access vlan 2
#
Um detalhe importante a ser percebido (grifado em vermelho) na visualização da tabela de Roteamento IPv6, são as rotas aprendidas dinâmicamente pelo RIPng. Repare que o endereço do NextHop (próximo salto) foi gerado dinamicamente pelo RIPng.
O endereço FE80::/10 é reservado para endereços chamados de Link-local que possuem escopo limitado e são utilizados para configuração automatica de endereços, descoberta de rotas e por diversos Protocolos de Roteamento.
No caso dos links Ethernet é utilizado a derivação do endereço MAC (48 bits) do Switch para gerar um endereço de 64 bits, por exemplo, o Switch 1 possui o endereço MAC 0024-73e0-8480. O NextHop para a rede 2001:db8:90::/64 mostrado na tabela de roteamento IPv6 do SW3 é :
Note que é inserido 16 bits (FFFE) entre o endereço MAC para criação automática do endereço Link Local.
Obs: A especificação do próximo salto para o RIPng sempre será um Link local.
[SW3]display ripng 1 route
Route Flags: A - Aging, S - Suppressed, G - Garbage-collect
----------------------------------------------------------------
Peer FE80::224:73FF:FEDC:4381 on Vlan-interface3
Dest 2001:DB8::/64,
via FE80::224:73FF:FEDC:4381, cost 1, tag 0, A, 19 Sec
Dest 2001:DB8:20::/64,
via FE80::224:73FF:FEDC:4381, cost 1, tag 0, A, 19 Sec
Dest 2001:DB8:1::/64,
via FE80::224:73FF:FEDC:4381, cost 1, tag 0, A, 19 Sec
Peer FE80::224:73FF:FEE0:8481 on Vlan-interface2
Dest 2001:DB8:2::/64,
via FE80::224:73FF:FEE0:8481, cost 1, tag 0, A, 17 Sec
Dest 2001:DB8:90::/64,
via FE80::224:73FF:FEE0:8481, cost 1, tag 0, A, 17 Sec
Dest 2001:DB8:1::/64,
via FE80::224:73FF:FEE0:8481, cost 1, tag 0, A, 17 Sec
Aos poucos irei adicionando outros posts sobre IPv6.