Jump to content
Калькуляторы

Забанить ipv6 на свитчах.

Перерыл кучу гугля, но так и не могу найти рабочий вариант, как забанить ipv6 Router advertisement и neighbor solicitation.

 

Для примера пытаюсь на циске 3560:

 

mac access-list extended mwi

а) вариант 1 permit any any 0x86DD 0x0

б) вариант 2 permit any 3333.0000.0000 0000.ffff.ffff

 

vlan access-map mwi 20

action drop

match mac address mwi

!

vlan filter mwi vlan-list 345

 

Все равно проползают.

 

А в сети уже появляются умники, анонсирующие 2002:свой_ip в своей подсети.

 

Свитч: C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(53)SE1

Share this post


Link to post
Share on other sites

Для 3750me мы меняли sdm prefer на dual-ipv4-and-ipv6 и потом делали:

 

ipv6 access-list drop-ipv6
deny ipv6 any any
!
interface FastEthernet1/0/17
ipv6 traffic-filter drop-ipv6 in

 

На влан все это дело, насколько помню, не навесить.

 

На 3560 тоже должно сработать. Только стоит сразу посмотреть на ограничения в prefer:

 

c3560#show sdm prefer dual-ipv4-and-ipv6 default 
"desktop IPv4 and IPv6 default" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

  number of unicast mac addresses:                  2K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    3K
    number of directly-connected IPv4 hosts:        2K
    number of indirect IPv4 routes:                 1K
  number of IPv6 multicast groups:                  1.125k
  number of directly-connected IPv6 addresses:      2K
  number of indirect IPv6 unicast routes:           1K
  number of IPv4 policy based routing aces:         0
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 1K
  number of IPv6 policy based routing aces:         0
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

c3560#show sdm prefer dual-ipv4-and-ipv6 vlan 
"desktop IPv4 and IPv6 vlan" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

  number of unicast mac addresses:                  8K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    0
  number of IPv6 multicast groups:                  1.125k
  number of directly-connected IPv6 addresses:      0
  number of indirect IPv6 unicast routes:           0
  number of IPv4 policy based routing aces:         0
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 1K
  number of IPv6 policy based routing aces:         0
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

c3560#show sdm prefer dual-ipv4-and-ipv6 routing 
"desktop IPv4 and IPv6 routing" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

  number of unicast mac addresses:                  1.5K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    2.75K
    number of directly-connected IPv4 hosts:        1.5K
    number of indirect IPv4 routes:                 1.25K
  number of IPv6 multicast groups:                  1.125k
  number of directly-connected IPv6 addresses:      1.5K
  number of indirect IPv6 unicast routes:           1.25K
  number of IPv4 policy based routing aces:         0.25K
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 0.5K
  number of IPv6 policy based routing aces:         0.25K
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

 

Edited by h8r

Share this post


Link to post
Share on other sites

На L2 фильтруйте:

#define ETHERTYPE_IPV6 0x86DD /* IP protocol version 6 */

 

или лучше пущайте то что вам нужно:

#define ETHERTYPE_IP 0x0800 /* IP protocol */

#define ETHERTYPE_ARP 0x0806 /* Address resolution protocol */

#define ETHERTYPE_REVARP 0x8035 /* Reverse addr resolution protocol */

#define ETHERTYPE_VLAN 0x8100 /* IEEE 802.1Q VLAN tagging (XXX conflicts) */

...

 

 

Share this post


Link to post
Share on other sites

C вопрос решился. Действительно простой mac acl с ethertype вешается на порт.

 

С линксисами плохо, нельзя одновременно mac и ip acl повесить.

 

а смысл?[\quote]

А смысл работать?

Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6?

 

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites

Дегтярев Илья

Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6?
Как он это сделает?

Share this post


Link to post
Share on other sites

Один уже сделал.

 

Анонсирует себя роутером, все с автоконфигурацией берут его подсеть и его мак шлюзом.

Если у сайта есть запись AAAA - отсылают трафик к нему.

Через мегабитный канал пользователя лезут 50 человек.

 

Share this post


Link to post
Share on other sites

Дегтярев Илья

Подскажите какие галочки нужно поставить в винде, чтобы проанонсировать себя роутером и форвардить ipv6 трафик?

Share this post


Link to post
Share on other sites

Винда может роутить, только если её включить обоими интерфейсами в сеть.

 

Что и сделал мега-админ у одного нашего клиента. Подключение оптой, стоял наш свитч.

Поставили роутер под win 7, обоими сетевухами в этот свитч, туда же еще 3 машины.

ipv4 лишнее (dhcp и левые arp) отрубил вышестоящий свитч, а вот v6 спокойно пролазят.

 

Терабайт торрентов за ночь через себя упаковал в туннель 6to4.

Share this post


Link to post
Share on other sites

А почему бы ВАМ не объявить себя роутером? Мир пытается переползти под ipv6, а тут - как бы его забанить понадежней.

Share this post


Link to post
Share on other sites

Ну началось.

Вы уже умеете считатать/шейпить ipv6 при использовании ipoe?

Найдете мне хоть одного пользователя, которому необходим нативный ipv6?

p.s. ipv6.google.com и так у всех спокойно открывается, в туннелях пусть пробегает мимо браса и становится нативным на магистрали.

 

Задача оператора деньги зарабатывать, а не спонсировать тестирование дырявых технологий.

100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт).

Share this post


Link to post
Share on other sites
100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт).

Что же мешает на каждый порт коммутатора назначить свой влан и протащить всё это хозяйства до точки терминирования? Даже если коммутатор доступа поддерживает макс. 256 вланов, то это цепочка/кольцо из 10 коммутаторов по 24 порта, у вас каскадирование ещё больше?

Share this post


Link to post
Share on other sites

Опять всякий бред предлагают.

 

Зачем мне страдать бредом ради ненужного клиентам нативного ipv6?

Вилан на юзера - и нанять еще 10 продвинутых сапортов для траблшутинга, еще 4 штуки 65ых циски для терминации? Пожалуй оставлю этот бред конкурентам.

Share this post


Link to post
Share on other sites
Задача оператора деньги зарабатывать
Всегда думал что оказывать услуги связи, а возмездно или нет личное дело.

 

 

Найдете мне хоть одного пользователя, которому необходим нативный ipv6?
А завтра президент скажет что .РФ будет самым крутым, потому что целиком на ipv6, и что нац чемпион уже предоставляет такую фичу...

Те хотя бы на стендах уже гонять нада да ликбез проходить по теме, а то можно вылететь ...из бизнеса... со своим зарабатыванием денег на очередном витке прогресса.

Заметьте, у абонентов уже всё готово: винда умеет, торренты умеют, браузеры умеют и сайты/контент есть.

Share this post


Link to post
Share on other sites

Так я и говорю, ipv6 стек у клиентов отлично работает ненативно.

И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей.

 

 

Share this post


Link to post
Share on other sites
Ну началось.
Все там будем. Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда. Но другого нет.

 

Думаю, хотя бы на уровне тестовой стойки надо уже ковырять в этом направлении, и готовить методичку для джамшутов...

Share this post


Link to post
Share on other sites

Вот как только появится свитч с dhcp snooping (всякое автоконфигурирование идет в опу), так и будем стойку собирать.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites
Так я и говорю, ipv6 стек у клиентов отлично работает ненативно.

И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей.

из общения с инженерами эриксона - "Ericsson как BRASовый производитель видит для себя приоритет в скорейшей реализации IPv6 Subscriber " так что уже скоро...

Share this post


Link to post
Share on other sites
Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда.
Вы ipv4 видели?

 

Одна только дуратская фрагментация пакетов чего стоит!

NAT - тоже не от хорошей жизни.

Нет автоконфигурации и прочих маленьких плюшек.

Share this post


Link to post
Share on other sites

Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия.

И dhcp с этим справляется.

 

c ipv4 все отлично, вот только их нараздавали неправильно.

 

У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно.

 

Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%:

например 18.0.0.0/8 прилетает одним анонсом.

Edited by Дегтярев Илья

Share this post


Link to post
Share on other sites
У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно.
Идите в советский союз, а?! На квартиру только при первом приближении надо:

1) NAS

2) 1-3 телевизера

3) 2-4 ноута

4) 2-3 бытовых девайса

5) 3-4 мобилки

 

Уже с десятка полтора набирается. Жуйте свои NATы сами!

Share this post


Link to post
Share on other sites
Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%:

например 18.0.0.0/8 прилетает одним анонсом.

Ну отнимите Вы несколько таких блоков, а что дальше, с китайцами-то что делать?

Share this post


Link to post
Share on other sites
Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия.

И dhcp с этим справляется.

 

c ipv4 все отлично, вот только их нараздавали неправильно.

Ещё раз: фрагментация пакетов - зло!

NAT чуть большее зло.

 

Там где нет "административно выделенного узла" и нужна автоконфигурация.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this