Дегтярев Илья Posted October 22, 2010 Posted October 22, 2010 Перерыл кучу гугля, но так и не могу найти рабочий вариант, как забанить ipv6 Router advertisement и neighbor solicitation. Для примера пытаюсь на циске 3560: mac access-list extended mwi а) вариант 1 permit any any 0x86DD 0x0 б) вариант 2 permit any 3333.0000.0000 0000.ffff.ffff vlan access-map mwi 20 action drop match mac address mwi ! vlan filter mwi vlan-list 345 Все равно проползают. А в сети уже появляются умники, анонсирующие 2002:свой_ip в своей подсети. Свитч: C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(53)SE1 Вставить ник Quote
h8r Posted October 22, 2010 Posted October 22, 2010 (edited) Для 3750me мы меняли sdm prefer на dual-ipv4-and-ipv6 и потом делали: ipv6 access-list drop-ipv6 deny ipv6 any any ! interface FastEthernet1/0/17 ipv6 traffic-filter drop-ipv6 in На влан все это дело, насколько помню, не навесить. На 3560 тоже должно сработать. Только стоит сразу посмотреть на ограничения в prefer: c3560#show sdm prefer dual-ipv4-and-ipv6 default "desktop IPv4 and IPv6 default" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 2K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 3K number of directly-connected IPv4 hosts: 2K number of indirect IPv4 routes: 1K number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 2K number of indirect IPv6 unicast routes: 1K number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 0.75K number of IPv4/MAC security aces: 1K number of IPv6 policy based routing aces: 0 number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K c3560#show sdm prefer dual-ipv4-and-ipv6 vlan "desktop IPv4 and IPv6 vlan" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 8K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 0 number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 0 number of indirect IPv6 unicast routes: 0 number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 0.75K number of IPv4/MAC security aces: 1K number of IPv6 policy based routing aces: 0 number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K c3560#show sdm prefer dual-ipv4-and-ipv6 routing "desktop IPv4 and IPv6 routing" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 1.5K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 2.75K number of directly-connected IPv4 hosts: 1.5K number of indirect IPv4 routes: 1.25K number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 1.5K number of indirect IPv6 unicast routes: 1.25K number of IPv4 policy based routing aces: 0.25K number of IPv4/MAC qos aces: 0.75K number of IPv4/MAC security aces: 0.5K number of IPv6 policy based routing aces: 0.25K number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K Edited October 22, 2010 by h8r Вставить ник Quote
Ivan_83 Posted October 22, 2010 Posted October 22, 2010 На L2 фильтруйте: #define ETHERTYPE_IPV6 0x86DD /* IP protocol version 6 */ или лучше пущайте то что вам нужно: #define ETHERTYPE_IP 0x0800 /* IP protocol */ #define ETHERTYPE_ARP 0x0806 /* Address resolution protocol */ #define ETHERTYPE_REVARP 0x8035 /* Reverse addr resolution protocol */ #define ETHERTYPE_VLAN 0x8100 /* IEEE 802.1Q VLAN tagging (XXX conflicts) */ ... Вставить ник Quote
Дегтярев Илья Posted October 22, 2010 Author Posted October 22, 2010 (edited) C вопрос решился. Действительно простой mac acl с ethertype вешается на порт. С линксисами плохо, нельзя одновременно mac и ip acl повесить. а смысл?[\quote] А смысл работать? Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6? Edited October 22, 2010 by Дегтярев Илья Вставить ник Quote
mschedrin Posted October 22, 2010 Posted October 22, 2010 Дегтярев Илья Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6?Как он это сделает? Вставить ник Quote
Дегтярев Илья Posted October 22, 2010 Author Posted October 22, 2010 Один уже сделал. Анонсирует себя роутером, все с автоконфигурацией берут его подсеть и его мак шлюзом. Если у сайта есть запись AAAA - отсылают трафик к нему. Через мегабитный канал пользователя лезут 50 человек. Вставить ник Quote
s.lobanov Posted October 22, 2010 Posted October 22, 2010 Дегтярев Илья Подскажите какие галочки нужно поставить в винде, чтобы проанонсировать себя роутером и форвардить ipv6 трафик? Вставить ник Quote
Дегтярев Илья Posted October 22, 2010 Author Posted October 22, 2010 Винда может роутить, только если её включить обоими интерфейсами в сеть. Что и сделал мега-админ у одного нашего клиента. Подключение оптой, стоял наш свитч. Поставили роутер под win 7, обоими сетевухами в этот свитч, туда же еще 3 машины. ipv4 лишнее (dhcp и левые arp) отрубил вышестоящий свитч, а вот v6 спокойно пролазят. Терабайт торрентов за ночь через себя упаковал в туннель 6to4. Вставить ник Quote
mschedrin Posted October 22, 2010 Posted October 22, 2010 Похоже пора мне поближе познакомиться с ipv6 Вставить ник Quote
KT315 Posted October 23, 2010 Posted October 23, 2010 А почему бы ВАМ не объявить себя роутером? Мир пытается переползти под ipv6, а тут - как бы его забанить понадежней. Вставить ник Quote
Дегтярев Илья Posted October 23, 2010 Author Posted October 23, 2010 Ну началось. Вы уже умеете считатать/шейпить ipv6 при использовании ipoe? Найдете мне хоть одного пользователя, которому необходим нативный ipv6? p.s. ipv6.google.com и так у всех спокойно открывается, в туннелях пусть пробегает мимо браса и становится нативным на магистрали. Задача оператора деньги зарабатывать, а не спонсировать тестирование дырявых технологий. 100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт). Вставить ник Quote
s.lobanov Posted October 23, 2010 Posted October 23, 2010 100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт). Что же мешает на каждый порт коммутатора назначить свой влан и протащить всё это хозяйства до точки терминирования? Даже если коммутатор доступа поддерживает макс. 256 вланов, то это цепочка/кольцо из 10 коммутаторов по 24 порта, у вас каскадирование ещё больше? Вставить ник Quote
Дегтярев Илья Posted October 23, 2010 Author Posted October 23, 2010 Опять всякий бред предлагают. Зачем мне страдать бредом ради ненужного клиентам нативного ipv6? Вилан на юзера - и нанять еще 10 продвинутых сапортов для траблшутинга, еще 4 штуки 65ых циски для терминации? Пожалуй оставлю этот бред конкурентам. Вставить ник Quote
Ivan_83 Posted October 23, 2010 Posted October 23, 2010 Задача оператора деньги зарабатыватьВсегда думал что оказывать услуги связи, а возмездно или нет личное дело. Найдете мне хоть одного пользователя, которому необходим нативный ipv6?А завтра президент скажет что .РФ будет самым крутым, потому что целиком на ipv6, и что нац чемпион уже предоставляет такую фичу...Те хотя бы на стендах уже гонять нада да ликбез проходить по теме, а то можно вылететь ...из бизнеса... со своим зарабатыванием денег на очередном витке прогресса. Заметьте, у абонентов уже всё готово: винда умеет, торренты умеют, браузеры умеют и сайты/контент есть. Вставить ник Quote
Дегтярев Илья Posted October 23, 2010 Author Posted October 23, 2010 Так я и говорю, ipv6 стек у клиентов отлично работает ненативно. И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей. Вставить ник Quote
KT315 Posted October 23, 2010 Posted October 23, 2010 Ну началось.Все там будем. Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда. Но другого нет. Думаю, хотя бы на уровне тестовой стойки надо уже ковырять в этом направлении, и готовить методичку для джамшутов... Вставить ник Quote
Дегтярев Илья Posted October 23, 2010 Author Posted October 23, 2010 (edited) Вот как только появится свитч с dhcp snooping (всякое автоконфигурирование идет в опу), так и будем стойку собирать. Edited October 23, 2010 by Дегтярев Илья Вставить ник Quote
s.lobanov Posted October 23, 2010 Posted October 23, 2010 В edgecore es3528 есть dhcp snooping для ipv6(сам не проверял) Вставить ник Quote
caz Posted October 23, 2010 Posted October 23, 2010 Так я и говорю, ipv6 стек у клиентов отлично работает ненативно.И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей. из общения с инженерами эриксона - "Ericsson как BRASовый производитель видит для себя приоритет в скорейшей реализации IPv6 Subscriber " так что уже скоро... Вставить ник Quote
Ivan_83 Posted October 24, 2010 Posted October 24, 2010 Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда.Вы ipv4 видели? Одна только дуратская фрагментация пакетов чего стоит! NAT - тоже не от хорошей жизни. Нет автоконфигурации и прочих маленьких плюшек. Вставить ник Quote
Дегтярев Илья Posted October 24, 2010 Author Posted October 24, 2010 (edited) Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия. И dhcp с этим справляется. c ipv4 все отлично, вот только их нараздавали неправильно. У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно. Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%: например 18.0.0.0/8 прилетает одним анонсом. Edited October 24, 2010 by Дегтярев Илья Вставить ник Quote
vIv Posted October 24, 2010 Posted October 24, 2010 У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно.Идите в советский союз, а?! На квартиру только при первом приближении надо:1) NAS 2) 1-3 телевизера 3) 2-4 ноута 4) 2-3 бытовых девайса 5) 3-4 мобилки Уже с десятка полтора набирается. Жуйте свои NATы сами! Вставить ник Quote
s.lobanov Posted October 24, 2010 Posted October 24, 2010 Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%:например 18.0.0.0/8 прилетает одним анонсом. Ну отнимите Вы несколько таких блоков, а что дальше, с китайцами-то что делать? Вставить ник Quote
Ivan_83 Posted October 25, 2010 Posted October 25, 2010 Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия.И dhcp с этим справляется. c ipv4 все отлично, вот только их нараздавали неправильно. Ещё раз: фрагментация пакетов - зло! NAT чуть большее зло. Там где нет "административно выделенного узла" и нужна автоконфигурация. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.