Дегтярев Илья Опубликовано 22 октября, 2010 · Жалоба Перерыл кучу гугля, но так и не могу найти рабочий вариант, как забанить ipv6 Router advertisement и neighbor solicitation. Для примера пытаюсь на циске 3560: mac access-list extended mwi а) вариант 1 permit any any 0x86DD 0x0 б) вариант 2 permit any 3333.0000.0000 0000.ffff.ffff vlan access-map mwi 20 action drop match mac address mwi ! vlan filter mwi vlan-list 345 Все равно проползают. А в сети уже появляются умники, анонсирующие 2002:свой_ip в своей подсети. Свитч: C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(53)SE1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
h8r Опубликовано 22 октября, 2010 (изменено) · Жалоба Для 3750me мы меняли sdm prefer на dual-ipv4-and-ipv6 и потом делали: ipv6 access-list drop-ipv6 deny ipv6 any any ! interface FastEthernet1/0/17 ipv6 traffic-filter drop-ipv6 in На влан все это дело, насколько помню, не навесить. На 3560 тоже должно сработать. Только стоит сразу посмотреть на ограничения в prefer: c3560#show sdm prefer dual-ipv4-and-ipv6 default "desktop IPv4 and IPv6 default" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 2K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 3K number of directly-connected IPv4 hosts: 2K number of indirect IPv4 routes: 1K number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 2K number of indirect IPv6 unicast routes: 1K number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 0.75K number of IPv4/MAC security aces: 1K number of IPv6 policy based routing aces: 0 number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K c3560#show sdm prefer dual-ipv4-and-ipv6 vlan "desktop IPv4 and IPv6 vlan" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 8K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 0 number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 0 number of indirect IPv6 unicast routes: 0 number of IPv4 policy based routing aces: 0 number of IPv4/MAC qos aces: 0.75K number of IPv4/MAC security aces: 1K number of IPv6 policy based routing aces: 0 number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K c3560#show sdm prefer dual-ipv4-and-ipv6 routing "desktop IPv4 and IPv6 routing" template: The selected template optimizes the resources in the switch to support this level of features for 8 routed interfaces and 1024 VLANs. number of unicast mac addresses: 1.5K number of IPv4 IGMP groups + multicast routes: 1K number of IPv4 unicast routes: 2.75K number of directly-connected IPv4 hosts: 1.5K number of indirect IPv4 routes: 1.25K number of IPv6 multicast groups: 1.125k number of directly-connected IPv6 addresses: 1.5K number of indirect IPv6 unicast routes: 1.25K number of IPv4 policy based routing aces: 0.25K number of IPv4/MAC qos aces: 0.75K number of IPv4/MAC security aces: 0.5K number of IPv6 policy based routing aces: 0.25K number of IPv6 qos aces: 0.5K number of IPv6 security aces: 0.5K Изменено 22 октября, 2010 пользователем h8r Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 22 октября, 2010 · Жалоба а смысл? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 22 октября, 2010 · Жалоба На L2 фильтруйте: #define ETHERTYPE_IPV6 0x86DD /* IP protocol version 6 */ или лучше пущайте то что вам нужно: #define ETHERTYPE_IP 0x0800 /* IP protocol */ #define ETHERTYPE_ARP 0x0806 /* Address resolution protocol */ #define ETHERTYPE_REVARP 0x8035 /* Reverse addr resolution protocol */ #define ETHERTYPE_VLAN 0x8100 /* IEEE 802.1Q VLAN tagging (XXX conflicts) */ ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 22 октября, 2010 (изменено) · Жалоба C вопрос решился. Действительно простой mac acl с ethertype вешается на порт. С линксисами плохо, нельзя одновременно mac и ip acl повесить. а смысл?[\quote] А смысл работать? Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6? Изменено 22 октября, 2010 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 22 октября, 2010 · Жалоба Дегтярев Илья Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6?Как он это сделает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 22 октября, 2010 · Жалоба Один уже сделал. Анонсирует себя роутером, все с автоконфигурацией берут его подсеть и его мак шлюзом. Если у сайта есть запись AAAA - отсылают трафик к нему. Через мегабитный канал пользователя лезут 50 человек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 22 октября, 2010 · Жалоба Дегтярев Илья Подскажите какие галочки нужно поставить в винде, чтобы проанонсировать себя роутером и форвардить ipv6 трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 22 октября, 2010 · Жалоба Винда может роутить, только если её включить обоими интерфейсами в сеть. Что и сделал мега-админ у одного нашего клиента. Подключение оптой, стоял наш свитч. Поставили роутер под win 7, обоими сетевухами в этот свитч, туда же еще 3 машины. ipv4 лишнее (dhcp и левые arp) отрубил вышестоящий свитч, а вот v6 спокойно пролазят. Терабайт торрентов за ночь через себя упаковал в туннель 6to4. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 22 октября, 2010 · Жалоба Похоже пора мне поближе познакомиться с ipv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KT315 Опубликовано 23 октября, 2010 · Жалоба А почему бы ВАМ не объявить себя роутером? Мир пытается переползти под ipv6, а тут - как бы его забанить понадежней. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 23 октября, 2010 · Жалоба Ну началось. Вы уже умеете считатать/шейпить ipv6 при использовании ipoe? Найдете мне хоть одного пользователя, которому необходим нативный ipv6? p.s. ipv6.google.com и так у всех спокойно открывается, в туннелях пусть пробегает мимо браса и становится нативным на магистрали. Задача оператора деньги зарабатывать, а не спонсировать тестирование дырявых технологий. 100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 октября, 2010 · Жалоба 100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт). Что же мешает на каждый порт коммутатора назначить свой влан и протащить всё это хозяйства до точки терминирования? Даже если коммутатор доступа поддерживает макс. 256 вланов, то это цепочка/кольцо из 10 коммутаторов по 24 порта, у вас каскадирование ещё больше? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 23 октября, 2010 · Жалоба Опять всякий бред предлагают. Зачем мне страдать бредом ради ненужного клиентам нативного ipv6? Вилан на юзера - и нанять еще 10 продвинутых сапортов для траблшутинга, еще 4 штуки 65ых циски для терминации? Пожалуй оставлю этот бред конкурентам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 23 октября, 2010 · Жалоба Задача оператора деньги зарабатыватьВсегда думал что оказывать услуги связи, а возмездно или нет личное дело. Найдете мне хоть одного пользователя, которому необходим нативный ipv6?А завтра президент скажет что .РФ будет самым крутым, потому что целиком на ipv6, и что нац чемпион уже предоставляет такую фичу...Те хотя бы на стендах уже гонять нада да ликбез проходить по теме, а то можно вылететь ...из бизнеса... со своим зарабатыванием денег на очередном витке прогресса. Заметьте, у абонентов уже всё готово: винда умеет, торренты умеют, браузеры умеют и сайты/контент есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 23 октября, 2010 · Жалоба Так я и говорю, ipv6 стек у клиентов отлично работает ненативно. И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KT315 Опубликовано 23 октября, 2010 · Жалоба Ну началось.Все там будем. Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда. Но другого нет. Думаю, хотя бы на уровне тестовой стойки надо уже ковырять в этом направлении, и готовить методичку для джамшутов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 23 октября, 2010 (изменено) · Жалоба Вот как только появится свитч с dhcp snooping (всякое автоконфигурирование идет в опу), так и будем стойку собирать. Изменено 23 октября, 2010 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 23 октября, 2010 · Жалоба В edgecore es3528 есть dhcp snooping для ipv6(сам не проверял) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 23 октября, 2010 · Жалоба Так я и говорю, ipv6 стек у клиентов отлично работает ненативно.И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей. из общения с инженерами эриксона - "Ericsson как BRASовый производитель видит для себя приоритет в скорейшей реализации IPv6 Subscriber " так что уже скоро... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 24 октября, 2010 · Жалоба Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда.Вы ipv4 видели? Одна только дуратская фрагментация пакетов чего стоит! NAT - тоже не от хорошей жизни. Нет автоконфигурации и прочих маленьких плюшек. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дегтярев Илья Опубликовано 24 октября, 2010 (изменено) · Жалоба Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия. И dhcp с этим справляется. c ipv4 все отлично, вот только их нараздавали неправильно. У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно. Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%: например 18.0.0.0/8 прилетает одним анонсом. Изменено 24 октября, 2010 пользователем Дегтярев Илья Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 24 октября, 2010 · Жалоба У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно.Идите в советский союз, а?! На квартиру только при первом приближении надо:1) NAS 2) 1-3 телевизера 3) 2-4 ноута 4) 2-3 бытовых девайса 5) 3-4 мобилки Уже с десятка полтора набирается. Жуйте свои NATы сами! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 октября, 2010 · Жалоба Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%:например 18.0.0.0/8 прилетает одним анонсом. Ну отнимите Вы несколько таких блоков, а что дальше, с китайцами-то что делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 25 октября, 2010 · Жалоба Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия.И dhcp с этим справляется. c ipv4 все отлично, вот только их нараздавали неправильно. Ещё раз: фрагментация пакетов - зло! NAT чуть большее зло. Там где нет "административно выделенного узла" и нужна автоконфигурация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...