Перейти к содержимому
Калькуляторы

Забанить ipv6 на свитчах.

Перерыл кучу гугля, но так и не могу найти рабочий вариант, как забанить ipv6 Router advertisement и neighbor solicitation.

 

Для примера пытаюсь на циске 3560:

 

mac access-list extended mwi

а) вариант 1 permit any any 0x86DD 0x0

б) вариант 2 permit any 3333.0000.0000 0000.ffff.ffff

 

vlan access-map mwi 20

action drop

match mac address mwi

!

vlan filter mwi vlan-list 345

 

Все равно проползают.

 

А в сети уже появляются умники, анонсирующие 2002:свой_ip в своей подсети.

 

Свитч: C3560 Software (C3560-IPSERVICESK9-M), Version 12.2(53)SE1

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Для 3750me мы меняли sdm prefer на dual-ipv4-and-ipv6 и потом делали:

 

ipv6 access-list drop-ipv6
deny ipv6 any any
!
interface FastEthernet1/0/17
ipv6 traffic-filter drop-ipv6 in

 

На влан все это дело, насколько помню, не навесить.

 

На 3560 тоже должно сработать. Только стоит сразу посмотреть на ограничения в prefer:

 

c3560#show sdm prefer dual-ipv4-and-ipv6 default 
"desktop IPv4 and IPv6 default" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

  number of unicast mac addresses:                  2K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    3K
    number of directly-connected IPv4 hosts:        2K
    number of indirect IPv4 routes:                 1K
  number of IPv6 multicast groups:                  1.125k
  number of directly-connected IPv6 addresses:      2K
  number of indirect IPv6 unicast routes:           1K
  number of IPv4 policy based routing aces:         0
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 1K
  number of IPv6 policy based routing aces:         0
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

c3560#show sdm prefer dual-ipv4-and-ipv6 vlan 
"desktop IPv4 and IPv6 vlan" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

  number of unicast mac addresses:                  8K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    0
  number of IPv6 multicast groups:                  1.125k
  number of directly-connected IPv6 addresses:      0
  number of indirect IPv6 unicast routes:           0
  number of IPv4 policy based routing aces:         0
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 1K
  number of IPv6 policy based routing aces:         0
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

c3560#show sdm prefer dual-ipv4-and-ipv6 routing 
"desktop IPv4 and IPv6 routing" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

  number of unicast mac addresses:                  1.5K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    2.75K
    number of directly-connected IPv4 hosts:        1.5K
    number of indirect IPv4 routes:                 1.25K
  number of IPv6 multicast groups:                  1.125k
  number of directly-connected IPv6 addresses:      1.5K
  number of indirect IPv6 unicast routes:           1.25K
  number of IPv4 policy based routing aces:         0.25K
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 0.5K
  number of IPv6 policy based routing aces:         0.25K
  number of IPv6 qos aces:                          0.5K
  number of IPv6 security aces:                     0.5K

 

Изменено пользователем h8r

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На L2 фильтруйте:

#define ETHERTYPE_IPV6 0x86DD /* IP protocol version 6 */

 

или лучше пущайте то что вам нужно:

#define ETHERTYPE_IP 0x0800 /* IP protocol */

#define ETHERTYPE_ARP 0x0806 /* Address resolution protocol */

#define ETHERTYPE_REVARP 0x8035 /* Reverse addr resolution protocol */

#define ETHERTYPE_VLAN 0x8100 /* IEEE 802.1Q VLAN tagging (XXX conflicts) */

...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

C вопрос решился. Действительно простой mac acl с ethertype вешается на порт.

 

С линксисами плохо, нельзя одновременно mac и ip acl повесить.

 

а смысл?[\quote]

А смысл работать?

Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6?

 

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дегтярев Илья

Смотреть как один пользователь может вызвать отказ в обслуживании для половины дома с включенным по-умолчанию стеком ipv6?
Как он это сделает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Один уже сделал.

 

Анонсирует себя роутером, все с автоконфигурацией берут его подсеть и его мак шлюзом.

Если у сайта есть запись AAAA - отсылают трафик к нему.

Через мегабитный канал пользователя лезут 50 человек.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Дегтярев Илья

Подскажите какие галочки нужно поставить в винде, чтобы проанонсировать себя роутером и форвардить ipv6 трафик?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Винда может роутить, только если её включить обоими интерфейсами в сеть.

 

Что и сделал мега-админ у одного нашего клиента. Подключение оптой, стоял наш свитч.

Поставили роутер под win 7, обоими сетевухами в этот свитч, туда же еще 3 машины.

ipv4 лишнее (dhcp и левые arp) отрубил вышестоящий свитч, а вот v6 спокойно пролазят.

 

Терабайт торрентов за ночь через себя упаковал в туннель 6to4.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Похоже пора мне поближе познакомиться с ipv6

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А почему бы ВАМ не объявить себя роутером? Мир пытается переползти под ipv6, а тут - как бы его забанить понадежней.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну началось.

Вы уже умеете считатать/шейпить ipv6 при использовании ipoe?

Найдете мне хоть одного пользователя, которому необходим нативный ipv6?

p.s. ipv6.google.com и так у всех спокойно открывается, в туннелях пусть пробегает мимо браса и становится нативным на магистрали.

 

Задача оператора деньги зарабатывать, а не спонсировать тестирование дырявых технологий.

100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

100% ближайшие 3года не появится технологий предоставления ipv6 нативно клиентам, кроме как замена всех свитчей на роутеры (давать подсеть на порт).

Что же мешает на каждый порт коммутатора назначить свой влан и протащить всё это хозяйства до точки терминирования? Даже если коммутатор доступа поддерживает макс. 256 вланов, то это цепочка/кольцо из 10 коммутаторов по 24 порта, у вас каскадирование ещё больше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Опять всякий бред предлагают.

 

Зачем мне страдать бредом ради ненужного клиентам нативного ipv6?

Вилан на юзера - и нанять еще 10 продвинутых сапортов для траблшутинга, еще 4 штуки 65ых циски для терминации? Пожалуй оставлю этот бред конкурентам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Задача оператора деньги зарабатывать
Всегда думал что оказывать услуги связи, а возмездно или нет личное дело.

 

 

Найдете мне хоть одного пользователя, которому необходим нативный ipv6?
А завтра президент скажет что .РФ будет самым крутым, потому что целиком на ipv6, и что нац чемпион уже предоставляет такую фичу...

Те хотя бы на стендах уже гонять нада да ликбез проходить по теме, а то можно вылететь ...из бизнеса... со своим зарабатыванием денег на очередном витке прогресса.

Заметьте, у абонентов уже всё готово: винда умеет, торренты умеют, браузеры умеют и сайты/контент есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так я и говорю, ipv6 стек у клиентов отлично работает ненативно.

И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну началось.
Все там будем. Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда. Но другого нет.

 

Думаю, хотя бы на уровне тестовой стойки надо уже ковырять в этом направлении, и готовить методичку для джамшутов...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот как только появится свитч с dhcp snooping (всякое автоконфигурирование идет в опу), так и будем стойку собирать.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В edgecore es3528 есть dhcp snooping для ipv6(сам не проверял)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так я и говорю, ipv6 стек у клиентов отлично работает ненативно.

И продолжит так работать пока нет свитчей доступа, обеспечивающих нормальную безопастность, нет браса, нормально считающего трафик для ipv6 без туннелей.

из общения с инженерами эриксона - "Ericsson как BRASовый производитель видит для себя приоритет в скорейшей реализации IPv6 Subscriber " так что уже скоро...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, ipv6 глупый-глючный-убогий, и ввели его не так и не туда и не тогда.
Вы ipv4 видели?

 

Одна только дуратская фрагментация пакетов чего стоит!

NAT - тоже не от хорошей жизни.

Нет автоконфигурации и прочих маленьких плюшек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия.

И dhcp с этим справляется.

 

c ipv4 все отлично, вот только их нараздавали неправильно.

 

У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно.

 

Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%:

например 18.0.0.0/8 прилетает одним анонсом.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У криворуких хостеров отобрать (а то ввели моду, что vhost - это не по пацански), по одному реальнику на квартиру - всем будет достаточно.
Идите в советский союз, а?! На квартиру только при первом приближении надо:

1) NAS

2) 1-3 телевизера

3) 2-4 ноута

4) 2-3 бытовых девайса

5) 3-4 мобилки

 

Уже с десятка полтора набирается. Жуйте свои NATы сами!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще сомневаюсь, что владельцы /8 блоков их используют хотя бы на 1%:

например 18.0.0.0/8 прилетает одним анонсом.

Ну отнимите Вы несколько таких блоков, а что дальше, с китайцами-то что делать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Лучшая автоконфигурация - конфигурация всех административно выделенным узлом. Все остальное анархия.

И dhcp с этим справляется.

 

c ipv4 все отлично, вот только их нараздавали неправильно.

Ещё раз: фрагментация пакетов - зло!

NAT чуть большее зло.

 

Там где нет "административно выделенного узла" и нужна автоконфигурация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.