Professional Documents
Culture Documents
Ipv 6
Ipv 6
Szakdolgozat
KONZULENS
Kardos Gergely
mrnk
Olh Istvn
mestertanr
Budapest 2010
Hallgati nyilatkozat
Alulrott, szigorl hallgat kijelentem, hogy ezt a szakdolgozatot meg nem engedett segtsg nlkl, sajt magam ksztettem, csak a megadott forrsokat (szakirodalom, eszkzk, stb.) hasznltam fel. Minden olyan rszt, melyet sz szerint, vagy azonos rtelemben de tfogalmazva ms forrsbl tvettem, egyrtelmen, a forrs megadsval megjelltem. Tudomsul veszem, hogy az elkszlt szakdolgozatban tallhat eredmnyeket a
Budapesti Mszaki s Gazdasgtudomnyi Egyetem, a feladatot kir egyetemi intzmny sajt cljaira felhasznlhatja.
................................. alrs
Tartalomjegyzk
5 6 9
10
10 11 11 13 14
16
16 18 19
3. Tesztkrnyezet sszelltsa
3.1. IPv4 belltsa 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.2. Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
20
22 22 23 23 23 24 24
27 27 28 29 30 32 32 34 37 37 38 38 38 40 41 42
Tunneling kongurlsa
. . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kliensek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiszolglk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Alkalmazsok belltsa
3.5.
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tzfal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
Kliensek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiszolglk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
43
43 44 45 46
47 48 50 51 52
Fggelk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
sszefoglal
Az
(IPv6)
kvetkez
genercis
IP
protokoll.
Megszletsnek oka, hogy a vilgviszonylatban jelenleg legelterjedtebb IPv4 protokollnak korltozott a megcmezhet tartomnya, ezltal a hlzatra csatlakoztatott eszkzk is szma is ersen korltolt. A 4. genercis Internet protokoll megszletse a '70-es vekre tehet, amikor az alkotk fejben mg nem egy vilgmret a mai Internethez hasonl hlzat jrt. Ezt mr a kilencvenes vekben felismertk, s elkezdtek dolgozni az IPv6-on, de sajnos az IPv6 elterjedtsge 2010-ben is elhanyagolhat mret. Ez azrt risi problma, mert a szabad IPv4-es tartomnyok 2012-re elrelthatlag elfogynak. Az AAIT tanszk mindig is len jrt az j technolgik tern, nincs ez msknt az IPv6 bevezetsvel kapcsolatban sem. A szakdolgozatom tmja az IPv6 bevezets elksztse a tanszk les hlzatban. Els lpsknt megismerkedtem az IPv6-os szabvnnyal s
az jdonsgokkal. A kvetkez lps a tanszki hlzat feltrkpezse s dokumentlsa volt. A tanszki hlzat felmrse utn egy tesztkrnyezetet lltottam ssze, ahol megvizsgltam, hogy milyen mdon tudnnk a tanszki infrastruktrval kompatibilis IPv6 hlzatot kialaktani. Vgl elksztettem az les bevezetsrl kszlt tervet, gyelve,
Abstract
The
number of addressable ranges and devices wich has brought IPv6 to existence. The fourth generation was created in the 70th when the creators were not thinking of a world-wide network such as today's Internet. During the nineties this was realised so they started to work on IPv6 but unfortunately it is still not widely used in 2010. This is a serious problem because at this rate we are probably going to run out of IPv4 address ranges by 2012. The AAIT department has always used bleeding edge technologies. IPv6 is not any dierent. The subject of my thesis is preparing the introduce on the departments production environment. First I became acquainted with IPv6 standard and its new features. The next step was exploring and documenting the departments network system. Finally I created a production environment design After exploring the network I set up a test environment where I observed the opportunities of building an IPv6 network infrastructure compatible with the departments current system. Lastly I created a production environment design. This should be applicable with slight changes in dierent environments.
Bevezets
Az Internet trhdtsa a '80-es vekben kezddtt, a fejlds teme az elmlt kt vtizedben vrl-vre fokozatosan n. A fejlds mozgat rugja, hogy a krnyezetnkben lv eszkzk egyre nagyobb hnyadt szeretnk hlzatba ktni. Pldul tudni akarjuk, hogy ppen mennyi friss lelmiszer van a htnkben, ezrt csatlakoztatjuk az Internetre. Ugyanezt tesszk a az autnkkal, mobiltelefonunkkal. A vilgviszonylatban egyeduralkod IPv4 protokoll nem alkalmas ekkora mret hlzat kezelsre: elrelthatlag a mg kioszthat IP tartomnyok 2012-re elfogynak. A megoldst az jgenercis szabvnyra, az IPv6 protokollra tlls jelenti. Jelenleg az IPv6 elterjedtsge nagyon alacsony. Ha a kzeljvben ez nem vltozik meg drasztikusan, az komoly fkezert jelent az Internet terjedsnek, ami kihathat az egsz IT szektorra.
A szakdolgozatomnak otthont ad tanszk elsknt a BME-n szeretn bevezetni natvan az IPv6-ot a sajt bels informatikai rendszerben. Kutatprojektek korbban is voltak a BME-n, de a teljes hlzatra kiterjed tlls sehol nem trtnt. Mivel ez egy ksrleti projekt, ezrt semmilyen korbbi terv nem llt rendelkezsre a cl elrshez. Az Interneten megtallhat dokumentumok tl ltalnosak voltak, nem tartalmaztak konkrt lpseket, nem igazodtak a tanszki ignyekhez. Mint a bevezetben emltettem, az IPv6 jelenlegi elterjedtsge meglehetsen alacsony, ezrt bizonyos terleteken csak ksrleti technolgik hasznlatval lehet teljesteni az IPv4-nl jelen lv, s a hlzatzemeltetk ltal megkvetelt specikcikat.
A szakdolgozatom tmja egy esettanulmny elksztse az IPv6 bevezetsrl az Automatizlsi s Alkalmazott Informatikai tanszken (tovbbiakban AAIT). A tervet a kirsnak megfelelen gy ksztettem el, hogy tetszleges szervezeti egysgben (tanszk,
teszi lehetv, hogy a dokumentum minden helyzetben vltoztats nlkl alkalmazhat legyen, de j alapot szolgltathat egy hasonl projekt elvgzshez. Az IPv6 beveztese utn a tanszki hlzatnak a kvetkez kvetelmnyeknek kell megfelelnik:
Minden a tanszki hlzatra kttt, de nem tanszki felgyelet alatt ll szmtgpnek lehetsget kell biztostani, hogy IPv6-os cmet kapjon s onnan elrje a bels hlzatot s a vilghlt
Minden szerver rendelkezzen IPv6-os cmmel s a rajta fut szolgltatsok elrhetek is legyenek ezeken a cmeken. (Dual-stack kongurci)
Az utols pont lvezi a legnagyobb priorits, hiszen a napi munkt egy ksrleti projekt semmikppen sem befolysolhatja.
ttekints
A szakdolgozat elksztse sorn az albbi terv szerint haladok a cl fel:
Nem mellkes cl, hogy a szakdolgozat elksztse kzben olyan ismeretekre tegyek szert, amellyel tetszleges IPv6 implementlssal, zemeltetssel kapcsolatos feladatot el tudjak ltni.
1. fejezet
Az els fejezet tmja egy b ttekint az IPv6 protokollrl. A szakdolgozat felttelez alapfok hlzatismereti tudst az olvastl, terjedelme miatt az IPv4 protokoll ismertetse is csak rszlegesen trtnik meg, kiemelve azokat a hinyossgokat, amik az j genercis protokoll kifejlesztst tettk szksgess.
az sszes 3. rtegbeli szabvnyt (pl. IPX, Appletalk stb.). Az els komolyabb problma a protokollal a '90-es vek elejre datldik: ekkor kezdtk a vllalatok felismerni az
Internetben rejl lehetsgeket s hatalmas cmtartomnyokat ignyeltek a regionlis regiszterektl. A szabad A s B osztly tartomnyok rohamosan fogyni kezdek, ezrt lpni kellett: bevezettk a CIDR tpus osztly nlkli cmtartomnyokat [1]. Ez sokat javtott a helyzeten, de nyilvnval volt, hogy ez csak rszleges megolds, ezrt a szabvnyalkotk mr elkezdtek dolgozni a kvetkez, 6. genercis protokoll megalkotsn (ltezett 5.
genercis IP szabvny is, de az egy streaming protokoll volt 1979-ben, rthet okokbl sosem terjedt el).
10
Az els pont a legproblmsabb s egyben legkritikusabb krds. A kioszthat cmek fogyban vannak, becslsek szerint 2012-ben elfogynak a kioszthat tartomnyok. Igaz
lteznek cmfordt technikk (pl. NAT), amikkel a cmtartomny megnvelhet, de ez megnehezti bizonyos alkalmazsok implementlst: csak az IP rtegben trtnik cmfordts, az alkalmazs rtegben megmarad az eredeti IP cm. Titkostott kapcsolatokat ltre lehetett hozni IPv4 felett is, de a klnbz cmfordt technikk mdostottk az IP fejlcet, ezzel megtrve a validcis eljrst.
j fejlc formtum
(1.1 bra). Az IPv4-el ellenttben itt a fejlc hossza x 10 sz, amely tartalmazza a csomag alapvet informciit. Ez nagy segtsg a routereknek, mert a x fejlchossz knnyebb feldolgozst tesz lehetv. Az 1.1 bra mutatja az IPv6-os fejlc felptst.
Nagyobb cmtartomny
rl
2128 -ra).
Ez elmletileg
sszehasonltskppen a
a cmfordt technikkat, megoldja a HTTP Virtualhost problmjt SSL kapcsolat esetn. Nveli a hlzat biztonsgt, azltal, hogy tmadknak sokkal nagyobb
11
vlt: a kliens DHCP szerver nlkl is kpes globlis cmet generlni magnak. Ez sajnos a gyakorlati alkalmazsoknl inkbb htrnyknt jelenik meg. Az IP cmek alloklsval a 3.2 fejezet foglalkozik, ezrt itt eltekintek a rszletes ismertetstl.
Az
Ez nem jelenti,
AH
ESP
ag)
Az j
Flow Label
fejlc segtsgvel
jelezni tudjuk, hogy a csomag egy folyam rsze, s az tvlasztk kiemelten tudjk kezelni ezeket a csomagokat mg abban az esetben is, ha azok titkostva vannak.
Neighbour
Discovery
pro-
tokoll az IP cm MAC cm hozzrendelst valstja meg IPv6 esetn. Elnye az ARPvel szemben, hogy mulitcast cmzst hasznl broadcast helyett, ezzel cskkentve a kliensek terhelst.
Bvthetsg
nylik a jvben tovbbi funkcik implementlsra egynien denilt 40 bjt hossz fejlcekkel. A fejlcek szmnak csak az IP csomag mrete szab hatrt.
12
A bevezet fejezetekben tbbszr is emltettem, hogy az tlls nem egyik pillanatrl a msikra trtnik, ezrt szkg van ksztes lpcskre. Ilyen lpcsnek tekinthetjk azt esetet, amikor kt IPv6-only szmtgp szeretne kommuniklni egy olyan hlzaton, ahol rszben vagy egszben csak az IPv4-es protokoll tmogatott. Ekkor jnnek jl a klnbz tunneling (csatornz) technolgik. Minden tunneling technolgia alapja, hogy az IPv6 csomagot az IPv6/IPv4 tjr bekapszulzza egy IPv4-es csomagba, az IPv4/IPv6 tjr pedig kicsomagolja s gy juttatja el a cmzetthez. Az tjr nem minden esetben jelent klnll zikai entitst a hlzaton, sok esetben a kliensek kzvetlenl, automatikusan ptenek ki csatornkat egyms kztt. Ez alapjn megklnbztetnk manulis illetve automatikus csatornzst. A manulis tunneling mkdst az 1.2 brn lehet nyomon kvetni.
csak telephelyen bell hasznlhat csatornzsi technolgia. Helyi tpus (fe80::/64) cmek kpzdnek egy meghatrozott algoritmussal a rsztvev felek IPv4-es cmbl. Nagyon ritkn hasznlt eljrs.[3]
6to4
Ez
manulisan
automatikusan a publikus IP
is
kipthet NAT-on
csatornzsi keresztl
technolgia. nem
Mkdsnek mkdik.
felttele
cm,
egyltaln
tartomny, teht akr egy tjrval is el lehet ltni egy nagyobb mret, tbb telephelyes vllalatot IPv6-os cmekkel. Az IPv6 tartomny 2002:{IPv4 cm}::/48 alak, ahol z IPv4-es cm az tjr publikus IP cme. A csatorna msik pontja, egy specilis (192.88.99.1) anycast cm, ami a legkzelebbi IPv4/IPv6 gateway-re mutat. [4]
13
Teredo
A Teredo tunneling mkdik NAT-on keresztl is, cserbe ez a legbonyolultabb Els krben az IPv6 csomagot nem
kzvetlenl az IPv4-es csomagba kapszulzza, mert ezt sok tzfal blokkolja, hanem egy UDP csomagba. Radsul nem elg kt pont a kommunikcihoz, szksg van egy Teredo szerverre a megfelel IPv6 cmek kiszmtshoz. sges mert helyi cmbl szeretnnk globlisat kpezni. Itt ez azrt szk-
A kvetkezkppen pl
fel egy Teredo IPv6 cm: 2001:0000:{Teredo szerver IPv4 cme}:{16 bit ag}:{kls port}:{kls IPv4 cm}. A kls port azt az UDP portot jelenti, amelyre a NAT-nak fordtania kell a kommunikcit. A agek rszletezse megtallhat az RFC-ben. A tbbi mez rtke trivilis. [5]
14
mg mindig inkbb az eurpai s amerikai piacra koncentrlnak, ezrt nem siettetik az tllst, szmukra mg az tlls nem jr gazdasgi elnnyel. Szerencsre az IPv4 cmek elfogysval prhuzamos az IPv6 elterjedtsge is exponencilisan nvekv plyn van, s ez idvel knyszerteni fogja a tartalomszolgltatkat s hlzati eszkzk gyrtit, hogy tegyk meg a megfelel lpseket a zkkenmentes tlls rdekben.
15
2. fejezet
osztly publikus cmtartomnnyal gazdlkodik: a V2 pletben a 152.66.70.0/24, az I pletben a 152.66.251.0/24 tartomny rhet el. A kt telephely felptse a mi szempontunkbl semmilyen klnbsg nincs, ezrt a ksbbiekben csak a V2-es infrastruktrt ismertetem. Ha valahol mgis a tma szempontjbl fontos klnbsg van arra kln
Tzfal funkcik
Nvkiszolgls (DNS)
16
17
3Com 3300XM
3Com 33004
3Com 4226
3Com 4250
Ezekhez az eszkzkhz tovbbi klnbz tpus tvolrl nem menedzselhelt switchek csatlakoznak. A hlzat pontos topolgijt a 2.1 bra nem tartalmazza, az A pontos topolgia
sszes ilyen eszkzt egyetlen switch elem segtsgvel brzoltam. irrelevns az IPv6 bevezetse szempontjbl.
A felsorolsbl kimaradt eszkzk j rsze nem kezel VLAN-okat, ezrt a hlzat egyetlen logikai LAN-bl ll. Mivel a vgpontokra csatlakoz szmtgpek klnbz
bizalmi szinteken helyezkednek el, ezrt ezek szeparlst a VLAN-ok hinya matt eggyel magasabb rtegben kell megvalstani.
A nem regisztrlt gpek rendelkeznek publikus IPv4 cmmel, helyette egy nem regisztrlt tartomny van szmukra fenntartva, ami NAT-olva van az egyetemi hlzat fel. Fontos, hogy ezek a gpek a tanszki bels hlzat szempontjbl egyetemi gpeknek
18
szmtanak, teht ugyanazok a szablyok vonatkoznak rjuk, mint egy tetszleges nem tanszki gpre. A szerverek szinte kivtel nlkl x, publikus hlzati cmmel rendelkeznek, a szerverre vonatkoz tzfalszablyok vltozak, a szerver funkcijtl fggenek.
Alkalmazs Internet Explorer >7 Firefox Outlook >2007 Windows Live Messenger
IPv6 kompatibilits
Megjegyzs
19
3. fejezet
Tesztkrnyezet sszelltsa
Mint a bevezetben emltettem, a megfogalmazott kritriumok kzl a legfontosabb, hogy csak minimlis mrtkben befolysolja az tlls a napi munkt. Ezrt egy olyan tesztkrnyezet kialaktsa mellett dntttem, amely lehetsg ad a klnbz IPv6 topolgik tesztelsre. Az albbi kongurcij szerveren kerlt kialaktsra a tesztkrnyezet:
11 GB RAM
A gp a Schnherz Zoltn Kollgiumban kerlt elhelyezsre, ahol egy zikai vgponton keresztl csatlakozik az egyetemi hlzatra. A kiszolglra VMWare ESXi 4.0 virtualizcis platformszoftvert installltam, amiben kialaktsra kerltek a teszt opercis rendszerek. Az AMD Opteron 248-as processzor nem tartalmaz hardveres virtualizcis kiegsztst (AMD-VT), ezrt csak ez a szerver virtualizcis szoftver jhetett szmtsba. A kialaktott teszthlzatot a 3.1 bra mutatja. Lthat, hogy az
20
21
Az
aut-switch.aut.bme.hu
(ksbbiekben
aut-switch )
ns.aut.bme.hu (ns ) nev gp a tanszken tallA klnbsg, hogy a zikai gpen egy
Fedora Core 2 (2004) Linux fut, mg a tesztkrnyezetben az Ubuntu Linux legfrissebb, 9.10-es vltozata fut. A vlasztsom azrt esett erre a disztribcira, mert errl vannak a legbvebb ismereteim, eddigi munkim sorn ezt hasznltam a legtbb alkalommal. A Fedora Core 2 s az Ubuntu 9.10 is 2.6-os kernelt tartalmaz, teht a router funkcii szerint nincs klnbsg a kt disztribci kztt.
aut-switch
publikus IP cmmel rendelkezik, mg a bels lbn a zikai eszkzhz hasonlan a 152.66.70.2/252-es IP cm van kongurlva. A gp bels lba kzs switchen helyezkedik el az
ns
szerverrel. Az
ns
tomnyt NAT-olja az Internet fel. les rendszereknl szigoran csak helyi tartomnyokat szabad NAT-olni, mivel gy nem lehet elrni azt a tartomnyt az Interneten a NAT-olt hlzatbl. Itt ez nyugodtan megtehet, st megvan az az elnye, hogy a NAT-olt hlzaton bell mindenhol ugyanazokat a routing s tzfal szablyokat tudjuk alkalmazni, mint az les krnyezetben. Az ns gp bels lbnak van mg egy IP cme, ez a 192.168.1.1/24. tartomny a nem regisztrlt gpeknek szksges, s az Ez az IP cm
ns
gp NAT-ol a 152.66.70.1 cm
fel. Ez azt jelenti, hogy ktszeres NAT mgtt helyezkedik egy nem regisztrlt klienst szimull virtulis munkalloms, ellenttben az els rendszerrel, de ez gy gondolom semmilyen problmt nem jelent jelen helyzetben. Hogy ezeket megvalstsam, mindkt gpen engedlyezni kellett az IP forwardingot s egy iptables szablyt deklalrni, ami a NAT-olst vgzi. Az
aut-switch
22
vgezni.
3.1.2. DNS
A routing belltsa utn a teszthlzaton bell tkletesen mkdtt a nvfelolds egy kls DNS szerverrel, de ahhoz, hogy a ksbbiekben az AAAA recordokat be tudjam jegyezni, szksg volt egy sajt DNS szerverre. Az iparban elsszm s a tanszken is hasznlt BIND DNS szervert vlaszottam. A telepts egyszeren csomagbl trtnt. Ltrehoztam az aut.bme.hu tartomnyhoz tartoz NS rekordokat, nhny A rekordot (tipikusan a hlzatban szerepl tesztszerverek), s az aut.bme.hu domnhez tartoz MX rekordot. Ezen kvl mg szksg van egy reserve DNS zna a 152.66.70.0 tar-
tomnyra. Az les infrastruktrban a tartomnyi vezrl kpes dinamikus DNS segtsgvel bejegyezni a tartomny mkdshez szksges rekordokat. A tesztkrnyezetben nincs kiptett Windows AD krnyezet, ezrt a dinamikus DNS nincs bekongurlva.
3.1.3. DHCP
DHCP szervernek az ISC szervert hasznltam: ezt ismertem a legjobban s a tanszken is ezt alkalmazzk. Termszetesen ez is az
ns
szerverre teleplt.
Kt tar-
tomnyt jelltem ki, az egyik az egyetem ltal deleglt 152.66.70.0 a msik egy privt 192.168.0.0/16 tartomny. Elbbi tartomnybl MAC cme alapjn kap minden reg-
isztrlt x IP cmet a DHCP szervertl, utbbi egy szabad tartomny a nem regisztrlt gpek szmra.
Windows XP
Windows 7
Ubuntu Linux
23
Minden gp egy hlzati csatolval csatlakozik a bels hlzatra, s DHCP-vel kapnak IP cmet. (Ez az alaprtelmezett bellts kliens opercis rendszerenknt) Minden rendszerbl kt darab van: egy regisztrlt MAC cm, s egy nem regisztrlt. Ez lefedi a
tanszki gpek 95%-t. Minden rendszer tartalmazza a tanszken hasznlt szoftvereket. (2.3 tblzat)
Pre-Windows 2003 szerver nem tallhat a tanszki infrastruktrban, Windows 2008 R2 pedig csak 64-bites verziban ltezik, viszont a Sun Fire V40z szerverben lv kzponti egysg nem kpes 64-bites vendg opercis rendszereket futtatni, ezrt tesztelni sem tudtam 2008 R2-t. A szerverek x IP cmet kaptak (a 152.66.70.0/24 tartomnybl), s ugyangy a 2.2 tblzatban szerepl programokat teleptettem, mint a kliensek esetben.
(255.255.255.255) cmre
24
2. A DHCP szerver vlaszol egy DHCPOFFER zenetben, amelyben elkldi a szksges informcikat (IP cm, alhlzati maszk, DNS szerverek, alapmretezett tjr stb.)
A folyamatbl jl ltszik, hogy egszen a legutols pontig broadcast zenetekkel folyik a kommunikci, (Ez nem teljesen igaz: a kommunikciban rszt vev felek mr korbban is unicastra vlthatnak, de ez nem elterjedt.) IPv6 esetn gy nz ki az autokongurci:
cmre.
3. A router(ek) vlaszknt kld(enek) egy Router Advertisment zenet, ami tartalmaz M (Managed) s O (Other) aget, ami szerint a kliens klnbz eljrsokat kvet:
generlhatjk, de a tovbbi belltsokat (pl. DNS) a DHCP szervertl kapjk A kliens a globlis IP cmt s az egyb belltsokat is a
O alacsony, M magas
Elmleti
4. A DHCPv6 szerverrel a kommunikci hasonl mdon zajlik, mint a IPv4 esetben, annyi klnbsggel, hogy a kommunikci broadcast zenetek lehetsgnek hinya miatt
A folyamatbl kitnik, hogy van egy hatalmas hibja a stateless kongurcinak: az RA zenet nem tartalmazza a DNS szerver cmt. DNS nlkl egy munkalloms
25
nem alkalmas semmilyen hlzati munkra, tekintve az IPv6-os cmek megjegyezhetetlen hosszra. Teht mindenflekppen szksges egy DHCPv6 kongurlsa a hlzaton. Stateless kongurcinl az IP cm host-id rszt (az utols 64 bit) valahonnan generlja a kliens. Kt elterjedt mdszer van:
EUI64
Vletlenszm
Az eredeti koncepci szerint az EUI64 cmgenerls volt az ajnlott, Windows XP, a legtbb Linux disztribci s a MAC OS X is.
ezt kveti a
Ez a mdszer felvet
bizonyos adatvdelmi krdseket: a MAC cmbl generlt host-id vilgszinten egyedi lesz a MAC cm miatt (mobil eszkzknl biztosan), ezrt pldul a tartalomszolgltk a felhasznlkat kvetni tudjk, brhonnan rik el a vilghlt. Ezrt a Microsoft a Windows Vista s 7 esetben vletlenszm-genertorral allokl magnak host-id-t. Ennek a mdszernek az a htultje, hogy megnehezti a kliensek azonostst s a privilgiumok hozzrendelst pusztn a munkalloms IP cme alapjn. A msik komoly gond a regisztrlt s nem regisztrlt gpek szeparlsnl van. A 2. fejezetben lertak szerint a tanszken a nem regisztrlt s regisztrlt gpeket klnbz cmtartomnyokba sorolssal szeparljk. Ezt a sztvlasztst a DHCP szerver vgzi:
a regisztrlt gpek MAC cm alapjn x IP cmet kapnak, minden egyb gp a privt cmtartomnybl kap cmet. IPv6 esetn ilyen jelleg szeparcira nem talltam optimlis megoldst, ezrt tbb varicit dolgoztam ki, amelyek mindegyike kompromisszumokat tartalmaz. Ezek kztt az implementlst vgzknek s az zemeltetknek kell kivlasztani a szmukra optimlis megoldst. Az els kt megoldsi javaslat az IPv6 bevezetstl fggetlenl is nveln a hlzat biztonsgt, de ezekhez egyrszt a hlzati eszkzk egy rszt le kell cserlni, msrszt knyelmetlenebb teszik az egyszeri felhasznlk szmra a tanszki hlzat hasznlatt.
26
Elnye
Magasabb szint biztonsg, mint a 3. rtegbeli sztvlaszts esetn. IPv4 s IPv6 esetn is mkdik.
Htrnya
A tanszken lv hlzati eszkzk nem tmogatjk a protokollt, Csak CISCO ltal tmogatott technolgia. Minden tmads ellen nem nyjt vdelmet (pl. MAC cm trsa).
Elnye
Jelenleg elrhet legnagyobb biztonsg. IPv4 s IPv6 esetn is mkdik.
Htrnya
A tanszken lv hlzati eszkzk nagy rsze nem tmogatja a protokollt. Nehzkes a hasznlata, kliens oldali kongurcit ignyel, igazn csak tartomnyi gpek esetn hasznlhat.
27
AdvOnLink
tmegy a routeren. A regisztrlt gpek szmra ltre kell hozni a tzfalszablyokat. Ennek szksges felttele az EUI-64 formtum IP cm, teht a Windows Vista/7 klienseken ki kell kapcsolni a vletlen cmgenerlst. Ezen kvl szksges egy olyan tzfalszably,
amely minden nem regisztrlt IP cmre triggerel, s az IPv4-es NAT-olt rendszerekre vonatkaz szablyok vonatkoznak r. Fontos, hogy a szervereket gy kongurljuk, hogy a link-local cmen ne gyeljen semmilyen szolgltats, mert link-local cmekkel kzvetlenl elrik egymst a gpek a zikai LAN-on, megkerlve ezzel a tzfalat.
Elnye
Minimlis kliensoldali kongurcit ignyel. Jelenlegi hlzati eszkzkkel hasznlhat.
Htrnya
Regisztrlt Windows 7/Vista esetn kliensoldali kongurcit ignyel. Az tvlasztnl svszlessg s erforrs problmk lphetnek fel. Nem regisztrlt gpek Reverse DNS bejegyzse nem lehetsges.
28
DUID (DHCPv6
DUID
sorozat (ltalban a MAC cmbl s egy vletlen szmbl ll), ami a DHCP kliensre s nem a hlzat csatolra vonatkozan egyedi azonost. Ennek htultje, hogy opercis rendszer jrateleptsekor j azonost generldik, elnye viszont, hogy hlzati krtya cserje utn is megmarad az azonost. Minden regisztrlt gp
DUID -jhoz
ahogy a MAC cmek az IPv4 cmekhez vannak rendelve. A nem regisztrlt gpeknek egy kln tartomnyt rdemes a DHCP szerverben kongurlni. A szerverek s a regisztrlt gpek kzvetlenl elrik egymst (mivel megegyezik az alhlzati maszkjuk, a nem regisztrlt gpek a tanszki infrastruktrt csak a routeren keresztl rik el, teht megfelel tzfal szablyokkal elszeparlhatjuk a tanszki gpektl. A Windows XP nem tartalmaz DHCPv6 klienst, kls program teleptse szksges. A legtbb Linux disztribci csomagknt szlltja a szksges komponenst, de alapteleptsben nagyon ritka s ltalban a grakus hlzati kezel program sem tartalmaz frontendet ehhez.
Elnye
Htrnya
Windows XP esetn kls DHCPv6 kliensprogram teleptse szksges Regisztrlt gpek esetn a jrateleptse utn.
29
A kvetkez nhny alfejezetben a tesztrendszerben az IPv6 bevezetsrl lesz sz, kongurcs llomnyokkal s azok rszletes magyarzatval. A stateless s stateful kongurcival kt kln alfejezet foglalkozik, mert nagyon sok helyen eltr belltsokat kell alkalmazni. A tunneling kongurlsa viszont mindkt esetben teljesen megegyezik, gy az nem kerl ktszer ismertetsre.
6to4
alagutazst vlasztottam. Tartomny Felhasznls Csatornzshoz szksges aut-switch s ns szerver kztti kapcsolat Teszthlzat fel deleglt tartomny
A rendelkezsnkre ll /48-as cmtartomny a kvetkezkppen ll el: 2002 az els ngy bjt (ez jelli, hogy
6to4
cme a szervernek. A maradk 80 bit az a bizonyos tartomny, ami szabadon kioszthat illetve deleglhat az altartomnyok szmra. A 3.1 tblzat tartalmazza az 2002:9842:d180::/48 tartomny felosztst. A feloszts sorn csak /64-es tartomnyt hasznltam fel, a teszthlzat fel pedig csak egyet delegltam, mivel nem kiszmthat, hogy az les krnyezetben mekkora tartomny ll rendelkezsre. Az Ubuntu Linux alaprtelmezetten tmogatja a sorokat kellett hozzadni az
6to4
interfaces
llomnyhoz:
30
auto iface
2 0 0 2 : 9 8 4 2 : D180 : 2 : : 1 64 any
152.66.209.128 ::192.88.99.1
gateway ttl 65
address
s a
netmask
tomnyt mshol nem hasznlhatjuk a hlozatunkon bell. Az sgvel meghatrozhatjuk, hogy milyen. A
endpoint
paramter segt-
csatorna msik feln van. Az ::192.88.99.1 cm azt jelenti, hogy az interfsz a 192.88.99.1 IPv4 anycast cmre tovbbtja a csomagokat. tartoz IPv4 cmet tartalmazza. A TTL fellbrsra azrt van szksg, mert az aut-switch-en thaladva a TTL kettvel cskken (TTL inherintance bvebben a [9] forrsban). Ez ltalban nem okoz fennakadst, viszont a traceroute eljrs sorn egy lyuk keletkezik a visszakapott adatokban. Egy, az ns gprl indtott traceroute-tal illusztrlom a problmt:
benjoe@ns :~ $ traceroute packets 1 2 3 4 . . . 2 0 0 2 : 9 8 4 2 : d180 : 1 : : 2 2 0 0 2 : c 3 6 f : 6 1 c0 : : 1 c 6 5 1 3 . vh . h b o n e . hu ( 2 0 0 2 : 9 8 4 2 : d180 : 1 : : 2 ) 0.824 ms ms 0.791 ms ms 0.770 ms ms to traceroute6 i p v 6 . g o o g l e . com ( 2 a00 : 1 4 5 0 : 8 0 0 4 : : 6 9 ) , 30 hops max , 80 byte
local
i p v 6 . g o o g l e . com
( 2 0 0 2 : c 3 6 f : 6 1 c0 : : 1 ) (2001:738::4) 2.030
1.581 ms
1.577 ms m
1.578 ms
2.187
2.249
2001:2000:3080:17::1
(2001:2000:3080:17::1)
40.587
i p v 6 . g o o g l e . com
(2001:5000:200:9::2) 40.993 ms 40.753 ms ms
t e l i a s o n e r a . t s d . cw . n e t 40.905
. . .
Az ns s az aut-switch eszkzkn a 3.1 tblzat alapjn elvgeztem a kongurcikat: az aut-switch gp bels csatolja az 2002:9842:D180:1::2/64 IP cmet kapta, az ns pedig a
31
bytes
i c m p _ s e q=1
t t l =55
3.4.1. Router
A 2002:9842:d180::/64-es tartomny felbontst a 3.2 tblzat tartalmazza. Minden szerver kap egy /112-es tartomnyt, ami 65536 IP cmet jelent szerverenknt. Ezzel sszesen 655532 szerver kaphat IP cmet a jelenleg kiosztott tartomnyok szerint. Ennyi gp zikailag nem fr el a tanszken, de a tartomny termszetesen tovbb nvelhet. Azrt vlasztottam a /64-es tartomny elejt, mert ezeket az IP cmeket kzzel kell belltani, s egyszeren gy a legrvidebbek a cmek.
radvd
radvd.conf
prefix {
2 0 0 2 : 9 8 4 2 : D180 : : / 6 4
AdvOnLink
off ;
32
Felhasznls Regisztrlt gpek (ahol az x a regisztrlt gpek MAC cme) Szerverek Nem regisztrlt gpek
33
AdvAutonomous }; };
on ;
Az llomny struktrja hasonlt az ISC DHCP szerver struktrjhoz. hlzati csatolt kln kell kongurlni
Minden
interface
blokkok segtsgvel.
A szervernek
interface
entitst ltrehozni. s a
AdvSendAlert
AdvManagedFlag
AdvOtherCongFlag
ben csak az O ag A
Jelen eset-
MinRtrAdvInterval
MaxRtrAdvInterval
nincs komoly jelentsge. A kvetkez prex blokkban a hlzatunk prexnek deklarcija lthat. Az
AdvOnLink
o
bellts esetn
tjkoztatja a klienseket, hogy nem minden IP cm tallhat meg a hlzaton, ezrt lltsa gy belltani a routing tblt, hogy az alhlzaton belli forgalom is routeren keresztl zajldjon. Ezt arra hasznljuk, hogy megszrjk a bels forgalmat, IP cm szerint szeparljuk a klienseket. Az
AdvAutonomous
on
llsban
A daemont elindtva a klienseinknek mr van globlis IPv6 cmk, csak egyelre A tzfal kongurlsa utn, mr engedlyezhetjk az
ns
3.4.2. Tzfal
A hlzat biztonsgnak alapkve a router helyes kongurlsa. Ez klnsen igaz A tanszki az esetnkben, ahol mg a bels forgalom is a tzfalon megy a keresztl.
hlzaton mkd tzfalrl csak rszleges ismereteim vannak, ezrt az ltalam megalkotott szablyok csak nagy vonalakban egyeznek meg a valdi IPv4-es tzfal szablyokkal. Az IPv6-os szablyok pontos kialaktsa csak az IPv4-es szablyok ismeretvel lehetsges, amire csak az les krnyezetben lesz lehetsg. A stateless tblzat tartalmazza forrs-cl mtrixknt, hogy mely tpus vgpontokra milyen szably vonatkozik. A
semmi
34
TCP csomagok fejlct is vizsglni kell. A Linux kernelbe ptett netlter llapottart tzfal kezelni tudja a fent emltett esetet. Ugyangy a csomagokat rdemes szrni. forrs cl Szerverek Regisztrlt kliensek Nem regisztrlt kliensek BMENET Regisztrlt kliensek semmi semmi semmi semmi Nem regisztrlt kliensek semmi semmi semmi semmi
minden
A fggelkben szerepel egy ltalam rt tzfal kongurci, amit a tesztelshez hasznltam. A tzfal rszletes ismertetsre terjedelmi okokbl nincs lehetsg, de a 3.3 folyamatbra jl szemllteti a tzfal mkdst.
Els krben azt vizsglja a tzfal, hogy mi a csomag forrsa, majd aszerint irnytja a csomagot az egynien generlt lncokba. A lncokbl nincs lehetsg visszatrsre, a csomagszr megvizsglja a portokat, cl IP-t s aszerint dnt a sorsrl (visszautast vagy engedlyez).
35
A regisztrlt IP cmeket egy szveges fjlbl olvassa s egy for ciklus segtsgvel tlti be az aktulis tblba. Mr az elmleti rsznl htrnyknt szerepelt, hogy a sok szably miatt erforrsproblmk lphetnek fel a tzfal esetben. Sajnos a tzfal valban megbukott a volume teszten: 1000 regisztrlt cm esetn mr percekig tartott csak a
script futtatsa, s a msodpercenknti csomagszm (pps) is a tredkre esett vissza. Esetleg ms struktrval lehet cskkenteni a terhelst, de mindenflekppen linerisan fog cskkenni a pps a regisztrlt IP cmek nvekedsvel.
DHCP
DHCPv6 szervernek a WIDE-fle [10] implementcit vlasztottam, ez jelenleg a legelterjedtebb s ehhez rhet el a legjobb kzssgi tmogats. A DHCP szerver feladata stateless kongurci eseten kimerl a DNS cmek hirdetsben, ezrt a kongurcis llomny rendkvl egyszer, mindssze egy sort tartalmaz:
option domain
name s e r v e r s
2 0 0 2 : 9 8 4 2 : d180 : : 1 ;
Itt minden magrt beszl. Lehetsg van mg egyb szerverek (ntp, sip), de ezek mg csak ksrleti opcik s hinyos a kliensoldali tmogatottsguk is.
DNS
Az ltalam teleptett BIND DNS szerver minden tovbbi kongurci nlkl kpes IPv6-on kommuniklni, ilyen jelleg kongurcit nem kellett vgezni. Az albbi AAAA s PTR rekordokat kellett bejegyezni:
A nem regisztrlt gpekhez nem jr sem AAAA, sem PTR rekord, mert a nem regisztrlt gpek egy
264
tartoz reverse DNS trolsa lehetetlen. A aroblmra lehetsges megoldsokat egy RFC draft [11] mr tartalmaz, de azok biztonsgi okokbl (Dinamikus DNS) vagy mkd implementci hinya ("On the y" generls) miatt nem hasznlhatak.
36
3.4.3. Kliensek
A klienseknl az eddig hasznlt csoportostson tl meg kellett klnbztetnnk a tartomnyba lptetett s csak munkacsoportos klienseket. Elbbieknl a csoportos hzirendek segtsgvel automatikusan elvgezhetjk, utbbiaknl biztostani kell a megfelel batch llomnyokat. A tesztkrnyezetben tartomnyt nem hoztam ltre, a megfelel indt scripteket a helyi hzirendeken teszteltem.
Windows XP
A kvetkez paranccsal tudjuk installlni az IPv6 tmogatst Windows XP SP2 esetn:
netsh interface ipv6 install
A Windows XP nem tmogatja a DNS szerverek elrst IPv6 felett, s sok protokoll kztk pldul CIFS sem tmogatott, ezrt csak dual-stack krnyezetben hasznlhat.
Windows Vista/7
Windows Vista s 7 esetben a regisztrlt gpek nyomon kvethetsge rdekben ki kell kapcsolni az ideiglenes (temporary) IP cmet s az IP cm vletlenszer generlst:
netsh netsh interface interface ipv6 ipv6 set set privacy global edisabled r a n d o m i z e i d e n t i f i e r s =d i s a b l e d
A nem regisztrlt gpek esetn ezeknek a kikapcsolsa nem szksges, anlkl is el tudjk rni a vilghlt.
Linux
A legtbb Linux disztribciban alaprtelmezetten engedlyezve van az IPv6 tmogats s EUI64 tpus cmet is generlnak, teht semmilyen elzetes kongurcit nem ignyel. Ahhoz, hogy a DNS lekrdezsek is IPv6 felett trtnjenek, telepteni kell egy
DHCPiv6 klienst. Telepts utn automatikusan elindul a szksges dmon, ami berja az ns szerver IPv6-os cmt az
resolv.conf
fjlba.
3.4.4. Kiszolglk
Kiszolglk esetben sok kongurcira nem volt szksg. Mind az Ubuntu Linux Server mind a Windows Server 2003/2008 esetben a manulis IP cm bellts teljesen
37
3.5.1. Router
A 3.4 tblzat tartalmazza az IP tartomnyokat. A klnbsg, hogy a regisztrlt s nem regisztrlt gpek is a DHCP szervertl kapnak IP cmet, termszetesen klnbz tartomnybl. subsubsectionRouter Advertisment Daemon A mdosult:
interface { AdvSendAdvert AdvManagedFlag on ; off ; on ; 5; 15; eth0
radvd.conf
az albbiak szerint
Jl lthat, hogy kikerlt az egsz prex blokk a kongurcis fjlbl. fejezetben volt sz az
Az elz
AdvAutonomous
o
mgsem ez trtnt, annak az az egyszer oka, hogy ha egy adott prexen bell mindkt
38
39
Adv*
ag
o
llsban van, akkor a kliens berakja a prexet a route tblba gy, hogy az
2 0 0 2 : 9 8 4 2 : d180 : : 1 2 0 0 2 : 9 8 4 2 : d180 : : 1
eth0 eth0
Az els sorban lv bejegyzs semmilyen csomag routingjt nem vltoztatja, nyugodtan kivehet.
3.5.2. Tzfal
A tzfal szablyok semmit sem vltoztak a stateless kongurcihoz kpest. Viszont a nem regisztrlt s regisztrlt gpek tartomnyba szortsa lecskkentette a tzfalszablyok szmt. A fggelkben megtallhat a mdostott iptables script. A script
DHCP
Amennyivel cskkent a llomnya:
option host domain
radv.conf
name s e r v e r s
2 0 0 2 : 9 8 4 2 : d180 : : 1 ;
address };
interface
eth0
address };
p o o l
pool1
3600;
pool
pool1
{ 2 0 0 2 : 9 8 4 2 : d180 : : 2 : 0 : 1 to 2 0 0 2 : 9 8 4 2 : d180 : : 2 : 0 : 4 0 0 ;
range };
Az els sor vltozatlan, utna egy teszt nev gp denilunk a DUID-val s az IP cmmel. Minden regisztrlt tesztgphez tartozik egy ilyen blokk, itt csak a plda kedvrt szerepel egy darab. Az utna szerepl kt blokk a nem regisztrlt gpeknek sznt tar-
pool1
40
DNS
Semmilyen vltoztatst nem kellett vgrehajtani az alap BIND kongurcival, csupn a znk szerkezete vltozott: a 2002:9842:d180::2:0:0/118-as tartomnyhoz tartoz AAAA s PTR rekordokat kellett bejegyezni, ami a nem regisztrlt gpekhez tartoz 1024 rekordot jelenti.
3.5.3. Kliensek
A kliensek kongurcija merben ms ebben az esetben, hiszen a DHCP kliens nlkl mr nem lehet IPv6-os kapcsolatot kipteni.
Windows XP
Installlni kellett az IPv6 tmogatst ugyangy, mint stateless kongurcinl majd telepteni egy kls DHCPv6 klienst, mert az XP nem tartalmazza beptetten. A
Dibbler
DHCPv6 Client
tam mindkt teszt XP-re. Specilis belltsokat nem ignyel a kliens, szolgltatsknt automatikusan elindtva a szerverrel val kommunikci utn belltja a kapott cmet.
Windows Vista/7
A regisztrlt Windows 7 s Vista esetn a DUID azonostt meg kell vltoztatni olyan rtkre, ami a DHCPv6 szerver kongurcijban is szerepel. Ezt a
H E _ O A _ A HN K Y L C L M C I E\SYSTEM\ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ T c p i p 6 \ P a r a m e t e r s \ Dhcpv6DUID
Linux
Ubuntu Linux Desktop esetn installlni kell a dhcpv6 klienst, ami hasonlan az XP-s trstl, alaprtelmezett belltsokkal IP cmet kr a DHCPv6 szervertl. Itt is meg
41
kellett vltoztatnom a DUID-t, amit egy Internetrl letlttt perl script segtsgvel meg is tettem. [12]
3.5.4. Kiszolglk
Kiszolglk kongurcija fggetlen attl, hogy melyik megoldst vlasztjuk, ezrt nincs klnbsg a stateless kongurcihoz kpest.
42
4. fejezet
ban megismernem, ezrt az ltalam krelt szablyok csak nagyvonalakban egyeznek meg az les krnyezetben alkalmazott megoldsokkal
Ezeknek a klnbsgeknek nem tulajdontottam komoly jelentsget, mert sikerlt olyan stratgit kidolgoznom, amit kvetve a bevezets sorn ezekbl add hibk knnyedn orvosolhatk.
43
rvnyes AAAA DNS rekordja de nincs IPv6 cme, vagy a webszerver nem gyel azon az IP cmen) Els krben IPv6 tartomnyt kell ignyelni az egyetemi Informatikai Osztlytl [13]. A honlapjukon kzztett informcik szerint minden C osztly IPv4 tartomnyhoz jr egy /64-es IPv6 tartomny. Fggetlenl attl, hogy stateless vagy stateful cmosztsi elv lesz vgl implementlva, egy darab /64 tartomny elegend lesz az egsz tanszknek. El kell dnteni, hogy vgl melyik cmosztsi mdszer kerl bevezetsre, esetleg hajland az zemeltet kompromisszumot ktni, s valamelyik kritriumtl eltekinteni s ezzel megvltoztatva valamelyik ltalam javasolt mdszert. Fel kell mrni, hogy ttelesen milyen eszkzk vannak a bels hlzaton, illetve milyen az azokon fut szoftverek IPv6 tmogatottsga. A 2.3 alfejezetben sszeszedtem a leggyakrabban hasznlt programokat, de lehetnek olyan stt foltok a hlzaton, amirl nem tudtam. Fontos, hogy a regisztrlt gpekrl s a szerverekrl legyen egy lista, ami alapjn IPv6, illetve AAAA DNS rekordot lehet jegyezni. A kvetkez immr tnyleges implementcis lps, hogy a kliensekre r kell knyszerteni a megfelel IPv6 viselkedst. Ezzel a lpssel sokat foglalkoztam a tesztkrnyezet kialaktsakor, az ott lert lpseket kell vgrehajtani azzal a klnbsggel, hogy ahol lehet, ott hasznljuk az automatikus kongurcit (pl. csoportos hzirendek). Fontos, hogy els krben csak a gpek kis szzalkn szabad tesztelni (laborban lv szmtgpek esetn pldul egy gpen laboronknt), majd fokozatosan kiterjeszteni az sszes kliensre. Most mr, hogy a munkallomsok egy rsze alkalmas IPv6 forgalomra, az
ns.aut.bme.hu
1. IPv6 routing
2. Tzfal
44
4. DHCPv6 szerver
Ezekhez is nagy segtsg a 3.5 vagy a 3.4 fejezet. A kiszolglk kongurlsa sok egyeztetst ignyel a rendszergazdkkal: fel kell
trtkpezni a fut szolgltsokat, s fel kell hvni az adott szervert zemeltet gyelmt, hogy a szerveren fut minden publikus szolgltatst nyjt szoftvernek tmogatnia kell az IPv6-ot, klnben nem vrt problmk lphetnek fel. Pldul HTTP szervernek van rvnyes AAAA DNS rekordja de a webszerver nem gyel azon az IPv6 cmen, emiatt nem rhet el IPv6 hlzatbl az adott weboldal. Ha valamelyik szerveren olyan szolgltats fut, ami nem tmogatja az IPv6-ot, akkor ahhoz a gphez tartoz IP-re tilos AAAA rekordot bejegyezni! HTTP szerver esetn j tanstvnyokat kell gyrtani a titkostott csatornn (pl https) is elrhet szervereken. A DNS bejegyzsek elksztse a legutols lpse a bevezetsnek: stateless cmoszts esetn minden regisztrlt kliensek s a szerverek kapnak AAAA s PTR rekordokat, stateful esetn mg a nem regisztrlt gpekre is gondolni kell.
4.3. zemeltets
A bevezets vgeztvel mg viszonylag sok teend akad. Meg kell oldani a cmek adminisztrlst, gondolok itt a MAC cm regisztrcira, regisztrci trlsre. Ha van a tanszken erre rendszerestett fellet, akkor azt ki kell egszteni az IPv6-os cmek bejegyzsvel DHCP, DNS esetleg a tzfalszablyok kz. Amennyiben nincs ilyen eszkz s kzzel trtnik a regisztrci, akkor az ezt ler dokumentcit kell bvteni az IPv6-os rsszel. A biztonsgra rdemesebb ezutn sokkal jobban gyelni: az IPv6 stack sokkal kevesebb helyen hasznlt, ezrt tbb javtatlan biztonsgi rs is lehet benne, mint az IPv4-es implementcikban. Ezrt is fokozottan fontos a rendszeres frissts mind a szerverek mind a kliensek esetben.
45
46
Ksznetnyilvnts
Ksznm
Fischer Eriknek
(Sun Microsystems) s
(Schnherz
szleimnek,
47
Irodalomjegyzk
[1]
Internet Protocol
http://www.faqs.org/rfcs/rfc791.html
[3]
Connection of IPv6 Domains via IPv4 Clouds Teredo: Tunneling IPv6 over UDP through Network Address Translations
http://tools.ietf.org/html/rfc5214
(NATs)
http://tools.ietf.org/html/rfc4380
[6] OECD,
[7]
Privacy Extensions for Stateless Address Autoconguration in IPv6 Running IPv6, pg42, Apress, Berkeley, 2006.
http://tools.ietf.org/html/rfc4941
[10]
WIDE-DHCPv6
http://wide-dhcpv6.sourceforge.net/
48
[11]
[12]
[13]
49
brk jegyzke
1.1. 1.2.
12 13
2.1.
17
Teszthlzat IPv4-es kongurcija . . . . . . . . . . . . . . . . . . . . . . Stateless kongurcival kiptett IPv6 hlzat . . . . . . . . . . . . . . . . Tzfal szablyok mkdsi brja . . . . . . . . . . . . . . . . . . . . . . . A teszthlzat felptse stateful kongurci esetn . . . . . . . . . . . . .
21 33 35 39
50
Tblzatok jegyzke
IPv4 cmek a tanszken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiszolgl oldali szoftverek listja az AAIT tanszken . . . . . . . . . . . . Kliens oldali szoftverek listja az AAIT tanszken . . . . . . . . . . . . . .
18 19 19
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
30 33 35 39
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
51
Fggelk
F X N N N N A
c l i e n t p
icmpv6
ip6tables
F R A D O W R
ACCEPT
#F o r r a s v i z s g a l a t
ip6tables
for
ip6tables I in
A A
`
F R A D O W R F R A D O W R reg
cat
s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 6 4 j wan s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j s e r v e r
`; $I
done ;
ip6tables
A A
F R A D O W R
c i m e k . t x t s r c j
nr
do
client
ip6tables
F R A D O W R
c l i e n t
# A W N chain
for
ip6tables I in
done ;
d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j ACCEPT c i m e k . t x t ` ; do ip6tables A wan p t c p d s t $ I m m u l t i p o r t s p o r t s 443 ,80 ,22 ,3389 ,445 ,21 m s t a t e s t a t e ESTABLISHED j
`
cat
wan
reg
ACCEPT
ip6tables
A A
wan
ESTABLISHED ip6tables
multiport
s p o r t s
443 ,80
state
s t a t e
# SERVER
for
chain
`
in
cat
reg
done ;
ip6tables
A A A A
server
# CLIENT
chain
ip6tables dports
client
tcp
d s t m
2 0 0 2 : 9 8 4 2 : d180 : : / 6 4 state
multiport
ACCEPT
s t a t e
N W, ESTABLISHED E
52
ip6tables
A A
client
d s t j
2 0 0 2 : 9 8 4 2 : d180 : : / 9 6
state
s t a t e
N W, E
ESTABLISHED ip6tables
ACCEPT REJECT
client
# NR CLIENT CHAIN
ip6tables
A A
nr
N W, ESTABLISHED E ip6tables
c l i e n t p t c p m j ACCEPT c l i e n t j REJECT
multiport
d p o r t s
443 ,80
state
s t a t e
#! / b i n / b a s h
F X N N N N A
c l i e n t p
icmpv6
ip6tables
F R A D O W R
ACCEPT
#F o r r a s v i z s g a l a t
ip6tables ip6tables ip6tables ip6tables
A A A A
F R A D O W R F R A D O W R F R A D O W R F R A D O W R
s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 6 4 j wan s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j s e r v e r s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : 1 : 0 : 0 / 1 1 2 j j n r c l i e n t
!
client
# A W N chain
d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j ACCEPT p t c p d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : 1 : 0 : 0 / 1 1 2 m m u l t i p o r t sports 443 ,80 ,22 ,3389 ,445 ,21 m s t a t e s t a t e ESTABLISHED j ACCEPT ip6tables A wan p t c p m m u l t i p o r t s p o r t s 443 ,80 m s t a t e s t a t e ESTABLISHED j ACCEPT ip6tables A wan j REJECT
ip6tables wan ip6tables wan
A A
# SERVER
chain
A A A A
# CLIENT
chain
A A A
client
tcp
d s t j
s t a t e 2 0 0 2 : 9 8 4 2 : d180 : : / 9 6 m
state
d s t m
2 0 0 2 : 9 8 4 2 : d180 : : / 6 4
multiport
ACCEPT
N W, ESTABLISHED E state
s t a t e
N W, E
ESTABLISHED ip6tables
ACCEPT REJECT
client
# NR CLIENT CHAIN
ip6tables
A A
nr
N W, ESTABLISHED E ip6tables
c l i e n t p t c p m j ACCEPT c l i e n t j REJECT
multiport
d p o r t s
443 ,80
state
s t a t e
53