Praktický postup adresace koncové sítě IP verze 6 a nastavení automatické konfigurace

Example of IPv6 Site Addressing and Auto Configuration Settings - Abstract

This article is the third of a series of articles dealing with the IPv6 implementation on the LAN networks. There was described the recommendations for assigned of IPv6 address space, individual types of auto-configuration of computers, possibility of implementing the DNS and monitoring of network nodes and traffic in IPv6 LAN network in the previous articles. The third article provides an example of auto-configuration settings in an experimental IPv6 LAN network with MikroTik RB1200 as default router and servers based on Scientific Linux distribution.

Keywords: IPv6; auto configuration; Dibbler

Popis experimentální sítě IP verze 6

Experimentální síť IPv6 se byla vytvořena na katedře Telekomunikační techniky, Fakulty elektrotechnické, Českého vysokého učení technického v Praze. Její zjednodušená topologie je zobrazena na obr. 1, kde jsou zobrazeny pouze síťové prvky, kterých se implementace protokolu IPv6 bezprostředně týká.

Obr. 1 Topologie experimentální sítě IPv6

Experimentální síť IPv6 se skládá ze směrovače Mikrotik řady RB1200, který je připojen do fakultní sítě IPv6, serveru s distribucí Scientific Linux pro realizaci DHCP serveru verze 6 a DNS serveru a pro potřeby monitorování datového provozu a koncových stanic. Koncové stanice převážně používají operační systémy Microsoft Windows XP, Microsoft Windows 7 a Ubuntu.

Adresace sítě

Doporučení a principy pro přidělování adres IPv6 jsou popsány v [1]. Typy adres a jejich formáty jsou popsány v [5]. Následná ukázka adresace experimentální sítě IPv6 dodržuje všechna pravidla a doporučení zmíněná v uvedené literatuře. Níže uvedené adresy jsou z důvodu bezpečnosti sítě smyšlené.

Pro potřeby experimentální sítě IPv6 byl přidělen prefix 2001:718:4000:132::/64, z jehož rozsahu bylo prvních sto adres rezervováno pro manuální konfiguraci různých síťových prvků, jako jsou přepínače, servery, tiskárny atd. Tvar rezervovaných adres je 2001:718:4000:132::X, kde X nabývá hodnot 1 až 100, a byl zvolen s ohledem na snazší administraci těchto zařízení. Obecně je doporučeno pro tato zařízení volit relativně lehce zapamatovatelné adresy, což v případě použití identifikátoru rozhraní odvozeného z modifikovaného standardu EUI-64 není splněno [1]. Na základě výše zmíněného je odchozímu rozhraní výchozího směrovače přidělena adresa 2001:718:4000:132::1 a stroji, na kterém běží DHCP a DNS server, adresa 2001:718:4000:132::50, viz obr. 1.

Koncové stanice pro získání adres používají automatickou konfiguraci [1], jak popisují následující kapitoly. Princip je jednoduchý. K vysílanému prefixu 2001:718:4000:132::/64 si koncové stanice připojí vlastní identifikátor rozhraní, který si vygenerují podle modifikovaného standardu EUI-64 [1] nebo náhodně, podle typu použitého operačního systému [2]. Primárně linuxové distribuce používají modifikovaný standard EUI-64 a operační systémy společnosti Microsoft standard RFC 4941 [3].

Konfigurace směrovače Mikrotik RB1200

Konfigurace výchozího směrovače vyžaduje nastavení rozhraní jak do koncové sítě, tak směrem k ISP, tj. konfiguraci adres IPv6 a ohlášení směrovače RA (Router Advertisement) [1]. Dále je nutné na směrovači nakonfigurovat směrování. V našem případě je výchozí směrovač připojen přímo k směrovači ISP (bod-bod). To znamená, že stačí nakonfigurovat pouze výchozí cestu směrem k ISP. V případě připojení výchozího směrovače prostřednictvím LAN sítě (bod-mnoho bodů), je nutné na směrovači nakonfigurovat některý ze směrovacích protokolů (podle doporučení ISP), které podporují IPv6 (RIPng nebo OSPFv3). Ukázka konfigurace adres je znázorněna na obr. 2 a konfigurace výchozí cesty na obr. 3.

Obr. 2 Konfigurace rozhraní na směrovači fy Mikrotik

Z ukázky konfigurace rozhraní lze vidět, že obě rozhraní mají nastavenu adresu IPv6 staticky, proto je volba eui-64 zakázaná. Dále lze vidět, že vysílání prefixu, tj. vysílání ohlášení směrovače, je povolena pouze na rozhraní ether2. ISP vysílá k výchozímu směrovači vlastní ohlášení směrovače, proto je žádoucí vysílání prefixu na rozhraní ether1 zakázat. Následuje popis jednotlivých voleb pro nastavení rozhraní směrovače [4]:

• address – určuje IPv6 adresu daného rozhraní a délku jeho prefixu
• advertise – určuje, jestli daným rozhraním bude odesíláno ohlášení směrovače, či nikoliv
• disabled – určuje, jestli je daná adresa IPv6 používána, či nikoliv
• eui-64 – určuje, zdali je identifikátor rozhraní generován pomocí modifikované standardizace EUI-64
• interface – určuje, jakého rozhraní se konfigurace týká

Obr. 3 Konfigurace výchozí cesty na směrovači fy Mikrotik

Popis voleb pro konfiguraci statického směrování (výchozí cesty) [7]:

• disabled – určuje, jestli je cesta používaná, či nikoliv
• distance – preference cesty (hodnota 1 znamená statické směrování). Cesta s nejnižší hodnotou je preferována.
• dst-address – IPv6 prefix cesty. Specifikuje cílové adresy, které mohou být dosaženy prostřednictvím daného prefixu. V případě prefixu::/0 se jedná o výchozí cestu.
• gateway – IPv6 adresa dalšího směrovače po cestě (tvz. next-hop směrovač)
• scope – identifikuje dosah dané cesty a spolu s volbou target-scope se používá při určení adresy next-hop směrovače [6]. Hodnota 30 je výchozí hodnota pro staticky konfigurovatelné cesty.
• target-scope – specifikuje cestu, která se má použít pro určení adresy next-hop směrovače při směrování příchozích paketů. Hodnota 10 je výchozí hodnota pro staticky konfigurovatelné cesty.

Hodnoty voleb scope a target-scope, uvedené na obr. 3, ve své podstatě umožňují použít danou výchozí cestu pouze pro pakety, které přicházejí z cest označených jako přímo připojené [6]. Tedy z cest, které mají ve směrovací tabulce příznak C.

Ohlášení směrovače je základní stavební blok automatické konfigurace síťových uzlů [1]. Každý síťový uzel, který má povolenu automatickou konfiguraci, si z ohlášení směrovače odvodí typ automatické konfigurace, tj. získá IPv6 adresu a ostatní parametry sítě, a adresu výchozího směrovače. Z toho vyplývá, že směrovač, který šíří ohlášení směrovače, musí být zároveň i výchozí směrovač. Nastavení jednotlivých voleb ohlášení směrovače je znázorněno na obr. 4.

Obr. 4 Konfigurace ohlášení směrovače na směrovači fy Mikrotik

Následuje popis nejvýznamnějších voleb pro nastavení ohlášení směrovače [8], které jsou uvedeny v podmenu /ipv6 nd. Jednotlivé volby jsou více specifikovány v [1].

• advertise-dns – jedná se o novou volbu [5], která umožňuje redistribuovat informace o DNS serverech. Tato volba však není v současné době podporována operačními systémy a proto vyžaduje na straně koncových stanic instalaci softwarového klienta, který tuto volbu podporuje. V případě sítě se stovkami koncových stanic by instalování tohoto klienta bylo náročné a pracné, což je nežádoucí. Z tohoto důvodu jsme zvolili stavovou konfiguraci, která umožňuje redistribuovat informace o DNS serverech bez dodatečného softwarového klienta, viz další kapitola.
• advertise-mac-address – umožňuje v rámci ohlášení směrovače šířit i MAC adresu příslušného rozhraní směrovače
• hop-limit – specifikuje hodnotu, kterou by měly všechny koncové stanice vkládat do pole Maximální počet skoků ve všech odchozích IPv6 paketech
• managed-address-configuration – aktivuje příznak, který určuje, jestli mají koncové stanice pro určení adresy využít stavovou konfiguraci (DHCPv6 server). Jedná se tedy o příznak M.
• other-configuration – aktivuje příznak, který určuje, jestli má koncová stanice v případě bezestavové konfigurace žádat DHCPv6 server o dodatečné informace. Jedná se o příznak O.
• ra-delay – specifikuje minimální interval mezi dvěma zprávami ohlášení směrovače
• ra-interval – specifikuje minimální a maximální časový interval mezi dvěma nevyžádanými zprávami ohlášení směrovače
• ra-lifetime – specifikuje životnost jedné zprávy ohlášení směrovače
• reachable-time – specifikuje dobu, po kterou má být soused v cache sousedů považován jako dosažitelný. Cache sousedů je interní datová struktura, ve které jsou uloženy MAC adresy sousedů [5].
• retransmit-interval – specifikuje časový interval mezi dvěma zprávami výzva směrovače

Volby v podmenu /ipv6 nd prefix default představují společné volby pro všechny ohlášení směrovače, které jsou nakonfigurovány v podmenu /ipv6 nd prefix. Díky následujícím volbám lze pro všechny ohlášení směrovače nastavit:

• set-autonomous – pokud je tato volba nastavena, potom umožňuje koncové stanici, aby se konfigurovala jak podle DHCPv6, tak i podle bezestavové konfigurace. Jedná se příznak A [1].
• preferred-lifetime – jedná se o dobu, po kterou je prefix preferován
• valid-lifetime – jedná se o dobu platnosti prefixu

Z výše uvedené konfigurace ohlášení směrovače je patrné, že pro automatickou konfiguraci koncových stanic se bude používat pouze stavová konfigurace (DHCPv6) a bezestavová konfigurace (SLAAC) je zakázaná. Konfigurace DHCPv6 serveru je uvedena v následující kapitole. Důvod použití stavové konfigurace je dán šířením adresy DNS serveru, která v případě bezestavové konfigurace vyžaduje instalaci softwarového klienta u všech koncových stanic v síti, viz volba advertise-dns, což je neefektivní a smazává veškeré výhody automatické konfigurace.

Konfigurace DHCP serveru

DHCPv6 server se využívá při stavové konfiguraci a tento koncept je nejvíce podobný konceptu, který se používá v IPv4 [2]. Aktuálně je na výběr z celé řady programů, ze kterých lze pro server volit, a většina linuxových distribucí má i nějaké předinstalované. V našem případě byl zvolen program Dibbler verze 0.8.0, který běží na fyzickém serveru s adresou 2001:718:4000:132::50, viz obr. 1. Jedná se program, který je šířen pod licencí GNU GPL, což umožňuje jeho bezproblémové použití a plně pokryje nároky většiny správců sítě. Program Dibbler je vyvíjen od roku 2004 a podporuje všechny tři varianty DHCP, tzn. server, relay i klient. Jeho konfigurace není složitá a spočívá v nastavení konfiguračních souborů, které se v případě linuxových distribucí, po jeho instalaci, nachází v adresáři /etc/dibbler.

Konfigurace DHCPv6 serveru se provádí v konfiguračním souboru server.conf a spočívá v definování globálních a lokálních voleb. Globální volby nastavují chování celého serveru, kdežto lokální jsou určeny pro jednotlivá rozhraní, viz obr. 5, a jsou nadřazena volbám globálním. Konfigurace DHCPv6 serveru je uvedena na obr. 6.

Obr. 5 Tvar zápisu lokálních voleb v konfiguračním souboru server.conf

Obr. 6 Konfigurace DHCPv6 serveru Dibbler (server.conf)

Následuje popis nejvýznamnějších voleb pro nastavení DHCPv6 serveru Dibbler:

• log-level – určuje četnost logů (rozsah hodnot 1 až 8). Log, respektive žurnál, je název pro záznam nebo soubor záznamů, které si některé programy vytvářejí pro ukládání informací o své činnosti a běhu. Při hodnotě 1 se ukládají jen kritické události a při hodnotě 8 se ukládají všechny události.
• log-mode – specifikuje detailnost informací v každém logu (rozsah hodnot short, full, precise nebo syslog)
• preference – určuje preferenci serveru (rozsah hodnot 0 až 255). Jestliže host přijme více nabídek od více serverů, využije té, která má nejnižší hodnotu preference.
• prefered-lifetime – určuje dobu preferování adresy
• valid-lifetime – určuje dobu životnosti adresy
• class – obsahuje adresy, nebo adresní rozsahy, které se budou přidělovat hostům
• option dns-server – specifikuje adresu DNS serveru, která se bude předávat hostům
• option domain – specifikuje jméno domény, která se bude předávat hostům

Z výše uvedené konfigurace je patrné, že DHCPv6 server šíří přes rozhraní eth0 do experimentální sítě prefix 2001:718:4000:132::/64, adresu DNS serveru 2001:718:4000:132::50 a jméno domény ipv6.example. Doba preferování prefixu je nastavena na 3600 sekund a doba životnosti na 7200 sekund, tedy 1 resp. 2 hodiny Hodnota 0 globální volby preference zajistí, že nabídky tohoto serveru budou vždy preferovány před ostatními. Dále lze vidět, že DHCPv6 server je nastaven tak, aby ukládal (logoval) všechny události a každý log obsahoval jen základní informace.

Dibbler dále umožňuje šířit hostům celou řadu různých informací. Následuje popis některých dalších voleb:

• script – obsahuje cestu ke skriptu, který se zavolá pokaždé, když je přidělena, aktualizována, nebo uvolněna adresa
• unicast – volba informuje hosta, aby při komunikaci s DHCP serverem pokud možno používal individuální globální adresu, nikoliv skupinovou, a tím šetřil šířku pásma
• iface-max-lease – určuje maximální počet adres, které je možno přes příslušné rozhraní přidělit
• client-max-lease – určuje maximální počet adres, které je možno přidělit jednomu klientovi
• class-max-lease – určuje maximální počet adres, které lze přidělit jednou třídou
• option ntp-server – volba obsahující adresu NTP serveru
• option sip-server – volba obsahující adresu SIP serveru
• option lifetime – určuje životnost ostatních voleb. Při vypršení doby preference klient obnovuje jen adresu a ne volby, které mají ve výchozím nastavení nekonečnou životnost. Tato volba určuje životnost dodatečných voleb.
• auth-method – umožňuje definovat volbu ověření. Dibbler podporuje následující metody ověřování: digest, plain, digest hmac md5, digest hmac sha1, digest hmac sha224, digest hmac sha256, digest hmac sha384 a digest hmac sha512.

Závěr

Tento článek je třetím ze seriálu článků, které se zabývají implementací protokolu IPv6 v koncových sítí, a obsahuje praktickou ukázku adresace koncové sítě IPv6 a nastavení automatické konfigurace, tj. konfiguraci ohlášení směrovače a DHCPv6 serveru (konkrétně programu Dibbler). Další článek se bude zabývat ukázkou konfigurace DNS serveru (konkrétně programu BIND9) a konfigurací koncových stanic s operačními systémy Microsoft Windows XP, Microsoft Windows 7 a Ubuntu.

Tento příspěvek vznikl v souvislosti s řešením projektu Fondu rozvoje sdružení CESNET „Implementace protokolu IPv6 do experimentální a výzkumné sítě katedry Telekomunikační techniky a její metodické zobecnění“ a projektu Studentské grantové soutěže ČVUT v Praze č. SGS11/124/OHK3/2T/13.

Seznam použitých zkratek

Literatura

[1] ČEPA, L. – KAČER, J. Konfigurace adres při implementaci IP verze 6 v koncových sítích. Access server [online]. 2012, roč. 10, č. 2012060001, [cit. 2012-07-18]. Dostupné z: http://access.feld.cvut.cz/view.php?cisloclanku=2012060001
[2] ČEPA,L. – KAČER, J. Implementace protokolu DNS a možnosti monitorování síťových prvků a datového provozu v koncové síti s IPv6. Access server [online]. 2012, roč. 10, č. 2012070002, [cit. 2012-07-18]. Dostupné z: http://access.feld.cvut.cz/view.php?cisloclanku=2012070002
[3] NARTEN, T. – DRAVES, R – KRISHNAN, S. Privacy Extensions for Stateless Address Autoconfiguration in IPv6 [online]. c2007, [cit. 2012-06-12]. Dostupné z: http://www.ietf.org/rfc/rfc4941.txt
[4] Manual: IPv6/Address. [Online]. Dostupné z: http://wiki.mikrotik.com/wiki/Manual:IPv6/Address
[5] SATRAPA, P. IPv6: internetový protokol verze 6 [online]. 3., aktualiz. a dopl. vyd. Praha: CZ.NIC, c2011, 407 s. [cit. 2012-05-15]. CZ.NIC. ISBN 978-80-904248-4-5 (BROž.). Dostupné z: http://ii.iinfo.cz/r/kd/internetovy-protokol-ipv6-treti-vydani.pdf
[6] Manual: IP/Route. [Online]. Dostupné z: http://wiki.mikrotik.com/wiki/Manual:IP/Route#Nexthop_lookup
[7] Manual: IPv6/Route. [Online]. Dostupné z: http://wiki.mikrotik.com/wiki/Manual:IPv6/Route
[8] Manual: IPv6/ND. [Online]. Dostupné z: http://wiki.mikrotik.com/wiki/Manual:IPv6/ND