タグ付けされた質問 「ipv6」

Cisco 15.2Mで、純粋なIPv6ネットワークで使用するためにダイナミック暗号マップを設定しようとしています。問題は、ダイナミック暗号マップにipv6アクセスリストを追加しようとすると、エラーメッセージが表示されることです。設定の下 crypto dynamic-map DYNMAP 5 set transform-set IPSECVPN-PeerA set ikev2-profile IKEV2-SETUP-DYN ipv6 access-list VPN_PEER_A_IPV6_ANY permit ipv6 2001:1::/64 any permit ipv6 2001:2::/64 any しかし、クリプトマップにアクセスリストを追加しようとすると、次のエラーが発生します access-list type conflicts with prior definitionERROR: "VPN_PEER_A_IPV6_ANY" is either an invalid name or the list already exists but is the wrong type. これは、15.2が動的IPv6暗号マップをサポートしていないためだと思います。誰かが私にヒントを与えることはできますか？

10 cisco  ipv6  ipsec 

サイトローカルアドレスのfec0 :: / 10から始めましたが、現在は非推奨になっています。代わりに、fc00 :: / 7が予約され、fd00 :: / 8は一意のローカルアドレス用の/ 48ネット専用です。 最小レベルの40ビットを選択して組織レベル/ 48を取得するためのベストプラクティスは何ですか？ ...全員がSIXXS自主レジストリを使用していますか？（私には疑わしいようです） ... RFC4193のピッキング（それはアルゴ経由）のガイダンスを使用するだけですか？ ...そのアルゴをオンラインで実装している人はいますか？ 私たちの40ビットを選ぶのは難しいことではありません。できれば、「正しい」方法を選択しようとしているだけです。

10 ipv6  best-practices 

誰もが知っているように、私たちはIPv4アドレスを使い果たしており、まもなく（まだではないにしても）IPv6に移行します。完全なIPv4ネットワークをIPv6に移行するための良い戦略と実践は何ですか？

10 ipv4  ipv6  ipv6-transition 

5952- "IPv6アドレステキスト表現の推奨事項"や 2373-"IPバージョン6アドレッシングアーキテクチャ"などのRFCはそれぞれ、IPv6アドレス、またはIPv6 CIDR。 例：2001：0db8：85a3 :: 8a2e：0370：7334。 ただし、RFCはこのユビキタス形式の名前を提案しているようには見えません。この形式の名前はありますか？IPv4が名前付きドット10進表記を持っている方法に似ていますか？もしそうなら、この標準IPv6表記を参照するときに使用する適切な名前は何ですか？

10 ipv6  rfc  terminology 

IPv4アドレスをIPv6アドレスに含めることができます。たとえば、2001:db8::c0a8:6301最後の32ビットはIPv4アドレス192.168.99.1です。最後の32ビットがドット10進表記のIPv6アドレスの特別な表記もあります。ジュニパー製ルーターの例： root@mx> show configuration interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8::192.168.99.1/64; root@mx> IPv4アドレスをIPv6アドレスに含めることはどのような状況で意味がありますか？これを実際に見た人はいますか？

9 ipv6  ip-address 

サブネットでこれ以上IPアドレスを要求できないこと以外に、サブネットの使用率が100％に達した場合、他にどのような問題が発生しますか？

9 ip  ipv4  subnet  ipv6  ip-address 

FacebookはIPv6アドレススキームに関して非常に賢いですが、ACLについて考えさせられました。それに一致するCisco IOS IPv6 ACLを作成することは可能ですか？IPv4では、 'x'を 'do n't care'でヒットするために、10.xxx.10.xxxなどの中間オクテットを一致させることができます。これはIPv6では可能ではないと思います。少なくともIOS 15.1では不可能です。 私の例の場合、Facebookは賢いので、できればFACE：B00Cで簡単に一致させることができます。あるブロックが割り当てられているかどうかを調べなくても、その範囲で照合できるため、これは単純化されます。 2A03：2880：F000：[0000-FFFF]：FACE：B00C :: / 96 2A03：2880：F000 :: / 48で一致させるのが明白で通常の方法ですが、残念ながら、FBの範囲が広いかどうかは一目でわかりません（おそらく）。したがって、この特定のケースでは、FACE：B00Cパーツのみを照合できれば、FACE：B00Dに移動しないと想定して、使用しているすべてのものを照合できます。 IOSとIPv6 ACLではワイルドカードマスクを入力できないので、これはできないと思いますが、興味深い回避策があるかどうか知りたいです。大規模なプロバイダーの/ 32全体をブロックしたくないが、ある時点でDDoSまたはアグレッシブトラフィックのためだけにサブブロックをフィルター処理する必要がある場合があるため、これを知っておくと便利だと思います。 さらに、これにより、ポリシーベースのトラフィックのリダイレクトまたは優先順位付けが可能になります。アドバタイズが別のブロックにあることに気付いた場合は、QoSを変えることができます。たとえば、低帯域幅の混雑した衛星リンクに適した機能です。 編集：少し明確にするために。/ 32のような大きなブロック内の特定の範囲をブロックまたは許可する必要がある場合があります。これらはわずかに連続していて、数百のエントリではなく、ワイルドカードがそれらの大部分と一致する場合があります。これは、すべての10.x.10.0ブロックをルーティングする方法でトラフィックエンジニアリングにも使用できます。xが奇数の場合、あるルートと別のルートに行きます。 別の例は、ハッカーのグループ名を綴るパターンでIPv6ソースIPがスプーフィングされているDDoSです。これは少なくとも1回は発生します。それをフィルタリングできると便利です。 コンパクトなACLはクリーンですが、常に管理しやすいとは限りません。これらは良いアイデアか悪いアイデアか実践かもしれませんが、ここで議論するのではなく、自分が持っているツールと自分が作成しなければならない可能性のあるツールを理解しようとしているだけです。

9 security  ipv6  cisco-ios  acl 

ベストプラクティスは、RFC2373で説明されているポイントツーポイントアドレッシングに手動の/ 127アドレスを使用することです。 EUI-64の場合、ERFC 2373は2つのステップからなる変換プロセスを指示します。1つは、48ビットのMACアドレスを64ビットの値に変換することです。これを行うには、MACアドレスを2つの24ビットの半分に分けます。組織的に一意の識別子（OUI）とNIC固有の部分です。次に、16ビットの16進値0xFFFEがこれら2つの半分の間に挿入され、64ビットのアドレスを形成します。 / 127手動アドレス割り当てをどこで使用するかは完全に理解できますが、EUI-64を使用することの利点は本当にわかりません。このアドレス関数の実際の目的を完全に逃していない限り。 可能であれば、誰かが特にISP WANトポロジーでのEUI-64の使用例に親切に光を当てることができますか？または、いくつかの読み物の方向を教えてください。

9 ipv6  mac-address 

Juniper EXシリーズスイッチのアクセスポートでIPv6 RAアドバタイズをブロックするにはどうすればよいですか？シスコがスパニングツリーのbpdu-guardと同様にオプションとしてra-guardを提供していることを知っていますが、Junosで同じことを行う方法がわかりません。

9 juniper  ipv6  security  juniper-junos 

IPv6をサポートするようにIOS 12.4（25f）を構成するために必要な手順は何ですか？ComcastはISPであり、内部DHCPv6にはServer 2012ボックスを使用します。 外部インターフェイス用にComcastからDHCPv6アドレスを取得する必要があります。 これまでのところ、私の外部インターフェイスでは、次のようになっています。 ipv6 address autoconfig default ipv6 enable ipv6 traffic-filter al in ipv6 verify unicast reverse-path ipv6 dhcp client pd comcast-ipv6 「al」アクセスリストについては、次のようにしています。 permit udp any any eq 546

9 cisco  ipv6  cisco-ios 

シスコ環境（ISR-G2）では、誤ったRAアナウンスをどのように防止または軽減しますか？ シスコには「IPv6 RAガード」が搭載されているようですが、それはルータ上で実行され、正しいRAで「戦う」だけですか。ネットワークから偽のRAをフィルタリングするスイッチを使用するほうが理にかなっているのではないでしょうか。（または私は偽のRAについて過度に偏執的ですか？）

9 cisco  ipv6 

IPv4では、TCP MSSの「クランプ」（TCPヘッダーのMSS値を編集するネットワークデバイス）が、パスの最大転送単位の検出が機能していない場合に役立ちます。（たとえば、ICMPがパスのどこかでブロックされている場合。）IPv6にはフラグメンテーションがないため、ICMPv6の「パケットが大きすぎて」元のエンドポイントに信号を送ることができません。 特にIPv6を介してTCP MSSをクランプすることについてのガイダンスはありますか？

9 tcp  ipv6  layer4  transport-protocol  icmpv6 

IPv6ネットワークでリンクローカルまたは一意のローカルを使用するのはいつですか？（シスコはオンライン資料で適切に説明することはできません。）

9 ipv6  lan 

私が知ることができることから、各プロセスは独自のIPアドレスを取得でき、IPの負荷が余計にかかります。 欠点は何でしょうか？ 基本的に、ホストはルーターになり、各プロセスは（現在のシステムでは）ホストです。

8 ip  nat  ipv6  protocol-theory  transport-protocol 

ipv6のfd00 :: / 8アドレススペース（ユーザーローカルアドレス）が、インターネット上で何も話したくないマシン用であることは本当ですか？ 私はそれをここで読んでいただけで、それが事実であることを知って驚いた。

8 routing  ip  ipv6  internet  ip-address