タグ付けされた質問 「ipv6」

インターネットプロトコルバージョン6(IPv6)に関する質問。RFC 8200で指定されています。

1
IPv6アクセスリストを使用したダイナミック暗号マップ
Cisco 15.2Mで、純粋なIPv6ネットワークで使用するためにダイナミック暗号マップを設定しようとしています。問題は、ダイナミック暗号マップにipv6アクセスリストを追加しようとすると、エラーメッセージが表示されることです。設定の下 crypto dynamic-map DYNMAP 5 set transform-set IPSECVPN-PeerA set ikev2-profile IKEV2-SETUP-DYN ipv6 access-list VPN_PEER_A_IPV6_ANY permit ipv6 2001:1::/64 any permit ipv6 2001:2::/64 any しかし、クリプトマップにアクセスリストを追加しようとすると、次のエラーが発生します access-list type conflicts with prior definitionERROR: "VPN_PEER_A_IPV6_ANY" is either an invalid name or the list already exists but is the wrong type. これは、15.2が動的IPv6暗号マップをサポートしていないためだと思います。誰かが私にヒントを与えることはできますか?
10 cisco  ipv6  ipsec 

3
IPv6の一意のローカルアドレスを選択する(つまり、最小の40ビットを選択する)
サイトローカルアドレスのfec0 :: / 10から始めましたが、現在は非推奨になっています。代わりに、fc00 :: / 7が予約され、fd00 :: / 8は一意のローカルアドレス用の/ 48ネット専用です。 最小レベルの40ビットを選択して組織レベル/ 48を取得するためのベストプラクティスは何ですか? ...全員がSIXXS自主レジストリを使用していますか?(私には疑わしいようです) ... RFC4193のピッキング(それはアルゴ経由)のガイダンスを使用するだけですか? ...そのアルゴをオンラインで実装している人はいますか? 私たちの40ビットを選ぶのは難しいことではありません。できれば、「正しい」方法を選択しようとしているだけです。

4
IPv4からIPv6戦略への移行
誰もが知っているように、私たちはIPv4アドレスを使い果たしており、まもなく(まだではないにしても)IPv6に移行します。完全なIPv4ネットワークをIPv6に移行するための良い戦略と実践は何ですか?

2
IPv6アドレスの標準表記のような16進数の適切な名前は何ですか?
5952- "IPv6アドレステキスト表現の推奨事項"や 2373-"IPバージョン6アドレッシングアーキテクチャ"などのRFCはそれぞれ、IPv6アドレス、またはIPv6 CIDR。 例:2001:0db8:85a3 :: 8a2e:0370:7334。 ただし、RFCはこのユビキタス形式の名前を提案しているようには見えません。この形式の名前はありますか?IPv4が名前付きドット10進表記を持っている方法に似ていますか?もしそうなら、この標準IPv6表記を参照するときに使用する適切な名前は何ですか?
10 ipv6  rfc  terminology 

1
IPv6アドレスにIPv4アドレスを含めるユースケースは何ですか?
IPv4アドレスをIPv6アドレスに含めることができます。たとえば、2001:db8::c0a8:6301最後の32ビットはIPv4アドレス192.168.99.1です。最後の32ビットがドット10進表記のIPv6アドレスの特別な表記もあります。ジュニパー製ルーターの例: root@mx> show configuration interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8::192.168.99.1/64; root@mx> IPv4アドレスをIPv6アドレスに含めることはどのような状況で意味がありますか?これを実際に見た人はいますか?


2
Cisco IOSでIPv6ワイルドカードの一致は可能ですか?
FacebookはIPv6アドレススキームに関して非常に賢いですが、ACLについて考えさせられました。それに一致するCisco IOS IPv6 ACLを作成することは可能ですか?IPv4では、 'x'を 'do n't care'でヒットするために、10.xxx.10.xxxなどの中間オクテットを一致させることができます。これはIPv6では可能ではないと思います。少なくともIOS 15.1では不可能です。 私の例の場合、Facebookは賢いので、できればFACE:B00Cで簡単に一致させることができます。あるブロックが割り当てられているかどうかを調べなくても、その範囲で照合できるため、これは単純化されます。 2A03:2880:F000:[0000-FFFF]:FACE:B00C :: / 96 2A03:2880:F000 :: / 48で一致させるのが明白で通常の方法ですが、残念ながら、FBの範囲が広いかどうかは一目でわかりません(おそらく)。したがって、この特定のケースでは、FACE:B00Cパーツのみを照合できれば、FACE:B00Dに移動しないと想定して、使用しているすべてのものを照合できます。 IOSとIPv6 ACLではワイルドカードマスクを入力できないので、これはできないと思いますが、興味深い回避策があるかどうか知りたいです。大規模なプロバイダーの/ 32全体をブロックしたくないが、ある時点でDDoSまたはアグレッシブトラフィックのためだけにサブブロックをフィルター処理する必要がある場合があるため、これを知っておくと便利だと思います。 さらに、これにより、ポリシーベースのトラフィックのリダイレクトまたは優先順位付けが可能になります。アドバタイズが別のブロックにあることに気付いた場合は、QoSを変えることができます。たとえば、低帯域幅の混雑した衛星リンクに適した機能です。 編集:少し明確にするために。/ 32のような大きなブロック内の特定の範囲をブロックまたは許可する必要がある場合があります。これらはわずかに連続していて、数百のエントリではなく、ワイルドカードがそれらの大部分と一致する場合があります。これは、すべての10.x.10.0ブロックをルーティングする方法でトラフィックエンジニアリングにも使用できます。xが奇数の場合、あるルートと別のルートに行きます。 別の例は、ハッカーのグループ名を綴るパターンでIPv6ソースIPがスプーフィングされているDDoSです。これは少なくとも1回は発生します。それをフィルタリングできると便利です。 コンパクトなACLはクリーンですが、常に管理しやすいとは限りません。これらは良いアイデアか悪いアイデアか実践かもしれませんが、ここで議論するのではなく、自分が持っているツールと自分が作成しなければならない可能性のあるツールを理解しようとしているだけです。

3
ipv6アドレス指定/ 127 vs eui-64
ベストプラクティスは、RFC2373で説明されているポイントツーポイントアドレッシングに手動の/ 127アドレスを使用することです。 EUI-64の場合、ERFC 2373は2つのステップからなる変換プロセスを指示します。1つは、48ビットのMACアドレスを64ビットの値に変換することです。これを行うには、MACアドレスを2つの24ビットの半分に分けます。組織的に一意の識別子(OUI)とNIC固有の部分です。次に、16ビットの16進値0xFFFEがこれら2つの半分の間に挿入され、64ビットのアドレスを形成します。 / 127手動アドレス割り当てをどこで使用するかは完全に理解できますが、EUI-64を使用することの利点は本当にわかりません。このアドレス関数の実際の目的を完全に逃していない限り。 可能であれば、誰かが特にISP WANトポロジーでのEUI-64の使用例に親切に光を当てることができますか?または、いくつかの読み物の方向を教えてください。


2
Cisco IOSでDHCPv6クライアントの外部インターフェイスを設定する
IPv6をサポートするようにIOS 12.4(25f)を構成するために必要な手順は何ですか?ComcastはISPであり、内部DHCPv6にはServer 2012ボックスを使用します。 外部インターフェイス用にComcastからDHCPv6アドレスを取得する必要があります。 これまでのところ、私の外部インターフェイスでは、次のようになっています。 ipv6 address autoconfig default ipv6 enable ipv6 traffic-filter al in ipv6 verify unicast reverse-path ipv6 dhcp client pd comcast-ipv6 「al」アクセスリストについては、次のようにしています。 permit udp any any eq 546
9 cisco  ipv6  cisco-ios 

3
不良/悪意のあるIPv6 RAアナウンスの軽減
シスコ環境(ISR-G2)では、誤ったRAアナウンスをどのように防止または軽減しますか? シスコには「IPv6 RAガード」が搭載されているようですが、それはルータ上で実行され、正しいRAで「戦う」だけですか。ネットワークから偽のRAをフィルタリングするスイッチを使用するほうが理にかなっているのではないでしょうか。(または私は偽のRAについて過度に偏執的ですか?)
9 cisco  ipv6 

2
TCPの最大セグメントサイズ(MSS)はIPv6と互換性がありますか?
IPv4では、TCP MSSの「クランプ」(TCPヘッダーのMSS値を編集するネットワークデバイス)が、パスの最大転送単位の検出が機能していない場合に役立ちます。(たとえば、ICMPがパスのどこかでブロックされている場合。)IPv6にはフラグメンテーションがないため、ICMPv6の「パケットが大きすぎて」元のエンドポイントに信号を送ることができません。 特にIPv6を介してTCP MSSをクランプすることについてのガイダンスはありますか?




弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.