Tag Archives: IPv6

Exame JNCIS-SP JN0-360

Ontem realizei o exame JN0-360 da Juniper, este exame é também abrangido pelo “Fast track Program” e como tal 50% desconto se passar no assessment. Terei que aprofundar os conhecimentos em alguns dos tópicos tais como:IS-IS, Layer 2 VPNs

Pré-Requisitos

É necessário ter o JNCIA-Junos

Material de Estudo

Como material de estudo usei os documentos disponibilizados pela Juniper, para realizar o download será necessário realizar o registo no Learning Portal, este passo é importante pois o Pre-assessment que irá garantir o voucher será realizado apartir deste.

Para testar tecnologias como routing o Juniper Olive é perfeito, basicamente  é um junOS virtualizado/emulado. As relacionadas com Switching/High Availability/ Layer 2/3 VPNs entre outras usei os Virtual Labs (acho que só os partners têm acesso), o único senão é que a release dos EX/MX é a 11.x e a recomendada para estudo é a 14.1.

Deixo aqui as minhas notas para download, não estão tão resumidas como gostaria….

Em suma os passos foram:

Importante:É necessário estar autenticado no Learning Portal para aceder aos conteúdos

Após autenticar, abrir Fast Track Portal, são exibidas 2 colunas, abaixo encontra-se representada a coluna da direita. Escolher os recursos de estudo “Review study resources”

junos-ftrack_jncis-sp

Nota: Caso contenha um cadeado significa que ainda não se encontra autenticado

1. Praticar através dos 3 guides disponibilizados no Fast Track Portal

junos-ftrack_jncis-sp_guides

2. Day One Guides

3. Rever alguns dos Learning Bytes

4.Praticar os 2 testes de conhecimento
4.1  Practise Test
4.2  Pre-assessment Oficial (para obter o voucher)

Nota: Neste caso como realizei com sucesso aparece o resultado, mas deverá aparecer um link

Após passar o Pre-assessment Oficial, o voucher será enviado para o email registado no Learning Portal.

De seguida, agendar o Exame final em www.pearsonvue.com e usar o voucher :)

Objectivos Exame inclui:

  • Protocol-Independent Routing
  • Open Shortest Path First (OSPF)
  • Intermediate System to Intermediate System (IS-IS)
  • Border Gateway Protocol (BGP)
  • Layer 2 Bridging and VLANs
  • Spanning-Tree Protocols
  • Multiprotocol Label Switching (MPLS) and MPLS VPNs
  • IPv6
  • Tunnels
  • High Availability
**Clique para expandir/colapsar os objectivos em detalhe**

Exame

A prova tem a duração de 90 minutos com 70 questões. O minimo para passar é de 64%

Resultado

Como é hábito o resultado é provisório, mas recebi há minutos atrás o resultado final e Passei!

Para não haver dúvidas segundo o CertManager, é oficial. Agora é hora de descansar por uns dias!

juniper_certmanager_30122014

Este é o logo oficial

jncis-ent

Referências:

Juniper Fast Track

Juniper Learning Portal

Juniper JNCIS-SP

Junos documentation

Junos documentation for EX Series switches

Junos documentation for MX Series

Juniper Certificações Junho 2013

Exame JNCIA-Junos JN0-102

Share

Notas estudo JNCIS-ENT parte 15

Nota: Este Post faz parte do guide de Routing.

VRRP Defined

RFC 2338

Terms and Concepts

VRRP Router
Master Router
Backup Routers
Virtual Router

VRRP Communications

VRRP version 2
Usa Multicast 224.0.0.18
Default advertisement 1 segundo
E possível usar subsecond usando o comando fast-interval (o valor pode variar entre 100-999 milisegundos)
O MAC-ADDRESS do VIP tem o formato 00-00-5E-00-01-VRID
O Master state e elegido através da priority mais alta (entre 1 -255), by default e 100
Caso o router tenha o próprio VIP configurado como IP da interface deve ser configurado a priority 255 e ativado automaticamente o preempt.
Em ambientes onde o router não tem o próprio VIP como IP é possível desativar o preempt

VRRP States

Initialize
Master
Backup
Transition – Estado apenas transitório entre Backup e Master. Neste estado não existe forwarding

VRRP Configuration

set interfaces ge-0/0/4.0 family inet addres 172.25.100.2/24 vrrp-group 10 virtual-address 172.25.100.1 priority 200

outras opções:

track
accept-data – Permite que o master responda a ICMP com destino ao VIP. Caso o master tenha o proprio VIP responde by default a ICMP
authenticatioon-type – 3 types:none,simple,MD5
authenticatioon-key
no-preempt

É possível usar o inherit da config quando existem múltiplos grupos VRRP na mesma interface física usando assim algumas das mesmas características.
Com a opcao vrrp-inheret-from as características usadas são:advertise-interval, authentication-key, authentication-type, fast-interval, no-preempt, preempt, track interface, e track route

Unified ISSU

Apenas suportado em chassis com 2 REs e com os serviços GRES e NSR activos. Ambos os REs devem executar a mesma versão de software

Para iniciar o processo deve ser executado o comando request system software-in-service-upgrade no master RE

Para verificar o estados dos FPCs após o ultimo Unified ISSU:

[email protected]>  show chassis in-service-upgrade
Item           Status                  Reason
FPC 0          Online
FPC 1          Online
FPC 2          Online
PIC 0        Online
PIC 1        Online
FPC 3          Offline                 Offlined by CLI command
FPC 4          Online
PIC 1        Online
FPC 5          Online
PIC 0        Online
FPC 6          Online
PIC 3        Online
FPC 7          Online

!Cancelar o processo de upgrade (unified ISSU)
[email protected]>  request system abort software-in-service-upgrade

 
Appendix A IPv6

Alguns dos benefícios do IPv6
More efficient routing
Quality of service (QoS)
Elimination of the NAT requirement
Network Layer security with end-to-end IPsec
Ease of management using stateless address autoconfiguration
Improved header format to reduce header overhead

O header IPv6 tem 40 bytes (fixos) e inclui os seguintes campos:

Version: 4-bit field containing the number 6, indicating IPv6
Traffic class: 8-bit field that determines the traffic priority
Flow label: 20-bit field used for QoS management
Payload length: 16-bit field indicates the size of the payload in octets
Next header: 8-bit field indicating the next encapsulated protocol
Hop limit : 8-bit field replaces the time-to-live (TTL) field in IPv4
Source address : 128 bits
Destination address: 128 bits

IPv6 Defines Six Extension Headers

As extensões possíveis no header:

Hop-by-hop options: Signifies that the options need to be examined by each node along the path of a packet
Routing: Provides a list of intermediate nodes that should be visited on the path to the packet’s destination
Fragment: Signals when a packet has been fragmented by the source
Destination options: Options examined only by the destination node , and capable of appearing twice in a packet
Authentication header: Used with IPsec to verify  authenticity of a packet
Encrypted security payload: Used with IPsec and carries encrypted data for secure communication

IPv6 Address Types

3 Tipos de endereços IPv6:
• Unicast
• Multicast
• Anycast

Prefix Notation

O RFC4291 define as ultimas regras sobre prefix notation

::/128 : unspecified;
::1/128: This prefix notation should be used for the loopback;
FF00::/8 : Multicast
FE80::/10: Local-Link

Special Addresses
Link-Local Unicast Addresses – Prefix (10bits) + SubnetID (54bits) + Interface ID (64bits)
Site-Local Unicast Addresses – Enderecos Privatos a semelhanca do RFC1918 em IPv4. Prefix (10bits) + SubnetID (54bits) + Interface ID (64bits)
Global Unicast Addresses – Enderecos roteados na Internet. FP (3bits) + GlobalRouting Prefix (45bits) + SID (16bits) + Interface ID (64bits)

Stateless Autoconfiguration

Permitir atribuir IP automaticamente sem a necessidade de DHCP.

Stateless autoconfiguration consiste em varios elementos:

• Extended unique identifier (EUI)
• Router advertisement message
• Router solicitation message
• Prefix list

Neighbor Discovery (ND)

É o processo de tracking dos neighbors no mesmo local link.
O ND é opcional nos devices IPv6.
Após o host enviar um Router Solicitation (RS) o router confirma enviando um Router Advertisement (RA) com a prefix list. O host o endereçamento no prefix-list para efectuar a autoconfiguracao

Stateful Autoconfiguration

O DHCPv6 e conhecido como stateful, definido no RFC3315

set interfaces ge1/1/0.110 family inet6 address fec0:0:0:2003::1/64

[email protected]# run show interfaces terse ge-1/1/0
Interface               Admin Link Proto    Local                 Remote
ge-1/1/0                up    up
ge-1/1/0.110            up    up   inet     172.16.110.1/24
inet6    fe80::8271:1f00:6ec1:a278/64
fec0:0:0:2003::1/64

[email protected]# run show route table inet6.0

inet6.0: 4 destinations, 4 routes (4 active, 0 holddown, 0 hidden)
Restart Complete
+ = Active Route, – = Last Active, * = Both

fe80::/64          *[Direct/0] 00:02:24
> via ge-1/1/0.110
fe80::8271:1f00:6ec1:a278/128
*[Local/0] 00:02:24
Local via ge-1/1/0.110
fec0:0:0:2003::/64 *[Direct/0] 00:02:24
> via ge-1/1/0.110
fec0:0:0:2003::1/128
*[Local/0] 00:02:24
Local via ge-1/1/0.110

[email protected]# run show ipv6 neighbors
IPv6 Address                 Linklayer Address  State       Exp Rtr Secure Interface
fec0:0:0:2003::2             80:71:1f:c1:c3:78  reachable   34  yes no      ge-1/1/0.110

IPv6 Multicast Address

No IPv6 o ICMPv6 é usado no multicast group management  para optimizar o tráfego multicast. Este processo é referido como Multicast Listener Discovery (MLD)

Os enderecos multicast segundo o RFC 4291:

• Solicited-node multicast addresses are for Neighbor Solicitation (NS) messages;
• All-nodes multicast addresses are for Router Advertisement (RA) messages; and
• All-routers multicast addresses are for Router Solicitation (RS) messages.

IPv6 Anycast Address

Definido no RFC 2526
Permite que o mesmo IP esteja distribuído, mas apenas um Host irá receber o tráfego

set routing-options rib inet6.0 static route 0::/0 next-hop FEc0:0:0:2003::2 preference 250

OSPFv3 Configuration Example

O processo de selecao do RID no OSPFv3 e identico ao da v2, o RID continua a ser IPv4

Monitoring OSPFv3 Operations

show ospf3 neighbor
show ospf3 interface
show ospf3 database
show ospf3 route

IS-IS Configuration

set interfaces ge1/1/0.110 family iso
set interfaces ge1/1/0.110 family inet6 address fec0:0:0:2003::1/64

set interfaces lo0 unit 0 family iso address 49.0002.1111.1111.1111.00
set interfaces lo0 unit 0 family inet6 address fec0:0:0:1001::1/128

Monitoring IS-IS Operations

[email protected]# run show isis interface
IS-IS interface database:
Interface             L CirID Level 1 DR        Level 2 DR        L1/L2 Metric
ge-1/1/0.110          3   0x1 mxA-1.00          mxA-1.00               10/10
lo0.0                 0   0x1 Passive           Passive                 0/0

[edit]
[email protected]# run show isis adjacency

BGP Configuration

!eBGP Peering
set protocols bgp group ext-65501 type external
set protocols bgp group ext-65501 peer-AS 65501
set protocols bgp group ext-65501 neighbor fec0:0:0:2003::2

Monitoring BGP Operations

show bgp summary

Tunneling IPv6 Traffic

Por vezes e necessário encapsular trafego IPv6 em IPv4.

Alguns dos mecanismos de transicao
•IPv4-compatible addressing
•Configured tunnels
•6to4
•6over4

!Site A
set interface gr-0/0/0.0 tunnel source 172.16.110.1 destination 172.16.110.2
set interface gr-0/0/0.0 family inet6 address fec0:0:0:1000::1/126
set routing-options rib inet6.0 static route fec0:0:0:2000::/64 next-hop gr-0/0/0.0
set routing-options rib inet6.0 static route fec0:0:0:1001::/64 next-hop gr-0/0/0.0

!Site B
set interface gr-0/0/0.0 tunnel source 172.16.110.2 destination 172.16.110.1
set interface gr-0/0/0.0 family inet6 address fec0:0:0:1000::2/126
set routing-options rib inet6.0 static route fec0:0:0:2000::/64 next-hop gr-0/0/0.0
set routing-options rib inet6.0 static route fec0:0:0:1001::/64 next-hop gr-0/0/0.0

Referências:

Notas estudo JNCIS-ENT parte 1

Notas estudo JNCIS-ENT parte 2

Notas estudo JNCIS-ENT parte 3

Notas estudo JNCIS-ENT parte 4

Notas estudo JNCIS-ENT parte 5

Notas estudo JNCIS-ENT parte 6

Notas estudo JNCIS-ENT parte 7

Notas estudo JNCIS-ENT parte 8

Notas estudo JNCIS-ENT parte 9

Notas estudo JNCIS-ENT parte 10

Notas estudo JNCIS-ENT parte 11

Notas estudo JNCIS-ENT parte 12

Notas estudo JNCIS-ENT parte 13

Notas estudo JNCIS-ENT parte 14

Share

World IPv6 Launch 2 years later

Depois do lançamento mundial com diversos players importantes no mercado, a adoção já não é um mito e o crescimento exponencial fala por si.

 

WorldIPv6Launchiversary-2014

Referências:

Infographic IPv6 Launch 2014

World IPv6 Launchiversary in 2013

World IPv6 Launch in 2012

One Year After World IPv6 Launch, Number of IPv6-Connected Internet Users Doubles

World IPv6 Launch Unites Industry Leaders to Redefine the Global Internet

World IPv6 Launch Solidifies Global Support for New Internet Protocol

Dia mundial do IPv6

Share

Notas IPv6

IPv6 128 bits
IPv4 32 bits

Atribuição de Prefixos:

Registry Prefix -> Assignado pelo IANA a um RIR e.x. 2310::/12
ISP Prefix -> Assignado pelo RIR a um ISP e.x. 2310:1111:/32
Site Prefix ou Global Prefix-> Assignado por um ISP ou registry a o customer(site) e.x. 2310:1111:2222::/48
Subnet Prefix-> Assignado por um Engineer a um link e.x. 2310:1111:2222:3333::/64

Tipos de Endereços IPv6:

Address Type  Range  Application RFC
Aggregatable global unicast 2000::/3 Host-to-host communication; same as IPv4 unicast. RFC 3587
RFC 3177
Multicast  FF00::/8 One-to-many and many-to-many communication; same as IPv4 multicast.
Anycast  Same as Unicast Application-based, including load balancing,
optimizing traffic for a particular service, and
redundancy. Relies on routing metrics to
determine the best destination for a particular
host.
 RFC 2526
Link-local unicast  FE80::/10 Connected-link communications.
Solicited-node multicast  FF02::1:FF00:0/104 Neighbor solicitation.

Aggregatable global unicast

Os Aggregatable global address prefixes são estruturados de forma a serem sumarizados e agregados sob uma hierarquia consistente, com base no RFC 3177, começam após os primeiros 3 bits no prefixo:

  • Os 45 bits seguintes representam o global routing prefix
  • Os últimos 16 bits no prefixo antes do Interfacede ID, são os referentes ao Site Level Level Aggregator (SLA). Estes bits devem ser usados pela organização no seu endereçamento hierárquico interno. Este campo é conhecido como Subnet ID

Os restantes 64 bits representam o interface ID

2000(3bits)+GlobalPrefix(48bits)+SLA(16bits)+InterfaceID(64bits)

Link-Local Addresses

O endereço Link-local começa sempre com FE80::/10. O interface ID deriva do formato EUI-64. Os restantes 54 bits no prefixo são sempre definidos como 0.

Nas interfaces Ethernet o MAC-Add é a base do Interafce ID no Link-Local, para outros tipos de interfaces é utilizado uma pool de endereços MAC virtual para gerar os Interface ID. Por definição o endereço link-local não é roteavel.

Multicast

Uma vez que o IPv6 não tem o conceito de broadcast, usa multicast em todas as funções á semelhança do broascast no IPv4. Por exemplo, o DHCP IPv6 usa multicast para envar tráfego para um host desconhecido na rede local.

IPv6 Multicast Address Format

Os endereços Multicast no IPv6 começam sempre com FF no 1º octecto do endereço, ou FF00::/8. O 2º octecto especifica o lifetime e scope do grupo multicast. O Lifetime pode ser permanente ou temporário.

O Scope pode ser local para qualquer um dos seguintes:

  • Node (bin 0001)
  • Link (bin 0010)
  • Site (bin 0101)
  • Organization (bin 1000)
  • Global (bin 1110)

FF(8bits)+Lifetime(4bits)+Scope(4bits)+000….(48bits)+InterfaceID(64bits)

Function Multicast Group IPv4 Equivalent
All hosts FF02::1 Subnet broadcast address
All Routers FF02::2 224.0.0.2
OSPFv3 routers FF02::5 224.0.0.5
OSPFv3 designated routers FF02::6 224.0.0.6
RIP v2 FF02::9 224.0.0.9
EIGRP routers FF02::A 224.0.0.10
PIM routers FF02::D 224.0.0.13
DHCP relay agents (routers that forward to the DHCP server) FF02:1:2 N/A
DHCP servers (site scope) FF05::1:3 N/A
ALL NTP servers (site scope) FF05::101 N/A

Anycast

O formato dos endereços anycast é igual aos do unicast. O RFC 2526 recomenda um range de endereços a usar para aplicações Anycast.

The Unspecified Address

Este endereço representa-se desta forma ::. . O Unspecified Address é sempre usado como source address por uma interface que ainda não aprendeu o seu endereço unicast. Este não pode ser assignado a uma interface e usado como endereço de destino.

Method  Dynamic or Static Prefix and length learned from… Host  learned from… Default router  learned from… DNS addresses learned from…
Stateful DHCP Dynamic DHCP Server DHCP Server Router, using NDP (Stateful) DHCP Server
Stateless autoconfig Dynamic Router, using NDP Derived from MAC Router, using NDP Stateless DHCP
Static config Static Local config Local config Router, using NDP Stateless DHCP
Static config with EUI-64 Static Local config Derived from MAC Router, using NDP Stateless DHCP

Learning the Prefix/Length and Default Router with NDP Router Advertisements

O Neighbor Discovery Protocol (NDP) tem diversas funções. Uma das funções permite aos Hosts enviar uma mensagem multicast para os routers no link anunciarem: o Default gateway e os prefixos IPv6 no link. Este processo utiliza mensagens ICMPv6, estas têm o nome de Router Solicitation (RS) e Router Advertisement (RA).

O IPv6 define endereços multicast para diferentes funções, por exemplo, as mensagens RS (com destino FF02::2) apenas são recebidas/processadas pelos Routers sendo que as RA (com destino FF02::1) são enviadas pelos routers e recebidas/processadas apenas pelos hosts IPv6.

Message RS RA
Multicast destination FF02::2 FF02::1
Meaning of Multicast address  All routers on this link All IPv6 nodes on this link

Calculating the Interface ID Using EUI-64

Para criar automaticamente um único Interface ID, o IPv6 define o método para calcular o interface ID (64 bits) derivado do Mac-Address.
O processo EUI-64 utiliza os 6 bytes (48bits) do Mac-Address e expande-o até 64 bits, os 2 bytes (16 bits) são o valor hex FFFE e este é inserido no meio do Mac-Address. É necessário mudar o “universal/local bit” (bit 7 da esquerda para a direita) para o valor 1.

RFC 4291 – IP Version 6 Addressing Architecture

Mac-Address do Host – 0034:5678:9ABC

Interface ID formato EUI-64

00000000 (1ºs 8 bits do Mac-Address)

00000010 (mudando o “universal/local bit” para 1)

00000010 -> 02 hex Resultado: 0234:56FF:FE78:9ABC

Feature Stateful DHCP Stateless DHCP
Remembers IPv6 address Yes Yes
Assigns IPv6 address to client Yes Yes
Supplies useful information, such as DNS server IP addresses Yes No
Most useful in conjunction with stateless autoconfiguration No No

 Unicast IPv6 Addresses

O IPv6 suporta 3 tipos de unicast:

  • Link local
  • Global unicast
  • Unique local

Unique Local IPv6 Addresses

O Unique Local Unicast tem a mesma função que o RFC 1918 no IPv4, relativo a endereços privados. O RFC 4193 refere que este endereços devem ser usados apenas internamente (rede privada) e não advertidos para a internet. Estes endereços começam como FD00::/8

O Interface ID poderá ser criado através de config estática ou através do EUI-64

Link Local Unicast Addresses

O IPv6 usa o Link Local para enviar e receber pacotes IPv6 numa única subnet. Existem diversas utilizações possíveis, apontando algumas:

  • Usado como source address para as mensagens RS & RA
  • Usado pelo Neighbor Discovery (equivalente ao ARP para o IPv6)
  • IP Next-Hop para routing

By default, os routers utilizam um scope de Link Local para os pacotes enviados para um IP Link Local. Conforme o nome indica, os pacotes não saiem do Local Link, subnet. Caso o router receba pacotes com destino a outra subnet este não encaminha o tráfego.

Cada elemento da rede (host,router,etc) calcula o seu Local Link antes de enviar qualquer tráfego para a rede. Após calculado envia uma mensagem RS tendo como source o Link Local.

O Link Local começa com o range FE80::/10, sendo apenas os 1ºs 10 bits. O range pode variar entre FE80::/10, FE90::/10; FEA0::/10; FEB0::/10

IPv6 Unicast Address Summary

RFCs anteriores do IPv6 definiam o Site Local address Type como redes privadas á semelhança do IPv4. Este address Type foi descontinuado (RFC 3879)

Type of Address  Purpose  Prefix  Easily Seen Hex Prefix(es)
Global unicast  Unicast packets sent through the public Internet 2000::/3  2 or 3
Unique local  Unicast packets inside one organization FD00::/8  FD
Link local  Packets sent in the local subnet FE80::/10  FE8
Site local Deprecated; originall meant to be used like private IPv4 addresse FECO::/1  FEC, FED, FEE, FEF
Unspecified An address used when a host has no usable IPv6 address ::/128  N/A
Loopback Used for software testing, like IPv4’s 127.0.0.1 ::1/128  N/A

Neighbor Discovery Protocol for Layer 2 Mapping

Se o MAC não for conhecido, o host/router utiliza o Neighbor Discovery Protocol para dinamicamente descobrir o mesmo. O ND é definido no RFC 2461
O processo funciona como o ARP no IPv4, mas com diferentes detalhes. Neste caso o PC1, envia uma mensagem multicast de nome Neighbor Solicitation (NS) ICMP message, pergunta ao R1 pelo seu Mac-Address. O R1 envia uma mensagem ICMP Neighbor Advertisement (NA), em unicast de retorno ao PC1, listando o seu Mac-address.

As mensagens NS usam um endereço multicast especial de nome Solicited Node Multicast. Em qualquer link, o endereço Solicited Node Multicast representa todos os hosts com os últimos 24 bits nos seus endereços IPv6.Enviando pacotes para o Solicited Node Multicast, o pacote chega ao host correcto, mas também chega a outros hosts. (Nota: Os pacotes enviados para o Solicited Node Multicast têm um scope Link Local).

O Solicited Node Multicast tem o endereço FF02::1:FF:0/104. Os últimos 24 bits (6 digitos Hex) do endereço são formados adicionando os últimos 24 bits do endereço IPv6 para o qual a mensagem está a ser enviada. Esta conceção permite convenientemente o uso de endereços multicast na LAN, que comece com 01005E Hex seguido por um valor 0 (binário) e os restantes 23 bits.

Neste exemplo o endereço IPv6 do R1: 2340:1111:AAAA:1:213:19FF:FE7B:5004, a mensagem de NS é enviada com o endereço FF02::1:FF:7B:5004

Nota: O MAC Ethernet correspondente seria 0100.5E7B.5004

As major roles do IPv6 ND incluem o seguinte:

  • Stateless address autoconfiguration (detailed in RFC 2462)
  • Duplicate address detection (DAD)
  • Router discovery
  • Prefix discovery
  • Parameter discovery (link MTU, hop limits)
  • Neighbor discovery
  • Neighbor address resolution (replaces ARP, both dynamic and static)
  • Neighbor and router reachability verification
Message Type Information Sought or Sent  Source Address Destination Address ICMP Type, Code
Router
Solicitation
(RS)
Hosts query for the
presence of routers on the
link
Address assigned to
querying interface, if
assigned, or :: if not
assigned
FF02::2 133,0
Router
Advertisement
(RA)
Routers advertise their
presence and link
prefixes, MTU, and hop
limits.
Router’s link-local
address
FF02::1 for periodic
broadcasts; address of
querying host for
responses to an RS
134,0
Neighbor Solicitation (NS) Hosts query for other
nodes’ link-layer
addresses. Used for
duplicate address
detection and to verify
neighbor reachability.
Address assigned to
querying interface, if
assigned, or :: if not
assigned
Solicited-node multicast
address or the target
node’s address, if known
135,0
Neighbor Advertisement (NA) Sent in response to NS
messages and
periodically to provide
information to neighbors.
Configured or
automatically
assigned address of
originating interface
Address of node
requesting the NA or
FF02::1 for periodic
advertisements
136,0
Redirect Sent by routers to inform
nodes of better next-hop
routers.
Link-local address of
originating node
Source address of
requesting node
137,0

Neighbor Solicitation

Os nodos IPv6 enviam NS messages para encontra o link-layer do neighbor específico. Esta message é usada para 3 operações:

  • Duplicate address detection (DAD)
  • Neighbor reachability verification
  • Layer 3 to Layer 2 address resolution (as a replacement for ARP)

A resposta é NS message é a Neighbor Advertisement (NA).

Router Advertisement and Router Solicitation

Quando é configurado o comando ipv6 unicast-routing os routers iniciam o envio de mensagens RA, o intervalo de envio é de 200 segundos (by default). Este intervalo pode ser alterado usando o comando ipv6 nd ra-interval. Os RA incluem todos os prefixos configurados na interfave do router.

By Default, o router Cisco adverte-se como sendo o candidato a default gateway. Para não adverter o router como candidato usa-se o comando ipv6 nd ra-lifetime 0. O envio de RA com lifetime=0, informa os hosts para não usar este router.O comando ipv6 nd suppress-ra suprime o envio de RAs.

Se um host não tiver ainda endereço configurado, envia um RS com source unspecified address, caso contrário usa o endeço configurado.

Os hosts enviam RS messages para aprender os endereços dos routers no link.

Duplicate Address Detection (DAD)

Quando uma interface fica operacional, esta efectua o teste de DAD. O propósito é verificar se existe o endereço em causa já se encontra em uso por outro host.
Para efectuar esta verificação a interface utiliza uma mensagem NS (Neighbor Solicitation) para com algumas alterações.Para verificar o seu próprio IP, o host envia uma mensagem NS para o endereço Solicited Node Multicast (destination) baseado no seu próprio endereço IPv6. A source usada é unspecified address (::.), se existe um reply é mensagem estamos perante uma duplicação de IPs.

Na NS message é incluído o field Target Address (endereço a analisar).

Os hosts IPv6 usam este processo para verificar os endereços configurados estaticaticamente ou autoconfigured

Por exemplo: Um host com o IP 2001:128:1F:633:207:85FF: FE80:71B8, envia uma NS message para solicited-node address FF02::1:FE80:71B8/104.  Na ausência de resposta não existe duplicação.

Neighbor Unreachability Detection

Existem 2 formas de confirmar o reachability (two-way) a um nodo:

  • O host envia probes para o solicited-node multicast address e recebe RA/NA em resposta.
  • A comunicação com um host onde existe TCP ACK

ICMPv6

RFC 2463 – Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification

As mensagens ICMPv6 foram classificadas em 2 grupos: error reporting messages e informational messages. Para conservar largura de banda, o RFC 2463 sugere o rate-limit ICMPv6 error messages. O Cisco IOS permite rate-limiting definido o intervalo mínimo entre error messages permitindo um token bucket

R1(config)#ipv6 icmp error-interval

Intervalo Default (100ms), e o default token-bucket size são 10 tokens

Com esta config, um novo token (até um máx de 10) é adicionado ao bucket a cada 100ms. Quando o token bucket está full, podem ser enviadas no máx 10 ICMPv6 error messages. Uma vez o token bucket vazio, o router não pode enviar adicionalmente ICMPv6 error messages até um token ser adicionado ao bucket.

DNS

IPv6, RFC 1886 AAAA records
RFC 1886 e RFC 2874 DNS extensions.

DHCP

RFC 3315Dynamic Host Configuration Protocol for IPv6 (DHCPv6)

Existem 2 condições para que o host use DHCPv6:

  • O Host é configurado explicitamente para usar DHCPv6
  • O router IPV6 adverte nas RA messages que os hosts devem usar DHCPv6. O router define a M flag (Managed Address Configuration) no RA

Na config Stateful autoconfiguration, o host envia um request DHCP para um dos endereços IPv6 conhecidos na porta UDP 547:

  • FF02::1:2, all DHCP relay agents and servers
  • FF05::1:3, all DHCP servers

O reply do server ao cliente é feito na porta UDP 546.

Configurar pool DHCPv6 no router

ipv6 dhcp server pool-name (comm interface)

Access Lists and Filter-traffic

A conceitos de filtragem de tráfego em IPv4 e IPv6 mantém-se, devem existir alguns cuidados da aplicação de access-lists para os network layer protocols:

  • A sintaxe do uso de access-lists em IPv6 difere um pouco de IPv4, comando  ipv6 traffic-filter access-list-name  { in  |  out}
  • As access-lists são sempre named, não podem ser numéricas (a menos que seja usado o n como name)

R1(config)#ipv6 access-list restrict-telnet
R1(config-ipv6-acl)#  permit tcp any 2001:1:2:3::/64 eq telnet dscp cs1 log
R1(config-ipv6-acl)#  deny tcp any any log-input
R1(config-ipv6-acl)#  line vty 0 4

R1(config-line)# access-class restrict-telnet in
R1#  show access-lists
IPv6 access list restrict-telnet
permit tcp any 2001:1:2:3::/64 eq telnet dscp cs1 log (1 match) sequence 10
deny ipv6 any any log-input (2 matches) sequence 20
R1#

!Filtragem de trafego IPv6
R2(config)# ipv6 access-list no-web
R2(config-ipv6-acl)#  deny tcp any eq www 2001:8:128::/64
R2(config-ipv6-acl)#  permit ipv6 any any
R2(config)# interface FastEthernet0/0
R2(config-int)#  ipv6 traffic-filter no-web in
R2# show ipv6 access-list
IPv6 access list no-web
deny tcp any eq www 2001:8:128::/64 log-input (12 matches) sequence 10
permit ipv6 any any (119 matches) sequence 20

Inverse Neighbor Discovery

O Protocolo ND conhece o endereço IPv6 e procura descobrir o Link Layer Address usado por esse endereço IPv6. Em redes do tipo Frame-Relay ou outros tipos de WAN (Data Link Protocolos), a ordem de discovery é inversa. O Router começa por saber qual o Link Layer Address e necessita de aprender o endereço IPv6 do neighbor. No IPv4 á utilizado o ARP (LAN) e InverseARP (Frame-Relay), o IPv6 utiliza o ND e Inverser Neighbor Discovery (IND), como parte do protocolo ICMPv6 é definido a mensagem Inverse NS (INS) e Inverse NA (INA). A mensagem INS sabe qual o endereço do Link Layer do Neighbor (DLCI do Frame-Relay), e “pergunta “ pelo endereço IPv6 do neighbor. Os detalhes da mensagem INS incluem:

  • Origem IPv6:IPv6 Unicast de quem enviou
  • Destino IPv6: FF02::1 ( Todos os Hosts IPv6 Multicast)
  • Endereços Link Layer
  • Request:  Please reply with your IPv6 address(es)

O reply do IND lista todos os endereços IPv6.

Configuring IPv6 Addresses on Cisco Routers

Sintaxe:

ipv6 address address/length
ipv6 address prefix /length eui-64
ipv6 address autoconfig
ipv6 address dhcp
ipv6 unnumbered interface-type number
ipv6 enable
ipv6 address address link-local
ipv6 address address/length anycast

Configuring Static IPv6 Addresses on Routers

O routing static funciona em IPv4 exatamente como no IPv4, mas com algumas alterações:

  • Rota estática em IPv6 para uma interface tem métrica AD 1, e não zero como no IPv4
  • Rota estática em IPv6 para uma interface do tipo broadcast (tipo ethernet), é obrigatório especificar o endereço IPv6 do next-hop pelas razões apresentadas de seguida

Conforme mencionado, as rotas estáticas IPv6 que apontam para interface do tipo broadcast (ethernet) devem especificar o next-hop. Isto deve-se ao IPv6 não usar ARP, não existem conceito de proxy-ARP no IPv6. O router next-hop não faz proxy para um destino diferente da Subnet.

A utilização do Comando debug ipv6 routing (antes de efetuar static/dynamic routing) é sem dúvida importante quando existe uma corrida contra o tempo.

Share

Finalmente em IPv6 :)

Infelizmente durou mais que o previsto, mas já é possível aceder ao blog via IPv6 :)
A solução assenta em Dual-Stack, em que a componente IPv6 é disponibilizada através de um túnel Point-to-Point IPv6 over IPv4 estabelecido com a Hurricane Electric.
Esta disponibiliza um Broker de Túneis sem qualquer custo, necessitando apenas de registar-se no site.
Após ativado o registo, poderá criar até 5 túneis e atribuir prefixos /48 aos túneis (rede para clientes), no site já existem diversas pré-configurações para diferentes sistemas como: Cisco, Juniper, Fortigate, FreeBSD, Linux entre outros.

O esquema de rede é mais ou menos assim:

Quando um utilizador acede via IPv6, o tráfego é encaminhado na Internet até à rede da Hurricane Electric, encaminhando-o posteriormente pelo túnel estabelecido. O retorno do tráfego é efetuado exatamente pelo mesmo caminho.

Resumindo, agora existem 2 formas de aceder ao Blog, através de IPv4 e IPv6, portanto já não existem desculpas!

Referências:
Hurricane Electric Free IPv6 Tunnel Broker

Share

IPv6 Forum distingue as Certificações Cisco como IPv6 Ready

O IPv6 Forum é um consórcio Mundial onde a sua missão é defender a adopção do IPv6, este oferece o programa “IPv6 Education Certification Logo”. Este programa encoraja e acelera a educação no IPv6 promovendo a adopção certificando os Cursos, Engenheiros e Formadores.

Ao concluir as Certificações CCIE Routing and Switching, CCDP, CCDA, CCDE, CCNA e CCNP demostra a capacidade e conhecimento na tecnologia IPv6.
O IPv6 Forum classifica em 2 níveis as certificações, Silver e Gold. As certificações estão classificadas de acordo com a matriz abaixo:

Se o candidato concluir
> CCNA ou
CCDA
CCNP ou
CCDP
CCIE Routing & Switching
ou
CCDE
Classificação > Silver Gold Gold
O candidato pode obter o logo > IPv6 Silver IPv6 Gold IPv6 Gold

A Cisco disponibiliza uma formação adicional “IPv6 Fundamentals, Design and Deployment Course (IP6FD)”, classificada como Gold.

Referências:
IPv6 Forum
IPv6 Education and Certification Logo Program
IPv6 Forum awards gold certification to Cisco’s CCNP, CCIE Routing and Switching, CCDP, and CCDE; silver certification to CCNA and CCDA

Share

Dia do mundial do IPv6

A 8 de Junho de 2011, o Google, Facebook, Yahoo, Akamai e Limelight Networks estão entre algumas das principais organizações que irão oferecer os seus conteúdos através de IPv6 para um “test drive” de 24 horas. O objetivo desde teste é motivar as organizações dos mais diversos setores a prepararem os seus serviços em IPv6.

Caso pretenda participar nesta iniciativa consulte o link abaixo:

http://isoc.org/wp/worldipv6day/

Share