A je mozna konfigurace kdy router pomoci RA oznamuje jenom to, ze je default gatewayi, oznamuje treba i M a O flag, ale neoznamuje prefix? A klient musi pouzit jenom dhcpv6 pro konfiguraci IP adresy - Proste se chci vyhnout tomu, aby klienti pouzivali random temporary adresy.
Prefix v RA být nemusí. A i když je, tak pokud RA obsahuje flag M, nastavuje IP adresu DHCPv6 server. Tedy pokud klient DHCPv6 vůbec umí. Otázka je, k čemu je to dobré. Bezpečnost to nepřináší žádnou, k tomu potřebujete 802.1x, a to funguje i s SLAAC a privacy extensions (a na zařízeních, které DHCPv6 neumí). Pokud chcete pevné IP adresy pro příchozí spojení, tak všichni klienti s privacy extensions naslouchají i na IP adrese odvozené z MAC, takže tu máte.
Zdravím, lítají tu samé záhadné pojmy, ale pořád postrádám odpověď na úplně jednoduchou otázku - když mám dnes síť /24, řízenou DHCP, kde mám přehledně uloženy VŠECHNY konfigurační údaje - prefix, výchozí brána, DNS, rezervace IP/MAC, mohu pak stejného efektu dosáhnout na IPV6? Rozhodně nechci, aby zařízení náhodně lovila adresy z rozsahu /64, naopak potřebuji stálé adresy - třeba pro tiskárny. Mezi námi, pro domácnost nebo firemní pobočku je /64 celkem naprd - rozsah nebude využit, jen se dané zařízení bude hůř hledat.
Ano, dosáhnete toho stejného. Záleží, co tiskárna umí a co použijete pro konfiguraci. Pokud SLAAC, tak si odvodí svoji adresu od ohlášeného prefixu routeru a své MAC adresy a ta bude v dané síti pořád stejná. Při SLAAC si zařízení svoji IPv6 adresu odvozuje zcela deterministicky. U některých zařízení, které mají podporu pro private extension si pak navíc ještě generují další temporary IPv6 adresu používanou pro odchozí spojení (což obvykle platí pro klientské počítače, nevybavuji si, že by nějaké tiskárna, co používáme a IPv6 měla, tak používala i PE nebo jde vypnout).
Jestli-že použijete stavové DHCPv6, tak také můžete zajistit, aby tiskárna měla pořád stejnou adresu také a pak i přesně předepsat její hodnotu (pokud tiskárna bude DHCPv6 podporovat). U DHCPv6 se ale dle původních představ nepáruje MAC a IPv6 adresa, le DUID identifikátor zařízení a k němu IPv6 adresa (pak záleží, jak dané zařízení DUID hodnotu odvozuje nebo má nastaveno,).
Můžete to zkusit (tiskárny DHCPv6 typicky umí, s mobily je to horší), ale je s tím spousta práce a IMO je to zbytečné. Místo toho nechte ta zařízení, ať si nějakou adresu uloví sama. Dokud nezměníte prefix nebo zařízení nepřeinstalujete, bude mít jednu, která je pořád stejná. Tu pak můžete uvést do DNS, nebo se na DNS vykašlat a používat mDNS (či UPnP, pokud máte Windows).
Ano, používám IP, protože to (zatím) celkem jednoduše funguje. 30 tiskáren, rozsah X.X.X.150-X.X.X.179, 30 tiskových front vázaných na tyto IP adresy. Když tiskárna nefunguje, dám jinou, změním rezervaci na DHCP a vše běží dál. Ve všech zprávách od tiskáren je IP adresa obsažena. Rozhodně nepotřebuji v adresách více chaosu, než je teď.
Ano, je to možné, ale IPv6 bude fungovat jen na zařízeních s podporou stavového DHCPv6 (nebo kde to nakonfigurujete ručně). Co umí jen SLAAC, tak zkrátka IPv6 adresu mít nebude. Takže je třeba si ověřit, zda máte v síti jen věco, které tomu vyhoví (prozatm platí, že všichni klienti musí podporovat SLAAC, ale podpora stavového DHCPv6 je dobrovolná).
Ok dik. Mam v siti jak jsem psal jenom linux a windows a nemam je pod kontrolou na urovni spravy OS. Jelikoz windows maji defaultne PE zaple, tak timto chci docilit toho, ze kdyz neoznamim prefix, tak PE se na windows nenakonfiguruji a dostanou jenom adresu od dhcpv6 (at uz dynamickou nebo statickou). Ziskam tim to, ze pak muzu v siti pouzit ipv6 source guard na swichich.
Prefix může router ohlašovat, ale prefix by neměl být s flagem A (autonomous - použij pro autokonfiguraci). Pokud bude ohlašován prefix s A a k tomu bude v RA i M, tak host si přidělí IPv6 adresu dle DHCPv6 (protože to M) a přidělí i přes SLAAC (protože A). A wokna v tom připadě si přidělí i IPv6 PE adresy (takže mají IPv6 adresu od DHCPV6, od SLAAC dle MAC a i od SLAAC dle PE) a budou pro spojení ven upřednostňovat PE adresy (aspoň W10 se nám tak chovají, vybavui si, že možná starší dal přednost té IPv6 od DHCPv6?).
Funguje to jednoduše stylem kdo dřív přijde, ten dřív mele, stejně jako dynamické DHCP. Když si zařízení vygeneruje SLAAC nebo PE adresu, předtím, než ji začne používat, pošle Neighbor Solicitation, aby detekovalo případné kolize. Switch to zachytí, a pokud tu adresu nikdo nepoužívá (a není vyhrazena pro určité zařízení např. v DHCP), přiřadí si ji tomu zařízení, v opačném případě pošle Neighbor Advertisement a zařízení si vybere jinou adresu.
Taková funkce nemá moc velký praktický význam. Nikde není předepsáno, že si zařízení musí vygenerovat identifikátor rozhraní z MAC adresy. Pokud tedy nemáte všechna zařízení pod kontrolou s možností vynutit na nich výhradně použití takových adres, filtrováním byste jen způsobil nefunkčnost IPv6 konektivity. Pokud naopak všechna zařízení pod kontrolou máte, můžete na nich nakonfigurovat ručně mnohem hezčí adresy, třeba <prefix>::1 – <prefix>::200.
No treba v urcitych situacich to ulehcuje zivot prip. konfigurace firewall pravidel atp. V nekolika linux sitich jsme to pouzivali tak, ze se na linux routru zapnul eui64 checking a zaroven byla jeste vazba mac na port na L2 a nemuseli se resit zadne firewall pravidla atp. Bylo dano pravidlo, ze vsechny bedny maji mit eui64 derivat a kdo nemel, tak mel smulu. A vsem to vyhovovalo:)
Tak zjednodusene:
- na switchich zapnu 802.1x mac
Radius nebo port-security s mac locking
- na routru zapnu kontrolu EUI64 adres, takze nic jineho nim neprojde
U takoveto konfigurace neni pak potreba resit nejake firewall pravidla, ze kdo muze s jakou IP adresou pres router, protoze to ohlida prave jedna featura.
Jenom EUI-64? Pochybuju, třeba Windows je pro SLAAC nepoužívají a systém se zapnutým PE by se neustále dokola pokoušel generovat nové adresy (ten switch mu může říct, že si má vybrat jinou adresu, ale ne že má použít EUI-64). Asi by se dalo kontrolovat, zda adresy se zapnutým universal bitem odpovídají EUI-64, ale nevím o tom, že by to nějaký switch uměl. Ono to zřejmě ani není důležité, buď tu adresu máte pevně přiřazenou, pak ji nikdo jiný použít nemůže, nebo vám je jedno, jakou adresu si to zařízení vygeneruje, pak je jedno, jestli tam je universal bit nebo ne.
Jak jsem psal, byly/jsou to vetsinou linuxove site, tech nekolik windowsaku si to nastavili podle navodu pouzitim netsh, ale hlavne to byli lidi, co o tom alespon trochu neco tusili, takze nebyl/neni problem to takhle provozovat. V podstate to byl jenom dotaz na to, jestli to neco krome linuxovych iptables umi takhle kontrolovat, dal bych to neresil.
Jen pro zajimavost jeste schvalne, je mozne pomoci dhcpv6 priradit EUI64 adresu? :) Treba situace, ze nechci aby si cokoliv klienti generovali, proste musi pouzit dhcpv6 (schvalne se bavme jenom o linux a windows klientech) a ja jim pres dhcpv6 cilene priradim prave EUI64 format. Mate nekdo zkusenost?