Naslavljanje naprav v omrežju

V omrežju IPv6, podobno kot v IPv4, obstajajo različne možnosti naslavljanja naprav.

Najpogostejša načina naslavljanja naprav v omrežju IPv4 sta:

  • statična nastavitev omrežnih parametrov, ki se primarno uporablja za strežnike in omrežno opremo,
  • dinamična nastavitev omrežnih parametrov z uporabo protokola DHCP (Dynamic Host Configuration Protocol), ki se uporablja za naprave, ki nimajo nastavljenega statičnega naslova IPv4. Protokol DHCP ne dodeljuje samo naslova IP, temveč tudi naslove DNS strežnikov, domensko ime in druge parametre.

Načini naslavljanja v omrežju IPv6 so podobni, a s pomembno razliko. Razvit je bil nov protokol SLAAC (Stateless Address Autoconfiguration), protokol DHCP pa je bil nadgrajen v DHCPv6.

Naslavljanje naprav v omrežju IPv6 se lahko izvede na naslednje tri načine:

  • statična nastavitev omrežnih parametrov, ki se primarno uporablja za strežnike in omrežno opremo,
  • dinamična nastavitev omrežnih parametrov z uporabo avtomatskega konfiguracijskega mehanizma SLAAC brez beleženja stanja (Stateless Autoconfiguration),
  • dinamična nastavitev omrežnih parametrov z uporabo protokola DHCPv6 z beleženjem stanja (Stateful Autoconfiguration).

Protokol SLAAC

Pogosto citirana prednost protokola IPv6 je uvedba mehanizma SLAAC (RFC 4862), ki omogoča samodejno naslavljanje naprav. Vlogo naslavljanja naprav v omrežju prevzame usmerjevalnik, ki s pomočjo protokola Neighbour Discovery v omrežje periodično pošilja sporočila RA (Router Advertisement). Sporočila RA vsebujejo naslednje parametre, ki jih naprave uporabijo za konfiguracijo omrežnih nastavitev:

  • interval [ms], v katerem se pošiljajo sporočila RA (ra-interval),
  • omrežne predpone IPv6 (ipv6-prefix) in njihova dolžina (prefix-length), ki se oglašujejo na lokalni povezavi,
  • časovno okno trajanja [s] posamezne predpone,
  • informacije o zastavicah, ki se uporabljajo (zastavice niso obvezne, so pa priporočljive),
  • privzeti prehod in koliko časa [s] je še v uporabi (ra-lifetime),
  • velikost MTU enote in omejitev števila skokov,
  • podatek o rekurzivnem DNS strežniku (RDNSS) – RFC 6106.

V kolikor je potreba, da se naprave povezujejo tudi v internet, potem omrežje IPv6 ne more delovati brez sporočil RA, saj se edino preko njih oglašuje privzeti prehod, na katerega se nastavijo naprave. Izjema je le, če se zahteva, da naprave komunicirajo med seboj samo preko link-local naslovov.

Pomemben del nastavitev sporočil RA na usmerjevalniku predstavljajo zastavice v sporočilih RA, ki definirajo način nastavitve omrežnih parametrov naprav:

  • A (Autonomous) zastavica
    • z vrednostjo 1 vsili napravam, da uporabijo omrežno predpono, ki jo za samodejno nastavitev naslova s pomočjo mehanizma SLAAC posreduje usmerjevalnik,
    • A zastavica je v večini primerov na usmerjevalniku s privzeto vrednostjo 1 (vključeno),
    • če se uporablja DHCPv6 mora A zastavica dobiti vrednost 0M zastavica pa vrednost 1.
  • M (Managed) zastavica
    • z vrednostjo 1 vsili napravam, da naslov IPv6 in druge parametre pridobijo od DHCPv6 strežnika,
    • v okoljih, kjer so naprave, ki ne podpirajo protokola DHCPv6 (npr. Android mobilne naprave) se A in zastavici nastavi na vrednost 1. To pomeni, da bodo naprave, ki podpirajo DHCPv6, nastavile privzeti prehod, ne bodo pa nastavile IPv6 naslova po metodi SLAAC, ampak bodo v tej točki procesa konfiguracije pognale DHCPv6 odjemalca in naslov IPv6 pridobile od DHCPv6 strežnika. Naprave brez podpore DHCPv6 bodo M zastavico ignorirale in nastavile privzeti prehod ter naslov IPv6 z metodo SLAAC, saj je A zastavica nastavljena na 1.
  • O (OtherConfig) zastavica
    • z vrednostjo 1 pove napravam, da poleg uporabe SLAAC mehanizma uporabijo tudi DHCPv6 strežnik, kjer lahko pridobijo dodatne nastavitvene parametre. O zastavica je uporabna predvsem v okolju, kjer se noče dodeljevati naslovov IPv6 iz DHCPv6 strežnika, se pa želi tistim napravam, ki imajo podporo za DHCPv6 sporočiti dodatne nastavitve (npr. naslove IPv6 DNS strežnikov, naslov TFTP strežnika …).

Avtokonfiguracijski  mehanizem SLAAC omogoča napravam, da nastavijo svoj omrežni del naslova (zadnjih 64 bitov) na tri glavne načine:

PREBERITE VEČ:

RFC 4862: IPv6 Stateless Address Autoconfiguration
RFC 6106: IPv6 Router Advertisement Options for DNS Configuration

Metoda EUI-64

Pri metodi EUI-64 končna naprava naslov IPv6 avtomatsko nastavi s pomočjo IPv6 predpone, ki jo pridobi v sporočilu RA od usmerjevalnika, drugi – gostiteljski del pa se generira s pomočjo unikatnega 48-bitnega naslova MAC omrežne kartice, v katerega se v sredino naslova vstavi šestnajstiška vrednost ff:fe.

MAC naslov ff-fe

Naslednji korak je zamenjava sedmega bita (universal/local) v prvem delu MAC naslova. Sedmi bit naslova je vedno nastavljen na vrednost 0, kar pomeni, da gre za globalni unikatni naslov. Za potrebe generiranja naslova IPv6 se sedmemu bitu v naslovu MAC nastavi vrednost 1.

MAC naslov vrednost-1

Celoten naslov IPv6 omrežne kartice je tako sestavljen iz 64 bitov: 16 bitov, ki predstavljajo predpono, in preostalih 48 bitov, ki so nastali z modificiranim MAC naslovom kartice. Imenuje se tudi razširjeni unikatni identifikator (Extended Unique Identificator).

V primeru, ko je v omrežju več usmerjevalnikov, ki pošiljajo sporočila RA, bo odjemalec nastavil več naslovov IPv6, kar lahko v omrežju predstavlja dodatno stopnjo redundance. Paziti je potrebno, da se v omrežju ne pojavi neavtoriziran usmerjevalnik, kar se lahko prepreči z boljšo opremo, ki ima stikalo za uporabo RA guard funkcije (stikalo dovoljuje promet RA samo iz določenih vrat stikala).

Ker je MAC naslov večinoma enak (naslov IPv6 se ne spreminja) ima lahko metoda EUI-64 posledice z vidika varnosti zasebnosti (lokacijsko sledenje, skeniranje portov, iskanje varnostnih ranljivosti), zato jo nekateri odsvetujejo.

Vsi moderni operacijski sistemi danes privzeto uporabljajo IPv6 Privacy Extension metodo, ki te pomanjkljivosti nima. V primeru, da usmerjevalnika v omrežju ni, naprava generira le link-local naslov. Ta je sestavljen iz predpone fe80::/64, gostiteljski del naslova pa se generira s pomočjo zgoraj opisane metode.

PREBERITE VEČ:

Internet Draft: Deprecating EUI-64 Based IPv6 Addresses

IPv6 Privacy Extension

IPv6 Privacy Extension (RFC 4941) je metoda, kjer se zadnji del naslova IPv6 generira naključno in tako napravam zagotavlja ustrezni nivo zasebnosti in varnosti. Z vidika varnosti in zasebnosti je IPv6 Privacy Extension najbolj priporočljiv način naslavljanja, saj se naslov pri tem načinu privzeto menja vsakih 24 ur.

IPv6 Privacy Extension je privzeto aktivirana metoda naslavljanja v naslednjih različicah operacijskih sistemov:

  • Windows od različice XP naprej,
  • Mac OS X od različice 10.7 naprej (nastavitev v starejših različicah),
  • iOS od različice 4.3,
  • Linux (nastavitev v starejših različicah Ubuntu).

Ne glede na zgoraj naštete možnosti dodeljevanja naslovov preko protokola SLAAC, se pred dodelitvijo naslova vedno predhodno izvede še mehanizem DAD (Duplicate Address Detection), ki preverja ali enak naslov v omrežju že obstaja in prepreči morebitno podvajanje.

PREBERITE VEČ:

RFC 4941: Privacy Extensions for Stateless Address Autoconfiguration in IPv6
Članek: Enable IPv6 privacy extension on MacOS X 10.5/10.6
Članek: Enable IPv6 privacy extension on Ubuntu Linux

Protokol DHCPv6

DHCPv6 je drugačen od predhodnika, saj komunicira z odjemalci izključno v multicast načinu (komunikacija pri DHCPv4 je v broadcast načinu). DHCPv6 strežnik se v omrežju prepozna z naslovom ff02::1:2.

DHCPv6 lahko deluje na tri različne načine:

  • napravam se dodeljuje naslov IPv6 in druge omrežne parametre v načinu z beleženjem stanj (stateful).  M in O zastavici (Managed in OtherConfig) na usmerjevalniku morata biti nastavljeni na vrednost 1 (vključeno). V tem načinu DHCPv6 strežnik dodeli napravi IPv6 naslov in ostale omrežne parametre ter dinamično vzdržuje tabelo s podatki: kateri naslovi IPv6 so dodeljeni in katere naprave jih uporabljajo,
  • napravam se dodeljuje samo dodatne parametre nastavitev v načinu brez  beleženja stanj (stateless): naslove IPv6 rekurzivnih DNS strežnikov, time server, mail server, NTP server … V tem primeru mora biti na usmerjevalniku zastavica O (OtherConfig) nastavljena na vrednost 1 (vključeno), zastavica M pa mora biti nastavljena na 0 (izključeno). 
    Seznam vseh dodatnih DHCPv6 parametrov (OtherConfig) je na spletni strani IANA.
  • dodeljevanje predpon IPv6 s pomočjo mehanizma Prefix Delegation (hiearhično višji usmerjevalnik, nižje ležečem usmerjevalnikom posreduje omrežno predpono, na podlagi katere se spodaj ležečim napravam dodeljuje naslove IPv6).

Uporabo protokola DHCPv6 danes podpirajo vsi pomembnejši operacijski sistemi (Windows, Mac OS X, iOS, Linux). Izjema je le mobilni operacijski sistem Android, ki podpira samo mehanizem SLAAC z RDNSS (RFC 6106), kar je pogost način naslavljanja naprav v domačih okoljih. RDNSS (Recursive DNS Server) je dodatna opcija v sporočilih usmerjevalnika RA, ki poleg omrežne predpone doda tudi podatke o naslovih rekurzivnih DNS strežnikov. Neighbour Discovery RDNSS opcijo podpirajo OS Android, Cisco iOS, Juniper, Mac OS X, Linux, ne pa tudi Windows (Windows NT, Windows Phone in Mobile).

DHCPv6 na napravi ne nastavi privzetega prehoda IPv6, zato je potrebno za to v praksi dodatno uporabljati SLAAC metodo (RA). Seveda, če se za dodeljevanje naslovov IPv6 uporablja DHCPv6.

SLAAC mehanizem je zelo praktičen, a če se v poslovnih okoljih za naslavljanje delovnih postaj zahteva časovno beleženje in sledljivost dodeljevanja naslova IPv6, se priporoča uporabo DHCPv6 strežnika v stateful načinu, saj je tako zagotovljen nadzor nad dodeljevanjem naslovov IPv6 priključenim napravam. DHCPv6 vnese v omrežje dodatno kompleksnost, zato je priporočljivo, da se natančno specificira zahteve, pozorno pretehta vse argumente za ali proti, ter se šele nato odloči za pravi mehanizem dodeljevanja naslovov IPv6 in ostalih omrežnih parametrov.

PREBERITE VEČ:

IANA: Dynamic Host Configuration Protocol for IPv6 (DHCPv6)
RFC 6106: IPv6 Router Advertisement Options for DNS Configuration