Ipv6 v Linuxu. Obecně. Předmluva. Pojmy, vysvětlivky a zkratky Sí. Kolik verzí návodu k Linuxu & IPv6 koluje po Internetu?

Transkript

1 Ipv6 v Linuxu Obecně Účelem tohoto návodu je odpovědět na základní i zasvěcené otázky o IPv6 v operačním systému Linux. Tento návod poskytne čtenáři dostatek informací k tomu, aby mohl systém nainstalovat, zkonfigurovat a používat aplikace IPv6 na linuxových strojích. Informace o překladech naleznete na adrese Seznam změn najdete na Napsal a autorská práva vlastní Peter Bieringer. Autora je možno kontaktovat elektronickou poštou na adrese <pb@bieringer.de> a také prostřednictvím jeho stránky Předmluva Pár slov úvodem: Kolik verzí návodu k Linuxu & IPv6 koluje po Internetu? Včetně tohoto 3. Jestli se vám to zdá mnoho, omlouvám se. Linux IPv6 FAQ/návod (nepoužívaný) První dokument na téma IPv6 napsal Eric Osborne a jmenoval se Linux IPv6 FAQ/HOWTO ( prosím, používejte jej pouze z historických důvodů). Poslední verze byla vydaná 14. července Prosím o pomoc: Zná-li někdo datum narození tohoto návodu, pošlete mi, prosím, (tuto informaci potřebuji do historie ). IPv6 & Linux návod (udržovaný) Druhá verze se jmenuje IPv6 & Linux HowTo ( napsal jsem ji já (Peter Bieringer) v čistém HTML. Vznikla v dubnu 1997 a první anglická verze vyšla v červnu Budu pokračovat v její údržbě, avšak ve srovnání s Návodem k systému Linux IPv6, který právě čtete, bude pomalu zastarávat (ne však úplně). Návod k systému Linux IPv6 (tento dokument) Vzhledem k tomu, že IPv6 & Linux HowTo ( je napsán v čistém HTML, není kompatibilní s The Linux Documentation Project (TLDP, Koncem listopadu 2001 jsem (Peter Bieringer) byl požádán o přepracování IPv6 & Linux HowTo ( do SGML. Avšak vzhledem k nedostatečné návaznosti tohoto návodu (Future of IPv6 & Linux HowTo, HOWTO-0.html#history) a vzhledem k tomu, že IPv6 se stává standardem, rozhodl jsem se napsat nový dokument, který by obsahoval veškeré základní i detailní informace, jež budou platné i do budoucna. Současně jsem do jisté míry aktualizoval i obsah druhého návodu v pořadí IPv6 & Linux HowTo ( Pojmy, vysvětlivky a zkratky Sí Base 10 (základ 10) Desítková soustava, číselné hodnoty se vyjadřují číslicemi 0 9. Base 16 (základ 16) Používá se v nižších i vyšších programovacích jazycích, také se nazývá hexadecimální (šest-náctková) soustava, číselné hodnoty se vyjadřují číslicemi 0 9 a znaky A F (je jedno, zda malý-mi nebo velkými). Base 85 (základ 85) Bit Číselné hodnoty se vyjadřují 85 různými číslicemi a znaky, takže řetězce jsou kratší. V praxi jsem však toto vyjádření ještě nikdy neviděl. Nejmenší paměťová jednotka, nabývá hodnot 1 (zapnuto/pravda) nebo 0 (vypnuto/nepravda). Byte (bajt) Většinou 8 bitů (nikoli však nutně viz starší počítačové systémy). Device (zařízení)

2 Zde je to hardware síťového připojení, viz také NIC. Dual homed host (počítač připojený ke dvěma sítím) Počítač připojený ke dvěma sítím tvoří uzel se dvěma síťovými rozhraními (na fyzickou nebo virtuální síť) určenými pro dvě různá připojení, který však mezi těmito rozhraními nepřenáší žádné pakety. Host (počítač) Obecně počítač s jedním připojením k síti. Obvykle má jedno aktivní síťové rozhraní, tj. Ethernet, nebo (nikoli a ) PPP (point-to-point, dvoubodové spojení). Interface (rozhraní) Většinou totéž, co zařízení, viz také NIC. IP Header (IP hlavička) Hlavička IP paketu (každý paket v síti má hlavičku závislou na síťové vrstvě). Link (připojení) Připojení je přenosové médium pro přenos síťových paketů druhé vrstvy, například Ethernet, Token Ring, PPP, SLIP, ATM, ISDN, Frame Relay... Node (uzel) Uzel je tvořen počítačem nebo směrovačem. Octet (oktet, osmice) 8 bitů, zhruba totéž co bajt. Port Informace pro dispečera TCP/UDP (4. vrstva) o přenosu do vyšších vrstev. Protocol (protokol) Každá síťová vrstva většinou obsahuje pole protokolů, které jí pomáhá s dispečinkem přená-šených dat z vrstvy 2 (MAC, spojové) a 3 (IP, síťové) do vyšších vrstev. Router (směrovač) Soket Směrovač je uzel se dvěma nebo více síťovými rozhraními (fyzických nebo virtuálních sítí), který předává pakety mezi těmito rozhraními. IP soket je definován zdrojovými a cílovými IP adresami a porty (a spojením). Stack (zásobník) Soubor síťových vrstev. Subnetmask (podmaska sítě) IP sítě používají bitové masky k oddělení lokálních a vzdálených sítí. Tunnel (tunel) Tunel je obvykle dvoubodové spojení pro přenos paketů s daty v různých protokolech, napří-klad tunel z IPv6 do IPv4. Zkratky ACL API ASIC BSD Access Control List (seznam pro řízení přístupů). Application Programming Interface (aplikační programové rozhraní). Application Specified Integrated Circuit (integrovaný obvod pro aplikaci). Berkeley Software Distribution (distribuce Unixu). CAN-Bus ISP Controller Area Network Bus (systém fyzických sběrnic). Internet Service Provider (poskytovatel připojení k Internetu).

3 KAME LIR Projekt společné úsilí šesti japonských společností o vytvoření volného zásobníku adres IPv6 a IPsec (pro IPv4 i pro IPv6) pro varianty systému BSD, Local Internet Registry (lokální internetový registr). NIC Network Interface Card (síťová karta). RFC USAGI Request For Comments množina technických a organizačních poznámek o Internetu. UniverSAl playground for Ipv6 Project práce, jejichž účelem je zajistit kvalitní zásobník protokolů IPv6 pro systémy Linux. Další informace Pokračovací znak dlouhého řádku Kvůli lepší viditelnosti v souborech PDF a PS se pro signalizaci zalomených řádků používá speci-ální znak. Zástupné symboly V obecných příkladech někdy naleznete něco jako: <myipaddress> Aby byly příkazové řádky nebo skripty ve vašem systému funkční, je nutno tyto zástupné symboly nahradit náležitým obsahem (pochopitelně bez znaků < a >). Výsledkem bude například: Příkazy v shellu Příkazy proveditelné běžným uživatelem (nikoli root) začínají znakem $, např.: $ whoami Příkazy proveditelné uživatelem root začínají znakem #, např.: # whoami Předpoklady k užívání návodu Personální předpoklady Zkušenosti s unixovými nástroji Měli byste být schopni používat hlavní unixové nástroje jako grep, awk, find,... a znát jejich běžně používané volby na příkazovém řádku. Zkušenosti s teorií sítí Měli byste něco vědět o vrstvách, protokolech, adresách, kabelech, zásuvných modulech atd. Pokud v této oblasti teprve začínáte, můžete si doplnit znalosti například z Zkušenosti s konfigurací IPv4 S konfigurací IPv4 byste určitě měli mít nějaké zkušenosti, jinak bude pro vás dost obtížné pocho-pit, o co jde. Zkušenosti s DNS Také byste měli rozumět tomu, co je DNS (Domain Name System). Zkušenosti se strategiemi ladění v síti Přinejmenším byste měli umět používat tcpdump a vědět, k čemu je. Jinak pro vás bude ladění na síti složité. Hardware kompatibilní s operačním systémem Linux Určitě chcete experimentovat se skutečným hardwarem a ne jen usínat u čtení návodu. Základy Co je IPv6? IPv6 je nový protokol pro vrstvu 3 (viz c4412.htm#page103html), který nahrazuje IPv4 (známý také pod jménem IP). IPv4 byl navržen už dávno (RFC 760/Internet Protocol z ledna 1980) a už od

4 jeho počátků se množily požadavky na zvět-šení počtu adres a rozšíření funkcionality. Nejnovějším protokolem RFC je RFC 2460/Internet Proto-col Version 6 Specification. Nejdůležitější změnou je v něm nový tvar hlavičky pro adresový prostor zvětšený z 32 bitů na 128 bitů. Vzhledem k tomu, že vrstva 3 je zodpovědná za přenos paketů na základě adres, musí obsahovat nové adresy IPv6 (zdrojovou i cílovou) podobně jako původně adre-sy IPv4. Další informace o historii IPv6 naleznete v odpovídajícím RFC například na adrese Historie IPv6 v Linuxu Historie IPv6 v letech 1992, 1993 a 1994 je v hlavních rysech popsána v works.com/ipv6.htm#ch3. Zbývá doplnit: podrobnější časové a věcné údaje... Počátek První kód, který se vztahoval k IPv6, doplnil do linuxového jádra Pedro Roque v listopadu Byl založen na BSD API: diff -u --recursive --new-file v2.1.7/linux/include/linux/in6.h linux/include/linux/in6.h --- v2.1.7/linux/include/linux/in6.h Thu Jan 1 02:00: linux/include/linux/in6.h Sun Nov 3 11:04:42 -0,0 +/* + * Types and definitions for AF_INET6 + * Linux INET6 implementation + * + * Authors: + * Pedro Roque <******> + * + * Source: + * IPv6 Program Interfaces for BSD Systems + * <draft-ietf-ipngwg-bsd-api-05.txt> Tyto řádky byly okopírovány ze záplaty ( ová adresa byla přepsána). Mezitím Vzhledem k nedostatku pracovních sil nedržela implementace jádra krok s návrhy nových vydá-ní RFC. V říjnu 2000 byl v Japonsku zahájen projekt USAGI ( jehož cílem bylo implementovat veškerou chybějící nebo zastaralou podporu IPv6 v Linuxu. Projekt sle-doval průběžnou implementaci IPv6 ve FreeBSD v rámci projektu Občas provedli porovnání se zdrojovým kódem jádra vanilla Linuxu. Současnost Záplata USAGI je bohužel tak velká, že není možné ji zahrnout do zdrojového kódu linuxového jádra řady 2.4.x. Tato řada tak postrádá některá (nebo dokonce mnohá) rozšíření a ani neodpoví-dá současným návrhům RFC (viz html.charters/ipv6-charter.html). To může způsobit určité problémy při součinnosti s jinými operačními systémy. Budoucnost Projekt USAGI využívá probíhajícího vývoje jádra řady 2.5.x k tomu, aby do něj přidal veškerá svá rozšíření. Jádro řady 2.6.x už obsahuje úplnou a aktuální implementaci IPv6. Jak vypadají adresy IPv6 Jak už jsme se zmínili, adresa IPv6 má 128 bitů. To je počet, který odpovídá velmi vysokým desítkovým číslům s 39 číslicemi: 2^128-1: Taková čísla nejsou adresy, které bychom si byli schopni zapamatovat. Adresové schéma IPv6 je bitově orientováno (podobně jako IPv4, což ale není zcela zřejmé). Proto je lépe zapisovat tako-vá velká čísla hexadecimálně. V hexadecimálním tvaru odpovídají 4 bity (polovina bajtu, říká se jim také nibble ) číslici nebo znaku v rozsahu 0 9 a a f (10 15). Tento tvar redukuje délku adre-sy IPv6 na 32 znaků. 2^128-1: 0xffffffffffffffffffffffffffffffff Tento tvar ještě úplně nevyhovuje (možná záměna nebo přehlédnutí hexadecimální číslice), takže návrháři IPv6 vymysleli hexadecimální tvar s dvojtečkou jako oddělovačem šestnáctic bitů. Navíc odstranili úvodní 0x (označení hexadecimálních hodnot používané v programovacích jazycích): 2^128-1: ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff Adresa pak může vypadat například takto (viz typy adres dále): 3ffe:ffff:0100:f101:0210:a4ff:fee3:9566 Úvodní nuly v každé šestnáctici lze pro zjednodušení vynechat: 3ffe:ffff:0100:f101:0210:a4ff:fee3:9566 -> 3ffe:ffff:100:f101:210:a4ff:fee3:9566 Jednu posloupnost šestnáctic, které obsahují pouze nuly, lze zapsat jako ::. Avšak nejvýše jednu, při větším počtu by zápis už nebyl jednoznačný. 3ffe:ffff:100:f101:0:0:0:1 -> 3ffe:ffff:100:f101::1

5 Největší redukce lokální adresy IPv6: 0000:0000:0000:0000:0000:0000:0000:0001 -> ::1 Existuje také tzv. compact (soustava se základem 85) definovaná v RFC 1924 (vydaná 1. dubna 1996). V praxi jsem ji ještě neviděl, (nejspíš jde o aprílový žert), ale zde je příklad: # ipv6calc --addr_to_base85 3ffe:ffff:0100:f101:0210:a4ff:fee3:9566 Itu&-ZQ82s>J%s99FJXT Informace: Kalkulátor a konverzní program ipv6calc na adresový formát IPv6 naleznete zde: Často kladené otázky (základní) Proč je následníkem IPv4 IPv6a nikoli IPv5? V hlavičce IP adresy jsou první čtyři bity vyhrazeny verzi protokolu, takže teoreticky může být číslo protokolu 1 až 15: 4: se používá pro IPv4, 5: je vyhrazeno pro Stream Protocol (STP, RFC 1819), který nebyl nikdy používán. První volné číslo bylo 6 a IPv6 byl na světě! Adresy IPv6: proč tolik bitů? Při návrhu IPv4 se mnozí domnívali, že 32 bitů postačí pro celý svět. Stačily dodnes a možná bystačily ještě pár let. 32 bitů však nestačí k tomu, aby v budoucnosti byla každému síťovému zaří-zení přidělena síťová adresa. Když vezmete mobilní telefony, auta (včetně elektronických zařízenína sběrnici CAN-bus), topinkovače, ledničky, spínače osvětlení atd. Návrháři tedy zvolili 128 bitů, což je číslo čtyřikrát delší a 2^96krát větší než dnešní IPv4.Využitelnost je ovšem menší, než se může zdát. To proto, že v současném adresovém schématuje 64 bitů využito pro identifikátor rozhraní a zbývajících 64 bitů pro směrování. Vezmeme-li v úvahu současnou omezenou úroveň agregace (/48, /32,...), je docela možné, že ani 128 bitůnebude stačit. Doufejme však, že už se toho nedožijeme.další informace viz RFC 1715 a RFC Adresy IPv6: proč tak málo bitů? I když na Internetu jsou (možná) lidé (vím jen o Jimovi Flemingovi...), kteří už uvažují o IPv8 a IPv16, jejich návrhy mají ještě daleko ke schválení a k implementaci. 128 bitů je prozatím nej-lepší volbou z hlediska režie hlavičky a přenosu dat. Když vezmete minimální MTU (Maximum Transfer Unit) v IPv4 (576 oktetů) a v IPv6 (1 280 oktetů), délka hlavičky v IPv4 je 20 oktetů (mini-málně, s volbami může vzrůst až na 60) a v IPv6 je 48 oktetů (pevná). To je 3,4 % MTU v IPv4 a 3,8 % v IPv6. Znamená to, že režie je prakticky stejná. Víc bitů pro adresu by vyžadovalo větší hlavičky, a tedy větší režii. Uvážíme-li tedy maximální MTU u běžných připojení (např. Ethernet): oktetů (ve speciálních případech: 9k oktetů při použití Jumbo Frame). Používat 10 až 20 % přenášených dat v paketech vrstvy 3 pro adresy a jen zbytek pro užitečný náklad by nebylo dobré. Typy adres Podobně jako v IPv4 lze adresy IPv6 rozdělit pomocí masky na síťovou část a počítačovou část. V IPv4 se ukázalo, že někdy by bylo příjemné, kdyby jednomu rozhraní bylo možné přidělit více než jednu IP adresu, každou pro jiný účel (aliasy, multicast). S ohledem na použitelnost i v budoucnosti šla IPv6 dál a umožňuje připojit ke každému rozhraní více než jednu adresu IPv6. V RFC neexistuje žádné omezení, pouze v implementaci zásobníku IPv6 (prevence útoků typu DoS odmítnutí služby).vzhledem k velkému počtu bitů určených pro adresu jsou v IPv6 využity některé úvodní bity natypy adres a doufejme, že nebudou dále rozděleny jako v případě tříd A, B a C v současné adre-se IPv4. Bity jsou tedy rozděleny na síťovou část (horních 64 bitů) a počítačovou část (spodních 64 bitů) kvůli snazší autokonfiguraci. Adresy bez speciálního prefixu Adresy lokálních počítačů Toto je speciální loopback adresa podobná adrese v IPv4. V IPv6 má tvar: 0000:0000:0000:0000:0000:0000:0000:0001 anebo ve zkráceném tvaru: ::1 Pakety s touto zdrojovou nebo cílovou adresou by nikdy neměly opustit odesilatele.

6 Nespecifikovaná adresa Toto je speciální adresa kohokoli, resp v IPv4. V IPv6 je to: 0000:0000:0000:0000:0000:0000:0000:0000 resp.: :: Tyto adresy se většinou používají v připojení soketů (k libovolné adrese IPv6) nebo ve směrova cích tabulkách. Poznámka: Nespecifikovanou adresu nelze použít jako cílovou adresu. Adresa IPv6 s vestavěnou adresou IPv4 Existují dva druhy adres, které obsahují adresu IPv4. IPv4-mapped IPv6 address IP adresa kompatibilní s adresou IPv6 se někdy používá pro sokety vytvořené démonem aktuali-zovaným pro IPv6, avšak s vazbou pouze na adresu IPv4.Tyto adresy jsou definované speciálním prefixem o délce 96 (a.b.c.d je adresa IPv4): 0:0:0:0:0:ffff:a.b.c.d/96 anebo ve zkráceném tvaru: ::ffff:a.b.c.d/96 Například adresa IPv vypadá takto: ::ffff: Adresa IPv6 kompatibilní s IPv4 Používá se pro automatické tunelování (RFC 2893), které je nahrazeno tunelováním 6to4 (kapitola Vytváření tunelů 6to4 ). 0:0:0:0:0:0:a.b.c.d/96 nebo ve zkráceném tvaru: ::a.b.c.d/96 Síová část adresy (prefix) Návrháři definovali pouze některé typy adres a ponechali značný prostor pro budoucí definice plynoucí z nově vznikajících požadavků. Adresové schéma je definováno v RFC 2373, avšak exi-stuje už i nový návrh: ftp://ftp.ietf.org/internet-drafts/. Podívejme se nyní na různé typy prefixů (a tedy typů adres): Lokální adresový typ pro připojení Speciální adresy, které budou platné pouze při napojení na rozhraní. Pokud by taková adresa byla cílovou adresou, paket by nikdy neprošel směrovačem. Používá se pro spojovací komunikaci, například: Je na tomto spojení někdo jiný? Má někdo speciální adresu (tj. hledá směrovač)? Začínají (kde x je libovolný hexadecimální znak, obvykle 0 ): fe8x: <-v současnosti se používá pouze tento.fe9x:feax:febx: Adresa s tímto prefixem se po bezstavové autokonfiguraci nalézá na všech rozhraních s aktivova-ným IPv6 (v jiných případech obvykle nikoli). Lokální adresový typ pro sí (angl. site ) Adresy podobné RFC 1918 v IPv4 s tou výhodou, že je možno využít těchto 16 bitů pro nejvýše podsítí. Srovnatelné s /8 v IPv4.Další výhoda: Vzhledem k tomu, že rozhraní IPv6 je možné přiřadit více než jednu adresu, jemožné přiřadit této síti kromě globální adresy také lokální adresu. Začíná od: fecx: <- nejčastěji používaná. fedx: feex:

7 fefx: (kde x je libovolný hexadecimální znak, obvykle 0 ) Poznamenejme, že v současnosti probíhají diskuse o zrušení tohoto typu adres, neboť jsou s nímspojeny určité problémy. Další informace viz mého skromného názoru laboratorní testy prokázaly, že tyto adresy vyhovují. Globální adresový typ pro (agregovatelné) globální jednosměrné vysílání V současnosti existuje jediný definovaný globální adresový typ (první návrh nazvaný provider based [založený na poskytovateli] byl před několika lety zamítnut: RFC 1884, některé zbytky po něm naleznete ve zdrojovém kódu starších linuxových jader). Začíná na ( x jsou hexadecimální znaky): 2xxx: 3xxx: Poznámka: Prefix agregovatelný je v současných návrzích opuštěn. Jsou definovány některé další podtypy, viz: Testovací adresy 6bone To byly první definované a používané globální adresy. Všechny začínají na: 3ffe: Příklad: 3ffe:ffff:100:f102::1 Speciální testovací adresa typu 6bone, která nikdy nebude globálně jednoznačná, začíná na: 3ffe:ffff: a můžete se s ní setkat ve starších příkladech, neboť kdyby v nich byla uvedena skutečná adresa, mohl by si ji někdo přenést do svého konfiguračního souboru, čímž by nechtěně vytvořil dupli-kát globálně jednoznačné adresy. Tím by mohly původnímu počítači vzniknout vážné problémy (např. by mohl dostávat odpovědní pakety na požadavek, který neodeslal). Vzhledem k tomu, že IPv6 se nyní tvoří, tento prefix nebude podporován a po bude pravděpodobně zcela odstraněn (podrobnosti viz RFC 3701). Adresy 6to4 Tyto adresy jsou určeny pro speciální tunelové mechanismy RFC 3056 a RFC 2893, kódování adres IPv4 a možné podsítě. Začínají na: 2002: Například IP adresa /5 by vypadala takto: 2002:c0a8:0101:5::1 Z dané adresy IPv4 můžeme vytvořit tuto adresu pomocí krátkého příkazového řádku v shellu: ipv4= ; sla= 5 ; printf 2002:%02x%02x:%02x%02x:%04x::1 `echo $ipv4 tr. ` $sla Viz také kapitoly Vytváření tunelů 6to4 a Online informace. Přiděleno poskytovatelem pro hierarchické směrování Tyto adresy jsou delegovány poskytovatelům připojení k Internetu (ISP) a začínají na: 2001: Prefixy pro hlavní (páteřní) ISP (někdy se nazývají LIR) jsou delegovány v hlavních regionálníchrejstřících (viz kapitola On-line informace ) a dostávají prefix dlouhý 32 bitů.zákazník dostává prefix dlouhý 48 bitů. Adresy vyhrazené pro příklady a dokumentaci Pro příklady a dokumentaci jsou běžně vyhrazeny dvě oblasti adres: 3ffe:ffff::/ :0DB8::/32 EXAMPLENET-WF Tyto oblasti adres by měly být filtrované na základě zdrojových adres a pokud možno by NEMĚLY být směrovány na hraniční směrovače Internetu. Adresy pro vícesměrový přenos (multicast) Vícesměrové adresy se používají pro související služby. Začínají vždy na (xy je rozsah):

8 ffxy: Jsou rozděleny na rozsahy a typy: Rozsahy vícesměrového přenosu Rozsah vícesměrového přenosu je parametr, který udává maximální vzdálenost, kam až může putovat vícesměrový paket od odesilatele. V současnosti jsou definovány následující oblasti (rozsahy): ffx1: lokální vzhledem k uzlu, paket nikdy neopustí uzel, ffx2: lokální vzhledem k připojení, pakety nikdy nejsou přeposílány směrovači, takže nikdy neopustí dané připojení, ffx5: lokální vzhledem k síti, paket nikdy neopustí síť, ffx8: lokální vzhledem k organizaci, paket nikdy neopustí organizaci (implementace není jednoduchá, je nutno použít směrovací protokol), ffxe: globální rozsah, další jsou rezerva. Vícesměrové typy Existuje mnoho dalších definovaných a rezervovaných typů (podrobnosti viz RFC 2373). Například: Adresa všech uzlů: ID = 1h, adresuje všechny počítače na lokálním uzlu (ff01:0:0:0:0:0:0:1) nebo na připojení (ff02:0:0:0:0:0:0:1). Adresa všech směrovačů: ID = 2h, adresuje všechny směrovače na lokálním uzlu (ff01:0:0:0:0:0:0:2) nebo na připojení (ff02:0:0:0:0:0:0:2) nebo na lokální síti (ff05:0:0:0:0:0:0:2). Vyžádaná vícesměrová adresa připojení k lokálnímu uzlu Speciální vícesměrová adresa používaná jako cílová adresa při zjišťování souseda, neboť na roz díl od IPv4 v IPv6 není protokol ARP. Adresa může vypadat například takto: ff02::1:ff00:1234 Prefix říká, že je to vícesměrová adresa připojení k lokálnímu uzlu. Přípona je generovaná z cílo-vé adresy. V tomto příkladu by měl být paket poslán na adresu fe80::1234, avšak síťový zásob-ník nezná fyzickou adresu spojové vrstvy (vrstvy 2). Nahradí horní 104 bity číslem ff02:0:0:0:0:1:ff00::/104 a spodní 24 bity ponechá beze změny. Tato adresa se nyní použije na připojení, aby se nalezl odpovídající uzel, který musí poslat odpověď se svojí fyzickou adresou spojové vrstvy. Výběrové (anycast) adresy Výběrové adresy jsou speciální adresy používané například k vyhledávání nejbližšího serveru DNS, serveru DHCP nebo podobných dynamických skupin. Adresy jsou přejaty z jednosměrného adresového prostoru (v současnosti agregovatelné globálně nebo v lokální síti). Mechanismus výběrové adresy (z pohledu klienta) zpracovávají dynamické směrovací protokoly. Poznámka: Výběrové adresy nemohou být zdrojovými adresami, používají se pouze jako cílové adresy. Výběrová adresa směrovače podsítě Jednoduchým příkladem výběrové adresy je výběrová adresa směrovače podsítě. Předpokládejme, že uzel má následující globálně přidělenou adresu IPv6: 3ffe:ffff:100:f101:210:a4ff:fee3:9566/64 <- Adresa uzlu Výběrovou adresu směrovače podsítě vytvoříme úplným vynecháním přípony (poslední 64 významové bity): 3ffe:ffff:100:f101::/64 <- Výběrová adresa směrovače podsítě Adresové typy (počítačová část) Pro autokonfiguraci a pro účely mobility bylo rozhodnuto, že ve většině běžných adresových typů se budou pro počítač používat spodní 64 bity. Každá podsíť tak může mít velké množství adres. Na tuto část je nutno pohlížet rozdílně. Automaticky vypočtená (též nazývaná bezstavová) Při autokonfiguraci se počítačová část adresy vypočte tak, že se metodou EUI-64 provede kon-verze fyzické adresy rozhraní (pokud existuje) na jednoznačnou adresu IPv6. Neexistuje-li k tomu-to zařízení fyzická adresa (například u virtuálních zařízení), použije se něco jiného (například adresa IPv4 fyzické adresy fyzického rozhraní). Uvažujme znovu o prvním příkladu: 3ffe:ffff:100:f101:210:a4ff:fee3:9566 zde,

9 210:a4ff:fee3:9566 je počítačová část adresy a je vypočtena z fyzické adresy síťové karty: 00:10:A4:E3:95:66 pomocí pro identifikátory EUI-48. Problém se zachováním soukromí u automaticky počítaných adres a jeho řešení Vzhledem k tomu, že automaticky vypočtená počítačová část je globálně jednoznačná (pokud ovšem výrobce síťových karet nepřiřadil stejnou adresu více než jedné kartě), je možné daného klienta zjistit, pokud nepoužívá nějakou formu zastoupení. To je známý problém a řešení bylo provedeno rozšířením definice v RFC 3041 (už existuje i nový návrh: ftp://ftp.ietf.org/internetdrafts/). Občas se na základě statické hodnoty náhodně vygene-ruje nová přípona. Poznámka: Tento způsob má smysl pouze v případě odchozích klientských spojení, zatímco u známých serverů se nepoužívá. Ruční nastavení Pro server je pravděpodobně snazší zapamatovat si jednodušší adresy, což lze provést. Rozhraní můžeme přidat další adresu IPv6, tj.: 3ffe:ffff:100:f101::1 Pro ruční přípony jako ::1, jak je uvedeno v předchozím příkladu, musí být 7. nejvýznamnější bit nastaven na 0 (bit označující globální/lokální u automaticky generovaného identifikátoru). Také některé jiné (jinak nevybrané) bitové kombinace jsou vyhrazeny pro výběrové adresy. Délky prefixu pro směrování Ve fázi časného návrhu bylo plánováno používání plně hierarchického přístupu ke směrování, aby se co nejvíce zredukovaly velikosti směrovacích tabulek. Vzhledem k počtu stávajících směrova-cích položek IPv4 v hlavních směrovačích (> 104 tisíce v květnu 2001) se tak u hardwarových smě-rovačů (řízených ASIC, tj. Application Specified Integrated Circuit ) měly snížit nároky na paměť pro ukládání směrovacích tabulek a měla se zvýšit rychlost (při menším počtu položek je vyhle-dávání rychlejší). Viděno dnešním pohledem, hierarchické směrování bude navrhováno pro sítě pouze v rámci jed-noho poskytovatele připojení. V případě spojení zajišťovaných více ISP to není možné a také to není možné kvůli problému zvanému multi-homing (podrobnosti viz a Délky prefixů (známé i pod jménem síové masky ) Podobně jako v IPv4 existuje i zde směrování cesty po síti. Vzhledem k tomu, že standardní zápis síťové masky v případě 128 bitů nevypadá pěkně, návrháři využili schématu CIDR z Ipv4 (CIDR, RFC 1519), kterým se specifikuje počet bitů IP adresy pro směrování. Zápisu se také říká lomítková (slash) notace. Příklad: 3ffe:ffff:100:1:2:3:4:5/48 Po expanzi: Síť: Síťová maska: 3ffe:ffff:0100:0000:0000:0000:0000:0000 ffff:ffff:ffff:0000:0000:0000:0000:0000 Hledání cesty Za normálních okolností (bez QoS, tj. požadavku na kvalitu služby) hledání ve směrovacích tabulkách dopadne tak, že cesta s nejvýznamnějším počtem adresových bitů znamená, že cesta s největší délkou prefixu se najde nejdříve. Když například jsou ve směrovací tabulce následující položky (seznam není úplný): 3ffe:ffff:100::/48 :: U sit1 2000::/3 :: UG tun6to4 Uvedená cílová adresa paketů IPv6 bude nasměrována přes dané zařízení 3ffe:ffff:100:1:2:3:4:5/48 -> nasměrováno přes zařízení sit1 3ffe:ffff:200:1:2:3:4:5/48 -> nasměrováno přes zařízení tun6to4 Kontrola systému na IPv6 Než začnete používat IPv6 na linuxovém počítači, musíte otestovat, zda je systém na práci s tímto adresovým schématem připraven. Možná pro to budete muset nejdříve něco udělat.

10 Jádro a IPv6 Současné linuxové distribuce už obsahují jádra s podporou IPv6. Tuto funkci zajišťuje samostatně překládaný modul, je však možné, že při spuštění systému nebyl automaticky zaveden. Nejaktuálnější informace naleznete na stránce IPv6+Linux-status-distributions.html. Poznámka Už byste neměli používat jádro 2.2.x, neboť skončila aktualizace těch částí, které zpraco vávají IPv6. Jak zkontrolovat za chodu, zda jádro podporuje IPv6 Když chcete zkontrolovat, zda stávající jádro podporuje IPv6, podívejte se nejdříve do souboro-vého systému /proc. Musí v něm být položka: /proc/net/if_inet6 Krátký automatický test vypadá takto: # test -f /proc/net/if_inet6 && echo Jádro podporuje IPv6 Když test zhavaruje, je velmi pravděpodobné, že není zaveden modul IPv6. Zkuste zavést modul IPv6 Modul IPv6 můžete zkusit zavést pomocí # modprobe ipv6 Budete-li úspěšní, můžete otestovat jeho zavedení pomocí následujícího kouzelného příkazového řádku: # lsmod grep -w ipv6 && echo Modul IPv6 úspěšně zaveden A test shora by nyní měl proběhnout úspěšně. Poznámka Bez zavedeného modulu IPv6 může jádro za určitých okolností zhavarovat. Automatické zavedení modulu V konfiguračním souboru si můžete nastavit automatické zavádění modulu IPv6. Stačí přidat do konfi-guračního souboru zavaděče jádra (obvykle /etc/modules.conf nebo /etc/conf.modules) řádek: alias net-pf-10 ipv6 # automatické zavedení modulu IPv6 Naopak je možné automatické zaváděné modulu IPv6 zablokovat pomocí řádku: alias net-pf-10 off # zablokuj automatické zavedení modulu IPv6 Doplňující poznámka V jádru řady 2.6.x byl mechanismus zavádění jádra změněn. Nový konfigurační soubor musíte místo /etc/modules.conf pojmenovat /etc/modprobe.conf. Kompilace jádra s podporou IPv6 Pokud oba výsledky shora byly negativní a jádro nemá podporu IPv6, máte na vybranou z těchto možností: Aktualizovat distribuci na takovou verzi, aby podporovala IPv6 již v základu (doporučeno začátečníkům). Přeložit nové jádro vanilla (snadné, pokud víte, jaké potřebujete volby). Znovu přeložit zdrojový kód jádra, které patří k vaší distribuci (což nemusí být zcela jednoduché). Přeložit jádro s USAGI. Rozhodnete-li se přeložit jádro, měli byste s tím mít už určitou zkušenost a také si přečíst Nejaktuálnější srovnání mezi jádrem vanilla a rozšířeními jádra USAGI je k dispozici na Překlad jádra vanilla Podrobnější pokyny k překladu jádra s podporou IPv6 naleznete na linux/ipv6/ipv6-howto/ipv6- HOWTO-2.html#kernel. Poznámka Je-li to možné, měli byste používat jádro řady 2.6.x nebo vyšší, neboť podpora IPv6 v řadě

11 2.4.x je pouze částečná a používání IPv6 v řadě 2.2.x je beznadějně zastaralé. Překlad jádra s rozšířeními USAGI Stejně jako v případě jádra vanilla je překlad tohoto jádra možné doporučit jen pokročilým uži-vatelům, kteří jsou zběhlí v překladech jádra. Viz také projekt USAGI ( a best_ipv6_support.html. Síová zařízení s podporou IPv6 Ne všechna stávající síťová zařízení mají už (nebo vůbec) schopnost přenášet pakety IPv6. Hlavní potíž je v tom, že kvůli struktuře síťových vrstev implementace jádra není paket IPv6 ve sku-tečnosti rozpoznáván podle čísla hlavičky (6 místo 4). Je rozpoznáván podle čísla protokolu vrstvy 2 transportního protokolu. Proto žádný transportní protokol, který nepoužívá toto číslo protokolu, nemůže přenášet pakety IPv6. Poznámka: Paket je přenášen spojovou vrstvou, avšak na straně pří-jemce nebude přenos fungovat (můžete si to vyzkoušet například programem tcpdump). Dosud známá spojení neschopná přenosu IPv6 Serial Line IP (SLIP, RFC 1055) by se nyní raději mělo nazývat SLIPv4, jména zařízení: slx. Parallel Line IP (PLIP), totéž jako SLIP, jména zařízení: plipx. ISDN se zapouzdřením rawip, jména zařízení: isdnx. Dosud známá nepodporovaná spojení schopná přenosu IPv6 ISDN se zapouzdřením syncppp, jména zařízení: ipppx (návrh položky ipppd bude zahr-nut do obecnější vrstvy PPP v jádru řady 2.5.x). Síové konfigurační nástroje IPv6 Jestliže provozujete jádro s podporou IPv6, avšak nemáte nástroje na konfiguraci IPv6, nedostanete se příliš daleko. Balík síových nástrojů Balík síťových nástrojů obsahuje některé nástroje, např. ifconfig nebo route, které vám pomo-hou zkonfigurovat IPv6 na rozhraní. Podívejte se na výstup příkazů ifconfig -? nebo route -?, jest-li se u některé položky objeví IPv6 nebo inet6. Pokud ano, tento nástroj podporuje IPv6. Zjistíme to pomocí kouzelné formulky: # /sbin/ifconfig -? 2>& 1 grep -qw inet6 && echo utilita ifconfig podporuje IPv6 Stejný test můžeme provést v případě route: # /sbin/route -? 2>& 1 grep -qw inet6 && echo utilita route podporuje IPv6 Balík iproute Alexej N. Kuzněcov (člověk odpovědný za údržbu síťového kódu Linuxu) vytvořil množinu nástro-jů pro konfiguraci sítí prostřednictvím síťových zařízení. S touto množinou nástrojů dosáhnete vyšší funkcionalitu, než jakou nabízejí síťové nástroje, avšak není příliš dobře zdokumentovaná a vyža-duje odvážného ducha. # /sbin/ip 2>&1 grep -qw inet6 && echo utilita ip podporuje IPv6 Pokud se program /sbin/ip nenajde, vřele doporučuji nainstalovat balík iproute. Můžete jej získat z vaší linuxové distribuce (pokud jej obsahuje). Můžete si jej stáhnout v tar balíku z ftp://ftp.inr.ac.ru/ip-routing/ (zrcadlo chybí) a zkom-pilovat jej. Můžete se pokusit najít odpovídající balík RPM na search.php?query=iproute (někdy je doporučován překlad balíku SRPMS). Programy pro testování a ladění podpory IPv6 Poté co jste si připravili systém s podporou IPv6, určitě budete chtít využít IPv6 pro komunikaci po síti. Nejdříve byste se měli naučit prohlížet pakety IPv6 nějakým očichávacím programem. To je velmi důležité, neboť při ladění a odstraňování chyb vám to velmi usnadní diagnostiku. ping IPv6 Tento program obvykle bývá součástí balíku iputils. Je určen pro jednoduchý přenosový test, který provede tak, že odešle pakety ICMPv6 pro vyžádání ozvěny a čeká na pakety ICMPv6 s odpovědí. Použití: # ping6 <hostwithipv6address> # ping6 <ipv6address> # ping6 [-I <device>] <link-local-ipv6address> Příklad:

12 # ping6 -c 1 ::1 PING ::1(::1) from ::1 : 56 data bytes 64 bytes from ::1: icmp_seq=0 hops=64 time=292 usec --- ::1 ping statistics ---1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/mdev = 0.292/0.292/0.292/0.000 ms Doporučení: ping6 vyžaduje přímý přístup k soketům, musí tedy mít přístupová práva uživatele root. Pokud se tedy běžnému uživateli nedaří spustit ping6, příčiny mohou být dvě: ping6 není v uživatelské cestě (pravděpodobně proto, že obvykle bývá uložen v /usr/sbin) -> doplnění cesty. Tento postup však nedoporučujeme. ping6 nepracuje správně zřejmě proto, že nemá přístupová práva uživatele root -> chmod u+s /usr/sbin/ping6. Specifikace rozhraní pro ping IPv6 Použije-li ping IPv6 lokální adresu připojení, jádro neví, přes které (fyzické nebo virtuální) zařízení musí poslat paket každé zařízení má lokální adresu připojení. Takový pokus bude mít za následek výpis chybového hlášení: # ping6 fe80::212:34ff:fe12:3456 connect: Invalid argument V tomto případě musíte specifikovat rozhraní dodatečně, viz: # ping6 -I eth0 -c 1 fe80::2e0:18ff:fe90:9205 PING fe80::212:23ff:fe12:3456(fe80::212:23ff:fe12:3456) from fe80::212:34ff:fe12:3478 eth0: 56 data bytes 64 bytes from fe80::212:23ff:fe12:3456: icmp_seq=0 hops=64 time=445 usec --- fe80::2e0:18ff:fe90:9205 ping statistics ---1 packets transmitted, 1 packets received, 0% packet loss round-trip min/avg/max/mdev = 0.445/0.445/0.445/0.000 ms Ping6 na vícesměrové adresy Zajímavý způsob, jak zjistit počítače s podporou IPv6 ve spojové vrstvě, je spustit ping6 s lokál-ní vícesměrovou adresou pokrývající všechny uzly: # ping6 -I eth0 ff02::1 PING ff02::1(ff02::1) from fe80:::2ab:cdff:feef:0123 eth0: 56 data bytes 64 bytes from ::1: icmp_seq=1 ttl=64 time=0.104 ms 64 bytes from fe80::212:34ff:fe12:3450: icmp_seq=1 ttl=64 time=0.549 ms (DUP!) Na rozdíl od IPv4, kde mohou být odpovědi na všesměrovou adresu blokovány, v případě IPv6 takto postupovat nelze (s výjimkou lokálního firewallu IPv6). traceroute6 IPv6 Tento program je obvykle součástí balíku iputils. Je podobný programu traceroute v IPv4, viz příklad: # traceroute6 traceroute to 6bone.net (3ffe:b00:c18:1::10) from 3ffe:ffff:0000:f101::2, 30 hops max, 16 byte packets 1 localipv6gateway (3ffe:ffff:0000:f101::1) ms ms ms 2 swi6t1-t0.ipv6.switch.ch (3ffe:2000:0:400::1) ms ms ms 3 3ffe:2000:0:1::132 (3ffe:2000:0:1::132) ms ms ms 4 3ffe:c00:8023:2b::2 (3ffe:c00:8023:2b::2) ms ms ms 5 3ffe:2e00:e:c::3 (3ffe:2e00:e:c::3) ms ms ms 6 (3ffe:b00:c18:1::10) ms * ms Poznámka Na rozdíl od některých novějších verzí IPv4, jež mohou používat pakety ICMPv4 s vyžá-dáním ozvěny a pakety UDP (implicitně), program traceroute6 může posílat pouze pake-ty UDP. Jak možná víte, pakety ICMP s vyžádáním ozvěny prozatím přijímají spíše firewally a ACL na směrovačích. tracepath6 IPv6 Tento program je obvykle součástí balíku iputils. Je podobný programu traceroute6, sleduje cestu k danému místu určení a na této cestě vyhledává MTU, viz příklad: # tracepath6 1?: [LOCALHOST] pmtu : 3ffe:401::2c0:33ff:fe02: ms 2: 3ffe:b00:c18:: ms 3: 3ffe:b00:c18::5 asymm ms pmtu : 3ffe:3900:5::2 asymm ms 4: 3ffe:28ff:ffff:4::3 asymm ms 5: 3ffe:1cff:0:ee::2 asymm ms 6: 3ffe:3800::1:1 asymm ms!N Resume: pmtu 1280 tcpdump IPv6 tcpdump je v Linuxu hlavním nástrojem na prohlížení paketů. Příklady najdete v dalším textu.podpora IPv6 je součástí stávajících vydání verze 3.6.Aby se minimalizoval šum, pro filtrování paketů používá tcdump výrazy: icmp6: filtry pro provoz skupiny ICMPv6, ip6: filtry pro provoz skupiny IPv6 (včetně ICMPv6), proto ipv6: filtry pro provoz skupiny tunelů Ipv6-in-IPv4, not port ssh: potlačení výpisu paketů SSH v programu tcpdump, který běží na vzdáleném sezení SSH.

13 Také některé volby v příkazových řádcích jsou užitečné k zachycení a výpisu více informací z paketu, a to zejména z paketů ICMPv6: -s 512: zvětšení prohlížené délky (snap length) při prohlížení paketů na 512 bajtů, -vv: velmi upovídaný výstup, -n: nepřevádět adresy na jména, používá se, když nepracuje korektně reverzní DNS. ping IPv6 na skupinu adres 3ffe:ffff:100:f101::1 prostřednictvím lokálního spojení # tcpdump -t -n -i eth0 -s 512 -vv ip6 or proto ipv6 tcpdump: listening on eth0 3ffe:ffff:100:f101:2e0:18ff:fe90:9205 > 3ffe:ffff:100:f101::1: icmp6: echo request (len 64, hlim 64) 3ffe:ffff:100:f101::1 > 3ffe:ffff:100:f101:2e0:18ff:fe90:9205: icmp6: echo reply (len 64, hlim 64) ping IPv6 na 3ffe:ffff:100::1 směrovaný přes tunel z IPv6 do IPv a jsou koncové body tunelů (všechny adresy jsou příklady) # tcpdump -t -n -i ppp0 -s 512 -vv ip6 or proto ipv6 tcpdump: listening on ppp > : 2002:ffff:f5f8::1 > 3ffe:ffff:100::1: icmp6: echo request (len 64, hlim 64) (DF) (ttl 64, id 0, len 124) > : 3ffe:ffff:100::1 > 2002:ffff:f5f8::1: icmp6: echo reply (len 64, hlim 61) (ttl 23, id 29887, len 124) > : 2002:ffff:f5f8::1 > 3ffe:ffff:100::1: icmp6: echo request (len 64, hlim 64) (DF) (ttl 64, id 0, len 124) > : 3ffe:ffff:100::1 > 2002:ffff:f5f8::1: icmp6: echo reply (len 64, hlim 61) (ttl 23, id 29919, len 124) Programy s podporou IPv6 Současné distribuce už obsahují klienty a servery s tolik potřebnou aktivovanou podporou IPv6. Viz nejdříve Pokud zde nic nenajdete, zkuste se ještě podívat na -status-apps.html, zda byl program už převeden do tvaru IPv6 pod Linuxem. Některé rady k nej-častěji používaným programům naleznete i na adresách HOWTO/IPv6-HOWTO-3.html a Klientské programy s podporou IPv6 (výběr) K provozování následujících testů je nutno mít systém aktivovaný pro IPv6 a některé příklady používají adresy, existuje-li spojení na 6bone. Test DNS na rozlišování adres IPv6 Kvůli bezpečnostním aktualizacím v minulých letech by měl být na všech serverech DNS provo-zován novější software, který už rozumí (přechodnému) adresovému typu AAAA (novější jménem A6 ještě není v tomto okamžiku k dispozici, neboť ten musí mít podporu BIND9 a novějších a také dosud neexistující podporu kořenové domény IP6.ARPA). Jednoduchý test, zda systém umí zpra-covávat adresy IPv6, můžeme provést takto: # host -t AAAA a mělo by se ukázat něco takového: is an alias for tolot.join.uni-muenster.de. tolot.join.uni-muenster.de. has AAAA address 2001:638:500:101:2e0:81ff:fe24:37c6 Klienti telnet s podporou IPv6 K dispozici jsou klienti telnet s podporou IPv6. Jednoduchý test lze provést takto: $ telnet 3ffe:400:100::1 80 Trying 3ffe:400:100::1... Connected to 3ffe:400:100::1. Escape character is '^]'. HEAD / HTTP/1.0 HTTP/ OK Date: Sun, 16 Dec :07:21 GMT Server: Apache/ (Unix) Last-Modified: Wed, 01 Aug :34:42 GMT ETag: "3f02-a4db1b3e080" Accept-Ranges: bytes Content-Length: 2637 Connection: close Content-Type: text/html; charset=iso Connection closed by foreign host. Jestliže klient telnet nerozumí adrese IPv6 a řekne něco jako cannot resolve hostname, IPv6 není aktualizovaná. Klienti ssh s podporou IPv6 openssh Stávající verze openssh podporují IPv6. V závislosti na konfiguraci před kompilací existuje ve dvou verzích: bez implicitní ipv4: klient nejprve zkouší spojení IPv6, a když neuspěje, vrátí se k IPv4. s implicitní ipv4: implicitní spojení je IPv4, spojení IPv6 musí být nastaveno, viz následují-cí příklad: $ ssh -6 ::1 user@::1 s password: ****** [user@ipv6host user]$ Když váš klient nerozumí volbě -6, nemá aktivovanou podporu IPv6, což platí pro většinu balí-ků SSH ve verzi 1.

14 ssh.com Klient a server SSH z ssh.com také umí zpracovávat adresy IPv6 a je zdarma pro všechny systémy Linux a FreeBSD bez ohledu na soukromé či komerční využití. Internetové prohlížeče s podporou IPv6 Momentální stav internetových prohlížečů s podporou IPv6 je k dispozici na bieringer.de/linux/ipv6/status/ipv6 +Linux-status-apps.html#HTTP. Většina z nich ovšem ještě dosud nemá vyřešené některé problémy: Při používání proxy serveru, který je nastaven jen na IPv4, nebude tento server rozumět požadavku s IPv6 a odmítne jej. Řešení: aktualizace softwaru proxy serveru (viz dále). Automatická nastavení proxy (*.pac) nelze rozšířit tak, aby zpracovával požadavky IPv6 odlišně (tedy nevyužíval proxy) kvůli jejich podstatě (jsou napsány v Java skriptu a zdro-jové texty jsou pevně zakódovány podobně jako ve zdrojovém kódu Maxilla). Ani starší verze nerozumějí URL se zakódovanou adresou IPv6, jako např. URL pracuje pouze s prohlížečem s podporou IPv6!).Kterýkoli prohlížeč můžete otestovat pomocí uvedeného URL bez použití proxy. Testovací URL Brouzdání po Internetu s využitím adres IPv6 je vhodné začít na Pokud je želva na těchto stránkách animovaná, spojení je uskutečněno prostřednictvím IPv6, jinak se želva nehýbe. Serverové programy s podporou IPv6 Tato část návodu se týká spíše klientů. Proto jsou informace o serverech s podporou IPv6, např. sshd, httpd, telnetd atd., popsány v kapitole Popis démonů s aktivovanými IPv6. Často kladené otázky (Kontrola systému s podporou IPv6) Nástroje Otázka: Programem ping6 se nemohu dostat na lokální adresy Chybová zpráva: connect: Invalid argument Jádro neví, jaké fyzické nebo virtuální spojení chcete použít pro odeslání těchto paketů ICMPv6.Proto se vypíše toto chybové hlášení. Řešení: Uveďte např. rozhraní: ping6 -I eth0 fe80::2e0:18ff:fe90:9205 Viz také kapitola ping IPv6. Otázka: Jako normální uživatel se nemohu dostat k programům ping6 a traceroute6 Chybová zpráva: icmp socket: Operation not permitted Tyto nástroje vytvářejí speciální pakety ICMPv6 a odesílají je. To se provádí přímým využitím soketů v jádru. Sokety však může přímo využívat pouze uživatel root. Proto se normálnímu uživateli vypisuje tato zpráva. Řešení: Pokud je opravdu nutné, aby směli tyto nástroje používat všichni uživatelé, můžete pomo cí chmod u+s /path/to/program přidat suid bit, viz kapitola ping Ipv6. Není-li to nutné, může-te změnit skupinu programu například na wheel, zařadit do této skupiny ty, kteří mají mít právopoužívat tento program, a ostatním uživatelům pomocí chmod o-rwx / path/to/program zaká-zat spuštění programu. Anebo zkonfigurujte sudo tak, aby se aktivovala vaše bezpečnostní poli-tika. Konfigurace síových zařízení Různá síová zařízení V daném uzlu existují různá síťová zařízení. Lze je seskupit do tříd: Připojené fyzicky, např. eth0, tr0. Existující virtuálně, např. ppp0, tun0, tap0, sit0, isdn0, ippp0. Fyzicky připojená Fyzicky připojená rozhraní jako Ethernet nebo Token-Ring jsou normální zařízení a nevyžadují zvláštní zacházení. Virtuálně připojená Virtuálně připojená rozhraní potřebují vždy zvláštní podporu.

15 Tunelová rozhraní IPv6-in-IPv4 Tato rozhraní se obvykle nazývají sitx. Jméno sit je zkratka vzniklá ze slov Simple Internet Tran-sition. Toto zařízení například umí zapouzdřovat pakety IPv6 do paketů IPv4 a posílat je tunelem do jiného koncového bodu. Rozhraní sit0 má speciální význam a nelze je používat pro tunely. Rozhraní PPP Rozhraní PPP poskytuje podporu IPv6 démon PPP s aktivovanou podporou IPv6. Rozhraní ISDN HDLC Podpora IPv6 pro HDLC se zapouzdřeným ip je zabudovaná v jádru. Rozhraní ISDN PPP V rozhraních ISDN PPP (ippp) není podpora IPv6 aktivovaná jádrem a ani není známo, že by ji měl někdo v plánu vytvořit, neboť v jádru 2.5+ budou nahrazeny obecnější vrstvou rozhraní ppp. SLIP + PLIP Jak jsme se už zmínili, tato rozhraní nepodporují přenos IPv6 (odesílání je možné, avšak určování příjemce nefunguje). Ether-tap Zařízení Ether-tap (zařízení pro monitorování sítě) podporují IPv6 a také jsou bezstavově zkonfi-gurována. Před používáním je nutno zavést modul ethertap. Zařízení tun Dosud jsem netestoval. ATM 01/2002: Dosud nejsou podporovány jádrem vanilla, zatímco rozšířeními USAGI ano. Ostatní Zapomněl jsem na nějaké rozhraní? Zapínání a vypínání rozhraní Rozhraní můžeme zapínat a vypínat dvěma způsoby. Příkaz ip Použití: # ip link set dev <interface> up # ip link set dev <interface> down Příklad: # ip link set dev eth0 up # ip link set dev eth0 down Příkaz ifconfig Použití: # /sbin/ifconfig <interface> up # /sbin/ifconfig <interface> down Příklad: # /sbin/ifconfig eth0 up # /sbin/ifconfig eth0 down Konfigurace adres IPv6 Adresu IPv6 můžete na rozhraní konfigurovat různými způsoby. Můžete použít příkazy ifconfig nebo ip. Výpis existujících adres IPv6 Nejdříve byste si měli ověřit, zda a které adresy IPv6 jsou už zkonfigurované (pravděpodobně automaticky v průběhu bezstavové autokonfigurace). Příkaz ip Použití: # /sbin/ip -6 addr show dev <interface> Příklad staticky zkonfigurovaného počítače: # /sbin/ip -6 addr show dev eth0

16 2: eth0: <BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_ fast qlen 100 inet6 fe80::210:a4ff:fee3:9566/10 scope link inet6 3ffe:ffff:0:f101::1/64 scope global inet6 fec0:0:0:f101::1/64 scope site Příklad auto-konfigurovaného počítače: Zde vidíte některé automaticky zkonfigurované adresy IPv6 a jejich životnost. # /sbin/ip -6 addr show dev eth0 3: eth0: <BROADCAST,MULTICAST,PROMISC,UP> mtu 1500 qdisc pfifo_fast qlen 100 inet6 2002:d950:f5f8:f101:2e0:18ff:fe90:9205/64 scope global dynamic valid_lft 16sec preferred_lft 6sec inet6 3ffe:400:100:f101:2e0:18ff:fe90:9205/64 scope global dynamic valid_lft sec preferred_lft sec inet6 fe80::2e0:18ff:fe90:9205/10 scope link Příkaz ifconfig Použití: # /sbin/ifconfig <interface> Příklad (výstup je odfiltrován pomocí programu grep tak, aby vypsal pouze adresu IPv6): Zde vidíte různé adresy IPv6 s různými poli působnosti. # /sbin/ifconfig eth0 grep inet6 addr: inet6 addr: fe80::210:a4ff:fee3:9566/10 Scope:Link inet6 addr: 3ffe:ffff:0:f101::1/64 Scope:Global inet6 addr: fec0:0:0:f101::1/64 Scope:Site Přidání adresy IPv6 Přidání adresy IPv6 je podobné adresovému mechanismu IP ALIAS při adresování rozhraní IPv4. Příkaz ip Použití: # /sbin/ip -6 addr add <ipv6address>/<prefixlength> dev <interface> Příklad: # /sbin/ip -6 addr add 3ffe:ffff:0:f101::1/64 dev eth0 Příkaz ifconfig Použití: # /sbin/ifconfig <interface> inet6 add <ipv6address>/<prefixlength> Příklad: # /sbin/ifconfig eth0 inet6 add 3ffe:ffff:0:f101::1/64 Odstranění adresy IPv6 Nepoužívá se často. Pozor při odstraňování neexistující adresy IPv6, u některých starších jader to vede k havárii systému! Příkaz ip Použití: # /sbin/ip -6 addr del <ipv6address>/<prefixlength> dev <interface> Příklad: # /sbin/ip -6 addr del 3ffe:ffff:0:f101::1/64 dev eth0 Příkaz ifconfig Použití: # /sbin/ifconfig <interface> inet6 del <ipv6address>/<prefixlength> Příklad: # /sbin/ifconfig eth0 inet6 del 3ffe:ffff:0:f101::1/64 Konfigurace normální trasy IPv6

17 Chcete-li opustit svoje spojení a posílat pakety do světa Internetu IPv6, je nutno provést směro-vání. Pokud už máte na svém připojení směrovač s aktivovanými adresami IPv6, stačí přidat trasu IPv6. Výpis existujících tras IPv6 Nejdříve byste si měli ověřit, zda a které adresy IPv6 jsou už zkonfigurované (pravděpodobně automaticky prostou autokonfigurací). Příkaz ip Použití: # /sbin/ip -6 route show [dev <device>] Příklad: # /sbin/ip -6 route show dev eth0 3ffe:ffff:0:f101::/64 proto kernel metric 256 mtu 1500 advmss 1440 fe80::/10 ff00::/8 default proto kernel metric 256 mtu 1500 advmss 1440 proto kernel metric 256 mtu 1500 advmss 1440 proto kernel metric 256 mtu 1500 advmss 1440 Příkaz route Použití: # /sbin/route -A inet6 Příklad (výstup je odfiltrován na rozhraní eth0). Na jednom rozhraní vidíte různé trasy IPV6 pro různé adresy. # /sbin/route -A inet6 grep -w "eth0" 3ffe:ffff:0:f101 ::/64 :: UA eth0 <- Interface route for global address fe80::/10 :: UA eth0 <- Interface route for link-local address ff00::/8 :: UA eth0 <- Interface route for all multicast addresses ::/0 :: UDA eth0 <- Automatic default route Přidání trasy IPv6 pomocí brány Většinou potřebné k dosažení vnější sítě s adresou IPv6 pomocí směrovače s aktivací IPv6 na spojení. Příkaz ip Použití: # /sbin/ip -6 route add <ipv6network>/<prefixlength> via <ipv6address> [dev <device>] Příklad: # /sbin/ip -6 route add 2000::/3 via 3ffe:ffff:0:f101::1 Příkaz route Použití: # /sbin/route -A inet6 add <ipv6network>/<prefixlength> gw <ipv6address> [dev <device>] Zařízení může být potřebné také tehdy, je-li adresa IPv6 brány lokální. V následujícím příkladu je trasa přidána ke všem globálním adresám (2000::/3) pomocí brány ffe:ffff:0:f101::1. # /sbin/route -A inet6 add 2000::/3 gw 3ffe:ffff:0:f101::1 Odstranění trasy IPv6 pomocí brány Ručně se provádí zřídka, většinou síťovými konfiguračními skripty při vypínání systému (plném nebo po jednotlivých rozhraních). Příkaz ip Použití: # /sbin/ip -6 route del <ipv6network>/<prefixlength> via <ipv6address> [dev <device>] Příklad: # /sbin/ip -6 route del 2000::/3 via 3ffe:ffff:0:f101::1

18 Příkaz route Použití: # /sbin/route -A inet6 del <network>/<prefixlength> [dev <device>] Příklad na odstranění shora přidané trasy: # /sbin/route -A inet6 del 2000::/3 gw 3ffe:ffff:0:f101::1 Přidání trasy IPv6 pomocí rozhraní Používá se zřídka, většinou jen v případě jednoúčelového dvoubodového spojení. Příkaz ip Použití: # /sbin/ip -6 route add <ipv6network>/<prefixlength> dev <device> metric 1 Příklad: # /sbin/ip -6 route add 2000::/3 dev eth0 metric 1 Metrika 1 je zde použita kvůli kompatibilitě s metrikou v trase, neboť implicitní metrika v příkazu ip je Příkaz route Použití: # /sbin/route -A inet6 add <network>/<prefixlength> dev <device> Příklad: # /sbin/route -A inet6 add 2000::/3 dev eth0 Odstranění trasy IPv6 pomocí rozhraní Ručně se provádí zřídka, většinou síťovými konfiguračními skripty při vypínání systému. Příkaz ip Použití: # /sbin/ip -6 route del <ipv6network>/<prefixlength> dev <device> Příklad: # /sbin/ip -6 route del 2000::/3 dev eth0 Příkaz route Použití: # /sbin/route -A inet6 del <network>/<prefixlength> dev <device> Příklad: # /sbin/route -A inet6 del 2000::/3 dev eth0 Často kladené otázky k trasám IPv6 Podpora implicitní trasy IPv6 Jednou z idejí IPv6 je hierarchické směrování, proto je ve směrovačích nutných méně položek. V současných jádrech Linuxu jsou určité problémy: Klienti (kteří nesměrují pakety!) Klient může nastavit implicitní trasu pomocí prefixu ::/0, toto směrování mohou zadat i při auto-konfiguraci například pomocí radvd na spojení, jak je zřejmé z následujícího příkladu: # ip -6 route show grep ^default default via fe80::212:34ff:fe12:3450 dev eth0 proto kernel metric 1024 expires 29sec mtu 1500 advmss 1440 Přeposílání paketů směrovači Současná jádra Linuxu (přinejmenším <= ) nepodporují implicitní trasy. Můžete je nastavit, avšak vyhledávání trasy zhavaruje v okamžiku, kdy by měl být paket přeposlán (což je běžná činnost směrovače). Z toho důvodu lze v současnosti nastavit implicitní směrování pouze pomocí prefixu globální adresy 2000::/3. Poznámka

19 Opatrně při implicitním směrování bez filtrování adresy na krajních směrovačích. Jinak se vícesměrový přenos nebo přeprava v místní síti dostane ven. Zjišování sousedů Zjišťování sousedů je následníkem protokolu ARP (Address Resolution Protocol) v IPv4. Můžete získávat informace o svých sousedech a navíc můžete tyto položky nastavovat a rušit. Jádro sle-duje úspěšnou detekci souseda (jako ARP v IPv4). Do tabulky sousedů můžete zasahovat pomo-cí příkazu ip. Výpis sousedů pomocí ip Zjištěné a zkonfigurované sousedy IPv6 můžete vypsat následujícím příkazem: # ip -6 neigh show [dev <device>] V následujícím příkladu vidíme jednoho souseda, kterým je směrovač v dosahu: # ip -6 neigh show fe80::201:23ff:fe45:6789 dev eth0 lladdr 00:01:23:45:67:89 router nud reachable Provádění změn v tabulce sousedů příkazem ip Ruční přidání položky Následujícím příkazem můžete přidat do tabulky položku: # ip -6 neigh add <IPv6 address> lladdr <link-layer address> dev <device> Příklad: # ip -6 neigh add fec0::1 lladdr 02:01:02:03:04:05 dev eth0 Ruční zrušení položky Položku lze do tabulky nejen přidat, nýbrž i odstranit: # ip -6 neigh del <IPv6 address> lladdr <link-layer address> dev <device> Příklad: # ip -6 neigh del fec0::1 lladdr 02:01:02:03:04:05 dev eth0 Pokročilejší nastavení Nástroj ip není příliš dobře zdokumentován, avšak je velmi silný. Podrobnosti viz on-line nápo-věda: # ip -6 neigh help Usage: ip neigh { add del change replace } { ADDR [ lladdr LLADDR ] [ nud { permanent noarp stale reachable } ] proxy ADDR } [ dev DEV ] ip neigh {show flush} [ to PREFIX ] [ dev DEV ] [ nud STATE ] Vypadá to, jako by některé volby byly platné jen pro IPv4... můžete-li přispět informacemi o vol-bách a pokročilejším použití, prosím, pošlete je. Konfigurace tunelů IPv6-in-IPv4 Chcete-li opustit svoje připojení a kolem sebe nemáte síť s podporou IPv6, k dosažení Internetus IPv6 potřebujete tunel typu IPv6-in-IPv4.Existují určité druhy tunelových mechanismů a také některé možnosti nastavení. Typy tunelů Existuje několik možností, jak posílat pakety IPv6 přes připojení IPv4. Statický dvoubodový tunel: 6bone Dvoubodový tunel je jednoúčelový tunel do koncového bodu, který ví o síti IPv6 (kvůli zpětné-mu směrování) a zná adresu IPv4 koncového bodu tunelu. Je definován v RFC Požadavky: Adresa IPv4 lokálního koncového bodu tunelu musí být statická, globálně jednoznačná a dosažitelná z koncového bodu cizího tunelu. Musíte mít přiřazen prefix IPv6 (viz registr 6bone). Koncový bod cizího tunelu, který je schopen nasměrovat váš prefix IPv6 na váš lokální koncový bod tunelu (většinou vyžaduje vzdálenou ruční konfiguraci). Automatické vytváření tunelů

20 K automatickému vytvoření tunelu dojde, když je některý uzel přímo napojen na jiný uzel, jehož adresu IPv4 získal už dříve. Vytváření tunelů 6to4 Vytváření tunelů 6to4 (RFC 3056) využívá jednoduchého mechanismu. Každý uzel s globálně jednoznačnou adresou IPv4 může být koncovým bodem tunelu 6to4 (není-li provoz blokován firewallem). Vytváření tunelů 6to4 většinou není obousměrné. Tento případ lze rozdělit na tunelování jedním nebo druhým směrem. Speciální adresa IPv6 tedy určuje, že tento uzel bude pro napojení na globální síť IPv6 využívat tunel 6to4. Generování prefixu 6to4 Adresa 6to4 je definovaná takto (schéma je převzato z RFC 3056): bits FP+TLA V4ADDR SLA ID ID rozhraní 0x FP a TLA mají dohromady (16 bitů) hodnotu 0x2002. V4ADDR je jednoznačná adresa IPv4 uzlu (v hexadecimálním tvaru). SLA je identifikátor podsítě (může existovat podsítí) a lze jej použít pro lokální strukturu sítí. V případě brány je tento prefix generován pomocí SLA 0000 a přípony ::1 (nikoli nutně, stačí, když je lokální) a přiřadí se rozhraní tunelu 6to4. Poznamenejme, že Microsoft Windows používají V4ADDR také jako příponu. Tunel 6to4 směrem ven Uzel musí vědět, kterému koncovému bodu cizího tunelu má poslat pakety IPv6 zabalené do paketů IPv4. V začátcích tunelů 6to4 byly definovány jednoúčelové přijímací směrovače pro ode-sílání ven. Seznam směrovačů viz Nyní lze odesílací směrovače 6to4 nalézt automaticky pomocí výběrové adresy , kterou směrovací protokoly zpracují na pozadí, podrobnosti viz RFC Tunel 6to4 směrem dovnitř Tunel směrem dovnitř (6bone -> váš uzel aktivovaný pro 6to4) není pevný a může se pro různé cizí počítače lišit v závislosti na tom, komu byly původní pakety odeslány. Existují dvě možnosti: Cizí počítač použije 6to4 a pošle paket přímo zpět na váš uzel (viz níže). Cizí počítač posílá pakety zpět do globální sítě IPv6 a předávací směrovač vytváří automa-tický tunel zpět na váš uzel v závislosti na dynamickém směrování. Možnosti provozu 6to4 Z 6to4 do 6to4: normální přímý tunel mezi dvěma počítači s podporou 6to4. Z 6to4 do non-6to4: posílá se tunelem směrem ven. Z non-6to4 do 6to4: posílá se tunelem směrem dovnitř. Výpis existujících tunelů Příkaz ip Použití: # /sbin/ip -6 tunnel show [<device>] Příklad: # /sbin/ip -6 tunnel show sit0: ipv6/ip remote any local any ttl 64 nopmtudisc sit1: ipv6/ip remote local any ttl 64 Příkaz route Použití: # /sbin/route -A inet6 Příklad (výstup je filtrován tak, aby se vypisovaly pouze tunely vedoucí virtuálním rozhraním sit0): # /sbin/route -A inet6 grep "\Wsit0\W*$" ::/96 :: U sit0 2002::/16 :: UA sit0 2000::/3 :: UG sit0 fe80::/10 :: UA sit0 ff00::/8 :: UA sit0 Nastavení dvoubodových tunelů Dvoubodové tunely můžeme přidávat nebo rušit třemi různými způsoby.užitečné doplňující informace o nastavování tunelů příkazem ip naleznete na adrese Přidání dvoubodového tunelu