IPV6
IPV4缺点:
IPv4采用32bit地址,地址容量太少,可使用地址约为43亿,已耗尽
IPv4没有层次化设计,路由表条巨大
主机配置较为复杂
缺乏对网络安全的支持
存在广播通信
端到端通信不畅
IPV6的优点:
IPv6采用128bit地址,巨大的地址空间
精简的报文结构
层次化的网络编址
IP地址可自动配置
支持端到端的安全
更好的QoS
支持移动特性
IPv6地址压缩表示方式:
每段的前导0可以省略,至少保留一个0
连续多个0可以用“::”表示,但只能使用一次
IPV6地址产生:
手工配置
系统通过软件自动生成
IEEE EUI-64规范自动生成(MAC地址转换为IPv6接口标识)
单播地址 | 未指定地址 | ::/128 |
|
环回地址 | ::1/128 |
| |
链路本地地址 | FE80::/10 | 1111 1110 10 | |
全球单播地址 | 2000::/3 | 001 | |
唯一本地地址 | FC00::/7 | 1111 110 | |
组播地址 |
| FF00::/8 | 1111 1111 |
任播地址 |
|
|
|
所以IPV6采用的是TLV格式。type length value
IPV6配置:
int vlan10
ipv6 en
ipv6 add ----/64 eui-64
no ipv6 nd suppresss-ra period
no ipv6 nd suppress-ra response
在主机上关闭全球单播分配:(需要有管理员权限的CMD)
netsh interface ipv6 set global randomizeidentifiers=disabled
在路由器接口开启自动获取IPV6
(接口下)#ipv6 en
ipv6 address autoconfig
show ip int br 看接口起起来了没
show ipv6 int br
终端自动获取IPV6地址还会有一个临时IPV6地址
因为EUI-64只能算出固定的后64位,不太安全
链路本地IPV6地址是一插上网线就有,只能在二层互通,三层不可路由
IPV6中同一链路不同网段仍能ping通,就是因为使用了链路本地地址作为了下一跳 手动配置链路本地地址:ipv6 addres xxxx link-local
建议一台路由器 所有接口 链路本地地址都一样
debug ipv6 nd
SW1#show ipv6 int vlan 10
vlan10 is up
VRF: global
IPv6 is enable, link-local address is fe80::201:7aff:fe93:bbfb
Global unicast address(es):
2001:1::201:7aff:fe93:bbfb, subnet is 2001:1::/64 [EUI]
Joined group address(es):
ff02::1:ff00:0
ff02::2
ff02::1
ff02::1:ff93:bbfb
主机上看邻居表:netsh interface ipv6 show neighbors
主机上查看路由表:route print
主机上查看物理地址:ipconfig /all
ICMPV6
基本功能:目的不可达、数据包超长、超时、回应请求、 回应应答等
ICMPv6新增邻居发现、无状态地址配 置、重复地址检测等功能
IPv6邻居发现协议-NDP(是属于ICMP) Neighbor Discovery Protocol
二三层转发:
PC2访问PC1分析-地址解析(类似于ARP)
使用ICMP的NS、NA
PC2发送ICMP NS报文进行请求PC1的MAC地址
交换机收到组播,泛洪
PC1发送ICMP NA报文回应请求
PC2访问PC1分析,仅二层
PC2:
PC2封装ICMP,不需要判断是否在同一网段(转发时才需要)
封装到二层,需要目的MAC地址:查邻居表可得
交换机:
查mac+vlan表转发(如果没有则需进行地址解析过程)
PC1:
发现目的MAC是自己,拆到三层,目的IP是自己,回复ICMP报文
PC1:
PC1封装ICMP,不需要判断是否在同一网段(转发时才需要)
封装到二层,需要网关MAC地址:查邻居表可得(根据IPV6组播地址算的)
交换机:
查mac+vlan表转发(如果没有则需进行地址解析过程)
三层交换机:
发现目的MAC地址与自己的一样(直接ping的自己),拆,回应
发现目的MAC地址与自己的不一样(一般是在int vlan对应)
查MAC,查到目的MAC地址与对应接口,进行转发
没有查到进行泛洪
PC2:
发现目的MAC是自己,拆到三层,目的IP是自己,回复ICMP报文
PC1:
PC1封装ICMP,不需要判断是否在同一网段(转发时才需要)
封装到二层,需要网关MAC地址:查邻居表可得(根据IPV6组播地址算的)
交换机:
查mac+vlan表转发(如果没有则需进行地址解析过程)
路由器:
发现目的MAC地址与自己的一样,解封,交给三层,发现目的地址不是自己,查表,转发或丢弃
发现目的MAC地址与自己的不一样,丢弃
PC2:
发现目的MAC是自己,拆到三层,目的IP是自己,回复ICMP报文
8.28RIPng、OSPFV3
RIPng(RIP next generation,下一代路由选择协议)
ripNG有更新、失效(改为120s)、抑制(默认没开)、清除
解决RIP协议与IPv6的兼容性问题
RIPng是基于UDP的协议,使用UDP端口521
RIPng基本工作原理(request、response)
RIPng与RIPv2不同点
RIPng中无“有类”和“无类”概念
RIPv2自带认证功能,RIPng由IPSec实现认证加密
Metric值计算有细微差异,RIPng收到路由时加1,RIPv2发出时加1
show ipv6 route
show ipv6 rip database
debug ipv6 rip packet
show ip rip 可以查看定时器、重分发时规定的metric
OSPFV3
OSPFv3是基于IP的协议,使用IP协议号89
OSPFV3 与OSPFV2区别
OSPFv2带有加密认证机制,OSPFv3采用IPv6扩展认证
OSPFv3的router-id必须配置,OSPFv2可 内部选举
OSPFv3的LSA实现拓扑与网络前缀分离,稳定性更好
show ipv6 ospf database
OSPFv3 Router with ID (4.4.4.4) (Process 1)
Link-LSA (Interface vlan34) 八类
Link State ID ADV Router Age Seq# CkSum Prefix
0.0.0.2 3.3.3.3 859 0x80000001 0xef23 1
0.0.0.1 4.4.4.4 626 0x80000001 0xf11d 1
路由器为每一条链路生成一个link-lsa,描述了该链路所连接的IPV6前缀及路由器link-loacl地址
LS age: 692
LS Type: Link-LSA
Link State ID: 0.0.0.2
Advertising Router: 3.3.3.3
LS Seq Number: 0x80000002
Checksum: 0xED24
Length: 56
Priority: 1
Options: 0x000033 (DC|R|-|-|E|V6)
Link-Local Address: fe80::3
Number of Prefixes: 1
Router-LSA (Area 0.0.0.0) 一类
Link State ID ADV Router Age Seq# CkSum Link
0.0.0.0 3.3.3.3 617 0x80000005 0xfede 638
0.0.0.0 4.4.4.4 615 0x80000003 0xd30a 638
由每个路由器生成,描述本路由器的链路状态及开销,只在路由器所处区域传播
LS age: 258
LS Type: Router-LSA
Link State ID: 0.0.0.0
Advertising Router: 3.3.3.3
LS Seq Number: 0x80000006
Checksum: 0xFCDF
Length: 40
Flags: 0x01 (-|-|-|B)
Options: 0x000033 (DC|R|-|-|E|V6)
Link connected to: a Transit Network
Metric: 1
Interface ID: 2
Neighbor Interface ID: 2
Neighbor Router ID: 3.3.3.3
Network-LSA (Area 0.0.0.0) 二类
Link State ID ADV Router Age Seq# CkSum
0.0.0.2 3.3.3.3 617 0x80000001 0xb12d
DR
LS age: 925
LS Type: Network-LSA
Link State ID: 0.0.0.2
Advertising Router: 3.3.3.3
LS Seq Number: 0x80000002
Checksum: 0xAF2E
Length: 32
Options: 0x000033 (DC|R|-|-|E|V6)
Attached Router: 3.3.3.3
Attached Router: 4.4.4.4
Inter-Area-Prefix-LSA (Area 0.0.0.0) 三类
Link State ID ADV Router Age Seq# CkSum Prefix
0.0.0.5 3.3.3.3 796 0x80000004 0x8439 2001:3::/64
由ABR生成。描述一条到达其他区域的IPV6前缀的路由
LS age: 518
LS Type: Inter-Area-Prefix-LSA
Link State ID: 0.0.0.5
Advertising Router: 3.3.3.3
LS Seq Number: 0x80000005
Checksum: 0x823A
Length: 36
Metric: 1
Prefix: 2001:3::/64
Prefix Options: 0 (-|-|-|-|-)
Inter-Area-Router-LSA (Area 0.0.0.0)四类
Link State ID ADV Router Age Seq# CkSum
0.0.0.1 3.3.3.3 416 0x80000001 0xde12
由ABR生成,如何到ASBR
LS age: 2006
LS Type: Inter-Area-Router-LSA
Link State ID: 0.0.0.1
Advertising Router: 3.3.3.3
LS Seq Number: 0x80000001
Checksum: 0xDE12
Length: 32
Options: 0x000033 (DC|R|-|-|E|V6)
Metric: 1
Destination Router ID: 2.2.2.2
Intra-Area-Prefix-LSA (Area 0.0.0.0)九类
Link State ID ADV Router Age Seq# CkSum Prefix Reference
0.0.0.5 3.3.3.3 616 0x80000001 0xd4ac 1 Network-
LSA
LS age: 969
LS Type: Intra-Area-Prefix-LSA
Link State ID: 0.0.0.5
Advertising Router: 3.3.3.3
LS Seq Number: 0x80000002
Checksum: 0xD2AD
Length: 44
Number of Prefixes: 1
Referenced LS Type: 0x2002
Referenced Link State ID: 0.0.0.2
Referenced Advertising Router: 3.3.3.3
Prefix: 2001:4::/64
Prefix Options: 0 (-|-|-|-|-)
Metric: 0
AS-external-LSA 五类
Link State ID ADV Router Age Seq# CkSum Prefix
0.0.0.1 2.2.2.2 420 0x80000001 0x355c E2 2001:1::/64
0.0.0.2 2.2.2.2 420 0x80000001 0x3956 E2 2001:2::/64
告知如何让到达外部路由
LS age: 664
LS Type: AS-External-LSA
Link State ID: 0.0.0.1
Advertising Router: 2.2.2.2
LS Seq Number: 0x80000002
Checksum: 0x335D
Length: 36
Metric Type: 2 (Larger than any link state path)
Metric: 20
Prefix: 2001:1::/64
Prefix Options: 0 (-|-|-|-|-)
LS age: 894
LS Type: AS-External-LSA
Link State ID: 0.0.0.2
Advertising Router: 2.2.2.2
LS Seq Number: 0x80000002
Checksum: 0x3757
Length: 36
Metric Type: 2 (Larger than any link state path)
Metric: 20
Prefix: 2001:2::/64
Prefix Options: 0 (-|-|-|-|-)
OSPFv3的LSA
8.29 BGP4、VRRPV3、过渡技术
BGP4+是基于TCP的协议,使用TCP端口号179
MP-BGP(BGP4)引入了两个新的可选非过渡路径属性,通过这两个属性就可以变为IPV6了,BGP的配置都是一样的,但需要在IPV6地址族启用
MP_REACH_NLRI:(Attribute code:14) 多协议可达NLRI。用于发布可达路由及下一跳信息。
MP_UNREACH_NLRI:(Attribute code:15) 多协议不可达NLRI。用于撤销不可达路由。
up-date不需要强制配置
VRRPV3:
不配置VRRP时主机会发现两个网关
配置VRRP
过渡技术:双栈、NAT64、gre隧道
双栈的发展历程:
NAT64
NAT64:和静态NAT外网访问内网原理一致
PC只能ping IPV6地址,所以ping 关于server的计算地址
23.1.1.3
ping 2023::1701:0103
网关R1没有去往NAT64前缀网段,所以需要写一条静态路由
hostname R1
vlan 10,12
interface gigabitethernet0/1
switchport access vlan 10
exit
interface gigabitethernet0/2
switchport access vlan 12
interface vlan10
ipv6 router ospf 1 area 0
ipv6 enable
ipv6 address fe80::1 link-local
ipv6 address 2010::/64 eui-64
no ipv6 nd suppress-ra period
no ipv6 nd suppress-ra response
exit
interface vlan12
ipv6 router ospf 1 area 0
ipv6 enable
ipv6 address fe80::1 link-local
ipv6 address 2012::1/64
exit
ipv6 router ospf 1
router-id 1.1.1.1
ipv6 route 2023::/96 vlan12 fe80::2
hostname R2
ipv6 access-list extended a
10 permit ipv6 2010::/64 any
vlan 12,23
interface gigabitethernet0/1
switchport access vlan 12
exit
interface gigabitethernet0/2
switchport access vlan 23
interface vlan12
ipv6 router ospf 1 area 0
ipv6 enable
ipv6 address fe80::2 link-local
ipv6 address 2012::2/64
nat64 enable
exit
interface vlan23
ip address 23.1.1.2 255.255.255.0
nat64 enable
ipv6 router ospf 1
router-id 2.2.2.2
exit
nat64 prefix 2023::/96
nat64 v6v4 list a interface vlan23 overload
hostname Server3
interface gigabitethernet1
ip address 23.1.1.3 255.255.255.0
ip route 0.0.0.0 0.0.0.0 23.1.1.2
隧道实验
R1#show run
vlan 12
interface gigabitethernet0/1
switchport access vlan 12
exit
interface loopback0
ip address 10.1.1.1 255.255.255.0
exit
interface vlan12
ipv6 router ospf 1 area 0
ipv6 enable
ipv6 address fe80::1 link-local
ipv6 address 2012::1/64
exit
interface tunnel1
tunnel mode gre ipv6
tunnel source 2012::1
tunnel destination 2023::3
ip address 13.1.1.1 255.255.255.0
exit
router ospf 1
network 10.1.1.1 0.0.0.0 area 0
network 13.1.1.1 0.0.0.0 area 0
exit
ipv6 router ospf 1
router-id 1.1.1.1
exit
R2#show run
hostname R3
vlan 23
exit
interface gigabitethernet0/1
switchport access vlan 23
exit
interface loopback0
ip address 20.1.1.1 255.255.255.0
exit