Laboratorium IPv6 cz. 2
-
- Michał Witkowski,
-
- Matt Prigge,
- 25.05.2011, godz. 08:45
Najpierw reguła kontrolująca dostęp do interfejsu tun0 przez sam router (tu znowu zezwolimy na "pingowanie" naszego routera z zewnątrz):
set firewall ipv6-name tun-local default-action 'drop'
set firewall ipv6-name tun-local description 'IPv6 Traffic To Router'
set firewall ipv6-name tun-local rule 10 action 'accept'
set firewall ipv6-name tun-local rule 10 description 'Accept Established-Related'
set firewall ipv6-name tun-local rule 10 state established 'enable'
set firewall ipv6-name tun-local rule 10 state related 'enable'
set firewall ipv6-name tun-local rule 15 action 'accept'
set firewall ipv6-name tun-local rule 15 description 'Accept ICMP Echo'
set firewall ipv6-name tun-local rule 15 icmpv6 type 'echo-request'
set firewall ipv6-name tun-local rule 15 protocol 'ipv6-icmp'
Teraz zezwolimy na powracający ruch do naszej sieci
set firewall ipv6-name tun-in description 'IPv6 Traffic To Internal'
set firewall ipv6-name tun-in rule 10 action 'accept'
set firewall ipv6-name tun-in rule 10 description 'Accept Established-Related'
set firewall ipv6-name tun-in rule 10 state established 'enable'
set firewall ipv6-name tun-in rule 10 state related 'enable'
I zastosujemy na interfejsie tun0 zdefiniowane przed chwilą reguły:
set interfaces tunnel tun0 firewall in ipv6-name 'tun-in'
set interfaces tunnel tun0 firewall local ipv6-name 'tun-local'
set firewall ipv6-name tun-in default-action 'drop'
Po zatwierdzeniu powyższych reguł powinniśmy móc pingować adres końca naszego tunelu IPv6 (możemy go znaleźć w oknie dialogowym potwierdzenia konfiguracji usługi):
ping6 2001:470:XXXX:XXXX::1
Jeśli widzimy pojawiające się odpowiedzi na wysłane pakiety, to znaczy wszystko dotychczas poszło jak należy.
Konfigurujemy wewnętrzną sieć w IPv6
Kolejnym zadaniem jest uruchomienie wewnętrznej sieci w IPv6. Jak już wspomnieliśmy w nowej wersji protokołu IP nie ma translacji adresów (NAT) i nie ma czegoś takiego jak lokalny adres. Potrzebujemy więc na potrzeby naszej sieci przydziału puli adresów IP. W nowym standardzie są one zapisywane za pomocą 128 bitów co daje w przybliżeniu 3.4*10 do potęgi 38 i jest liczbą niewyobrażalną. W dialogu opisującym szczegóły tunelu zestawionego z Hurricane Electric możemy przeczytać, że dostawca już przydzielił nam podsieć /64 w dodatku do 64-bitowej podsieci przydzielonej samemu tunelowi. Na stronie możemy tez zauważyć link "Allocate /48" co pozwoli nam wykroić na nasze potrzeby jeszcze większą sieć (/48 daje 65536 sieci /64). Po co aż tyle adresów, skoro już 2 do 64 jest ogromną liczbą (wszystkich IPv6 jest 2 do 32)? Przy IPv6 pozwalamy sobie na pewną rozrzutność. Najczęściej będziemy spotykać się właśnie z sieciami z 64-bitową przestrzenią adresową. Oczywiście nie znajdziemy nigdy tylu urządzeń by wszystkie dostępne adresy wykorzystać, ale zostawi to każdemu hostowi swobodę automatycznego generowania adresów bez ryzyka konfliktu z jakimkolwiek innym urządzeniem. Jeśli więc potrzebujemy obsłużyć więcej niż jedną 64-bitową sieć (np. by na trzecim interfejsie sieciowym obsłużyć strefę DMZ) przyda nam się alokacja większej liczby takich sieci /64. Jeśli potrzebujemy obsłużyć tylko jedną sieć (na interfejsie eth1), wstępnie przydzielona pula zaspokoi nasze potrzeby.
Zobacz również: