Questions tagged «ipv6»

我正在尝试配置动态加密映射，以在Cisco 15.2M的纯IPv6网络上使用。问题是，当我尝试将ipv6访问列表添加到动态密码映射时，出现错误消息。在配置下方 crypto dynamic-map DYNMAP 5 set transform-set IPSECVPN-PeerA set ikev2-profile IKEV2-SETUP-DYN ipv6 access-list VPN_PEER_A_IPV6_ANY permit ipv6 2001:1::/64 any permit ipv6 2001:2::/64 any 但是当我尝试将访问列表添加到加密映射时，出现以下错误 access-list type conflicts with prior definitionERROR: "VPN_PEER_A_IPV6_ANY" is either an invalid name or the list already exists but is the wrong type. 我相信这是由于15.2不支持动态IPv6加密映射。有人可以给我提示吗？

10 cisco  ipv6  ipsec 

我们以fec0 :: / 10开头的站点本地地址-现已弃用。相反，我们现在保留了fc00 :: / 7，而fd00 :: / 8专用于/ 48网络用于唯一本地地址。 选择最低信号位40位以提供组织级/ 48的最佳实践是什么？ ...每个人都在使用SIXXS自愿注册吗？（对我来说似乎是可疑的） ...只是使用RFC4193的选择指南（通过算法）？ ...有人可以在线执行该算法吗？ 挑选我们的40位似乎并不难；如果可以的话，我只是尝试以“正确”的方式选择它们。

10 ipv6  best-practices 

众所周知，我们已经没有IPv4地址了，很快（如果还没有的话）我们将转向IPv6。将完整的IPv4网络迁移到IPv6的一些好的策略和做法是什么？

10 ipv4  ipv6  ipv6-transition 

诸如5952-“ IPv6地址文本表示的建议书”和 2373-“ IP版本6寻址体系结构”之类的 RFC 分别概述了通常用于表示IPv6地址的常用十六进制和冒号表示法，或RFC的开头部分。 IPv6 CIDR。 例如2001：0db8：85a3 :: 8a2e：0370：7334。 但是，RFC似乎并未建议这种普遍存在的格式的名称。有没有这种格式的名称，类似于IPv4如何使用命名的点十进制表示法？如果是这样，在引用此标准IPv6表示法时要使用的专有名称是什么？

10 ipv6  rfc  terminology 

可以将IPv4地址包含在IPv6地址中。例如，2001:db8::c0a8:6301最后32位是IPv4 address 192.168.99.1。甚至还有IPv6地址的特殊表示法，其中后32位采用点十进制表示法。Juniper路由器的示例： root@mx> show configuration interfaces ge-0/0/0 unit 0 family inet6 address 2001:db8::192.168.99.1/64; root@mx> 在什么情况下将IPv4地址包含在IPv6地址中才有意义？在实践中有人看过吗？

9 ipv6  ip-address 

除了不能在子网中声明更多的IP地址之外，当子网达到100％利用率（如果有）时，还会发生什么其他不好的事情？

9 ip  ipv4  subnet  ipv6  ip-address 

Facebook的IPv6地址方案非常聪明，但是让我想到了ACL，是否有可能编写与之匹配的Cisco IOS IPv6 ACL？在IPv4中，您可以匹配一个中间的八位位组，例如10.xxx.10.xxx，以便用“忽略”命中任何“ x”。我认为这在IPv6中是不可能的，至少从IOS 15.1起是不可行的。 在我的示例中，由于Facebook很聪明，因此可以轻松地在FACE：B00C上进行匹配。这样就简化了，因为无需查找分配的块，我就可以在该范围内进行匹配。 2A03：2880：F000：[0000-FFFF]：FACE：B00C :: / 96 显而易见的正常方法是在2A03：2880：F000 :: // 48上进行匹配，但是不幸的是，我不确定FB是否具有较大范围（可能确实如此）。因此，在这种特殊情况下，如果我可以仅在FACE：B00C部分进行匹配，则可以匹配他们正在使用的所有内容，假设它们不会继续前进到FACE：B00D 由于无法在IOS for和IPv6 ACL中输入通配符掩码，因此我认为您无法执行此操作，但是我很好奇是否有人有一个有趣的解决方法。我认为了解这一点将很有用，因为在某些时候，我可能仅由于DDoS或激进的流量而需要过滤一个子块，而又不想为某个大型提供程序阻塞整个/ 32。 另外，这可能允许基于策略的流量重定向或优先级。如果我发现广告位于不同的块中，则可以对它们进行QoS调整，例如，对于低带宽，拥塞的卫星链路来说，这是一个不错的功能。 编辑：澄清一下。在某些情况下，我需要阻止或允许大范围内的某些范围（例如/ 32）。这些可能会有些连续，而不是数百个条目，通配符可能会匹配其中的大部分。这也可以按我可以路由所有10.x.10.0块的方式用于流量工程，其中如果x为奇数，则它沿一条路线进行运动，甚至经过另一条路线。 另一个示例是DDoS，其中使用拼写黑客的组名的模式来欺骗IPv6源IP。这将至少发生一次，能够对其进行过滤将是一件很不错的事情。 紧凑的ACL更干净，但并不总是更易于管理。这些东西可能是好主意或坏主意/做法，在这里并不是要争辩，只是试图掌握我拥有的工具与可能要创造的工具。

9 security  ipv6  cisco-ios  acl 

最佳做法是使用手动/ 127地址进行此​​处所述的点对点寻址RFC2373 对于EUI-64，ERFC 2373规定了转换过程，该过程分为两个步骤。第一种是将48位MAC地址转换为64位值。为此，我们将MAC地址分为两个24位半部分：组织唯一标识符（OUI）和NIC特定部分。然后，在这两半之间插入16位十六进制值0xFFFE，以形成64位地址。 我很清楚您在哪里可以使用/ 127手动地址分配，但是我真的看不到使用EUI-64的好处。除非我完全错过了此地址功能的实际用途。 如果可能的话，有人可以对EUI-64用例特别是在ISP WAN拓扑中有所启发吗？或指向一些阅读材料的方向。

9 ipv6  mac-address 

如何在Juniper EX系列交换机的访问端口上阻止IPv6 RA通告？我知道思科提供了ra-guard作为选项，就像生成树上的bpdu-guard一样，我只是不确定如何在Junos中完成同样的事情。

9 juniper  ipv6  security  juniper-junos 

配置IOS 12.4（25f）以支持IPv6的必要步骤是什么？Comcast是ISP，我将使用Server 2012盒作为内部DHCPv6。 我需要从Comcast获取DHCPv6地址作为外部接口。 到目前为止，在我的外部接口上，我有： ipv6 address autoconfig default ipv6 enable ipv6 traffic-filter al in ipv6 verify unicast reverse-path ipv6 dhcp client pd comcast-ipv6 对于“ al”访问列表，我有： permit udp any any eq 546

9 cisco  ipv6  cisco-ios 

使用IPv4，当路径最大传输单位发现不起作用时，TCP MSS“钳制”（在TCP报头中编辑MSS值的网络设备）可以提供帮助。（例如，当ICMP被阻塞在路径中的某个位置时。）由于IPv6中没有碎片，因此我们仍然有ICMPv6的“数据包太大”，无法用信号通知始发端点。 是否有专门针对通过IPv6夹紧TCP MSS的指南？

9 tcp  ipv6  layer4  transport-protocol  icmpv6 

在思科环境（ISR-G2）中，如何防止或缓解不正确的RA公告？ 我看到思科拥有“ IPv6 RA Guard ”……但是，它是否仅在路由器上运行并以正确的RA“反击”？使用交换机将伪造的RA过滤出网络不是更有意义吗？（或者我是否对伪造的RA过于偏执？）

9 cisco  ipv6