Help configurazione Cisco 877 nativa IP v6

[emiliano]

Credo che il problema nasca come conseguenza dell'esaurimento degli ip v4, e probabilmente il provider, in carenza di ip 4, rilascerà i prossimi circuiti esclusivamente in ip 6. Suppongo

Perfetto, a maggior ragione indipendentemente che tu mantenga la tua lan in IPv4 o IPv6 quando ti "affacci" al tuo provider lo fai in IPv6, dunque è loro il problema di interfacciarti in IPv4 con i peer o più banalmente siti-web che rispondono solo in IPv4... No

[davide0522]

Ok quindi io posso stare come sono adesso. Cioè mi faccio la rete pura ip 6, e poi sarà l'operatore che mi ributta sul mondo ip 4 quando necessario. Al momento non lo fanno ancora, ma lo faranno (e ci sta essendo fase sperimentale).
Io quindi non devo fare niente come tunnel ecc.

Passo alla seconda (e terza) domanda

Se invece sarò su WAN puro in ip 6 e in lan puro in ip 4, devo fare qualche tunnel io ?

Supponendo infine che lavoro in ip 6 puro wan e lan, sapete indirizzarmi a qualche configurazione per esempio per il nat / firewalling ?
Es, il pc X sarà come se fosse completamente pubblico su internet, visto che ogni dispositivo avrà il suo ip v6 univoco. Come aprire chiudere porte ? Pubblicare servizi ecc ?

Sapete indirizzarmi su qualche configurazione di esempio, o su qualche guida ?

[paolomat75]

Nel libro CCNP Route è trattato l'integrazione IPV6 con IPV4. Essistono anche dei libri solo su IPV6.
Se no sul sito Cisco trovi molto.

Paolo

[paolomat75]

Dai un'occhiata qua http://www.cisco.com/en/US/prod/collate ... 76278.html

[emiliano]

Supponendo infine che lavoro in ip 6 puro wan e lan, sapete indirizzarmi a qualche configurazione per esempio per il nat / firewalling ?
Es, il pc X sarà come se fosse completamente pubblico su internet, visto che ogni dispositivo avrà il suo ip v6 univoco. Come aprire chiudere porte ? Pubblicare servizi ecc ?

Io ho le tue stesse perplessità, fino a che IPv4 e v6 coesisteranno credo che i vari scenari siano ben documentati, ma proprio come te mi chiedo cosa accadrà quando ogni host sarà potenzialmente raggiungibile dalla "RETE"? Personalmente mi rifiuto di pensare che la sicurezza sarà demandata (in modo più o meno significativo) ai singoli HOST.
Sto cercando in rete dei testi che illustrino degli scenari IPv6 puri rivolti alla rete end-user e non agli ISP, ma non trovo nulla, forse è presto...
Sinceramente fino alle dichiarazioni del tuo ISP (per quanto credo sia un caso isolato) ho sempre pensato che ci fosse tempo per capire come strutturare una rete esclusivamente v6, ma oggi mi sto chiedendo: "il tuo provider non ha idea di dove si stia cacciando o i tempi potrebbero essere più stretti di quello che abbiamo creduto"

Paolo, tu che sei avanti con la sperimentazione, che ne pensi?????

[paolomat75]

Beh esistono i firewall e ACL anche in IPV6, perciò da router/gateway/ASA/ecc c'è tutta la possibilità di proteggere la rete.
Per quanto riguarda il provider, come ho già detto sopra, per dare solo IPV6 deve sbattersi un po (NAT64, DNS64, ecc). Una soluzione del genere la ritengo applicabile solo molto più avanti quando i servizi in IPV4 saranno in minoranza (considerate che implementare le soluzioni sopra è un carico non indifferente su molto traffico).
Io uso IPV6 da un paio di anni ma in dual stack e non penso minimamente a tenere su solo la rete IPV6 (l'ho fatto solo per studio un giorno).
Poi quando non ci sarà più un IPV4 disponibile saranno obbligati a dare solo IPV6.

Naturalmente aspetto smentite da chi è più preparato di me

Paolo

[emiliano]

ACL, Firewall e quant'altro IPv6 li avevo già visti, la mia unica perplessità (non avendo fatto test significativi in IPv6 puro) rimane nel fatto che trattandosi anche a livello LAN comunque di ip pubblici il filtraggio dovrà essere sicuramente più accurato e forse meno "semplice" rispetto a quello che si fa ora (mi riferisco soprattutto ai sistemi di basso costo)... ma a questo punto la cosa la vedremo a tempo debito e magari nel frattempo saranno uscite delle guide più specifiche.
E' vero che IPv6 (da come descrivono il protocollo) sarà più leggero a livello di routing ma solo quando ci sarà solo il v6, ad oggi concordo con te che il dual stack appesantisca di brutto il lavoro degli apparati, ragion per cui forse molti ISP aspettano a " mettere in produzione" gli IPv6 fino all'ultimo (contrariamente al provider del nostro amico) e per ora ne assegnano a chi li richiede, forse sperando che i "curiosoni" come noi li aiutino a testare la nuova infrastruttura con del Trouble Shooting a GRATIS.

@ Paolo, per ora grazie dei chiarimenti

Emiliano

[paolomat75]

Secondo me è più appesantito lato ISP avere solo IPV6 finché persiste IPV4.
Si creano dei colli di bottiglia negli apparati che forniranno la conversione dei 2 protocolli.
Per quanto riguarda il firewall/ACL non vedo differenze rispetto a chi ha IP pubblici.
Per quelli "casalinghi" penso che ci saranno dei template già implementati dentro agli apparati low cost dove si fa un filtraggio automatico.

Comunque vedremo con il tempo

Paolo

[davide0522]

Ciao a tutti
Ho avuto un incontro (un po') chiarificatore con l'isp

La linea su cui sto facendo test è una linea dual stack
Che quindi fa ip4 su ip4 e ip6 su ip6
Motivo per cui se disabilito dal pc ip4, non raggiungo piu nulla del mondo ip4 (perchè per questa linea mi hanno dato degli ip6 che stanno fuori dal nat64)

Il problema dell'isp non è che cassa ip4 e fa solo ip 6
Il problema è che il ripe non assegna più ip4 e quindi, suppongo avendoli esauriti, assegneranno solo ip6 sulle connettività dei clienti, ma resta in piedi tutto il mondo ip 4

Tra parentesi ci sbatterò la testa perchè dal 10 gennaio assegneranno solo adsl con ip 6, quindi ci ritroveremo dentro per forza !!!!

Ovvio che avranno, e lo stanno facendo, un pesante lavoro di nat.
Inoltre si riservano una subnet ip4 per fare dei nat inversi (per intenderci per consentire al mondo ip4 di connettersi es ad un server pubblicato su una connettività solo ip6, anche se questa parte mi sfugge un po', perchè credo che il loro scopo sia condividere alcuni ip "loro" per questo scopo, ma non dare dual stack)

Il dubbio che mi permane, da rivenditore, è (terra terra) questo:
vado a vendere una adsl solo ip6 da un cliente che non conosco, e non posso permettermi di stravolgergli la rete e dirgli "adesso metti tutto in ip6".
A quel punto vorrei sul cisco dare la sua bella lan 192.168.1.1 per esempio, e avere (per obbligo) la wan ip6
Quindi il cliente in lan sta ip4, ma esce ip6, con tutto il lavoro di nat64 che farà il provider.
E con l'eventuale lavoro di capire come fare nel caso il cliente voglia pubblicare dei servizi al mondo.
Venendo alla pratica:
come potrebbe quindi essere una configurazione di questo tipo ? In sostanza come posso sul mio cisco end-user fare tunnel da 4 (dentro) a 6 (fuori) ?

Spero di essermi spiegato abbastanza.....
Grazie a tutti, ciao