Transcript 20120919-094651_20120614

基隆市資訊組長IPV6教育訓練
講師：基隆市教育網路中心
王言俊
何謂IPV6
IPV6與IPV4的比較
IPV6的優勢與發展趨勢
本市各校符合IPV6的網路架構圖
IPV6的設定
IPV6與DNS
DNS安裝與設定(以Bind9.9為例)
IPV6與防火牆(以FreeBSD/ipfw為例)
IPV6與Web Server(以Apache2.X為例)
何謂IPV6
• IPV4(Internet Protocol Version 4)是網際網路
協議的第四個版本，定址能力為2的32次方。
1975年制定，到2011年中，IPV4的IP位址完
全耗盡。
• 網際網路工程任務小組（Internet
Engineering Task Force，簡稱IETF）為解決
IPV4將盡的問題，於1998年12月制定並通過
IPV6網際網路協議規範。定址能力為2的128
次方，每個地球上的人約可分到100萬個IP。
IPV6的表示法
• 2001:0288:2440:0000:0000:0000:0000:0001
正規的表示法
• 2001:288:2440:0000:0000:0000:0000:1
可將多餘的0省略
• 2001:288:2440::1
有兩組(含以上)0000就可以用:代替
IPV4與IPV6的比較
IPV4
IPV6
來源位址和目的位址長度都為32位元
來源位址和目的位址長度都為128位元
支援IPSec 是選擇性的
支援IPSec 必要性的
路由器和傳送主機均支援資料片段。
路由器不支援資料片段。僅傳送主機支
援資料片段。
標頭包括檢查值。
標頭不包括檢查值。
位址解析通訊協定(ARP)使用廣播ARP
Request 資訊框，將 IPV4 位址解析為連
結層位址。
用多點傳播 Neighbor Solicitation 訊息取
代 ARP Request 資訊框。
使用 Internet 群組管理通訊協定(IGMP)
管理本機子網路群組成員身份。
使用 Multicast Listener Discovery(MLD)訊
息取代 IGMP。
使用 ICMP Router Discovery 確定具有最
佳預設閘道的 IPV4 位址。
用 ICMPV6 Router Solicitation 和 Router
Advertisement 訊息取代 ICMPV4 Router
Discovery。
IPV4與IPV6的比較
IPV4
IPV6
使用廣播位址將傳輸傳送到子網路上的
所有節點。
沒有 IPV6 廣播位址。而是使用連結-本
機領域所有節點多點傳播位址。
必須手動組態或使用 DHCP 組態。
不需要手動組態或 DHCP。
使用網域名稱系統(DNS)中的主機位址
使用網域名稱系統(DNS)中的主機位址
(A)資源記錄，將主機名稱對應到IPV4位 (AAAA)資源記錄，將主機名稱對應到
址。
IPV6位址。
使用IN-ADDR.ARPA DNS網域中的指標
(PTR)資源記錄，將 IPV4 位址對應到主
機名稱。
使用 IP6.INT DNS 網域中的指標 (PTR)資
源記錄，將 IPV6 位址對應到主機名稱。
IPV6的優勢
• 位址數量多到驚人：
為解決IPV4不足的問題，NAT的使用非常
普遍。但NAT最大的問題是用戶端可存取伺
服器端，而伺服器端卻無法存取用戶端。
而單一IPV6網段的IP數多到驚人(2128)，根本
不用NAT。
IPV6的優勢
• 隨插即用：
IPV6支援全狀態自動設定和無狀態自動設
定。前者類似DHCP，後者完全不用設定，
只要單一設備發出Router Solicatation(RS)詢
問路由器，即可獲得Router
Advertisement(RA)派發一個世界上獨一無二
的IPV6位址
• 不可能出現IP衝突的情形(手動設定除外)。
• 未來輸入IP表達網址的時代將會結束!
各國的IPV6發展趨勢
• 日本：近年來投入大量資金發展IPV6網路環
境，2007年全國的網路基礎建設完成支援
IPV6。
• 中國：中國的上網人口僅次於美國，為了因
應IP不足的問題，近年來投入大量資金發展
IPV6網路基礎建設，同時舉辦多場世界級的
研討會。中國工信部將推展「新一代互連網」
工程列為「十二‧五」計劃重點發展項目。
2011年世界IPV6日，中國網站支援IPV6的數
量居世界之冠。
2011年IPV6論壇對世界各國網站的測試統計圖。台灣的排名也相當不錯!
節錄自 融合網(http://www.dwrh.net)
本市IPV6的發展進程
2011年12月
完成機房設備IPV6全面
支援與學校端測試
2012年
本市電
腦教室
及網路
設備更
新專案
2012年5-6月
辦理IPV6相關研習
2012年8-9月
辦理學校網站代管研習
2012年9月30日
完成各校網站及DNS支援IPV6
Layer2環境下的IPV6網路架構
Hinet光電轉換盒
學校Server
DNS、WEB
符合IPV6的Switch
DSA6100
符合IPV6的Switch與
Wireless AP
支援IPV6的無
線設備
Win7
WinXP
WinXP
支援IPV6的
網路印表機
Layer3環境下的IPV6網路架構
Hinet光電轉換盒
DSA6100
符合IPV6的Switch
符合IPV6的Switch與
Wireless AP
學校Server
DNS、WEB
支援IPV6的無
線設備
Win7
WinXP
WinXP
支援IPV6的
網路印表機
Layer2與Layer3的差異
• 簡言之，Layer2是由網路中心的Cisco6509直
接做Routing；而Layer3則是由DSA6100做
Routing。但為了與Cisco6509做對映，必需在
Cisco6509上劃一網段與DSA6100做mapping。
• 目前本市有武崙國小、德和國小、八斗完全
中學是Layer3 mode。
• 以管理和效能考量，Layer2 mode比較適合本
市各校。今年度將配合校園網路工程，進行
三校網路架構的轉換。
各校IPV6網段對照表
校名
網段(起始)
網段(終點)
暖西國小
2001:288:2407::1
2001:288:2407:0000:ffff:ffff:ffff 2001:288:2407::254
尚仁國小
2001:288:2411::1
2001:288:2411:0000ffff:ffff:ffff
建德國小
2001:288:2412::1
2001:288:2412:0000:ffff:ffff:ffff 2001:288:2412::254
隆聖國小
2001:288:2413::1
2001:288:2413:0000:ffff:ffff:ffff 2001:288:2413::254
建德國中
2001:288:2414::1
2001:288:2414:0000:ffff:ffff:ffff 2001:288:2414::254
安樂中學
2001:288:2415::1
2001:288:2415:0000:ffff:ffff:ffff 2001:288:2415::254
武崙國小
2001:288:2416::1
2001:288:2416:ffff:ffff:ffff:ffff
長樂國小
2001:288:2417::1
2001:288:2417:0000:ffff:ffff:ffff 2001:288:2417::254
八斗中學
2001:288:2418::1
2001:288:2418:ffff:ffff:ffff:ffff
正濱國小
2001:288:2419::1
2001:288:2419:0000:ffff:ffff:ffff 2001:288:2419::254
正濱國中
2001:288:2420::1
2001:288:2420:0000:ffff:ffff:ffff 2001:288:2420::254
忠孝國小
2001:288:2421::1
2001:288:2421:0000:ffff:ffff:ffff 2001:288:2421::254
Default Gateway
2001:288:2411::254
2001:288:2416::254
2001:288:2418::254
各校IPV6網段對照表
校名
網段(起始)
網段(終點)
和平國小
2001:288:2422::1
2001:288:2422:0000:ffff:ffff:ffff 2001:288:2422::254
八斗國小
2001:288:2423::1
2001:288:2423:0000:ffff:ffff:ffff 2001:288:2423::254
中正國小
2001:288:2424::1
2001:288:2424:0000:ffff:ffff:ffff 2001:288:2424::254
中興國小
2001:288:2425::1
2001:288:2425:0000:ffff:ffff:ffff 2001:288:2425::254
仁愛國小
2001:288:2426::1
2001:288:2426:0000:ffff:ffff:ffff 2001:288:2426::254
信義國小
2001:288:2427::1
2001:288:2427:0000:ffff:ffff:ffff 2001:288:2427::254
尚智國小
2001:288:2428::1
2001:288:2428:0000:ffff:ffff:ffff 2001:288:2428::254
西定國小
2001:288:2429::1
2001:288:2429:0000:ffff:ffff:ffff 2001:288:2429::254
中山國小
2001:288:2430::1
2001:288:2430:0000:ffff:ffff:ffff 2001:288:2430::254
港西國小
2001:288:2431::1
2001:288:2431:0000:ffff:ffff:ffff 2001:288:2431::254
德和國小
2001:288:2433::1
2001:288:2433:ffff:ffff:ffff:ffff
中正國中
2001:288:2434::1
2001:288:2434:0000:ffff:ffff:ffff 2001:288:2434::254
Default Gateway
2001:288:2433::254
各校IPV6網段對照表
校名
網段(起始)
網段(終點)
南榮國中
2001:288:2435::1
2001:288:2435:0000:ffff:ffff:ffff 2001:288:2435::254
成功國中
2001:288:2436::1
2001:288:2436:0000:ffff:ffff:ffff 2001:288:2436::254
大德分校
2001:288:2437::1
2001:288:2437:0000:ffff:ffff:ffff 2001:288:2437::254
銘傳國中
2001:288:2439::1
2001:288:2439:0000:ffff:ffff:ffff 2001:288:2439::254
太平國小
2001:288:2440::1
2001:288:2440:0000:ffff:ffff:ffff 2001:288:2440::254
八堵國小
2001:288:2441::1
2001:288:2441:0000:ffff:ffff:ffff 2001:288:2441::254
暖暖國小
2001:288:2442::1
2001:288:2442:0000:ffff:ffff:ffff 2001:288:2442::254
暖江國小
2001:288:2443::1
2001:288:2443:0000:ffff:ffff:ffff 2001:288:2443::254
碇內國小
2001:288:2444::1
2001:288:2444:0000:ffff:ffff:ffff 2001:288:2444::254
碇內國中
2001:288:2445::1
2001:288:2445:0000:ffff:ffff:ffff 2001:288:2445::254
暖暖中學
2001:288:2446::1
2001:288:2446:0000:ffff:ffff:ffff 2001:288:2446::254
五堵國小
2001:288:2447::1
2001:288:2447:0000:ffff:ffff:ffff 2001:288:2447::254
Default Gateway
各校IPV6網段對照表
校名
網段(起始)
網段(終點)
百福國中
2001:288:2448::1
2001:288:2448:0000:ffff:ffff:ffff 2001:288:2448::254
復興國小
2001:288:2449::1
2001:288:2449:0000:ffff:ffff:ffff 2001:288:2449::254
東信國小
2001:288:2450::1
2001:288:2450:0000:ffff:ffff:ffff 2001:288:2450::254
深澳國小
2001:288:2451::1
2001:288:2451:0000:ffff:ffff:ffff 2001:288:2451::254
月眉國小
2001:288:2452::1
2001:288:2452:0000:ffff:ffff:ffff 2001:288:2452::254
東光國小
2001:288:2453::1
2001:288:2453:0000:ffff:ffff:ffff 2001:288:2453::254
信義國中
2001:288:2454::1
2001:288:2454:0000:ffff:ffff:ffff 2001:288:2454::254
七堵國小
2001:288:2456::1
2001:288:2456:0000:ffff:ffff:ffff 2001:288:2456::254
明德國中
2001:288:2457::1
2001:288:2457:0000:ffff:ffff:ffff 2001:288:2457::254
武崙國中
2001:288:2459::1
2001:288:2459:0000:ffff:ffff:ffff 2001:288:2459::254
深美國小
2001:288:2461::1
2001:288:2461:0000:ffff:ffff:ffff 2001:288:2461::254
華興國小
2001:288:2462::1
2001:288:2462:0000:ffff:ffff:ffff 2001:288:2462::254
Default Gateway
各校IPV6網段對照表
校名
網段(起始)
網段(終點)
瑪陵國小
2001:288:2464::1
2001:288:2464:0000:ffff:ffff:ffff 2001:288:2464::254
成功國小
2001:288:2465::1
2001:288:2465:0000:ffff:ffff:ffff 2001:288:2465::254
安樂國小
2001:288:2467::1
2001:288:2467:0000:ffff:ffff:ffff 2001:288:2467::254
南榮國小
2001:288:2468::1
2001:288:2468:0000:ffff:ffff:ffff 2001:288:2468::254
中山中學
2001:288:2469::1
2001:288:2469:0000:ffff:ffff:ffff 2001:288:2469::254
中和國小
2001:288:2470::1
2001:288:2470:0000:ffff:ffff:ffff 2001:288:2470::254
長興國小
2001:288:2471::1
2001:288:2471:0000:ffff:ffff:ffff 2001:288:2471::254
中華國小
2001:288:2472::1
2001:288:2472:0000:ffff:ffff:ffff 2001:288:2472::254
堵南國小
2001:288:2473::1
2001:288:2473:0000:ffff:ffff:ffff 2001:288:2473::254
仙洞國小
2001:288:2474::1
2001:288:2474:0000:ffff:ffff:ffff 2001:288:2474::254
過港幼
2001:288:2478::1
2001:288:2478:0000:ffff:ffff:ffff 2001:288:2478::254
建德幼
2001:288:2479::1
2001:288:2479:0000:ffff:ffff:ffff 2001:288:2479::254
聖心小學
2001:288:2484::1
2001:288:2484:0000:ffff:ffff:ffff 2001:288:2484::254
Default Gateway
各校IPV6網段對照表
校名
網段(起始)
網段(終點)
聖心高中
2001:288:2432::1
2001:288:2432:0000:ffff:ffff:ffff 2001:288:2432::254
基隆女中
2001:288:2438::1
2001:288:2438:0000:ffff:ffff:ffff 2001:288:2438::254
培德高工
2001:288:2455::1
2001:288:2455:0000:ffff:ffff:ffff 2001:288:2455::254
基隆商工
2001:288:2458::1
2001:288:2458:0000:ffff:ffff:ffff 2001:288:2458::254
崇右學院
2001:288:2460::1
2001:288:2460:0000:ffff:ffff:ffff 2001:288:2460::254
經國學院
2001:288:2463::1
2001:288:2463:0000:ffff:ffff:ffff 2001:288:2463::254
特教學校
2001:288:2466::1
2001:288:2466:0000:ffff:ffff:ffff 2001:288:2466::254
光隆家商
2001:288:2475::1
2001:288:2475:0000:ffff:ffff:ffff 2001:288:2475::254
二信高中
2001:288:2476::1
2001:288:2476:0000:ffff:ffff:ffff 2001:288:2476::254
基隆高中
2001:288:2480::1
2001:288:2480:0000:ffff:ffff:ffff 2001:288:2480::254
中華商海
2001:288:2481::1
2001:288:2481:0000:ffff:ffff:ffff 2001:288:2481::254
瑞芳高工
2001:288:2483::1
2001:288:2483:0000:ffff:ffff:ffff 2001:288:2483::254
Default Gateway
高中職大專院校為「預設」。如各校有意願執行IPV6網路環境，請逕洽網路中心。
IPV6環境下單機的設定
• Win7部份
毋須設定。Win7完整支援IPV6。
• WinXP部份
於命令提示列下輸入：ipv6 install
• 檢測方式(於提示字元下)：
ping ::1（相當於IPV4的ping 127.0.0.1)
回覆自::1: time<1ms
回覆自::1: time<1ms
控制台 → 網際網路選項 → 區域網路連線。
IPV6位址設定成「自動取得」，DNS伺服器位址設定成：
慣用：2001:288:2400:2::1000（210.240.1.1)。
其它： 2001:4860:4860::8888（Google public DNS）
若學校DNS有支援IPV6，亦可將該IPV6設定在慣用或其它DNS伺服器中。
• 檢測方式
ipconfig
看到fe80:字樣，就代表這台電腦的IPV6已經被啟用了。
IPV4和IPV6可以用時並存。不過如果是IPV4不夠用的話，純綷使用IPV6
就可以了!
• 檢測網站
http://6check.kl.edu.tw
• IPV6登錄網站 http://v6directory.twnic.net.tw
IPV6相關技術網站
•
•
•
•
http://ipv6day.tw/ - 台灣IPV6日活動網站
http://www.ipv6.org.tw – IPV6計畫入口網站
http://www.rd.ipv6.org.tw/ - IPV6技術入口網
http://map.twnic.net.tw/ipv6class/ IPV6教育訓練課程
IPV6環境下伺服器的設定
• FreeBSD
ee /etc/rc.conf # 加入下三行
ipv6_enable="YES"
ipv6_ifconfig_bge0="2001:288:2400:2::1000"
ipv6_defaultrouter="2001:288:2400:2::1"
其中bge0是網卡名，每台Server都不一樣。
2001:288:2400:2::1000為網卡IP
2001:288:2400:2::1為派發IPV6的Router IP。
每所學校的IPV6位址段與Router均不同。
存檔後重啟網路 -> /etc/netstart
若重啟網路後仍無啟用IPV6，則重開機。
IPV6環境下伺服器的設定
• Linux(以CentOS為例)
安裝CentOS時，IPV6就可勾選成「Enable IPV6 Support」。
IPV6環境下伺服器的設定
• Linux(以CentOS為例)
輸入指令查看核心是否支援：
modprobe -c | grep ipv6
如果出現alias net-pf-10 ipv6字樣就正確了。
/etc/sysconfig/network要加入：
NETWORKING_IPV6=YES
IPV6_DEFAULTGW=2001:288:2400:2::1
/etc/sysconfig/network-scripts/ifcfg-eth0要加入：
IPV6INIT=yes
IPV6ADDR=2001:288:2400:2::1000
設定完成後存檔，重啟網路 ->
/etc/init.d/network restart
IPV6環境下伺服器的設定
• Server的IPV6，建議要設成固定，不要設定
成自動取得。通常會設定成整個網段的第一
台(如果只有一台)，這樣子比較好記，如：
210.240.32.193 -> 2001:288:2440::1
210.240.32.194 -> 2001:288:2440::2
• 在設定IPV6之前，如果Server本身有Firewall，
建議先將FireWall關閉。設定成功後要重新
編譯核心與設定，讓Firewall認得IPV6再啟動。
否則Server會被自身的Firewall擋住而出不去!
IPV6與DNS(以Bind9.x為例)
• Bind自4.9.5與8.1版之後，就支援IPV6的
AAAA記錄，9版之後，更支援IPV6的進階設
定。建議更新Bind版本至9系列的最新版本，
增加相容性並減少安全性顧慮。
• 檢查Bind版本的指令：named -v
• Bind重要的設定檔：
named.conf (/etc/namedb/ 之下，FreeSD)
正解析檔、反解析檔(檔名可在named.conf
定義)
IPV6與DNS(以Bind9.x為例)
• FreeBSD安裝過程中會自行安裝Bind9.X版。
網管人員在安裝完成後可自行設定Bind9啟
動IPV6。
• 如果覺得升級Bind9有難度，除非版本相差
太多，維持預設版本亦可。
IPV6與DNS(以Bind9.x為例)
• Bind官網
官網會詳列目前最新版的Bind
IPV6與DNS(以Bind9.x為例)
• named.conf設定
加入：
listen-on-v6 {
any;
};
加入：（以太平國小2001:288:2440::/64網段為
例)
zone "0.4.4.2.8.8.2.0.1.0.0.2.IP6.ARPA" {
type master;
file "/etc/namedb/0.4.4.2.8.8.2.0.1.0.0.2.rev";
以太平國小為例。其餘學校亦同。
IPV6與DNS(以Bind9.x為例)
• IPV6正反解檔的設定：
正解檔，加入：
ms1 IN AAAA 2001:288:2440::1
空格以TAB鍵區隔。
以太平國小為例。其餘學校亦同。
IPV6與DNS(以Bind9.x為例)
• IPV6反解檔的設定：
反解檔(0.4.4.2.8.8.2.0.1.0.0.2.rev)，加
入：
$TTL 3600
@
IN
SOA ms1.tpps.kl.edu.tw. root.ms1.tpps.kl.edu.tw. (
20100928
3600
900
604800
3600 )
0.4.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
IN NS ms1.tpps.kl.edu.tw.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
IN
PTR
ms1.tpps.kl.edu.tw.
空格以TAB鍵區隔。
以太平國小為例。其餘學校亦同。
IPV6與DNS(以Bind9.x為例)
IPV6 IP與反解檔表示法
• 2001:0288:2440::/64 (網域)
• 0.4.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
• 2001:0288:2440:0000:0000:0000:0000:0001(Server IP6 IP)
• 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.4.2.8.8.2.0.1.0.0.2.ip6.
arpa.
以太平國小為例。其餘學校亦同。
IPV6與DNS(以Bind9.x為例)
• IPV6反解檔的設定：
反解檔(0.4.4.2.8.8.2.0.1.0.0.2.rev)，如下圖：
設定完成後重啟Bind9.x：
killall named
/usr/sbin/named –c /etc/namedb/named.conf
以太平國小為例。其餘學校亦同。
IPV6與DNS(以Bind9.x為例)
• 修改/etc/resolv.conf（以FreeBSD為例)
加入
nameserver 2001:288:2440::1
nameserver 2001:288:2::1000
存檔。重啟網路 -> /etc/netstart
*若重啟網路後測試不成功，則重開機。
以太平國小為例。其餘學校亦同。
檢查Bind9.x的設定是否成功
• dig @ipv6 domain name
Ex：dig@2001:288:2440::1 ms1.tpps.kl.edu.tw
出現如圖紅色
框線標示，即
代表正解析成
功。
以太平國小為例。其餘學校亦同。
檢查Bind9.x的設定是否成功
• nslookup IPV6 IP
如果出現如上圖中的.ip6.arpa name = ms1.tpps.kl.edu.tw. 字樣，即表示
IPV6的反解析設定成功。
以太平國小為例。其餘學校亦同。
IPV6、IPV4反解檔比較
• IPV4
193.32.240.210.in-addr.arpa. IN
193.32.240.210.in-addr.arpa. IN
NS ms1.tpps.kl.edu.tw.
PTR ms1.tpps.kl.edu.tw.
• IPV6
0.4.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
IN NS ms1.tpps.kl.edu.tw.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
IN
PTR
ms1.tpps.kl.edu.tw.
IPV4的反解受限於 1/4 個ClassC的規範，網路中心的DNS
必需做對映，而學校端DNS也要做相應設定；
IPV6的反解不受傳統規範，所以直接在學校的DNS設定
即可。
以太平國小為例。其餘學校亦同。
Bind9.9.X版的安裝與設定
• 先更新port tree
如果首次使用，請修改/etc/portsnap.conf
將 SERVERNAME=portsnap.FreeBSD.org
改成SERVERNAME=portsnap.tw.FreeBSD.org
存檔。
• 執行portsnap
cd /usr/ports
portsnap fetch extract
日後再更新只要執行 portsnap fetch update
• 安裝Bind9.9.X
cd /usr/ports/dns/bind99
make install clean
將上列的Replace base Bind with the version與
IPV6 Support以空白鍵選取。按下Enter安裝 。
• 設定/etc/rc.conf
ee /etc/rc.conf
加入：
named_enable="YES"
named_program="/usr/sbin/named"
named_flags="-c /etc/namedb/named.conf“
存檔。
Bind9的設定 – named.conf
• ee /etc/namedb/named.conf
在約28-30行處，加入：
listen-on-v6 {
any;
};
如下：
以中正國小為例。其餘學校亦同。
在約270行之後，定義正反解設定檔：
zone "ccps.kl.edu.tw"{
type master;
file "/etc/namedb/ccps.kl.edu.tw.fwd";
};
zone "129.19.240.210.in-addr.arpa"{
type master;
file "/etc/namedb/210.240.19.129.rev";
};
網域(ccps.kl.edu.tw)。正解
檔名為ccps.kl.edu.tw.fwd。
位於/etc/namedb/
210.240.19.129 – 253網段
。反解檔名
210.240.19.129.rev 位於
/etc/namedb/
zone "4.2.4.2.8.8.2.0.1.0.0.2.IP6.ARPA" {
type master;
file "/etc/namedb/4.2.4.2.8.8.2.0.1.0.0.2.rev";
};
IPV6解反網段。反解檔名
4.2.4.2.8.8.2.0.1.0.0.2.rev。
位於/etc/namedb/
以中正國小為例。其餘學校亦同。
Bind9的設定 – 正解析檔
正解析檔表示法：
IN
NS
機器名 IN
A
機器名 IN
AAAA
別名
IN
CNAME
xxxx.xxxx.kl.edu.tw
IPV4 IP
IPV6 IP
xxxx.xxxx.kl.edu.tw
-> 整個網段的DNS析解由該機負責
-> 指定該機的IPV4 IP
-> 指定該機的IPV6 IP
-> 指該該機的別名
以中正國小為例。其餘學校亦同。
Bind9的設定 – 反解析檔 V4
反解析檔表示法：
IN
NS
IPV4 IP IN
PTR
IPV4 IP IN
PTR
xxxx.xxxx.kl.edu.tw
hostname
hostname(別名)
-> 整個網路的反解由該機負責
-> 指定該機的IP對應的hostname
-> 指定該機的IP對應的別名
以中正國小為例。其餘學校亦同。
Bind9的設定 – 反解析檔 V6
反解析檔表示法：
4.2.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.2.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
IPV6 IP網段
本機IPV6反解
IN
IN
NS
PTR
IN
IN
NS
PTR
ms1.ccps.kl.edu.tw.
ms1.ccps.kl.edu.tw.
hostname -> 整個網路的IPV6反解由該機負責
hostname -> 定義本機的IPV6反解
以中正國小為例。其餘學校亦同。
IPV6與DNS(以Bind9.x為例)
IPV6 IP與反解檔表示法
• 2001:0288:2424::/64 (網域)
• 4.2.4.2.8.8.2.0.1.0.0.2.ip6.arpa.
• 2001:0288:2424:0000:0000:0000:0000:0001(Server IP6 IP)
• 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.2.4.2.8.8.2.0.1.0.0.2.ip6.
arpa.
以中正國小為例。其餘學校亦同。
• 確認設定檔已修改完成，存檔。
• 啟動Bind9 ->
/usr/sbin/named –c /etc/namdb/named.conf
• 檢測DNS設定是否正確的指令?
nslook
dig
檢測DNS設定是否正確 - nslookup
目前本市的IPV6仍無法
在Google DNS反解成
功，原因待查。比較可
能是教育部電算中心的
問題。
V4的反解均正常，除非
學校的DNS掛點了。
檢測DNS設定是否正確 - dig
dig常用的指令：
• dig 網域名
# 查詢網域紀錄
• dig 網域名 ns # 查詢網域的ns record
• dig -x IP
# 查詢IP的反解
• dig @IP 網域名 ns
#透過IP(外部DNS)查詢網域的ns record
示例如下：
• dig 網域名 ns
• dig -x IP
• dig @IP 網域名 ns
Bind9的設定 - rndc
• Bind自9.x版開始，結合rndc (remote name
daemon control)，使系統管理者可透過rndc
自遠端或本機控制Bind9，而且過程加密，
大幅增加Bind9的安全性。
• 產生rndc.key
/usr/sbin/rndc-confgen -a
• 產生 rndc.conf
rndc-confgen > /etc/namedb/rndc.conf
• rndc.key與rndc.conf 的內容如下：
# Start of rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "D58C0SR/T4pmftibqS+uuQ==";
};
options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#
algorithm hmac-md5;
#
secret "D58C0SR/T4pmftibqS+uuQ==";
# };
#
# controls {
#
inet 127.0.0.1 port 953
#
allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
key "rndc-key" {
algorithm hmac-md5;
secret "uElnhj/V5oGhUm1udfHcoQ==";
};
將上列secret “”中間的字串複製下來，取代二
rndc.conf中sercret””的部份。存檔。
‧修改過後的rndc.conf 如下：
# Start of rndc.conf
key "rndc-key" {
algorithm hmac-md5;
secret "uElnhj/V5oGhUm1udfHcoQ==";
};
options {
default-key "rndc-key";
default-server 127.0.0.1;
default-port 953;
};
# End of rndc.conf
# Use with the following in named.conf, adjusting the allow list as needed:
# key "rndc-key" {
#
algorithm hmac-md5;
#
secret “uElnhj/V5oGhUm1udfHcoQ==";
將紅色字部份複製，貼到
# };
/etc/namedb/named.conf最
#
末行，存檔。
# controls {
#
inet 127.0.0.1 port 953
#
allow { 127.0.0.1; } keys { "rndc-key"; };
# };
# End of named.conf
• 啟動Bind9.9.x
/usr/sbin/named –c /etc/namedb/namedb.conf
• 檢查rndc是否已和Bind9.9.x整合：
1. sockstat grep|953
2. ee /var/log/messages
出現如上圖127.0.0.1:953字樣，即代表整合
成功。
IPV6與Firewall
• 謹以FreeBSD內建的IPFW為例。
• 自FreeBSD8.x起，IPFW已完整支援IPV6，如
果是之前的版本，需要編譯核心。
• 編輯核心：
1. cd /usr/src/sys/i386/conf
新核心的名稱，我習慣用
2. cp GENERIC 20120606
編譯核心的日期為檔名。
3. ee 20120606
4. 檢查是否有options INET6，若無則加入。
5. 加入下列並存檔。
options IPV6FIREWALL
options IPV6FIREWALL_VERBOSE
options IPV6FIREWALL_VERBOSE_LIMIT=100
options IPV6FIREWALL_DEFAULT_TO_ACCEPT
6. cd /usr/src
make buildkernel KERNCONF= 20120606
make installkernel KERNCONF= 20120606
安裝過程視伺服器硬體等級，可能要花
一段時間。
7. 編輯完核心後清除暫存檔：
rm -rf /usr/obj/usr/src/sys/20120606
8. 重新開機：
sync;sync;sync;reboot
IPV6與Firewall
• ee /etc/rc.conf
加入下列並存檔：
firewall_enable="YES"
IPFW的規則(rules)檔。
firewall_type="OPEN"
firewall_script="/etc/rc.firewall“
部份舊版本可能要加入：
ipv6_firewall_enable="YES"
ipv6_firewall_script="/etc/rc.firewall6"
ipv6_firewall_type="OPEN”
IPV6與Firewall
• IPFW的規則(主要分為三部份)
基本
Ipfw add
動作
紀錄
允許：allow | pass | permit|accept log
拒絕：deny | drop
*可以不
檢查狀態：check-stat
加
選擇
協定：udp | tcp
| icmp
B. C. D. E. F. G. H.
B. 設定來源及目的(from src to dst)，如：
from any to me #從任何地方連到本機
C. 埠號。如：80、22、21、443….
D.符合流入/流出的封包：in | out
E.經由哪張網卡：via 卡號，如：via bge0
IPV6與Firewall
F. setup：用來定義TCP封包的request
seession
G. 限定來源和目的使用相同的協定：
keep-state:防火牆自動記憶雙方的協定
established:保持連線狀態，封包同一標誌
H. 限制符合此規則的連線數量：
limit {src-addr | src-port | dst-addr | dst-port}
# keep-state 與 limit 不能共同使用。
IPFW規則示例
檔案位置：/etc/rc.firewall
# 需求：
1. 開放讓他人ping本機(含IPV6)。
2. 開放DNS、FTP、Mail、WWW、SSH port讓
他人連入，但限制連線數。
3. 不讓他人透過本機的80、443 port發送資料
出去。
4. 阻擋輕度的DDOS(分散阻斷式攻擊)。
A
B
C
D
E
#!/bin/sh
ipfw -q -f flush
if="bge0"
ipfw add allow icmp from any to any via $if
ipfw add allow icmp6 from any to any via $if
ipfw add allow tcp from any to any 25 via $if setup
ipfw add allow tcp from any to any 110 via $if setup
ipfw add allow tcp from any to any 143 via $if setup
ipfw add allow tcp from any to any 993 via $if setup
ipfw add allow tcp from any to any 995 via $if setup
ipfw add allow tcp from any to any 21 via $if setup limit src-addr 30
ipfw add allow tcp from any to any established
ipfw add allow tcp from any to any 10050-10080
ipfw add allow tcp from any to any 22 via $if setup limit src-addr 5
ipfw add allow tcp from any to me 80 in via $if setup limit src-addr 50
ipfw add allow tcp from any to me 443 in via $if setup limit src-addr 50
ipfw add allow tcp from any to me6 80 in via $if setup limit src-addr 50
ipfw add allow tcp from any to me6 443 in via $if setup limit src-addr 50
ipfw add allow log tcp from any to me 8080 in via $if setup limit src-addr 20
• 說明：
A1. 執行以下的Script前先清空之前的規則。
2.定義網路卡。
B. 允許他人ping本機(含IPV6)。
C. 開啟Mail Service所需要的通訊埠。
D1. 開啟21 port對外通連，最大連線數為30
2. 已開啟的tcp連線，予以保持。
3. 允許的tcp port rang 10050-10080(配合ftp
支援passive mode，ftp亦需同樣設定)
注：此處的最大連線數指的是同時連上本機的數量。
E1.開啟22 port對外通連，同最大連線數為5
2.允許他人連本機的80、443 port，最大連
線數為50。IPV6部份亦同。
3.開啟8080 port對外通連，同最大連線數
為20。
注：此處的最大連線數指的是同時連上本機的數量。
F
G
H
I
J
K
L
ipfw add allow tcp from any to 210.240.1.1 53 out via $if setup keep-state
ipfw add allow udp from any to 210.240.1.1 53 out via $if keep-state
ipfw add allow udp from any to tock.stdtime.gov.tw 123 out via $if keep-state
ipfw add allow tcp from me to any out via $if setup keep-state uid root
ipfw add allow ip6 from me6 to any proto udp dst-port 53 keep-state
ipfw add allow ip6 from me6 to any proto udp src-port 53 keep-state
ipfw add allow ip6 from any to me6 proto udp dst-port 53 keep-state
ipfw add allow ip6 from any to me6 proto udp src-port 53 keep-state
ipfw add deny log tcp from me 80 to any out via $if
ipfw add deny log tcp from me6 80 to any out via $if
ipfw add deny log tcp from any to any in tcpflags syn,fin
ipfw add deny log all from any to any
‧說明：
F. 允許存取DNS，此處的DNS IP需與
/etc/resolv.conf中設定的一致。
G. 允許本機對tock.stdtime.gov.tw執行
ntpdate(校時)，開啟udp 123 port
H.開放本機的make install與cvsup等系統功
能給root操作。
I. 開啟本機IPV6 DNS解析的功能。
J. 不允許他人透過本機的80 port 對外連結
(含IPV6)。
# 這是避免本機遭XSS或BotNet入侵後成為
跳板，攻擊其它機器的手段之一。
K. 防止輕量的DDOS攻擊。
L. 除上述的設定外，其餘的通訊埠一律不
開啟。
# 本例完整檔路徑，如有需要可自行運用。
• 設定完成後存檔。
• 載入防火牆規則(rc.firewall)
sh /etc/rc.firewall
• 防火牆規則重新載入後，因安全理由，本
來的ssh(遠端)會被強制離線，為避免因設定
規則錯誤而造成無法遠端連入控管，設定
防火牆規則時，網管人員與本機的距離愈
近愈好!
Web Server IPV6設定
• 修改本來Apache設定
Apache自2.2.X版起已完整支援IPV6，在
FreeBSD、Linux上只要修改httpd.conf即可。
• 安裝新版本
如果Server上的版本太舊，只得重新安裝。
• Win32 版本
早期的Win32的Apache均不支援IPV6，如
XAMP、Appserver…，需下載更新套件，或
重新安裝。
Web Server IPV6設定 – 修改
• 以FreeBSD下的Apache2.2.x為例，Linux亦同。
ee /usr/lcoal/etc/apache22/httpd.conf
在約40-41行，Listen 80之下，加入：
Listen [IPV6 IP]:80。
存檔後重新啟動Apache ->
/usr/local/etc/rc.d/apache22 restart 即可
• 注意，IPV6 IP即本機的IPV6 IP，如：
2001:288:2424::1
Web Server IPV6設定 – 修改
• Virtual Host部份
ee /usr/lcoal/etc/apache22/extra/httpdvhost.conf
在約19行，Listen NameVirtualHost *:80修改：
NameVirtualHost ipv4 ip:80
NameVirtualHost [ipv6 ip]80
如：
NameVirtualHost 210.240.1.231:80
NameVirtualHost [2001:288:2400:2::231]80
Web Server IPV6設定 – 修改
在約27行，修改<VirtualHost *:80>的*為IPV4
IP
如：<VirtualHost 210.240.1.231:80>
之後再將<VirtualHost>與</VirtualHost>整段
複製，VirtualHost IPV4 IP:80之後貼上，將其
中IPV4改成IPV6，
如： <VirtualHost [2001:288:2400:2::231]:80>
存檔後重新啟動Apache ->
/usr/local/etc/rc.d/apache22 restart 即可
Web Server IPV6設定 – 修改
• 於瀏覽器測試Apache的IPV6是否設定成功：
http://[IPV6 IP]
如：
Web Server IPV6設定 – 安裝
• 以FreeBSD下的
Apache2.2.x+MySQL5.1.x+PHP5.4.x 為例。
先更新port tree
• 安裝Apache2.2.x
cd /usr/ports/www/apache22
make install FORCE_PKG_REGISTER="yes"
加上FORCE_PKG_REGISTER=“yes”參數是因為
強制安裝與Apache與有相依性的新套件，
覆蓋掉舊有的(既存的)套件。
出現上列安裝選單時，請檢查
IPV6 Enable IPv6 support是否被選取。
(如紅框)。
確定後按下Enter繼續安裝。
出現左列安裝
選單時，通常
直接按Enter維
持預設值安裝
即可。
請注意紅色框
部份IPV6 是否
有選取，預設
是選取的，如
果沒有，請移
動上下鍵至其
上，按空白鍵
選取。
出現左列安裝
選單時，通常
直接按Enter維
持預設值安裝
即可。
• 安裝完畢後將apache22_enable=“YES” 加入
/etc/rc.conf 中
echo 'apache22_enable="YES"' >> /etc/rc.conf
• 安裝MySQL5.1.x
cd /usr/ports/database/mysql51-server
make WITH_CHARSET=utf8
WITH_XCHARSET=all install
安裝完畢後將mysql_enable=“YES“ 加入
/etc/rc.conf 中
echo “mysql_enable=“YES“' >> /etc/rc.conf
• 修改MySQL root的密碼
/usr/local/etc/rc.d/mysql-server start
/usr/local/bin/mysqladmin -u root password ‘xx’
• 安裝PHP5.4.x
cd /usr/ports/lang/php5
make install FORCE_PKG_REGISTER="yes“
切記上圖中APACHE與IPV6(紅框線部份)要選取。
確認後按Enter繼續安裝。
• 安裝PHP5-extension
cd /usr/ports/lang/php5-extension
make install FORCE_PKG_REGISTER="yes“
要選取的項目：BCMATH、BZ2、CALENNDAR、CURL、EXIF、
FTP、GD、GETTEXT、MBSTRING、MYSQL、MYSQLI、ODBC、
OPENSSL、PDF、SNMP、ZIP、ZLIB
PHP5-extension套件安裝選單
PHP5-extension套件安裝選單
• 修改htpd.conf
ee /usr/local/etc/apache22/httpd.conf
195行 -> 移除Indexes
217行 -> 在index.html之後加入
index.htm index.php
360-361行 -> 加入
AddType application/x-httpd-php .php
AddType application/x-httpd-php-source .phps
存檔。
• IPV6部份的設定同p.48
常見的問與答
• Q1：如果在Server上設定IPV6的IP，如：
2001:288:2434::1，其它的PC設定自動取得
IP，會不會出現IP衝突?
A：不會。IPV6透過RA機制派送IP時，會根
據網路卡的MAC相應，不會與已固定的
prefixlen方式衝突。
常見的問與答
• Q2：學校的Server是早期的I-Chip，如何支
援IPV6?
A：建議詢問I-Chip廠商，查詢是否支援。
如果不支援，建議將學校網站代管至教育
網路中心。
常見的問與答
• Q3：我如何知道學校的Layer2 Switch有支援
IPV6?
A：最簡單的辦法是上網輸入該Switch的型
號查詢。再者以設定好的電腦(建議以Win7
作業系統的NoteBook)，循P23的作法設定好，
直接連結網路線至該Switch，測試網路是否
通暢，並點擊http://6check.kl.edu.tw，看看
是否能顯示彩色圖即知。
常見的問與答
• Q4：學校的Server是否一定要安裝FireWall?
我對複雜的規則一點把握也沒有!
A：比較省事的方法是電洽網路中心林燈亮
老師，將貴校Server的IP放入中心的硬體防
火牆保護內。但切記，不是放進保護層中
就不會被攻擊，如果是校內電腦中BotNet，
一樣有可能將學校的Server打掛!
常見的問與答
• Q5：網路中心介紹的似乎以FreeBSD為主，
我對純英文字界面的OS完全無法下手，該
如何是好?
A：最方便的作法是將貴校的網站直接託管
到網路中心，貴校仍需承擔更新網站和備
份之責(雖說網路中心會進行備份)；不然就
請自行搬運Server至網路中心，請網路中心
協助架設FreeBSD Server，日後網路中心可
遠端支援，但管理之責仍在學校。
常見的問與答
• Q6：我學校有數台Server，是否每一部均需
支援IPV6?
A：理想的境界是每一台Server均支援IPV6。
如果實在無法達成，至少DNS與WEB Server
要支援IPV4/V6 Dural Stack。
常見的問與答
• Q7：本校的Switch為早期的Summit 200，它
是否支援IPV6?
A：如果還記得Summit 200的帳/密，可以登
入將其reset成純Layer 2模式，如此「應該」
可以支援IPV6。
若實在不知如何設定，請先洽教育網路
中心，詢問是否有設定好的備品，先將備
品帶回學校，換下學校的Summit 200，再將
換下的Summit 200帶回網路中心(一台換一
台)
常見的問與答
• Q8：網路中心介紹的似乎以FreeBSD為主，
我對純英文字界面的OS完全無法下手，該
如何是好?
A：最方便的作法是將貴校的網站直接託管
到網路中心，貴校仍需承擔更新網站和備
份之責(雖說網路中心會進行備份)；不然就
請自行搬運Server至網路中心，請網路中心
同仁協助架設FreeBSD Server，日後網路中
心可遠端支援，但管理之責仍在學校。
常見的問與答
• Q9：請問學校網站代管的流程?
A：如果有需要的學校，請mail給王言俊老
師([email protected])，王老師會回傳一份
「網站代管服務申請與回覆單」，請填寫
完後回傳(FAX)給王老師。王老師建好相關
帳號/密碼後會將回覆單的部份填好，回傳
給資訊組長。至於網站代管的技術，將於8
月底辦理學校網站代管研習，請注意公告。
總結
• 請各校於5-6月份研習結束後，於
http://6check.kl.edu.tw登錄。
• 若實在無法自行設定學校的Server，使成為支
援IPV6的DNS與Web Server，請參加8-9月份學
校網站代管研習，將學校的網站代管。
• 10月31日前，各校需完成DNS與Web Server全
面支援IPV6，如果無法完成，網路中心將用導
向的方式，將尚未完成支援IPV6的學校網站導
至一個IPV6的網頁，屆時學校的DNS會無法使
用，而且部份網站的功能可能會受影響。