Alexandr Zaitsev писал(а):
sergiusk
А про что Вам было бы интересно услышать?
День добрый.
Тестируем внедрение ipv6 для абонентов.
Выбрали схему vlan peer user.
Хотелось бы увидеть(услышать) какие инструменты есть у D-Link.
У нас на доступе DES-3200(A1,B1,C1) и DGS-3000-(10L,20L,28L)
все коммутаторы в кольцах RSTP, где-то 4шт, а где-то есть и 10-15 шт.
Агрегация DGS-3000-28SС, DGS-3120-24SC
Вот поймал не приятный момент на DGS-3620-28TC
есть один влан 404 в нем BGP бордер и 2 DNS сервера.
у них ip из одной сети /64
bgp - XX::404:1/64
ns1 - XX::404:801/64
ns2 - XX::404:802/64
заметил что когда кто-то из мира сканирует сети на предмет активных узвол
(я вот сам смог это повторить map -n -6 -sP -T5 XX::1404:814/64 + nmap -n -6 -sP -T5 XX::D404:814/64 )
растет нагрузка на CPU DGS-3620-28TC
Вложение:
2021-10-03_232309.png [ 80.76 KiB | Просмотров: 15829 ]
в 404 влане вижу от bgp-бордера много вот таких пакетов
Код:
23:20:21.376279 IP6 fe80::3efd:feff:fe9f:a770 > ff02::1:ff00:c01: ICMP6, neighbor solicitation, who has XX::c01, length 32
23:20:21.873569 IP6 fe80::3efd:feff:fe9f:a770 > ff02::1:ff00:c21: ICMP6, neighbor solicitation, who has XX::c21, length 32
23:20:22.394477 IP6 fe80::3efd:feff:fe9f:a770 > ff02::1:ff00:c01: ICMP6, neighbor solicitation, who has XX::c01, length 32
23:20:22.874477 IP6 fe80::3efd:feff:fe9f:a770 > ff02::1:ff00:c21: ICMP6, neighbor solicitation, who has XX::c21, length 32
23:20:23.418475 IP6 fe80::3efd:feff:fe9f:a770 > ff02::1:ff00:c01: ICMP6, neighbor solicitation, who has XX::c01, length 32
Вопрос - правильно я понимаю это же мультикаст и потому он попадает на CPU DGS-3620-28TC ?
При ipv4 такого не замечал наверное потому, что в этом считве сети маленькие (/29, /24) и скан с ARP, Request who-has сильно не разгонится.
Так вот мне стало страшно. если 1000 юзерам которые каждый с воем влане выдать /64 и на них пойдет массовый скан, это что у меня все свитчи в цепочке начнут рассылать такой мультикаст (ну - да) в 1000 вланах и что будет с их CPU
Ну собственно вопрос к Длинку где бы почитать что свитчи(какие выше написал) умеют , чем смогут помочь при ipv6. Какие рекомендации.
например :
IMPB Global Settings - если включат то как правильно при dual stack ipv4+ipv6.
MLD Snooping Settings - что это, оно нужно или нет и как настроить. (IPTV через multicast у нас нет IGMP Snooping State - disable)
сейчас при ipv4 я на всех свитчих прописываю Multicast Filter Mode filter_unregistered_group - как быть при ipv6
Спасибо.