La procedura di attivazione dell'accesso IPV6 da parte del GARR deve essere effettuata per ciascuna sede dall'APM, ed è descritta in questa presentazione. In questa pagina riassumiamo brevememente i punti della procedura, e descriviamo i problemi di configurazione incontrati più frequentemente.

Il GARR ha già assegnato a ciascuna sezione e gruppo INFN una rete IPv6 /48, ricavata a partire dall'unico prefisso 2001:760:4200::/40.
L'elenco completo delle reti assegnate è disponibile qui.

Raccomandiamo alle sedi che preferiscono per ora non procedere con l'attivazione di IPV6:

• di mettere in sicurezza la propria rete locale contro la creazione di tunnel IPV6 non desiderati seguendo questa raccomandazione
• di non attivare lo stack IPv6 sui server DNS delle sezioni che non hanno IPv6 attivo (verrebbero in quel caso inutilmente tentate connessioni ai server DNS IPv6 attivi)

1. L'APM deve inviare una richiesta di attivazione al NOC GARR all'indirizzo noc@garr.it. Il NOC assegna una rete IPV6 punto-punto (/126) per il collegamento con il router di frontiera, ed una rete IPV6 utente (/48) e risponde indicando:
   • Indirizzo sulla punto-punto
   • Spazio di indirizzamento utente
   • PoP di attestazione
   Viene quindi concordata con l'APM la data di attivazione del servizio.
2. Per attivare il servizio, va configurato l'accesso sul router di frontiera. Il GARR supporta due modalità di accesso:
   1. IPv6 nativo
   (preferibile)
   2. Tunnel IPV6 su IPV4
   Ecco due esempi di configurazione per Cisco e Juniper per il collegamento nativo:

   Cisco IOS	Juniper JunOS
   1 ipv6 unicast-routing 2 interface FastEthernet0/0 3 description Link dual-stack verso GARR 4 ip address 192.168.1.2 255.255.255.252 5 ipv6 address 2001:760::2/126 6 ipv6 nd suppress-ra 7 exit 8 ipv6 route ::/0 2001:760::1 9 interface FastEthernet0/1 10 description Link verso LAN utente 11 ipv6 address 2001:760:42XY::1/64 12 exit	1 [edit interfaces fe-0/1/1 unit 0] 2 family inet { 3 address 192.168.1.2/30; 4 } 5 family inet6 { 6 address 2001:760::2/126; 7 } 8 [edit interfaces fe-0/1/2 unit 0] 9 family inet6 { 10 address 2001:760:42XY::1/64; 11 } 12 prefix 2001:760:42XY::/64 { 13 no-autonomous; 14 } 15 [edit routing-options] 16 rib inet6.0 { 17 static { 18 route ::/0 next-hop 2001:760::1; 19 } 20 } 21 [edit]

   Nota: in versioni vecchie di JunOS la configurazione dei router advertisement (prefix nell'esempio sopra) non compare nella configurazione dell'interfaccia, ma va inserita in protocols->router-advertisement->interface XX/ZZ->prefix.
3. Attribuire un indirizzo IPV6 ai DNS primari e secondari scelti per il servizio di risoluzione inversa (Su Linux: ip -6 addr add 2001:760:42XY::WW dev ethZZ.).
4. Configurare i due server DNS (primario e secondario). Diamo qui le indicazioni per BIND, supponendo di intervenire su server già funzionanti per IPV4:
   • Aggiungere in named.conf:
     Per il server primario:

     zone "Y.X.2.4.0.6.7.0.1.0.0.2.ip6.arpa" {
             type master;
             file "pri/rev/ipv6";
             allow-query { any; };
     };
     

     
     Per il server secondario:

     zone "Y.X.2.4.0.6.7.0.1.0.0.2.ip6.arpa" {
             type slave;
             file "slaves/rev/Y.X.2.4.0.6.7.0.1.0.0.2.ip6.arpa.";
             masters { indirizzo.v4.o.v6.server.primario; };
     };
     

     
     Questo è un esempio di zona reverse (pri/rev/ipv6 nella configurazione sopra) per una classe /48 IPV6:

     
     @ IN    SOA     Y.X.2.4.0.6.7.0.1.0.0.2.ip6.arpa.       troubles.mi.infn.it.  (
                             12              ; serial
                             86400           ; refresh every 24 hours
                             7200            ; retry every  2 hour
                             2592000         ; expire in    30 days
                             86400 )         ; minimum
     
     ;###############################################################################
     ;    Authoritative name server for this domain
     ;###############################################################################
     
             IN      NS      dsmicc.mi.infn.it.
             IN      NS      secdns.mi.infn.it.
     
     ;###############################################################################
     
     $ORIGIN Y.X.2.4.0.6.7.0.1.0.0.2.ip6.arpa.
     1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0  IN      PTR     asinfnmi-gw.mi.infn.it.
     2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0  IN      PTR     dsmicc.mi.infn.it.
     

     La dimensione degli indirizzi rende la sintassi un po' barocca, ma per il momento ce la teniamo.
   
   
   • Aggiungere a named.conf, nella sezione options:

            listen-on-v6 { any; };
            

     Oppure al posto di any l'indirizzo dove volete bindare il server DNS, es:

            listen-on-v6 { 2001:760:42XY:1:0:0:0:2; };
            

5. Verificare i seguenti elementi nella configurazione dei server DNS:
   • Se nell'area chrooted dove gira named non è già montato /proc bisogna montarcelo, o almeno fare in modo che /proc/net/if_inet6 risulti leggibile da parte di named, e lo metta in grado di scoprire quale interfaccia parla l'indirizzo IPv6 configurato.
   • Assicurarsi che non ci siano filtri attivi in ip6tables che impediscono l'accesso dall'esterno alle porte del DNS.
   • Se nella confgiurazione del server DNS sono presenti delle ACL, va aggiunta la configurazione corrispondente per IPv6, ricordandosi che anche le macchine che non hanno indirizzo IPv6 pubblico ma hanno lo stack IPv6 attivo inizieranno a comunicare via IPv6, utilizzando l'indirizzo link-local, dunque alla ACL va aggiunto il prefisso link-local: (fe80::/10;). Per BIND 9 e successivi va aggiunto anche il prefisso link-local vincolato a ciascuna interfaccia dalla quale possono pervenire richieste: (ad es: fe80::%eth0/10;).
6. Comunicare gli indirizzi dei due server DNS configurati per la risoluzione inversa a dns-staff@garr.it