Ipv6 El

IPv6 EL KTABI
V2.1 Nisan 2012
[IPv6 El Kitab, Ulusal IPv6 Protokol Altyaps Tasarm ve Geii Projesi kapsamnda hazrlanm olup, IPv6ya gei aamasnda IPv6 protokol, gei yntemleri ve yaplandrmas konularnda ihtiya duyulabilecek temel bilgileri barndrmaktadr.]
HAZIRLAYANLAR
Alfabetik Sra le
BEYHAN KAAN ALIKAN TBTAK ULAKBM EMRE YCE TBTAK ULAKBM GKHAN ERYOL TBTAK ULAKBM LKNUR GRCAN TBTAK ULAKBM MURAT SOYSAL TBTAK ULAKBM NEE KAPTAN KO TBTAK ULAKBM ONUR BEKTA TBTAK ULAKBM
IPv6 El Kitab, Creative Commons Attribution-NonCommercial-ShareAlike 3.0 lisans veya seiminize gre daha gncel srmlerine gre kullanlabilir.
NDEKLER
HAZIRLAYANLAR ....................................................................................................................3 NDEKLER ...........................................................................................................................5 Blm 1: IPv6 Temelleri ve Yaplandrmas ............................................................................1 IPv6 Nedir? .........................................................................................................................1 Trkiye'de IPv6 ile ilgili Yrtlen almalar .......................................................................4 IPv6 Adres Mimarisi ............................................................................................................6 IPv6 Adres Tipleri ................................................................................................................7 IPv6 Balk Yaps ...............................................................................................................11 ICMPv6 .............................................................................................................................15 Komu Kefi (Neighbor Discovery) .....................................................................................18 Temel IPv6 Yaplandrmas ................................................................................................19 Durum Denetimsiz Otomatik Adres Yaplandrmas........................................................21 Durum Denetimli Otomatik Adres Yaplandrmas: .........................................................22 Cisco Ynlendirici Otomatik Adres Yaplandrma rnekleri: ...........................................23 BSD ve Linux Ynlendiricileri Otomatik Adres Yaplandrma rnekleri ...........................25 Statik Adres Yaplandrma rnekleri ..............................................................................26 DNS stemci Yaplandrmas ...........................................................................................27 Ynlendirme Protokolleri ..................................................................................................28 Cisco IOS........................................................................................................................29 QUAGGA (Linux/Unix letim Sistemleri iin) ..................................................................30 Blm 2: Temel Servislerin IPv6 Geii ...............................................................................31 Alan Ad Servisi - DNS ........................................................................................................31 DNS Sunucu Yaplandrmas ...........................................................................................31 Web Servisi .......................................................................................................................32 E-Posta Servisi ...................................................................................................................34 FTP Servisi .........................................................................................................................34 SSH ve Secure FTP Servisi ..................................................................................................35 TCP_WRAPPER Destei .....................................................................................................36
Blm 3: leri Seviye IPv6 zellikleri ....................................................................................37 Dolalabilirlik (MIPv6) ......................................................................................................37 Bileenleri......................................................................................................................38 alma Yaps ................................................................................................................38 MIPv6 Uygulamas .........................................................................................................39 MIPv6 Bileenleri Ayarlar ..............................................................................................40 oklu Gnderim ................................................................................................................44 IPv6 oklu Gnderim Adreslemesi .................................................................................44 oklu Gnderim Dinleyici Protokol (Multicast Listener Discovery, MLD) ......................44 Servis Modelleri .............................................................................................................45 Ynlendirme ..................................................................................................................45 IPsec .................................................................................................................................46 IPv6 Alarnda IPsec Kullanm .......................................................................................47 Blm 4: IPv6 Gei Yntemleri ...........................................................................................50 kili Yn Gei Yntemi ....................................................................................................50 kili Yn Bileenleri .......................................................................................................52 kili Yn Yaplandrmas ................................................................................................52 6to4 Gei Yntemi (Tnelleme) .......................................................................................54 6to4 Yntemi Bileenleri................................................................................................55 6to4 Yaplandrmas .......................................................................................................59 Teredo Gei Yntemi (Tnelleme) ...................................................................................61 Teredo Yntemi Bileenleri ............................................................................................62 Teredo letiim rnekleri ...............................................................................................63 Teredo Yaplandrmas ...................................................................................................64 TRT (Transport Relay Translator) Gei Yntemi (eviri) ....................................................67 TRT A Yaps .................................................................................................................68 Faithd Yaplandrmas ....................................................................................................68 NAT64/DNS64 Yntemi (eviri) .........................................................................................69 DNS64 DNS ALG .............................................................................................................70 NAT64 IP evirici ...........................................................................................................72 Karlalan Problemler ..................................................................................................73
Blm 5: Gvenlik Duvar ve IPv6 ........................................................................................74 Gvenlik Duvar (Firewall) Nedir? ......................................................................................74 IPv6 Gvenlik Duvar Yaplandrlmas................................................................................76 Uzant Balklar.................................................................................................................77 Snr Ynlendirici Filtre nerileri ........................................................................................78 Gvenlik Duvar Kurallar nerisi ...................................................................................78 ICMPv6 Filtresi ..............................................................................................................79 rnek Yaplandrmalar ......................................................................................................80 IPv6 Adres Filtreleme.....................................................................................................80 Multicast Filtreleme ......................................................................................................80 Linux Gvenlik Duvar Betii ..........................................................................................81 BSD Gvenlik Duvar Betii ............................................................................................84 Cisco IOS........................................................................................................................84 Blm 6: A Trafii Analizi ...................................................................................................85 MRTG ile Hat Kullanm Grafiklerinin Elde Edilmesi .............................................................85 Ynlendirici SNMP Ayarlar ............................................................................................85 NfSen ile Ynlendirici Ak zi (Flow) ncelenmesi ..............................................................90 Netflow Ak zlerinin Oluturulmas ve Sunucuya Ynlendirilmesi .................................91 Netflow Kaytlarnn Saklanmas ve Analizi in NfSen kurulumu ....................................92 NfSen ile Analiz ..............................................................................................................96 Kaynaklar: ..........................................................................................................................101
BLM 1: IPV6 TEMELLER VE YAPILANDIRMASI

IPv6 Nedir?
1990'l yllarn balarndan itibaren nternet'in hzla genilemesi, eklenen u says ve eitliliinde gzlenen art nedeniyle, nternet protokol srm 4 (IPv4)n nternet'e balanacak cihazlarn adreslemesi iin yetersiz kalaca ve yeni bir adresleme sistemine geiin zorunlu olaca vurgulanmaya balanmtr. Bu kapsamdaki almalar IETF (Internet Engineering Task Force) nderliinde balam ve yeni protokoln IPng (Internet Protocol next generation) veya nternet protokol srm 6 (IPv6) olarak adlandrlmas kararlatrlmtr. Yeni nternet protokolnn standartlar 1998 yl sonunda yaynlanan RFC 2460 belgesinde tanmlanmtr. IPv4n 32-bitlik adres yaps teorik olarak 4 milyardan fazla (232=4.294.967.296) kullanlabilir adres sunmaktadr. Ancak pratikte verimsiz adres atama mekanizmalarndan dolay etkin adres says bu sayya hibir zaman ulaamamaktadr. IPv4 adres aralnn byk bir ksm u anda kullanlmakta olup, kalan adreslerin de ksa sre iinde tkenmesi beklenmektedir. IPv4 adres aral 256 tane /8 byklnde birincil tahsis aralna blnmtr. Dnyadaki IP adreslerinin datm koordinasyonu ile grevli merci olan Internet Assigned Numbers Authority (IANA), 3 ubat 2011 tarihinde elinde kalan son 5 adet birincil tahsis araln Avrupa, Kuzey Amerika, Latin Amerika, Afrika ve Asyadaki blgesel IP adresi datm yetkililerine (Regional Internet Registries) paylatrmtr. 2011 ylnn Eyll ayna kadar en az bir blgesel datm yetkilisinin elindeki IPv4 adreslerinin tkenmesi beklenmektedir. 128-bitlik bir adres yapsna sahip olan IPv6 ise teorik olarak 340 trilyondan fazla (2128=340.282.366.920.938.463.463.374.607.431.768.211.456) nternet adresi sunmaktadr. Bylece gelecekte herhangi bir adres sknts yaanmasn nleyebilecek kadar by k bir adres aral salanmaktadr. IPv4n Eksiklikleri IPv4 ile ilgili yaynlanan RFC 791 dokman 1981 ylnda yaynlanm ve gnmze kadar pek fazla deimemitir. Kolay uygulanabilmesi ve baka protokollerle birlikte alabilmesi, IPv4 popler klm ve nternetin yaygnlamasnda byk rol oynamtr. IPv4 tasarlanrken gnmzde ortaya kan baz ihtiyalar ngrlemedii iin, bugn IPv4 kullanm baz kstlamalar getirmektedir. IPv4n zellikle yetersiz kald alanlar unlardr: nternetin her geen gn artan bir hzla bymesi ve nternete bal cihaz saysnn artmas nedeniyle IPv4 adres uzay yetersiz kalmtr. Bu sknty amak iin pek ok kurum A Adresi evirimi (Network Address Translation - NAT) gibi adres dntrc mekanizmalar kullanmay semitir. Utan uca adresleme
TBTAK ULAKBM, 2012 Sayfa 1 / 100
IPv6 El Kitab
salayamayan IPv4, nternet zerinden sunulan servis eitliliinin artmas ve baz servislerin NAT arkasndaki kullanclara ulatrlmasnda yaanan iletim zorluklar gibi nedenlerle ihtiyalar karlamakta yetersiz kalmtr. IPv4 adres uzay hiyerarik adresleme yaplmasna olanak salayamamtr. Bu durum ynlendirici cihazlarnn ynlendirme tablolarnn bymesine yol amtr. Son yllarda nternet ortamnda verinin gizliliinin ve btnlnn korunabilmesi iin IP seviyesinde gvenlik gereksinimi artmtr. IPv6 iin gelitirilen ancak daha sonra IPv4 iin de uyarlanan IPsec standardnn kullanm ile gvenlik altyaps salanabilmektedir. Ancak zellikle NAT kullanlan IPv4 alarnda, bu standardn kullanm sorunlara sebep olmaktadr. IPv4 adres yaplandrmas statik olarak veya Dinamik stemci Kontrol Protokol (DHCP) kullanarak yaplabilmektedir. Ancak IP adresleri gereksiniminin artmas nedeniyle yeni bir otomatik yaplandrma yntemi gelitirilmesine ihtiya duyulmutur. Gerek zamanl veri aktarmnda, IPv4 paket balnda bulunan Servis Tipi (Type of Service) TOS alan kullanlarak belli bir servis kalitesi (Quality of Service) salanabilmektedir. Ancak TOS alan kullanm kstldr ve ifreli aktarmlarda sorun yaratmaktadr.
IPv6nn Avantajlar IPv6da IPv4n gl ynleri korunarak, gnmz alarnn deien gereksinimlerini karlamak amacyla pek ok yenilik getirilmitir. nternet ann her geen gn daha ok kullancy kapsamasyla, ynlendirici trafii ve ynlendirilecek paket says artmtr. Bu nedenle gnmzde veri ileme hz nem kazanmtr. Bir baka deyile ynlendirmenin veya anahtarlamann yapld noktalarda veri paketlerinin doru ve hzl bir ekilde ynlendirilmesi byk nem tamaktadr. nternet kullanmnn yaygnlamas ve servis eitliliinin artmas ile birlikte IPv4te yaanan sorunlar gidermeyi amalayan IPv6nn yeni zellikleri aada ksaca aklanmtr. Geniletilmi adres alan: IPv6nn en nemli zelliklerinden biri 128 bitlik adres uzunluu ile IPv4e gre daha byk bir adres alan sunmasdr. IPv6daki bu geni adres alan, hiyerarik adresleme yaplmasna olanak salayarak, ynlendirme tablolar boyutlarnn klmesini salayacaktr. u anda IPv6 adres aralnn ok kk bir yzdesi iin kullanm alan tanmlanarak tahsis edilmek zere ayrlmtr. Bu sayede gelecekteki kullanm iin yeterince adres mevcuttur. Geni adres aralnn sunduu bir dier avantaj ise utan uca adresleme yaplabilmesidir. NAT gibi kullanm durumunda pek ok iletim zorluunu beraberinde getiren adres dntrc mekanizmalara olan ihtiya, IPv6 kullanm ile ortadan kalkmaktadr. Yeni Gvenlik zellikleri: IPv6 gvenlik konusunda da baz stnlklere sahiptir. ncelikle nternet Protokol Gvenlii (Internet Protocol Security - IPsec) destei IPv6da btnleik olarak gelmektedir. Bu btnleme ile servislerin daha sorunsuz ve etkin almas salanmaktadr. IPv6nn gvenlik
IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 2 / 100
konusundaki bir dier stnl, gvenlik iin tanmlanm ek balklar ile yetkilendirme ve ifreleme yaplabilmesidir. Ayrca IPv6da ara dmlerde paketlerin paralanmadan aktarlmas, yeni balk yaps ile a zerinde paketlerin izlenmesinin kolaylamas gibi gvenlik btnln salayan yeni zellikler de mevcuttur. Sadeletirilmi Balk Yaps: IPv6 paketleri ynlendiriciler tarafndan daha hzl ilenebilmelerine olanak salayan sabit uzunlukta yeni bir balk yapsna sahiptir. IPv4 balndaki gereksiz baz alanlar atlm, bazlar ise istee bal kullanm iin uzant balklar ksmna kaydrlmtr. IPv6 paketlerinin balk yaps ilerideki blmlerde ayrntl olarak ilenmektedir. Gelimi Servis Kalitesi zellikleri: nternet Protokol, doas gerei farkl uygulamalarn hepsini en iyi aba ( best effort) yaklam ile fark gzetmeksizin ele alr. Bu durum, utan uca gecikme veya paket kayplar gibi parametrelere kar duyarl olan trafik iin problemlere yol aabilmektedir. Bu problemlerin stesinden gelmek iin IPv4te farkl Servis Kalitesi (QoS) teknikleri kullanlmaktadr. IPv6 balnda bulunan yeni alanlar trafiin daha iyi tanmlanmas ve buna gre nceliklendirilmesine olanak salar. Bu nceliklendirme paket balndaki bilgilere gre yapld iin, paketin ieriinin ifrelenmi olmas nceliklendirmeyi etkilememektedir. Otomatik Adres Yaplandrlmas: Otomatik adres yaplandrlmas IPv6'nn getirmi olduu nemli yeniliklerdendir. IPv6, a zerinde adres atama sunucusu olmakszn, aa bal arabirimlerin adres edinmelerine olanak tanr. Bu zelliin temelinde adaki ynlendiricilerin gerekli adres nekini anons etmeleri ve istemcilerin de bu bloa 64 bitlik bir deer ekleyerek kendi adreslerini oluturmalar yatar. Bu ekilde oluturulan adreslerin kullanlmadan nce tekillik testinden (Duplicate Address Detection Mechanism) geirilmesi gerekir. Dmler bakalar tarafndan kullanlmadna kanaat getirdikleri adresi kullanma alabilir. Dolalabilirlik: Dolalabilirlik, bir istemcinin farkl alardan gerek ev adresi ile balant yapabilmesidir. IPv4te dolalabilirlik destei sorunlu olmakla birlikte mevcuttur. IPv6da ise sorunsuz almaktadr. Geniletilebilirlik: IPv6da zorunlu balk alannn dnda bulunan ve istee bal kullanlabilen uzant balklar blm, ileride ihtiya duyulabilecek yeni zellikler iin kullanlabilir. Komu Dmlerle Etkileim in Yeni Protokol: IPv6 Alarnda ayn balant zerindeki komu dmlerin etkileimini ynetmek iin yeni bir protokol olan Komu Kefi (Neighbor Discovery) Protokol kullanlr. Bu protokol, Internet
Control Message Protocol for IPv6 (ICMPv6) mesajlarn kullanlr. Bu mesajlar IPv4te bulunan Address Resolution Protocol (ARP), ICMPv4 Router Discovery ve ICMPv4 Redirect mesajlarnn yerini alr. ICMPv6 ayrca ynlendirme ve IP paketlerinin datm esnasnda ortaya kan hatalar ve dier temel durumlarn raporlanmasnda da kullanlr.
Trkiye'de IPv6 ile ilgili Yrtlen almalar

Trkiye'de IPv6 kullanmnn yaygnlatrlmas ile ilgili almalar Ulusal Akademik A ULAKNET'in ynetiminden ve iletiminden sorumlu TBTAK ULAKBM tarafndan srdrlmektedir. Bu kapsamdaki almalara 2003 yl banda Avrupa blgesel IP adresi datm yetkilisi kurumdan 2001:a98::/32 IPv6 adres aralnn temin edilmesi ile balamtr. Mays 2003 tarihinde Avrupa Akademik A zerinden kresel IPv6 balants salanm olup, ULAKBM'in sunduu DNS, FTP, SMTP gibi servisler IPv6 zerinden eriilebilir duruma getirilmitir. Bu gelimelere paralel olarak IPv6 adres aral alan niversite ve aratrma kurumlarnn da ikili yn yntemi ile ULAK6NET olarak adlandrlan ULAKNETin IPv6 omurgasna dhil edilmesi salanmtr. Trkiyede IPv6 bilgi birikimine katk salamak amacyla, 2007 ylnda Bilgi Teknolojileri ve letiim Kurumu (BTK) koordinasyonuyla IPv6 Forum Trkiye kurulmu ve 2010 ylnda kresel IPv6 forumuna yelik gerekletirilmitir. IPv6 Forum Trkiye bnyesinde, niversitelerden, kamu kurumlarndan ve servis salayclardan katlmclar ile ekonomi, eitim, ynetim ve teknik ierikli alma gruplar oluturulmutur. 2008 ubat aynda Trkiyede IPv6 protokol ile ilgili ARGE faaliyetlerinde bulunmak, bilgi birikimi oluturmak ve Trkiyenin IPv6 geiini planlamak amacyla Ulusal IPv6 Protokol Altyaps Tasarm ve Geii Projesi balatlmtr. 24 ay sren proje kapsamnda farkl IPv6 gei yntemleri analiz edilmi, farkl tipteki organizasyonlar iin en uygun gei yntemini tespit edebilmek iin bir karar destek sistemi tasarlanm, gei admlar planlanarak karlalmas muhtemel yne tim ve gvenlik problemlerine ynelik zm nerileri gelitirilmitir. Proje kapsamnda tm kamu ve nternet Servis Salayc kurumlara IPv6 geii konusunda anket almas yaplmtr. Ankette kurumlara teknik personel, IPv6 destekli ve desteksiz cihaz saylar, IPv6 desteklemeyen cihazlarn deitirilme maliyeti ve tahmini yenilenme zaman lar konularnda sorular yneltilmitir. Ayrca proje kapsamnda IPv6 zelliklerinin test edilmesi ve gvenlik asndan incelenmesi iin bir IPv6 test yata (IPv6-GO) ve IPv6 balants olmayan nternet Servis Salayc kurumlarn kresel IPv6 ana balanabilmesi iin IPv6 Trafik Deiim Noktas (IPv6-DN) kurulmutur. Trkiyeden 30 nternet Servis Salayc, blgesel IPv6 tahsis kurumu RIPEtan IPv6 adreslerini almlardr. ubat 2011 itibariyle sadece 5 nternet Servis Salaycnn IPv6 adresleri, kresel IPv6 ynlendirme tablolarnda yer almakta olup, 3 nternet Servis Salayc kresel IPv6 ana ULAKNET IPv6-DN zerinden baldr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 4 / 100
Proje kapsamnda oluturulan "Kamu Kurum ve Kurulular iin IPv6ya Gei Plan, 8 Aralk 2010 tarihli ve 27779 sayl Resmi Gazete de yaynlanan Babakanlk Genelgesi ile duyurulmutur. Sz konusu plan uyarnca kamu kurum ve kurulularnn IPv6ya geiinin, aadaki takvim dorultusunda gerekletirilmesi planlanmaktadr:
ekil 1: Kamu Kurum ve Kurulular iin IPv6ya Gei Plan Aamalar
1. Aama (1 Ocak 2011 - 31 Austos 2012): 1.1. Kamu kurum ve kurulular 31 Mart 2011 tarihine kadar aada belirtilen unsurlarn IPv6 desteinin olup olmad konusunda bir envanter karma almas yapacaktr; nc seviye anahtarlama cihazlar, Ynlendirici cihazlar, Gvenlik cihazlar, nternet zerinden darya verilen hizmetler ve bu hizmetlerin verilmesini salayan yazlmlar. 1.2. lgili yazlm veya donanmn faydal kullanm mrleri gz nnde bulundurularak IPv6 destei bulunmayan unsurlarn yenilenmesi iin plan yaplacak ve satn alnmas ngrlen mal veya hizmetlerin finansman bte almalarna dhil edilecektir. 1.3. Kamu kurum ve kurulular en ge 31 Austos 2012 tarihi itibariyle IPv6 adresi ve IPv6 balantlarn temin etmi olacaklardr. 1.4. 31 Austos 2012den sonra IPv6y desteklemeyen hibir a donanm ve yazlmna yatrm yaplmayacaktr. 1.5. Kamu kurum ve kurulular, bilgi ilem personelinin IPv6ya gei ve IPv6 destekli hizmetlerin verilebilmesi konusunda eitim ihtiyalarn belirleyeceklerdir. Gerekli eitimler 1 Mart 2012 tarihine kadar tamamlanacaktr. 1.6. Kamu kurum ve kurulular, eitim ihtiyalarn cret mukabilinde Trk iye Bilimsel ve Teknolojik Aratrma Kurumu - Ulusal Akademik A ve Bilgi Merkezi (ULAKBM) bnyesinde oluturulacak olan IPv6ya Gei Eitimi Merkezinden
karlayabileceklerdir. Bu eitimin ierii ve program ULAKBM tarafndan belirlenecek ve duyurulacaktr. 1.7. lgili eitimin IPv6ya Gei Eitimi Merkezinden alnmad hallerde, eitim alnacak kuruluun bilgisayar alar eitimi hususunda TS EN ISO/IEC 17024 veya ISO/IEC 17024 standardna gre akredite edilmi, personel belgelendirme kuruluu olmas gerekmektedir.
2. Aama (1 Eyll 2012 - 31 Aralk 2012): 2.1. IPv6 balants ve adresi temin eden kamu kurum ve kurulular 31 Aralk 2012 tarihine kadar nternet zerinden verdikleri en az bir adet hizmet i pilot uygulama olarak IPv6 destekli hale getireceklerdir.
3. Aama (1 Ocak 2013 - 31 Austos 2013): 3.1. Kamu kurum ve kurulular en ge 31 Austos 2013 tarihine kadar nternet zerinden verdikleri kamuya ak tm hizmetleri IPv6y destekler hale getireceklerdir.
IPv6 Adres Mimarisi

IPv4de 32 bit olan adres uzunluu daha byk adres aral elde etmek iin IPv6da 128-bit olarak geniletilmitir. 32 bit olan IPv4 adreslerinin gsterimi iin ondalk dzen kullanlmaktadr, ancak 128 bit olan IPv6 adreslerinin gsterimi iin onaltlk dzen tercih edilmitir. Aada bir IPv6 adresi ikilik dzende gsterilmitir:
00100000000000010000110110111000000000000000000000000000000000000000001010 101010000000001111111111111110001010001001110001011010
128 bit olan bu IPv6 adresi ncelikle 16 bit uzunluunda 8 gruba ayrlmt r:
0010000000000001 0000001010101010 0000110110111000 0000000000000000 0000000000000000 0000000011111111 1111111000101000 1001110001011010
Her grup onaltlk say dzenine dntrlm ve IPv6 adresi : ile ayrlan 16 bitlik bloklar halinde yazlmtr:
2001:0DB8:0000:0000:02AA:00FF:FE28:9C5A
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 6 / 100
IPv6 adreslerinin aada listelenen kurallar erevesinde ksaltlmas mmkndr: - Her 16 bitlik blokta solda kalan sfrlar adresten atlabilir:
2001:DB8:0:0:2AA:FF:FE28:9C5A
Tamam sfrdan oluan bloklar fazladan bir adet daha : kullanlarak adresten karlabilir. Ancak :: bir IPv6 Adresinde en fazla 1 kez kullanlabilir. Bu nedenle IPv6 adresinden 1den fazla blok karlabilmesi iin bu bloklarn yan yana olmas zorunludur.
2001:DB8::2AA:FF:FE28:9C5A
IPv6da IPv4ten farkl olarak adres araln belirleyen A, B ve C gibi snflar tanmlanmamtr. IPv6 adresleri iin CIDR (Classless Inter-Domain Routing) gsterimi kullanlmaktadr. Bu gsterimde IPv6 adresinde a adresini belirleyen bit says adres sonunda / iareti kullanlarak verilmektedir. Ynlendirici cihazlar, IPv6 paketlerini ynlendirme ileminde a adresini belirleyen bu bitleri kullanmaktadr.
2001:DB8::2AA:FF:FE28:9C5A /32
IPv6 Adres Tipleri

IPv6 adresleri ynlendirme yntemlerine gre gruba ayrlmaktadr: Tekil Gnderim IPv6 Adresleri: Tekil gnderim adresleri, tek bir a arayzn tanmlamak iin kullanlmaktadr. Bu tip bir adresi hedefinde bulunduran paketler , tek bir arayzne iletilmektedirler. oklu Gnderim (Multicast) Adresleri: Bu tip adresler, farkl arayzlerden oluturulmu bir grubu tanmlamak iin kullanlmaktadr. Hedefi oklu gnderim adresi olan paketler, gruba dhil olan tm arayzlere iletilmektedir. Herhangi Birine Gnderim (Anycast) Adresleri: Herhangi birine gnderim adresleri de oklu gnderim adresleri gibi, farkl arayzlerden oluturulmu bir grubu tanmlamaktadr. Herhangi birine gnderim adresine ynlenmi bir paket , oklu gnderimden farkl olarak sadece grubun en yakndaki yesine iletilir. Bu adres tipleri zellikle yk dalm uygulamalarnda kullanlr. Ayn servisi veren birden fazla sunucu bulunmas durumunda bu sunucular ayn gruba dhil ederek istemcilerin kendilerine en yaknn sunucudan servis almas salanabilir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 7 / 100
IPv6 adresleri biim nek (format prefix) olarak adlandrlan ilk bitlerine gre snflandrlmaktadr. Tablo 1'de farkl IPv6 adres tipleri iin atanan adres aralklar ile ilgili ayrntl bilgi verilmitir. Balang olarak IPv6 adres aralnn yaklak %15lik ksm iin kullanm alan atamas yaplmtr. Geriye kalan adres aralklar ilerideki ihtiyalar dorultusunda kullanlacak olup, atama daha sonra yaplacaktr.
Tablo 1. Atamas Yaplan IPv6 Adres Aralklar
Atama
Biim neki IPv6 Adres Toplam Adres Toplam Adres (kili Deer) aral Aralndaki Aralndaki Oran Yzdesi
0000 0000 001 1111 1100 1111 1110 10 1111 1111 0::/8 2000::/3 FC00::/7 FE80::/10 FF00::/8 1/256 1/8 1/128 1/1024 1/256 %0.39 %12.5 %0.78 %0.10 %0.39
Rezerve edilmi Kresel Tekil Gnderim (Global Unicast) Adresleri Esiz Yerel Tekil Gnderim (Unique Local Unicast) Adresleri Balant Yerel Tekil Gnderim (Link Local Unicast) Adresleri oklu Gnderim (Multicast) Adresleri
Rezerve Edilmi Aralk: Rezerve edilmi durumda olan 0::/8 aral aada aklanan zel IPv6 adresleri iin kullanlmaktadr. Belirsiz Adres (Unspecified Address): 0:0:0:0:0:0:0:0 veya :: eklinde gsterilen ve IPv4teki karl 0.0.0.0 olan adrestir. Belirsiz Adres herhangi bir cihaza verilemez. Bu adres genelde soket balantlarnda kullanlmaktadr. Yerel stemci Adresi ( Loopback Address): 0:0:0:0:0:0:0:1 veya ::1 eklinde gsterilmektedir. Bu adresin IPv4teki karl 127.0.0.1dir. Kayna veya hedefi bu olan adresler gndericiden ayrlamaz. IPv4 Elemli IPv6 Adresleri ( IPv4-Mapped Addresses): ::ffff:0:0/96 aral ierisinde yer alan IPv6 adresleridir. Bu adres aral, IPv4 ve IPv6 paket balklar arasnda RFC 2765 ile tanmlanan SITT (Stateless IP/ICMP Translation) algoritmasn kullanarak dnm salamak iin ayrlmtr. Bu algoritma, sadece IPv6 adresine sahip arayzlerin, sadece IPv4 adresine sahip arayzler ile iletiimini salamak iin kullanlmaktadr. Adres dnmnde kullanlan IPv4 adresinin kresel olarak ynlendirilebilen adresler olmas gerekmektedir. Ancak bu dokmanda yer alan adres dnm rneinde IPv4 adresi olarak 192.168.0.5 kullanlacaktr. Bu IPv4 adresinin 16lk sistemde gsterimi C0A8:0005 eklindedir. Dolaysyla bu adres iin IPv4 elemli IPv6 adresi ::ffff:C0A8:5 olur.
Kresel Tekil Gnderim Adresleri: 001 biim nekine sahip ve arayzlerin kresel balants iin zorunlu olan adreslerdir. Bu adresler IP adresi datm ve koordinasyonu ile grevli merci olan Internet Assigned Numbers Authority (IANA) tarafndan Avrupa, Kuzey Amerika, Latin Amerika, Afrika ve Asya Blgesel IP Adresi Datm Yetkililerine, ihtiya duyan kurumlara tahsis edilmek zere datlmtr. Dolaysyla bu adresler dorudan IP adresi datm yetkilisi olan kurululardan veya hizmet alnan nternet Servis Salaycs kurumdan alnabilir. ekil 2de kresel tekil adresler iin bit dalm verilmitir. Biim neki ve Kresel Ynlendirme neki ksmlarndan oluan ilk blmn bit uzunluu deiebilmektedir. IP datm yetkilisi tarafndan nternet Servis Salayc olmayan kurumlara tahsis edilen bu bitlerin says genellikle 48dir. Bu blm takip eden Alt Aa Tantc blm de deiken olmakla birlikte bu rnek iin 16 bittir. Son blm olan Arabirim Tantcs ise genellikle 64 bitliktir.
001
Kresel Ynlendirme neki n bit
Alt aa Tantc m bit
Arabirim Tantcs 128-m-n bit
ekil 2: Kresel Tekil Gnderim Adres Yaps
Kresel tekil gnderim adresleri arasndan yer alan 2001::/32 adres aral IPv4 ve IPv6 arayzleri arasnda iletiim iin kullanlan zel bir gei mekanizmas olan Teredo Tnelleme yntemi iin ayrlm durumdadr. Bunun yan sra 2002::/16 aral 6to4 gei yntemi iin ayrlmtr. Esiz Yerel Tekil Gnderim Adresleri: lk 7 biti 1111110 eklinde olan ve FC00::/7 aralnda bulunan adreslerdir. ncelikle, ardndan gelen L bitinin deeri 1 olan FD00::/8 alt aral kullanlmaktadr. L bitinin 0a eit olduu adresler henz tanmlanmamtr. L bitinden sonraki 40 bit, algoritma yardmyla retilen Kresel Tantc blmn oluturmaktadr. Bu blm, srasyla 16 bitlik Alt A Tantcs ve 64 bitlik Arabirim Tantcs takip etmektedir (ekil 3). Esiz yerel tekil gnderim a dresleri yerel a trafii iin gelitirilmi olup, kresel olarak ynlendirilmezler. Alt A Tantcs 16 bit Arabirim Tantcs 64 bit
1111110 7 bit
Kresel Tantc 40 bit
ekil 3: Esiz Yerel Tekil Gnderim Adres Yaps
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 9 / 100
Balant Yerel Tekil Gnderim Adresleri: 1111 1110 10 biim nekine sahip ve FE80 ile balayan adreslerdir. Biim nekini takip eden 54 bit 0 olup, onlar takip eden ve arabirim tantcs olan son 64 bit ise arabirimin 48 bitlik donanm adresinin tam ortasna 16 bitlik FFFE deeri eklenerek oluturulur. Balant yerel tekil gnderim adresleri, sadece bir arayz balants zerinde otomatik adres yaplandrlmas veya komu kefi gibi amalar ile kullanlan yerel adreslerdir. 1111111010 10 bit 0 54 bit Arabirim Tantcs 64 bit
ekil 4: Balant Yerel Tekil Gnderim Adres Yaps
oklu Gnderim Adresleri: ff00::/8 IPv6 neki oklu gnderim adresleri iin tahsis edilmitir. ekil 5te bu adreslerin yaps ayrntl olarak verilmitir. 1111111 8 bit Bayrak 4 bit Kapsam 4 bit Grup Tantcs 112 bit
ekil 5: oklu Gnderim Adres Yaps
11111111 olan ilk 8 bit sonrasnda, adresin tipini belirleyen Bayrak ve Kapsam bitleri gelmektedir. Bu bitlerin anlamlar u ekildedir: Bayrak bitleri aadaki deerleri alabilir: 4 bitin ilki ileriki kullanm iin rezerve edilmitir ve 0 deerini almaldr. kinci bit (R) oklu gnderim adresinin iinde gml olarak randevu noktas (Rendezvous point) adresi ierdiini belirtir. nc bitin 1 olmas, oklu gnderim adresinin tekil gnderim neki tabanl oklu gnderim adresi olduunu ve a adresinden tretildiini gstermektedir. nc bitin 1 olmas durumunda 4 bit de 1 olarak set edilir. Drdnc bitin (T) 0 olmas IPv6 oklu gnderim adresinin kalc, 1 olmas ise kalc olmayan, gei iin veya dinamik olarak atanm bir adres olduunu gsterir. Kapsam blmndeki bitlerin deeri = 1 ise adres arayz-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 2 ise adres balant-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 4 ise adres ynetici-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 5 ise adres site-yerel bir adrestir. Kapsam blmndeki bitlerin deeri = 8 ise adres organizasyon-yerel bir adrestir.
IPv6 El Kitab
Baz n tanml oklu gnderim adresleri ise aada verilmitir:

ff01::1 Tm dmler (arayz-yerel) ff01::2 Tm ynlendiriciler (arayz-yerel) ff02::2 Tm ynlendiriciler (balant-yerel) ff05::2 Tm ynlendiriciler (site-yerel)
IPv6 Balk Yaps

IPv6 da, IPv4n hantal olan balk yaps revize edilmi, gereksiz olan ya da grevleri st katmanlara devredilebilen ksmlar karlmtr. IPv6nn daha yaln bu balk yaps ile a cihazlarnn ilem gcnden tasarruf edilmesi amalanmtr. Sabit uzunlua sahip temel bir balk oluturulmu ve gnmz alarnn gereksinimlerini karlamak iin bu balk ierisinde yer alan adres bilgisi ile ilgili ksm geniletilmitir. Ayrca temel bal ile st seviye balklar arasnda yer alan ve IPv6 uzant balklar adn tayan yeni bir blm tanmlanmtr. Bu yeni blm IPv6 ile gelen en nemli zelliklerden biridir. Bu blmde btn cihazlar tarafndan ilenmesine gerek olmayan, paket ile ilgili ek bilgiler tanabilmektedir. Bylece temel balk blmnde sadece gerekli bilgilerin yer almas salanmtr. Bu yeni blmn uzunluu veya ierisinde yer alacak balk says ile ilgili bir kst bulunmamaktadr, bylece yeni balklar tanmlanarak IPv6ya yeni zellikler kazandrlmasna da olanak salanmtr. Balk yaplar incelendiinde, IPv6 ve IPv4 arasndaki farklar daha ak bir ekilde ortaya kmaktadr (ekil 6). Her iki protokolde de bulunan 4 bitlik Srm blm kullanlan protokoln srmn belirtmektedir. Bu blm IPv4 iin 4, IPv6 iin 6 deerini almaktadr. IPv4 veri paketleri 20 ile 60 bayt arasnda deien, IPv6 veri paketleri ise 40 baytlk sabit uzunlukta balk bilgisine sahiptir. Bu nedenle IPv4 balnda bulunan ve adres bilgisinin uzunluunu belirten 4 bitlik Toplam Uzunluk blm IPv6da kaldrlmtr. Sabit uzunluktaki balk, a cihazlarnda balk uzunluunun alglanmas iin harcanan zamandan ve ilem gcnden tasarruf edilmesini salamaktadr. Servis Tipi ve Trafik Snf alanlar her iki balk iin de ayn ileve sahiptir. ncelik atama ve servis kalitesi (Quality of Service) gibi fonksiyonlar iin kullanlmaktadrlar. Ak Etiketi ksm IPv6yla getirilen yeni bir zelliktir. IPv6 da tercihli olarak kullanlabilen bu blmle beraber, gerek zamanl verilerin bu blmdeki etiketlere baklarak hzl bir ekilde ynlendirilmesi ya da MPLS (Multi Protocol Label Switching) gibi alt katmandaki teknolojilerin verimli kullanlmas mmkn olmaktadr. IPv6nn adres balk yapsndaki en nemli deiiklerinden biri de ynlendirici gibi ara elemanlarda paralama (Fragmentation) ve hata kontrol yaplmamasdr. Bu grevler bir st seviyedeki protokol olan TCPye braklmtr. Bu deiiklik sayesinde bu ilevleri yerine getirmekte kullanlan Tantm, Bayraklar, Para Telafisi ve Balk Salama Toplam blmleri IPv6da yer almamaktadr.
IPv6 El Kitab
8 bitlik Yaam Sresi ve Srama Limiti blmleri farkl adlandrlm o lsalar da ayn ilevi grmektedirler. Bu blm bir veri paketinin bilgisayar alar zerinde ne kadar sre kalacana karar vermek iin kullanlmaktadr. Bir dier 8 bitlik adres alan olan Sonraki Balk ise bir st katmanda kullanlacak protokol belirtmektedir. Bu alan ayn zamanda, IPv6ya ek zellikler getirebilen Uzant Balklar (Extension Headers) ksm ile ilgili bilgiler de tayabilmektedir. IPv6n sunduu ek zelliklerden olan ve ihtiya annda tercihe bal olarak kullanlabilecek Uzant Balklar ksm standart IPv6 balk yapsnn dna karlarak, a cihazlarnn paketleri daha hzl ynlendirmesi salanmtr.
ekil 6: IPv4 ve IPv6 Balk Yaps
IPv6 Uzant Balklar IPv6 da paketleri ile ilgili tercihe bal bilgiler, temel balk ile st seviye protokol balklar arasnda yer alan IPv6 uzant balklar blmnde yer almaktadr. Bu uzant balklar temel balk bilgisinden sonra ihtiya duyulduunda kullanlr. Biri hari uzant balklarnn hepsi sadece IPv6 paketi iin hedef olarak belirlenen cihaz tarafndan ilenmektedir. Uzant
balklar blmnde bulunacak balk says ile ilgili bir kstlama yoktur ancak yer alan btn balklar Sonraki Balk Deeri ile tanmlanmaldr. Cihazlar bu deerler sayesinde ilenmesi gereken uzant bal olup olmadn renir, yok ise st protokol bal ile ilgili ilemlere devam eder (ekil 7). Uzant balklar boyut asndan deikenlik gstermektedirler. Eer bir paket iin birden fazla uzant bal kullanlyor ise bu balklarn aadaki srada bulunmas nerilmektedir.
Srama Seenekleri Bal (Hop-by-Hop Options Header)1 Hedef Seenekleri Bal (Destination Options Header)2 Ynlendirme Bal (Routing Header) Paralama Bal (Fragment Header) Dorulama Bal (Authentication header)3 Kapsllenmi Gvenlik Yk Bal (Encapsulating Security Payload Header) 4 Hedef Seenekleri Bal (Destination Options Header) 5 Dolalabilirlik Bal (Mobility Header) st Protokol Bal (Upper-layer Header)
ekil 7: Uzant Balklar
1 2
Pakette yer almas durumunda Srama Seenekleri balnn ilk srada bulunmas zorunludur. IPv6 hedef adresi blmnde bulunan ilk hedef ile ynlendirme balndaki mteakip cihazlar tarafndan ilenecek bilgi iermesi durumunda 3 Bu balklar ile ilgili ek artlar RFC-2406 belgesinde verilmitir 4 Bu balklar ile ilgili ek artlar RFC-2406 belgesinde verilmitir 5 Sadece hedef cihaz tarafndan ilenecek bilgiler iermesi durumunda IPv6 El Kitab TBTAK ULAKBM, 2012 Sayfa 13 / 100
Tanml olan IPv6 uzant balklar, tanml olduklar RFC belgeleri ve bu balklar tanmlayan sonraki balk deerler Tablo 2de verilmitir. Tablo 3te ise st protokoller iin kullanlan sonraki balk deerleri bulunmaktadr.
Tablo 2. IPv6 Ek balklar
Sonraki Balk Deeri

0
Uzant Bal
Sekme Seenekleri Ynlendirme Bal Paralama Bal
Tanm
Paketin yolu boyunca zerinden getii tm cihazlar (kaynak ve hedef de dhil) tarafndan ilenmesi gereken bilgileri barndrr. Paketin izleyecei yol ile ilgili bilgi ierir. Bir kaynak oluturduu paketin ziyaret etmesini istedii bir veya daha fazla saydaki hedef dm ile ilgili bilgileri bu balk ile tanmlayabilir. Bu balk kaynak tarafndan hedefe mevcut paketin asl verinin paralarn ierdii durumlarda kullanlr. IPv4 paket balnda yer alan ancak IPv6 balndan kaldrlan Kimlik Bilgisi ve Para numaras blmlerini barndrr. Gvenlik iin kullanlr. Verinin dorululuu, btnln salamak ve tekrar gnderimini engellemek amacyla kullanlr. Bu balk bazen tek bana, bazen de dorulama bal ile beraber IPv6da gvenlik salamak iin kullanlmaktadr. Tanan verinin ifrelenmi olduunu gsterir. Bu balkla tanmlanan seenekler sadece hedef cihaz tarafndan ilenmektedir. Bu balk dolalabilirlik uygulamasnda balanma tablolarnn oluturulmas iin yaynlanan mesajlarda kullanlr. Bu balk kendisinden sonra herhangi bir ek balk olmadn gsterir.
RFC
2460
43
2460
44
2460
51
Dorulama Bal Kapsllenmi Gvenlik Yk Bal Hedef Seenekleri Dolalabilirlik Bal Sonraki balk yok
2402
50
2406
60 135
2460 3775
59
2460
Tablo 3. st Protokolleri iin tanmlanan sonraki balk deerleri
Sonraki Balk Deeri

6 11 58
st Protokol
TCP UDP ICMP
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 14 / 100
ICMPv6
nternet Kontrol Mesajlama Protokol (Internet Control Message Protocol-ICMP) mesajlar a iletiiminde yaanan sorunlarn, iletiime dhil olan a bileenlerine iletilmesi amacyla kullanlmaktadr. Bir paket hedefine ulatrlamadnda, bir ynlendiricinin kendisine gelen bir paketi ynlendirecek kadar bo kapasitesi olmadnda ya da bir paket iin belirlenen rotadan daha ksa bir rotann varl kefedildiinde ICMP mesajlar ile bu durum bildirilir. Ancak, IPv4 tabanl iletiimde ICMP mesajlarnn snr ynlendiricilerinde engellenmesi s k rastlanan bir uygulamadr. Bunun temel nedeni ICMPnin saldrganlar tarafndan keif aamalarnda kullanlmasdr. ICMPv6 de bu protokoln IPv6 iin uyarlanm halidir. ICMPv6 tm IPv6 dmlerinin iletiimleri iin temel bir protokol olarak tasarlanmtr ve RFC 2463 ile bu dmlerin ICMPv6y eksiksiz desteklemesi zorunluluu ortaya konmutur. IPv6 paketinde st protokol tanmlayan sonraki balk deeri 58 ise, bu paket bir ICMPv6 mesaj tamaktadr. ICMPv6 bilgileri iki blmde tanmaktadr. lk 32 bit balk blmn oluturmaktadr. Bu blmn ilk 8 biti mesajn tipi ile ilgili bilgiyi tar. Eer yksek sral bit 0 ise (0 -127 aras deerler iin) bu bir hata mesajdr. Eer yksek sral bit 1 ise (128-255 aras deerler iin) bu bir bilgi mesajdr. 8 bitlik kod alan ierii mesaj tipine baldr. 16 bitlik salama toplam alan ICMP paketi iin minimum seviyede btnlk dorulamas yapar. Sonraki bitler ise protokol yk iin kullanlmaktadr. ICMPv6 paket yaps ekil 8de verilmitir.
ekil 8: ICMPv6 Paket Yaps
Aada yer alan Tablo 4 ve Tablo 5 de ICMPv6 hata ve bilgi mesajlar tip ve kod deerleri ile birlikte ayrntl olarak yer almaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 15 / 100
Tablo 4. RFC 4443 belgesinde tanmlanan ICMPv6 hata mesajlar
Tip
1 1 1 1 1 1 1 1 1 2 3 3 3 4 4 4 4
Kod
Aklama
Hedef Eriilemez (Destination Unreachable) Hedefe ynlendirme bilgisi yok (no route to destination) Hedef ile iletiim ynetimsel olarak engellenmitir (communication with destination administratively prohibited ) Kaynak adresin kapsam dnda (beyond scope of source address) Adres eriilemez (address unreachable) Port eriilemez (port unreachable) Kaynak adres baarsz giri-k politikas (source address failed ingress/egress policy) Hedef rotas reddedildi (reject route to destination) Ynlendirme balnda hata (Error in Source Routing Header ) Paket ok byk (Packet Too Big) Zaman am (Time Exceeded) Sekme limiti am (hop limit exceeded in transit) Para birletirme zaman am (fragment reassembly time exceeded) Parametre problemi (Parameter Problem) Balk alannda hata (erroneous header field encountered) Tanmlanamayan sonraki balk tipi (unrecognized Next Header type encountered) Tanmlanamayan IPv6 opsiyonu (unrecognized IPv6 option encountered)
0 1 2 3 4 5 6 7 0
0 1
0 1 2
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 16 / 100
Tablo 5. ICMPv6 Bilgi Mesajlar
Tip
128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147
Kod
0 0 0 0 0 0 0 0 0 0
Aklama
Yank stei (Echo Request) Yank Cevab (Echo Reply) oklu Gnderim Dinleyici Sorgusu (Multicast Listener Query ) oklu Gnderim Dinleyici Raporu (Multicast Listener Report) oklu Gnderim Dinleyici Tamam Mesaj (Multicast Listener Done ) Ynlendirici Talep Mesaj (Router Solicitation) Ynlendirici lan Mesaj (Router Advertisement) Komu Talep Mesaj (Neighbor Solicitation) Komu lan Mesaj (Neighbor Advertisement) Yeniden Ynlendirme Mesaj (Redirect Message) Ynlendiricileri Yeniden Numaralandrma (Router Renumbering) ICMP Dm Bilgisi Sorgusu (Query ICMP Node Information) ICMP Dm Bilgisi Cevab (Response ICMP Node Information) Ters Komu Kefi Teklif Mesaj (Inverse Neighbor Discovery Solicitation Message) Ters Komu Kefi lan Mesaj (Inverse Neighbor Discovery Advertisement Message) Srm 2 oklu Gnderim Dinleyici Raporu (Version 2 Multicast Listener Report) Ev Ajan Adres Keif -Talep Mesaj (Home Agent Address Discovery Request Message) Ev Ajan Adres Keif -Cevap Mesaj (Home Agent Address Discovery -Reply Message) Mobil nek Talep Mesaj (Mobile Prefix Solicitation) Mobil nek lan Mesaj (Mobile Prefix Advertisement)
RFC
4443 4443 2710 2710 2710 4861 4861 4861 4861 4861 Crawford 4620 4620 3122 3122 3810 3375 3375 3375 3375
0 0 0 0 0 0 0
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 17 / 100
Komu Kefi (Neighbor Discovery)

Komu kefi protokol, IPv6nn nemli paralarndan birisidir. IPv4de kullanlan ynlendirici kefi (router discovery-RDISC), adres zmleme protokol (address resolution protocolARP) ve ICMP yeniden ynlendirme bileenlerinin grevleri IPv6da komu kefi tarafndan yaplmaktadr. IPv6da dmler ayn ada bulunduklar komularyla Komu Kefi Protokol ile srekli iletiim halinde bulunurlar. Dmler, adaki dier dmlerin balant yerel adreslerinin renilmesi, komularn eriilebilirlik durumlarn tespit edilmesi, a zerindeki ynlendiricileri sorgulamak ve ynlendiricilerden a yaplandrma bilgilerini elde etmek amalaryla Komu Kefi Mesajlarn kullanrlar. Tanmlanm 5 farkl komu kefi mesaj bulunmaktadr. Bu mesajlar ve grevleri aada ksaca aklanmtr. Ynlendirici Talep Mesaj (Router Solicitation - RS): Dmler tarafndan, aa bal ynlendiricileri renmek amacyla kullanlr. Aa bal ynlendiricilerin Ynlendirici lan mesajlarnn periyodik gncelleme zamann beklemeden yollamasn salar. Ynlendirici lan Mesaj (Router Advertisement - RA): Aa bal ynlendiriciler varlklarn duyurmak ve aa balanmak iin gerekli parametreleri bildirmek iin periyodik olarak ya da Ynlendirici Talep Mesajna cevaben Ynlendirici lan Mesaj yaynlarlar. Bu mesaj a neki, MTU bykl, dm tarafndan adres oluturulurken hangi otomatik yaplandrma ynteminin kullanlabilecei, varsaylan a geidi ve geerlilik sresi gibi bilgiler iermektedir. Komu Talep Mesaj (Neighbor Solicitation - RS): Bu mesaj aa bal tm dmler tarafndan dier dmlerin balant katman adreslerinin ( link-layer) bulunmas ve daha nceden iletiim kurulmu ve balant katman adresleri komu tamponuna (neighbor cache) eklenmi komularn eriilebilirliinin kontrol edilmesi amacyla kullanlr. Komu lan (Neighbor Advertisement - NA): Komu Talep mesajna cevap olarak ya da dmde oluan balant katman adresi deiikliinin ilan edilmesi amacyla yaynlanr. Yeniden Ynlendirme (Redirect): Ynlendiriciler tarafndan dmlere yollanr. Mesaj ieriinde belirli bir hedef IPv6 adresi iin daha iyi bir ynlendirme yolunun varl belirtilir.
ekil 9da Komu Kefi protokolnn kullanm konusunda bir rnek verilmitir. Ayn yerel aa bal A, B, C, D dmleri ve bunlarn IP adresleri grlebilmektedir. Aa yeni balanan dm E, arayz tanmlaycs ve a neki yardmyla oluturduu fe80:13aa::90 adresini kullanmak ister. ncelikle bu adresin ada kullanlp kullanlmadn kontrol etmek iin btn dmlerin oklu gnderim adresine komu talep mesaj gnderir (1). Talep mesajn alan dmler eer bu adresi kullanyorlarsa bir ilan mesajyla cevap verirler . ekil 9da A
dm fe80:13aa::90 adresini kulland iin tm dmlere bir ilan mesaj gnderir (2). lan mesajn alan E, adres kullanld iin bu adresi kendi arayzne atayamaz. Bu durumda ya dme sistem yneticisi tarafndan bir adres verilir veya alternatif bir arayz tanmlaycsyla yeni bir adres oluturulup sre tekrar balatlr. Eer talebe belirli bir sre cevap gelmez ise, E dm oluturduu adresi kullanmaya balar.
ekil 9: Komu Kefi rnei
Temel IPv6 Yaplandrmas

IPv6 adreslerinin otomatik tanmlanmas, Durum Denetimli (Stateful) veya Durum Denetimsiz (Stateless) olmak zere iki ekilde yaplabilir. Durum Denetimsiz Otomatik Adres Yaplandrmas, a zerinde bulunan ynlendiricinin aa srekli olarak gnderdii bilgiler aracl ile yaplr. Durum Denetimli Otomatik Adres Yaplandrmas ise, Dinamik stemci Kontrol Protokol srm 6 (DHCPv6) kullanlarak yaplabilir. Otomatik adres tanmlamann yan sra, istemcilere statik olarak IPv6 adreslerinin tanmlanmas da mmkndr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 19 / 100
ekil 10: Ynlendirici lan Mesaj
Otomatik adres yaplandrma iin nemli grev stlenen Ynlendirici lan Mesajnn yaps ekil 10da verilmitir. Mesaj ierisinde bulunan M ve O bitleri (Managed Address Configuration Flag, Other Configuration Flag) istemcilere adres yaplandrmas ve DNS sunucu bilgisi gibi ek parametreleri elde etmek iin durum denetimsiz ve durum denetimli adres yaplandrma yntemlerinden hangisini kullanabilecekleri konusunda bilgi ierir. M ve O bitleri sfr ve bir olmak zere iki farkl deer alabilirler. Bu deerlere gre istemcilere aktarlan bilgi aada verilmitir. Her iki bit iin varsaylan deerler sfrdr. Her iki bitin deeri sfr ise (M =0 ve O=0) stemci adres yaplandrmas iin durum denetimsiz otomatik adres yaplandrma kullanr, ek parametreleri dier yntemler (statik yaplandrma) ile elde eder. M bitinin deeri sfr, O bitinin deeri bir ise ( M =0 ve O=1) 6 stemci adres yaplandrmas iin durum denetimsiz otomatik adres yaplandrma kullanr, ek parametreleri durum denetimli otomatik adres yaplandrma yntemi ile elde eder. M bitinin deeri 1, O bitinin deeri sfr ise (M=1 ve O=0) 7 stemci adres yaplandrmas iin durum denetimli otomatik adres yaplandrma yntemi kullanlr, ek parametreleri dier yntemler (statik yaplandrma) ile elde eder. M=1 ve O=1 ise (DHCPv6 statefull) stemci adres yaplandrmas ve ek parametreleri durum denetimli otomatik adres yaplandrma yntemini kullanarak elde eder.
6 7
Bu durum iin durum denetimsiz DHCPv6 ifadesi de kullanlabilir. Bu durum kullanlmamaktadr. M bitinin deeri 1 ise O bitinin deerinin de 1 olmas beklenmektedir. TBTAK ULAKBM, 2012 Sayfa 20 / 100
IPv6 El Kitab
stemciler, durum denetimsiz otomatik adres yaplandrma ynteminde Ynlendirici lan Mesajlar ile duyurulan a nek bilgisini kendi adreslerini oluturmak iin kullanmadan nce mesaj ierisindeki zerklik bayrann (Autonomous Flag) deerini kontrol ederler. Bu bayrak iin varsaylan deer bir olup, a nek bilgisinin adres yaplandrmas iin kullanlabilecei ni gsterir. Bayrak deeri sfr ise, istemciler ilgili Ynlendirici lan Mesaj"ndaki a nek bilgisini bu ilem iin kullanmaz. zellikle durum denetimli adres yaplandrma yntemi kullanlan alarda, ynlendirci ilan mesajlarndaki bu bayran deeri sfr olarak tanmlanmaldr. Aksi takdirde istemciler hem durum denetimli hem de durum denetimsiz otomatik adres yaplandrma yntemlerinin kullanarak iki farkl kresel IPv6 adresi alrlar.
Durum Denetimsiz Otomatik Adres Yaplandrmas

Durum denetimsiz otomatik adres yaplandrmas RFC 2462 : IPv6 Stateless Address Auto configuration ile tanmlanmtr. Bu yntemde aa balanan dmlerin kullandklar IPv6 adresleri bir sunucu veya otorite tarafndan belirlenmez ve kayt altna alnmaz. Durum Denetimsiz Otomatik Adres yaplandrmasnda istemci ile ynlendirici arasndaki iletiim aadaki gibi gerekleir: stemci kendi balant yerel adresini kullanarak ynlendirici talep mesajn adaki btn ynlendiricileri temsil eden oklu gnderim adres ine iletir. Talep mesajn alan ynlendirici, a katmanndaki yaplandrma parametrelerini ieren ynlendirici ilan mesaj ile cevap verir. Bu bilgiyi alan istemci, kendi arabirim tantcsn ynlendiriciler tarafndan anons edilen nek ile birletirerek Kresel IPv6 adresini oluturur (ekil 11).
Kresel Ynlendirme neki Alt Alan A Tantcs Arabirim Tantcs
48 bit
16 bit
64 bit
ekil 11: Kresel Tekil Adres Yaps
stemci, arabirim tantcsn olutururken 48 bitlik MAC adreslerini kullanr. Arabirim tantcs, dmlerin a arayzlerinin 48 bitlik MAC adreslerinin tam ortasna 0xFF ve 0xFE deerleri eklenerek oluturulur. Ayrca MAC adresinin 7. biti kontrol amacyla evrilir. ekil 12da MAC adresinden a arabirim tantsnn oluturulmas anlatlmaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 21 / 100
ekil 12: MAC Adresinden Arabirim Tantcs Oluturulmas
A zerinde Ynlendirici lan Mesaj anonsu olmamas durumunda, dmler balant yerel adreslerini oluturarak ayn aa bal dier dmlerle iletiim kurabilirler. Durum denetimsiz otomatik adres yaplandrmasnn bu zellii IPv6 alarnda tak -altr ynteminin ilerliini salamaktadr.
Durum Denetimli Otomatik Adres Yaplandrmas:

Durum denetimli otomatik adres yaplandrmasnda, dmler IPv6 adreslerini ve aa balanmak iin gerekli dier parametreleri aa bal bir sunucudan edinirler. Sunucu datt IPv6 adresleri ile ilgili bir veri taban tutarak durum denetimi gerekletirir. Durum denetimli adres yaplandrlmas, Dinamik stemci Kontrol Protokol srm 6 DHCPv6 aracl ile yaplabilir. IPv6 alarnda DHCP kullanlmasn gerektirecek durumlar: A tasarmnda, ynetme, izleme gibi sebeplerle kullanlan adreslerin kontrol edilmesine ihtiya duyulmas, Baz ek yaplandrma bilgilerinin istemcilere ulatrlmas ihtiyac (DNS, SIP, vb.).
DHCP, oklu gnderim adresleri kullanarak, istemcinin DHCP sunucusuna talebini iletmesine ve sunucunun istemciye gerekli a yaplandrma bilgilerini gndermesine olanak salar. DHCP istemcisi ile ayn ada bulunmayan DHCP sunucularna mesajlarn ulatrlmas da, DHCP nakledici (DHCP relay) yaplandrmas ile yine oklu gnderim adresleri kullanlarak uygulanr. Kullanlan oklu gnderim adresleri: Tm DHCP sunucularn ve nakledici ajanlarn bulunduu FF02::1:2 balant yerel adresi Tm DHCP sunucularn bulunduu FF05::1:3 site yerel adresi.
Durum denetimli otomatik adres yaplandrmas yntemi ile varsaylan a geidi bilgisi istemcilere iletilmez. stemciler ynlendirici ilan mesaj aldklar cihazn IPv6 adresini varsaylan a geidi olarak kaydederler.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 22 / 100
dhcp6s DHCP Sunucusu IPv6 alarnda DHCP sunucu olarak dhcp6s yazlm yaygn olarak kullanlmaktadr. Ayrca, Linux ve BSD sunucular zerinde DHCP Sunucu olarak kullanlmakta olan ISC DHCP uygulamas, IPv4n yan sra 4.1.0 srmnden itibaren IPv6 DHCP sunucu zelliini desteklemektedir. dhcp6s yaplandrma dosyas, /etc/dhcp6s.conf dosyasdr. 2001:db8:1:2::/64 neki iin rnek yaplandrma dosyas, aadaki gibidir:
interface eth0 { server-preference 255; renew-time 60; rebind-time 90; prefer-life-time 130; valid-life-time 200; allow rapid-commit; option dns_servers 2001:db8:1:2::1 ipv6.ulakbim.gov.tr; link AAA { range 2001:db8:1:2::1000 to 2001:db8:1:2::ffff/64; prefix 2001:db8:1:2::/64; }; };
ISC dhcp sunucusu rnek yaplandrmas

default-lease-time 600; max-lease-time 7200; log-facility local7; subnet6 2001:a98:1f:f3::/64 { range6 2001:a98:1f:f3::100 2001:a98:1f:f3::120; option dhcp6.name-servers 2001:a98:10::251; option dhcp6.domain-search "ulakbim.gov.tr"; # stemciye sabit IPv6 adresi verilmesi icin rnek yaplandrma # # host ipv6sabit{ # host-identifier option dhcp6.client-id 00:01:00:01:14:dc:f7:33:08:00:27:fd:0f:14; # fixed-address6 2001:a98:1f:f3::701; # } }
Cisco Ynlendirici Otomatik Adres Yaplandrma rnekleri:

Adres yaplandrmas (M ve O) ve zerklik (Autonomous) Bayraklar M biti varsaylan deer 0dr. Deeri 1 yapmak iin:
Router(config-if)#ipv6 nd managed-config-flag
O biti varsaylan deer 0dr. Deeri 1 yapmak iin:

Router(config-if)#ipv6 nd other-config-flag
A biti varsaylan deer 1dir. Deeri 0 yapmak iin:

Router(config-if)#ipv6 nd prefix 2001:db8:1:2::/64 no-autoconfig
Ynlendirici lan iin Temel Yaplandrma

interface GigabitEthernet0/1 ipv6 address 2001:db8:1:2::1/64 ipv6 enable ipv6 nd prefix 2001:db8:1:2::/64
DHCPv6 Stateless Temel Yaplandrma

ipv6 dhcp pool IPv6DNS dns-server 2001:DB8:A:B::1 dns-server 2001:DB8:3000:3000::42 domain-name ulakbim.gov.tr ! interface Ethernet0/0 pv6 enable ipv6 address 2001:DB8:1:2::1/64 ipv6 nd other-config-flag ipv6 dhcp server IPv6DNS
DHCPv6 Statefull Temel Yaplandrma

ipv6 local pool VLAN10 2001:db8:1::/48 64 ! ipv6 dhcp pool DHCPv6HAVUZ prefix-delegation 2001:db8:1::23F6:33BA/64 00030001000E84244E70 prefix-delegation pool VLAN10 dns-server 2001:db8:1::19 domain-name abc.edu.tr ! interface FastEthernet0/0 ipv6 address 2001:db8:1::1/64 ipv6 address FE80::1 link-local ipv6 nd managed-config-flag ipv6 nd other-config-flag ipv6 dhcp server DHCPv6HAVUZU rapid-commit preference 1 allow-hint
BSD ve Linux Ynlendiricileri Otomatik Adres Yaplandrma rnekleri

Ynlendirici lan iin Temel Yaplandrma Linux ve BSD ynlendiricileri zerinde, ynlendirici ilan iin kullanlan radvd ve rtadvd yaplandrmalar 2001:db8:1:2::/64 neki iin aadaki gibidir: rtadvd rnek yaplandrma
default:\ :chlim#64:raflags#0:rltime#1800:rtime#0:retrans#0:\ :pinfoflags="la":vltime#2592000:pltime#604800:mtu#0: ef0:\ :addr="2001:db8:1f:3:prefixlen#64:tc=default:
radvd rnek yaplandrma

interface eth0 { AdvSendAdvert on; MinRtrAdvInterval 180; MaxRtrAdvInterval 600; prefix 2001:db8:1:2::/64 { AdvOnLink on; AdvAutonomous on; AdvRouterAddr on; }; };
DHCPv6 Stateless Temel Yaplandrma rtadvd rnek yaplandrma

default:\ :chlim#64:raflags="o":rltime#0:rtime#0:retrans#0:\ :pinfoflags="la":vltime#2592000:pltime#604800:mtu#0: ef0:\ :addr="2001:db8:1f:3:prefixlen#64:tc=default:
DHCPv6 Statefull Temel Yaplandrma radvd rnek yaplandrma

interface eth0 { AdvSendAdvert on; AdvManagedFlag on; AdvOtherConfigFlag on;
MinRtrAdvInterval 180; MaxRtrAdvInterval 600; prefix 2001:db8:1:2::/64 { AdvOnLink on; AdvAutonomous off; AdvRouterAddr on; }; };
Statik Adres Yaplandrma rnekleri

Farkl iletim sistemleri iin IPv6 adresinin statik olarak nasl tanmlanaca aada verilmitir. Cisco IOS
interface GigabitEthernet0/1 ipv6 address 2001:db8:2:1::1/64 ipv6 enable
FreeBSD
/sbin/ifconfig fxp0 inet6 2001:db8:2:1::2/64 /sbin/route add -inet6 default 2001:db8:2:1::1
Linux
/sbin/ifconfig eth0 add 2001:db8:2:1::2/64 /sbin/route add --inet6 default gw 2001:db8:2:1::1
Windows XP Windows XP iletim sisteminde grafik arayz kullanlarak IPv6 adresi atamas yaplamamaktadr. Destek verilebilmesi iin grafik arayz ile a balants zellikleri altndan veya komut satrndan girilebilecek netsh interface ipv6 install komutu ile IPv6 destei yklenmeli, ardndan komut satr kullanlarak IPv6 adres ve varsaylan a geidi atama ilemi gerekletirilmelidir. rnekte yer alan Local Area Connection parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. Bu parametre yerine ayn komutun kts olan Arayz Numaras da kullanlabilir.
netsh interface ipv6 install netsh interface ipv6 set address Local Area Connection 2001:db8:2:1::1
Windows 7 / Vista Windows XP den farkl olarak, Windows 7 / Vista iletim sistemlerinde IPv6 destei kurulumda otomatik olarak gelmektedir. IPv6 ayarlar grafik arayz veya komut satr kullanlarak yaplabilmektedir. Komut satr kullanlmas durumunda kullanlacak komutlar aada verilmitir. rnekte yer alan Local Area Connection parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. Bu parametre yerine ayn komutun kts olan Arayz Numaras da kullanlabilir.
netsh interface ipv6 set address Local Area Connection 2001:db8:2:1::1
DNS stemci Yaplandrmas

DNS sunucunun istemciler tarafndan kullanlabilmesi iin, istemci iletim sistemi zerinde DNS yaplandrlmas gerekmektedir. IPv4te de kullanlan, statik tanmlama ve DHCP sunucusu ile tanmlama yntemlerinin yan sra, IPv6da DNS sunucusu tanmlamak iin iki yeni yntem daha bulunmaktadr: Herhangi Birine Gnderim (Anycast) DNS Sunucu Kullanm ve Ynlendirici lanlar (Router Advertisement). Statik tanmlama, a zerindeki her istemciye DNS sunucusunun adresini girmeyi gerektirir. Bu durumda ilk yaplandrma sresi uzamakta ve kullanc hatalar oluabilmektedir. DHCPv6 kullanm IPv6 adresi datmnn yan sra, a zerinde hizmet veren DNS, NTP, SIP gibi sunucularn istemcilere tantlmasn salar. Herhangi birine gnderim DNS sunucu kullanm, DNS sunucularn herhangi birine gnd erim adreslerini kullanarak, d alara almadan, i ada DNS sunucusunu istemcilere tantmak iin kullanlr. Windows iletim sistemlerinin varsaylan ayarlar, DNS sorgularn herhangi birine gnderim adreslerine yapmak eklinde olup, Linux/Unix iletim sistemlerinde DNS sorgusu iin herhangi birine gnderim adreslerinin kullanmnn tanmlanmas gerekebilir. IPv6 adreslerinin de ynlendirici nek ilan ile datld alarda, istemciler asndan en kolay yntem herhangi birine gnderim DNS sunucu kullanmdr. Ynlendirici lanlar ile DNS sunucularn aa ilan etmek, RFC 5006 ile tanmlanm olup, bu belgenin hazrland tarihte halen deneysel aamadadr. lanlarn yaplmas mmkn olsa da, istemci iletim sisteminde gerekli deiikliklerin yaplabilmesi iin mekanizmalar standartlatrlarak uygulamaya geirilmemitir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 27 / 100
Ynlendirme Protokolleri
Ynlendirme, farkl a blmleri arasnda paketlerin iletilmesi ilemlerinin btndr. Ynlendirme ilemi, ynlendirici cihazlar tarafndan yaplr. Ynlendiriciler, farkl alara ait ynlendirme bilgilerini ynlendirme tablolarnda tutar, kendilerine gelen bir paketin hedef adresini ynlendirme tablolarnda sorgulayarak, uygun rotay belirler ve paketi bir sonraki ynlendiriciye gnderirler. Bir IPv6 istemcisi, IPv6 andaki baka bir istemciye paket gndermek istedii zaman, ynlendirme tablosuna bakarak hangi arayzn ve a geidini kullanacana karar verir. Varsaylan a geidi, farkl bir ada yer alan ve ayr bir ynlendirme bilgisi bulunmayan tm paketlerin gnderildii ynlendiricinin adresidir. IPv6 ynlendirme tablosunda aadaki bilgiler yer alr: 1. Adres neki 2. Arayz (interface) 3. Bir sonraki adres 4. Ayn neke sahip birden fazla ynlendirme tanm iin ncelik deeri (preference value) 5. Ynlendirme bilgisinin yaam sresi 6. Ynlendirme bilgisinin yaynlanma bilgisi 7. Ynlendirme tipi Ynlendiriciler arasndaki ynlendirme bilgileri, her bir ynlendiriciye tek tek bilgilerin girilmesi eklinde statik olarak yaplabilecei gibi, dinamik olarak da yaplabilir. Ynlendiricilerin kendi aralarnda ynlendirme bilgilerini paylatklar protok oller, ynlendirme protokolleri olarak adlandrlr. Ynlendirme protokollerinin amac, adaki en iyi yolu bulmaktr. IETF tarafndan tanmlanm IPv6 ynlendirme protokollerinden RIPng (Routing Information Protocol next generation - RFC 2080), OSPFv3 (Open Shortest Path First - RFC 5340) IS-IS (Intermediate System to Intermediate System - RFC 5308) Cisco EIGRP for IPv6
i alarda kullanlan ynlendirme protokolleridir. D alar ile iletiim iin BGP4+ (Border Gateway Protocol with Multiprotocol Extens ions for IPv6 Inter-Domain Routing - RFC 2545) kullanlmaktadr. Ynlendiriciler zerinde IPv6 ayarlar, IPv4 ile ok benzer ekilde yaplr. Ynlendiricinin iletim sistemine ve reticisine bal olarak deien yaplandrmalara karn, temel admlar aadaki gibidir:
1. Ynlendirici de IPv6 ynlendirmenin etkinletirilmesi 2. Kullanlacak arayzde IPv6 etkinletirilmesi ve IPv6 adresinin girilmesi 3. Statik IPv6 ynlendirme satrlarnn girilmesi veya dinamik ynlendirme protokollerinin yaplandrlmas Farkl iletim sistemleri iin bu admlarn nasl tanmlanaca aada verilmitir.
Cisco IOS
Ynlendirmenin etkinletirilmesi ve IPv6 adresinin girilmesi:
ipv6 unicast-routing ! interface GigabitEthernet0/1 ipv6 address 2001:db8:2:1::1/125 ipv6 enable
OSPF yaplandrmas:
interface GigabitEthernet0/1 ipv6 address 2001:db8:2:1::1/125 ipv6 enable ipv6 ospf 111 area 0 ! ipv6 router ospf 111 router-id 0.0.0.1 area 0 range 2001:db8:2:1::/64
BGP yaplandrmas:
router bgp 1234 no bgp default ipv4-unicast neighbor 2001:db8::6 remote-as 2345 ! address-family ipv6 neighbor 2001:db8::6 activate network 2001:db8::/32 ! ipv6 route 2001:db8::/32 2001:db8:2:1::2
Statik ynlendirme:
ipv6 route 2001:db8::/32 2001:db8:2:1::2
QUAGGA (Linux/Unix letim Sistemleri iin)

Ynlendirici keif mesajlar iin:
interface eth0 no ipv6 nd suppress-ra ipv6 nd prefix 2001:db8:2::/64
BGP ayarlar iin:

router bgp 1234 bgp router-id 0.0.0.1 neighbor 2001:db8::6 remote-as 2345 ! address-family ipv6 network 2001:db8::/32 neighbor 2001:db8::6 activate exit-address-family
ospf6d ile OSPFv3 iin:

interface eth0 ipv6 ospf6 instance-id 0 ! router ospf6 router-id 0.0.0.1 area 0.0.0.0 range 2001:db8:2:1::/125 interface eth0 area 0.0.0.0
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 30 / 100
BLM 2: TEMEL SERVSLERN IPV6 GE

stemcilerin IPv6 geiinin yan sra, sunulan servislerin de IPv6 zerinden hizmet verir hale getirilmesi gerekmektedir. Gnmzde, yaygn olarak kullanlan servislerin hemen hemen hepsi, IPv6 adresi zerinden sorunsuz hizmet verebilmektedir. Bir sunucu zerinde, IPv6 adresi zerinden hangi portlarn hangi uygulamalar tarafndan dinleniliyor olduu bilgisine, netstat komutu ile ulalabilir.
root@testserver:~# netstat -lnptu6 Active Internet connections (only servers) Proto Recv-Q Send-Q Local Address Foreign Address tcp6 0 0 :::80 :::* tcp6 0 0 :::21 :::* tcp6 0 0 :::22 :::* tcp6 0 0 ::1:631 :::* tcp6 0 0 ::1:25 :::*
State LISTEN LISTEN LISTEN LISTEN LISTEN
PID/Program name 1807/apache2 16849/proftpd: (acc 2692/sshd 1956/cupsd 2677/exim4
Bu blmde, baz temel servislerin IPv6 yaplandrmalar ve dikkat edilmesi gereken konular hakknda bilgi verilmitir.
Alan Ad Servisi - DNS

Alan ad servisi DNS, IP adreslerini oluturan harf ve rakamlar dizisinin, kolay okunabilir ve hatrlanabilir kelimeler dizisi ile hiyerarik bir sistemde nternet zerinde tekil olacak ekilde her iki ynde eletirilmesi ilemidir. Kullanclarn uzun adresleri girmek yerine, kolay isimler ile servislere ulamas iin, DNS kullanlr. DNS zmlemesi, iki ynde yaplr: Alan adnn IP adresine evrilmesi ve IP adresinin alan adna evrilmesi. rnein, 193.140.83.52 IPv4 adresi ve 2001:a98:10::52 IPv6 adresi, www.ipv6.net.tr alan adna tanmlanm, ayn ekilde www.ipv6.net.tr adresi her iki versiyon IP adresine de tanmlanmtr.
DNS Sunucu Yaplandrmas

Linux ve Unix iletim sistemleri iin yaygn olarak kullanlan Bind ve Microsoft iletim sistemleri iin Windows DNS sunucusu gibi IPv4 iin kullanlan DNS sunucularnn gncel srmleri, IPv6 adreslerini de desteklemektedir. DNS sunucusunun gncellendikten sonra IPv6 iin yaplandrlmas yeterli olacaktr. DNS sunucusu yaplandrlrk en IPv4 yaplandrmasndan farkl olarak, alan adlar zlrken IPv4 iin kullanlan A kayd yerine
IPv6 iin AAAA kayd girilmesi, ters zmlemelerde IPv4 iin kullanlan .in-addr.arpa uzants yerine .ip6.arpa uzants kullanlmas gerekmektedir. rnein, ipv6.net.tr alan ad iin, .tr hiyerarik yapsnda tanmlanm sunucu zerinde, iki alan (zone) dosyas bulunur:
zone "ipv6.net.tr" { type master; file "db.ipv6.net.tr"; }; // zone "0.1.0.0.8.9.a.0.1.0.0.2.ip6.arpa" { type master; file "db.2001:a98:10"; };
db.ipv6.net.tr dosyas ierisinde, www.ipv6.net.tr alan adna IPv4 ve IPv6 adreslerinin her ikisini tanmlayan ve www6.ipv6.net.tr adresini de ayn alan adna balayan aadaki satrlar bulunur:
www ; www6 IN IN IN A AAAA CNAME www 193.140.83.52 2001:a98:10::52
Ters zmleme olarak adlandrlan, IP adresine karlk alan ad tanmlanmas ise, uzun yazlmasnn haricinde IPv4 ile tamamen ayndr. Ters kaytlar girilir ken dikkat edilmesi gereken nemli bir husus, IPv6 adresinin bo alanlar dhil olmak zere eksiksiz olarak tersten yazlmas gerektiidir. rnein, 2001:a98:10::52 IPv6 adresinin uzun yazlm 2001:0A98:0010:0000:0000:0000:0000:0052dr. Bu durumda, 2001:a98:10 kaytlarnn tutulduu db.2001:a98 dosyas aadaki gibi olmaldr:
$ORIGIN 0.1.0.0.8.9.a.0.1.0.0.2.ip6.arpa. 2.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR
www.ipv6.net.tr.
Web Servisi
IPv6 ile web sayfalarn grntleyebilmek iin, web sunucusunun ve web taraycsnn IPv6 destekli olmas gerekmektedir. Web sunucularnn ve tarayclarn gncel srmleri, IPv6 desteklidir. Dikkat edilmesi gereken bir nokta, eriilmek istenilen alan ad iin IPv6 alan ad
kaytl ise, baz web tarayclarn ncelikle IPv6 adresine erimeyi denedikleri, eer eriilemez ise IPv4 adresinden erimeyi denedikleri konusudur. Bu sebeple, DNS sunucularnda alan ad kayd olarak IPv6 adresi de girilmi web sayfalarnn, IPv6 zerinden eriilebilir olmasna dikkat edilmeli, aksi takdirde kullanclarn yavalk veya eriememe gibi sorunlarla karlaabilecei unutulmamaldr. IPv6 web sayfalarna eriimde dikkat edilmesi gereken bir dier husus, taraycya alan ad yerine dorudan IP adresi yazlmak istenildiinde, IPv4 den farkl olarak, adresin keli parantez ierisinde yer almas gerektiidir:
http://[2001:200:dff:fff1:216:3eff:feb1:44d7]/index.html
Web servisi, TCP 80 numaral port zerinden verilen bir servistir. ifreli srm ise TCP 443 numaral port zerinden eriilir. IPv6 zerinden web servisi verilebilmesi iin de, IPv6 adresinin 80 ve 443 portlarndan hizmet veren bir web sunucusu yazlm gerekmektedir. Dnyada en yaygn kullanlan web sunucusu yazlm olan Apache, srm 2 den itibaren IPv6 adresini eksiksiz desteklemektedir. Apache sunucusu varsaylan olarak eer sunucu zerinde IPv6 adresi tanmlanm ise, IPv6 adresi zerinden de servis vermeye balar. Apache yaplandrmasnda,
Listen 80
tanmnn yer almas, sunucunun zerinde tanml tm IP srm ve adreslerinden 80 numaral portu zerinden servis verilmesini salamaktadr. Bu durumda IPv4 balantlarn kabul eden IPv6 soketleri, IPv4 elemli IPv6 adresleri kullanrlar. Bu yaplandrma, BSD ailesinde yer alan iletim sistemlerinde, iletim sisteminin geneline uygulanan kurallar ile elitii iin soruna sebep olmaktadr. IPv4 ve IPv6 adreslerine gelen isteklerin, ayr soketler tarafndan kabul edilmesi iin, her iki ip protokol ayrca belirtilmelidir:
Listen 0.0.0.0:80 Listen [::]:80
Sunucunun sadece belirli bir IPv6 adresi zerinden servis vermesi isteniliyor ise, IPv4 yaplandrlmasndan farkl olarak adresin keli parantez ierisinde belirtilmesi gerekmektedir:
Listen [2001:db8:1::23]:80
Sunucunun sadece IPv4 zerinden servis vermesi isteniliyor ise, aadaki satr girilmelidir:
Listen 0.0.0.0:80
E-Posta Servisi
E-posta sunucularnn IPv6 destei, gncel srmlerinde yer almaktadr. Yaygn olarak kullanlan e-posta sunucular, postfix, sendmail, exim olarak sralanabilir. Postfix ana yaplandrma dosyas, genellikle /etc/postfix/main.cf dosyasdr. Bu dosya ierisinde yer alan inet_protocols ynergesi, postfix uygulamasnn hangi IP protokol ile alacan belirler. Bu ynergenin varsaylan deeri, sadece IPv4 almas eklinde olup, istee gre sadece IPv6nn veya her iki protokoln desteklenmesi iin bu dosya ierisinde aadaki deiikler yaplabilir: /etc/postfix/main.cf dosyas:
inet_protocols = ipv4 inet_protocols = all inet_protocols = ipv4, ipv6 inet_protocols = ipv6 (Varsaylan deer, sadece IPv4 ) (Sunucuda hangi arayzler tanml ise hepsi) (IPv4 ve IPv6) (sadece IPv6)
Ayrca, giden smtp mesajlamalarnda IPv6 adresi kullanm iin, main.cf dosyas ierisinde bulunan smtp_bind_address6 ynergesi gncellenmelidir: /etc/postfix/main.cf dosyas:
smtp_bind_address6 = 2001:db8:2:1::1
Sendmail varsaylan ayarlarnda IPv6 desteklemekte olup, ayarlar IPv4 ile ayndr. Sendmail kullanmnda dikkat edilmesi gereken husus, yaplandrma dosyalarna IPv6 adresleri tanmlanrken keli parantez yerine, IPv6: nekinin kullanlmas gerektiidir. rnek:
IPv6:2001:db8:2:1
FTP Servisi
Dosya transfer protokol olan FTP, 32 bitlik adreslere sahip IPv4 iin tasarlanm olmakla birlikte, RFC 2428 ile FTPnin IPv4 ve IPv6 ile alabilmesi iin ynergeler belirlenmitir. Bugn yaygn olarak kullanlan FTP sunucu yazlmlar, IPv6 adresini desteklemektedir. Proftp, yaygn olarak kullanlan dosya transfer protokol yazlmdr. Proftp yazlm varsaylan ayarlar, alt sunucu zerindeki tm IPv4 ve IPv6 adresleri zerinden FTP servisini vermeye ynelik hazrland iin, sunucunun zerinde IPv6 adresinin tanml olmas halinde
IPv6 adresi zerinden hizmet vermeye balayacaktr. Proftpnin IPv6 destei, ana yaplandrma dosyas olan proftpd.conf ierisinde yer almaktadr: /etc/proftpd/proftpd.conf dosyas:
# Set off to disable IPv6 support which is annoying on IPv4 only boxes. UseIPv6 on
Yaygn olarak kullanlan bir dier ftp sunucu yazlm olan vsftpd FTP sunucusu da kurulumla gelen varsaylan ayarlar ile IPv6 desteklemektedir. IPv6 destei iin, /etc/vsftpd/vsftpd.conf dosyas ieriinde aadaki satr yeralmaldr:
listen_ipv6=yes
SSH ve Secure FTP Servisi

SSH servisi iin yaygn olarak kullanlan OpenSSH yazlmnn gncel srm, IPv6 adresini tamamen desteklemektedir. OpenSSH yazlm varsaylan ayarlar, alt sunucu zerindeki tm IPv4 ve IPv6 adreslerinin 22 numaral TCP portu zerinden SSH servisini vermeye ynelik hazrland iin, sunucunun zerinde IPv6 adresinin tanml olmas halinde IPv6 adresi zerinden hizmet vermeye balayacaktr. OpenSSH sunucusunun hangi adresi ve hangi portu dinleyecei bilgisi, sshd_config yaplandrma dosyas ierisinde bulunur. OpenSSH sunucusu yaplandrma dosyalarnn genellikle kurulduu yer olan /etc/ssh dizini altnda bulunan bu dosya ierisinde, ListenAddress ynergesi kullanlarak, tm arayzler zerinden servis verilmesi kstlanabilir ve istenilen IP adresinde ve istenilen portta servis verilmesi salanabilir. ListenAddress ynergesinin kullanm aadaki gibidir: /etc/ssh/sshd_config dosyas:
ListenAddress host ListenAddress IPv4_addr:port ListenAddress [IPv6_addr]:port
Sunucunun sadece belirli bir IPv6 adresi zerinden servis vermesi isteniyor ise, adresin keli parantez ierisinde belirtilmesi gerekmektedir: /etc/ssh/sshd_config dosyas:
ListenAddress [2001:db8:1::23]:22
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 35 / 100
OpenSSH sunucusunda, SFTP servisinin de verilmesi iin, sshd_config dosyas ierisinde, Subsystem sftp ynergesinin bulunmas gerekmektedir. /etc/ssh/sshd_config dosyas:
Subsystem sftp /usr/lib/openssh/sftp-server
OpenSSH sunucusunun sadece IPv6 zerinden gelen istekleri kabul etmesi, IPv4 isteklerini kabul etmemesi iin, sunucu balatlrken -6 parametresi kullanlr. Benzer ekilde, ssh istemcisinin, ssh servisine ulalmak istenilen alan adnn sadece IPv6 adresini denemesi isteniliyor ise, -6 parametresi kullanlr:
$ ssh -6 testuser@sshserver.ulakbim.gov.tr Warning: Permanently added the RSA host key for IP address '2001:db8:1::23' to the list of known hosts.
TCP_WRAPPER Destei
Sunucu zerinde verilen servislerin, yazlmlarn desteklemesi halinde eriim gvenlii iin kullanlan tcp_wrapper, servise eriimi denetlemek iin iki yntem uygulamaktadr: Kaynak adresine gre eriim denetlemesi Kullanclara gre eriim denetlemesi
tcp_wrapper eriim denetlemesi iin, ilgili servis yazlmnn tcp_wrapper destei ile derlenmi olmas gerekmektedir ki ou yazlm, tcp_wrapper destei ile derlenmi olarak gelmektedir. tcp_wrapper yaplandrmas, iki dosya zerinden yaplr: /etc/hosts.deny /etc/hosts.allow
Genel yaklam, hosts.deny dosyas iinde hereyi engelleyip, hosts.allow ierisinde eriim izinlerini vermek ynndedir. Her iki dosya ierisinde de, eriim denetlemesi olarak kaynak IP adresi kullanlmak istendiinde, IPv4 ve IPv6 adresleri girilebilmektedir. rnein, SSH servisinin eriim gvenlii iin kullanlan hosts.allow ve hosts.deny dosyalarnda, IPv4 adresi yaplandrmas gibi sunucuya balanacak IPv6 adresleri (keli parantez ierisinde) girilmelidir: /etc/hosts.allow dosyas:
sshd : [2001:db8:2:1::]/64 ftpd : 192.168.0.0/16 [2001:a98:1F::]/48 exim : ALL : allow
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 36 / 100
BLM 3: LER SEVYE IPV6 ZELLKLER

Dolalabilirlik (MIPv6)
Gelien teknoloji ile mobil cihazlarn artmas, mobil servislerin verilme ihtiyacn dourmutur. Bu ihtiya sebebiyle, ulalabilirlik, yaplandrma ve gerek dolalabilirlik kavramlar gndeme gelmi, zm olarak ise balantnn saland adan bamsz olarak ayn IP adresinin kullanlmas zorunluluu ortaya kmtr. IP dolalabilirlik zellii, gezgin istemcinin nternet'e baland noktadan bamsz olarak ev adresi ile ulalabilir olmasn salamaktadr. Dolalabilirlik protokol tanm ile gezgin istemcinin baland konumdan sabit ev adresini almas ve gezgin istemciye gidecek olan paketlerin hangi balantlar zerinden aktarlacann belirlenmesi salanmaktadr. IPv4 ile dolalabilirlik servisinin verilebilmesi iin RFC 3344 hazrlanm, ancak uygulama zorluklar nedeniyle yaygn kullanma geememitir. IPv6 teknolojisi ile sunulan geni IP adres aral sayesinde, her cihazn gerek IP adresine sahip olabilmesi ve IPv6 ek zellikleri sayesinde, dolalabilirlik yeniden tanmlanarak, topolojideki aktr says azaltlm, gezgin istemci ile bal olduklar arasnda dorudan balant kurulabilmesi mmkn olmutur. Dolalabilir IPv6, Mobile IPv6 kelimelerinin ksaltmasndan retilen MIPv6 olarak adlandrlmaktadr. RFC 3775 ile dolalabilirlik destei tanmlanm olup, RFC 3776 ile IPSec kullanarak gezgin istemciler ile ev sunucular arasndaki MIPv6 sinyallemesinin korunmas tanmlanmaktadr. Dolalabilir IPv6 olas kullanm alanlar, telematik uygulamalar, izleme ve monitrleme uygulamalar, uzaktan ynetim, acil servis uygulamalar gibi eitlendirilebildii gibi, kullanc dorulama, yetkilendirme ve eriilebilirlik zelliklerinin de kullanlabilmesi hedeflenmektedir. RFC 3775 ve 3776 ile MIPv6'nn hedefleri u ekilde tanmlanmtr: Balantnn yapld konum ile snrlandrlmamak Her daim ak IP balants salamak Taycdan bamsz olmak Gl ve gvenilir gezgin balantlar salamak Uygulamalarn dolalabilirliini salamak Uygulamalarn srekliliini salamak Gezgin istemcinin sunucu da olabilmesini salamak, (gezgin servislerin verilebilmesi)
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 37 / 100
Bileenleri
IPv6 ile dolalabilirlik uygulamalarnn IETF tarafndan tanmlanan deimez paralar, ekil 13de gsterilmitir.
ekil 13: MIPv6 Anahtar Bileenleri
MN: Mobile Node kelimelerinin ksaltmasdr, gezgin istemciyi tanmlamaktadr. Bir baka deyile MN, balantdan veya adan bamsz olarak kulland ev IPv6 adresi ile ulalabilinen IPv6 istemcidir. CoA: Care-of-Address kelimelerinin ksaltmasdr. MN'nin yabanc alardan balanrken ald geici adresi tanmlar. HA: Home Agent kelimelerinin ksaltmasdr. MN'nin ev anda bulunan ve MN'nin sabit adresini yabanc ada iken almasn salayan servisi veren sunucudur. Genelde, ev andaki ynlendirici bu grevi stlenmektedir. CN: Correspondent Node kelimelerinin ksaltmasdr. MN'nin balant oturumunda ulamaya alt hedef IP adresine sahip sunucudur. IPv6 Mobility Header: MIPv6 haberleme paketlerini iermek zere tasarlanm IPv6 uzant baldr. Bu balk, MN, HA ve CN tarafndan, eletirme bilgisi iin kullanlmaktadr.
alma Yaps
IETF, RFC2460 ile IPv6 paket yapsn tanmlamtr. IPv6 paket yapsnda ayrlm olan uzatma balklar kullanlarak MN, HA ve CN arasndaki mesajlama, adres atama ve ynlendirme amal kullanlacak tm bilgiler tanmlanabilmektedir. MIPv6 alma yapsna gre, gezgin istemci MN, bir yabanc aa gittiinde srasyla aadaki ilemler gerekleir:
1. MN, bulunduu yabanc adan, geici adresini (CoA) alr ve ev anda yeralan HA'ya bilgi gnderir. 2. CN, MN'ye gnderecei paketi sabit adresine gnderir. 3. HA, CN'den kendisine gelen paketleri MN'nin CoA adresine gnderir. 4. MN, cevaplar CN'ye dorudan gnderir. Bu haberleme, HA'nn paketleri ilk defa MN'ye gndermesi srasnda yaplr. Ardndan MN, CN'ye kendi CoA'sn gnderir ve CN ile MN, ev ana uramadan dorudan grmeye balarlar. Eletirme nbellei (Bindings Cache) Gezgin istemcinin orijinal IPv6 adresi ile misafir olduu ada edindii geici adres CoA eletirilir. Gezgin istemcinin pil bitmesi, kapsama alan dna klmas gibi geici sebeplerden dolay a eriiminin kesilmesi durumunda eletirme tablosunun silinerek yeni batan oluturulmamas iin, yaam sresi belirlenerek ynlendiricilerin nbelleklerinde tutulur. Eletirme tablosunda, Ev Adresi, CoA, Yaam Sresi, HA bilgilerinin yansra, arayz bilgisi ve baz istatistikler de yer alabilmektedir. MIPv6 destekli ynlendiriciler zerinde bir IPv6 paketi ynlendirilirken, hedef IPv6 adresi iin ncelikle eletirme tablosunun Ev Adresi ksmna baklr. Tabloda eletirme olmaz ise IPv6 ynlendirme tablolarna gre paket ynlendirmesi yaplr. Eletirme bulunur ise, paket enkapsle edilerek CoA ya ynlendirilir. Bu sayede gezgin istemciye uygun ynlendirme (optimal routing) salanr. MIPv6nn salkl almas iin nemli bir bileen olan eletirme tablolarnn tutarll iin MN tarafndan gnderilen eletirme gncelleme, HA ve CN tarafndan MNye gnderilen eletirme alnd bilgisi ve eletirme istei ilemlerini kullanr.
MIPv6 Uygulamas
Dolalabilirlik uygulamas, ekil 14de verilen bileenlerden oluur: En az bir ev gzlemcisi (HA) En az bir gezgin istemci (MN) En az bir kar sunucu (CN) Birbiriyle balants olan en az iki IPv6 a (HN ve RN)
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 39 / 100
ekil 14: Dolalabilirlik rnei
MIPv6 Bileenleri Ayarlar

Ev A (HN) ve Ev Gzlemcisi (HA) Ayarlar IPv6 anda dolalabilirlik zelliini uygulayabilmek iin, ev ann ynlendiricisinin MIPv6 destekliyor olmas gerekmektedir. Sz konusu destek ynlendiricinin HA olarak alabilmesi iin gerekli yazlm destei ve yeterli miktarda eletirme tablosunu nbellekte tutabilecek kadar donanm destei eklindedir. Cisco Ynlendirici Ev ann balantsn salayan arayze ipv6 mobile home -agent komutu girilmesi yeterlidir. Eletirme (binding) zelliinin altrlmas iin ise genel yaplandrma kipinde ipv6 mobile home-agent komutu ve altna binding komutu girilmesi yeterlidir. Cisco zerinde HA ayarlar iin atlacak admlar aada verilmitir:
enable configure terminal interface FastEthernet0/1 ipv6 mobile home-agent [preference preference-value] exit ipv6 mobile home-agent binding [access access-list-name | auth-option | seconds | maximum | refresh] end
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 40 / 100
Ynlendirici zerinde tanml genel MIPv6 tanmlarn grmek iin, show ipv6 mobile globals komutu kullanlr:
HomeNetwork#show ipv6 mobile globals Mobile IPv6 Global Settings: 1 Home Agent service on following interfaces: FastEthernet0/1 Bindings: Maximum number is unlimited. 1 bindings are in use 1 bindings peak Binding lifetime permitted is 262140 seconds Recommended refresh time is 300 seconds HomeNetwork#
Gezgin istemcinin uzak aa gitmesi ile HAya CoA adresi bildirilir ve bu adres eletirme tablosuna yazlr. Eletirme tablosunu grntlemek iin, show ipv6 mobile binding komutu kullanlr. Gezgin istemci ile HA arasnda oluturulan tnel ve paket alveriine dair trafik bilgisi, show ipv6 mobile traffic komutu ile gzlenebilir.
Linux Ynlendirici PC-Ynlendirici kullanm durumunda da IPv6 dolalabilirlik zellikleri kullanlabilmektedir. Bu blmde anlatlan ayarlar, Linux iletim sistemi Debian srm zerinde gerekletirilmi olup, ilgili paketlerin kurulmas ile dier Linux srmlerine de kurulum yaplabilir. Kurulum iin paket yneticisine MIPv6 paketlerinin yklenmesi iin gerekli depo sunucular tanmlanmaldr. /etc/apt/sources.list dosyasna aadaki iki kaynak eklenmelidir.
deb http://software.nautilus6.org/packages/debian sid deb-src http://software.nautilus6.org/packages/debian sid
Ardndan sistem gncellenerek radvd, linux-mip6 ve mipv6-daemon-umip paketleri kurulmaldr:

apt-get update apt-get install radvd linux-mip6 mipv6-daemon-umip
Ynlendirici ayarlar iin, /etc/mip6d.conf ve /etc/radvd.conf dosyalar kullanlr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 41 / 100
HA iin rnek mip6d.conf Dosyas

## What function do we want this to be? NodeConfig HA; ## Interface Interface eth1; ## Disable IPsec configuration UseMnHaIPsec disabled; ## Set Debug DebugLevel 10; ## Key Management Mobility Capability
HA iin rnek radvd.conf dosyas:

interface eth1 { AdvSendAdvert on; MaxRtrAdvInterval 3; MinRtrAdvInterval 1; AdvHomeAgentFlag on; AdvHomeAgentInfo on; HomeAgentLifetime 1800; HomeAgentPreference 10; prefix 2001:a98:13:fefe::1/64 { AdvRouterAddr on; AdvOnLink on; AdvAutonomous on; }; };
Ayrca iletim sisteminin ynlendirme yapabilmesi iin gerekli olan kernel ayarlar (/etc/sysctl.conf dosyas, net.ipv6.ip_forward=1) ile statik veya dinamik ynlendirmeler girilmelidir. Bu blmde anlatlan ayarlar yapldktan sonra, radvd ve mip6d programlar ile Linux ynlendirici zerinde ev gzlemcisi HA altrlr:
radvd C /etc/radvd.conf mip6d c /etc/mip6d.conf
Gezgin stemci Ayarlar Bu blmde, iletim sistemlerinin gezgin istemci destei ve yaplandrmalar anlatlmaktadr. letim sistemleri iinde Linux/Unix ve trevlerinin MIPv6 desteinin eitli uygulamalar ile birlikte verilmesi sebebiyle, IPv6-GO ortamnda da kullanlan Linux iletim sistemi yaplandrmas detayl olarak anlatlmtr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 42 / 100
Linux/Unix Linux ynlendirici blmnde anlatld gibi iletim sistemine MIPv6 destei verilen gezgin istemcinin, sadece mip6d.conf dosyasnda gerekli deiiklikler yaplmas yeterlidir. Yaplacak tanmlarda MN fonksiyonunun kullanlaca belirtilmeli, HA adresi ve ev adresleri aadaki rnekte gsterildii gibi ilgili arayz tanm altna girilmelidir. H4LINUX Gezgin istemci mip6d.conf dosyas
## What function do we want this to be? NodeConfig MN; ## Interface Interface eth0; ## Disable IPsec configuration UseMnHaIPsec disabled; ## Set Debug DebugLevel 10; ## Key Management Mobility Capability KeyMngMobCapability disabled; MnHomeLink eth0 { HomeAgentAddress 2001:a98:13:fefe::1; HomeAddress 2001:a98:13:fefe:20d:61ff:fe3f:9df3/64; }
Yukarda verilen ayarlar yapldktan sonra mip6d program ile Linux gezgin istemci zerinde MIPv6 altrlr:
mip6d c /etc/mip6d.conf
MacOSX MacOSX iin MIPv6 destei iletim sistem ierisinde yer almamaktadr. Ancak MIPv6 destei KAME projesi altnda SHISA Mobile IPv6 olarak Darwin platformunda bulunmaktadr. Darwin ile MIPv6 desteinin verilebilmesi iin kernelin MIPv6 destei ile yeniden yaplandrlmas ve derlenmesi gerekmektedir.
Windows Microsoft Windows XP ve Windows Server 2003 ile beraber gelen IPv6 yapsnda, MIPv6 destei sadece CN olarak mevcut iken bu iletim sistemleri MN veya HA destei bulundurmamaktadr. Yeni nesil Microsoft iletim sistemleri olan Windows Vista ve Windows 7 de ise MIPv6 destei tamamen kaldrlmtr. Dierleri Bu almann yapld tarihte, mobil telefon iletim sistem leri olan Windows Mobile, Apple iPhone, Blackberry ve Symbian iletim sistemlerinde MIPv6 destei bulunamamtr.
oklu Gnderim
IPv6 oklu Gnderim Adreslemesi

IPv6 adres aralnn geni olmas ayn zamanda IPv6 oklu gnderim gruplar iin kullanlabilecek adres saysnn da byk oranda genilemesi anlamna gelmektedir. Bu sayede IPv4 oklu gnderim uygulamalarnda zaman zaman karlalan farkl oklu gnderi m yaynlar iin ayn grup adresinin kullanlmas gibi sorunlar ortadan kalkacaktr. Ayn zamanda IPv6 adres yapsnda yer alan baz yeni bilgiler sayesinde oklu gnderim paketlerinin ulaaca alarn kstlanmas, dolaysyla oklu gnderim yaynn istenen ynetimsel snrlar iinde kalmas salanabilecektir. OSI Veri Ba Katman (L2) oklu Gnderim Adresleme IPv4 oklu gnderim IP paketlerinin veri ba katmanndaki adres aral IANA tarafndan tahsis edilen 01:00:5e ile balamaldr [RFC 1112]. IPv6 oklu gnderim adreslemesinde Ethernet MAC adresleri 33:33 ile balamaldr. IPv6 L3 IP adresi L2 MAC adresine evrilirken IP adresinin en son 4 oktetlik ksm MAC adresinin 33:33 balatlarak sonuna eklenir. rnein adaki tm ynlendiricileri temsil eden FF02::2 adresinin MAC adresi karl 33:33:00:00:00:02dir. oklu gnderim adres yaps, Blm 1: IPv6 Temelleri ve Yaplandrmas, IPv6 Adres Tipleri blmnde anlatlmtr.
oklu Gnderim Dinleyici Protokol (Multicast Listener Discovery, MLD)

IPv4te istemciler ve ynlendiriciler grup yelik bilgilerini IGMP (Internet Group Management Protocol) aracl ile paylamaktadr. IPv6da bu protokol yerini MLD (Multicast Listener Discovery) protokolne brakmtr. MLD protokolnn MLD1 (RFC2710) ve MLDv2 (RFC 3810) olmak zere iki srm bulunmaktadr. MLD1 IGMP2 protokolnden tretilmitir ve tanm ve yetenek olarak benzerlik gstermektedir. Benzer ekilde MLD2 IGMPv3 ile ayn yetenekleri paylamaktadr. IGMP protokolne benzer ekilde MLD protokolnn amac ynlendiricilerin kendilerine dorudan bal alardaki oklu gnderim istemcilerini tespit edebilmelerini salamaktr. MLD protokol araclyla ynlendiriciler kendilerine bal alardaki istemcileri ve grup adreslerini renmekte ve bu bilgiyi oklu gnderim ynlendirme protokol araclyla dier ynlendiricilerle paylaarak oklu gnderim istemci ve sunucular arasndaki rotay tanmlayan bir aa yaps oluturmak iin kullanmaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 44 / 100
MLD mesajlar ICMPv6 paketleri araclyla iletilmektedir. MLDv1 protokol ICMPv6 130, 131 ve 132 mesaj tiplerini kullanmakta iken, MLDv2 protokolnde 131 ve 132 geriye dnk uyumluk iin kullanlmakta olup ayrca ICMPv6 tip 132nin yerine de tip 143 kullanmaktadr. MLDv1 protokoln kullanan ynlendiriciler FF02::1 oklu gnderim adresine periyodik olarak ICMPv6 130 mesajlar gndererek dahil olunmak istenilen gruplar sorgularlar. stemciler katlmak istedikleri her bir oklu gnderim grubu iin ICMPv6 131 mesaj gnderirler. IPv6da SSM servisinin kullanlabilmesi iin ynlendirici ve istemcinin MLDv2 protokoln desteklemesi gerekmektedir.
Servis Modelleri
Kayna Tanmsz oklu Gnderim (Any Source Multicast, ASM) Bu servis modelinde oklu gnderim grubuna (G) herhangi bir kaynak veri gnderebilir, kaynan veri gndermesi iin grubun oklu gnderim adresini bilmesi yeterlidir. Benzer ekilde gruptan veri almak isteyen istemcilerin veriyi alabilmeleri iin sadece grubun adresini bilmeleri yeterlidir. Bu servis modelinde, birden fazla istemci ayn anda bir gruba veri gnderebilir ve alabilir. Alcnn veriyi almak iin veriyi gnderenin kaynak IP adresini bilmesine gerek yoktur. Kayna Tanml oklu Gnderim (Source Specific Multicast, SSM) RFC 4607de tanmlanan kayna tanml oklu gnderim modelinde, istemcinin gnderilen paketi alabilmesi iin gndericinin kaynan IP adresini bilmesi gerekir. Bu modelde oklu gnderim kanal, gruba (G) gnderen farkl kaynaklar (K1, K2) ifti olarak tanmlanr. Ayn grup adresi iin (K1,G), (K2, G) farkl kanallardr.
Ynlendirme
Hem IPv4'de hem de IPv6'da oklu gnderim kontrol paketleri tekil gnderim IP ynlendirme tablosuna gre ynlendirilmekte ve bu amala OSPF, IS -IS ya da MBGP gibi protokoller kullanlabilmektedir. Bunun yan sra, her bir oklu gnderim yayn iin sunucu/randevu noktas ve istemciler arasndaki aa yapy oluturmak zere bir de oklu gnderim ynlendirme protokolne ihtiya duyulmaktadr. Bu konuda standart olarak kabul grm olan PIM protokolnn IPv6 iin PIM -SM (PIM Sparse Mode) ve PIM-SSM (PIM Single Source Multicast) olmak zere iki varyant bulunmaktadr:
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 45 / 100
PIM Dense Mode (PIM-DM) Bu ynlendirme modelinde oklu gnderim adresine bir paket gnderildiinde ynlendirici zerindeki tm a arabirimlerinden paketi gnderir (flood). Paketin gnderildii alardan gruba dhil olmak iin herhangi bir katlm istei gelmez ise, bu an bal olduu a arabirimden paket gnderilmesi katlm istei gelinceye kadar kesilir (prune). PIM-DM modelin efektif olarak kullanlabilmesi iin gnderici ve istemci arasndaki hop says fazla olamamal ve ynlendiriciye bal tm alarda gndericinin grup adresine gnderdii paketleri almak isteyen istemciler bulunmaldr. Bu nedenle, deneysel IPv6 PIM -DM uygulamalar bulunmakla birlikte uygulamada oklu gnderim ynlendirme protokol olarak PIM-SM kullanlmaktadr. PIM Sparse-Dense Mode (PIM-SM) PIM-SM protokol birden fazla oklu gnderim sunucusu ve istemcisi iin bir buluma noktas tekil eden bir Randevu Noktas (Randevouz Point, RP) ile istemciler arasnda paylaml bir aa yaps oluturulmasn salar. Sunucular yaynlarn bu RP'ye gndererek, paylaml aa yapda yer alan btn istemcilere datlmasn salayabilirler. Aa yapnn "paylaml" olarak anlmasnn sebebi, birden fazla sunucunun ayn grup adresine ulamak iin ayn RP ve aa yapy kullanabilir olmasdr. Bu nedenle PIM -SM, oklu video konferanslar ve P2P oyunlar gibi birden fazla sunucu ve birden fazla istemci ieren ASM (Any Source Multicast) modeli yaplar iin kullanlan bir protokoldr. te yandan PIM-SSM protokolnde tek bir sunucu sz konusu olduu iin RP kavram yer almamaktadr. PIM-SSM, istemcilerden ald IPv6 oklu gnderim grup adresi bilgisi ile IPv6 tekil gnderim gnderici adresini kullanarak, her bir sunucu iin ayr bir aa yaps oluturur.
IPsec
Adaki iletiimde gvenliin salanmas iin gerekli kriterler; gizlilik (confidentiality), btnlk (integrity), dorulama (authentication) olmak zere ana balkta incelenebilir. Gizlilik, gvenli a iletiiminde bir noktadan baka bir noktaya gnderilen paketlerin istenmeyen kiiler tarafndan okunmasnn engellenmesi blmn kapsamaktadr. A iletiiminde gizlilik simetrik (AES, DES vb.) veya asimetrik (RSA vb.) ifreleme algoritmalar ieren kripto sistemler kullanlarak salanabilmektedir. Btnlk, gnderilen paketin ieriinin deitirilmeden hedefe ulatnn dorulanmasdr. Paket btnlnn korunup korunmad zet fonksiyonlar aracl ile kontrol edilmektedir. Ortak anahtar kullanmna dayanan HMAC algoritmas ile btnlk kontrol gerekletirilebilir. Btnlk kontrol iin bir dier yntem ise ak anahtar altyapsna dayanan elektronik imza yntemidir. Her iki yntemde de zet algoritmalar kullanlarak
mesajn zet deeri kaynak ve hedef noktalarnda hesaplanmakta ve karlatrlmaktadr. Dorulama; paketin, gerekten gnderildii iddia edilen kaynak tarafndan gnderildiinin dorulanmasdr. stemcilerin bir aa uzaktan eriiminin veya iki an birbiri arasnda iletiiminin gven li salanabilmesi iin kiralk hatlar ve benzeri zmlerden daha az maliyetli ve daha az yaplandrma ihtiyac olan VPN (Virtual Private Network - Sanal zel A) teknolojisi tercih edilmektedir. Yaplan balant ekline gre, Uzaktan Eriim Sanal zel A (Remote Access VPN) ve Alandan Alana Sanal zel A (Site-to-Site VPN) olmak zere iki tip VPN teknolojisi bulunmaktadr. Uzaktan Eriim Sanal zel A; genel kullanma ak ada yer alan istemcinin, uzak aa gvenli bir ekilde balant gerekletirmesini salamaktadr. Alandan Alana Sanal zel A ise iki a arasnda mevcut internet altyaps kullanlarak, adanm hat kullanmna ihtiya duyulmadan, gvenli balant kurulmasn salamaktadr. VPN ile gvenli a iletiimi eitli protokoller ve uygulamalar kullanlarak an farkl katmanlarnda gerekletirilebilmektedir. Bu uygulamalar arasnda yer alan IPsec OSI a (network) katmannda, TLS/SSL ve SSH ise OSI iletim (transport) ve uygulama (application) katmanlarnda almaktadr. IPsec a katmannda alt iin adaki herhangi bir trafiin gvenliinin salanmas iin kullanlabilmektedir. letim ve uygulama katmanlarnda alan TLS/SSL ve SSH gibi protokollerin kullanlabilmesi iin, ilgili uygulamann bu protokolleri desteklemesi gerekmektedir.
IPv6 Alarnda IPsec Kullanm

Eriim kontrol, paket baznda btnlk kontrol, kaynak dorulamas, paket sras btnlk kontrol ile tekrarlanan paketlerin tespit ve re ddedilmesi, ifreleme ile paket ieriinin gizlenmesi, IPsec kullanlarak ada uygulanabilecek gvenlik nlemleri arasnda yer almaktadr. Bahsedilen gvenlik nlemleri Dorulama Bal (Authentication Header - AH) ve Kapsllenmi Gvenlik Yk Bal (Encapsulating Security Payload - ESP) protokolleri ile salanmaktadr. Bu protokollere ek olarak anahtar datm ve ynetimi ile ilgili olarak nternet Anahtar Deiimi (Internet Key Exchange - IKE) protokol de kullanlmaktadr. IPsec, IPv6 tasarmnn bir parasdr. IPv6 alarnda IPsec kullanm ESP ve AH uzant balklar ile mmkndr. ESP uzant bal kullanlarak gizlilik (ifreleme ile), paket baznda btnlk, kaynak dorulamas gvenlik tedbirleri uygulanabilir. AH bal kullanlarak ise adaki paketlerin btnlk kontrol ve kaynak dorulamas salanabilir. ESP veya AH, paketlerin tekrarlanmas temelli saldrlara kar koruma salamaktadr. ESP gizlilik ve dorulama, AH ise dorulama salamaktadr. Aralarndaki temel fark dorulama kapsamlardr. ESP paket baln dorulamamaktadr. Tnel kipinde orijinal paket bal
dorulanmakta ama yeni retilen paket bal dorulanmamaktadr. AH ise her iki kipte de btn paketi dorulamaktadr. ESP ek bal sadece -ifreleme veya sadece-dorulama yapacak ekilde kullanlabilir. Ancak dorulama yaplmadan ifreleme gvenli olmad iin nerilmemektedir. ESP ve AH ek balklarnn birlikte kullanlmas ile ilgili daha detayl bilgi v e gvenlik nerileri RFC 2406da yer almaktadr. IPv6 protokol ile IPsec desteinin getirilmi olmas, IPv6 alarnn tamamnda IPsec kullanlaca ynnde yanl bir ngr oluturmaktadr. Bu yanl ngr ile IPv6 alarnn IPv4 alarndan daha gvenli olaca ne srlmektedir. IPsec destei zorunlu olmasna ramen tm IPv6 alarnda IPsec kullanm , ynetilebilirlik ve cihazlarn ilem gc asndan mmkn gzkmemektedir. IPsec kullanm ortadaki adam ve paket koklama saldrlarna kar a gvenli hale getirmektedir. Ancak ESP ve AH kullanlan bir ada ynetilebilirlik (paket tabanl politika uygulanamamas, an izlenememesi, adaki problemlerin tespit edilememesi, giderilememesi) ve gvenlik (derin paket incelemesinin mmkn olmamas, ifrelenmi pakete anti virs taramas yaplamamas) problemleri oluturmaktadr. Saldrnn IPs ec kullanan bir istemciden kaynaklanmas da mmkndr (trojan, solucan vb. zararl yazlmlar). IPsec ada iki yntem kullanlarak uygulanabilir. Yntemlerden ilki olan transport kipinde IPsec kullanarak iletiim salayan u noktalar birbiriyle dorudan balantldr. Bu yntemde orijinal IPv6 bal ifrelenmedii veya deitirilmedii iin ynlendirme kurallarnda bir deiiklik olmaz. ESP, paket bal dndaki blm ifrelemekte ve/veya dorulamaktadr. AH ise IPv6 bal dhil tm paketi dorulamaktadr. Paket balnda yer alan IP adresleri ve port numaralar deitirilirse paket btnlk deeri deieceinden dorulama gerekleemez. Transport kipinde ESP ve AH kullanm paket rnekleri srasyla ekil 15 ve ekil 16da verilmitir.
ekil 15: Transport kipinde ESP kullanm paket yaps
ekil 16: Transport kipinde AH kullanm paket yaps
Tnel kipi, IPsec uygulamasnda ikinci yntemdir. Tnel kipinde istemciden istemciye yolun bir blmnde yer alan iki a cihaz arasnda tnel oluturulur. Arasnda tnel oluturulan cihazlar gvenlik a geidi (security gateway) olarak adlandrlmaktadr. Bu kipte IP paketi
yeni bir IP bal oluturularak sarmalanr. ESP tnel kipinde kullanldnda yeni bir IP bal oluturulur. Orijinal IP bal ifrelenen ksmda kalr ve yeni oluturulan balk ile sarmalanr. AH tnel kipinde kullanldnda ise orijinal balk hem sarmalanm pakette, hem de sarmalayan pakette kullanlr. Bu durumda AH tm paket iin dorulama gerekletirir. Tnel kipinde ESP ve AH kullanm paket rnekleri srasyla ekil 17 ve ekil 18 de verilmitir.
ekil 17: Tnel kipinde ESP kullanm paket yaps
ekil 18: Tnel kipinde AH kullanm paket yaps
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 49 / 100
BLM 4: IPV6 GE YNTEMLER

Gnmzde nternet altyapsnda yaygn olarak kullanlan IPv4n kademeli olarak yerini yeni nesil nternet protokol olan IPv6ya brakmas beklenmektedir. Gelecekte btn servisler ve a altyaps IPv6ya tandnda btn cihazlar yaln IPv6 olarak yaplandrabilecektir. Ancak gei aamasnda yaln IPv6 destei salanana kadar IPv4 ve IPv6 belirli bir sre birlikte kullanlacaktr. Bu gei srecinde her iki protokoln birlikte kullanmna olanak salamak zere IETF tarafndan nerilen gei yntemleri 3 ana balkta incelenebilir: 1. kili Yn (Dual Stack), 2. Tnelleme (Tunelling) 3. eviriciler (Translation) kili yn gei ynteminin, gvenlik ve performans asndan en uygun gei yntemi olup , eitli nedenler ile bu yntemin kullanlamad durumlarda tnelleme ve evirici yntemleri kullanlabilir. Tnelleme yntemlerindeki balca problemler tnel ular arasndaki trafiin izlenmesi ve kontrol edilmesinin zorluudur. Bu ve benzeri ynetim ve gvenlik zafiyetlerinden dolay tnel yntemlerinin mecbur kalnmadka kullanlmamas, kullanldnda ise a yneticilerinin durumdan haberdar olmas salanmaldr. El ile ayarlanm tneller, dinamik kurulan tnellere gre, tnel balang ve biti noktalar statik olarak belirlendiinden daha gvenlidir, ancak el ile ayarlanm tnellerin ada ok sayda noktada kullanlmas a ynetimini zorlatrmaktadr. Aada her gei yntemi ksaca tantlarak, yaygn olarak kullanlan gei yntemleri ile ilgili temel yaplandrma bilgilerine yer verilmitir.
kili Yn Gei Yntemi

kili yn gei yntemi kullanlan alarda istemciler, sunucular ve a cihazlar her iki protokol de desteklemektedir. Adaki her cihazn IPv4 ve IPv6 adresleri vardr. ekil 19da yer alan rnek ikili yn anda A, D istemcileri ve B, C ynlendiricileri ikili yn yntemini kullanmaktadr. Bu a yapsnda tm ularn IPv4 ve IPv6 adresleri vardr. Ular aralarndaki iletiimi, IPv4 adresleri ile IPv4 protokol zerinden veya IPv6 adresleri ile IPv6 protokol zerinden gerekletirebilirler. Tm ularda her iki protokol iin de ynlendirme bilgisi tutulmaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 50 / 100
ekil 19: kili Yn Alarn Haberlemesi
ekil 20da yer alan rnek a yapsnda grld zere ikili yn yntemini kullanan istemci A; IPv4 istemci C ile IPv4 protokol zerinden, IPv6 istemci D ile IPv6 protokol zerinden haberleebilmektedir.
ekil 20: kili Yn A ile IPv4 ve IPv6 Ularn Haberlemesi
kili Yn Alarda IP Srmnn Seimi kili yn yntemini kullanan alarda DNS sunucular IP kaytlar iin A (IPv4) ve AAAA (IPv6) kayd tutmaktadr. Bu nedenle DNS sunucular istemcilerin alan adlar iin yapt sorgulara hem IPv4 hem de IPv6 adres bilgisi dnmektedir. A cihazlarna ikili yn destei verilmesi durumunda varsaylan iletiim protokol IPv6dr. Bu nedenle ikili yn destekli istemciler, herhangi bir adrese balanmak istediklerinde balanlan adrese ait IPv6 alan ad kaydnn bulunmas durumunda balant IPv6 zerinden gerekletirilmeye allr. IPv6 alan adnn bulunamamas veya IPv6 zerinden balanlamamas durumunda sunucuya IPv4 zerinden balanlr.
kili Yn Bileenleri
kili Yn stemci kili yn istemci, hem IPv4, hem de IPv6 adresine sahiptir. Bunun iin istemcinin a katmannda hem IPv4 hem de IPv6 destei bulunmas gereklidir. Windows Vista, Windows 7, FreeBSD, Debian, Ubuntu iletim siste mlerinde iki protokol destei varsaylan olarak gelmektedir. FreeBSDde IPv6 desteini aktif hale getirmek i in ipv6_enable=YES satr /etc/rc.conf dosyasna eklenmelidir. Windows XP SP2 ve sonraki srmlerinde IPv6 desteini aktif hale getirmek iin netsh interface ipv6 install komutu kullanlmaldr. kili yn istemcilerde ynlendirme her iki protokol iin ayr ayr ayarlanmaldr. Farkl iletim sistemleri iin IP adresi atama ve varsaylan ynlendirme ile ilgili ayarlar ilerleyen blmlerde verilmitir. kili Yn Ynlendirici kili yn ynlendiriciler hem IPv4 ana hem de IPv6 ana balant salamaktadr. kili yn ynlendiricilerde her iki protokoln ayn anda almas nedeniyle, gvenlik ve ynetim asndan baz hususlara dikkat edilmelidir. kili yn ynlendiriciler her iki protokol iin de gncel ynlendirme tablolarn oluturacak ekilde yaplandrlmaldr. Ayn zamanda her iki protokol iin de gvenlik kurallar oluturulmal ve gncellenmelidir. kili yn yaplandrma rnekleri ilerleyen blmlerde verilmitir.
kili Yn Yaplandrmas
Cisco IOS Cisco IOS iin IPv4 ve IPv6 adres yaplandrmalar aada verilmitir. Bu yaplandrmalara ek olarak IPv4 ve IPv6 ynlendirme bilgisi statik olarak girilebilir veya ynlendirme protokollerinden biri kullanlabilir.
interface Vlan26 ip address 172.16.30.17 255.255.255.248 ipv6 address 2001:db8:1::6/125 ipv6 enable !
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 52 / 100
FreeBSD FreeBSD iletim sistemine IPv4 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig fxp0 inet 172.16.30.211 netmask 255.255.255.248 /sbin/route add default 172.16.30.209
FreeBSD iletim sistemine IPv6 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig fxp0 inet6 2001:db8:1:1::2/64 /sbin/route add -inet6 default 2001:db8:1:1::1
Linux Linux iletim sistemine IPv4 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig eth0 inet 172.16.30.5 netmask 255.255.255.0 /sbin/route add default gw 172.16.30.1
Linux iletim sistemine IPv6 adresi atamak ve varsaylan ynlendirici adresini tanmlamak iin kullanlan komutlar aada belirtilmitir.
/sbin/ifconfig eth0 add 2001:db8:1:1::3/64 /sbin/route add --inet6 default gw 2001:db8:1:1::1
Windows XP Windows XP iletim sistemine grafik arayz kullanlarak A Balantlarm balndan IPv4 adres ve varsaylan a geidi ayarlar yaplabilir. Komut satr kullanlarak ise aada verilen komut kullanlarak IPv4 adres ve varsaylan a geidi atama ilemi gerekletirilebilir.
netsh interface ip set address "Local Area Connection" static 192.168.0.2 255.255.255.0 192.168.0.1
Windows XP iletim sisteminde, ilk kurulumda IPv6 destei yer almamaktadr. IPv6 desteinin kullanlabilmesi grafik arayz kullanlarak A Balantlarm balnda yer alan ilgili a balants zelliklerinden yklenebilmektedir. Bir baka yntem ise komut satrndan netsh interface ipv6 install komutu altrlarak IPv6nn aktif hale getirilmesidir. IPv6 yaplandrlmas komut satrnda netsh interface ipv6 add address InterfaceNameOrIndex IPv6Address
komutu kullanlarak yaplabilmektedir. InterfaceNameOrIndex parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. IPv6 adres ve varsaylan a geidi yaplandrlmasnn komut satrndan yaplabilmesi iin gerekli komutlar srasyla aada verilmitir.
netsh interface ipv6 install netsh interface ipv6 set address Local Area Connection 2001:db8:1:dede::23 netsh interface ipv6 add route ::/ "Local Area Connection"
Windows 7 / Vista Windows XP den farkl olarak, Windows 7 / Vista iletim sistemlerinde IPv6 destei kurulumda otomatik olarak gelmektedir. IPv4/IPv6 ayarlar grafik arayz veya komut satrnda netsh interface ipv6 add address InterfaceNameOrIndex IPv6Address komutu kullanlarak yaplabilmektedir. InterfaceNameOrIndex parametresi netsh interface ipv6 show interface komutunun ktsndan elde edilebilir. IPv4/IPv6 adres ve varsaylan a geidi yaplandrlmas komut satrndan yaplabilmesi iin gerekli komutlar srasyla aada verilmitir.
netsh interface ip set address "Local Area Connection" static 192.168.0.2 255.255.255.0 192.168.0.1 netsh interface ipv6 set address Local Area Connection 2001:db8:1:dede::23 netsh interface ipv6 add route ::/ "Local Area Connection"
6to4 Gei Yntemi (Tnelleme)

6to4 gei yntemi, ynlendirici ynlendirici veya ynlendirici - istemci arasnda kurulan tnel ile aa IPv6 balants salamaktadr. Bu yntem kullanlarak IPv6 destei olan ancak yaln IPv6 balants bulunmayan ular IPv6 ana balanabilir. Dier tnelleme yntemlerine gre daha ok tercih edilen bir yntemdir. 6to4 ynteminde; 6to4 istemci, 6to4 ynlendirici ve 6to4 nakledici ynlendirici olmak zere 3 bileen bulunmaktadr. 6to4 istemcinin rettii IPv6 paketi, 6to4 ynlendiriciler zerinde IPv4 paketine sarmalanr. IPv4 a zerinden 6to4 nakledici ynlendiriciye ulaan sarmalanm paketin sarmalamas alr ve IPv6 paketi 6to4 nakledici ynlendirici araclyla IPv6 ana iletilir. Sarmalama ve sarmalama ama ilemleri 6to4 ynlendiricide, 6to4 nakledici (relay) ynlendiricide veya 6to4 istemci/ynlendiricide gerekletirilmektedir. 6to4 istemci/ynlendirici, 6to4 Yntemi Bileenleri balnda anlatlmtr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 54 / 100
6to4 gei ynteminde kullanlan adres yaps ekil 21de verilmitir. Bu adres yapsnda ilk 16 bit, 6to4 neki (2002) olarak belirlenmitir. 17. ve 32. bitler arasnda, kullanlan 6to4 ynlendiricinin IPv4 adresinin onaltlk dzende gsterimi (IPV4ADDRR) yer almaktadr.
ekil 21: 6to4 Adres Yaps
6to4 gei ynteminin avantaj ve dezavantajlar aada zetlenmitir. Avantajlar: Kurulan tnelin kullanm geerli oturum sonlandnda biter. 6to4 yntemi kullanan ve ynlendirici ilanlarn kabul ederek otomatik ayarlanabilen bir istemci zerinde ek herhangi bir ayar yapmaya gerek yoktur. 6to4 tnelleri dinamik olduu iin servis salayc tarafnda nakledici ynlendirici yaplandrlmas, birden fazla istemcinin bu hizmeti kullanmas iin yeterlidir.
Dezavantajlar: NAT arkasnda kalan istemciler, NAT cihaz ile 6to4 ynlendirici ayn cihaz deilse, bu yntemi kullanamaz. 6to4 a ierisinde /48 adres blou kullanlmaktadr. Bir 6to4 anda daha fazla adres kullanlamaz. Servis salayclar ok noktadan tek noktaya alan dinamik tnellerden geen trafii takip etmekte zorlanabilir. 6to4 IPv6 adres neki, geerli IPv4 adresinden tretilmektedir. Bu nedenle yaln IPv6 kullanmna geildiinde an yeniden adreslenmesi gerekmektedir.
6to4 Yntemi Bileenleri

6to4 ynlendirici 6to4 ynlendirici, 6to4 a ve IPv4 a arasnda yer almakta olup, 6to4 istemcilerinden gelen IPv6 paketlerini, IPv4 paketine sarmalar ve IPv4 a zerinden 6to4 nakledici ynlendiriciye iletir. 6to4 ynlendiricinin IPv4 ana bal arayzne kresel (ynlendirilebilir) bir IPv4 adresi (IPV4ADDRR) atanmaldr. Bu adres 6to4 ana duyurulacak IPv6 adresinin oluturulmasnda kullanlmaktadr.
6to4 ynlendiricinin 6to4 ana bal arayzne 2002::/16 nekine sahip 6to4 adresi atanmaldr. Bu adres 2002:IPV4ADDRR::/48 nekini iermektedir. Bu arayz ile 6to4 istemcilerin IPv6 adresi alrken kullanacaklar nek 6to4 ana duyurulmaktadr. rnein; 6to4 ynlendiricinin IPv4 arayznde 172.16.30.193 adresi kullanlmakta ise bu adresin onaltlk dzende gsterimi ac10:1ec1 eklindedir. Alt alan a ekinin baba olduu durumda 6to4 arayznden duyurulacak nek 2002:ac10:1ec1:baba::/64 eklinde olacaktr. NOT: 6to4 a kurabilmek iin IPv4 ana eriebilen ve kresel IPv4 adresine sahip bir ynlendirici kullanlmaldr. NAT arkasnda yer alan ve sanal IP adresine sahip bir bilgisayar, eer protokol 41 o bilgisayara ynlendirilmise bu yntemi kullanabilir. Bu durumda tek bir istemci kullanlabilir. 6to4 istemci 6to4 istemci, 6to4 ynlendirici tarafndan duyurulan 2002:IPV4ADDRR:SUBNETID::/64 nekine sahip IPv6 adresini oluturur ve kullanr. 6to4 istemci aa balanrken a adresini kendisi oluturur ve varsaylan ynlendirici adresini de ynlendirici ilan ile otomatik olarak alr. 6to4 anda, istemci zerinde herhangi bir sarmalama veya sarmalama ama ilemi yaplmamaktadr. 6to4 istemci/ynlendirici Bir ada hem 6to4 istemci hem de 6to4 ynlendirici gibi alan cihazlar da bulunabilir. Windows Vista iletim sistemi 6to4 istemci uygulamas istemci/ynlendirici uygulamasna rnek olarak verilebilir. 6to4 istemci/ynlendirici cihazlar 6to4 istemcilerinden farkl olarak sarmalama ve sarmalama ama ilemleri kendi stlerinde gerekletirirler. Baka bir deyile tnel 6to4 istemci/ynlendirici ile 6to4 nakledici ynlendirici arasnda kurulmaktadr. 6to4 nakledici ynlendirici 6to4 nakledici ynlendirici, 6to4 ve IPv6 alar arasndaki iletiim salamak iin kullanlr. 6to4 nakledici ynlendiricilerde bir adet 6to4 adresine sahip arayz ve bir adet IPv6 adresine sahip arayz bulunmaldr. Nakledici/ynlendirici kullanm ile ilgili tanmlar RFC 3068de verilmitir. RFC 3068 en yakn nakledici ynlendiricinin bulunabilmesi iin IPv4 herhang i birine gnderim (anycast) adresi olarak 192.88.99.1 adresinin kullanlmasn nermektedir. 192.88.99.1 herhangi birine gnderim adresinin 6to4 nakledici ynlendirici adresi olarak kullanlmas ile 6to4 ynlendiricilerin kendilerine a zerinden en yakn 6to4 nakledici ynlendiricinin adresini bulmas amalanmtr. En yakn 6to4 nakledici iletim sistemine gre traceroute ya da tracert komutu ile tespit edilebilir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 56 / 100
[root@R1BSD ~]# traceroute 192.88.99.1 traceroute to 192.88.99.1 (192.88.99.1), 64 hops max, 40 byte packets 1 172.16.30.17 (172.16.30.17) 0.726 ms 1.827 ms 1.878 ms 2 172.16.0.157 (172.16.0.157) 0.179 ms 0.157 ms 0.181 ms 3 172.16.0.14 (172.16.0.14) 0.590 ms 0.563 ms 0.480 ms 4 172.16.10.250 (172.16.10.250) 6.676 ms 6.746 ms 6.774 ms 5 62.40.125.153 (62.40.125.153) 17.256 ms 17.203 ms 17.157 ms 6 62.40.112.193 (62.40.112.193) 29.942 ms 29.899 ms 29.930 ms 7 62.40.112.41 (62.40.112.41) 37.626 ms 37.580 ms 37.627 ms 8 62.40.112.38 (62.40.112.38) 45.316 ms 45.470 ms 45.418 ms 9 62.40.124.34 (62.40.124.34) 47.410 ms 45.773 ms 45.816 ms 10 188.1.145.197 (188.1.145.197) 49.306 ms 49.764 ms 49.210 ms 11 188.1.145.166 (188.1.145.166) 49.413 ms * 49.827 ms
6to4 letiim rnekleri ki 6to4 ann haberlemesi
ekil 22: ki 6to4 Ann Haberlemesi
ekil 22de iki 6to4 ann haberlemesi rnek a yaps zerinden gsterilmitir. Bu a yapsnda farkl 6to4 alarnda yer alan 6to4 istemcileri A ve Dnin, 6to4 ynlendiriciler B ve C araclyla IPv4 a zerinden haberlemesinde gerekleen aamalar aada aklanmtr. A , Bnin 6to4 arayznden gnderdii ynlendirici ilan ile 2002::/16 nekine sahip IPv6 adresi ve Bnin 6to4 adresini alr. A, oluturduu IPv6 paketini Bye iletir. 6to4 arayznden IPv6 paketini alan B, IPv6 var adresinden, IPv4 var adresini karr. IPv6 paketini IPv4 paketine sarmalar ve sarmalanm paketi IPv4 arayzn kullanarak IPv4 ana gnderir. Sarmalanm paketi alan C paketi aar. IPv6 paketini, 6to4 arayznden 6to4 ana gnderir. D ald IPv6 paketini iler ve ayn yolu kullanarak pakete cevap verir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 57 / 100
6to4 ann IPv6 a ile haberlemesi ekil 23de verilen rnek a yapsnda; Ann (6to4 istemci), D (IPv6 istemci) ile haberlemesi gsterilmitir. Bu haberlemede IPv6 paketinin IPv4 paketine sarmalanmas ve IPv4 a zerinden Cye (6to4 nakledici ynlendirici) iletilmesini, B (6to4 ynlendirici) salamaktadr. IPv4 paketine sarmalanm IPv6 paketinin sarmalamasnn almasn ve IPv6 paketinin IPv6 ana iletilmesi C (nakledici ynlendirici) dmnde gereklemektedir.
ekil 23: 6to4 Ann IPv6 A ile Haberlemesi
Haberleme esnasnda gerekleen admlar aada detayl olarak aklanmtr. A , Bnin 6to4 arayznden gnderdii ynlendirici ilan ile 2002::/16 nekine sahip IPv6 adresi ve Bnin 6to4 adresini alr. Oluturduu IPv6 paketini Bye iletir. 6to4 arayznden IPv6 paketini alan B, 192.88.99.1 adresini kullanarak en yakn nakledici ynlendiricinin (Cnin) IPv4 adresini renir. Tnelin biti noktas olarak bu IPv4 adresini kullanr. Baka bir deyile IPv6 paketini sarmalad IPv4 paket balndaki var IPv4 adresi, Cnin IPv4 adresidir. IPv4 arayznden sarmalanm paketi alan C, paketin sarmalamasn aar. IPv6 paketini, IPv6 arayzn kullanarak IPv6 ana gnderir. D ald IPv6 paketini iler. Cevab kendisine en yakn nakledici ynlendirici ( E ) zerinden gnderir. En yakn nakledici ynlendirici, paketin gelirken zerinden getii nakledici ynlendirici olmayabilir.
6to4 istemci/ynlendirici cihazlarn 6to4 ve IPv6 alar ile haberlemesi 6to4 istemci/ynlendirici cihazlarnn da 6to4 alar ve IPv6 alar ile haberlemesi 6to4 istemcilerin haberlemesine benzer ekilde gereklemektedir. 6to4 alarnn 6to4 ve IPv6 alar ile haberlemesi durumlarndan farkl olarak sarmalama ve sarmalama ama ilemleri 6to4 ynlendirici yerine, 6to4 istemci/ynlendirici zerinde gerekletirilmektedir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 58 / 100
6to4 Yaplandrmas
Bu blmde IPv4 balants bulunan ularn 6to4 yntemini kullanarak dier 6to4 alarna ve IPv6 alarna balanmalar iin yaplandrma bilgileri yer almaktadr. FreeBSD FreeBSD iletim sistemi varsaylan ayarlaryla ynlendirici ilanlarn kabul etmemektedir. 6to4 ana yerletirilen FreeBSD istemcinin, otomatik 6to4 adresi almas iin, 6to4 ynlendiricinin duyurduu ynlendirici ilann kabul etmesi gerekmektedir. FreeBSD iletim sisteminin ynlendirici ilanlarn kabul etmesi iin gerekli komut aada verilmitir.
sysctl w net.inet.ip6.accept_rtadv=1
IPv4 anda yer alan, kresel IPv4 adresine sahip FreeBSD istemcinin 6to4 yntemini kullanarak IPv6 ana balanabilmesi iin istemci/ynlendirici olarak ayarlanmas gerekmektedir. Bu, FreeBSD zerinde tanmlanan tnel arayz ile IPv4 paketine sarmalanm IPv6 paketlerinin 6to4 nakledici ynlendirici zerinden IPv6 ana iletilmesi ile gerekletirilmektedir. FreeBSD iletim sisteminde tnel kurulumu iin komut rnei aada yer almaktadr. Bu rnekte yer alan 172.16.30.211 iletim sisteminin IPv4 adresidir. Bu rnekte 6to4 nakledici ynlendirici olarak en yakn nakledici ynlendiricinin cevap verdii 192.88.99.1 herhangi birine gnder adresi kullanlmtr. 2002:c18c:1ed3::1/128 istemciye atanm 6to4 adresidir. 6to4 adresinde yer alan c18c:1ed3, IPv4 adresinin onaltlk tabanda gsterimidir.
ifconfig gif0 create ifconfig gif0 tunnel 172.16.30.211 192.88.99.1 ifconfig gif0 inet6 alias 2002:c18c:1ed3::1/128 route add -inet6 default -interface gif0
Linux 6to4 ana yerletirilen Linux iletim sitemine sahip istemci, ynlendirici ilanlarn kabul etme zellii almsa, otomatik olarak 6to4 adresi alacak ve IPv6 ana balanacaktr. IPv4 ana yerletirilen Linux iletim sistemine sahip istemciye IPv6 balants salayabilmek iin, iletim sistemine tnel arayz tanmlamak gerekmektedir. Tnel arayz yaplandrmas iin gerekli komutlar aada verilmitir. Bu rnekte 172.16.30.212 istemcinin IPv4 adresidir. IPv4 adresinin onaltlk tabanda gsterimi kullanlarak oluturulan 2002:c18c:1ed4::1 adresi tnel arayzne atanmtr. Verilen rnek komutlarn son iki satr ynlendirme ayarlarn iermektedir. rnekte IPv6 trafii (2000::/3) 172.16.30.214 nakledici ynlendiricisine iletilmektedir. Son satrdaki komut kullanlrsa, IPv6 trafii en yakn nakledici ynlendirici (192.88.99.1) kullanlarak IPv6 ana iletilecektir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 59 / 100
ip tunnel add tun6to4 mode sit remote any local 172.16.30.212 ttl 64 ip link set dev tun6to4 up ip -6 addr add 2002:c18c:1ed4::1/128 dev tun6to4 ip -6 route add 2000::/3 via ::172.16.30.214 dev tun6to4 metric 1 #ip -6 route add 2000::/3 via ::192.88.99.1 dev tun6to4 metric 1
Aada, eski Linux srmlerinde yer alan sit0 arayz kullanlarak yaplan 6to4 ayar gsterilmitir.
ifconfig sit0 up ifconfig sit0 add 2002:9d3c:0001::1570:6000:0001/48 route -A inet6 add 2000::/3 gw ::192.88.99.1 dev sit0
Windows XP Windows XP iletim sistemi ykl bilgisayarlar 6to4 arayznn yaplandrmasn istemcinin kresel IPv4 adresine sahip olduu fakat dorudan IPv6 balantsna sahip olmad durumlarda otomatik olarak gerekletirmektedir. Otomatik yaplandrmada tek yaplmas gereken 6to4 varsaylan ynlendirici tanmn yapmaktr. Aada gsterilen komut ile, 172.16.30.214 IPv4 adresi varsaylan nakledici ynlendirici olarak tanmla nmaktadr. Statik nakledici ynlendirici yerine, en yakndaki 6to4 nakledici ynlendirici kullanlm ak istenirse adres 192.88.99.1 olarak tanmlanmaldr.
netsh int ipv6 6to4 set relay 172.16.30.214
Windows Vista / Windows 7 Kresel IPv4 adresine sahip Windows Vista ve Windows 7 iletim sistemleri eer IPv6 balantsna sahip deilse, 6to4 arayzn otomatik olarak yaplandrmaktadr. Bu yaplandrmada varsaylan a geidi olarak en yakn 6to4 nakledici ynlendiricinin cevap verdii 192.88.99.1 (6to4 herhangi birine gnderim adresi) kullanlmaktadr.
netsh int ipv6 6to4 set relay 192.88.99.1
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 60 / 100
Teredo Gei Yntemi (Tnelleme)

Teredo gei yntemi ynlendirici ile istemci arasnda kurulan bir tnelleme yntemidir. Teredo gei ynteminin temel amac NAT veya gvenlik duvar arkasnda kalan istemcilerin IPv6 ana balanmalarn salamaktr. Bu yntemin 6to4 ve ISATAP yntemlerinin kullanlamad durumlarda son are olarak kullanlmas nerilmektedir. Teredo gei ynteminde Teredo sunucu, Teredo istemci ve Teredo nakledici olmak zere 3 bileen bulunmaktadr. Tnel, Teredo nakledici ile Teredo istemci arasnda kurulmaktadr. Bu yntemde IPv6 paketi, IPv4 UDP paketine sarmalanarak gnderilmektedir. Bu sayede NAT veya gvenlik duvar arkasnda kalan istemciler de bu tnelleme yntemi ile IPv6 ana balanabilmektedir. Teredo ynteminde ekil 24te yer alan adres yaps kullanlmaktadr.
ekil 24: Teredo adres yaps
Bu adres yapsnda ilk 32 bitlik Teredo neki 2001::/32 olarak belirlenmitir. kinci 32 bitlik blmde Teredo sunucusuna ait IPv4 adresinin onaltlk dzende gsterimi yer almaktadr. 16 bitlik bayraklar blm adres tipini ve NAT yapsn belirtmektedir. Son 48 bit istemciye ulaacak olan NAT cihaznn kresel IPv4 adresini ve istemcinin dinledii Teredo portuna ulaacak NAT cihaz portu bilgisini iermektedir. Port bilgisi ieren 16 bitlik blm, NAT cihaz port numaras ile FFFFFFFF arasnda XOR (Bitsel zel Veya) ilemi uygulanarak bulunur. Benzer ekilde son 32 bitlik blm de NAT cihaznn kresel IPv4 adresinin bitlerinin onaltlk dzendeki karl ile FFFFFFFF arasnda XOR (Bitsel zel Veya) ilemi uygulanarak hesaplanr. Teredo istemci zerinde, kullanlacak Teredo sunucunun adresi tanmlanr ve Teredo istemci IPv6 adresi almak iin tanmlanm Teredo sunucuyu kullanr. Aada bu adres yapsna bir rnek verilmitir.
Teredo sunucu IPv4 adresi: 65.55.158.116 Onaltlk gsterimi: 41379e74 Teredo istemciye ulaacak NAT cihaz IPv4 adresi: 172.16.30.213 Onaltlk gsterimi: C18C1ED5 C18C1ED5 XOR FFFFFFFF = 3e73e12a stemci Teredo uygulamas portuna ulaacak NAT cihaz portu: 32767 Onaltlk gsterimi: 7fff 7fff XOR FFFF = 8000 Teredo istemci IPv6 adresi. 2001:0:4137:9e74:8000:fb9b:3e73:e12a
NOT: Teredo nakledicinin, istemcinin hangi NAT cihaznn arkasnda olduunu bilmesi iin NAT cihaznn IPv4 adresi ve port numaras IPv6 adresine gmlmtr. Ancak baz NAT
cihazlar, paketin UDP verisi iinde geen tm NAT cihaz kresel IPv4 adreslerini, istemcinin yerel IP adresi ile otomatik olarak deitirmektedir (SIP veya H.323). Bu ekilde bir deitirme ile nakledici, NAT cihaznn kresel IPv4 adresine eriemeyecektir. Bu kayb engellemek iin kresel IPv4 adresi ve port numaras IPv6 adresi iine gmlrk en XOR ilemine tabi tutulmaktadr.
Teredo Yntemi Bileenleri

Teredo Nakledici Teredo nakledici, Teredo istemci ile IPv6 a arasndaki balanty salamaktadr. Teredo nakledici IPv6 ynlendirme protokollerini kullanarak Teredo nekini 2001::/32 IPv6 ana duyurur, ilikili Teredo sunucu ile iletiim kurar ve 2001::/32 ana gelen trafii tnelleyerek ilgili Teredo istemcisine gnderir. Teredo Sunucu Teredo sunucu, kendisi ile ilikilendirilmi Teredo istemcisinin NAT arkasnda olup olmadn, eer NAT arkasnda ise hangi yapda bir NAT arkasnda olduunu tespit eder. Buna gre istemciye, iinde kendi IPv4 adresi, NAT cihaznn IPv4 adresi ve port bil gisinin bulunduu bir adres atar. Teredo sunucusu, NAT ve/veya gvenlik duvar arkasndaki istemciyi durumdan haberdar ederek istemci ile Teredo nakledici arasndaki iletiimi balatr. Ayn zamanda istemciye belirli aralklarla UDP paketleri gndererek istemci ile iletiiminin devam ettiini dorular. A yneticileri, an izlenebilirliini salamak zere alarnda kendi Teredo sunucularn kurmay tercih edebilirler. Ancak bu durumda gncel Windows iletim sistemi kullanan istemciler zerinde otomatik yaplandrma kullanlmayp, yerel Teredo sunucusu kullanlacak ekilde elle yaplandrlmalar gerekir. Teredo stemci Teredo istemci, kresel IPv4 adresi bulunmayp NAT ve/veya gvenlik duvar arkasnda yer alan bir cihazdr. Teredo istemcinin IPv6 ana balanrken kullanaca Teredo sunucu ayarlanmaldr (NAT arkasndaki gncel Windows iletim sistemine sahip istemciler otomatik olarak teredo.ipv6.microsoft.com adresinde yer alan Teredo sunucusunu kullanmaktadr.) Teredo istemci, Teredo sunucusu araclyla ald IPv6 adresini kullanarak Teredo nakledici zerinden IPv6 ana balanr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 62 / 100
Teredo letiim rnekleri

Teredo Nakledicinin/IPv6 stemcinin Teredo stemciyle Haberlemesi Bir Teredo istemci, Teredo sunucusu araclyla kendisine Teredo nekiyle balayan bir IPv6 adresi aldktan sonra, Teredo nakledici ile istemci arasnda tnel kurulum aamalar ekil 25te gsterilmitir. C (Teredo nakledici) NAT yapsn renmek ve NAT arkasndaki A ile iletiim kurabilmek iin B (Teredo sunucu) ile haberleir. Sonuta Teredo nakledici ve Teredo istemci arasnda tnel kurulumu gerekleir. Admlar aada daha detayl bir ekilde anlatlmtr.
ekil 25: Teredo nakledicinin/istemcinin Teredo istemciye IPv6 paketi gndermesi
1. C Teredo nakledicisi; istemci Aya IPv6 paketi gnderecei zaman, ncelikle Ann IPv6 adresinden Ann ilikili olduu Teredo sunucusunun IPv4 adresini renir. C, NAT yapsn renmek iin Bye IPv6 balon paketi gnderir. 2. Teredo Sunucusu B, kendisine gelen balon paketi Aya iletir. 3. Bylece NAT arkasndaki A Teredo istemcisi ile C Teredo nakledicisi arasnda tnel kurulur. Balon (Bubble) paketleri, Teredo istemciler ve Teredo naklediciler tarafndan NAT yapsn renmek amacyla kullanlan ve sadece IPv6 bal ile bo veri ksm ieren IPv6 paketleridir. Bu iletiimde kritik nokta, Ann durum denetimli (stateful) cihazlarn (NAT, gvenlik duvar vs.) arkasnda olmasdr. Bu durumda C ile A arasnda iletiim salanabilmesi iin Ann durum bilgisi tutan cihazlarda oturum bilgisi oluturmas gerekir. Bu durum hole punching olarak adlandrlmaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 63 / 100
Teredo stemcinin IPv6 stemci ile Haberlemesi
ekil 26: Teredo istemcinin IPv6 istemci ile haberlemesi
IPv4 andaki A Teredo istemcisi, D IPv6 istemcisi ile balant kurmak istediinde kullanlacak Teredo nakledicinin IPv4 adresini ve port numarasn renmek iin B Teredo Sunucusunu kullanr. ekil 26da verilen a yapsnda Ann D ile iletiiminde gerekleen admlar aada belirtilmitir. 1- A, hedef IPv6 adresi D olan bir ICMPv6 Echo Request paketi (ping 6) oluturur. Bu paketi IPv4 paketine sarmalar ve Teredo sunucusu zerinden yollar. 2- B, kendine gelen IPv4 paketinin sarmalamasn aar. Sarmalamay aarak, ICMPv6 paketini Dye iletir. 3- D, kendisine gelen pakete cevap olarak ICMPv6 Echo Reply paketi oluturur ve kendisine en yakn Teredo Nakledici ile bu paketi gnderir. 4- C Teredo nakledicisi, bir nceki blmde anlatlan ekilde Ann IPv4 adresini bularak, A ile kendi arasnda IPv4 tneli oluturur ve paketi iletir.
Teredo Yaplandrmas
Bu blmde farkl iletim sistemleri iin Teredo yaplandrmasna yer verilmitir. Ayrca FreeBSD ve Linux iletim sistemlerinde kullanlan ak kaynak kodlu Teredo uygulamas Miredonun yaplandrlmas anlatlmtr. Miredo Miredo uygulamas, FreeBSD srm 5.5ten itibaren ve Linux (ekirdek 2.4 ve 2.6) iletim sistemleri ile almaktadr. Miredo uygulamas kullanlarak bir bilgisayar, Teredo istemci,
nakledici veya sunucu olarak yaplandrlabilir. Her durum iin de Linux kullanlyorsa TUNTAP ve IPv6 ekirdek modlleri yklenmi olmaldr. Performans artrm iin Miredonun kulland dinamik ktk ktphanesi Judynin de kurulmas nerilmektedir. FreeBSD portlarndan kurulum yapldnda Judy otomatik olarak yklenmektedir. Teredo Nakledici Yaplandrlmas Teredo nakledici kresel bir IPv4 ve IPv6 adresine sahip olmaldr. Arayzler aras paket iletimi alm olmaldr. FreeBSD iin arayzler aras IPv4 ve IPv6 paketlerinin iletilmesini aktif hale getirmek iin gerekli komutlar aada belirtilmitir.
sysctl w net.inet.ip.forwarding=1 sysctl w net.inet6.ip6.forwarding=1
/usr/local/etc/miredo/miredo.conf dosyasnn rnek ierii aada verilmitir. Bu ayar dosyasnda yer alan DIR_IPv4_PUBLIC, Teredo nakledicinin kresel IPv4 adresini temsil etmektedir. Prefix parametresi ile 2001:: /32 neki Teredo istemcilerine duyurulmaktadr.
RelayType relay InterfaceName teredo BindAddress DIR_IPv4_PUBLIC BindPort 3545 Prefix 2001:0:: InterfaceMTU 1280
Teredo Sunucu Yaplandrmas Teredo sunucusu, NAT mimarisini tanmlayabilmek iin kullanlan, iki tane kresel IPv4 adresine sahip olmaldr. Bu iki IPv4 adresinin ardk olmas nerilmektedir. ki IPv4 adresi ayn arayz zerinde veya iki farkl arayz zerinde tanmlanabilir. Teredo sunucusuna bir adet IPv6 adresi atanmal ve Teredo sunucusunun IPv6 balants salanmaldr. Miredo uygulamas, Teredo sunucu kurmak iin kullanldnda /usr/local/etc/miredo/miredo-server.conf dosyas aada verilen satrlar iermelidir. DIR_IPv4_PUBLIC_1 ve DIR_IPv4_PUBLIC_2 Teredo sunucunun sahip olduu kresel IPv4 adreslerini temsil etmektedir.
Prefix 2001:0:: InterfaceMTU 1280 ServerBindAddress DIR_IPv4_PUBLIC_1 ServerBindAddress2 DIR_IPv4_PUBLIC_2
Son adm olarak /usr/local/sbin/miredo-server komutu root kullancs ile altrlarak Teredo sunucusu altrlr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 65 / 100
Teredo stemci Yaplandrmas FreeBSD ve Linux FreeBSD ve Linux iletim sistemlerinin Teredo istemci olarak almas iin Miredo kullanlabilir. Miredo kurulumu ile ilgili bilgiler Teredo Yaplandrmas bal altnda verilmitir. Miredo kurulduunda varsaylan yaplandrma dosyas /usr/local/etc/miredo/miredo.conf teredo istemci modunda, Teredo sunucusu olarak teredo.remlab.net sunucusunu kullanacak ekilde yaplandrlmtr. Varsaylan sunucu, ServerAddress parametresi ile deitirilebilir. Windows XP Windows XP iletim sistemi kullanan istemciler iin Teredo sunucusu aadaki gibi tanmlanr.
nets hint ipv6 set teredo client teredo_server refresh_interval client_port
Verilen komutta yer alan deikenlerin temsil ettii deerler aada aklanmtr: teredo_server: Kullanlacak Teredo sunucusu. refresh_interval: Saniye cinsinden istemci gncelleme aral. client_port: Teredo istemci tarafndan kullanlacak port numaras.
stemcinin Microsoftun Teredo sunucusunu kullanacak ekilde yaplandrlmas iin kullanlan komut aada yer almaktadr.
netsh int ipv6 set teredo client teredo.ipv6.microsoft.com
Not: Windows XP SP3 zerinde yaplan testlerde, Teredo arayz ve Teredo sunucu yaplandrlmas ncesinde 6to4 arayz kullanm d braklmaldr. Windows Vista / Windows 7 IPv6 balantsna sahip olmayan ve sanal IPv 4 adresine sahip Windows Vista ve Windows 7 iletim sistemleri Teredo arayzn otomatik olarak yaplandrmaktadr. Varsaylan Teredo sunucusu olarak teredo.ipv6.microsoft.com adresi ayarlanmaktadr. Bu sunucu ile ilikilendirilmi IPv6 adresi istemciye otomatik olarak atanmaktadr. Bu sunucudan farkl bir Teredo sunucusu kullanlmak istenirse aadaki komut kullanlabilir.
netsh int ipv6 set teredo client teredo.ipv6.net.tr
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 66 / 100
TRT (Transport Relay Translator) Gei Yntemi (eviri)

TRT (Transport Relay Translator) gei yntemi, OSI referans modeli tama (transport) katmannda alan bir eviri yntemidir. IPv6 destei verilememi IPv4 cihazlara (rnein IPv4 web sunucular) IPv6 protokoln kullanarak erimek iin kullanlmas planlanmtr. TRT yntemini kullanan bir ada 3 bileen yer almaktadr. Bunlar IPv6 istemci, IPv4 istemci ve TRT ynlendiricidir. IPv6 andan IPv4 ana iletiim salamak iin TRT IPv6 neki belirlenerek TRT ynlendiricide alan uygulama zerinde yaplandrlmaldr. IPv6 anda bu neki ieren adrese giden trafik TRT ynlendiriciye iletilmelidir. Bu amala, IPv6 ve IPv4 istemciler zerinde adres ve a geidi yaplandrmasndan sonra, TRT neki iin ynlendirme ayarlar da yaplmaldr. Yaln IPv6 istemci, TRT IPv6 nekinin sonuna erimek istedii IPv4 istemcisinin adresini ekler. TRT ynlendirici, TRT nekine sahip paketleri bir istemciden alr, dier istemciye yeni bir TCP/UDP balants aar ve evrilecek protokoln baln paket verisine ekleyerek gnderir. TRT gei ynteminde kullanlan adres yaps ekil 27de gsterilmitir.
ekil 27 TRT adres yaps
TRT ynteminin avantaj ve dezavantajlar aada belirtilmitir. Avantajlar Yaln IPv6 ve yaln IPv4 kullanan ularda ek bir ayarlama gerekmemektedir. IPv6 dan IPv4e balk evirme prensibi ile alan evirme yntemleri pathMTU ve paralama ilerini gerekletirmelidir. TRT yntemi bir st katmanda gerekletii iin bu durum sz konusu deildir. Dezavantajlar TRT durum bilgisini tutan bir sistemdir. TRT ynlendirici zerinde o an haberleen ularn bilgisini tutmaktadr. ki ucun oturumu tek bir TRT ynlendiricisi zerinden gereklemektedir. Bu da TRT ynlendiricisini tek noktada arza tehdidine kar ak hale getirmektedir. Paket bal deitii iin IPsec ile utan uca gvenlik ve dorulama yntemleri TRT ile kullanlamamaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 67 / 100
TRT A Yaps
ekil 28: TRT a yaps
Yaln IPv6 ve yaln IPv4 iki istemcinin TRT ynlendiricisi araclyla haberlemesi ekil 28deki rnek a yaps zerinden anlatlmtr: 1- A, oluturduu IPv6 paketini hedef adresine ( TRT neki + Cnin IPv4 adresi ) gnderir. rnein: TRT anda 2001:db8:13:eeee::/96 kullanld durumda 172.16.30.219 adresli IPv4 istemciye balant kurmak isteyen IPv6 istemcisi, veri paketlerini 2001:db8:13:eeee::172.16.30.219 hedef adresine gnderir. 2- TRT nekini ieren paketi alan B, oturumu tutar ve IPv4 ana yeni bir oturum aar. IPv6 andan gelen paketi, yeni bal ile IPv4 ana iletir. 3- C, kendisine gelen IPv4 paketini alr ve cevabn B ye gnderir. 4- B, nceki durum bilgisine gre gelen paketi daha nceden alm oturum araclyla A ya gnderir.
Faithd Yaplandrmas
Faithd BSD iletim sistemleri iin yazlm bir TRT eviri yntemi uygulamas olup, IPv6 ile IPv4 istemciler arasnda TCP balantlarnn ynlendirilmesini salar. IPv4 ile IPv6 alar arasnda eviri yapmak iin FreeBSD iletim sisteminde faith sanal arayz kullanlmaktadr. faith arayznn aktif olmas iin ekirdekte aada belirtilen satr yer almaldr.
device faith # IPv6-to-IPv4 relaying (translation)
Faithd uygulamas, faith arayzne gelen TRT nekine sahip trafii dinler ve protokoller arasnda ynlendirilmesini salar.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 68 / 100
Aada yer alan satrlar /etc/rc.local dosyasna eklenmelidir. Bu ayarlar ile ynlendirme tablosunun bozulmamas iin ynlendirme ilan kabul opsiyonu kapatlmakta; arayzler aras IPv6 paketi iletimi almakta ve faith arayz aktif hale getirilmektedir.
/sbin/sysctl net.inet6.ip6.accept_rtadv=0 /sbin/sysctl net.inet6.ip6.forwarding=1 /sbin/sysctl net.inet6.ip6.keepfaith=1
/etc/rc.conf dosyasnda faith arayz iin eviri neki tanmlanmaldr.

#### faith ara yuzu ayarlari ipv6_faith_prefix="2001:db8:13:eeee::"
Faith neki tanmlandktan ynlendirilmelidir.
sonra
bu
neke
sahip
trafik,
TRT
ynle ndiricisine
nek tanm yapldktan sonra hangi protokollerin evirisinin yaplaca belirlenmelidir. evirisi yaplacak protokolleri belirtmek iin iki yntem bulunmaktadr. Yntem 1: faithd evrilecek olan protokol iin manel olarak altrlr. Bu aada yer alan satrlarn /etc/rc.local veya /usr/local/etc/rc.d/faithd.sh benzeri bir balang betiine eklenmesi ile gerekletirilebilir.
/usr/sbin/faithd http /usr/sbin/faithd ftp /usr/libexec/ftpd ftpd -l # http trafigini evirir # ynlendirilmemi FTP trafiini evirir
Yntem 2: Bu yntemde ise evrilecek protokol /etc/inetd.conf dosyasna iine yazlr. Bu yntem iin rnek satr aada belirtilmitir.
ftp stream tcp6/faith nowait root /usr/sbin/faithd ftpd -l
NAT64/DNS64 Yntemi (eviri)

Gei srecinde IPv6 balants salanamayan IPv4 sunuculara eriim salamak iin eitli eviri yntemleri nerilmitir. Bu yntemlerden bir tanesi de paket bal baznda eviri yapan NAT64 yntemidir. Bu yntem NAT64 ve DNS64 olmak zere iki bileen iermektedir. DNS64 AAAA kayd olmayan alan adlar iin belirlenen neki kullanarak AAAA kayd
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 69 / 100
dndrmektedir. DNS64 ile kullanlan neki ieren paketler NAT64 cihazna ynlendirilir ve burada paketlerin IPv6 IPv4 evirimi gerekletirilir. ekil 29da NAT64/DNS64 kullanm gsterilmitir. Yaln IPv6 anda yer alan istemci IPv4 anda yer alan bir sunucuya ulamak istediinde, IPv4 sunucunun AAAA kaydn DNS64 sunucusuna sormaktadr. IPv4 sunucunun AAAA kayd olmad iin DNS64 sunucusu belirlenen nek ile bir IPv6 adresi retir ve cevap olarak dndrr. Varsaylan olarak 64:FF9B::/96 neki kullanlmaktadr. Bu nek NAT64 eviri cihazna ynlendirilmektedir. Bu aamadan sonra iletiim NAT64 cihaz zerinden devam etmektedir.
ekil 29: NAT64/DNS64 Kullanm rnei
NAT64/DNS64 yntemi uygulamas Ecdysis projesi ( http://ecdysis.viagenie.ca ) kapsamnda yazlan betikler ve yamalar ile kullanlabilmektedir. Ecdysis web sayfasnda verilen yamalar kullanlarak Unbound ve Bind ak kaynak kodlu DNS sunucular, DNS64 sunucusu olarak ayarlanabilmektedir. Ayrca yine proje sayfasnda verilen perl betii kullanlarak DNS64 uygulamas altrlabilir. Proje kapsamnda yazlm Linux ekirdek modl veya OpenBSD pf yamas kullanlarak NAT64 evirici altrlabilmektedir.
DNS64 DNS ALG

Ecdysis projesi kapsamnda DNS64 uygulamas 3 farkl yntem ile kullanlabilmektedir. dns64.pl Perl Betii: DNS64 olarak alacak sunucu zerinde altrlacak bu betik 53 numaral porta gelen UDP paketlerini dinlemektedir. Betik bu porta gelen DNS sorgularn varsaylan DNS sunucusuna (rnein /etc/resolv.conf dosyasnda belirtilen) sormaktadr. Dnen cevap AAAA kayd iermiyor ve A kayd ieriyorsa, betik dnen A kaydna (a.b.c.d eklinde bir IPv4 adresi) belirlenen DNS64 nekini eklemektedir (rnein 64:FF9B::a.b.c.d).
Sonuta oluan adresi ulalmak istenen IPv4 sunucunun IPv6 adres kayd olarak istemciye dnmektedir. Ubuntu 10.10-server zerinde yaplan testlerde betiin almas iin libio-socket-inet6-perl, libnet-dns-perl, libnetaddr-ip-perl paketlerinin kurulmasnn gerekli olduu grlmtr. Ek olarak betiin 53 numaral portu dinleyebilmesi iin root kullancs ile altrlmas gerekmektedir. Betik iinde my $PREF64 = "64:FF9B::/96"; satr deitirilerek DNS64 neki ayarlanabilmektedir. Bu nekin /96 veya daha ksa bir a maskesine sahip olmas gerekmektedir. Betik varsaylan olarak sistemde tanmlanan DNS sunucular kullanmaktadr. Kullanlan DNS sunucular betik iinde yer alan my @NAMESERVERS = qw(2001:afaf::301 192.168.10.10); satr ile dzenlenebilmektedir. Dns64.pl betii iinde gerekli ayarlamalar yapldktan sonra aada gsterildii ekilde altrlp test edilebilir. Test iin AAAA kayd olmayan bir alan ad kullanlmaldr. Sonuta dnen cevabn AAAA kayd blm nek ve IPv4 sunucu adresini ierecektir.
# ./dns6to4.pl & # dig @localhost kazan.ulakbim.gov.tr AAAA .... ;; ANSWER SECTION: kazan.ulakbim.gov.tr. 3600 IN AAAA 64:ff9b::c18c:5324
Betik yava almakta ve birden fazla istei ayn anda ileyememektedir. NAT64/DNS64 yntemi deneme amal altrldnda kullanlabilir. Bind: Bind uygulamas DNS64 yamas ile veya yamalanm Bind kaynak kodu Ecdysis web sayfasndan indirilip derlenerek DNS64 sunucusu olarak altrlabilmektedir. Bind uygulamas kurulduktan sonra ayar dosyasnda (named.conf veya named.conf.options) DNS64 neki ayarlanmaldr. rnek aada gsterilmitir. nek a maskesi /96 veya daha ksa olmaldr.
options { dns64-prefix 64:FF9B::/96; }
Bind uygulamas iin gerekli ayarlamalar yapldktan sonra bind uygulamas altrlp, AAAA kayd olmayan bir alan ad iin sorgu gnderilerek uygulama test edilebilir. rnek uygulama aada verilmitir.
# named -c /etc/bind/named.conf # dig @localhost kazan.ulakbim.gov.tr AAAA ;; ANSWER SECTION: kazan.ulakbim.gov.tr. 3527 IN AAAA 64:ff9b::c18c:5324
Unbound: Unbound uygulamas DNS64 yamas ile veya yamalanm Unbound kaynak kodu Ecdysis web sayfasndan indirilip derlenerek DNS64 sunucusu olarak altrlabilmektedir. Unbound uygulamasnda DNS64 zelliini aktifletirilmesi iin unbound.conf dosyasnda module-config ve dns64-prefix deerleri ayarlanmaldr. module-config zellii deeri dns64 ile balamaldr. Ayar dosyasnda dns64-prefix deeri ile DNS64 neki tanmlanmaldr. ki ayar rnek aada verilmitir. DNSSEC kullanlmyor ise module-config zelliinde yer alan validator deeri kaldrlabilir. nek iin belirtilen a maskesi /96 veya daha ksa olmaldr.
module-config: "dns64 validator iterator" dns64-prefix: 64:FF9B::/96
Unbound uygulamas iin gerekli ayarlamalar yapldktan sonra Unbound uygulamas altrlp, AAAA kayd olmayan bir alan ad iin sorgu gnderilerek uygulama test edilebilir. rnek uygulama aada verilmitir.
# unbound -c unbound.conf # dig @localhost kazan.ulakbim.gov.tr AAAA ;; ANSWER SECTION: kazan.ulakbim.gov.tr. 3527 IN AAAA 64:ff9b::c18c:5324
NAT64 IP evirici
NAT64 IP eviricisi Ecdysisi projesi kapsamnda TCP, UDP ve ICMP paketlerini IPv6 IPv4 protokolleri arasnda evirecek ekilde yazlmtr. NAT64 evirici Linux kernel modl veya OpenBSD pf kullanlarak uygulanabilir. alan linux ve Fedora RPM paketleri ile uygulanm NAT64 yntemlerine Ecdysis web sitesi zerinden eriilebilir. Linux Modl: Linux modlnn altrlabilmesi iin ekirdek versiyonu 2.6.31 veya daha yksek olmaldr. Ecdysis web sitesinden ekirdek modl indirilerek derlenmelidir.
# make # make install
Ubuntu 10.10 server zerinde Linux modl derlendikten sonra depmod -a komutu altrlarak modl listesinin gncellenmesi gerekmektedir. Modl derlendikten sonra nat64-config.sh dosyas deitirilerek kullanlacak IPv4 adresi, NAT64 neki ve NAT64 neki a maskesi ayarlar yaplabilir. NAT64 uygulamas nat64config.sh betiine kullanlacak IPv4 adresi belirtilerek altrlabilir.
# ./nat64-config.sh 10.10.10.1
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 72 / 100
Betik altrldnda ekirdek modln aktif hale getirecek, NAT64 arayzn oluturacak, NAT64 neki iin gerekli ynlendirme bilgisini ynlendirme tablosuna ekleyecek ve IPv4, IPv6 paket iletme zelliklerini aacaktr. OpenBSD PF: pf uygulamasna NAT64 destei, Ecdysis web sitesinde yer alan altrlabilir datm veya kaynak kodlarn ieren datm kullanlarak yalabilir. altrlabilir datm kullanldnda, install.sh betii altrlmaldr. Bu betik ekirdek, pfctl , systat, tcpdump aralarn gncellemekte ve eski srmlerini .old uzants ile yedeklemektedir. Kaynak kodu ieren datm kullanldnda OpenBSD derleme ve ykleme ilemleri gerekletirilmelidir. Pfe NAT64 destei verildikten sonra Tablo8de verilen satr pf ayar dosyasna (rn: /etc/pf.conf) eklenmelidir. PREFIX deikeni, kullanlacak NAT64 neki (rn: 64:FF9B::/96) olarak tanmlanmaldr. a.b.c.d yerine kullanlacak NAT64 IPv4 adresi yazlmaldr. NAT64 paketleri iin bu kuraldan baka kural eklenmesi tutarl olmayan sonular verdii iin nerilmemektedir.
nat64 from any to PREFIX -> a.b.c.d
Karlalan Problemler
eviri yntemi olan NAT64/DNS64 kullanmnda baz problemlerle karlalmaktadr. DNS64 kullanm ile DNSSec kullanmnn uyumlu olmad durumlar bulunmaktadr. Eer DNSSec dorulamasn istemci gerekletiriyor ve istemci DNS64 uygulamasndan haberdar deilse, AAAA kaytlarndaki IP adresleri nek ile retildii iin dorulanamayacaktr. stemci DNS64 uygulamasndan haberdar ise v e gelen AAAA kaydn A kaydna evirip dorulamay gerekletirise bu problem dzeltilebilmektedir. Bir dier zm ise DNSSec in istemci yerine DNS sun ucusunda gerekletirilmesidir. DNS64 sunucusu AAAA kaydn retmeden nce dorulama yapacandan belirtilen problem ile karlalmayacaktr. Web sayfalarnda bulunan ve IP adresi kullanlarak verilen balantlara eriilememektedir. DNS64 yamas, AAAA kaydna bo cevap dnen sorgular iin neki kullanarak AAAA kayd retmektedir. Eer bir alan ad sorgusuna hata mesaj dnyorsa DNS64 bu adres iin AAAA cevabn IPv6 istemcisine dnememektedir. Paket veri ksmnda IPv4 adreslerini tayan (FTP, SIP vb.) ve kendi protokolne sahip uygulamalar bu yntem ile almamaktadr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 73 / 100
BLM 5: GVENLK DUVARI VE IPV6

Yeni nesil internet protokol IPv6 tasarmnda kolay kurulabilme, otomatik adres yaplandrmas, geni adres aral gibi kullanmn ekici klacak zellikler barndrmaktadr. IPv6 ile birlikte adres verilebilecek u saysnn artmas, balk yapsnn sadeletirilmesi, ara dmlerde paket paralanmasna izin verilmemesi gibi zellikler IPv6nn IPv4e oranla daha gvenli olarak deerlendirilmesini salamtr. IPv6nn gvenli bir protokol olarak nitelendirilmesi, IPsec ile olmutur. IPv6 tasarlanrken zorunlu tutulmas planlanan IPsec destei sayesinde her bir veri paketi ifrelenerek iletilebilecek, SSL gibi uygulamalarn aksine transport seviyesinde ifreleme yaplabilecekti. Uygulamalara IPsec desteinin verilmesini gerektiren bu tasarm, gerek dnyada uygulamalardan yeterli destek grememi, VPN uygulamas halini almtr. Sonu olarak IPv6 iin tasarlanan I Psec, IPv4 iin de kullanlan bir opsiyonel zellik halini alm, IPv6 iin bir gvenlik avantaj olmaktan kmtr. Internet Protokolnn doas gerei IPv4te de var olan gvenlik zaafiyetlerinin yansra, IPv6 tasarm ile yeni gvenlik zaafiyetleri de olumutur. SQL enjeksiyonu, kullanlan servis yazlmnn aklar, ifresiz iletiim ile nc kiilerce verilerin ele geirilmesi , datk servis d brakma saldrlar gibi IP srmnden bamsz, uygulamalardan kaynakl gvenlik zaafiyetlerinin yan sra, IPv6 ile birlikte yeni gelen zellikler de zaafiyet barndrmaktadr. IPv6 protokol ve IPv6 protokolne gei yntemleri, yeni ve derinlemesine incelenmemi saldr teknikleri ve aralar olumasna yol amakta, IPv6 kullanmnn ok yksek olmamas protokoln yaygn kullanldnda oluabilecek gvenlik riskleri konusunda belirsizlie neden olmaktadr. Zaafiyetleri, gvenlik duvar kullanm ile azaltmak mmkn olmakla birlikte, tam bir gvenlik iin iletiimin tm bileenleri birlikte deerlendirilmeli, zincirin tm halkalar salamlatrlmaldr. Ulusal IPv6 Protokol Altyaps Tasarm ve Geii Projesi kapsamnda, IPv6ya gei aamasnda karlalabilecek gvenlik sorunlar konusunda ayrntl almalar yrtlm olup, elde edilen sonular Minimum Gvenlik Belgesi adl bir belgede kapsaml olarak belgelendirilmitir. Sz konusu belgeye, http://www.ipv6.net.tr/ adresinden eri ilebilir.
Gvenlik Duvar (Firewall) Nedir?

Gvenlik duvarnn en basit hali paket filtrelemedir. Paket filtreleme veya eriim listesi, uygulanan arayz zerinde giri veya k ynnde, bir protokoln belirli bir portunun belirli IP adresleri iin engellenmesi olarak zetlenebilir. rnek vermek gerekirse, TCP ve UDP protokollerinin 137-139 portlarnn tm IP adreslerine engellenmesi ile i adaki bilgisayarlar zerinde paylalm dizinlere nternet zerinden eriilmesi engellenir. Benzer ekilde, kurumsal bir web sunucusunun, 80 (http) ve 443 (https) portlarna izin verilip dier tm
portlarn engellenmesi, bu sunucunun zerinde alan dier yazlmlarda ortaya kabilecek bir zaafiyetin gvenlik riski oluturmasn engeller. rneklerden de anlalabilecei zere paket filtrelemek, allan uygulamalarn net olarak tanmlanabildii durumlarda kullanlabilir. Gvenlik duvarlar, protokollerin zelliklerine gre yaplandrlabilir. TCP ve UDP protokollerinin farkl kaynak ve hedef port numaralar olabilir. ICMPnin tip ve kod alanlar bulunmaktadr. Bu alanlar kullanlarak eriim denetiminin salanmas mmkndr. Ayrca TCP, tasarm gerei iletiimi takip eden durum denetimine sahip olduundan, durum denetimli gvenlik duvar yaplandrlmas mmkn olmaktadr. letiimin balayaca tarafn seilerek, izin verilen iletiimin haricinde gelen paketlerin reddedilmesi, esnek ve daha doru bir gvenlik duvar yaplandrmasn salamaktadr. Paket filtreleme rneinde verilen, i adaki bilgisayarlarn dosya paylam portunun engellenmesi yerine, ieriden balayan iletiime izin verilmesi ve bunun haricindeki tm paketlerin reddedilmesi, hem i adaki bilgisayarlarn baka portlarnda alabilecek uygulamalar nternetten korumakta, hem de paket filtreleme ile engellenen portlarn da kullanlabilmesini salamaktadr. Benzer ekilde, kurumsal web sunucusunun web servisinin verildii portlara dardan gelen iletiime izin verilmesi ve bunun haricindeki tm paketlerin reddedilmesi, iletiim durumu dnda web portlarna gelebilecek paketleri de engelleyecei iin daha gvenli olmaktadr. Gnmzde gvenlik duvar kavram, ou son kullanc tarafndan da bilinmektedir. Ev alarnn balantsnda kullanlan modem ve ynlendirici cihazlar zerinde, genellikle gvenlik duvar bulunmaktadr. Ayrca istemciler zerinde de Windows Firewall, Zone Alarm gibi kiisel gvenlik duvarlar kurulumu yaplmaktadr. IPv6 geiinde dikkat edilmesi gereken bir dier konu da, eski gvenlik duvar alkanlklarndan farkl olarak IPv6 da gerek IP adresi kullanlmas sebebiyle kural listelerinin yeniden yaplandrlmas gerektiidir. IPv4 de adres kstll sebebiyle kullanlan NAT yaps, NAT ierisinde yer alan istemcilere nternet zerinden dorudan eriimi zel bir tanm yaplmamsa engellemekte idi. Dolaysyla NAT ierisinde yer alan istemciler, NAT yaps gerei durum korumal gvenlik duvar (stateful firewall) korumasnda gibi korunakl idiler. Kullanmak istedikleri zel port veya proto koller iin NAT zerinde port elemesi yaparak i adaki istemciye ynlendirmekte idiler. Her iki srm iinde gerek IP kullanmnda durum korumal gvenlik duvar yaplandrlmal, servis verilecek uygulamalar iin ise bu gvenlik duvarnda gerekli izinler verilmelidir. Sz konusu durumun ilk ortaya k, IPv4 zerinden tnel ile IPv6 ana balanlmas teknii olan Teredo zelliinin baz iletim sistemlerinde varsaylan olarak kurulu gelmesi ile olmutur. NAT arkasnda olan ve dolaysyla tm portlar IPv4 nternete kapal olan istemciler zerinde otomatik kurulan Teredo ile IPv6 ana korunmasz, IPv4 gvenlik duvarlarnn haricinde tm portlar ak olarak eriilir balanmaya balamtr. Baz ev tipi ynlendiricilerin zerinde de Teredo zelliinin ak olmas ile durum ciddiyet kazanm, gvenlik uyarlar yaynlanmtr (http://web.nvd.nist.gov/view/vuln/detail?vulnI d=CVE2007-1338). Bu gvenlik ann sonucu olarak gvenlik duvarlarnda IPv6 desteinin
verilmesi ve IPv6 iin kural listelerinin yaplmas, en azndan durum korumal engellenmesi eklinde tavsiyeler yaynlanmtr. Durum korumal gvenlik duvarlarnn ynettii istemci-sunucu mimarisindeki iletiimin yan sra, istemciler arasnda kontrol-veri protokolleri de gnmz uygulamalar arasnda yer almaktadr. Aktif FTP, BitTorrent, baz sohbet programlar, SIP (VoIP protokol), RTSP (ses ve grnt aktarm) gibi rnekleri olan bu tarz istemciden istemciye (peer-to-peer) uygulamalarn gvenlik asndan ynetimi zorlamaktadr. Bu protokoller iin gvenlik duvarlarnda izin verilebilmesi, durum korumal gvenlik duvarnda adres/port delikleri almas ile mmkn olabilmekte, bu durum da yine gvenlik zaafiyetine sebep olmaktadr. NAT yapsnda da geerli olan ve port elemesi ile alabilen bu durum uygulama seviyesi a geitleri (ALG - Application Layer Gateway) kullanm ile gzlenebilmektedir. Uygulama seviyesi gvenlik duvarlar, saldr tespit sistemleri ile bu gibi protokollerin trafii incelenerek gvenlik sorunu olaca dnlen paketler drlr, gerekirse iletiim tamamen kesilebilir.
IPv6 Gvenlik Duvar Yaplandrlmas

nceki blmde anlatlan gerekelerden dolay, IPv6 geii sonrasnda gvenlik duvar kullanlmas zorunludur. Gnmzde IPv6 gvenlik duvar olarak kullanlabilecek eitli ticari ve zgr rnler bulunmaktadr. Hazr rnlere ilaveten ihtiyalar dorultusunda zelletirilmi esnek gvenlik duvarlar, BSD ve Linux iletim sistemleri ile kurulabilecek PC Ynlendiriciler ile mmkndr. Gvenlik duvar yaplandrlrken, korunacak olan an, istemcinin veya sunucunun ihtiyalar gz nne alnarak, sadece kullanlan servislere ait protokole ve portlara izin verilmeli, geri kalan herey engellenmelidir. Gvenlik duvar bir istemci veya sunucu zerinde ise ynlendirici paketleri engellenmelidir. Ynlendiriciler zerinde ise, ynlendirilecek an haricinde ka ve girie izin verilmemelidir. stemciler aras kullanlan protokollere izin verilecek ise, DPI uygulamalar kurulmal, uygulama seviyesinde paket incelemesi ile filtreleme yaplmaldr. Gvenliin, iletiim zincirinde yer alan tm elerde ele alnmas gerektii unutulmamal, zincirin tm halkalarnda gvenlik nlemleri alnmaldr. Bunun iin ynlendiricilerin yan sra istemci ve sunucularda da ihtiyaca uygun gvenlik duvar uygulanmaldr. Ynlendirici dndaki gvenlik duvarlarnda ynlendirici zellikleri kapatlmaldr. ICMPv6nn tm IPv6 dmlerinin iletiimleri iin temel bir protokol olarak tasarlanmas nedeniyle tm dmlerin ICMPv6y eksiksiz desteklemesi zorunluluu ortaya kmtr. Gvenlik duvarlarnda ICMPv6 paketlerinin tamamn filtrelemek IPv6 protokolnn salkl almasn engeller. Ada verilmeyen servislere ait ICMPv6 mesaj tiplerinin aa girmesine izin verilmesi gvenlik aklarna neden olacaktr. IANA 155-199 aras ICMPv6 mesaj tipleri
iin henz bir atama yapmamtr. Ayrca 200 ve 201 numaral mesaj tipleri de deneyler iin ayrlmtr. Bu tiplerdeki ICMPv6 mesajlarnn filtrelenmesi gerekmektedir. Tip 138 Ynlendiricileri Yeniden Numaralandrma ve Tip 139, 140 Dm Bilgisi Sorgusu ve Cevab mesajlarna zel ilgi gsterilmeli ve bu mesaj tipleri ile ilgili ada zel uygulamalar yaplmyorsa, snr gvenlik cihazlarnda engellenmelidir. ICMPv6 tip numaralar Blm 1: IPv6 Temelleri ve Yaplandrmas, ICMPv6 balnda aklanmtr. IPv6 iletiiminin salkl yaplabilmesi iin kesinlikle engellenmemesi gereken ICMPv6 mesaj tipleri ve isimleri Tablo 6da verilmitir.
Tablo 6. zin Verilmesi Gereken ICMPv6 Tipleri Mesaj Tipi Mesaj Ad 1 Hedef Eriilemez 2 Paket ok Byk 3 Zaman Am 4 Parametre Problemi 133 Ynlendirici Talebi 134 Ynlendirici lan 135 Komu Talebi 136 Komu lan
Hedef IPsi bir oklu gnderim grubu olan paketlerin kendi kapsama alanlar dndaki alanlara geiine izin verilmeden gvenlik duvar veya ynlendiricilerde drlmeleri gerekmektedir. Bu kstlamann yaplmad IPv6 alarnda hedef adresi oklu gnderim grubu olan ICMP paketleri ile saldr ncesi keif almalar, IPv4 alarndan ok daha kolay bir ekilde gerekletirilebilir.
Uzant Balklar
Uzant balklar a gvenlii iin dikkatle incelenmeli, gvenlik a oluturabilecek zellikler engellenmelidir. rnein dolalabilirlik bal, eer i ada dolalabilirlik destei verilmiyo r ise engellenebilir. Baz uzant balklar ise kesinlikle engellenmelidir. Ynlendirme bal RH, RFC2460 belgesinde tanmlanm olup, Tip 0 kullanmnda tespit edilmi gvenlik aklar bulunmaktadr. Tip 0 kaynan yollad paketin rotasn tanmlamasn salar ve IPv4 paketleri iin yaplan Gevek Kaynak Ynlendirmesi (Loose Source Routing) ile ayn zellikleri tamaktadr. Tip 1 kullanm d olarak tanmlanm, Tip 2 ise Dolalabilirlik uygulamas iin Tip 0 filtrelemesi amacyla tanmlanmtr. kan gvenlik aklarndan dolay Tip 0n IPv6 cihazlarda ilenmemesi, ayrca a cihazlarnda ise drlmesi kesinlikle nerilmektedir. Baz cihaz ve iletim sistemlerinde RH iin girilebilecek komutlar, Tablo 7de verilmitir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 77 / 100
letim Sistemi Cisco IOS Juniper Linux
FreeBSD
OpenBSD
Tablo 7 . letim Sistemleri RH Tip 0 Durumu Yntem no ipv6 source-route Henz aklanm bir engelleme bulunmamaktadr. Kernel 2.6 dan itibaren kaldrlmtr. Ynlendirici olmas durumunda paketleri engellemek iin, kural listesinin bana aadaki kurallar eklenir: ip6tables -A INPUT -m rt--rt-type 0 -j DROP ip6tables -A FORWARD -m rt--rt-type 0 -j DROP ip6tables -A OUTPUT -m rt--rt-type 0 -j DROP Kernel 6.2den itibaren kaldrlmtr. Eski ekirdekler iin yama: http://www.freebsd.org/cgi/cvsweb.cgi/src/sys/netinet6/route6.c.diff?r1=1.12& r2=1.13 sysctl net.inet6.ip6.rthdr0_allowed=0 OpenBSD 4.0-stable iin yama: ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/012_route6.patch OpenBSD 3.9-stable iin yama: ftp://ftp.openbsd.org/pub/OpenBSD/patches/4.0/common/012_route6.patch
Snr Ynlendirici Filtre nerileri

Bu blmde, i an d alarla iletiiminin saland snr ynlendirici zerinde uygulanabilecek filtreler nerilmektedir.
Gvenlik Duvar Kurallar nerisi

1. a adreslerinizi ieri kaynak ynnde engelleyin. anzdaki adreslerin dardan gelmesi, sahte IP (spoofing) trafii olarak tanmlanr, engellenmelidir. 2. a adresleriniz dnda kalan adresleri dar kaynak ynnde engelleyin. 3. Kullanmadnz uzant balklarn engelleyin. a. Dolalabilirlik uygulamas iin kullanlan balklar dolalabilirlik servisini vermiyorsanz engelleyin. b. Ynlendirme bal tip 0 olan paketleri engelleyin. 4. Tnelleme yapan i a adresleriniz dnda kalan i a aralna, tnel adres aralklarn engelleyin (6to4 aral: 2002::/16, Teredo 2001::/32). 5. Internet iin ayrlan alanlar 2000::/3 ve kresel oklu gnderim adresleri gibi, iletiimde bulunulacak IPv6 adres aral dnda kalan IP adreslerini engelleyin. a. Esiz yerel tekil gnderim adresleri (fc00::/7). b. Rezerve edilmi aralk (0::/8). c. Balant Yerel Tekil (fe80::/10). 6. TCP, UDP, ICMPv6 ve ESP gibi, i anza dardan eriilmesi gereken protokollere izin verin, kalan tm protokolleri engelleyin. 7. Sunucularnz ve servis portlarnz tanmlayarak, a. Sunucular haricinde i aa dardan iletiim balatlmasn b. Sunucu servis portlarnn haricindeki portlara iletiim balatlmasn
engelleyin (durum korumas). Sunucularn servis portlarna izin verirken, DoS saldrlarndan korunmak iin, balant limiti, servis verilen IP aral gibi kstlamalar uygulayn. 8. oklu gnderim adreslerini belirleyerek, kapsam dndan gelen veya kapsam dna kan paketleri engelleyin. 9. ICMPv6 balklarndan sadece gerekli olanlarna izin verin, kalann engelleyin. 10. adaki tm IP adreslerinin dar doru durum korumal iletiim balatmasna izin verin.
ICMPv6 Filtresi
Korumac bak as ile ICMPv6 mesajlarna nasl davranlaca hakknda neriler, Tablo 8de verilmitir. Uygulamada anzn ihtiyalar gznnde bulundurularak sadece belirli tiplere izin verilmeli, geri kalanlar engellenmeli, en azndan limitlenmelidir. lk 4 tip ICMPv6 mesaj Tablo 6da izin verilmesi egreken ICMPv6 tipleri olarak nitelendirilse de, anzn dardan tespit edilmesine sebep olduklar iin kapatlmas, en azndan limitlenmesi nerilmektedir.
ICMPv6 Tipi Hedef Eriilemez Paket ok Byk Zaman Am Tablo 8. ICMPv6 Filtre nerileri eriye Darya Aklama zin ver Engelle An haritasn karmak ve tespit etmek iin kullanlabilir. Darya doru sadece gvenilir alara izin verilmelidir. zin ver zin ver An salkl almas iin gereklidir. zin ver Engelle zin verilmesi gerektii nerilse de, an haritasn karmak ve tespit etmek iin kullanlabilir. Darya doru sadece gvenilir alara izin verilmelidir. an haritasn karmak ve tespit etmek iin kullanlabilir. stemciler iin engellenmelidir, a cihazlar iin alabilir. an haritasn karmak ve tespit etmek iin kullanlabilir. stemciler iin engellenmelidir, a cihazlar iin alabilir. an haritasn karmak ve tespit etmek iin kullanlabilir. stemciler iin engellenmelidir, a cihazlar iin alabilir. ada ihtiya duyulur, darya engellenebilir. An salkl almas iin gereklidir. An salkl almas iin gereklidir. An salkl almas iin gereklidir. Uygulamada henz kullanm alan az olduundan, kapatlabilir. Uygulamada henz kullanm alan az olduundan, kapatlabilir. Dolalabilirlik destei vermedi iseniz, kapatlmaldr.
2 3
Parametre Sorunu Yank stei Yank cevab
zin ver
zin ver / Engelle zin ver
128
Engelle zin ver
129
Engelle zin ver zin ver zin ver zin ver Engelle Engelle Engelle
130-132 135-136 133-134 135 139-140 141-142 144-147
MLD ND RD Redirect Dm Bilgisi Sorgusu Ters komu kefi Dolalabilirlik balklar
Engelle zin ver zin ver zin ver Engelle Engelle Engelle
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 79 / 100
rnek Yaplandrmalar
IPv6 Adres Filtreleme

OpenBSD PF:
pass in log on $ext_if inet6 proto tcp from $admins to ($ext_if) port ssh block in on $ext_if inet6 proto {tcp, udp} from any to ($ext_if) port ssh pass in on em0 inet6 proto tcp from 2001:a98:1f:6::5/64 to 2001:a98:1f:4::2 port http
Linux IP6TABLES:
ip6tables -A FORWARD -i eth0 -p tcp -d 2001:a98:1f:4::2 --dport 22 -j ACCEPT ip6tables A INPUT i eth0 p tcp d 2001:a98:1f:4::2 --dport 22 -j DROP ip6tables A INPUT p tcp d 2001:a98:1f:4::2 --dport 80 -j ACCEPT
Multicast Filtreleme
Linux IP6TABLES:
# Join mesaj limiti ip6tables -t mangle -A PREROUTING -i eth0 -p pim -m pim6 --pim6-type join -m limit --limit 1/minute # Join/Prune mesajlar ip6tables -t mangle -A PREROUTING -i eth0 -p pim -m pim6 --pim6-type join --pim6-group ff0e:abcd::/32 -j DROP ip6tables -t mangle -A PREROUTING -i $eth0 -p pim -m pim6 --pim6-type join,prune --pim6-group ff0e::/16 -j PIMRELAY # Register mesaj limiti ip6tables -t mangle -A PREROUTING -p pim -m pim6 --pim6-type register -m limit --limit 10/second # Register mesajlar ip6tables -t mangle -A PREROUTING -i $eth0 -p pim -m pim6 --pim6-type register --pim6-reg-group ff3e:30:2001:388:c035::/96 -j PIMRELAY
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 80 / 100
Linux Gvenlik Duvar Betii

#!/bin/sh # Guvenlik duvarlari icin CERT tarafindan hazirlanan listeden uyarlanmistir. # Kural listesi gosterim amaclidir. Kendi yapiniza uygun liste olusturunuz. # Uygulamadan once kurallari gozden gecirip test ediniz. # # TCP Disariya acik portlar. passive FTP icin 33300:33400 araligini acin TCP_ACIK="ssh 1812:1814 domain" UDP_ACIK="domain 1812:1814" #Servis portlarina 60 saniye icerisinde yapilabilecek maksimum baglanti sayisi: # (DoS saldirilarina karsi) MAX_SYN="20" # TCP ve UDP *ic aga* kapali portlar. # Ornekte, VNC ve X-Windows portlari, ssh tunel yapabildikleri icin secilmistir. TCP_KAPALI="5900:5910,6000:6063" UDP_KAPALI=""
# Once yuklu kurallari temizle: ###################################### ip6tables -F INPUT ip6tables -F FORWARD ip6tables -F OUTPUT ip6tables -F
# Ana zincirleri kur: ###################################### ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP
# localhost trafigine tum protokoller icin izin ver: ###################################### ip6tables -A INPUT -s ::1 -d ::1 -j ACCEPT
# ICMPv6 GELEN - izin verilecek tipler: ###################################### ip6tables -A INPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 81 / 100
# ICMPv6 GELEN - limitlenerek izin verilecek tipler: ###################################### ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-request -m limit --limit 900/min -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type echo-reply -m limit --limit 900/min -j ACCEPT
# ICMPv6 GELEN - Sicrama limiti 255 ise izin verilecek tipler: ###################################### ip6tables -A INPUT -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A INPUT -p icmpv6 --icmpv6-type redirect -m hl --hl-eq 255 -j ACCEPT
# ICMPv6 GELEN - uymayan paketleri dusur: ###################################### ip6tables -A INPUT -p icmpv6 -j LOG --log-prefix "filtrelenen ICMPv6" ip6tables -A INPUT -p icmpv6 -j DROP
# ICMPv6 GDEN - Disariya dogru izin verilecek tipler: ###################################### ip6tables -A OUTPUT -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
# ICMPv6 GDEN - Yerel agda Komsu Kesfi paketlerini limitle: ###################################### ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-solicitation -m hl --hl-eq 255 -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbour-advertisement -m hl --hl-eq 255 -j ACCEPT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
# ICMPv6 GDEN - RA ve Redirect paketlerini filtrele # Yonlendirici olarak calisan sistemlerde acik olmali ###################################### ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j LOG --log-prefix "ICMPv6 RA" ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j LOG --log-prefix "ICMPv6 redirect" ip6tables -A OUTPUT -p icmpv6 --icmpv6-type router-advertisement -j REJECT ip6tables -A OUTPUT -p icmpv6 --icmpv6-type redirect -j REJECT
# ICMPv6 GDEN - Geri kalan tum paketlere izin ver: ###################################### ip6tables -A OUTPUT -p icmpv6 -j ACCEPT
# ICMPv6 GDEN Yonlendirmeyi filtrele ###################################### ip6tables -A FORWARD -p icmpv6 -j REJECT # TCP Kurallar # Bildirilen portlari filtrele ###################################### ip6tables -A INPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-eq 255 -j REJECT ip6tables -A OUTPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-eq 255 -j REJECT ip6tables -A INPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-lt 255 -j DROP ip6tables -A OUTPUT -m multiport -p tcp --dport $TCP_KAPALI -m hl --hl-lt 255 -j DROP
# Durum tespitli kurallar ###################################### ip6tables -A OUTPUT -p tcp -j ACCEPT ip6tables -A OUTPUT -p udp -j ACCEPT ip6tables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT ip6tables -A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT # TCP ve UDP servis portlari ve DoS korumasi ###################################### for port in $TCP_ACIK; do $ip6tables -A INPUT -p tcp --dport $port -m state --state NEW \ -m recent --set --name "$port" $ip6tables -A INPUT -p tcp --dport $port -m state --state NEW \ -m recent --name "$port" --update --seconds 60 \ --hitcount $MAX_SYN -j DROP $ip6tables -A INPUT -p tcp --dport $port -j ACCEPT done for port in $UDP_ACIK; do $ip6tables -A INPUT -p udp --dport $port -j ACCEPT done
# NEW,INVALID etiketli paketleri filtrele (durum korumasi) ###################################### ip6tables -A INPUT -m state --state NEW,INVALID -j DROP
# TCP ve UDP Yonlendirmeyi kapat ###################################### ip6tables -A FORWARD -p tcp -j REJECT ip6tables -A FORWARD -p udp -j REJECT
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 83 / 100
BSD Gvenlik Duvar Betii

ext_if="em0 int_if=em1 v6_net=2001:a98:1f:3::/64 admins={200:a98:1f:3::10, 2001:a98:1f:3::11} set skip on {lo0} set block-policy drop set loginterface $ext_if scrub in all # fragmante paketleri duzelt block log all # gelen/giden tum trafik blokla pass out from $v6_net to any # v6_net listesinde bulunanalari disari cikar # minimum ICMPv6 paketlerine izin ver pass in on $ext_if inet6 proto icmp6 icmp6-type \ {echoreq,echorep,unreach,toobig,timex,paramprob, neighbrsol, neighbradv} # admin listesinde olanlara SSH izni ver pass in log on $ext_if inet6 proto tcp from $admins to ($ext_if) port ssh # web sunucusuna gelirse izin ver pass in inet6 proto tcp from 2001:a98:1f:6::5/64 to 2001:a98:1f:4::2 port http
Cisco IOS
ipv6 access-list sinir-yonlendirici-giris remark belirli ICMP tiplerine giris yonunde izin ver permit icmp any 2001:a98:60::/48 destination-unreachable permit icmp any 2001:a98:60::/48 packet-too-big permit icmp any 2001:a98:60::/48 parameter-problem permit icmp any 2001:a98:60::/48 echo-reply remark uzak agdan pinglenmesine izin ver permit icmp 2001:a98:20::/48 2001:a98:60::/48 echo-request remark RD Haric, ND ve MLD ICMP tiplerine izin ver permit icmp any any nd-na permit icmp any any nd-ns permit icmp any any mld-query permit icmp any any mld-reduction remark kalan ICMPleri engelle, kalan herseyi ac deny icmp any any log permit any any
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 84 / 100
BLM 6: A TRAF ANALZ

MRTG ile Hat Kullanm Grafiklerinin Elde Edilmesi
Multi Router Traffic Grapher, a balantlarnda kullanlan hatlarn kullanm grafiklerinin oluturulmasna yarayan bir aratr. MRTG, Perl ve C programlama dillerini kullanr, UNIX ve Windows iletim sistemleri altnda alabilir. zerine MRTG kurulan bir monitr sunucusu, aa balanmakta kullanlan ynlendiriciden hat kullanm bilgilerini Simple Network Management Protocol (SNMP) kullanarak alr ve grafiksel olarak gsterime sunar. Bu blmde ilgili grafiklerin oluturulmas iin ynlendirici tarafnda ve monitr sunucusunda yaplmas gereken ayarlar anlatlacaktr.
Ynlendirici SNMP Ayarlar

Unix ve BSD Unix ve BSD tabanl ynlendiricilerde hat kullanm bilgilerinin tutulmas ve sorgu yapan istemcilere salanmas iin NET-SNMP paketini kullanlmaktadr. BSD tabanl ynlendiricilerde aadaki ekilde kurulum yaplabilir:
$ cd /usr/ports/net-mgmt/net-snmp ; make -DBATCH -DWITH_IPV6 install clean
Sonrasnda snmpd balatlmadan nce /etc/snmpd.conf ayar dosyasnda baz deiiklikler yaplmas gerekmektedir. Bu deiiklikler ile sunucudan sorgu yapacak istemcilerin gvenlik amacyla kullanaca community deerinin deitirilmesi gerekmektedir. Deiikliklerden sonra ayar dosyasnn hali u ekilde olacaktr:
syslocation "Grup No" syscontact "System Admin" sysservices 0 rocommunity6 ulakbim rocommunity ulakbim
Snmpd hem IPv4 hem de IPv6 dinleyebilmesi iin IPv6 ve IPv4 trafii udp 161 portunu dinleyecek ekilde altrlr. Kovan her yonlendirici icin aadaki komut ve argumanlar ile snmpd caltrr.
$/usr/local/sbin/snmpd -c /etc/snmpd.conf udp6:161 udp:161
Cisco Cisco ynlendiricilerde aadaki satrlar eklenerek cihazn ulakbim community deeri ile yaplan sorgulara cevap vermesi salanr.
snmp-server community ulakbim RO 100 snmp-server ifindex persist snmp-server location Ankara-Turkiye snmp-server contact Admin admin@xyz.gov.tr
Bu ayarlarda ilk satrda yer alan RO snmp istemcilerinin sadece okuma iin (Read Only) eriebilmesini salarken 100 ise bu eriimde uygulanacak eriim kont rol listesi (Access Control List - ACL) gstermektedir. 100 nolu ACLde sadece SNMP istemcisi olarak kullanlacak cihazlara izin verilmesi gvenlik asndan nemli bir tedbir olacaktr. Monitr Makinesine MRTG Kurulumu Kurulacak MRTGnin oluturduu grafiklerin izlenmesi iin ncelikle monitr cihaznda bir web sunucusu almaldr. Linux tabanl bir monitr sunucusunda iin Apache web sunucusunun kurulumu u ekilde yaplabilir:
$ apt-get update $ apt-get install build-essential $ apt-get install apache2
Kurulum tamamlandktan sonra MRTG kurulumuna geilebilir:

$ apt-get install mrtg Paket listeleri okunuyor... Bitti Bamllk aac ina ediliyor. Durum bilgisi okunuyor... Bitti Aadaki ek paketler de yklenecek: libio-socket-inet6-perl libsnmp-session-perl libsocket6-perl nerilen paketler: mrtg-contrib Aadaki YEN paketler kurulacak: libio-socket-inet6-perl libsnmp-session-perl libsocket6-perl mrtg 0 ykseltildi, 4 yeni kuruldu, 0 kaldrlacak ve 0 ykseltilmeyecek. ndirilmesi gereken dosya boyutu 552kB Bu ilemden sonra 1.749kB ek disk alan kullanlacak. Devam etmek istiyor musunuz [E/h]?
Bu sorunun Evet olarak cevaplanmas sonucunda kurulum balayacak ve oluturulacak ayar dosyasnn izinleri iin ekil 30daki ekran belirecektir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 86 / 100
ekil 30: MRTG Ayar Dosyas zinleri
Evet cevab mrtg.conf dosyasn 640 izinleri ile oluturacakken Hayr cevab bu izinin 644 olarak belirlenmesini salayacaktr. Bu ayar dosyasnn hat kullanm hakknda bilgi veren baka programlar tarafndan kullanlmas dnlmyor ve ileride bahsedilecek cron ayarlar sadece root iin yaplacaksa bu seenekte Evet cevabnn verilmesi nerilmektedir. Kurulum aamasnda ve sonrasnda kontrollerin yaplabilmesi iin gerekli komutlar barndran snmp paketinin monitr makinesinde kurulmas gerekmektedir.
$apt-get install snmp
MRTG ve SNMP nin BSD tabanl sunucularda kurulmas iin aadaki komutlar kullanlabilir:
$ cd /usr/ports/net-mgmt/net-snmp ; make -DBATCH -DWITH_IPV6 install clean $ cd /usr/ports/net-mgmt/net-snmp && make -DBATCH -DWITH_IPV6 install $ cd /usr/ports/net-mgmt/mrtg/&& make -DBATCH -DWITH_IPV6 -DWITH_SNMP install clean
Daha sonra SNMP ile trafik verilerini ekip MRTG ile grafik haline getirmek istediimiz ynlendirici ile SNMP iletiiminin salk olduunun kontrol iin snmpwalk komutu kullanlabilir. Burada dikkat edilmesi gereken konu 2001:a98:1f:f0::1 adresli ynlendiricide belirlenen SNMP srm ile monitr makinesinde sorgu iin kullanlan ve v parametresinden sonra verilen srmn ayn olmasdr. Ayrca aadaki sorguda yer alan community_string deeri bir nceki blmde ynlendiricilerde belirlenen deerle ayn olmaldr.
$snmpwalk -v 2c -c ulakbim udp6:[2001:a98:1f:f0::1] $snmpwalk -v 2c -c ulakbim 10.1.4.1
Bu sorguya ynlendirici aadaki ekran grntsne benzer bir cevap dnecektir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 87 / 100
ekil 31: SNMPWALK Sorgusuna Ynlendiricinin Cevab
Ynlendirici ve monitr arasndaki SNMP iletiimi dorulandktan sonra MRTG iin ayar dosyasnn yaplandrmasna geilebilir. MRTGnin ayar dosyalarn reten " configmaker" ve web sayfalarn reten "indexmaker" betikleri bulunmaktadr. MRTGye ait configmaker betiini kullanlarak ynlendiricilere balanlr, ynlendirici zerindeki arayzlere ait bilgiler ekilir ve bu bilgilerden MRTGnin grafik oluturmak iin kullanaca ayar dosyas olan mrtg.conf oluturulur. Yine MRTGnin indexmaker betii de oluturulan ayar dosyasn okuyarak MRTG grafiklerinin grntlenebilmesini kolaylatran web dizin ve dosya yapsn oluturur.
$which cfgmaker /usr/bin/cfgmaker $/usr/bin/cfgmaker --enable-ipv6 --global "Options[_]: growright, bits" --global "WorkDir: /var/www/mrtg" ulakbim@10.1.4.1 > /usr/local/etc/mrtg.conf $mkdir /var/www/mrtg $/usr/bin/indexmaker --title "Hat Kullanim Grafikleri" /usr/local/etc/mrtg.conf -output /var/www/mrtg/mrtg.html $ls -la /var/www/mrtg/mrtg.html -rw-r--r-- 1 root root 3595 2011-04-12 12:28 /var/www/mrtg/mrtg.html
MRTG aada gsterildii gibi de elle altrlabilir:

$ which mrtg /usr/bin/mrtg $env LANG=C /usr/bin/mrtg /usr/local/etc/mrtg.conf
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 88 / 100
Crontab her 5 dakikada bir MRTGyi ilgili ayar dosyas ile altrmak ve grafikleri gncellemek zere deitirilir. Aadaki satrlarn crontaba yazlmas gerekmektedir.
5,10,15,20,25,30,35,40,45,50,55 * * * * env LANG=C /usr/bin/mrtg /usr/local/etc/mrtg.conf
Kurulum tamamlandktan sonra Monitr cihaznn web sayfasna balanlarak MRTG grafiklerine ulalabilir. http://[2001:a98:1f:f0::4]/mrtg/mrtg.html adresi grntlendiinde aadaki anasayfa ile karlalacaktr.
ekil 32: MRTG Grafikleri Anasayfas
ekilden de grlecei zere ynlendirici zerinde bulunan 5 arayz iin (em0, em1, em2, em3 ve em4) trafik bilgileri dzenli olarak ekilmekte ve grafiksel olarak g sterilmektedir. Bu arayzlerden herhangi birisi iin oluturulan uzun sreli grafikler ve detaylar iin ana sayfadaki gnlk grafiklere tklamak yeterli olacaktr.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 89 / 100
ekil 33: em0 Arayz Trafik Detaylar
ekil 33de grlen bilgilerden bazlar ya da tm sistemler hakknda hassas bilgiler ierdiinden gizlenmek istenebilir. Bu durumda configmaker tarafndan otomatik oluturulan /usr/local/etc/mrtg.conf dosyasnda deiiklik yaplarak gizlenmek istenen bilgilerin silinmesi gerekmektedir.
NfSen ile Ynlendirici Ak zi (Flow) ncelenmesi
Bu blmde a ynlendirici cihazlarnn oluturduu ve zerinden geen trafie ait izleri barndran ak izinin (flow) depolanmas ve incelenebilmesi iin yaplmas gerekenler anlatlmaktadr. Bu izlerin tutulmas a trafiinin detayl incelenmesi ve kaynak kullanmlar konusunda lmler yaplabilmesini salamaktadr. Ayrca kurulumu anlatlacak olan NfSen ile de bu izlerin bir arayz yardmyla detayl analizi yaplabilmektedir. Cisco tarafndan gelitirilmi ak bir protokol olan NetFlow, IP trafii kaytlarnn toplanmasn salar. NetFlow kaytlar 5 temel ierikten oluur: Kaynak IP adresi, hedef IP adresi, kaynak kaps (PORT) ve hedef kaps (PORT) ve protokol. rnek Kayt:
Date flow start Duration 2011-03-29 06:34:01.571 4294967.295 2011-03-29 06:34:01.571 4294967.295 2011-03-29 06:34:02.664 4294967.295 2011-03-29 06:34:02.664 4294967.295 Proto UDP UDP UDP UDP Src IP Addr:Port 2001:470:0:f0::2.59555 -> 2001:a98:10::251.53 -> 2001:470:0:fa::2.15780 -> 2001:a98:10::252.53 -> Dst IP Addr:Port 2001:a98:10::251.53 2001:470:0:f0::2.59555 2001:a98:10::252.53 2001:470:0:fa::2.15780 Packets Bytes 1 91 1 206 1 93 1 140
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 90 / 100
Netflow Ak zlerinin Oluturulmas ve Sunucuya Ynlendirilmesi

Cisco Ynlendirici cihaza balanp enable moduna getikten sonra aada verilen komutlar ile ynlendiricinin NetFlow dokuzuncu srm ak izleri 10.1.4.4 adresli sunucunun 9996 nolu kapsna ynlendirilmesi salanmtr. IPv4 ve IPv6 protokollerine ait tm trafiin ak izi ilgili sunucuya iletilecektir.
Router#conf t Router(config)#ipv4 flow-export version 9 origin-as Router(config)#ipv6 flow-export version 9 origin-as Router(config)# ipv6 flow-export destination 10.1.4.4 9995 Router(config)# ipv4 flow-export destination 10.1.4.4 9996 Router(config)# ip flow-export source Loopback0
Bir sonraki adm, ak izi toplamak istediimiz ynlendirici arayzlerinde gerekli ayarlarn yaplmasdr.
Router#conf t Router(config)#interface FastEthernet0/0 Router(config-if)#ipv6 flow ingress Router(config-if)#ipv4 flow ingress
nemli Not: Bu analizlerin yaplaca birok ada ynlendirici ile kaytlarn tutulaca makine (rneimizde 10.1.4.4 IP'li) arasnda gvenlik duvar bulunmaktadr. Bu durumun geerli olduu alarda, gvenlik duvar zerinde gerekli izinlerin tanmlanmas nemlidir. Yukardaki rnekte ak izi verileri iin kaynak IP adresi ynlendiricinin Loopback0 arayz tanmlanmtr. Bu ilem iin ip flow-export source Loopback0 komutu kullanlmtr. Gvenlik duvar zerinde ise, kaynak adresi Loopback0, hedef adresi 10.1.4.4 ve hedef UDP portlar 9995-9999 arasnda yer alan olan paketler iin izin kurallar yazlmtr. BSD ve Unix A BSD ya da Unix tabanl ynlendiricilerden ya da gvenlik duvarlarndan ak izi alnmas iin softflowd program kullanlmaktadr. Linux iletim sistemi Debian srm iin rn ek kurulum aada verilmitir.
$ apt-cache search softflowd softflowd - Flow-based network traffic analyser $ apt-get install softflowd
Softflowd FreeBSD portlarnda yer almaktadr ve kolayca kurulumu yaplabilmektedir. rnek kurulum komutlar aada verilmitir.
$cd /usr/ports/net-mgmt/softflowd $make install
Softflowd kurulduktan sonra zerindeki arayzlerden geen trafie ait izlerin aktarlmas iin aada verilen komutlar altrlr. Burada interface a izi kayd alnacak arayz, MonitorIPv6address bu kaytlarn aktarlaca sunucu ve port_number kaytlarn aktarld sunucunun dinledii portu gstermektedir. IPv6:
/usr/local/sbin/softflowd -v 9 -i interface -m 1000 -n[MonitorIPv6address]:port $/usr/sbin/softflowd -v9 -i em0 -m 1000 -n[2001:a98:1f:f0::4]:9995 $/usr/sbin/softflowd -v9 -i em1 -m 1000 -n[2001:a98:1f:f0::4]:9996 $/usr/sbin/softflowd -v9 -i em2 -m 1000 -n[2001:a98:1f:f0::4]:9997 $/usr/sbin/softflowd -v9 -i em3 -m 1000 -n[2001:a98:1f:f0::4]:9998 $/usr/sbin/softflowd -v9 -i em4 -m 1000 -n[2001:a98:1f:f0::4]:9999
IPv4:
$/usr/local/sbin/softflowd -v 9 -i em0 -m 100000 -n10.1.4.4:9995 $/usr/local/sbin/softflowd -v 9 -i em1 -m 100000 -n10.1.4.4:9996 $/usr/local/sbin/softflowd -v 9 -i em2 -m 100000 -n10.1.4.4:9997 $/usr/local/sbin/softflowd -v 9 -i em3 -m 100000 -n10.1.4.4:9998 $/usr/local/sbin/softflowd -v 9 -i em4 -m 100000 -n10.1.4.4:9999
Netflow Kaytlarnn Saklanmas ve Analizi in NfSen kurulumu

Bu blmde Nfsen (Netflow Sensor) uygulamasnn Linux iletim sistemi Ubuntu srm iin kurulum ve gerekli ayarlar anlatlacaktr. Benzer ekillerde herhangi bir Linux datm ya da BSD iletim sisteminde de rahatlkla kullanlabilir. (FreeBSD'de nfsen b ir port olarak bulunmaktadr).
$ uname -a Linux g0monitorubuntu 2.6.35-22-server #33-Ubuntu SMP Sun Sep 19 20:48:58 UTC 2010 x86_64 GNU/Linux
1-PHP e Apache PHP ve Apache programlarnn kurulumu iin aadaki komutlar kullanlr.
$ apt-get update $apt-get install build-essential $ apt-get install apache2 $ apt-get install php5 php5-cli
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 92 / 100
Kurulum tamamlandktan sonra,.php dosyalarnn sunucu tarafndan ilenebilmesi iin /etc/apache2/mods-available/dir.conf dosyasnda deiiklik yaplmas gerekmektedir. Dosyann son hali u ekilde olmaldr:
<IfModule mod_dir.c> #DirectoryIndex index.html index.cgi index.pl index.php index.xhtml index.htm DirectoryIndex index.html index.htm index.shtml index.cgi index.php index.php3 index.pl index.xhtml </IfModule>
2-RRd Tools RRd tools kurulumu iin aadaki komutlar kullanlmaktadr.

$ apt-get install rrdtool $ apt-get install librrds-perl $ apt-get install libpng12-dev libfreetype6-dev libart-2.0-dev bison flex
3-NfDump Nfdump kurulumu iin de aadaki komutun girilmesi yeterlidir.

$apt-get install nfdump
Kurulumun salkl olmas iin sunucu zerinde kurulu Perl srm 5 ve zeri olmaldr. Bu nedenle perl version komutu altrlarak srm kontrol edilmeli, daha eski bir srm var ise yeni srm kurulumu yaplmaldr. Nfdump baz Perl modllerine ihtiya duymaktadr, aada verilen modllerin kurulumu yaplmaldr.
$perl -MCPAN -eshell cpan> install Mail::Header cpan> install Mail::Internet
4-Nfsen Adm adm Nfsen kurulumu ve ayarlarnn bulunduu belgelere http://nfsen.sourceforge.net/ adresinden ulaabilirsiniz. Nfsen iin belgenin hazrland tarihte en gncel srm olan 1.3.5i aadaki adresten edinebilirsiniz. http://sourceforge.net/projects/nfsen/files/stable/nfsen-1.3.5/nfsen-1.3.5.tar.gz/download Nfsen kurulumuna gemeden nce kaynak arivi almal ve varsaylan olarak gelen ayar dosyas nfsen.conf adyla kopyalanmaldr.
$tar zxvf nfsen-1.3.5.tar.gz
$cd nfsen-1.3.5 $cp etc/nfsen-dist.conf etc/nfsen.conf $mkdir /data
lgili ayar dosyasnda aadaki deiiklikler yaplmaldr. Bu ayarlarn yaplmas iin vi editr kullanlabilir.
$ vi etc/nfsen.conf $BASEDIR = "/data/nfsen"; $HTMLDIR = "/var/www/nfsen/"; $PREFIX = '/usr/bin'; $USER = "www-data"; $WWWUSER = "www-data"; $WWWGROUP = "www-data"; %sources = ( 'kaynak1' => { 'port' => '9995', 'col' => '#0000ff', 'type' => 'netflow' }, 'kaynak2' => { 'port' => '9996', 'col' => '#ff00ff', 'type' => 'netflow' }, 'kaynak3' => { 'port' => '9997', 'col' => '#ffff00', 'type' => 'netflow' }, 'kaynak4' => { 'port' => '9998', 'col' => '#00ff00', 'type' => 'netflow' }, 'kaynak5' => { 'port' => '9999', 'col' => '#00ffff', 'type' => 'netflow' }, ); :wq (deiiklikleri kaydederek kn)
Not: %sources blmnde, Netflow bilgisini yollayan kaynaklarn ve ak izlerinin gnderildii port numaralarnn girilmesi gerekmektedir. rnekte 5 ayr a cihazndan gnderilen a kaytlar iin gerekli tanmlar yer almaktadr. Bu dosyadaki deiiklikleri kayt ettikten sonra Nfsen kurulumu yaplabilir. Kurulum iin aadaki komut kullanlr.
$./install.pl etc/nfsen.conf
Bu komut altrldnda, Nfsen tarafndan kullanlacak Perl modlnn dizini sorulacaktr.

Perl to use: [/usr/bin/perl]
Sonrasnda Nfsenin kullanaca php ve html dosyalar, nfsen.conf dosyasnda belirlediimiz hedef dizinlere kopyalanacak veya oluturulacaktr. Bu komut sonrasnda nfsen.conf dosyasnn CONFDIR altnda da konduunu bir kontrol edelim.
$ls -la /data/nfsen/etc/nfsen.conf -rw-r--r-- 1 root www-data 9335 2011-03-25 14:27 /data/nfsen/etc/nfsen.conf
Nfsen index dosyas otomatik olarak oluturulmadndan aadaki komut ile bu sorun giderilebilir.
$echo -e "<?php\n\theader(\"Location: nfsen.php\");\n?>" >
/var/www/nfsen/index.php
Aadaki komut ile Nfseni balatabilir.

$/data/nfsen/bin/nfsen start
Nfsenin doru bir ekilde balatldn ve ynlendirici tarafndan yollanan kaytlarn saklanmaya balandn dorulamak iin aadaki komutlar kullanlabilir.
$cd /data/nfsen/profiles-data/live/kaynak1/ $ls -la nfcapd.current -rw-r--r-- 1 www-data www-data 276 2011-03-31 10:25 nfcapd.current
Nfcapd.current dosyas en gncel trafik izlerinin sakland dosyadr ve eer ak izleri doru bir ekilde saklanyorsa bykl artmaldr. Bu dosya her 5 dakikada bir yine /data/nfsen/profiles-data/live/kaynak1 dizini altnda oluturulmu olan yl/ay/gn eklindeki dizine nfcapd.ylaygunsaat formatnda kopyalanacaktr.
$cd /data/nfsen/profiles-data/live/kaynak1/2011/03/31 $ls nfcapd.201103310000 nfcapd.201103310145 nfcapd.201103310330 nfcapd.201103310515 nfcapd.201103310700 nfcapd.201103310845 nfcapd.201103310005 nfcapd.201103310150 nfcapd.201103310335 nfcapd.201103310520 nfcapd.201103310705 nfcapd.201103310850 nfcapd.201103310010 nfcapd.201103310155 nfcapd.201103310340 nfcapd.201103310525 nfcapd.201103310710 nfcapd.201103310855 nfcapd.201103310015 nfcapd.201103310200 nfcapd.201103310345 nfcapd.201103310530 nfcapd.201103310715 nfcapd.201103310900 nfcapd.201103310020 nfcapd.201103310205 nfcapd.201103310350 nfcapd.201103310535 nfcapd.201103310720 nfcapd.201103310905 nfcapd.201103310025 nfcapd.201103310210 nfcapd.201103310355 nfcapd.201103310540 nfcapd.201103310725 nfcapd.201103310910
Nfsenin bilgisayar her aldnda balatlmas iin /data/nfsen/bin/nfsen start satrnn eklenmesi gerekmektedir.
/etc/rc.local
dosyasna
Kullandnz profile'n u an ki durumunu izlemek iin aadaki komutu kullanabilirsiniz.

$/data/nfsen/bin/nfsen -l live name live tstart Wed Mar 28 16:55:00 2007 tend Thu Mar 29 10:15:00 2007 updated Wed Mar 28 16:50:00 2007 filter <none> expire 0 hours
size 0 maxsize 0 sources deneme type live locked 0 status OK
Eer locked deeri 1 ise aadaki komut ile tekrar analiz balatlabilir.
$./nfsen -m live -U
Tm nfsen komutlar /data/nfsen/bin altnda altrldndan bu dizini genel yola (PATH) eklemek faydal olabilir:
$export PATH=$PATH:/data/nfsen/bin
Yeni kaynaklarn a izlerinin depolanmas ve ilenmesi istendiinde /data/Nfsen/etc/nfsen.conf dosyasnda deiiklik yaplmas gerekmektedir. Bu deiiklerin geerli olmas iin nfsen.conf dosyas kayt edildikten sonra aadaki komut ile Nfsen yeniden yaplandrlmaldr.
$/data/nfsen/bin/nfsen reconfig
NfSen ile Analiz

Nfsen kurulu sunucu zerinden http://localhost/nfsen/nfsen.php adresi ile, IPv4 uzak istemcilerinden http://10.1.4.4/nfsen/nfsen.php adresi ile ya da IPv6 uzak istemcilerinden http://[2001:a98:1f:f0::4]/nfsen/nfsen.php adresi grntlediinde NfSen arayzne ulalacaktr (ekil 34). ekil 35 de grlen Details blmnden, grafik stnde ilgilendiimiz zaman araln seerek ilgili kaytlar ayklanabilir. Bunun iin sayfann alt blmnde yer alan Netflow Processing blmnn kullanlmas gerekmektedir. Source blmde ayarlar dosyasnda UDP portlarna gre ayrlm olan kaynaklar listelenir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 96 / 100
ekil 34: Nfsen Giri Sayfas
ekil 35: Nfsen zerinden Kaytlarn Ayklanmas
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 97 / 100
Buradan bir kaynak setikten sonra Filter blmde zel olarak ilgilenilen bir kayt blm iin (IP adresi, arayz, AS, Port v.s) filtreleme yaplabilir. Bu alann kullanm ekli Nfdump verisinin kullanm ekli ile ayndr. Aadaki adres filter blmnde ayklama ile ilgili detaylar iermektedir. (http://nfdump.sourceforge.net/) Baz alanlar iin filtreleme yntemleri yledir. Balklarn altnda verilen komutlar teker teker ya da birlikte Filters blmne yazlarak ilgili bala gre filtreleme yaplabilir. Filtreleri beraber uygulamak iin aadaki yazm ekli kullanlabilir.
(Filtre1) and (Filter2) (Filtre1) or (Filtre2)
Protokol srm:
Ipv4 ipv4 Ipv6 ipv6
Protokol tipi:
TCP, UDP, ICMP, GRE, ESP, AH, RSVP yada PROTO <protokol_numaras>
IP Adresi:
Kaynak Ipsi iin: IP a.b.c.d Kaynak ya da hedef: HOST a.b.c.d
A Adresi:
NET a.b.c.d m.n.r.s (m.n.r.s a maskesi) NET a.b.c.d / num (Ya da / gsterimi ile)
Port Numaras:
PORT [operator] port_no (operator olarak =,>,< kullanlabilir)
Ynlendiricideki A Arayz:
[inout] IF arayuz_no (bana eklenecek in ya da out ile trafiin ynn debelirtebilirsiniz)
Kaytta Yer Alan Paket Says:

packets [operator] say [scale] (scale deeri k,m,g olabilir. Kilo, mega ve giga iin)
Byte deerine gre:

bytes [operator] say [scale]
Saniyedeki Paket Says: (Packets per second):

pps [operator] num [scale]
Trafik izinin olutuu sre:

duration [operator] num
Saniyelik Bite Gre (Bits per second):

bps [operator] num [scale]
Paketlerine Byte cinsinden byklne gre (Bytes per packet):

bpp [operator] num [scale]
AS numaras
[SourceDestination] AS say
Ak izinin kayna ve zerinde uygulanacak filtreler belirlendikten sonra Process seenei seilerek kaytlar ilenebilir. Bu aamada da iki adet seenek bulunmaktadr: List ve Stat TopN (ekil 36 ve ekil 37). List seeneini seilen kaynaktan gelen ak izlerine hazrladnz filtrenin uygulanmasn ve sonularn grntlenmesini salamaktadr. Sonularda yer alacak izlerin saysn ve formatn belirlemenin yannda, ortaya kan bu izleri Aggregate blmnde setiiniz bir balk blmne gre (kap, hedefe ya da kaynak IP adresi) saydrlabilir. Bu seenein en temel kullanm belirli bir zaman aralnda bir IP adresine ait trafik izlerinin izlenmesidir. Ak izlerinin ilenmesinde ikinci seenek olan Stat TopN istatistik bilgilerini salamaktadr. Seilen zaman aralnda kaplar ya da IP adresleri oluturduklar flow, paket ya da trafik byklne gre listelenebilmektedir. Kaynak IP, hedef IP, Kap, AS numaras v.s. iin kacak istatistikler byte, a izi says, pps v.s. iin sralatlabilir.
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 99 / 100
ekil 36: List Flow
ekil 37: Stat TopN
nemli Not: zerinde allan a ile ilgili tm trafiin bilgilerini barndran ak izlerinin tutulmas ve analiz edilmesi a ynetimi iin ok nemlidir. Bununla birlikte bu kaytlar hassas bilgiler ierdiinden a yneticileri dndaki kiilerin eriimine izin verilmemelidir. Bunun iin en pratik zm olarak .htaccess dosyas yardm ile web sunucusuna eriimi kullanc tabanl yapmaktr. Ayrca sunucuya ssh eriimini kstlamak iin gerekli tanmlar yaplmaldr.
KAYNAKLAR:
A. Conta, S. Deering, Internet Control Message Protocol (ICMPv6) for the Internet Protocol Version 6 (IPv6) Specification, RFC2463, Aralk 1998 Alan Ad Sunucusu DNS, http://en.wikipedia.org/wiki/Domain_Name_System, ubat 2011 tarihinde eriilmitir. Apache Web Sunucusu, http://httpd.apache.org/docs/2.0/tr/bind.html, ubat 2011 tarihinde eriilmitir. B. Carpenter, K. Moore, "Connection of IPv6 Domains via IPv4 Clouds", RFC 3056, ubat 2001 BIND Yaplandrmas, http://www.isi.edu/~bmanning/v6DNS.html, ubat 2011 tarihinde eriilmitir. Bradner, B., Mankin, A., The Recommendation for the IP Next Generation Protocol, RFC 1752, Ocak 1995 C. Hopps, "Routing IPv6 with IS-IS", RFC 5308, Eyll 2008 C. Huitema, "An Anycast Prefix for 6to4 Relay Routers", RFC 3068, Haziran 2001 C. Huitema, Teredo: Tunneling IPv6 over UDP through Network Addre ss Translations (NATs), RFC 4380, ubat 2006 Cisco, 6Bone Connection Using 6to4 Tunnels for IPv6, ubat 2011 tarihinde eriilmitir. D. Kegel, "NAT and Peer-to-Peer Networking", http://www.alumni.caltech.edu/~dank/peer-nat.html, Temmuz 1999 E. Davies, S. Krishnan, P. Savola, IPv6 Transition/Coexistence Security Considerations, RFC 4942, Eyll 2007 E. Nordmark, R. Gilligan, Basic Transition Mechanisms for IPv6 Hosts and Routers, RFC 4213, Ekim 2005 E.Nordmark, "Stateless IP/ICMP Translation Algorithm (SIIT)", RFC 2765, ubat 2000 G. Malkin, R. Minnear, "RIPng for IPv6", RFC 2080, Ocak 1997 Getting Connected with 6to4, http://onlamp.com/pub/a/onlamp/2001/06/01/ipv6_tutorial.html?page=3, ubat 2011 tarihinde eriilmitir. Information Sciences Institute University of Southern California, "Internet Protocol DARPA Internet Program Protocol Specification", RFC 791, Eyll 1981 Internet Protocol Version 6 Address Space, http://www.iana.org/assignments/ipv6address-space/ipv6-address-space.xml#note2, ubat 2011 tarihinde eriilmitir. IPv4 address exhaustion, http://en.wikipedia.org/wiki/IPv4_address_exhaustion, ubat 2011 tarihinde eriilmitir.
IPv6 El Kitab
IPv6 configuration for Windows, http://6to4.version6.net/?show_ip=172.16.30.213&lang=en_GB, ubat 2011 tarihinde eriilmitir. IPv6 configuration guide for FreeBSD users, http://www.kame.net/~suz/freebsd-ipv6config-guide.txt, ubat 2011 tarihinde eriilmitir. IPv6 Day, Teredo Servers, http://www.ipv6day.org/action.php?n=En.GetConnectedTeredo J. Amoss, D. Minoli, "Handbook of IPv4 to IPv6 Transition, Methodologies for Institutional and Corporate Networks", 2008 by Taylor & Francis Group J. Arkko, Ed., J. Kempf, B. Zill, P. Nikander, Secure Neighbor Discovery (SEND), RFC 3971, Mart 2005 J. Davies, TCP/IP Fundamentals for Microsoft Windows Chapter 15 IPv6 Transition Technologies, Kasm 2006, http://technet.microsoft.com/enus/library/bb727021.aspx J. Hagino, K. Yamamoto, An IPv6-to-IPv4 Transport Relay Translator, RFC 3142, Haziran 2001 J. Jeong, S. Park, L. Beloeil, S. Madanapalli, "IPv6 Router Advertisement Option for DNS Configuration", RFC 5006, Eyll 2007 Kamu Kurum ve Kurulular iin IPv6ya Gei Plan, http://www.resmigazete.gov.tr/eskiler/2010/12/20101208-7.htm, ubat 2011 tarihinde eriilmitir. M. Allman, S. Ostermann, C. Metz, "FTP Extensions for IPv6 and NATs", RFC 2428, Ekim 1998 Miredo : Teredo IPv6 tunneling for Linux and BSD, http://www.remlab.net/miredo, ubat 2011 tarihinde eriilmitir OpenBSD Manual Pages, faith - IPv6-to-IPv4 TCP relay capturing interface, http://www.openbsd.org/cgi-bin/man.cgi?query=faith&sektion=4, ubat 2011 tarihinde eriilmitir. P. Marques, F. Dupont, "Use of BGP-4 Multiprotocol Extensions for IPv6 Inter-Domain Routing", RFC 2545, Mart 1999 P. Nikander, Ed., J. Kempf, E. Nordmark, IPv6 Neighbor Discovery (ND) Trust Models and Threats, RFC 3756, Mays 2004 P. Savola, C. Patel, Security Considerations for 6to4, RFC 3964, Aralk 2004 P. Srisuresh, B. Ford, D. Kegel, State of Peer-to-Peer (P2P) Communication across Network Address Translators (NATs), RFC 5128, Mart 2008 Postfix E-Posta Sunucusu, http://www.postfix.org/IPV6_README.html, ubat 2011 tarihinde eriilmitir. Q. Zheng et al., A New Worm Exploiting IPv4-IPv6 Dual-stack Networks, Proc. 5th ACM CCS WORM07, Kasm 2007
IPv6 El Kitab
Quagga Routing Software Suite, GPL licensed IPv4/IPv6 routing software. http://www.quagga.net, ubat 2011 tarihinde eriilmitir. R. Coltun, D. Ferguson, J. Moy, A. Lindem, "OSPF for IPv6", RFC 5340, Temmuz 2008 R. Draves, Default Address Selection for Internet Protocol version 6 (IPv6), RFC 3484, ubat 2003 R. Hinden, S. Deering, Internet Protocol Version 6 (IPv6) Addressing Architecture, RFC3513, Nisan 2003 R.Droms,J.Bound, B.Volz, T.Lemon, C.Perkins, M.Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, Temmuz 2003 S. Kawamura, M. Kawashima, A Recommendation for IPv6 Address Text Representation, RFC5952, Austos 2010 S. Kent, R. Atkinson, Security Architecture for the Internet Protocol, RFC 2401, Kasm 1998 S.Deering, R.Hinden, "Internet Protocol, Version 6 (IPv6)Specification", RFC 2460, Aralk 1998 S.Thomson, T.Narten, "IPv6 Stateless Address Autoconfiguration", RFC 2462, Aralk 1998 Softflowd, Flow analiz arac, http://www.mindrot.org/projects/softflowd, ubat 2011 tarihinde eriilmitir. Source and Destination Address Selection for IPv6, ubat 2006, http://www.microsoft.com/technet/community/columns/cableguy/cg0206.mspx Tcpdump A trafii analiz arac, http://www.tcpdump.org, ubat 2011 tarihin de eriilmitir. The Faith TRT for FreeBSD and NetBSD, http://www.networkdictionary.com/Networking/Faith-TRT-FreeBSD-andNetBSD.php The IPv6 Portal, Connectivitiy Teredo, http://www.ipv6tf.org/index.php?page=using/connectivity/teredo, ubat 2011 tarihinde eriilmitir. The IPv6 Portal, Connectivity 6to4 configuration, http://www.ipv6tf.org/index.php?page=using/connectivity/6to4, ubat 2011 tarihinde eriilmitir. Ulusal IPv6 Protokol Altyaps Tasarm ve Geii Projesi Web Sitesi, http://www.ipv6.net.tr, , ubat 2011 tarihinde eriilmitir. W. Dale, IPv6 6to4 Relay Routing Service, http://helpdesk.doit.wisc.edu/ns/page.php?id=9462, Haziran 2009 RFC 1035, DOMAIN NAMES - IMPLEMENTATION AND SPECIFICATION, http://www.ietf.org/rfc/rfc1035.txt RFC 2671, Extension Mechanisms for DNS (EDNS0), http://www.ietf.org/rfc/rfc2671.txt
IPv6 El Kitab
RFC 2672, Non-Terminal DNS Name Redirection, http://www.ietf.org/rfc/rfc2672.txt draft-ietf-behave-dns64-06, DNS64: DNS extensions for Network Address Translation from IPv6 Clients to IPv4 Servers, http://www.viagenie.ca/ietf/draft/draft-ietfbehave-dns64-06.txt draft-ietf-behave-v6v4-framework-06, Framework for IPv4/IPv6 Translation, http://www.viagenie.ca/ietf/draft/draft-ietf-behave-v6v4-framework-06.txt draft-ietf-behave-v6v4-xlate-09, IP/ICMP Translation Algorithm, http://www.viagenie.ca/ietf/draft/draft-ietf-behave-v6v4-xlate-09.txt draft-ietf-behave-v6v4-xlate-stateful-08, Stateful NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers, http://www.viagenie.ca/ietf/draft/draft-ietf-behave-v6v4-xlate-stateful-08.txt http://tr.wikipedia.org/wiki/SNMP
IPv6 El Kitab
TBTAK ULAKBM, 2012
Sayfa 104 / 100

Ipv6 El

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Ipv6 El

Uploaded by

Copyright:

Available Formats

IPv6 EL KTABI

V2.1 Nisan 2012

BLM 1: IPV6 TEMELLER VE YAPILANDIRMASI

Trkiye'de IPv6 ile ilgili Yrtlen almalar

TBTAK ULAKBM, 2012

ekil 1: Kamu Kurum ve Kurulular iin IPv6ya Gei Plan Aamalar

IPv6 Adres Mimarisi

TBTAK ULAKBM, 2012

IPv6 Adres Tipleri

TBTAK ULAKBM, 2012

Kresel Ynlendirme neki n bit

Alt aa Tantc m bit

Arabirim Tantcs 128-m-n bit

ekil 2: Kresel Tekil Gnderim Adres Yaps

Kresel Tantc 40 bit

ekil 3: Esiz Yerel Tekil Gnderim Adres Yaps

TBTAK ULAKBM, 2012

ekil 4: Balant Yerel Tekil Gnderim Adres Yaps

ekil 5: oklu Gnderim Adres Yaps

Baz n tanml oklu gnderim adresleri ise aada verilmitir:

IPv6 Balk Yaps

ekil 6: IPv4 ve IPv6 Balk Yaps

ekil 7: Uzant Balklar

Tablo 2. IPv6 Ek balklar

Sonraki Balk Deeri

Tablo 3. st Protokolleri iin tanmlanan sonraki balk deerleri

Sonraki Balk Deeri

TBTAK ULAKBM, 2012

ekil 8: ICMPv6 Paket Yaps

TBTAK ULAKBM, 2012

Tablo 4. RFC 4443 belgesinde tanmlanan ICMPv6 hata mesajlar

TBTAK ULAKBM, 2012

Tablo 5. ICMPv6 Bilgi Mesajlar

TBTAK ULAKBM, 2012

Komu Kefi (Neighbor Discovery)

ekil 9: Komu Kefi rnei

Temel IPv6 Yaplandrmas

TBTAK ULAKBM, 2012

ekil 10: Ynlendirici lan Mesaj

Durum Denetimsiz Otomatik Adres Yaplandrmas

ekil 11: Kresel Tekil Adres Yaps

TBTAK ULAKBM, 2012

ekil 12: MAC Adresinden Arabirim Tantcs Oluturulmas

Durum Denetimli Otomatik Adres Yaplandrmas:

TBTAK ULAKBM, 2012

ISC dhcp sunucusu rnek yaplandrmas

Cisco Ynlendirici Otomatik Adres Yaplandrma rnekleri:

O biti varsaylan deer 0dr. Deeri 1 yapmak iin:

A biti varsaylan deer 1dir. Deeri 0 yapmak iin:

Ynlendirici lan iin Temel Yaplandrma

DHCPv6 Stateless Temel Yaplandrma

DHCPv6 Statefull Temel Yaplandrma

BSD ve Linux Ynlendiricileri Otomatik Adres Yaplandrma rnekleri

radvd rnek yaplandrma

DHCPv6 Stateless Temel Yaplandrma rtadvd rnek yaplandrma

DHCPv6 Statefull Temel Yaplandrma radvd rnek yaplandrma

Statik Adres Yaplandrma rnekleri

DNS stemci Yaplandrmas

TBTAK ULAKBM, 2012

QUAGGA (Linux/Unix letim Sistemleri iin)

BGP ayarlar iin:

ospf6d ile OSPFv3 iin:

TBTAK ULAKBM, 2012