HOME 回資訊服務處首頁 Login
ITs通訊
搜尋電子報


含詳全文
訂閱電子報
請輸入E-Mail
 
 
2013.05.02 2013年第8期 設為首頁 | 加入最愛 | RSS 訂閱
最新電子報 | 上一期 | 下一期 | 各期電子報


   
中央研究院計算中心通訊
中央研究院計算中心發行
2013年第8期   民國102年5月2日
簡訊
【停機公告】中國基本古籍庫、中國譜牒庫、中國方志庫、敦煌文獻庫、明代日用類書等五個資料庫停機
 由近史所及史語所採購之五個線上資料庫(中國基本古籍庫、中國譜牒庫、中國方志庫、敦煌文獻庫、明代日用類書),預計於台北時間5月6日(一)上午10點至5月8日(三)下午6點進行應用程式版本升級;本中心之伺服主機亦因已老舊及作業系統官方也不再維護,故將考量一併升級,而於執行期間五個資料庫將暫停服務。停機期間廠商將會提供線上連線使用服務(另行通知)。造成不便,尚祈諒察。
Top

『網路報稅』綜合所得稅電子結算申報繳稅服務

申報時間:5/1~5/31

參考網站:財政部電子申報繳稅服務(http://tax.nat.gov.tw/info_IRX_download.html?id=1)

Top

【資安通報】近期資安通報
  • phpMyAdmin 4.0.0-RC2之前的版本存有多個漏洞通知 ICST-ANA-2013-0009 (ncert,2013/04/26)
  • Adobe Shockwave Player 存在多個安全性漏洞,請使用者儘速更新!GSN,2013-04-26)
  • Adobe Flash Player/AIR 存在系統存取的弱點,請使用者儘速更新!(GSN,2013-04-23)
  • 【資安公告】DNS 放大攻擊(DNS Amplification Attacks) (計中,2013/04/18 )
  • 【資安公告】辦公資訊設備網路位址曝露風險 (計中,2013/04/18 )
  • 【更新提醒】微軟安全性更新 KB2823324 可能造成 Windows 7 無法正常開機 (計中,2013/04/18)
  • Mozilla Firefox 存在多個安全性漏洞,請使用者儘速更新! (GSN,2013-04-17)
  • 2013 年 4 月份 Microsoft 資訊安全公告 (微軟,2013/04/16)
  • 2013 年 4 月份資訊安全網路廣播 (微軟,2013/04/10)
  • Top

    【新課通知】「Mac iBooks Author電子書編輯」5/7日上課,歡迎同仁報名參加

    上課日期

    課程名稱

    適合對象

    講師

    05/07
    14:00-17:00
    Mac iBooks Author電子書編輯
    (有IPAD的同仁也可來聽,屆時老師會現場操作,同仁可問老師電子書如何在iPAD使用)
    (下載ibook說明)
    業務上需利用MAC編輯電子書的研究人員及同仁 吳至中先生
    Top

    【新課通知】「EndNote x6 書目管理軟體初階與進階課程」5/16日上課,歡迎同仁報名參加
     計算中心將於5/16 上午10:00及下午2:00舉辦 「EndNote x6 書目管理軟體」初階與進階課程,歡迎有興趣的同仁請至資訊訓練與推廣服務網站報名
    ------------------------------------------------------
    1. 課程名稱:EndNote x6
    2. 上課日期:102/05/16 上午10:00(初階)/下午2:00(進階)
    3. 上課地點:人文館3樓遠距會議室
    4. 課程大綱/相關規定/線上報名請至:http://www.ascc.sinica.edu.tw/train/

    說明:

    1. 請務必經過主管同意再至線上報名
    2. 報名成功並不代表錄取,屆時會再發錄取通知單,同仁課前若未收到錄取通知單,可至線上查詢,以免白跑一趟
    3. 如遇額滿,錄取名單除了按報名順序外,並排除先前已經上過長文件課程的同仁及有缺席記錄的同仁
    Top

    【影音服務】「影音服務」新增影片
    Top

    【教育訓練】計算中心5、6月資訊推廣課程預告

    上課日期

    課程名稱

    適合對象

    講師

    5/16
    10:00-12:00
    EndNote X6書目管理初階課程   有研究寫作需求的同仁 鄒雅韻小姐
    5/16
    14:00-16:00
    EndNote X6書目管理進階課程
    05/23
    13:30-17:30
    EXCEL 2010儲存格與工作表實務應用
    1. 需有使用EXCEL 2010的經驗
    2. 對EXCEL 2010中階有興趣的同仁
    3. 對EXCEL 2010儲存格設計,工作表應用有興趣的同仁
    外聘
    6/25,6/27 Windows作業系統電腦鑑識    
    Top

    『院外活動』多元出版數位應用技術知識論壇
    階段 上課日期 課程主題 課程規畫
    第三階段 5/24(五)14:00-17:00 Flowing Books with Vertical Text Alignment中式文本型EPUB(直排、右翻)電子書設計編排專題 未開放報名

    聯絡窗口:

    1. 關於報名-聯成電腦 戴先生02-2740-3862
    2. 關於課程內容-台灣數位出版聯盟 劉小姐02-2500-0888#6827
    Top

    中心動態
    中心紀事(102年7-12月)
    07月 完成本院「102年度中央研究院學術研究國際網路專線」建置, 7/1正式提供服務。

    07月

    7/10完成辦理「102年度總辦事處個人電腦」更新。

    07月

    7月份起進行本院「院區骨幹網路」路由調整。

    07月

    全院共用資料庫「2012 JCR web」上線。

    08月

    協助完成本院「科研採購資訊網」建置。

    08月

    完成「圖書館自動化系統服務」問題清單整理。

    08月

    8/13完成辦理「102年度Adobe Acrobat軟體全院授權」採購案。

    08月

    上古漢語標記語料庫、近代漢語標記語料庫、現代漢語平衡語料庫三套語料庫更新上線。

    09月

    完成辦理「高效能計算服務C2 Cluster」年度維護案。

    09月

    Matlab版本更新為R2013b。

    09月

    中心網站新增「banner與icon下載專區」,提供院內各單位下載使用。

    10月

    完成院區開放參觀「AR擴增實境」特別活動。

    10月

    10/24舉行「本院第17次資訊業務協調會議」暨「資訊室主管及管理者經驗交流第20次座談會」。

    11月

    11/7協助「103年度立法院預算審查現場備詢」支援工作。

    11月

    11/11完成辦理「PerkinElmer ChemBioOffice軟體」全院授權採購。

    11月

    11/12 舉行102年度「圖資相關電子資料庫」業務會議。
    11月 完成建置「民國時期期刊全文數據庫(1911-1949):第七輯」與「台灣民報」二個資料庫。

    12月

    完成建置院網「學術榮譽」專區。

    12月

    完成2014年新年電子賀卡設計。

    12月

    12/11完成驗收「執行虛擬化垃圾郵件阻絕」採購案並上線。

    12月

    12/17完成辦理「103年度防毒軟體授權」採購。

    12月

    12/18完成辦理「NetApp儲存設備」採購案,建置完成並通過驗收。

    12月

    12/27完成辦理「103年MATLAB軟體升級及新購」驗收。

    12月

    12/27完成辦理「102年中央研究院SAS軟體」授權驗收。
    12月 12月 完成辦理全院共用電子資料庫年度續訂作業。
    Top

    資訊應用
    IPv6 Rapid Deployment(6RD)簡介與建置經驗分享

    壹、 前言
     全球網際網路的發展已有30多年歷史,自World Wide Web出現,立即引領全球資訊網路的蓬勃成長,連帶促使IPv4使用急速成長。IPv4用途類似家戶門牌號碼,擁有單一及獨特性,可以讓個人電腦的封包傳送及接收不會有問題。然而IPv4的定址模式,可提供的位址容量僅2的32次方個,約42億多個IP位址,已於民國101年全部分配完畢,因此使用新的定址模式(IPv6)刻不容緩。

     全球的IPv6發展已超過20年,台灣IPv6正式發展亦已超過10年,在民國100年6月就曾舉辦World IPv6 Day,在這一天全球重要網路服務商、入口網站或搜尋引擎等同步啟動IPv6,反應及使用上皆相當正面;因此在101年6月6月接續此活動,正式全面啟動IPv6連線服務[1],至此IPv6發展進入全新紀元。

     目前IPv4使用者及網路服務仍為主要連線協定,因此若使用IPv6,需考量IPv6/IPv4轉移技術的相容性與擴充能力。本服務建置主要目的為提供本院同仁IPv6/IPv4轉移服務,協助IPv4網路於現有商用(production)網路使用6RD服務連接IPv6網路,做為未來推廣IPv6服務的參考模型。

     台灣使用率最佳的IPv6連線服務仍為Tunnel Broker服務,係由TWNIC於民國96年佈建於7個主要商業ISP,做為中長期IPv6/IPv4轉移服務的解決方案[2]。此Tunnel Broker服務由gogo6[3]公司開發,配合該公司開發之多種作業系統平台應用程式,讓使用者得以於各式網路環境使用IPv6服務。

     Freenet6[4]的Tunnel Broker系統服務,亦為gogo6公司建置的Tunnel Broker網路,為前述Tunnel Broker的免費版本,可提供使用者連結IPv6網路。gogoNet於全球建置Tunnel Broker服務,於亞洲地區分別於澳洲及台灣各有一個POP點,台灣由本院維運。其他主要提供Tunnel Broker服務的主要ISP還有Hurricane Electric、Saxxis等。

     中華電信數據分公司(HiNet)亦提供Dual Stack網路連線試用服務[5],只要是HiNet固接式用戶或ADSL/光世代用戶等皆可申請試用。DS-Lite[6]為Dual Stack服務的變體,配合CGN技術降低ISP的IPv4位址使用,且同時提供IPv6連線。

     6to4轉移技術,較大規模的佈建始係於民國100年,由WIDE計畫於日本東京的DIX-IE、JPIX及JPNAP與各網路建立IPv6連線,以Tokyo6to4(AS38646/AS55374)為計畫名稱,於日本提供全球公開的6to4連線服務,已於101年8月正式結束服務。其他公開的6to4服務,可以參考BGP mon提供的網頁資訊[7]。

     IPv6 Rapid Deployment轉移服務(簡稱6RD)[8],最早始於民國96年,由法國Free依6to4技術修改後提出並開始佈建[9];美國Comcast於99年開始提供試用服務,日本SoftBank亦於同年開始使用6RD推動IPv6[10];瑞士Swisscom、加拿大Videotron、荷蘭Telfort與日本SAKURA等ISP於100年開始推動6RD服務提供IPv6連線。

    貳、 各式IPv6/IPv4移轉技術評估
    以下比較各式移轉技術的優缺點:

    移轉技術  Dual Stack  6to4  6RD  DS-Lite  NAT-PT  ISATAP  Manual Tunnel  Automatic Tunnel  Teredo
    優點  網路設備及使用者端設定最簡易  網路設備端設定簡易  已有使用者端國產設備  已有使用者端國產設備  早期應用於企業網路  早期應用於SOHO網路  使用者控管容易  佈建容易  內建於Windows系統
     不需額外轉換,效能最佳  可結合IPv4 Anycast簡化使用者端設定  網路設備端設定簡易  網路設備端設定簡易  可與NAT應用結合  網路設備端設定簡易  技術發展最早  部分技術可穿透NAT  可穿透部分NAT
         可管制連線使用者  可管制連線使用者        使用便利   
         可使用自有的IPv6 prefix            
    缺點
     
    網路設備端須同時維護兩套設定  無法穿透NAT  無法穿透NAT  現階段尚未有商用  網路設備負載重  網路設備負載重  需熟悉網路設備路由運作  單一設備易形成連線瓶頸  造成IPv6網路連線效能低落
       無法控制連入的使用者  效能及擴充性仍需測試  效能及擴充性仍需測試  鮮少使用  鮮少使用  擴充性不夠  需提供跨平台用戶端程式  單一設備易形成連線瓶頸
       一定要使用2002::/16       僅適用於一般規模企業  僅適用於一般規模企業  無法穿透NAT    可能受非最佳路由影響
       可能受非最佳路由影響              
    功能  同時提供public IPv4與IPv6連線  同時提供public IPv4與IPv6連線  同時提供public IPv4與IPv6連線  提供native IPv6網路經由IPv4網路Tunnel與IPv6網路連線  提供企業內部網路連接IPv6網路  提供企業內部網路連接IPv6網路  以手動建立Tunnel提供IPv6網路連線  自動建立Tunnel提供IPv6網路連線  提供個人電腦可以自動建立IPv6連線
    條件  網路設備與個人電腦須支援  網路設備須支援   網路設備須支援  網路設備須支援  網路設備須支援  網路設備須支援  網路設備與個人電腦須支援  網路設備與個人電腦須支援  

             表一、各式IPv6/IPv4移轉技術比較

     由表一可知,現階段6RD相對於其他移轉技術來說,雖非最佳,仍可解決大多數無法提供Dual Stack服務的ISP的問題,為現階段較多ISP選擇及較便利的IPv6佈建方法。

     6RD係參考6to4轉移技術的優點,再配合實際商業網路的需求(如使用自有IPv6網段、管控連線使用者等)而產生的轉移協定,主要協助ISP使用者可透過ISP建置的6RD服務,簡單且便利的連上IPv6網路。

     6RD服務對於IPv6佈建的優點有:佈建便利,易於管理;可結合CGN,無論使用public或private IP皆可使用此服務;6RD即然由6to4轉移技術演化而來,因此仍繼承6to4轉移技術部份缺點,如每個6RD連接設備仍需分配一個固定IP,此舉限縮未來各式智慧型家電及大量行動裝置使用6RD。

     6RD主要應用於即有的IPv4網路,不需調整即有網路架構,可提供使用者與IPv6網路建立連線。6RD於Access/Aggregation(存取/聚合)端與Core(核心)端間,建立IPv6-over-IPv4 Tunneling,此架構可依不同特性分為下列名詞說明:

    1. 6RD domain(網域):由一或多個以上的連接到相同的6RD服務的Access/Aggregation端及Core端路由器設備組成,而每個網域配發單一且不同的6RD網段(prefix)。
    2. 6RD prefix(網段):配發予不同6RD網域使用的獨特且惟一的IPv6網段。
    3. 6RD CE(customer edge,使用者端):於6RD佈建時,置於為使用者端的路由器設備,亦可稱為Residential Gateway(RG)或Customer Premises Equipment(CPE)。
      LAN(區域網路端):於CE設備端介面,連接使用者設備,提供完整的IPv6/IPv4服務。
      WAN(廣域網路端):於CE設備端介面,連接Core端或是ISP端設備,此介面僅提供IPv4連線及IPv6-over-IPv4 Tunneling。
      此處介紹另一個名詞:CE IPv4 IP位址。設定於CE設備端的WAN介面,可藉由DHCP、PPP或是其他技術取得的IPv4位址,可能為private或public IPv4 IP,讓CE端設備可以存取IPv4 Internet或與6RD BR連線。
    4. 6RD BR(border relay,邊界中繼):提供6RD服務且位於6RD網域邊界的網路設備,BR的IPv4位址主要提供予6RD網域內的CE端設備建立6RD連線,CE端設備藉由IPv6-over-IPv4 Tunneling技術將IPv6封包送至BR,再轉送至IPv6網路。

    完整6RD封包流程說明如下:

    1. IPv4連線:IPv4封包透過Access/Aggregation端設備(如家用路由器或ADSL/光世代路由器)傳送至Core端設備,Core端設備結合CGN技術與IPv4網路連線;由IPv4網路回送之封包路徑亦同。
    2. IPv6連線:IPv6封包透過Access/Aggregation端設備與Core端設備間建立之6RD連線,藉由IPv6-over-IPv4 Tunneling技術,將IPv6封包以IPv4標頭封裝後,傳送至Core端6RD BR,移除IPv4標頭,再由6RD BR判斷IPv6封包的目的地後進行傳送;由IPv6網路回送之封包亦需透過6RD BR將IPv6封包以IPv4標頭封裝後,利用Core端與Access/Aggregation端設備建立之6RD連線傳回至指定的Access/Aggregation端設備,在Access/Aggregation端設備移除IPv4標頭後,再傳送至使用者端完成資料傳遞。

    參、 本院6RD測試服務架構
     本院建置之6RD測試服務,主要提供本院同仁於本院院區網路及ADSL/光世代服務使用為主,架構如下圖一說明:


    圖一、本院6RD測試服務架構

    本架構主要分為4部分:

    1. Customer端:包含ADSL/光世代使用者、各所(處)中心區域網路使用者、無線網路使用者個人電腦等。於customer端,大多數使用者網路環境為IPv4/IPv6並存,即Dual Stack。測試環境使用Windows 7作業系統的個人電腦做為連線測試使用。
    2. Access/Aggregation端:等同上節說明的6RD CE端設備,包含ADSL/光世代家用路由器、ADSL/光世代路由器、各所(處)中心閘道器及無線網路路由器等。現階段大多數設備對外連線皆為IPv4,且提供IPv4 NAT功能可以避免public IP不足的問題。於本測試環境中,我們著重說明ADSL/光世代家用路由器與Core端的IPv4連線及使用者端的IPv6連線。測試環境使用D-Link DIR-655[11]家用無線網路IP分享器。
    3. Core端:等同上節說明的6RD BR端設備,包含院區網路骨幹路由器、廣域網路骨幹路由器等。與Access/Aggregation端的連線有IPv4及IPv6-over-IPv4 Tunneling,而與Global Public Network的部分則是IPv4/IPv6皆有。測試環境使用Juniper MX960[12]路由器。
    4. Global Public Network(全球公眾網路):即internet,可分為IPv6與IPv4 internet。

    肆、 6RD測試服務連線設定說明
     本章就6RD服務的兩個主要元件:6RD CE(Access/Aggregation端)及6RD BR(Core端)設定進行逐步安裝說明,俾使使用者可省去摸索的時間。

    一、Access/Aggregation端設備設定6RD步驟
    於此部分,我們以D-Link DIR-655做為 6RD CE端設備,就其6RD設定步驟進行說明:

    1. 登入D-Link DIR-655設備:預設URL為https://192.168.0.1/,如圖二所示,預設使用者名稱為「管理者」,無預設密碼。

       
      圖二、D-Link DIR-655登入畫面

       使用者可於登入後,依安全考量進行密碼修改及管理設定調整,如圖三所示,使用者可於「管理者密碼」欄位設定、更新及修改密碼,亦可啟用其他進階設定:如「啟用圖像認證機制」,即可於登入時結合圖像密碼系統,確保登入的安全性;「啟用HTTPS伺服器」,可以提供登入時的SSL安全連線,加強連線資料保護。

       
      圖三、D-Link DIR-655系統工具設定

    2. 設定網際網路(WAN)連線:設定與Core端連線所需的WAN介面IP。6RD雖由6to4技術演變而來,WAN介面IP可為public/private IP較6to4僅可使用public IP更有彈性及擴充性,設定步驟如下:

      2.1 登入Dlink-655後,即位於圖四設定畫面,依序選擇「設定」->「網際網路」->「手動進行網路連線設定」,即進入圖五設定畫面。

       
      圖四、D-Link DIR-655網際網路設定一

      2.2 於圖五,選擇「我的網際網路連線為:」欄位,可於下拉選單選擇「固定IP」,亦可依使用者環境選擇「動態IP(DHCP)」、「PPPoE(使用者名稱/密碼)」、「PPTP(使用者名稱/密碼)」、「L2TP(使用者名稱/密碼)」或「3G USB介面卡」等。

      本測試環境選擇「固定IP」,依圖六各欄位如「IP位址」、「子網路遮罩」、「預設閘道」等資訊設定WAN資訊,此處設定將做為與6RD BR及IPv4網路連線之基礎設定。

       
      圖五、D-Link DIR-655網際網路設定二


      圖六、D-Link DIR-655網際網路設定三

    3. 啟動6RD服務,與Core端6RD BR連線:如圖七所示,依序選擇「進階設定」->「IPv6」,即進入圖八的6RD設定畫面,於「IPv6 CONNECTION TYPE」欄位點選「My IPv6 Connection is :」下拉式選單,可以選擇「Static IPv6」、「DHCPv6」、「Stateless Autoconfiguration」、「PPPoE」、「IPv6 over IPv4 Tunnel」、「6 to 4」、「6rd」及「Link-local only」等選項,於本測試架構則選擇「6rd」。

      接下來,於「6RD SETTINGS :」欄位進行相關連線設定,此部分需設定Core端6RD BR設備的連線資訊,俾利6RD CE可以與6RD BR完成連線,設定功能說明如下:

      3.1 「6rd IPv6 Prefix :」為6RD服務使用的IPv6網段,當CE與6RD BR建立6RD連線後,由CE依此IPv6網段結合EUI-64機制,自動產生IPv6 IP並分配予customer端的個人電腦使用,在此設定為「2001:c08::/32」;
      「6rd Relay」為core端6RD BR設備IPv4 IP,在此設定為「202.169.174.85」;
      「Primary DNS Address :」及「Secondary DNS Address :」則可設定IPv6 DNS伺服器的IPv6 IP,在此設定為「2001:c08:0:1::1:6」。亦可使用Google提供的IPv6 DNS服務,2001:4860:4860::8888及2001:4860:4860::8844。

      3.2 「LAN IPv6 ADDRESS SETTINGS :」的欄位係CE自動依LAN端的介面IP與2001:c08::/32結合自動產生「LAN IPv6 Address :」及「LAN IPv6 Link-Local Address :」的IPv6 IP。「LAN IPv6 Address :」的IPv6 IP是由「2001:c08」、「8c6d:0b8f」(140.109.11.143的16進位格式)及「16d6:4dff:fe31:12ea」(由MAC address及EUI-64格式)結合而成。「LAN IPv6 Link-Local Address :」即由「FE80::/16」結合「16d6:4dff:fe31:12ea」(由MAC address及EUI-64格式)而成。

      3.3 最後在LAN端可以點選下拉式選單,可以選擇stateless或DHCPv6的方式來設定customer端的IPv6 IP。如圖九,若選擇「Stateful DHCPv6」,可以設定「IPv6 Address Range(Start) :」及「IPv6 Address Range(End) :」,範圍可以由1~FFFF,共可使用多達16^4個IPv6 IP。


      圖七、D-Link DIR-655設定6RD連線一

       
      圖八、D-Link DIR-655設定6RD連線二

       
      圖九、D-Link DIR-655設定6RD及DHCPv6

    二、Core端設備設定6RD BR步驟
     於此部分我們將就Core端6RD BR(Juniper MX960)設定進行說明:

    1. 因為Juniper MX960係以硬體支援6RD服務,因此首先需檢查 6RD BR是否有安裝Multiservices DPC [12],以便進行後續設定步驟:


      圖十、檢查是否啟動Multiservice DPC

      1.1 本院設備的Multiservice DPC介面係置於FPC 10的第0及1模組,本服務使用第0模組提供服務,檢查設定是否有啟動Multiservice DPC的服務,如圖十,進入configure模式,執行「show chassis」,檢查chassis設定,確認是否有adaptive-services的設定,如紅色圈覆區域。


      圖十一、檢查Multiservice DPC介面狀態

      1.2 接下來檢查Multiservice DPC是否正常運作? 如圖十一,介面顯示sp-10/0/0為Enables/Up,代表介面已啟動。再檢查介面編碼方式為Adaptive-Services,因此判定介面正常設定且運作,可以提供6RD服務。

    2. 設定6RD服務介面:
      為提供6RD服務,須先設定6RD BR提供服務的介面,再來啟動6RD功能,最後指定流入及流出封包要如何做6RD的轉移。


      圖十二、Multiservice DPC介面與6RD介面設定


      2.1 於圖十二,首先設定提供6RD服務的sp-10/0/0介面,於unit 0設定「family inet」及「family inet6」,啟用sp-10/0/0的IPv4及IPv6功能。

      2.2 再設定提供6RD服務的介面,irb.11,此為6RD BR提供6RD的Layer 3介面。因本院架構需求,所以使用Integrated Bridging and Routing(irb)介面來提供6RD連線服務,亦可使用其他介面種類來提供6RD連線。於irb.11介面,於unit 0的family inet設定啟動6RD服務,於「service」下設定流入及流出封包的處理規則;由設備介面流出即為output,流入即為input,皆需設定service-set ASCC-6RD,將6RD服務的封包進行IPv6/IPv4轉換。

      接下來將進一步說明啟動6RD服務的相關設定。

    3. service-set ASCC-6RD設定步驟及說明如下:
      3.1 於[edit]->[services]下進行Service-set設定,如圖十三所示:

      [edit services syslog]:記錄所有與6RD相關的syslog紀錄,並存於設備本身;
      [edit services softwire-rules]:設定softwire所需的設定,為6RD服務的主體,後續將針對此設定做說明,亦可於此指定可使用6RD服務的連線網段控管。
      [edit services stateful-firewall-rules]:6RD服務的進階防火牆設定,可於此設定進階使用者的控管,如限制連入使用者的IP或網段等。
      [edit services interface-service]:指定提供6RD服務的服務卡介面,於此為sp-10/0/0。


      圖十三、6RD服務之service set設定


      3.2 再來我們就上述的設定內容做進一步介紹:

      首先,參看圖十四,[edit services softwire],此部份為6RD服務的主體,提供IPv6-over-IPv4 Tunneling的服務於Juniper使用softwire來命名。[edit services softwire rule]中指定rule名稱為6RD-R1,並設定流入的6RD服務封包,指定6RD服務ASCC-6RD提供6RD服務。

      再來設定提供6RD服務的softwire-concentrator,即前述的ASCC-6RD。指定提供6RD服務的介面IP為202.169.174.85;若允許所有IPv4網段的使用者皆可使用6RD服務,設定「ipv4-prefix 0.0.0.0/0」,但為了安全及服務效能考量,我們設定「ipv4-prefix 140.109.0.0/16」。後續還可於[services stateful-firewall-rules]中進一步限定可使用6RD服務的IPv4使用者IP或網段;最後再設定IPv4的MTU值為1500。

      因此,我們可以依據不同網路、單位、大樓來設定softwire-concentrator,並依此提供6RD服務,如此將提供更具彈性的6RD服務管理及控制。


      圖十四、softwire設定

    4. 進階6RD服務管理:
      圖十五說明進階6RD服務管理:防火牆,此服務於[edit services state-firewall]設定,配合[edit policy-options prefix-list]中設定可以使用6RD服務的IPv4網段,於此我們設定6RD-Testbed-prefix對使用6RD服務使用者進行連線來源端的IP管理。


      圖十五、state-firewall設定

    三、 Core端設備6RD服務狀態檢查
    於此階段,我們已完成Access/Aggregation端及Core端的設定,此時Access/Aggregation端與Core端已建立6RD連線,Core端開始提供6RD服務,我們再以下列介紹之相關指令於Core端進行觀察,並檢測6RD服務是否正常運作:

    1. 檢查softwire的狀態:
      於圖十六,我們執行「show services softwire」指令,可以看到現階段由140.109.11.143連入202.169.174.85,即6RD連線建立,且由sp-10/0/0使用service set ASCC-6RD來提供服務。


      圖十六、show services softwire指令

    2. 檢查6RD服務IPv6路由資訊:
      執行「show route 2001:c08:8c6d::/48」指令,如圖十七,確認此段IPv6網段指向6RD服務,亦即透過建立的softwire-concentrator回到Access/Aggregation端,即使用者的D-Link DIR-655。


      圖十七、show route指令

    3. 檢查6RD服務統計資訊:
      再來執行「show services softwire statistics」指令,可以取得6RD服務的相關統計資料,一方面可以瞭解6RD服務的流量狀況,亦可瞭解發生的問題有那些,如圖十八。


      圖十八、show services softwire statistics指令

    4. 檢查6RD服務session統計資訊:
      執行指令「show services stateful-firewall statistics」,如圖十九,可取得ASCC-6RD服務建立後的統計資訊,如封包Accept、Discard、Reject及Errors資訊。


      圖十九、show services stateful-firewall statistics指令

    5. 檢查6RD服務的flow資訊:
      如圖二十,執行「show services stateful-firewall flows count」指令,可取得自6RD服務建立後的flow數。


      圖二十、show services stateful-firewall flows count指令

      圖二十一,執行「show services stateful-firewall flows」指令,可進一步瞭解每一筆flow的內容,如6RD服務的建立;6RD服務中的IPv6流量,包含source IP及Destination IP,還有每個flow的封包數等。


      圖二十一、show services stateful-firewall flows指令


      若要再進一步細察每個flow的內容,可以執行「show services stateful-firewall flows extensive」指令,如圖二十二,可針對每個flow統計流量的位元數、封包數及flow在6RD服務中扮演的角色等。


      圖二十二、show services stateful-firewall flows extensive指令


      執行「show services stateful-firewall conversations extensive」指令,再將上述的flow整合,把每個flow的initiator及responder合併,以完整的flow形式呈現,管理者可以更清楚瞭解每個flow的組成資訊與統計資料,如圖二十三。


      圖二十三、show services stateful-firewall conversations extensive指令

    6. 查看產生的6RD服務訊息:
      執行「show log messages | match 6RD」指令,用match來過濾出6RD服務的log訊息,可以進一步瞭解封包的資訊,可做為debug時的助益,如圖二十四。


      圖二十四、show log messages | match 6RD指令

    7. 檢查IPv6連線狀態:
      使用者可以連上http://test-ipv6.com/,可以自動測試IPv6連線是否成功,如圖二十五,可以看到連上測試網站的IPv4及IPv6 IP,並檢測IPv4/IPv6的準備度與效能,最高的分數為10分,並提供更多的技術資訊讓使用者瞭解發生問題的部分並進一步改善。


      圖二十五、test-ipv6.com測試網站測試結果

      另外,使用者亦可使用http://ipv6-test.com/來測試IPv6與IPv4連線效能的差異,做為使用者評量網路連線效能的參考。由圖二十六結果可說明,連線到美國加州的測試網站,結果顯示,IPv4與IPv6的效能差異不大,亦可提供ISP相關IPv6效能參考。
       


      圖二十六、ipv6-test.com網站連線速率測試結果

    伍、 結語
     IPv6的發展自101年IPv4位址由APNIC於100年2月[15]發放最後的2組/8 IPv4位址後,IPv4 IP申請即正式走入歷史,IPv4仍因為NAT、IPv6佈建及轉移技術等問題,仍會續存在一段時間,未來在各式各樣的智慧型手機及家電產品啟動上網服務或功能,IPv6的應用將愈顯重要。

     各式轉移技術早已於IPv4位址枯竭前興起,本文主要簡介比較各式轉移技術的優缺點,並著重於現有表現較佳的6RD IPv6/IPv4轉移技術的架構、規劃與建置等做詳細說明,期使本文做為一個建置應用的技術參考範例,以利相關IPv6/IPv4 轉移技術的佈建可以有更多的比較與參考,提供使用者更多的IPv6連線服務應用選項。

    陸、 參考資料

    1. World IPv6 launch,http://www.worldipv6launch.org/
    2. 我國IPv6網路服務開始啟用,http://www.ithome.com.tw/itadm/article.php?c=46199
    3. gogo6,http://gogo6.com/
    4. Freenet6,http://gogonet.gogo6.com/page/freenet6-tunnelbroker
    5. HiNet IPv6試用服務,http://www.ipv6.hinet.net/serviceIntro.htm
    6. Dual-Stack Lite (DS-Lite),http://en.wikipedia.org/wiki/IPv6_transition_mechanisms#Dual-Stack_Lite_.28DS-Lite.29
    7. 6to4 relays,http://bgpmon.net/6to4.php
    8. IPv6 Rapid Deployment on IPv4 Infrastructures (6rd),http://tools.ietf.org/html/rfc5569
    9. IPv6 rapid deployment,http://en.wikipedia.org/wiki/IPv6_rapid_deployment
    10.  ソフトバンクグループのIPv6サービスのご案內,http://ybb.softbank.jp/ipv6/
    11. D-Link DIR655,http://www.dlink.com/us/en/home-solutions/connect/routers/dir-655-wireless-n-gigabit-router
    12. [12]. Juniper MX960,http://www.juniper.net/tw/tc/products-services/routing/mx-series/mx960/
    13. [13]. Connection of IPv6 Domains via IPv4 Clouds,http://tools.ietf.org/html/rfc3056
    14. [14]. Multiservice DPC, http://www.juniper.net/techpubs/en_US/release-independent/junos/topics/reference/general/dpc-mx-series-ms-dpc-description.html
    15. [15]. IPv4 exhaustion details,http://www.apnic.net/community/ipv4-exhaustion/ipv4-exhaustion-details
    Top

    創刊日期:74年10月15日
    發行人 :王大為
    總編輯 :曾士熊
    編輯小組:葛行慧
    網站技術:網頁技術及出版組
    出版日期:民國102年5月2日


    服務專線:(02)2789-9866
    E-mail:publish@gate.sinica.edu.tw
    訂閱與取消訂閱 | 各期計算中心通訊 | 中研院計算中心 | 中央研究院

    本電子報所有文字、圖片版權為中央研究院所有,未經許可請勿轉載。
    如對本報有任何意見,請與我們聯繫。
       
     
     本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。