IPv6 – was nun - dfn.de · Windows Mail—could be. Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or

Universität zu Köln RRZK

Folie: 1

IPv6 – was nun ?

58. DFN Betriebstagung M. Liebchen

Rechenzentrum Universität zu Köln

Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13

Ipv6

Ipv4

  IPv6 Transition global nicht aufzuhalten. Offen bleibt Frage nach dem „Wann?“ IPv4 Adressknappheit   IANA – die letzten IPv4 Adressen sind verteilt  Anzahl Internetnutzer steigend  Anzahl Clients pro Nutzer steigend  IPv6 in Zukunft bevorzugt

 neue Online Produkte(z.B. Deutsche Telekom DSL Access)  Entwicklung neuer Anwendungen(z.B. Microsoft Direct Access)  Internet der Dinge



Folie: 2

IPv6 – Warum handeln?

Heute

  Personal Computer   Laptop   Tablets   Spielkonsolen   Festnetztelefon   Fernseher   ...



Folie: 3

Internet der Dinge - Neue Endgeräte

Morgen

  Haushaltsgeräte   Stromversorgung   Hausfernsteuerung   Fahrzeug Kommunikation   Sensornetzwerke   ...

Microsoft IPv6 - Strategie The Argument against Disabling IPv6 It is unfortunate that some organizations disable IPv6 on their computers running Windows Vista or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true. From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be. Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity. Quelle: http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx



Folie: 4

Microsoft IPv6 - Migrationspfad



Folie: 5

Hauptbestandteile von Microsofts Migrationspfad zu IPv6 :   IPv4/IPv6 Dual-Stack   Tunnelmechanismen (6to4, ISATAP, Teredo)

Microsofts automatisch aktivierte Tunnelmechanismen stellen eine latente Gefährdung für IPv4 Netze dar !

 IPv4 Netz wird zum Link-Layer  IPv4 Backbone zum Access-Layer

Siehe Vortrag von Werner Anrath, Egon Grünter (Forschungszentrum Jülich GmbH) Der Widerspenstigen Zähmung, Unmanaged IPv6 im lokalen Netz und die Gefahren 19. DFN Workshop –Sicherheit in vernetzten Systemen 21./22. Feb. 2012, Hamburg

IPv6 ist da – in unseren Netzen ! -  am Arbeitsplatz -  bei uns zu Hause

Handlungsbedarf !



Folie: 6

Zwischenfazit IPv6


Folie: 7 Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13

IPv6 @ uni.de

Aller Anfang ist schwer





Folie: 8

Transitionspfade zu IPv6 Die Qual der Wahl

Dual Stack Tunnel ?

IPv4 à IPv6

Outside to Inside

6to4 Auto- configuration

K.O. Kriterien Einführung IPv6


Folie: 9

  Wesentliche Standards fehlen oder sind unvollständig

  Wesentliche Funktionen sind nicht auf Netzkomponenten implementiert(RA-Guard, DHCP-Snooping, DHCPv6 Relay).

  Endgeräte sind nicht Dual Stack fähig(SNOM IP Telefone)

  Endgeräte sind nicht IPv6 fähig(z.B. Videoüberwachung,...)

  Softwareprodukte sind nicht IPv6 fähig(z.B. Lync2010)

  Zusammenspiel zwischen IT-Basisdienst und Client ist unvollständig / nicht gegeben (DHCPv6)



Folie: 10

  IPv6 hat niedrige Priorität; z. Zt. Anderes wichtiger !

  Fehlende organisatorische Strukturen, die für die IPv6 Migration verantwortlich zeichnen und die Teilaufgaben koordinieren.

  Fehlende Resourcen (Personal & Geld) das Rechenzentrum kann diese Aufgabe nicht allein bewältigen.

  IPv6 Migration muss die komplette IT-Landschaft der Universität von der Netz- bis in die Anwendungsebene umfassen.


K.O. Kriterien Einführung IPv6



Zwischenfaziz K.O. Kriterien

Das Alles ist einfach zuviel ! Wo soll ich anfangen ?



IPv6 Migration/ Einführung IPv6 Migration muss die komplette IT-Landschaft von der Netz- bis in die Anwendungsebene umfassen.

IPv6 Einführung ist keine IPV6 Migration

Bauen Sie erst das Haus und dann die Stadt !



Folie: 13

Empfehlung – Vorgehensweise

Outside to Inside

IPv6 Peering

IPv6 dedizierte

Server

IPv6 Adresskonzept

Klare Fokussierung auf begrenzte Teilziele

IPv6 Einführung in Teil-Szenario


Folie: 14

Im Vergleich zum „vollständig“ IPv6 gerouteten Campus mit heterogenen Nutzer-Subnetzen relativ überschaubares Teil-Szenario wählen ! Beispiel: •  Zugriff auf dedizierte, zentrale IT-Dienste via IPv6 im

Internet ermöglichen  Web-Server ggf. mit Web-Proxies  E-Mail-Server  Domain Name Server


Adresskonzept IPv6  IPv6 Adressbereich reservieren (/48 Netz DFN)  Adressplan definieren ?  Subnetzstruktur internes Netz festlegen ?  Adressvergabetool und Prozesse festlegen ?

Internet-Zugang  Bereitstellung IPv4/ IPv6 Zugang mit Internet Peering mit X-WIN (DFN NOC)



Folie: 15

Teilszenario geringer Aufgabentiefe

IPv4/IPv6 Dual Stack  Dual-Stack Betrieb dedizierter Applikationsserver   Dual-Stack DNS Server (AAAA Record dedizierte Server)

Geringer Umsetzungsaufwand mit großer Außenwirkung !



Folie: 16

Teilszenario geringer Aufgabentiefe

IPv6 Lab-Aufbau

  Konfiguration IPv6, OSPFv3   DHCPv6/ Autokonfiguration Endgeräte   Soft-/ Firmware Test, Freigaben   KnowHow Aneignung/ Training/ Betriebserfahrung

IPv6 Infrastruktur-Assessment   Netzkomponenten   Security Appliances   Adress-Management Werkzeuge   Netzwerkmanagement-Systeme



Folie: 17

Teilszenario - Kondensationskern

DFN Workshop

Einführung von IPv6 in den Hochschulen 13. März 2013

14:00 bis 17:00 Uhr Ev. Johannesstift, Grosser Festsaal

- IPv6 Readiness – Interoperabilität/Herstellerpositionierung - IPV6 Migrationsszenarien/ -strategien - IPv6 Konfiguration / Betriebsformen/ Betriebserfahrungen - IPv6 Adressplanung/ -management - IPv6 Sicherheitsaspekte - IPv6 Troubleshooting - Organisatorische Rahmenbedingungen



Folie: 18

Regionales Rechenzentrum Abteilung Netze M. Liebchen 12.03.13


Folie: 19

????

Ende

IPv4 vs IPv6 - Adressraum


Folie: 20

IPv4 – Adressraum   ca. 4,2 Milliarden (232) IP-Adressen   Class B Netz für Endkunde

•  256 (28) Subnetze •  pro Subnetz 256 (28) Adressen Endgeräte

IPv6 – Adressraum   ca. 340 Sextillionen (2128) IP Adressen   IANA vergibt Global Unicast Adressen aus 2000::/3   8/3er Adressräume, davon einer(12,5%) genutzt Unicast

IANA zur Vergabe freigegeben   LIRs vergeben /48 Netz für Endkunden

•  65.536 (216) Subnetze •  pro Subnetz 18 Trillionen (264) Adressen

7 Milliarden Erdbewohner !


IPv6 - Adressplan


Folie: 21

IPv6 Planungen sind IPv4-Gedankengut behaftet   konservative Adressraumvergabe; im Adressschema werden

große Teile für zukünftige Anwendungszwecke als Reserve zurückgehalten.

  Denken in Endgeräten statt Subnetzen; z. B. ACLs werden nicht auf Ebene der Endgeräte gesetzt.

Typische Fehler   Verwendung von Subnetzgrössen ungleich /64

  RFC 4291 ,5375 ?   /48 Netze zu groß für kleine Einrichtungen ?   /64 Netze Verschwendung für Punkt zu Punkt Verbindungen   Übertriebene Granularität in Strukturierung Subnetz ID




Folie: 22

Interface ID Global Routing Prefix Subnetz ID Interface ID

Ausgangslage Aufbau IPv6 - Adresse

1 1 1 1 1 1 0 1 1 0 0 1 1 1 1 0

/48 /64

9 F 7

4 Hexzahlen

16 Bit; jede Box repräsentiert 1 Bit 4 Boxen repräsentieren 1 Hexadezimalzahl

D

/52 /56 /60 /64



Folie: 23

Granularität Strukturierung Subnetz ID Granularität Strukturierung Subnetz ID Häufig Prefixlängen ungleich Vielfaches von 4 ; binäre Separierung in der Mitte einer Hexadezimalstelle

Folge  Bitseparierung in Hexadezimalstelle schadet Lesbarkeit/

Merkbarkeit von IPv6 Adressen

F F F FB FB FB I I I I N N N N N N

N – Netze (26)

I – Institute (24)

FB – Fachbereiche (23)

F - Fakultäten (23)

/51 /54 /58 /64

Documents

IPv6 – was nun - dfn.de · Windows Mail—could be. Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or