Upload
trinhquynh
View
214
Download
0
Embed Size (px)
Citation preview
Universität zu Köln RRZK
Folie: 1
IPv6 – was nun ?
58. DFN Betriebstagung M. Liebchen
Rechenzentrum Universität zu Köln
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Ipv6
Ipv4
IPv6 Transition global nicht aufzuhalten. Offen bleibt Frage nach dem „Wann?“ IPv4 Adressknappheit IANA – die letzten IPv4 Adressen sind verteilt Anzahl Internetnutzer steigend Anzahl Clients pro Nutzer steigend IPv6 in Zukunft bevorzugt
neue Online Produkte(z.B. Deutsche Telekom DSL Access) Entwicklung neuer Anwendungen(z.B. Microsoft Direct Access) Internet der Dinge
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 2
IPv6 – Warum handeln?
Heute
Personal Computer Laptop Tablets Spielkonsolen Festnetztelefon Fernseher ...
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 3
Internet der Dinge - Neue Endgeräte
Morgen
Haushaltsgeräte Stromversorgung Hausfernsteuerung Fahrzeug Kommunikation Sensornetzwerke ...
Microsoft IPv6 - Strategie The Argument against Disabling IPv6 It is unfortunate that some organizations disable IPv6 on their computers running Windows Vista or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true. From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail—could be. Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity. Quelle: http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 4
Microsoft IPv6 - Migrationspfad
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 5
Hauptbestandteile von Microsofts Migrationspfad zu IPv6 : IPv4/IPv6 Dual-Stack Tunnelmechanismen (6to4, ISATAP, Teredo)
Microsofts automatisch aktivierte Tunnelmechanismen stellen eine latente Gefährdung für IPv4 Netze dar !
IPv4 Netz wird zum Link-Layer IPv4 Backbone zum Access-Layer
Siehe Vortrag von Werner Anrath, Egon Grünter (Forschungszentrum Jülich GmbH) Der Widerspenstigen Zähmung, Unmanaged IPv6 im lokalen Netz und die Gefahren 19. DFN Workshop –Sicherheit in vernetzten Systemen 21./22. Feb. 2012, Hamburg
IPv6 ist da – in unseren Netzen ! - am Arbeitsplatz - bei uns zu Hause
Handlungsbedarf !
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 6
Zwischenfazit IPv6
Universität zu Köln RRZK
Folie: 7 Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
IPv6 @ uni.de
Aller Anfang ist schwer
Universität zu Köln RRZK
Folie: 8 Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 8
Transitionspfade zu IPv6 Die Qual der Wahl
Dual Stack Tunnel ?
IPv4 à IPv6
Outside to Inside
6to4 Auto- configuration
K.O. Kriterien Einführung IPv6
Universität zu Köln RRZK
Folie: 9
Wesentliche Standards fehlen oder sind unvollständig
Wesentliche Funktionen sind nicht auf Netzkomponenten implementiert(RA-Guard, DHCP-Snooping, DHCPv6 Relay).
Endgeräte sind nicht Dual Stack fähig(SNOM IP Telefone)
Endgeräte sind nicht IPv6 fähig(z.B. Videoüberwachung,...)
Softwareprodukte sind nicht IPv6 fähig(z.B. Lync2010)
Zusammenspiel zwischen IT-Basisdienst und Client ist unvollständig / nicht gegeben (DHCPv6)
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 10
IPv6 hat niedrige Priorität; z. Zt. Anderes wichtiger !
Fehlende organisatorische Strukturen, die für die IPv6 Migration verantwortlich zeichnen und die Teilaufgaben koordinieren.
Fehlende Resourcen (Personal & Geld) das Rechenzentrum kann diese Aufgabe nicht allein bewältigen.
IPv6 Migration muss die komplette IT-Landschaft der Universität von der Netz- bis in die Anwendungsebene umfassen.
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
K.O. Kriterien Einführung IPv6
Universität zu Köln RRZK
Folie: 11 Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Zwischenfaziz K.O. Kriterien
Das Alles ist einfach zuviel ! Wo soll ich anfangen ?
Universität zu Köln RRZK
Folie: 12 Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
IPv6 Migration/ Einführung IPv6 Migration muss die komplette IT-Landschaft von der Netz- bis in die Anwendungsebene umfassen.
IPv6 Einführung ist keine IPV6 Migration
Bauen Sie erst das Haus und dann die Stadt !
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 13
Empfehlung – Vorgehensweise
Outside to Inside
IPv6 Peering
IPv6 dedizierte
Server
IPv6 Adresskonzept
Klare Fokussierung auf begrenzte Teilziele
IPv6 Einführung in Teil-Szenario
Universität zu Köln RRZK
Folie: 14
Im Vergleich zum „vollständig“ IPv6 gerouteten Campus mit heterogenen Nutzer-Subnetzen relativ überschaubares Teil-Szenario wählen ! Beispiel: • Zugriff auf dedizierte, zentrale IT-Dienste via IPv6 im
Internet ermöglichen Web-Server ggf. mit Web-Proxies E-Mail-Server Domain Name Server
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Adresskonzept IPv6 IPv6 Adressbereich reservieren (/48 Netz DFN) Adressplan definieren ? Subnetzstruktur internes Netz festlegen ? Adressvergabetool und Prozesse festlegen ?
Internet-Zugang Bereitstellung IPv4/ IPv6 Zugang mit Internet Peering mit X-WIN (DFN NOC)
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 15
Teilszenario geringer Aufgabentiefe
IPv4/IPv6 Dual Stack Dual-Stack Betrieb dedizierter Applikationsserver Dual-Stack DNS Server (AAAA Record dedizierte Server)
Geringer Umsetzungsaufwand mit großer Außenwirkung !
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 16
Teilszenario geringer Aufgabentiefe
IPv6 Lab-Aufbau
Konfiguration IPv6, OSPFv3 DHCPv6/ Autokonfiguration Endgeräte Soft-/ Firmware Test, Freigaben KnowHow Aneignung/ Training/ Betriebserfahrung
IPv6 Infrastruktur-Assessment Netzkomponenten Security Appliances Adress-Management Werkzeuge Netzwerkmanagement-Systeme
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 17
Teilszenario - Kondensationskern
DFN Workshop
Einführung von IPv6 in den Hochschulen 13. März 2013
14:00 bis 17:00 Uhr Ev. Johannesstift, Grosser Festsaal
- IPv6 Readiness – Interoperabilität/Herstellerpositionierung - IPV6 Migrationsszenarien/ -strategien - IPv6 Konfiguration / Betriebsformen/ Betriebserfahrungen - IPv6 Adressplanung/ -management - IPv6 Sicherheitsaspekte - IPv6 Troubleshooting - Organisatorische Rahmenbedingungen
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 18
Regionales Rechenzentrum Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 19
????
Ende
IPv4 vs IPv6 - Adressraum
Universität zu Köln RRZK
Folie: 20
IPv4 – Adressraum ca. 4,2 Milliarden (232) IP-Adressen Class B Netz für Endkunde
• 256 (28) Subnetze • pro Subnetz 256 (28) Adressen Endgeräte
IPv6 – Adressraum ca. 340 Sextillionen (2128) IP Adressen IANA vergibt Global Unicast Adressen aus 2000::/3 8/3er Adressräume, davon einer(12,5%) genutzt Unicast
IANA zur Vergabe freigegeben LIRs vergeben /48 Netz für Endkunden
• 65.536 (216) Subnetze • pro Subnetz 18 Trillionen (264) Adressen
7 Milliarden Erdbewohner !
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
IPv6 - Adressplan
Universität zu Köln RRZK
Folie: 21
IPv6 Planungen sind IPv4-Gedankengut behaftet konservative Adressraumvergabe; im Adressschema werden
große Teile für zukünftige Anwendungszwecke als Reserve zurückgehalten.
Denken in Endgeräten statt Subnetzen; z. B. ACLs werden nicht auf Ebene der Endgeräte gesetzt.
Typische Fehler Verwendung von Subnetzgrössen ungleich /64
RFC 4291 ,5375 ? /48 Netze zu groß für kleine Einrichtungen ? /64 Netze Verschwendung für Punkt zu Punkt Verbindungen Übertriebene Granularität in Strukturierung Subnetz ID
Regionales Rechenzentrum Universität zu Köln Abteilung Netze M. Liebchen 12.03.13
Regionales Rechenzentrum Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 22
Interface ID Global Routing Prefix Subnetz ID Interface ID
Ausgangslage Aufbau IPv6 - Adresse
1 1 1 1 1 1 0 1 1 0 0 1 1 1 1 0
/48 /64
9 F 7
4 Hexzahlen
16 Bit; jede Box repräsentiert 1 Bit 4 Boxen repräsentieren 1 Hexadezimalzahl
D
/52 /56 /60 /64
Regionales Rechenzentrum Abteilung Netze M. Liebchen 12.03.13
Universität zu Köln RRZK
Folie: 23
Granularität Strukturierung Subnetz ID Granularität Strukturierung Subnetz ID Häufig Prefixlängen ungleich Vielfaches von 4 ; binäre Separierung in der Mitte einer Hexadezimalstelle
Folge Bitseparierung in Hexadezimalstelle schadet Lesbarkeit/
Merkbarkeit von IPv6 Adressen
F F F FB FB FB I I I I N N N N N N
N – Netze (26)
I – Institute (24)
FB – Fachbereiche (23)
F - Fakultäten (23)
/51 /54 /58 /64