Embed Size (px)
Citation preview
Matjaž Straus, Arnes [email protected]
VITEL - 24. delavnica o telekomunikacijah - PREHOD NA IPv6 Brdo pri Kranju, 19. - 20.4. 2010
IPv6 v omrežju ARNES: izkušnje internetnega ponudnika
IPv6 v omrežju ARNES: izkušnje internetnega ponudnika
• naslovni prostor • usmerjanje prometa • omrežna oprema • povezovanje organizacij • nadzor omrežja • interno omrežje in strežniki • ozaveščanje uporabnikov
naslovni prostor
32
128 naslovni prostor
64 48
naslovni prostor (2)
• 2001:1470::/32
• /48 za organizacijo ali dislocirano enoto • n * /48 za večje organizacije
• /64 za lokalno omrežje
• /64 za vse povezovalne segmente
• /65 – /127: ne uporabljamo!
naslovni prostor (3a)
groba delitev 2001:1470::/32
hrbtenica in dostop organizacije
dostopovne povezave hrbtenica
povezave loopback-i
rezerva
naslovni prostor (3b)
groba delitev
naslovni prostor (4)
hrbtenica in dostop
naslovni prostor (5)
hrbtenica
naslovni prostor (6)
model naslova povezave in naprave • xxx – št.vozlišča (hex)
• nnnn, n...n – zap.št.povezave/naprave
naslovni prostor (7)
organizacije
• /34 – blok za organizacije (16384 * /48)
• 16 * /38 – skupine “sorodnih” • 16 * /42 – podskupine
• 4 * /44 – velike organizacije (do 16 enot) • 16 * /46 – večje organizacije (do 4 enote) • 64 * /48 – posamezne organizacije/enote
A:c000::/34 skupina 0 - 255 organizacija /34 /42 /48
usmerjanje prometa
• OSPFv3 • dobro predznanje inženirjev • poseben usmerjevalni proces in ločena
topologija omrežja • dobra podpora v omrežni opremi
• IS-IS • manj izkušenj v ekipi • enoten usmerjevalni proces • nekaj prednosti v velikih omrežjih
usmerjanje prometa (2)
globalni naslovi na povezavah?
• hrbtenica z “link-local”-naslovi
• globalni “loopback”-naslovi usmerjevalnikov
fe80::/10 Hm?
omrežna oprema
• Cisco, Juniper • omejitve nekaterih naprav
• delovanje s CPU-jem (npr. Cat4500, Sup IV, V) • 64-bitna zasnova (npr. Cat3750) • 128-bitni indeksi v filtrih (npr. Cat6500) • omejena strojna kapaciteta • “draga” podpora za netflow v9 (npr. Juniper
Multiservices DPC)
• napake v programski opremi
omrežna oprema (2)
primer omejitve strojne kapacitete § “desktop routing" template: number of unicast mac addresses: 3K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K § "desktop IPv4 and IPv6 routing" template: number of unicast mac addresses: 1536 number of IPv4 unicast routes: 2816 number of directly-connected IPv4 hosts: 1536 number of indirect IPv4 routes: 1280 number of IPv6 multicast groups: 1152 number of directly-connected IPv6 addresses: 1536 number of indirect IPv6 unicast routes: 1280 number of IPv4 policy based routing aces: 256 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 512 number of IPv6 policy based routing aces: 255 number of IPv6 qos aces: 510 number of IPv6 security aces: 510
omrežna oprema (3)
napake v programski opremi
ipv6 access-list LOG6 permit ipv6 any any log
CSCek41066: IPv6 ospf: Next hop info isn’t updated after change in link-local addr
povezovanje organizacij
• tuneli • testni priklopi • MTU • strojna oprema za zaključevanje tunelov
• “native” • ustrezni usmerjevalniki/L3-stikala
npr. Cisco 3750/3560, 4500, 4900, 1941, 892, ...
nadzor
• zajem in nadzor prometa • ločeni VLAN-i • problemi s števci • podpora za netflow v9 • Cacti • nfdump/NfSen
• nadzor naprav in povezav • Nagios/Icinga • Smokeping
nadzor (2) “hekamo” števce prometa § Juniper firewall filter: term Arnes6 { from { destination-prefix-list { ArnesAnnounced6; } } then { count cntrC_Arnes6; next term; } }
§ Cisco policer: class-map match-all MatchIPv4 match protocol ip class-map match-all MatchIPv6 match protocol ipv6 ! policy-map CountIPv4AndIPv6 class MatchIPv4 police 10000000000 conform-action transmit exceed-action transmit violate-action transmit class MatchIPv6 police 10000000000 conform-action transmit exceed-action transmit violate-action transmit !
interno omrežje in strežniki
• naslovni prostor
• zanesljiv, redundanten prehod
• požarna pregrada
• varnost znotraj internega omrežja
interno omrežje in strežniki (2) naslovni prostor
2001:1470:8000:lsgg::/64 l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – VITEL s – področje glede na varnostno politiko (scope) 4 glavna področja, 16 podpodročij: 2001:1470:8000:l000::/54 ... globalno, za protipožarno pregrado, npr.
javni strežniki
2001:1470:8000:l400::/54 ... globalno, odprto, npr. prireditve, delavnice
2001:1470:8000:l800::/54 ... interno (notranje, za protipožarno pregrado)
2001:1470:8000:lC00::/54 ... interno (odprto)
gg – skupina (group): npr. 256 skupin javnih strežnikov
interno omrežje in strežniki (3) prehod • HSRP v2
interface Vlan*
ipv6 address 2001:1470:8000:*/64
ipv6 enable
ipv6 nd prefix default no-advertise
standby version 2
standby 6 ipv6 FE80::1
standby 6 timers msec 500 msec 1500
standby 6 priority 110
standby 6 preempt
interno omrežje in strežniki (4) požarna pregrada • zahteve
• visoka zanesljivost • porazdelitev bremena (“load sharing”)
• izbran način delovanja je podprt le za IPv4 L • za IPv6 le osnoven “failover”
interno omrežje in strežniki (5) varnost • IPv6 RA/RS
• prve implementacije “RA Guard” J
• skriti tuneli skozi požarno pregrado
• IPv6 ne dela – izklopi “firewall”, pa bo! • odlično predavanje: Eric Vyncke, Cisco: IPv6 Security
Threats and Mitigations
• za hekerje: http://freeworld.thc.org/papers/vh_thc-ipv6_attack.pdf
ozaveščanje uporabnikov
• različica protokola je uporabniku skrita
ozaveščanje uporabnikov (2)
ozaveščanje uporabnikov (3)
ozaveščanje uporabnikov (4)
ozaveščanje uporabnikov (5)
ozaveščanje uporabnikov (6)
translacijski mehanizmi
Ne!
ozaveščanje uporabnikov (7)
translacijski mehanizmi
? brezžično omrežje
SSID: Vitel6 DNS: 2001:1470:8000:9506::64
• praktični prikaz NAT64/DNS64
HVALA!
