IPv6 - Wie komplex ist es wirklich?
Agenda
Die Motivation
Die Strategie
Die Implementierung
Kritische Würdigung
5 Do’s
5 Dont’s
Pitfalls and Challenges
Offene...
Agenda
Aspectra
Die Motivation
Die Strategie
Die Implementierung
Kritische Würdigung
5 Do’s
5 Dont’s
Pitfalls and Challang...
Aspectra
Gegründet 2000
Dedizierter Hoster: Jeder Kunde ist in dedizierten Zonen und hat dedizierte
Server.
Zielgruppe: Ho...
komplette
ManagedServices
keine
Komplexität
hochtief
Aspectra
Co-location
Housing
Shared
Hosting
Dedicated
Hosting
Applica...
Aspectra‘s Schichtenmodell.
Web Center
Network (Internet Access)
Data Center
(Power, AC, Physical Security)
Moni-
toring
S...
Agenda
Aspectra
Die Motivation
Die Strategie
Die Implementierung
5 Do’s
5 Dont’s
Offene Punkte
Kritische Würdigung
Q&A
04.2012 - Die Motivation
Dyn.com: The Average US Household uses 5.7 Internet devices (2013)
Unzählige Geräte
xPhones, xPad...
07.2012 - Ziel
Dual Stack Aspectra
Ohne Zusatzkosten für den Kunden
Wo fängt man an?
– Ausbildung @ Digicomp
– Wenige spez...
Die Plattform Architektur
DMZ
Firewall
Private Zones
RAS /
Jumpstation
DNS
Application
Security Gateway
Packetfilter
VPN
C...
Die Strategie I
Provider (Internet Link, BGP, IP Adressen)
Netzwerk (Router, DNS, Netzwerkkonzept)
Filterstufen (Paketfilt...
08.2012 - Provider
Anfrage bei den Providern: Wir hätten gerne IPv6
– Der zweitgrösste verwies an den Verkäufer. Zu deutsc...
09.2012 - Provider
Keine Provider Independent Ranges mehr bei IPv6
– Das ist ein Problem für einen Hoster wie Aspectra
– K...
01.2013 – Netzwerk Konzept I
Bestehendes robustes, flexibles IPv4 und Netzwerkkonzept
– Mit wenigen Regeln sind werden die...
01.2013 – Netzwerk Konzept II
Front Router
04.2013 – Netzwerk Konzept III
01.2013 – IP Konzept I
Was macht ein IP Konzept einfach?
Was macht der Netzwerk Admin täglich?
– Verfolgbarkeit eines IP P...
01.2013 – IP Konzept II
2013 – Implementation
Gewähltes Implementationskonzepte: Edge to Core, Vertikale Integration
August 2013
– Start @ 2nd Sit...
2014 – Implementation
Dezember 2013
– Erste vertikale Integration beendet
– Ab 15.12 Christmas freeze
– Eigene Services im...
Implementation: 21 Monate für 8kbit/s ….
Start: 07.2012
End: 03.2014
Kritische Würdigung
Wie komplex?
– IPv6 ist keine Quantenphysik, wacher als bei IPv4 sollte man jedoch sein
– Man beginnt ...
Do…
Dual stack, but with own IPv6 addresses (become a LIR)
Find out if your HW can cope with the extra load caused by dual...
Don’t…
Think you can dual stack in two weeks
Overdefine your concept. It will resrtict you later
Believe manufacturers bei...
Pitfalls and Challenges
Beware of the DAD (Duplicate Address Detection)
– On startup the system IPv6 address is setup as '...
Kosten
20% Man Power @ Aspectra
Viele Wartungsfenster (Nachtarbeit) an Live Systemen
External Man Power: (Security & Netzw...
Offene Punkte
Offene Punkte @ Aspectra
– Implementation auf Kundenzonen und Server
– Ipv6 Monitoring: E2E, Ping, IP Flow T...
Q&A
Danke
Danke für Ihre Aufmerksamkeit.
Ben Mathis
Leiter IT Plattform
www.aspectra.ch
+41 44 296 56 13
ben.mathis@aspectra.ch
Nächste SlideShare
Wird geladen in …5
×

IPv6 Integration im Datacenter - wie komplex ist es wirklich?

912 Aufrufe

Veröffentlicht am

Ein Anlass des Swiss Ipv6 Councils am 24. März 2014, 18 Uhr.
Referent: Ben Mathis, Leiter IT Plattform, Aspectra

Die Neugier von Ingenieuren zur Technologie stand am Anfang des Projekts, IPv6 in die beiden Datacenters der Aspectra AG zu integrieren. Inzwischen ist die erste Integrationsstufe abgeschlossen und die zweite in Arbeit. Rückblickend zeigt uns Ben Mathis, Leiter IT Plattform Aspectra AG, auf, welche Herausforderungen sich stellten und welche Entscheidungen der Schlüssel zur erfolgreichen IPv6 Integration waren. Genügend Zeit für Fragen bleibt selbstverständlich auch.

Inhalt:

- Die Motivation
- Die Strategie
- Die Implementierung
- 5 Do's und 5 Dont's
- Die offenen Punkte

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
912
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
416
Aktionen
Geteilt
0
Downloads
14
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

IPv6 Integration im Datacenter - wie komplex ist es wirklich?

  1. 1. IPv6 - Wie komplex ist es wirklich?
  2. 2. Agenda Die Motivation Die Strategie Die Implementierung Kritische Würdigung 5 Do’s 5 Dont’s Pitfalls and Challenges Offene Punkte Q&A
  3. 3. Agenda Aspectra Die Motivation Die Strategie Die Implementierung Kritische Würdigung 5 Do’s 5 Dont’s Pitfalls and Challanges Offene Punkte Q&A
  4. 4. Aspectra Gegründet 2000 Dedizierter Hoster: Jeder Kunde ist in dedizierten Zonen und hat dedizierte Server. Zielgruppe: Hochverfügbar / Hochsicher ISO27001 und FINMA Zertifiziert 2 Datacenter (Glattbrugg, Pratteln) 23 Mitarbeiter
  5. 5. komplette ManagedServices keine Komplexität hochtief Aspectra Co-location Housing Shared Hosting Dedicated Hosting Application Hosting ASP Differenzierung der Hosting-Dienste. IT- Outsourcing
  6. 6. Aspectra‘s Schichtenmodell. Web Center Network (Internet Access) Data Center (Power, AC, Physical Security) Moni- toring Storage Load- Balancing Backup Security RAS Server Server OperationServer Server Operation Any Application Application Operation DedicatedHosting Application Services Selected Application Oracle DB MSSQL MySQL MS IIS MS Exchange MS ADS Apache, PHP TomCat, JBoss Application Management
  7. 7. Agenda Aspectra Die Motivation Die Strategie Die Implementierung 5 Do’s 5 Dont’s Offene Punkte Kritische Würdigung Q&A
  8. 8. 04.2012 - Die Motivation Dyn.com: The Average US Household uses 5.7 Internet devices (2013) Unzählige Geräte xPhones, xPads, PC, Notebook, Diskstation, Dreambox, Playstation, RasPi, Printer, Powerplug, WLAN Router / Repeater , Telefon, TV, Hifi 31.01.2011 IANA Exhaustion. 04.2012 Aspectra sieht keinen akuten Bedarf. Lass uns spielen …. 14.09.2012 RIPE Exhaustion
  9. 9. 07.2012 - Ziel Dual Stack Aspectra Ohne Zusatzkosten für den Kunden Wo fängt man an? – Ausbildung @ Digicomp – Wenige spezifischen Mitarbeiter: Base und Security Team
  10. 10. Die Plattform Architektur DMZ Firewall Private Zones RAS / Jumpstation DNS Application Security Gateway Packetfilter VPN Communication Gateway Monitoring Firewall Firewall Packetfilter DMZ Backup Packetfilter Private Zone Backup Loadbalancer Internet Access Packetfilter
  11. 11. Die Strategie I Provider (Internet Link, BGP, IP Adressen) Netzwerk (Router, DNS, Netzwerkkonzept) Filterstufen (Paketfilter, Firewalls) Monitoring Server und Applikationen
  12. 12. 08.2012 - Provider Anfrage bei den Providern: Wir hätten gerne IPv6 – Der zweitgrösste verwies an den Verkäufer. Zu deutsch: Können wir nicht. – Der grösste sagte: Können wir, in ca. 3-6 Monaten. Kostet xxxx Fr. – Der kleinste sagte: klar, kein Problem, hier der Vertrag.
  13. 13. 09.2012 - Provider Keine Provider Independent Ranges mehr bei IPv6 – Das ist ein Problem für einen Hoster wie Aspectra – Keine Flexibilität was den Provider angeht – Déjà vu: Telenor > Nextra > Solpa > T-Systems > Cablecom > UPC – Das ist aber auch eine Chance 9.10.2012 Aspectra wird LIR – kriegt 2a02:e0c0::/29 – besucht entsprechende Kurse 2a02:e0c0:: - 2a02:e0c7:ffff:ffff:ffff:ffff:ffff:ffff
  14. 14. 01.2013 – Netzwerk Konzept I Bestehendes robustes, flexibles IPv4 und Netzwerkkonzept – Mit wenigen Regeln sind werden die Ranges definiert (Netze Kodiert) – Über beide RZ verteilt: Layer 3, 450 Zonen, wachsend, z.T. überspannend (Layer 2) – Routing zentralisiert Was nun? – Wirft man das bestehende Konzept über Board? – Lehnt man IPv6 Konzept an IPv4 an? Ziel: So einfach und flexibel wie möglich, Wachstum möglich – Hier viel zeit investiert
  15. 15. 01.2013 – Netzwerk Konzept II Front Router
  16. 16. 04.2013 – Netzwerk Konzept III
  17. 17. 01.2013 – IP Konzept I Was macht ein IP Konzept einfach? Was macht der Netzwerk Admin täglich? – Verfolgbarkeit eines IP Pakets Bewusster Verzicht auf Hierarchie in unserem AS9100 – Andere Vorteile wiegen mehr: Verfolgbarkeit eines IP Pakets Bewusstes weglassen von unnötigen Encodierungen in der IPv6 Adresse – Schränkt zu fest ein Bewusster Verzicht auf unique local IPv6 Adressen – Wenn es nicht geht ohne -> Konzept erweitern – We will cross the bridge when we get there…
  18. 18. 01.2013 – IP Konzept II
  19. 19. 2013 – Implementation Gewähltes Implementationskonzepte: Edge to Core, Vertikale Integration August 2013 – Start @ 2nd Site: IPv6 BGP Announcement, router pingable September 2013 – Schulung für alle Engineers – Routing & Firewalls @ 2nd Site – Implementation erster Server October 2013 – Begin DNS – Clients IPv6 Range @ Office, Tunnel @ Datacenter November 2013 – Basic Monitoring, DNS Security and Cleanup – Start primary site
  20. 20. 2014 – Implementation Dezember 2013 – Erste vertikale Integration beendet – Ab 15.12 Christmas freeze – Eigene Services implementieren: Web Statistik, Homepage, Reverse Proxy, Kundencockpit (Myaspectra.ch) Januar – Februar 2014 – Fehlerbehebung: neue Kernels, neue IOS – Redundanzen eingeführt: mehrere BGP Anbindungen 18. März 2014 – IPv6 AAAA für DNS Server eingetragen – Reverse DNS Zonen bei RIPE aktiviert – Glue Record – Abschluss der ersten Integrationsstufe -> IPv6 ist produktiv
  21. 21. Implementation: 21 Monate für 8kbit/s …. Start: 07.2012 End: 03.2014
  22. 22. Kritische Würdigung Wie komplex? – IPv6 ist keine Quantenphysik, wacher als bei IPv4 sollte man jedoch sein – Man beginnt von vorn Effektiver Nutzen? Heute: – Wenig, weil wenige Clients vorhanden – Wenig, weil wenige Server vorhanden – Aber morgen….
  23. 23. Do… Dual stack, but with own IPv6 addresses (become a LIR) Find out if your HW can cope with the extra load caused by dual stack Schedule ad-hoc edu/learning Set a top level goal, define scopes, budget, roadmap Invest enough time in the concept and deployment plan for – IPv6 addressing – routing (BGP) – DNS Test, Test, Test in Lab environments, sandbox or at home One thing at a time: Isolated steps (possibly in conjunction with scheduled maintenance activities)
  24. 24. Don’t… Think you can dual stack in two weeks Overdefine your concept. It will resrtict you later Believe manufacturers being IPv6 ready: They will write anything onto the product box just to sell it. Most products have limitations. Buy new hardware just because of IPv6 : Use the regular product life cycle Forget monitoring, logging, security: One for IPv4 and one for IPv6 – system/network performance – E2E scans – firewall rules, and logs
  25. 25. Pitfalls and Challenges Beware of the DAD (Duplicate Address Detection) – On startup the system IPv6 address is setup as 'tentative' until DAD takes place (normally very fast) – Some applications can't bind their listener until DAD completes – Race condition, application may refuse to start (e.g. DNS 'bind' application) Migration on Live systems – Be aware: You are implementing changes on the core of your data center – Availability will inevitably decrease before getting better – Cisco IOS: Different branches have different features have different bugs – New kernels on firewalls: – New daemons on DNS Servers: Higher memory consumption Mixing Dual stack and single stack Environments – Windows Domains: The Global Catalog will not sync and expire after 60 days in a mixed stack environment. IPv6 is preferred, no fallback.
  26. 26. Kosten 20% Man Power @ Aspectra Viele Wartungsfenster (Nachtarbeit) an Live Systemen External Man Power: (Security & Netzwerk) terreActive Hardware: 1 WLAN AP
  27. 27. Offene Punkte Offene Punkte @ Aspectra – Implementation auf Kundenzonen und Server – Ipv6 Monitoring: E2E, Ping, IP Flow Traffic – VPN – Private Zonen wo notwendig Offene Punkte beim Kunden – Je nach Kunde kann IPv6 nicht implementiert werden
  28. 28. Q&A
  29. 29. Danke Danke für Ihre Aufmerksamkeit. Ben Mathis Leiter IT Plattform www.aspectra.ch +41 44 296 56 13 ben.mathis@aspectra.ch

×