Wer neue Server und Services plant, hat die Qual der Wahl: Dualstack, IPv6-only, DNS64/NAT64, XLAT464. Wie soll man sich hier orientieren, was sind die Kriterien und geeignete Strategien? Aarno Aukia, CTO von VSHN, zeigt die Vor- und Nachteile der Varianten anhand eines konkreten Beispiels auf.

1. IPv6 Rollout im Datacenter
Varianten der Integration von IPv4 und IPv6
Swiss IPv6 Council Event
24.11.2014
Tobias Brunner
Linux and Network Engineer VSHN AG
@tobruzh
Aarno Aukia
CTO VSHN AG
@aarnoaukia

2. VSHN ?
● Systemengineering
● Configuration Management
● DevOps / Operations / Hosting
● Wir bauen die Serverumgebungen für unsere
Kunden
● IPv6 gehört bei uns seit 2011 zum Service dazu
24.11.2014 VSHN - IPv6 Datacenter Rollout 2

3. IPv4-only
24.11.2014 VSHN - IPv6 Datacenter Rollout 3

4. IPv4-only
24.11.2014 VSHN - IPv6 Datacenter Rollout 4

5. IPv4-only
● Vorteile
– „best practice“ / „Alle“ kennen es
– Nur ein Protokoll → tiefe Komplexität
– Nur einzelne öffentliche IPv4-Adressen an FW/LB
● Nachteile
– Stateful NAT
– Kein IPv6
24.11.2014 VSHN - IPv6 Datacenter Rollout 5

6. Dual-Stacked FW/LB, IPv4 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 6

7. Dual-Stacked FW/LB, IPv4 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 7

8. Dual-Stacked FW/LB, IPv4 intern
● Vorteile
– „IPv6 enabled“ → Marketing
● Nachteile
– Keine IPv6-Verbindungen auf den Servern möglich
24.11.2014 VSHN - IPv6 Datacenter Rollout 8

9. Dual-Stack IPv4/IPv6
24.11.2014 VSHN - IPv6 Datacenter Rollout 9

10. Dual-Stack IPv4/IPv6
24.11.2014 VSHN - IPv6 Datacenter Rollout 10

11. Dual-Stack IPv4/IPv6
● Vorteile
– 100% IPv6 enabled
● Nachteile
– Doppelte Arbeit → doppelte Komplexität
● Einrichten
● Monitoring
● Troubleshooting
24.11.2014 VSHN - IPv6 Datacenter Rollout 11

12. Dual-Stacked FW/LB, IPv6 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 12

13. Dual-Stacked FW/LB, IPv6 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 13

14. Dual-Stacked FW/LB, IPv6 intern
● Vorteile
– „einfach nur IPv4 auf dem Loadbalancer“
– Nur noch 1 Protokoll auf den Servern (IPv6)
● Nachteile
– Keine IPv4-connectivity auf den Servern (zB für
externe APIs oder Emails versenden)
24.11.2014 VSHN - IPv6 Datacenter Rollout 14

15. IPv4 auf IPv6-only Hosts
● DNS64 & NAT64
● 464XLAT = CLAT & PLAT = CLAT & NAT64
● SIIT & CLAT
– Stateless IP / ICMP Translation
24.11.2014 VSHN - IPv6 Datacenter Rollout 15

16. DNS64 & NAT64
24.11.2014 VSHN - IPv6 Datacenter Rollout 16

17. DNS64 & NAT64
● Vorteile
– Nur noch 1 Protokoll auf den Hosts & LAN (IPv6)
– IPv4 connectivity für alle Protokolle die DNS verwenden (HTTP, HTTPS, SMTP, etc)
– Nur 1x DNS64/NAT64 für alle Kunden/Netze nötig
● Nachteile
– Funktioniert nicht für alle Protokolle
● Skype
● WhatsApp
● TeamViewer
● FTP
● SIP/RTP
● APIs via VPN ohne DNS (zB https://192.168.42.42/api )
– Stateful NAT64 → keine Lösung für inbound Traffic ins Datacenter
24.11.2014 VSHN - IPv6 Datacenter Rollout 17

18. 464XLAT = CLAT & NAT64
24.11.2014 VSHN - IPv6 Datacenter Rollout 18

19. 464XLAT = CLAT & NAT64
● Vorteile
– Nur noch 1 Protokoll im LAN (IPv6)
– IPv4 outbound connectivity für alle Protokolle
– Nur 1x NAT64 für alle Kunden/Netze nötig
– Wird ab 2015 bei Mobile verwendet werden (Voice over LTE =
VoIP over native IPv6 und IPv4 over 464XLAT, funktioniert bisher
mit Android 4.3+ & Windows Phone 8.1)
– Lässt sich mit DNS64 kombinieren, damit müssen nur „legacy-
Applikationen“ durch das CLAT
● Nachteile
– Stateful NAT64 → keine Lösung für inbound Traffic ins Datacenter
24.11.2014 VSHN - IPv6 Datacenter Rollout 19

20. SIIT (inbound)
24.11.2014 VSHN - IPv6 Datacenter Rollout 20

21. SIIT & CLAT
24.11.2014 VSHN - IPv6 Datacenter Rollout 21

22. SIIT & CLAT
● Vorteile
– Nur noch 1 Protokoll auf den Hosts (IPv6)
– IPv4 inbound/outbound durch IPv6 transportiert
– SIIT = stateless = sehr einfach redundant und skalierbar
– Lässt sich mit DNS64 kombinieren, damit müssen nur
„legacy-Applikationen“ durch das CLAT
● Nachteile
– CLAT gibt es noch nicht für alle Plattformen (Windows Server)
– Hosts (=Server) müssen einzeln Konfiguriert werden →
Automatisches Configuration Management
24.11.2014 VSHN - IPv6 Datacenter Rollout 22

23. Fazit
● Weniger Zeit=Geld durch IPv6-only im Betrieb
● Bessere Ausnützung von IPv4 durch SIIT → Kostenvorteil
wenn IPv4 wirklich knapp wird
● Schneller/einfacher Rollout von DNS64/NAT64 für
grundsätzliche IPv4 Rückwärts-Kompatibilität (80/20-
Ansatz)
● On-demand rollout von CLAT (Linux clatd) falls von
Applikation benötigt
– CLAT & NAT64 wenn nur outbound (zB Teamviewer, Skype, API)
– CLAT & SIIT wenn auch inbound (zB FTP, SIP, RTP)
24.11.2014 VSHN - IPv6 Datacenter Rollout 23

24. Danke!
● NAT64: https://tools.ietf.org/html/rfc6146
● DNS64: https://tools.ietf.org/html/rfc6147
● 464XLAT (CLAT & DNS64):
http://tools.ietf.org/html/rfc6877
● SIIT/SIIT-CLAT: Tore Anderson (http://fud.no)
● Clatd: https://github.com/toreanderson/clatd
24.11.2014 VSHN - IPv6 Datacenter Rollout 24