Matjaž Straus Istenič: 1, 2, 3, 4 - na IPv6, SIRIKT 2011
1. predlaga
ali to še ni arnes
dodeli
jasno?
uvod - zakaj arnes
no, morda je
ipv6? treba reči tipi naslovov -
besedo ali modeli delitve glede na namen uporabe
dve ;-) o 4 in 6
icmp
kako pa smo pomembno!
šli na v4?
1, 2, 3 - naslovni
je sedaj kaj
šli smo na ajpi! prostor
drugače? ip-naslov
no ja, ... 4, 5, 6, 96 more bits
zdaj pa na
samo
- no magic :-)
vešest! ključne
lasten ipv6 guru, razlike ethernet
ndp
kako na izobraževanje,
izobraževanje, ...
v6? izobražuje tudi arnes
header -
arnes - preprosteje
pazi na opremo! dostop učinkoviteje
! ripe 501
delitev
sobivanje naslovnega
nasveti za postopno prostora
pregled stanja, posodabljanje
zaključek vplivi uvedbe ipv6-podpora@arnes.si
v6
domača nagradno svetuje arnes
varnost
naloga! vprašanje urejenost hierarhija
1
Učna ura ;-)
45 minut za v6.
2. Konferenca Arnes 2011
13. april 2011, Kranjska Gora
1, 2, 3, 4
–
na IPv6!
Matjaž Straus Istenič, Arnes Istenič, Arnes
Matjaž Straus
matjaz.straus@arnes.si
matjaz.straus@arnes.si
2
3. Zakaj IPv6?
foto: http://enjoyingsimplemoments.tumblr.com/
3
Korak naprej, nove storitve o katerih se nam še ne sanja, razvoj novega interneta ...
Smo kot deklica na fotografiji, pred katero je prihodnost, ocean novega (pesniško ;-))!
Hej, Internetu vendar vračamo end-to-end povezljivost! (popravni izpit) ** Vendar -- nujno je! IPv4 “no more” (3.2.2011 je IANA podelila zadnjih
5 /8).
4. Zbogom in hvala za vse ribe!
http://www.potaroo.net/tools/ipv4/fig30d.png
Zakaj IPv6?
4
5. Zadnji ostanki IPv4-naslovov
260.000
528.000
125.000
261.000
258.000
število prostih /24, stanje 5.4.2011
zemljevid: http://en.wikipedia.org/wiki/Regional_Internet_registry
podatki: http://ipv6.he.net/
Zakaj IPv6?
5
6. Zadnji ostanki IPv4-naslovov
11
2-3
130
15
9
število prebivalcev na prost naslov
zemljevid: http://en.wikipedia.org/wiki/Regional_Internet_registry
podatki: http://www.nationsonline.org/oneworld/
Zakaj IPv6?
6
7. 21.12.2012
CC 3759: Mayan Calendar/flickr
7
Trditev šaljivca, da so konec IPv4 interneta napovedali že Maji v svojem koledarju. Nekaj podobnega smo že doživeli in sicer ...
8. 1.1.2000
8
Se še spomnimo “millennium” hrošča (hrošča tisočletja)? Kaj se je zgodilo 1.1.2000, ob 0.00?
Nič pretresljivega ;-). In tudi z IPv4 se ne bo zgodilo nič pretresljivega. Ne rešujemo se pred kataklizmo!
Zakaj potem IPv6? Od kod ta nuja po novem protokolu? Preprosto ...
9. Zakaj torej
IPv6?
9
Preprost odgovor: da gremo lahko naprej!
In mi gremo naprej v dveh dejanjih ...
10. Na IPv6 v dveh dejanjih
• O 4 in 6
• Kako na 6?
foto: http://enjoyingsimplemoments.tumblr.com/
10
* osnovne razlike med protokoloma - tiste najpomembnejše pri prvih korakih v procesu uvajanja
* nekaj napotkov, priporočil za uspešen prehod - posodobitev omrežja in storitev (več o storitvah: Klemen)
11. O 4 in 6
• IP-naslov
• zapis
• delitev naslovnega prostora
• Naslov za določen namen
• Kontrolna sporočila ICMP
• IP v omrežju “ethernet”
11
Kaj je ICMP? Protokol za kontrolna sporočila v internetu.
* Omeni nagrado na koncu tega sklopa! Dve knjigi IPv6 Essentials, 2nd Edition, avtorica Silvia Hagen, O'Reilly. Starejša, vendar zelo kvalitetna,
velikokrat citirana knjiga. Strukturirano obravnava vsa pomembna poglavja. Lep in jasen jezik (se vidi, da je pisala ženska :-)).
* Zakaj bo podeljena? - kratek, jasen, točen odgovor s pozitivnim sporočilom. Prvo vprašanje bo bolj tehnično, drugo pa iz področja vodenja,
sprejemanja odločitev.
12. IP-glava
IPv4 IPv6
spremenljiva dolžina 20 Bytov + opcije stalna dolžina 40 Bytov
odvečna polja, npr. kontrolna vsota manj polj, novo: flow-label
ni razširitev, takoj sledi TCP/UDP ... razširitvena zaglavja
O 4 in 6
12
IP-paketi imajo “glavo” z vsemi potrebnimi podatki za komunikacijo preko IP-omrežja. Tako za v4 kot za 6.
* Bistveno: stalna dolžina, preprosta in zadostna struktura + možnost razširitev.
* Opis: Version (4 biti): 6 (4 za IPv4) *Traffic class (8 bitov): določa prioriteto paketom (QoS) *Flow label (20 bitov): identificira tok podatkov, ki se
enako obravnavajo, npr. za aplikacije v realnem času. Praktično se še ne uporablja. *Payload length(16 bitov): velikost vsebine paketa v bytih. *Next
header (8 bitov): določa protokol naslednje ovojnice. Posebna oznaka v zadnjem zaglavju *Hop limit (8 bitov): Kot TTL v IPv4.
13. IP-naslov
IPv4 IPv6
32 bitov 128 bitov
povezave točka-točka /30, /31 vsaka povezava /64
lokalna omrežja /23, /24, ..., /28 vsako lokalno omrežje /64
številke oznake
organizacija /21, ..., n × /24, /25 organizacija (od vrtca do fakultete) /48
ponudnik n × /16, /17, /18, /19 ponudnik /32
O 4 in 6
13
Najpomembnejši podatek v “glavi” IP-paketa - IP naslov cilja/izvora. 128 bitov vs 32. Q: 4 x več naslovov? ;-)
Poudari poenostavitve na vseh segmentih omrežja. Zakaj lahko poenostavimo? Ker imamo _toliko_ naslovnega prostora, da varčevanje ni smiselno.
Na IP-naslov gledamo kot na oznako (ID) in ne več kot na zaporedno hišno številko. Številčenje - označevanje.
14. IPv6 naslov:
iz binarnega v šestnajstiški zapis
00100000.00000001.00010100.01110000.
00000001.00100011.00000000.00001111.
00000000.00000000.00000000.00000000.
00000000.00000000.00000000.00000110
2001 :1470
2001:1470:0123:000f:0000:0000:0000:0006
O 4 in 6
14
4 biti -> 1 znak, 16 bitov -> en blok, ločilo :
16. Ogromen naslovni prostor
• 128 bitov ≡ 3 × 10 IPv6-naslovov
38
• en IPv6-naslov ≡ ena molekula v oblaku
• ves naslovni prostor ≡ zelo velik nevihtni oblak
foto: Kenneth Dwain Harrelson, http://en.wikipedia.org/wiki/Cloud
O 4 in 6
16
17. Ogromen naslovni prostor
v oblakih
• molekularna masa zraka: M = 29 g/mol
• razlika v tlaku: ∆p razlika v tlaku
∆p (× 104 Pa)
površina
S (km2)
• površina oblaka: S
majhen oblaček 1 1
• masa oblaka: m
velik nevihtni
7 50 × 50
• Avogadrovo število: A = 6 × 1023/mol oblak
• gravitacijski pospešek: g ≈ 10 m/s2
• število molekul n: med 1034 (majhen kumulus) in 1038 (velik cumulonimbus)
• število IPv6-naslovov: 2128 ≈ 3.4 × 1038
Ogromen naslovni prostor
vir: http://atisi.wordpress.com/2011/04/01/counting-v6-addresses/
17
18. Ogromen naslovni prostor
• 2 IPv6-omrežij /64 : 2 IPv4-omrežij /24
64 24
• ves IPv4-internet ≡ eno zrno
• ves IPv6-internet
≡ 40,000 ton
pšenice
O 4 in 6
18
19. Ogromen naslovni prostor
v pšenici
• IPv6-podomrežij /64 je 264
• IPv4-podomrežij /24 je 224
• razmerje “IPv6 : IPv4” je 240
• 240 ≈ 1012 = 1 milijon × 1 milijon
• 1 zrno 40 mg
• 240 zrn 40.000 ton
Ogromen naslovni prostor
19
20. Zagotovljen globalno
dosegljiv IP-naslov -
nova storitev?
20
Primer “gasilca Jožeta”. Senzorji. Mobilnost, neposredna dosegljivost kjerkoli si.
21. Globalna delitev naslovnega prostora
/3 IANA
/12 RIPE
/32 Arnes
n × /48 /48 /48 Uporabnik
alokacija dodeli ponudnik (LIR) neodvisno od ponudnika
vir: RIPE NCC, IPv6 for LIRs tutorial
21
22. Delitev naslovnega prostora :
primer - Arnesov naslovni prostor
• IPv4 153.5.0.0/16
193.2.0.0/16
193.138.1.0/24
194.249.0.0/16
212.235.128.0/17
88.200.0.0/17
92.244.64.0/19
95.87.128.0/18
109.127.192.0/18
178.172.0.0/17
• IPv6 2001:1470::/32
O 4 in 6
22
23. Delitev IPv4-naslovnega prostora organizacije
konference gostje (brezžično omrežje)
A.B.1.0/24 A.B.254.0/24 C.D.E.80/28 F.G.252.0/23
A.B.1.0/25 A.B.1.128/25 F.G.252.0/24 F.G.253.0/24
A.B.1.0/26 A.B.1.64/26
gostujoči strežniki
zaposleni
A.B.1.0/27 A.B.1.32/27
javni strežniki
študentje A.B.1.32/28 A.B.1.48/28 interni strežniki, tiskalniki ...
javni strežniki v tujem upravljanju
O 4 in 6
23
24. Delitev IPv6-naslovnega prostora organizacije
X = 2001:1470:ABCD
X::/48
16 lokacij X:0000::/52 X:1000::/52 X:2000::/52 ... X:d000::/52 X:e000::/52 X:f000::/52
varnostna X:0000::/54 X:0400::/54 X:0800::/54 X:0c00::/54
politika
16 področij X:0800::/56 X:0900::/56 X:0a00::/56 X:0b00::/56
na lokacijo
X:0a00::/64 X:0a01::/64 X:0a02::/64 X:0a03::/64 ... X:0afc::/64 X:0afd::/64 X:0afe::/64 X:0aff::/64
2001:1470:ABCD:afc::/64
O 4 in 6
24
25. Naslov za določen namen
• iz naslova je razvidno, za kaj se uporablja
• komunikacija v lokalnem omrežju
• globalna komunikacija
• komunikacija v skupini
• komunikacija le z nekaterimi v skupini
O 4 in 6
25
26. Tipi IPv6-naslova
• kako
• med dvema - unicast
• z mnogimi - multicast
• z najbližjim - anycast
•
× •
nič več “z vsemi” - broadcast
kje
• lokalno na povezavi - link-local
• lokalno na lokaciji - unique local
• globalno, javno
O 4 in 6/Naslov za določen namen
26
Dva kriterija: “kako” in “kje”.
Zakaj ni več potrebno “trobljenje” (broadcast/razpršeno oddajanje)? Sporočila pošiljamo le tistim, ki se za njih “zanimajo”, oz. so ta sporočila za
njih pomembna, ne pa vsem --> multicast (oglaševanje znotraj skupine).
27. Tipi IPv6-naslova
Naslov Obseg naslovov Kje se uporablja?
127.0.0.1
loopback ::1 10.0.0.0/8 na sistemu samem
192.168.0.0/16
lokalen (link-local) fe80::/10 na povezavi
lokalen (unique local) fc00::/7 na lokaciji/organizaciji
224.0.0.0/4
javen globalen naslov 2000::/3 globalno
naslov skupine (multicast) ff00::/8 lokalno ali globalno
O 4 in 6/Naslov za določen namen
27
“Global Unicast” ustreza javnemu IPv4 naslovu *“Link local” ustreza privatnim naslovom, ki so vidni le znotraj povezovalnega segmenta.
Naslovi “Unique Local Address” se lahko usmerjajo znotraj neke skupine omrežij. Naslovi imajo v omrežnem delu naključno 40-bitno število s
čimer se zmanjša nevarnost združevanja skupin ali problemov v primeru, da paketi po pomoti “zaidejo” v internet. Lokalna uporaba vendar
možnost usmerjanja - globalen “scope”.
28. Vmesnik ima več naslovov
• 5 obveznih naslovov
• na vsakem vmesniku
lokalen naslov na povezavi
# ip -6 addr show dev eth1
(link-local) 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 10
•
inet6 2001:1470:8000:60a:0:1:fee1:600d/64 scope global
katerikoli dodeljen unicast valid_lft forever preferred_lft forever
inet6 fe80::216:35ff:fe82:45a2/64 scope link
ali anycast naslov valid_lft forever preferred_lft forever
• naslov skupine “vsi # ip -6 maddr
3: eth1
show dev eth1
sistemi” (all-nodes multicast) inet6 ff02::1:ffe1:600d
•
inet6 ff02::1:ff82:45a2
za vsak unicast in anycast inet6 ff02::1
naslov še pripadajoč
pooblaščen naslov (solicited-
node multicast)
• + naslovi vseh ostalih
skupin, v katerih je sistem
O 4 in 6/Naslov za določen namen
28
Q: najmanj koliko IPv6-naslovov ima IPv6-sistem? A: (primer na sliki + loopback ::1)
29. Kateri naslov izbrati?
• prednostni seznam
1. par naslovov istega tipa glede na lokalnost
2. izbere se bolj lokalen ciljni naslov
3. prednostni naslov (“preffered”)
4. prednost pred tranzicijskimi naslovi (Teredo, 6to4)
5. par naslovov v ožjem skupnem podomrežju
6. kot izvorni naslov ima pred začasnim prednost globalen
naslov
7. mobilna naprava: prednost ima domači naslov
O 4 in 6 /Naslov za določen namen/Vmesnik ima več naslovov
29
Kaj so to “tranzicijski” naslovi? Kratek opis. Problem varnosti sistema, ki ima samo tranzicijski naslov, npr. Teredo mikrosoftis (P2P aplikacije na
windozah: default v6, torej?).
30. Kontrolna sporočila ICMP
• zelo pomemben protokol!
• sosed, kje si?
• sosed, si še “živ”?
• ima že kdo enak naslov?
• usmerjevalnik, kje si?
• jaz sem usmerjevalnik
• podatki za samodejno nastavitev
• kako velik paket lahko pošljem?
O 4 in 6
30
Kaj je to - ICMP?
Za kaj vse se uporablja.
31. V lokalnem omrežju
× •
ARP
✓ •
protokol ND
•
48 bitov - naslov MAC
uporablja se ICMP
• samodejne nastavitve (SLAAC)
EUI-64 FF FE
• podomrežje
naslov podomrežje ID vmesnika
povzeto po: RIPE NCC, IPv6 for LIRs tutorial
• usmerjevalnik (privzeti prehod)
• MTU
O 4 in 6
31
SLAAC: Mehanizem, ki omogoča, da si IPv6 sistem samodejno ustvari naslov, npr. iz MAC-naslova, ne da bi za to potreboval zunanji DHCP
strežnik. *Global Unicast naslov sistema je sestavljen iz naslova podomrežja, ki ga posreduje usmerjevalnik z RA (Router Announcement) in
identifikacijske številke vmesnika EUI-64, ki se določi iz naslova MAC.
* ID vmesnika: 1) med 4 in 5 byte MAC naslova se vrine FFFE. 2) en bitek se zamenja, običajno iz 0 v 1.
NDP ICMP sporočila: * Router Solicitation (RS) / Router Advertisement (RA) * Neighbor Solicitation/ Neighbor Advertisement * ICMP Redirect
32. Zakaj je ICMPv6 tako
zelo pomemben?
O 4 in 6/Nagradno vprašanje
32
Nagrada: knjiga IPv6 Essentials.
Konkreten odgovor z navedbo dveh pomebnih vlog ICMP-ja: NDP, path MTU discovery.
33. Demo
• prva vrsta: omrežje A
• pošiljatelj sem jaz, moj usmerjevalnik je A
• nekje vmes: usmerjevalnik B
• zadnja vrsta: omrežje C
• usmerjevalnik C 3
C
prejemnik v zadnji vrsti B
5
A
O 4 in 6
33
Link med A in B je za 5, med B in C pa za 3 dcl. Povej, da usmerjevalniki ne delijo paketov.
Za “usmerjevalnike” izberi poslušalce na prehodu, da bodo lahko “prenašali” pakete ;-)
34. Demo
14. Sprejemam in sestavljam
12. Tu sem!
13. Tu imaš pakete, dva si? ...
11. Naslovnik, kje kosa skupaj ...
6. Paket je prevelik, pošlješ
10. Posredujem C-ju.
lahko največ 3 dcl. C
3
2. Tu sem. Pošiljam B
9. Posredujem B-ju. ...
5. OK, pošiljam B-ju
podatke za nastavitev ...
5
A
7.4.3.imaš pakete, dva naslov.
No1. Kje - paket si v dveh
Nastavil moj
prav je sem 5 kosa
8. Tu Pošiljam pošiljam dcl ... ...
kosih, 3 kdoin 2 dcl ...
Ima še dcl tak naslov?
usmerjevalnik?
O 4 in 6
34
Router sol. *RA/SLAAC *DAD -> *MTU discovery/adjust *Pošiljatelj fragmentira -> Neighbor sol. - *Prejemnik sestavi.
14 korakov - od tega 6 ICMP sporočil.
35. Koliko ICMP sporočil je
bilo poslanih med
demonstracijo?
O 4 in 6/Nagradno vprašanje
35
36. Kaj bi se zgodilo, če bi
usmerjevalnik A blokiral
vsa ICMP-sporočila iz
interneta?
O 4 in 6/Nagradno vprašanje
36
37. Kako na 6?
• kako pa smo uvedli IPv4?
• 6 korakov do v6
• pri čem pomaga Arnes?
• kaj naredi organizacija sama?
• nekaj nasvetov za dober začetek
37
Kaj nas sploh čaka?
6 korakov v dveh sklopih: Arnes, org.sama.
Nekaj napotkov za “domov” in izziv za prvi korak.
38. 1, 2, 3 - gremo na “aj-pi”
CC www.goldbeere.de/flickr Kako na IPv6?
38
Predstavljajte si, da ste na začetku -- zgolj ethernet, brez IP-ja. Danes same-po-sebi umevne storitve na IPv4 --> v6. Storitev ne smemo ločevati
na podlagi “transportnega” (prenosnega?) protokola. Enak obseg dela (?). No ..., čakate na recept?
39. 4, 5, 6 - zdaj pa na “ve šest”
• veščine IPv4 se dobro prenesejo v IPv6
• no, kakšno je bolje opustiti ;-)
• podoben koncept
• le več naslovov
• ponekod drugačen pristop
• problemi so bolj psihološki kot tehnični
foto: http://veganskigurman.wordpress.com/ Kako na IPv6?
39
Ni potrebno narediti vsega znova!
Analogija z učenjem tujega jezika. Nekdo, ki ne zna nobenega tujega jezika in nekdo, ki zna nek tuj jezik, ni pomembno kateri
(hindustanščina :-)). Kdo se bo lažje naučil novega jezika?
40. Recept za ta novo pogačo
Sestavine:
* za en sleš 48 adres v6
* pripoj (ta narboljši)
* lonček stroke (ostale začimbe kot za ta staro v4 pogačo)
Priprava:
* Je treba najprej finu zmešati en mal adres v6 in dobro pripojiti. Zraven
pa dodajati stroko po ščepcih. Stroko se mora dodajati počas pa vztrajnu.
Pri stroki gospodar se ne sme bit šparoven.
* Med tem, ko se to lepu finu meša, je treba pregledati ta star recept za v4
pogačo, da se ni kaj pozabilu. Ta nova pogača se lepo mešati mora s ta
staro. Dobro je treba pretuhtati, da ne bi nova jed kej slabga povzročila pr
jedcih, k še ta staru jedo.
* Peke se lotit moramo prou počas. Najtaprej eno malo pogačo spečemo, pa
preverimo, al je tako k mora bit. Pečemo počasi inu dobro sprot
preverjamo, da se ne b kej zasmodlu.
* Ko je prva ta probna pogača dobr narejena, napečemo še druge, pa mal
večje.
* Je treba jedcom povedat, da ta nova pogača mal drugač sede v želodec, pa
tud drugač na prebavo vpliva. Posebno, če so na ta staro navajen.
* Ta novo pogačo lahko lepo vkup ponudimo s ta staro, če smo vse lepo in
prou naredili.
40
Izvirni Arnesov recept za IPv6 :-)
41. IPv6 kot sprememba
Tehnično
Ne
Da
× IPv6
Vendar ...
✓
Vedno sem bil “za”!
Ne! Uspeh!
e
Uf, a še vedno?
Poskusim
Gledam druge Vprašam druge
Kako na IPv6?
41
Pa saj smo že zdavnej rekl, da je treba to nardit’ ;-)
43. 6 korakov do v6
• naslovni prostor in dostop
• lasten strokovnjak, odgovoren za uvedbo IPv6
• pregled stanja, raziskava vpliva uvedbe IPv6
• postopno uvajanje
• varnost
• sobivanje IPv6 z IPv4
Kako na IPv6?
43
6 korakov v dveh sklopih: 1) pri čem pomaga Arnes, 2) kaj naredi organizacija sama.
RIPE NCC: Change purchasing procedure (feature parity)
* Check your current hardware and software
* Plan every step and test
* Don’t separate IPv6 features from IPv4
* One service at a time
* face first (WWW, auth. DNS, mail)
* Prepare to be able to switch off IPv4
44. Pri čem pomaga Arnes?
registracija naslovnega prostora
delitev naslovnega prostora
svetovanje pri izboru opreme
vzpostavitev povezave
svetovanje pri posodabljanju storitev
izobraževanje
Kako na IPv6?
44
V nadaljevanju nekaj prvih korakov: *-registracija IPv6 *-delitev naslovnega prostora (modeli) *-kako bomo oštevilčili računalnike, strežnike in
drugo opremo v lokalnih omrežjih *-izbor komunikacijske opreme *-izbor primernih operacijskih sistemov
45. Registracija naslovnega prostora
https://www.arnes.si/ip-reg/
uporabniško ime za dostop do
Arnesove spletne pošte
• pooblaščena oseba
http://www.arnes.si/fileadmin/
dokumenti/storitve/dostop/
organizacije/ip-reg.pdf
Kako na IPv6?/Pri čem pomaga Arnes?
45
Pooblastila --> Iris Govedič
Registracija --> Jure Knez
46. Delitev naslovnega prostora:
modeli
• izhodišče: obstoječa topologija omrežij
• brez posebnega načrta
• naslovni načrt
• primarna delitev
• uporabniki, varnostna politika
• sekundarna delitev
• ocena velikosti, preglednost, način zapisa
Kako na IPv6?/Pri čem pomaga Arnes?
46
Brezglavo (zakaj pa ne?) ali sistematično - skladno z nekim naslovnim načrtom: delitev v skupine. Velikost skupine? Zapis/oznake naj bodo
pregledne (številčenje4 vs označevanje6).
47. Delitev naslovnega prostora:
modeli
• izhodišče: obstoječa topologija omrežij
• brez posebnega načrta
• naslovni načrt
• primarna delitev
• tip uporabe ali lokacija
• sekundarna delitev
• ocena velikosti, preglednost, način zapisa
Kako na IPv6?/Pri čem pomaga Arnes?
47
Brezglavo (zakaj pa ne?) ali sistematično - skladno z nekim naslovnim načrtom: delitev v skupine. Velikost skupine? Zapis/oznake naj bodo
pregledne (številčenje4 vs označevanje6).
48. Delitev naslovnega prostora:
brez načrta 2001:1470:ABCD::/48
ARNES
organizacija
zunanje
lokacija 1 lokacija 2 lokacija 3
lokacije
omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G
u"enci zaposleni stre!niki zaposleni u"enci gostje VPN
32 48
| |
2001:1470:ABCD: NNNN ::/64
Omrežje Lokacija Skupina IPv6-naslovi - po vrsti IPv6-naslovi - “kr neki”
A 1 1 - učenci 2001:1470:ABCD:1::/64 2001:1470:ABCD:C::/64
B 1 2 - zaposleni 2001:1470:ABCD:2::/64 2001:1470:ABCD:AD1::/64
C 2 5 - strežniki 2001:1470:ABCD::/64 2001:1470:ABCD::/64
D 2 2 - zaposleni 2001:1470:ABCD:3::/64 2001:1470:ABCD:AD2::/64
E 3 1 - učenci 2001:1470:ABCD:4::/64 2001:1470:ABCD:C2::/64
F 3 E - gostje 2001:1470:ABCD:5::/64 2001:1470:ABCD:BEBA::/64
G F F - VPN 2001:1470:ABCD:6::/64 2001:1470:ABCD:FACA:/64
Kako na IPv6?/Pri čem pomaga Arnes?
48
49. Delitev naslovnega prostora:
po lokacijah
ARNES pot do
organizacija 2001:1470:ABCD:3000::/52
zunanje
lokacija 1 lokacija 2 lokacija 3
lokacije
omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G
u"enci zaposleni stre!niki zaposleni u"enci gostje VPN
32 48 52 56
| | | |
2001:1470:ABCD: L S NN ::/64
Omrežje Lokacija Skupina IPv6-naslovi
A 1 1 - učenci 2001:1470:ABCD:1100::/64 - 2001:1470:ABCD:11ff::/64
B 1 2 - zaposleni 2001:1470:ABCD:1200::/64 - 2001:1470:ABCD:12ff::/64
C 2 5 - strežniki 2001:1470:ABCD:2500::/64 - 2001:1470:ABCD:25ff::/64
D 2 2 - zaposleni 2001:1470:ABCD:2200::/64 - 2001:1470:ABCD:22ff::/64
E 3 1 - učenci 2001:1470:ABCD:3100::/64 - 2001:1470:ABCD:31ff::/64
F 3 E - gostje 2001:1470:ABCD:3e00::/64 - 2001:1470:ABCD:3eff::/64
G F F - VPN 2001:1470:ABCD:ff00::/64 - 2001:1470:ABCD:ffff::/64
Kako na IPv6?/Pri čem pomaga Arnes?
49
50. Delitev naslovnega prostora:
glede na uporabnike/varnostno politiko
skupna pravila za
pot do ARNES 2001:1470:ABCD:2000::/52
2001:1470:ABCD:1100::/56 organizacija
pot do
2001:1470:ABCD:2100::/56
zunanje
lokacija 1 lokacija 2 lokacija 3
lokacije
omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G
u"enci zaposleni stre!niki zaposleni u"enci gostje VPN
32 48 52 56
| | | |
2001:1470:ABCD: S L NN ::/64
Omrežje Skupina Lokacija IPv6-naslovi
A 1 - učenci 1 2001:1470:ABCD:1100::/64 - 2001:1470:ABCD:11ff::/64
E 1 - učenci 3 2001:1470:ABCD:1300::/64 - 2001:1470:ABCD:13ff::/64
B 2 - zaposleni 1 2001:1470:ABCD:2100::/64 - 2001:1470:ABCD:21ff::/64
D 2 - zaposleni 2 2001:1470:ABCD:2200::/64 - 2001:1470:ABCD:22ff::/64
C 5 - strežniki 2 2001:1470:ABCD:5200::/64 - 2001:1470:ABCD:52ff::/64
F E - gostje 3 2001:1470:ABCD:e300::/64 - 2001:1470:ABCD:e3ff::/64
G F - VPN F 2001:1470:ABCD:ff00::/64 - 2001:1470:ABCD:ffff::/64
Kako na IPv6?/Pri čem pomaga Arnes?
50
51. Delitev naslovnega prostora:
ocena velikosti, preglednost, način zapisa
• delitev na n × 4 bite • pregledne oznake
• 16, 256, 4096, 65536 • decimalno ali šestnajstiško
32 48
| |
2001:1470:ABCD:NNNN ::/64
32 48 52
| | |
2001:1470:ABCD: SNN N ::/64
32 48 56
| | |
2001:1470:ABCD: S S N N ::/64
32 48 60
| | |
2001:1470:ABCD: S S S N ::/64
Kako na IPv6?/Pri čem pomaga Arnes?
51
52. Delitev naslovnega prostora:
ocena velikosti, preglednost, način zapisa
• delitev na n × 4
32 48 52 56
| | | |
2001:1470:ABCD: S L N N ::/64
bite 32 48 56 60
• 16, 256, 4096
| | | |
2001:1470:ABCD: S S L N ::/64
• pregledne oznake
32 48 52
| | |
2001:1470:ABCD: SNN N ::/64
• decimalno ali 32
|
48
|
56
|
šestnajstiško 2001:1470:ABCD: S S N N ::/64
32 48 60
| | |
2001:1470:ABCD: S S S N ::/64
Kako na IPv6?/Pri čem pomaga Arnes?
52
53. Naslavljanje lokalnih sistemov
• statični - “ročno” nastavljeni naslovi
• samodejna konfiguracija - SLAAC
• sledljivost vs zasebnost
• DHCP
Kako na IPv6?/Pri čem pomaga Arnes?
53
Priporočamo DHCP: nadzor (dnevniški zapisi), samodejni vpisi v DNS, možnost zagotavljanja zasebnosti.
Problem: nekateri OS nimajo odjemalca za DHCP, npr. “fancy” Mac OS X 10.6.
54. Komunikacijska oprema
• Cisco
•
1700 ✗
•
1841 ✓ potrebna je nadgradnja IOS
•
1941 ✓
•
892 ✓
•
3560/3750 ✓ IOS vsaj 12.2(53)
• priporočila RIPE http://www.ripe.net/ripe/docs/ripe-501
Kako na IPv6?/Pri čem pomaga Arnes?
54
55. Operacijski sistemi
• Microsoft
•
XP ✗
•
Vista ✓
•
Windows 7 ✓
•
Windows Server 2008 ✓
•
Windows Server 2008 R2 ✓
• Linux ✓
• BSD ✓
• Mac OS X ✓
Kako na IPv6?/Pri čem pomaga Arnes?
55
57. Preizkušamo recepte
• publikacija
• delavnice
Kako na IPv6?/Pri čem pomaga Arnes?
57
Publikacija/zloženka s konkretnimi praktičnimi nasveti/predlogi za šolsko sfero.
Strokovne delavnice. Bolj tehnično.
Jesen 2011.
Kasneje nadaljevalne delavnice - mobilnost, varnost, tranzicijski mehanizmi, (? nove storitve) ...
58. ipv6-podpora@arnes.si
matjaz6
Admin
Kako na IPv6?/Pri čem pomaga Arnes?
58
Poleg stalnega izobraževanja v rednem delovnem procesu.
Motivirana ekipa!
59. Kaj naredi organizacija sama?
• strokovnjak, ki bo vodil uvajanje IPv6
foto: http://enjoyingsimplemoments.tumblr.com/ Kako na IPv6?
59
Hm... RIPE NCC pravi: “Don't appoint an IPv6 specialist - do you have an IPv4 specialist?”, češ da “IPv6 ni produkt - produkt je Internet”. OK, vendar
v priporočilu ne govorimo o strokovnjaku za IPv6, temveč o človeku, obstoječem strokovnjaku v organizaciji, ki se bo zavzel za uvajanje IPv6 na
vseh področjih, se ustrezno izobrazil, pridobil kompetence (znanje, veščine, izkušnje) ter ustrezne pristojnosti za uspešno uvedbo IPv6 v omrežje
in vse storitve.
60. Kaj naredi organizacija sama?
• pregled
• planiranje
• oprema
• dobavitelji
• serviserji
• svetovalci
• postopno uvajanje
foto: http://enjoyingsimplemoments.tumblr.com/ Kako na IPv6?
60
* Pregled strojne in programske opreme, ki se trenutno uporablja *-Planiranje *-Sprememba v postopkih nabave opreme (zahtevana podpora za
IPv6) *-Usposobljeni serviserji in svetovalci *-Postopno uvajanje +ne ločite “IPv6 storitev” od IPv4 (storitev je ena sama!) +korak za korakom - ne
posodabljajte več storitev hkrati +ostanite prepoznavni (najprej WWW, DNS, ...) --> o tem več Klemen
Sledi: ne pozabite na varnost in sobivanje obeh protokolov.
61. Varnost
• skriti tuneli
• Teredo
• javni naslovi vir: United States Geological Survey
• pasti v lokalnem omrežju
• naslov je zaseden, lažni usmerjevalnik,
lažni DHCP strežnik, zapolnitev tabele
sosedov, lažno predstavljanje, ...
http://www.thc.org/
Kako na IPv6?
61
Teredo je aktiven na win7/vista sistemih. Uporablja UDP in zgradi tunel skozi požarno pregrado, če na njej ni ustrezne blokade. IPv4 omrežje je
zavarovano s požarno pregrado, vendar dostopno (popolnoma odprto) preko IPv6 skozi Teredo-tunel. *--> Izklopite tunelske vmesnike na win
sistemih oz., še bolje, poskrbite za ustrezne filtre na požarnih pregradah.
“Problem” javnega naslove. Prej skriti za NAT-om, zdaj z javnim naslovom. V resnici to ni hud problem, če smo že prej skrbeli za varnost na
primeren način (NAT ni varnostni mehanizem!). *Praktično za vsak mehanizem NDP je znan napad. Na The Hacker’s Choice so prosto dostopna
Linux orodja za izvajanje napadov v lokalnem omrežju.
62. Sobivanje
Kako na IPv6?
CC Old Sarge/flickr
62
IPv4 bo prisoten še mnogo let. Točneje - 42 let = dokončen odgovor na dokončno vprašanje o življenju, vesolju in sploh vsem ;-)
Vendar - pripravljajmo se na popolno izključitev IPv4.
63. Kaj naredi organizacija sama?
• izobraževanje
• izobraževanje
• izobraževanje
• izobraževanje
• izobraževanje
• izobraževanje
Kako na IPv6?
63
64. Kaj bo naš prvi korak?
Kako na IPv6?/Nagradno vprašanje
64
Nagrada za konkreten in jedrnat odgovor s pozitivnim sporočilom.
65. Vzemite s seboj
• IPv6 naj omogoča kvalitetne storitve
• hierarhična delitev omrežja
• ICMP je zelo pomemben
• izberite primerno opremo
• ne pozabite na varnost
• izobraževanje
• začnite že danes!
Kako na IPv6?
65
66. Izziv
• določite svojega
strokovnjaka za
uvajanje IPv6
• pridobite IPv6-
naslovni prostor
66
Sprejmite ta izziv - rok. 8.6.2011 (svetovni IPv6-dan). Postanite vidni/prepoznavni preko IPv6!
67. Hvala za pozornost!
http://dan.ipv6.si/
ipv6-podpora@arnes.si
razprava@ipv6.si
Matjaž Straus Istenič, Arnes
matjaz.straus@arnes.si
67