SlideShare a Scribd company logo

Matjaž Straus Istenič: 1, 2, 3, 4 - na IPv6, SIRIKT 2011

matjazsi
matjazsi

Predavanje o prvih korakih uvajanja IPv6. Konferenca SIRIKT 2011, Kranjska Gora, 13.4.2011. http://www.sirikt.si/fileadmin/Sirikt2011/program_2011/urnik-slo.html

Technology
1 of 68
predlaga ali to še ni arnes dodeli jasno? uvod - zakaj arnes no, morda je ipv6? treba reči tipi naslovov - besedo ali modeli delitve glede na namen uporabe dve ;-) o 4 in 6 icmp kako pa smo pomembno! šli na v4? 1, 2, 3 - naslovni je sedaj kaj šli smo na ajpi! prostor drugače? ip-naslov no ja, ... 4, 5, 6, 96 more bits zdaj pa na samo - no magic :-) vešest! ključne lasten ipv6 guru, razlike ethernet ndp kako na izobraževanje, izobraževanje, ... v6? izobražuje tudi arnes header - arnes - preprosteje pazi na opremo! dostop učinkoviteje ! ripe 501 delitev sobivanje naslovnega nasveti za postopno prostora pregled stanja, posodabljanje zaključek vplivi uvedbe ipv6-podpora@arnes.si v6 domača nagradno svetuje arnes varnost naloga! vprašanje urejenost hierarhija 1 Učna ura ;-) 45 minut za v6.
Konferenca Arnes 2011 13. april 2011, Kranjska Gora 1, 2, 3, 4 – na IPv6! Matjaž Straus Istenič, Arnes Istenič, Arnes Matjaž Straus matjaz.straus@arnes.si matjaz.straus@arnes.si 2
Zakaj IPv6? foto: http://enjoyingsimplemoments.tumblr.com/ 3 Korak naprej, nove storitve o katerih se nam še ne sanja, razvoj novega interneta ... Smo kot deklica na fotografiji, pred katero je prihodnost, ocean novega (pesniško ;-))! Hej, Internetu vendar vračamo end-to-end povezljivost! (popravni izpit) ** Vendar -- nujno je! IPv4 “no more” (3.2.2011 je IANA podelila zadnjih 5 /8).
Zbogom in hvala za vse ribe! http://www.potaroo.net/tools/ipv4/fig30d.png Zakaj IPv6? 4
Zadnji ostanki IPv4-naslovov 260.000 528.000 125.000 261.000 258.000 število prostih /24, stanje 5.4.2011 zemljevid: http://en.wikipedia.org/wiki/Regional_Internet_registry podatki: http://ipv6.he.net/ Zakaj IPv6? 5
Zadnji ostanki IPv4-naslovov 11 2-3 130 15 9 število prebivalcev na prost naslov zemljevid: http://en.wikipedia.org/wiki/Regional_Internet_registry podatki: http://www.nationsonline.org/oneworld/ Zakaj IPv6? 6
21.12.2012 CC 3759: Mayan Calendar/flickr 7 Trditev šaljivca, da so konec IPv4 interneta napovedali že Maji v svojem koledarju. Nekaj podobnega smo že doživeli in sicer ...
1.1.2000 8 Se še spomnimo “millennium” hrošča (hrošča tisočletja)? Kaj se je zgodilo 1.1.2000, ob 0.00? Nič pretresljivega ;-). In tudi z IPv4 se ne bo zgodilo nič pretresljivega. Ne rešujemo se pred kataklizmo! Zakaj potem IPv6? Od kod ta nuja po novem protokolu? Preprosto ...
Zakaj torej IPv6? 9 Preprost odgovor: da gremo lahko naprej! In mi gremo naprej v dveh dejanjih ...
Na IPv6 v dveh dejanjih • O 4 in 6 • Kako na 6? foto: http://enjoyingsimplemoments.tumblr.com/ 10 * osnovne razlike med protokoloma - tiste najpomembnejše pri prvih korakih v procesu uvajanja * nekaj napotkov, priporočil za uspešen prehod - posodobitev omrežja in storitev (več o storitvah: Klemen)
O 4 in 6 • IP-naslov • zapis • delitev naslovnega prostora • Naslov za določen namen • Kontrolna sporočila ICMP • IP v omrežju “ethernet” 11 Kaj je ICMP? Protokol za kontrolna sporočila v internetu. * Omeni nagrado na koncu tega sklopa! Dve knjigi IPv6 Essentials, 2nd Edition, avtorica Silvia Hagen, O'Reilly. Starejša, vendar zelo kvalitetna, velikokrat citirana knjiga. Strukturirano obravnava vsa pomembna poglavja. Lep in jasen jezik (se vidi, da je pisala ženska :-)). * Zakaj bo podeljena? - kratek, jasen, točen odgovor s pozitivnim sporočilom. Prvo vprašanje bo bolj tehnično, drugo pa iz področja vodenja, sprejemanja odločitev.
IP-glava IPv4 IPv6 spremenljiva dolžina 20 Bytov + opcije stalna dolžina 40 Bytov odvečna polja, npr. kontrolna vsota manj polj, novo: flow-label ni razširitev, takoj sledi TCP/UDP ... razširitvena zaglavja O 4 in 6 12 IP-paketi imajo “glavo” z vsemi potrebnimi podatki za komunikacijo preko IP-omrežja. Tako za v4 kot za 6. * Bistveno: stalna dolžina, preprosta in zadostna struktura + možnost razširitev. * Opis: Version (4 biti): 6 (4 za IPv4) *Traffic class (8 bitov): določa prioriteto paketom (QoS) *Flow label (20 bitov): identificira tok podatkov, ki se enako obravnavajo, npr. za aplikacije v realnem času. Praktično se še ne uporablja. *Payload length(16 bitov): velikost vsebine paketa v bytih. *Next header (8 bitov): določa protokol naslednje ovojnice. Posebna oznaka v zadnjem zaglavju *Hop limit (8 bitov): Kot TTL v IPv4.
IP-naslov IPv4 IPv6 32 bitov 128 bitov povezave točka-točka /30, /31 vsaka povezava /64 lokalna omrežja /23, /24, ..., /28 vsako lokalno omrežje /64 številke oznake organizacija /21, ..., n × /24, /25 organizacija (od vrtca do fakultete) /48 ponudnik n × /16, /17, /18, /19 ponudnik /32 O 4 in 6 13 Najpomembnejši podatek v “glavi” IP-paketa - IP naslov cilja/izvora. 128 bitov vs 32. Q: 4 x več naslovov? ;-) Poudari poenostavitve na vseh segmentih omrežja. Zakaj lahko poenostavimo? Ker imamo _toliko_ naslovnega prostora, da varčevanje ni smiselno. Na IP-naslov gledamo kot na oznako (ID) in ne več kot na zaporedno hišno številko. Številčenje - označevanje.
IPv6 naslov: iz binarnega v šestnajstiški zapis 00100000.00000001.00010100.01110000. 00000001.00100011.00000000.00001111. 00000000.00000000.00000000.00000000. 00000000.00000000.00000000.00000110 2001 :1470 2001:1470:0123:000f:0000:0000:0000:0006 O 4 in 6 14 4 biti -> 1 znak, 16 bitov -> en blok, ločilo :
IPv6 naslov: preglednejši zapis 2001:1470:0123:000f:0000:0000:0000:0006 2001:1470:123:f: 0:0:0:6 2001:1470:0123:000f:0000:0000:0000:0006 O 4 in 6 15
Ogromen naslovni prostor • 128 bitov ≡ 3 × 10 IPv6-naslovov 38 • en IPv6-naslov ≡ ena molekula v oblaku • ves naslovni prostor ≡ zelo velik nevihtni oblak foto: Kenneth Dwain Harrelson, http://en.wikipedia.org/wiki/Cloud O 4 in 6 16
Ogromen naslovni prostor v oblakih • molekularna masa zraka: M = 29 g/mol • razlika v tlaku: ∆p razlika v tlaku ∆p (× 104 Pa) površina S (km2) • površina oblaka: S majhen oblaček 1 1 • masa oblaka: m velik nevihtni 7 50 × 50 • Avogadrovo število: A = 6 × 1023/mol oblak • gravitacijski pospešek: g ≈ 10 m/s2 • število molekul n: med 1034 (majhen kumulus) in 1038 (velik cumulonimbus) • število IPv6-naslovov: 2128 ≈ 3.4 × 1038 Ogromen naslovni prostor vir: http://atisi.wordpress.com/2011/04/01/counting-v6-addresses/ 17
Ogromen naslovni prostor • 2 IPv6-omrežij /64 : 2 IPv4-omrežij /24 64 24 • ves IPv4-internet ≡ eno zrno • ves IPv6-internet ≡ 40,000 ton pšenice O 4 in 6 18
Ogromen naslovni prostor v pšenici • IPv6-podomrežij /64 je 264 • IPv4-podomrežij /24 je 224 • razmerje “IPv6 : IPv4” je 240 • 240 ≈ 1012 = 1 milijon × 1 milijon • 1 zrno 40 mg • 240 zrn 40.000 ton Ogromen naslovni prostor 19
Zagotovljen globalno dosegljiv IP-naslov - nova storitev? 20 Primer “gasilca Jožeta”. Senzorji. Mobilnost, neposredna dosegljivost kjerkoli si.
Globalna delitev naslovnega prostora /3 IANA /12 RIPE /32 Arnes n × /48 /48 /48 Uporabnik alokacija dodeli ponudnik (LIR) neodvisno od ponudnika vir: RIPE NCC, IPv6 for LIRs tutorial 21
Delitev naslovnega prostora : primer - Arnesov naslovni prostor • IPv4 153.5.0.0/16 193.2.0.0/16 193.138.1.0/24 194.249.0.0/16 212.235.128.0/17 88.200.0.0/17 92.244.64.0/19 95.87.128.0/18 109.127.192.0/18 178.172.0.0/17 • IPv6 2001:1470::/32 O 4 in 6 22
Delitev IPv4-naslovnega prostora organizacije konference gostje (brezžično omrežje) A.B.1.0/24 A.B.254.0/24 C.D.E.80/28 F.G.252.0/23 A.B.1.0/25 A.B.1.128/25 F.G.252.0/24 F.G.253.0/24 A.B.1.0/26 A.B.1.64/26 gostujoči strežniki zaposleni A.B.1.0/27 A.B.1.32/27 javni strežniki študentje A.B.1.32/28 A.B.1.48/28 interni strežniki, tiskalniki ... javni strežniki v tujem upravljanju O 4 in 6 23
Delitev IPv6-naslovnega prostora organizacije X = 2001:1470:ABCD X::/48 16 lokacij X:0000::/52 X:1000::/52 X:2000::/52 ... X:d000::/52 X:e000::/52 X:f000::/52 varnostna X:0000::/54 X:0400::/54 X:0800::/54 X:0c00::/54 politika 16 področij X:0800::/56 X:0900::/56 X:0a00::/56 X:0b00::/56 na lokacijo X:0a00::/64 X:0a01::/64 X:0a02::/64 X:0a03::/64 ... X:0afc::/64 X:0afd::/64 X:0afe::/64 X:0aff::/64 2001:1470:ABCD:afc::/64 O 4 in 6 24
Naslov za določen namen • iz naslova je razvidno, za kaj se uporablja • komunikacija v lokalnem omrežju • globalna komunikacija • komunikacija v skupini • komunikacija le z nekaterimi v skupini O 4 in 6 25
Tipi IPv6-naslova • kako • med dvema - unicast • z mnogimi - multicast • z najbližjim - anycast • × • nič več “z vsemi” - broadcast kje • lokalno na povezavi - link-local • lokalno na lokaciji - unique local • globalno, javno O 4 in 6/Naslov za določen namen 26 Dva kriterija: “kako” in “kje”. Zakaj ni več potrebno “trobljenje” (broadcast/razpršeno oddajanje)? Sporočila pošiljamo le tistim, ki se za njih “zanimajo”, oz. so ta sporočila za njih pomembna, ne pa vsem --> multicast (oglaševanje znotraj skupine).
Tipi IPv6-naslova Naslov Obseg naslovov Kje se uporablja? 127.0.0.1 loopback ::1 10.0.0.0/8 na sistemu samem 192.168.0.0/16 lokalen (link-local) fe80::/10 na povezavi lokalen (unique local) fc00::/7 na lokaciji/organizaciji 224.0.0.0/4 javen globalen naslov 2000::/3 globalno naslov skupine (multicast) ff00::/8 lokalno ali globalno O 4 in 6/Naslov za določen namen 27 “Global Unicast” ustreza javnemu IPv4 naslovu *“Link local” ustreza privatnim naslovom, ki so vidni le znotraj povezovalnega segmenta. Naslovi “Unique Local Address” se lahko usmerjajo znotraj neke skupine omrežij. Naslovi imajo v omrežnem delu naključno 40-bitno število s čimer se zmanjša nevarnost združevanja skupin ali problemov v primeru, da paketi po pomoti “zaidejo” v internet. Lokalna uporaba vendar možnost usmerjanja - globalen “scope”.
Vmesnik ima več naslovov • 5 obveznih naslovov • na vsakem vmesniku lokalen naslov na povezavi # ip -6 addr show dev eth1 (link-local) 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 10 • inet6 2001:1470:8000:60a:0:1:fee1:600d/64 scope global katerikoli dodeljen unicast valid_lft forever preferred_lft forever inet6 fe80::216:35ff:fe82:45a2/64 scope link ali anycast naslov valid_lft forever preferred_lft forever • naslov skupine “vsi # ip -6 maddr 3: eth1 show dev eth1 sistemi” (all-nodes multicast) inet6 ff02::1:ffe1:600d • inet6 ff02::1:ff82:45a2 za vsak unicast in anycast inet6 ff02::1 naslov še pripadajoč pooblaščen naslov (solicited- node multicast) • + naslovi vseh ostalih skupin, v katerih je sistem O 4 in 6/Naslov za določen namen 28 Q: najmanj koliko IPv6-naslovov ima IPv6-sistem? A: (primer na sliki + loopback ::1)
Kateri naslov izbrati? • prednostni seznam 1. par naslovov istega tipa glede na lokalnost 2. izbere se bolj lokalen ciljni naslov 3. prednostni naslov (“preffered”) 4. prednost pred tranzicijskimi naslovi (Teredo, 6to4) 5. par naslovov v ožjem skupnem podomrežju 6. kot izvorni naslov ima pred začasnim prednost globalen naslov 7. mobilna naprava: prednost ima domači naslov O 4 in 6 /Naslov za določen namen/Vmesnik ima več naslovov 29 Kaj so to “tranzicijski” naslovi? Kratek opis. Problem varnosti sistema, ki ima samo tranzicijski naslov, npr. Teredo mikrosoftis (P2P aplikacije na windozah: default v6, torej?).
Kontrolna sporočila ICMP • zelo pomemben protokol! • sosed, kje si? • sosed, si še “živ”? • ima že kdo enak naslov? • usmerjevalnik, kje si? • jaz sem usmerjevalnik • podatki za samodejno nastavitev • kako velik paket lahko pošljem? O 4 in 6 30 Kaj je to - ICMP? Za kaj vse se uporablja.
V lokalnem omrežju × • ARP ✓ • protokol ND • 48 bitov - naslov MAC uporablja se ICMP • samodejne nastavitve (SLAAC) EUI-64 FF FE • podomrežje naslov podomrežje ID vmesnika povzeto po: RIPE NCC, IPv6 for LIRs tutorial • usmerjevalnik (privzeti prehod) • MTU O 4 in 6 31 SLAAC: Mehanizem, ki omogoča, da si IPv6 sistem samodejno ustvari naslov, npr. iz MAC-naslova, ne da bi za to potreboval zunanji DHCP strežnik. *Global Unicast naslov sistema je sestavljen iz naslova podomrežja, ki ga posreduje usmerjevalnik z RA (Router Announcement) in identifikacijske številke vmesnika EUI-64, ki se določi iz naslova MAC. * ID vmesnika: 1) med 4 in 5 byte MAC naslova se vrine FFFE. 2) en bitek se zamenja, običajno iz 0 v 1. NDP ICMP sporočila: * Router Solicitation (RS) / Router Advertisement (RA) * Neighbor Solicitation/ Neighbor Advertisement * ICMP Redirect
Zakaj je ICMPv6 tako zelo pomemben? O 4 in 6/Nagradno vprašanje 32 Nagrada: knjiga IPv6 Essentials. Konkreten odgovor z navedbo dveh pomebnih vlog ICMP-ja: NDP, path MTU discovery.
Demo • prva vrsta: omrežje A • pošiljatelj sem jaz, moj usmerjevalnik je A • nekje vmes: usmerjevalnik B • zadnja vrsta: omrežje C • usmerjevalnik C 3 C prejemnik v zadnji vrsti B 5 A O 4 in 6 33 Link med A in B je za 5, med B in C pa za 3 dcl. Povej, da usmerjevalniki ne delijo paketov. Za “usmerjevalnike” izberi poslušalce na prehodu, da bodo lahko “prenašali” pakete ;-)
Demo 14. Sprejemam in sestavljam 12. Tu sem! 13. Tu imaš pakete, dva si? ... 11. Naslovnik, kje kosa skupaj ... 6. Paket je prevelik, pošlješ 10. Posredujem C-ju. lahko največ 3 dcl. C 3 2. Tu sem. Pošiljam B 9. Posredujem B-ju. ... 5. OK, pošiljam B-ju podatke za nastavitev ... 5 A 7.4.3.imaš pakete, dva naslov. No1. Kje - paket si v dveh Nastavil moj prav je sem 5 kosa 8. Tu Pošiljam pošiljam dcl ... ... kosih, 3 kdoin 2 dcl ... Ima še dcl tak naslov? usmerjevalnik? O 4 in 6 34 Router sol. *RA/SLAAC *DAD -> *MTU discovery/adjust *Pošiljatelj fragmentira -> Neighbor sol. - *Prejemnik sestavi. 14 korakov - od tega 6 ICMP sporočil.
Koliko ICMP sporočil je bilo poslanih med demonstracijo? O 4 in 6/Nagradno vprašanje 35
Kaj bi se zgodilo, če bi usmerjevalnik A blokiral vsa ICMP-sporočila iz interneta? O 4 in 6/Nagradno vprašanje 36
Kako na 6? • kako pa smo uvedli IPv4? • 6 korakov do v6 • pri čem pomaga Arnes? • kaj naredi organizacija sama? • nekaj nasvetov za dober začetek 37 Kaj nas sploh čaka? 6 korakov v dveh sklopih: Arnes, org.sama. Nekaj napotkov za “domov” in izziv za prvi korak.
1, 2, 3 - gremo na “aj-pi” CC www.goldbeere.de/flickr Kako na IPv6? 38 Predstavljajte si, da ste na začetku -- zgolj ethernet, brez IP-ja. Danes same-po-sebi umevne storitve na IPv4 --> v6. Storitev ne smemo ločevati na podlagi “transportnega” (prenosnega?) protokola. Enak obseg dela (?). No ..., čakate na recept?
4, 5, 6 - zdaj pa na “ve šest” • veščine IPv4 se dobro prenesejo v IPv6 • no, kakšno je bolje opustiti ;-) • podoben koncept • le več naslovov • ponekod drugačen pristop • problemi so bolj psihološki kot tehnični foto: http://veganskigurman.wordpress.com/ Kako na IPv6? 39 Ni potrebno narediti vsega znova! Analogija z učenjem tujega jezika. Nekdo, ki ne zna nobenega tujega jezika in nekdo, ki zna nek tuj jezik, ni pomembno kateri (hindustanščina :-)). Kdo se bo lažje naučil novega jezika?
Recept za ta novo pogačo Sestavine: * za en sleš 48 adres v6 * pripoj (ta narboljši) * lonček stroke (ostale začimbe kot za ta staro v4 pogačo) Priprava: * Je treba najprej finu zmešati en mal adres v6 in dobro pripojiti. Zraven pa dodajati stroko po ščepcih. Stroko se mora dodajati počas pa vztrajnu. Pri stroki gospodar se ne sme bit šparoven. * Med tem, ko se to lepu finu meša, je treba pregledati ta star recept za v4 pogačo, da se ni kaj pozabilu. Ta nova pogača se lepo mešati mora s ta staro. Dobro je treba pretuhtati, da ne bi nova jed kej slabga povzročila pr jedcih, k še ta staru jedo. * Peke se lotit moramo prou počas. Najtaprej eno malo pogačo spečemo, pa preverimo, al je tako k mora bit. Pečemo počasi inu dobro sprot preverjamo, da se ne b kej zasmodlu. * Ko je prva ta probna pogača dobr narejena, napečemo še druge, pa mal večje. * Je treba jedcom povedat, da ta nova pogača mal drugač sede v želodec, pa tud drugač na prebavo vpliva. Posebno, če so na ta staro navajen. * Ta novo pogačo lahko lepo vkup ponudimo s ta staro, če smo vse lepo in prou naredili. 40 Izvirni Arnesov recept za IPv6 :-)
IPv6 kot sprememba Tehnično Ne Da × IPv6 Vendar ... ✓ Vedno sem bil “za”! Ne! Uspeh! e Uf, a še vedno? Poskusim Gledam druge Vprašam druge Kako na IPv6? 41 Pa saj smo že zdavnej rekl, da je treba to nardit’ ;-)
CC askal.bosch/flickr t 42 Problem = čas!
6 korakov do v6 • naslovni prostor in dostop • lasten strokovnjak, odgovoren za uvedbo IPv6 • pregled stanja, raziskava vpliva uvedbe IPv6 • postopno uvajanje • varnost • sobivanje IPv6 z IPv4 Kako na IPv6? 43 6 korakov v dveh sklopih: 1) pri čem pomaga Arnes, 2) kaj naredi organizacija sama. RIPE NCC: Change purchasing procedure (feature parity) * Check your current hardware and software * Plan every step and test * Don’t separate IPv6 features from IPv4 * One service at a time * face first (WWW, auth. DNS, mail) * Prepare to be able to switch off IPv4
Pri čem pomaga Arnes? registracija naslovnega prostora delitev naslovnega prostora svetovanje pri izboru opreme vzpostavitev povezave svetovanje pri posodabljanju storitev izobraževanje Kako na IPv6? 44 V nadaljevanju nekaj prvih korakov: *-registracija IPv6 *-delitev naslovnega prostora (modeli) *-kako bomo oštevilčili računalnike, strežnike in drugo opremo v lokalnih omrežjih *-izbor komunikacijske opreme *-izbor primernih operacijskih sistemov
Registracija naslovnega prostora https://www.arnes.si/ip-reg/ uporabniško ime za dostop do Arnesove spletne pošte • pooblaščena oseba http://www.arnes.si/fileadmin/ dokumenti/storitve/dostop/ organizacije/ip-reg.pdf Kako na IPv6?/Pri čem pomaga Arnes? 45 Pooblastila --> Iris Govedič Registracija --> Jure Knez
Delitev naslovnega prostora: modeli • izhodišče: obstoječa topologija omrežij • brez posebnega načrta • naslovni načrt • primarna delitev • uporabniki, varnostna politika • sekundarna delitev • ocena velikosti, preglednost, način zapisa Kako na IPv6?/Pri čem pomaga Arnes? 46 Brezglavo (zakaj pa ne?) ali sistematično - skladno z nekim naslovnim načrtom: delitev v skupine. Velikost skupine? Zapis/oznake naj bodo pregledne (številčenje4 vs označevanje6).
Delitev naslovnega prostora: modeli • izhodišče: obstoječa topologija omrežij • brez posebnega načrta • naslovni načrt • primarna delitev • tip uporabe ali lokacija • sekundarna delitev • ocena velikosti, preglednost, način zapisa Kako na IPv6?/Pri čem pomaga Arnes? 47 Brezglavo (zakaj pa ne?) ali sistematično - skladno z nekim naslovnim načrtom: delitev v skupine. Velikost skupine? Zapis/oznake naj bodo pregledne (številčenje4 vs označevanje6).
Delitev naslovnega prostora: brez načrta 2001:1470:ABCD::/48 ARNES organizacija zunanje lokacija 1 lokacija 2 lokacija 3 lokacije omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G u"enci zaposleni stre!niki zaposleni u"enci gostje VPN 32 48 | | 2001:1470:ABCD: NNNN ::/64 Omrežje Lokacija Skupina IPv6-naslovi - po vrsti IPv6-naslovi - “kr neki” A 1 1 - učenci 2001:1470:ABCD:1::/64 2001:1470:ABCD:C::/64 B 1 2 - zaposleni 2001:1470:ABCD:2::/64 2001:1470:ABCD:AD1::/64 C 2 5 - strežniki 2001:1470:ABCD::/64 2001:1470:ABCD::/64 D 2 2 - zaposleni 2001:1470:ABCD:3::/64 2001:1470:ABCD:AD2::/64 E 3 1 - učenci 2001:1470:ABCD:4::/64 2001:1470:ABCD:C2::/64 F 3 E - gostje 2001:1470:ABCD:5::/64 2001:1470:ABCD:BEBA::/64 G F F - VPN 2001:1470:ABCD:6::/64 2001:1470:ABCD:FACA:/64 Kako na IPv6?/Pri čem pomaga Arnes? 48
Delitev naslovnega prostora: po lokacijah ARNES pot do organizacija 2001:1470:ABCD:3000::/52 zunanje lokacija 1 lokacija 2 lokacija 3 lokacije omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G u"enci zaposleni stre!niki zaposleni u"enci gostje VPN 32 48 52 56 | | | | 2001:1470:ABCD: L S NN ::/64 Omrežje Lokacija Skupina IPv6-naslovi A 1 1 - učenci 2001:1470:ABCD:1100::/64 - 2001:1470:ABCD:11ff::/64 B 1 2 - zaposleni 2001:1470:ABCD:1200::/64 - 2001:1470:ABCD:12ff::/64 C 2 5 - strežniki 2001:1470:ABCD:2500::/64 - 2001:1470:ABCD:25ff::/64 D 2 2 - zaposleni 2001:1470:ABCD:2200::/64 - 2001:1470:ABCD:22ff::/64 E 3 1 - učenci 2001:1470:ABCD:3100::/64 - 2001:1470:ABCD:31ff::/64 F 3 E - gostje 2001:1470:ABCD:3e00::/64 - 2001:1470:ABCD:3eff::/64 G F F - VPN 2001:1470:ABCD:ff00::/64 - 2001:1470:ABCD:ffff::/64 Kako na IPv6?/Pri čem pomaga Arnes? 49
Delitev naslovnega prostora: glede na uporabnike/varnostno politiko skupna pravila za pot do ARNES 2001:1470:ABCD:2000::/52 2001:1470:ABCD:1100::/56 organizacija pot do 2001:1470:ABCD:2100::/56 zunanje lokacija 1 lokacija 2 lokacija 3 lokacije omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G u"enci zaposleni stre!niki zaposleni u"enci gostje VPN 32 48 52 56 | | | | 2001:1470:ABCD: S L NN ::/64 Omrežje Skupina Lokacija IPv6-naslovi A 1 - učenci 1 2001:1470:ABCD:1100::/64 - 2001:1470:ABCD:11ff::/64 E 1 - učenci 3 2001:1470:ABCD:1300::/64 - 2001:1470:ABCD:13ff::/64 B 2 - zaposleni 1 2001:1470:ABCD:2100::/64 - 2001:1470:ABCD:21ff::/64 D 2 - zaposleni 2 2001:1470:ABCD:2200::/64 - 2001:1470:ABCD:22ff::/64 C 5 - strežniki 2 2001:1470:ABCD:5200::/64 - 2001:1470:ABCD:52ff::/64 F E - gostje 3 2001:1470:ABCD:e300::/64 - 2001:1470:ABCD:e3ff::/64 G F - VPN F 2001:1470:ABCD:ff00::/64 - 2001:1470:ABCD:ffff::/64 Kako na IPv6?/Pri čem pomaga Arnes? 50
Delitev naslovnega prostora: ocena velikosti, preglednost, način zapisa • delitev na n × 4 bite • pregledne oznake • 16, 256, 4096, 65536 • decimalno ali šestnajstiško 32 48 | | 2001:1470:ABCD:NNNN ::/64 32 48 52 | | | 2001:1470:ABCD: SNN N ::/64 32 48 56 | | | 2001:1470:ABCD: S S N N ::/64 32 48 60 | | | 2001:1470:ABCD: S S S N ::/64 Kako na IPv6?/Pri čem pomaga Arnes? 51
Delitev naslovnega prostora: ocena velikosti, preglednost, način zapisa • delitev na n × 4 32 48 52 56 | | | | 2001:1470:ABCD: S L N N ::/64 bite 32 48 56 60 • 16, 256, 4096 | | | | 2001:1470:ABCD: S S L N ::/64 • pregledne oznake 32 48 52 | | | 2001:1470:ABCD: SNN N ::/64 • decimalno ali 32 | 48 | 56 | šestnajstiško 2001:1470:ABCD: S S N N ::/64 32 48 60 | | | 2001:1470:ABCD: S S S N ::/64 Kako na IPv6?/Pri čem pomaga Arnes? 52
Naslavljanje lokalnih sistemov • statični - “ročno” nastavljeni naslovi • samodejna konfiguracija - SLAAC • sledljivost vs zasebnost • DHCP Kako na IPv6?/Pri čem pomaga Arnes? 53 Priporočamo DHCP: nadzor (dnevniški zapisi), samodejni vpisi v DNS, možnost zagotavljanja zasebnosti. Problem: nekateri OS nimajo odjemalca za DHCP, npr. “fancy” Mac OS X 10.6.
Komunikacijska oprema • Cisco • 1700 ✗ • 1841 ✓ potrebna je nadgradnja IOS • 1941 ✓ • 892 ✓ • 3560/3750 ✓ IOS vsaj 12.2(53) • priporočila RIPE http://www.ripe.net/ripe/docs/ripe-501 Kako na IPv6?/Pri čem pomaga Arnes? 54
Operacijski sistemi • Microsoft • XP ✗ • Vista ✓ • Windows 7 ✓ • Windows Server 2008 ✓ • Windows Server 2008 R2 ✓ • Linux ✓ • BSD ✓ • Mac OS X ✓ Kako na IPv6?/Pri čem pomaga Arnes? 55
In kaj še lahko stori Arnes? Kako na IPv6? 56
Preizkušamo recepte • publikacija • delavnice Kako na IPv6?/Pri čem pomaga Arnes? 57 Publikacija/zloženka s konkretnimi praktičnimi nasveti/predlogi za šolsko sfero. Strokovne delavnice. Bolj tehnično. Jesen 2011. Kasneje nadaljevalne delavnice - mobilnost, varnost, tranzicijski mehanizmi, (? nove storitve) ...
ipv6-podpora@arnes.si matjaz6 Admin Kako na IPv6?/Pri čem pomaga Arnes? 58 Poleg stalnega izobraževanja v rednem delovnem procesu. Motivirana ekipa!
Kaj naredi organizacija sama? • strokovnjak, ki bo vodil uvajanje IPv6 foto: http://enjoyingsimplemoments.tumblr.com/ Kako na IPv6? 59 Hm... RIPE NCC pravi: “Don't appoint an IPv6 specialist - do you have an IPv4 specialist?”, češ da “IPv6 ni produkt - produkt je Internet”. OK, vendar v priporočilu ne govorimo o strokovnjaku za IPv6, temveč o človeku, obstoječem strokovnjaku v organizaciji, ki se bo zavzel za uvajanje IPv6 na vseh področjih, se ustrezno izobrazil, pridobil kompetence (znanje, veščine, izkušnje) ter ustrezne pristojnosti za uspešno uvedbo IPv6 v omrežje in vse storitve.
Kaj naredi organizacija sama? • pregled • planiranje • oprema • dobavitelji • serviserji • svetovalci • postopno uvajanje foto: http://enjoyingsimplemoments.tumblr.com/ Kako na IPv6? 60 * Pregled strojne in programske opreme, ki se trenutno uporablja *-Planiranje *-Sprememba v postopkih nabave opreme (zahtevana podpora za IPv6) *-Usposobljeni serviserji in svetovalci *-Postopno uvajanje +ne ločite “IPv6 storitev” od IPv4 (storitev je ena sama!) +korak za korakom - ne posodabljajte več storitev hkrati +ostanite prepoznavni (najprej WWW, DNS, ...) --> o tem več Klemen Sledi: ne pozabite na varnost in sobivanje obeh protokolov.
Varnost • skriti tuneli • Teredo • javni naslovi vir: United States Geological Survey • pasti v lokalnem omrežju • naslov je zaseden, lažni usmerjevalnik, lažni DHCP strežnik, zapolnitev tabele sosedov, lažno predstavljanje, ... http://www.thc.org/ Kako na IPv6? 61 Teredo je aktiven na win7/vista sistemih. Uporablja UDP in zgradi tunel skozi požarno pregrado, če na njej ni ustrezne blokade. IPv4 omrežje je zavarovano s požarno pregrado, vendar dostopno (popolnoma odprto) preko IPv6 skozi Teredo-tunel. *--> Izklopite tunelske vmesnike na win sistemih oz., še bolje, poskrbite za ustrezne filtre na požarnih pregradah. “Problem” javnega naslove. Prej skriti za NAT-om, zdaj z javnim naslovom. V resnici to ni hud problem, če smo že prej skrbeli za varnost na primeren način (NAT ni varnostni mehanizem!). *Praktično za vsak mehanizem NDP je znan napad. Na The Hacker’s Choice so prosto dostopna Linux orodja za izvajanje napadov v lokalnem omrežju.
Sobivanje Kako na IPv6? CC Old Sarge/flickr 62 IPv4 bo prisoten še mnogo let. Točneje - 42 let = dokončen odgovor na dokončno vprašanje o življenju, vesolju in sploh vsem ;-) Vendar - pripravljajmo se na popolno izključitev IPv4.
Kaj naredi organizacija sama? • izobraževanje • izobraževanje • izobraževanje • izobraževanje • izobraževanje • izobraževanje Kako na IPv6? 63
Kaj bo naš prvi korak? Kako na IPv6?/Nagradno vprašanje 64 Nagrada za konkreten in jedrnat odgovor s pozitivnim sporočilom.
Vzemite s seboj • IPv6 naj omogoča kvalitetne storitve • hierarhična delitev omrežja • ICMP je zelo pomemben • izberite primerno opremo • ne pozabite na varnost • izobraževanje • začnite že danes! Kako na IPv6? 65
Izziv • določite svojega strokovnjaka za uvajanje IPv6 • pridobite IPv6- naslovni prostor 66 Sprejmite ta izziv - rok. 8.6.2011 (svetovni IPv6-dan). Postanite vidni/prepoznavni preko IPv6!
Hvala za pozornost! http://dan.ipv6.si/ ipv6-podpora@arnes.si razprava@ipv6.si Matjaž Straus Istenič, Arnes matjaz.straus@arnes.si 67
68

Recommended

v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)
v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)
v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)matjazsi
 
Matjaž Straus istenič - Tiha voda v6
Matjaž Straus istenič - Tiha voda v6Matjaž Straus istenič - Tiha voda v6
Matjaž Straus istenič - Tiha voda v6matjazsi
 
Improvise
ImproviseImprovise
ImproviseRicardo Dias
 
MULHER@AVI2012
MULHER@AVI2012MULHER@AVI2012
MULHER@AVI2012Ricardo Dias
 
Prezentacja
Prezentacja Prezentacja
Prezentacja ZS Zabrzeg
 
weeks - kopia
weeks - kopiaweeks - kopia
weeks - kopiaZS Zabrzeg
 
Encontra presentation
Encontra presentationEncontra presentation
Encontra presentationRicardo Dias
 
Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika
Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnikaVitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika
Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnikamatjazsi
 

Recommended

v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)
v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)
v6_whats-happening (presentation at GEANT APM meeting, 2011, Ljubljana)matjazsi
 
Matjaž Straus istenič - Tiha voda v6
Matjaž Straus istenič - Tiha voda v6Matjaž Straus istenič - Tiha voda v6
Matjaž Straus istenič - Tiha voda v6matjazsi
 
Improvise
ImproviseImprovise
ImproviseRicardo Dias
 
MULHER@AVI2012
MULHER@AVI2012MULHER@AVI2012
MULHER@AVI2012Ricardo Dias
 
Prezentacja
Prezentacja Prezentacja
Prezentacja ZS Zabrzeg
 
weeks - kopia
weeks - kopiaweeks - kopia
weeks - kopiaZS Zabrzeg
 
Encontra presentation
Encontra presentationEncontra presentation
Encontra presentationRicardo Dias
 
Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika
Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnikaVitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika
Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnikamatjazsi
 
Improving Music Recommendation in Session-Based Collaborative Filtering by us...
Improving Music Recommendation in Session-Based Collaborative Filtering by us...Improving Music Recommendation in Session-Based Collaborative Filtering by us...
Improving Music Recommendation in Session-Based Collaborative Filtering by us...Ricardo Dias
 
SIX and some best practices for running an IXP
SIX and some best practices for running an IXPSIX and some best practices for running an IXP
SIX and some best practices for running an IXPmatjazsi
 
Gremo6, Workshop at 8th Slovenian IPv6 Summit
Gremo6, Workshop at 8th Slovenian IPv6 SummitGremo6, Workshop at 8th Slovenian IPv6 Summit
Gremo6, Workshop at 8th Slovenian IPv6 Summitmatjazsi
 
Starting and running an IXP
Starting and running an IXPStarting and running an IXP
Starting and running an IXPmatjazsi
 
BACH
BACHBACH
BACHRicardo Dias
 
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCSuk121chris
 
Vitel, 21. delavnica: Smo pripravljeni na IPv6
Vitel, 21. delavnica: Smo pripravljeni na IPv6Vitel, 21. delavnica: Smo pripravljeni na IPv6
Vitel, 21. delavnica: Smo pripravljeni na IPv6matjazsi
 
NAT64 v poslovnem okolju
NAT64 v poslovnem okoljuNAT64 v poslovnem okolju
NAT64 v poslovnem okoljumatjazsi
 
Les Couleurs
Les CouleursLes Couleurs
Les CouleursBarış Altınöz
 
The basics - what can be achieved with complete customisation
The basics - what can be achieved with complete customisationThe basics - what can be achieved with complete customisation
The basics - what can be achieved with complete customisationTheSchoolPlannerCompany
 
OpenStack Opportunity - Citrix
OpenStack Opportunity - CitrixOpenStack Opportunity - Citrix
OpenStack Opportunity - CitrixOpen Stack
 
Journal Seminar1
Journal Seminar1Journal Seminar1
Journal Seminar1Дементий Белый
 
Jeimy32
Jeimy32Jeimy32
Jeimy32jeimycruz
 
活动营销
活动营销活动营销
活动营销tudoucatch
 
Todd felts assignment 2
Todd felts assignment 2Todd felts assignment 2
Todd felts assignment 2Todd Felts
 
Mag lev
Mag levMag lev
Mag levGrover Cleveland Middle School
 
員工體驗Pp0321 0424
員工體驗Pp0321 0424員工體驗Pp0321 0424
員工體驗Pp0321 0424Yatin Hu
 
Lab Connect Overview.2011 03 29
Lab Connect Overview.2011 03 29Lab Connect Overview.2011 03 29
Lab Connect Overview.2011 03 29Jeff Mayhew
 

More Related Content

Viewers also liked

Improving Music Recommendation in Session-Based Collaborative Filtering by us...
Improving Music Recommendation in Session-Based Collaborative Filtering by us...Improving Music Recommendation in Session-Based Collaborative Filtering by us...
Improving Music Recommendation in Session-Based Collaborative Filtering by us...Ricardo Dias
 
SIX and some best practices for running an IXP
SIX and some best practices for running an IXPSIX and some best practices for running an IXP
SIX and some best practices for running an IXPmatjazsi
 
Gremo6, Workshop at 8th Slovenian IPv6 Summit
Gremo6, Workshop at 8th Slovenian IPv6 SummitGremo6, Workshop at 8th Slovenian IPv6 Summit
Gremo6, Workshop at 8th Slovenian IPv6 Summitmatjazsi
 
Starting and running an IXP
Starting and running an IXPStarting and running an IXP
Starting and running an IXPmatjazsi
 
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCSuk121chris
 
Vitel, 21. delavnica: Smo pripravljeni na IPv6
Vitel, 21. delavnica: Smo pripravljeni na IPv6Vitel, 21. delavnica: Smo pripravljeni na IPv6
Vitel, 21. delavnica: Smo pripravljeni na IPv6matjazsi
 
NAT64 v poslovnem okolju
NAT64 v poslovnem okoljuNAT64 v poslovnem okolju
NAT64 v poslovnem okoljumatjazsi
 
The basics - what can be achieved with complete customisation
The basics - what can be achieved with complete customisationThe basics - what can be achieved with complete customisation
The basics - what can be achieved with complete customisationTheSchoolPlannerCompany
 
OpenStack Opportunity - Citrix
OpenStack Opportunity - CitrixOpenStack Opportunity - Citrix
OpenStack Opportunity - CitrixOpen Stack
 
Todd felts assignment 2
Todd felts assignment 2Todd felts assignment 2
Todd felts assignment 2Todd Felts
 
員工體驗Pp0321 0424
員工體驗Pp0321 0424員工體驗Pp0321 0424
員工體驗Pp0321 0424Yatin Hu
 
Lab Connect Overview.2011 03 29
Lab Connect Overview.2011 03 29Lab Connect Overview.2011 03 29
Lab Connect Overview.2011 03 29Jeff Mayhew
 

Viewers also liked (18)

Improving Music Recommendation in Session-Based Collaborative Filtering by us...
Improving Music Recommendation in Session-Based Collaborative Filtering by us...Improving Music Recommendation in Session-Based Collaborative Filtering by us...
Improving Music Recommendation in Session-Based Collaborative Filtering by us...
 
SIX and some best practices for running an IXP
SIX and some best practices for running an IXPSIX and some best practices for running an IXP
SIX and some best practices for running an IXP
 
Gremo6, Workshop at 8th Slovenian IPv6 Summit
Gremo6, Workshop at 8th Slovenian IPv6 SummitGremo6, Workshop at 8th Slovenian IPv6 Summit
Gremo6, Workshop at 8th Slovenian IPv6 Summit
 
Starting and running an IXP
Starting and running an IXPStarting and running an IXP
Starting and running an IXP
 
BACH
BACHBACH
BACH
 
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
Trauma Image Interpretation of the Pelvis and Hip Radiographs: Using ABCS
 
Vitel, 21. delavnica: Smo pripravljeni na IPv6
Vitel, 21. delavnica: Smo pripravljeni na IPv6Vitel, 21. delavnica: Smo pripravljeni na IPv6
Vitel, 21. delavnica: Smo pripravljeni na IPv6
 
NAT64 v poslovnem okolju
NAT64 v poslovnem okoljuNAT64 v poslovnem okolju
NAT64 v poslovnem okolju
 
Les Couleurs
Les CouleursLes Couleurs
Les Couleurs
 
The basics - what can be achieved with complete customisation
The basics - what can be achieved with complete customisationThe basics - what can be achieved with complete customisation
The basics - what can be achieved with complete customisation
 
OpenStack Opportunity - Citrix
OpenStack Opportunity - CitrixOpenStack Opportunity - Citrix
OpenStack Opportunity - Citrix
 
Journal Seminar1
Journal Seminar1Journal Seminar1
Journal Seminar1
 
Jeimy32
Jeimy32Jeimy32
Jeimy32
 
活动营销
活动营销活动营销
活动营销
 
Todd felts assignment 2
Todd felts assignment 2Todd felts assignment 2
Todd felts assignment 2
 
Mag lev
Mag levMag lev
Mag lev
 
員工體驗Pp0321 0424
員工體驗Pp0321 0424員工體驗Pp0321 0424
員工體驗Pp0321 0424
 
Lab Connect Overview.2011 03 29
Lab Connect Overview.2011 03 29Lab Connect Overview.2011 03 29
Lab Connect Overview.2011 03 29
 

Matjaž Straus Istenič: 1, 2, 3, 4 - na IPv6, SIRIKT 2011

  • 1. predlaga ali to še ni arnes dodeli jasno? uvod - zakaj arnes no, morda je ipv6? treba reči tipi naslovov - besedo ali modeli delitve glede na namen uporabe dve ;-) o 4 in 6 icmp kako pa smo pomembno! šli na v4? 1, 2, 3 - naslovni je sedaj kaj šli smo na ajpi! prostor drugače? ip-naslov no ja, ... 4, 5, 6, 96 more bits zdaj pa na samo - no magic :-) vešest! ključne lasten ipv6 guru, razlike ethernet ndp kako na izobraževanje, izobraževanje, ... v6? izobražuje tudi arnes header - arnes - preprosteje pazi na opremo! dostop učinkoviteje ! ripe 501 delitev sobivanje naslovnega nasveti za postopno prostora pregled stanja, posodabljanje zaključek vplivi uvedbe ipv6-podpora@arnes.si v6 domača nagradno svetuje arnes varnost naloga! vprašanje urejenost hierarhija 1 Učna ura ;-) 45 minut za v6.
  • 2. Konferenca Arnes 2011 13. april 2011, Kranjska Gora 1, 2, 3, 4 – na IPv6! Matjaž Straus Istenič, Arnes Istenič, Arnes Matjaž Straus matjaz.straus@arnes.si matjaz.straus@arnes.si 2
  • 3. Zakaj IPv6? foto: http://enjoyingsimplemoments.tumblr.com/ 3 Korak naprej, nove storitve o katerih se nam še ne sanja, razvoj novega interneta ... Smo kot deklica na fotografiji, pred katero je prihodnost, ocean novega (pesniško ;-))! Hej, Internetu vendar vračamo end-to-end povezljivost! (popravni izpit) ** Vendar -- nujno je! IPv4 “no more” (3.2.2011 je IANA podelila zadnjih 5 /8).
  • 4. Zbogom in hvala za vse ribe! http://www.potaroo.net/tools/ipv4/fig30d.png Zakaj IPv6? 4
  • 5. Zadnji ostanki IPv4-naslovov 260.000 528.000 125.000 261.000 258.000 število prostih /24, stanje 5.4.2011 zemljevid: http://en.wikipedia.org/wiki/Regional_Internet_registry podatki: http://ipv6.he.net/ Zakaj IPv6? 5
  • 6. Zadnji ostanki IPv4-naslovov 11 2-3 130 15 9 število prebivalcev na prost naslov zemljevid: http://en.wikipedia.org/wiki/Regional_Internet_registry podatki: http://www.nationsonline.org/oneworld/ Zakaj IPv6? 6
  • 7. 21.12.2012 CC 3759: Mayan Calendar/flickr 7 Trditev šaljivca, da so konec IPv4 interneta napovedali že Maji v svojem koledarju. Nekaj podobnega smo že doživeli in sicer ...
  • 8. 1.1.2000 8 Se še spomnimo “millennium” hrošča (hrošča tisočletja)? Kaj se je zgodilo 1.1.2000, ob 0.00? Nič pretresljivega ;-). In tudi z IPv4 se ne bo zgodilo nič pretresljivega. Ne rešujemo se pred kataklizmo! Zakaj potem IPv6? Od kod ta nuja po novem protokolu? Preprosto ...
  • 9. Zakaj torej IPv6? 9 Preprost odgovor: da gremo lahko naprej! In mi gremo naprej v dveh dejanjih ...
  • 10. Na IPv6 v dveh dejanjih • O 4 in 6 • Kako na 6? foto: http://enjoyingsimplemoments.tumblr.com/ 10 * osnovne razlike med protokoloma - tiste najpomembnejše pri prvih korakih v procesu uvajanja * nekaj napotkov, priporočil za uspešen prehod - posodobitev omrežja in storitev (več o storitvah: Klemen)
  • 11. O 4 in 6 • IP-naslov • zapis • delitev naslovnega prostora • Naslov za določen namen • Kontrolna sporočila ICMP • IP v omrežju “ethernet” 11 Kaj je ICMP? Protokol za kontrolna sporočila v internetu. * Omeni nagrado na koncu tega sklopa! Dve knjigi IPv6 Essentials, 2nd Edition, avtorica Silvia Hagen, O'Reilly. Starejša, vendar zelo kvalitetna, velikokrat citirana knjiga. Strukturirano obravnava vsa pomembna poglavja. Lep in jasen jezik (se vidi, da je pisala ženska :-)). * Zakaj bo podeljena? - kratek, jasen, točen odgovor s pozitivnim sporočilom. Prvo vprašanje bo bolj tehnično, drugo pa iz področja vodenja, sprejemanja odločitev.
  • 12. IP-glava IPv4 IPv6 spremenljiva dolžina 20 Bytov + opcije stalna dolžina 40 Bytov odvečna polja, npr. kontrolna vsota manj polj, novo: flow-label ni razširitev, takoj sledi TCP/UDP ... razširitvena zaglavja O 4 in 6 12 IP-paketi imajo “glavo” z vsemi potrebnimi podatki za komunikacijo preko IP-omrežja. Tako za v4 kot za 6. * Bistveno: stalna dolžina, preprosta in zadostna struktura + možnost razširitev. * Opis: Version (4 biti): 6 (4 za IPv4) *Traffic class (8 bitov): določa prioriteto paketom (QoS) *Flow label (20 bitov): identificira tok podatkov, ki se enako obravnavajo, npr. za aplikacije v realnem času. Praktično se še ne uporablja. *Payload length(16 bitov): velikost vsebine paketa v bytih. *Next header (8 bitov): določa protokol naslednje ovojnice. Posebna oznaka v zadnjem zaglavju *Hop limit (8 bitov): Kot TTL v IPv4.
  • 13. IP-naslov IPv4 IPv6 32 bitov 128 bitov povezave točka-točka /30, /31 vsaka povezava /64 lokalna omrežja /23, /24, ..., /28 vsako lokalno omrežje /64 številke oznake organizacija /21, ..., n × /24, /25 organizacija (od vrtca do fakultete) /48 ponudnik n × /16, /17, /18, /19 ponudnik /32 O 4 in 6 13 Najpomembnejši podatek v “glavi” IP-paketa - IP naslov cilja/izvora. 128 bitov vs 32. Q: 4 x več naslovov? ;-) Poudari poenostavitve na vseh segmentih omrežja. Zakaj lahko poenostavimo? Ker imamo _toliko_ naslovnega prostora, da varčevanje ni smiselno. Na IP-naslov gledamo kot na oznako (ID) in ne več kot na zaporedno hišno številko. Številčenje - označevanje.
  • 14. IPv6 naslov: iz binarnega v šestnajstiški zapis 00100000.00000001.00010100.01110000. 00000001.00100011.00000000.00001111. 00000000.00000000.00000000.00000000. 00000000.00000000.00000000.00000110 2001 :1470 2001:1470:0123:000f:0000:0000:0000:0006 O 4 in 6 14 4 biti -> 1 znak, 16 bitov -> en blok, ločilo :
  • 15. IPv6 naslov: preglednejši zapis 2001:1470:0123:000f:0000:0000:0000:0006 2001:1470:123:f: 0:0:0:6 2001:1470:0123:000f:0000:0000:0000:0006 O 4 in 6 15
  • 16. Ogromen naslovni prostor • 128 bitov ≡ 3 × 10 IPv6-naslovov 38 • en IPv6-naslov ≡ ena molekula v oblaku • ves naslovni prostor ≡ zelo velik nevihtni oblak foto: Kenneth Dwain Harrelson, http://en.wikipedia.org/wiki/Cloud O 4 in 6 16
  • 17. Ogromen naslovni prostor v oblakih • molekularna masa zraka: M = 29 g/mol • razlika v tlaku: ∆p razlika v tlaku ∆p (× 104 Pa) površina S (km2) • površina oblaka: S majhen oblaček 1 1 • masa oblaka: m velik nevihtni 7 50 × 50 • Avogadrovo število: A = 6 × 1023/mol oblak • gravitacijski pospešek: g ≈ 10 m/s2 • število molekul n: med 1034 (majhen kumulus) in 1038 (velik cumulonimbus) • število IPv6-naslovov: 2128 ≈ 3.4 × 1038 Ogromen naslovni prostor vir: http://atisi.wordpress.com/2011/04/01/counting-v6-addresses/ 17
  • 18. Ogromen naslovni prostor • 2 IPv6-omrežij /64 : 2 IPv4-omrežij /24 64 24 • ves IPv4-internet ≡ eno zrno • ves IPv6-internet ≡ 40,000 ton pšenice O 4 in 6 18
  • 19. Ogromen naslovni prostor v pšenici • IPv6-podomrežij /64 je 264 • IPv4-podomrežij /24 je 224 • razmerje “IPv6 : IPv4” je 240 • 240 ≈ 1012 = 1 milijon × 1 milijon • 1 zrno 40 mg • 240 zrn 40.000 ton Ogromen naslovni prostor 19
  • 20. Zagotovljen globalno dosegljiv IP-naslov - nova storitev? 20 Primer “gasilca Jožeta”. Senzorji. Mobilnost, neposredna dosegljivost kjerkoli si.
  • 21. Globalna delitev naslovnega prostora /3 IANA /12 RIPE /32 Arnes n × /48 /48 /48 Uporabnik alokacija dodeli ponudnik (LIR) neodvisno od ponudnika vir: RIPE NCC, IPv6 for LIRs tutorial 21
  • 22. Delitev naslovnega prostora : primer - Arnesov naslovni prostor • IPv4 153.5.0.0/16 193.2.0.0/16 193.138.1.0/24 194.249.0.0/16 212.235.128.0/17 88.200.0.0/17 92.244.64.0/19 95.87.128.0/18 109.127.192.0/18 178.172.0.0/17 • IPv6 2001:1470::/32 O 4 in 6 22
  • 23. Delitev IPv4-naslovnega prostora organizacije konference gostje (brezžično omrežje) A.B.1.0/24 A.B.254.0/24 C.D.E.80/28 F.G.252.0/23 A.B.1.0/25 A.B.1.128/25 F.G.252.0/24 F.G.253.0/24 A.B.1.0/26 A.B.1.64/26 gostujoči strežniki zaposleni A.B.1.0/27 A.B.1.32/27 javni strežniki študentje A.B.1.32/28 A.B.1.48/28 interni strežniki, tiskalniki ... javni strežniki v tujem upravljanju O 4 in 6 23
  • 24. Delitev IPv6-naslovnega prostora organizacije X = 2001:1470:ABCD X::/48 16 lokacij X:0000::/52 X:1000::/52 X:2000::/52 ... X:d000::/52 X:e000::/52 X:f000::/52 varnostna X:0000::/54 X:0400::/54 X:0800::/54 X:0c00::/54 politika 16 področij X:0800::/56 X:0900::/56 X:0a00::/56 X:0b00::/56 na lokacijo X:0a00::/64 X:0a01::/64 X:0a02::/64 X:0a03::/64 ... X:0afc::/64 X:0afd::/64 X:0afe::/64 X:0aff::/64 2001:1470:ABCD:afc::/64 O 4 in 6 24
  • 25. Naslov za določen namen • iz naslova je razvidno, za kaj se uporablja • komunikacija v lokalnem omrežju • globalna komunikacija • komunikacija v skupini • komunikacija le z nekaterimi v skupini O 4 in 6 25
  • 26. Tipi IPv6-naslova • kako • med dvema - unicast • z mnogimi - multicast • z najbližjim - anycast • × • nič več “z vsemi” - broadcast kje • lokalno na povezavi - link-local • lokalno na lokaciji - unique local • globalno, javno O 4 in 6/Naslov za določen namen 26 Dva kriterija: “kako” in “kje”. Zakaj ni več potrebno “trobljenje” (broadcast/razpršeno oddajanje)? Sporočila pošiljamo le tistim, ki se za njih “zanimajo”, oz. so ta sporočila za njih pomembna, ne pa vsem --> multicast (oglaševanje znotraj skupine).
  • 27. Tipi IPv6-naslova Naslov Obseg naslovov Kje se uporablja? 127.0.0.1 loopback ::1 10.0.0.0/8 na sistemu samem 192.168.0.0/16 lokalen (link-local) fe80::/10 na povezavi lokalen (unique local) fc00::/7 na lokaciji/organizaciji 224.0.0.0/4 javen globalen naslov 2000::/3 globalno naslov skupine (multicast) ff00::/8 lokalno ali globalno O 4 in 6/Naslov za določen namen 27 “Global Unicast” ustreza javnemu IPv4 naslovu *“Link local” ustreza privatnim naslovom, ki so vidni le znotraj povezovalnega segmenta. Naslovi “Unique Local Address” se lahko usmerjajo znotraj neke skupine omrežij. Naslovi imajo v omrežnem delu naključno 40-bitno število s čimer se zmanjša nevarnost združevanja skupin ali problemov v primeru, da paketi po pomoti “zaidejo” v internet. Lokalna uporaba vendar možnost usmerjanja - globalen “scope”.
  • 28. Vmesnik ima več naslovov • 5 obveznih naslovov • na vsakem vmesniku lokalen naslov na povezavi # ip -6 addr show dev eth1 (link-local) 3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 10 • inet6 2001:1470:8000:60a:0:1:fee1:600d/64 scope global katerikoli dodeljen unicast valid_lft forever preferred_lft forever inet6 fe80::216:35ff:fe82:45a2/64 scope link ali anycast naslov valid_lft forever preferred_lft forever • naslov skupine “vsi # ip -6 maddr 3: eth1 show dev eth1 sistemi” (all-nodes multicast) inet6 ff02::1:ffe1:600d • inet6 ff02::1:ff82:45a2 za vsak unicast in anycast inet6 ff02::1 naslov še pripadajoč pooblaščen naslov (solicited- node multicast) • + naslovi vseh ostalih skupin, v katerih je sistem O 4 in 6/Naslov za določen namen 28 Q: najmanj koliko IPv6-naslovov ima IPv6-sistem? A: (primer na sliki + loopback ::1)
  • 29. Kateri naslov izbrati? • prednostni seznam 1. par naslovov istega tipa glede na lokalnost 2. izbere se bolj lokalen ciljni naslov 3. prednostni naslov (“preffered”) 4. prednost pred tranzicijskimi naslovi (Teredo, 6to4) 5. par naslovov v ožjem skupnem podomrežju 6. kot izvorni naslov ima pred začasnim prednost globalen naslov 7. mobilna naprava: prednost ima domači naslov O 4 in 6 /Naslov za določen namen/Vmesnik ima več naslovov 29 Kaj so to “tranzicijski” naslovi? Kratek opis. Problem varnosti sistema, ki ima samo tranzicijski naslov, npr. Teredo mikrosoftis (P2P aplikacije na windozah: default v6, torej?).
  • 30. Kontrolna sporočila ICMP • zelo pomemben protokol! • sosed, kje si? • sosed, si še “živ”? • ima že kdo enak naslov? • usmerjevalnik, kje si? • jaz sem usmerjevalnik • podatki za samodejno nastavitev • kako velik paket lahko pošljem? O 4 in 6 30 Kaj je to - ICMP? Za kaj vse se uporablja.
  • 31. V lokalnem omrežju × • ARP ✓ • protokol ND • 48 bitov - naslov MAC uporablja se ICMP • samodejne nastavitve (SLAAC) EUI-64 FF FE • podomrežje naslov podomrežje ID vmesnika povzeto po: RIPE NCC, IPv6 for LIRs tutorial • usmerjevalnik (privzeti prehod) • MTU O 4 in 6 31 SLAAC: Mehanizem, ki omogoča, da si IPv6 sistem samodejno ustvari naslov, npr. iz MAC-naslova, ne da bi za to potreboval zunanji DHCP strežnik. *Global Unicast naslov sistema je sestavljen iz naslova podomrežja, ki ga posreduje usmerjevalnik z RA (Router Announcement) in identifikacijske številke vmesnika EUI-64, ki se določi iz naslova MAC. * ID vmesnika: 1) med 4 in 5 byte MAC naslova se vrine FFFE. 2) en bitek se zamenja, običajno iz 0 v 1. NDP ICMP sporočila: * Router Solicitation (RS) / Router Advertisement (RA) * Neighbor Solicitation/ Neighbor Advertisement * ICMP Redirect
  • 32. Zakaj je ICMPv6 tako zelo pomemben? O 4 in 6/Nagradno vprašanje 32 Nagrada: knjiga IPv6 Essentials. Konkreten odgovor z navedbo dveh pomebnih vlog ICMP-ja: NDP, path MTU discovery.
  • 33. Demo • prva vrsta: omrežje A • pošiljatelj sem jaz, moj usmerjevalnik je A • nekje vmes: usmerjevalnik B • zadnja vrsta: omrežje C • usmerjevalnik C 3 C prejemnik v zadnji vrsti B 5 A O 4 in 6 33 Link med A in B je za 5, med B in C pa za 3 dcl. Povej, da usmerjevalniki ne delijo paketov. Za “usmerjevalnike” izberi poslušalce na prehodu, da bodo lahko “prenašali” pakete ;-)
  • 34. Demo 14. Sprejemam in sestavljam 12. Tu sem! 13. Tu imaš pakete, dva si? ... 11. Naslovnik, kje kosa skupaj ... 6. Paket je prevelik, pošlješ 10. Posredujem C-ju. lahko največ 3 dcl. C 3 2. Tu sem. Pošiljam B 9. Posredujem B-ju. ... 5. OK, pošiljam B-ju podatke za nastavitev ... 5 A 7.4.3.imaš pakete, dva naslov. No1. Kje - paket si v dveh Nastavil moj prav je sem 5 kosa 8. Tu Pošiljam pošiljam dcl ... ... kosih, 3 kdoin 2 dcl ... Ima še dcl tak naslov? usmerjevalnik? O 4 in 6 34 Router sol. *RA/SLAAC *DAD -> *MTU discovery/adjust *Pošiljatelj fragmentira -> Neighbor sol. - *Prejemnik sestavi. 14 korakov - od tega 6 ICMP sporočil.
  • 35. Koliko ICMP sporočil je bilo poslanih med demonstracijo? O 4 in 6/Nagradno vprašanje 35
  • 36. Kaj bi se zgodilo, če bi usmerjevalnik A blokiral vsa ICMP-sporočila iz interneta? O 4 in 6/Nagradno vprašanje 36
  • 37. Kako na 6? • kako pa smo uvedli IPv4? • 6 korakov do v6 • pri čem pomaga Arnes? • kaj naredi organizacija sama? • nekaj nasvetov za dober začetek 37 Kaj nas sploh čaka? 6 korakov v dveh sklopih: Arnes, org.sama. Nekaj napotkov za “domov” in izziv za prvi korak.
  • 38. 1, 2, 3 - gremo na “aj-pi” CC www.goldbeere.de/flickr Kako na IPv6? 38 Predstavljajte si, da ste na začetku -- zgolj ethernet, brez IP-ja. Danes same-po-sebi umevne storitve na IPv4 --> v6. Storitev ne smemo ločevati na podlagi “transportnega” (prenosnega?) protokola. Enak obseg dela (?). No ..., čakate na recept?
  • 39. 4, 5, 6 - zdaj pa na “ve šest” • veščine IPv4 se dobro prenesejo v IPv6 • no, kakšno je bolje opustiti ;-) • podoben koncept • le več naslovov • ponekod drugačen pristop • problemi so bolj psihološki kot tehnični foto: http://veganskigurman.wordpress.com/ Kako na IPv6? 39 Ni potrebno narediti vsega znova! Analogija z učenjem tujega jezika. Nekdo, ki ne zna nobenega tujega jezika in nekdo, ki zna nek tuj jezik, ni pomembno kateri (hindustanščina :-)). Kdo se bo lažje naučil novega jezika?
  • 40. Recept za ta novo pogačo Sestavine: * za en sleš 48 adres v6 * pripoj (ta narboljši) * lonček stroke (ostale začimbe kot za ta staro v4 pogačo) Priprava: * Je treba najprej finu zmešati en mal adres v6 in dobro pripojiti. Zraven pa dodajati stroko po ščepcih. Stroko se mora dodajati počas pa vztrajnu. Pri stroki gospodar se ne sme bit šparoven. * Med tem, ko se to lepu finu meša, je treba pregledati ta star recept za v4 pogačo, da se ni kaj pozabilu. Ta nova pogača se lepo mešati mora s ta staro. Dobro je treba pretuhtati, da ne bi nova jed kej slabga povzročila pr jedcih, k še ta staru jedo. * Peke se lotit moramo prou počas. Najtaprej eno malo pogačo spečemo, pa preverimo, al je tako k mora bit. Pečemo počasi inu dobro sprot preverjamo, da se ne b kej zasmodlu. * Ko je prva ta probna pogača dobr narejena, napečemo še druge, pa mal večje. * Je treba jedcom povedat, da ta nova pogača mal drugač sede v želodec, pa tud drugač na prebavo vpliva. Posebno, če so na ta staro navajen. * Ta novo pogačo lahko lepo vkup ponudimo s ta staro, če smo vse lepo in prou naredili. 40 Izvirni Arnesov recept za IPv6 :-)
  • 41. IPv6 kot sprememba Tehnično Ne Da × IPv6 Vendar ... ✓ Vedno sem bil “za”! Ne! Uspeh! e Uf, a še vedno? Poskusim Gledam druge Vprašam druge Kako na IPv6? 41 Pa saj smo že zdavnej rekl, da je treba to nardit’ ;-)
  • 42. CC askal.bosch/flickr t 42 Problem = čas!
  • 43. 6 korakov do v6 • naslovni prostor in dostop • lasten strokovnjak, odgovoren za uvedbo IPv6 • pregled stanja, raziskava vpliva uvedbe IPv6 • postopno uvajanje • varnost • sobivanje IPv6 z IPv4 Kako na IPv6? 43 6 korakov v dveh sklopih: 1) pri čem pomaga Arnes, 2) kaj naredi organizacija sama. RIPE NCC: Change purchasing procedure (feature parity) * Check your current hardware and software * Plan every step and test * Don’t separate IPv6 features from IPv4 * One service at a time * face first (WWW, auth. DNS, mail) * Prepare to be able to switch off IPv4
  • 44. Pri čem pomaga Arnes? registracija naslovnega prostora delitev naslovnega prostora svetovanje pri izboru opreme vzpostavitev povezave svetovanje pri posodabljanju storitev izobraževanje Kako na IPv6? 44 V nadaljevanju nekaj prvih korakov: *-registracija IPv6 *-delitev naslovnega prostora (modeli) *-kako bomo oštevilčili računalnike, strežnike in drugo opremo v lokalnih omrežjih *-izbor komunikacijske opreme *-izbor primernih operacijskih sistemov
  • 45. Registracija naslovnega prostora https://www.arnes.si/ip-reg/ uporabniško ime za dostop do Arnesove spletne pošte • pooblaščena oseba http://www.arnes.si/fileadmin/ dokumenti/storitve/dostop/ organizacije/ip-reg.pdf Kako na IPv6?/Pri čem pomaga Arnes? 45 Pooblastila --> Iris Govedič Registracija --> Jure Knez
  • 46. Delitev naslovnega prostora: modeli • izhodišče: obstoječa topologija omrežij • brez posebnega načrta • naslovni načrt • primarna delitev • uporabniki, varnostna politika • sekundarna delitev • ocena velikosti, preglednost, način zapisa Kako na IPv6?/Pri čem pomaga Arnes? 46 Brezglavo (zakaj pa ne?) ali sistematično - skladno z nekim naslovnim načrtom: delitev v skupine. Velikost skupine? Zapis/oznake naj bodo pregledne (številčenje4 vs označevanje6).
  • 47. Delitev naslovnega prostora: modeli • izhodišče: obstoječa topologija omrežij • brez posebnega načrta • naslovni načrt • primarna delitev • tip uporabe ali lokacija • sekundarna delitev • ocena velikosti, preglednost, način zapisa Kako na IPv6?/Pri čem pomaga Arnes? 47 Brezglavo (zakaj pa ne?) ali sistematično - skladno z nekim naslovnim načrtom: delitev v skupine. Velikost skupine? Zapis/oznake naj bodo pregledne (številčenje4 vs označevanje6).
  • 48. Delitev naslovnega prostora: brez načrta 2001:1470:ABCD::/48 ARNES organizacija zunanje lokacija 1 lokacija 2 lokacija 3 lokacije omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G u"enci zaposleni stre!niki zaposleni u"enci gostje VPN 32 48 | | 2001:1470:ABCD: NNNN ::/64 Omrežje Lokacija Skupina IPv6-naslovi - po vrsti IPv6-naslovi - “kr neki” A 1 1 - učenci 2001:1470:ABCD:1::/64 2001:1470:ABCD:C::/64 B 1 2 - zaposleni 2001:1470:ABCD:2::/64 2001:1470:ABCD:AD1::/64 C 2 5 - strežniki 2001:1470:ABCD::/64 2001:1470:ABCD::/64 D 2 2 - zaposleni 2001:1470:ABCD:3::/64 2001:1470:ABCD:AD2::/64 E 3 1 - učenci 2001:1470:ABCD:4::/64 2001:1470:ABCD:C2::/64 F 3 E - gostje 2001:1470:ABCD:5::/64 2001:1470:ABCD:BEBA::/64 G F F - VPN 2001:1470:ABCD:6::/64 2001:1470:ABCD:FACA:/64 Kako na IPv6?/Pri čem pomaga Arnes? 48
  • 49. Delitev naslovnega prostora: po lokacijah ARNES pot do organizacija 2001:1470:ABCD:3000::/52 zunanje lokacija 1 lokacija 2 lokacija 3 lokacije omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G u"enci zaposleni stre!niki zaposleni u"enci gostje VPN 32 48 52 56 | | | | 2001:1470:ABCD: L S NN ::/64 Omrežje Lokacija Skupina IPv6-naslovi A 1 1 - učenci 2001:1470:ABCD:1100::/64 - 2001:1470:ABCD:11ff::/64 B 1 2 - zaposleni 2001:1470:ABCD:1200::/64 - 2001:1470:ABCD:12ff::/64 C 2 5 - strežniki 2001:1470:ABCD:2500::/64 - 2001:1470:ABCD:25ff::/64 D 2 2 - zaposleni 2001:1470:ABCD:2200::/64 - 2001:1470:ABCD:22ff::/64 E 3 1 - učenci 2001:1470:ABCD:3100::/64 - 2001:1470:ABCD:31ff::/64 F 3 E - gostje 2001:1470:ABCD:3e00::/64 - 2001:1470:ABCD:3eff::/64 G F F - VPN 2001:1470:ABCD:ff00::/64 - 2001:1470:ABCD:ffff::/64 Kako na IPv6?/Pri čem pomaga Arnes? 49
  • 50. Delitev naslovnega prostora: glede na uporabnike/varnostno politiko skupna pravila za pot do ARNES 2001:1470:ABCD:2000::/52 2001:1470:ABCD:1100::/56 organizacija pot do 2001:1470:ABCD:2100::/56 zunanje lokacija 1 lokacija 2 lokacija 3 lokacije omre!je A omre!je B omre!je C omre!je D omre!je E omre!je F omre!je G u"enci zaposleni stre!niki zaposleni u"enci gostje VPN 32 48 52 56 | | | | 2001:1470:ABCD: S L NN ::/64 Omrežje Skupina Lokacija IPv6-naslovi A 1 - učenci 1 2001:1470:ABCD:1100::/64 - 2001:1470:ABCD:11ff::/64 E 1 - učenci 3 2001:1470:ABCD:1300::/64 - 2001:1470:ABCD:13ff::/64 B 2 - zaposleni 1 2001:1470:ABCD:2100::/64 - 2001:1470:ABCD:21ff::/64 D 2 - zaposleni 2 2001:1470:ABCD:2200::/64 - 2001:1470:ABCD:22ff::/64 C 5 - strežniki 2 2001:1470:ABCD:5200::/64 - 2001:1470:ABCD:52ff::/64 F E - gostje 3 2001:1470:ABCD:e300::/64 - 2001:1470:ABCD:e3ff::/64 G F - VPN F 2001:1470:ABCD:ff00::/64 - 2001:1470:ABCD:ffff::/64 Kako na IPv6?/Pri čem pomaga Arnes? 50
  • 51. Delitev naslovnega prostora: ocena velikosti, preglednost, način zapisa • delitev na n × 4 bite • pregledne oznake • 16, 256, 4096, 65536 • decimalno ali šestnajstiško 32 48 | | 2001:1470:ABCD:NNNN ::/64 32 48 52 | | | 2001:1470:ABCD: SNN N ::/64 32 48 56 | | | 2001:1470:ABCD: S S N N ::/64 32 48 60 | | | 2001:1470:ABCD: S S S N ::/64 Kako na IPv6?/Pri čem pomaga Arnes? 51
  • 52. Delitev naslovnega prostora: ocena velikosti, preglednost, način zapisa • delitev na n × 4 32 48 52 56 | | | | 2001:1470:ABCD: S L N N ::/64 bite 32 48 56 60 • 16, 256, 4096 | | | | 2001:1470:ABCD: S S L N ::/64 • pregledne oznake 32 48 52 | | | 2001:1470:ABCD: SNN N ::/64 • decimalno ali 32 | 48 | 56 | šestnajstiško 2001:1470:ABCD: S S N N ::/64 32 48 60 | | | 2001:1470:ABCD: S S S N ::/64 Kako na IPv6?/Pri čem pomaga Arnes? 52
  • 53. Naslavljanje lokalnih sistemov • statični - “ročno” nastavljeni naslovi • samodejna konfiguracija - SLAAC • sledljivost vs zasebnost • DHCP Kako na IPv6?/Pri čem pomaga Arnes? 53 Priporočamo DHCP: nadzor (dnevniški zapisi), samodejni vpisi v DNS, možnost zagotavljanja zasebnosti. Problem: nekateri OS nimajo odjemalca za DHCP, npr. “fancy” Mac OS X 10.6.
  • 54. Komunikacijska oprema • Cisco • 1700 ✗ • 1841 ✓ potrebna je nadgradnja IOS • 1941 ✓ • 892 ✓ • 3560/3750 ✓ IOS vsaj 12.2(53) • priporočila RIPE http://www.ripe.net/ripe/docs/ripe-501 Kako na IPv6?/Pri čem pomaga Arnes? 54
  • 55. Operacijski sistemi • Microsoft • XP ✗ • Vista ✓ • Windows 7 ✓ • Windows Server 2008 ✓ • Windows Server 2008 R2 ✓ • Linux ✓ • BSD ✓ • Mac OS X ✓ Kako na IPv6?/Pri čem pomaga Arnes? 55
  • 56. In kaj še lahko stori Arnes? Kako na IPv6? 56
  • 57. Preizkušamo recepte • publikacija • delavnice Kako na IPv6?/Pri čem pomaga Arnes? 57 Publikacija/zloženka s konkretnimi praktičnimi nasveti/predlogi za šolsko sfero. Strokovne delavnice. Bolj tehnično. Jesen 2011. Kasneje nadaljevalne delavnice - mobilnost, varnost, tranzicijski mehanizmi, (? nove storitve) ...
  • 58. ipv6-podpora@arnes.si matjaz6 Admin Kako na IPv6?/Pri čem pomaga Arnes? 58 Poleg stalnega izobraževanja v rednem delovnem procesu. Motivirana ekipa!
  • 59. Kaj naredi organizacija sama? • strokovnjak, ki bo vodil uvajanje IPv6 foto: http://enjoyingsimplemoments.tumblr.com/ Kako na IPv6? 59 Hm... RIPE NCC pravi: “Don't appoint an IPv6 specialist - do you have an IPv4 specialist?”, češ da “IPv6 ni produkt - produkt je Internet”. OK, vendar v priporočilu ne govorimo o strokovnjaku za IPv6, temveč o človeku, obstoječem strokovnjaku v organizaciji, ki se bo zavzel za uvajanje IPv6 na vseh področjih, se ustrezno izobrazil, pridobil kompetence (znanje, veščine, izkušnje) ter ustrezne pristojnosti za uspešno uvedbo IPv6 v omrežje in vse storitve.
  • 60. Kaj naredi organizacija sama? • pregled • planiranje • oprema • dobavitelji • serviserji • svetovalci • postopno uvajanje foto: http://enjoyingsimplemoments.tumblr.com/ Kako na IPv6? 60 * Pregled strojne in programske opreme, ki se trenutno uporablja *-Planiranje *-Sprememba v postopkih nabave opreme (zahtevana podpora za IPv6) *-Usposobljeni serviserji in svetovalci *-Postopno uvajanje +ne ločite “IPv6 storitev” od IPv4 (storitev je ena sama!) +korak za korakom - ne posodabljajte več storitev hkrati +ostanite prepoznavni (najprej WWW, DNS, ...) --> o tem več Klemen Sledi: ne pozabite na varnost in sobivanje obeh protokolov.
  • 61. Varnost • skriti tuneli • Teredo • javni naslovi vir: United States Geological Survey • pasti v lokalnem omrežju • naslov je zaseden, lažni usmerjevalnik, lažni DHCP strežnik, zapolnitev tabele sosedov, lažno predstavljanje, ... http://www.thc.org/ Kako na IPv6? 61 Teredo je aktiven na win7/vista sistemih. Uporablja UDP in zgradi tunel skozi požarno pregrado, če na njej ni ustrezne blokade. IPv4 omrežje je zavarovano s požarno pregrado, vendar dostopno (popolnoma odprto) preko IPv6 skozi Teredo-tunel. *--> Izklopite tunelske vmesnike na win sistemih oz., še bolje, poskrbite za ustrezne filtre na požarnih pregradah. “Problem” javnega naslove. Prej skriti za NAT-om, zdaj z javnim naslovom. V resnici to ni hud problem, če smo že prej skrbeli za varnost na primeren način (NAT ni varnostni mehanizem!). *Praktično za vsak mehanizem NDP je znan napad. Na The Hacker’s Choice so prosto dostopna Linux orodja za izvajanje napadov v lokalnem omrežju.
  • 62. Sobivanje Kako na IPv6? CC Old Sarge/flickr 62 IPv4 bo prisoten še mnogo let. Točneje - 42 let = dokončen odgovor na dokončno vprašanje o življenju, vesolju in sploh vsem ;-) Vendar - pripravljajmo se na popolno izključitev IPv4.
  • 63. Kaj naredi organizacija sama? • izobraževanje • izobraževanje • izobraževanje • izobraževanje • izobraževanje • izobraževanje Kako na IPv6? 63
  • 64. Kaj bo naš prvi korak? Kako na IPv6?/Nagradno vprašanje 64 Nagrada za konkreten in jedrnat odgovor s pozitivnim sporočilom.
  • 65. Vzemite s seboj • IPv6 naj omogoča kvalitetne storitve • hierarhična delitev omrežja • ICMP je zelo pomemben • izberite primerno opremo • ne pozabite na varnost • izobraževanje • začnite že danes! Kako na IPv6? 65
  • 66. Izziv • določite svojega strokovnjaka za uvajanje IPv6 • pridobite IPv6- naslovni prostor 66 Sprejmite ta izziv - rok. 8.6.2011 (svetovni IPv6-dan). Postanite vidni/prepoznavni preko IPv6!
  • 67. Hvala za pozornost! http://dan.ipv6.si/ ipv6-podpora@arnes.si razprava@ipv6.si Matjaž Straus Istenič, Arnes matjaz.straus@arnes.si 67
  • 68. 68