SlideShare ist ein Scribd-Unternehmen logo
1 von 29
Downloaden Sie, um offline zu lesen
IPv6 - Wie komplex ist es wirklich?
Agenda
Die Motivation
Die Strategie
Die Implementierung
Kritische Würdigung
5 Do’s
5 Dont’s
Pitfalls and Challenges
Offene Punkte
Q&A
Agenda
Aspectra
Die Motivation
Die Strategie
Die Implementierung
Kritische Würdigung
5 Do’s
5 Dont’s
Pitfalls and Challanges
Offene Punkte
Q&A
Aspectra
Gegründet 2000
Dedizierter Hoster: Jeder Kunde ist in dedizierten Zonen und hat dedizierte
Server.
Zielgruppe: Hochverfügbar / Hochsicher
ISO27001 und FINMA Zertifiziert
2 Datacenter (Glattbrugg, Pratteln)
23 Mitarbeiter
komplette
ManagedServices
keine
Komplexität
hochtief
Aspectra
Co-location
Housing
Shared
Hosting
Dedicated
Hosting
Application
Hosting
ASP
Differenzierung der Hosting-Dienste.
IT-
Outsourcing
Aspectra‘s Schichtenmodell.
Web Center
Network (Internet Access)
Data Center
(Power, AC, Physical Security)
Moni-
toring
Storage
Load-
Balancing
Backup
Security
RAS
Server Server OperationServer Server Operation
Any
Application
Application Operation
DedicatedHosting
Application
Services
Selected
Application
Oracle DB
MSSQL
MySQL
MS IIS
MS Exchange
MS ADS
Apache, PHP
TomCat,
JBoss
Application Management
Agenda
Aspectra
Die Motivation
Die Strategie
Die Implementierung
5 Do’s
5 Dont’s
Offene Punkte
Kritische Würdigung
Q&A
04.2012 - Die Motivation
Dyn.com: The Average US Household uses 5.7 Internet devices (2013)
Unzählige Geräte
xPhones, xPads, PC, Notebook, Diskstation, Dreambox, Playstation, RasPi, Printer,
Powerplug, WLAN Router / Repeater , Telefon, TV, Hifi
31.01.2011 IANA Exhaustion.
04.2012 Aspectra sieht keinen akuten Bedarf. Lass uns spielen ….
14.09.2012 RIPE Exhaustion
07.2012 - Ziel
Dual Stack Aspectra
Ohne Zusatzkosten für den Kunden
Wo fängt man an?
– Ausbildung @ Digicomp
– Wenige spezifischen Mitarbeiter: Base und Security Team
Die Plattform Architektur
DMZ
Firewall
Private Zones
RAS /
Jumpstation
DNS
Application
Security Gateway
Packetfilter
VPN
Communication
Gateway
Monitoring
Firewall
Firewall
Packetfilter
DMZ
Backup
Packetfilter
Private Zone
Backup
Loadbalancer
Internet Access
Packetfilter
Die Strategie I
Provider (Internet Link, BGP, IP Adressen)
Netzwerk (Router, DNS, Netzwerkkonzept)
Filterstufen (Paketfilter, Firewalls)
Monitoring
Server und Applikationen
08.2012 - Provider
Anfrage bei den Providern: Wir hätten gerne IPv6
– Der zweitgrösste verwies an den Verkäufer. Zu deutsch: Können wir nicht.
– Der grösste sagte: Können wir, in ca. 3-6 Monaten. Kostet xxxx Fr.
– Der kleinste sagte: klar, kein Problem, hier der Vertrag.
09.2012 - Provider
Keine Provider Independent Ranges mehr bei IPv6
– Das ist ein Problem für einen Hoster wie Aspectra
– Keine Flexibilität was den Provider angeht
– Déjà vu: Telenor > Nextra > Solpa > T-Systems > Cablecom > UPC
– Das ist aber auch eine Chance
9.10.2012 Aspectra wird LIR
– kriegt 2a02:e0c0::/29
– besucht entsprechende Kurse
2a02:e0c0:: - 2a02:e0c7:ffff:ffff:ffff:ffff:ffff:ffff
01.2013 – Netzwerk Konzept I
Bestehendes robustes, flexibles IPv4 und Netzwerkkonzept
– Mit wenigen Regeln sind werden die Ranges definiert (Netze Kodiert)
– Über beide RZ verteilt: Layer 3, 450 Zonen, wachsend, z.T. überspannend
(Layer 2)
– Routing zentralisiert
Was nun?
– Wirft man das bestehende Konzept über Board?
– Lehnt man IPv6 Konzept an IPv4 an?
Ziel: So einfach und flexibel wie möglich, Wachstum möglich
– Hier viel zeit investiert
01.2013 – Netzwerk Konzept II
Front Router
04.2013 – Netzwerk Konzept III
01.2013 – IP Konzept I
Was macht ein IP Konzept einfach?
Was macht der Netzwerk Admin täglich?
– Verfolgbarkeit eines IP Pakets
Bewusster Verzicht auf Hierarchie in unserem AS9100
– Andere Vorteile wiegen mehr: Verfolgbarkeit eines IP Pakets
Bewusstes weglassen von unnötigen Encodierungen in der IPv6 Adresse
– Schränkt zu fest ein
Bewusster Verzicht auf unique local IPv6 Adressen
– Wenn es nicht geht ohne -> Konzept erweitern
– We will cross the bridge when we get there…
01.2013 – IP Konzept II
2013 – Implementation
Gewähltes Implementationskonzepte: Edge to Core, Vertikale Integration
August 2013
– Start @ 2nd Site: IPv6 BGP Announcement, router pingable
September 2013
– Schulung für alle Engineers
– Routing & Firewalls @ 2nd Site
– Implementation erster Server
October 2013
– Begin DNS
– Clients IPv6 Range @ Office, Tunnel @ Datacenter
November 2013
– Basic Monitoring, DNS Security and Cleanup
– Start primary site
2014 – Implementation
Dezember 2013
– Erste vertikale Integration beendet
– Ab 15.12 Christmas freeze
– Eigene Services implementieren: Web Statistik, Homepage, Reverse Proxy,
Kundencockpit (Myaspectra.ch)
Januar – Februar 2014
– Fehlerbehebung: neue Kernels, neue IOS
– Redundanzen eingeführt: mehrere BGP Anbindungen
18. März 2014
– IPv6 AAAA für DNS Server eingetragen
– Reverse DNS Zonen bei RIPE aktiviert
– Glue Record
– Abschluss der ersten Integrationsstufe -> IPv6 ist produktiv
Implementation: 21 Monate für 8kbit/s ….
Start: 07.2012
End: 03.2014
Kritische Würdigung
Wie komplex?
– IPv6 ist keine Quantenphysik, wacher als bei IPv4 sollte man jedoch sein
– Man beginnt von vorn
Effektiver Nutzen?
Heute:
– Wenig, weil wenige Clients vorhanden
– Wenig, weil wenige Server vorhanden
– Aber morgen….
Do…
Dual stack, but with own IPv6 addresses (become a LIR)
Find out if your HW can cope with the extra load caused by dual stack
Schedule ad-hoc edu/learning
Set a top level goal, define scopes, budget, roadmap
Invest enough time in the concept and deployment plan for
– IPv6 addressing
– routing (BGP)
– DNS
Test, Test, Test in Lab environments, sandbox or at home
One thing at a time: Isolated steps (possibly in conjunction with scheduled
maintenance activities)
Don’t…
Think you can dual stack in two weeks
Overdefine your concept. It will resrtict you later
Believe manufacturers being IPv6 ready: They will write anything onto the
product box just to sell it. Most products have limitations.
Buy new hardware just because of IPv6 : Use the regular product life cycle
Forget monitoring, logging, security: One for IPv4 and one for IPv6
– system/network performance
– E2E scans
– firewall rules, and logs
Pitfalls and Challenges
Beware of the DAD (Duplicate Address Detection)
– On startup the system IPv6 address is setup as 'tentative' until DAD takes
place (normally very fast)
– Some applications can't bind their listener until DAD completes
– Race condition, application may refuse to start (e.g. DNS 'bind' application)
Migration on Live systems
– Be aware: You are implementing changes on the core of your data center
– Availability will inevitably decrease before getting better
– Cisco IOS: Different branches have different features have different bugs
– New kernels on firewalls:
– New daemons on DNS Servers: Higher memory consumption
Mixing Dual stack and single stack Environments
– Windows Domains: The Global Catalog will not sync and expire after 60 days
in a mixed stack environment. IPv6 is preferred, no fallback.
Kosten
20% Man Power @ Aspectra
Viele Wartungsfenster (Nachtarbeit) an Live Systemen
External Man Power: (Security & Netzwerk) terreActive
Hardware: 1 WLAN AP
Offene Punkte
Offene Punkte @ Aspectra
– Implementation auf Kundenzonen und Server
– Ipv6 Monitoring: E2E, Ping, IP Flow Traffic
– VPN
– Private Zonen wo notwendig
Offene Punkte beim Kunden
– Je nach Kunde kann IPv6 nicht implementiert werden
Q&A

Weitere ähnliche Inhalte

Was ist angesagt?

Private Cloud mit Open Source
Private Cloud mit Open SourcePrivate Cloud mit Open Source
Private Cloud mit Open Source
Daniel Schneller
 
Wlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichertWlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichert
Jennifer Knaus
 

Was ist angesagt? (19)

3. IPv6 im täglichen Geschäftsleben - Simon Leinen
3. IPv6 im täglichen Geschäftsleben - Simon Leinen3. IPv6 im täglichen Geschäftsleben - Simon Leinen
3. IPv6 im täglichen Geschäftsleben - Simon Leinen
 
Oracle Database Backup Service
Oracle Database Backup ServiceOracle Database Backup Service
Oracle Database Backup Service
 
Core Network Services & IPv6 (2013-06-05)
Core Network Services & IPv6 (2013-06-05)Core Network Services & IPv6 (2013-06-05)
Core Network Services & IPv6 (2013-06-05)
 
12. Smooth migration from IPv4 to IPv6 with Citrix NetScaler - Daniel Künzli
12. Smooth migration from IPv4 to IPv6 with Citrix NetScaler - Daniel Künzli12. Smooth migration from IPv4 to IPv6 with Citrix NetScaler - Daniel Künzli
12. Smooth migration from IPv4 to IPv6 with Citrix NetScaler - Daniel Künzli
 
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
Nagios Conference 2007 | Datenbankgestützte Konfiguration von Nagios in große...
 
Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017Oracle Technology Monthly Oktober 2017
Oracle Technology Monthly Oktober 2017
 
Private Cloud mit Open Source
Private Cloud mit Open SourcePrivate Cloud mit Open Source
Private Cloud mit Open Source
 
20160310_ModernApplicationDevelopment_NoSQL_KPatenge
20160310_ModernApplicationDevelopment_NoSQL_KPatenge20160310_ModernApplicationDevelopment_NoSQL_KPatenge
20160310_ModernApplicationDevelopment_NoSQL_KPatenge
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Private Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStackPrivate Cloud mit Ceph und OpenStack
Private Cloud mit Ceph und OpenStack
 
Wlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichertWlan ausleuchtung v2 automatisch gespeichert
Wlan ausleuchtung v2 automatisch gespeichert
 
Managen von ovm server sparc mit dem vm manager, o ps center oder vdcf-roman ...
Managen von ovm server sparc mit dem vm manager, o ps center oder vdcf-roman ...Managen von ovm server sparc mit dem vm manager, o ps center oder vdcf-roman ...
Managen von ovm server sparc mit dem vm manager, o ps center oder vdcf-roman ...
 
IPv6 Networking-Referat «IPv6 Rollout im Datacenter - Varianten der Integrati...
IPv6 Networking-Referat «IPv6 Rollout im Datacenter - Varianten der Integrati...IPv6 Networking-Referat «IPv6 Rollout im Datacenter - Varianten der Integrati...
IPv6 Networking-Referat «IPv6 Rollout im Datacenter - Varianten der Integrati...
 
Klonen von Exadata-Datenbanken mit der Oracle ZFS Appliance - Ein Erfahrungsb...
Klonen von Exadata-Datenbanken mit der Oracle ZFS Appliance - Ein Erfahrungsb...Klonen von Exadata-Datenbanken mit der Oracle ZFS Appliance - Ein Erfahrungsb...
Klonen von Exadata-Datenbanken mit der Oracle ZFS Appliance - Ein Erfahrungsb...
 
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoffstackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
stackconf 2020 | SecDevOps in der Cloud by Florian Wiethoff
 
Keepalived & HA-Proxy as an alternative to commercial loadbalancer - August 2014
Keepalived & HA-Proxy as an alternative to commercial loadbalancer - August 2014Keepalived & HA-Proxy as an alternative to commercial loadbalancer - August 2014
Keepalived & HA-Proxy as an alternative to commercial loadbalancer - August 2014
 
SCAPE - Skalierbare Langzeitarchivierung (SCAPE - scalable longterm digital p...
SCAPE - Skalierbare Langzeitarchivierung (SCAPE - scalable longterm digital p...SCAPE - Skalierbare Langzeitarchivierung (SCAPE - scalable longterm digital p...
SCAPE - Skalierbare Langzeitarchivierung (SCAPE - scalable longterm digital p...
 
OSMC 2011 | Icinga Monitoring bei der Deutschen Welle by Holger Daasch
OSMC 2011 |  Icinga Monitoring bei der Deutschen Welle by Holger DaaschOSMC 2011 |  Icinga Monitoring bei der Deutschen Welle by Holger Daasch
OSMC 2011 | Icinga Monitoring bei der Deutschen Welle by Holger Daasch
 
Ceph Object Store
Ceph Object StoreCeph Object Store
Ceph Object Store
 

Ähnlich wie IPv6 Integration im Datacenter - wie komplex ist es wirklich?

Ähnlich wie IPv6 Integration im Datacenter - wie komplex ist es wirklich? (20)

Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013
 
Oracle Database 12c Release 2
Oracle Database 12c Release 2 Oracle Database 12c Release 2
Oracle Database 12c Release 2
 
Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2Überblick zu Oracle Database 12c Release 2
Überblick zu Oracle Database 12c Release 2
 
9. Direct Access Workshop - Marc Eggenberger
9. Direct Access Workshop - Marc Eggenberger9. Direct Access Workshop - Marc Eggenberger
9. Direct Access Workshop - Marc Eggenberger
 
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
Tipps & Tricks zum Aufbau einer Unternehmenscloud mit CC13
 
Oracle AVDF in der Praxis
Oracle AVDF in der PraxisOracle AVDF in der Praxis
Oracle AVDF in der Praxis
 
20190604_DOAGDatabase2019_OracleNoSQLDB_for_DBAs
20190604_DOAGDatabase2019_OracleNoSQLDB_for_DBAs20190604_DOAGDatabase2019_OracleNoSQLDB_for_DBAs
20190604_DOAGDatabase2019_OracleNoSQLDB_for_DBAs
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im ÜberblickBig Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
Big Data Community Webinar vom 16. Mai 2019: Oracle NoSQL DB im Überblick
 
Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013Monitoring Openstack - LinuxTag 2013
Monitoring Openstack - LinuxTag 2013
 
20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge20181120_DOAG_OracleNoSQLDB_KPatenge
20181120_DOAG_OracleNoSQLDB_KPatenge
 
Effizienter Hardware LifeCycle auf Oracle SPARC M7 Server
Effizienter Hardware LifeCycle auf Oracle SPARC M7 ServerEffizienter Hardware LifeCycle auf Oracle SPARC M7 Server
Effizienter Hardware LifeCycle auf Oracle SPARC M7 Server
 
DB2 High Availability für IBM Connections, Sametime oder Traveler
DB2 High Availability für IBM Connections, Sametime oder TravelerDB2 High Availability für IBM Connections, Sametime oder Traveler
DB2 High Availability für IBM Connections, Sametime oder Traveler
 
Virtualized Exadata - the first 4 "productive" years...
Virtualized Exadata - the first 4 "productive" years...Virtualized Exadata - the first 4 "productive" years...
Virtualized Exadata - the first 4 "productive" years...
 
Citrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx NetworkingCitrix Day 2013: Citirx Networking
Citrix Day 2013: Citirx Networking
 
Spezialitäten der Oracle Lizenzierung - DOAG Konferenz 2010 - OPITZ CONSULTI...
Spezialitäten der Oracle Lizenzierung -  DOAG Konferenz 2010 - OPITZ CONSULTI...Spezialitäten der Oracle Lizenzierung -  DOAG Konferenz 2010 - OPITZ CONSULTI...
Spezialitäten der Oracle Lizenzierung - DOAG Konferenz 2010 - OPITZ CONSULTI...
 
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
Splunk für alle: Optimierte Prozesse für eine zuverlässige und störungsfreie ...
 
20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge20181210_ITTage2018_OracleNoSQLDB_KPatenge
20181210_ITTage2018_OracleNoSQLDB_KPatenge
 
Enterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue NormalEnterprise Cloud Native ist das neue Normal
Enterprise Cloud Native ist das neue Normal
 
Suse in der neuen Welt des Rechenzentrums - ein Beispiel
Suse in der neuen Welt des Rechenzentrums - ein BeispielSuse in der neuen Welt des Rechenzentrums - ein Beispiel
Suse in der neuen Welt des Rechenzentrums - ein Beispiel
 

Mehr von Swiss IPv6 Council

Members geneva dos and donts of transition silvia hagen
Members geneva   dos and donts of transition silvia hagen Members geneva   dos and donts of transition silvia hagen
Members geneva dos and donts of transition silvia hagen
Swiss IPv6 Council
 

Mehr von Swiss IPv6 Council (17)

IPv6 Adressvergabe und Adressierung
IPv6 Adressvergabe und AdressierungIPv6 Adressvergabe und Adressierung
IPv6 Adressvergabe und Adressierung
 
Intro Swiss IPv6 Council Event, 24. März 2014
Intro Swiss IPv6 Council Event, 24. März 2014Intro Swiss IPv6 Council Event, 24. März 2014
Intro Swiss IPv6 Council Event, 24. März 2014
 
Swisscom: Testing von IPv6 Security Devices
Swisscom: Testing von IPv6 Security DevicesSwisscom: Testing von IPv6 Security Devices
Swisscom: Testing von IPv6 Security Devices
 
SIG IPv6 Provider "IPv6 Ready"
SIG IPv6 Provider "IPv6 Ready"SIG IPv6 Provider "IPv6 Ready"
SIG IPv6 Provider "IPv6 Ready"
 
Dos And Donts Of IPv6 Transition
Dos And Donts Of IPv6 TransitionDos And Donts Of IPv6 Transition
Dos And Donts Of IPv6 Transition
 
Members geneva dos and donts of transition silvia hagen
Members geneva   dos and donts of transition silvia hagen Members geneva   dos and donts of transition silvia hagen
Members geneva dos and donts of transition silvia hagen
 
IPv6 solutions for an easy implementation
IPv6 solutions for an easy implementationIPv6 solutions for an easy implementation
IPv6 solutions for an easy implementation
 
IPv6 Security - Myths and Reality
IPv6 Security - Myths and RealityIPv6 Security - Myths and Reality
IPv6 Security - Myths and Reality
 
IPv6 Adoption --- Acceleration
IPv6 Adoption --- AccelerationIPv6 Adoption --- Acceleration
IPv6 Adoption --- Acceleration
 
IPv6 Transition
IPv6 TransitionIPv6 Transition
IPv6 Transition
 
Network Neutrality - What's At Stake
Network Neutrality - What's At StakeNetwork Neutrality - What's At Stake
Network Neutrality - What's At Stake
 
IPv6 Security und Hacking
IPv6 Security und HackingIPv6 Security und Hacking
IPv6 Security und Hacking
 
Der Einsatz von Lisp für die IPv6 Migration
Der Einsatz von Lisp für die IPv6 MigrationDer Einsatz von Lisp für die IPv6 Migration
Der Einsatz von Lisp für die IPv6 Migration
 
LISP Update
LISP UpdateLISP Update
LISP Update
 
IPv6 at CSCS
IPv6 at CSCSIPv6 at CSCS
IPv6 at CSCS
 
IPv6 strategy for deployment at ETH Switzerland
IPv6 strategy for deployment at ETH SwitzerlandIPv6 strategy for deployment at ETH Switzerland
IPv6 strategy for deployment at ETH Switzerland
 
IPv6 Enterprise Planning
IPv6 Enterprise PlanningIPv6 Enterprise Planning
IPv6 Enterprise Planning
 

IPv6 Integration im Datacenter - wie komplex ist es wirklich?

  • 1.
  • 2. IPv6 - Wie komplex ist es wirklich?
  • 3. Agenda Die Motivation Die Strategie Die Implementierung Kritische Würdigung 5 Do’s 5 Dont’s Pitfalls and Challenges Offene Punkte Q&A
  • 4. Agenda Aspectra Die Motivation Die Strategie Die Implementierung Kritische Würdigung 5 Do’s 5 Dont’s Pitfalls and Challanges Offene Punkte Q&A
  • 5. Aspectra Gegründet 2000 Dedizierter Hoster: Jeder Kunde ist in dedizierten Zonen und hat dedizierte Server. Zielgruppe: Hochverfügbar / Hochsicher ISO27001 und FINMA Zertifiziert 2 Datacenter (Glattbrugg, Pratteln) 23 Mitarbeiter
  • 7. Aspectra‘s Schichtenmodell. Web Center Network (Internet Access) Data Center (Power, AC, Physical Security) Moni- toring Storage Load- Balancing Backup Security RAS Server Server OperationServer Server Operation Any Application Application Operation DedicatedHosting Application Services Selected Application Oracle DB MSSQL MySQL MS IIS MS Exchange MS ADS Apache, PHP TomCat, JBoss Application Management
  • 8. Agenda Aspectra Die Motivation Die Strategie Die Implementierung 5 Do’s 5 Dont’s Offene Punkte Kritische Würdigung Q&A
  • 9. 04.2012 - Die Motivation Dyn.com: The Average US Household uses 5.7 Internet devices (2013) Unzählige Geräte xPhones, xPads, PC, Notebook, Diskstation, Dreambox, Playstation, RasPi, Printer, Powerplug, WLAN Router / Repeater , Telefon, TV, Hifi 31.01.2011 IANA Exhaustion. 04.2012 Aspectra sieht keinen akuten Bedarf. Lass uns spielen …. 14.09.2012 RIPE Exhaustion
  • 10. 07.2012 - Ziel Dual Stack Aspectra Ohne Zusatzkosten für den Kunden Wo fängt man an? – Ausbildung @ Digicomp – Wenige spezifischen Mitarbeiter: Base und Security Team
  • 11. Die Plattform Architektur DMZ Firewall Private Zones RAS / Jumpstation DNS Application Security Gateway Packetfilter VPN Communication Gateway Monitoring Firewall Firewall Packetfilter DMZ Backup Packetfilter Private Zone Backup Loadbalancer Internet Access Packetfilter
  • 12. Die Strategie I Provider (Internet Link, BGP, IP Adressen) Netzwerk (Router, DNS, Netzwerkkonzept) Filterstufen (Paketfilter, Firewalls) Monitoring Server und Applikationen
  • 13. 08.2012 - Provider Anfrage bei den Providern: Wir hätten gerne IPv6 – Der zweitgrösste verwies an den Verkäufer. Zu deutsch: Können wir nicht. – Der grösste sagte: Können wir, in ca. 3-6 Monaten. Kostet xxxx Fr. – Der kleinste sagte: klar, kein Problem, hier der Vertrag.
  • 14. 09.2012 - Provider Keine Provider Independent Ranges mehr bei IPv6 – Das ist ein Problem für einen Hoster wie Aspectra – Keine Flexibilität was den Provider angeht – Déjà vu: Telenor > Nextra > Solpa > T-Systems > Cablecom > UPC – Das ist aber auch eine Chance 9.10.2012 Aspectra wird LIR – kriegt 2a02:e0c0::/29 – besucht entsprechende Kurse 2a02:e0c0:: - 2a02:e0c7:ffff:ffff:ffff:ffff:ffff:ffff
  • 15. 01.2013 – Netzwerk Konzept I Bestehendes robustes, flexibles IPv4 und Netzwerkkonzept – Mit wenigen Regeln sind werden die Ranges definiert (Netze Kodiert) – Über beide RZ verteilt: Layer 3, 450 Zonen, wachsend, z.T. überspannend (Layer 2) – Routing zentralisiert Was nun? – Wirft man das bestehende Konzept über Board? – Lehnt man IPv6 Konzept an IPv4 an? Ziel: So einfach und flexibel wie möglich, Wachstum möglich – Hier viel zeit investiert
  • 16. 01.2013 – Netzwerk Konzept II Front Router
  • 17. 04.2013 – Netzwerk Konzept III
  • 18. 01.2013 – IP Konzept I Was macht ein IP Konzept einfach? Was macht der Netzwerk Admin täglich? – Verfolgbarkeit eines IP Pakets Bewusster Verzicht auf Hierarchie in unserem AS9100 – Andere Vorteile wiegen mehr: Verfolgbarkeit eines IP Pakets Bewusstes weglassen von unnötigen Encodierungen in der IPv6 Adresse – Schränkt zu fest ein Bewusster Verzicht auf unique local IPv6 Adressen – Wenn es nicht geht ohne -> Konzept erweitern – We will cross the bridge when we get there…
  • 19. 01.2013 – IP Konzept II
  • 20. 2013 – Implementation Gewähltes Implementationskonzepte: Edge to Core, Vertikale Integration August 2013 – Start @ 2nd Site: IPv6 BGP Announcement, router pingable September 2013 – Schulung für alle Engineers – Routing & Firewalls @ 2nd Site – Implementation erster Server October 2013 – Begin DNS – Clients IPv6 Range @ Office, Tunnel @ Datacenter November 2013 – Basic Monitoring, DNS Security and Cleanup – Start primary site
  • 21. 2014 – Implementation Dezember 2013 – Erste vertikale Integration beendet – Ab 15.12 Christmas freeze – Eigene Services implementieren: Web Statistik, Homepage, Reverse Proxy, Kundencockpit (Myaspectra.ch) Januar – Februar 2014 – Fehlerbehebung: neue Kernels, neue IOS – Redundanzen eingeführt: mehrere BGP Anbindungen 18. März 2014 – IPv6 AAAA für DNS Server eingetragen – Reverse DNS Zonen bei RIPE aktiviert – Glue Record – Abschluss der ersten Integrationsstufe -> IPv6 ist produktiv
  • 22. Implementation: 21 Monate für 8kbit/s …. Start: 07.2012 End: 03.2014
  • 23. Kritische Würdigung Wie komplex? – IPv6 ist keine Quantenphysik, wacher als bei IPv4 sollte man jedoch sein – Man beginnt von vorn Effektiver Nutzen? Heute: – Wenig, weil wenige Clients vorhanden – Wenig, weil wenige Server vorhanden – Aber morgen….
  • 24. Do… Dual stack, but with own IPv6 addresses (become a LIR) Find out if your HW can cope with the extra load caused by dual stack Schedule ad-hoc edu/learning Set a top level goal, define scopes, budget, roadmap Invest enough time in the concept and deployment plan for – IPv6 addressing – routing (BGP) – DNS Test, Test, Test in Lab environments, sandbox or at home One thing at a time: Isolated steps (possibly in conjunction with scheduled maintenance activities)
  • 25. Don’t… Think you can dual stack in two weeks Overdefine your concept. It will resrtict you later Believe manufacturers being IPv6 ready: They will write anything onto the product box just to sell it. Most products have limitations. Buy new hardware just because of IPv6 : Use the regular product life cycle Forget monitoring, logging, security: One for IPv4 and one for IPv6 – system/network performance – E2E scans – firewall rules, and logs
  • 26. Pitfalls and Challenges Beware of the DAD (Duplicate Address Detection) – On startup the system IPv6 address is setup as 'tentative' until DAD takes place (normally very fast) – Some applications can't bind their listener until DAD completes – Race condition, application may refuse to start (e.g. DNS 'bind' application) Migration on Live systems – Be aware: You are implementing changes on the core of your data center – Availability will inevitably decrease before getting better – Cisco IOS: Different branches have different features have different bugs – New kernels on firewalls: – New daemons on DNS Servers: Higher memory consumption Mixing Dual stack and single stack Environments – Windows Domains: The Global Catalog will not sync and expire after 60 days in a mixed stack environment. IPv6 is preferred, no fallback.
  • 27. Kosten 20% Man Power @ Aspectra Viele Wartungsfenster (Nachtarbeit) an Live Systemen External Man Power: (Security & Netzwerk) terreActive Hardware: 1 WLAN AP
  • 28. Offene Punkte Offene Punkte @ Aspectra – Implementation auf Kundenzonen und Server – Ipv6 Monitoring: E2E, Ping, IP Flow Traffic – VPN – Private Zonen wo notwendig Offene Punkte beim Kunden – Je nach Kunde kann IPv6 nicht implementiert werden
  • 29. Q&A
  • 30. Danke Danke für Ihre Aufmerksamkeit. Ben Mathis Leiter IT Plattform www.aspectra.ch +41 44 296 56 13 ben.mathis@aspectra.ch