Az IPv6 a gyakorlatban

November 18, 2003

Szendrői József, CCIE#5496

Az IPv6 a gyakorlatban

A SYNERGON CSOPORT TAGJA

Tartalom • • • • • • • 2

Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás A SYNERGON CSOPORT TAGJA

Tartalom • • • • • • • 3


"I think there is a world market for about five computers." Thomas Watson Sr., founder of IBM, 1943. • „Fogyasztók száma” 2004-ig: – Hordozható számítógép, PDA: ~20 millió – Internet felhasználók: ~945 millió – Mobiltelefonok száma: ~1 milliárd (Computer Industry Almanac)

• Elmélet: ~ 4 milliárd cím • Gyakorlat: ~ 250 millió eszköz

100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0%

IPv4 címfoglalás

1981 1985 1990 2000 2005

(RFC3194)

4


Elérés és elérhetőség! Kezdetben mindenki az „Interneten volt”.

Nyilvános IP hálózat

• Ellentmondás: – az alkalmazások igénylik a közvetlen elérést; – szinte minden felhasználó NAT és „Application Gateway” mögül kommunikál

5


Igény a hálózat IPv6 képességére • Alkalmazások – Folyamatos, vezetékes Internet kapcsolat xDSL, Cable, ETTx; – Tömeges vezetéknélküli kapcsolatok WLAN, GPRS, 3G mobil; – Új internetes alkalmazások Telefon, video, üzenetküldés, játék.

• Kiszolgálók – Unix rendszerek Solaris, AIX, BSD, Linux,… – Microsoft operációs rendszerek Windows XP, 2003 Server, PocketPC 2003, SmartPhone 2003 – Mac OS X – Playstation2, X-Box 6


Tartalom • • • • • • • 7


IPv6 fejrész IPv4 fejrész Version

IHL

Type of Service

Identification Time to Live

Protocol

IPv6 fejrész

Total Length

Flags

Traffic Class

Fragment Offset

Header Checksum

Source Address

Payload Length

Flow Label

Next Header

Source Address

Destination Address Options

Version

Padding

Destination Address

• • • •

Kibővített címtartomány Egyszerűsített fejrész Nincs ellenőrző összeg az IP szinten Beépített Authentikáció és Privacy

Mindkét protokollban használt Elhagyott mezők Név és pozíció változott Új IPv6 mezők

8


Hop Limit

Címformátumok • 16 bites hexadecimális mezők: 2031:0000:130F:0000:0000:09C0:876A:130B

• Mezőn belül a nulla elhagyható: • 2031:0:130F:0:0:9C0:876A:130B

• A címben egyetlen alkalommal tetszőleges egymás utáni nulla értékű mező rövidíthető: • • • •

2031:0:130F::9C0:876A:130B 2031::130F::9C0:876A:130B 0:0:0:0:0:0:0:1 => ::1 0:0:0:0:0:0:0:0 => ::

• IPv4 „kompatíbilis” címtartomány • 0:0:0:0:0:0:192.168.30.1 = ::192.168.30.1 = ::C0A8:1E01 9


IPv6 címek Global: 2000::/3 Global prefix

001

SUBNET

interface ID

SUBNET

interface ID

Site Local: FEC0::/10 0

1111 1110 11

Link Local: FE80::/10 0

1111 1110 10

/23 2001

0410

/35

interface ID

/48

/64

Interface ID

Registry ISP prefix

Bootstrap process - RFC2450

Site prefix LAN prefix

10


IPv6 címzési példa LAN: 3ffe:b00:c18:1::/64 Ethernet0

interface Ethernet0 ipv6 address 2001:410:213:1::/64 eui-64

MAC address: 0060.3e47.1530

router# show ipv6 interface Ethernet0 Ethernet0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::260:3EFF:FE47:1530 Global unicast address(es): 2001:410:213:1:260:3EFF:FE47:1530, subnet is 2001:410:213:1::/64 Joined group address(es): FF02::1:FF47:1530 FF02::1 FF02::2 MTU is 1500 bytes

11


Tartalom • • • • • • • 12


IPv6 címkonfiguráció • Neighbour Discovery (RFC 2461) – Azonos linken található eszközök interaktív kommunikációja – ICMPv6 (RFC 2463) fölött működő protokoll

SUBNET PREFIX + MAC ADDRESS SUBNET PREFIX

• Stateless Auto-Configuration (RFC2462) – A host önállóan beállítja a saját Link-Local címét – A router-től kapott prefix-ből előállítja a global címet

SUBNET PREFIX + MAC ADDRESS

• •

• Stateful Auto-Configuration

Link-Local cím, global IPv6 cím(ek)

– DHCPv6 • egyéb paraméterek (DNS, WINS) 13


Távoli elérés #per-user static route cisco-avpair=“ipv6:route=3ffe:c00:1::/48” #prefix sent out the interface cisco-avpair=“ipv6:prefix=3ffe:c00:2::/64” #access-list cisco-avpair=“ipv6:inacl=permit 3ffe:c00:2::/64”

IPv6

IPv6 PPP

LNS

L2TP L2

IPv4

TP

L2TP

UDP

LAC

L2

IPv4 TP

LAC

#accounting info Framed-Interface-Id=0:0:0:0001 #IPv6 pool ipv6 prefix-pool foo3ffe:c00:1::/48 64

LAC IPv4 router Dual-stack router IPv6 router

IPv4

14

IPv6


Tartalom • • • • • • • 15


IPv6 routing LAN1: 2001:0001::45c/64 Ethernet-1

Router1 Ethernet-2

LAN2: 2001:0002::45a/64

Fv3 P S O

• IGP: – – – –

RIPng (RFC 2080), Cisco EIGRP for IPv6, OSPFv3 (RFC 2740) Integrated IS-ISv6

Router1# interface loopback 0 ip address 192.222.222.1 255.255.255.0 interface ethernet-1 ipv6 address 2001:0001::45c/64 ipv6 ospf 1 area 1 enable interface ethernet-2 ipv6 address 2001:0002::45a/64 ipv6 ospf 1 area 1 enable ipv6 router ospf 1 redistribute static

• i/IS-ISv6 (draft-ietf-isis-ipv6-02)

• EGP: – MP-BGP4 (RFC 2858, RFC 2545)

6 -ISv S I d rate g e t In Router1# interface ethernet-1 ipv6 address 2001:0001::45c/64 ipv6 router isis interface ethernet-2 ipv6 address 2001:0002::45a/64 ipv6 router isis router isis address-family ipv6 redistribute static exit-address-family net 42.0001.0000.0000.072c.00

16


Mobil IP

IPv4 esetén nem lehetséges Mobil felhasználó 3ffe:0b00:c18::1

2001:2:a010::5

• Az IPv6 beépített funkcionalitása • Útvonal optimalizálás (Direct routing)

17


Tartalom • • • • • • • 18


Security • • • •

Kötelező IPSec támogatás Átmeneti címek biztosítása IPv6 ACL IPv6 IOS Firewall

Next Header Hdr Ext Len

Reserved

Security Parameters Sequence Number Authentication Data

Authentication Header (AH)

Security Parameters Index (SPI) Sequence Number

19

Szolgáltatás

IPv4

IPv6

Fregmentálás

Host, router

Host

Source routing

Kikapcsolható

Nem kikapcsolható

ICMP redirection

no ip icmp redirect

no ipv6 redirect

Authentication Data

Duplikált címek

Nincs védelem

Nincs védelem

Encapsulating Security Payload (ESP)

Privacy

IPSec

kötelező IPSec

Payload

Padding


Pad Len

Next Hdr

ACL & IOS Firewall DMZ Ethernet-1 BRI0 Router1# interface ethernet-0 ipv6 address 2000::45a/64 ipv6 traffic-filter In in ipv6 traffic-filter Out out

Ethernet-2

2001:0002::45a/64

interface ethernet-1 ipv6 address 2001::45a/64 ipv6 traffic-filter Ext-out out ipv6 access-list In permit tcp host 2000::1 eq www host 2001::2 time-range tim reflect myp permit icmp any any router-solicitation ipv6 access-list Out evaluate myp evaluate another time-range tim periodic daily 16:00 to 21:00

2000::45a/64 Ethernet-0

Router1 Ethernet-1

2001::45a/64

20

FW

Internal

FW# interface ethernet-1 ipv6 address 2001:0001::45a/64 ipv6 traffic-filter dmz-in6 in interface ethernet-2 ipv6 address 2001:0002::45a/64 ipv6 traffic-filter internal-in6 in ipv6 traffic-filter internal-out6 out interface BRI0 ipv6 address 2001:0003::45a/64 ipv6 traffic-filter exterior-in6 in ipv6 traffic-filter exterior-out6 out ipv6 access-list vty deny ipv6 any any log-input line vty 0 4 ipv6 access-class vty in ipv6 access-list dmz-in6 permit ipv6 host 2001:0001::100 any


Tartalom • • • • • • • 21


Dual-Stack konfiguráció router# ipv6 unicast-routing

Dual-Stack Router IPv6 / IPv4 hálózat

interface Ethernet0 ip address 192.168.99.1 255.255.255.0 ipv6 address 2001:410:213:1::/64 eui-64

IPv4: 192.168.99.1 IPv6: 2001:410:213:1::/64 eui-64 Application

• Ha egy interfészen mindkét protokoll konfigurált, akkor az Dual-Stack módban működik

TCP

UDP

TCP

UDP

IPv4

IPv6

IPv4

IPv6

0x0800

0x86dd Data Link (Ethernet)

22

IPv6-enable Application


0x0800

0x86dd Data Link (Ethernet)

Dual-Stack & DNS www.net6.synergon.hu =*?

DNS Server

3ffe:b00::1 10.1.1.1

IPv4

IPv6 3ffe:b00::1

• Az alkalmazás mindkét protokollt támogatja • A DNS válaszában mindkét címet közli • Az alkalmazás választ 23


IPv6 over IPv4 IPv6 Header

IPv6 Host

Transport Header

Dual-Stack Router

IPv4

IPv6

Data

IPv6 Host

Dual-Stack Router IPv6

Tunnel: IPv6 in IPv4 IPv4 Header

IPv6 Header

Transport Header

Data

• Minden IPv6 csomag IPv4 adatként halad a hálózaton • Router és host környezetben is alkalmazható 24


NAT-PT (RFC 2766) IOS NAT-PT IPv4

IPv6

172.16.1.1

2001:0420:1987:0:2E0:B0FF:FE6A:412C

• IP fejrész és cím átalakítás • ALG (Application Level Gateway) – ICMP és DNS átalakítás (12.3(4)T – További alkalmazások fejlesztés alatt (pl. FTP-ALG)

25


NAT-PT konfiguráció

192.168.1.200

LAN2: 192.168.1.0/24 Ethernet 2

NAT prefix 2010::/96

Ethernet 1

interface Ethernet1 ipv6 address 2001:2::10/64 ipv6 nat ! interface Ethernet2 ip address 192.168.1.1 255.255.255.0 ipv6 nat prefix 2010::/96 ipv6 nat ! ipv6 nat v6v4 source 2001:2::1 192.168.2.1 ipv6 nat v4v6 source 192.168.1.200 2010::60 !

LAN1: 2001:2::/64 2001:2::1

26


NAT-PT & DNS IPv4 DNS

IOS NAT-PT

Type=A Q=“host.nat-pt.com” Type=A R=“172.16.1.5”

Type=PTR Q=“5.1.16.172.in-addr-arpa”

Type=PTR R=“host.nat-pt.com”

27

IPv6 Host

Type=AAAA Q=“host.nat-pt.com” Type=AAAA R=“2010::45”

Type=PTR Q=“5.4.0...0.1.0.2.IP6.ARPA” Type=PTR R=“host.nat-pt.com”


Tartalom • • • • • • • 28


Teendők és idők 1 996-2001

Cisco IOS IPv6

2002 1

2 3 4

1

2003

2004

2 3 4 1

2 3 4

1

2005

2006

2 3 4 1

2 3 4

K ezdeti tes ztek

Alkalmazás ok IS P F elhas ználók

Nagyvállalatok

29


2007-201 0

Teendők és idők 2002

2003 1

2

3

2004 4

1

2

3

2005 4

1

2

3

2006 4

1

2

3

2007-201 0 4

Projekt definiálás K ölts égek vizs gálata Oktatás IPv6 regis ztráció T es ztelés T elepítés

Átadás

30


IPv6 bemutató a „Demo teremben”

syn-gw6 Internet (IPv4)

6net IPv6 tunnel

IOS 12.3(4)T

31


Szendrői József, CCIE#5496

November 18, 2003

Szendrő[email protected]

Köszönöm figyelmüket!


Az IPv6 a gyakorlatban

Recommend Documents