Otázky IPv6 Pavel Satrapa, TU v Liberci
[email protected]
Bonus zdarma: Odpovědi
Už tam budeme?
AMS-IX
IPv6 cca 0,5 % provozu
Google duben 2014 2,81 % září 2013 1,87 %
Statistiky CZ.NIC
https://stats.nic.cz/stats/ipv6_domains/ 1,13 mil. domén .cz
228 tisíc (20 %) podporuje IPv6 163 tisíc (14 %) má IPv6 mail
Webový obsah
6lab.cisco.com
Webový obsah
ČR jako světová velmoc: 61,22 %
metodika:
z každé země nejnavštěvovanějších 500 serverů podle Alexa
ověřena dosažitelnost po IPv6
přepočítáno podle váhy serverů
v ČR podporovalo 79 z 500 největších serverů, ale jednalo se o velké servery
Proč tak málo?
Problémy IPv6 (1)
zpětná nekompatibilita
uživatel musí mít možnost dostat se k IPv4 zdrojům
slepice versus vejce
málo služeb – uživatelé nemají zájem
málo uživatelů – poskytovatelé služeb nemají zájem
nedostatky protokolu
spíše přeháněny
má rutinně nasazeno Google a Facebook, NIXy tečou gigabity za sekundu
Problémy IPv6 (2)
ekonomika
vidím holuba na střeše, ale nejprve pořádně vyždímu vrabce v hrsti
IPv6 není první technologií s tímto problémem
chybí „killer application“
není a nejspíš nebude
Zlepší se to? aneb Motivace pro IPv6
Vyčerpání IPv4 adres
centrální:
IANA
3. února 2011
RIR:
APNIC
19. dubna 2011
RIPE NCC 14. září 2012
LACNIC
září 2014
ARIN
březen 2015
AFRINIC
2020
Co znamená vyčerpání?
RIPE NCC má speciální politiku pro poslední /8 prefix
každý LIR z něj může dostat jeden /22 prefix (1024 adres)
pevná velikost, bez ohledu na potřeby
každý LIR jen jednou
16 000 prefixů, 9 000 LIRů
Obsazení IPv4 prostoru
internetcensus2012.bitbucket.org
Masové vracení adres?
dobrovolné?
chybí motivace
nucené?
vzbudí značný odpor
přineslo by cca 10 let
nestojí za námahu
RIR nic nepodnikají
nepravděpodobné
ipv4.potaroo.net
Jak získat adresy?
stát se LIRem
registrace u RIPE NCC
zřizovací poplatek 2000 Euro + roční 1800 Euro
dostanete jednorázově 1024 IPv4 adres (prefix /22)
bonus zdarma: IPv6 podle potřeby
koupit od stávajícího vlastníka
řídké obsazení – lepší šance na nákup
ceny postupně porostou
Nová profese
adresní makléř
Rostoucí složitost sítě
Internet se kdysi dávno prosadil díky možnosti přímo komunikovat mezi libovolnými dvěma stroji
pak byl vynalezen NAT
uchovávání stavu je potenciálním zdrojem problémů
vícenásobné NATy
komplikace pro správu sítě
škálovatelnost?
zvykli jsme si (ale pořád se to zhoršuje)
Náklady na IPv6
obnova hardware – nové prvky obvykle umí IPv6
software – značné rozdíly
jednorázové úsilí
správa sítě
nutno vyškolit personál a adaptovat nástroje
hlídat funkčnost (zkušenost: nedělá problémy)
Krok stranou: IPv6 v praxi
síť Technické univerzity v Liberci
70 podsítí
8000 zařízení
IPv6 experimentálně od 1999 (nativně!)
IPv6 plošně od 2004 prakticky v celé síti
dual-stack WWW, DNS i e-mail servery
DNS pro běžné stroje v doméně .ip6.tul.cz
běží a nedělá problémy
Perspektiva nákladů
pro IPv6 budou klesat
z exotiky se stává běžná věc
šíří se povědomí a znalosti
pro IPv4 porostou
adresy
NATy a další komplikátory
IPv6 dnes často vnímáno jako náklad navíc jak dlouho ještě?
Ignorování může být nebezpečné
mnohé operační systémy a platformy IPv6 podporují a mají implicitně zapnuto
může způsobovat problémy – pokud se stroj mylně domnívá, že má k dispozici funkční IPv6
lze zneužít a obcházet přes IPv6 bezpečnostní mechanismy IPv4
viz RFC 7123
IPv6 u zákazníků?
Zákazník a IPv6
jen IPv6 nemá smysl, lépe dual-stack
motivace je problém
těžko nabídnout něco hmatatelného
využívají některé peer-to-peer služby
lze nabídnout veřejné adresy
lahůdka pro nerdy
marketingová hodnota – jsme progresivní
technická realizace?
Dual-stack páteř
páteř dual-stack, podpora IPv6 závisí na zákazníkově HW
výhody:
koncepční řešení
nejméně problémových míst
nevýhody:
aktivní prvky páteře musí podporovat IPv6
vyžaduje IPv4 adresy
IPv4 páteř (1)
IPv6 tunelováno
lze doporučit 6rd (RFC 5569, 5969)
vychází ze 6to4, ale poskytovatel má více kontroly
vyžaduje poskytovatelův IPv6 prefix – 6rd prefix
dalších 32 bitů obsahuje IPv4 adresu
IPv6 paket z koncové sítě, jehož adresa začíná 6rd prefixem, je tunelován na obsaženou IPv4 adresu
ostatní předávány na 6rd relay (opět 6rd tunelem)
6rd – přenos IPv6 koncová síť IPv6 Aplikace Aplikace
páteř IPv4
domácí 10.1.2.3 směrovač směrovač 10.9.8.7
2001:db8:a01:203::1 2001:db8:a01:203::1 ↓↓ 2a02:598:2::3 2a02:598:2::3
10.1.2.3 10.1.2.3 ↓↓ 10.9.8.7 10.9.8.7 2001:db8:a01:203::1 2001:db8:a01:203::1 ↓↓ 2a02:598:2::3 2a02:598:2::3
Internet IPv6 6rd 6rd relay relay 2001:db8:a01:203::1 2001:db8:a01:203::1 ↓↓ 2a02:598:2::3 2a02:598:2::3
IPv4 páteř (2)
výhody 6rd
evidentně funguje – provozováno několika velkými ISP
minimální zásah do páteře – jen provoz 6rd relay
nevýhody 6rd
nutná podpora v zákaznických směrovačích
rozvoj páteře závisí na IPv4 – možný problém s nedostatkem adres (lze neveřejné)
IPv6 páteř
vize: IPv4 se do stane pro páteř překážkou
zatím pro odvážné
Dual-Stack Lite
IPv6 funguje nativně
zákaznické IPv4 se tuneluje na centrální NAT (jediný potřebuje veřejné IPv4 adresy)
centrální NAT pro mapování adres využívá i IPv6 adresu zákaznického prvku – lze konfliktní neveřejné adresy
Co je nového?
Omezení hlaviček
dlouhé řetězce rozšiřujících hlaviček jsou oblíbeným nástrojem útočníků všeho druhu
bezstavový firewall nedokáže paket posoudit, pokud nemá kompletní hlavičky
RFC 7112: všechny rozšiřující hlavičky se musí vejít do prvního fragmentu
jinak zahodit datagram a poslat ICMPv6 zprávu
Bezpečnost objevování sousedů
triky s objevováním sousedů umožňují falšovat automatické konfigurační mechanismy
RFC 6980: zákaz fragmentace všech ND paketů
porušující pakety potichu ignorovat
výjimka: ohlášení certifikační cesty v SEND
RFC 7113: vylepšení RA-Guard
je třeba prohlížet všechny hlavičky datagramu
zahazovat pakety, kde hlavičky přesahují 1. fragment
MAC adresy v DHCPv6
RFC 6939
definuje volbu Client Link-Layer Address
do předané zprávy vloží DHCP relay – server se dozví MAC adresu vzdáleného klienta
umožní poskytovat konfiguraci protokolem DHCPv6 podle MAC adres, stejně jako IPv4
implementace … (nemění klienta)
Výběr adresy
RFC 6724 (náhrada RFC 3484)
výběr zdrojové a cílové adresy pro datagram
změny spíše kosmetické, základní principy zůstávají
cílové typicky dodá DNS
zdrojové vycházejí z individuálních adres odchozího rozhraní
rozšířena tabulka politik
potlačení historických prefixů
Tabulka politik prefix
prio zn
poznámka
::1/128 ::/0 ::ffff:0:0/96 2002::/16 2001::/32 fc00::/7 ::/96 fec0::/10 3ffe::/16
50 40 35 30 5 3 1 1 1
loopback
0 1 4 2 5 13 3 11 12
IPv4-mapované (historie) 6to4 Teredo unikátní lokální (ULA) IPv4-kompatibilní (historie) místní lokální (historie) 6bone (historie)
Výběr zdrojové adresy 1. 2. 3. 4. 5. 5.5 6. 7. 8.
stejná adresa odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat odchozí rozhraní preferovat prefix ohlášený směrovačem po cestě preferovat shodné značky preferovat dočasné delší shodný prefix
Výběr cílové adresy 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.
vyhýbat se nedosažitelným odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat shodné značky preferovat vyšší prioritu preferovat nativní transport preferovat menší dosah delší shodný prefix neměnit pořadí
beze změny
Řízení tabulky politik
nová volba DHCPv6 – Address Selection, RFC 7078
umožňuje nastavit tabulku automaticky
příznak P – preferovat adresy chránící soukromí Address Selection=48 rezerva
A P Položky tabulky politik
Délka
Rezervované adresy
100::/64
zahazování paketů (Remote Triggered Black Hole), RFC 6666)
ff0X::db8:0:0/96
dokumentační prefix pro skupinové adresy (Any-Source Multicast), RFC 6676
specifické typy skupinových adres obsahující individuální – používat individuální s dokumentačním prefixem
Na čem se pracuje
6man (1)
stabilní adresy zachovávající soukromí
(pseudo)náhodný identifikátor rozhraní, který v dané podsíti zůstává stabilní
hodnota vychází z
prefixu podsítě
rozhraní
identifikátoru sítě (SSID)
počítadla duplicit
draft-ietf-6man-stable-privacy-addresses
6man (2)
64bitová hranice pro identifikátor rozhraní
draft-ietf-v6ops-design-choices
skupinové adresy
draft-ietf-6man-multicast-addr-arch-update
draft-ietf-6man-multicast-scopes
zlepšená detekce duplicitních adres
řeší smyčky
draft-ietf-6man-multicast-scopes
v6ops
návrh IPv6 sítě
nasazení IPv6 v síti organizace
draft-ietf-v6ops-enterprise-incremental-ipv6
a v datových centrech
draft-ietf-v6ops-design-choices
draft-ietf-v6ops-dc-ipv6
zkušenosti s NAT64
draft-ietf-v6ops-nat64-experience
Děkuji za pozornost. Dotazy?
