Proč implementace IPv6 vázne? Pavel Satrapa

Proč implementace IPv6 vázne? Pavel Satrapa [email protected]

Špetka statistik

Google

AMS-IX



IPv6 cca 0,4 % provozu

DE-CIX



IPv6 cca 0,6 % provozu

www.tul.cz 

celkový počet přístupů z vnitřní sítě TUL – (skoro) kompletně dual-stack



o víkendech 65 % IPv6, zvenčí 1 %

49,83%

50,17%

IPv6 IPv4

www.tul.cz 

unikátní adresy z vnitřní sítě



zvenčí 3 %

39,05% 60,95%

IPv6 IPv4

Webový obsah



6lab.cisco.com

Webový obsah 

ČR jako světová velmoc: 60,34 %



metodika: 

z každé země nejnavštěvovanějších 500 serverů podle Alexa



ověřena dosažitelnost po IPv6



přepočítáno podle váhy serverů



v ČR podporovalo 72 z 500 největších serverů, ale jednalo se o velké servery

Proč tak málo?

Problémy IPv6 (1) 

zpětná nekompatibilita 





uživatel musí mít možnost dostat se k IPv4 zdrojům

slepice versus vejce 

nejsou služby – uživatelé nemají zájem



nejsou uživatelé – poskytovatelé služeb nemají zájem

nedostatky protokolu 

spíše přeháněny



má rutinně nasazeno Google a Facebook, NIXy tečou gigabity za sekundu

Problémy IPv6 (2) 



ekonomika 

vidím holuba na střeše, ale nejprve pořádně vyždímu vrabce v hrsti



IPv6 není první technologií s tímto problémem

chybí „killer application“ 

není a nejspíš nebude

Zlepší se to? aneb Motivace pro IPv6

Vyčerpání adres 

centrální: 



IANA

3. února 2011

RIR: 

APNIC

19. dubna 2011



RIPE NCC 14. září 2012



LACNIC

srpen 2014



ARIN

prosinec 2014



AFRINIC

2020

Co znamená vyčerpání? 

RIPE NCC má speciální politiku pro poslední /8 prefix



každý LIR z něj může dostat jeden /22 prefix (1024 adres)



pevná velikost, bez ohledu na potřeby



každý LIR jen jednou



16 000 prefixů, 9 000 LIRů

Obsazení IPv4 prostoru



internetcensus2012.bitbucket.org

Masové vracení adres? 

dobrovolné? 



chybí motivace

nucené? 

vzbudí značný odpor



přineslo by cca 10 let



nestojí za námahu



RIR nic nepodnikají



nepravděpodobné

ipv4.potaroo.net

Jak získat adresy? 



stát se LIRem 

registrace u RIPE NCC



zřizovací poplatek 2000 Euro + roční 1800 Euro



dostanete jednorázově 1024 IPv4 adres (prefix /22)



bonus zdarma: IPv6 podle potřeby

koupit od stávajícího vlastníka 

řídké obsazení – lepší šance na nákup



ceny postupně porostou

Nová profese 

adresní makléř

Rostoucí složitost sítě 

Internet se kdysi dávno prosadil díky možnosti přímo komunikovat mezi libovolnými dvěma stroji



pak byl vynalezen NAT



uchovávání stavu je potenciálním zdrojem problémů



vícenásobné NATy





komplikace pro správu sítě



škálovatelnost?

zvykli jsme si (ale pořád se to zhoršuje)

Náklady na IPv6 

obnova hardware – nové prvky obvykle umí IPv6



software – značné rozdíly 



jednorázové úsilí

správa sítě 

nutno vyškolit personál a adaptovat nástroje



hlídat funkčnost (zkušenost: nedělá problémy)

Krok stranou: IPv6 v praxi 

síť Technické univerzity v Liberci 

70 podsítí



8000 zařízení



IPv6 experimentálně od 1999 (nativně!)



IPv6 plošně od 2004 prakticky v celé síti



dual-stack WWW, DNS i e-mail servery



DNS pro běžné stroje v doméně .ip6.tul.cz



běží a nedělá problémy

Perspektiva nákladů 





pro IPv6 budou klesat 

z exotiky se stává běžná věc



šíří se povědomí a znalosti

pro IPv4 porostou 

adresy



NATy a další komplikátory

IPv6 dnes často vnímáno jako náklad navíc jak dlouho ještě?

IPv6 u zákazníků

Zákazník a IPv6 

jen IPv6 nemá smysl, lépe dual-stack



motivace je problém 

těžko nabídnout něco hmatatelného



využívají některé peer-to-peer služby



lze nabídnout veřejné adresy 

lahůdka pro nerdy



marketingová hodnota – jsme progresivní



technická realizace?

Dual-stack páteř 

páteř dual-stack, podpora IPv6 závisí na zákazníkově HW



výhody:





koncepční řešení



nejméně problémových míst

nevýhody: 

aktivní prvky páteře musí podporovat IPv6



vyžaduje IPv4 adresy

IPv4 páteř (1) 

IPv6 tunelováno



lze doporučit 6rd (RFC 5569, 5969)



vychází ze 6to4, ale poskytovatel má více kontroly 

vyžaduje poskytovatelův IPv6 prefix – 6rd prefix



dalších 32 bitů obsahuje IPv4 adresu



IPv6 paket z koncové sítě, jehož adresa začíná 6rd prefixem, je tunelován na obsaženou IPv4 adresu



ostatní předávány na 6rd relay (opět 6rd tunelem)

6rd – přenos IPv6 koncová síť IPv6 Aplikace Aplikace

páteř IPv4

domácí 10.1.2.3 směrovač směrovač 10.9.8.7

2001:db8:a01:203::1 2001:db8:a01:203::1 ↓↓ 2a02:598:2::3 2a02:598:2::3

10.1.2.3 10.1.2.3 ↓↓ 10.9.8.7 10.9.8.7 2001:db8:a01:203::1 2001:db8:a01:203::1 ↓↓ 2a02:598:2::3 2a02:598:2::3

Internet IPv6 6rd 6rd relay relay 2001:db8:a01:203::1 2001:db8:a01:203::1 ↓↓ 2a02:598:2::3 2a02:598:2::3

IPv4 páteř (2) 



výhody 6rd 

evidentně funguje – provozováno několika velkými ISP



minimální zásah do páteře – jen provoz 6rd relay

nevýhody 6rd 

nutná podpora v zákaznických směrovačích



rozvoj páteře závisí na IPv4 – možný problém s nedostatkem adres (lze neveřejné)

IPv6 páteř 

vize: IPv4 se do stane pro páteř překážkou



zatím pro odvážné



Dual-Stack Lite 

IPv6 funguje nativně



zákaznické IPv4 se tuneluje na centrální NAT (jediný potřebuje veřejné IPv4 adresy)



centrální NAT pro mapování adres využívá i IPv6 adresu zákaznického prvku – lze konfliktní neveřejné adresy

Co je nového?

MAC adresy v DHCPv6 

RFC 6939



definuje volbu Client Link-Layer Address



do předané zprávy vloží DHCP relay – server se dozví MAC adresu vzdáleného klienta



umožní poskytovat konfiguraci protokolem DHCPv6 podle MAC adres, stejně jako IPv4



implementace … (nemění klienta)

Výběr adresy 

RFC 6724 (náhrada RFC 3484)



výběr zdrojové a cílové adresy pro datagram



změny spíše kosmetické, základní principy zůstávají





cílové typicky dodá DNS



zdrojové vycházejí z individuálních adres odchozího rozhraní

rozšířena tabulka politik 

potlačení historických prefixů

Tabulka politik prefix

prio zn

poznámka

::1/128 ::/0 ::ffff:0:0/96 2002::/16 2001::/32 fc00::/7 ::/96 fec0::/10 3ffe::/16

50 40 35 30 5 3 1 1 1

loopback

0 1 4 2 5 13 3 11 12

IPv4-mapované (historie) 6to4 Teredo unikátní lokální (ULA) IPv4-kompatibilní (historie) místní lokální (historie) 6bone (historie)

Výběr zdrojové adresy 1. 2. 3. 4. 5. 5.5 6. 7. 8.

stejná adresa odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat odchozí rozhraní preferovat prefix ohlášený směrovačem po cestě preferovat shodné značky preferovat dočasné delší shodný prefix

Výběr cílové adresy 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

vyhýbat se nedosažitelným odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat shodné značky preferovat vyšší prioritu preferovat nativní transport preferovat menší dosah delší shodný prefix neměnit pořadí

Identifikátor zóny v URL 

RFC 6874



v adrese se odděluje %



v URL je % speciální znak – nutno psát %25



http://[fe80::ace%25eth1]



případné další rezervované znaky v identifikátoru nutno také kódovat

Rezervované adresy 

100::/64 



zahazování paketů (Remote Triggered Black Hole), RFC 6666)

ff0X::db8:0:0/96 

dokumentační prefix pro skupinové adresy (Any-Source Multicast), RFC 6676



specifické typy skupinových adres obsahující individuální – používat individuální s dokumentačním prefixem

Překladové mechanismy

464XLAT (1) 

RFC 6877



IPv4 pro koncové sítě připojené k IPv6 páteři



netuneluje, překládá



asymetrické – podobně jako dnešní NAT



CLAT – SIIT na straně uživatele, neveřejné IPv4 1:1 veřejné IPv6



PLAT – NAT64 na straně poskytovatele, veřejné IPv6 N:1 veřejné IPv4

464XLAT (2) koncová síť IPv4 RFC 1918 CLAT CLAT (SIIT) (SIIT)

Aplikace Aplikace 10.0.0.1 10.0.0.1 ↓↓ 77.75.76.3 77.75.76.3

páteř

Internet

IPv6 veřejné

IPv4 veřejné PLAT (NAT64) (NAT64)

2001:db8:ab::10.0.0.1 2001:db8:ab::10.0.0.1 ↓↓ 2001:db8:ab::77.75.76.3 2001:db8:ab::77.75.76.3

147.230.10.7 147.230.10.7 ↓↓ 77.75.76.3 77.75.76.3

464XLAT (3) 



CLAT může být i v koncovém zařízení 

zajímavé pro mobilní sítě



existuje implementace CLAT pro Android http://dan.drown.org/android/clat/

má nasazeno JPIX

6a44 

RFC 6751



cíleno na (domácí) koncové sítě podporující jen IPv4



připomíná Teredo s podporou poskytovatele



používá prefix /48 určený poskytovatelem – přidělí 6a44 relay na začátku komunikace

Na čem se pracuje

6man (1) 



dynamické změny výběru adres 

centrální řízení politik



nastavení návštěvnických strojů



draft-ietf-6man-addr-select-considerations draft-ietf-6man-addr-select-opt

vyjasnění zpracování rozšiřujících hlaviček 

draft-ietf-6man-ext-transmit

6man (2) 

stabilní adresy zachovávající soukromí 

(pseudo)náhodný identifikátor rozhraní, který v dané podsíti zůstává stabilní



hodnota vychází z





prefixu podsítě



rozhraní



identifikátoru sítě (SSID)



počítadla duplicit

draft-ietf-6man-stable-privacy-addresses

v6ops 

nasazení IPv6 v síti organizace 



a v datových centrech 



draft-ietf-v6ops-dc-ipv6

požadavky na domácí směrovače 



draft-ietf-v6ops-enterprise-incremental-ipv6

draft-ietf-v6ops-6204bis

monitoring dual-stack a IPv6 služeb 

draft-ietf-v6ops-monitor-ds-ipv6

Děkuji za pozornost. Dotazy?