1. IPv6 v omrežju ARNES:
izkušnje internetnega ponudnika
Matjaž Straus, Arnes
matjaz.straus@arnes.si
VITEL - 24. delavnica o telekomunikacijah - PREHOD NA IPv6
Brdo pri Kranju, 19. - 20.4. 2010
2. IPv6 v omrežju ARNES:
izkušnje internetnega ponudnika
• naslovni prostor
• usmerjanje prometa
• omrežna oprema
• povezovanje organizacij
• nadzor omrežja
• interno omrežje in strežniki
• ozaveščanje uporabnikov
5. naslovni prostor (2)
• 2001:1470::/32
• /48 za organizacijo ali dislocirano enoto
• n * /48 za večje organizacije
• /64 za lokalno omrežje
• /64 za vse povezovalne segmente
• /65 – /127: ne uporabljamo!
6. naslovni prostor (3a)
groba delitev
2001:1470::/32
hrbtenica in dostop organizacije rezerva
hrbtenica dostopovne povezave
loopback-i povezave
10. naslovni prostor (6)
model naslova povezave in
naprave
• xxx – št.vozlišča (hex)
• nnnn, n...n – zap.št.povezave/naprave
11. naslovni prostor (7)
organizacije
• /34 – blok za organizacije
(16384 * /48)
• 16 * /38 – skupine “sorodnih”
• 16 * /42 – podskupine
• 4 * /44 – velike organizacije (do 16 enot)
• 16 * /46 – večje organizacije (do 4 enote)
• 64 * /48 – posamezne organizacije/enote
A:c000::/34 skupina 0 - 255 organizacija
/34 /42 /48
12. usmerjanje prometa
• OSPFv3
• dobro predznanje inženirjev
• poseben usmerjevalni proces in ločena
topologija omrežja
• dobra podpora v omrežni opremi
• IS-IS
• manj izkušenj v ekipi
• enoten usmerjevalni proces
• nekaj prednosti v velikih omrežjih
13. usmerjanje prometa (2)
globalni naslovi na povezavah?
• hrbtenica z “link-local”-naslovi
fe80::/10
• globalni “loopback”-naslovi
Hm?
usmerjevalnikov
14. omrežna oprema
• Cisco, Juniper
• omejitve nekaterih naprav
• delovanje s CPU-jem (npr. Cat4500, Sup IV, V)
• 64-bitna zasnova (npr. Cat3750)
• 128-bitni indeksi v filtrih (npr. Cat6500)
• omejena strojna kapaciteta
• “draga” podpora za netflow v9 (npr. Juniper
Multiservices DPC)
• napake v programski opremi
15. omrežna oprema (2)
primer omejitve strojne kapacitete
§ “desktop routing" template:
number of unicast mac addresses: 3K
number of IPv4 unicast routes: 11K
number of directly-connected IPv4 hosts: 3K
number of indirect IPv4 routes: 8K
number of IPv4 policy based routing aces: 512
number of IPv4/MAC qos aces: 512
number of IPv4/MAC security aces: 1K
§ "desktop IPv4 and IPv6 routing" template:
number of unicast mac addresses: 1536
number of IPv4 unicast routes: 2816
number of directly-connected IPv4 hosts: 1536
number of indirect IPv4 routes: 1280
number of IPv6 multicast groups: 1152
number of directly-connected IPv6 addresses: 1536
number of indirect IPv6 unicast routes: 1280
number of IPv4 policy based routing aces: 256
number of IPv4/MAC qos aces: 512
number of IPv4/MAC security aces: 512
number of IPv6 policy based routing aces: 255
number of IPv6 qos aces: 510
number of IPv6 security aces: 510
16. omrežna oprema (3)
napake v programski opremi
ipv6 access-list LOG6
permit ipv6 any any log
CSCek41066:
IPv6 ospf: Next hop info isn’t updated
after change in link-local addr
17. povezovanje organizacij
• tuneli
• testni priklopi
• MTU
• strojna oprema za zaključevanje tunelov
• “native”
• ustrezni usmerjevalniki/L3-stikala
npr. Cisco 3750/3560, 4500, 4900, 1941, 892, ...
18. nadzor
• zajem in nadzor prometa
• ločeni VLAN-i
• problemi s števci
• podpora za netflow v9
• Cacti
• nfdump/NfSen
• nadzor naprav in povezav
• Nagios/Icinga
• Smokeping
19. nadzor (2)
“hekamo” števce prometa
§ Juniper firewall filter: § Cisco policer:
term Arnes6 { class-map match-all MatchIPv4
from { match protocol ip
destination-prefix-list { class-map match-all MatchIPv6
ArnesAnnounced6; match protocol ipv6
} !
policy-map CountIPv4AndIPv6
}
class MatchIPv4
then {
police 10000000000 conform-
count cntrC_Arnes6; action transmit
next term; exceed-action transmit
} violate-action transmit
} class MatchIPv6
police 10000000000 conform-
action transmit
exceed-action transmit
violate-action transmit
!
20. interno omrežje in strežniki
• naslovni prostor
• zanesljiv, redundanten prehod
• požarna pregrada
• varnost znotraj internega omrežja
21. interno omrežje in strežniki (2)
naslovni prostor
2001:1470:8000:lsgg::/64
l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – VITEL
s – področje glede na varnostno politiko (scope)
4 glavna področja, 16 podpodročij:
2001:1470:8000:l000::/54 ... globalno, za protipožarno pregrado, npr.
javni strežniki
2001:1470:8000:l400::/54 ... globalno, odprto, npr. prireditve, delavnice
2001:1470:8000:l800::/54 ... interno (notranje, za protipožarno pregrado)
2001:1470:8000:lC00::/54 ... interno (odprto)
gg – skupina (group): npr. 256 skupin javnih strežnikov
23. interno omrežje in strežniki (4)
požarna pregrada
• zahteve
• visoka zanesljivost
• porazdelitev bremena (“load sharing”)
• izbran način delovanja je podprt le za
IPv4 L
• za IPv6 le osnoven “failover”
24. interno omrežje in strežniki (5)
varnost
• IPv6 RA/RS
• prve implementacije “RA Guard” J
• skriti tuneli skozi požarno pregrado
• IPv6 ne dela – izklopi “firewall”, pa bo!
• odlično predavanje: Eric Vyncke, Cisco: IPv6 Security
Threats and Mitigations
• za hekerje:
http://freeworld.thc.org/papers/vh_thc-ipv6_attack.pdf