Přednáška Ondřeje Filipa a Pavla Tůmy na o internetové infrastruktuře z hlediska registrátora národní domény. Přednáška pojednává o správě internetu na celosvětové a národní úrovni, informuje o způsobech propojování sítí různých provederů pomocí protokolu BGP, a seznamuje se základy protokolu IPv6 a současným stavem jeho zavádění v České republice.

1. Správa Internetu, routing, IPv6
CZ.NIC z. s. p. o.
Ondřej Filip / ondrej.filip@nic.cz
Pavel Tůma / pavel.tuma@nic.cz
28.1.2010 Unicorn college / GUG
1

2. Obsah
● Úvod, o CZ.NIC
● Správa Internetu
● Směrování
● IPv6
2

3. CZ.NIC
● Zájmové sdružení právnických osob
● Neutrální a nezisková organizace
● 66 členů
● Hlavní činností - správa domény nejvyšší úrovně (TLD) .cz
● Registrace domén – pouze přes registrátory
● 41 komerčních registrátorů
● Striktně „First come First Serve“
● 640.000 domén, DNSSEC
● Další významná činnost – registrace ENUM
● Člen ccNSO, CENTR, EURid, ENUM Federation 3

4. Činnosti CZ.NIC
● Správa DNS a ENUM - http://www.nic.cz, http://enum.nic.cz
● Opensource registrační systém FRED - .ao, .tz, .fo, .cr, .al, ...
● Podpora internetové infrastruktury – time server, root servers
● Podpora nových technologií
● Výzkum a vývoj – Laboratoře CZ.NIC - http://labs.nic.cz
● Osvěta a vzdělávání - http://www.nic.cz/akademie
● Bezpečnost
4

5. Správa Internetu
5

6. Správa internetu
Co je potřeba spravovat?
● Čísla
– Rozdělování bloků IP adres (sítě)
– Přidělování čísel Autonomních Systémů (AS)
● Domény
– Správa kořenové (root) úrovně DNS
– Registrace domén
● Protokoly
– Registrace číselníků
● Kdo to dělá?
6

7. Správa internetu
Globální správce
● Historie
– Před 1972: „hic sunt leones“
– 1972 „socket registry“
– 1990 Internet Assigned Numbers Authority
– Jon Postel
– Až do 1998
● Internet Corporation for Assigned Names and Numbers
– ICANN
– Nezisková organizace, Kalifornie
– Založení 18.9.1998 vládou USA (DoC a NTIA)
– IANA „součástí“ ICANN
7

8. Správa internetu
ICANN
8

9. Správa internetu
IANA
● Registry alokace prostorů IPv4/IPv6 + ASN (16,32bit)
9

10. Správa internetu
IANA
● Root zone DB
10

11. Správa internetu
IANA
● Procesy delegace a změny TLD
● Jaké země nemají delegovanou doménu?
● Další výjimky …
● „Konstrukce“ root zóny
TLD Root srv
IANA Verisign
registr operator
NTIA
11

12. Správa internetu
IANA
● Číselníky různých prokolů
12

13. Správa internetu
Regionální úroveň - čísla
13

14. Správa internetu
Regionální úroveň - čísla
● Regional Internet Registry (RIR)
● Poskytování bloků lokálním internetovým registrům (LIR)
● LIR
– ISP
– Velká organizace
– Poskytovatelé služeb
● LIR musí být členem RIR
● Pro Evropu: Réseaux IP Européens (RIPE) NCC
– Holandsko
– 205 členů z ČR
14

15. Správa internetu
Regionální úroveň - domény
● TLD registry
● Podobně jako CZ.NIC
● gTLD versus ccTLD
● Podmínky registrace domén
– Jak může doménové jméno vypadat
– Kdo může doménu v dané TLD registrovat
– Jaký je proces a náležitosti registrace a správy domény
15

16. Správa internetu
Další organizace a aktivity
● Internet Engineering Task Force (IETF)
– Otevřená komunita
– Technické standardy
– Protokoly, doporučení, best practices, …
– RFC
● Internet Society (ISOC)
– Sdružení členů
– Propagace internetu
– Hlavně vzdělávání
16

17. Směrování
17

18. IP protokol, IP adresa
● Počítače nerozumí jménům
● Počítače rozumí číslům
● Každý počítač v Internetu má (nejméně jedno) číslo
● Jmenuje se IP adresa – 4 byte (nebo 16 byte)
● Kdysi byla unikátní... :-(
● 193.165.250.33
● 2001:1488:0:3::2
18

19. Network, netmask
● Počítač by si měl pamatovat k IP adrese i síťovou
masku (anebo mu to někdo řekne)
● Síťová maska jsou jedničky a pak nuly (ve dvojkové
soustavě)
● 255.255.255.0 (někdy taky /24)
● Logický bitový součin masky a adresu je číslo sítě
● Počítače se stejným číslem sítě by měli být připojeni
ke stejné síti!
● Prefix – 192.168.1.0/24
● Delší prefix, kratší prefix
19

20. Komunikace na stejné lokální síti
● P1: 192.168.1.1 mask: 255.255.255.0
● P2: 11000000101010000000000100000010
(192.168.1.2)
● P2: 11111111111111111111111100000000
(255.255.255.0)
20

21. Gateway
● Co když číslo sítě nesedí?
● Měl by znát (default) bránu – cestu k někomu
chytřejšímu
● Chytřejší se nazývá router a.k.a. směrovač
● Router je podfuk, ať žije počítač!!!!!!!!!!
21

22. Router
● Zařízení připojené k více sítím
● Má více IP adres
● Umí přeposlat „cizí“ zprávu - forwarding
● Cestu pozná podle směrovací (routovací) tabulky
22

23. Routery
● Malý a levný
23

24. Routery
● Velký a drahý
24

25. Routery
● Běžné PC s Unixem
● V Linuxu stačí jen zapnout routing a mít 2 rozhraní
● Sysctl – distribuce
25

26. Směrovací tabulka 217.31.202.0/24
217.31.203.0/24 217.31.201.0/24
26

27. Směrovací tabulka
Možný příklad:
217.31.201.0/24 dev eth0
217.31.202.0/24 dev eth1
217.31.203.0/24 via 217.31.201.1 dev eth0
default via 217.31.202.1 dev eth1
● Prioritu mají specifičtější cesty
27

28. Konfigurace?
● Jak se router dozví topologii sítě?
● Jak sestaví směrovací tabulku?
● STATICKY (Ručně)
jenže.......
28

29. Někdy je síť složitější
29

30. Internet musí přežít!!!
30

31. Dynamické směrování
● Nic nového, jen se automaticky sestavuje
směrovací tabulka
● Směrovače si „povídají“ o topologii (směrovací
protokoly) – říkají si, které sítě vidí (propagují)
● Až na něco přijdou..... (a sestaví směrovací
tabulku)
● Nikdy neví všechno! (někdo má globální pohled
bez detailů, někdo zná detailně místní situaci)
31

32. Rozdělení směrovacích protokolů
● Rychlé a pomalé, jednoduché a složité, ale hlavně
kamarádské a nepřátelské neboli:
Interní a Externí
● Máme autonomní systémy (a jejich čísla) – 16 bit (a
teď i 32 bit)
● Množina směrovačů (kamarádů) pod jednotnou
správou
● Na hranici jsou „velké“ směrovače – tlumočníci,
novináři – agregují informace
32

33. Rozdělení směrovacích protokolů
AS 2
RIP
BGP
AS 1
OSPF
BGP
BGP
AS 3 33
static

34. Interior Gateway Protocols
● RIP, RIPv2, RIPng – ne příliš používané
● OSPFv2, OSPFv3 – nejběžnější IGP
● IS-IS (proprietární Cisco)
● Statický
● Rychlé, důvěřivé (krom statického), obvykle
menší tabulka, default route
34

35. Border gateway protocol
● Jediný zástupce EGP
● BGP routery vidí „rozmazaně“ vidí celý svět
● Jsou nedůvěřivé (eBGP)
● I důvěřivější (iBGP)
● Často nemají default routu
● Ale mívají statisíce položek v RT
● Posílá informace o sítích, které jsou přes něj dostupné
(pouze nejkratší cestou) a přidá své číslo AS (u eBGP)
● Preferuje se routa s nejmenším počtem AS v cestě
35

36. Border gateway protocol
● Každá routa (prefix) tedy obsahuje „cestu“ - seznam
AS, přes které je nutno projít
● Preferuje se routa s nejmenším počtem AS v cestě
● Když předává informaci o síti (routa), může k přidat
celou řadu dalších informací – atributy
● Význam filtrování
● Výzkum
36

37. Směrovací rozhodnutí
● Kratší AS_PATH vyhrává
– 192.168.0.0/16 AS 100 1
vs.
– 192.168.0.0/16 AS 100 2 3 6
● Více specifická specifická cesta je lepší
– 192.168.0.0/17
vs.
– 192.168.0.0/16
37

38. Border gateway protocol
AS3
eBGP iBGP
AS 1 AS2
AS3: AS2, AS3 AS3: AS3
AS4: AS2, AS4 AS4, AS3
AS4: AS4 AS4
AS3, AS4
38

39. Border gateway protocol
39

40. Vztahy v BGP
● Peering
– (Většinou) zdarma, úspora vzájemných nákladů
– 1:1
– IP rozsahy nejsou distribuovány dále
● Zákazník - upstream
– (Většinou) placeno transitnímu operátorovi
– Propagace od zákazníka je posílána dále
– Zákazníkovi je zprostředkována konektivita do
zbytku Internetu
40

41. Kdo je na vrcholu?
● A má upstream ISP další upstream?
● Někde to musí skončit
● Tier-1 sítě
● Zhruba 10 ISP, kteří si vzájemně zpřístupňují
celý svět, vesměs USA
● Obvykle neradi peerují krom Tier-1
● ... Tier-2, Tier-3
41

42. Peeringové uzly - IXP
● Obvykle 1 ethernetový segment (jedna síť)
● Ale často více lokalit
● Vysoká redundance
● Všichni ISP připojeni (často vícekrát – do různých
lokalit)
● Odpadá nutnost fyzického propojování se s každým
● Propojování protokolem BGP – každý s každým
42

43. Peeringový uzel NIX.CZ
● 4 lokality v Praze, 7 přepínačů (switchů)
● Mezi největšími 10 v Evropě
● Tok ve špičkách tok cca 120 Gbps
● 100 připojených sítí
● Podpora IPv4 i IPv6
● Hlavní distribuční uzel pro kořenové DNS server L
ICANNu pro Evropu
● http://www.nix.cz
43

44. Topologie NIX.CZ
44

45. Toky v NIX.CZ
45

46. Route server
● Route server – snížení počtu BGP relací
● Každý člen IXP – n-1 BGP relací - celkem n*(n-1)/2
● Nutnost konfigurace s každým novým členem
● Zátěž CPU router
● Řešením je route server – všichni jsou pouze připojeni
k RS – 1 relace na router – n celkem
● RS musí skrýt svou existenci
● Kvalitní filtrování – tisíce položek
● Ačkoliv jsou všichni propojeni k route serveru, nemusí
všichni být propojeni se všemi – signalizace RS
46
● Kvalita RS, efektivita RS

47. IXP bez route serveru
47

48. IXP s route serverem
48

49. Směrovací démon
● Na Linuxu (a ostatních UNIXech) – uživatelská
aplikace mimo jádro, forwarding v jádře
● Obvykle implementuje více směrovacích protokolů
● Směrovací politika - filtrování
● Quagga (Zebra) – Cisco syntax http://www.quagga.net
● OpenBGPd - http://www.openbgpd.org (OpenOSPFd)
● GateD – zastaralý, ne volná licence
● BIRD - http://bird.network.cz
49

50. Směrovací démon BIRD
● Jeden z projektů Laboratoří CZ.NIC - http://labs.nic.cz
● Implementuje RIP, OSPF a BGP včetně IPv6 variant
● Vysoká efektivita – spotřeba paměti a CPU
● Výrazně silnější a rychlejší filtering (!)
● Stabilita a rekonfigurovatelnost
● Používán „malých“ routerech – nedostatek zdrojů
● Nasazen jako route server ve velkých IXP – NIX.CZ,
VIX, LoNAP, LINX (další testují)
50

51. IPv6
aneb o konci internetu
51

52. IPv6
Problém!
● Adresy ubývají
● Problém je známý dlouho
● Historicky: přidělování neefektivní
– Stejný rozsah pro MIT i Čínu!
● Objevily se, ale technologie zpomalující úbytek
– CIDR
– NAT
● Řešení je známé dlouho – IPv6
– Počet adres je 2128 + nové vlastnosti
● Proč o tom mluvíme?
52

53. IPv6
Blížíme se ...
IANA duben 2011, RIR srpen 2012
http://ipv4.potaroo.net 53

54. IPv6
Co dál?
● Zavádění IPv6 postupuje pomalu
– Nekompatibilní s IPv4
– Možné duálně
– Stále se hledá technické řešení …
● Co se tedy stane, pokud nepokročíme?
54

55. IPv6
Apokalypsa?
4 jezdci apokalypsy
Albrecht Dürer
dřevoryt, 1498
55

56. IPv6
Apokalypsa?
● Snad ne
● IPv4 Internet bude fungovat dál
● Poslední bloky, burzy adres …?
● Impuls pro IPv6
● Služby jsou stejné, jde o transport
● Změní se poměr nákladů
56

57. IPv6
Kde je problém?
● Poskytovatelé služeb: „Nikdo to nechce.“
● Uživatelé: „Nevíme o tom.“
57

58. IPv6
Situace v ČR – ISP
● Dle NIX.CZ
– Počet ISP s IPv6 konektivitou: 33
– IPv6 provoz
● Reálně na trhu … pro firmy / pro jednotlivce ?
– Firmy: Ano, i když omezeně.
– Jednotlivci: Ne
58

59. IPv6
Situace v ČR – Poskytovatelé služeb
● Poskytovatelé služeb (top 10 webů dle NetMonitor)
Poskytovatel Návštevnost
seznam.cz 12 720 848
novinky.cz 2 985 282
centrum.cz 2 178 304 IPv6?
super.cz 1 930 844 AAAA pro
idnes.cz 1 833 703 www.xxxxx.cz
lide.cz 1 170 734
aukro.cz 638 212
sport.cz 595 421 0
firmy.cz 538 038
mapy.cz 493 564
59

60. IPv6
Situace v ČR – Poskytovatelé služeb
● CESNET, CZNIC
● KIT Digital (Visual Connection), Hosting 90, Google
● Státní infrastruktura – do konce roku 2010!
● Statistika z registru domén (konec roku 2009)
– AAAA u hostname
– NS záznamy, MX záznamy a www.xxxxxx.cz
Služba Celkem Podíl
DNS 22019 3,53%
E-mail 8454 1,35%
WWW 6178 0,99%
60

61. IPv6
Situace v ČR – Uživatelé
● Co dělat když chci IPv6?
● Správný provider … ale co když není?
● IPv6 tunneling
– 6in4 – přenos v IPv4 packetech
● Tunnel brokers (Hurricane Electric, SixXS)
● Free
● Jak na to?
● „Praktická implementace IPv6“ www.nic.cz/it09
61