Slasti a strasti sítí s protokolem IPv6 (...aneb co Vás čeká a nemine)

Podobné dokumenty
Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Obrana sítě - základní principy

IPv6 v CESNETu a v prostředí akademických sítí

Virtualizace síťových prvků

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Obsah. Úvod 13. Věnování 11 Poděkování 11

Principy budování datového centra VŠB-TU Ostrava

Budování sítě v datových centrech

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Co znamená IPv6 pro podnikovou informatiku.

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Budování sítě v datových centrech

Semestrální projekt do předmětu SPS

Bezpečnostní projekt Případová studie

Přidělení parametrů projektu návrhu sítě skupinám studentů

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Koncept centrálního monitoringu a IP správy sítě

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

Počítačové sítě 1 Přednáška č.5

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Popis zapojení jednotlivých provozních režimů WELL WRC3500_V2 WiFi GW/AP/klient/repeater/switch, 54 Mb/s, R-SMA

IT technologie datového centra VŠB-TU Ostrava

Technická specifikace zařízení

Město Litvínov se sídlem Městský úřad Litvínov, náměstí Míru 11, Litvínov odbor systémového řízení

Implementace IPv6. Plán migrace. Příloha č. 1 Migrační plán. NÁZEV ZKRÁCENĚ IPv6. ředitel CEO. IT úsek IT CEO DATE VERSION V1.

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Stav IPv4 a IPv6 v České Republice

Dual-stack jako řešení přechodu?

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

Co nového v IPv6? Pavel Satrapa

PB169 Operační systémy a sítě

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Z internetu do nemocnice bezpečně a snadno

Správa systému MS Windows II

Koncept. Centrálního monitoringu a IP správy sítě

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Nasazení IPv6 v podnikových sítích a ve státní správě

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Stručný návod pro nastavení routeru COMPEX NP15-C

BEZPEČNOST (BEZ)DRÁTU. Martin Macek,

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

IPv6 využití v praxi.... z pohledu ISP

12. Bezpečnost počítačových sítí

PB169 Operační systémy a sítě

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Technické aspekty zákona o kybernetické bezpečnosti

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Řešení jádra sítě ISP na otevřených technologiích

Počítačová síť TUONET a její služby

CAD pro. techniku prostředí (TZB) Počítačové sítě

WrapSix aneb nebojme se NAT64. Michal Zima.

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

JAK ČÍST TUTO PREZENTACI

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Implementace protokolu IPv6

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Obsah. O autorech 9. Předmluva 13. KAPITOLA 1 Počítačové sítě a Internet 23. Jim Kurose 9 Keith Ross 9

IPv6 a Telefónica Czech Republic

P16V PŘÍLOHA Č. 5 STANDARD KONEKTIVITY ŠKOL

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Virtuální sítě 2.část VLAN

Technický popis předmětu plnění

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

(Ne)bojím se IPv6! Matěj Grégr. Vysoké učení technické v Brně, Fakulta informačních technologií LinuxAlt 2013

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Přehled služeb CMS. Centrální místo služeb (CMS)

Část l«rozbočovače, přepínače a přepínání

Demo: Multipath TCP. 5. října 2013

DNS, DHCP DNS, Richard Biječek

Základní principy obrany sítě

IPv6 Autokonfigurace a falešné směrovače

Advanced IT infrastructure control: do it better, safer, easier and cheaper. FlowMon ADS Moderní řešení detekce průniků a anomálií

Jak funguje SH Síť. Ondřej Caletka

FlowMon novinky. Představení FlowMon verze 5.0. Petr Špringl

Optická gigabitová páteř univerzitní sítě má kruhovou topologii s uzly tvořící dva kruhy propojenými v následujícím pořadí:

Počítačové sítě ZS 2013/2014 Projekt návrhu sítě zadání

FlowGuard 2.0. Whitepaper

Zabezpečení v síti IP

Úvod do IPv6. Pavel Satrapa

Technické podmínky a doporučení provozu OneSoftConnect na infrastruktuře zákazníka

Poděkování 21 O autorovi 23 Úvod 25 Síťové certifikace Cisco 25

Popis nastavení DNS serveru Subjektu

Základy IOS, Přepínače: Spanning Tree

Proč implementace IPv6 vázne? Pavel Satrapa

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Počítačová síť ve škole a rizika jejího provozu

Transkript:

Slasti a strasti sítí s protokolem IPv6 (...aneb co Vás čeká a nemine) 6.6.2016 Martin Pustka Martin.Pustka@vsb.cz VŠB-TU Ostrava

Agenda Stručný přehled toho, co to znamená provozovat IPv6, lehký průvodce starostmi a seznamem toho, na co byste neměli zapomenout. O motivacích, vazbách na další IT technologie, některých best-practice doporučeních, uživatelích i administrátorech.

IPv6 a to jako proč? S IPv4 přece všechno běhá jak má. IPv6 není třeba. Pokud koncové systémy v dnešních sítích nemají IPv6, tak mohou mít problém s přístupem k IPv6 službám, a to i přesto, že jsou dostupné i na IPv4. Pokud nemají systémy IPv6, tak se k IPv6 mohou dostat, a to i bez vědomí uživatele a v horší kvalitě. Může uživatelům IPv6 i chybět? Pokrok se velmi často rodí z krizí. Ondřej Neff, Neviditelný pes

Jdeme na to! Na co se má ajťák připravit? Počítejme, že některé věci bude nutno řešit dvakrát, popř. budeme muset rozšiřovat IPv4 nastavení. Nemění a nenasazuje se jen IPv6, ale i mění se i okolní IT technologie nasazením práce nekončí. To jsem vám chtěl právě říct, abyste si na to dali pozor, kdybyste někdy plánovali nějakou takovou cestu, aby se vám také nestalo, že já jsem ty zásoby na cestu sem přesně propočet a pořád jsem si říkal, až to sečteš, nezapomeň to znásobit dvěma. (Divadlo J.C., Dobytí Severního pólu)

IPv6 tady je a vše je složitější další protokol se starými i novými chybami postupná a obvykle nestejná podpora IPv4/6 v HW/SW a tak se sítě, aplikace, jejich nasazení i správa se stávají složitějšími, požadavky a řešení mohou jít proti sobě. Abych dělal kompromisy? To mi říkáte Vy, takovej rovnej chlap? Celý život sú kompromisy. Tož to udělej tak, aby byli spokojeni oni aj ty. Četl jsem o jednom hvězdáři. Galileo Galilei se jmenoval. A co Jan Hus? Jan Hus byl kacíř. Strýc Matěj, film Comeback

Začínáme v síťové infrastruktuře Od této chvíle bude v síťařině skoro všechno dvakrát. Co je cílem? Systematické nebo rychlé nasazení IPv6 v síti (Rapid deployment / 6rd)? Při designu sítě je více než vhodné se držet pravidla, že budeme srovnatelně nasazovat IPv4/6. Adresní plán aneb je jedinečná chvíle pro to vymyslet něco dokonalého, co tu po nás zůstane navždy?! Cesta do pekel je dlážděna dobrými úmysly.

Jak se připojit k IPv6 Internetu Dnes získáte IPv6 od svého ISP obvykle bez problémů, není potřeba řešit tunelové připojení. Dostanete dostatek IPv6 adres, obvykle s délkou prefixu /48 (2 16 sítí) nebo /56 (2 8 sítí). Rozdíly v síťových cestách IPv4/6 jsou na rozdíl od minulosti minimální. IPv6 se směruje - menší nároky na HW NAT prvků, provoz privátních IPv4 adres se musí NATovat. Podle statistik bývá podíl IPv6 na celkovém provozu cca ⅓.

Co všechno se s IPv6 mění v sítích? firewally, hraniční směrovače dual-stack směrovače First-hop redundance (VRRP vs. VRRP3, HSRP, GLBP ) L2/L3 přepínače s podporou IPv6 umí pracovat s rámci protokolu IPv6? umí i nějakou bezpečnost, RA/DHCPv6 guard, ACL? zajištění přístupů do/z sítě (VPN, WiFi) ISATAP - vlastní tunelová řešení

IPv6 - WiFi, BYOD samostatná AP vs. centralizovaná řešení opravdu umí WiFi AP, řídicí moduly IPv6? bezpečnost a funkčnost - podobná situace jako u L2 přepínačů CAPWAPv6 existuje, ale IPv4 sítě jsou u některých řešení stále třeba cizí zařízení nejsou unifikovaná počítejme se vším

IPv6 a VPN když se připojím přes VPN do sítě, tak čekám bezpečné připojení - a to i na IPv6 používají se SSL VPN, ne IPSEC podpora IPv6 i na VPN serveru

IPv6 a serverové aplikace doménová jména nechť mají IPv4 i IPv6 adresy www.vsb.cz has address 158.196.149.112 www.vsb.cz has IPv6 address 2001:718:1001:149::112 zajištění dostupnosti (např. CARP) paketové filtry, přístupy omezovat pro oba protokoly problém uživatele a jeho návrh řešení: přes IPv4 mi to jede, přes IPv6 ne vypněte mi IPv6 monitoring služeb na obou protokolech

Koexistence IPv6 a IPv4 asi nejrozumnější cesta je, že koncové sítě mají privátní IPv4 adresy a veřejné IPv6 adresy IPv6 only sítě a zpřístupnění do světa IPv4 (NAT 64)? mnozí správci nebo uživatelé žili (žijí?) ve falešném pocitu, že NAT44 je odstíní od vnějšího přístupu IPv6 vítáno jako možnost přímého přístupu k zařízením, které jsou dnes za NATem

IPv6 a koncové stanice každý systém se chová jinak a tak je třeba podporovat více technologií řešících stejnou oblast (např. autokonfigurace a DHCP) - možné problémy systémy mění svou IPv6 adresu a pro jistotu jich mají v jeden čas i více klidně mít v síti IPv4 DNS server získávaný z DHCP

IPv6 a tunelové mechanismy automaticky nebo manuálně vytvářené tunely v IPv4 only prostředích; např. TEREDO, XS26, IPv6 provoz sítě není pod kontrolou

Virtualizace a cloudy provoz VM většinou bývá ve virtualizačních infrastrukturách obvykle bez problémů přepínače virtualizačních infrastruktur IPv6 podporují lze narazit na problémy s nedpodprou při kombinaci technologií IPv6 v cloudu může být problém s interním IPv6 provozem (např. MS Azure, AWS)

IPv6 a evidence Orgány činné v trestním řízení už dnes chtějí dohledávat uživatele IPv6 adres. Jak evidovat koncové stanice, když je tu úžasný mechanismus autokonfigurací, DHCPv6 a koncové systémy mají každou chvíli více IPv6 adres? eth0 Link encap:ethernet HWadr 74:d4:35:ec:91:af inet adr:158.196.1.47 Všesměr:158.196.1.255 Maska:255.255.255.0 inet6-adr: 2001:718:1001:1:6148:a89d:1435:cd65/64 Rozsah:Globál inet6-adr: 2001:718:1001:1:8dea:438f:91e6:d05f/64 Rozsah:Globál inet6-adr: 2001:718:1001:1:f880:51ab:27c5:2b0f/64 Rozsah:Globál inet6-adr: 2001:718:1001:1:76d4:35ff:feec:91af/64 Rozsah:Globál inet6-adr: fe80::76d4:35ff:feec:91af/64 Rozsah:Linka Obvykle se řeší sledováním tabulek IPv6 sousedů na směrovačích.

Důležité rozdíly koncová zařízení se chovají v IPv4/6 sítích trochu jinak jedna IPv4 vs. měnící se větší počet IPv6 adres tunely mohou tvořit jinou topologii a nemusí kopírovat fyzickou DHCP a jeho funkcionalita v IPv4/6 best-practice je provozovat IPv4 i IPv6 Vzpomněl jsem si na řadu snů, kde nic nemá rytmus a řád, kde si všechno líže staré rány a dělá to už napořád. (Řada snů, Robert Křesťan)

Správci a uživatelé běžní uživatelé, kterým je existence IPv6 skryta jsou i uživatelé, kteří chtějí IPv6 odmítající správci (vždyť s IPv4 všechno funguje) extrémně aktivní správci (vše nejlépe IPv6 only ) Administrátorem se člověk stane ve chvíli, kdy překoná pubertální vzdor a smíří se s tím, že i oblíbená technologie má své dobré i špatné vlastnosti. Což trvá dost dlouho.

Slíbené slasti a strasti... Strasti? Ty čekají všude. Implementace IPv6 s sebou stále nese a asi i bude nést nějaké komplikace. A závislost na výrobcích. Ty komplikace však nejsou neřešitelné. A slasti? Obvykle celá ta IPv6 infrastruktura po nějaké době snažení začne fungovat :-)

Závěr Dotazy? To jsem vám chtěl právě říct, abyste si na to dali pozor, kdybyste někdy plánovali nějakou takovou cestu, aby se vám také nestalo, že já jsem ty zásoby na cestu sem přesně propočet a pořád jsem si říkal, až to sečteš, nezapomeň to znásobit dvěma. (Divadlo J.C., Dobytí Severního pólu)

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář