Dual-stack jako řešení přechodu?

Podobné dokumenty
Demo: Multipath TCP. 5. října 2013

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

BCOP aneb jak správně nasazovat

WrapSix aneb nebojme se NAT64. Michal Zima.

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Ochrana soukromí v DNS

Stav IPv4 a IPv6 v České Republice

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Proč implementace IPv6 vázne? Pavel Satrapa

Semestrální projekt do předmětu SPS

Co nového v IPv6? Pavel Satrapa

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Falšování DNS s RPZ i bez

Jak se měří Internet

Jak se měří Internet

Co znamená IPv6 pro podnikovou informatiku.

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

DoS útoky v síti CESNET2

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

ové služby a IPv6

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Ondřej Caletka. 27. března 2014

Radek Zajíc, Seminář IPv6,

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Ondřej Caletka. 13. března 2014

IPv6 Autokonfigurace a falešné směrovače

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Identifikátor materiálu: ICT-3-03

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Bezpečný router pro domácí uživatele. Bedřich Košata

Ondřej Caletka. 2. března 2014

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Ondřej Caletka. 21. října 2015

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Stránka, doména, URL, adresa

DNSSEC na vlastní doméně snadno a rychle

Obsah. Úvod 13. Věnování 11 Poděkování 11

Úvod do síťových technologií

IPv6 na serveru Co by měl administrátor znát... Stanislav Petr

Pavel Satrapa. IP v6. Internet Protokol verze 6

PB169 Operační systémy a sítě

Počítačové sítě 1 Přednáška č.5

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Analýza protokolů rodiny TCP/IP, NAT

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Flow monitoring a NBA

Implementace protokolu IPv6

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Něco málo o mně. Radek

Zabezpečení v síti IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Ondřej Caletka. 23. května 2014

IPv6 tunely pomocí OpenVPN

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Dodávka UTM zařízení FIREWALL zadávací dokumentace

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Příloha č.1 zadávací dokumentace Specifikace požadavků na řešení softwarových videokonferenčních klientů

IPv6 a Telefónica Czech Republic

Útoky na DNS. Ondřej Caletka. 9. února Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Služby správce.eu přes IPv6

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Radek Zajíc, Seminář IPv6,

Autokonfigurace IPv6 v lokální sí

Úvod do OpenWRT. Ondřej Caletka. 1. března Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

KAPITOLA 10. Nasazení protokolu IPv6 v sítích VPN pro vzdálený přístup

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

BIRD Internet Routing Daemon

Architektura TCP/IP je v současnosti

DHCP. Martin Jiřička,

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

Implementace IPv6. Plán migrace. Příloha č. 1 Migrační plán. NÁZEV ZKRÁCENĚ IPv6. ředitel CEO. IT úsek IT CEO DATE VERSION V1.

Firewall. DMZ Server

Základy IOS, Přepínače: Spanning Tree

Služba IP VPN FORTE TECHNICKÁ SPECIFIKACE SLUŽBY (TSS) BVPN FORTE

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Nezávislé unicast a multicast topologie s využitím MBGP

Správa linuxového serveru: DNS a DHCP server dnsmasq

Flow Monitoring & NBA. Pavel Minařík

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Jak funguje SH Síť. Ondřej Caletka

Ondřej Caletka. 5. listopadu 2013

Projekt VRF LITE. Jiří Otisk, Filip Frank

OpenVPN. Ondřej Caletka.

DNSSEC Validátor - doplněk prohlížečů proti podvržení domény

The Locator/ID Separation Protocol (LISP)

Linux RAID, LVM. 27. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

MPLS MPLS. Label. Switching) Michal Petřík -

Koncept centrálního monitoringu a IP správy sítě

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Konfigurace sítě s WLAN controllerem

Transkript:

Dual-stack jako řešení přechodu? Ondřej Caletka 6. června 2016 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 1 / 21

Přecházíme na IPv6 nový protokol síťové vrstvy ostatní vrstvy zůstávají nedotčeny může koexistovat s IPv4 Zdroj: RIPE NCC IPv6 training Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 2 / 21

Nevýhody dual-stack přístupu všechno dvakrát adresování konfigurace služeb firewally dohled řešení problémů uživatelů práce navíc, kterou málo kdo ocení nejdříve zprovozňujeme IPv4 podporu IPv6 doplňujeme později když nenajdeme čas, služba běží na IPv4-only často netestujeme funkčnost bez IPv4 nelze využít výhod IPv6 nekompatibilních s IPv4 Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 3 / 21

Klasifikace single-stack protokolů IPv4 s překládaným IPv6 IPv4 s tunelovaným IPv6 obecně nelze 6to4 Teredo 6rd IPv6 s překládaným IPv4 NAT64 464XLAT MAP-T SIIT-DC IPv6 s tunelovaným IPv4 DS-Lite MAP-E lw4over6 Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 4 / 21

Dual-stack lite IPv4 provoz klienta je tunelován IPv6-only přístupovou sítí k Address Family Translation Router eliminuje NAT u klienta a dual-stack v přístupové síti používaný nejčastěji v DOCSIS (v Německu) Zdroj: Wikimedia commons Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 5 / 21

NAT64 překlad části IPv6 adresního prostoru do IPv4 při použití DNS64 nevyžaduje úpravy na straně většiny klientů (veškerý obsah se zdá být dostupný prostřednictvím IPv6) používán nejčastěji v mobilních sítích (Slovinsko, USA, Polsko, Norsko ) Zdroj: Wikimedia commons Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 6 / 21

Problémy NAT64/DNS64 klientská aplikace musí podporovat IPv6 vyžadováno v ios App Store od 1. 6. 2016 je nutné používat DNS jména vyžaduje Application Layer Gateway pro protokoly jako FTP, SIP, stejně jako u NAT44 problematická kombinace DNS64 s validací DNSSEC syntézu je třeba dělat až po validaci problém zjištění použitého prefixu nejde o zdaleka největší problém validace DNSSEC na koncovém bodu Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 7 / 21

Volba prefixu NAT64 síťově specifický prefix (NSP) možnost použití více nezávislých překladačů možnost překládat RFC1918 adresy možnost použití na dálku bezpečnostní konsekvence obtížná validace prefixu, možnost vzdáleného zneužití dobře známý prefix (WKP) 64:ff9b::/96 preferované řešení pro obecné nasazení neutrální ke kontrolním součtům TCP/UDP pouze lokální použití obtížnější vyvažování zátěže Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 8 / 21

464XLAT rozšíření NAT64 o druhý překladač u klienta bezestavový překlad nepotřebuje DNS64 potřebuje druhou IPv6 adresu problém v DHCPv6-only sítích kompatibilní s IPv4-only aplikacemi implementován v Androidu (pro mobilní data) Zdroj: RIPE NCC IPv6 training Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 9 / 21

Detekce NAT64 prefixu klientem nutné pro konfiguraci CLAT a/nebo DNS64 RFC 7051 navrhuje několik řešení: 1 DNS dotaz na dobře známé jméno 2 volba v rozšíření EDNS0 3 volba v DHCPv6 4 volba v ohlášení směrovače 5 aplikační protokol typu STUN RFC 7050 popisuje řešení podle 1: 1 dotaz na ip4only.arpa IN AAAA 2 zjištění prefixu analýzou odpovědi nové bezpečnostní hrozby (odklonění IPv4 provozu do sítě útočníka) při nesprávné implementaci detekce Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 10 / 21

Validace NSP pomocí DNSSEC Zdroj: RIPE 72: IPv6-only and DNS[SEC 64] Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 11 / 21

NAT64 na vlastní kůži zde TAYGA a Unbound na OpenWRT Chaos Calmer veřejné demo Go6 Lab Ecdysis, PaloAlto Networks, Cisco ASR1000 na samostatných prefixech stačí vypnout IPv4 a nastavit adresu DNS resolveru podle požadovaného NAT64 překladače Apple OS X 10.11 option-click Internet Sharing primárně pro vývojáře ios aplikací clatd implementace CLAT pro Linux Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 12 / 21

Address plus Port (RFC 6346) šetření IPv4 adres při eliminaci CGN čísla portů TCP/UDP jako rozšíření IPv4 adresy implementace: MAP, 4rd, Lightweight 4over6 Zdroj: Wikimedia commons Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 13 / 21

Mapping of Address and Port (RFC 6346) implementace A+P od Cisco bezestavové směrování podle IPv4 adresy a portu varianty MAP-E (Encapsulation) a MAP-T (Translation) Zdroj: http://map46.cisco.com/ Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 14 / 21

4rd a lw4over6 IPv4 Residual Deployment via IPv6 (RFC 7600) vychází z MAP-T překladu IPv4 do IPv6 přidává Reversible Packet Translation pro zachování většiny IPv4 parametrů experimentálně nasazeno u Free.fr Lightweight 4over6 (RFC 7596) vychází z MAP-E/DS-Lite tunelování IPv4 v IPv6 stavové přidělování množiny portů klientům Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 15 / 21

IPv6-only v datacentrech Zdroj: RIPE72: SIIT-DC Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 16 / 21

SIIT-DC (RFC 7755) bezestavový překlad IPv4-IPv6 na hraně datacentra NAT64 s explicitním mapováním páru IPv4-IPv6 pro klienty zcela transparentní Zdroj: RIPE72: SIIT-DC Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 17 / 21

Klíčové vlastnosti SIIT-DC extrémě úsporné k IPv4 adresám žádné ztráty na adresování infrastruktury IPv4 adresy pouze pro veřejné služby brána může být kdekoli v síti bezestavové není problém s vyvažováním zátěže a asymetrickým směrováním IPv4 adresa klienta zůstává zachována (mapovaná do IPv6 adresy) nezávislost aplikací na IPv4 žádné dodatečné náklady při vypínání IPv4 Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 18 / 21

Podpora legacy služeb v SIIT-DC pro podporu FTP a podobných protokolů SIIT-DC Host agent je totéž co CLAT lze použít clatd, popř. staticky konfigurovaný TAYGA téměř k nerozeznání od dual-stacku server vidí svou IPv4 adresu na svém rozhraní Zdroj: RIPE72: SIIT-DC Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 19 / 21

Shrnutí dual-stack opravdu není jediná možnost NAT64 funguje velmi dobře ale pořád je to NAT něco se ztratí v překladu DNS64 je nutné zlo ale neškodí nativnímu IPv6 obsahu 464XLAT je dobrý lepší je ale opravit aplikace IPv6-only datová centra jsou realitou funguje-li služba za NAT, bude fungovat i za SIIT-DC možnost postupného přechodu odpadá dvojí konfigurace firewallů, dohled, atd. jistota, že všechno bude fungovat po vypnutí IPv4 další čtení ToreAndreson.no: IPv6-only data centre RFCs Root.cz: IPv4 jako služba Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 20 / 21

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Ondřej Caletka (CESNET, z. s. p. o.) Dual-stack jako řešení přechodu? 6. června 2016 21 / 21

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář