Otázky IPv6 Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz
Bonus zdarma: Odpovědi
Už tam budeme?
AMS-IX IPv6 cca 0,5 % provozu
Google duben 2014 2,81 % září 2013 1,87 %
Statistiky CZ.NIC https://stats.nic.cz/stats/ipv6_domains/ 1,13 mil. domén.cz 228 tisíc (20 %) podporuje IPv6 163 tisíc (14 %) má IPv6 mail
Webový obsah 6lab.cisco.com
Webový obsah ČR jako světová velmoc: 61,22 % metodika: z každé země nejnavštěvovanějších 500 serverů podle Alexa ověřena dosažitelnost po IPv6 přepočítáno podle váhy serverů v ČR podporovalo 79 z 500 největších serverů, ale jednalo se o velké servery
Proč tak málo?
Problémy IPv6 (1) zpětná nekompatibilita uživatel musí mít možnost dostat se k IPv4 zdrojům slepice versus vejce málo služeb uživatelé nemají zájem málo uživatelů poskytovatelé služeb nemají zájem nedostatky protokolu spíše přeháněny má rutinně nasazeno Google a Facebook, NIXy tečou gigabity za sekundu
Problémy IPv6 (2) ekonomika vidím holuba na střeše, ale nejprve pořádně vyždímu vrabce v hrsti IPv6 není první technologií s tímto problémem chybí killer application není a nejspíš nebude
Zlepší se to? aneb Motivace pro IPv6
Vyčerpání IPv4 adres centrální: IANA 3. února 2011 RIR: APNIC 19. dubna 2011 RIPE NCC 14. září 2012 LACNIC září 2014 ARIN březen 2015 AFRINIC 2020
Co znamená vyčerpání? RIPE NCC má speciální politiku pro poslední /8 prefix každý LIR z něj může dostat jeden /22 prefix (1024 adres) pevná velikost, bez ohledu na potřeby každý LIR jen jednou 16 000 prefixů, 9 000 LIRů
Obsazení IPv4 prostoru internetcensus2012.bitbucket.org
Masové vracení adres? dobrovolné? chybí motivace nucené? vzbudí značný odpor přineslo by cca 10 let nestojí za námahu RIR nic nepodnikají nepravděpodobné ipv4.potaroo.net
Jak získat adresy? stát se LIRem registrace u RIPE NCC zřizovací poplatek 2000 Euro + roční 1800 Euro dostanete jednorázově 1024 IPv4 adres (prefix /22) bonus zdarma: IPv6 podle potřeby koupit od stávajícího vlastníka řídké obsazení lepší šance na nákup ceny postupně porostou
Nová profese adresní makléř
Rostoucí složitost sítě Internet se kdysi dávno prosadil díky možnosti přímo komunikovat mezi libovolnými dvěma stroji pak byl vynalezen NAT uchovávání stavu je potenciálním zdrojem problémů vícenásobné NATy komplikace pro správu sítě škálovatelnost? zvykli jsme si (ale pořád se to zhoršuje)
Náklady na IPv6 obnova hardware nové prvky obvykle umí IPv6 software značné rozdíly jednorázové úsilí správa sítě nutno vyškolit personál a adaptovat nástroje hlídat funkčnost (zkušenost: nedělá problémy)
Krok stranou: IPv6 v praxi síť Technické univerzity v Liberci 70 podsítí 8000 zařízení IPv6 experimentálně od 1999 (nativně!) IPv6 plošně od 2004 prakticky v celé síti dual-stack WWW, DNS i e-mail servery DNS pro běžné stroje v doméně.ip6.tul.cz běží a nedělá problémy
Perspektiva nákladů pro IPv6 budou klesat z exotiky se stává běžná věc šíří se povědomí a znalosti pro IPv4 porostou adresy NATy a další komplikátory IPv6 dnes často vnímáno jako náklad navíc jak dlouho ještě?
Ignorování může být nebezpečné mnohé operační systémy a platformy IPv6 podporují a mají implicitně zapnuto může způsobovat problémy pokud se stroj mylně domnívá, že má k dispozici funkční IPv6 lze zneužít a obcházet přes IPv6 bezpečnostní mechanismy IPv4 viz RFC 7123
IPv6 u zákazníků?
Zákazník a IPv6 jen IPv6 nemá smysl, lépe dual-stack motivace je problém těžko nabídnout něco hmatatelného využívají některé peer-to-peer služby lze nabídnout veřejné adresy lahůdka pro nerdy marketingová hodnota jsme progresivní technická realizace?
Dual-stack páteř páteř dual-stack, podpora IPv6 závisí na zákazníkově HW výhody: koncepční řešení nejméně problémových míst nevýhody: aktivní prvky páteře musí podporovat IPv6 vyžaduje IPv4 adresy
IPv4 páteř (1) IPv6 tunelováno lze doporučit 6rd (RFC 5569, 5969) vychází ze 6to4, ale poskytovatel má více kontroly vyžaduje poskytovatelův IPv6 prefix 6rd prefix dalších 32 bitů obsahuje IPv4 adresu IPv6 paket z koncové sítě, jehož adresa začíná 6rd prefixem, je tunelován na obsaženou IPv4 adresu ostatní předávány na 6rd relay (opět 6rd tunelem)
6rd přenos IPv6 koncová síť IPv6 Aplikace Aplikace páteř IPv4 domácí 10.1.2.3 směrovač směrovač 10.9.8.7 2001:db8:a01:203::1 2001:db8:a01:203::1 2a02:598:2::3 2a02:598:2::3 10.1.2.3 10.1.2.3 10.9.8.7 10.9.8.7 2001:db8:a01:203::1 2001:db8:a01:203::1 2a02:598:2::3 2a02:598:2::3 Internet IPv6 6rd 6rd relay relay 2001:db8:a01:203::1 2001:db8:a01:203::1 2a02:598:2::3 2a02:598:2::3
IPv4 páteř (2) výhody 6rd evidentně funguje provozováno několika velkými ISP minimální zásah do páteře jen provoz 6rd relay nevýhody 6rd nutná podpora v zákaznických směrovačích rozvoj páteře závisí na IPv4 možný problém s nedostatkem adres (lze neveřejné)
IPv6 páteř vize: IPv4 se do stane pro páteř překážkou zatím pro odvážné Dual-Stack Lite IPv6 funguje nativně zákaznické IPv4 se tuneluje na centrální NAT (jediný potřebuje veřejné IPv4 adresy) centrální NAT pro mapování adres využívá i IPv6 adresu zákaznického prvku lze konfliktní neveřejné adresy
Co je nového?
Omezení hlaviček dlouhé řetězce rozšiřujících hlaviček jsou oblíbeným nástrojem útočníků všeho druhu bezstavový firewall nedokáže paket posoudit, pokud nemá kompletní hlavičky RFC 7112: všechny rozšiřující hlavičky se musí vejít do prvního fragmentu jinak zahodit datagram a poslat ICMPv6 zprávu
Bezpečnost objevování sousedů triky s objevováním sousedů umožňují falšovat automatické konfigurační mechanismy RFC 6980: zákaz fragmentace všech ND paketů porušující pakety potichu ignorovat výjimka: ohlášení certifikační cesty v SEND RFC 7113: vylepšení RA-Guard je třeba prohlížet všechny hlavičky datagramu zahazovat pakety, kde hlavičky přesahují 1. fragment
MAC adresy v DHCPv6 RFC 6939 definuje volbu Client Link-Layer Address do předané zprávy vloží DHCP relay server se dozví MAC adresu vzdáleného klienta umožní poskytovat konfiguraci protokolem DHCPv6 podle MAC adres, stejně jako IPv4 implementace (nemění klienta)
Výběr adresy RFC 6724 (náhrada RFC 3484) výběr zdrojové a cílové adresy pro datagram změny spíše kosmetické, základní principy zůstávají cílové typicky dodá DNS zdrojové vycházejí z individuálních adres odchozího rozhraní rozšířena tabulka politik potlačení historických prefixů
Tabulka politik prefix prio zn poznámka ::1/128 ::/0 ::ffff:0:0/96 2002::/16 2001::/32 fc00::/7 ::/96 fec0::/10 3ffe::/16 50 40 35 30 5 3 1 1 1 loopback 0 1 4 2 5 13 3 11 12 IPv4-mapované (historie) 6to4 Teredo unikátní lokální (ULA) IPv4-kompatibilní (historie) místní lokální (historie) 6bone (historie)
Výběr zdrojové adresy 1. 2. 3. 4. 5. 5.5 6. 7. 8. stejná adresa odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat odchozí rozhraní preferovat prefix ohlášený směrovačem po cestě preferovat shodné značky preferovat dočasné delší shodný prefix
Výběr cílové adresy 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. vyhýbat se nedosažitelným odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat shodné značky preferovat vyšší prioritu preferovat nativní transport preferovat menší dosah delší shodný prefix neměnit pořadí beze změny
Řízení tabulky politik nová volba DHCPv6 Address Selection, RFC 7078 umožňuje nastavit tabulku automaticky příznak P preferovat adresy chránící soukromí Address Selection=48 rezerva A P Položky tabulky politik Délka
Rezervované adresy 100::/64 zahazování paketů (Remote Triggered Black Hole), RFC 6666) ff0x::db8:0:0/96 dokumentační prefix pro skupinové adresy (Any-Source Multicast), RFC 6676 specifické typy skupinových adres obsahující individuální používat individuální s dokumentačním prefixem
Na čem se pracuje
6man (1) stabilní adresy zachovávající soukromí (pseudo)náhodný identifikátor rozhraní, který v dané podsíti zůstává stabilní hodnota vychází z prefixu podsítě rozhraní identifikátoru sítě (SSID) počítadla duplicit draft-ietf-6man-stable-privacy-addresses
6man (2) 64bitová hranice pro identifikátor rozhraní draft-ietf-v6ops-design-choices skupinové adresy draft-ietf-6man-multicast-addr-arch-update draft-ietf-6man-multicast-scopes zlepšená detekce duplicitních adres řeší smyčky draft-ietf-6man-multicast-scopes
v6ops návrh IPv6 sítě nasazení IPv6 v síti organizace draft-ietf-v6ops-enterprise-incremental-ipv6 a v datových centrech draft-ietf-v6ops-design-choices draft-ietf-v6ops-dc-ipv6 zkušenosti s NAT64 draft-ietf-v6ops-nat64-experience
Děkuji za pozornost. Dotazy?