Proč implementace IPv6 vázne? Pavel Satrapa Pavel.Satrapa@tul.cz
Špetka statistik
AMS-IX IPv6 cca 0,4 % provozu
DE-CIX IPv6 cca 0,6 % provozu
www.tul.cz celkový počet přístupů z vnitřní sítě TUL (skoro) kompletně dual-stack o víkendech 65 % IPv6, zvenčí 1 % 49,83% 50,17% IPv6 IPv4
www.tul.cz unikátní adresy z vnitřní sítě zvenčí 3 % 39,05% 60,95% IPv6 IPv4
Webový obsah 6lab.cisco.com
Webový obsah ČR jako světová velmoc: 60,34 % metodika: z každé země nejnavštěvovanějších 500 serverů podle Alexa ověřena dosažitelnost po IPv6 přepočítáno podle váhy serverů v ČR podporovalo 72 z 500 největších serverů, ale jednalo se o velké servery
Proč tak málo?
Problémy IPv6 (1) zpětná nekompatibilita uživatel musí mít možnost dostat se k IPv4 zdrojům slepice versus vejce nejsou služby uživatelé nemají zájem nejsou uživatelé poskytovatelé služeb nemají zájem nedostatky protokolu spíše přeháněny má rutinně nasazeno Google a Facebook, NIXy tečou gigabity za sekundu
Problémy IPv6 (2) ekonomika vidím holuba na střeše, ale nejprve pořádně vyždímu vrabce v hrsti IPv6 není první technologií s tímto problémem chybí killer application není a nejspíš nebude
Zlepší se to? aneb Motivace pro IPv6
Vyčerpání adres centrální: IANA 3. února 2011 RIR: APNIC 19. dubna 2011 RIPE NCC 14. září 2012 LACNIC srpen 2014 ARIN prosinec 2014 AFRINIC 2020
Co znamená vyčerpání? RIPE NCC má speciální politiku pro poslední /8 prefix každý LIR z něj může dostat jeden /22 prefix (1024 adres) pevná velikost, bez ohledu na potřeby každý LIR jen jednou 16 000 prefixů, 9 000 LIRů
Obsazení IPv4 prostoru internetcensus2012.bitbucket.org
Masové vracení adres? dobrovolné? chybí motivace nucené? vzbudí značný odpor přineslo by cca 10 let nestojí za námahu RIR nic nepodnikají nepravděpodobné ipv4.potaroo.net
Jak získat adresy? stát se LIRem registrace u RIPE NCC zřizovací poplatek 2000 Euro + roční 1800 Euro dostanete jednorázově 1024 IPv4 adres (prefix /22) bonus zdarma: IPv6 podle potřeby koupit od stávajícího vlastníka řídké obsazení lepší šance na nákup ceny postupně porostou
Nová profese adresní makléř
Rostoucí složitost sítě Internet se kdysi dávno prosadil díky možnosti přímo komunikovat mezi libovolnými dvěma stroji pak byl vynalezen NAT uchovávání stavu je potenciálním zdrojem problémů vícenásobné NATy komplikace pro správu sítě škálovatelnost? zvykli jsme si (ale pořád se to zhoršuje)
Náklady na IPv6 obnova hardware nové prvky obvykle umí IPv6 software značné rozdíly jednorázové úsilí správa sítě nutno vyškolit personál a adaptovat nástroje hlídat funkčnost (zkušenost: nedělá problémy)
Krok stranou: IPv6 v praxi síť Technické univerzity v Liberci 70 podsítí 8000 zařízení IPv6 experimentálně od 1999 (nativně!) IPv6 plošně od 2004 prakticky v celé síti dual-stack WWW, DNS i e-mail servery DNS pro běžné stroje v doméně.ip6.tul.cz běží a nedělá problémy
Perspektiva nákladů pro IPv6 budou klesat z exotiky se stává běžná věc šíří se povědomí a znalosti pro IPv4 porostou adresy NATy a další komplikátory IPv6 dnes často vnímáno jako náklad navíc jak dlouho ještě?
IPv6 u zákazníků
Zákazník a IPv6 jen IPv6 nemá smysl, lépe dual-stack motivace je problém těžko nabídnout něco hmatatelného využívají některé peer-to-peer služby lze nabídnout veřejné adresy lahůdka pro nerdy marketingová hodnota jsme progresivní technická realizace?
Dual-stack páteř páteř dual-stack, podpora IPv6 závisí na zákazníkově HW výhody: koncepční řešení nejméně problémových míst nevýhody: aktivní prvky páteře musí podporovat IPv6 vyžaduje IPv4 adresy
IPv4 páteř (1) IPv6 tunelováno lze doporučit 6rd (RFC 5569, 5969) vychází ze 6to4, ale poskytovatel má více kontroly vyžaduje poskytovatelův IPv6 prefix 6rd prefix dalších 32 bitů obsahuje IPv4 adresu IPv6 paket z koncové sítě, jehož adresa začíná 6rd prefixem, je tunelován na obsaženou IPv4 adresu ostatní předávány na 6rd relay (opět 6rd tunelem)
6rd přenos IPv6 koncová síť IPv6 Aplikace Aplikace páteř IPv4 domácí 10.1.2.3 směrovač směrovač 10.9.8.7 2001:db8:a01:203::1 2001:db8:a01:203::1 2a02:598:2::3 2a02:598:2::3 10.1.2.3 10.1.2.3 10.9.8.7 10.9.8.7 2001:db8:a01:203::1 2001:db8:a01:203::1 2a02:598:2::3 2a02:598:2::3 Internet IPv6 6rd 6rd relay relay 2001:db8:a01:203::1 2001:db8:a01:203::1 2a02:598:2::3 2a02:598:2::3
IPv4 páteř (2) výhody 6rd evidentně funguje provozováno několika velkými ISP minimální zásah do páteře jen provoz 6rd relay nevýhody 6rd nutná podpora v zákaznických směrovačích rozvoj páteře závisí na IPv4 možný problém s nedostatkem adres (lze neveřejné)
IPv6 páteř vize: IPv4 se do stane pro páteř překážkou zatím pro odvážné Dual-Stack Lite IPv6 funguje nativně zákaznické IPv4 se tuneluje na centrální NAT (jediný potřebuje veřejné IPv4 adresy) centrální NAT pro mapování adres využívá i IPv6 adresu zákaznického prvku lze konfliktní neveřejné adresy
Co je nového?
MAC adresy v DHCPv6 RFC 6939 definuje volbu Client Link-Layer Address do předané zprávy vloží DHCP relay server se dozví MAC adresu vzdáleného klienta umožní poskytovat konfiguraci protokolem DHCPv6 podle MAC adres, stejně jako IPv4 implementace (nemění klienta)
Výběr adresy RFC 6724 (náhrada RFC 3484) výběr zdrojové a cílové adresy pro datagram změny spíše kosmetické, základní principy zůstávají cílové typicky dodá DNS zdrojové vycházejí z individuálních adres odchozího rozhraní rozšířena tabulka politik potlačení historických prefixů
Tabulka politik prefix prio zn poznámka ::1/128 ::/0 ::ffff:0:0/96 2002::/16 2001::/32 fc00::/7 ::/96 fec0::/10 3ffe::/16 50 40 35 30 5 3 1 1 1 loopback 0 1 4 2 5 13 3 11 12 IPv4-mapované (historie) 6to4 Teredo unikátní lokální (ULA) IPv4-kompatibilní (historie) místní lokální (historie) 6bone (historie)
Výběr zdrojové adresy 1. 2. 3. 4. 5. 5.5 6. 7. 8. stejná adresa odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat odchozí rozhraní preferovat prefix ohlášený směrovačem po cestě preferovat shodné značky preferovat dočasné delší shodný prefix
Výběr cílové adresy 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. vyhýbat se nedosažitelným odpovídající dosah vyhýbat se odmítaným preferovat domácí preferovat shodné značky preferovat vyšší prioritu preferovat nativní transport preferovat menší dosah delší shodný prefix neměnit pořadí
Identifikátor zóny v URL RFC 6874 v adrese se odděluje % v URL je % speciální znak nutno psát %25 http://[fe80::ace%25eth1] případné další rezervované znaky v identifikátoru nutno také kódovat
Rezervované adresy 100::/64 zahazování paketů (Remote Triggered Black Hole), RFC 6666) ff0x::db8:0:0/96 dokumentační prefix pro skupinové adresy (Any-Source Multicast), RFC 6676 specifické typy skupinových adres obsahující individuální používat individuální s dokumentačním prefixem
Překladové mechanismy
464XLAT (1) RFC 6877 IPv4 pro koncové sítě připojené k IPv6 páteři netuneluje, překládá asymetrické podobně jako dnešní NAT CLAT SIIT na straně uživatele, neveřejné IPv4 1:1 veřejné IPv6 PLAT NAT64 na straně poskytovatele, veřejné IPv6 N:1 veřejné IPv4
464XLAT (2) koncová síť IPv4 RFC 1918 CLAT CLAT (SIIT) (SIIT) Aplikace Aplikace 10.0.0.1 10.0.0.1 77.75.76.3 77.75.76.3 páteř Internet IPv6 veřejné IPv4 veřejné PLAT (NAT64) (NAT64) 2001:db8:ab::10.0.0.1 2001:db8:ab::10.0.0.1 2001:db8:ab::77.75.76.3 2001:db8:ab::77.75.76.3 147.230.10.7 147.230.10.7 77.75.76.3 77.75.76.3
464XLAT (3) CLAT může být i v koncovém zařízení zajímavé pro mobilní sítě existuje implementace CLAT pro Android http://dan.drown.org/android/clat/ má nasazeno JPIX
6a44 RFC 6751 cíleno na (domácí) koncové sítě podporující jen IPv4 připomíná Teredo s podporou poskytovatele používá prefix /48 určený poskytovatelem přidělí 6a44 relay na začátku komunikace
Na čem se pracuje
6man (1) dynamické změny výběru adres centrální řízení politik nastavení návštěvnických strojů draft-ietf-6man-addr-select-considerations draft-ietf-6man-addr-select-opt vyjasnění zpracování rozšiřujících hlaviček draft-ietf-6man-ext-transmit
6man (2) stabilní adresy zachovávající soukromí (pseudo)náhodný identifikátor rozhraní, který v dané podsíti zůstává stabilní hodnota vychází z prefixu podsítě rozhraní identifikátoru sítě (SSID) počítadla duplicit draft-ietf-6man-stable-privacy-addresses
v6ops nasazení IPv6 v síti organizace a v datových centrech draft-ietf-v6ops-dc-ipv6 požadavky na domácí směrovače draft-ietf-v6ops-enterprise-incremental-ipv6 draft-ietf-v6ops-6204bis monitoring dual-stack a IPv6 služeb draft-ietf-v6ops-monitor-ds-ipv6
Děkuji za pozornost. Dotazy?