WrapSix aneb nebojme se NAT64. Michal Zima.

Podobné dokumenty
Počítačové sítě 1 Přednáška č.5

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Co nového v IPv6? Pavel Satrapa

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Úvod do IPv6. Pavel Satrapa

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Standardizace Internetu (1)

Dual-stack jako řešení přechodu?

Internet protokol, IP adresy, návaznost IP na nižší vrstvy

Obsah. Úvod 13. Věnování 11 Poděkování 11

Komunikace v sítích TCP/IP (1)

IPv6: Už tam budeme? Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

metodický list č. 1 Internet protokol, návaznost na nižší vrstvy, směrování

Analýza protokolů rodiny TCP/IP, NAT

Semestrální projekt do předmětu SPS

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Routování směrovač. směrovač

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Aktivní prvky: brány a směrovače. směrovače

Komunikační sítě a internetový protokol verze 6. Lukáš Čepa, Pavel Bezpalec

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

Správa systému MS Windows II

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Inovace bakalářského studijního oboru Aplikovaná chemie

Site - Zapich. Varianta 1

Implementace protokolu IPv6

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Co znamená IPv6 pro podnikovou informatiku.

Otázky IPv6. Pavel Satrapa, TU v Liberci Pavel.Satrapa@tul.cz

Protokol IP verze 6. Filip Staněk Petr Grygárek

X36PKO Úvod Protokolová rodina TCP/IP

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Jak vylepšujeme DNS infrastrukturu pro.cz? Zdeněk Brůna

Radek Zajíc, Seminář IPv6,

Pavel Satrapa. IP v6. Internet Protokol verze 6

České vysoké učení technické v Praze FAKULTA INFORMAČNÍCH TECHNOLOGIÍ katedra počítačových systémů DNSSEC. Jiří Smítka.

Jmenné služby a adresace

Ladislav Pešička KIV FAV ZČU Plzeň

Technologie počítačových sítí AFT NAT64/DNS64. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Počítačové sítě 1 Přednáška č.4 Síťová vrstva

IP adresy. IP protokol shrnutí poznatků. IP adresa (IPv4)

Inovace a zkvalitnění výuky prostřednictvím ICT Počítačové sítě Vrstvový model TCP/IP Ing. Zelinka Pavel

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Stav IPv4 a IPv6 v České Republice

Implementace IPv6. Plán migrace. Příloha č. 1 Migrační plán. NÁZEV ZKRÁCENĚ IPv6. ředitel CEO. IT úsek IT CEO DATE VERSION V1.

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

IPv6. Miroslav Čech. (aktualizováno 2009, J. Blažej)

TÉMATICKÝ OKRUH Počítače, sítě a operační systémy

BCOP aneb jak správně nasazovat

Audit bezpečnosti počítačové sítě

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Průmyslová komunikace přes mobilní telefonní sítě. Michal Kahánek

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

PB169 Operační systémy a sítě

Technická specifikace zařízení

DNS, DHCP DNS, Richard Biječek

Počítačové sítě II. 12. IP: pomocné protokoly (ICMP, ARP, DHCP) Miroslav Spousta,

Y36PSI Protokolová rodina TCP/IP

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Vodafone v6. Ladislav Suk Core Network Strategy Manager Pavel Fryč - One Net Solution Manager Tomáš Darda - Senior OneNet Solution Engineer

Firewally a iptables. Přednáška číslo 12

Radim Dolák Gymnázium a Obchodní akademie Orlová

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Y36SPS Jmenné služby DHCP a DNS

VLSM Statické směrování

Inovace bakalářského studijního oboru Aplikovaná chemie

Přednáška 3. Opakovače,směrovače, mosty a síťové brány

JAK ČÍST TUTO PREZENTACI

verze 3 Téma 8: Protokol IPv6

Dodávka nových switchů a jejich integrace do stávající IT infrastruktury inspektorátu SZPI v Praze

Jan Outrata. říjen prosinec 2010 (aktualizace září prosinec 2013)

POČÍTAČOVÉ SÍTĚ Metodický list č. 1

PŘÍRODOVĚDECKÁ FAKULTA UNIVERZITY PALACKÉHO KATEDRA INFORMATIKY BAKALÁŘSKÁ PRÁCE. Vizualizace a demonstrace IP fragmentace.

ZÁKLADNÍ ANALÝZA SÍTÍ TCP/IP

NAT-PT/DNS64/AFT. Bc. Lumír Balhar (BAL344), Bc. Petr Kadlec (KAD0019)

Pohled na pojem počítačová síť

Počítačové sítě. Jan Outrata KATEDRA INFORMATIKY UNIVERZITA PALACKÉHO V OLOMOUCI. přednášky

Téma 9 Základy počítačových sítí Obsah

Protokoly TCP/IP. rek. Petr Grygárek Petr Grygárek, FEI VŠB-TU Ostrava, Počítačové sítě (Bc.) 1

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Přístup k transportní vrstvě z vrstvy aplikační rozhraní služeb služby pro systémové aplikace, služby pro uživatelské aplikace DNS

3.17 Využívané síťové protokoly

OSI TCP/IP Aplikace a protokoly 7. aplikační 6. presentační 5. relační

Počítačové sítě II. 11. IP verze 4, adresy Miroslav Spousta, 2006

Útok na DNS pomocí IP fragmentů

VLSM Statické směrování

Standardizace IPv6 v IETF Matěj Grégr

Transkript:

WrapSix aneb nebojme se NAT64 Michal Zima zima@wrapsix.cz EurOpen, 14. května 2013

NAT64 je jedním z mnoha přechodových mechanismů pro IPv6 nahrazuje koncept NAT-PT hlavní RFC6144 6147 snaží se obejít nekompatibilitu mezi IPv4 a IPv6 pomocí prostředníka

Ostatní přechodové mechanismy Infrast. Řešení koexistence IPv4 a IPv6 6in4 IPv4 dual-stack 6to4 IPv4 dual-stack 6rd IPv4 klientské tunely 6over4 IPv4 osamocené IPv6 uzly ISATAP IPv4 totéž, ale nevyžaduje IPv4 multicast 4rd IPv6 klientské tunely DS-Lite IPv6 IPv4 podsítě (+ dual-stack)

Co tedy požadujeme přechodový mechanismus pro IPv6 infrastrukturu přechodový mechanismus i pro osamocené uzly, ne jen podsítě netlačit klienty k dalšímu nákupu HW co nejméně omezení

Co dostáváme NAT64, který překládá provoz z IPv6 do IPv4 a zpátky podle množství dostupných IPv4 adres můžeme chtít: bezstavový NAT64 stavový NAT64

NAT64

Bezstavový NAT64 má velmi nízkou režii nemá žádný problém se spojeními navazovanými z IPv4 sítě ideální například pro sítě zahrnující pouze servery vyžadující staticky přidělené IPv4 adresy

Stavový NAT64 umožňuje sdílet IPv4 adresy jako běžný NAT ideální zejména pro běžné sítě s koncovými klienty, kde je IPv4 adres výrazně méně než klientů

Způsob komunikace do IPv4 IPv4 adresy se mapují do vyhrazeného IPv6 prefixu IANA vyhradila pro tento účel 64:ff9b::/96 příklad: 147.228.60.10 64:ff9b::93e4:3c0a pro testování apod. lze použít i zápis 64:ff9b::147.228.60.10 operační systém to zpravidla umí zpracovat

DNS64 základní prostředek pro získávání mapovaných IPv6 adres pokud jméno má veden AAAA záznam (s IPv6 adresou), je vrácen ten pokud ne, tak se provede mapování IPv4 adresy z A záznamu do nového AAAA záznamu

DNS64 zasahování do DNS narušuje integritu DNSSEC zabezpečení DNSSEC validaci proto provádí vždy DNS64 server centrální (ISP) koncového uživatele

Překlad IPv6 IPv4 musí být co nejtransparentnější pro obě strany při výměně hlaviček protokolů se zachovává maximum voleb (kromě těch, které nemají protějšek) v provozu je velmi důležité zejména správné uchopení fragmentace

Fragmentace v IPv4 fragmentovat může kterýkoli uzel po cestě paketu řídí se nastavením bitu Don t fragment v hlavičce neprůchozí nefragmentovatelný paket vyvolává ICMP chybu oficiální minimální MTU je 68 B

Fragmentace v IPv6 fragmentace je záležitost pouze odesílatele pokud je paket příliš velký, je o tom informován ICMPv6 paketem Path MTU discovery (PMTUd) oficiální minimální MTU je 1280 B

Fragmentace v NAT64: 6 4 nastavením bitu Don t fragment se simuluje chování běžné pro IPv6 odesílatel je schopný se s úzkou cestou standardně vypořádat pro již fragmentované pakety se povoluje další fragmentace

Fragmentace v NAT64: 4 6 pakety mohou být pro IPv6 sít příliš velké nižší MTU o 20 B větší hlavička NAT64 figuruje jako poslední IPv4 uzel a první IPv6 uzel na cestě pokud smí, přizpůsobí paket podmínkám IPv6 sítě

Speciální pakety překládá se maximum, co jde zejména chybové ICMP zprávy, vč. vnořených paketů zatím je def. překlad pro TCP, UDP a ICMP

NAT64 prakticky je potřeba DNS64 server a NAT64 brána jako DNS64 dobře poslouží BIND pro bránu je vhodné vyhradit samostatný server

DNS64 BIND 9.8.0 a novější stačí jeden řádek v konfiguraci, v sekci options: dns64 64:ff9b::/96;

NAT64 podle množství provozu zvolíme: běžný PC HW, 1 NIC desítky tisíc pps výkonnější serverový HW, 2 NIC stovky tisíc pps dedikovaný HW optimalizovaný pro NAT64 line-rate (tzn. rychlost linky při nejmenších paketech 48 B) pro první kategorii si lze vybírat z řady řešení

WrapSix open-source NAT64 brána pokrývá všechny tři kategorie běží na Linuxu, nepotřebuje žádné knihovny ani úpravy jádra

Zprovoznění nutné přidělit IPv4 je možné zvýšit minimální MTU v síti (výchozí je konzervativní nastavení 1280 B) nastavení směrování prefixu (výchozí je 64:ff9b::/96) na bránu

Dlouhodobější pozorování brána samotná funguje bez problémů její využívání sítí se dobře řídí na úrovni DNS64 k vypuštění IPv4 ze sítě je však o něco delší cesta

Problémy některé aplikační protokoly (např. FTP) přenášejí uvnitř paketů IP adresy lze relativně jednoduše vyřešit přidáním podpory pro jejich specifický překlad u WrapSixu work-in-progress ne všechny aplikace používají ke svému provozu DNS

Aplikace nepoužívající DNS typicky hry, eventuálně i běžné aplikace, kterým jen uživatel nepředá jméno, ale přímo adresu tři možná řešení: hacknout každou takovou aplikaci většina však nebude open-source + příliš mnoho práce upravit příslušné knihovní funkce nepříliš kompatibilní s mobilitou zařízení (přesun do sítě bez NAT64, ale s IPv4 konektivitou) WrapSix Klient (nebo alternativa) neupravuje aplikace, ani jádro či knihovny

Princip WrapSix Klienta programy chtějí IPv4, ale venku není budeme v systému emulovat IPv4 pakety, které přijmeme, přeložíme a pošleme na NAT64 odpovědi přeložíme zpátky a předáme aplikaci

Shrnutí WrapSix spolehlivě překládá (v současnosti) až 1 Gb provozu jeho klientská část zase zprostředkovává spojení pro aplikace mimo dosah DNS64 uživatel by při migraci sítě na tuto kombinaci neměl pocítit žádné omezení můžeme tedy seriózně zvažovat odstranění IPv4

Děkuji za pozornost

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář