IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

IPv4/IPv6 Ing. Michal Gust, ICZ a. s. www.i.cz

Agenda IPv4 krátké zopakování Proč se zajímat o IPv6? V čem je IPv6 jiný? Možnosti nasazení IPv6 www.i.cz

Třídy adres, privátní sítě, Class Leading bits Size of Network (bits) Size of Rest (bits) Number of networks Addresses per network Start address Class A 0 8 24 128 (2 7 ) 16,777,216 (2 24 ) 0.0.0.0 Class B 10 16 16 16,384 (2 14 ) 65,536 (2 16 ) 128.0.0.0 Class C 110 24 8 2,097,152 (2 21 ) 256 (2 8 ) 192.0.0.0 Class D (multicast) 1110 not defined not defined not defined not defined 224.0.0.0 Class E (reserved) 1111 not defined not defined not defined not defined 240.0.0.0 Address range Number of addresses Class CIDR block 10.0.0.0 10.255.255.255 16777216 1x Class A 10.0.0.0/8 172.16.0.0 172.31.255.255 1048576 16x Class B 172.16.0.0/12 192.168.0.0 192.168.255.255 65536 256x Class C 192.168.0.0/16

Rezervované adresy CIDR address block Description Reference 0.0.0.0/8 Current network (only valid as source address) RFC 1700 10.0.0.0/8 Private network RFC 1918 127.0.0.0/8 Loopback RFC 5735 169.254.0.0/16 Link-Local RFC 3927 172.16.0.0/12 Private network RFC 1918 192.0.0.0/24 Reserved (IANA) RFC 5735 192.0.2.0/24 TEST-NET-1, Documentation and example code RFC 5735 192.88.99.0/24 IPv6 to IPv4 relay RFC 3068 192.168.0.0/16 Private network RFC 1918 198.18.0.0/15 Network benchmark tests RFC 2544 198.51.100.0/24 TEST-NET-2, Documentation and examples RFC 5737 203.0.113.0/24 TEST-NET-3, Documentation and examples RFC 5737 224.0.0.0/4 Multicasts (former Class D network) RFC 3171 240.0.0.0/4 Reserved (former Class E network) RFC 1700 255.255.255.255 Broadcast RFC 919

Reprezentace, přídělování Host IP 192.168.10.10 Network 192.168.8.0/21, 192.168.10.0 255.255.247.0 192.168.10.0/24, 192.168.10.0 255.255.255.0 192.168.15.24/30, 192.168.15.24 255.255.255.252 Významné adresy na segmentu Sít 192.168.10.0 Gateway 192.168.10.1 Local Broadcast 192.168.10.255 Přidělování Staticky DHCP

Globální Internet dnešní výzvy Dva základní problémy: Nedostatek Globálních a Privátních IPv4 adres Řešení nabízí IPv6 a nástroje jako NAT a CIDR Privátní RFC1918 rozsah není dost velký pro mnoho SPs Rostoucí velikost Internetové směrovací tabulky V současné době přes 300.000 prefixů Nárůst 2500 prefixů/měsíc Rostou nároky na paměti směrovačů

Alokace IPv4 adres Central ARIN RIPE NCC APNIC LACNIC AfriNIC Defined Multicast Experimental 1 4 4 16 16 22 24 27 IANA - Pool 4919.1% remaining 0 (Y2007) 0 20 40 60 80 100 93 Spotřeba IPv4 adres roste exponenciálně IANA odhady indikují vyčerpání IPv4 adres okolo roku 2012 Růst ve všech regionech Nejrychlejší nárůst prefixů v Internetové směrovací tabulce je v Asii Alokace adres nejrychlejší v Evropě. 3 2.75 2.5 2.25 2 1.75 1.5 1.25 1 0.75 0.5 0.25 J a n -9 5 J a n -9 6 J a n -9 7 J a n -9 8 J a n -9 9 J a n -0 0 J a n -0 1 J a n -0 2 J a n -0 3 J a n -0 4 J a n -0 5 J a n -0 6 J a n -0 7 J a n -0 8 J a n -0 9

Eroze IPv4 adres 2000 2001 2004 2005 2006 2008 2009 2010 2002 2003 2007

IPv6 v české státní správě Dle usnesení vlády České republiky číslo 727 musí ministři zajistit zpřístupnění služeb/portálů na IPv6 již do konce 2010 a všechny obnovované aktivní prvky musí již nyní umět IPv6!!! Vláda:... II. ukládá ministrům a vedoucím ostatních ústředních orgánů státní správy zajistit 1. od 30. června 2009 při pravidelné obnově síťových prvků jejich kompatibilitu s internetovým protokolem verze 6 (IPv6), 2. do 31. prosince 2010 přístup k internetovým stránkám a veřejně dostupným službám egovernmentu internetovým protokolem verze 4 (IPv4) i interne-tovým protokolem verze 6 (IPv6);

IPv6 v Evropské Unii V květnu 2008 Evropská komise oznámila, že bude výrazně podporovat nasazení IPv6 V roce 2010 by 25% uživatelů mělo být schopno přistupovat na Internet přes IPv6 a mít přístup k hlavnímu obsahu EK prezentovala konkrétní action plan zahrnující mj.: 1. Podpora IPv6 přístupu k obsahu, službám a aplikacím 2. Vytvoření poptávky po IPv6 konektivitě a zařízeních prostřednictvím nákupů ve veřejné správě 3. Podpořit připravenost na IPv6 skrze cílené vzdělávající programy, publikace a univerzitní programy 4. Spolupráce s evropskými organizacemi jako je European Network and Information Security Agency (ENISA) na vytvoření best practice doporučení a vyřešení případných bezpečnostních rizik

IPv6 adresace

Některé výhody IPv6 Obrovský adresní prostor Jednodušší formát hlavičky paketu Efektivní manipulace s pakety Odstraněn checksum, fragmentace přesunuta na koncové stanice Hierarchická síťová infrastruktura Efektivní směrování možný vysoký stupeň agregace Autokonfigurace a podpora plug-and-play Redukce technologie NAT Optimalizován pro mobilní Internetové aplikace Nové typy peer-to-peer aplikací Vyšší počet dostupných multicast adres Flow labels pro QoS

IPv6 adresní model Adresy jsou přiřazeny rozhraním Změna oproti IPv4: Předpokládá se, že rozhraní je přiřazeno více adres Adresy mají tzv. scope Link Local Unique Local Global Global Unique Local Link Local Adresy mají určitý lifetime Valid a preferred lifetime

Typy IPv6 adres Unicast Adresa jednoho rozhraní. One-to-one delivery. Multicast Adresa skupiny rozhraní. One-to-many delivery. Anycast Adresa skupiny rozhraní. One-to-one-of-many delivery (doručení nejbližšímu rozhraní) V IPv6 se nepoužívají broadcast adresy

Způsob alokace IPv6 adres IANA 2001::/3 AfriNIC ::/12 to::/23 APNIC ::/12 to::/23 ARIN ::/12 to::/23 LACNIC ::/12 to::/23 RIPE NCC ::/12 to::/23 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 ISP ISP ISP/32 /32 /32 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48 Site Site Site/48 /48 /48

Implementace IPv6 - Integrace nebo migrace? Přechod z IPv4 na IPv6 postupný a řízený proces Aplikace budou postupně migrovány na IPv6 Využití operačních systémů podporujících oba protokoly současně (tzv. dual-stack operační systém Windows Vista, Linux, BSD..) Komunikační infrastruktura bude integrovat protokol IPv6 Protokol IPv4 bude využíván i nadále Sítě budou současně podporovat oba protokoly Většina komunikačních zařízení v dané síti bude podporovat oba protokoly současně (např. dual-stack směrovače/l3 přepínače)

IPv6 Proces implementace Analýza aplikací a služeb pro IPv6 1 Sestavení projektového týmu pro IPv6 2 Analýza současného stavu a připravenosti na nasazení IPv6 3 Plánování IPv6 vzdělávání 4 Získání IPv6 prefixu 5 Volba architektury a postupu nasazení IPv6, příprava designu 6 Implementace pilotního projektu, testování 7 Specifikace bezpečnostní politiky 8 Specifikace výjimek z IPv6 9

Metody integrace IPv6 Dedikovaná IPv6 infrastruktura dedikovaná zařízení a komunikační spoje pouze pro protokol IPv6 nevhodné pro plošné nasazení Dual-stack infrastruktura komunikační prvky IP infrastruktury podporují oba protokoly současně (dual-stack = IPv4+IPv6) Tunelování vzájemná komunikace IPv6 systémů prostřednictvím mezilehlé IPv4 infrastruktury - enkapsulace IPv6 paketů uvnitř IPv4 paketů MPLS transport IPv6 transport prostřednictvím MPLS infrastruktury (IPv6 over MPLS) Protokolový překlad specializované komunikační prvky zajišťují překlad protokolu IPv6 na IPv4 a naopak omezená škálovatelnost pouze pro vzájemnou komunikace IPv6 zařízení s IPv4 zařízeními

Nasazení IPv6 v LAN a campus sítích Dual-stack infrastruktura Všechna L3 zařízení v síti typu dual-stack Distribuční a páteřní L3 přepínače by měly podporovat HW přepínání IPv6 paketů Z pohledu přístupových L2 přepínačů je IPv6 transparentní nutná pouze podpora pro MLD snooping Větší nároky na DRAM a CPU L3 přepínačů Současné směrování protokolů IPv4 a IPv6 Nativní podpora IPv6 multicast, standardní implementace QoS, bezpečnostních mechanismů (IPv6 ACL) apod. IPv6/IPv4 Dual Stack Hosts v6- Enabled v6- Enabled v6-enabled Dual Stac ck Dual Stack Dual-stack Server Dual Stack Dual Stac ck Dual Stack L2/L3 v6- Enabled v6- Enabled v6-enabled Přístupová vrstva Distribuční vrstva Páteřní vrstva Agregační vrstva (DC) Přístupová Vrstva (DC)

Nasazení IPv6 v LAN a campus sítích Hybridní infrastruktura Hybrid Model Kombinace dvou základních metod Dual-stack Tunely manuální nebo automatické (ISATAP) Dual-stack pouze na části síťových zařízení Možnost postupného přechodu na kompletní dual-stack infrastrukturu Tunely vytvářejí překryvnou infrastrukturu ISATAP tunely nepodporují IPv6 Multicast Not v6- Enabled v6- Enabled v6-enabled ISATAP Tunn nel Dual Stack Dual-stack Server ISATAP Tunn nel Dual Stack L2/L3 Not v6- Enabled v6- Enabled v6-enabled Přístupová vrstva Distribuční vrstva Páteřní vrstva Agregační vrstva (DC) Přístupová Vrstva (DC)

Děkuji za vaši pozornost Ing. Michal Gust michal.gust@i.cz +420 222 271 111 ICZ a.s. Infrastruktura www.i.cz www.i.cz