BCOP aneb jak správně nasazovat

Podobné dokumenty
Co znamená IPv6 pro podnikovou informatiku.

Dual-stack jako řešení přechodu?

Jak se měří Internet

Jak se měří Internet

Studentská unie ČVUT v Praze, klub Silicon Hill. 22. února Ondřej Caletka (SU ČVUT) IPv6 nové (ne)bezpečí? 22.

Rozvoj IPv6 v České republice. Daniel Suchý NIX.CZ, z.s.p.o.

Ochrana soukromí v DNS

Falšování DNS s RPZ i bez

Demo: Multipath TCP. 5. října 2013

InternetovéTechnologie

Co nového v IPv6? Pavel Satrapa

WrapSix aneb nebojme se NAT64. Michal Zima.

Počítačové sítě ZS 2005/2006 Návrh sítě zadání

Zkrácení zápisu dvojitou dvojtečkou lze použít pouze jednou z důvodu nejednoznačnosti interpretace výsledného zápisu adresy.

DoS útoky v síti CESNET2

Počítačové sítě 1 Přednáška č.5

Jak funguje SH Síť. Ondřej Caletka

ové služby a IPv6

Standardizace Internetu (1)

IPv6 v OpenWRT. Ondřej Caletka. 5. října Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko.

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Hra skončila? CZ.NIC z. s. p. o. / Ondřej Filip IT12

Obsah. Úvod 13. Věnování 11 Poděkování 11

Implementace ENUM v síti NETWAY.CZ

Radek Zajíc, Seminář IPv6,

Počítačové sítě, ZS 2007/2008, kombinované studium. Návrh sítě zadání. Petr Grygárek, FEI VŠB-TU Ostrava

Počítačové sítě II. 15. Internet protokol verze 6 Miroslav Spousta, 2006

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Historie a současnost IPv6. Pavel Satrapa Pavel.Satrapa@tul.cz

Ondřej Caletka. 5. listopadu 2013

VLSM Statické směrování

IPv6 tunely pomocí OpenVPN

Stav IPv4 a IPv6 v České Republice

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

Implementace protokolu IPv6

IPv4/IPv6. Ing. Michal Gust, ICZ a. s.

Ondřej Caletka. 23. května 2014

Evoluce RTBH v NIX.CZ. Petr Jiran NIX.CZ IT17 Praha

Počítačové sítě I LS 2004/2005 Návrh a konstrukce sítě zadání

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Komunikace v sítích TCP/IP (1)

Počítačové sítě ZS 2012/2013 Projekt návrhu sítě zadání

Stránka, doména, URL, adresa

Autokonfigurace IPv6 v lokální sí

DNSSEC na vlastní doméně snadno a rychle

Abychom se v IPv6 adresách lépe orientovali, rozdělíme si je dle způsobu adresování do několika skupin:

VLSM Statické směrování

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

1. Směrovače směrového protokolu směrovací tabulku 1.1 TTL

Nasazení protokolu IPv6 v prostředí univerzitní sítě VŠB-TU Ostrava

Počítačové síťě (computer network) Realizují propojení mezi PC z důvodu sdílení SW (informací, programů) a HW(disky, tiskárny..)

ové služby na IPv6-only

DHCP. Martin Jiřička,

DNS, DHCP DNS, Richard Biječek

X36PKO Úvod Protokolová rodina TCP/IP

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Projekt VRF LITE. Jiří Otisk, Filip Frank

Bezpečnější pošta aneb DANE for SMTP

InternetovéTechnologie

Ladislav Pešička KIV FAV ZČU Plzeň

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

PROVOZNÍ ŘÁD NIX.CZ, z.s.p.o. (Verze 10.0 ze dne s účinností od )

Popis zapojení jednotlivých provozních režimů WELL WRC7000N WiFi GW/AP/klient/repeater/switch, 300 Mb/s, R-SMA

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

íta ové sít TCP/IP Protocol Family de facto Request for Comments

Seminář pro správce univerzitních sí4

IPv6 na OpenWRT. 6. června Ondřej Caletka (CESNET, z.s.p.o.) IPv6 na OpenWRT 6. června / 17

Při konfiguraci domácího směrovače a bezdrátové sítě se setkáte s obrovským počtem zkratek, jejichž význam je jen málokdy dostatečně vysvětlen.

Na cestě za standardem

IPv6 využití v praxi.... z pohledu ISP

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

1 Protokol TCP/IP (Transmission Control Protocol/Internet Protocol) a OSI model

Radek Zajíc, Seminář IPv6,

Flow Monitoring & NBA. Pavel Minařík

Architektura TCP/IP je v současnosti

Vodafone v6. Ladislav Suk Core Network Strategy Manager Pavel Fryč - One Net Solution Manager Tomáš Darda - Senior OneNet Solution Engineer

Zálohujeme připojení k IPv6 Internetu Radek Zajíc LinuxDays, 7. října 2017

Triky s OpenSSH. 4. listopadu Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko.

Ondřej Caletka. 2. března 2014

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

Aktivní prvky: brány a směrovače. směrovače

K čemu slouží počítačové sítě

Počítačové sítě ZS 2008/2009 Projekt návrhu sítě zadání

Počítačové sítě II. 11. IP verze 4, adresy Miroslav Spousta, 2006

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Co musíte vědět o šifrování

Připojení městských částí do infrastruktury MepNET. Dotazníkové šetření Bohdan Keil,

Správa systému MS Windows II

Služby správce.eu přes IPv6

Podsíťování. Počítačové sítě. 7. cvičení

IPv6 v CESNETu a v prostředí akademických sítí

Bezpečnější pošta díky DANE

Podmínky připojení operátorů KIVS k infrastruktuře CMS Interconnect

Standard pro připojení do CMS. Definice rozhraní mezi CMS a Operátorem

Ondřej Caletka. 13. března 2014

Transkript:

BCOP aneb jak správně nasazovat Ondřej Caletka 6. června 2017 Uvedené dílo podléhá licenci Creative Commons Uveďte autora 3.0 Česko. Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 1 / 23

Best Current Operational Practice Task Force nepříliš formální pracovní skupina v rámci RIPE komunity zaměřeno na konkrétní témata sdílení nejlepší současné praxe vysoké nároky na koncentrovanost a čtivost rozsah kolem deseti stran manažerské shrnutí na úvod zaměřeno na aktuální nejlepší současnou praxi, neřeší budoucnost Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 2 / 23

Best Current Operational Practice for operators: IPv6 prefix assignment for end-customers persistent vs non-persistent, and what size to choose DRAFT v.2 (published on 11th May 2017) https://sinog.si/docs/draft-ipv6pd-bcop-v2.pdf Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 3 / 23

Manažerské shrnutí IPv6 se liší od IPv4 zejména v adresování zákazníků špatná rozhodnutí během plánování zásadní potíže v provozu například nutnost přeadresovat síť je třeba myslet ve velkém, není důvod šetřit časté změny adres jsou škodlivé Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 4 / 23

Cílová skupina operátoři (ISP), poskytující přístup k Internetu rezidentním zákazníkům malým a středním podnikům bohaté zkušenosti s IPv4 minimální zkušenosti s IPv6 špatný adresní plán nedomyšlení problematických míst Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 5 / 23

Přidělování prefixu koncovému uživateli nemá obdoby v IPv4 musí vystačit pro všechny případné budoucí potřeby zákazníka přehnané šetření není na místě při přidělování /48 trvale každému člověku vystačí 480 let přílišné šetření způsobuje mnohem vážnější problémy Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 6 / 23

Adresování WAN linky /64 z vyhrazeného prefixu pouze Link-Local adresy unikátní lokální (ULA) adresy /64 z prefixu přiděleného zákazníkovi Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 7 / 23

/64 z vyhrazeného prefixu nejčastější nasazení funguje s routery i koncovými stanicemi v závislosti na HW je možné použít delší prefix, až /127 pro PtP spoj je lepší v adresním plánu vyhradit /64 Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 8 / 23

Pouze Link-Local adresy problémy s kompatibilitou nefunguje s koncovými stanicemi obtížnější hledání potíží může ušetřit prostředky Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 9 / 23

Unikátní lokální adresy silně nedoporučováno obtížná komunikace CPE s okolním světem například pro generování ICMP zpráv rozbije objevování MTU cesty chybné implementace výběru zdrojové adresy Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 10 / 23

/64 z prefixu přiděleného zákazníkovi nejčistší z hlediska síťové topologie a směrování vyžaduje podporu RFC6603 známé problémy se současnými CPE Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 11 / 23

Shrnutí adresování WAN linky /64 z vyhrazeného prefixu je všeobecně nejlepší přístup Link-Local nebo /64 ze zákaznického prefixu může fungovat za specifických podmínek ULA raději nepoužívat Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 12 / 23

Velikost přiděleného prefixu používání násobků 4 bitů je praktické lze vyjádřit ve formátu např. 2001:db8:aaaa:cdXX:: lze delegovat jako jednu reverzní DNS zónu pravidla regionálních registrů (např. RIPE NCC) dovolují přidělit až /48 na zákazníka minimální příděl /64 není dlouhodobě udržitelný a nedovoluje zákaznickou síť dále dělit naprosté minimum je několik /64 Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 13 / 23

Prefix /48 pro všechny nejpraktičtější rozhodnutí dostatečný prostor i pro velké zákazníky kompatibilní s přechodovými mechanizmy (6to4) kompatibilní s unikátními lokálními adresami Příklady obsazenosti alokace /48 celkem /48 zaplněno 1 /56 celkem /56 zaplněno 1 /32 65 536 24 155 16 777 216 6 183 533 /29 524 288 170 570 134 217 728 43 665 787 1 prahová hodnota pro získání další alokace H/D faktor 0.94 Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 14 / 23

Prefix /56 pro domácí zákazníky Tip především obchodní rozhodnutí dostatečný prostor pro malé a střední zákazníky stále umožní např. nasazení technologie Homenet Při plánování vyhraďte pro každého zákazníka /48, ze kterého přidělte pouze /56. Pokud se v budoucnu plány změní, bude přechod bezbolestný. Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 15 / 23

Prefix delší než /56 silně nedoporučovaná varianta není k tomu žádný důvod už /56 představuje rozumný kompromis přidělení pouze /64 je vyloženě škodlivé nelze zřídit například ani síť pro hosty nelze zapojit další router do kaskády nebude fungovat protokol Homenet Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 16 / 23

Poznámka: Nelegální poskytovatelé internetu kdo poskytuje připojení zákazníkům, musí mít adresy alokované typicky vstoupením do RIPE NCC a získáním /32 až /29 z alokace lze přidělovat prefixy až /48 pro zákazníky jednou přidělené adresy není možné sdílet s dalšími například přidělený prefix /48 dělit mezi zákazníky stejně tak je zakázáno přerozdělovat Provider Independent adresy (ty jsou v RIPE NCC z prefixu 2001:678::/29) někteří podnikavci zneužívají neznalosti malých ISP a nabízí obstarání PI adres či pronájem za výhodné ceny Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 17 / 23

Stálost přiděleného prefixu stálý prefix se nemění, bez ohledu na to, kolikrát uživatel připojí a odpojí zařízení nebo obnoví zápůjčku 1 nestálý prefix se obvykle mění při každém navázání spojení Podivná praxe některých ISP vynucený výpadek služby každých 24 hodin cca. na 20 sekund přidělení jiné IP adresy rozpad všech spojení 1 může se ale změnit při přestěhování uživatele nebo rekonfiguraci sítě Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 18 / 23

Nestálé přidělování prefixu je snadné minimální požadavky na infrastrukturu dobrá agregovatelnost konzistentní s IPv4 NAT skrývá problémy způsobené přeadresováním Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 19 / 23

Přeadresování v IPv6 není přímá vazba mezi adresou a bránou brána musí aktivně anulovat starou adresu jinak bude koncové zařízení používat starou adresu nadále problém např. při ztrátě napájení CPE Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 20 / 23

Stálý je nejlepší vyžaduje složitější konfiguraci zjednodušuje evidenci, kdo má kterou adresu nutnost pro větší zákazníky možnost i např. delegovat reverzní DNS zónu nemusí být stálý navždy může se změnit při změně technologie/stěhování může se změnit při dlouhodobé neaktivitě (> týden) ale neměl by se měnit při odpojení na několik hodin WAN linka může používat nestálý prefix, je-li to výhodné Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 21 / 23

Další vývoj BCOP pracovní skupina BCOP je otevřena námětům na podobné dokumenty z dalších oblastí nejlepší současné provozní praxe již hotový dokument MANRS: Mutually Agreed Norms for Routing Security Implementation Guide příprava obdobného dokumentu o IPv6 v prostředí hostingových a housingových center námět na BCOP dokument o správné implementaci DNS služeb (v reakci na aktivitu dns-violations) sledujte e-mailovou konferenci BCOP, máte-li zájem se podílet Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 22 / 23

Děkuji za pozornost Ondřej Caletka Ondrej.Caletka@cesnet.cz https://ondřej.caletka.cz Prezentace je již nyní k dispozici ke stažení. Ondřej Caletka (CESNET, z. s. p. o.) BCOP aneb jak správně nasazovat 6. června 2017 23 / 23

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář