Tutorial: IPv6 im gewachsenen LAN

Transkript

1 Tutorial: IPv6 im gewachsenen LAN und eigentlich auch sonst überall... Bernhard Schmidt 21. Mai 2010

2 Eigenvorstellung aktiv in der IPv6-Welt seit Mitte 2001 Einführung und produktiver Betrieb von IPv6 bei mehreren nationalen Providern aktuell: Student Informatik an der LMU München Netzplanung am Leibniz-Rechenzentrum Netzdesign und -betrieb des IABG Teleports freiberuflicher Berater SixXS Oper...

3 Agenda Der Beginn Vorarbeiten Addressplan wichtige Entscheidungen Das Netz Router / Backbone Sicherheit Betriebssysteme Applikationen

4 Ziel dieses Vortrags Ausrollen von IPv6 ist machbar Gedankenanstöße Erfahrungsaustausch IPv6 ist keine Magie

5 Ziel dieses Vortrags Ausrollen von IPv6 ist machbar Gedankenanstöße Erfahrungsaustausch IPv6 ist keine Magie Ich bitte um rege Diskussion

6 Das LRZ als Beispiel gegründet 1962 durch die Kommission für elektronisches Rechnen gemeinsames Rechenzentrum der Ludwig-Maximilians-Universität München, der Technischen Universität München und der Bayerischen Akademie der Wissenschaften weitere Kunden sind die Hochschule München (HM), Hochschule Weihenstephan-Triesdorf (HWST), Deutsches Herzzentrum München, Hochschule für Film- und Fernsehen und viele weitere Studenten und Mitarbeiter der Einrichtungen

7 Das LRZ als Beispiel (cont.) 150 Mitarbeiter Betrieb des Münchner Wissenschaftsnetzes 60 Standorte (440 Gebäude) im Großraum München gut 1000 Switches, 1300 Accesspoints verbundene Systeme - Anbindung bis zur Dose Zentrale IT-Dienste für die Universitäten Mail, DNS, Webserver, Directory, Speicherplatz, Firewalls... Hochleistungsrechnen Bundeshöchstleistungsrechner HLRB II verschiedene Rechen-Cluster für Bayerische und Münchner Einrichtungen Forschung Mischung aus Provider- und Enterprise-Netz

8 Ausgangssituation November 2004 sternförmige Topologie mit 10GE-Links 12 Cisco Catalyst 6509 mit Sup720 OSPFv2 als IGP, BGP-Multihoming mit dem DFN und M-net

9 Ausgangssituation November 2004 sternförmige Topologie mit 10GE-Links 12 Cisco Catalyst 6509 mit Sup720 OSPFv2 als IGP, BGP-Multihoming mit dem DFN und M-net kein nennenswertes IPv6!

10 DFN

11 Testnetz kein IPv6 im G-WiN (DFN) verfügbar aber: 6WiN-Projekt von JOIN (Uni Münster) Labornetz Spare-Router als IPv4-Host in einem Testnetz IPv6-in-IPv4 Tunnel zum 6WiN-Router in Erlangen erste Tests (ping6, traceroute6, Dancing Turtle ) von dedizierten Hosts, direkt am Testrouter angeschlossen bestehende Infrastruktur wird nicht verändert (kein Dualstack im Netz)

12 Testnetz Organisatorisch (Vorträge und Schulungen): Lobbyarbeit Was wird passieren? Privacybedenken Einweisung der für das Netz zuständigen Mitarbeiter Technisch: Dual-Stack Betrieb in einzelnen VLANs durch dedizierten IPv6-Router vorerst mit deaktiviertem SLAAC (manuelle Konfiguration) ausgewählte Dienste bekommen IPv6

13 Testnetz Organisatorisch (Vorträge und Schulungen): Lobbyarbeit Was wird passieren? Privacybedenken Einweisung der für das Netz zuständigen Mitarbeiter Technisch: Dual-Stack Betrieb in einzelnen VLANs durch dedizierten IPv6-Router vorerst mit deaktiviertem SLAAC (manuelle Konfiguration) ausgewählte Dienste bekommen IPv6 Mitarbeiternetz bekommt IPv6!

14 DFN

15 DFN

16 DFN M-net

17 externer Adressbereich Verschiedene Optionen für den globalen Addressbereich Nutzung eines PA-Assignments (/48 oder größer) des Upstreams BGP-Multihoming mit dem PA-Assignment Wir sind Endnutzer : Nutzung eines PIv6-Assignments (/48 oder größer) und Multihoming Wir sind ISP : RIPE-Mitgliedschaft (LIR), Nutzung einer PA-Allocation (/32) und Multihoming

18 Am LRZ: PIv6 stand 2005 noch nicht zur Verfügung Entscheidung für RIPE-Mitgliedschaft im März 2005 Papierkrieg bis Ende Mai Einsenden des Antragsformulars am 24. Mai 2005 Zuweisung von 2001:4ca0::/32 durch RIPE eine Stunde später

19 interner Adressbereich extern = intern extern =! intern (ULA RFC 4193) 1:1 NAT (NAT66) ALG in der DMZ globale Adresse routen/tunneln

20 Routende Firewall 2001:db8:1234:1::abcd ISP 2001:db8:1234::/ :db8:1234::/48 Intranet extern = intern

21 ??? fdc01:2345:6789:1::abcd ISP 2001:db8:1234::/48 fc01:2345:6789::/48 Intranet extern!= intern

22 Firewall mit 1:1 NAT fdc01:2345:6789:1::abcd ISP 2001:db8:1234::/48 fc01:2345:6789::/48 Intranet NAT66 (2001:db8:1234::/48 fc01:2345:6789::/48)

23 Proxyserver fdc01:2345:6789:1::abcd ISP 2001:db8:1234::/48 fc01:2345:6789::/48 Intranet ALG / Proxyserver

24 Firewall/VPN fdc01:2345:6789:1::abcd :db8:1234:1::abcd ISP Public IP Intranet 2001:db8:1234::/48 fc01:2345:6789::/48 globale Adresse routen/tunneln

25 Subnet Vergabe der Subnetz-ID (16-32 Bit) aufgrund mehrerer Verfahren: basierend auf Layer2-Informationen (z.b q VLAN-ID) basierend auf Layer3 IPv4-Adressen basierend auf geographischem oder (netz)topologischem Standort basierend auf Organisationsstruktur

26 Addressplan IPv4-Denken ablegen Lücken und dünne Ausnutzung sind normal nicht übertreiben, nicht zu einfach machen Platz für spätere Erweiterungen lassen

27 2001:4CA0:****::/32 MWN 2001:4CA0:0***::/36 sonstiges 2001:4CA0:0000::/48 LRZ 2001:4CA0:01**::/40 Housing fuer Fremdprojekte 2001:4CA0:0100::/48 kde.org 2001:4CA0:0103::/48 M :4CA0:02**::/40 Studentenwohnheime Studentenwerk 2001:4CA0:0200::/48 Studentenwohnheim StuSta 2001:4CA0:03**::/40 Studentenwohnheime andere 2001:4CA0:0300::/48 Studentenwohnheim Ottonia 2001:4CA0:0301::/48 Studentenwohnheim Spanisches Kolleg 2001:4CA0:2***::/36 TUM 2001:4CA0:20**::/40 IN Informatik (csr1-kw5 Vlan54) 2001:4CA0:21**::/40 MA Mathematik (csr1-kw5 Vlan54) 2001:4CA0:22**::/40 EI Elektrotechnik 2001:4CA0:2201::/48 LDV Lehrstuhl fuer Datenverarbeitung 2001:4CA0:2202::/48 ISAR Lehrstuhl für Reaktordynamik und Reaktorsicherheit 2001:4CA0:2203::/48 LKN Lehrstuhl fuer Kommunikationsnetze 2001:4CA0:2204::/48 Lehrstuhl fuer Hochspannungs- und Anlagentechnik 2001:4CA0:23**::/40 MW Maschinenwesen 2001:4CA0:2301::/48 TD Thermodynamik 2001:4CA0:2302::/48 LFE Lehrstuhl fuer Ergonomie 2001:4CA0:2F**::/40 Zentrale Einrichtungen 2001:4CA0:3***::/36 TUM - reserviert für weiteren Bedarf

28 2001:4CA0:4***::/36 LMU 2001:4CA0:40**::/40 IN Informatik 2001:4CA0:41**::/40 PH Physik 2001:4CA0:4101::/48 USM Uni-Sternwarte 2001:4CA0:4102::/48 MLL Maier-Leibnitz Labor 2001:4CA0:4F**::/40 Zentrale Einrichtungen 2001:4CA0:4F01::/48 CIS - Centrum für Informations- und Sprachverarbeitung 2001:4CA0:4F02::/48 Studentischer Sprecherrat 2001:4CA0:4F03::/48 GAF - Gruppe Aktiver FachschafterInnen (Fachschaft Info/Mat 2001:4CA0:5***::/36 LMU - reserviert für weiteren Bedarf 2001:4CA0:6***::/36 HM - Hochschule München 2001:4CA0:7***::/36 HW - Hochschule Weihenstephan

29 2001:4CA0:0000:****::/48 LRZ-Bereich 2001:4CA0:0000:00**::/56 LRZ-Backbone 2001:4CA0:0000:0000::/64 Router Loopbackadressen 2001:4CA0:0000:0001::/64 Backbone-Transfernetz Vlan :4CA0:0000:01**::/56 Server 2001:4CA0:0000:0100::/64 Server Loopback-Adressen und Anycast (diverse) 2001:4CA0:0000:0101::/64 10er Netz (vss1-2wr Vlan60) 2001:4CA0:0000:0103::/64 LRZ DMZ (csr1-2wr Vlan6) 2001:4CA0:0000:01FE::/64 VMware-SLB-Netz ( /24, hinter F5-Loadbalancern) 2001:4CA0:0000:01FF::/64 SLB-Netz ( /24, hinter F5-Loadbalancern) 2001:4CA0:0000:02**::/56 HLS (HLRB, Grid, Cluster) 2001:4CA0:0000:0200::/64 Hauptnetz (swy1-2wr Vlan67) 2001:4CA0:0000:0201::/64 LCG - HEP GRID DMZ (swy1-2wr Vlan5) 2001:4CA0:0000:0202::/64 Testnetz (swy1-2wr VLAN 29) 2001:4CA0:0000:03**::/56 BDS 2001:4CA0:0000:0300::/60 ADS 2001:4CA0:0000:08**::/56 Management-Netze (Switches, Accesspoints) 2001:4CA0:0000:08xy::/64 [ x = Bereich/Router, IDs wie bei 802.1x y = sequentielle ID ]

30 2001:4CA0:0000:F***::/52 Clientnetze 2001:4CA0:0000:F000::/64 LRZ-Mitarbeiternetz / 15er Netz (csr1-2wr Vlan23) 2001:4CA0:0000:F010::/64 öffentliche Benutzerarbeitsplätze (csr1-2wr Vlan3) 2001:4CA0:0000:F2**::/ x WLAN 2001:4CA0:0000:F200::/64 im Bereich WR/WL (csr1-2wr Vlan47) 2001:4CA0:0000:F201::/64 im Bereich B (csr1-kb1 Vlan47) 2001:4CA0:0000:F202::/64 im Bereich W (csr1-kw5 Vlan47) 2001:4CA0:0000:F203::/64 im Bereich G (csr1-0gz Vlan47) 2001:4CA0:0000:F205::/64 im Bereich R (csr1-kra Vlan47) 2001:4CA0:0000:F206::/64 im Bereich Q (csr1-0q1 Vlan47) 2001:4CA0:0000:F207::/64 im Bereich I (csr1-kic Vlan47) 2001:4CA0:0000:F208::/64 im Bereich B 2. Router (csr2-kb1 Vlan47) 2001:4CA0:0000:F210::/64 im Bereich ZC (bro2zc) 2001:4CA0:0000:F3**::/56 Veranstaltungsnetze (gleiche Unteraufteilung wie 802.1x) 2001:4CA0:0000:F8**::/56 Transfernetze, keinen Kunden zugeordnet (z.b. shared) 2001:4CA0:0000:F800::/64 csr1-0gz Vlan :4CA0:0000:FE**::/56 Sonstige Clientnetze im MWN 2001:4CA0:0000:FE00::/64 ISATAP Anycast ( , csr1-kb1 Tunnel7) 2001:4CA0:0000:FE1X::/64 Cisco AnyConnect VPN-Netze (FE1X auf asa5k0x) 2001:4CA0:0000:FF**::/56 Testnetze

31 Interface Identifier (Hostteil) Stateless Address Autoconfiguration (SLAAC) stateful DHCPv6 statische Konfiguration linear basierend auf IPv4-Informationen = 2001:db8:1::192:51:100: = 2001:db8:1::c033:647b = 2001:db8:1:: = 2001:db8:1::123 basierend auf angebotenen Diensten 2001:db8:1::53:1:1 = DNS1

32 Router Know your enemy Cisco Catalyst 6500 Sup720 kein IPv6 urpf (Anti-Spoofing) in Hardware Tunnel brauchen lokal eindeutigen Endpunkt ipv6 nd ra suppress bedeutet nicht kein RA Cisco Catalyst 3560 IPv6 ACLs für Hosts nur im EUI-64 Format Cisco Nexus 7000 SLAAC nicht abschaltbar bei Failover wird ein RA versendet

33 Hostanbindung native: wie gewohnt von IPv4 Addressierung statisch, SLAAC oder DHCPv6 (siehe Jens Link) Fehlende Sicherheitsfeatures in Layer2/Layer3-Equipment machen sich bemerkbar

34 ISP Natives IPv6 2001:db8:1:1:211:22ff:fe33: :db8:1:1::/64

35 Redundanz????

36 Router Advertisement R1: interface Vlan123 ipv6 address 2001:db8::1:1/64 ipv6 nd ra interval 10 ipv6 nd ra lifetime 30 ipv6 nd router-preference High R2: interface Vlan123 ipv6 address 2001:db8::1:2/64 ipv6 nd ra interval 10 ipv6 nd ra lifetime 30

37 IPv6 Anycast R1: interface Vlan123 ipv6 address 2001:db8::1:1/64 ipv6 address 2001:db8::1/64 anycast R2: interface Vlan123 ipv6 address 2001:db8::1:2/64 ipv6 address 2001:db8::1/64 anycast

38 HSRPv6 R1: interface Vlan123 ipv6 address 2001:db8::1:1/64 standby version 2 standby ipv6 fe80::1 standby priority 110 standby preempt R2: interface Vlan123 ipv6 address 2001:db8::1:2/64 standby version 2 standby ipv6 fe80::1

39 Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) RFC 5214 automatischer Tunnel von IPv6 über IPv4 ähnlich zu 6to4 IPv4-Addresse in IPv6-Adresse kodiert stateless (einfache Redundanz der Relays) aber: Addressraum des Betreibers, nicht 2002::/16 findet das Relay über DNS Windows-Client: Implementation ab XP Linux-Client: Userspace-Daemon isatapd 1 Relays auf Cisco, Linux,??? 1

40 ISP Natives IPv6 IPv6 in IPv4 2001:db8:1::5efe:0a0a:bbbb ISATAP - einzelnes Relay

41 ISP Natives IPv6 IPv6 in IPv4 2001:db8:1::5efe:0a0a:bbbb ISATAP - redundante Relays

42 Transportnetze meistens nur zwei Router in einem Transportnetz ein /64 furchtbare Verschwendung?

43 Transportnetze meistens nur zwei Router in einem Transportnetz ein /64 furchtbare Verschwendung? NEIN Es gibt allerdings andere Gründe ein kleineres Netz zu konfigurieren: Neighbor Solicitations bei Scan auf Broadcast-Medium Ping-Pong bei nicht-vergebener Adresse auf Punkt-zu-Punkt-Medium Trotzdem /64 reservieren!

44 Statistiken Statistiken sind wichtig keine expliziten Counter für IPv6-Verkehr auf vielen Plattformen Cisco: show interface accounting im CLI... oder doch nicht? Abhilfe: Seperate VLANs für IPv4 und IPv6 im Backbone R1 Te1/1 Te1/1 Vlan 3001: Legacy IP Vlan 3051: IPv6 R2

45 Routingprotokolle Verfügbare Routingprotokolle für IPv6: RIPng EIGRP OSPFv3 IS-IS single-topology und multi-topology BGP

46 Monitoring Seit wir IPv6 benutzen funktioniert xyz nicht mehr! schlecht Monitoring von Anfang an (Dienst-)Verfügbarkeit Nagios Latenz und Paketverluste Smokeping Außenanbindung nicht vergessen!

47 Monitoring Seit wir IPv6 benutzen funktioniert xyz nicht mehr! schlecht Monitoring von Anfang an (Dienst-)Verfügbarkeit Nagios Latenz und Paketverluste Smokeping Außenanbindung nicht vergessen! bestes Monitoring: selbst nutzen

48 Firewalls ICMP ist böse!

49 Firewalls ICMP ist böse! ICMP-Filtern ist böse!

50 Linux ip(6)tables kein Connection-Tracking vor kein IPv6-NAT (auch nicht 1:1) Neighbor/Router solicitation ist INVALID (bis etwa ) Hinweis: ferm 2 als ip(6)tables-wrapper 2

51 *BSD pf keine Unterstützung für fragmentierte Pakete, Fragmente werden geblockt Currently, only IPv4 fragments are supported and IPv6 fragments are blocked unconditionally. kann IPv6 NAT und Redirect

52 Cisco FWSM IPv6-Unterstützung seit Version 3.1 auch mehrere Kontexte kein Support in der Java GUI (ASDM) auch nicht mehr auf der Roadmap nur eine Adresse pro Interface ICMPv6 (und damit Neighbor Solicitation/Advertisement) standardmäßig geblockt

53 Cisco ASA IPv6 in der Java GUI IPv6-Unterstützung als VPN-Server (AnyConnect) dazu später mehr Failover mit 8.2(2) nur eine Adresse pro Interface ICMPv6 (und damit Neighbor Solicitation/Advertisement) standardmäßig geblockt

54 Andere Erfahrungen (Juniper, Checkpoint...)?

55 Rogue RA Router Advertisement mit falschen Daten wie ein falscher DHCP-Server, nur schlimmer mit Multicast an alle Rechner kann nicht trivial überschrieben werden

56 Rogue RA Router Advertisement mit falschen Daten wie ein falscher DHCP-Server, nur schlimmer mit Multicast an alle Rechner kann nicht trivial überschrieben werden Windows mit aktiviertem ICS (Internet Connection Sharing) und öffentlicher IPv4-Addresse wird automatisch zu 6to4-Host (gut) und zu IPv6-Router auf allen angeschlossenen Interfaces (ganz schlecht!)

57 IETF-Draft 3 für Filterung, aber noch nirgends implementiert teilweise Layer3-ACLs auf Switches sonstige Filterfunktionen (z.b. HP/Colubris pcap-filter) Erkennen und Reagieren ndpmon 4 ramond 5 3 http: //tools.ietf.org/html/draft-ietf-v6ops-ra-guard

58 Nachverfolgbarkeit von IPv6-Adressen 2 64 mögliche Adressen im Subnetz Privacy Extensions Lösung: Tool (Nyx 6 ) pollt alle Geräte und schreibt alle Neighbor-Einträge der Router und alle MAC-Tabellen der Switches in eine Datenbank erneut ndpmon 6

59 VPN - Cisco AnyConnect Server auf IOS 12.4(9)T oder ASA5500 Serie TLS/DTLS (nicht IPsec) Cisco-Client für Windows, Linux, MacOS X Opensource-Client für *nix CLI (openconnect) Bugs Fehler und Abbruch auf nicht-englischem Windows XP nach Verbindungsabbau gelegentlich normales IPv6 gestört pmtu-discovery zum Client funktioniert nicht

60 VPN - OpenVPN kein IPv6-Support in OpenVPN RA/DHCPv6 im Ethernet-Modus (tap) manuelle Konfiguration im Point-to-Point tun-modus kein IPv6 im Point-to-Multipoint-Modus IPv6-Transport-Patch von JuanJo Carliante 7 IPv6-Payload-Patch von Gert Döring 8 beide Patches im openvpn-testing git-repository 9 Binary-Pakete verfügbar git://openvpn.git.sourceforge.net/gitroot/openvpn/ openvpn-testing.git

61 VPN - sonstige ISATAP

62 Linux generell Konflikt zwischen /etc/sysctl.conf und Laden des Moduls ifconfig und route deprecated, bitte ip nutzen sporadisch Probleme mit Offloading man ethtool sporadisch Probleme mit Multicast Filtern ip link set eth0 allmulticast on Netfilter-Einschränkungen siehe Firewalls Racecondition beim Boot (IPv6-Addressen im Status tentative)

63 SuSE / SLES Hostfirewall in Standardkonfiguration (SuSEFirewall), vor SLES 11 nahezu unbenutzbar Default On-Link Assumption in SLES 9 gefixt Kernel Crash mit SMP und viel IPv6 UDP in SLES 10.1 gefixt IPV6 AUTOCONF Variable bis SLES 10

64 Debian / Ubuntu bindv6only-änderung in Debian Squeeze IPv6 mittlerweile fest im Kernel Modul blacklisten bringt nichts mehr xen-dom0-kernel Version

65 RHEL / CentOS manuell konfigurierte Default-Route in RHEL/CentOS 5.0 bis 5.2 gestört

66 Windows Windows-Firewall schützt das System in Standardeinstellungen 3rd-Party VPN-Clients und Personal Firewalls stören gerne IPv6 oder: Personal Firewalls schaltet IPv6-fähige Windows-Firewall ab und filtert nur IPv4 Windows XP Reboot nach Installation von IPv6 tut gut Gelegentlich nichtssagende Fehlermeldung bei der Installation 10 Aufpassen mit ICS Privacy Extensions standardmäßig angeschaltet Windows 7: feste Autoconfig-Adresse ist nicht EUI Windows-XP-IPv6-Fehler.html

67 MacOS X Bug: keine Unterstützung von RFC 3484 (Address Selection AKA Prefix Policy) IPv6 wird immer präferiert Bug Bug: keinerlei IPv4/IPv6-Präferenz in Snow Leopard (10.6)

68 DNS IPv6-Transport (DNS in IPv6 UDP/TCP) funktioniert einfach Ausnahme: tinydns bei der Verwendung von ACLs oder Views an IPv6 denken DNS (insbesondere DNSSEC) benötigt Fragmente und TCP Aufpassen mit Firewalls Windows XP kann eigentlich kein DNS über IPv6 fest konfiguriert auf fec0:0:0:ffff::1... ::3 DHCPv6 (stateless und stateful) RFC 5006 (DNS in RA) von Hand konfiguriert authoritativ einfach AAAA-Record für Nameserver listen Glue nice-to-have, aber noch nicht zwingend

69 DNS (cont.) IPv6-Records (AAAA-Records) funktioniert einfach Ausnahme: tinydns für Tests eine ipv6.firma.de Zone vorhalten Reverse-Einträge von Hand sind mühsam rechtzeitig automatisieren Einträge anfangs mit kleinen TTLs

70 Mail Eingehende Mails (MX): IPv6-only MX nicht 100% zuverlässig Reverse-DNS-Situation in IPv6 schlechter nicht wegen fehlendem rdns abweisen auf Kompatibilität der restlichen Infrastruktur achten (beispielsweise milter oder Postfix Policy-Daemons) Verhalten mit DNSBL (Problemfall Exim) Failover-Verhalten nach temporären Fehler (4xx) oder Verbindungsabbruch unterschiedlich Auswirkungen auf Greylisting Zeichen von pmtu-discovery-problemen

71 Mail (cont.) Ausgehende Mails (Mailout) Annahme vom Client (Submit): vor Listing des AAAA-Records unbedingt ACLs und Berechtigungen überprüfen wenn relevant, 6to4 bedenken Teredo kritisch, im Zweifelsfall REJECT in der Firewall funktioniert einfach Zustellung: vor Aktivierung auf funktionsfähiges Reverse-DNS achten auf Zeichen von pmtu-problemen achten Postfix smtp mx address limit funktioniert einfach

72 Web Webserver: vor Listing des AAAA-Records unbedingt ACLs und Berechtigungen überprüfen.htaccess bedenken im Zweifelsfall einzelne Hostnamen IPv4-only lassen Tests mit Einträgen in /etc/hosts auf alten Systemen selten sendfile()-probleme Download testen funktioniert einfach

73 Webproxies Proxies: polipo 11 Apache mit mod proxy Squid 3.1 funktioniert weitgehend 11 jch/software/polipo/

74 CIFS/SMB CIFS/SMB - Windows Netzwerkfreigaben kein Support in Windows XP problemfrei in Windows Vista/7, Windows 2003/2008 Server Samba ab Version Linux Kernel (Client) mit -o ip=2001:... seit Anfang 2007 (2.6.21?) mit DNS-Auflösung seit (FIXME) kein Support in MacOS X smbclient aus MacPorts NetApp ONTAP ab Version 7.3

75 Voice-over-IP Asterisk IPv6-Projekt 12 mal wieder tot sehr gute Alternativen in FreeSwitch 13 oder pbxnsip 14 Cisco Callmanager 7.1 kaum Telefone verfügbar Snom 3xx, 8xx halbherziges IPv6-only Snom m9 (DECT) sehr gutes Dualstack Cisco (nur mit Callmanager) mehrere Softphones (linphone, SIP Communicator) Dual-Stack-Fehler auf Nokia E-Serie und Android (sipdroid) kaum Gateways verfügbar

76 Loadbalancer F5 BigIP IPv6 Gateway Module kostenpflichtige Zusatzlizenz IPv4/IPv6 zum Client und zum Server, Mischung möglich Citrix Netscaler ab NSOS 8.1

77 sonstiges Citrix Terminalserver (SecureDesktop?) Sophos Antivirus Ecdysis NAT64/DNS64 Google/Wikipedia Whitelisting

78 Heute LRZ-Mitarbeiter sagen: IPv6 ist selbstverständlich breites Know-How In den letzten 30 Tagen: 2500 (+500) verschiedene Clients (MAC-Adressen) mit IPv6 nach außen 80 Assignments großes Herstellerinteresse keine nennenswerten Störungen

79 DFN M-net

80

81

82 Benchmark Nicht am LRZ

83 Benchmark Nicht am LRZ

84 Benchmark Nicht am LRZ /connect cpma.rlogin.dk:27961 testet Loss, Jitter, Latenz

85 Danke für die Aufmerksamkeit