1
Diese Lizenz gilt für die Workshop-Module. [Hinweis: Das IPv6-Profil und der Migrationsleitfaden stehen unter der Lizenz CC BY-NC-ND (zusätzlich zur für die Workshop-Module verwendeten Lizenz CC BY-NC wird dort das Bearbeiten verboten)] 2
Weitere Lösungen zur Migration ist z. B. Nutzung eines Terminalservers 3
Es gibt keine Funktion oder Technik, die IPv4- und IPv6-Adressen direkt aufeinander abbildet, schon wegen der extrem unterschiedlichen Adressräume funktioniert die Einbettung bestenfalls in eine Richtung. 4
Folien aus dem Modul Motivation Anschluss von Zugängen an das Internet über Service Provider Die ÖV verfügt über eigene Netze, bzw. Landesnetze 5
Übergangstechniken kommen beim Dienstanbieter, beim Provider oder in den lokalen Netzen zum Einsatz Dual-Stack im Internet Ggf. Auswirkungen auf die Nutzung (von IPv4 und IPv6) durch Übergangstechniken beim Provider oder in lokalen Netzen 6
Es gibt keine für alle Anwendungsfälle perfekte Übergangstechnik; jede Übergangstechnik beinhaltet technische Kompromisse. Daher kann der Einsatz einer bestimmten Übergangstechnik durch den Provider Auswirkungen auf die Anwendungen des Kunden haben. Wiederum beeinflussen das Wachstum und die Entwicklung des Datenverkehrs des/der Kunden den Provider: Setzt ein Provider bspw. eine IPv4-Technik zur Adressumsetzung ein und der IPv4-Verkehr steigt stark an, so muss der Provider ggf. in eine technologische Sackgasse investieren. Fazit: Die Planung von Übergangstechniken muss neben den technischen Fragen die voraussichtliche Entwicklung der Nutzung (Anwendungen, Volumen) berücksichtigen. 7
Es gibt sehr viele Übergangstechniken: manche sollten nicht mehr verwendet werden, die RFCs wurden zurückgezogen neue Techniken werden weiterhin entwickelt Kombinationen aus Techniken in bestimmten Situationen hilfreich einige zusätzliche Techniken wurden nicht betrachtet, da diese für den ÖV- Einsatz nicht relevant sind (z. B. noch im experimentellen Stadium / kein Standard) oder nur für den Einsatz bei ISPs bestimmt sind 8
Eigene Dienste / Managed Services: z.b. Telefonie, Video on Demand, u.ä. Mobilfunk Eindeutigkeit von privaten IPv4-Adressen ist nicht mehr gegeben, z.b. beim Roaming in Europa Kundenspezifische Verträge erlauben Vereinbarung technischer Parameter (SLA) und kundenspezifische Ausgestaltung von Sicherheit/Datenschutz 9
Kabelgebundene Netze: Internet über Festnetz (DSL, Kabel) bei herkömmlichen Internet-Anschlüssen bzw. Breitband-Internet-Zugang über weitere Techniken. Eigene Dienste / Managed Services: z. B. Telefonie, Video on Demand, u. ä. Mobilfunk Eindeutigkeit von privaten IPv4-Adressen ist nicht mehr gegeben, z. B. beim Roaming in Europa. 10
http://en.wikipedia.org/wiki/ipv6_transition_mechanisms 11
12
13
Protokollumsetzung auf Netzwerkschicht ist theoretisch sehr universell, funktioniert in der Praxis nicht immer Protokollumsetzung auf der Anwendungsschicht nur für einzelne Protokolle, dafür kann vorher getestet werden Individuelle Bestimmung, ob genereller oder spezieller Ansatz für die Umsetzung als Ausgangspunkt gewählt wird 14
15
IPv4 / IPv6 Internet Physikalisch ein Internet, Backbones überall Dual-Stack, aber keine Verbindung dazwischen, keine Umsetzung irgendwo im Netz. d.h. Zugriff über IPv6 nur auf IPv6-Webserver (bzw. Dual-Stack-Server). 16
Anwendung unabhängig von IP(-Version) ist das Vorbild, nicht immer gegeben. Mögliche Probleme z.b. aufgrund von ausschließlicher Berücksichtigung vom IPv4- Adressformat 17
Zuschnitt der Subnetze kann von IPv4 übernommen werden. Sinnvoll: Konsolidierung gewachsener Infrastrukturen vor der Migration; als separates Projekt. Wichtig ist die einfache Zuordnung von IPv4- zu IPv6-Subnetzen um die Übersicht zu behalten. IPv6-only bietet die Möglichkeit die Netze optimal zuzuschneiden, da nicht mehr auf Kompromisse, die aus IPv4 resultieren, Rücksicht genommen werden muss. Verschlechterung bei IPv6-Ausfall: siehe auch Happy Eyeballs bzw. Fast Fallback. 18
19
20
21
Ethernet: 1500 Byte, 20 Byte IPv4-Header IPv6-Paket mit max. 1480 Byte Fragmentierung - IPv6-Pakete werden unterwegs nicht fragmentiert, IPv4-Pakete schon http://www.sixxs.net/tools/ayiya/ 22
23
24
Sicherheitsprobleme: Öffentliche Struktur Gekapselte IPv4-Adressen leicht manipulierbar 25
26
27
Teredo Schiffsbohrwurm http://de.wikipedia.org/wiki/schiffsbohrwurm Heise Online: IPv6-Tunnel: Microsoft testet Teredo-Nutzung mit Serverausfall Wie aus einer Nachricht hervorgeht, handelt es sich beim am Donnerstag bekannt gewordenen Ausfall des in Windows voreingestellten Servers für die IPv6- Tunneltechnik Teredo teredo.ipv6.microsoft.com um einen geplanten Test: Laut der auf der brasilianischen Webseite ipv6.br veröffentlichten Nachricht will Microsoft damit bis kommenden Montag (15.07.2013 0:00 Uhr UTC) überprüfen, wie viele Windows-Nutzer tatsächlich auf Teredo beim IPv6-Internetzugang setzen. Anschließend wolle man den Server vorerst wieder aktivieren. 28
Teredo / automatische Tunnel spielte eine vergleichsweise große Rolle: Teredo ist ein von Microsoft per Default eingestellter Tunnel (bei Windows XP standardmäßig aktiviert) kleine, absolute Zahlen: es fehlte auch an über IPv6 verfügbaren Diensten die Nutzung war bestimmt nicht allen Nutzern bekannt 29
30
31
32
Gegenüber ISATAP ist die Verwendung von Dual-Stack einfacher und übersichtlicher. Dual-Stack erhöht jedoch die Komplexität und die Angriffsfläche gegenüber einem Netzwerk, in dem nur eine Version des IP Protokolls aktiv ist. 33
34
35
Funktionell kann 6rd das gleiche Nutzererlebnis wie natives IPv6 bieten (gleiches Erlebnis in der Nutzung des Netzes, gleiche Dienste und Webseiten funktionieren). 6rd kann aber auf Grund der Tunnellung und des damit verbundenen Overheads eine schlechtere QoS bieten. 36
37
38
39
40
41
Frühzeitige Nutzung gleicher IPv6-Komponenten unabhängig von der Nichtverfügbarkeit eines IPv6-Zugangs an einzelnen Standorten Achtung: Verkehr wird über den Tunnelbroker geleitet und damit beobachtbar an zentraler Stelle. Besser wäre der Aufbau von Tunnelbrokern über Landesrechenzentren oder andere ÖV-Organisationen. 42
43
44
45
46
47
48
49
NAT64 nutzt die Tatsache aus, dass die 128-bittigen IPv6-Adressen gut in der Lage sind, eine 32-bittige IPv4-Adresse zu enthalten: IPv4: 192.0.2.1 - c0.00.02.01 (Hexadezimale Schreibweise der IPv4-Adresse) IPv6: 64:ff9b:: - 64:ff9b::c000:0201 (Als die letzten 32 Bits in die IPv6-Adresse eingebettet) Das Präfix 64:ff9b::/96 ist speziell für diesen Mechanismus reserviert worden. Alternativ und zur einfacheren Verwendung kann statt der rein hexadezimalen Schreibweise auch eine Mischschreibweise verwendet werden: 192.0.2.1 -> 64:ff9b::192.0.2.1 50
51
52
53
7. / 8. wären die idealen, generischen Umsetzungen sind technisch und wirtschaftlich nicht umzusetzen IPv6 könnte den kompletten IPv4-Adressraum adressieren, andersrum geht es nicht, IPv4 kann nicht jede beliebige IPv6-Adresse ansprechen http://en.wikipedia.org/wiki/reserved_ip_addresses 54
55
56
Hinweis: NAT44 und CG-NAT beinhalten jeweils eine Stufe Adressumsetzung (stateful) NAT444 bedeutet zwei Stufen Adressumsetzung (stateful) XLAT464 beinhaltet eine stateless und eine stateful NAT-Adressumsetzung 57
58
59
60
61
62
63
64
65
66
67
68
Session Traversal Utilities for NAT (STUN, dt. Werkzeuge zum Durchqueren von NATs ) ist ein einfaches Netzwerkprotokoll, um das Vorhandensein und die Art von Firewalls und NAT-Routern zu erkennen und letztere zu durchdringen. Es soll den unkomplizierten Einsatz von Geräten (z. B. SIP-Telefone) und Computer- Programmen in Heimnetzwerken ermöglichen, welche Daten aus dem Internet empfangen möchten. (Quelle: Wikipedia) 69
http://en.wikipedia.org/wiki/reserved_ip_addresses 70
PCP - Port Control Protocol, RFC 6887 71
72
73
74
Skala: ++ / + empfohlen o neutral - / -- nicht empfohlen (offen: kein Einfluss bzw. wird nicht eingesetzt) Proxy / ALG sollte unter Einfluss der ÖV stehen, nicht beim Provider ÖV-Tunnelbroker = vertrauensvoller Tunnelbroker-Dienst, welcher von der öffentlichen Hand betrieben wird z. B. in einem Landesrechenzentrum. 75
76
77
79
80
MPLS - Multiprotocol Label Switching Architecture, RFC 3031 81
Zugriff auf IPv6 voll transparent und neutral Zugriff über Proxy eingeschränkt auf wenige, vorher bekannte Anwendungsfälle, allerdings dann testbar Zugriff über NAT64/DNS64 universelle Adressierung, allerdings ggf. Einschränkung bei einzelnen Protokollen (aufgrund NAT) NAT64 nutzt die Tatsache aus, dass die 128-bittigen IPv6-Adressen gut in der Lage sind, eine 32-bittige IPv4-Adresse zu enthalten: IPv4: 192.0.2.1 - c0.00.02.01 (Hexadezimale Schreibweise der IPv4-Adresse) IPv6: 64:ff9b:: - 64:ff9b::c000:0201 (Als die letzten 32 Bits in die IPv6-Adresse eingebettet) Das Präfix 64:ff9b::/96 ist speziell für diesen Mechanismus reserviert worden. Alternativ und zur einfacheren Verwendung kann statt der rein hexadezimalen Schreibweise auch eine Mischschreibweise verwendet werden: 192.0.2.1 -> 64:ff9b::192.0.2.1 82
83
84