IPv6 was nun? 58. DFN Betriebstagung Rechenzentrum Universität zu Köln Ipv6 Ipv4 Folie: 1
IPv6 Warum handeln? IPv6 Transition global nicht aufzuhalten. Offen bleibt Frage nach dem Wann? IPv4 Adressknappheit IANA die letzten IPv4 Adressen sind verteilt Anzahl Internetnutzer steigend Anzahl Clients pro Nutzer steigend IPv6 in Zukunft bevorzugt neue Online Produkte(z.B. Deutsche Telekom DSL Access) Entwicklung neuer Anwendungen(z.B. Microsoft Direct Access) Internet der Dinge Folie: 2
Internet der Dinge - Neue Endgeräte Heute Personal Computer Laptop Tablets Spielkonsolen Festnetztelefon Fernseher... Morgen Haushaltsgeräte Stromversorgung Hausfernsteuerung Fahrzeug Kommunikation Sensornetzwerke... Folie: 3
Microsoft IPv6 - Strategie The Argument against Disabling IPv6 It is unfortunate that some organizations disable IPv6 on their computers running Windows Vista or Windows Server 2008, where it is installed and enabled by default. Many disable IPv6-based on the assumption that they are not running any applications or services that use it. Others might disable it because of a misperception that having both IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true. From Microsoft's perspective, IPv6 is a mandatory part of the Windows operating system and it is enabled and included in standard Windows service and application testing during the operating system development process. Because Windows was designed specifically with IPv6 present, Microsoft does not perform any testing to determine the effects of disabling IPv6. If IPv6 is disabled on Windows Vista, Windows Server 2008, or later versions, some components will not function. Moreover, applications that you might not think are using IPv6 such as Remote Assistance, HomeGroup, DirectAccess, and Windows Mail could be. Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts can take advantage of IPv6-enhanced connectivity. Quelle: http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx Folie: 4
Microsoft IPv6 - Migrationspfad Hauptbestandteile von Microsofts Migrationspfad zu IPv6 : IPv4/IPv6 Dual-Stack Tunnelmechanismen (6to4, ISATAP, Teredo) Microsofts automatisch aktivierte Tunnelmechanismen stellen eine latente Gefährdung für IPv4 Netze dar! IPv4 Netz wird zum Link-Layer IPv4 Backbone zum Access-Layer Siehe Vortrag von Werner Anrath, Egon Grünter (Forschungszentrum Jülich GmbH) Der Widerspenstigen Zähmung, Unmanaged IPv6 im lokalen Netz und die Gefahren 19. DFN Workshop Sicherheit in vernetzten Systemen 21./22. Feb. 2012, Hamburg Folie: 5
Zwischenfazit IPv6 IPv6 ist da in unseren Netzen! - am Arbeitsplatz - bei uns zu Hause Handlungsbedarf! Folie: 6
IPv6 @ uni.de Aller Anfang ist schwer Folie: 7
Transitionspfade zu IPv6 Die Qual der Wahl Outside to Inside Tunnel? Dual Stack 6to4 IPv4 à IPv6 Autoconfiguration Folie: 8
K.O. Kriterien Einführung IPv6 Wesentliche Standards fehlen oder sind unvollständig Wesentliche Funktionen sind nicht auf Netzkomponenten implementiert(ra-guard, DHCP-Snooping, DHCPv6 Relay). Endgeräte sind nicht Dual Stack fähig(snom IP Telefone) Endgeräte sind nicht IPv6 fähig(z.b. Videoüberwachung,...) Softwareprodukte sind nicht IPv6 fähig(z.b. Lync2010) Zusammenspiel zwischen IT-Basisdienst und Client ist unvollständig / nicht gegeben (DHCPv6) Folie: 9
K.O. Kriterien Einführung IPv6 IPv6 hat niedrige Priorität; z. Zt. Anderes wichtiger! Fehlende organisatorische Strukturen, die für die IPv6 Migration verantwortlich zeichnen und die Teilaufgaben koordinieren. Fehlende Resourcen (Personal & Geld) das Rechenzentrum kann diese Aufgabe nicht allein bewältigen. IPv6 Migration muss die komplette IT-Landschaft der Universität von der Netz- bis in die Anwendungsebene umfassen. Folie: 10
Zwischenfaziz K.O. Kriterien Das Alles ist einfach zuviel! Wo soll ich anfangen? Folie: 11
IPv6 Migration/ Einführung IPv6 Migration muss die komplette IT- Landschaft von der Netz- bis in die Anwendungsebene umfassen. IPv6 Einführung ist keine IPV6 Migration Bauen Sie erst das Haus und dann die Stadt! Folie: 12
Empfehlung Vorgehensweise Klare Fokussierung auf begrenzte Teilziele IPv6 Peering Outside to Inside IPv6 Adresskonzept IPv6 dedizierte Server Folie: 13
IPv6 Einführung in Teil-Szenario Im Vergleich zum vollständig IPv6 gerouteten Campus mit heterogenen Nutzer-Subnetzen relativ überschaubares Teil-Szenario wählen! Beispiel: Zugriff auf dedizierte, zentrale IT-Dienste via IPv6 im Internet ermöglichen Web-Server ggf. mit Web-Proxies E-Mail-Server Domain Name Server Folie: 14
Teilszenario geringer Aufgabentiefe Adresskonzept IPv6 IPv6 Adressbereich reservieren (/48 Netz DFN) Adressplan definieren? Subnetzstruktur internes Netz festlegen? Adressvergabetool und Prozesse festlegen? Internet-Zugang Bereitstellung IPv4/ IPv6 Zugang mit Internet Peering mit X-WIN (DFN NOC) Folie: 15
Teilszenario geringer Aufgabentiefe IPv4/IPv6 Dual Stack Dual-Stack Betrieb dedizierter Applikationsserver Dual-Stack DNS Server (AAAA Record dedizierte Server) Geringer Umsetzungsaufwand mit großer Außenwirkung! Folie: 16
Teilszenario - Kondensationskern IPv6 Lab-Aufbau Konfiguration IPv6, OSPFv3 DHCPv6/ Autokonfiguration Endgeräte Soft-/ Firmware Test, Freigaben KnowHow Aneignung/ Training/ Betriebserfahrung IPv6 Infrastruktur-Assessment Netzkomponenten Security Appliances Adress-Management Werkzeuge Netzwerkmanagement-Systeme Folie: 17
DFN Workshop Einführung von IPv6 in den Hochschulen 13. März 2013 14:00 bis 17:00 Uhr Ev. Johannesstift, Grosser Festsaal - IPv6 Readiness Interoperabilität/Herstellerpositionierung - IPV6 Migrationsszenarien/ -strategien - IPv6 Konfiguration / Betriebsformen/ Betriebserfahrungen - IPv6 Adressplanung/ -management - IPv6 Sicherheitsaspekte - IPv6 Troubleshooting - Organisatorische Rahmenbedingungen Folie: 18
Ende???? Regionales Rechenzentrum Folie: 19
IPv4 vs IPv6 - Adressraum IPv4 Adressraum ca. 4,2 Milliarden (2 32 ) IP-Adressen Class B Netz für Endkunde 256 (2 8 ) Subnetze pro Subnetz 256 (2 8 ) Adressen Endgeräte IPv6 Adressraum ca. 340 Sextillionen (2 128 ) IP Adressen IANA vergibt Global Unicast Adressen aus 2000::/3 8/3er Adressräume, davon einer(12,5%) genutzt Unicast IANA zur Vergabe freigegeben LIRs vergeben /48 Netz für Endkunden 65.536 (2 16 ) Subnetze pro Subnetz 18 Trillionen (2 64 ) Adressen Folie: 20
IPv6 - Adressplan IPv6 Planungen sind IPv4-Gedankengut behaftet konservative Adressraumvergabe; im Adressschema werden große Teile für zukünftige Anwendungszwecke als Reserve zurückgehalten. Denken in Endgeräten statt Subnetzen; z. B. ACLs werden nicht auf Ebene der Endgeräte gesetzt. Typische Fehler Verwendung von Subnetzgrössen ungleich /64 RFC 4291,5375? /48 Netze zu groß für kleine Einrichtungen? /64 Netze Verschwendung für Punkt zu Punkt Verbindungen Übertriebene Granularität in Strukturierung Subnetz ID Folie: 21
Ausgangslage Aufbau IPv6 - Adresse Global Routing Prefix Subnetz ID Interface ID Interface ID /48 /64 4 Hexzahlen F D 9 7 /52 /56 /60 /64 1 1 1 1 1 1 0 1 1 0 0 1 1 1 1 0 16 Bit; jede Box repräsentiert 1 Bit 4 Boxen repräsentieren 1 Hexadezimalzahl Regionales Rechenzentrum Folie: 22
Granularität Strukturierung Subnetz ID Granularität Strukturierung Subnetz ID Häufig Prefixlängen ungleich Vielfaches von 4 ; binäre Separierung in der Mitte einer Hexadezimalstelle /51 /54 /58 /64 F F F FB FB FB I I I I N N N N N N I Institute (2 4 ) FB Fachbereiche (2 3 ) Folge F - Fakultäten (2 3 ) N Netze (2 6 ) Bitseparierung in Hexadezimalstelle schadet Lesbarkeit/ Merkbarkeit von IPv6 Adressen Regionales Rechenzentrum Folie: 23