close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

IPv6 – was nun ? Ipv4

EinbettenHerunterladen
IPv6 – was nun ?
Ipv6
58. DFN Betriebstagung
M. Liebchen
Rechenzentrum
Universität zu Köln
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Ipv4
Folie: 1
Universität zu Köln RRZK
IPv6 – Warum handeln?
  IPv6 Transition global nicht aufzuhalten.
Offen bleibt Frage nach dem „Wann?“
IPv4 Adressknappheit
  IANA – die letzten IPv4 Adressen sind verteilt
  Anzahl Internetnutzer steigend
  Anzahl Clients pro Nutzer steigend
 IPv6 in Zukunft bevorzugt
 neue Online Produkte(z.B. Deutsche Telekom DSL Access)
 Entwicklung neuer Anwendungen(z.B. Microsoft Direct Access)
 Internet der Dinge
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 2
Universität zu Köln RRZK
Internet der Dinge - Neue Endgeräte
Heute
  Personal Computer
  Laptop
  Tablets
  Spielkonsolen
  Festnetztelefon
  Fernseher
  ...
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Morgen
  Haushaltsgeräte
  Stromversorgung
  Hausfernsteuerung
  Fahrzeug Kommunikation
  Sensornetzwerke
  ...
Folie: 3
Universität zu Köln RRZK
Microsoft IPv6 - Strategie
The Argument against Disabling IPv6
It is unfortunate that some organizations disable IPv6 on their computers running
Windows Vista or Windows Server 2008, where it is installed and enabled by default.
Many disable IPv6-based on the assumption that they are not running any applications or
services that use it. Others might disable it because of a misperception that having both
IPv4 and IPv6 enabled effectively doubles their DNS and Web traffic. This is not true.
From Microsoft's perspective, IPv6 is a mandatory part of the Windows
operating system and it is enabled and included in standard Windows service
and application testing during the operating system development process.
Because Windows was designed specifically with IPv6 present, Microsoft
does not perform any testing to determine the effects of disabling IPv6. If IPv6
is disabled on Windows Vista, Windows Server 2008, or later versions, some
components will not function. Moreover, applications that you might not think
are using IPv6—such as Remote Assistance, HomeGroup, DirectAccess, and
Windows Mail—could be.
Therefore, Microsoft recommends that you leave IPv6 enabled, even if you do not have an
IPv6-enabled network, either native or tunneled. By leaving IPv6 enabled, you do not
disable IPv6-only applications and services (for example, HomeGroup in Windows 7 and
DirectAccess in Windows 7 and Windows Server 2008 R2 are IPv6-only) and your hosts
can take advantage of IPv6-enhanced connectivity.
Quelle: http://technet.microsoft.com/en-us/magazine/2009.07.cableguy.aspx
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 4
Universität zu Köln RRZK
Microsoft IPv6 - Migrationspfad
Hauptbestandteile von Microsofts Migrationspfad zu IPv6 :
  IPv4/IPv6 Dual-Stack
  Tunnelmechanismen (6to4, ISATAP, Teredo)
Microsofts automatisch aktivierte Tunnelmechanismen
stellen eine latente Gefährdung für IPv4 Netze dar !
 IPv4 Netz wird zum Link-Layer
 IPv4 Backbone zum Access-Layer
Siehe Vortrag von Werner Anrath, Egon Grünter
(Forschungszentrum Jülich GmbH)
Der Widerspenstigen Zähmung,
Unmanaged IPv6 im lokalen Netz und die Gefahren
19. DFN Workshop –Sicherheit in vernetzten Systemen
21./22. Feb. 2012, Hamburg
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 5
Universität zu Köln RRZK
Zwischenfazit IPv6
IPv6 ist da – in unseren Netzen !
-  am Arbeitsplatz
-  bei uns zu Hause
Handlungsbedarf !
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 6
Universität zu Köln RRZK
IPv6 @ uni.de
Aller Anfang ist schwer
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 7
Universität zu Köln RRZK
Transitionspfade zu IPv6
Die Qual der Wahl
o Inside
t
e
d
i
s
t
Ou
Tunnel
l Sta
a
u
D
ck
?
6to4
IPv4 à IPv6
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Autoconfiguration
Folie: 8
Universität zu Köln RRZK
K.O. Kriterien Einführung IPv6
  Wesentliche Standards fehlen oder sind unvollständig
  Wesentliche Funktionen sind nicht auf Netzkomponenten
implementiert(RA-Guard, DHCP-Snooping, DHCPv6 Relay).
  Endgeräte sind nicht Dual Stack fähig(SNOM IP Telefone)
  Endgeräte sind nicht IPv6 fähig(z.B. Videoüberwachung,...)
  Softwareprodukte sind nicht IPv6 fähig(z.B. Lync2010)
  Zusammenspiel zwischen IT-Basisdienst und Client ist
unvollständig / nicht gegeben (DHCPv6)
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 9
Universität zu Köln RRZK
K.O. Kriterien Einführung IPv6
  IPv6 hat niedrige Priorität; z. Zt. Anderes wichtiger !
  Fehlende organisatorische Strukturen, die für die IPv6
Migration verantwortlich zeichnen und die Teilaufgaben
koordinieren.
  Fehlende Resourcen (Personal & Geld) das
Rechenzentrum kann diese Aufgabe nicht allein
bewältigen.
  IPv6 Migration muss die komplette IT-Landschaft der
Universität von der Netz- bis in die Anwendungsebene
umfassen.
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 10
Universität zu Köln RRZK
Zwischenfaziz K.O. Kriterien
Das Alles ist einfach zuviel !
Wo soll ich anfangen ?
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 11
Universität zu Köln RRZK
IPv6 Migration/ Einführung
IPv6 Migration
muss die komplette ITLandschaft von der Netz- bis
in die Anwendungsebene
umfassen.
IPv6 Einführung
ist keine IPV6 Migration
Bauen Sie erst das Haus und dann die Stadt !
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 12
Universität zu Köln RRZK
Empfehlung – Vorgehensweise
Klare Fokussierung
auf begrenzte
IPv6 Peering
Teilziele
Outside to Inside
IPv6
Adresskonzept
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
IPv6
dedizierte
Server
Folie: 13
Universität zu Köln RRZK
IPv6 Einführung in Teil-Szenario
Im Vergleich zum „vollständig“ IPv6 gerouteten Campus
mit heterogenen Nutzer-Subnetzen
relativ überschaubares Teil-Szenario wählen !
Beispiel:
•  Zugriff auf dedizierte, zentrale IT-Dienste via IPv6 im
Internet ermöglichen
 Web-Server ggf. mit Web-Proxies
 E-Mail-Server
 Domain Name Server
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 14
Universität zu Köln RRZK
Teilszenario geringer Aufgabentiefe
Adresskonzept IPv6
 IPv6 Adressbereich reservieren (/48 Netz DFN)
 Adressplan definieren ?
 Subnetzstruktur internes Netz festlegen ?
 Adressvergabetool und Prozesse festlegen ?
Internet-Zugang
 Bereitstellung IPv4/ IPv6 Zugang mit Internet
Peering mit X-WIN (DFN NOC)
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 15
Universität zu Köln RRZK
Teilszenario geringer Aufgabentiefe
IPv4/IPv6 Dual Stack
 Dual-Stack Betrieb dedizierter Applikationsserver
  Dual-Stack DNS Server (AAAA Record dedizierte Server)
Geringer Umsetzungsaufwand mit großer
Außenwirkung !
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 16
Universität zu Köln RRZK
Teilszenario - Kondensationskern
IPv6 Lab-Aufbau
  Konfiguration IPv6, OSPFv3
  DHCPv6/ Autokonfiguration Endgeräte
  Soft-/ Firmware Test, Freigaben
  KnowHow Aneignung/ Training/ Betriebserfahrung
IPv6 Infrastruktur-Assessment
 
 
 
 
Netzkomponenten
Security Appliances
Adress-Management Werkzeuge
Netzwerkmanagement-Systeme
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 17
Universität zu Köln RRZK
DFN Workshop
Einführung von IPv6 in den Hochschulen
13. März 2013
14:00 bis 17:00 Uhr
Ev. Johannesstift, Grosser Festsaal
- IPv6 Readiness – Interoperabilität/Herstellerpositionierung
- IPV6 Migrationsszenarien/ -strategien
- IPv6 Konfiguration / Betriebsformen/ Betriebserfahrungen
- IPv6 Adressplanung/ -management
- IPv6 Sicherheitsaspekte
- IPv6 Troubleshooting
- Organisatorische Rahmenbedingungen
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 18
Universität zu Köln RRZK
Ende
????
Regionales Rechenzentrum
Abteilung Netze
M. Liebchen
12.03.13
Folie: 19
Universität zu Köln RRZK
IPv4 vs IPv6 - Adressraum
IPv4 – Adressraum
  ca. 4,2 Milliarden (232) IP-Adressen
  Class B Netz für Endkunde
• 
• 
256 (28) Subnetze
pro Subnetz 256 (28) Adressen Endgeräte
IPv6 – Adressraum
  ca. 340 Sextillionen (2128) IP Adressen
  IANA vergibt Global Unicast Adressen aus 2000::/3
  8/3er Adressräume, davon einer(12,5%) genutzt Unicast
IANA zur Vergabe freigegeben
  LIRs vergeben /48 Netz für Endkunden
•  65.536 (216) Subnetze
•  pro Subnetz 18 Trillionen (264) Adressen
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 20
Universität zu Köln RRZK
IPv6 - Adressplan
IPv6 Planungen sind IPv4-Gedankengut behaftet
  konservative Adressraumvergabe; im Adressschema werden
große Teile für zukünftige Anwendungszwecke als Reserve
zurückgehalten.
  Denken in Endgeräten statt Subnetzen; z. B. ACLs werden
nicht auf Ebene der Endgeräte gesetzt.
Typische Fehler
  Verwendung von Subnetzgrössen ungleich /64
  RFC 4291 ,5375 ?
  /48 Netze zu groß für kleine Einrichtungen ?
  /64 Netze Verschwendung für Punkt zu Punkt Verbindungen
  Übertriebene Granularität in Strukturierung Subnetz ID
Regionales Rechenzentrum Universität zu Köln
Abteilung Netze
M. Liebchen
12.03.13
Folie: 21
Universität zu Köln RRZK
Ausgangslage Aufbau IPv6 - Adresse
Global Routing Prefix Subnetz ID Interface
Interface
ID
ID
/48
/64
4 Hexzahlen
F
D
/52
1
1
1
1
9
7
/60
/56
1
1
0
1
1
0
0
1
/64
1
1
1
0
16 Bit; jede Box repräsentiert 1 Bit
4 Boxen repräsentieren 1 Hexadezimalzahl
Regionales Rechenzentrum
Abteilung Netze
M. Liebchen
12.03.13
Folie: 22
Universität zu Köln RRZK
Granularität Strukturierung Subnetz ID
Granularität Strukturierung Subnetz ID
Häufig Prefixlängen ungleich Vielfaches von 4 ;  binäre
Separierung in der Mitte einer Hexadezimalstelle
/51
/54
/58
/64
F F F FB
FB FB I
I
I
I
N N
N N N N
I – Institute (24)
FB – Fachbereiche (23)
F - Fakultäten (23)
N – Netze (26)
Folge
  Bitseparierung in Hexadezimalstelle schadet Lesbarkeit/
Merkbarkeit von IPv6 Adressen
Regionales Rechenzentrum
Abteilung Netze
M. Liebchen
12.03.13
Folie: 23
Universität zu Köln RRZK
Document
Kategorie
Technik
Seitenansichten
82
Dateigröße
1 444 KB
Tags
1/--Seiten
melden