Az IPv6 a gyakorlatban

Szendrői József, CCIE#5496 November 18, 2003 Az IPv6 a gyakorlatban

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 2

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 3

"I think there is a world market for about five computers." Thomas Watson Sr., founder of IBM, 1943. Fogyasztók száma 2004-ig: Hordozható számítógép, PDA: ~20 millió Internet felhasználók: ~945 millió Mobiltelefonok száma: ~1 milliárd (Computer Industry Almanac) Elmélet: ~ 4 milliárd cím Gyakorlat: ~ 250 millió eszköz (RFC3194) 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% IPv4 címfoglalás 1981 1985 1990 2000 2005 4

Elérés és elérhetőség! Kezdetben mindenki az Interneten volt. Nyilvános IP hálózat Ellentmondás: az alkalmazások igénylik a közvetlen elérést; szinte minden felhasználó NAT és Application Gateway mögül kommunikál 5

Igény a hálózat IPv6 képességére Alkalmazások Folyamatos, vezetékes Internet kapcsolat xdsl, Cable, ETTx; Tömeges vezetéknélküli kapcsolatok WLAN, GPRS, 3G mobil; Új internetes alkalmazások Telefon, video, üzenetküldés, játék. Kiszolgálók Unix rendszerek Solaris, AIX, BSD, Linux, Microsoft operációs rendszerek Windows XP, 2003 Server, PocketPC 2003, SmartPhone 2003 Mac OS X Playstation2, X-Box 6

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 7

IPv6 fejrész Version IHL Time to Live Identification IPv4 fejrész Type of Service Protocol Options Flags Source Address Destination Address Total Length Fragment Offset Header Checksum Padding Kibővített címtartomány Egyszerűsített fejrész Nincs ellenőrző összeg az IP szinten Beépített Authentikáció és Privacy Version Traffic Class Payload Length IPv6 fejrész Next Header Source Address Destination Address Flow Label Mindkét protokollban használt Elhagyott mezők Név és pozíció változott Új IPv6 mezők Hop Limit 8

Címformátumok 16 bites hexadecimális mezők: 2031:0000:130F:0000:0000:09C0:876A:130B Mezőn belül a nulla elhagyható: 2031:0:130F:0:0:9C0:876A:130B A címben egyetlen alkalommal tetszőleges egymás utáni nulla értékű mező rövidíthető: 2031:0:130F::9C0:876A:130B 2031::130F::9C0:876A:130B 0:0:0:0:0:0:0:1 => ::1 0:0:0:0:0:0:0:0 => :: IPv4 kompatíbilis címtartomány 0:0:0:0:0:0:192.168.30.1 = ::192.168.30.1 = ::C0A8:1E01 9

IPv6 címekc Global: 2000::/3 001 Global prefix SUBNET Site Local: FEC0::/10 1111 1110 11 0 SUBNET interface ID interface ID Link Local: FE80::/10 1111 1110 10 0 interface ID /23 /35 /48 /64 2001 0410 Interface ID Registry ISP prefix Site prefix Bootstrap process - RFC2450 LAN prefix 10

IPv6 címzési példa LAN: 3ffe:b00:c18:1::/64 Ethernet0 interface Ethernet0 ipv6 address 2001:410:213:1::/64 eui-64 MAC address: 0060.3e47.1530 router# show ipv6 interface Ethernet0 Ethernet0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::260:3EFF:FE47:1530 Global unicast address(es): 2001:410:213:1:260:3EFF:FE47:1530, subnet is 2001:410:213:1::/64 Joined group address(es): FF02::1:FF47:1530 FF02::1 FF02::2 MTU is 1500 bytes 11

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 12

IPv6 címkonfiguráció Neighbour Discovery (RFC 2461) Azonos linken található eszközök interaktív kommunikációja ICMPv6 (RFC 2463) fölött működő protokoll Stateless Auto-Configuration (RFC2462) A host önállóan beállítja a saját Link-Local címét A router-től kapott prefix-ből előállítja a global címet Stateful Auto-Configuration DHCPv6 egyéb paraméterek (DNS, WINS) SUBNET PREFIX SUBNET PREFIX + MAC ADDRESS SUBNET PREFIX + MAC ADDRESS Link-Local cím, global IPv6 cím(ek) 13

Távoli elérés #per-user static route cisco-avpair= ipv6:route=3ffe:c00:1::/48 IPv6 PPP L2TP UDP IPv4 L2TP IPv6 L2TP LNS L2TP IPv4 #prefix sent out the interface cisco-avpair= ipv6:prefix=3ffe:c00:2::/64 #access-list cisco-avpair= ipv6:inacl=permit 3ffe:c00:2::/64 #accounting info Framed-Interface-Id=0:0:0:0001 #IPv6 pool ipv6 prefix-pool foo3ffe:c00:1::/48 64 LAC LAC LAC IPv4 IPv6 IPv4 router Dual-stack router IPv6 router 14

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 15

IPv6 routing LAN1: 2001:0001::45c/64 Router1 Ethernet-1 Ethernet-2 LAN2: 2001:0002::45a/64 IGP: RIPng (RFC 2080), Cisco EIGRP for IPv6, OSPFv3 (RFC 2740) Integrated IS-ISv6 i/is-isv6 (draft-ietf-isis-ipv6-02) EGP: MP-BGP4 (RFC 2858, RFC 2545) OSPFv3 Router1# interface loopback 0 ip address 192.222.222.1 255.255.255.0 interface ethernet-1 ipv6 address 2001:0001::45c/64 ipv6 ospf 1 area 1 enable interface ethernet-2 ipv6 address 2001:0002::45a/64 ipv6 ospf 1 area 1 enable ipv6 router ospf 1 redistribute static Integrated IS-ISv6 Router1# interface ethernet-1 ipv6 address 2001:0001::45c/64 ipv6 router isis interface ethernet-2 ipv6 address 2001:0002::45a/64 ipv6 router isis router isis address-family ipv6 redistribute static exit-address-family net 42.0001.0000.0000.072c.00 16

Mobil IP Mobil felhasználó IPv4 esetén nem lehetséges 3ffe:0b00:c18::1 2001:2:a010::5 Az IPv6 beépített funkcionalitása Útvonal optimalizálás (Direct routing) 17

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 18

Security Kötelező IPSec támogatás Átmeneti címek biztosítása IPv6 ACL IPv6 IOS Firewall Next Header Hdr Ext Len Reserved Security Parameters Sequence Number Authentication Data Authentication Header (AH) Security Parameters Index (SPI) Szolgáltatás IPv4 IPv6 Sequence Number Payload Fregmentálás Host, router Host Source routing Kikapcsolható Nem kikapcsolható Padding Pad Len Next Hdr ICMP redirection no ip icmp redirect no ipv6 redirect Authentication Data Duplikált címek Nincs védelem Nincs védelem Encapsulating Security Payload (ESP) Privacy IPSec kötelező IPSec 19

ACL & IOS Firewall DMZ Router1# interface ethernet-0 ipv6 address 2000::45a/64 ipv6 traffic-filter In in ipv6 traffic-filter Out out interface ethernet-1 ipv6 address 2001::45a/64 ipv6 traffic-filter Ext-out out BRI0 2001:0002::45a/64 Ethernet-1 Ethernet-2 FW Internal ipv6 access-list In permit tcp host 2000::1 eq www host 2001::2 time-range tim reflect myp permit icmp any any router-solicitation ipv6 access-list Out evaluate myp evaluate another time-range tim periodic daily 16:00 to 21:00 2000::45a/64 Ethernet-0 Router1 Ethernet-1 2001::45a/64 FW# interface ethernet-1 ipv6 address 2001:0001::45a/64 ipv6 traffic-filter dmz-in6 in interface ethernet-2 ipv6 address 2001:0002::45a/64 ipv6 traffic-filter internal-in6 in ipv6 traffic-filter internal-out6 out interface BRI0 ipv6 address 2001:0003::45a/64 ipv6 traffic-filter exterior-in6 in ipv6 traffic-filter exterior-out6 out ipv6 access-list vty deny ipv6 any any log-input line vty 0 4 ipv6 access-class vty in ipv6 access-list dmz-in6 permit ipv6 host 2001:0001::100 any 20

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 21

Dual-Stack konfiguráció IPv6 / IPv4 hálózat Dual-Stack Router IPv4: 192.168.99.1 router# ipv6 unicast-routing interface Ethernet0 ip address 192.168.99.1 255.255.255.0 ipv6 address 2001:410:213:1::/64 eui-64 IPv6: 2001:410:213:1::/64 eui-64 Ha egy interfészen mindkét protokoll konfigurált, akkor az Dual-Stack módban működik TCP IPv4 0x0800 Application Data Link (Ethernet) UDP IPv6 0x86dd TCP IPv4 0x0800 IPv6-enable Application Data Link (Ethernet) UDP IPv6 0x86dd 22

Dual-Stack & DNS www.net6.synergon.hu = *? IPv4 DNS Server 3ffe:b00::1 10.1.1.1 IPv6 3ffe:b00::1 Az alkalmazás mindkét protokollt támogatja A DNS válaszában mindkét címet közli Az alkalmazás választ 23

IPv6 over IPv4 IPv6 Header Transport Header Data IPv6 Host IPv6 Dual-Stack Router IPv4 Dual-Stack Router IPv6 IPv6 Host IPv4 Header Tunnel: IPv6 in IPv4 IPv6 Header Transport Header Data Minden IPv6 csomag IPv4 adatként halad a hálózaton Router és host környezetben is alkalmazható 24

NAT-PT (RFC 2766) IOS NAT-PT IPv4 IPv6 172.16.1.1 2001:0420:1987:0:2E0:B0FF:FE6A:412C IP fejrész és cím átalakítás ALG (Application Level Gateway) ICMP és DNS átalakítás (12.3(4)T További alkalmazások fejlesztés alatt (pl. FTP-ALG) 25

NAT-PT konfiguráció 192.168.1.200 LAN2: 192.168.1.0/24 Ethernet 2 NAT prefix 2010::/96 Ethernet 1 LAN1: 2001:2::/64 2001:2::1 interface Ethernet1 ipv6 address 2001:2::10/64 ipv6 nat! interface Ethernet2 ip address 192.168.1.1 255.255.255.0 ipv6 nat prefix 2010::/96 ipv6 nat! ipv6 nat v6v4 source 2001:2::1 192.168.2.1 ipv6 nat v4v6 source 192.168.1.200 2010::60! 26

NAT-PT & DNS IPv4 DNS IOS NAT-PT IPv6 Host Type=A Q= host.nat-pt.com Type=AAAA Q= host.nat-pt.com Type=A R= 172.16.1.5 Type=AAAA R= 2010::45 Type=PTR Q= 5.1.16.172.in-addr-arpa Type=PTR Q= 5.4.0...0.1.0.2.IP6.ARPA Type=PTR R= host.nat-pt.com Type=PTR R= host.nat-pt.com 27

Tartalom Miért van szükség a változásra? IPv6 címzés Helyi és távoli elérés Forgalomirányítás Biztonság IPv4 és IPv6 Összefoglalás 28

Teendők és idők 1 996-2001 2002 2003 2004 2005 2006 2007-201 0 Cisco IOS IPv6 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 K ezdeti tes ztek Alkalmazások ISP F elhas ználók Nagyvállalatok 29

Teendők és idők 2002 2003 1 2 3 4 2004 1 2 3 4 2005 1 2 3 4 2006 2007-201 0 1 2 3 4 Projekt definiálás Költségek vizsgálata Oktatás IPv6 regisztráció Tesztelés Telepítés Átadás 30

IPv6 bemutató a Demo teremben Internet (IPv4) syn-gw6 6net IPv6 tunnel IOS 12.3(4)T 31

Szendrői József, CCIE#5496 Szendrői.Jozsef@Synergon.hu November 18, 2003 Köszönöm figyelmüket!