IPv6 Elmélet és gyakorlat

IPv6 Elmélet és gyakorlat Kunszt Árpád <arpad.kunszt@andrews.hu> Andrews IT Engineering Kft.

Tematika Bevezetés Emlékeztető Egy elképzelt projekt Mikrotik konfiguráció IPv6 IPv4 kapcsolatok, lehetőségek Demó

Bevezetés IPv4 es címek gyorsuló fogyása az IANA nál már nincs szabad tartomány az 5 RIR kapta meg az utolsó 5 öt ~ 83 millió kiosztható IP cím (don't panic!) de Európában csak ~ 16 millió! (panic!) Hálózati eszközök egyre gyorsuló terjedése smartphone ok, tablet ek stb. Csökkenő távközlési költségek több otthoni felhasználó

Bevezetés Részmegoldások NAT nagy léptékekben drága IP címek túlfoglalása IPv6 áttérés nehézségei szolgáltatói oldali gondok régi, nem megfelelő eszközök kompetencia hiány relatív könnyen megoldhatóak

Bevezetés kliens oldali gondok szoftver frissítés Windows7, újabb Linux disztribúciók hardver kompatibilitási problémák régi DSL/Cable modemek, routerek saját kliensek esetén ezek megoldhatók ügyfelek esetén már nem csak technikai a probléma Fokozatos bevezetés javasolt új probléma: IPv4 es hálózatokkal történő kapcsolattartás

Emlékeztető 128 bites címek : elválasztó karakter Stateless autokonfiguráció javasolt eljárás van stateful autokonfiguráció (DHCPv6) és fix címzés is ICMPv6 ~ ARP + ICMPv4 + IGMP + RIP

Elképzelt projekt Kiindulási állapot Cél irodai IPv4 hálózat, 3 kliens + 1web szerver Mikrotik router IPv6 only hálózat a klienseken a szerver IPv4 és IPv6 címekkel is rendelkezik IPv4 es Internet elérhetősége továbbra is biztosított legyen költséghatékony megoldást akarunk

Irodai hálózat

Mikrotik konfiguráció Nova felületen (SSH): ipv6 address add address=fc00:1::1/64 interface= ether5 eui 64=no ip dns set servers=<eddigi>,fc00:1::1 ipv6 nd print ipv6 nd set interface=ether5 ra interval=10s 1m advertise dns=yes numbers=0 ha még nincs, akkor ide természetesen add kerül

Mikrotik konfiguráció Ellenőrzés/lekérdezés ipv6 nd print ipv6 nd prefix print ip dns print

Áttekintés Belső tartomány: fc00:1::/64 Mikrotik IPv6 os címe: fc00:1::1 Szerver IPv6 os címe:? RA esetén: fc00:1::m1m2:m3ff:fem4:m5m6 RFC szerint ez menet közben változhat amelyik OS ezt tudja, az változtatja is (privacy) szervereknek fix IPv6 os címet osszunk ki javasolt tiltani az RA üzenetek fogadását is elképzelhető olyan konfiguráció, amely esetén ez nem kell

Áttekintés Szerver IP címe: fc00:1::2/64 IPv6 default gw: fc00:1::1 (manuálisan) Gond: az IPv6 only hostok csak IPv6 os címeket tudnak elérni az IPv4 only uplink miatt ez lényegében csak a saját hálózatot jelenti ezt leszámítva az IPv6 os hálózat kiépítése nagyon gyors volt!

Szerver beállítás (Debian) auto eth0 iface eth0 inet static address 20.30.1.10 netmask 255.255.255.0 broadcast 20.30.1.255 network 20.30.1.0 iface eth0 inet6 static address fc00:1::2 netmask 64 gateway fc00:1::1 post up /sbin/ip f inet6 route add 3fff:42::/48 via fc00:1::42

IPv6 IPv4 kapcsolat ALF protokoll fordító IPv6 IPv4 fordítás nem teljes, de elég hatékony egy szoftver sem képes minden létező protokollt megfelelően átfordítani Követelmény: az ALF legyen a DNS szerver ip dns set servers=<régiek>,fc00:1::42 ezt esetlegesen a klienseken is módosítani kell az RRDNS széles körben még nem támogatott

IPv6 IPv4 kapcsolat

IPv6 IPv4 kapcsolat DNS + RA alapú forgalom elterelés nem létező IPv6 os tartományra képezi le az IPv4 es válaszokat itt most: 3fff:42::/48 IPv4 címek használata esetén nem fog működni olyan kliens szükséges, ami képes RA route üzeneteket fogadni pl: Win7, legújabb Linux disztrubúciók a kernel már régóta támogatja, de az alapértelmezett disztribúciós kernelekben általában le van tiltva

IPv6 IPv4 egyéb lehetőségek ALF in the middle ALF a router és a LAN között nincs szükség routing módosításra a klienseken autokonfigurációval működik még XP alatt is módosítani kell a hálózati struktúrán (minimális) Fordított konfiguráció IPv4 only hostot tesz elérhetővé az IPv6 os hálózatból hasznos régi, nem frissíthető szerverek elérése esetén

IPv6 IPv4 egyéb lehetőségek Egyenes konfiguráció új szerverek esetén, amiket már csak IPv6 hálózatra akarunk telepíteni folyamatos átállás alatt Dinamikus routing OSPFv3, BGP a fake tartományt kell az ALF hoz route olni a DNS szervernek is az ALF nak kell lennie lehetséges (sőt javasolt) forwarder használata

ALF in the middle

Fordított konfiguráció

Egyenes konfiguráció

Dinamikus routing

ALF Application Level Firewall magyar fejlesztés alkalmazás szintű tűzfal képes IPv6 és IPv4 között oda vissza fordítani felsőbb protokoll szinten is FTP esetében enélkül nem is menne támogatott OS: Linux, *BSD, Solaris, HP UX, stb. támogatott HW: x86/x86_64 nem igényel speciális hardware t

Demó Szurkoljunk az előadónak : )

Köszönöm a figyelmet!