IPv6 múlt, jelen, jövő 2011. február 15. Mohácsi János NIIF Intézet
Előadás szerkezet Mi az az NIIF? IPv6 hol állunk most? NIIF tapasztalatok TIPSTER6 6NET Campus IPv6 és azóta Feladat előttünk 2. oldal
NIIF infrastruktúrája a kutatás és felsőoktatás szolgálatában Európai kapcsolati lánc: Versenyképesség EU 2020 Innováció Kutatás-fejlesztés Felsőoktatás Nemzetközi hierarchia: Világ Európa Magyarország Digital Agenda Infrastruktúra Hálózat 6 globális régióban 120 NREN Intézmények Innovation Union ERA TERENA, DANTE, 40 NREN Kutatók NRENs GÉANT NIIF infrastruktúrán 400 intézmény Intézményhálózat 700 telephely 700.000 főnyi zárt felhasználói közösség Szolgáltatások Dedikált GÉANT+ hibrid kapacitások a kutatóknak és egyetemeknek, Videokonferencia, VoIP Föderatív AAI, Szuper-számítástechnika és storage 3. oldal
Előadás szerkezet Mi az az NIIF? IPv6 hol állunk most? NIIF tapasztalatok TIPSTER6 6NET Campus IPv6 és azóta Feladat előttünk 4. oldal
IP címek elfogyás Geoff Huston
Cím elfogyás dátum /1 Projected IANA Unallocated Address Pool Exhaustion: 08-Jun-2011
Cím elfogyás dátum /2
Lehetséges lépések IPv6 bevezetése IPv6 kész a használatra Kutatói hálózatok régóta elérhetővé tették Nem használt IPv4 tartományok visszavétele Nem jelentős nyereség jogi konfliktusok Kísérleti IPv4 tartomány E alkalmazása Szoftverek nem támogatják Internet szolgáltatóknál NAT Felhasználók osztályozása Szoftverek működési problámái IPv4 cím piac kialakítása IPv4 címek fragmentálódás - egyre több kevés címet tartalmazó hálózat jelenik meg a globális routing-táblában, és ez a jelenlegi útvonalválasztók képességeinek határát fogja feszegetni.
Előadás szerkezet Mi az az NIIF? IPv6 hol állunk most NIIF tapasztalatok TIPSTER6 6NET Campus IPv6 és azóta Feladat előttünk 9. oldal
NIIF és IPv6 -TIPSTER6 projekt - 2000 Magyarországon - 6bone ptla 1998 óta >10 Nemzetközi tunnel > 25 IPv6 kapcsolat 10. oldal
TIPSTER6 eredményei http://ipv6.niif.hu/tipster6 IPv6 leírás IPv6 implementáció és alkalmazás tesztek TAHI hozzájárulás Kísérleti hálózat monitorozás: ping/ traceroute, BGP, forgalom, stb. IPv6 alkalmazás és patch adatbázis IPv6 LDAP-DHCP-DNS alkalmazás váz 11. oldal
Európa támogatja az IPv6-ot 2001-2002 Hálózat: GÉANT, 6NET, Euro6IX, - számos IX Akarat: IPv6-TF, IPv6 cluster, IPv6 global launch event: IPv6 is a critical technology enabling integration of the Internet with mobile communications, an area where Europe leads the world. The importance of IPv6 to European competitiveness in general cannot be overestimated. Europe needs to match its world class research with political commitment to make IPv6 happen. -Erkki Liikanen e-infrastructures Együttműködés: CENELEC (European Committee for Electrotechnical Standardization) és IPv6 Forum együttműködés
Európa támogatja az IPv6-ot 2001-2002 Hálózat: GÉANT, 6NET, Euro6IX, - számos IX Akarat: IPv6-TF, IPv6 cluster, IPv6 global launch event: IPv6 is a critical technology enabling integration of the Internet with mobile communications, an area where Europe leads the world. The importance of IPv6 to European competitiveness in general cannot be overestimated. Europe needs to match its world class research with political commitment to make IPv6 happen. -Erkki Liikanen e-infrastructures Együttműködés: CENELEC (European Committee for Electrotechnical Standardization) és IPv6 Forum együttműködés
NIIF/HUNGARNET Nemzeti Információs IPv6 Infrastruktúra topológia Fejlesztési - 6NET Intézet - 2002
NIIF IPv6 Nemzeti pilot Információs 6NET Infrastruktúra - tapasztalatok Fejlesztési Intézet 2002 Elkülönített gerinc hálózat IPv4 SLA-t nem befolyásolja Nincsen IPv6 támogatás bizonyos eszközökhöz: pl. Cisco 6500-ra Nem stabil az IOS Megoldás Dual stack (C7200) PE routerek IS-IS Ethernet VLAN-ok MPLS VPNs (6PE) BGP4+ + PC alapú routerek és tűzfalak
6PE
NIIF - IPv6 Nemzeti kísérleti Információs szolgáltatás Infrastruktúra Fejlesztési 2002-2003 Intézet 2002 december - 8 Egyetem és kutató intézet bekapcsolva 2002 szeptember - HUNGARNET IPv6 LIR működik - címosztás és reverse DNS Native IPv6 kapcsolat kifelé a 6NET-en keresztül IPv6 pilot service web szolgáltatása: http://ipv6.niif.hu - IPv6-on is GÉANT IPv6 kapcsolat IPv6 Time server (NTP) IPv6 hálózatmenedzsment monitoring, sla mgmt, conf. mgmt Alkalmazás tesztek és multicast tesztek Networkshop 2003 Global IPv6 summit: IPv6 is operational and Deployable Now
NIIF/HUNGARNET Nemzeti Információs IPv6 Infrastruktúra topológia Fejlesztési - 6NET Intézet - 2004
Mi az ami hiányzik? 2003 IPv6 multicast PIM támogatás Minden routeren kell (csak PC-s router jelenleg ) OSPFv3 Nem kiforrott ADSL támogatás NIIF hálózatában aktívan alkalmazott IPSec routing protokollok védelme Nem támogatott MLD v2 snooping switchek Jelenleg minden porton megjelenik az IPv6 multicast Cisco 65xx-as Nincsen hivatalos támogatás IPv6 forgalom külön monitorozhatósága dual-stack routeren Nem támogatott Cisco routeren
Mi az ami hiányzik? 2004 IPv6 multicast PIM támogatás Minden routeren kell (csak PC-s router jelenleg ) OSPFv3 Nem kiforrott ADSL támogatás NIIF hálózatában aktívan alkalmazott IPSec routing protokollok védelme Nem támogatott MLD v2 snooping switchek Jelenleg minden porton megjelenik az IPv6 multicast Cisco 65xx-as Nincsen hivatalos támogatás IPv6 forgalom külön monitorozhatósága dual-stack routeren Nem támogatott Cisco routeren van ahol még ma sem
Mi az ami hiányzik? 2004 - új IPv6 multicast PIM támogatás Cisco 65xx platformon IPv6-ra kihegyezett tűzfalak Léteznek, de nem IPv6 szemszögből tekintenek a problémára ADSL támogatás Központi, flexibilis prefix delegáció DHCP? Utolsó router/host redundancia/load balancerek VRRP?, HSRP?, CARP? MLD v2 snooping switchek Jelenleg minden porton megjelenik az IPv6 multicast Cisco Catalyst 3750/3560 IPv6 támogatás Nincsen IPv6 forgalom külön monitorozhatósága dual-stack routeren Nem támogatott Cisco routeren SNMP IPv6 fölött Catalyst 6500/7600 IPv6 NetFlow export
NIIF - IPv6 kísérleti szolgáltatás 2004 /1 IPv6 multicast hálózat működik 2003 szeptember óta. 10 intézmény kapcsolódik IPv6-on GÉANT IPv6 kapcsolat natív kapcsolat Teszt peering Synergon, Antenna Hungária Natív IPv6 kapcsolat Bécsbe Számos központi weboldal elérhető IPv6-on: BME, KFKI, NIIF, Miskolci Egyetem Informatikai tanszék, Szegedi Egyetem Informatikai Intézet, HUNG-ART Hálózat menedzsment Hasonló szinvonalon müködtethető mint IPv4, fejlesztések
NIIF - IPv6 kísérleti szolgáltatás 2004 /2 Teljesítmény tesztek IPv6 SW forwarding routereken 5-20%-al nagyobb CPU load IPv6 esetén ugyanazon terhelés mellett (nagyobb csomagoknál kisebb) 5-30%-al nagyobb késleltetés IPv6 esetén (nagyobb csomagoknál kisebb) Tanulságok: ACL nagyon belassít CEF-et be kell kapcsolni!!!! IPv6 route lookup ~ 2x annyi idő IPv6 HW forwarding routereken Szinte nincsen különbség Alkalmazás tesztek Video on Demand, IPv6 Radio, IPv6 játékok, IPv6 peerto-peer file cserélő (Bittorrent) fejlesztés
NIIF - IPv6 kísérleti szolgáltatás 2004 /3 Dokumentációk és információs anyagok IPv6 FAQ magyarul http://ipv6.niif.hu/faq IPv6 FAQ angolul tutoriálok Streaming IPv6-on NWS2004-et IPv6-on lehet nézni Wireless LAN-on IPv6 NWS2004 konferencián IPv6-ot ki lehetett próbálni.
6NET tapasztalatok - szemelvények - 2004 SNMP IPv6 fölött elszórtan támogatott MIB-ek elég hiányosak Menedzsment platformok kereskedelmi szoftverek nem támogatják az IPv6-ot Ki használja ezeket az akadémiai szférában? 6NET hatása Nagyon sok tapasztalatot adott az akadémai hálózatok üzemeltetőinek Az emberek komolyan kezdték vizsgálni az IPv6 bevezetését GÉANT IPv6 szolgáltatás 6NET nagyon hasznos platform információ cserére!
NIIF/HUNGARNET Nemzeti Információs IPv6 Infrastruktúra topológia Fejlesztési - 6NET Intézet - 2005 Dial up IPv6 DSL host IPv6
Campus IPv6 projekt - 2006 GVOP-3.1.1.-2004-05-0532/3.0:Résztvevők:NIIFI, BME, MTA KFKI, SZTE, Siemens Rt. IPv6 bevezethetőségének vizsgálata campusokon, felsőoktatási intézményekben DSL és wifi roaming vizsgálata IPv6 szolgáltatások biztonsága, menedzselhetősége és bevezethetősége Célok: határvédelmi eszközök IPv6 ajánlások hálózatmenedzsment megoldások Produkciós Grid megoldások IPv6 környezettel Név és IP cím menedzsment IPv6 környezetben IPv6 multicast és azt monitorozó alkalmazások Alkalmazói kittek, ajánlások IPv6 szolgáltatások integrációjára 27. oldal
NIIF IPv6 topológia - 2006 28. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 Tűzfalak Linux/BSD tűzfalak tesztelése és fejlesztése BSD és Linux tesztek- conntrack/keep-state Protokolfüggetlen netfilter és erre IPv4 NAT mangler ICMPv6 kezelés nehézségei: draft-ietf-v6ops-icmpv6-filtering-recs-03.txt > RFC 4890 Tűzfal konfigurációs leírások (BSD pf, iptables, ip6fw, Cisco ACL) Hacking eszközök IPv6-os vizsgálata iptables és BSD pf IPv6 szolgáltatásban használva 29. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 IPv6 multicast és multicast monitorozás + topológia felderítés Hálózatmonitorozás Hálózatmonitorozó rendszerek áttekinttése IPv6 netflow netflow v9 Netflow v9 netflow analizáló rendszerek béta tesztjében közreműködés SCTP netflow teszt és SCTP exporter Multicast monitorozás IPv6 Netflow v9 monitorozási segédlet 30. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 IPv6 multicast és multicast monitorozás + topológia felderítés Hálózatmonitorozás Hálózatmonitorozó rendszerek áttekinttése IPv6 netflow netflow v9 Netflow v9 netflow analizáló rendszerek béta tesztjében közreműködés SCTP netflow teszt és SCTP exporter Multicast monitorozás IPv6 Netflow v9 monitorozási segédlet 31. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 Cím-menedzselés L2D2 (LDAP to DNS and DHCP) http://www.kfki.hu/cnc/projekt/l2d2/ 32. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 Hallgatói és oktatói mobilitás támogatása IPv6-tal DSL környezetben -> labor tesztek OK, éles tesztek Cisco bug Magyar Telekom DSL hálózatán IPv6 DSL konfigurációs segédlet IPv6 Wifi környezetben > NIIF eduroam pilot eduroam IPv6 támogatással elsők között európában 33. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 NIIF Központi szolgáltatások IPv6-on Új terheléselosztó már működik IPv6-on nem LVS hanem BSD pf - relayd HTTP, HTTPS kernel inkompatibilitás szinte teljesen új rendszer SMTP később igényli a qmail kidobását... BIX-en IPv6 peering lehetséges: első NIIF ns.nic.hu IPv6-on elérhető ISZT NIIF secondary-t szolgáltató DNS szervere IPv6-on elérhető 34. oldal
Campus IPv6 Nemzeti projekt Információs eredmények Infrastruktúra Fejlesztési 2006 Intézet -2007 NIIF Központi szolgáltatások IPv6-on Új terheléselosztó már működik IPv6-on nem LVS hanem BSD pf - relayd HTTP, HTTPS kernel inkompatibilitás szinte teljesen új rendszer SMTP később igényli a qmail kidobását... BIX-en IPv6 peering lehetséges: első NIIF ns.nic.hu IPv6-on elérhető ISZT NIIF secondary-t szolgáltató DNS szervere IPv6-on elérhető 35. oldal
NIIF IPv6 Szélessávú elérés 2008-2009 LCP, IPCP, IP6CP 36. oldal
IPv4 DSL architektúra 37. oldal
38. oldal
IPv6 és Radius Radius protocol Felhasználó azonosítás, jogosultság kezelés, accounting Skálázható megoldás a távoli felhasználók kezelésére paraméterek átadására. Nem kell LNS-en konfigurálni Konfigurációs adatok átadás: IPv4 cím/ hálózat, IPv6 prefix, ACL Radius üzenet csere IPv6 attributumok IPv4 attributumok mellett és a NAS eldönti, hogy kell-e alkalmazni.
IPv6 DSL NIIF hálózatában Campus IPv6 projekt 2007- tesztek - T-COM halózatában LAC-ként működő Cisco 10000-ek az IP6CP-t szemétként értelmezték Javítva: 2008 február C72 ADSL koncentrátor Tesztek -2008 első felében ASR 1002 koncentrátor Tesztek újra 40. oldal
IPv6 DSL NIIF hálózatában Dual stack IPCP és IP6CP Minden DSL felhasználónál engedélyezve 2009 nyara óta Dinamikus változó /64 címtartomány SLAAC konfigurációhoz DHCPv6 prefix delegáció /60 vagy /56 címtartomány belső hálózathoz Korlát: Framed-IPv6-Prefix nem kezelt 12.2(33)XNE előtt (2010 április óta XNE1) > fix IPv6 prefix felhasználóknak 41. oldal
Nem IPv6 képes a broadband kapcsolat? 6to4 Ha kapunk legalább egy globális IPv4 címet Teredo Ha nem kapunk globális IPv4 címet vagy Otthoni router nem támogatja a IPv6-ot (6to4)-t. 6rd? Hol támogatott? 42. oldal
Tunnelezés IPv6 becsomagolva IPv4 csomagba IPv6 csomag IPv4 csomag tartalma Két IPv6 sziget összekapcsolása Routerek IPv6-ot beszélnek az IPv6 képes hálózat felé A Tunnel végpontjának a címet ismerni kell és be kell konfigurálni a tunnelt 43
6to4 In its basic configuration, 6to4 is used to connect two IPv6 islands across an IPv4 network Uses special trick for the 2002::/16 IPv6 prefix that is reserved for 6to4 use Next 32 bits of the prefix are the 32 bits of the IPv4 address of the 6to4 router For example, a 6to4 router on 192.0.1.1 would use an IPv6 prefix of 2002:c000:0101::/48 for its site network When a 6to4 router sees a packet with destination prefix 2002::/16, it knows to tunnel the packet in IPv4 towards the IPv4 address indicated in the next 32 bits 44 FP TLS V4 Address Sub-network Interface ID 001 0x0002 (pt. of attach.) ID 3 13 32 16 64 bits
6to4 basic overview 45
6to4 with relay 46
Asymmetric 6to4 47
6to4 a NIIF hálózatán Csak átmeneti megoldásként támogatott NIIF-nél 6to4 relay üzemel 2008 nyara óta Csak a NIIF hálózatán belülről érhető el az IPv4 anycast cím BIX-en? Csak a NIIF hálózatán belülről érhető el 2002::/16 6to4 relay cím 48. oldal
Teredo Teredo is defined in RFC4380 Thought for providing IPv6 to hosts that are located behind a NAT box that is not proto-41 forwarding Some characteristics Encapsulates the IPv6 packets into UDP/IPv4 packets Uses different agents: Teredo Server, Teredo Relay, Teredo Client User configures in its host a Teredo Server which provides an IPv6 address from the 2001:0000::/32 prefix, based on the user s public IPv4 address and used UDP port If the Teredo Server is also a Teredo Relay, the user has also IPv6 connectivity with any IPv6 host, otherwise, the user only has IPv6 connectivity with other Teredo users Microsoft currently provides public Teredo Servers for free, but not Teredo Relays 49
Teredo Address Translated V4 address embedded in V6 teredo address Use for Teredo server and relay points to forward packets back to teredo host Over the V4 network, the protocol stack is v6/teredo/ UDP/V4 V6 subnet prefix Interface ID Teredo Prefix 32 bits Teredo Server V4 Address Flag Obf. UDP Port Obf. Client V4 Address Client V6 address
Teredo: Basic Overview Native IPv6 IPv6 Internet IPv6 Host Teredo RELAY Teredo RELAY Teredo Server IPv4 Internet Teredo Tunnel TEREDO Setup NAT BOX A NAT BOX B TEREDO Setup Teredo Client Teredo Tunnel Teredo Client 51
Teredo Operation Model Teredo Client gets its Teredo IPv6 address from Teredo Server. Use Teredo Relay as Relay router. Teredo Client" NAT" Teredo address? IPv4" Your Teredo address. Teredo Server" IPv6 Network" IPv6 Host" Teredo IPv6 Tunnel IPv4 Header UDP Header Teredo Header IPv6 packet Teredo Relay" 52
Teredo az NIIF hálózatában Teredo server és relay 2009 március óta Teredo server címe: teredo.niif.hu Vista/win7 alapból engedélyezi! a Teredo-t IPv6 erőforrások elérésére, ha nincsen dual-stack 53. oldal
Mi van a szappandobozban? AVM (FRITZ!Box) DHCPv6 PD, 6to4 Apple Airport Extreme DHCPv6 PD in DHCP mode, 6to4 Cisco 8xx (nem 85x és 86x)- DHCPv6 PD, 6to4 Dlink DIR-8xx/6xx 6to4 és újabban DHCPv6 PD Draytek Vigor DHCPv6 PD Juniper 6to4, proxy ND MikroTik DHCPv6 PD, 6to4 OpenWRT DHCPv6 PD, 6to4 Zyxel (2010 utáni) 6to4 6RD támogatás? 54. oldal
NIIF Hungarnet IPv6 topológia - 2011 55. oldal
IPv6 elterjedtség - forgalom 56. oldal
IPv6 elterjedtség - forgalom 57. oldal
6deploy2 projekt EU FP7 project: 2010-2012 Testlabs E-learning courses Networking experts Support (1) Expertise & material from previous EC projects, including, 6NET, 6DISS, 6deploy Personal expertise & Cookbooks IPv6 training workshops, tuned to the needs of the participants IPv6 workshops Support for IPv6 deployments Helpdesk IPv6 cluster meetings Support (2)
IPv6 only tesztek - NAT64, DNS64 /1 Hungarnet Workshop 2008, 2009, 2010 1. Kliens csak IPv4-en elérhető szervert kérdez le DNS-en DNS64: 2001:738:0:3::2 DNS AAAA Query pelda.hu DNS AAAA Query pelda.hu DNS AAAA Response IP: 2001:738:ffff::1.2.3.4 DNS A Query pelda.hu DNS A Response IP: 1.2.3.4
IPv6 only - NAT64, DNS64 /2 2: kliens csomagokat küld IPv4 szerverhez DNS64: 2001:738:0:3::2 Send packet: 2001:738:ffff::1.2.3.4 Packet to: 1.2.3.4
Előadás szerkezet Mi az az NIIF? IPv6 hol állunk most NIIF tapasztalatok TIPSTER6 6NET Campus IPv6 és azóta Feladat előttünk 61. oldal
Mi a teendő Nemzeti az Információs Internet Infrastruktúra továbbfejlődésért? Fejlesztési Intézet Annak elfogadása, hogy a legkisebb kockázata az IPv6-nak van Együttműködés az IPv6 bevezetésében Másfajta ösztönzők Tagállamok példamutatása IPv6 támogatás megkövetelése beszerzéskor European IPv6 day - 2008. május 30 Aki korán kel, aranyat lel jelentette ki Vivane Reding, az Európai Unió információs társadalomért és a médiaügyekért felelős biztosa. A vállalatok és közintézmények ugyan rövidtávon abba a kísértésbe eshetnek, hogy beérjék a régi rendszerrel, és igényeiket annak szűk lehetőségeihez alakítsák. Ez azonban azzal járna, hogy Európa nem tudna élni a legújabb internetes technológiák kínálta lehetőségekkel, és komoly problémával szembesülne, amikor a régi rendszer címtartománya kimerülne. Ezért arra kérem a tagállamokat, gondoskodjanak arról, hogy 2010-ig az IPv6 protokollt a közintézmények és a vállalatok széles körben alkalmazzák.
Internet Transition Plan - RFC 5211 3 fázisú megközelítés Felkészülés Áttérés Áttérés után Minden fázisban definiált az elérendő cél (SP, Szervezet kifelé/befelé) Teljesen önkéntes megfelelés
World IPv6 day - ISOC 2011 június 8. 24 órás teszt IPv6 szolgáltatások nyújtása Tapasztalatok gyűjtése Sok résztvevő: Google, Facebook, Yahoo!, Akamai Limelight Networks Cisco, Meebo, Genius, W3C, Universidad Nacional Autonoma de Mexico, Rensselaer Polytechnic Institute, NYI NET, Host Europe, Xiphiastec, Tom's Hardware, NUST School of Electrical Engineering and Computer Science, Twenga, Plurk, Terra (Brazil), Jolokia Networks, Juniper Networks, Microsoft Bing, Gigatux, Voxel, LemonEntry, 2g2u, 2020Media, Vonage, sapo.pt, Tagadab.com, Mercury Z, Outpost10f, Public Interest Registry, Sesame Workshop, Arces 64. oldal
IPv6 áttérés tapasztalatok - konklúzió A végfelhasználók számára nem kell, hogy látható legyen A Internet gerinchálózatokban nem probléma A szélessávú internet felhasználók esetén még vannak feladatok A szolgáltatóknál a rendszereket át kell vizsgálni IPv6 kompatibilitás szempontjából Gyakran első lépésként elegendő a publikus szolgáltatásokat nyújtó rendszereket IPv6 képessé tenni. Google szolgáltatásinak egy része IPv6 képes, Facebook, Yahoo, Microsoft dolgozik az IPv6 áttérésen. NIIF hálózata: Hazai felsőoktatási és kutatási hálózat IPv6 képes 2005 óta Externet 2009 óta szolgáltatást nyújt Magyar Telekom 2009 óta kísérleti szolgáltatást nyújt. Invitel kísérletezik vele Több hosting szolgáltató kísérletezik vele Lehet tenni valamit a World IPv6 day-ig..
Köszönöm a figyelmet! Mohácsi János net-admin@niif.hu mohacsi@niif.hu