Your SlideShare is downloading. ×
0
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

IPv6, DLD og NAT: Steinar Haug, IPv6 guru, Ventelo

897

Published on

IPv6, DLD og NAT - Tre forkortelser som aldri bør møtes!: Steinar Haug, IPv6 guru, Ventelo …

IPv6, DLD og NAT - Tre forkortelser som aldri bør møtes!: Steinar Haug, IPv6 guru, Ventelo


IKT-Norge IPv6 forum IPV6 konferanse 23 & 24 mai 2011

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
897
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. IPv6, DLD og NAT Den uheldige treenighetSteinar HaugIPv6 guru / Senior network architectsteinar.haug@ventelo.no
  • 2. Hvem er vi?•  Ventelo er en komplett tjenesteleverandør –  Mobiltelefoni / fasttelefoni –  Bredbånd –  Datacom –  Kapasitet•  Landsdekkende infrastruktur på fiber, DSL og radio•  Bedrift, wholesale og privat•  IPv6 i kjernenettet siden 2003 –  Produktifisering. –  Pilot-tjeneste tilbys bedriftskunder. –  Første større IPv6 leveranse til The Gathering påsken 2009, Vikingskipet. Slide 2
  • 3. Uheldige forkortelser?•  Data og nettverksbransjen liker forkortelser –  En yrkesrelatert sykdom? TCP MP3 PHP IKT LTE GSM DLD IPv4•  Dagens forkortelser: IPv6, DLD og NAT IPv6 ISP ADSL –  IPv6: Internet Protocol version 6. –  DLD: Datalagringsdirektivet. API WWW –  NAT: Network Address Translation. NAT•  Disse har en del innebygde konflikter –  Jeg skal belyse konfliktene og problemene. –  Jeg kommer med en del påstander om IPv6, DLD og NAT. –  Det er lov å være uenig. –  Hvis dette får dere til å tenke, er alt vel! Slide 3
  • 4. Datalagringsdirektivet•  Vedtatt i Stortinget 4. april 2011 –  Dramatisk svekking av personvernet: Alle betraktes som mistenkte! –  Opphetet debatt i mange fora på forhånd. –  Men mange gir blaffen og bryr seg ikke.•  Lagring av info om alle som bruker teletjenester –  Minimum 6 måneders lagring. –  Sender, mottaker, posisjon – men ikke innhold. –  Krever i praksis veldefinert kobling mellom IP-adresse og kunde. –  Forslag til ny åndsverkslov peker i samme retning.•  Detaljer ennå ikke avklart! –  Detaljert utforming av regelverket er ikke klart – hverken Storting eller andre vet egentlig hva som er vedtatt! –  Kostnader forbundet med DLD er ikke avklart – men vi vet at de blir betydelige. Slide 4
  • 5. Network Address Translation•  NAT er svært vanlig i forbindelse med IPv4 –  ”Mange til en” NAT: Flere IPv4 bokser bak én offisiell adresse. –  Hver enkelt boks er ikke lenger direkte adresserbar! –  NAT ”sikkerhet”: Egentlig kommer dette fra ”stateful firewall”. –  Sikkerhetspolicy: Vanlig at det kun aksepteres returtrafikk for sesjoner som er startet fra ”innsiden” (lokalnettet). –  NAT-boks må ha tilstand for sesjoner. –  De fleste ADSL hjemmerutere bruker NAT. –  Bedrifter bruker ofte NAT på brannmur mot omverden. –  NAT gir leverandøruavhengighet: Kun NAT-boks (brannmur) trenger å endres ved bytte av leverandør.•  NAT er ikke definert for IPv6! –  Både faglig begrunnet og ”religiøs” motvilje. –  Men det tvinger seg frem likevel (brukerkrav). –  Relevant skille: ”En til en” oversetting (NAT66) versus ”mange til en” oversetting (NAPT66). Slide 5
  • 6. IPv6 adressetildeling•  IPv6 adressetildeling som ligner på IPv4 –  Statisk adresse: Eksplisitt konfigurering pr. boks. –  DHCP: Tildeling styres av DHCP-server.•  Disse er ”DLD-vennlige”: –  Enkelt å holde oversikt over kobling mellom IP-adresse og bruker/boks. –  DHCP-server gir sentralisert logging.•  Inkompatibel med DLD: Autokonfigurasjon (SLAAC) –  Ny mekanisme i IPv6 – finnes ikke i IPv4. –  Adresse lages vha. prefiks (fra ruter) og lokal del (bestemt av boksen selv). 2001:db8:: 215:17ff:fe2a:2fde –  Vanligvis ingen logging som viser kobling mellom boks og IPv6-adresse. –  Inkompatibel med DLD! –  ... som betyr at denne mekanismen normalt ikke kan brukes av tjenesteleverandører. Slide 6
  • 7. Hvilke adresser skal brukes?•  En datamaskin vil ofte ha IPv4 og IPv6 adresser –  Hvilke adresser skal brukes? Dette er ikke opplagt! –  Nyere operativsystemer foretrekker normalt IPv6 foran IPv4. –  Hva om IPv6-adressen er en 6to4 eller Teredo tunnel-adresse? –  Hva om IPv4-adressen er en privat IP-adresse (pga. NAT etc)? –  Hva skjer med VPN-forbindelser med IPv6 i nettet? –  Valg av dårlig/ikke fungerende adresse kan være katastrofalt for brukeropplevelse (30 sekunder timeout o.l.), og innholdsleverandører er redd for å miste inntekter!•  Det er gjort en god del målinger for å detektere problemer –  Google målinger: http://ripe61.ripe.net/presentations/223-World_IPv6_day.pdf –  Redpill Linpro målinger: http://www.fud.no/ipv6/•  Resultatet er at VG/A-pressen har skrudd på IPv6 på servere –  Mengden ikke-fungerende klienter er lav nok til at de kan leve med det. –  Og det skal vi alle være glade for  Slide 7
  • 8. IPv6 vil gi økt bruk av NAT•  NAT ikke definert for IPv6! –  IPv6 tilbyr full ende til ende kommunikasjon, uten NAT. –  Mange brukere er vant til NAT, og ønsker det for IPv6! –  Leverandøruavhengige adresser (PI) finnes, men er vanskelig tilgjengelige. –  Fullstendig krasj mellom teori og praksis •  IPv6 vil gi mer bruk av NAT enn IPv4! –  Iallfall i de nærmeste 5 – 10 årene. –  Mange ”overgangsmekanismer”: NAT64/DNS64, DS-Lite, ... –  Hvordan kan en IPv6 boks nå IPv4 innhold? –  Hvordan kan en IPv4 boks nå IPv6 innhold? –  Hvordan skifte IPv6 leverandør uten å endre alle IPv6 adresser i bedriften? –  Hvordan håndtere DLD krav til identifikasjon av kunde? Slide 8
  • 9. IPv6 og NAT•  Tanken var... –  At ”alle” skal bruke ”dual stack”, dvs. implementasjon av både IPv4 og IPv6. Nødvendig fordi IPv6 og IPv4 bokser ikke kan snakke direkte med hverandre. –  Og etter noen år har ”alle” gått over til IPv6, og IPv4 kan skrus av. –  IPv6 trenger ikke NAT, fordi det er nok adresser – ikke nødvendig å definere NAT. –  Slik gikk det ikke!•  Sentralisert NAT for å kunne fortsette med bruk av IPv4 –  Tjenesteleverandører trenger IPv4-adresser til nye kunder. –  IPv4-adresser kan frigjøres ved å kjøre sentralisert NAT (”Carrier Grade NAT”, NAT444). –  Krever enorme mengder logging for å tilfredsstille DLD-krav.•  NAT for IPv4 – IPv6 kommunikasjon –  Både sentraliserte og distribuerte løsninger (CPE) er mulig. –  Tilby IPv6 tjenester eksternt uten å endre dagens servere. –  CPE-baserte løsninger krever at tjenesteleverandør kontrollerer CPE. Slide 9
  • 10. IPv6, NAT og DLD•  NAT444 = NAT44 (kunde) + NAT44 (tjenesteleverandør)•  Sentralisert NAT gir store utfordringer mht. logging –  Logging er påkrevet for å kunne identifisere kunde i forhold til DLD. –  Logging betyr normalt tidspunkt, IP-adresser, portnumre, etc. Minimum 50 – 100 byte. –  Logging må gjøres for hver sesjon, fordi kobling mot kunde er dynamisk! –  En nettside resulterer i mange sesjoner (kan være 100 eller mere). –  Resultatet er store volumer med loggdata, og høy kostnad for lagring og administrasjon. –  Du kan forvente å få et nært og varmt forhold til din lagringsleverandør  Slide 10
  • 11. IPv6, NAT og DLD 2•  Finnes det noen måter å unngå logge-eksplosjonen? –  I prinsippet enkelt: Implementer IPv6 ende til ende. Sørg for at alle kunder og tjenester er tilgjengelig over IPv6.•  I praksis vanskelig: –  Det er svært kort tid igjen for de som først begynner nå. –  Det er allerede tomt for IPv4-adresser mange steder (f.eks. ikke mulig å dekke behov på mobilsiden). –  Det er fortsatt mange produkter som ikke støtter IPv6: Mobiltelefoner, hjemmerutere, etc.•  Trodde du smartmobilen din støttet IPv6? –  Den gjør den antagelig – men kun med WiFi tilkobling. –  Nesten ingen smartmobiler støtter IPv6 mot GSM-nettet. –  Svært mange mobiloperatører kan ikke fakturere IPv6 datatrafikk. I praksis er mobilverden helt avhengig av NAT. Slide 11
  • 12. Summa summarum•  IPv6 autokonfigurasjon inkompatibel med DLD –  På grunn av behov for identifikasjon av kunde, –  Og manglende logging av adressetildeling.•  IPv6 vil gi mer bruk av NAT enn dagens IPv4 –  På grunn av behov for IPv4-adresser til nye kunder og tjenester. –  Og ulike overgangsmekanismer mellom IPv4 og IPv6.•  IPv6, DLD og NAT vil gi store mengder logging flere år fremover –  En ”våt drøm” for lagringsleverandører? –  Dette blir definitivt ikke gratis. –  Noen må betale for dette. Staten?•  Raskest mulig overgang til IPv6 er det beste vi kan gjøre –  ... for å redusere smerten. Slide 12

×