Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika

on

  • 480 views

 

Statistics

Views

Total Views
480
Views on SlideShare
480
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika Presentation Transcript

  • 1. IPv6 v omrežju ARNES:izkušnje internetnega ponudnikaMatjaž Straus, Arnesmatjaz.straus@arnes.siVITEL - 24. delavnica o telekomunikacijah - PREHOD NA IPv6Brdo pri Kranju, 19. - 20.4. 2010
  • 2. IPv6 v omrežju ARNES:izkušnje internetnega ponudnika •  naslovni prostor •  usmerjanje prometa •  omrežna oprema •  povezovanje organizacij •  nadzor omrežja •  interno omrežje in strežniki •  ozaveščanje uporabnikov
  • 3. naslovni prostor 32
  • 4. naslovni prostor 128 48 64
  • 5. naslovni prostor (2)•  2001:1470::/32•  /48 za organizacijo ali dislocirano enoto •  n * /48 za večje organizacije•  /64 za lokalno omrežje•  /64 za vse povezovalne segmente•  /65 – /127: ne uporabljamo!
  • 6. naslovni prostor (3a) groba delitev 2001:1470::/32 hrbtenica in dostop organizacije rezerva hrbtenica dostopovne povezaveloopback-i povezave
  • 7. naslovni prostor (3b)groba delitev
  • 8. naslovni prostor (4)hrbtenica in dostop
  • 9. naslovni prostor (5)hrbtenica
  • 10. naslovni prostor (6)model naslova povezave innaprave•  xxx – št.vozlišča (hex)•  nnnn, n...n – zap.št.povezave/naprave
  • 11. naslovni prostor (7)organizacije•  /34 – blok za organizacije (16384 * /48) •  16 * /38 – skupine “sorodnih” •  16 * /42 – podskupine •  4 * /44 – velike organizacije (do 16 enot) •  16 * /46 – večje organizacije (do 4 enote) •  64 * /48 – posamezne organizacije/enote A:c000::/34 skupina 0 - 255 organizacija /34 /42 /48
  • 12. usmerjanje prometa•  OSPFv3 •  dobro predznanje inženirjev •  poseben usmerjevalni proces in ločena topologija omrežja •  dobra podpora v omrežni opremi•  IS-IS •  manj izkušenj v ekipi •  enoten usmerjevalni proces •  nekaj prednosti v velikih omrežjih
  • 13. usmerjanje prometa (2)globalni naslovi na povezavah?•  hrbtenica z “link-local”-naslovi fe80::/10•  globalni “loopback”-naslovi Hm? usmerjevalnikov
  • 14. omrežna oprema•  Cisco, Juniper•  omejitve nekaterih naprav •  delovanje s CPU-jem (npr. Cat4500, Sup IV, V) •  64-bitna zasnova (npr. Cat3750) •  128-bitni indeksi v filtrih (npr. Cat6500) •  omejena strojna kapaciteta •  “draga” podpora za netflow v9 (npr. Juniper Multiservices DPC)•  napake v programski opremi
  • 15. omrežna oprema (2)primer omejitve strojne kapacitete §  “desktop routing" template: number of unicast mac addresses: 3K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K §  "desktop IPv4 and IPv6 routing" template: number of unicast mac addresses: 1536 number of IPv4 unicast routes: 2816 number of directly-connected IPv4 hosts: 1536 number of indirect IPv4 routes: 1280 number of IPv6 multicast groups: 1152 number of directly-connected IPv6 addresses: 1536 number of indirect IPv6 unicast routes: 1280 number of IPv4 policy based routing aces: 256 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 512 number of IPv6 policy based routing aces: 255 number of IPv6 qos aces: 510 number of IPv6 security aces: 510
  • 16. omrežna oprema (3)napake v programski opremi ipv6 access-list LOG6 permit ipv6 any any log CSCek41066: IPv6 ospf: Next hop info isn’t updated after change in link-local addr
  • 17. povezovanje organizacij•  tuneli •  testni priklopi •  MTU •  strojna oprema za zaključevanje tunelov•  “native” •  ustrezni usmerjevalniki/L3-stikala npr. Cisco 3750/3560, 4500, 4900, 1941, 892, ...
  • 18. nadzor•  zajem in nadzor prometa •  ločeni VLAN-i •  problemi s števci •  podpora za netflow v9 •  Cacti •  nfdump/NfSen•  nadzor naprav in povezav •  Nagios/Icinga •  Smokeping
  • 19. nadzor (2)“hekamo” števce prometa§  Juniper firewall filter: §  Cisco policer:term Arnes6 { class-map match-all MatchIPv4 from { match protocol ip destination-prefix-list { class-map match-all MatchIPv6 ArnesAnnounced6; match protocol ipv6 } ! policy-map CountIPv4AndIPv6 } class MatchIPv4 then { police 10000000000 conform- count cntrC_Arnes6; action transmit next term; exceed-action transmit } violate-action transmit} class MatchIPv6 police 10000000000 conform- action transmit exceed-action transmit violate-action transmit !
  • 20. interno omrežje in strežniki•  naslovni prostor•  zanesljiv, redundanten prehod•  požarna pregrada•  varnost znotraj internega omrežja
  • 21. interno omrežje in strežniki (2)naslovni prostor 2001:1470:8000:lsgg::/64 l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – VITEL s – področje glede na varnostno politiko (scope) 4 glavna področja, 16 podpodročij: 2001:1470:8000:l000::/54 ... globalno, za protipožarno pregrado, npr. javni strežniki 2001:1470:8000:l400::/54 ... globalno, odprto, npr. prireditve, delavnice 2001:1470:8000:l800::/54 ... interno (notranje, za protipožarno pregrado) 2001:1470:8000:lC00::/54 ... interno (odprto) gg – skupina (group): npr. 256 skupin javnih strežnikov
  • 22. interno omrežje in strežniki (3)prehod•  HSRP v2 interface Vlan* ipv6 address 2001:1470:8000:*/64 ipv6 enable ipv6 nd prefix default no-advertise standby version 2 standby 6 ipv6 FE80::1 standby 6 timers msec 500 msec 1500 standby 6 priority 110 standby 6 preempt
  • 23. interno omrežje in strežniki (4)požarna pregrada•  zahteve •  visoka zanesljivost •  porazdelitev bremena (“load sharing”)•  izbran način delovanja je podprt le za IPv4 L •  za IPv6 le osnoven “failover”
  • 24. interno omrežje in strežniki (5)varnost•  IPv6 RA/RS •  prve implementacije “RA Guard” J•  skriti tuneli skozi požarno pregrado•  IPv6 ne dela – izklopi “firewall”, pa bo!•  odlično predavanje: Eric Vyncke, Cisco: IPv6 Security Threats and Mitigations•  za hekerje: http://freeworld.thc.org/papers/vh_thc-ipv6_attack.pdf
  • 25. ozaveščanje uporabnikov•  različica protokola je uporabniku skrita
  • 26. ozaveščanje uporabnikov (2)
  • 27. ozaveščanje uporabnikov (3)
  • 28. ozaveščanje uporabnikov (4)
  • 29. ozaveščanje uporabnikov (5)
  • 30. ozaveščanje uporabnikov (6)translacijski mehanizmi Ne!
  • 31. ozaveščanje uporabnikov (7)translacijski mehanizmi •  praktični prikaz NAT64/DNS64 ? brezžično omrežje SSID: Vitel6 DNS: 2001:1470:8000:9506::64
  • 32. HVALA!