IPv6 v omrežju ARNES:izkušnje internetnega ponudnikaMatjaž Straus, Arnesmatjaz.straus@arnes.siVITEL - 24. delavnica o tele...
IPv6 v omrežju ARNES:izkušnje internetnega ponudnika     •  naslovni prostor     •  usmerjanje prometa     •  omrežna opre...
naslovni prostor          32
naslovni prostor      128      48      64
naslovni prostor (2)•  2001:1470::/32•  /48 za organizacijo ali dislocirano enoto  •  n * /48 za večje organizacije•  /64 ...
naslovni prostor (3a)      groba delitev                                        2001:1470::/32             hrbtenica in do...
naslovni prostor (3b)groba delitev
naslovni prostor (4)hrbtenica in dostop
naslovni prostor (5)hrbtenica
naslovni prostor (6)model naslova povezave innaprave•  xxx – št.vozlišča (hex)•  nnnn, n...n – zap.št.povezave/naprave
naslovni prostor (7)organizacije•  /34 – blok za organizacije       (16384 * /48)   •  16 * /38 – skupine “sorodnih”      ...
usmerjanje prometa•  OSPFv3   •  dobro predznanje inženirjev   •  poseben usmerjevalni proces in ločena      topologija om...
usmerjanje prometa (2)globalni naslovi na povezavah?•  hrbtenica z “link-local”-naslovi      fe80::/10•  globalni “loopbac...
omrežna oprema•  Cisco, Juniper•  omejitve nekaterih naprav  •    delovanje s CPU-jem (npr. Cat4500, Sup IV, V)  •    64-b...
omrežna oprema (2)primer omejitve strojne kapacitete  §  “desktop routing" template:    number of unicast mac addresses: ...
omrežna oprema (3)napake v programski opremi   ipv6 access-list LOG6    permit ipv6 any any log   CSCek41066:   IPv6 ospf:...
povezovanje organizacij•  tuneli   •  testni priklopi   •  MTU   •  strojna oprema za zaključevanje tunelov•  “native”   •...
nadzor•  zajem in nadzor prometa  •    ločeni VLAN-i  •    problemi s števci  •    podpora za netflow v9  •    Cacti  •   ...
nadzor (2)“hekamo” števce prometa§  Juniper firewall filter:    §  Cisco policer:term Arnes6 {                   class-m...
interno omrežje in strežniki•  naslovni prostor•  zanesljiv, redundanten prehod•  požarna pregrada•  varnost znotraj inter...
interno omrežje in strežniki (2)naslovni prostor 2001:1470:8000:lsgg::/64 l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – ...
interno omrežje in strežniki (3)prehod•  HSRP v2   interface Vlan*    ipv6 address 2001:1470:8000:*/64    ipv6 enable    i...
interno omrežje in strežniki (4)požarna pregrada•  zahteve   •  visoka zanesljivost   •  porazdelitev bremena (“load shari...
interno omrežje in strežniki (5)varnost•  IPv6 RA/RS   •  prve implementacije “RA Guard” J•  skriti tuneli skozi požarno ...
ozaveščanje uporabnikov•  različica protokola je uporabniku skrita
ozaveščanje uporabnikov (2)
ozaveščanje uporabnikov (3)
ozaveščanje uporabnikov (4)
ozaveščanje uporabnikov (5)
ozaveščanje uporabnikov (6)translacijski mehanizmi                          Ne!
ozaveščanje uporabnikov (7)translacijski mehanizmi •  praktični prikaz NAT64/DNS64                              ?         ...
HVALA!
Upcoming SlideShare
Loading in …5
×

Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika

468 views
388 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
468
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika

  1. 1. IPv6 v omrežju ARNES:izkušnje internetnega ponudnikaMatjaž Straus, Arnesmatjaz.straus@arnes.siVITEL - 24. delavnica o telekomunikacijah - PREHOD NA IPv6Brdo pri Kranju, 19. - 20.4. 2010
  2. 2. IPv6 v omrežju ARNES:izkušnje internetnega ponudnika •  naslovni prostor •  usmerjanje prometa •  omrežna oprema •  povezovanje organizacij •  nadzor omrežja •  interno omrežje in strežniki •  ozaveščanje uporabnikov
  3. 3. naslovni prostor 32
  4. 4. naslovni prostor 128 48 64
  5. 5. naslovni prostor (2)•  2001:1470::/32•  /48 za organizacijo ali dislocirano enoto •  n * /48 za večje organizacije•  /64 za lokalno omrežje•  /64 za vse povezovalne segmente•  /65 – /127: ne uporabljamo!
  6. 6. naslovni prostor (3a) groba delitev 2001:1470::/32 hrbtenica in dostop organizacije rezerva hrbtenica dostopovne povezaveloopback-i povezave
  7. 7. naslovni prostor (3b)groba delitev
  8. 8. naslovni prostor (4)hrbtenica in dostop
  9. 9. naslovni prostor (5)hrbtenica
  10. 10. naslovni prostor (6)model naslova povezave innaprave•  xxx – št.vozlišča (hex)•  nnnn, n...n – zap.št.povezave/naprave
  11. 11. naslovni prostor (7)organizacije•  /34 – blok za organizacije (16384 * /48) •  16 * /38 – skupine “sorodnih” •  16 * /42 – podskupine •  4 * /44 – velike organizacije (do 16 enot) •  16 * /46 – večje organizacije (do 4 enote) •  64 * /48 – posamezne organizacije/enote A:c000::/34 skupina 0 - 255 organizacija /34 /42 /48
  12. 12. usmerjanje prometa•  OSPFv3 •  dobro predznanje inženirjev •  poseben usmerjevalni proces in ločena topologija omrežja •  dobra podpora v omrežni opremi•  IS-IS •  manj izkušenj v ekipi •  enoten usmerjevalni proces •  nekaj prednosti v velikih omrežjih
  13. 13. usmerjanje prometa (2)globalni naslovi na povezavah?•  hrbtenica z “link-local”-naslovi fe80::/10•  globalni “loopback”-naslovi Hm? usmerjevalnikov
  14. 14. omrežna oprema•  Cisco, Juniper•  omejitve nekaterih naprav •  delovanje s CPU-jem (npr. Cat4500, Sup IV, V) •  64-bitna zasnova (npr. Cat3750) •  128-bitni indeksi v filtrih (npr. Cat6500) •  omejena strojna kapaciteta •  “draga” podpora za netflow v9 (npr. Juniper Multiservices DPC)•  napake v programski opremi
  15. 15. omrežna oprema (2)primer omejitve strojne kapacitete §  “desktop routing" template: number of unicast mac addresses: 3K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K §  "desktop IPv4 and IPv6 routing" template: number of unicast mac addresses: 1536 number of IPv4 unicast routes: 2816 number of directly-connected IPv4 hosts: 1536 number of indirect IPv4 routes: 1280 number of IPv6 multicast groups: 1152 number of directly-connected IPv6 addresses: 1536 number of indirect IPv6 unicast routes: 1280 number of IPv4 policy based routing aces: 256 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 512 number of IPv6 policy based routing aces: 255 number of IPv6 qos aces: 510 number of IPv6 security aces: 510
  16. 16. omrežna oprema (3)napake v programski opremi ipv6 access-list LOG6 permit ipv6 any any log CSCek41066: IPv6 ospf: Next hop info isn’t updated after change in link-local addr
  17. 17. povezovanje organizacij•  tuneli •  testni priklopi •  MTU •  strojna oprema za zaključevanje tunelov•  “native” •  ustrezni usmerjevalniki/L3-stikala npr. Cisco 3750/3560, 4500, 4900, 1941, 892, ...
  18. 18. nadzor•  zajem in nadzor prometa •  ločeni VLAN-i •  problemi s števci •  podpora za netflow v9 •  Cacti •  nfdump/NfSen•  nadzor naprav in povezav •  Nagios/Icinga •  Smokeping
  19. 19. nadzor (2)“hekamo” števce prometa§  Juniper firewall filter: §  Cisco policer:term Arnes6 { class-map match-all MatchIPv4 from { match protocol ip destination-prefix-list { class-map match-all MatchIPv6 ArnesAnnounced6; match protocol ipv6 } ! policy-map CountIPv4AndIPv6 } class MatchIPv4 then { police 10000000000 conform- count cntrC_Arnes6; action transmit next term; exceed-action transmit } violate-action transmit} class MatchIPv6 police 10000000000 conform- action transmit exceed-action transmit violate-action transmit !
  20. 20. interno omrežje in strežniki•  naslovni prostor•  zanesljiv, redundanten prehod•  požarna pregrada•  varnost znotraj internega omrežja
  21. 21. interno omrežje in strežniki (2)naslovni prostor 2001:1470:8000:lsgg::/64 l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – VITEL s – področje glede na varnostno politiko (scope) 4 glavna področja, 16 podpodročij: 2001:1470:8000:l000::/54 ... globalno, za protipožarno pregrado, npr. javni strežniki 2001:1470:8000:l400::/54 ... globalno, odprto, npr. prireditve, delavnice 2001:1470:8000:l800::/54 ... interno (notranje, za protipožarno pregrado) 2001:1470:8000:lC00::/54 ... interno (odprto) gg – skupina (group): npr. 256 skupin javnih strežnikov
  22. 22. interno omrežje in strežniki (3)prehod•  HSRP v2 interface Vlan* ipv6 address 2001:1470:8000:*/64 ipv6 enable ipv6 nd prefix default no-advertise standby version 2 standby 6 ipv6 FE80::1 standby 6 timers msec 500 msec 1500 standby 6 priority 110 standby 6 preempt
  23. 23. interno omrežje in strežniki (4)požarna pregrada•  zahteve •  visoka zanesljivost •  porazdelitev bremena (“load sharing”)•  izbran način delovanja je podprt le za IPv4 L •  za IPv6 le osnoven “failover”
  24. 24. interno omrežje in strežniki (5)varnost•  IPv6 RA/RS •  prve implementacije “RA Guard” J•  skriti tuneli skozi požarno pregrado•  IPv6 ne dela – izklopi “firewall”, pa bo!•  odlično predavanje: Eric Vyncke, Cisco: IPv6 Security Threats and Mitigations•  za hekerje: http://freeworld.thc.org/papers/vh_thc-ipv6_attack.pdf
  25. 25. ozaveščanje uporabnikov•  različica protokola je uporabniku skrita
  26. 26. ozaveščanje uporabnikov (2)
  27. 27. ozaveščanje uporabnikov (3)
  28. 28. ozaveščanje uporabnikov (4)
  29. 29. ozaveščanje uporabnikov (5)
  30. 30. ozaveščanje uporabnikov (6)translacijski mehanizmi Ne!
  31. 31. ozaveščanje uporabnikov (7)translacijski mehanizmi •  praktični prikaz NAT64/DNS64 ? brezžično omrežje SSID: Vitel6 DNS: 2001:1470:8000:9506::64
  32. 32. HVALA!

×