matjazsi, profile picture
Uploaded bymatjazsi
PDF, PPTX265 views

Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika

Embed presentation

Download as PDF, PPTX
IPv6 v omrežju ARNES: izkušnje internetnega ponudnika Matjaž Straus, Arnes matjaz.straus@arnes.si VITEL - 24. delavnica o telekomunikacijah - PREHOD NA IPv6 Brdo pri Kranju, 19. - 20.4. 2010
IPv6 v omrežju ARNES: izkušnje internetnega ponudnika •  naslovni prostor •  usmerjanje prometa •  omrežna oprema •  povezovanje organizacij •  nadzor omrežja •  interno omrežje in strežniki •  ozaveščanje uporabnikov
naslovni prostor 32
naslovni prostor 128 48 64
naslovni prostor (2) •  2001:1470::/32 •  /48 za organizacijo ali dislocirano enoto •  n * /48 za večje organizacije •  /64 za lokalno omrežje •  /64 za vse povezovalne segmente •  /65 – /127: ne uporabljamo!
naslovni prostor (3a) groba delitev 2001:1470::/32 hrbtenica in dostop organizacije rezerva hrbtenica dostopovne povezave loopback-i povezave
naslovni prostor (3b) groba delitev
naslovni prostor (4) hrbtenica in dostop
naslovni prostor (5) hrbtenica
naslovni prostor (6) model naslova povezave in naprave •  xxx – št.vozlišča (hex) •  nnnn, n...n – zap.št.povezave/naprave
naslovni prostor (7) organizacije •  /34 – blok za organizacije (16384 * /48) •  16 * /38 – skupine “sorodnih” •  16 * /42 – podskupine •  4 * /44 – velike organizacije (do 16 enot) •  16 * /46 – večje organizacije (do 4 enote) •  64 * /48 – posamezne organizacije/enote A:c000::/34 skupina 0 - 255 organizacija /34 /42 /48
usmerjanje prometa •  OSPFv3 •  dobro predznanje inženirjev •  poseben usmerjevalni proces in ločena topologija omrežja •  dobra podpora v omrežni opremi •  IS-IS •  manj izkušenj v ekipi •  enoten usmerjevalni proces •  nekaj prednosti v velikih omrežjih
usmerjanje prometa (2) globalni naslovi na povezavah? •  hrbtenica z “link-local”-naslovi fe80::/10 •  globalni “loopback”-naslovi Hm? usmerjevalnikov
omrežna oprema •  Cisco, Juniper •  omejitve nekaterih naprav •  delovanje s CPU-jem (npr. Cat4500, Sup IV, V) •  64-bitna zasnova (npr. Cat3750) •  128-bitni indeksi v filtrih (npr. Cat6500) •  omejena strojna kapaciteta •  “draga” podpora za netflow v9 (npr. Juniper Multiservices DPC) •  napake v programski opremi
omrežna oprema (2) primer omejitve strojne kapacitete §  “desktop routing" template: number of unicast mac addresses: 3K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K §  "desktop IPv4 and IPv6 routing" template: number of unicast mac addresses: 1536 number of IPv4 unicast routes: 2816 number of directly-connected IPv4 hosts: 1536 number of indirect IPv4 routes: 1280 number of IPv6 multicast groups: 1152 number of directly-connected IPv6 addresses: 1536 number of indirect IPv6 unicast routes: 1280 number of IPv4 policy based routing aces: 256 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 512 number of IPv6 policy based routing aces: 255 number of IPv6 qos aces: 510 number of IPv6 security aces: 510
omrežna oprema (3) napake v programski opremi ipv6 access-list LOG6 permit ipv6 any any log CSCek41066: IPv6 ospf: Next hop info isn’t updated after change in link-local addr
povezovanje organizacij •  tuneli •  testni priklopi •  MTU •  strojna oprema za zaključevanje tunelov •  “native” •  ustrezni usmerjevalniki/L3-stikala npr. Cisco 3750/3560, 4500, 4900, 1941, 892, ...
nadzor •  zajem in nadzor prometa •  ločeni VLAN-i •  problemi s števci •  podpora za netflow v9 •  Cacti •  nfdump/NfSen •  nadzor naprav in povezav •  Nagios/Icinga •  Smokeping
nadzor (2) “hekamo” števce prometa §  Juniper firewall filter: §  Cisco policer: term Arnes6 { class-map match-all MatchIPv4 from { match protocol ip destination-prefix-list { class-map match-all MatchIPv6 ArnesAnnounced6; match protocol ipv6 } ! policy-map CountIPv4AndIPv6 } class MatchIPv4 then { police 10000000000 conform- count cntrC_Arnes6; action transmit next term; exceed-action transmit } violate-action transmit } class MatchIPv6 police 10000000000 conform- action transmit exceed-action transmit violate-action transmit !
interno omrežje in strežniki •  naslovni prostor •  zanesljiv, redundanten prehod •  požarna pregrada •  varnost znotraj internega omrežja
interno omrežje in strežniki (2) naslovni prostor 2001:1470:8000:lsgg::/64 l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – VITEL s – področje glede na varnostno politiko (scope) 4 glavna področja, 16 podpodročij: 2001:1470:8000:l000::/54 ... globalno, za protipožarno pregrado, npr. javni strežniki 2001:1470:8000:l400::/54 ... globalno, odprto, npr. prireditve, delavnice 2001:1470:8000:l800::/54 ... interno (notranje, za protipožarno pregrado) 2001:1470:8000:lC00::/54 ... interno (odprto) gg – skupina (group): npr. 256 skupin javnih strežnikov
interno omrežje in strežniki (3) prehod •  HSRP v2 interface Vlan* ipv6 address 2001:1470:8000:*/64 ipv6 enable ipv6 nd prefix default no-advertise standby version 2 standby 6 ipv6 FE80::1 standby 6 timers msec 500 msec 1500 standby 6 priority 110 standby 6 preempt
interno omrežje in strežniki (4) požarna pregrada •  zahteve •  visoka zanesljivost •  porazdelitev bremena (“load sharing”) •  izbran način delovanja je podprt le za IPv4 L •  za IPv6 le osnoven “failover”
interno omrežje in strežniki (5) varnost •  IPv6 RA/RS •  prve implementacije “RA Guard” J •  skriti tuneli skozi požarno pregrado •  IPv6 ne dela – izklopi “firewall”, pa bo! •  odlično predavanje: Eric Vyncke, Cisco: IPv6 Security Threats and Mitigations •  za hekerje: http://freeworld.thc.org/papers/vh_thc-ipv6_attack.pdf
ozaveščanje uporabnikov •  različica protokola je uporabniku skrita
ozaveščanje uporabnikov (2)
ozaveščanje uporabnikov (3)
ozaveščanje uporabnikov (4)
ozaveščanje uporabnikov (5)
ozaveščanje uporabnikov (6) translacijski mehanizmi Ne!
ozaveščanje uporabnikov (7) translacijski mehanizmi •  praktični prikaz NAT64/DNS64 ? brezžično omrežje SSID: Vitel6 DNS: 2001:1470:8000:9506::64
HVALA!

More Related Content

PDF
SIX and some best practices for running an IXP
bymatjazsi
 
PDF
Vitel, 21. delavnica: Smo pripravljeni na IPv6
bymatjazsi
 
PDF
Gremo6, Workshop at 8th Slovenian IPv6 Summit
bymatjazsi
 
PPTX
5. SLO IPv6 summit - Implementacija IPv6 storitev z odprtokodnimi tehnologijami
bys0va
 
PDF
SIRikt 2012: enostavno in varno na IPv6
bymatjazsi
 
PDF
Most do 6 (ob 20-letnici Arnesa)
bymatjazsi
 
PDF
Vitel, 24. delavnica: Arnes - od poskusa do storitev
bymatjazsi
 
KEY
NAT64 v poslovnem okolju
bymatjazsi
 
SIX and some best practices for running an IXP
bymatjazsi
 
Vitel, 21. delavnica: Smo pripravljeni na IPv6
bymatjazsi
 
Gremo6, Workshop at 8th Slovenian IPv6 Summit
bymatjazsi
 
5. SLO IPv6 summit - Implementacija IPv6 storitev z odprtokodnimi tehnologijami
bys0va
 
SIRikt 2012: enostavno in varno na IPv6
bymatjazsi
 
Most do 6 (ob 20-letnici Arnesa)
bymatjazsi
 
Vitel, 24. delavnica: Arnes - od poskusa do storitev
bymatjazsi
 
NAT64 v poslovnem okolju
bymatjazsi
 

Featured

PDF
2024 Trend Updates: What Really Works In SEO & Content Marketing
bySearch Engine Journal
 
PDF
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
byOECD Directorate for Financial and Enterprise Affairs
 
PDF
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
bySocialHRCamp
 
PDF
Everything You Need To Know About ChatGPT
byExpeed Software
 
PDF
Social Media Marketing Trends 2024 // The Global Indie Insights
byKurio // The Social Media Age(ncy)
 
PDF
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
bymarketingartwork
 
PDF
Google's Just Not That Into You: Understanding Core Updates & Search Intent
byLily Ray
 
PDF
Storytelling For The Web: Integrate Storytelling in your Design Process
byChiara Aliotta
 
PDF
Product Design Trends in 2024 | Teenage Engineerings
byPixeldarts
 
PDF
PEPSICO Presentation to CAGNY Conference Feb 2024
byNeil Kimberley
 
PDF
How Race, Age and Gender Shape Attitudes Towards Mental Health
byThinkNow
 
PDF
ChatGPT and the Future of Work - Clark Boyd
byClark Boyd
 
PDF
2024 State of Marketing Report – by Hubspot
byMarius Sescu
 
PDF
How to have difficult conversations
byRajiv Jayarajah, MAppComm, ACC
 
PDF
Skeleton Culture Code
bySkeleton Technologies
 
PDF
Trends In Paid Search: Navigating The Digital Landscape In 2024
bySearch Engine Journal
 
PDF
5 Public speaking tips from TED - Visualized summary
bySpeakerHub
 
PDF
Getting into the tech field. what next
byTessa Mero
 
PDF
Content Methodology: A Best Practices Report (Webinar)
bycontently
 
PPTX
How to Prepare For a Successful Job Search for 2024
byAlbert Qian
 
2024 Trend Updates: What Really Works In SEO & Content Marketing
bySearch Engine Journal
 
Artificial Intelligence, Data and Competition – SCHREPEL – June 2024 OECD dis...
byOECD Directorate for Financial and Enterprise Affairs
 
How to Leverage AI to Boost Employee Wellness - Lydia Di Francesco - SocialHR...
bySocialHRCamp
 
Everything You Need To Know About ChatGPT
byExpeed Software
 
Social Media Marketing Trends 2024 // The Global Indie Insights
byKurio // The Social Media Age(ncy)
 
AI Trends in Creative Operations 2024 by Artwork Flow.pdf
bymarketingartwork
 
Google's Just Not That Into You: Understanding Core Updates & Search Intent
byLily Ray
 
Storytelling For The Web: Integrate Storytelling in your Design Process
byChiara Aliotta
 
Product Design Trends in 2024 | Teenage Engineerings
byPixeldarts
 
PEPSICO Presentation to CAGNY Conference Feb 2024
byNeil Kimberley
 
How Race, Age and Gender Shape Attitudes Towards Mental Health
byThinkNow
 
ChatGPT and the Future of Work - Clark Boyd
byClark Boyd
 
2024 State of Marketing Report – by Hubspot
byMarius Sescu
 
How to have difficult conversations
byRajiv Jayarajah, MAppComm, ACC
 
Skeleton Culture Code
bySkeleton Technologies
 
Trends In Paid Search: Navigating The Digital Landscape In 2024
bySearch Engine Journal
 
5 Public speaking tips from TED - Visualized summary
bySpeakerHub
 
Getting into the tech field. what next
byTessa Mero
 
Content Methodology: A Best Practices Report (Webinar)
bycontently
 
How to Prepare For a Successful Job Search for 2024
byAlbert Qian
 

Vitel, 24. delavnica: Arnes - izkušnje internetnega ponudnika

  • 1.
    IPv6 v omrežjuARNES: izkušnje internetnega ponudnika Matjaž Straus, Arnes matjaz.straus@arnes.si VITEL - 24. delavnica o telekomunikacijah - PREHOD NA IPv6 Brdo pri Kranju, 19. - 20.4. 2010
  • 2.
    IPv6 v omrežjuARNES: izkušnje internetnega ponudnika •  naslovni prostor •  usmerjanje prometa •  omrežna oprema •  povezovanje organizacij •  nadzor omrežja •  interno omrežje in strežniki •  ozaveščanje uporabnikov
  • 3.
  • 4.
  • 5.
    naslovni prostor (2) • 2001:1470::/32 •  /48 za organizacijo ali dislocirano enoto •  n * /48 za večje organizacije •  /64 za lokalno omrežje •  /64 za vse povezovalne segmente •  /65 – /127: ne uporabljamo!
  • 6.
    naslovni prostor (3a) groba delitev 2001:1470::/32 hrbtenica in dostop organizacije rezerva hrbtenica dostopovne povezave loopback-i povezave
  • 7.
  • 8.
  • 9.
  • 10.
    naslovni prostor (6) modelnaslova povezave in naprave •  xxx – št.vozlišča (hex) •  nnnn, n...n – zap.št.povezave/naprave
  • 11.
    naslovni prostor (7) organizacije • /34 – blok za organizacije (16384 * /48) •  16 * /38 – skupine “sorodnih” •  16 * /42 – podskupine •  4 * /44 – velike organizacije (do 16 enot) •  16 * /46 – večje organizacije (do 4 enote) •  64 * /48 – posamezne organizacije/enote A:c000::/34 skupina 0 - 255 organizacija /34 /42 /48
  • 12.
    usmerjanje prometa •  OSPFv3 •  dobro predznanje inženirjev •  poseben usmerjevalni proces in ločena topologija omrežja •  dobra podpora v omrežni opremi •  IS-IS •  manj izkušenj v ekipi •  enoten usmerjevalni proces •  nekaj prednosti v velikih omrežjih
  • 13.
    usmerjanje prometa (2) globalninaslovi na povezavah? •  hrbtenica z “link-local”-naslovi fe80::/10 •  globalni “loopback”-naslovi Hm? usmerjevalnikov
  • 14.
    omrežna oprema •  Cisco,Juniper •  omejitve nekaterih naprav •  delovanje s CPU-jem (npr. Cat4500, Sup IV, V) •  64-bitna zasnova (npr. Cat3750) •  128-bitni indeksi v filtrih (npr. Cat6500) •  omejena strojna kapaciteta •  “draga” podpora za netflow v9 (npr. Juniper Multiservices DPC) •  napake v programski opremi
  • 15.
    omrežna oprema (2) primeromejitve strojne kapacitete §  “desktop routing" template: number of unicast mac addresses: 3K number of IPv4 unicast routes: 11K number of directly-connected IPv4 hosts: 3K number of indirect IPv4 routes: 8K number of IPv4 policy based routing aces: 512 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 1K §  "desktop IPv4 and IPv6 routing" template: number of unicast mac addresses: 1536 number of IPv4 unicast routes: 2816 number of directly-connected IPv4 hosts: 1536 number of indirect IPv4 routes: 1280 number of IPv6 multicast groups: 1152 number of directly-connected IPv6 addresses: 1536 number of indirect IPv6 unicast routes: 1280 number of IPv4 policy based routing aces: 256 number of IPv4/MAC qos aces: 512 number of IPv4/MAC security aces: 512 number of IPv6 policy based routing aces: 255 number of IPv6 qos aces: 510 number of IPv6 security aces: 510
  • 16.
    omrežna oprema (3) napakev programski opremi ipv6 access-list LOG6 permit ipv6 any any log CSCek41066: IPv6 ospf: Next hop info isn’t updated after change in link-local addr
  • 17.
    povezovanje organizacij •  tuneli •  testni priklopi •  MTU •  strojna oprema za zaključevanje tunelov •  “native” •  ustrezni usmerjevalniki/L3-stikala npr. Cisco 3750/3560, 4500, 4900, 1941, 892, ...
  • 18.
    nadzor •  zajem innadzor prometa •  ločeni VLAN-i •  problemi s števci •  podpora za netflow v9 •  Cacti •  nfdump/NfSen •  nadzor naprav in povezav •  Nagios/Icinga •  Smokeping
  • 19.
    nadzor (2) “hekamo” števceprometa §  Juniper firewall filter: §  Cisco policer: term Arnes6 { class-map match-all MatchIPv4 from { match protocol ip destination-prefix-list { class-map match-all MatchIPv6 ArnesAnnounced6; match protocol ipv6 } ! policy-map CountIPv4AndIPv6 } class MatchIPv4 then { police 10000000000 conform- count cntrC_Arnes6; action transmit next term; exceed-action transmit } violate-action transmit } class MatchIPv6 police 10000000000 conform- action transmit exceed-action transmit violate-action transmit !
  • 20.
    interno omrežje instrežniki •  naslovni prostor •  zanesljiv, redundanten prehod •  požarna pregrada •  varnost znotraj internega omrežja
  • 21.
    interno omrežje instrežniki (2) naslovni prostor 2001:1470:8000:lsgg::/64 l – lokacija: 16 x /52 , npr. l=0: Arnes, l=9 – VITEL s – področje glede na varnostno politiko (scope) 4 glavna področja, 16 podpodročij: 2001:1470:8000:l000::/54 ... globalno, za protipožarno pregrado, npr. javni strežniki 2001:1470:8000:l400::/54 ... globalno, odprto, npr. prireditve, delavnice 2001:1470:8000:l800::/54 ... interno (notranje, za protipožarno pregrado) 2001:1470:8000:lC00::/54 ... interno (odprto) gg – skupina (group): npr. 256 skupin javnih strežnikov
  • 22.
    interno omrežje instrežniki (3) prehod •  HSRP v2 interface Vlan* ipv6 address 2001:1470:8000:*/64 ipv6 enable ipv6 nd prefix default no-advertise standby version 2 standby 6 ipv6 FE80::1 standby 6 timers msec 500 msec 1500 standby 6 priority 110 standby 6 preempt
  • 23.
    interno omrežje instrežniki (4) požarna pregrada •  zahteve •  visoka zanesljivost •  porazdelitev bremena (“load sharing”) •  izbran način delovanja je podprt le za IPv4 L •  za IPv6 le osnoven “failover”
  • 24.
    interno omrežje instrežniki (5) varnost •  IPv6 RA/RS •  prve implementacije “RA Guard” J •  skriti tuneli skozi požarno pregrado •  IPv6 ne dela – izklopi “firewall”, pa bo! •  odlično predavanje: Eric Vyncke, Cisco: IPv6 Security Threats and Mitigations •  za hekerje: http://freeworld.thc.org/papers/vh_thc-ipv6_attack.pdf
  • 25.
    ozaveščanje uporabnikov •  različicaprotokola je uporabniku skrita
  • 26.
  • 27.
  • 28.
  • 29.
  • 30.
  • 31.
    ozaveščanje uporabnikov (7) translacijskimehanizmi •  praktični prikaz NAT64/DNS64 ? brezžično omrežje SSID: Vitel6 DNS: 2001:1470:8000:9506::64
  • 32.