implantando ipv6 en dpto. universitario

Implantando IPv6 en un Dpto. Universitario 1

www.6sos.org

Implantando IPv6 en un departamento universitario:Transición de la red y los servicios

Prof. Eduardo Jacob (jtpjatae@bi.ehu.es)Universidad del País Vasco/Euskal Herriko Unibertsitatea

Fecha: 18 | 02 | 2004

Este proyecto ha sidocofinanciado por PROFIT

Implantando IPv6 en un Dpto. Universitario 2

www.6sos.org

Estructura de la presentación

• Introducción• Nivel físico• Nivel lógico• Adaptación Clientes • Adaptación/Creación Servicios• Gestión de red• Conclusiones

Implantando IPv6 en un Dpto. Universitario 3

www.6sos.org

Introducción

• Motivos para un cambio:– IPv6, va a llegar...

• Muchas opiniones, la nuestra es que sí.

– Hay que prepararse…• Aunque no haya una fecha fija como el 31-12-2000.

– Preparar una infraestructura• Que permita investigar.• Que permita enseñar.

Implantando IPv6 en un Dpto. Universitario 4

www.6sos.org

Situación inicial

• Laboratorio de Investigación– Sala con 25 máquinas aprox.– Diversos servicios (Soportados en Unix/Linux…)– Conectividad IPv4 corporativa.

• 6 bocas de red corporativas (+ switch/hub)• Diferentes subredes ‘lógicas’

– Conectividad IPv6: • ‘Tunnel Broker’ (Hurricane Electric!!!)• IPv6 sobre IPv4• Anuncio de rutas no deseable (rango de direcciones no

perteneciente a la UPV/EHU)

Implantando IPv6 en un Dpto. Universitario 5

www.6sos.org

Objetivos

• Conseguir conectividad IPv6 nativa– 1ª Fase: Laboratorio de Investigación.– 2ª Fase: Resto del Área/Departamento– 3ª Fase: Con conectividad corporativa IPv6

• Ofrecer Servicios sobre IPv6– DNS– NTP– WWW (Servicios Varios)– Gestión

Conectividad Wireless.Ordenación del Laboratorio.

Implantando IPv6 en un Dpto. Universitario 6

www.6sos.org

Requerimientos

• Requerimientos – No influir en la red corporativa.– Mejorar (o no empeorar) la conectividad entre

máquinas del Laboratorio de Investigación– Mantener conectividad IPv4 corporativa.

• Otras condiciones del contorno– Conexión IPv6 sobre ATM – Delegación:

• Rango de direcciones IPv6: 2001:800:40:2450::/60• Subdominio DNS: ehu.tid.euro6ix.org

Implantando IPv6 en un Dpto. Universitario 7

www.6sos.org

Soluciones adoptadas

• Transición:– Basada en doble pila (dual stack).

• Conectividad IPv6 nativa para equipos/servicios que disponen de esta posibilidad.

• Conectividad IPv4: – Equipamiento antiguo: impresoras– Gestión y configuración SNMP

• Configuración:– Anuncio de Rutas

• Pero controlando difusión.– Estática

Implantando IPv6 en un Dpto. Universitario 8

www.6sos.org

Solución adoptada

• Aislamiento a nivel físico de la red del Laboratorio de Investigación– Tráfico Broadcast– FW

Red IPv4UPV/EHU

Ethernet

Equipo deinterconexión

Implantando IPv6 en un Dpto. Universitario 9

www.6sos.org

Nivel físico

19 20 21 22 23 2413 14 15 16 17 187 8 9 10 11 121 2 3 4 5 6

43 44 45 46 47 4837 38 39 40 41 4231 32 33 34 35 3625 26 27 28 29 30

Implantando IPv6 en un Dpto. Universitario 10

www.6sos.org

Nivel físico (II)

• 2 Switches Ethernet 10/100 interconectados backplane 1 Gbps

• Dos redes VLAN (802.1q)– privada: interfaz interna + equipos– pública: interfaz externa + red EHU + …

• Router para interconexión entre ambas• Switch ATM FO

Implantando IPv6 en un Dpto. Universitario 11

www.6sos.org

Equipo de interconexión(router X)

• PC 800 MHz, 128 MB

– Tarjeta ATM PCI 155 Mbps– Tarjeta Ethernet 10/100 Mbps

– Tarjeta Ethernet 10/100 Mbps

Fore LE 155 X

Implantando IPv6 en un Dpto. Universitario 12

www.6sos.org

Nivel lógico: IPv4

NAT 1 a 1Proxy ARP

Tabla fija192.168.1.A <-> 158.227.66.A

… <-> …

DHCP (wifi, visitantes)

MasqueradeSolo salida…

Implantando IPv6 en un Dpto. Universitario 13

www.6sos.org

Nivel lógico: IPv6

• Conectividad básica – Enlace punto a punto

X

¡¡¡¡Hasta 16 subredes de tipo ::/64!!!!

Implantando IPv6 en un Dpto. Universitario 14

www.6sos.org

Conectividad Laboratorio

• Componentes de la red ‘privada’

anuncio ruta

Plug&Play

Implantando IPv6 en un Dpto. Universitario 15

www.6sos.org

Conectividad Laboratorio (II)

• Consideración de seguridad básica: – Autoconfiguración + Acceso inalámbrico

• Clave WEP 128 bits• Acceso MAC restringido• Autenticación 802.1X en IPv4 (Radius…)• Trabajo en curso:

– Autenticación 802.1X IPv6 (Falta AP)

Implantando IPv6 en un Dpto. Universitario 16

www.6sos.org

Conectividad Área(futuro inmediato)

• Equipos con conectividad directa a infraestructura– Se puede llegar con un cable...– Direccionamiento estático– Ruta por defecto: 2001:800:40:2452::1

• Equipos sin conectividad directa– No se puede llegar con un cable...– Equipo de interconexión intermedio– Túnel IPv6 sobre IPv4:

• Pérdida de algunas características esenciales

Implantando IPv6 en un Dpto. Universitario 17

www.6sos.org

Conectividad Área(futuro)

No hará falta…. Todo será IPv6

Implantando IPv6 en un Dpto. Universitario 18

www.6sos.org

Soporte Sistema Operativo de Plataforma Cliente

• Windows– 2000 + SP + Technology Preview IPv6 (no soportado)– 2003 (soportado)– XP SP1 (soportado)– ¿Windows 98? ¡¡¡NO!!!

• Linux• Solaris 8 y 9• FreeBSD, NetBSD, OpenBSD• MAC OS X

Implantando IPv6 en un Dpto. Universitario 19

www.6sos.org

Equipos Cliente: Windows XP

• Sin SP1: ‘ipv6 install’• Con SP1

– Propiedades -> Instalar -> Protocolo• Escucha de anuncios activada por defecto• Direccionamiento estático: Script inicio

cd C:\WINDOWS\system32ipv6.exe adu 4/2001:800:40:2451::aaaaipv6.exe rtu 2001:800:40:2451::/64 4ipv6.exe rtu ::0/0 4/2001:800:40:2451::1

Implantando IPv6 en un Dpto. Universitario 20

www.6sos.org

Equipos Cliente: Debian GNU/Linux

• ‘modprobe ipv6’• Anuncios de rutas

– /proc/sys/net/ipv6/conf/eth0/accept_ra• Direccionamiento estático

iface eth0 inet6 staticaddress 2001:800:40:2451::aaaanetmask 64gateway 2001:800:40:2451::1

– /etc/network/interfaces

ifconfig eth0 add 2001:800:40:2451::1/64route –A inet6 add default gw 2001:800:40:2f18::1

Implantando IPv6 en un Dpto. Universitario 21

www.6sos.org

Servicios

• Objetivo:– Ofrecer en IPv6.

• Servicios disponibles en IPv4.– Servidor WWW (Tomcat/Cocoon)– Servidor docente (PHPNuke)– Gestión de Red.

• Nuevos servicios.– NTP – Plone/WiKi/Foro (Sobre Zope)

– No modificar configuración corporativa.• Nuevos servidores www IPv4

– No duplicar contenidos.– Estudiar diversas opciones.

Implantando IPv6 en un Dpto. Universitario 22

www.6sos.org

Servidor NTP

• Servidor de tiempos “stratum 1” sobre IPv6– erloju.ehu.tid.euro6ix.org (2001:800:40:2452::168)– bipt168.bi.ehu.es (158.227.66.168)

• Equipamiento– GPS: Motorola Oncore M12 (soportado por NTP)

• Instalación– Parchear el Kernel con PPSkit especifico– NTP 4.2.0 (soporte IPv6 versión > 4.1.80)

• Cliente NTP configurado adecuadamente

Implantando IPv6 en un Dpto. Universitario 23

www.6sos.org

Servidor NTP

ALIMENTACION

ANTENA ACTIVA

RS-232 SINCRONISMO

PPS

Implantando IPv6 en un Dpto. Universitario 24

www.6sos.org

ZOPE

• Servidor de aplicaciones Web escrito en Python• Portado a IPv6 “in-house”• Redefinición de los sockets de conexión

– Mapeo de direcciones IPv4 sobre direcciones IPv6• Aplicaciones

– Plone: gestor de contenidos (portal)– Foro moderado– Wiki

Implantando IPv6 en un Dpto. Universitario 25

www.6sos.org

Configuración inicial

TRAFICO IPv6

UPV/EHUTRAFICO IPv4

TID

FIREWALLwww.ehu.tid.euro6ix.org

2001:800:40:2452::168

158.227.66.168

80

Implantando IPv6 en un Dpto. Universitario 26

www.6sos.org

Configuración actual

TRAFICO IPv6

UPV/EHUTRAFICO IPv4

TID

FIREWALL

www.ehu.tid.euro6ix.org

2001:800:40:2452::168

80

TRAFICO IPv4

www.ehu.tid.euro6ix.org

158.227.67.86

Proxy reverso

Implantando IPv6 en un Dpto. Universitario 27

www.6sos.org

Configuración actual/Infraestructura de red

• Disociación del tráfico IPv4 e IPv6– www.ehu.tid.euro6ix.org

• resolución a dos máquinas físicas distintas

• Utilización de directivas del Apache– Configuración de proxy reverso:

• VirtualHost (máquina con otro uso)• mod_proxy: ProxyPass, ProxyPassReverse…• Redirect

Implantando IPv6 en un Dpto. Universitario 28

www.6sos.org

Aplicaciones disponibles

• Redes:– Internet Explorer, Mozilla, Konqueror...– Ftp, Sftp, Telnet, SSH (TTSSH), Wget

• Multimedia:– Windows MediaPlayer, VideoLAN, VIC/RAT– Icecast, XMMS, mpeg4ip, DSS proxy– 6Voice, VOCAL

• IRC: – xchat, Kvirc

• Proxy HTTP: – www6to4

Implantando IPv6 en un Dpto. Universitario 29

www.6sos.org

Gestión de red

• Monitorización acceso al Web– Webalizer con soporte IPv6– Código retocado para el manejo direcciones con formato

IPv6– Problema resolución inversa

• Tráfico IPv6– MRTG + Agentes SNMP– Nivel físico: Conmutadores Ethernet y ATM– Nivel red: Net-SNMP modificado para IPv6 en el equipo

de interconexión con Linux

Implantando IPv6 en un Dpto. Universitario 30

www.6sos.org

Conclusiones

• Es posible una transición ordenada a IPv6– Manteniendo servicios originales.– Adaptando nuevos servicios (si se tiene código fuente).– Sin impactar en la red de producción.

• Lo mejor está por venir– Todavía no sacamos provecho de las mejoras que ofrece

IPv6.• No hemos probado todavía (pero nos gustaría)

– Routers comerciales (Cisco, Juniper, Hitachi…)– Equipamiento Wifi IPv6 nativo…– Servidores de aplicaciones comerciales (Microsoft, Bea…)

Implantando IPv6 en un Dpto. Universitario 31

www.6sos.org

¿Alguna pregunta?

Muchas graciaspor su atención