1

Správa Internetu, routing, IPv6

CZ.NIC z. s. p. o.Ondřej Filip / ondrej.filip@nic.czPavel Tůma / pavel.tuma@nic.cz28.1.2010 Unicorn college / GUG

2

Obsah

● Úvod, o CZ.NIC

● Správa Internetu

● Směrování

● IPv6

3

CZ.NIC

● Zájmové sdružení právnických osob

● Neutrální a nezisková organizace

● 66 členů

● Hlavní činností - správa domény nejvyšší úrovně (TLD) .cz

● Registrace domén – pouze přes registrátory

● 41 komerčních registrátorů

● Striktně „First come First Serve“

● 640.000 domén, DNSSEC

● Další významná činnost – registrace ENUM

● Člen ccNSO, CENTR, EURid, ENUM Federation

4

Činnosti CZ.NIC

● Správa DNS a ENUM - http://www.nic.cz, http://enum.nic.cz

● Opensource registrační systém FRED - .ao, .tz, .fo, .cr, .al, ...

● Podpora internetové infrastruktury – time server, root servers

● Podpora nových technologií

● Výzkum a vývoj – Laboratoře CZ.NIC - http://labs.nic.cz

● Osvěta a vzdělávání - http://www.nic.cz/akademie

● Bezpečnost

5

Správa Internetu

6

Správa internetuCo je potřeba spravovat?

● Čísla– Rozdělování bloků IP adres (sítě)

– Přidělování čísel Autonomních Systémů (AS)

● Domény– Správa kořenové (root) úrovně DNS

– Registrace domén

● Protokoly– Registrace číselníků

● Kdo to dělá?

7

Správa internetuGlobální správce

● Historie– Před 1972: „hic sunt leones“

– 1972 „socket registry“

– 1990 Internet Assigned Numbers Authority

– Jon Postel

– Až do 1998

● Internet Corporation for Assigned Names and Numbers– ICANN

– Nezisková organizace, Kalifornie

– Založení 18.9.1998 vládou USA (DoC a NTIA)

– IANA „součástí“ ICANN

8

Správa internetuICANN

9

Správa internetuIANA

● Registry alokace prostorů IPv4/IPv6 + ASN (16,32bit)

10

Správa internetuIANA

● Root zone DB

11

Správa internetuIANA

● Procesy delegace a změny TLD● Jaké země nemají delegovanou doménu?● Další výjimky …● „Konstrukce“ root zóny

TLDregistr

IANA VerisignRoot srvoperator

NTIA

12

Správa internetuIANA

● Číselníky různých prokolů

13

Správa internetuRegionální úroveň - čísla

14

Správa internetuRegionální úroveň - čísla

● Regional Internet Registry (RIR)● Poskytování bloků lokálním internetovým registrům (LIR)● LIR

– ISP

– Velká organizace

– Poskytovatelé služeb

● LIR musí být členem RIR● Pro Evropu: Réseaux IP Européens (RIPE) NCC

– Holandsko

– 205 členů z ČR

15

Správa internetuRegionální úroveň - domény

● TLD registry● Podobně jako CZ.NIC● gTLD versus ccTLD● Podmínky registrace domén

– Jak může doménové jméno vypadat

– Kdo může doménu v dané TLD registrovat

– Jaký je proces a náležitosti registrace a správy domény

16

Správa internetuDalší organizace a aktivity

● Internet Engineering Task Force (IETF)– Otevřená komunita

– Technické standardy

– Protokoly, doporučení, best practices, …

– RFC

● Internet Society (ISOC)– Sdružení členů

– Propagace internetu

– Hlavně vzdělávání

17

Směrování

18

IP protokol, IP adresa

● Počítače nerozumí jménům

● Počítače rozumí číslům

● Každý počítač v Internetu má (nejméně jedno) číslo

● Jmenuje se IP adresa – 4 byte (nebo 16 byte)

● Kdysi byla unikátní... :-(

● 193.165.250.33

● 2001:1488:0:3::2

19

Network, netmask

● Počítač by si měl pamatovat k IP adrese i síťovou masku (anebo mu to někdo řekne)

● Síťová maska jsou jedničky a pak nuly (ve dvojkové soustavě)

● 255.255.255.0 (někdy taky /24)

● Logický bitový součin masky a adresu je číslo sítě

● Počítače se stejným číslem sítě by měli být připojeni ke stejné síti!

● Prefix – 192.168.1.0/24

● Delší prefix, kratší prefix

20

Komunikace na stejné lokální síti

● P1: 192.168.1.1 mask: 255.255.255.0

● P2: 11000000101010000000000100000010 (192.168.1.2)

● P2: 11111111111111111111111100000000 (255.255.255.0)

21

Gateway

● Co když číslo sítě nesedí?

● Měl by znát (default) bránu – cestu k někomu chytřejšímu

● Chytřejší se nazývá router a.k.a. směrovač

● Router je podfuk, ať žije počítač!!!!!!!!!!

22

Router

● Zařízení připojené k více sítím

● Má více IP adres

● Umí přeposlat „cizí“ zprávu - forwarding

● Cestu pozná podle směrovací (routovací) tabulky

23

Routery

● Malý a levný

24

Routery

● Velký a drahý

25

Routery

● Běžné PC s Unixem

● V Linuxu stačí jen zapnout routing a mít 2 rozhraní

● Sysctl – distribuce

26

Směrovací tabulka

217.31.203.0/24

217.31.202.0/24

217.31.201.0/24

27

Směrovací tabulka

Možný příklad:

217.31.201.0/24 dev eth0

217.31.202.0/24 dev eth1

217.31.203.0/24 via 217.31.201.1 dev eth0

default via 217.31.202.1 dev eth1

● Prioritu mají specifičtější cesty

28

Konfigurace?

● Jak se router dozví topologii sítě?

● Jak sestaví směrovací tabulku?

● STATICKY (Ručně)

jenže.......

29

Někdy je síť složitější

30

Internet musí přežít!!!

31

Dynamické směrování

● Nic nového, jen se automaticky sestavuje směrovací tabulka

● Směrovače si „povídají“ o topologii (směrovací protokoly) – říkají si, které sítě vidí (propagují)

● Až na něco přijdou..... (a sestaví směrovací tabulku)

● Nikdy neví všechno! (někdo má globální pohled bez detailů, někdo zná detailně místní situaci)

32

Rozdělení směrovacích protokolů

● Rychlé a pomalé, jednoduché a složité, ale hlavně kamarádské a nepřátelské neboli:

Interní a Externí● Máme autonomní systémy (a jejich čísla) – 16 bit (a

teď i 32 bit)

● Množina směrovačů (kamarádů) pod jednotnou správou

● Na hranici jsou „velké“ směrovače – tlumočníci, novináři – agregují informace

33

AS 1OSPF

AS 3static

AS 2RIP

Rozdělení směrovacích protokolů

BGP

BGP

BGP

34

Interior Gateway Protocols

● RIP, RIPv2, RIPng – ne příliš používané● OSPFv2, OSPFv3 – nejběžnější IGP● IS-IS (proprietární Cisco)● Statický● Rychlé, důvěřivé (krom statického), obvykle

menší tabulka, default route

35

Border gateway protocol

● Jediný zástupce EGP

● BGP routery vidí „rozmazaně“ vidí celý svět

● Jsou nedůvěřivé (eBGP)

● I důvěřivější (iBGP)

● Často nemají default routu

● Ale mívají statisíce položek v RT

● Posílá informace o sítích, které jsou přes něj dostupné (pouze nejkratší cestou) a přidá své číslo AS (u eBGP)

● Preferuje se routa s nejmenším počtem AS v cestě

36

Border gateway protocol

● Každá routa (prefix) tedy obsahuje „cestu“ - seznam AS, přes které je nutno projít

● Preferuje se routa s nejmenším počtem AS v cestě

● Když předává informaci o síti (routa), může k přidat celou řadu dalších informací – atributy

● Význam filtrování

● Výzkum

37

Směrovací rozhodnutí

● Kratší AS_PATH vyhrává– 192.168.0.0/16 AS 100 1

vs.– 192.168.0.0/16 AS 100 2 3 6

● Více specifická specifická cesta je lepší– 192.168.0.0/17

vs.– 192.168.0.0/16

38

Border gateway protocol

AS4

AS3

AS2AS 1

iBGPeBGP

AS3: AS3 AS4, AS3AS4: AS4 AS3, AS4

AS3: AS2, AS3AS4: AS2, AS4

39

Border gateway protocol

40

Vztahy v BGP

● Peering– (Většinou) zdarma, úspora vzájemných nákladů– 1:1– IP rozsahy nejsou distribuovány dále

● Zákazník - upstream– (Většinou) placeno transitnímu operátorovi– Propagace od zákazníka je posílána dále– Zákazníkovi je zprostředkována konektivita do

zbytku Internetu

41

Kdo je na vrcholu?

● A má upstream ISP další upstream?

● Někde to musí skončit

● Tier-1 sítě

● Zhruba 10 ISP, kteří si vzájemně zpřístupňují celý svět, vesměs USA

● Obvykle neradi peerují krom Tier-1

● ... Tier-2, Tier-3

42

Peeringové uzly - IXP

● Obvykle 1 ethernetový segment (jedna síť)

● Ale často více lokalit

● Vysoká redundance

● Všichni ISP připojeni (často vícekrát – do různých lokalit)

● Odpadá nutnost fyzického propojování se s každým

● Propojování protokolem BGP – každý s každým

43

Peeringový uzel NIX.CZ

● 4 lokality v Praze, 7 přepínačů (switchů)

● Mezi největšími 10 v Evropě

● Tok ve špičkách tok cca 120 Gbps

● 100 připojených sítí

● Podpora IPv4 i IPv6

● Hlavní distribuční uzel pro kořenové DNS server L ICANNu pro Evropu

● http://www.nix.cz

44

Topologie NIX.CZ

45

Toky v NIX.CZ

46

Route server● Route server – snížení počtu BGP relací

● Každý člen IXP – n-1 BGP relací - celkem n*(n-1)/2

● Nutnost konfigurace s každým novým členem

● Zátěž CPU router

● Řešením je route server – všichni jsou pouze připojeni k RS – 1 relace na router – n celkem

● RS musí skrýt svou existenci

● Kvalitní filtrování – tisíce položek

● Ačkoliv jsou všichni propojeni k route serveru, nemusí všichni být propojeni se všemi – signalizace RS

● Kvalita RS, efektivita RS

47

IXP bez route serveru

48

IXP s route serverem

49

Směrovací démon

● Na Linuxu (a ostatních UNIXech) – uživatelská aplikace mimo jádro, forwarding v jádře

● Obvykle implementuje více směrovacích protokolů

● Směrovací politika - filtrování

● Quagga (Zebra) – Cisco syntax http://www.quagga.net

● OpenBGPd - http://www.openbgpd.org (OpenOSPFd)

● GateD – zastaralý, ne volná licence

● BIRD - http://bird.network.czBIRD - http://bird.network.cz

50

Směrovací démon BIRD

● Jeden z projektů Laboratoří CZ.NIC - Jeden z projektů Laboratoří CZ.NIC - http://labs.nic.czhttp://labs.nic.cz

● Implementuje RIP, OSPF a BGP včetně IPv6 variantImplementuje RIP, OSPF a BGP včetně IPv6 variant

● Vysoká efektivita – spotřeba paměti a CPUVysoká efektivita – spotřeba paměti a CPU

● Výrazně silnější a rychlejší filtering (!)Výrazně silnější a rychlejší filtering (!)

● Stabilita a rekonfigurovatelnostStabilita a rekonfigurovatelnost

● Používán „malých“ routerech – nedostatek zdrojůPoužíván „malých“ routerech – nedostatek zdrojů

● Nasazen jako route server ve velkých IXP – NIX.CZ, Nasazen jako route server ve velkých IXP – NIX.CZ, VIX, LoNAP, LINX (další testují)VIX, LoNAP, LINX (další testují)

51

IPv6aneb o konci internetu

52

IPv6Problém!

● Adresy ubývají● Problém je známý dlouho● Historicky: přidělování neefektivní

– Stejný rozsah pro MIT i Čínu!

● Objevily se, ale technologie zpomalující úbytek– CIDR

– NAT

● Řešení je známé dlouho – IPv6– Počet adres je 2128 + nové vlastnosti

● Proč o tom mluvíme?

53

IPv6Blížíme se ...

IANA duben 2011, RIR srpen 2012http://ipv4.potaroo.net

54

IPv6Co dál?

● Zavádění IPv6 postupuje pomalu– Nekompatibilní s IPv4

– Možné duálně

– Stále se hledá technické řešení …

● Co se tedy stane, pokud nepokročíme?

55

IPv6Apokalypsa?

4 jezdci apokalypsyAlbrecht Dürerdřevoryt, 1498

56

IPv6Apokalypsa?

● Snad ne● IPv4 Internet bude fungovat dál● Poslední bloky, burzy adres …?

● Impuls pro IPv6● Služby jsou stejné, jde o transport● Změní se poměr nákladů

57

IPv6Kde je problém?

● Poskytovatelé služeb: „Nikdo to nechce.“● Uživatelé: „Nevíme o tom.“

58

● Dle NIX.CZ– Počet ISP s IPv6 konektivitou: 33

– IPv6 provoz

● Reálně na trhu … pro firmy / pro jednotlivce ?– Firmy: Ano, i když omezeně.

– Jednotlivci: Ne

IPv6Situace v ČR – ISP

59

IPv6Situace v ČR – Poskytovatelé služeb

● Poskytovatelé služeb (top 10 webů dle NetMonitor)

Poskytovatel Návštevnost

seznam.cz 12 720 848

novinky.cz 2 985 282

centrum.cz 2 178 304

super.cz 1 930 844

idnes.cz 1 833 703

lide.cz 1 170 734

aukro.cz 638 212

sport.cz 595 421

firmy.cz 538 038

mapy.cz 493 564

IPv6?AAAA pro

www.xxxxx.cz

0

60

IPv6Situace v ČR – Poskytovatelé služeb

● CESNET, CZNIC● KIT Digital (Visual Connection), Hosting 90, Google● Státní infrastruktura – do konce roku 2010!

● Statistika z registru domén (konec roku 2009)

– AAAA u hostname

– NS záznamy, MX záznamy a www.xxxxxx.cz

Služba Celkem Podíl

DNS 22019 3,53%

E-mail 8454 1,35%

WWW 6178 0,99%

61

IPv6Situace v ČR – Uživatelé

● Co dělat když chci IPv6?● Správný provider … ale co když není?● IPv6 tunneling

– 6in4 – přenos v IPv4 packetech

● Tunnel brokers (Hurricane Electric, SixXS)● Free● Jak na to?● „Praktická implementace IPv6“ www.nic.cz/it09