cznic: správa internetu, routing a ipv6
DESCRIPTION
Přednáška Ondřeje Filipa a Pavla Tůmy na o internetové infrastruktuře z hlediska registrátora národní domény. Přednáška pojednává o správě internetu na celosvětové a národní úrovni, informuje o způsobech propojování sítí různých provederů pomocí protokolu BGP, a seznamuje se základy protokolu IPv6 a současným stavem jeho zavádění v České republice.TRANSCRIPT
1
Správa Internetu, routing, IPv6
CZ.NIC z. s. p. o.Ondřej Filip / [email protected] Tůma / [email protected] Unicorn college / GUG
2
Obsah
● Úvod, o CZ.NIC
● Správa Internetu
● Směrování
● IPv6
3
CZ.NIC
● Zájmové sdružení právnických osob
● Neutrální a nezisková organizace
● 66 členů
● Hlavní činností - správa domény nejvyšší úrovně (TLD) .cz
● Registrace domén – pouze přes registrátory
● 41 komerčních registrátorů
● Striktně „First come First Serve“
● 640.000 domén, DNSSEC
● Další významná činnost – registrace ENUM
● Člen ccNSO, CENTR, EURid, ENUM Federation
4
Činnosti CZ.NIC
● Správa DNS a ENUM - http://www.nic.cz, http://enum.nic.cz
● Opensource registrační systém FRED - .ao, .tz, .fo, .cr, .al, ...
● Podpora internetové infrastruktury – time server, root servers
● Podpora nových technologií
● Výzkum a vývoj – Laboratoře CZ.NIC - http://labs.nic.cz
● Osvěta a vzdělávání - http://www.nic.cz/akademie
● Bezpečnost
5
Správa Internetu
6
Správa internetuCo je potřeba spravovat?
● Čísla– Rozdělování bloků IP adres (sítě)
– Přidělování čísel Autonomních Systémů (AS)
● Domény– Správa kořenové (root) úrovně DNS
– Registrace domén
● Protokoly– Registrace číselníků
● Kdo to dělá?
7
Správa internetuGlobální správce
● Historie– Před 1972: „hic sunt leones“
– 1972 „socket registry“
– 1990 Internet Assigned Numbers Authority
– Jon Postel
– Až do 1998
● Internet Corporation for Assigned Names and Numbers– ICANN
– Nezisková organizace, Kalifornie
– Založení 18.9.1998 vládou USA (DoC a NTIA)
– IANA „součástí“ ICANN
8
Správa internetuICANN
9
Správa internetuIANA
● Registry alokace prostorů IPv4/IPv6 + ASN (16,32bit)
10
Správa internetuIANA
● Root zone DB
11
Správa internetuIANA
● Procesy delegace a změny TLD● Jaké země nemají delegovanou doménu?● Další výjimky …● „Konstrukce“ root zóny
TLDregistr
IANA VerisignRoot srvoperator
NTIA
12
Správa internetuIANA
● Číselníky různých prokolů
13
Správa internetuRegionální úroveň - čísla
14
Správa internetuRegionální úroveň - čísla
● Regional Internet Registry (RIR)● Poskytování bloků lokálním internetovým registrům (LIR)● LIR
– ISP
– Velká organizace
– Poskytovatelé služeb
● LIR musí být členem RIR● Pro Evropu: Réseaux IP Européens (RIPE) NCC
– Holandsko
– 205 členů z ČR
15
Správa internetuRegionální úroveň - domény
● TLD registry● Podobně jako CZ.NIC● gTLD versus ccTLD● Podmínky registrace domén
– Jak může doménové jméno vypadat
– Kdo může doménu v dané TLD registrovat
– Jaký je proces a náležitosti registrace a správy domény
16
Správa internetuDalší organizace a aktivity
● Internet Engineering Task Force (IETF)– Otevřená komunita
– Technické standardy
– Protokoly, doporučení, best practices, …
– RFC
● Internet Society (ISOC)– Sdružení členů
– Propagace internetu
– Hlavně vzdělávání
17
Směrování
18
IP protokol, IP adresa
● Počítače nerozumí jménům
● Počítače rozumí číslům
● Každý počítač v Internetu má (nejméně jedno) číslo
● Jmenuje se IP adresa – 4 byte (nebo 16 byte)
● Kdysi byla unikátní... :-(
● 193.165.250.33
● 2001:1488:0:3::2
19
Network, netmask
● Počítač by si měl pamatovat k IP adrese i síťovou masku (anebo mu to někdo řekne)
● Síťová maska jsou jedničky a pak nuly (ve dvojkové soustavě)
● 255.255.255.0 (někdy taky /24)
● Logický bitový součin masky a adresu je číslo sítě
● Počítače se stejným číslem sítě by měli být připojeni ke stejné síti!
● Prefix – 192.168.1.0/24
● Delší prefix, kratší prefix
20
Komunikace na stejné lokální síti
● P1: 192.168.1.1 mask: 255.255.255.0
● P2: 11000000101010000000000100000010 (192.168.1.2)
● P2: 11111111111111111111111100000000 (255.255.255.0)
21
Gateway
● Co když číslo sítě nesedí?
● Měl by znát (default) bránu – cestu k někomu chytřejšímu
● Chytřejší se nazývá router a.k.a. směrovač
● Router je podfuk, ať žije počítač!!!!!!!!!!
22
Router
● Zařízení připojené k více sítím
● Má více IP adres
● Umí přeposlat „cizí“ zprávu - forwarding
● Cestu pozná podle směrovací (routovací) tabulky
23
Routery
● Malý a levný
24
Routery
● Velký a drahý
25
Routery
● Běžné PC s Unixem
● V Linuxu stačí jen zapnout routing a mít 2 rozhraní
● Sysctl – distribuce
26
Směrovací tabulka
217.31.203.0/24
217.31.202.0/24
217.31.201.0/24
27
Směrovací tabulka
Možný příklad:
217.31.201.0/24 dev eth0
217.31.202.0/24 dev eth1
217.31.203.0/24 via 217.31.201.1 dev eth0
default via 217.31.202.1 dev eth1
● Prioritu mají specifičtější cesty
28
Konfigurace?
● Jak se router dozví topologii sítě?
● Jak sestaví směrovací tabulku?
● STATICKY (Ručně)
jenže.......
29
Někdy je síť složitější
30
Internet musí přežít!!!
31
Dynamické směrování
● Nic nového, jen se automaticky sestavuje směrovací tabulka
● Směrovače si „povídají“ o topologii (směrovací protokoly) – říkají si, které sítě vidí (propagují)
● Až na něco přijdou..... (a sestaví směrovací tabulku)
● Nikdy neví všechno! (někdo má globální pohled bez detailů, někdo zná detailně místní situaci)
32
Rozdělení směrovacích protokolů
● Rychlé a pomalé, jednoduché a složité, ale hlavně kamarádské a nepřátelské neboli:
Interní a Externí● Máme autonomní systémy (a jejich čísla) – 16 bit (a
teď i 32 bit)
● Množina směrovačů (kamarádů) pod jednotnou správou
● Na hranici jsou „velké“ směrovače – tlumočníci, novináři – agregují informace
33
AS 1OSPF
AS 3static
AS 2RIP
Rozdělení směrovacích protokolů
BGP
BGP
BGP
34
Interior Gateway Protocols
● RIP, RIPv2, RIPng – ne příliš používané● OSPFv2, OSPFv3 – nejběžnější IGP● IS-IS (proprietární Cisco)● Statický● Rychlé, důvěřivé (krom statického), obvykle
menší tabulka, default route
35
Border gateway protocol
● Jediný zástupce EGP
● BGP routery vidí „rozmazaně“ vidí celý svět
● Jsou nedůvěřivé (eBGP)
● I důvěřivější (iBGP)
● Často nemají default routu
● Ale mívají statisíce položek v RT
● Posílá informace o sítích, které jsou přes něj dostupné (pouze nejkratší cestou) a přidá své číslo AS (u eBGP)
● Preferuje se routa s nejmenším počtem AS v cestě
36
Border gateway protocol
● Každá routa (prefix) tedy obsahuje „cestu“ - seznam AS, přes které je nutno projít
● Preferuje se routa s nejmenším počtem AS v cestě
● Když předává informaci o síti (routa), může k přidat celou řadu dalších informací – atributy
● Význam filtrování
● Výzkum
37
Směrovací rozhodnutí
● Kratší AS_PATH vyhrává– 192.168.0.0/16 AS 100 1
vs.– 192.168.0.0/16 AS 100 2 3 6
● Více specifická specifická cesta je lepší– 192.168.0.0/17
vs.– 192.168.0.0/16
38
Border gateway protocol
AS4
AS3
AS2AS 1
iBGPeBGP
AS3: AS3 AS4, AS3AS4: AS4 AS3, AS4
AS3: AS2, AS3AS4: AS2, AS4
39
Border gateway protocol
40
Vztahy v BGP
● Peering– (Většinou) zdarma, úspora vzájemných nákladů– 1:1– IP rozsahy nejsou distribuovány dále
● Zákazník - upstream– (Většinou) placeno transitnímu operátorovi– Propagace od zákazníka je posílána dále– Zákazníkovi je zprostředkována konektivita do
zbytku Internetu
41
Kdo je na vrcholu?
● A má upstream ISP další upstream?
● Někde to musí skončit
● Tier-1 sítě
● Zhruba 10 ISP, kteří si vzájemně zpřístupňují celý svět, vesměs USA
● Obvykle neradi peerují krom Tier-1
● ... Tier-2, Tier-3
42
Peeringové uzly - IXP
● Obvykle 1 ethernetový segment (jedna síť)
● Ale často více lokalit
● Vysoká redundance
● Všichni ISP připojeni (často vícekrát – do různých lokalit)
● Odpadá nutnost fyzického propojování se s každým
● Propojování protokolem BGP – každý s každým
43
Peeringový uzel NIX.CZ
● 4 lokality v Praze, 7 přepínačů (switchů)
● Mezi největšími 10 v Evropě
● Tok ve špičkách tok cca 120 Gbps
● 100 připojených sítí
● Podpora IPv4 i IPv6
● Hlavní distribuční uzel pro kořenové DNS server L ICANNu pro Evropu
● http://www.nix.cz
44
Topologie NIX.CZ
45
Toky v NIX.CZ
46
Route server● Route server – snížení počtu BGP relací
● Každý člen IXP – n-1 BGP relací - celkem n*(n-1)/2
● Nutnost konfigurace s každým novým členem
● Zátěž CPU router
● Řešením je route server – všichni jsou pouze připojeni k RS – 1 relace na router – n celkem
● RS musí skrýt svou existenci
● Kvalitní filtrování – tisíce položek
● Ačkoliv jsou všichni propojeni k route serveru, nemusí všichni být propojeni se všemi – signalizace RS
● Kvalita RS, efektivita RS
47
IXP bez route serveru
48
IXP s route serverem
49
Směrovací démon
● Na Linuxu (a ostatních UNIXech) – uživatelská aplikace mimo jádro, forwarding v jádře
● Obvykle implementuje více směrovacích protokolů
● Směrovací politika - filtrování
● Quagga (Zebra) – Cisco syntax http://www.quagga.net
● OpenBGPd - http://www.openbgpd.org (OpenOSPFd)
● GateD – zastaralý, ne volná licence
● BIRD - http://bird.network.czBIRD - http://bird.network.cz
50
Směrovací démon BIRD
● Jeden z projektů Laboratoří CZ.NIC - Jeden z projektů Laboratoří CZ.NIC - http://labs.nic.czhttp://labs.nic.cz
● Implementuje RIP, OSPF a BGP včetně IPv6 variantImplementuje RIP, OSPF a BGP včetně IPv6 variant
● Vysoká efektivita – spotřeba paměti a CPUVysoká efektivita – spotřeba paměti a CPU
● Výrazně silnější a rychlejší filtering (!)Výrazně silnější a rychlejší filtering (!)
● Stabilita a rekonfigurovatelnostStabilita a rekonfigurovatelnost
● Používán „malých“ routerech – nedostatek zdrojůPoužíván „malých“ routerech – nedostatek zdrojů
● Nasazen jako route server ve velkých IXP – NIX.CZ, Nasazen jako route server ve velkých IXP – NIX.CZ, VIX, LoNAP, LINX (další testují)VIX, LoNAP, LINX (další testují)
51
IPv6aneb o konci internetu
52
IPv6Problém!
● Adresy ubývají● Problém je známý dlouho● Historicky: přidělování neefektivní
– Stejný rozsah pro MIT i Čínu!
● Objevily se, ale technologie zpomalující úbytek– CIDR
– NAT
● Řešení je známé dlouho – IPv6– Počet adres je 2128 + nové vlastnosti
● Proč o tom mluvíme?
53
IPv6Blížíme se ...
IANA duben 2011, RIR srpen 2012http://ipv4.potaroo.net
54
IPv6Co dál?
● Zavádění IPv6 postupuje pomalu– Nekompatibilní s IPv4
– Možné duálně
– Stále se hledá technické řešení …
● Co se tedy stane, pokud nepokročíme?
55
IPv6Apokalypsa?
4 jezdci apokalypsyAlbrecht Dürerdřevoryt, 1498
56
IPv6Apokalypsa?
● Snad ne● IPv4 Internet bude fungovat dál● Poslední bloky, burzy adres …?
● Impuls pro IPv6● Služby jsou stejné, jde o transport● Změní se poměr nákladů
57
IPv6Kde je problém?
● Poskytovatelé služeb: „Nikdo to nechce.“● Uživatelé: „Nevíme o tom.“
58
● Dle NIX.CZ– Počet ISP s IPv6 konektivitou: 33
– IPv6 provoz
● Reálně na trhu … pro firmy / pro jednotlivce ?– Firmy: Ano, i když omezeně.
– Jednotlivci: Ne
IPv6Situace v ČR – ISP
59
IPv6Situace v ČR – Poskytovatelé služeb
● Poskytovatelé služeb (top 10 webů dle NetMonitor)
Poskytovatel Návštevnost
seznam.cz 12 720 848
novinky.cz 2 985 282
centrum.cz 2 178 304
super.cz 1 930 844
idnes.cz 1 833 703
lide.cz 1 170 734
aukro.cz 638 212
sport.cz 595 421
firmy.cz 538 038
mapy.cz 493 564
IPv6?AAAA pro
www.xxxxx.cz
0
60
IPv6Situace v ČR – Poskytovatelé služeb
● CESNET, CZNIC● KIT Digital (Visual Connection), Hosting 90, Google● Státní infrastruktura – do konce roku 2010!
● Statistika z registru domén (konec roku 2009)
– AAAA u hostname
– NS záznamy, MX záznamy a www.xxxxxx.cz
Služba Celkem Podíl
DNS 22019 3,53%
E-mail 8454 1,35%
WWW 6178 0,99%
61
IPv6Situace v ČR – Uživatelé
● Co dělat když chci IPv6?● Správný provider … ale co když není?● IPv6 tunneling
– 6in4 – přenos v IPv4 packetech
● Tunnel brokers (Hurricane Electric, SixXS)● Free● Jak na to?● „Praktická implementace IPv6“ www.nic.cz/it09