ipv6 in der mpg - workshop - hbeck/ipv6_in_der_mpg-workshop.pdf · 2002:x:x::/48 6to4-address ......

Gesellschaft für wissenschaftliche Datenverarbeitung mbH Göttingen

Am Fassberg, 37077 Göttingen

Fon: 0551 201-1510 Fax: 0551 [email protected] www.gwdg.de

von

IPv6 in der MPG - Workshop

Holger Beck

Was ist IPv6?

� Zunächst ein neues Protokoll• Formatierung der Datenpakete (Header),• Funktionalitäten (Mobile IP, IPSec, Quality of Service,

Umnummerierung von Netzen),• Verfahren (z.B. Adressvergabe, Konfiguration des Router im Endgerät,

Duplicate Address Detection),� im Wesentlichen auf Schicht 3 des OSI Models (Vermittlungsschicht),� insbesondere aber ein Protokoll, dass den Adressraum des Internets

erweitert,� in der Entwicklungszeit auch mal Internet Protocol Next Generation (IPng)

genannt,� Nachfolger des aktuellen Internet Protocols IP,

• genauer: von Internet Protocol Version 4 (IPv4).

228. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop

Die etwas andere IP -Adresse

� Formatänderung• die Adresse ist 4x so lang (128 statt 32 Bit)• Blockung in Zahlen von je 16 Bit statt 8 Bit• man spricht hexadezimal• Trennzeichen : statt .• z.B.: 2001:0638:0600:0000:0000:0000:0E7E:0015

� Vereinfachung• Führende Nullen können weggelassen werden,

- 2001:638:600:0:0:0:E7E:15• Einmalig können aufeinanderfolgende Blöcke von Nullen weggelassen

werden (dann steht dort nur :: )- 2001:638:600::E7E:15

� Fazit• zumindest gewöhnungsbedürftig


… und davon auch noch gleich mehrere

Zuordnung Präfix binär Präfix hex Anteil der Adressen

Global Unicast 001 2xxx::/3 –3xxx::/3

1/8

Local IPv6 Address

1111 110 FCxx::/7 –FDxx::/7

1/128

Private Administration

1111 1101 FDxx::/8 1/256

Link-local Unicast 1111 1110 10 FE8x::/10 –FEBx::10

1/1024

Site-local Unicast(obsolet)

1111 1110 11 FECx::/10 –FEFx::/10

1/1024

Multicast 1111 1111 FFxx::/8 1/256


Spezielle Adressen

Adresse Bedeutung

0:0:0:0:0:0:0:0 oder :: Unspecified Address, verwendet z.B. bei DHCP-Request

0:0:0:0:0:0:0:1 oder ::1 Loopback Address (analog 127.0.0.1 in IPv4)

0:0:0:0:0:FFFF:x:x IPv4-mapped IPv6 Address, IPv4-Adresse (x:x-Teil) als IPv6-Adresse abgebildet

2002:x:x::/48 6to4-Address (Kommunikation von IPv6 über IPv4-Netze)

2001:0::/32 Teredo-Addressen (Tunnelprotokoll)

y:y:y:y:0000:5EFE:x:xy:y:y:y:0200:5EFE:x:x

ISATAP Address (Tunnelprotokoll, y:y:y:y IPv6-Prefix, x:x IPv4-Adresse)

28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 5

Kompliziert?

� Zunächst ist IPv6 erst einmal ungewohnt

� IPv6 ist über Jahre gewachsen• … und manchmal ging es bei der Entwicklung hin und her

� Aber in IPv6 sind viele Erfahrung, die mit IPv4 über Jahre gesammelt wurden eingeflossen

� Technisch ist IPv6 nicht komplizierter• Headerformate sind einfacher

- … und sollten sich daher besser verarbeiten lassen• Verschlüsselung (IPSec) ist integriert

- … und verfügbar, wenn man es benutzen will


Adressen ohne Ende

� 2128 (340.282.366.920.938.463.463.374.607.431.768.211.456, ca. 340 Sextillionen)• für jedes Sandkorn der Erde eine Adresse (stand irgendwo)• ca. 66,7 Trillionen Adressen pro Quadratzentimeter

Erdoberfläche (510 Mio km2, selbst gerechnet, keine Gewähr)


� Probleme gibt es erst wieder, wenn diese Herren mitmischen wollen:

Struktur (einer Unicast-Adresse)

� Global Routing Prefix• vom Provider vergeben• hierarchische Struktur• typisch: 48 Bit, 248 =

281.474.976.710.656 ~ 281 Billionen Netze

� Subnet Identifier• für lokale Aufteilung der Netze• typisch: 16 Bit, 216 = 65.536

Subnetze

� 264 = 18.446.744.073.709.551.616 Adressen pro (Sub-) Netz(ca. 18 Trillionen)

� Verschwendung durch riesige Subnetze?

� Ping aller Adressen eines Subnetzes nicht mehr möglich

• bei 1 Node/s: ~ 584 Mrd. Jahre

28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG -Workshop

8

Global Routing Prefix SubnetID Interface ID

64 Bit64 Bit

n Bit 64-n Bit

Multicast-Adressen

� Flags:• R: Rendevous point

(Multicast stream)• P: Prefix embeded

(in Group ID)• T: Temporary/Well known

� Scope:• 1: Interface-local• 2: Link-local• 4: Admin-local• 5: Site-local• 8: Organization-local• E: Global

Beispiele:� Interface-local scope

• FF01::1 All nodes• FF01::2 All routers

� Link-local scope• FF02::1 All nodes• FF02::2 All routers• FF02::5 OSPFIGP• FF02::6 OSPFIGP designated

routers• FF02::1:2 All DHCP Agents

� Site-local scope• FF05::2 All routers• FF05::1:3 All DHCP servers


FF Scope Group ID

112 Bit8 Bit 4 Bit

Flags0RPT

4 Bit

ICMPv6

� Alt bekannte Funktionalitäten• Echo Request / Reply (ping)• Destination unreachable (verschiedene Varianten)• Time Exceed (traceroute)

� Neue Funktionen• Neighbour Discovery (ND)

- ARP-Ersatz: Neighbour Solicitation (NS) / Advertisement (NA)- Inverse Neighbour Discovery (IND)- Secure Neighbour Discovery (SEND)- Router Solicitation (RS) / Router Advertisement (RA)- Neighbour Unreachabilty Detection (NUD)- Duplicate Address Detection (DAD)

• für Autoconfiguration28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 10

Netzwerkkonfiguration am Endgerät bei IPv6

� Verschiedene Methoden, einem Endgerät eine IPv6-Adresse zuzuweisen:• Stateless Address Autoconfiguration (SLAAC)• Stateless DHCPv6• Stateful Autoconfiguration / DHCPv6• Manuelle Konfiguration einer statischen Adresse


Autoconfiguration SLAAC

� Stateless Address Autoconfiguration (SLAAC)• Rechner generiert selbst Interface ID,• erzeugt „tentative Address“ aus Interface ID und Link-Local Prefix,• Neighbour Solicitation an alle Nodes / Duplicate Address

Detection (DAD)• Router Solicitation per Multicast an alle Router• Router Advertisements (RA) liefert Routing-Informationen (Default

Route) von allen Routern,• oder der Link Local Prefix in Abwesenheit von Routern verwendet.

� Routing über mehrere alternative Wege damit automatisch unterstützt.

� Problem (absichtlich oder unabsichtlich) falscher RAs� SLAAC liefert keine weiteren Informationen z.B. zu DNS

• Über Router Advertisements kann mit geteilt werden, dass über DHCPv6 ergänzenden Informationen bezogen werden können


Autoconfiguration : DHCPv6

� Stateless DHCPv6• Subset von DHCPv6

- DHCP-Informationen wie DNS-Server usw.- aber keine Adressvergabe- antwortet nur auf Information Request

• für Einsatz auf Router- optional zusätzlich auch Relay-Funktion

� Stateful Autoconfiguration / DHCPv6• über RAs kann Verwendung von DHCPv6 statt SLAAC

signalisiert werden,• neue DHCP-Nachricht: Reconfigure vom Server

- Server kann Änderung von Adressen/Informationen auslösen


Konstruktion der Interface ID bei Autoconfiguration

� EUI-64• = Extended Unique Identifier,• eine Form einer unique stable address,• basiert auf MAC-Adresse,• aufgefüllt mit FFEE zwischen 3. und 4. Byte• und „locally administered Bit“ gesetzt (2. Bit)

- aus 00-21-70-7E-59-B2- wird 0221:70FF:FE7E:59B2

� Temporäre, transiente Adressen• "Privacy Extensions for Stateless Address Autoconfiguration in

IPv6" (RFC 4941)• generiert über Zufallszahlen• wechselnd


Interface ID und Datenschutz

� Datenschutzproblem (ohne Privacy Extensions)• auch in verschiedenen Netzen bleibt die Interface ID immer gleich!• über immer gleich bleibende Interface ID

- lassen sich Benutzerprofile erstellen- z.B. beim Surfen mit mobilen Geräten unabhängig von der

Netzanbindung,� Datenschutzproblem in Firmennetzen

• nichts neues,• meist feste Adressen schon mit IPv4.

� Datenschutzproblem im Privatbereich und in mobilen Netzen• bisher dynamische Vergabe,• wechselnde Adressen,• also ein neues Problem

� Anderes Datenschutzproblem: eindeutige Präfixe für Privatanschlüsse?


Nutzung von Privacy Extensions

� Verfügbarkeit und Standardeinstellung (http://www.heise.de/netze/artikel/IPv6-Privacy-Extensions-einschalten-1204783.html, 13.04.11)


Netzwerkadministration und Privacy Extensions

� Probleme des Netzwerkadministrators• wechselnde, zufällige Adressen:

- kein Überblick über das Netz mehr• DHCP im Institutsnetz statt Autoconfiguration?

- Positiv für Administration,- Negativ für Datenschutz

� Netzwerkmanagementlösung?• Zuordnung MAC-IPv6 ermitteln/aufzeichnen? • Und alles an der MAC-Adresse festmachen?


IPv6 aus Endnutzersicht

� Was brauche ich?• ein halbwegs neues Betriebssystem

- da ist dann alles drin• so sollte es zumindest sein

- vielleicht ist noch der DSL-Router zu alt, der Provider unterstützt IPv6 nicht, …

� Was muss ich tun?• Einschalten

- wenn es nicht sowieso schon eingeschaltet ist- (eigentlich lieber erst mal abschalten, solange es nicht

wirklich betrieben wird und funktioniert)• Netzwerk sollte automatisch konfiguriert werden.


IPv6 aus Serverbetreibersicht

� Was brauche ich?• Kommt auf den Dienst an,• mit etwas Glück reicht Einschalten,• dumm gelaufen, wenn in irgendwelchen Protokollen,

Programmen oder Datenbanken 32 Bit für Adressen fest eingebaut sind (z.B. FTP-Protokoll):

- besser Namen statt Adressen verwenden.� Was muss ich tun?

• Prüfen, ob meine Dienstangebote mit IPv6-Probleme haben- … dann ggf. anpassen.

• Prüfen, ob ich Kunden/Nutzer habe, die nur IPv6-Adressen bekommen

- … und dann ggf. schleunigst mit dem Netzbetreiber reden.


IPv6 aus Netzbetreibersicht

� Was brauche ich?• IPv6-fähige Router• IPv6-fähige Firewalls• IPv6-fähige Infrastrukturdienste

- DNS-Server- DHCP-Server- Managementanwendungen

� Was muss ich tun?• Fortbilden,• prüfen,• planen,• beschaffen,• in Betrieb nehmen.


IPv6 und DNS

� Erreichbarkeit der DNS-Server über IPv6• für IPv6-only-Netze bzw. Endgeräte

- noch nicht dringend• dafür reicht auch ein Slave mit IPv6-Adresse irgendwo in der

Welt� IPv6-Adressen in DNS-Resource-Records

• neuer Recordtype für Auflösung Name zu IPv6-Adresse- AAAA

• neue Domäne für Auflösung IPv6-Adresse zu Name- ip6.arpa

• in aktueller DNS-Server-Software kein Problem


IPv6 und DNS -RRs

� Name zu Adresse• Neuer Resource-Record AAAA• Liefert IPv6- statt IPv4-Adresse

- www.example.com IN AAAA 2001:638:600::E7E:15� Adresse zu Name

• weiterhin PTR-Records, aber Domäne ip6.arpa statt in-addr.arpa• Problem mit dem Format

- Jede Hexadezimalziffer einzeln im PTR-Record- z.B. PTR für 2001:638:600::E7E:15- 5.1.0.0.e.7.e.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.6.0.8.3.6.0.1.0.0.2.ip6.arpa.

IN PTR www.example.com- sehr mühsam und fehleranfällig

• Vorteile bei Generierung von PTR-Records aus IPv6-Adressen im IPAM-System• Delegation von ip6.arpa-Zonen

- erfolgt vom Provider (z.B. DFN-Verein)


Stand IPv6 im DFN -Wissenschaftsnetz

� Routing• DFN verfügt über den Adressbereich 2001:638::/32, • stellt DFN-Nutzern /48er Bereiche zur Verfügung, z.B.

- 2001:638:600::/48 für die GWDG,• soweit auf Nutzerseite gewünscht,• dynamisches Routing mit BGP bei redundanten Anschlüssen

� DNS• Reverse Mapping für den eigenen Bereich auf DFN-Servern• Delegation der jeweiligen Netze an Kunden

- inkl. Angebot eines Slave-Server beim DFN� Fazit: Alles notwendige verfügbar, es kann losgehen!


Stand IPv6 im GÖNET

� Ja, wir haben IPv6• … wir bieten es nur noch (fast) niemanden an.• Ausnahmen:

- Testnetz in der Informatik- Testnetz in der Universitätsmedizin (RZ)

� Wir haben später angefangen als der DFN-Verein� Der DFN betreibt (fast) nur Router

• … das wäre auch im GÖNET einfach


Dual Stack und unvollständige Konnektivität

� Standardeinstellung bei Dual Stack• IPv6 wird bevorzugt (i.d.R.)

� Problem• DNS liefert IPv6-Adresse,• IPv6 ist aktiv (nicht nur Link-local),• aber eine IPv6-Verbindung zum Ziel funktioniert nicht,• Ergebnis: Ziel nicht oder nur nach Timeouts

erreichbar.


IPv6 und Security

� Positiv• IPSec integriert

- Nutzung?• Netzwerkscan nicht direkt möglich

- Indirekt: z.B. DNS-Einträge- bei lokalem Zugriff: All-Nodes-Multicast, RA, DAD, Neighbour Cache

� Dual Stack• auch IPv6 muss in Firewalls berücksichtigt werden,• Sonst hat meine eine Hintertür im Netz.

� Fehlende Werkzeuge� Neue Software – Kinderkrankheiten – neue Bugs� Neue Features – neue Angriffspunkte

• Autoconfiguration / ND• DAD-Reaktion als Denial auf Service• Router Advertisements (Umleitung auf falsche Router)• Routing Header / Source Routing

� Tunneling• Auch Teredo im IPv4-Netz


Mobile IPv6

� Roaming auf Netzwerkschicht / Layer 3� Funktion

• Mobile Node(MN) mit- Home Address und - Care-of Address (Adresse im fremden Netz)

• kommuniziert über Home Agent (HA)- über Tunnel (Bidirectonal Tunneling)

• mit einem „Corresponent Node“ (CN)• oder direkt mit CN

- nach „Return Routability Procedure (Route Optimization)� Realisierung

• Spezielle ICMPv6 Pakete• Registrierung von Care-of Address• Sicherheitsprozeduren zum Schutz gegen Fälschung / Spoofing


Transition -Mechanismen

� Ein ganzer Zoo• Tunneling-Varianten• Translation-Varianten

� Aktuell• 4in6• 6in4• 6over4• 6to4• ISATAP• IVI• Teredo• Tunnel Setup Protocol (TSP)• Stateless IP/ICMP Translation

(SIIT)

• 6rd• Transport Relay Translation

(TRT)• NAT64 / DNS64• Dual-Stack Lite (DS-Lite)

� Drafts• 4rd• AYIYA• dIVI

� Deprecated• NAT-PT• NAPT-PT

28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG -Workshop

28

Und sonst

� Routing-Protokolle� Browser

• http://[ipv6-addresse] zum Browsen über IPv6-Adresse� Web-Proxies

• müssen IPv6 unterstützen� IP-Header

• einfacheres Format im Header (weniger Felder),• dafür Verkettungsmöglichkeit für mehrere Header

- Feld Next Header zeigt auf Extension Header• mit unterschiedlichen Funktionen

� Umnummerieren von Netzen / Network Renumbering• bei Providerwechsel nötig,• Autoconfiguration erleichtert Umnummerieren,• Übergangsprozeduren mit mehreren aktiven Prefixes,• DNS-Einträge, Firewallregeln usw. müssen aber auch noch angepasst

werden.28. DV-Treffen, 20.-22.09.2011, Bonn Holger Beck: IPv6 in der MPG - Workshop 29

Danke für die Aufmerksamkeit


ipv6 in der mpg - workshop - hbeck/ipv6_in_der_mpg-workshop.pdf · 2002:x:x::/48 6to4-address ......

Documents