510 likes | 671 Views
Internetový protokol verze 6 (IPv6) a jeho zavádění na VŠE. Ing. Luboš Pavlíček Ing. Miroslav Matuška Výpočetní centrum VŠE 10. ú nor a 200 4. Obsah přednášky. Základní koncepty protokolu, důvody pro zavedení (M) IPv6 v CESNETu, Liberouter (M) Projekty FR CESNETu a IGA VŠE (M)
E N D
Internetový protokol verze 6 (IPv6) a jeho zavádění na VŠE Ing. Luboš Pavlíček Ing. Miroslav Matuška Výpočetní centrum VŠE 10. února 2004
Obsah přednášky • Základní koncepty protokolu, důvody pro zavedení (M) • IPv6 v CESNETu, Liberouter (M) • Projekty FR CESNETu a IGA VŠE (M) • Aktuální situace na VŠE, stav úkolů (L) • IPv6 v PASNETu (L) • Zatímní zkušenosti a postřehy z projektů (L+M) • Diskuse
Základní koncepty • Co je to Internet Protocol version 6 (IPv6) • Důvody pro změnu • Historie vzniku IPv6 • Charakteristiky IPv6 • Migrace z IPv4 na IPv6 • Zavádění a aktuální stav IPv6
Co je to IPv6 ? • Nová verze síťového protokolu Internetu (pravidel, podle kterých komunikují počítače k Internetu připojené, TCP/IP) • Současná verze: IPv4 • Za 30 let testování a provozu prokázal velmi dobrou odolnost a použitelnost v globální síti • Díky velkému rozvoji a komerčnímu použití jsou na něj kladeny další požadavky • Některým už nelze tak snadno vyhovět – limity současné verze
Důvody pro změnu • Nedostatek IP adres pro označování dalších uzlů v síti (již od začátku 90. let minulého století) • Nicméně přidělování adres po blocích tříd A,B,C (příliš hrubé členění velikosti sítí) způsobilo mnoho nevyužitého místa • Skoro 40% adres je ještě neobsazených. Dříve používaný mechanismus hledání uzlu v síti (=směrování) je nicméně nedovoluje použít v jiné síti • Nově příchozí na Internet požadují mnoho adres pro své sítě – zejména asijská oblast (Japonsko, Jižní Korea, Čína…), bez adres jsou v nevýhodě • Odebírání přidělených IPv4 adresních rozsahů (např. síť 62.0.0.0) ?
Důvody pro změnu • IPv4 řešení 1: VLSM+CIDR (Very Large Subnet Masks a Classless Inter-Domain Routing) • Jemnější členění velikostí sítí podle potřeby • Agregace cest do příbuzných sítí • Vzniká spousta nových malých sítí • Nevýhoda: nárůst položek ve směrovacích tabulkách páteřních routerů (v tzv. default-free zóně), nebezpečí přetížení a zpomalování práce těchto zařízení
Důvody pro změnu • IPv4 řešení 2: NAT (Network Address Translation) • Použití adresní překladové brány, které stačí jedna přidělená adresa pro celou síť • Počítače uvnitř sítě mají soukromé adresy, které nelze v Internetu směrovat (nevadí, pokud jsou duplicitní), takže uzly jsou jakoby „neviditelné“ • Pokud komunikují do Internetu, skrývají se za překladovou bránou, která má přehled o spojení • Nevýhoda: ztráta end-to-end konektivity, nutnost dalších zařízení, stavový charakter komunikace
Důvody pro změnu • Slabá podpora nově potřebných služeb: • QoS: funguje nepovinně, jen v částech Internetu, její zajištění end-to-end je obtížné • Bezpečnost: nepovinná, většinou řeší až samotné aplikace, proprietární a drahá řešení • Mobilita: původní návrh IP sítě vůbec s mobilními uzly nepočítá, možnost být k dosažení stále pod jednou adresou je obtížná • Konfigurace koncových stanic a sítě: rozumně fungující, nicméně chybí možnost „plug and play“, hromadných přečíslování aj.
Důvody pro změnu • Růst počtu uživatelů a datového provozu Internetu (JV Asie, i celosvětově) • Mobilní technologie, velké množství datových terminálů potenciálně připojitelných k Internetu (telefony, PDA, drobné koncové zařízení – spotřební elektronika, zabezpečovací systému budov, klimatizace. Doprava - automobily, vlaky, logistika, doprava obecně, • IP telefonie, P2P služby, multimedia, herní konzole, zábavní průmysl obecně… …to vše potřebuje end-to-end konektivitu, dosažitelnost na pevné adrese, zajištěné QoS a další vlastnosti, které IPv6 nabízí
Důvody pro změnu - shrnutí • Větší adresní prostor • Lepší podpora • Bezpečnosti komunikace • Multicastu (skupinového vysílání) • Zajištění kvality služby (QoS) • Mobility zařízení • Konfigurování zařízení • Alternativy: doplňovat stávající IPv4 nebo navrhnout novou verzi IP na „čistém stole“ ?
Historie IPv6 • V IETF (Internet Engineering Task Force, neformální orgán sdružující pracovní skupiny, které tvoří nové standardy Internetu) započat vývoj protokolu IP Next Generation (IPng) • Později byl přejmenován na IP verze 6 • Číslo verze 5 bylo přiřazeno jinému protokolu • 1995: první generace standardů (RFC 1883 a další) • 1998: druhá generace (RFC 2460 a příbuzné) • Dnes: standardy víceméně hotovy, už jen malé upřesňování a dokončování (např. DHCP, mobilita)
Adresování • Délka adresy: 128 bitů (cca 3*1038adres) • Typy adres • Unicast(běžné jednoduché adresy) • Multicast • Anycast (výběrové adresování – paket s touto adresou je doručen pouze jednomu ve skupině, nejčastěji tomu „nejbližšími“) • Rozsah adres (scope) • Link local, Site Local, Global
Adresování • Zápis adresy: hexadecimálně, každých 16 bitů odděleno dvojtečkou 1234:5678:90AB:CDEF:1234:5678:90AB:CDEF • Plný zápis 2001:0718:0:0:0:0:0:1 • Zkrácený zápis 2001:718::1 • Loopback ::1 (aneb 0:0:0:0:0:0:0:1) • Prefix (maska sítě) – počet bitů, které udávají adresu sítě, např. /32, /45, /64 (analogicky jako IPv4, masky jsou spojité)
Rozdělení adresního prostoru • Globální prefixy zatím alokovány jen 3 • 2001::/16 (pro produkční použití registrátorů RIPE-NCC, ARIN, APNIC a LACNIC) • 2002::/16 (pro přechodovou techniku z IPv4) • 3FFE::/16 (pro experimentální síť 6bone), přestane platit 6.června.2006 (06/06/06)
3 bity 45 bitů 16 bitů 64 bitů 001 globální směrovací prefix podsíť ID rozhraní celkem 128 bitů Přidělování adres • Hierarchické směrování, agregace adres • ISP získají od svého registrátora prefix délky /32 bitů (např. CESNET má od RIPE-NCC prefix 2001:718::/32) • Podmínky, které musí ISP splnit • je lokálním registrátorem (LIR) a není koncovou sítí • plánuje poskytování IPv6 dalším sítím • plánují přidělení 200 prefixů /48 během dvou let
Přidělování adres • ISP přidělují koncovým zákazníkům prefix /48 • Např. VŠE má 2001:718:1f02:/48 • ISP si mohou vytvořit hierarchii dle lokalit (/40, /42) • Koncové sítě mohou využít 16 bitů pro tvoření subnetů s délkou /64 v rámci své organizace • Zbylých 64 bitů je ID zařízení (host ID), což může být jedna z variant: • EUI-64: MAC adresa + „vycpávka“ FFFE • Sekvenční číslování (routery, servery) • V posledních 32 bitech vložená IPv4 adresa • …
Formát hlavičky • Optimalizace vlastností hlavičky • Pevná velikost = 40 bajtů • Vypuštění málo používaných položek • Žádný kontrolní součet • Doplňkové hlavičky: parametry pro všechny uzly na cestě, parametry pro koncové uzly, Fragmentační,Směrovací hlavička, Autentizační hlavička (AH), Šifrovací hlavička (ESP)
Nové vlastnosti • Mobilita – dosažitelnost stále pod stejnou adresou, domácí a cizí agent • Bezpečnost – povinný IPSec, snažší tvorba VPN • QoS– DiffServ, IntServ, RSVP • Automatická konfigurace -(stavová a bezstavová, bezstavové DHCP), objevování sousedů, přečíslování sítě
Migrace z IPv4 na IPv6 • IPv6 je správným řešením – snad ano • Nepůjde o D-Day či akci podobnou Y2K • Pozvolný přechod, urychlení je jen na škodu (hrozí zklamání z malé užitečnosti, nehotových produktů) • Nutné funkční implementace na • Routerech (Cisco, Juniper, Extreme,…) • OS koncových stanic: • MS Windows (XP, 2003, exprimentálně v 2000) • FreeBSD, NetBSD, OpenBSD - Kame • Linux – USAGI • Sun Solaris (od verze 8)
Migrace z IPv4 na IPv6 • Pro hladký přechod existuje řada přechodových mechanismů: • Tunely pro tvorbu IPv6 spojů po IPv4 infrastruktuře • Překladové brány řešící komunikaci mezi hosty v různých sítích (jeden uzel zná jen IPv4 a druhý jen IPv6) • Mezivrstvy v API – programové rozhraní, které překládá IPv4 a IPv6 specifika mezi sebou, takže není potřeba přepisovat programy (BIS, BIA)
Migrace z IPv4 na IPv6 • Ideální postup – dual-stack, koexistence obou protokolů po celou dobu přechodu • IPv6 infrastruktura kopíruje IPv4 • Pouze L3 prvky (routery) mohou být dvojí • Doporučený postup zavádění: od páteře (uživatel nemusí nic vědět) • Stanice podporuje oba protokoly a rozhoduje se dle aktuální situace, který protokol využije • Druh vráceného záznamu z DNS • Nutno dobře vyzkoušet chování klientských programů, aby nedošlo k problémům při nedostupnosti některého z protokolů
Migrace z IPv4 na IPv6 • Programy • V některých aplikacích se používá IPv4 adresa přímo a je potřeba upravit kód • Distribuce nových síťových knihoven a API • Časově zřejmě nejnáročnější migrace, bude záležet na aktuálním stavu síťové infrastruktury a poptávky po nových funkcích • Již existují porty základních aplikací (WWW browsery a servery, FTP, telnet, a další)
DNS a IPv6 • Jeden jmenný prostor společný s IPv4 • DNS a vztah ke dvěma protokolům: • Obsah dat • A dopředné záznamy pro IPv4 • AAAA dopředné záznamy pro IPv6 • PTR reverzní záznamy podobné (v doménách IN-ADDR.ARPA pro IPv4 a IP6.ARPA pro IPv6) • Transportní protokol: IPv4 i IPv6, obě verze jsou schopny přenášet oba typy adres • VŠE má reverzní doménu delegovanou od CESNETu (providera vyšší úrovně)
Současný stav • Nasazení IPv6 pro výzkum a testování provozu: • Akademické sítě v Evropě a USA (namátkou Renater, SurfNet, CESNET, GÉANT, Abilene) • Společné výzkumné projekty financované EU (6NET - včetně účasti ČR, Euro6IX, 6WIND, 6POWER, Moby-Dick a řada dalších) • Komerční nasazení IPv6: • USA: zatím dostatek adres, vyčkávání (Pentagon – nákup síťových s podporou obou protokolů), • Evropa: opatrné zkoušení, hledání „killer“ aplikace • JV Asie: běžné produkční nasazení a použití, silná podpora vlád (přechod na IPv6: Japonsko 2005, Čína 2006, Taiwan 2007, Jižní Korea 2011)
Současný stav - shrnutí • Standardizace IPv6 víceméně dokončena • Základní podpora v MS-Windows XP • Rozumná podpora na routerech Cisco (od verze 12.2(2)T), nicméně pro implementaci nových funkcí je třeba nasadit PC router (např. *BSD) • Pro běžné použití však chybí podpora všech vlastností a služeb protokolu • Přesun z fáze návrhu a standardizace do praxe, „ven z laboratoří – testování a implementace v exitujících sítích“.
IPv6 v Evropě a ČR • K 9.2.2004 je v Evropě přiřazeno 294 prefixů délky /32 pro ISP (11/03-266 prefixů) • V ČR je 9 prefixů pro ISP a jeden prefix délky /48 pro propojovací bod NIX-CZ CZ-TEN-34 2001/05/21 2001:0718::/32 CZ-IPEXNET 2003/02/05 2001:0AE8::/32 CZ-GTS 2003/02/11 2001:0AF0::/32 CZ-PRAGONET 2003/03/14 2001:0B80::/32 CZ-CECOM 2003/06/18 2001:1478::/32 CZ-NIC 2003/06/20 2001:1488::/32 CZ-VOL 2003/07/17 2001:1508::/32 CZ-CASABLANCA 2003/07/24 2001:1528::/32 CZ-BECOLINK 2003/08/29 2001:1568::/32 NIX-CZ-NET-IPv6 2003/02/03 2001:07F8:0014::/48
IPv6 v CESNETu • První instituce v ČR s IPv6 • 1999: experimentální provoz v síti 6bone (adresy 3FFE::), peeringy, tunely, první testy implementací (P. Satrapa) • Od roku 2001 přidělený provozní prefix 2001:718:: /35, později /32 od RIPE a zařazení IPv6 mezi strategické úkoly (L. Lhotka) • 2002: Cesnet přistupuje k evrospkému projektu 6net • Od roku 2003 nativní (netunelová) konektivita do zahraničí a nativní peering do CZ.NIXu • Od roku 2003 celá nativní IPv6 páteř (MPLS), dual stack, adresní registrace + reverzní delegace DNS, monitoring • 2004 Evropská páteř pro vědu a výzkum Géant oficiálně podporuje IPv6
IPv6 v CESNETu • Koncové sítě (VŠ a AV) • První testy přímo zainteresovaných osob (TU Liberec, VŠB-TU Ostrava, JČU České Budějovice, MU a VUT Brno) • Zpočátku zejména PC routery (*BSD), později komerční směrovače • Připojování výzkumných laboratoří, kolejí • PASNET se přidává až v roce 2004 (problémy s kompatibilitou zařízení, stupeň podpory pro zařízení Cisco)
IPv6 v CESNETu • Plány do budoucna • zlepšení podpory IPv6 v páteřní síti • postupné zavedení produkčního režimu provozu IPv6 • provozování svých služeb a aplikací nad IPv6 (zároveň s IPv4) • propagačně-naučné akce pro uživatele a správce sítí nižších úrovní („neinvazivní průnik“) • Doplňkové projekty • Liberouter
www.Liberouter.org • Projekt vývoje IPv6 směrovače na bázi platformy PC s hardwarovým akcelerátorem (výkonnostně srovnatelný s profesionálními přístupovými směrovači) s user-friendly konfiguračním rozhraním • Důvody • Snaha o využití univerzality PC zařízení při zavádění a testování nových funkcí • Snaha o nižší náklady na pořízení těchto zařízení
Liberouter • Realizace HW: programovatelná hradlová pole FPGA, využití nových trendů v programovatelném hardware • Otevřený projekt (open source software i hardware) • Největší pracovní tým CESNETu, velkou část tvoří studenti • Aktuální stav: fungující síťová karta, dokončují se akcelerační funkce
Liberouter • Konfigurační rozhraní „Netopeer“, snaha o rozumné UI a určitou přenositelnost konfiguací • Univerzální zápis konfigurace směrovače ve fromátu XML a řada transformačních rutin mezi různými formáty (Cisco, Juniper, *BSD, Linux) • Vklad VŠE: • konverze IOS->XML (viz. technická zpráva) • Metakonfigurace (viz. výroční zpráva)
Projekt FR CESNET • Na konci roku 2002 přidělen VŠE projekt pro testování implementaci IPv6 • Vedoucí M. Matuška, spoluřešitel L. Pavlíček • Cíl: zavést IPv6 do sítí VŠE, testování implementací a aplikací, přivedení IPv6 do PASNETu • Nákup směrovačů a literatury, školení a studijní cesty (M. Matuška) • Délka: 1 rok, 04/2003-04/2004 • Publikace: článek v časopise LUPA, příspěvek na konferenci Teleinformatika (11/2003)
Projekt IGA VŠE • V červenci 2003 přidělen IGA VŠE projekt na další podporu IPv6 • Vedoucí L. Pavlíček, spoluřešitel M.Matuška • Cíl: Navázání na projekt FR CESNETu, přiblížení IPv6 uživatelům a správcům sítí, tvorba školení pro uživatele a správce jiných sítí, prezentace výsledků ve znovupoužitelné podobě, zapojení studentů VŠE do testování moderních technologií • Délka: 1 rok, 09/2003-09/2004 • Připravované výstupy: Bakalářské a diplomové práce, školící materiály + technické vybavení pro ně a další
IPv6 projekty • Řada IPv6 služeb je na provozní bázi implementována poprvé v ČR právě na VŠE. • Zvýšení prestiže VŠE (a zejména VC): • První velká implementace IPv6 v Praze, zprovoznění IPv6 PASNETu, pomoc CESNETu při zavádění protokolu v uzlu Praha. • Publikace a veřejná vystoupení pod hlavičkou VŠE • Možnost pracovat s moderními technologiemi • Pro správce sítí, zvýšení kvalifikace, zkušenosti • Pro uživatele sítě VŠE (studenti a zaměstnanci), kteří budou mít k dispozici novou funkčnost pro jejich potřeby (podpora výukové a vědecké činnosti VŠE)
IPv6 projekty • Oba projekty se vhodně doplňují, nicméně stále existují nepokryté oblasti: • V určitých oblastech se předpokládá součinnost dalších útvarů (zejména VC VŠE), • Testování už rozsahem zapojených osob přesáhlo původní plán • S ukončením projektů implementace IPv6 nekončí, mělo by dojít k navazujícím krokům směrujícím k plné produkční podpoře IPv6 na VŠE srovnatelné s IPv4
Adresní prostor • Navržená struktura v PASNETu 2001:718:1fxx:yyzz::/64 prefix CESNETu lokalita PASNET subnet v lokalitě účastník PASNETu Příklady: VŠE 2001:718:1f02::/48 VŠE Žižkov 2001:718:1f02:0000::/56 VŠE JM 2001:718:1f02:0100::/56
Mapa IPv6 sítě na VŠE CESNET/ IPv6 gif1 ipv6tun.vse.cz em0 sf0 sf1 sf2 sf3 sf4 sf5 sf6 sf7 2001:718:1f02:42::/64 nms 2001:718:1f00::20/64 2001:718:1f02::/64 16.subnet, 146.102.16:16 PASNET/ IPv6 – vlan 106 2001:718:1f02:1::/64 zaměstnanci SB 2001:718:1f02:2::/64 knihovna 2001:718:1f02:3::/64 posluchárna C 2001:718:1f02:4::/64 183nb 2001:718:1f02:5::/64 ucebny 2001:718:1f02:43::/64 ca-servery3 em0, 2001:718:1f00::21/64 ipv6jm.vse.cz 2001:718:1f02:100::/64, síť_na JM, 146.102.168.6 em1
Routery s podporou IPv6 • ipv6tun.vse.cz • Dell, FreeBSD, 9x ethernet, • ipv6jm.vse.cz • Dell, FreeBSD, 3x ethernet • ipv6jarov.vse.cz • Dell, FreeBSD, 5x ethernet, • Cisco 7200 (blanice) • provozní IOS již k dispozici, • catalyst 3750 (ge-jarov) • hw podpora, sw v polovině roku 2004, plánované
Servery s plnou podporou IPv6 • vse.vse.cz • mail (postfix), příjem, odesílání (při odesílání se řídí dle údajů v nameserveru, pokud existuje AAAA záznam, tak zkouší přes IPv6, v případě neúspěchu přejde na IPv4), • nameserver, • ssh, • nms.vse.cz • ssh, • web (apache2), • nameserver, • smtp (sendmail) • + experimentální stroje (různé OS, používají čistě jen IPv6)
Počítače s částečnou podporou IPv6 • Nejsou v nameserveru, mají IPv6 adresu, některé protokoly fungují přes IPv6 • vse470.vse.cz • devetsil.vse.cz • pub.vse.cz • Stanice s podporou IPv6 • většinou Windows XP, • Linux, • Solaris, • Stanice využívají ohlášení routeru pro svou (auto)konfiguraci
plán Časové odhad na zavedení IPv6 • Střednědobý cíl: 2006 – síť s duálním protokolem (IPv4 a IPv6), tj. • routery s plnohodnotnou podporou IPv4 a IPv6, • všechny subnety s podporou IPv4 a IPv6 (s výjimkou hw podpory multicastu na IPv6), • servery (většina serverů) s podporou IPv4 a IPv6
plán • Jaro 2004 • Připojení kolejí do sítě IPv6 (včetně filtrování provozu), • Školení pracovníků VC na IPv6, • Monitorování IPv6, • Podpora IPv6 v evidenci stanic, • Vypsání bakalářských a diplomových prací na témata související s IPv6, • Nahradit tunelování do CESNETu nativním směrováním v rámci PASNETu, • Portování důležitých síťových služeb (zejména externích) na IPv6 • Externí publikace
plán • Léto 2004 • duální routery na hranicích s PASNETem • Catalyst 3750, závisí na firmě Cisco, • duální router na Jarově • Catalyst 3750, závisí na firmě Cisco, • pokusy s Novell Netware 6.5 • Léto 2005 • náhrada Catalyst 8500 za router/switch s podporou IPv4 a IPv6, • IPv6 na stanice na učebnách ?, • IPv6 na stanice zaměstnanců ?,
plán • Průběžně • Podpora IPv6 na jednotlivých serverech • Hledání a úprava aplikací na IPv6 (instalace verzí s podporou IPv6) pro koncové stanice (s různým OS) • Testování pokročilých služeb (bezpečnost, mobilita, kvalita služby) • Dokumentační a prezentační činnost • Obecné dokumenty o IPv6 + materiály ke školení • Konfigurace serverů • Konfigurace klientských stanic • Portování a provozování IPv6 aplikací • Spolupráce: OSI, SUS, SLS, HD a další • Externí spolupráce: ICZ
plán Konkrétní doporučení • Kupovat routery pouze s podporou IPv4 a IPv6, • Již v roce 2003 (Cisco 3750), • Kupovat a instalovat operační systémy s podporou IPv6 • Windows 2003 server, • Novell Netware 6.5 • Při upgradech programového vybavení instalovat verze s podporou IPv6 (byť zatím neaktivní), např.: • apache2 místo apache 1.3, • awstats místo webalizer, • putty s IPv6 podporou,
Shrnutí • IPv6 je na VŠE možno vyzkoušet a používat „ihned“ • Pro migraci na novou verzi na VŠE bude využit mechanismus dual-stack • Vyjma závěrečné fáze nebude potřeba překladových bran • Migrace bude časově náročný proces závisející na okolních sítích a stavu zařízení • Problém: zánovní investice do IPv4 • Důležité, co zařadit do DNS a co nikoliv • Jinak služby zdánlivě „nefungují“
PASNET IPv6 v PASNETu • v PASNETu zatím není IPv6, • do CESNETu přes tunel: • VŠE, • FzU AVČR (pravděpodobně neaktivní), • ČVUT má IPv6 mimo PASNET, • návrh na přidělování adres, • návrh na nativní backbone v PASNETu, • vlan 106, nyní zkušebně použit na propojení Žižkov – JM, • nativní připojení PASNETu do CESNETu • realizace pravděpodobně v druhé polovině března (po instalaci nových řídících desek do 6500 – nyní nejsou potřebné porty), • dual stack na hraničním routeru pravděpodobně nejdříve o prázdninách,