1 / 29

IPv6 Protocolos associados Política de migração

IPv6 Protocolos associados Política de migração. Extensa literatura. http://www.6journal.org/view/subjects/iptute.html Fonte completa. Contém inúmeros artigos, incluindo um “Deployment Guide” http://www.ipv6.nic.br/ipv6.html http://www.ipv6.br/IPV6/ArtigoTecnicasTransicaoParte01.

taline
Download Presentation

IPv6 Protocolos associados Política de migração

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. IPv6Protocolos associadosPolítica de migração

  2. Extensa literatura • http://www.6journal.org/view/subjects/iptute.html • Fonte completa. Contém inúmeros artigos, incluindo um “Deployment Guide” • http://www.ipv6.nic.br/ipv6.html • http://www.ipv6.br/IPV6/ArtigoTecnicasTransicaoParte01

  3. ND – Neighbor Discovery • ND é um protocolo que permite que nós diferentes em um mesmo link comuniquem suas existências para os seus vizinhos. • É uma função básica do IPv6 que qualquer implementação precisa ter. • ND é definido nos seguintes documentos: • RFC 2461 Neighbor Discovery for IPv6 • RFC 2462, IPv6 Stateless Address Autoconfiguration • RFC 2463, Internet Control Message Protocol (ICMPv6) for the IPv6 Specification • ND substitui os seguintes protocolos da versão anterior do IP • Router Discovery (RDISC) • Address Resolution Protocol (ARP) • ICMPv4 redirect

  4. ND – Neighbor Discovery • Hosts que estão no mesmo link usam o ND para: • Descobrir a presença mútua • Determinar endereços de camada 2 dos vizinhos • Descobrir roteadores • Manter informações de acesso (NUD – neighbor reacheability information) • Características do protocolo: • Descoberta do roteador • Definição do prefixo de rede • Descoberta de parâmetros do acesso (MTU, máximo “hop limit”) • Auto-configuração de endereço • Determinação do “next hop” • Detecção de endereço duplicado

  5. ND – Neighbor Discovery • ND define 5 tipos de pacotes ICMP: • Router Advertisement (RA) • Router Solicitation (RS) • Neighbor Solicitation (NS) • Neighbor Advertisement (NA) • Redirect

  6. Roteador Roteador ND – Neighbor Discovery • Router Discovery: 2 modos de operação RA 1 - Roteador envia um RA (router advertisement) de tempos em tempos via endereço de multicast do link RS RA 2 - Roteador envia um RA (router advertisement) em resposta a uma mensagem do tipo RS (router solicitation)

  7. ND – Neighbor Discovery • Detecção de endereço duplicado • Uma vez que o endereço do nó esteja configurado (não interessa o processo), é mandatório executar a rotina de detecção de endereço duplicado (DAD – Duplicate Address Detection) • O protocolo DAD é definido pela RFC 2462 • Nenhum endereço pode ser utilizado antes da execução da rotina DAD. Até lá, o endereço do host é considerado “tentativo”, ou seja, só pode ser utilizado para um ciclo do protocolo ND. • A restrição é feita para garantir que não haja dois hosts com o mesmo endereço no link.

  8. ND – Neighbor Discovery • Detecção de endereço duplicado 1 – Host envia mensagem do tipo NS (neighbor solicitation) tendo como endereço destino seu próprio endereço NS NA NS 2 – OU nó duplicado responde com um NA (node advertisement) 2 – OU nó duplicado também estava iniciando um ciclo DAD

  9. ND – Neighbor Discovery • Detecção de endereço duplicado • Protocolo só detecta o caso positivo • Protocolo não mostra que NÃO existe outro • Nó só pode assumir que tem endereço único: • Após a transmissão de um número definido de NSs • Se não há evidência de endereço duplicado decorrido um certo tempo após a transmissão da última NS • Protocolo é lento • Execução pode ser feita em paralelo entre: • Ciclo de Router Discovery (para receber prefixo) • Execução dos ciclos DAD apenas com endereço de interface local

  10. MTU Path Discovery • Derivado da RFC 1191 (versão IPv4 do protocolo) • Um caminho (path) é um conjunto de links percorridos por um pacote IPv6 entre a fonte e o destino • O MTU de um link: é o tamanho máximo de um datagrama que pode ser transmitido no link sem que haja fragmentação • MTU do caminho (Path MTU ou pMTU): é o MTU mínimo para um dado conjunto de links (que formam um caminho) • Path MTU discovery: é a descoberta automática do pMTU de um caminho específico.

  11. MTU Path discovery • Operação do protocolo • Assume-se a premissa que pMTU = MTU do link para se chegar ao vizinho (primeiro hop) • Se existe um roteador intermediário para o qual o MTU é menor que o pMTU, ele envia uma mensagem ICMPv6 do tipo “pacote muito grande” para o emissor • O emissor reduz o pMTU usando a informação recebida na mensagem ICMP • O emissor reinicia o processo até chegar ao fim do caminho. • Lembrando: no IPv6 a fragmentação é fim a fim, feita exclusivamente pelo emissor.

  12. Domain Name System - DNS • Implementações atuais mantêm bases de dados para IPv4 e IPv6. • Método de comunicação usual ainda usa IPv4 (TCP), ou seja, as consultas (queries) utilizam IPv4 • Implementações atuais de hosts IPv6 mantêm pilhas IPv4 para uso no DNS

  13. Domain Name System - DNS Zone administrator Zone file master resolver slaves Dynamic updates stub resolver Sistema hierárquico e distribuído

  14. Domain Name System - DNS • Mas DNS não é seguro: existem muitas vulnerabilidades conhecidas Falso cache Corrupção de dados Falsificação de Mestre Zone administrator master resolver Zone file Dynamic updates slaves stub resolver Poluição do cache por spoofing Atualizações não autorizadas Proteção de dados Proteção dos servidores

  15. DNSSEC: DNS Security Extensions • Extensão do protocolo DNS para: • Autenticação dos dados (de endereços) • Garantir integridade das respostas e acessos usando criptografia de chaves públicas • Escopo • Autenticação e integridade da origem dos dados • Autenticação das transações e requisições do protocolo DNS • Serviço de distribuição das chaves • Referência: http://www.dnssec.net/

  16. Domain Name System - DNS • Mas DNS não é seguro: existem muitas vulnerabilidades conhecidas Falso cache Corrupção de dados Falsificação de Mestre Zone administrator master resolver Zone file Dynamic updates slaves stub resolver Poluição do cache por spoofing AUTENTICAÇÃO DAS TRANSAÇÕES Atualizações não autorizadas AUTENTICAÇÃO DOS DADOS Proteção de dados Proteção dos servidores

  17. Resumo

  18. A migração para IPv6 • A transição vai (está sendo) ser lenta • Documentação detalhada: • http://www.6journal.org/view/subjects/iptute.html • Fonte completa. Contém inúmeros artigos, incluindo um “Deployment Guide”

  19. A migração para IPv6 • Lado bom: • Endereçamento gigante e de estrutura mais simples • Não necessita de hardware especial • Usa o fato da camada 2 ser Ethernet • Lado ruim: • Existem problemas nas implementações do DHCP e do DNS • Existem (ainda) diferenças entre implementações • “dilema da bolacha” ao contrário: quem começa?

  20. A migração para IPv6 • Dificuldades: • Mudanças são grandes pois muita coisa deve ser repensada: serviços, sistemas operacionais das máquinas, etc. • FIREWALLS: considerações especiais devem feitas na instalação e configuração de firewall no ambiente IPv6 – eles deverão suportar os novos protocolos e funções de autoconfiguração, etc. O documento “Deployment Guide” tem um capítulo inteiro sobre isso • http://www.6journal.org/view/subjects/iptute.html • Procedimentos também mudarão: help desk, treinamento de pessoal • Embora os grandes fabricantes já suportem IPv6 em seus roteadores, o mesmo não se pode dizer dos periféricos (CPEs), todos eles já “pindurados” via IP nas redes corporativas: wi-fi, impressoras, etc.

  21. A migração para IPv6 • Três caminhos • Duas pilhas • Infra-estrutura IPv6 adicional (tunelamento) • Rede IPv6 exclusiva • Geralmente, espera-se que aconteça a coexistência das 3 técnicas nas redes corporativas por um bom tempo.

  22. A migração para IPv6 • Duas pilhas (Dual Stack) • Definida na RFC 2893 • Nós têm os dois protocolos instalados e dois endereços (v4 e v6) • Nó atua como gateway entre as duas redes • Não é transição, é “coexistência” • Roteamento tem que usar protocolos adequados, que suportam esse ambiente

  23. A migração para IPv6 Arquitetura de referência para o funcionamento da pilha dupla Fonte: Transitioning to IPv6 – 3G Americas – March 2008

  24. A migração para IPv6 • Infra-estrutura adicional • Implantação de tunelamento: permite que pacotes de um protocolo trafegue “sobre” a infra-estrutura do outro • Permite a instalação de ambientes de teste • Métodos: • Configuração manual: endereços dos pontos inicial e final conhecidos de antemão • “Tunnel broker”: usa scripts automáticos para formar túnel com um servidor especial (broker)

  25. A migração para IPv6 • Infra-estrutura adicional • Tunnel broker: RFC 3053 • http://www.sixxs.net/main/ • Métodos de tunelamento implantados • ISATAP: implantado no XP, permite transmissão de pacotes IPv6 entre máquinas com pilhas duplas (IPv6-over-IPv4) • TEREDO: permite conexão IPv6 entre nós IPv4 atrás de NAT (servidor a servidor) • DSTM: Dual Stack Transition Mechanism (IPv4-over-IPv6)

  26. A migração para IPv6 • Rede IPv6 exclusiva • Apenas nós IPv6 • Conectividade com redes IPv4 é feita por meio de relays (proxies)

  27. A migração para IPv6 • Serviços já disponíveis: • Já existem vários sistemas que suportam IPv6. O site abaixo indica uma série de serviços • http://ipv6.br/

  28. A migração para IPv6 • Alguns exemplos: • Serviço dedicado IPv6 do Google:ipv6.google.com • Serviços multimídia IPv6 • http://stream.ipv6.frequence3.net:19000/frequence3.m3uhttp://icecast.version6.net:8888/status.xslhttp://www.ipv6.ecs.soton.ac.uk/virginradio

  29. A migração para IPv6 • Alguns exemplos: • O Website Gateway do site sixXS possibilita o acesso de máquinas IPv4 a sites que aceitam apenas IPv6 e de máquinas IPv6 a sites em IPv4. • http://ipv6gate.sixxs.net

More Related