Formação IPv6 - RCTS

1. Formação IPv6 - RCTS Introdução, Endereçamento, Autoconfiguração e DNS 12 de Junho de 2008

2. Agenda/Índice • Introdução 3-22 • Endereçamento 23-39 • Autoconfiguração 40-52 • DNS 53-70

3. Introdução

4. Motivação • Ter sempre em mente: NÃO se pretende desligar o IPv4 no curto/médio prazo • É um esforço global, mas cada serviço/host/rede é importante • A FCCN é historicamente um «early-adopter» de novas tecnologias • Desafio do CE/FCCN aos membros da RCTS • Compatibilização DNS+WEB+E-MAIL

5. Motivação • Os serviços funcionam da mesma forma em IPv6 • Diferenças • Tamanho do espaço de endereçamento • Modelo de mobilidade melhorado • Segurança na especificação (raramente cumprida…) • IPv4/IPv6, o mesmo nível da camada OSI • O switching (Layer 2) é um «amigo» do IPv6

6. Exaustão do Espaço IPv4 • www.potaroo.net/tools/ipv4

7. Distribuição Global • Como Funciona: Hierárquico & Regional

8. Distribuição (na Europa) 2001:800::/32 2001:690::/32 2001:720::/32 2001:8A0::/32 2001:690:2100::/48 2001:690:2006::/48 2001:690:2060::/48

9. Endereçamento IPv4 Estatísticas (256 /8s) Fonte: http://www.nro.net/documents/presentations/nro-jointstats-Dec07.ppt

10. Atribuições Regionais a ISPs(IPv4) Unidade: /8 1999: ~2,5 2000: ~4,75 … 2006: ~10,5 2007: ~12,3 http://www.nro.net/statistics/

11. Medidas de «Emergência»: CIDR • Re-utilização do espaço «classe C» • CIDR (Classless Inter-Domain Routing) • RFC 1519 (1993), actualizado pelo RFC 4632 (2006) • Endereço de rede = prefixo/comprimento • Final das atribuições por «classe A, B e C» • Menos desperdício • Permite a agregação • Reduz o tamanho da tabela de routing global

12. Medidas de «Emergência»: Endereçamento Privado • RFC 1918 (1996) • Permite planos de endereçamento privados • Endereços apenas usados em redes internas/privadas • Similar à arquitectura de segurança com firewall • Uso de proxies ou NAT para comunicação externa • RFC 1631, 2663 e 2993

13. Vantagens: Reduz a necessidade de endereços oficiais públicos Facilita o plano de endereçamento interno Transparente para algumas aplicações “Segurança” Desvantagens: Tradução por vezes complexa (ex: FTP) Aplicações que usam portos dinâmicos Não escala Introduz estados na rede: Redes Multihomed Quebra o paradigma fim-a-fim Network Address TranslationVantagens/Desvantagens

14. Medidas de EmergênciaConclusão • Estas medidas geraram mais tempo para desenvolver uma nova versão do IP • O IPv6 mantém os princípios que fizeram o sucesso do IP • Melhorias tendo por base a versão actual do IP (v4) • MAS estas medidas serão suficientes?

15. Options Cabeçalho IPv4 32 bits Ver. IHL ToS Total Length Identifier flags fragment 20 Bytes TTL Protocol Checksum Source Address Destination Address

16. IPv6: Simplificação do Cabeçalho 32 bits Ver. Traffic Class Flow label Payload length Next Header Hop Limit Source Address 40 Bytes 5 words Destination Address

17. Activação IPv6: Windows • Windows Vista: • activo por omissão • Windows XP: • Service Pack + actualizações automáticas • Abrir uma janela de DOS (“cmd”) • Digitar «ipv6 install»

18. Activação IPv6: Windows • Verificar Activação: • ipconfig • Interface Gráfico • Control Panel/ Painel de Controlo • Network/Rede • IPv6 Apenas Activo/Inactivo

19. Activação IPv6: Linux • Activo por omissão, na maioria das distribuições • Verificação: • /sbin/ifconfig • Em caso de não estar activo: • /sbin/modprobe ipv6

20. Endereçamento

21. Estrutura do Endereçamento IPv6 • O esquema de endereçamento do IPv6 está definido no RFC 3513 e o formato dos endereços IPv6 do tipo global unicast no RFC 3587 • Endereços de 128 bits (hierarquia e flexibilidade) • Uso dos princípios do CIDR: • Prefixo / Comprimento do prefixo (ou máscara) • 2001:660:3003::/48 • 2001:660:3003:2:a00:20ff:fe18:964c/64 • Agregação reduz o tamalho da tabela de encaminhamento • Representação Hexadecimal (0 a F) • 1 Interface pode ter vários endereços IPv6 • Não existe broadcast

22. Formato do Endereçamento • Formato base (Global, 16 bytes/128 bits) : • Formato compacto: • Representação Literal [2001:660:3003:2:a00:20ff:fe18:964c] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:0660:3003:0001:0000:0000:6543:210F 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1::6543:210F 2001:660:3003:1:0:0:6543:210F

23. Espaço IPv6(RFC 4291) Endereços Globais Unicast 001 2000::/3 Endereços Link-Local Unicast 1111 1110 10 FE80::/10 Endereços Multicast 1111 1111 FF00::/8 Para Uso Futuro Em Uso 1/2 1/4 1/8 1/8

24. Exemplo #1 • Endereço IPv6: 2001:0660:3003:0001:0000:0000:6543:210F ISP= 2001:0660 CLIENTE= 3003 0001 LAN= INTERFACE ID= 0000:0000:6543:210F

25. Exemplo #2 • Endereço IPv6 (ns2.uevora.pt): 2001:0690:2006:0200:0000:0000:0000:FFFE ISP= 2001:0690 MEMBRO= 2006 0200 LAN= INTERFACE ID= 0000:0000:0000:FFFE

26. 24 bits 24 bits u g fabricante número de série 24 bits 16 bits 24 bits u g fabricante 0xFFFE número de série 1 g fabricante 0XFFFE número de série 1 7 8 Interface ID • 64 bits: compatível com a norma IEEE 1394 (FireWire), e facilita o mecanismo de autoconfiguração. • IEEE define o mecanismo para criar um endereço EUI-64 a partir de um endereço MAC (IEEE 802) MAC (48 bits) EUI-64 Interface ID

27. Alocações IPv6 por RIR • Começaram em Julho de 1999 • Inicialmente = /35 ; Actualmente = /32 • Prefixos (22 de Fevereiro de 2008) = 2092 • AFRINIC • 42 prefixos • LACNIC • 96 prefixos • ARIN • 402 prefixos • APNIC • 531 prefixos • RIPE-NCC • 1021 prefixos http://www.ripe.net/rs/ipv6/stats/

28. WHOIS/RPSLng • WHOIS – Ferramenta de acesso a bases de dados públicas. • RPSLng – Linguagem de especificação de políticas de encaminhamento (routing) • Descrevem-se relações de peeringe de trânsito • Que bases de dados consultar? • whois.<RIR>.net • RIR = `{RIPE,ARIN,APNIC,LACNIC,AFRINIC} • Que objectos existem? • Inetnum (ipv4) / Inet6num (ipv6) • Route (ipv4) / Route6 (ipv6) • Outros (contactos, …)

29. INETNUM/INET6NUM inet6num: 2001:690::/32 netname: PT-RCCN-20000623 descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT org: ORG-FpaC1-RIPE admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-routes: AS1930-MNT status: ALLOCATED-BY-RIR changed: hostmaster@ripe.net 20000623 changed: hostmaster@ripe.net 20020805 changed: hostmaster@ripe.net 20050802 changed: hostmaster@ripe.net 20050803 source: RIPE inetnum: 193.136.0.0 - 193.137.255.255 org: ORG-FpaC1-RIPE netname: PT-RCCN-193-136-137 descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-domains: AS1930-MNT mnt-routes: AS1930-MNT changed: mir@ripe.net 19951102 changed: hostmaster@ripe.net 20010504 changed: hostmaster@ripe.net 20050802 changed: hostmaster@ripe.net 20050803 changed: bitbucket@ripe.net 20080131 source: RIPE

30. ROUTE/ROUTE6 route: 193.136.0.0/15 descr: RCCN-AGGREGATED-NET origin: AS1930 mnt-by: AS1930-MNT changed: ipadm@rccn.net 19951218 changed: ipadm@rccn.net 19991130 source: RIPE route6: 2001:690::/32 descr: FCCN, The Portuguese Education & Research Network origin: AS1930 mnt-by: AS1930-MNT changed: cfriacas@fccn.pt 20050406 source: RIPE

31. Planos de Endereçamento • Preparar um plano de endereçamento IPv6 não é trivial • Necessita de ser planeado atempadamente • Não esquecendo todos os pontos e especificidades (topologias) existentes na rede • Manter em mente a agregação, mas não a conservação, nem fundamentalismos • http://www.ipv6-tf.com.pt /documentos/planos_enderecamento.php • Rede Ciência Tecnologia e Sociedade (RCTS) • Fundação para a Computação Científica Nacional (FCCN) • Fac.Ciências e Tecnologia/Universidade Nova de Lisboa • Universidade do Porto

32. Planos de Endereçamento(Rede Escolas – EDU.PT) • Cada escola recebe um prefixo /56 • Permite a cada escola possuir 256 LANs distintas (cada uma com prefixo /64) • 2 Zonas de «agregação» • Norte: 2001:690:2800::/43 • Sul: 2001:690:2820::/43 • 13 bits, permitem 2^13 escolas em cada zona, ou seja 8192 escolas • 2 Pontos de Interligação ao «wholesale ADSL PT», tal como em IPv4 uma rota tem preferência pelo Porto, a outra rota por Lisboa

33. Uso na FCCN • Prefixo de Rede da RCTS = 2001:690::/32 • FCCN = 2001:690:2080::/48 • Ou seja, 65536 LANs (2^16) • Paridade com todos os outros membros da RCTS • CORP, 193.136.44.0/24 = 2001:690:2080:8009::/64 • ID, 193.136.46.0/24 = 2001:690:2080:8004::/64 • «REDE 7», 193.136.7.0/24 = 2001:690:2080:1::/64 • Além disso, existem blocos de «backbone»: • RSI, 193.136.192.0/24 = 2001:690:A00:4001::/64 • RSE, 193.136.6.0/24 = 2001:690:A00:4002::/64 • PORTO, 2001:690:A80:4001::/64

34. Uso em LANs • O que fazer com os últimos 64 bits? • Endereço com MAC embutido vs. Fixo • O endereço automático obtido por autoconfiguração, quando se muda o interface de rede de um sistema obriga a: • Actualizar o registo AAAA no DNS • Verificar configurações de serviços • Actualizar scripts que tenham o endereço expresso de forma estática

35. Autoconfiguração

36. Autoconfiguração sem estados • Plug & Play • Utiliza o protocolo Neighbor Discovery ICMPv6 • Na inicialização, cada sistema tenta através da própria rede descobrir os seguintes parâmetros: • Prefixo(s) IPv6 • Endereços de gateway • Limite de hops • (link local) MTU

37. Autoconfiguração sem estados • Apenas os routers têm de ser configurados manualmente • Se não se recorrer ao mecanismo de delegação de prefixos (http://www.ietf.org/rfc/rfc3633.txt) • Os sistemas podem obter automaticamente endereços IPv6 • Mas esses endereços não são automaticamente registados no DNS • É boa prática que os sistemas que alojem serviços sejam configurados manualmente

38. Autoconfiguração sem estados • O mecanismo de autoconfiguração sem estados está descrito no RFC4862 • Os sistemas ouvem as mensagens de Router Advertisement (RA), que periodicamente são enviadas pelos routers • As mensagens de anúncio de router emitidas no segmento identificam o prefixo de rede

39. Autoconfiguração sem estados • Permite a um sistema a criação do seu endereço IPv6 global a partir do: • Seu identificador de interface (endereço EUI-64) • Prefixo da rede (obtido através do anúncio de router) • Usualmente, o router que envia as mensagens de anúncio de router (AR) é usado como default gateway • Se o anúncio não transporta nenhum prefixo • O endereço global IPv6 não é configurado

40. Autoconfiguração sem estados • As mensagens AR (anúncio de router) contém duas flags indicando o tipo de autoconfiguração que deve ser efectuada • É impossível enviar automaticamente endereços de servidores DNS • Os endereços IPv6 unicast globais recorrendo a este tipo de autoconfiguração dependem da interface de rede

41. Autoconfiguração sem EstadosExemplo E o endereço do Servidor de DNS ?! MAC address = 00:0E:0C:31:C8:1F EUI-64 address = 20E:0CFF:FE31:C81F 2. Fazer uma detecção de endereço duplicado (DAD) 1. Criar o endereço de link local 5. Fazer novamente um DAD 3. Enviar um Router Solicitation 6. Configurar o default gateway 4. Criar um endereço global Internet FE80::20E:0CFF:FE31:C81F Router Solicitation Destino = FF02::2 2001:690:1:1:: 20E:0CFF:FE31:C81F FE80::20F:23FF:FEf0:551A FF02::2 (Todos os routers) */0 Router Advertisement 2001:690:1:1 FE80::20F:23FF:FEF0:551A

42. Autoconfiguração com estados (DHCPv6) • Dynamic Host Configuration Protocol for IPv6 • RFC 3315 • O DHCPv6 é usado pelo sistema quando: • Nenhum router é encontrado • Ou no caso da mensagem de anúncio de router ter indicado o uso de DHCP

43. Autoconfiguração com estados (DHCPv6) • Arquitectura Cliente/Servidor • Servidor • Fornece: • Endereços IPv6 • Outros parâmetros (servidores DNS…) • Escuta nos endereços multicast: • FF02::1:2 = Todos os agentes (relays) e servidores • FF05::1:3 = Todos os servidores DHCP • Guarda o estado dos clientes • Disponibiliza meios para securizar o controlo de acesso a recursos de rede

44. Autoconfiguração com estados (DHCPv6) • Cliente • Inicia pedidos num link para obter parâmetros de configuração • Usa o seu endereço de link local para comunicar com o servidor • Envia pedidos para o endereço multicast FF02::1:2 • Agente • Nó que actua como intermediário para que existam fluxos de mensagens DHCP entre clientes e servidores • Está no mesmo link que o cliente

45. DHCPv6 - Exemplo 1. Qual é o endereço do servidor DNS? 2. O sistema inicia um cliente de DHCPv6 Exemplo: em /etc/resolver.conf 3. Cliente envia um pedido de informação 4. Servidor Responde Internet 5. O sistema configura o endereço do servidor DNS Pedido (Qual é o endereço do servidor DNS?) Servidor DHCPv6 FF02::1:2 Mensagem de Resposta DNS 2001:690:5:0::10

46. Delegação de Prefixos(RFC 3769) • Usado no cenário em que o «backbone» delega várias LANs a um router «de acesso» • O router de acesso configura os endereços nas várias redes às quais fornece serviço, de forma a que o prefixo que recebe do mecanismo de delegação «encaixe» • Testado no cenário da rede escolar portuguesa • O equipamento da Portugal Telecom fornece o prefixo a cada router • O router recebe o prefixo e disponibiliza várias LANs com endereçamento IPv6 unicast global

47. Comparação • Os dois tipos de autoconfiguração são complementares • Exemplo: pode-se obter endereços da configuração sem estados e o endereço dos servidores de DNS através do DHCPv6 • Em redes de pilha dupla (dual-stack) é possível obter os endereços dos servidores DNS através do DHCPv4 • Os clientes DHCPv6 ainda não estão disponíveis na maioria dos sistemas operativos

48. DNS

49. Registos IPv6: AAAA • AAAA: Árvore de forward • Tradução (‘Nome  Endereço IPv6’) • Equivalente ao RR ‘A’, que traduz nomes para endereços IPv4 • Exemplo: ns3.nic.fr. IN A 192.134.0.49 IN AAAA 2001:660:3006:1::1:1

50. Registos IPv6: PTR • PTR: Árvore de reverse • Tradução (‘Endereço IPv4/IPv6  Nome’) • Árvore IPv4: in-addr.arpa. • Árvore IPv6: ip6.arpa • Exemplo: $ORIGIN 1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa. 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0PTR ns3.nic.fr.