Μετάβαση στο IPv6 : η περίπτωση ενός Campus
Περιεχόμενα Τα βασικά στοιχεία της μετάβασης Μεθοδολογία μετάβασης 6NET NTUA status
Τα βασικά συστατικά της μετάβασης Δύο βασικά στοιχεία επιτρέπουν την μετάβαση –Ύπαρξη δικτύου κορμού IPv6 στο GEANT – ΕΔΕΤ – Ενεργοποίηση IPv6 στο Campus Θα είχε ενδιαφέρον να δοθεί πιλοτικά –IPv6 πρόσβαση σε ερευνητές και φοιτητές σε εμπορικά δίκτυα π.χ. ADSL, wifi hotspots
Πλευρές της μετάβασης Χρήστης –Αδιάφορος για την έκδοση του IP Application developer –Πρέπει να γράφει κώδικα ο οποίος να ανεξάρτητος από την έκδοση IP Stack/router developer –Προσφορά για δύο stacks NREN/campus network operator/admin –Υποστήριξη για διάφορες τεχνικές μετάβασης
Διάφορες προσεγγίσεις Tunnels (“συνδέοντας IPv6 νησίδες”) –Σχηματίζοντας IPv6 πακέτα πάνω από γραμμές IPv4 –Τα πακέτα IPv6 είναι payload σε ένα πακέτο IPv4 –Αυτόματα ή χειροκίνητα tunnels Μέθοδοι μετάφρασης (“IPv4 IPv6 services”) –Layer 3: Αλλάζοντας επικεφαλίδα IP –Layer 4: Αλλάζοντας επικεφαλίδα TCP –Layer 7: Application layer gateways (ALGs) Dual Stack –Οι συσκευές μιλάνε και τα δύο πρωτόκολλα
Πως γίνεται? Σχεδόν παντού dual-stack –Σε όλα τα NRENs –Και σε αρκετά Campus Dual-stack? Ποιο είναι το όφελος? –Ένα περιβάλλον NATv4 + IPv6 (χρήση IPv4 για mail, www, και IPv6 για νέες εφαρμογές) –Και ένα περιβάλλον για συσκευές μόνο IPv6 Ποιό είναι το πρόβλημα? –Επιπλοκές στην παροχή υπηρεσιών και εφαρμογών –Προβλήματα επιδόσεων
6NET: Campus case studies Undertaking transition at sites including –NTUA Current status in 6NET document D2.3.3-bis1 –See for text
Μεθοδολογία μετάβασης Ανάλυση υπαρχόντων συστημάτων και υπηρεσιών IPv4 Εντοπισμός προβλημάτων –Εκτροπή γύρω από το πρόβλημα –Evaluate the limitations where barriers are firm Λήψη IPv6 address space Λήψη διασύνδεσης IPv6 Ανάπτυξη IPv6 “on the wire” εσωτερικά –Ισως με χρήση protocol VLANs, ίσως ISATAP Ενεργοποίηση IPv6 σε υπηρεσίες και εργαλεία διαχείρισης Κάλυψη πολιτικής χρήσης και ασφάλειας
Στοιχεία μετάβασης Δίκτυο Απόδοση διευθύνσεων Management και monitoring Υπηρεσίες Πλατφόρμες υποστήριξης Εργαλεία
Στοιχεία δικτύου Internal physical links –Ethernet –Wireless LAN Routing και logical subnets –Τυπικά /24 - /26 Firewall – Με χρήση ACL Remote access –Dialup, VPN Uplink connectivity to campus/MAN
Απόδοση διευθύνσεων Πρόθεμα δικτύου –ιεραρχικό από τον ISP Address allocation –Πλάνο διευθυνσιοδότησης από το ΕΔΕΤ / Pop Διαχείριση διευθύνσεων –Χειροκίνητο για Servers –Stateful DHCPv6 –Stateless address autoconfiguration –RFC3041 privacy addresses
Management και monitoring Device configuration και monitoring –SNMP Statistical monitoring –MRTG, Cisco Netflow –OV Service monitoring –Nagios (?) Intrusion detection (IDS) –Snort, netfilter Authentication systems – WLAN: 802.1x
Service/server components (1) –Sendmail, MS Exchange Web hosting –Apache 1, Apache 2, IIS 4, IIS 5 Databases –MySQL, MS SQL Directory services –NIS, LDAP, Active Directory, RADIUS DNS –BIND
Service/server components (2) NTP –Cisco - IOS Usenet News server –inn Multicast –PIM-SM Remote login –sshd File serving –NFS, samba
Πλατφόρμες Server platforms –Windows 2000, 2003, XP –Solaris 8, 9 –FreeBSD Desktop systems –Windows 98, 2000, ME, XP –Linux,
User tools (1) Dedicated hardware –Printers –Webcams Mail clients –Outlook, Eudora, Mutt, Pine, Mozilla, Thunderbird Web browsers –MSIE, Mozilla, Safari, Opera Conferencing tools –Softphone –H.323 (NetMeeting, GnomeMeeting, OpenMCU)
User tools (2) Other collaboration tools –IRC, Jabber, MSN Messenger, cvs Login clients –ssh NTP clients –ntp.org tools USENET News client –nn, Mozilla Host communications –X11, vnc, PC Anywhere
Ανάλυση πιθανών προβλημάτων (1) Layer 3 λειτουργίες από τον εξοπλισμό Layer2/3 –IPv6 κατευθείαν μέσα στα VLANs –C6500 – PFC 2 – 12.2Sx 17d NFS/samba IPv6 support MS Exchange, Outlook, Eudora Μερικά modules Apache 2 δεν έχουν λειτουργικότητα 1.3 IPv6 support in MS Active Directory ? –Use of OpenLDAP? IPv6 για WLAN access control (web redirect, 802.1x)
Ανάλυση πιθανών προβλημάτων(2) Μειωμένη υποστήριξη IPv6 για –Windows 98, ME, 2000 –Αναβάθμιση σε Windows XP DHCPv6 Υλοποίηση –Απαραίτητο τουλάχιστον για DNS resolver discovery τουλάχιστον IPv6 για PDA platforms Reverse DNS wildcards? –Sendmail χρειάζεται reverse lookup IP addresses MLDv2 snooping στα Ethernet switches IPv6 for X11 (xfree έχει προβλήματα με copyright)
NTUA status IPv6 διαθέσιμο εσωτερικά –IPv6 σε IPv4 VLANs (congruent subnets) Αριθμοδότηση –Από τα υπάρχοντα δίκτυα π.χ /24 –2001:648:2000:0x(220):/64 –Για να γίνεται εύκολα το summarization στις ACL για δίκτυα μεγαλύτερα από /24 π.χ /26 Dual-stack services –DNS servers (BIND9), web και (sendmail) Ανταλλαγή εμπειριών!
NTUA status (2) Configuration –Δρομολογητή ipv6 unicast-routing ipv6 cef ! interface Vlan220 description NOC ip address ip access-group NOC-IN in ip access-group NOC-OUT out ip verify unicast source reachable-via rx allow-default no ip redirects no ip unreachables no ip proxy-arp ip pim sparse-mode ip cgmp ip sap listen ipv6 address 2001:648:2000:DC::/64 eui-64 ipv6 enable ipv6 traffic-filter NOC-OUTV6 out no ipv6 redirects ipv6 verify unicast reverse-path ipv6 cef
NTUA status –ipv6 access-list NTUA-OUTv6 – deny udp any any eq 1434 – deny udp any eq 2002 any eq 2002 – deny tcp 2001:648:2000::/48 any eq smtp –( ιδια με την ipv4 out) –permit ipv6 2001:648:2000::/48 any – deny ipv6 any any –! –ipv6 access-list vtyv6 – permit ipv6 host 2001:648:2000:DC:203:47FF:FECE:3CEE any – deny ipv6 any any
NTUA status router bgp 3323 bgp router-id bgp log-neighbor-changes timers bgp neighbor 2001:648:20AC:3323::2 remote-as 5408 neighbor 2001:648:20AC:3323::2 description GRNET-IPv6 neighbor 2001:648:20AC:3323::2 password 7 XXXXXXXXXXX ! address-family ipv6 neighbor 2001:648:20AC:3323::2 activate neighbor 2001:648:20AC:3323::2 send-community neighbor 2001:648:20AC:3323::2 remove-private-AS neighbor 2001:648:20AC:3323::2 soft-reconfiguration inbound network 2001:648:2000::/48 aggregate-address 2001:648:2000::/48 summary-only exit-address-family !
NTUA status Δεν έχει γίνει –Διάρθρωση για OSPF επειδή δεν υπάρχει δεύτερος δρομολογητής –Οταν συμβεί – ipv6 Router ospf 3323