A apresentação está carregando. Por favor, espere

A apresentação está carregando. Por favor, espere

Formação IPv6 - RCTS Introdução, Endereçamento, Autoconfiguração e DNS 12 de Junho de 2008.

Apresentações semelhantes


Apresentação em tema: "Formação IPv6 - RCTS Introdução, Endereçamento, Autoconfiguração e DNS 12 de Junho de 2008."— Transcrição da apresentação:

1 Formação IPv6 - RCTS Introdução, Endereçamento, Autoconfiguração e DNS 12 de Junho de 2008

2 Agenda/Índice Introdução 3-22 Endereçamento Autoconfiguração DNS 53-70

3 Introdução

4 Motivação Ter sempre em mente: NÃO se pretende desligar o IPv4 no curto/médio prazo É um esforço global, mas cada serviço/host/rede é importante A FCCN é historicamente um «early-adopter» de novas tecnologias Desafio do CE/FCCN aos membros da RCTS –Compatibilização DNS+WEB+

5 Motivação Os serviços funcionam da mesma forma em IPv6 Diferenças –Tamanho do espaço de endereçamento –Modelo de mobilidade melhorado –Segurança na especificação (raramente cumprida…) IPv4/IPv6, o mesmo nível da camada OSI O switching (Layer 2) é um «amigo» do IPv6 Nível 3 - Rede IPv4IPv6 Nível 2 - Ligação Nível 1 - Físico

6 Exaustão do Espaço IPv4

7 Distribuição Global Como Funciona: Hierárquico & Regional

8 Distribuição (na Europa) 2001:690::/ :690:2100::/ :690:2006::/ :690:2060::/ :720::/ :800::/ :8A0::/32

9 Endereçamento IPv4 Estatísticas (256 /8s) Fonte:

10 Atribuições Regionais a ISPs (IPv4) Unidade: /8 1999: ~2,5 2000: ~4,75 … 2006: ~10,5 2007: ~12,3

11 Medidas de «Emergência»: CIDR Re-utilização do espaço «classe C» CIDR (Classless Inter-Domain Routing) –RFC 1519 (1993), actualizado pelo RFC 4632 (2006) –Endereço de rede = prefixo/comprimento –Final das atribuições por «classe A, B e C» –Menos desperdício –Permite a agregação Reduz o tamanho da tabela de routing global

12 Medidas de «Emergência»: Endereçamento Privado RFC 1918 (1996) Permite planos de endereçamento privados Endereços apenas usados em redes internas/privadas Similar à arquitectura de segurança com firewall Uso de proxies ou NAT para comunicação externa –RFC 1631, 2663 e 2993

13 Medidas de «Emergência»: NETWORK ADDRESS TRANSLATION Endereçamento Público Endereçamento Privado Internet Organização Proxy:

14 Network Address Translation Pedido Internet Organização > > Pool de endereços «encaminháveis»

15 Network Address Translation Resposta Internet Organização > >

16 Network Address Translation Vantagens/Desvantagens Vantagens: –Reduz a necessidade de endereços oficiais públicos –Facilita o plano de endereçamento interno –Transparente para algumas aplicações –Segurança Desvantagens: –Tradução por vezes complexa (ex: FTP) –Aplicações que usam portos dinâmicos –Não escala –Introduz estados na rede: Redes Multihomed –Quebra o paradigma fim-a-fim

17 Medidas de Emergência Conclusão Estas medidas geraram mais tempo para desenvolver uma nova versão do IP O IPv6 mantém os princípios que fizeram o sucesso do IP Melhorias tendo por base a versão actual do IP (v4) MAS estas medidas serão suficientes?

18 Cabeçalho IPv4 Ver. fragmentIdentifier Total Length flags 20 Bytes 32 bits ToS Options IHL TTLProtocol Checksum Source Address Destination Address

19 IPv6: Simplificação do Cabeçalho Ver. Hop LimitPayload length Flow label Next Header Source Address Destination Address 40 Bytes 5 words 32 bits Traffic Class

20 Activação IPv6: Windows Windows Vista: –activo por omissão Windows XP: –Service Pack + actualizações automáticas –Abrir uma janela de DOS (cmd) –Digitar «ipv6 install»

21 Activação IPv6: Windows Verificar Activação: –ipconfig Interface Gráfico –Control Panel/ Painel de Controlo –Network/Rede –IPv6 Apenas Activo/Inactivo

22 Activação IPv6: Linux Activo por omissão, na maioria das distribuições Verificação: –/sbin/ifconfig Em caso de não estar activo: –/sbin/modprobe ipv6

23 Endereçamento

24 Estrutura do Endereçamento IPv6 O esquema de endereçamento do IPv6 está definido no RFC 3513 e o formato dos endereços IPv6 do tipo global unicast no RFC 3587 Endereços de 128 bits (hierarquia e flexibilidade) Uso dos princípios do CIDR: –Prefixo / Comprimento do prefixo (ou máscara) 2001:660:3003::/ :660:3003:2:a00:20ff:fe18:964c/64 –Agregação reduz o tamalho da tabela de encaminhamento Representação Hexadecimal (0 a F) 1 Interface pode ter vários endereços IPv6 Não existe broadcast

25 Formato do Endereçamento Formato base ( Global, 16 bytes/128 bits) : Formato compacto: Representação Literal [2001:660:3003:2:a00:20ff:fe18:964c] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:660:3003:1::6543:210F

26 Espaço IPv6 (RFC 4291) Endereços Globais Unicast ::/3 Endereços Link-Local Unicast FE80::/10 Endereços Multicast FF00::/8 Para Uso FuturoEm Uso 1/21/41/81/8

27 Endereços Globais Unicast 16 bits Interface ID 48 bits64 bits 128 bits Sistema (HOST) ISP+CLIENTE SITEPúblico Rede LAN

28 Endereços Link Local e Multicast Os endereços Link Local ficam activos assim que o IPv6 é activado no sistema operativo e o Interface encontra «link» Existem endereços IPv6 Multicast «especiais», de uso corrente nas redes locais e usados por alguns protocolos –FF02::1 e FF02::2 (todos os nós e todos os routers no mesmo segmento) –FF02::5 e FF02::6 (OSPFv3) –Etc…

29 Exemplo #1 Endereço IPv6 : 2001:0660:3003:0001:0000:0000:6543:210F 2001: :0000:6543:210F ISP= CLIENTE= LAN= INTERFACE ID=

30 Exemplo #2 Endereço IPv6 (ns2.uevora.pt) : 2001:0690:2006:0200:0000:0000:0000:FFFE 2001: :0000:0000:FFFE ISP= MEMBRO= LAN= INTERFACE ID=

31 Interface ID n 64 bits: compatível com a norma IEEE 1394 (FireWire), e facilita o mecanismo de autoconfiguração. n IEEE define o mecanismo para criar um endereço EUI- 64 a partir de um endereço MAC (IEEE 802) g fabricante 0XFFFE número de série 1 g fabricante 0XFFFE número de série 24 bits 24 bits u g fabricante número de série u g fabricante número de série 24 bits 16 bits 24 bits u g fabricante 0xFFFE número de série u g fabricante 0xFFFE número de série MAC (48 bits) EUI-64 Interface ID

32 Alocações IPv6 por RIR Começaram em Julho de 1999 Inicialmente = /35 ; Actualmente = /32 Prefixos (22 de Fevereiro de 2008) = 2092 –AFRINIC 42 prefixos –LACNIC 96 prefixos –ARIN 402 prefixos –APNIC 531 prefixos –RIPE-NCC 1021 prefixos

33 WHOIS/RPSLng WHOIS – Ferramenta de acesso a bases de dados públicas. RPSLng – Linguagem de especificação de políticas de encaminhamento (routing) –Descrevem-se relações de peering e de trânsito Que bases de dados consultar? –whois..net –RIR = `{RIPE,ARIN,APNIC,LACNIC,AFRINIC} Que objectos existem? –Inetnum (ipv4) / Inet6num (ipv6) –Route (ipv4) / Route6 (ipv6) –Outros (contactos, …)

34 INETNUM/INET6NUM inetnum: org: ORG-FpaC1-RIPE netname: PT-RCCN descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-domains: AS1930-MNT mnt-routes: AS1930-MNT changed: changed: changed: changed: changed: source: RIPE inet6num: 2001:690::/32 netname: PT-RCCN descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT org: ORG-FpaC1-RIPE admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-routes: AS1930-MNT status: ALLOCATED-BY-RIR changed: changed: changed: changed: source: RIPE

35 ROUTE/ROUTE6 route: /15 descr: RCCN-AGGREGATED-NET origin: AS1930 mnt-by: AS1930-MNT changed: changed: source: RIPE route6: 2001:690::/32 descr: FCCN, The Portuguese Education & Research Network origin: AS1930 mnt-by: AS1930-MNT changed: source: RIPE

36 Planos de Endereçamento Preparar um plano de endereçamento IPv6 não é trivial Necessita de ser planeado atempadamente –Não esquecendo todos os pontos e especificidades (topologias) existentes na rede Manter em mente a agregação, mas não a conservação, nem fundamentalismos /documentos/planos_enderecamento.php –Rede Ciência Tecnologia e Sociedade (RCTS) –Fundação para a Computação Científica Nacional (FCCN) –Fac.Ciências e Tecnologia/Universidade Nova de Lisboa –Universidade do Porto

37 Planos de Endereçamento (Rede Escolas – EDU.PT) Cada escola recebe um prefixo /56 –Permite a cada escola possuir 256 LANs distintas (cada uma com prefixo /64) 2 Zonas de «agregação» –Norte: 2001:690:2800::/43 –Sul: 2001:690:2820::/43 13 bits, permitem 2^13 escolas em cada zona, ou seja 8192 escolas 2 Pontos de Interligação ao «wholesale ADSL PT», tal como em IPv4 uma rota tem preferência pelo Porto, a outra rota por Lisboa

38 Uso na FCCN Prefixo de Rede da RCTS = 2001:690::/32 FCCN = 2001:690:2080::/48 –Ou seja, LANs (2^16) –Paridade com todos os outros membros da RCTS –CORP, /24 = 2001:690:2080:8009::/64 –ID, /24 = 2001:690:2080:8004::/64 –«REDE 7», /24 = 2001:690:2080:1::/64 Além disso, existem blocos de «backbone»: –RSI, /24 = 2001:690:A00:4001::/64 –RSE, /24 = 2001:690:A00:4002::/64 –PORTO, 2001:690:A80:4001::/64

39 Uso em LANs O que fazer com os últimos 64 bits? Endereço com MAC embutido vs. Fixo O endereço automático obtido por autoconfiguração, quando se muda o interface de rede de um sistema obriga a: –Actualizar o registo AAAA no DNS –Verificar configurações de serviços –Actualizar scripts que tenham o endereço expresso de forma estática

40 Autoconfiguração

41 Autoconfiguração sem estados Plug & Play Utiliza o protocolo Neighbor Discovery ICMPv6 Na inicialização, cada sistema tenta através da própria rede descobrir os seguintes parâmetros: –Prefixo(s) IPv6 –Endereços de gateway –Limite de hops –(link local) MTU

42 Autoconfiguração sem estados Apenas os routers têm de ser configurados manualmente –Se não se recorrer ao mecanismo de delegação de prefixos (http://www.ietf.org/rfc/rfc3633.txt)http://www.ietf.org/rfc/rfc3633.txt Os sistemas podem obter automaticamente endereços IPv6 –Mas esses endereços não são automaticamente registados no DNS É boa prática que os sistemas que alojem serviços sejam configurados manualmente

43 Autoconfiguração sem estados O mecanismo de autoconfiguração sem estados está descrito no RFC4862 Os sistemas ouvem as mensagens de Router Advertisement (RA), que periodicamente são enviadas pelos routers As mensagens de anúncio de router emitidas no segmento identificam o prefixo de rede

44 Autoconfiguração sem estados Permite a um sistema a criação do seu endereço IPv6 global a partir do: –Seu identificador de interface (endereço EUI-64) –Prefixo da rede (obtido através do anúncio de router) Usualmente, o router que envia as mensagens de anúncio de router (AR) é usado como default gateway Se o anúncio não transporta nenhum prefixo –O endereço global IPv6 não é configurado

45 Autoconfiguração sem estados As mensagens AR (anúncio de router) contém duas flags indicando o tipo de autoconfiguração que deve ser efectuada É impossível enviar automaticamente endereços de servidores DNS Os endereços IPv6 unicast globais recorrendo a este tipo de autoconfiguração dependem da interface de rede

46 Autoconfiguração sem Estados Exemplo Internet Router Advertisement 2001:690:1:1 Router Solicitation Destino = FF02::2 FF02::2 (Todos os routers) 1. Criar o endereço de link local2. Fazer uma detecção de endereço duplicado (DAD) MAC address = 00:0E:0C:31:C8:1F EUI-64 address = 20E:0CFF:FE31:C81F FE80::20E:0CFF:FE31:C81F 3. Enviar um Router Solicitation4. Criar um endereço global 5. Fazer novamente um DAD 6. Configurar o default gateway 2001:690:1:1::20E:0CFF:FE31:C81F FE80::20F:23FF:FEF0:551A FE80::20F:23FF:FEf0:551A */0 E o endereço do Servidor de DNS ?!

47 Autoconfiguração com estados (DHCPv6) Dynamic Host Configuration Protocol for IPv6 –RFC 3315 O DHCPv6 é usado pelo sistema quando: –Nenhum router é encontrado –Ou no caso da mensagem de anúncio de router ter indicado o uso de DHCP

48 Autoconfiguração com estados (DHCPv6) Arquitectura Cliente/Servidor Servidor –Fornece: Endereços IPv6 Outros parâmetros (servidores DNS…) –Escuta nos endereços multicast: FF02::1:2 = Todos os agentes (relays) e servidores FF05::1:3 = Todos os servidores DHCP –Guarda o estado dos clientes –Disponibiliza meios para securizar o controlo de acesso a recursos de rede

49 Autoconfiguração com estados (DHCPv6) Cliente –Inicia pedidos num link para obter parâmetros de configuração –Usa o seu endereço de link local para comunicar com o servidor –Envia pedidos para o endereço multicast FF02::1:2 Agente –Nó que actua como intermediário para que existam fluxos de mensagens DHCP entre clientes e servidores –Está no mesmo link que o cliente

50 DHCPv6 - Exemplo Internet Mensagem de Resposta DNS 2001:690:5:0::10 Pedido (Qual é o endere ç o do servidor DNS?) 2. O sistema inicia um cliente de DHCPv6 3. Cliente envia um pedido de informação 1. Qual é o endereço do servidor DNS? 4. Servidor Responde 5. O sistema configura o endereço do servidor DNS Exemplo: em /etc/resolver.conf FF02::1:2 Servidor DHCPv6

51 Delegação de Prefixos (RFC 3769) Usado no cenário em que o «backbone» delega várias LANs a um router «de acesso» O router de acesso configura os endereços nas várias redes às quais fornece serviço, de forma a que o prefixo que recebe do mecanismo de delegação «encaixe» Testado no cenário da rede escolar portuguesa –O equipamento da Portugal Telecom fornece o prefixo a cada router –O router recebe o prefixo e disponibiliza várias LANs com endereçamento IPv6 unicast global

52 Comparação Os dois tipos de autoconfiguração são complementares –Exemplo: pode-se obter endereços da configuração sem estados e o endereço dos servidores de DNS através do DHCPv6 Em redes de pilha dupla (dual-stack) é possível obter os endereços dos servidores DNS através do DHCPv4 Os clientes DHCPv6 ainda não estão disponíveis na maioria dos sistemas operativos

53 DNS

54 Registos IPv6: AAAA AAAA : Árvore de forward Tradução (Nome Endereço IPv6) Equivalente ao RR A, que traduz nomes para endereços IPv4 Exemplo: ns3.nic.fr. INA INAAAA 2001:660:3006:1::1:1

55 Registos IPv6: PTR PTR : Árvore de reverse Tradução (Endereço IPv4/IPv6 Nome) Árvore IPv4: in-addr.arpa. Árvore IPv6: ip6.arpa Exemplo: $ORIGIN ip6.arpa PTR ns3.nic.fr.

56 Descontinuados RR A6 –RFC 3363 Antiga árvore IPv6: ip6.int –apenas usada por aplicações legacy Uso Desaconselhado: RR DNAME –RFC 4592, 4.4

57 fr servidor autoritativo asso.fr servidor autoritativo g6.asso.fr servidor autoritativo Servidor de Nomes resolver Replyfrdecomassoinriaabgafnicg6 fr NS + glue asso.fr NS [+ glue] g6.asso.fr NS [+ glue] Query foo.g6.asso.fr RR? RR for foo.g6.asso.fr Query foo.g6.asso.fr RR? Query foo.g6.asso.fr RR? Query foo.g6.asso.fr RR? Query foo.g6.asso.fr RR?. servidor autoritativo root Query DNS

58 frnetarparipewhoisip comapnic nic ns3www ns3.nic.fr ip6.arpa e.f.f.3 Nome Endereço IP Endereço IP Nome root ns3.nic.fr int 2001:660:3006:1 ::1:1 in-addr in-addr.arpa ituip :660:3006:1::1: Query DNS Inversa

59 Delegações Os domínios não são IPv4 ou IPv6! Os servidores DNS que os suportam é que podem ser: –Apenas IPv4 –Apenas IPv6 (não é boa prática!) –IPv4 & IPv6 (a escolha do bom caminho!) Como tal, as delegações são exactamente iguais, baseadas no RR «NS»

60 Delegações de Reverse v4/v6 (RIPE) domain: ip6.arpa descr: Reverse delegation for FCCN descr: (2001:690::/32) admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: ns03.fccn.pt mnt-by: AS1930-MNT changed: changed: changed: changed: changed: source: RIPE domain: in-addr.arpa descr: FCCN class C block admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: marco.uminho.pt nserver: ns-rev.dns.pt notify: changed: changed: changed: changed: changed: changed: changed: changed: source: RIPE

61 rsm.rennes.enst-bretagne.fr. fradin.rennes.enst-bretagne.fr. ( ;serial 86400;refresh 3600;retry ;expire} IN NSrsm INNSunivers.enst-bretagne.fr. […] ipv6INNSrhadamanthe.ipv6 INNSns3.nic.fr. INNSrsm ; rhadamanthe.ipv6INA rhadamanthe.ipv6 INAAAA2001:660:7301:1::1 […] O «glue» (A ) é necessário para chegar ao servidor rhadamanthe sobre IPv4 O «glue» (AAAA 2001:660:7301:1::1) é necessário para chegar ao servidor rhadamanthe sobre IPv6

62 Modo de Funcionamento O DNS é uma imensa base de dados distribuída –Armazena diferentes tipos de registos: SOA, NS, A, AAAA, MX, SRV, PTR, … Os dados contidos na árvore de DNS são independentes da versão de IP (v4/v6) em que o servidor de DNS está a operar! O DNS é também uma «aplicação TCP/IP» –O serviço pode estar acessível em ambos os modos de transporte (UDP/TCP) e sobre qualquer uma das duas versões (v4/v6) Informação devolvida pelos servidores sobre quaisquer dos transportes tem de ser COERENTE!

63 Questões Operacionais e Recomendações O objectivo NÃO É migrar de um ambiente apenas IPv4 para um contexto apenas IPv6 Como começar? O sistema operativo do servidor tem que suportar IPv6 O software usado no servidor DNS tem que suportar IPv6

64 Questões Operacionais e Recomendações Fase Seguinte? –Pela via incremental, em redes já existentes Registando os AAAAs relativos aos servidores de nomes Dotando as diversas zonas de um servidor de nomes autoritativo, «alcançável» pela árvore através de um registo AAAA. –NÃO QUEBRAR O SERVIÇO de algo que funciona perfeitamente (o serviço de DNS em produção sobre o protocolo IPv4)! No entanto, a introdução do IPv6 pode ser uma oportunidade de rever eventuais falhas no desenho do suporte às diversas zonas.

65 Recomendações Quantos servidores que suportam um domínio devem ter registos AAAA associados? Um ou dois é suficiente para tornar visível um domínio na Internet IPv6 Podem ser todos, mas não é um caso comum É boa ideia usar nomes curtos, devido à limitação de 512 bytes nas respostas DNS –Mudar o nome foi uma solução adoptada por alguns administradores de domínios

66 Software: BIND BIND (Servidor Autoritativo e «Resolver») –http://www.isc.org/products/BIND/ –Compatibilidade IPv6: BIND 9 (evitar versões mais antigas) –Versão actual (Fev/2008): Activação: (/etc/named.conf) options { listen-on-v6 { any; }; };

67 Software Diverso software –Fonte: Wikipedia Suporte no software de uso mais significativo Questão operacional: –Verificar sempre caso exista um firewall IPv6, a possibilidade de ligações ao porto 53

68 Software: DIG Sintaxe: Exemplos fccn.pt mx fccn.pt mx fccn.pt mx Mesma resposta, vinda de endereço IPv4 ou IPv6

69 Software: NSLOOKUP NSLOOKUP $ nslookup :690:a00:4001::100 > Server: 2001:690:a00:4001::100 Address: 2001:690:a00:4001::100#53 Non-authoritative answer: Name: Address: (query) (servidor) (resposta)

70 Zona Raiz Servidores de Topo: Os servidores autoritativos para a zona raiz DNS são infrastruturas críticas! 13 raízes «físicas» estão espalhadas pelo mundo –Desses, 10 estão nos EUA!!! 6 dos 13 servidores de raiz têm IPv6 activo e globalmente visível no mundo IPv6.

71 Obrigado ! Questões ?


Carregar ppt "Formação IPv6 - RCTS Introdução, Endereçamento, Autoconfiguração e DNS 12 de Junho de 2008."

Apresentações semelhantes


Anúncios Google