Carregar apresentação
A apresentação está carregando. Por favor, espere
1
Formação IPv6 28 e 29 de Novembro de 2011 Portugal Carlos Friaças
2
Direitos de Autor Este conjunto de slides pertence ao projecto 6DEPLOY-2, através dos seus parceiros. A versão Powerpoint deste conteúdo pode apenas ser reutilizado e modificado com autorização escrita dos autores O uso parcial deste conteúdo é permitido se o devido crédito for atribuído ao projecto 6DEPLOY-2 Os ficheiros em formato PDF estão disponíveis em www.6deploy.eu Contactos: E-Mail para: martin.potts@martel-consulting.ch Ou: bernard.tuy@renater.fr
3
Objectivos deste Workshop Introduzir conceitos e explicar diferenças e semelhanças com o IPv4 Os conteúdos incluem: Conceitos básicos do protocolo IPv6 Gestão, Aplicações e Segurança Encaminhamento e Transição Proporcionar experiência prática Permitir aos participantes lidar com esta problemática nas suas organizações!
4
O que podem esperar Dia #1 Introdução ao IPv6 Endereçamento Autoconfiguração DNS Gestão
5
O que podem esperar Dia #2 Aplicações Segurança Encaminhamento Transição Preenchimento dos Questionários
6
O que nós esperamos... Conhecer a vossa experiência e as vossas necessidades de forma a avançarem com a implantação do IPv6 nas vossas organizações Colocar questões, em qualquer altura Manter o contacto após a realização deste Workshop, e ficar informado das iniciativas relacionadas com o IPv6 neste país/região No final, o preenchimento do questionário.
7
Introdução 28 de Novembro de 2011 Portugal Carlos Friaças
8
Agenda Motivação Estado do endereçamento IPv4 Medidas de Emergência Cabeçalho IPv4/IPv6
9
Motivação NÃO se pretende desligar o IPv4 no curto/médio prazo É um esforço global, mas cada serviço/host/rede é importante
10
Dados Históricos 1983 : Redes de pesquisa com cerca de 100 computadores 1992 : Início da actividade comercial = crescimento exponencial 1993 : Exaustão da classe B de endereçamento 1994: Previsto o colapso do IPv4 em Setembro de 2005
11
Motivação Os serviços funcionam da mesma forma em IPv6 IPv4/IPv6 no mesmo nível da camada OSI O switching (Layer 2) é um «amigo» do IPv6 Nível 3 - Rede IPv4IPv6 Nível 2 - Ligação Nível 1 - Físico
12
Motivação – Diferenças Tamanho do espaço de endereçamento Sem fragmentação de pacotes Modelo de mobilidade melhorado
13
Distribuição Global Como Funciona: Hierárquico & Regional
14
Distribuição (na Europa) bloco /32 blocos /48 bloco /32
15
Exaustão do Espaço IPv4 www.potaroo.net/tools/ipv4 A exaustão da IANA ocorreu em 3-Fev-2011
16
Exaustão na área do RIPE/NCC A última /8 (~16.7 milhões) será distribuída de acordo com uma política diferente.
17
Endereçamento IPv4 Estatísticas (256 /8s) Fonte: http://www.nro.net/wp-content/uploads/nro_stats_2011_q2.ppt
18
Atribuições Regionais a ISPs (IPv4) http://www.nro.net/statistics/
19
Medidas de «Emergência»: CIDR Re-utilização do espaço «classe C» CIDR (Classless Inter-Domain Routing) –RFC 1519 (1993), actualizado pelo RFC 4632 (2006) –Endereço de rede = prefixo/comprimento –Final das atribuições por «classe A, B e C» –Menos desperdício –Permite a agregação Reduz o tamanho da tabela de routing global
21
Medidas de «Emergência»: Endereçamento Privado RFC 1918 (1996) Permite planos de endereçamento privados Endereços apenas usados em redes internas/privadas Similar à arquitectura de segurança com firewall Uso de proxies ou NAT para comunicação externa –RFC 2663, 2993 e 3022
22
Medidas de «Emergência»: NETWORK ADDRESS TRANSLATION Endereçamento Público Endereçamento Privado Internet Organização 10.1.1.1 Proxy: 192.1.2.3 128.1.2.3
23
Network Address Translation Pedido Internet Organização 128.1.2.3 10.1.1.1 10.1.1.1->128.1.2.3 10.1.1.1 192.1.1.1 192.1.1.1->128.1.2.3 Pool de endereços «encaminháveis»
24
Network Address Translation Resposta Internet Organização 128.1.2.3 10.1.1.1 128.1.2.3->10.1.1.1 10.1.1.1 192.1.1.1 128.1.2.3->192.1.1.1
25
Network Address Translation Vantagens/Desvantagens Vantagens: –Reduz a necessidade de endereços oficiais públicos –Facilita o plano de endereçamento interno –Transparente para algumas aplicações –“Segurança” Desvantagens: –Tradução por vezes complexa (ex: FTP) –Uso em aplicações que usam portos dinâmicos –Não escala –Introduz estados na rede: Problema para Redes Multihomed –Quebra o paradigma fim-a-fim
26
Medidas de Emergência Em resumo Estas medidas geraram mais tempo para desenvolver uma nova versão do IP O IPv6 mantém os princípios que fizeram o sucesso do IP Arquitectura aberta, simplicidade Melhorias tendo por base a versão actual do IP (v4) Simplificação do cabeçalho Manutenção do CIDR
27
Cabeçalho IPv4 Ver. fragmentIdentifier Total Length flags 20 Bytes 32 bits ToS Options IHL TTLProtocol Checksum Source Address Destination Address 32 bits
28
IPv6: Simplificação do Cabeçalho Ver. Hop LimitPayload length Flow label Next Header Source Address Destination Address 40 Bytes 5 words 32 bits Traffic Class 128 bits
29
O IPv6 vai-se implantar em coexistência com o IPv4. Recapitulando… A distribuição de endereçamento é hierárquica. O IPv4 está esgotado no topo da hierarquia e prestes a esgotar-se na região servida pelo RIPE/NCC (Europa e Médio Oriente).
30
Recapitulando… Foram criados vários mecanismos com sucesso para prolongar a vida do IPv4. O pacote IPv6 tem os cabeçalhos simplificados.
31
Obrigado ! Questões ?
32
Endereçamento 28 de Novembro de 2011 Portugal Carlos Friaças
33
Agenda Estrutura do endereçamento Tipos de endereço Whois Planos de endereçamento
34
Estrutura do Endereçamento IPv6 Esquema de endereçamento IPv6 definido no RFC 4291 (2006) –Actualizado pelos RFCs 5952 e 6052 (2010) –Várias versões anteriores a mais antiga de 1995 (RFC 1884) Endereços de 128 bits (hierarquia e flexibilidade) Representação Hexadecimal (0 a F) 1 Interface pode ter vários endereços IPv6
35
Estrutura do Endereçamento IPv6 Não existe endereço de broadcast nem de rede Formato dos endereços IPv6 do tipo Global Unicast definido no RFC 3587 Uso dos princípios do CIDR: –Prefixo / Comprimento do prefixo (ou máscara) 2001:660:3003::/48 2001:660:3003:2:a00:20ff:fe18:964c/64 –Agregação reduz o tamalho da tabela de encaminhamento
36
Formato do Endereçamento Formato base ( Global, 16 bytes/128 bits) : Formato compacto: Representação Literal [2001:660:3003:0001:0000:0000:6543:210F] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:660:3003:1::6543:210F
![Formato do Endereçamento Formato base ( Global, 16 bytes/128 bits) : Formato compacto: Representação Literal [2001:660:3003:0001:0000:0000:6543:210F] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:660:3003:1::6543:210F](http://images.slideplayer.com.br/12/3998078/slides/slide_36.jpg "Formato do Endereçamento Formato base ( Global, 16 bytes/128 bits) : Formato compacto: Representação Literal [2001:660:3003:0001:0000:0000:6543:210F] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:660:3003:1::6543:210F")
37
Espaço IPv6 (RFC 4291) Endereços Globais Unicast 001 2000::/3 Endereços Link-Local Unicast 1111 1110 10 FE80::/10 Endereços Multicast 1111 1111 FF00::/8 Todas as rotas 0000 0000 ::/0 Para Utilização FuturaEm Uso 1/21/41/81/8
38
Endereços Globais Unicast 16 bits Interface ID 48 bits64 bits 128 bits Sistema (HOST) ISP+CLIENTE SITEPúblico Rede LAN
39
Endereços Link Local Os endereços Link Local ficam activos assim que o IPv6 é activado no sistema operativo e o Interface encontra «link» Utilizados apenas nas ligações físicas entre equipamentos num dado segmento Ex: FE80::21E:14FF:FE84:5000 endereço de loopback::1/128
40
Endereços Multicast Existem endereços IPv6 Multicast «especiais», de uso corrente nas redes locais e usados por alguns protocolos Ex: –FF02::1 (todos os nós no mesmo segmento) –FF02::2 (todos os routers no mesmo segmento) –FF02::5 e FF02::6 (OSPFv3) –FF05::1 (todos os nós no site local) –FF05::1:3 (todos os servidores DHCP) –FF02::1:2 (todos os servidores DHCP e relay agents)
41
Endereços Anycast Baseados no RFC 4291 (2006) Actualizado pelos RFCs 5952 e 6052 (2010) Iguais aos endereços Unicast Utilização do mesmo endereço em vários interfaces de equipamentos distintos Tráfego entregue ao router mais perto Image source: http://www.bentow.com.br/category/ipv6
42
Exemplo #1 Endereço IPv6 : 2001:0660:3003:0001:0000:0000:6543:210F 2001:0660 3003 0001 0000:0000:6543:210F ISP= CLIENTE= LAN= INTERFACE ID= 2001:660:3003:1::6543:210F Formato Compacto=
43
Exemplo #2 Endereço IPv6 (ns2.uevora.pt) : 2001:0690:2006:0200:0000:0000:0000:0019 2001:0690 2006 0200 0000:0000:0000:0019 ISP= MEMBRO= LAN= INTERFACE ID= Formato Compacto= 2001:690:2006:200::19
44
Interface ID 64 bits: compatível com a norma IEEE 1394 (FireWire) Facilita a autoconfiguração. IEEE define o mecanismo para criar um endereço EUI-64 a partir de um endereço MAC (IEEE 802) 1 7 8 1 7 8 1 g fabricante 0XFFFE número de série 1 g fabricante 0XFFFE número de série 24 bits 24 bits u g fabricante número de série u g fabricante número de série 24 bits 16 bits 24 bits u g fabricante 0xFFFE número de série u g fabricante 0xFFFE número de série MAC (48 bits) EUI-64 Interface ID
45
IPv6 – Rotas vs. ASes Atribuições começaram em Julho de 1999 Inicialmente = /35 ; Actualmente = /32 http://www.ipv6actnow.org/info/statistics Prefixos e Redes (ASes) visíveis
46
WHOIS/RPSLng WHOIS – Ferramenta de acesso a bases de dados públicas. RPSLng – Linguagem de especificação de políticas de encaminhamento (routing) –Descrevem-se relações de peering e de trânsito Que bases de dados consultar? –whois..net –RIR = `{RIPE,ARIN,APNIC,LACNIC,AFRINIC} –Existem outras Que objectos existem? –Inetnum (ipv4) / Inet6num (ipv6) –Route (ipv4) / Route6 (ipv6) –Outros (contactos, …)
47
INETNUM/INET6NUM inetnum: 193.136.0.0 - 193.137.255.255 org: ORG-FpaC1-RIPE netname: PT-RCCN-193-136-137 descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-domains: AS1930-MNT mnt-routes: AS1930-MNT changed: mir@ripe.net 19951102 changed: hostmaster@ripe.net 20010504 changed: hostmaster@ripe.net 20050802 changed: hostmaster@ripe.net 20050803 changed: bitbucket@ripe.net 20080131 source: RIPE inet6num: 2001:690::/32 netname: PT-RCCN-20000623 descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT org: ORG-FpaC1-RIPE admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-routes: AS1930-MNT status: ALLOCATED-BY-RIR changed: hostmaster@ripe.net 20000623 changed: hostmaster@ripe.net 20020805 changed: hostmaster@ripe.net 20050802 changed: hostmaster@ripe.net 20050803 source: RIPE
48
ROUTE/ROUTE6 route: 193.136.0.0/15 descr: RCCN-AGGREGATED-NET origin: AS1930 mnt-by: AS1930-MNT changed: ipadm@rccn.net 19951218 changed: ipadm@rccn.net 19991130 source: RIPE route6: 2001:690::/32 descr: FCCN, The Portuguese Education & Research Network origin: AS1930 mnt-by: AS1930-MNT changed: cfriacas@fccn.pt 20050406 source: RIPE
49
Planos de Endereçamento Preparar um plano de endereçamento IPv6 não é trivial Necessita de ser planeado atempadamente –Não esquecendo todos os pontos e especificidades (topologias) existentes na rede Manter em mente a agregação, mas não a conservação
50
Planos (Exemplos) http://www.ipv6-tf.com.pt/documentos/planos_enderecamento.php –Rede Ciência Tecnologia e Sociedade (RCTS) –Fundação para a Computação Científica Nacional (FCCN) –Fac.Ciências e Tecnologia/Universidade Nova de Lisboa –Universidade do Porto RCTS, divisão por membros FCCN, divisão por áreas FCT/UNL, divisão por departamentos UPORTO, divisão por faculdades que por sua vez se dividem em departamentos
51
Planos (Decisões) Efectuar reserva? Se sim, de que tamanho? Todas as unidades orgânicas têm a mesma importância? E as mesmas necessidades? Onde começar a fazer atribuições? Efectuar a 2ª atribuição de forma adjacente? Que bloco usar para infraestrutura? Que máscaras de rede vamos utilizar para simples ligações ponto a ponto?
52
Planos (Visualização)
53
LANs – últimos 64 bits? Definir endereço com: MAC Address embutido ou Fixo O endereço automático obtido por autoconfiguração, quando se muda o interface de rede de um sistema obriga a: –Actualizar o registo AAAA no DNS –Verificar configurações de serviços –Actualizar scripts que tenham o endereço expresso de forma estática
54
Um endereço IPv6 é formado por 8 campos de 16 bits. Recapitulando… A representação de 1 endereço pode usar agregação (::). Existe uma lógica de hierarquia em cada endereço IPv6.
55
Recapitulando… A ferramenta whois permite-nos analisar a quem pertence cada bloco/rede. Um plano de endereçamento é normalmente um 1º passo e será útil na fase de implantação do IPv6. Qualquer LAN deverá ter sempre 64 bits como comprimento da máscara de rede.
56
Obrigado ! Questões ?
57
Autoconfiguração 28 de Novembro de 2011 Portugal Carlos Friaças
58
Agenda Autoconfiguração sem estados Autoconfiguração com estados
59
Autoconfiguração sem estados Plug & Play Utiliza o protocolo Neighbor Discovery ICMPv6 Na inicialização, cada sistema tenta através da própria rede descobrir os seguintes parâmetros: –Prefixo(s) IPv6 –Endereços de gateway –Limite de hops –(link local) MTU
60
Autoconfiguração sem estados Apenas os routers têm de ser configurados manualmente –Se não se recorrer ao mecanismo de delegação de prefixos (http://www.ietf.org/rfc/rfc3633.txt) Os sistemas podem obter automaticamente endereços IPv6 –Mas esses endereços não são automaticamente registados no DNS É boa prática que os sistemas que alojem serviços sejam configurados manualmente
61
Autoconfiguração sem estados O mecanismo de autoconfiguração sem estados está descrito no RFC4862 Os sistemas ouvem as mensagens de Router Advertisement (RA), que periodicamente são enviadas pelos routers. Os sistemas também podem enviar Router Solicitations (RS). As mensagens de anúncio de router emitidas no segmento identificam o prefixo de rede
62
Autoconfiguração sem estados Permite a um sistema a criação do seu endereço IPv6 global a partir do: –Seu identificador de interface (endereço EUI-64) –Prefixo da rede (obtido através do anúncio de router) Usualmente, o router que envia as mensagens de anúncio de router (RA) é usado como default gateway Se o anúncio não transporta nenhum prefixo –O endereço global IPv6 não é configurado
63
Autoconfiguração sem estados As mensagens AR (anúncio de router) contém duas flags («M» e «O») que podem «reencaminhar» os hosts para obter endereços e outra informação através de autoconfiguração com estados (ex: DHCPv6). O envio de endereços de servidores DNS está definido no RFC6106. Os endereços IPv6 unicast globais recorrendo a este tipo de autoconfiguração dependem da interface de rede.
64
Autoconfiguração sem Estados Exemplo Internet Router Advertisement 2001:690:1:1 Router Solicitation Destino = FF02::2 FF02::2 (Todos os routers) 1. Criar o endereço de link local2. Fazer uma detecção de endereço duplicado (DAD) MAC address = 00:0E:0C:31:C8:1F EUI-64 address = 20E:0CFF:FE31:C81F FE80::20E:0CFF:FE31:C81F 3. Enviar um Router Solicitation4. Criar um endereço global 5. Fazer novamente um DAD 6. Configurar o default gateway 2001:690:1:1::20E:0CFF:FE31:C81F FE80::20F:23FF:FEF0:551A FE80::20F:23FF:FEf0:551A */0 E o endereço do Servidor de DNS ?!
65
Autoconfiguração com estados (DHCPv6) Dynamic Host Configuration Protocol for IPv6 –RFC 3315 (actualizado por RFC 4361, 5494 e 6221) O DHCPv6 é usado pelo sistema quando: –Nenhum router é encontrado –Ou no caso da mensagem de anúncio de router ter indicado o uso de DHCP
66
Autoconfiguração com estados (DHCPv6) Arquitectura Cliente/Servidor Servidor –Fornece: Endereços IPv6 Outros parâmetros (servidores DNS…) –Escuta nos endereços multicast: FF02::1:2 = Todos os agentes (relays) e servidores FF05::1:3 = Todos os servidores DHCP –Guarda o estado dos clientes –Disponibiliza meios para securizar o controlo de acesso a recursos de rede
67
Autoconfiguração com estados (DHCPv6) Cliente –Inicia pedidos num link para obter parâmetros de configuração –Usa o seu endereço de link local para comunicar com o servidor –Envia pedidos para o endereço multicast FF02::1:2 Agente –Nó que actua como intermediário para que existam fluxos de mensagens DHCP entre clientes e servidores –Está no mesmo link que o cliente
68
DHCPv6 - Exemplo Internet Mensagem de Resposta DNS 2001:690:5:0::10 Pedido (Qual é o endereço do servidor DNS?) 2. O sistema inicia um cliente de DHCPv6 3. Cliente envia um pedido de informação 1. Qual é o endereço do servidor DNS? 4. Servidor Responde 5. O sistema configura o endereço do servidor DNS Exemplo: em /etc/resolver.conf FF02::1:2 Servidor DHCPv6
69
Comparação Os dois tipos de autoconfiguração são complementares –Exemplo: pode-se obter endereços da configuração sem estados e o endereço dos servidores de DNS através do DHCPv6 Em redes de pilha dupla (dual-stack) é possível obter os endereços dos servidores DNS através do DHCPv4
70
Existem dois tipos de autoconfiguração (com e sem estados). Recapitulando… A autoconfiguração sem estados baseia-se em ICMPv6. O endereço de link-local do router que originou os RAs é usado como default gateway.
71
Recapitulando… O DHCPv6 cumpre as mesmas funções que o DHCP no contexto do IPv4. Os dois tipos de autoconfiguração podem ser usados em conjunto, consoante cada cenário.
72
Obrigado ! Questões ?
73
DNS 28 de Novembro de 2011 Portugal Carlos Friaças
74
Agenda Registos IPv6 Queries de DNS Delegações Funcionamento Questões Operacionais e Recomendações Software Zona Raiz Whitelisting
75
Registos IPv6: AAAA AAAA : Árvore de forward Tradução (‘Nome Endereço IPv6’) Equivalente ao RR ‘A’, que traduz nomes para endereços IPv4 Exemplo: ns3.nic.fr. INA 192.134.0.49 INAAAA 2001:660:3006:1::1:1
76
Registos IPv6: PTR PTR : Árvore de reverse Tradução (‘Endereço IPv4/IPv6 Nome’) Árvore IPv4: in-addr.arpa. Árvore IPv6: ip6.arpa. Exemplo: $ORIGIN 1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa. 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0 PTR ns3.nic.fr.
77
Descontinuados RR A6 RFC 3363 Antiga árvore IPv6: ip6.int apenas usada por aplicações legacy Uso Desaconselhado: RR DNAME RFC 4592, 4.4
78
fr servidor autoritativo asso.fr servidor autoritativo g6.asso.fr servidor autoritativo Servid or de Nome s resolve r Replyfrdecomassoinriaabgafnicg6 fr NS + glue asso.fr NS [+ glue] g6.asso.fr NS [+ glue] Query ‘ foo.g6.asso.fr’ RR? RR for foo.g6.asso.fr Query ‘foo.g6.asso.fr’ RR? Query ‘foo.g6.asso.fr’ RR? Query ‘foo.g6.asso.fr’ RR? Query ‘foo.g6.asso.fr’ RR? “.” servidor autoritativo root Query DNS
![fr servidor autoritativo asso.fr servidor autoritativo g6.asso.fr servidor autoritativo Servid or de Nome s resolve r Replyfrdecomassoinriaabgafnicg6 fr NS + glue asso.fr NS [+ glue] g6.asso.fr NS [+ glue] Query ‘ foo.g6.asso.fr’ RR.](http://images.slideplayer.com.br/12/3998078/slides/slide_78.jpg "RR for foo.g6.asso.fr Query ‘foo.g6.asso.fr’ RR. Query ‘foo.g6.asso.fr’ RR. Query ‘foo.g6.asso.fr’ RR. Query ‘foo.g6.asso.fr’ RR. . servidor autoritativo root Query DNS.")
79
frnetarparipewhoisip60.6 6.0.0.3 comapnic nic ns3www ns3.nic.fr 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa e.f.f.3 Nome Endereço IP Endereço IP Nome root ns3.nic.fr int 2001:660:3006:1 ::1:1 in-addr1921340 49 0 255... 192.134.0.49 193 49.0.134.192.in-addr.arpa. 192.134.0.49 ituip6...4 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 2001:660:3006:1::1:1 6.0.1.0.0.2 Query DNS Inversa
80
Delegações Os domínios não são IPv4 ou IPv6! Os servidores DNS que os suportam é que podem ser: Apenas IPv4 Apenas IPv6 (não é boa prática!) IPv4 & IPv6 (a escolha acertada!) Como tal, as delegações funcionam exactamente da mesma forma, exclusivamente baseadas no RR «NS»
81
Delegações de Reverse v4/v6 (RIPE) domain: 0.9.6.0.1.0.0.2.ip6.arpa descr: Reverse delegation for FCCN descr: (2001:690::/32) admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: ns03.fccn.pt mnt-by: AS1930-MNT changed: ipadm@fccn.pt 20020715 changed: ipadm@fccn.pt 20020724 changed: ipadm@fccn.pt 20021024 changed: cfriacas@fccn.pt 20030516 changed: ipadm@fccn.pt 20030521 source: RIPE domain: 136.193.in-addr.arpa descr: FCCN class C block admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: marco.uminho.pt nserver: ns-rev.dns.pt notify: ipadm@fccn.pt changed: graca@uminho.pt 19930705 changed: ip-adm@fccn.pt 19940214 changed: ip-adm@rccn.net 19950118 changed: armando@rccn.net 19960719 changed: ripe-dbm@ripe.net 19990711 changed: ipadm@fccn.pt 20000221 changed: cfriacas@fccn.pt 20030428 changed: cfriacas@fccn.pt 20080206 source: RIPE
82
«Glue-Records» @INSOA rsm.rennes.enst-bretagne.fr. fradin.rennes.enst-bretagne.fr. (2005040201 ;serial 86400;refresh 3600;retry 3600000;expire} IN NSrsm INNSunivers.enst-bretagne.fr. […] ipv6INNSjupiter.ipv6 INNSns3.nic.fr. INNSrsm ; jupiter.ipv6INA192.108.119.134 jupiter.ipv6 INAAAA2001:660:7301:1::1 […] O «glue» (A 192.108.119.134) é necessário para chegar ao servidor jupiter sobre IPv4 O «glue» (AAAA 2001:660:7301:1::1) é necessário para chegar ao servidor jupiter sobre IPv6
83
Modo de Funcionamento O DNS é uma imensa base de dados distribuída Armazena diferentes tipos de registos: SOA, NS, A, AAAA, MX, SRV, PTR, … Os dados contidos na árvore de DNS são independentes da versão de IP (v4/v6) em que o servidor de DNS está a operar! O DNS é também uma «aplicação TCP/IP» O serviço pode estar acessível em ambos os modos de transporte (UDP/TCP) e sobre qualquer uma das duas versões (v4/v6) Informação devolvida pelos servidores sobre quaisquer dos transportes tem de ser COERENTE!
84
Questões Operacionais e Recomendações O objectivo NÃO É migrar de um ambiente apenas IPv4 para um contexto apenas IPv6 Como começar? O sistema operativo do servidor tem que suportar IPv6 O software usado no servidor DNS tem que suportar IPv6
85
Questões Operacionais e Recomendações Fase Seguinte? Pela via incremental, em redes já existentes Registando os AAAAs relativos aos servidores de nomes Dotando as diversas zonas de um servidor de nomes autoritativo, «alcançável» pela árvore através de um registo AAAA. NÃO QUEBRAR O SERVIÇO de algo que funciona perfeitamente (o serviço de DNS em produção sobre o protocolo IPv4)! No entanto, a introdução do IPv6 pode ser uma oportunidade de rever eventuais falhas no desenho do suporte às diversas zonas.
86
Recomendações Quantos servidores que suportam um domínio devem ter registos AAAA associados? Um ou dois é suficiente para tornar visível um domínio na Internet IPv6 Podem ser todos, mas não é um caso comum É boa ideia usar nomes curtos, devido à limitação de 512 bytes nas respostas DNS Mudar o nome foi uma solução adoptada por alguns administradores de domínios
87
Software: BIND BIND (Servidor Autoritativo e «Resolver») http://www.isc.org/products/BIND/ Compatibilidade IPv6: BIND 9 e superior (evitar versões mais antigas) Versão actual (Ago/2011): 9.8.1 Activação: (/etc/named.conf) options { listen-on-v6 { any; }; };
88
Software Diverso software Fonte: Wikipedia Suporte no software de uso mais significativo Questão operacional: –Verificar sempre caso exista um firewall IPv6, a possibilidade de ligações ao porto 53
89
Software: DIG Sintaxe: DIG @ Exemplos DIG @ns01.fccn.pt fccn.pt mx DIG @193.136.192.40 fccn.pt mx DIG @2001:690:A00:4001::200 fccn.pt mx Mesma resposta, vinda de endereço IPv4 ou IPv6
90
Software: NSLOOKUP NSLOOKUP $ nslookup - 2001:690:a00:4001::100 > www.fccn.pt Server: 2001:690:a00:4001::100 Address: 2001:690:a00:4001::100#53 Non-authoritative answer: Name: www.fccn.pt Address: 193.136.2.218 (query) (servidor) (resposta)
91
Zona Raiz Servidores de Topo: www.root-servers.org.root-servers.net{letra=A…M} Os servidores autoritativos para a zona raiz DNS são infrastruturas críticas 13 raízes «físicas» estão espalhadas pelo mundo Desses, 10 estão nos EUA!!! 10 dos 13 servidores de raiz têm IPv6 activo e globalmente visível no mundo IPv6.
92
Whitelisting É um método de «discriminação positiva» em relação às redes que já adoptaram IPv6 Usado por alguns fornecedores de conteúdos (i.e. Google – www.google.com/ipv6) As respostas DNS divergem consoante de onde é originada a query DNS. Consiste em adicionar endereços/redes de DNS resolvers de outras redes a uma lista, para que lhes sejam fornecidos registos AAAA.
93
Whitelisting Aos restantes (que não estão na lista) são apenas fornecidos registos A – e portanto só acederão aos conteúdos/sites/URLs via IPv4. Não é um método escalável, nem definitivo. www.ipv6whitelist.org
94
O registo AAAA é o equivalente IPv6 do registo A usado em IPv4. Recapitulando… O topo da árvore dos registos reverse IPv6 é “ip6.arpa.” Os domínios não são IPv4 ou IPv6, os servidores que os suportam é que podem operar nas duas versões do protocolo ou apenas numa.
95
Recapitulando… Se um servidor tem IPv4 e IPv6 e é necessário um glue- record na sua zona “pai”, o registo AAAA não deve ser esquecido. A zona raiz do DNS mundial é uma infraestrutura crítica e já tem um elevado grau de compatibilização IPv6. Através de um processo de «discriminação positiva», alguns content providers já fornecem registos AAAA (IPv6) a redes que se registem para esse efeito e que passem testes de boa conectividade IPv6.
96
Obrigado ! Questões ?
97
Gestão 28 de Novembro de 2011 Portugal Carlos Friaças
98
Agenda Acesso Remoto SNMP Ferramentas de Monitorização NTP
99
Introdução Gestão de Redes: Componentes 1.Arquivo de Configurações 2.Inventário 3.Topologia 4.Falhas 5.Segurança 6.Contagem/Taxação IPv6 é apenas mais um «meio» pelo qual pode fluir a informação de Gestão
100
Acesso Remoto Função básica de gestão de rede Sessão: – SSH (porto 22) – TELNET (porto 23), pouco seguro Transferência de Ficheiros – SCP/SFTP (porto 22) – FTP, (porto 21 + 20), pouco seguro – TFTP, (porto 69), pouco seguro
101
Acesso Remoto – Portas IPv4, endereço localhost IPv4: [root@vm07 ~]# nmap 127.0.0.1 Starting Nmap 4.52 ( http://insecure.org ) at 2008-03-02 17:35 WET Interesting ports on localhost.localdomain (127.0.0.1): Not shown: 1711 closed ports PORT STATE SERVICE 22/tcp open ssh 111/tcp open rpcbind 5900/tcp open vnc IPv6, endereço localhost IPv6: [root@vm07 ~]# nmap -6 ::1 Starting Nmap 4.52 ( http://insecure.org ) at 2008-03-02 17:36 WET Interesting ports on localhost.localdomain (::1): Not shown: 1712 closed ports PORT STATE SERVICE 22/tcp open ssh 5900/tcp open vnc
![Acesso Remoto – Portas IPv4, endereço localhost IPv4: ~]# nmap Starting Nmap 4.52 ( ) at :35 WET Interesting ports on localhost.localdomain ( ): Not shown: 1711 closed ports PORT STATE SERVICE 22/tcp open ssh 111/tcp open rpcbind 5900/tcp open vnc IPv6, endereço localhost IPv6: ~]# nmap -6 ::1 Starting Nmap 4.52 ( ) at :36 WET Interesting ports on localhost.localdomain (::1): Not shown: 1712 closed ports PORT STATE SERVICE 22/tcp open ssh 5900/tcp open vnc](http://images.slideplayer.com.br/12/3998078/slides/slide_101.jpg "Acesso Remoto – Portas IPv4, endereço localhost IPv4: ~]# nmap Starting Nmap 4.52 ( ) at :35 WET Interesting ports on localhost.localdomain ( ): Not shown: 1711 closed ports PORT STATE SERVICE 22/tcp open ssh 111/tcp open rpcbind 5900/tcp open vnc IPv6, endereço localhost IPv6: ~]# nmap -6 ::1 Starting Nmap 4.52 ( ) at :36 WET Interesting ports on localhost.localdomain (::1): Not shown: 1712 closed ports PORT STATE SERVICE 22/tcp open ssh 5900/tcp open vnc")
102
Acesso Remoto – IPv6 SSH -> de VM07.IP6.FCCN.PT para VM03.IP6.FCCN.PT [user1@vm07 ~]# ssh -l user1 vm03.ip6.fccn.pt user1@vm03.ip6.fccn.pt's password: Last login: Sun Mar 2 17:44:04 2010 from 2001:690:1fff:200:20c:29ff:fec1:6bf1 [user1@vm03 ~]# who root tty7 2010-03-02 17:02 (:0) root pts/0 2010-03-02 17:44 (2001:690:1fff:200:20c:29ff:fec1:6bf1) FTP -> de VM07.IP6.FCCN.PT para FTP.IP6.FCCN.PT: [user1@vm07 ~]# ftp ftp.ip6.fccn.pt Trying 2001:690:1fff:1600::30... Connected to ftp.ip6.fccn.pt (2001:690:1fff:1600::30). 220 ### Welcome ### Name (ftp.ip6.fccn.pt:root): anonymous 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>
![Acesso Remoto – IPv6 SSH -> de VM07.IP6.FCCN.PT para VM03.IP6.FCCN.PT ~]# ssh -l user1 vm03.ip6.fccn.pt s password: Last login: Sun Mar 2 17:44: from 2001:690:1fff:200:20c:29ff:fec1:6bf1 ~]# who root tty :02 (:0) root pts/ :44 (2001:690:1fff:200:20c:29ff:fec1:6bf1) FTP -> de VM07.IP6.FCCN.PT para FTP.IP6.FCCN.PT: ~]# ftp ftp.ip6.fccn.pt Trying 2001:690:1fff:1600::30...](http://images.slideplayer.com.br/12/3998078/slides/slide_102.jpg "Connected to ftp.ip6.fccn.pt (2001:690:1fff:1600::30). 220 ### Welcome ### Name (ftp.ip6.fccn.pt:root): anonymous 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>.")
103
Modelo do SNMP A Informação IPv6 existente nas MIBs pode ser transportada quer por IPv4 quer por IPv6
104
SNMP sobre IPv6 Cisco: – Dependente da versão de IOS Juniper, Hitachi, 6wind: – SNMP através de IPv6 está disponível Comandos (Unix): – snmpget – snmpwalk
105
Estado das MIBs IPv6 As MIBs são essenciais na gestão de redes As aplicações baseadas em SNMP são frequentemente usadas, embora existam outros mecanismos (NetFlow, XML…) O SNMP depende das MIBs … => É necessário que existam MIBs para recolher informação sobre a rede IPv6, assim como é desejável (mas não indispensável) que elas estejam disponíveis através de IPv6
106
HP Openview Ciscoworks IBM Netview Existem ainda várias plataformas sem qualquer suporte IPv6 (devem ser evitadas numa perspectiva de futuro). Plataformas
107
Ferramentas No âmbito do projecto 6NET: – Foram testadas várias ferramentas de gestão – Algumas foram actualizadas para suportar IPv6 Existem mais de 30 ferramentas de monitorização compatíveis com IPv6 – Testadas – Implementadas – Documentadas
108
Argus http://argus.tcp4me.com/ Administração da rede: PCs, Switches, Routers Disponibilidade Tráfego na rede Administração de serviços: http, ftp, dns, imap, smtp... Ferramenta evolutiva: é fácil adicionar novas funcionalidades
110
Nagios http://www.nagios.org Ferramenta muito completa Monitorização de Serviços Monitorização de Rede Pode ser complexo demais para uma pequena rede Evolução: Novas funcionalidades podem ser adicionadas através de plug-ins Monitorização de sessões BGP, …
111
Nagios
112
NTP - Network Time Protocol Servidor Stratum 1 (Meinberg) Antena GPS, Av. Brasil - Lisboa Servidores NTP públicos com suporte IPv6 http://www.ipv6day.org/action.php?n=En.Services-Network
113
NTP - Network Time Protocol Endereços ntp.gigapix.pt has address 193.136.250.246 ntp.gigapix.pt has IPv6 address 2001:7f8:a:1::123 IPv4 $ ntptrace 193.136.250.246 ntp.gigapix.pt: stratum 1, offset 0.000004, synch distance 0.000967, refid 'PPS' IPv6 $ ntptrace 2001:7f8:a:1::123 2001:7f8:a:1::123: stratum 1, offset 0.000004, synch distance 0.001012, refid 'PPS'
114
As aplicações de gestão recebem ligações em IPv6 através dos mesmos números de portos. Recapitulando… No SNMP, a comunicação pode ser realizada sobre IPv6 e deve existir informação específica do IPv6 no interior das próprias MIBs. Existe um amplo conjunto de ferramentas de monitorização com suporte IPv6. O NTP é um serviço de gestão crítico, e é possível aceder-lhe através de IPv6.
115
Obrigado ! Questões ?
116
Componente Prática
117
Verificar existência do IPv6 nos próprios portáteis Verificar endereços IPv6 com o comando «ipconfig» (Windows) «ifconfig» (Linux) Identificar o (ou os) default gateway(s) IPv6, se existir(em) «ipconfig» (Windows) «route –A inet6» (Linux) Objectivo: Identificar o IPv6 dentro do sistema operativo Prática #1
118
Prática #2 Validade de Endereços IPv6 (Sim/Não) 2001:690::15 2001:6GA:8000:4000:2000:1000:1:2 2002:C189:36:78A::2 2A01:498:5555:7I99:2345:0911:1122:909 2003:4000:AAAA:CAFE:7:6:8 AAAA:BBBB:0000:2001:192:168:0000:1 2004:BFA:3999::1FFF::2:3 2600::4444 FE80::213:C4FF:FED2:E619 Objectivo: Praticar a validade da sintaxe dos endereços IPv6
119
Prática #3 Quais são os endereços MAC (HWaddr) e EUI-64 do servidor box ? Entrar por SSH no servidor box.ip6.fccn.pt Login: root Password: 6.deploy Usar o comando: «/sbin/ifconfig» Manter até ao final da sessão a janela da ligação ao servidor Objectivo: Compreender a formação do endereço Link-Local gerado pelo mecanismo de autoconfiguração.
120
Prática #4 Entrar num router local e ver o ARP e os IPv6 neighbors existentes telnet 193.136.3. [grupo=1…9] Login: formacao Password: ipv6 Enable: 6.deploy Efectuar pings do router para os endereços de uma máquina: ping ip box.ip6.fccn.pt ping ipv6 box.ip6.fccn.pt Executar «show arp» e depois «show ipv6 neighbors» Consegue identificar o endereço MAC e o IP do seu servidor, e também o registo IPv6 da sua vizinhança? Repita o comando «ifconfig» do exercício anterior Manter até ao final da sessão a janela da ligação ao router Objectivo: Verificar os endereços MAC (L2), IPv4 e IPv6 (L3)
121
Prática #5 Usando a ferramenta WHOIS nos servidores box.ip6.fccn.pt, analisar a quem pertencem as redes: 2001:298::/32 2001:420::/32 2001:4D0::/32 2001:610::/32 2A00:1450::/32 2001:690:2080::/48 Sintaxe: /usr/bin/whois –h whois..net RIRs = {RIPE|ARIN|APNIC|LACNIC|AFRINIC} Objectivo: Identificar a quem pertence uma determinada rede (aplicável também ao mundo IPv4) nota: algumas bases de dados não aceitam o «/32»
122
Prática #6 Entrar num router local e adicionar uma nova rede, a ser recebida pelo servidor linux (box ) telnet 193.136.3. [grupo=1…9] Login: formacao Password: ipv6 Enable: 6.deploy Identificar o interface onde está o endereço da rede 2001:690:1F00:A ::/64 (usar show ipv6 neighbors) Adicionar uma 2ª rede: conf terminal interface ipv6 address 2001:690:1F00:200 ::1/64 No servidor box usar novamente o comando /sbin/ifconfig. O que mudou? Objectivo: Adicionar novos endereços/redes, recorrendo à autoconfiguração sem estados.
123
Prática #7 Usando a ferramenta DIG (depois de entrar no sistema box.ip6.fccn.pt, por SSH), analisar que domínios têm suporte em servidores IPv6 (procurar por registos NS - nameserver): sapo.ptup.pt ua.ptfccn.pt uc.ptuevora.pt ipl.ptdns.pt vodafone.ptuminho.pt Sintaxe: dig @resolver.fccn.pt NS Objectivo: Analisar domínios suportados em servidores DNS IPv6
124
Prática #8 Dos 27 países da UE, quantos têm o seu domínio (ccTLD) suportado em servidores IPv6? AT, BE, BG, CY, CZ, DE, DK, EE, ES, FI, FR, GR, HU, IE, IT, MT, LT, LU, LV, NL, PL, PT, RO, SE, SI, SK, UK dig ns Objectivo: Analisar se um determinado domínio está suportado em algum servidor DNS IPv6
125
Prática #9 Medir com a ferramenta dig, a partir dos servidores box.ip6.fccn.pt o tempo de resposta dos servidores de raiz em IPv4 e IPv6: dig -4 @[A-M].root-servers.net. soa dig -6 @[A-M].root-servers.net. soa Objectivo: Analisar o tempo de resposta (IPv4/IPv6) dos servidores DNS
126
Prática #10 Usar a ferramenta «nslookup» nos servidores box.ip6.fccn.pt: nslookup – servidor.apenasipv6.fccn.pt set q=any Digitar nomes de vários websites de Universidades Portuguesas www.up.pt, www.ua.pt, www.uminho.pt outros Objectivo: Verificar se a zona de um domínio é acessível a partir da Internet apenas IPv6
127
Prática #11A Instalar o software BIND no servidor box.ip6.fccn.pt: yum –y install bind Configurar a zona de forward zona.ip6.fccn.pt Editar /etc/named.conf (ver próximo slide) Editar /var/named/zona Adicionar um registo MX para o próprio servidor Colocar o RR MX, juntamente com o peso e o nome do servidor Configurar uma zona como secundário Apenas no /etc/named.conf Garantir que o servidor DNS está activo: /etc/init.d/named restart Verificar com a ferramenta DIG: (ver firewall) dig @box.ip6.fccn.pt zona.ip6.fccn.pt AXFR/SOA/MX Objectivo: Operar um servidor DNS
128
Prática #11B /etc/named.conf: zone “zona.ip6.fccn.pt." { type master; file “/var/named/zona "; allow-transfer { any; }; allow-query { any; }; also-notify { }; }; zone “zona.ip6.fccn.pt" { type slave; file “/var/named/zonavizinha "; masters { ; }; allow-transfer { any; }; allow-query { any; }; also-notify { }; }; /var/named/zona : $ORIGIN. $TTL 86400 ; 1 day zona.ip6.fccn.pt IN SOA vm0.ip6.fccn.pt. formacao-ipv6.fccn.pt. ( 2008031101 ; serial 1800 ; refresh (1 hour) 1800 ; retry (1 hour) 1800 ; expire (1 hour) 3600 ; minimum (1 day) ) ; servidores autoritativos do domínio NS vm0.ip6.fccn.pt. ; servidores de e-mail do domínio MX 10 mail0.ip6.fccn.pt options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; allow-query { any; }; }
129
Prática #11C /var/named/zona : $ORIGIN. $TTL 86400 ; 1 day zona.ip6.fccn.pt IN SOA box.ip6.fccn.pt. formacao.ip6fccn.pt. ( 2010090201 ; serial 1800 ; refresh (30 minutes) 1800 ; retry (30 minutes) 1800 ; expire (30 minutes) 3600 ; minimum (1 hour) ) NS box.ip6.fccn.pt. MX 10 box.ip6.fccn.pt. MX 20 carteiro.ip6.fccn.pt.
130
Prática #12A Configurar uma zona de reverse:.A.0.0.0.0.F.1.0.9.6.0.1.0.0.2.ip6.arpa. Editar /etc/named.conf Editar /var/named/zona-rev-ipv6 Verificar endereço de reverse /usr/bin/host 2001:690:1F00:A ::1 Criar um PTR para cada servidor box nessa zona Transferir a zona, com a ferramenta DIG Objectivo: Configurar uma zona de reverse IPv6
131
Prática #12B /etc/named.conf: zone “.A.0.0.0.0.F.1.0.9.6.0.1.0.0.2.ip6.arpa." { type master; file “/var/named/zona-rev-ipv6"; allow-transfer { any; }; allow-query { any; }; also-notify { }; }; / /var/named/zona-rev-ipv6: @ IN SOA box.ip6.fccn.pt. formacao-ipv6.fccn.pt. ( 2008031101 ; serial 1800 ; refresh (1 hour) 1800 ; retry (1 hour) 1800 ; expire (1 hour) 3600 ; minimum (1 day) ) IN NS box.ip6.fccn.pt..0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 IN PTR router.ip6.fccn.pt.
132
Prática #13 Usar o cliente SSH para estabelecer uma sessão remota ao sistema box.ip6.fccn.pt, a partir do servidor atribuído ao seu grupo, usando o NOME Verificar o endereço do sistema originador da ligação, através do comando: «/usr/bin/who am i» Objectivo: Verificar origem da ligação SSH em IPv6
133
Prática #14 Fazer Login via SSH na respectiva box e transferir por FTP primeiro em IPv4 e depois em IPv6 dois ficheiros: IPv4: ftp 193.136.2.30 (login=anonymous) cd /pub/VideoSamples/ get 6NET-Lisbon-v4.wmv IPv6: ftp ftp.ip6.fccn.pt cd /pub/VideoSamples get 6NET-Lisbon-v6.wmv Objectivo: Verificar que é possível transferir dados também por IPv6. A velocidade não é necessariamente igual comparando com a transferência em IPv4.
134
Prática #15 Obter informação dos equipamentos 2001:690:1F00:1::1 e 2001:690:1F00:1::2 através da comunidade «fccninfo», e do comando snmpget : fccninfo : 2001:690:1F00:1::1 2001:690:1F00:1::2 : sysDescr.0 sysName.0 Sintaxe: snmpget –v 2c –c udp6:[endereço ipv6] Objectivo: Verificar que é possível obter informação de gestão por IPv6.
![Prática #15 Obter informação dos equipamentos 2001:690:1F00:1::1 e 2001:690:1F00:1::2 através da comunidade «fccninfo», e do comando snmpget : fccninfo : 2001:690:1F00:1::1 2001:690:1F00:1::2 : sysDescr.0 sysName.0 Sintaxe: snmpget –v 2c –c udp6:[endereço ipv6] Objectivo: Verificar que é possível obter informação de gestão por IPv6.](http://images.slideplayer.com.br/12/3998078/slides/slide_134.jpg "Prática #15 Obter informação dos equipamentos 2001:690:1F00:1::1 e 2001:690:1F00:1::2 através da comunidade «fccninfo», e do comando snmpget : fccninfo : 2001:690:1F00:1::1 2001:690:1F00:1::2 : sysDescr.0 sysName.0 Sintaxe: snmpget –v 2c –c udp6:[endereço ipv6] Objectivo: Verificar que é possível obter informação de gestão por IPv6.")
Apresentações semelhantes
