Formação IPv6 - RCTS Introdução, Endereçamento, Autoconfiguração e DNS 12 de Junho de 2008

Agenda/Índice Introdução 3-22 Endereçamento 23-39 Autoconfiguração 40-52 DNS 53-70

Introdução

Motivação Ter sempre em mente: NÃO se pretende desligar o IPv4 no curto/médio prazo É um esforço global, mas cada serviço/host/rede é importante A FCCN é historicamente um «early-adopter» de novas tecnologias Desafio do CE/FCCN aos membros da RCTS Compatibilização DNS+WEB+E-MAIL A ideia é usar em paralelo as duas versões do protocolo. Esta formação surge no contexto do desafio formulado pela CE da FCCN aos membros da RCTS para que compatibilizem os seus serviços Internet básicos até ao final de 2008

Motivação IPv4 IPv6 Nível 3 - Rede Nível 2 - Ligação Nível 1 - Físico Os serviços funcionam da mesma forma em IPv6 Diferenças Tamanho do espaço de endereçamento Modelo de mobilidade melhorado Segurança na especificação (raramente cumprida…) IPv4/IPv6, o mesmo nível da camada OSI O switching (Layer 2) é um «amigo» do IPv6 Um switch que funcione como um switch e não como um switch/router é sempre favorável à implantação do IPv6. Isto porque na maioria das circunstâncias a funcionalidade de router presente é apenas IPv4.

Exaustão do Espaço IPv4 www.potaroo.net/tools/ipv4 O estudo mais completo que se conhece sobre o ponto do exaustão do IPv4 é da autoria do cientista chefe do APNIC. A exaustão do espaço de endereçamento IPv4 é no fundo o «driver» para que se adopte globalmente o IPv6.

Distribuição Global Como Funciona: Hierárquico & Regional Para entender a forma como o espaço de endereçamento IPv4 se vai esgotar é necessário compreender a forma de distribuição a nível global. Esta distribuição parte centralmente de uma única organização (a IANA, controlada pelo ICANN) para 5 entidades de âmbito continental. Estas 5 entidades distribuem depois os blocos de endereçamento a ISPs ou a entidades nacionais dentro da sua região.

Distribuição (na Europa) 2001:800::/32 2001:690::/32 2001:720::/32 2001:8A0::/32 2001:690:2100::/48 2001:690:2006::/48 2001:690:2060::/48 O modelo na Europa não contempla a existência de entidades a nível de cada país, pelo que a entidade continental atribui os blocos de endereçamento (quer sejam IPv4 ou IPv6) directamente aos ISPs, conforme demonstrado neste slide. Depois, cada ISP redistribui pelos seus clientes, ou pelos membros das redes que gerem sub-blocos dos blocos recebidos do RIPE.

Endereçamento IPv4 Estatísticas (256 /8s) Voltando ao IPv4, é necessário também mostrar o porquê do estado actual. Se observarmos o gráfico da esquerda podemos ver que as 5 entidades a nível continental têm menos fracções de todo o espaço de endereçamento atribuidas do que a entidade central (central registry) que as precedeu. Fonte: http://www.nro.net/documents/presentations/nro-jointstats-Dec07.ppt

Atribuições Regionais a ISPs (IPv4) Unidade: /8 1999: ~2,5 2000: ~4,75 … 2006: ~10,5 2007: ~12,3 Outra forma de analisarmos o crescimento da atribuição de blocos IPv4 é olharmos para as estatísticas anuais, tomando por unidade os blocos /8, equivalente a 1/256 avos de todo o espaço de endereçamento. Vemos que em 2007 foi atribuido quase 5x o espaço que foi distribuido 8 anos antes. http://www.nro.net/statistics/

Medidas de «Emergência»: CIDR Re-utilização do espaço «classe C» CIDR (Classless Inter-Domain Routing) RFC 1519 (1993), actualizado pelo RFC 4632 (2006) Endereço de rede = prefixo/comprimento Final das atribuições por «classe A, B e C» Menos desperdício Permite a agregação Reduz o tamanho da tabela de routing global Devido às preocupações sobre a exaustão do espaço IPv4 foram adoptadas algumas medidas para que essa exaustão pudesse ser retardada. Uma delas foi o CIDR, abolindo o conceito de classe, e tornando muito mais flexível e adaptável a cada realidade o tamanho (número de hosts) de cada rede IP.

Medidas de «Emergência»: Endereçamento Privado RFC 1918 (1996) Permite planos de endereçamento privados Endereços apenas usados em redes internas/privadas Similar à arquitectura de segurança com firewall Uso de proxies ou NAT para comunicação externa RFC 1631, 2663 e 2993 O endereçamento privado foi outra medida que gozou de grande sucesso. No entanto esta medida quebrou um dos princípios que estiveram no Nascimento da Internet, a comunicação fim a fim.

Medidas de «Emergência»: NETWORK ADDRESS TRANSLATION Endereçamento Público Endereçamento Privado 10.1.1.1 128.1.2.3 Proxy: 192.1.2.3 Internet Organização

Network Address Translation Pedido Pool de endereços «encaminháveis» 10.1.1.1 128.1.2.3 10.1.1.1->128.1.2.3 192.1.1.1->128.1.2.3 Internet Organização 10.1.1.1 <=> 192.1.1.1

Network Address Translation Resposta 10.1.1.1 128.1.2.3 128.1.2.3->10.1.1.1 128.1.2.3->192.1.1.1 Internet Organização 10.1.1.1 <=> 192.1.1.1

Network Address Translation Vantagens/Desvantagens Reduz a necessidade de endereços oficiais públicos Facilita o plano de endereçamento interno Transparente para algumas aplicações “Segurança” Desvantagens: Tradução por vezes complexa (ex: FTP) Aplicações que usam portos dinâmicos Não escala Introduz estados na rede: Redes Multihomed Quebra o paradigma fim-a-fim

Medidas de Emergência Conclusão Estas medidas geraram mais tempo para desenvolver uma nova versão do IP O IPv6 mantém os princípios que fizeram o sucesso do IP Melhorias tendo por base a versão actual do IP (v4) MAS estas medidas serão suficientes?

Cabeçalho IPv4 20 Bytes Ver. IHL ToS Total Length Identifier flags 32 bits Ver. IHL ToS Total Length Identifier flags fragment 20 Bytes TTL Protocol Checksum Source Address Destination Address Options A AZUL estão os campos que desaparecem nos cabeçalhos de pacotes IPv6

IPv6: Simplificação do Cabeçalho 32 bits Ver. Traffic Class Flow label Payload length Next Header Hop Limit Source Address 40 Bytes 5 words Version field = 4 bits; Traffic Class = 8 bits Flow Label = 20 bits; PL length = 16 bits Next Header = 8 bits ; Hop limit = 8 bits Destination Address

Activação IPv6: Windows Windows Vista: activo por omissão Windows XP: Service Pack + actualizações automáticas Abrir uma janela de DOS (“cmd”) Digitar «ipv6 install»

Activação IPv6: Windows Verificar Activação: ipconfig Interface Gráfico Control Panel/ Painel de Controlo Network/Rede IPv6 Apenas Activo/Inactivo

Activação IPv6: Linux Activo por omissão, na maioria das distribuições Verificação: /sbin/ifconfig Em caso de não estar activo: /sbin/modprobe ipv6

Endereçamento

Estrutura do Endereçamento IPv6 O esquema de endereçamento do IPv6 está definido no RFC 3513 e o formato dos endereços IPv6 do tipo global unicast no RFC 3587 Endereços de 128 bits (hierarquia e flexibilidade) Uso dos princípios do CIDR: Prefixo / Comprimento do prefixo (ou máscara) 2001:660:3003::/48 2001:660:3003:2:a00:20ff:fe18:964c/64 Agregação reduz o tamalho da tabela de encaminhamento Representação Hexadecimal (0 a F) 1 Interface pode ter vários endereços IPv6 Não existe broadcast

Formato do Endereçamento Formato base (Global, 16 bytes/128 bits) : Formato compacto: Representação Literal [2001:660:3003:2:a00:20ff:fe18:964c] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:0660:3003:0001:0000:0000:6543:210F 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1::6543:210F “::” usado apenas uma vez literal é usado em URLs(quando o nome não está disponível)

Espaço IPv6 (RFC 4291) Para Uso Futuro Em Uso 1/2 1/4 1/8 1/8 Endereços Globais Unicast 001 2000::/3 Endereços Link-Local Unicast 1111 1110 10 FE80::/10 Endereços Multicast 1111 1111 FF00::/8 Para Uso 7/8 de todo o espaço está reservado para uso futuro. Futuro Em Uso 1/2 1/4 1/8 1/8

Endereços Globais Unicast 128 bits 48 bits 16 bits 64 bits ISP+CLIENTE LAN Interface ID Público SITE Rede Sistema (HOST)

Endereços Link Local e Multicast Os endereços Link Local ficam activos assim que o IPv6 é activado no sistema operativo e o Interface encontra «link» Existem endereços IPv6 Multicast «especiais», de uso corrente nas redes locais e usados por alguns protocolos FF02::1 e FF02::2 (todos os nós e todos os routers no mesmo segmento) FF02::5 e FF02::6 (OSPFv3) Etc… Address Description ff02::1 All nodes on the local network segment (equivalent to the IPv4 link-local broadcast address, 169.254.255.255) ff02::2 All routers on the local network segment ff05::1 All nodes on the local network site (roughly equivalent to the IPv4 local broadcast addresses 10.255.255.255 and 192.168.255.255) ff0x::fb Multicast DNS ff0x::108 Network Information Service ff0x::114 Used for experiments ff05::1:3 All DHCP servers on the local network site (defined in RFC 3315)

Exemplo #1 Endereço IPv6: 2001:0660:3003:0001:0000:0000:6543:210F ISP= 2001:0660 CLIENTE= 3003 0001 LAN= INTERFACE ID= 0000:0000:6543:210F

Exemplo #2 Endereço IPv6 (ns2.uevora.pt): 2001:0690:2006:0200:0000:0000:0000:FFFE ISP= 2001:0690 MEMBRO= 2006 0200 LAN= INTERFACE ID= 0000:0000:0000:FFFE

Interface ID 64 bits: compatível com a norma IEEE 1394 (FireWire), e facilita o mecanismo de autoconfiguração. IEEE define o mecanismo para criar um endereço EUI-64 a partir de um endereço MAC (IEEE 802) 24 bits 24 bits u g fabricante número de série MAC (48 bits) 24 bits 16 bits 24 bits u g fabricante 0xFFFE número de série http://standards.ieee.org/regauth/oui/tutorials/EUI64.html EUI-64 1 7 8 1 g fabricante 0XFFFE número de série Interface ID

Alocações IPv6 por RIR Começaram em Julho de 1999 Inicialmente = /35 ; Actualmente = /32 Prefixos (22 de Fevereiro de 2008) = 2092 AFRINIC 42 prefixos LACNIC 96 prefixos ARIN 402 prefixos APNIC 531 prefixos RIPE-NCC 1021 prefixos http://www.ripe.net/rs/ipv6/stats/

WHOIS/RPSLng WHOIS – Ferramenta de acesso a bases de dados públicas. RPSLng – Linguagem de especificação de políticas de encaminhamento (routing) Descrevem-se relações de peering e de trânsito Que bases de dados consultar? whois.<RIR>.net RIR = `{RIPE,ARIN,APNIC,LACNIC,AFRINIC} Que objectos existem? Inetnum (ipv4) / Inet6num (ipv6) Route (ipv4) / Route6 (ipv6) Outros (contactos, …)

INETNUM/INET6NUM inet6num: 2001:690::/32 netname: PT-RCCN-20000623 descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT org: ORG-FpaC1-RIPE admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-routes: AS1930-MNT status: ALLOCATED-BY-RIR changed: hostmaster@ripe.net 20000623 changed: hostmaster@ripe.net 20020805 changed: hostmaster@ripe.net 20050802 changed: hostmaster@ripe.net 20050803 source: RIPE inetnum: 193.136.0.0 - 193.137.255.255 org: ORG-FpaC1-RIPE netname: PT-RCCN-193-136-137 descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-domains: AS1930-MNT mnt-routes: AS1930-MNT changed: mir@ripe.net 19951102 changed: hostmaster@ripe.net 20010504 changed: hostmaster@ripe.net 20050802 changed: hostmaster@ripe.net 20050803 changed: bitbucket@ripe.net 20080131 source: RIPE

ROUTE/ROUTE6 route: 193.136.0.0/15 descr: RCCN-AGGREGATED-NET origin: AS1930 mnt-by: AS1930-MNT changed: ipadm@rccn.net 19951218 changed: ipadm@rccn.net 19991130 source: RIPE route6: 2001:690::/32 descr: FCCN, The Portuguese Education & Research Network changed: cfriacas@fccn.pt 20050406

Planos de Endereçamento Preparar um plano de endereçamento IPv6 não é trivial Necessita de ser planeado atempadamente Não esquecendo todos os pontos e especificidades (topologias) existentes na rede Manter em mente a agregação, mas não a conservação, nem fundamentalismos http://www.ipv6-tf.com.pt /documentos/planos_enderecamento.php Rede Ciência Tecnologia e Sociedade (RCTS) Fundação para a Computação Científica Nacional (FCCN) Fac.Ciências e Tecnologia/Universidade Nova de Lisboa Universidade do Porto

Planos de Endereçamento (Rede Escolas – EDU.PT) Cada escola recebe um prefixo /56 Permite a cada escola possuir 256 LANs distintas (cada uma com prefixo /64) 2 Zonas de «agregação» Norte: 2001:690:2800::/43 Sul: 2001:690:2820::/43 13 bits, permitem 2^13 escolas em cada zona, ou seja 8192 escolas 2 Pontos de Interligação ao «wholesale ADSL PT», tal como em IPv4 uma rota tem preferência pelo Porto, a outra rota por Lisboa

Uso na FCCN Prefixo de Rede da RCTS = 2001:690::/32 Ou seja, 65536 LANs (2^16) Paridade com todos os outros membros da RCTS CORP, 193.136.44.0/24 = 2001:690:2080:8009::/64 ID, 193.136.46.0/24 = 2001:690:2080:8004::/64 «REDE 7», 193.136.7.0/24 = 2001:690:2080:1::/64 Além disso, existem blocos de «backbone»: RSI, 193.136.192.0/24 = 2001:690:A00:4001::/64 RSE, 193.136.6.0/24 = 2001:690:A00:4002::/64 PORTO, 2001:690:A80:4001::/64

Uso em LANs O que fazer com os últimos 64 bits? Endereço com MAC embutido vs. Fixo O endereço automático obtido por autoconfiguração, quando se muda o interface de rede de um sistema obriga a: Actualizar o registo AAAA no DNS Verificar configurações de serviços Actualizar scripts que tenham o endereço expresso de forma estática

Autoconfiguração

Autoconfiguração sem estados Plug & Play Utiliza o protocolo Neighbor Discovery ICMPv6 Na inicialização, cada sistema tenta através da própria rede descobrir os seguintes parâmetros: Prefixo(s) IPv6 Endereços de gateway Limite de hops (link local) MTU

Autoconfiguração sem estados Apenas os routers têm de ser configurados manualmente Se não se recorrer ao mecanismo de delegação de prefixos (http://www.ietf.org/rfc/rfc3633.txt) Os sistemas podem obter automaticamente endereços IPv6 Mas esses endereços não são automaticamente registados no DNS É boa prática que os sistemas que alojem serviços sejam configurados manualmente

Autoconfiguração sem estados O mecanismo de autoconfiguração sem estados está descrito no RFC4862 Os sistemas ouvem as mensagens de Router Advertisement (RA), que periodicamente são enviadas pelos routers As mensagens de anúncio de router emitidas no segmento identificam o prefixo de rede

Autoconfiguração sem estados Permite a um sistema a criação do seu endereço IPv6 global a partir do: Seu identificador de interface (endereço EUI-64) Prefixo da rede (obtido através do anúncio de router) Usualmente, o router que envia as mensagens de anúncio de router (AR) é usado como default gateway Se o anúncio não transporta nenhum prefixo O endereço global IPv6 não é configurado

Autoconfiguração sem estados As mensagens AR (anúncio de router) contém duas flags indicando o tipo de autoconfiguração que deve ser efectuada É impossível enviar automaticamente endereços de servidores DNS Os endereços IPv6 unicast globais recorrendo a este tipo de autoconfiguração dependem da interface de rede

Autoconfiguração sem Estados Exemplo E o endereço do Servidor de DNS ?! MAC address = 00:0E:0C:31:C8:1F EUI-64 address = 20E:0CFF:FE31:C81F 2. Fazer uma detecção de endereço duplicado (DAD) 1. Criar o endereço de link local 5. Fazer novamente um DAD 3. Enviar um Router Solicitation 6. Configurar o default gateway 4. Criar um endereço global Internet FE80::20E:0CFF:FE31:C81F Router Solicitation Destino = FF02::2 2001:690:1:1:: 20E:0CFF:FE31:C81F FE80::20F:23FF:FEf0:551A FF02::2 (Todos os routers) */0 Router Advertisement 2001:690:1:1 FE80::20F:23FF:FEF0:551A

Autoconfiguração com estados (DHCPv6) Dynamic Host Configuration Protocol for IPv6 RFC 3315 O DHCPv6 é usado pelo sistema quando: Nenhum router é encontrado Ou no caso da mensagem de anúncio de router ter indicado o uso de DHCP

Autoconfiguração com estados (DHCPv6) Arquitectura Cliente/Servidor Servidor Fornece: Endereços IPv6 Outros parâmetros (servidores DNS…) Escuta nos endereços multicast: FF02::1:2 = Todos os agentes (relays) e servidores FF05::1:3 = Todos os servidores DHCP Guarda o estado dos clientes Disponibiliza meios para securizar o controlo de acesso a recursos de rede

Autoconfiguração com estados (DHCPv6) Cliente Inicia pedidos num link para obter parâmetros de configuração Usa o seu endereço de link local para comunicar com o servidor Envia pedidos para o endereço multicast FF02::1:2 Agente Nó que actua como intermediário para que existam fluxos de mensagens DHCP entre clientes e servidores Está no mesmo link que o cliente

(Qual é o endereço do servidor DNS?) DHCPv6 - Exemplo 1. Qual é o endereço do servidor DNS? 2. O sistema inicia um cliente de DHCPv6 Exemplo: em /etc/resolver.conf 3. Cliente envia um pedido de informação 4. Servidor Responde Internet 5. O sistema configura o endereço do servidor DNS Pedido (Qual é o endereço do servidor DNS?) Servidor DHCPv6 FF02::1:2 The two types of configuration can complement each other Example: we can obtain the address from stateless autoconfiguration and the DNS server address from DHCPv6 This scenario is based on the previous scenario. Everything is exacly the same but now the network has a DHCPv6 server. Please note the importance of the multicast address FF02::1:2 – All_DHCP_Relay_Agents_and_Servers 1- The host already got the link local address, the global address and the default gateway. But it wants to know the DNS server’s adddress. 2- The host runs a DHCPv6 client 3- To obtain configuration information (in this case the DNS server) the DHCPv6 client sends an Information-Request message to the All_DHCP_Relay_Agents_and_Servers multicast address. 4 – The Server responds with a Reply message containing the configuration information for the client. Aditional information: To request the assignment of one or more IPv6 addresses, a client first locates a DHCP server and then requests the assignment of addresses and other configuration information from the server. The client sends a Solicit message to the All_DHCP_Relay_Agents_and_Servers address to find available DHCP servers. Any server that can meet the client's requirements responds with an Advertise message. The client then chooses one of the servers and sends a Request message to the server asking for confirmed assignment of addresses and other configuration information. The server responds with a Reply message that contains the confirmed addresses and configuration. Mensagem de Resposta DNS 2001:690:5:0::10

Delegação de Prefixos (RFC 3769) Usado no cenário em que o «backbone» delega várias LANs a um router «de acesso» O router de acesso configura os endereços nas várias redes às quais fornece serviço, de forma a que o prefixo que recebe do mecanismo de delegação «encaixe» Testado no cenário da rede escolar portuguesa O equipamento da Portugal Telecom fornece o prefixo a cada router O router recebe o prefixo e disponibiliza várias LANs com endereçamento IPv6 unicast global

Comparação Os dois tipos de autoconfiguração são complementares Exemplo: pode-se obter endereços da configuração sem estados e o endereço dos servidores de DNS através do DHCPv6 Em redes de pilha dupla (dual-stack) é possível obter os endereços dos servidores DNS através do DHCPv4 Os clientes DHCPv6 ainda não estão disponíveis na maioria dos sistemas operativos

DNS

Registos IPv6: AAAA AAAA : Árvore de forward Tradução (‘Nome  Endereço IPv6’) Equivalente ao RR ‘A’, que traduz nomes para endereços IPv4 Exemplo: ns3.nic.fr. IN A 192.134.0.49 IN AAAA 2001:660:3006:1::1:1

Registos IPv6: PTR PTR : Árvore de reverse Tradução (‘Endereço IPv4/IPv6  Nome’) Árvore IPv4: in-addr.arpa. Árvore IPv6: ip6.arpa Exemplo: $ORIGIN 1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa. 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0 PTR ns3.nic.fr.

Descontinuados RR A6 Antiga árvore IPv6: ip6.int RFC 3363 Antiga árvore IPv6: ip6.int apenas usada por aplicações legacy Uso Desaconselhado: RR DNAME RFC 4592, 4.4

Query DNS Servidor de Nomes resolver “.” fr asso.fr g6.asso.fr servidor autoritativo root Query ‘foo.g6.asso.fr’ RR? fr NS + glue Query ‘foo.g6.asso.fr’ RR? Servidor de Nomes fr servidor autoritativo asso.fr NS [+ glue] fr de com Query‘foo.g6.asso.fr’ RR? ‘foo.g6.asso.fr’ RR? Query asso.fr servidor autoritativo asso inria g6.asso.fr NS [+ glue] Here you can see how a dns lookup works. The root zone (top of the hierarchy) is a real anchor. Every name server queried doesn’t give out the final result, but instead, points one degree down on the tree until the query is directed to the nameserver that has the authority over the records inside the original queried zone. Query ‘foo.g6.asso.fr’ RR? Reply g6.asso.fr servidor autoritativo RR for foo.g6.asso.fr abg afnic g6 resolver

Query DNS Inversa 2001:660:3006:1::1:1 Endereço IP  Nome Nome  Endereço IP root arpa int com net fr nic in-addr ip6 ip6 itu apnic ripe 192 193 e.f.f.3 6.0.1.0.0.2 whois www ns3 ... ... 134 255 0.6 4 192.134.0.49 When a query reaches ns3, it will get an A-type answer and an AAAA-type answer. Then, in the reverse tree you can find two records pointing to ns3.nic.fr. Each one in a different subtree of arpa. 6.0.0.3 ns3.nic.fr 49 2001:660:3006:1::1:1 192.134.0.49  49.0.134.192.in-addr.arpa. 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 ns3.nic.fr  1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa 2001:660:3006:1::1:1

Delegações Os domínios não são IPv4 ou IPv6! Os servidores DNS que os suportam é que podem ser: Apenas IPv4 Apenas IPv6 (não é boa prática!) IPv4 & IPv6 (a escolha do bom caminho!) Como tal, as delegações são exactamente iguais, baseadas no RR «NS»

Delegações de Reverse v4/v6 (RIPE) domain: 136.193.in-addr.arpa descr: FCCN class C block admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: marco.uminho.pt nserver: ns-rev.dns.pt notify: ipadm@fccn.pt changed: graca@uminho.pt 19930705 changed: ip-adm@fccn.pt 19940214 changed: ip-adm@rccn.net 19950118 changed: armando@rccn.net 19960719 changed: ripe-dbm@ripe.net 19990711 changed: ipadm@fccn.pt 20000221 changed: cfriacas@fccn.pt 20030428 changed: cfriacas@fccn.pt 20080206 source: RIPE domain: 0.9.6.0.1.0.0.2.ip6.arpa descr: Reverse delegation for FCCN descr: (2001:690::/32) admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: ns03.fccn.pt mnt-by: AS1930-MNT changed: ipadm@fccn.pt 20020715 changed: ipadm@fccn.pt 20020724 changed: ipadm@fccn.pt 20021024 changed: cfriacas@fccn.pt 20030516 changed: ipadm@fccn.pt 20030521 source: RIPE

«Glue-Records» @ IN SOA rsm.rennes.enst-bretagne.fr. fradin.rennes.enst-bretagne.fr. (2005040201 ;serial 86400 ;refresh 3600 ;retry 3600000 ;expire} IN NS rsm IN NS univers.enst-bretagne.fr. […] ipv6 IN NS rhadamanthe.ipv6 IN NS ns3.nic.fr. IN NS rsm ; rhadamanthe.ipv6 IN A 192.108.119.134 rhadamanthe.ipv6 IN AAAA 2001:660:7301:1::1 O «glue» (A 192.108.119.134) é necessário para chegar ao servidor rhadamanthe sobre IPv4 O «glue» (AAAA 2001:660:7301:1::1) é necessário para chegar ao servidor rhadamanthe sobre IPv6

Modo de Funcionamento O DNS é uma imensa base de dados distribuída Armazena diferentes tipos de registos: SOA, NS, A, AAAA, MX, SRV, PTR, …  Os dados contidos na árvore de DNS são independentes da versão de IP (v4/v6) em que o servidor de DNS está a operar! O DNS é também uma «aplicação TCP/IP» O serviço pode estar acessível em ambos os modos de transporte (UDP/TCP) e sobre qualquer uma das duas versões (v4/v6)  Informação devolvida pelos servidores sobre quaisquer dos transportes tem de ser COERENTE!

Questões Operacionais e Recomendações O objectivo NÃO É migrar de um ambiente apenas IPv4 para um contexto apenas IPv6 Como começar? O sistema operativo do servidor tem que suportar IPv6 O software usado no servidor DNS tem que suportar IPv6

Questões Operacionais e Recomendações Fase Seguinte? Pela via incremental, em redes já existentes Registando os AAAAs relativos aos servidores de nomes Dotando as diversas zonas de um servidor de nomes autoritativo, «alcançável» pela árvore através de um registo AAAA. NÃO QUEBRAR O SERVIÇO de algo que funciona perfeitamente (o serviço de DNS em produção sobre o protocolo IPv4)! No entanto, a introdução do IPv6 pode ser uma oportunidade de rever eventuais falhas no desenho do suporte às diversas zonas.

Recomendações Quantos servidores que suportam um domínio devem ter registos AAAA associados? Um ou dois é suficiente para tornar visível um domínio na Internet IPv6 Podem ser todos, mas não é um caso comum É boa ideia usar nomes curtos, devido à limitação de 512 bytes nas respostas DNS Mudar o nome foi uma solução adoptada por alguns administradores de domínios

Software: BIND BIND (Servidor Autoritativo e «Resolver») http://www.isc.org/products/BIND/ Compatibilidade IPv6: BIND 9 (evitar versões mais antigas) Versão actual (Fev/2008): 9.4.2 Activação: (/etc/named.conf) options { listen-on-v6 { any; }; };

Software Diverso software Fonte: Wikipedia Suporte no software de uso mais significativo Questão operacional: Verificar sempre caso exista um firewall IPv6, a possibilidade de ligações ao porto 53

Software: DIG Sintaxe: DIG @<servidor> <query> <tipo> Exemplos DIG @ns01.fccn.pt fccn.pt mx DIG @193.136.192.40 fccn.pt mx DIG @2001:690:A00:4001::200 fccn.pt mx Mesma resposta, vinda de endereço IPv4 ou IPv6

Software: NSLOOKUP NSLOOKUP $ nslookup - 2001:690:a00:4001::100 > www.fccn.pt Server: 2001:690:a00:4001::100 Address: 2001:690:a00:4001::100#53 Non-authoritative answer: Name: www.fccn.pt Address: 193.136.2.218 (servidor) (query) (resposta)

Zona Raiz Servidores de Topo: www.root-servers.org <letra>.root-servers.net {letra=A…M} Os servidores autoritativos para a zona raiz DNS são infrastruturas críticas! 13 raízes «físicas» estão espalhadas pelo mundo Desses, 10 estão nos EUA!!! 6 dos 13 servidores de raiz têm IPv6 activo e globalmente visível no mundo IPv6.

Questões ? Obrigado !