Formação IPv6 28 e 29 de Novembro de 2011 Portugal Carlos Friaças

Direitos de Autor Este conjunto de slides pertence ao projecto 6DEPLOY-2, através dos seus parceiros. A versão Powerpoint deste conteúdo pode apenas ser reutilizado e modificado com autorização escrita dos autores O uso parcial deste conteúdo é permitido se o devido crédito for atribuído ao projecto 6DEPLOY-2 Os ficheiros em formato PDF estão disponíveis em Contactos: para: Ou:

Objectivos deste Workshop Introduzir conceitos e explicar diferenças e semelhanças com o IPv4 Os conteúdos incluem: Conceitos básicos do protocolo IPv6 Gestão, Aplicações e Segurança Encaminhamento e Transição Proporcionar experiência prática Permitir aos participantes lidar com esta problemática nas suas organizações!

O que podem esperar Dia #1 Introdução ao IPv6 Endereçamento Autoconfiguração DNS Gestão

O que podem esperar Dia #2 Aplicações Segurança Encaminhamento Transição Preenchimento dos Questionários

O que nós esperamos... Conhecer a vossa experiência e as vossas necessidades de forma a avançarem com a implantação do IPv6 nas vossas organizações Colocar questões, em qualquer altura Manter o contacto após a realização deste Workshop, e ficar informado das iniciativas relacionadas com o IPv6 neste país/região No final, o preenchimento do questionário.

Introdução 28 de Novembro de 2011 Portugal Carlos Friaças

Agenda Motivação Estado do endereçamento IPv4 Medidas de Emergência Cabeçalho IPv4/IPv6

Motivação NÃO se pretende desligar o IPv4 no curto/médio prazo É um esforço global, mas cada serviço/host/rede é importante

Dados Históricos 1983 : Redes de pesquisa com cerca de 100 computadores 1992 : Início da actividade comercial = crescimento exponencial 1993 : Exaustão da classe B de endereçamento 1994: Previsto o colapso do IPv4 em Setembro de 2005

Motivação Os serviços funcionam da mesma forma em IPv6 IPv4/IPv6 no mesmo nível da camada OSI O switching (Layer 2) é um «amigo» do IPv6 Nível 3 - Rede IPv4IPv6 Nível 2 - Ligação Nível 1 - Físico

Motivação – Diferenças Tamanho do espaço de endereçamento Sem fragmentação de pacotes Modelo de mobilidade melhorado

Distribuição Global Como Funciona: Hierárquico & Regional

Distribuição (na Europa) bloco /32 blocos /48 bloco /32

Exaustão do Espaço IPv4 A exaustão da IANA ocorreu em 3-Fev-2011

Exaustão na área do RIPE/NCC A última /8 (~16.7 milhões) será distribuída de acordo com uma política diferente.

Endereçamento IPv4 Estatísticas (256 /8s) Fonte:

Atribuições Regionais a ISPs (IPv4)

Medidas de «Emergência»: CIDR Re-utilização do espaço «classe C» CIDR (Classless Inter-Domain Routing) –RFC 1519 (1993), actualizado pelo RFC 4632 (2006) –Endereço de rede = prefixo/comprimento –Final das atribuições por «classe A, B e C» –Menos desperdício –Permite a agregação Reduz o tamanho da tabela de routing global

Medidas de «Emergência»: Endereçamento Privado RFC 1918 (1996) Permite planos de endereçamento privados Endereços apenas usados em redes internas/privadas Similar à arquitectura de segurança com firewall Uso de proxies ou NAT para comunicação externa –RFC 2663, 2993 e 3022

Medidas de «Emergência»: NETWORK ADDRESS TRANSLATION Endereçamento Público Endereçamento Privado Internet Organização Proxy:

Network Address Translation Pedido Internet Organização > > Pool de endereços «encaminháveis»

Network Address Translation Resposta Internet Organização > >

Network Address Translation Vantagens/Desvantagens Vantagens: –Reduz a necessidade de endereços oficiais públicos –Facilita o plano de endereçamento interno –Transparente para algumas aplicações –“Segurança” Desvantagens: –Tradução por vezes complexa (ex: FTP) –Uso em aplicações que usam portos dinâmicos –Não escala –Introduz estados na rede: Problema para Redes Multihomed –Quebra o paradigma fim-a-fim

Medidas de Emergência Em resumo Estas medidas geraram mais tempo para desenvolver uma nova versão do IP O IPv6 mantém os princípios que fizeram o sucesso do IP Arquitectura aberta, simplicidade Melhorias tendo por base a versão actual do IP (v4) Simplificação do cabeçalho Manutenção do CIDR

Cabeçalho IPv4 Ver. fragmentIdentifier Total Length flags 20 Bytes 32 bits ToS Options IHL TTLProtocol Checksum Source Address Destination Address 32 bits

IPv6: Simplificação do Cabeçalho Ver. Hop LimitPayload length Flow label Next Header Source Address Destination Address 40 Bytes 5 words 32 bits Traffic Class 128 bits

O IPv6 vai-se implantar em coexistência com o IPv4. Recapitulando… A distribuição de endereçamento é hierárquica. O IPv4 está esgotado no topo da hierarquia e prestes a esgotar-se na região servida pelo RIPE/NCC (Europa e Médio Oriente).

Recapitulando… Foram criados vários mecanismos com sucesso para prolongar a vida do IPv4. O pacote IPv6 tem os cabeçalhos simplificados.

Obrigado ! Questões ?

Endereçamento 28 de Novembro de 2011 Portugal Carlos Friaças

Agenda Estrutura do endereçamento Tipos de endereço Whois Planos de endereçamento

Estrutura do Endereçamento IPv6 Esquema de endereçamento IPv6 definido no RFC 4291 (2006) –Actualizado pelos RFCs 5952 e 6052 (2010) –Várias versões anteriores a mais antiga de 1995 (RFC 1884) Endereços de 128 bits (hierarquia e flexibilidade) Representação Hexadecimal (0 a F) 1 Interface pode ter vários endereços IPv6

Estrutura do Endereçamento IPv6 Não existe endereço de broadcast nem de rede Formato dos endereços IPv6 do tipo Global Unicast definido no RFC 3587 Uso dos princípios do CIDR: –Prefixo / Comprimento do prefixo (ou máscara) 2001:660:3003::/ :660:3003:2:a00:20ff:fe18:964c/64 –Agregação reduz o tamalho da tabela de encaminhamento

Formato do Endereçamento Formato base ( Global, 16 bytes/128 bits) : Formato compacto: Representação Literal [2001:660:3003:0001:0000:0000:6543:210F] 2001:0660:3003:0001:0000:0000:6543:210F 2001:660:3003:1:0:0:6543:210F 2001:660:3003:1::6543:210F

Espaço IPv6 (RFC 4291) Endereços Globais Unicast ::/3 Endereços Link-Local Unicast FE80::/10 Endereços Multicast FF00::/8 Todas as rotas ::/0 Para Utilização FuturaEm Uso 1/21/41/81/8

Endereços Globais Unicast 16 bits Interface ID 48 bits64 bits 128 bits Sistema (HOST) ISP+CLIENTE SITEPúblico Rede LAN

Endereços Link Local Os endereços Link Local ficam activos assim que o IPv6 é activado no sistema operativo e o Interface encontra «link» Utilizados apenas nas ligações físicas entre equipamentos num dado segmento Ex: FE80::21E:14FF:FE84:5000 endereço de loopback::1/128

Endereços Multicast Existem endereços IPv6 Multicast «especiais», de uso corrente nas redes locais e usados por alguns protocolos Ex: –FF02::1 (todos os nós no mesmo segmento) –FF02::2 (todos os routers no mesmo segmento) –FF02::5 e FF02::6 (OSPFv3) –FF05::1 (todos os nós no site local) –FF05::1:3 (todos os servidores DHCP) –FF02::1:2 (todos os servidores DHCP e relay agents)

Endereços Anycast Baseados no RFC 4291 (2006) Actualizado pelos RFCs 5952 e 6052 (2010) Iguais aos endereços Unicast Utilização do mesmo endereço em vários interfaces de equipamentos distintos Tráfego entregue ao router mais perto Image source:

Exemplo #1 Endereço IPv6 : 2001:0660:3003:0001:0000:0000:6543:210F 2001: :0000:6543:210F ISP= CLIENTE= LAN= INTERFACE ID= 2001:660:3003:1::6543:210F Formato Compacto=

Exemplo #2 Endereço IPv6 (ns2.uevora.pt) : 2001:0690:2006:0200:0000:0000:0000: : :0000:0000:0019 ISP= MEMBRO= LAN= INTERFACE ID= Formato Compacto= 2001:690:2006:200::19

Interface ID 64 bits: compatível com a norma IEEE 1394 (FireWire) Facilita a autoconfiguração. IEEE define o mecanismo para criar um endereço EUI-64 a partir de um endereço MAC (IEEE 802) g fabricante 0XFFFE número de série 1 g fabricante 0XFFFE número de série 24 bits 24 bits u g fabricante número de série u g fabricante número de série 24 bits 16 bits 24 bits u g fabricante 0xFFFE número de série u g fabricante 0xFFFE número de série MAC (48 bits) EUI-64 Interface ID

IPv6 – Rotas vs. ASes Atribuições começaram em Julho de 1999 Inicialmente = /35 ; Actualmente = /32 Prefixos e Redes (ASes) visíveis

WHOIS/RPSLng WHOIS – Ferramenta de acesso a bases de dados públicas. RPSLng – Linguagem de especificação de políticas de encaminhamento (routing) –Descrevem-se relações de peering e de trânsito Que bases de dados consultar? –whois..net –RIR = `{RIPE,ARIN,APNIC,LACNIC,AFRINIC} –Existem outras Que objectos existem? –Inetnum (ipv4) / Inet6num (ipv6) –Route (ipv4) / Route6 (ipv6) –Outros (contactos, …)

INETNUM/INET6NUM inetnum: org: ORG-FpaC1-RIPE netname: PT-RCCN descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE status: ALLOCATED PA mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-domains: AS1930-MNT mnt-routes: AS1930-MNT changed: changed: changed: changed: changed: source: RIPE inet6num: 2001:690::/32 netname: PT-RCCN descr: FCCN (Fundacao para a Computacao Cientifica Nacional) country: PT org: ORG-FpaC1-RIPE admin-c: JNF1-RIPE admin-c: LS3047-RIPE tech-c: PL3961-RIPE tech-c: CMF8-RIPE mnt-by: RIPE-NCC-HM-MNT mnt-irt: IRT-CERT-PT mnt-lower: AS1930-MNT mnt-routes: AS1930-MNT status: ALLOCATED-BY-RIR changed: changed: changed: changed: source: RIPE

ROUTE/ROUTE6 route: /15 descr: RCCN-AGGREGATED-NET origin: AS1930 mnt-by: AS1930-MNT changed: changed: source: RIPE route6: 2001:690::/32 descr: FCCN, The Portuguese Education & Research Network origin: AS1930 mnt-by: AS1930-MNT changed: source: RIPE

Planos de Endereçamento Preparar um plano de endereçamento IPv6 não é trivial Necessita de ser planeado atempadamente –Não esquecendo todos os pontos e especificidades (topologias) existentes na rede Manter em mente a agregação, mas não a conservação

Planos (Exemplos) –Rede Ciência Tecnologia e Sociedade (RCTS) –Fundação para a Computação Científica Nacional (FCCN) –Fac.Ciências e Tecnologia/Universidade Nova de Lisboa –Universidade do Porto RCTS, divisão por membros FCCN, divisão por áreas FCT/UNL, divisão por departamentos UPORTO, divisão por faculdades que por sua vez se dividem em departamentos

Planos (Decisões) Efectuar reserva? Se sim, de que tamanho? Todas as unidades orgânicas têm a mesma importância? E as mesmas necessidades? Onde começar a fazer atribuições? Efectuar a 2ª atribuição de forma adjacente? Que bloco usar para infraestrutura? Que máscaras de rede vamos utilizar para simples ligações ponto a ponto?

Planos (Visualização)

LANs – últimos 64 bits? Definir endereço com: MAC Address embutido ou Fixo O endereço automático obtido por autoconfiguração, quando se muda o interface de rede de um sistema obriga a: –Actualizar o registo AAAA no DNS –Verificar configurações de serviços –Actualizar scripts que tenham o endereço expresso de forma estática

Um endereço IPv6 é formado por 8 campos de 16 bits. Recapitulando… A representação de 1 endereço pode usar agregação (::). Existe uma lógica de hierarquia em cada endereço IPv6.

Recapitulando… A ferramenta whois permite-nos analisar a quem pertence cada bloco/rede. Um plano de endereçamento é normalmente um 1º passo e será útil na fase de implantação do IPv6. Qualquer LAN deverá ter sempre 64 bits como comprimento da máscara de rede.

Obrigado ! Questões ?

Autoconfiguração 28 de Novembro de 2011 Portugal Carlos Friaças

Agenda Autoconfiguração sem estados Autoconfiguração com estados

Autoconfiguração sem estados Plug & Play Utiliza o protocolo Neighbor Discovery ICMPv6 Na inicialização, cada sistema tenta através da própria rede descobrir os seguintes parâmetros: –Prefixo(s) IPv6 –Endereços de gateway –Limite de hops –(link local) MTU

Autoconfiguração sem estados Apenas os routers têm de ser configurados manualmente –Se não se recorrer ao mecanismo de delegação de prefixos ( Os sistemas podem obter automaticamente endereços IPv6 –Mas esses endereços não são automaticamente registados no DNS É boa prática que os sistemas que alojem serviços sejam configurados manualmente

Autoconfiguração sem estados O mecanismo de autoconfiguração sem estados está descrito no RFC4862 Os sistemas ouvem as mensagens de Router Advertisement (RA), que periodicamente são enviadas pelos routers. Os sistemas também podem enviar Router Solicitations (RS). As mensagens de anúncio de router emitidas no segmento identificam o prefixo de rede

Autoconfiguração sem estados Permite a um sistema a criação do seu endereço IPv6 global a partir do: –Seu identificador de interface (endereço EUI-64) –Prefixo da rede (obtido através do anúncio de router) Usualmente, o router que envia as mensagens de anúncio de router (RA) é usado como default gateway Se o anúncio não transporta nenhum prefixo –O endereço global IPv6 não é configurado

Autoconfiguração sem estados As mensagens AR (anúncio de router) contém duas flags («M» e «O») que podem «reencaminhar» os hosts para obter endereços e outra informação através de autoconfiguração com estados (ex: DHCPv6). O envio de endereços de servidores DNS está definido no RFC6106. Os endereços IPv6 unicast globais recorrendo a este tipo de autoconfiguração dependem da interface de rede.

Autoconfiguração sem Estados Exemplo Internet Router Advertisement 2001:690:1:1 Router Solicitation Destino = FF02::2 FF02::2 (Todos os routers) 1. Criar o endereço de link local2. Fazer uma detecção de endereço duplicado (DAD) MAC address = 00:0E:0C:31:C8:1F EUI-64 address = 20E:0CFF:FE31:C81F FE80::20E:0CFF:FE31:C81F 3. Enviar um Router Solicitation4. Criar um endereço global 5. Fazer novamente um DAD 6. Configurar o default gateway 2001:690:1:1::20E:0CFF:FE31:C81F FE80::20F:23FF:FEF0:551A FE80::20F:23FF:FEf0:551A */0 E o endereço do Servidor de DNS ?!

Autoconfiguração com estados (DHCPv6) Dynamic Host Configuration Protocol for IPv6 –RFC 3315 (actualizado por RFC 4361, 5494 e 6221) O DHCPv6 é usado pelo sistema quando: –Nenhum router é encontrado –Ou no caso da mensagem de anúncio de router ter indicado o uso de DHCP

Autoconfiguração com estados (DHCPv6) Arquitectura Cliente/Servidor Servidor –Fornece: Endereços IPv6 Outros parâmetros (servidores DNS…) –Escuta nos endereços multicast: FF02::1:2 = Todos os agentes (relays) e servidores FF05::1:3 = Todos os servidores DHCP –Guarda o estado dos clientes –Disponibiliza meios para securizar o controlo de acesso a recursos de rede

Autoconfiguração com estados (DHCPv6) Cliente –Inicia pedidos num link para obter parâmetros de configuração –Usa o seu endereço de link local para comunicar com o servidor –Envia pedidos para o endereço multicast FF02::1:2 Agente –Nó que actua como intermediário para que existam fluxos de mensagens DHCP entre clientes e servidores –Está no mesmo link que o cliente

DHCPv6 - Exemplo Internet Mensagem de Resposta DNS 2001:690:5:0::10 Pedido (Qual é o endereço do servidor DNS?) 2. O sistema inicia um cliente de DHCPv6 3. Cliente envia um pedido de informação 1. Qual é o endereço do servidor DNS? 4. Servidor Responde 5. O sistema configura o endereço do servidor DNS Exemplo: em /etc/resolver.conf FF02::1:2 Servidor DHCPv6

Comparação Os dois tipos de autoconfiguração são complementares –Exemplo: pode-se obter endereços da configuração sem estados e o endereço dos servidores de DNS através do DHCPv6 Em redes de pilha dupla (dual-stack) é possível obter os endereços dos servidores DNS através do DHCPv4

Existem dois tipos de autoconfiguração (com e sem estados). Recapitulando… A autoconfiguração sem estados baseia-se em ICMPv6. O endereço de link-local do router que originou os RAs é usado como default gateway.

Recapitulando… O DHCPv6 cumpre as mesmas funções que o DHCP no contexto do IPv4. Os dois tipos de autoconfiguração podem ser usados em conjunto, consoante cada cenário.

Obrigado ! Questões ?

DNS 28 de Novembro de 2011 Portugal Carlos Friaças

Agenda Registos IPv6 Queries de DNS Delegações Funcionamento Questões Operacionais e Recomendações Software Zona Raiz Whitelisting

Registos IPv6: AAAA AAAA : Árvore de forward Tradução (‘Nome  Endereço IPv6’) Equivalente ao RR ‘A’, que traduz nomes para endereços IPv4 Exemplo: ns3.nic.fr. INA INAAAA 2001:660:3006:1::1:1

Registos IPv6: PTR PTR : Árvore de reverse Tradução (‘Endereço IPv4/IPv6  Nome’) Árvore IPv4: in-addr.arpa. Árvore IPv6: ip6.arpa. Exemplo: $ORIGIN ip6.arpa PTR ns3.nic.fr.

Descontinuados RR A6 RFC 3363 Antiga árvore IPv6: ip6.int apenas usada por aplicações legacy Uso Desaconselhado: RR DNAME RFC 4592, 4.4

fr servidor autoritativo asso.fr servidor autoritativo g6.asso.fr servidor autoritativo Servid or de Nome s resolve r Replyfrdecomassoinriaabgafnicg6 fr NS + glue asso.fr NS [+ glue] g6.asso.fr NS [+ glue] Query ‘ foo.g6.asso.fr’ RR? RR for foo.g6.asso.fr Query ‘foo.g6.asso.fr’ RR? Query ‘foo.g6.asso.fr’ RR? Query ‘foo.g6.asso.fr’ RR? Query ‘foo.g6.asso.fr’ RR? “.” servidor autoritativo root Query DNS

frnetarparipewhoisip comapnic nic ns3www ns3.nic.fr  ip6.arpa e.f.f.3 Nome  Endereço IP Endereço IP  Nome root ns3.nic.fr int 2001:660:3006:1 ::1:1 in-addr  in-addr.arpa ituip :660:3006:1::1: Query DNS Inversa

Delegações Os domínios não são IPv4 ou IPv6! Os servidores DNS que os suportam é que podem ser: Apenas IPv4 Apenas IPv6 (não é boa prática!) IPv4 & IPv6 (a escolha acertada!) Como tal, as delegações funcionam exactamente da mesma forma, exclusivamente baseadas no RR «NS»

Delegações de Reverse v4/v6 (RIPE) domain: ip6.arpa descr: Reverse delegation for FCCN descr: (2001:690::/32) admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: ns03.fccn.pt mnt-by: AS1930-MNT changed: changed: changed: changed: changed: source: RIPE domain: in-addr.arpa descr: FCCN class C block admin-c: JNF1-RIPE tech-c: IF575-RIPE zone-c: JNF1-RIPE nserver: ns01.fccn.pt nserver: ns02.fccn.pt nserver: marco.uminho.pt nserver: ns-rev.dns.pt notify: changed: changed: changed: changed: changed: changed: changed: changed: source: RIPE

rsm.rennes.enst-bretagne.fr. fradin.rennes.enst-bretagne.fr. ( ;serial 86400;refresh 3600;retry ;expire} IN NSrsm INNSunivers.enst-bretagne.fr. […] ipv6INNSjupiter.ipv6 INNSns3.nic.fr. INNSrsm ; jupiter.ipv6INA jupiter.ipv6 INAAAA2001:660:7301:1::1 […] O «glue» (A ) é necessário para chegar ao servidor jupiter sobre IPv4 O «glue» (AAAA 2001:660:7301:1::1) é necessário para chegar ao servidor jupiter sobre IPv6

Modo de Funcionamento O DNS é uma imensa base de dados distribuída Armazena diferentes tipos de registos: SOA, NS, A, AAAA, MX, SRV, PTR, … Os dados contidos na árvore de DNS são independentes da versão de IP (v4/v6) em que o servidor de DNS está a operar! O DNS é também uma «aplicação TCP/IP» O serviço pode estar acessível em ambos os modos de transporte (UDP/TCP) e sobre qualquer uma das duas versões (v4/v6) Informação devolvida pelos servidores sobre quaisquer dos transportes tem de ser COERENTE!

Questões Operacionais e Recomendações O objectivo NÃO É migrar de um ambiente apenas IPv4 para um contexto apenas IPv6 Como começar? O sistema operativo do servidor tem que suportar IPv6 O software usado no servidor DNS tem que suportar IPv6

Questões Operacionais e Recomendações Fase Seguinte? Pela via incremental, em redes já existentes Registando os AAAAs relativos aos servidores de nomes Dotando as diversas zonas de um servidor de nomes autoritativo, «alcançável» pela árvore através de um registo AAAA. NÃO QUEBRAR O SERVIÇO de algo que funciona perfeitamente (o serviço de DNS em produção sobre o protocolo IPv4)! No entanto, a introdução do IPv6 pode ser uma oportunidade de rever eventuais falhas no desenho do suporte às diversas zonas.

Recomendações Quantos servidores que suportam um domínio devem ter registos AAAA associados? Um ou dois é suficiente para tornar visível um domínio na Internet IPv6 Podem ser todos, mas não é um caso comum É boa ideia usar nomes curtos, devido à limitação de 512 bytes nas respostas DNS Mudar o nome foi uma solução adoptada por alguns administradores de domínios

Software: BIND BIND (Servidor Autoritativo e «Resolver») Compatibilidade IPv6: BIND 9 e superior (evitar versões mais antigas) Versão actual (Ago/2011): Activação: (/etc/named.conf) options { listen-on-v6 { any; }; };

Software Diverso software Fonte: Wikipedia Suporte no software de uso mais significativo Questão operacional: –Verificar sempre caso exista um firewall IPv6, a possibilidade de ligações ao porto 53

Software: DIG Sintaxe: Exemplos fccn.pt mx fccn.pt mx fccn.pt mx Mesma resposta, vinda de endereço IPv4 ou IPv6

Software: NSLOOKUP NSLOOKUP $ nslookup :690:a00:4001::100 > Server: 2001:690:a00:4001::100 Address: 2001:690:a00:4001::100#53 Non-authoritative answer: Name: Address: (query) (servidor) (resposta)

Zona Raiz Servidores de Topo: Os servidores autoritativos para a zona raiz DNS são infrastruturas críticas 13 raízes «físicas» estão espalhadas pelo mundo Desses, 10 estão nos EUA!!! 10 dos 13 servidores de raiz têm IPv6 activo e globalmente visível no mundo IPv6.

Whitelisting É um método de «discriminação positiva» em relação às redes que já adoptaram IPv6 Usado por alguns fornecedores de conteúdos (i.e. Google – As respostas DNS divergem consoante de onde é originada a query DNS. Consiste em adicionar endereços/redes de DNS resolvers de outras redes a uma lista, para que lhes sejam fornecidos registos AAAA.

Whitelisting Aos restantes (que não estão na lista) são apenas fornecidos registos A – e portanto só acederão aos conteúdos/sites/URLs via IPv4. Não é um método escalável, nem definitivo.

O registo AAAA é o equivalente IPv6 do registo A usado em IPv4. Recapitulando… O topo da árvore dos registos reverse IPv6 é “ip6.arpa.” Os domínios não são IPv4 ou IPv6, os servidores que os suportam é que podem operar nas duas versões do protocolo ou apenas numa.

Recapitulando… Se um servidor tem IPv4 e IPv6 e é necessário um glue- record na sua zona “pai”, o registo AAAA não deve ser esquecido. A zona raiz do DNS mundial é uma infraestrutura crítica e já tem um elevado grau de compatibilização IPv6. Através de um processo de «discriminação positiva», alguns content providers já fornecem registos AAAA (IPv6) a redes que se registem para esse efeito e que passem testes de boa conectividade IPv6.

Obrigado ! Questões ?

Gestão 28 de Novembro de 2011 Portugal Carlos Friaças

Agenda Acesso Remoto SNMP Ferramentas de Monitorização NTP

Introdução Gestão de Redes: Componentes 1.Arquivo de Configurações 2.Inventário 3.Topologia 4.Falhas 5.Segurança 6.Contagem/Taxação IPv6 é apenas mais um «meio» pelo qual pode fluir a informação de Gestão

Acesso Remoto Função básica de gestão de rede Sessão: – SSH (porto 22) – TELNET (porto 23), pouco seguro Transferência de Ficheiros – SCP/SFTP (porto 22) – FTP, (porto ), pouco seguro – TFTP, (porto 69), pouco seguro

Acesso Remoto – Portas IPv4, endereço localhost IPv4: ~]# nmap Starting Nmap 4.52 ( ) at :35 WET Interesting ports on localhost.localdomain ( ): Not shown: 1711 closed ports PORT STATE SERVICE 22/tcp open ssh 111/tcp open rpcbind 5900/tcp open vnc IPv6, endereço localhost IPv6: ~]# nmap -6 ::1 Starting Nmap 4.52 ( ) at :36 WET Interesting ports on localhost.localdomain (::1): Not shown: 1712 closed ports PORT STATE SERVICE 22/tcp open ssh 5900/tcp open vnc

Acesso Remoto – IPv6 SSH -> de VM07.IP6.FCCN.PT para VM03.IP6.FCCN.PT ~]# ssh -l user1 vm03.ip6.fccn.pt password: Last login: Sun Mar 2 17:44: from 2001:690:1fff:200:20c:29ff:fec1:6bf1 ~]# who root tty :02 (:0) root pts/ :44 (2001:690:1fff:200:20c:29ff:fec1:6bf1) FTP -> de VM07.IP6.FCCN.PT para FTP.IP6.FCCN.PT: ~]# ftp ftp.ip6.fccn.pt Trying 2001:690:1fff:1600::30... Connected to ftp.ip6.fccn.pt (2001:690:1fff:1600::30). 220 ### Welcome ### Name (ftp.ip6.fccn.pt:root): anonymous 230 Login successful. Remote system type is UNIX. Using binary mode to transfer files. ftp>

Modelo do SNMP A Informação IPv6 existente nas MIBs pode ser transportada quer por IPv4 quer por IPv6

SNMP sobre IPv6 Cisco: – Dependente da versão de IOS Juniper, Hitachi, 6wind: – SNMP através de IPv6 está disponível Comandos (Unix): – snmpget – snmpwalk

Estado das MIBs IPv6 As MIBs são essenciais na gestão de redes As aplicações baseadas em SNMP são frequentemente usadas, embora existam outros mecanismos (NetFlow, XML…) O SNMP depende das MIBs … => É necessário que existam MIBs para recolher informação sobre a rede IPv6, assim como é desejável (mas não indispensável) que elas estejam disponíveis através de IPv6

HP Openview Ciscoworks IBM Netview Existem ainda várias plataformas sem qualquer suporte IPv6 (devem ser evitadas numa perspectiva de futuro). Plataformas

Ferramentas No âmbito do projecto 6NET: – Foram testadas várias ferramentas de gestão – Algumas foram actualizadas para suportar IPv6 Existem mais de 30 ferramentas de monitorização compatíveis com IPv6 – Testadas – Implementadas – Documentadas

Argus Administração da rede: PCs, Switches, Routers Disponibilidade Tráfego na rede Administração de serviços: http, ftp, dns, imap, smtp... Ferramenta evolutiva: é fácil adicionar novas funcionalidades

Nagios Ferramenta muito completa Monitorização de Serviços Monitorização de Rede Pode ser complexo demais para uma pequena rede Evolução: Novas funcionalidades podem ser adicionadas através de plug-ins Monitorização de sessões BGP, …

Nagios

NTP - Network Time Protocol  Servidor Stratum 1 (Meinberg) Antena GPS, Av. Brasil - Lisboa  Servidores NTP públicos com suporte IPv6

NTP - Network Time Protocol Endereços ntp.gigapix.pt has address ntp.gigapix.pt has IPv6 address 2001:7f8:a:1::123 IPv4 $ ntptrace ntp.gigapix.pt: stratum 1, offset , synch distance , refid 'PPS' IPv6 $ ntptrace 2001:7f8:a:1:: :7f8:a:1::123: stratum 1, offset , synch distance , refid 'PPS'

As aplicações de gestão recebem ligações em IPv6 através dos mesmos números de portos. Recapitulando… No SNMP, a comunicação pode ser realizada sobre IPv6 e deve existir informação específica do IPv6 no interior das próprias MIBs. Existe um amplo conjunto de ferramentas de monitorização com suporte IPv6. O NTP é um serviço de gestão crítico, e é possível aceder-lhe através de IPv6.

Obrigado ! Questões ?

Componente Prática

Verificar existência do IPv6 nos próprios portáteis  Verificar endereços IPv6 com o comando  «ipconfig» (Windows)  «ifconfig» (Linux)  Identificar o (ou os) default gateway(s) IPv6, se existir(em)  «ipconfig» (Windows)  «route –A inet6» (Linux) Objectivo: Identificar o IPv6 dentro do sistema operativo Prática #1

Prática #2 Validade de Endereços IPv6 (Sim/Não)  2001:690::15  2001:6GA:8000:4000:2000:1000:1:2  2002:C189:36:78A::2  2A01:498:5555:7I99:2345:0911:1122:909  2003:4000:AAAA:CAFE:7:6:8  AAAA:BBBB:0000:2001:192:168:0000:1  2004:BFA:3999::1FFF::2:3  2600::4444  FE80::213:C4FF:FED2:E619 Objectivo: Praticar a validade da sintaxe dos endereços IPv6

Prática #3 Quais são os endereços MAC (HWaddr) e EUI-64 do servidor box ?  Entrar por SSH no servidor box.ip6.fccn.pt  Login: root  Password: 6.deploy  Usar o comando: «/sbin/ifconfig»  Manter até ao final da sessão a janela da ligação ao servidor Objectivo: Compreender a formação do endereço Link-Local gerado pelo mecanismo de autoconfiguração.

Prática #4 Entrar num router local e ver o ARP e os IPv6 neighbors existentes  telnet [grupo=1…9]  Login: formacao Password: ipv6 Enable: 6.deploy  Efectuar pings do router para os endereços de uma máquina:  ping ip box.ip6.fccn.pt  ping ipv6 box.ip6.fccn.pt  Executar «show arp» e depois «show ipv6 neighbors»  Consegue identificar o endereço MAC e o IP do seu servidor, e também o registo IPv6 da sua vizinhança?  Repita o comando «ifconfig» do exercício anterior  Manter até ao final da sessão a janela da ligação ao router Objectivo: Verificar os endereços MAC (L2), IPv4 e IPv6 (L3)

Prática #5 Usando a ferramenta WHOIS nos servidores box.ip6.fccn.pt, analisar a quem pertencem as redes:  2001:298::/32  2001:420::/32  2001:4D0::/32  2001:610::/32  2A00:1450::/32  2001:690:2080::/48 Sintaxe: /usr/bin/whois –h whois..net RIRs = {RIPE|ARIN|APNIC|LACNIC|AFRINIC} Objectivo: Identificar a quem pertence uma determinada rede (aplicável também ao mundo IPv4) nota: algumas bases de dados não aceitam o «/32»

Prática #6 Entrar num router local e adicionar uma nova rede, a ser recebida pelo servidor linux (box )  telnet [grupo=1…9]  Login: formacao Password: ipv6 Enable: 6.deploy  Identificar o interface onde está o endereço da rede 2001:690:1F00:A ::/64 (usar show ipv6 neighbors)  Adicionar uma 2ª rede:  conf terminal  interface  ipv6 address 2001:690:1F00:200 ::1/64  No servidor box usar novamente o comando /sbin/ifconfig. O que mudou? Objectivo: Adicionar novos endereços/redes, recorrendo à autoconfiguração sem estados.

Prática #7 Usando a ferramenta DIG (depois de entrar no sistema box.ip6.fccn.pt, por SSH), analisar que domínios têm suporte em servidores IPv6 (procurar por registos NS - nameserver): sapo.ptup.pt ua.ptfccn.pt uc.ptuevora.pt ipl.ptdns.pt vodafone.ptuminho.pt Sintaxe: NS Objectivo: Analisar domínios suportados em servidores DNS IPv6

Prática #8 Dos 27 países da UE, quantos têm o seu domínio (ccTLD) suportado em servidores IPv6?  AT, BE, BG, CY, CZ, DE, DK, EE, ES, FI, FR, GR, HU, IE, IT, MT, LT, LU, LV, NL, PL, PT, RO, SE, SI, SK, UK  dig ns Objectivo: Analisar se um determinado domínio está suportado em algum servidor DNS IPv6

Prática #9 Medir com a ferramenta dig, a partir dos servidores box.ip6.fccn.pt o tempo de resposta dos servidores de raiz em IPv4 e IPv6:  dig soa  dig soa Objectivo: Analisar o tempo de resposta (IPv4/IPv6) dos servidores DNS

Prática #10 Usar a ferramenta «nslookup» nos servidores box.ip6.fccn.pt: nslookup – servidor.apenasipv6.fccn.pt set q=any Digitar nomes de vários websites de Universidades Portuguesas outros Objectivo: Verificar se a zona de um domínio é acessível a partir da Internet apenas IPv6

Prática #11A Instalar o software BIND no servidor box.ip6.fccn.pt: yum –y install bind Configurar a zona de forward zona.ip6.fccn.pt Editar /etc/named.conf (ver próximo slide) Editar /var/named/zona Adicionar um registo MX para o próprio servidor Colocar o RR MX, juntamente com o peso e o nome do servidor Configurar uma zona como secundário Apenas no /etc/named.conf Garantir que o servidor DNS está activo: /etc/init.d/named restart Verificar com a ferramenta DIG: (ver firewall) zona.ip6.fccn.pt AXFR/SOA/MX Objectivo: Operar um servidor DNS

Prática #11B /etc/named.conf: zone “zona.ip6.fccn.pt." { type master; file “/var/named/zona "; allow-transfer { any; }; allow-query { any; }; also-notify { }; }; zone “zona.ip6.fccn.pt" { type slave; file “/var/named/zonavizinha "; masters { ; }; allow-transfer { any; }; allow-query { any; }; also-notify { }; }; /var/named/zona : $ORIGIN. $TTL ; 1 day zona.ip6.fccn.pt IN SOA vm0.ip6.fccn.pt. formacao-ipv6.fccn.pt. ( ; serial 1800 ; refresh (1 hour) 1800 ; retry (1 hour) 1800 ; expire (1 hour) 3600 ; minimum (1 day) ) ; servidores autoritativos do domínio NS vm0.ip6.fccn.pt. ; servidores de do domínio MX 10 mail0.ip6.fccn.pt options { listen-on port 53 { any; }; listen-on-v6 port 53 { any; }; allow-query { any; }; }

Prática #11C /var/named/zona : $ORIGIN. $TTL ; 1 day zona.ip6.fccn.pt IN SOA box.ip6.fccn.pt. formacao.ip6fccn.pt. ( ; serial 1800 ; refresh (30 minutes) 1800 ; retry (30 minutes) 1800 ; expire (30 minutes) 3600 ; minimum (1 hour) ) NS box.ip6.fccn.pt. MX 10 box.ip6.fccn.pt. MX 20 carteiro.ip6.fccn.pt.

Prática #12A Configurar uma zona de reverse:.A F ip6.arpa. Editar /etc/named.conf Editar /var/named/zona-rev-ipv6 Verificar endereço de reverse /usr/bin/host 2001:690:1F00:A ::1 Criar um PTR para cada servidor box nessa zona Transferir a zona, com a ferramenta DIG Objectivo: Configurar uma zona de reverse IPv6

Prática #12B /etc/named.conf: zone “.A F ip6.arpa." { type master; file “/var/named/zona-rev-ipv6"; allow-transfer { any; }; allow-query { any; }; also-notify { }; }; / IN SOA box.ip6.fccn.pt. formacao-ipv6.fccn.pt. ( ; serial 1800 ; refresh (1 hour) 1800 ; retry (1 hour) 1800 ; expire (1 hour) 3600 ; minimum (1 day) ) IN NS box.ip6.fccn.pt IN PTR router.ip6.fccn.pt.

Prática #13 Usar o cliente SSH para estabelecer uma sessão remota ao sistema box.ip6.fccn.pt, a partir do servidor atribuído ao seu grupo, usando o NOME  Verificar o endereço do sistema originador da ligação, através do comando: «/usr/bin/who am i» Objectivo: Verificar origem da ligação SSH em IPv6

Prática #14 Fazer Login via SSH na respectiva box e transferir por FTP primeiro em IPv4 e depois em IPv6 dois ficheiros:  IPv4: ftp (login=anonymous) cd /pub/VideoSamples/ get 6NET-Lisbon-v4.wmv  IPv6: ftp ftp.ip6.fccn.pt cd /pub/VideoSamples get 6NET-Lisbon-v6.wmv Objectivo: Verificar que é possível transferir dados também por IPv6. A velocidade não é necessariamente igual comparando com a transferência em IPv4.

Prática #15 Obter informação dos equipamentos 2001:690:1F00:1::1 e 2001:690:1F00:1::2 através da comunidade «fccninfo», e do comando snmpget : fccninfo :  2001:690:1F00:1::1  2001:690:1F00:1::2 :  sysDescr.0  sysName.0 Sintaxe: snmpget –v 2c –c udp6:[endereço ipv6] Objectivo: Verificar que é possível obter informação de gestão por IPv6.