IPv6 Josef Horálek

Obsah prezentace Vlastnosti IPv6 Adresování v IPv6 Routovací protokoly pro IPv6 Metody migrace mezi IPv4 a IPv6

Vlastnosti protokolu IPv6 Větší adresní prostor Řádově 100 000 000 000 000 000 000 000 000 000 000 000 000 adres (10^38) Globální dosažitelnost Agregace prefixů Autokonfigurace Efektivnější routování Mechanismy pro migraci Dual stack Tunelování (IPv6-to-IPv4) Překlad (NAT-PT) Jednodušší hlavička Není checksum Existence rozšiřujících hlaviček Neexistují broadcasty v původním významu Komunikace bez NAT Multihoming Mobilita a bezpečnost Podpora IPsec Návrat k hierarchickému uspořádání Internetu

Rozdíly v hlavičkách protokolů IPv4 a IPv6

IPv6 a rozšířené hlavičky Rozšířené hlavičky jsou definovány v poli NEXT HEADER v základní hlavičce Dávají prostor pro podporu a vývoj nových vlastností a služeb Minimální MTU stanoveno na 1280 bajtů (IPv4 68 bajtů) IPv6 podporuje pakety až do velikosti 2^32 bajtů (tzv. jumbogramy) (víc než 4TB)

IPv6 aktuálně IPv4 adresy prakticky vyčerpány Konečně pádný argument pro přechod na IPv6 Stále však podpora spíše sporadická Plná funkčnost jen u největších firem Nedůvěra gigantů (Google…)

Adresace v IPv6 Rozšíření adresovacího prostoru z 32-bitů (IPv4) na 128-bitů (IPv6) IPv4 ~4,200,000,000 použitelných adres IPv6 ~3,4*10^38 použitelných adres ~5*10^28 adres na osobu

Zápis IPv6 adres X:X:X:X:X:X:X:X kde X je 16-bitové hexadecimální pole Úvodní nuly v každém poli jsou nepovinné a dají se vynechat 2021:041F:6A8B:00C4:0001:FA87:67E8:0129 2021:41F:6A8B:C4:1:FA87:67E8:129 Za sebou jdoucí pole nul se můžou vynechat, avšak pouze jednou v adrese Příklady:

Agregace unicastových IPv6 adres Celý adresní prostor je vlastněn organizací IANA IANA přiděluje prefixy s délkou /12 „kontinentálním“ registrátorům RIPE pro evropu; ARIN pro Severní Ameriku Ti dále přidělují prefixy s délkou /32 internet service providerům (ISP) ISP přidělují prefixy dlouhé /48 zákazníkům 2021:041F:6A8B:00C4:0001:FA87:67E8:0129 Kontinentální registrátor (RIPE, ARIN, etc..) /12 ISP (České radiokomunikace) /32 Zákazník – konkrétní společnost (Škoda auto) /48 GLOBAL ROUTING PREFIX Zákazníkova podsíť (pobočka Vrchlabí) /64 Host part of address – identifikuje konkrétní zařízení (NIC, rozhraní routeru, etc..) Pro efektivní využití vlastností IPv6 je doporučeno ponechat posledních 64bitů pro host part (EUI- 64)

Agregace IPv6 adres Agregace IPv6 adres umožňuje efektivní routování v internetu Do směrovacích tabulek se dostanou pouze agregované prefixy

Typy IPv6 adres UNICAST MULTICAST ANYCAST One-to-one komunikace Adresa patří pouze jednomu rozhraní Existuje mnoho podtypů unicastových adres (Unique global, Link local, IPv4 mapované) MULTICAST One-to-many komunikace Efektivně využívá síťové prostředky Využívají ho různé síťové protokoly (NDP, routovací protokoly pro IPv6, etc..) ANYCAST One-to-nearest komunikace Jsou alokované z unicastového rozsahu Více zařízení sdílí jednu adresu a měli by poskytovat jednu a tu samou službu (DNS) Směrovače rozhodují o nejbližším uzlu

Unicastové adresování v IPv6 Pravidla pro unicastové adresování jsou pokryté mnoha RFC dokumenty Adresní architektura je definována v RFC 4291 Rozsahy unicastových adres Globální unicastové adresy Link-local FE80::/10 (tzn. FE80, FE90, FEA0, FEB0, v praxi však jen FE80) Tato adresa se používá pro komunikace v subnetu Slouží jako next-hop adresa pro routery Na jednom rozhraní se může nacházet (a většinou také nachází) libovolný počet unicastových, anycastových i multicastových adres Přirozeně multicastová adresa nebude nikdy zdrojovou IP adresou

IPv6 adresy na rozhraních Adresy typu Global unicast a Anycast mají stejný formát Obsahují globální směrovací prefix (/48), kterým se IPv6 adresy dají efektivně agregovat až k ISP Na rozhraní může být libovolný počet adres každého typu Každé rozhraní musí mít minimálně přidělenou Link-local adresu Každé rozhraní může mít více lokálních unikátních adres nebo globálních adres Z tohoto pohledu je Anycastová adresa jednoduše adresa, která je přidělena více rozhraním (zpravidla na různých zařízeních) Získání IPv6 adresy je možné docílit pomocí: Stateful DHCP – tak jak ho známe z IPv4 světa Stateless autoconfig – prefix a adresu výchozí brány získá pomocí NDP od routeru, host part IPv6 adresy dopočítá z MAC pomocí EUI-64 Statická konfigurace – IPv6 adresa je zadána komplet staticky, adresu výchozí brány získá pomocí NDP od routeru Statická konfigurace s EUI-64 – prefix zadán ručně, host part je dopočítám z MAC pomocí EUI-64, adresu výchozí brány získá pomocí NDP od routeru

EUI - 64 Pro stateless (bezstavovou) autokonfiguraci se používá metoda extended universal identifier – 64 Předpokladem je získání 64-bitového prefixu Z routeru pomocí NDP Statickou konfigurací prefixu Pro link-local adresy je prefix FE80::/10 (zbývajících 54bitů tvoří zpravidla nuly) Dalších 64 bitů je dopočítáno z MAC adresy NICu, tak že: Mezi OUI a S/N vloží dvojbajt FF:FE Příklad (link local) Prefix: MAC: 0013:D4A5:1D60 Výsledná link-local IPv6: FE80:0000:0000:0000:0013:D4FF:FEA5:1D60

IPv6 adresy typu Link-local Link-local adresa je tvořena prefixem FE80::/10 a host part z EUI-64 Je povinná pro komunikaci dvou sousedních zařízení Automaticky vytvořená na rozhraní ihned po aktivování IPv6 Je jedinečná pouze v rámci subnetu 54 bitů mezi prefixem a interface ID může být libovolných, ale zpravidla se automaticky dosazují nuly Analogické autokonfigurační IPv4 adrese 169.254.0.0/16

Bezstavová autokonfigurace Router rozesílá všem uzlů v multicastové skupině RA (Router advertisment) Stanice si sama dokáže přidělit adresu připojení svého interface ID (64 – bitového host part) k prefixu sítě (64-bitů), který přijala od routeru v RA Výsledkem je unikátní 128-bitová IPv6 adresa

Postup při bezstavové autokonfiguraci Fáze 1: stanice vyšle Router Solicitation (RS) a vyžádá si prefix sítě

Postup při bezstavové autokonfiguraci Fáze 2: Router odesílá (mimo jiné) síťový prefix v RA

Směrovací protokoly pro IPv6 RIPng (Next Generation) – RFC 2080 OSPFv3 – RFC 5340 MP-BGP4 (MultiProtocol) – RFC 4760 EIGRP for IPv6 – Proprietální Statické routy Na CISCO routerech je nutné pře jakoukoliv konfigurací IPv6 zadat příkaz Router(config)#ipv6 unicast-routing

RIPng Stejné vlastnosti jako v IPv4 Aktualizované vlastnosti pro IPv6 Distance vector routovací protokol, metrika hopy (maximum je 15, 16 je nekonečno), split-horizon, poison reverse Založený na RIPv2 Aktualizované vlastnosti pro IPv6 Přenos prefixů a next-hop adres ve formátě IPv6 Aktualizace zasílá pomocí UDP na port 521 (520 RIPv2) na multicastovou adresu FF02::9 tzv. all-rip-routers Nepodporuje automatickou sumarizaci Autentifikace pomocí vestavěné funkce IPv6 resp. IPsec AH/ESP

EIGRP pro IPv6 Stejné vlastnosti jako v IPv4 Distance vector logika, výpočet metriky (32 bitů) 32-bitové router ID Aktualizované vlastnosti pro IPv6 Přenos prefixů a next-hop adres ve formátě IPv6 Možnost povolení/pozastavení činnosti procesu Updaty zasílá na multicastovou adresu FE::10 tzv. all-eigrp-routers Nepodporuje automatickou sumarizaci Autentifikace pomocí vestavěné funkce IPv6 resp. IPsec AH/ESP Neighbors nemusí ležet ve stejném „subnetu“

OSPFv3 Stejné vlastnosti jako v IPv4 Aktualizované vlastnosti pro IPv6 Volba DR/BDR, metrika a její výpočet (16bitů), Link-state princip, router ID založené na IPv4 adrese (32-bitů), area 0 musí být souvislá Aktualizované vlastnosti pro IPv6 Přenos prefixů a next-hop adres ve formátě IPv6 Možnost povolení/pozastavení činnosti procesu Updaty zasílá na multicastovou adresu FE::5 a FE::6 Autentifikace pomocí vestavěné funkce IPv6 resp. IPsec AH/ESP Neighbors nemusí ležet ve stejném „subnetu“ Více instancí pracující nad jedním rozhraním

Konfigurace OSPFv3 Router(config)#ipv6 unicast-routing Povolí routování v IPv6 Router(config)#ipv6 router ospf process-id Vytvoří proces protokolu OSPFv3 Router(config-router)#router-id A.B.C.D Nastaví router-id (není nutné pokud je zkonfigurován loopback nebo IPv4 adresa na up/up rozhraní) Router(config-if)#ipv6 address adresa/delkaPrefixu [EUI-64] Router(config-if)#ipv6 enable Přidělí IPv6 adresu na rozhraní Router(config-if)#ipv6 ospf process-id area area-number Zařadí konkrétní interfejs do routovacího procesu

Multiprotocol Border Gateway Protocol Multiprotokolové rozšíření MP-BGP Podpora různých síťových protokolů Identifikátory rodin síťových protokolů R1(config)#router bgp 54952 R1(config-router)# address-family ipv6 Specifická rozšíření pro IPv6 NEXT HOP obsahuje globální IPv6 adresu (případně i link-local adresu, ale pouze pokud je neighbor přímo připojený)

Migrace mezi IPv4 a IPv6 Pro migraci mezi IPv4 a IPv6 je definováno několik různých mechanismů, proto není nutné učinit skokový přechod Dual stack Statické tunely, 6over4 tunely (RFC 2529), 6to4 tunely (RFC 3056) ISATAP tunely (RFC 4214) Teredo tunely (RFC 4380) NAT-PT (Protocol translation)

Dual stack Dual stack je integrační metoda kde každý router a stanice implementují IPv4 i IPv6 Protokoly jsou na sobě úplně nezávislé

Konfigurace Dual stack Stačí na rozhraní nakonfigurovat IPv4 i IPv6 adresu Pokud je potřeba tak i routovací protokoly jak pro IPv4 tak pro IPv6

Tunelování IPv4 v IPv6 Zapouzdření nemusí realizovat pouze router, může ho provádět i stanice PC, pokud to její operační systém ovládá příslušný způsob tunelování

Konfigurace statických tunelů Konfigurace statických tunelů vyžaduje: Dual stack endpointy Nakonfigurovanou IPv6 a IPv4 na obou koncích tunelu

Příklad konfigurace statických tunelů Výsledný statický tunel je typu „point-to-point“

6to4 tunely Jsou tunely, které mohou mít (na rozdíl od statických tunelů) mnoho koncových bodů IPv6 prefixy jednotlivých IPv6 „ostrovů“ oddělených IPv4 světem jsou navrženy tak, aby v sobě obsahovaly IPv4 adresu tunelujícího routeru, který je na okraji tohoto ostrova IPv6 při použití 6to4 tunelů používají prefix 2002::/16 Dalších 32 bitů tohoto prefixu vyjadřuje IPv4 adresu routeru, který je na vstupu/výstupu routeru tohoto IPv6 ostrova a který realizuje tunelování Výsledný 48-bitový prefix je společný pro celý ostrov, zbývá tedy 16 bitů pro subnet a 64 bitů pro interface ID, stejně jako u běžných Global Unicast adresách

6to4 tunely Příklad: Postup konfugurace: Router na vstupu do našeho IPv6 ostrova má IPv4 adresu 192.168.0.36 Hexadecimální přepis je C000:0226 Prefix pro 6to4 tunely je 2002::/16 Výsledný IPv6 prefix je 2002:C000:0226::/48 a ten přidělíme všem zařízením v našem IPv6 ostrovu a interface tunelu Routery na ostatních ostrůvcích musí mít správně nastavené směrování, tak aby pro přístup k sítím s prefixem 2002::/16 používali tunel, a funkční IPv4 směrování Postup konfugurace: Vytvořit rozhraní pro tunel interface tunnel 0 Natavit režim tunelu tunnel mode ipv6ip 6to4 Natavit IPv6 adresy na rozhraních Nastavit vhodnou IPv6 adresu na tunelu nebo si ji vypůjčit (unnumbered) Natavit zdrojové rozhraní pro tunel (přes které se připojuje do IPv4 světa) Natavit směrování IPv6 přes tunel

6to4 tunely Výhody 6to4 tunelů Není potřeba definovat endpoint Každý ostrov má jednoznačně platný globální prefix /48

Příklad konfigurace IPv6 tunelu

Příklad statického směrování přes vytvořený 6to4 tunel

Překlad protokolů NAT-PT NAT-PT je překladový mechanismus na rozhraní mezi IPv4 a IPv6 sítí Jeho úloho je překládat IPv4 pakety na IPv6 a naopak Tento přístup je vhodný pro spolupráci mezi uzly ze kterých je jeden IPv4 only a druhý IPv6 only

Konec Děkuji Vám za pozornost