Internetový protokol verze 6 (IPv6) a jeho zavádění na VŠE Ing. Luboš Pavlíček Ing. Miroslav Matuška Výpočetní centrum VŠE 10. února 2004

Obsah přednášky Základní koncepty protokolu, důvody pro zavedení (M) IPv6 v CESNETu, Liberouter (M) Projekty FR CESNETu a IGA VŠE (M) Aktuální situace na VŠE, stav úkolů (L) IPv6 v PASNETu (L) Zatímní zkušenosti a postřehy z projektů (L+M) Diskuse

Základní koncepty Co je to Internet Protocol version 6 (IPv6) Důvody pro změnu Historie vzniku IPv6 Charakteristiky IPv6 Migrace z IPv4 na IPv6 Zavádění a aktuální stav IPv6

Co je to IPv6 ? Nová verze síťového protokolu Internetu (pravidel, podle kterých komunikují počítače k Internetu připojené, TCP/IP) Současná verze: IPv4 Za 30 let testování a provozu prokázal velmi dobrou odolnost a použitelnost v globální síti Díky velkému rozvoji a komerčnímu použití jsou na něj kladeny další požadavky Některým už nelze tak snadno vyhovět – limity současné verze

Důvody pro změnu Nedostatek IP adres pro označování dalších uzlů v síti (již od začátku 90. let minulého století) Nicméně přidělování adres po blocích tříd A,B,C (příliš hrubé členění velikosti sítí) způsobilo mnoho nevyužitého místa Skoro 40% adres je ještě neobsazených. Dříve používaný mechanismus hledání uzlu v síti (=směrování) je nicméně nedovoluje použít v jiné síti Nově příchozí na Internet požadují mnoho adres pro své sítě – zejména asijská oblast (Japonsko, Jižní Korea, Čína…), bez adres jsou v nevýhodě Odebírání přidělených IPv4 adresních rozsahů (např. síť 62.0.0.0) ?

Důvody pro změnu IPv4 řešení 1: VLSM+CIDR (Very Large Subnet Masks a Classless Inter-Domain Routing) Jemnější členění velikostí sítí podle potřeby Agregace cest do příbuzných sítí Vzniká spousta nových malých sítí Nevýhoda: nárůst položek ve směrovacích tabulkách páteřních routerů (v tzv. default-free zóně), nebezpečí přetížení a zpomalování práce těchto zařízení

Důvody pro změnu IPv4 řešení 2: NAT (Network Address Translation) Použití adresní překladové brány, které stačí jedna přidělená adresa pro celou síť Počítače uvnitř sítě mají soukromé adresy, které nelze v Internetu směrovat (nevadí, pokud jsou duplicitní), takže uzly jsou jakoby „neviditelné“ Pokud komunikují do Internetu, skrývají se za překladovou bránou, která má přehled o spojení Nevýhoda: ztráta end-to-end konektivity, nutnost dalších zařízení, stavový charakter komunikace

Důvody pro změnu Slabá podpora nově potřebných služeb: QoS: funguje nepovinně, jen v částech Internetu, její zajištění end-to-end je obtížné Bezpečnost: nepovinná, většinou řeší až samotné aplikace, proprietární a drahá řešení Mobilita: původní návrh IP sítě vůbec s mobilními uzly nepočítá, možnost být k dosažení stále pod jednou adresou je obtížná Konfigurace koncových stanic a sítě: rozumně fungující, nicméně chybí možnost „plug and play“, hromadných přečíslování aj.

Důvody pro změnu Růst počtu uživatelů a datového provozu Internetu (JV Asie, i celosvětově) Mobilní technologie, velké množství datových terminálů potenciálně připojitelných k Internetu (telefony, PDA, drobné koncové zařízení – spotřební elektronika, zabezpečovací systému budov, klimatizace. Doprava - automobily, vlaky, logistika, doprava obecně, IP telefonie, P2P služby, multimedia, herní konzole, zábavní průmysl obecně… …to vše potřebuje end-to-end konektivitu, dosažitelnost na pevné adrese, zajištěné QoS a další vlastnosti, které IPv6 nabízí

Důvody pro změnu - shrnutí Větší adresní prostor Lepší podpora Bezpečnosti komunikace Multicastu (skupinového vysílání) Zajištění kvality služby (QoS) Mobility zařízení Konfigurování zařízení Alternativy: doplňovat stávající IPv4 nebo navrhnout novou verzi IP na „čistém stole“ ?

Historie IPv6 V IETF (Internet Engineering Task Force, neformální orgán sdružující pracovní skupiny, které tvoří nové standardy Internetu) započat vývoj protokolu IP Next Generation (IPng) Později byl přejmenován na IP verze 6 Číslo verze 5 bylo přiřazeno jinému protokolu 1995: první generace standardů (RFC 1883 a další) 1998: druhá generace (RFC 2460 a příbuzné) Dnes: standardy víceméně hotovy, už jen malé upřesňování a dokončování (např. DHCP, mobilita)

Adresování Délka adresy: 128 bitů (cca 3*1038 adres) Typy adres Unicast (běžné jednoduché adresy) Multicast Anycast (výběrové adresování – paket s touto adresou je doručen pouze jednomu ve skupině, nejčastěji tomu „nejbližšími“) Rozsah adres (scope) Link local, Site Local, Global

Adresování Zápis adresy: hexadecimálně, každých 16 bitů odděleno dvojtečkou 1234:5678:90AB:CDEF:1234:5678:90AB:CDEF Plný zápis 2001:0718:0:0:0:0:0:1 Zkrácený zápis 2001:718::1 Loopback ::1 (aneb 0:0:0:0:0:0:0:1) Prefix (maska sítě) – počet bitů, které udávají adresu sítě, např. /32, /45, /64 (analogicky jako IPv4, masky jsou spojité)

Rozdělení adresního prostoru Přiřazený účel Bitová kombinace Hexadecimálně Globální unicastové adresy 001xxxxx xxxxxxxx 2000-3FFF Link-local unicastové adresy 11111110 10xxxxxx FE80-FEBF Site-local unicastové adresy 11111110 11xxxxxx FEC0-FEFF Multicastové adresy 11111111 xxxxxxxx FF00-FFFF Globální prefixy zatím alokovány jen 3 2001::/16 (pro produkční použití registrátorů RIPE-NCC, ARIN, APNIC a LACNIC) 2002::/16 (pro přechodovou techniku z IPv4) 3FFE::/16 (pro experimentální síť 6bone), přestane platit 6.června.2006 (06/06/06)

globální směrovací prefix Přidělování adres 001 globální směrovací prefix podsíť ID rozhraní celkem 128 bitů 3 bity 45 bitů 16 bitů 64 bitů Hierarchické směrování, agregace adres ISP získají od svého registrátora prefix délky /32 bitů (např. CESNET má od RIPE-NCC prefix 2001:718::/32) Podmínky, které musí ISP splnit je lokálním registrátorem (LIR) a není koncovou sítí plánuje poskytování IPv6 dalším sítím plánují přidělení 200 prefixů /48 během dvou let

Přidělování adres ISP přidělují koncovým zákazníkům prefix /48 Např. VŠE má 2001:718:1f02:/48 ISP si mohou vytvořit hierarchii dle lokalit (/40, /42) Koncové sítě mohou využít 16 bitů pro tvoření subnetů s délkou /64 v rámci své organizace Zbylých 64 bitů je ID zařízení (host ID), což může být jedna z variant: EUI-64: MAC adresa + „vycpávka“ FFFE Sekvenční číslování (routery, servery) V posledních 32 bitech vložená IPv4 adresa …

Formát hlavičky Optimalizace vlastností hlavičky Pevná velikost = 40 bajtů Vypuštění málo používaných položek Žádný kontrolní součet Doplňkové hlavičky: parametry pro všechny uzly na cestě, parametry pro koncové uzly, Fragmentační, Směrovací hlavička, Autentizační hlavička (AH), Šifrovací hlavička (ESP)

Nové vlastnosti Mobilita – dosažitelnost stále pod stejnou adresou, domácí a cizí agent Bezpečnost – povinný IPSec, snažší tvorba VPN QoS – DiffServ, IntServ, RSVP Automatická konfigurace - (stavová a bezstavová, bezstavové DHCP), objevování sousedů, přečíslování sítě

Migrace z IPv4 na IPv6 IPv6 je správným řešením – snad ano Nepůjde o D-Day či akci podobnou Y2K Pozvolný přechod, urychlení je jen na škodu (hrozí zklamání z malé užitečnosti, nehotových produktů) Nutné funkční implementace na Routerech (Cisco, Juniper, Extreme,…) OS koncových stanic: MS Windows (XP, 2003, exprimentálně v 2000) FreeBSD, NetBSD, OpenBSD - Kame Linux – USAGI Sun Solaris (od verze 8)

Migrace z IPv4 na IPv6 Pro hladký přechod existuje řada přechodových mechanismů: Tunely pro tvorbu IPv6 spojů po IPv4 infrastruktuře Překladové brány řešící komunikaci mezi hosty v různých sítích (jeden uzel zná jen IPv4 a druhý jen IPv6) Mezivrstvy v API – programové rozhraní, které překládá IPv4 a IPv6 specifika mezi sebou, takže není potřeba přepisovat programy (BIS, BIA)

Migrace z IPv4 na IPv6 Ideální postup – dual-stack, koexistence obou protokolů po celou dobu přechodu IPv6 infrastruktura kopíruje IPv4 Pouze L3 prvky (routery) mohou být dvojí Doporučený postup zavádění: od páteře (uživatel nemusí nic vědět) Stanice podporuje oba protokoly a rozhoduje se dle aktuální situace, který protokol využije Druh vráceného záznamu z DNS Nutno dobře vyzkoušet chování klientských programů, aby nedošlo k problémům při nedostupnosti některého z protokolů

Migrace z IPv4 na IPv6 Programy V některých aplikacích se používá IPv4 adresa přímo a je potřeba upravit kód Distribuce nových síťových knihoven a API Časově zřejmě nejnáročnější migrace, bude záležet na aktuálním stavu síťové infrastruktury a poptávky po nových funkcích Již existují porty základních aplikací (WWW browsery a servery, FTP, telnet, a další)

DNS a IPv6 Jeden jmenný prostor společný s IPv4 DNS a vztah ke dvěma protokolům: Obsah dat A dopředné záznamy pro IPv4 AAAA dopředné záznamy pro IPv6 PTR reverzní záznamy podobné (v doménách IN-ADDR.ARPA pro IPv4 a IP6.ARPA pro IPv6) Transportní protokol: IPv4 i IPv6, obě verze jsou schopny přenášet oba typy adres VŠE má reverzní doménu delegovanou od CESNETu (providera vyšší úrovně)

Současný stav Nasazení IPv6 pro výzkum a testování provozu: Akademické sítě v Evropě a USA (namátkou Renater, SurfNet, CESNET, GÉANT, Abilene) Společné výzkumné projekty financované EU (6NET - včetně účasti ČR, Euro6IX, 6WIND, 6POWER, Moby-Dick a řada dalších) Komerční nasazení IPv6: USA: zatím dostatek adres, vyčkávání (Pentagon – nákup síťových s podporou obou protokolů), Evropa: opatrné zkoušení, hledání „killer“ aplikace JV Asie: běžné produkční nasazení a použití, silná podpora vlád (přechod na IPv6: Japonsko 2005, Čína 2006, Taiwan 2007, Jižní Korea 2011)

Současný stav - shrnutí Standardizace IPv6 víceméně dokončena Základní podpora v MS-Windows XP Rozumná podpora na routerech Cisco (od verze 12.2(2)T), nicméně pro implementaci nových funkcí je třeba nasadit PC router (např. *BSD) Pro běžné použití však chybí podpora všech vlastností a služeb protokolu Přesun z fáze návrhu a standardizace do praxe, „ven z laboratoří – testování a implementace v exitujících sítích“.

NIX-CZ-NET-IPv6 2003/02/03 2001:07F8:0014::/48 IPv6 v Evropě a ČR K 9.2.2004 je v Evropě přiřazeno 294 prefixů délky /32 pro ISP (11/03-266 prefixů) V ČR je 9 prefixů pro ISP a jeden prefix délky /48 pro propojovací bod NIX-CZ CZ-TEN-34 2001/05/21 2001:0718::/32 CZ-IPEXNET 2003/02/05 2001:0AE8::/32 CZ-GTS 2003/02/11 2001:0AF0::/32 CZ-PRAGONET 2003/03/14 2001:0B80::/32 CZ-CECOM 2003/06/18 2001:1478::/32 CZ-NIC 2003/06/20 2001:1488::/32 CZ-VOL 2003/07/17 2001:1508::/32 CZ-CASABLANCA 2003/07/24 2001:1528::/32 CZ-BECOLINK 2003/08/29 2001:1568::/32 NIX-CZ-NET-IPv6 2003/02/03 2001:07F8:0014::/48

IPv6 v CESNETu První instituce v ČR s IPv6 1999: experimentální provoz v síti 6bone (adresy 3FFE::), peeringy, tunely, první testy implementací (P. Satrapa) Od roku 2001 přidělený provozní prefix 2001:718:: /35, později /32 od RIPE a zařazení IPv6 mezi strategické úkoly (L. Lhotka) 2002: Cesnet přistupuje k evrospkému projektu 6net Od roku 2003 nativní (netunelová) konektivita do zahraničí a nativní peering do CZ.NIXu Od roku 2003 celá nativní IPv6 páteř (MPLS), dual stack, adresní registrace + reverzní delegace DNS, monitoring 2004 Evropská páteř pro vědu a výzkum Géant oficiálně podporuje IPv6

IPv6 v CESNETu Koncové sítě (VŠ a AV) První testy přímo zainteresovaných osob (TU Liberec, VŠB-TU Ostrava, JČU České Budějovice, MU a VUT Brno) Zpočátku zejména PC routery (*BSD), později komerční směrovače Připojování výzkumných laboratoří, kolejí PASNET se přidává až v roce 2004 (problémy s kompatibilitou zařízení, stupeň podpory pro zařízení Cisco)

IPv6 v CESNETu Plány do budoucna Doplňkové projekty zlepšení podpory IPv6 v páteřní síti postupné zavedení produkčního režimu provozu IPv6 provozování svých služeb a aplikací nad IPv6 (zároveň s IPv4) propagačně-naučné akce pro uživatele a správce sítí nižších úrovní („neinvazivní průnik“) Doplňkové projekty Liberouter

www.Liberouter.org Projekt vývoje IPv6 směrovače na bázi platformy PC s hardwarovým akcelerátorem (výkonnostně srovnatelný s profesionálními přístupovými směrovači) s user-friendly konfiguračním rozhraním Důvody Snaha o využití univerzality PC zařízení při zavádění a testování nových funkcí Snaha o nižší náklady na pořízení těchto zařízení

Liberouter Realizace HW: programovatelná hradlová pole FPGA, využití nových trendů v programovatelném hardware Otevřený projekt (open source software i hardware) Největší pracovní tým CESNETu, velkou část tvoří studenti Aktuální stav: fungující síťová karta, dokončují se akcelerační funkce

Liberouter Konfigurační rozhraní „Netopeer“, snaha o rozumné UI a určitou přenositelnost konfiguací Univerzální zápis konfigurace směrovače ve fromátu XML a řada transformačních rutin mezi různými formáty (Cisco, Juniper, *BSD, Linux) Vklad VŠE: konverze IOS->XML (viz. technická zpráva) Metakonfigurace (viz. výroční zpráva)

Projekt FR CESNET Na konci roku 2002 přidělen VŠE projekt pro testování implementaci IPv6 Vedoucí M. Matuška, spoluřešitel L. Pavlíček Cíl: zavést IPv6 do sítí VŠE, testování implementací a aplikací, přivedení IPv6 do PASNETu Nákup směrovačů a literatury, školení a studijní cesty (M. Matuška) Délka: 1 rok, 04/2003-04/2004 Publikace: článek v časopise LUPA, příspěvek na konferenci Teleinformatika (11/2003)

Projekt IGA VŠE V červenci 2003 přidělen IGA VŠE projekt na další podporu IPv6 Vedoucí L. Pavlíček, spoluřešitel M.Matuška Cíl: Navázání na projekt FR CESNETu, přiblížení IPv6 uživatelům a správcům sítí, tvorba školení pro uživatele a správce jiných sítí, prezentace výsledků ve znovupoužitelné podobě, zapojení studentů VŠE do testování moderních technologií Délka: 1 rok, 09/2003-09/2004 Připravované výstupy: Bakalářské a diplomové práce, školící materiály + technické vybavení pro ně a další

IPv6 projekty Řada IPv6 služeb je na provozní bázi implementována poprvé v ČR právě na VŠE. Zvýšení prestiže VŠE (a zejména VC): První velká implementace IPv6 v Praze, zprovoznění IPv6 PASNETu, pomoc CESNETu při zavádění protokolu v uzlu Praha. Publikace a veřejná vystoupení pod hlavičkou VŠE Možnost pracovat s moderními technologiemi Pro správce sítí, zvýšení kvalifikace, zkušenosti Pro uživatele sítě VŠE (studenti a zaměstnanci), kteří budou mít k dispozici novou funkčnost pro jejich potřeby (podpora výukové a vědecké činnosti VŠE)

IPv6 projekty Oba projekty se vhodně doplňují, nicméně stále existují nepokryté oblasti: V určitých oblastech se předpokládá součinnost dalších útvarů (zejména VC VŠE), Testování už rozsahem zapojených osob přesáhlo původní plán S ukončením projektů implementace IPv6 nekončí, mělo by dojít k navazujícím krokům směrujícím k plné produkční podpoře IPv6 na VŠE srovnatelné s IPv4

Adresní prostor Navržená struktura v PASNETu 2001:718:1fxx:yyzz::/64 prefix CESNETu lokalita PASNET subnet v lokalitě účastník PASNETu Příklady: VŠE 2001:718:1f02::/48 VŠE Žižkov 2001:718:1f02:0000::/56 VŠE JM 2001:718:1f02:0100::/56

IPv6 adresy v rámci VŠE Adresa Subnet 2001:718:1f02:0000::/64 zaměstnanci SB 2001:718:1f02:0002::/64 knihovna 2001:718:1f02:0003::/64 posluchárna C 2001:718:1f02:0004::/64 138 nb 2001:718:1f02:0005::/64 učebny Žižkov 2001:718:1f02:0042::/64 server nms.vse.cz 2001:718:1f02:0043::/64 subnet 42.65-95 (ca-servery3) 2001:718:1f02:0100::/64 síť na JM

Mapa IPv6 sítě na VŠE CESNET/ IPv6 ipv6tun.vse.cz PASNET/ gif1 ipv6tun.vse.cz em0 sf0 sf1 sf2 sf3 sf4 sf5 sf6 sf7 2001:718:1f02:42::/64 nms 2001:718:1f00::20/64 2001:718:1f02::/64 16.subnet, 146.102.16:16 PASNET/ IPv6 – vlan 106 2001:718:1f02:1::/64 zaměstnanci SB 2001:718:1f02:2::/64 knihovna 2001:718:1f02:3::/64 posluchárna C 2001:718:1f02:4::/64 183nb 2001:718:1f02:5::/64 ucebny 2001:718:1f02:43::/64 ca-servery3 em0, 2001:718:1f00::21/64 ipv6jm.vse.cz em1 2001:718:1f02:100::/64, síť_na JM, 146.102.168.6

Routery s podporou IPv6 ipv6tun.vse.cz ipv6jm.vse.cz ipv6jarov.vse.cz Dell, FreeBSD, 9x ethernet, ipv6jm.vse.cz Dell, FreeBSD, 3x ethernet ipv6jarov.vse.cz Dell, FreeBSD, 5x ethernet, Cisco 7200 (blanice) provozní IOS již k dispozici, catalyst 3750 (ge-jarov) hw podpora, sw v polovině roku 2004, plánované

Servery s plnou podporou IPv6 vse.vse.cz mail (postfix), příjem, odesílání (při odesílání se řídí dle údajů v nameserveru, pokud existuje AAAA záznam, tak zkouší přes IPv6, v případě neúspěchu přejde na IPv4), nameserver, ssh, nms.vse.cz web (apache2), smtp (sendmail) + experimentální stroje (různé OS, používají čistě jen IPv6)

Počítače s částečnou podporou IPv6 Nejsou v nameserveru, mají IPv6 adresu, některé protokoly fungují přes IPv6 vse470.vse.cz devetsil.vse.cz pub.vse.cz Stanice s podporou IPv6 většinou Windows XP, Linux, Solaris, Stanice využívají ohlášení routeru pro svou (auto)konfiguraci

Časové odhad na zavedení IPv6 plán Časové odhad na zavedení IPv6 Střednědobý cíl: 2006 – síť s duálním protokolem (IPv4 a IPv6), tj. routery s plnohodnotnou podporou IPv4 a IPv6, všechny subnety s podporou IPv4 a IPv6 (s výjimkou hw podpory multicastu na IPv6), servery (většina serverů) s podporou IPv4 a IPv6

plán Jaro 2004 Připojení kolejí do sítě IPv6 (včetně filtrování provozu), Školení pracovníků VC na IPv6, Monitorování IPv6, Podpora IPv6 v evidenci stanic, Vypsání bakalářských a diplomových prací na témata související s IPv6, Nahradit tunelování do CESNETu nativním směrováním v rámci PASNETu, Portování důležitých síťových služeb (zejména externích) na IPv6 Externí publikace

Léto 2004 Léto 2005 plán duální routery na hranicích s PASNETem Catalyst 3750, závisí na firmě Cisco, duální router na Jarově pokusy s Novell Netware 6.5 Léto 2005 náhrada Catalyst 8500 za router/switch s podporou IPv4 a IPv6, IPv6 na stanice na učebnách ?, IPv6 na stanice zaměstnanců ?,

Spolupráce: OSI, SUS, SLS, HD a další plán Průběžně Podpora IPv6 na jednotlivých serverech Hledání a úprava aplikací na IPv6 (instalace verzí s podporou IPv6) pro koncové stanice (s různým OS) Testování pokročilých služeb (bezpečnost, mobilita, kvalita služby) Dokumentační a prezentační činnost Obecné dokumenty o IPv6 + materiály ke školení Konfigurace serverů Konfigurace klientských stanic Portování a provozování IPv6 aplikací Spolupráce: OSI, SUS, SLS, HD a další Externí spolupráce: ICZ

Konkrétní doporučení plán Kupovat routery pouze s podporou IPv4 a IPv6, Již v roce 2003 (Cisco 3750), Kupovat a instalovat operační systémy s podporou IPv6 Windows 2003 server, Novell Netware 6.5 Při upgradech programového vybavení instalovat verze s podporou IPv6 (byť zatím neaktivní), např.: apache2 místo apache 1.3, awstats místo webalizer, putty s IPv6 podporou,

Shrnutí IPv6 je na VŠE možno vyzkoušet a používat „ihned“ Pro migraci na novou verzi na VŠE bude využit mechanismus dual-stack Vyjma závěrečné fáze nebude potřeba překladových bran Migrace bude časově náročný proces závisející na okolních sítích a stavu zařízení Problém: zánovní investice do IPv4 Důležité, co zařadit do DNS a co nikoliv Jinak služby zdánlivě „nefungují“

IPv6 v PASNETu PASNET v PASNETu zatím není IPv6, do CESNETu přes tunel: VŠE, FzU AVČR (pravděpodobně neaktivní), ČVUT má IPv6 mimo PASNET, návrh na přidělování adres, návrh na nativní backbone v PASNETu, vlan 106, nyní zkušebně použit na propojení Žižkov – JM, nativní připojení PASNETu do CESNETu realizace pravděpodobně v druhé polovině března (po instalaci nových řídících desek do 6500 – nyní nejsou potřebné porty), dual stack na hraničním routeru pravděpodobně nejdříve o prázdninách,

Diskuse

Statistiky mailu přes IPv6 za období od 30. ledna do 7. února (9 dní)   odchozích spojení IPv4 vse.cz 281 083 IPv4 svět 511 825 IPv6 vse.cz IPv6 svět 93 - z toho spojeno 7   spojených příchozích spojení IPv4 vse.cz 142 023 IPv4 svět 468 977 IPv6 vse.cz 53 IPv6 svět 164 - z toho CESNET 114 na vse.cz může přijímat přes IPv6 pouze nms.vse.cz z domény vse.cz posílá přes IPv6 pouze nms.vse.cz (27) a vse470.vse.cz (26) počítají se všechny pokusy o spojení, množství dopisů výrazně menší (<polovina), odmítnutí – Connection timed out (79), Connection refused (9) od 13. ledna pouze 2 úspěšné do domény .cz mimo vse.cz (gin.cz), 84 z části slu.cz 15 z muni.cz (disk. skupina redhat-cz)