Præsentation er lastning. Vent venligst

Præsentation er lastning. Vent venligst

Rådgivning – når viden gør en forskel 1. 2 Hvad siges der i medierne - 1 • Computerworld d. 20 september 2010.

Lignende præsentationer


Præsentationer af emnet: "Rådgivning – når viden gør en forskel 1. 2 Hvad siges der i medierne - 1 • Computerworld d. 20 september 2010."— Præsentationens transcript:

1 Rådgivning – når viden gør en forskel 1

2 2 Hvad siges der i medierne - 1 • Computerworld d. 20 september 2010

3 3 Hvad siger medierne - 2 • ZD-NET 9 august 2010

4 4 Hvad siger medirene - 3

5 5 Agenda • Opsummering på IPv4 • Status på IPv4 • Opsummering på IPv6 • Skifte scenarier • Konklusioner

6 6 IPv4 • IP version 4 er en IETF defineret kommunikationsprotokol – Defineret i RFC 791 fra 1981 – 32 bits adresse, opdelt i 4 oktetter (Bytes) – 2 32 mulige adresser ( = 4 Milliarder) – Ca. 18 mill. Reserveret som private adresser – Ca. 270 mill. Reserveret til multicast adresser

7 7 En IPv4 adresse • En IPv4 adresse består altid af en host del og en netværksdel. Man anvender en netværksmaske til at bestemme hvor netværksdelen slutter og host delen starter: • Eksempel: IP adresse = Netværksmaske = I eksemplet har hosten nummer 20 i netværket og selve netværket kendes som Hvis man ønsker at vise hvor mange bits der anvendes til netværksmasken, ses det ofte som følgende notation: /24. NetværketHost

8 8 Hvordan har vi klaret os med IPv4 så længe • Man har længe vist at der ikke er IPv4 adresser nok til det hastigt voksende Internet • Idéer til at forlænge tiden med IPv4 adresser har bl.a, været – Udstrakt brug af NAT – Intern brug af RFC 1918 IP adresserne • 10.x.x.x/8 • x.x/16 til x.x/16 • x.x/24 – Classless Inter-Domain Routing (CIDR) • Hvilket betyder at den enkelte organisation har kunnet klare sig med meget få unikke globale IP adresser

9 9 Hvornår skal man skifte til IPv6? • Man skal ikke bare skifte til IPv6 • Man skal i stedet også anvende IPv6 • Tiden er inde nu til at begynde migrering til IPv6 • Migrering kan foregå langsomt, hvis man starter tidligt • Start med interne forsøg for at forstå forskellene • Tal med din ISP for at høre om mulighederne for at blive forbundet til IPv6 delen af Internettet

10 10 Hvorfor skal man implementere IPv6 • IPv6 implementering er nødvendig fordi alle IPv4 adresser snart er brugt op. • Antallet af applikationer og enheder som skal bruge IP adresser for at kunne kommunikere over Internettet er stærkt stigende. • Ifølge IANA (Internet Assigned Numbers Authority) vil antallet af ikke allokerede IPv4 adresser være 0 i Q1 2011, medens det forventes at de lokale Internet Registre vil have opbrugt deres puljer senest i Q • Fra slutningen af 2011 vil nye enheder og services være nød til at anvende IPv6 adresser, da det ikke vil være muligt at få en global IPv4 adresse. • Hvis der skal kommunikeres med disse IPv6 enheder, så skal der konvergeres til IPv6, enten direkte eller via en translation gateway.

11 11 Forskelle mellem IPv4 og IPv6 • Større adresse rum Den væsentligste grund til at IPv6 vinder indpas er muligheden for at få mange flere adresser at råde over. IPv6 giver mulighed for at anvende IP adresser som er 128 bits lange mod IPv4 som kun tillader en adresselængde på 32 bit. Hermed løses problemet med for få IP adresser, og det bliver ikke længere nødvendigt at anvende NAT. • Automatisk adresse konfiguration (Stateless Address Auto-Configuration=SLAAC) En IPv6 host kan få IP adresser på følgende 3 måder: -Automatisk ved at anvende ICMPv6 router discovery messages -Ved hjælp af DHCP -Manuelt tildelt IP adresse • Multicast Mulitcast er en standard del af IPv6 specifikationer, denne feature var fra start af en del IPv6, hvorimod IPv4 ikke havde mulitcast support fra start af. Ligeledes er der betydeligt flere multicast adresser til rådighed. • Ensartet header format Fast længde på header formatet. Fragmentering udføres af hosten selv, ikke af routerne. Nye metoder til at kunne markere pakker som, skal have en speciel behandling gennem netværket (for eks. QOS) • Sikkerhed på netværket IPsec, protokollen som anvendes til netværks kryptering, er en integreret del af basis protokollen i IPv6, hvor den i IPv4 var en option.

12 12 IPv6 – antal mulige adresser • IPv4 anvender 32 bits adresser – = ~ mulige IP adresser – CIDR og NAT teknikker anvendes i høj grad til at få mest muligt ud af det eksisterende adresse rum • IPv6 anvender 128 bits adresser – = mulige IP adresser! (340 Sekstillioner (10 36 )) – = mere end rigeligt! – Giver mulighed for en skalerbar, simpel og nemt forståelig adresseplan

13 13 IPv6 – opbygning af adresse - 1 • En IPv6 adresse er opbygget af 8 individuelle grupper af hver sin 16 bits hexadecimale værdi. En typisk adresse kan se ud som den her viste: – 2001:0db8:1234:5678:9abc:def0:1234:5678 • Det er muligt at forkorte en IPv6 adresse – Foranstillet nul (0) kan helt undlades • Gentagne tilfælde af flere sæt med rene nuller kan noteres som (::) – 2001:0db8:0000:130F :0000:0000: 087C:140B – Bliver efter trunkering til – 2001:db8:0:130F::8 7C :140B • Dobbelte kolons kan dog kun forekomme engang i adressen! • Netværk præfix kan vises på samme måde som IPv4 CIDR: – /24 • Netværk præfix for et IPv6 netværk kan vises som (trunkeret først): – 2001:db8:12::/64 – 2001:0db8:0012:0000:/64

14 14 IPv6 – opbygning af adresse - 2 • IP adressen er delt i en netværksdel og en host del. Default er altid at der er afsat 64 bits til hver del. Dette kan godt ændres – men det er ikke tilrådeligt! • Der er som tidligere nævnt 3 måder hvorpå en host kan få en IPv6 adresse: – Automatisk selvgenereret IP adresse* – Manuelt indtastet IP adresse – DHCP tildelt IP adresse * Selvgenereret IP adresse er netværks ID hentet fra nærmeste router efterfulgt af en host ID som indeholder enten enhedens 48 bit MAC adresse, splittet på midten med indsat FFFE, sådan at der i alt er 64 bit, eller en random generet host ID adresse.

15 15 De forskellige typer af IPv6 adresser • Unicast Adresse – Denne adresse identificerer en enkelt node/interface. Trafik sendt til en Unicast adresse sendes kun til et enkelt interface • Multicast Adresse – Denne adresse identificerer en gruppe af enheder/interfaces. Trafik sendt til en Multicast adresse sendes til alle enheder i gruppen. • Anycast Adresse – Denne adresse identificerer også en gruppe af enheder/interfaces. Trafik sendt til en Anycast adresse sendes til den den nærmeste enhed i netværket som lytter på anycast adressen. En Anycast adresse er f.eks. en Unicast adresse som er tildelt flere enheder og som har en Host ID = 0000:0000:0000:0000 (Subnet-router anycast address) • Der findes ikke nogen broadcast adresse mere i IPv6! De anses for at være for ressource tunge, IPv6 bruger Multicast adresser i stedet.

16 16 Unicast IPv6 adresser • Unicast adressen kan være en af følgende typer – Global adresse – kan routes over Internettet – Local adresse – tildelt og administreret i organisationen, kan ikke anvendes på Internettet – Link local adresse – tildeles altid af enheden selv, anvendes ved kommunikation på eget segment (Kræver kun at man tænder for IPv6 på interfacet) • Eksempel fra Cisco router: Vlan1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::216:47FF:FE80:6AC0 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:1234:5678::1622, subnet is 2001:DB8:1234:5678::/64

17 17 Unicast IPv6 adresser • En global unicast adresse kan tildeles på følgende måder – Manuelt indtastet – her angives, som ved IPv4 en adresse, en prefix længde og en default gateway (Link local adressen på nærmeste gateway) – Autogeneret adresse, hvor prefix hentes fra nærmeste router ved hjælp af router discovery messages fra klient. Host delen kan genereres på to måder • Randomiseret adresse genereret af klienten selv • Anvend MAC adresse med indføjet FFFE i midten af host delen af IPv6 adressen Eks. på selvgeneret IP host del, baseret på MAC adressen. Bemærk at en EUI adresse kendes på at bit 2 er sat i den anden byte af den oprindelige adresse Ethernet ID 00:23:6c:85:c9:8d IPv6 adresse: 2002:5ab8:f42e:0000:0223:6cff:fe85:c98d

18 18 Eksempel på en IPv6 adresse (Apple) • Her vises en hvordan en Apple MAC har selvgenereret en IPv6 adresse ud fra routerens netværks adresse 2001:DB8:1234:5678:/64. Ethernet kortets MAC adresse er ”00:23:32:d5:b8:e4” (bemærk at anden byte=2)

19 19 Eksempel på en IPv6 adresse-1 (Windows7) • Microsoft anvender som default ikke EUI64 adresser. De genererer en random IPv6 adresse, som forhåbentlig er unik. Yderligere optræder en midlertidig IPv6 adresse. Man kan diskutere om Microsofts løsning er bedre, men det er kun MS der ikke vil anvende EUI64 per default. Problemet med duplicate IP adresser er muligt, men nok ikke videre sandsynligt. Autogenereret random adresse Indikation på autogeneret adresse

20 20 Eksempel på en IPv6 adresse-2 (Windows7) • Windows7 kan omkonfigureres til at anvende EUI64 adresser: – netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent Slår randomisering af IP adressen fra, nu anvendes standard EUI64 adressering – netsh interface ipv6 set privacy state=disabled store=persistent Slår brug af midlertidige IPv6 adresser fra – kun en global IPv6 adresse anvendes Autogenereret EUI64 adresse

21 21 Eksempel på en IPv6 adresse (HP printer) • Her ses et eksempel på en HP printer der har fået tildelt en DHCP IPv6 adresse via en DHCP server hvor netværks præfix er 2001:DB8:1234:5678:/64. Ethernet kortets MAC adresse er ” 00:21:5a:97:fb:e8” (bemærk at anden byte=2 for den autogenerede adresse!) Autogenereret DHCP tildelt Indikation på autogeneret adresse

22 22 DNS i IPv6 DNS anvendes til at oversætte logiske navne til en IP adresser. • I IPv4 anvendes A records til at definere en host – I IPv4 kan en forward (A) record se ud som følger: www IN A – Den tilsvarende reverse PTR record kunne da se ud som: in-addr.arpa PTR • I IPv6 anvendes AAAA records til at definere en host – I IPv6 kan en forward (AAAA) record se ud som følger: www IN AAAA 2001:ec8:4008::1234:5678:9abc:def0 – Den tilsvarende reverse PTR record kunne da se ud som: f0.de.bc.9a c8.e.1.20.ipv6.arpa PTR www6.netplan.dk.

23 23 DNS server opsummering • Ny syntaks, men samme opbygning af DNS server • Eksisterende DNS server supporterer måske ikke IPv6? • Opgrader til DNS server der kan supportere IPVv6 • DNS server vil være en typisk dual-stack applikation og være DNS for både IPv4 og IPv6 Reference til to IPv6 DNS produkter: SolidDNS: Cisco Network Registrar:

24 24 Hierarkisk adressering og aggregering • Her ses tydeligt idéen bag den hierarkiske opbygning af det offentlige Internet med IPv6 adressering • En ISP’er ejer alle adresser startende med 2001:0DB8::/32 • Til kunde 1 uddeles 2001:DB8:0001::/48 – til kunde 2 uddeles 2001:DB8:0002::/48 • Kunde1 opdeler eget netværk i to segmenter: -2001:DB8:0001:0001::/ :DB8:0001:0002::/64

25 25 IP adresseplan – forskellige valg • Med IPv6 er der forskellige muligheder for at designe netværket 1.Anvend ULA IPv6 adresser overalt – I dag findes der ikke nogen IPv6 NAT mulighed som kan anvendes i et produktionsnetværk 2.Anvend både ULA og Globale IPv6 adresser – Er den mest avancerede løsning, men også mere besværligt at håndtere med hensyn til DHCP, DNS, routning og sikkerhed – husk at access lister ikke altid fungerer helt efter hensigten! 3.Anvend kun Globale IPv6 adresser – Anbefalet løsning, men sikkerheds folkene vil måske mene at egen netværkstopologi ikke skal vises for uvedkommende

26 26 Anvend ULA IPv6 adresser • Dette sikrer intern kommunikation og fuld frihed til at designe netværket som man vil. • Der vil dog ikke være direkte kommunikation til Internettet. • Der eksisterer en RFC4193 der beskriver hvilke IPv6 adresser der ikke benyttes på det offentlige Internet • Husk at anvende access-lister så ULA adresser ikke slipper ud på det offentlige Internet! • Netplans ULA adresse er fd7d:af53:d532::/48 registreret hos

27 27 Eksempel på et rent ULA setup • Alle enheder anvender en unik intern adresse • Der skal findes en NAT enhed der kan supportere IPv6 eller en proxy server som kan håndtere IPv6. • Der skal være access filtre der forhindrer at ULA adresse slipper ud på Internettet • Fungerer som i dag med IPv4, bortset fra at der ikke er nogen skalerbare NAT/Proxy løsninger i dag. • Fjerner ikke fordelene ved ikke længere at skulle anvende NAT mod Internettet (Problem med globale multicast, eller ingen end-to-end kommunikation uden NAT)

28 28 Eksempel på et ULA+Global setup • Der anvendes både ULA og globale adresser, dog har interne host kun en ULA adresse • SAS (Source address selection) anvendes til at bestemme hvilken adresse enheden bruger til at kommunikere med. • Enheder med kun en ULA adresse og enheder med kun en global adresse kan tale med hinanden internt i organisationen. • Der er et stort management overhead – DHCP, DNS, routing og sikkerhed … • Husk access filtre på Internet forbindelse – ULA adresser må ikke slippe ud

29 29 Retningslinier ved at vælge ULA+Global • Anvend DHCPv6 for både ULA og Global adresser — og anvend forskellige policies for begge (Lifetime, optioner osv) • Check at routing virker for begge – kan man nå AD og DNS servere uafhængig af hvilken adresse type man har? • QoS, ACL, load-balancers skal konfigureres til at håndtere de rigtige IP segmenter • Hvis man anvender SLAAC for begge typer af adresser, så husk at hvis man disabler Windows Privacy, så gælder det for begge type adresser. Det betyder at enten anvendes ingen temporære adresser og EUI64 overalt, ellers er det random og temporære adresser for alle! • En mulighed kunne være at anvende DHCPv6 for ULA, og SLAAC for de lokale IP adresser. Så kan man skille det ad ved at anvende forskellige scope options. • SAS opførsel er OS afhængigt – og der har været set problemer med at få dette til at virke pålideligt

30 30 Eksempel på et rent Global setup • Der anvendes globale IPv6 adresser overalt • Ingen problemer med SAS • Der anvendes ikke NAT ved kommunikation med Internettet • Nemmere håndtering af DHCP, DNS, sikkerhed osv. • Eneste minus er, at man bryder den indbyggede vane hvor sikkerheds guruerne siger at der altid skal udføres NAT når interne enheder kommunikerer med Internettet. - 

31 31 IPv6 – hvad skal der gøres • Find det sted i netværket hvor integration af IPv6 skal starte • Redegør klart for hvordan netværket er opbygget, anvend eventuelt forskellige netværks værktøjer til at dokumentere dette • Definer IPv6 sikkerheds forskrifter og disses afhængigheder (FW etc.) • Hvis der er andre IPv6 afhængigheder, så skal dette beskrives (Applikationer etc) • Find det sted i netværket hvor integration af IPv6 skal starte • Redegør klart for hvordan netværket er opbygget, anvend eventuelt forskellige netværks værktøjer til at dokumentere dette • Definer IPv6 sikkerheds forskrifter og disses afhængigheder (FW etc.) • Hvis der er andre IPv6 afhængigheder, så skal dette beskrives (Applikationer etc) Pre installations fase • Overvej hvilken IPv6 installationsmodel der skal vælges (ULA + Global ?) • Campus IPv6 integrations muligheder • WAN IPv6 integrations muligheder • Avancerede IPv6 service muligheder • Overvej hvilken IPv6 installationsmodel der skal vælges (ULA + Global ?) • Campus IPv6 integrations muligheder • WAN IPv6 integrations muligheder • Avancerede IPv6 service muligheder Installations fase

32 32 Integration / sameksistens 1.Implementer dual stacks på hosts 2.Implementer dual stacks på Campus switche 3.Implementer dual stacks på WAN/campus og core/edge routere 4.Anvend NAT-PT for de server der aldrig kommer til at køre IPv6

33 33 Pre installations checkliste  Find et egnet startpunkt for IPv6. Foretag en netværks analyse af eksisterende situation, definer retningslinjer for netværks sikkerhed  Tal med din ISP og få en IPv6 adresse blok. Ud fra denne skal en IPv6 adresseplan genereres  Opbyg et lab med routere, switche og hosts med de relevante styresystemer, som kan emulere alle tænkte IPv6 scenarier – husk at budgettere med dette -   Opgradere DNS/DHCP server til at kunne supportere IPv6  Opbyg en network management platform der kan håndtere IPv6  Der skal vælges/evalueres en routnings protokol. Hvis der skal anvendes multicast, så skal det også tænkes ind. Se hvilke valg der er gjort på IPv4 og genanvend hvis muligt.  Hvis nødvendigt, så kan MS ISATAP anvendes midlertidigt  Evaluer om nuværende ISP har en IPv6 kapabel løsning klar, eller skift til anden ISP der har.

34 34 Konklusioner • Start nu med at tilegne dig viden om IPv6 – anvend bøger, præsentationer og dit eget lab udstyr • Opret et virtuelt team med repræsentanter fra alle områder af IT for at sikre dækning af operativsystemer, applikationer, netværk og operation/management. • Microsoft Windows 7 and Server 2008 har som default IPv6 installeret og konfigureret – man skal forstå at dette allerede nu har en indflydelse på netværket. • Følgende skal klart overvejes: – Fuld paritet mellem IPv4 og IPv6 er måske nok målet, men det er ikke en realitet i dag. – Hold skarpt øje med de nye standarder indenfor området

35 35 Spørgsmål ? Har Netplan en IPv6 adresse? Ja: 2001:6c8:700:1::100


Download ppt "Rådgivning – når viden gør en forskel 1. 2 Hvad siges der i medierne - 1 • Computerworld d. 20 september 2010."

Lignende præsentationer


Annoncer fra Google