Tutorial: IPv6 im gewachsenen LAN - heise online

Der Beginn Das Netz Betriebssysteme Anwendungen Heute

Tutorial: IPv6 im gewachsenen LANund eigentlich auch sonst uberall ...

Bernhard Schmidt

[email protected]@teleport-iabg.de

[email protected]

21. Mai 2010


Eigenvorstellung

aktiv in der IPv6-Welt seit Mitte 2001Einfuhrung und produktiver Betrieb von IPv6 bei mehrerennationalen Providernaktuell:

Student Informatik an der LMU MunchenNetzplanung am Leibniz-RechenzentrumNetzdesign und -betrieb des IABG Teleportsfreiberuflicher BeraterSixXS Oper...


Agenda

Der BeginnVorarbeitenAddressplanwichtige Entscheidungen

Das NetzRouter / BackboneSicherheit

BetriebssystemeApplikationen


Ziel dieses Vortrags

Ausrollen von IPv6 ist machbarGedankenanstoßeErfahrungsaustausch

IPv6 ist keine Magie

Ich bitte um rege Diskussion


Ziel dieses Vortrags

Ausrollen von IPv6 ist machbarGedankenanstoßeErfahrungsaustausch

IPv6 ist keine Magie

Ich bitte um rege Diskussion


Das LRZ als Beispiel

gegrundet 1962 durch die “Kommission fur elektronischesRechnen”gemeinsames Rechenzentrum derLudwig-Maximilians-Universitat Munchen, der TechnischenUniversitat Munchen und der Bayerischen Akademie derWissenschaftenweitere Kunden sind die Hochschule Munchen (HM),Hochschule Weihenstephan-Triesdorf (HWST), DeutschesHerzzentrum Munchen, Hochschule fur Film- undFernsehen und viele weitere80.000 Studenten und 26.000 Mitarbeiter derEinrichtungen


Das LRZ als Beispiel (cont.)

150 MitarbeiterBetrieb des Munchner Wissenschaftsnetzes

60 Standorte (440 Gebaude) im Großraum Munchengut 1000 Switches, 1300 Accesspoints65000 verbundene Systeme - Anbindung bis zur Dose

Zentrale IT-Dienste fur die UniversitatenMail, DNS, Webserver, Directory, Speicherplatz, Firewalls...

HochleistungsrechnenBundeshochstleistungsrechner HLRB IIverschiedene Rechen-Cluster fur Bayerische undMunchner Einrichtungen

Forschung

Mischung aus Provider- und Enterprise-Netz


Ausgangssituation November 2004

sternformige Topologie mit 10GE-Links12 Cisco Catalyst 6509 mit Sup720OSPFv2 als IGP, BGP-Multihoming mit dem DFN undM-net

kein nennenswertes IPv6!


Ausgangssituation November 2004

sternformige Topologie mit 10GE-Links12 Cisco Catalyst 6509 mit Sup720OSPFv2 als IGP, BGP-Multihoming mit dem DFN undM-net

kein nennenswertes IPv6!


DFN


Testnetz

kein IPv6 im G-WiN (DFN) verfugbaraber: 6WiN-Projekt von JOIN (Uni Munster)Labornetz

Spare-Router als IPv4-Host in einem TestnetzIPv6-in-IPv4 Tunnel zum 6WiN-Router in Erlangenerste Tests (ping6, traceroute6, “Dancing Turtle”) vondedizierten Hosts, direkt am Testrouter angeschlossenbestehende Infrastruktur wird nicht verandert (keinDualstack im Netz)


Testnetz

Organisatorisch (Vortrage und Schulungen):Lobbyarbeit“Was wird passieren?”PrivacybedenkenEinweisung der fur das Netz zustandigen Mitarbeiter

Technisch:Dual-Stack Betrieb in einzelnen VLANs durch dediziertenIPv6-Routervorerst mit deaktiviertem SLAAC (manuelle Konfiguration)ausgewahlte Dienste bekommen IPv6

Mitarbeiternetz bekommt IPv6!


Testnetz

Organisatorisch (Vortrage und Schulungen):Lobbyarbeit“Was wird passieren?”PrivacybedenkenEinweisung der fur das Netz zustandigen Mitarbeiter

Technisch:Dual-Stack Betrieb in einzelnen VLANs durch dediziertenIPv6-Routervorerst mit deaktiviertem SLAAC (manuelle Konfiguration)ausgewahlte Dienste bekommen IPv6Mitarbeiternetz bekommt IPv6!


DFN


DFN


DFN

M-net


externer Adressbereich

Verschiedene Optionen fur den globalen AddressbereichNutzung eines PA-Assignments (/48 oder großer) desUpstreamsBGP-Multihoming mit dem PA-Assignment“Wir sind Endnutzer”: Nutzung eines PIv6-Assignments(/48 oder großer) und Multihoming“Wir sind ISP”: RIPE-Mitgliedschaft (LIR), Nutzung einerPA-Allocation (/32) und Multihoming


Am LRZ:PIv6 stand 2005 noch nicht zur VerfugungEntscheidung fur RIPE-Mitgliedschaft im Marz 2005Papierkrieg bis Ende MaiEinsenden des Antragsformulars am 24. Mai 2005Zuweisung von 2001:4ca0::/32 durch RIPE eine Stundespater


interner Adressbereich

extern = intern

extern =! intern (ULA – RFC 4193)1:1 NAT (NAT66)ALG in der DMZglobale Adresse routen/tunneln


ISP

2001:db8:1234::/48

Intranet

2001:db8:1234::/48

2001:db8:1234:1::abcdRoutende

Firewall

extern = intern


ISP

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcd

???

extern != intern


ISP

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcdFirewall

mit 1:1 NAT

NAT66 (2001:db8:1234::/48 ⇔ fc01:2345:6789::/48)


ISP

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcd

Proxyserver

ALG / Proxyserver


ISP

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcd

+ 2001:db8:1234:1::abcdFirewall/VPN

Public IP

globale Adresse routen/tunneln


Subnet

Vergabe der Subnetz-ID (16-32 Bit) aufgrund mehrererVerfahren:

basierend auf Layer2-Informationen (z.B. 802.1q VLAN-ID)basierend auf Layer3 IPv4-Adressenbasierend auf geographischem oder (netz)topologischemStandortbasierend auf Organisationsstruktur


Addressplan

IPv4-Denken ablegenLucken und dunne Ausnutzung sind normalnicht ubertreiben, nicht zu einfach machenPlatz fur spatere Erweiterungen lassen


2001:4CA0:****::/32 MWN2001:4CA0:0***::/36 sonstiges2001:4CA0:0000::/48 LRZ2001:4CA0:01**::/40 Housing fuer Fremdprojekte2001:4CA0:0100::/48 kde.org2001:4CA0:0103::/48 M94.52001:4CA0:02**::/40 Studentenwohnheime Studentenwerk2001:4CA0:0200::/48 Studentenwohnheim StuSta2001:4CA0:03**::/40 Studentenwohnheime andere2001:4CA0:0300::/48 Studentenwohnheim Ottonia2001:4CA0:0301::/48 Studentenwohnheim Spanisches Kolleg2001:4CA0:2***::/36 TUM2001:4CA0:20**::/40 IN Informatik (csr1-kw5 Vlan54)2001:4CA0:21**::/40 MA Mathematik (csr1-kw5 Vlan54)2001:4CA0:22**::/40 EI Elektrotechnik2001:4CA0:2201::/48 LDV Lehrstuhl fuer Datenverarbeitung2001:4CA0:2202::/48 ISAR Lehrstuhl fur Reaktordynamik und Reaktorsicherheit2001:4CA0:2203::/48 LKN Lehrstuhl fuer Kommunikationsnetze2001:4CA0:2204::/48 Lehrstuhl fuer Hochspannungs- und Anlagentechnik2001:4CA0:23**::/40 MW Maschinenwesen2001:4CA0:2301::/48 TD Thermodynamik2001:4CA0:2302::/48 LFE Lehrstuhl fuer Ergonomie2001:4CA0:2F**::/40 Zentrale Einrichtungen2001:4CA0:3***::/36 TUM - reserviert fur weiteren Bedarf


2001:4CA0:4***::/36 LMU2001:4CA0:40**::/40 IN Informatik2001:4CA0:41**::/40 PH Physik2001:4CA0:4101::/48 USM Uni-Sternwarte2001:4CA0:4102::/48 MLL Maier-Leibnitz Labor2001:4CA0:4F**::/40 Zentrale Einrichtungen2001:4CA0:4F01::/48 CIS - Centrum fur Informations- und Sprachverarbeitung2001:4CA0:4F02::/48 Studentischer Sprecherrat2001:4CA0:4F03::/48 GAF - Gruppe Aktiver FachschafterInnen (Fachschaft Info/Mathe/Physik)2001:4CA0:5***::/36 LMU - reserviert fur weiteren Bedarf2001:4CA0:6***::/36 HM - Hochschule Munchen2001:4CA0:7***::/36 HW - Hochschule Weihenstephan


2001:4CA0:0000:****::/48 LRZ-Bereich2001:4CA0:0000:00**::/56 LRZ-Backbone2001:4CA0:0000:0000::/64 Router Loopbackadressen2001:4CA0:0000:0001::/64 Backbone-Transfernetz Vlan9982001:4CA0:0000:01**::/56 Server2001:4CA0:0000:0100::/64 Server Loopback-Adressen und Anycast (diverse)2001:4CA0:0000:0101::/64 10er Netz (vss1-2wr Vlan60)2001:4CA0:0000:0103::/64 LRZ DMZ (csr1-2wr Vlan6)2001:4CA0:0000:01FE::/64 VMware-SLB-Netz (10.156.5.0/24, hinter F5-Loadbalancern)2001:4CA0:0000:01FF::/64 SLB-Netz (10.155.5.0/24, hinter F5-Loadbalancern)2001:4CA0:0000:02**::/56 HLS (HLRB, Grid, Cluster)2001:4CA0:0000:0200::/64 Hauptnetz (swy1-2wr Vlan67)2001:4CA0:0000:0201::/64 LCG - HEP GRID DMZ (swy1-2wr Vlan5)2001:4CA0:0000:0202::/64 Testnetz (swy1-2wr VLAN 29)2001:4CA0:0000:03**::/56 BDS2001:4CA0:0000:0300::/60 ADS2001:4CA0:0000:08**::/56 Management-Netze (Switches, Accesspoints)2001:4CA0:0000:08xy::/64 [ x = Bereich/Router, IDs wie bei 802.1x

y = sequentielle ID ]


2001:4CA0:0000:F***::/52 Clientnetze2001:4CA0:0000:F000::/64 LRZ-Mitarbeiternetz / 15er Netz (csr1-2wr Vlan23)2001:4CA0:0000:F010::/64 offentliche Benutzerarbeitsplatze (csr1-2wr Vlan3)2001:4CA0:0000:F2**::/56 802.1x WLAN2001:4CA0:0000:F200::/64 im Bereich WR/WL (csr1-2wr Vlan47)2001:4CA0:0000:F201::/64 im Bereich B (csr1-kb1 Vlan47)2001:4CA0:0000:F202::/64 im Bereich W (csr1-kw5 Vlan47)2001:4CA0:0000:F203::/64 im Bereich G (csr1-0gz Vlan47)2001:4CA0:0000:F205::/64 im Bereich R (csr1-kra Vlan47)2001:4CA0:0000:F206::/64 im Bereich Q (csr1-0q1 Vlan47)2001:4CA0:0000:F207::/64 im Bereich I (csr1-kic Vlan47)2001:4CA0:0000:F208::/64 im Bereich B 2. Router (csr2-kb1 Vlan47)2001:4CA0:0000:F210::/64 im Bereich ZC (bro2zc)2001:4CA0:0000:F3**::/56 Veranstaltungsnetze (gleiche Unteraufteilung wie 802.1x)2001:4CA0:0000:F8**::/56 Transfernetze, keinen Kunden zugeordnet (z.B. shared)2001:4CA0:0000:F800::/64 csr1-0gz Vlan9262001:4CA0:0000:FE**::/56 Sonstige Clientnetze im MWN2001:4CA0:0000:FE00::/64 ISATAP Anycast (10.156.33.6, csr1-kb1 Tunnel7)2001:4CA0:0000:FE1X::/64 Cisco AnyConnect VPN-Netze (FE1X auf asa5k0x)2001:4CA0:0000:FF**::/56 Testnetze


Interface Identifier (Hostteil)

Stateless Address Autoconfiguration (SLAAC)stateful DHCPv6statische Konfiguration

linearbasierend auf IPv4-Informationen

198.51.100.123 = 2001:db8:1::192:51:100:123198.51.100.123 = 2001:db8:1::c033:647b =2001:db8:1::192.51.100.123198.51.100.123 = 2001:db8:1::123

basierend auf angebotenen Diensten2001:db8:1::53:1:1 = DNS1


Router

Know your enemyCisco Catalyst 6500 Sup720

kein IPv6 uRPF (Anti-Spoofing) in HardwareTunnel brauchen lokal eindeutigen Endpunkt“ipv6 nd ra suppress” bedeutet nicht “kein RA”

Cisco Catalyst 3560IPv6 ACLs fur Hosts nur im EUI-64 Format

Cisco Nexus 7000SLAAC nicht abschaltbarbei Failover wird ein RA versendet


Hostanbindung

native:wie gewohnt von IPv4Addressierung statisch, SLAAC oder DHCPv6 (siehe JensLink)Fehlende Sicherheitsfeatures in Layer2/Layer3-Equipmentmachen sich bemerkbar


ISP Natives IPv6

2001:db8:1:1::/64

2001:db8:1:1:211:22ff:fe33:4455


Redundanz

????


Router AdvertisementR1:interface Vlan123

ipv6 address 2001:db8::1:1/64ipv6 nd ra interval 10ipv6 nd ra lifetime 30ipv6 nd router-preference High

R2:interface Vlan123ipv6 address 2001:db8::1:2/64ipv6 nd ra interval 10ipv6 nd ra lifetime 30


IPv6 Anycast

R1:interface Vlan123

ipv6 address 2001:db8::1:1/64ipv6 address 2001:db8::1/64 anycast

R2:interface Vlan123ipv6 address 2001:db8::1:2/64ipv6 address 2001:db8::1/64 anycast


HSRPv6R1:interface Vlan123

ipv6 address 2001:db8::1:1/64standby version 2standby ipv6 fe80::1standby priority 110standby preempt

R2:interface Vlan123ipv6 address 2001:db8::1:2/64standby version 2standby ipv6 fe80::1


Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) –RFC 5214

automatischer Tunnel von IPv6 uber IPv4ahnlich zu 6to4

IPv4-Addresse in IPv6-Adresse kodiertstateless (einfache Redundanz der Relays)

aber:Addressraum des Betreibers, nicht 2002::/16findet das Relay uber DNS

Windows-Client: Implementation ab XPLinux-Client: Userspace-Daemon isatapd1

Relays auf Cisco, Linux, ???

1http://www.saschahlusiak.de/linux/isatap.htm

http://www.saschahlusiak.de/linux/isatap.htm


ISP Natives IPv6

IPv6 in IPv4

20

01:d

b8

:1::5

efe

:0a

0a

:bb

bb

10.10.187.187

ISATAP - einzelnes Relay


ISP Natives IPv6

IPv6 in IPv4

20

01:d

b8

:1::5

efe

:0a

0a

:bb

bb

10.10.187.187

ISATAP - redundante Relays


Transportnetze

meistens nur zwei Router in einem Transportnetzein /64 furchtbare Verschwendung?

NEIN

Es gibt allerdings andere Grunde ein kleineres Netz zukonfigurieren:

Neighbor Solicitations bei Scan auf Broadcast-MediumPing-Pong bei nicht-vergebener Adresse aufPunkt-zu-Punkt-Medium

Trotzdem /64 reservieren!


Transportnetze

meistens nur zwei Router in einem Transportnetzein /64 furchtbare Verschwendung? NEIN

Es gibt allerdings andere Grunde ein kleineres Netz zukonfigurieren:

Neighbor Solicitations bei Scan auf Broadcast-MediumPing-Pong bei nicht-vergebener Adresse aufPunkt-zu-Punkt-Medium

Trotzdem /64 reservieren!


Statistiken

Statistiken sind wichtigkeine expliziten Counter fur IPv6-Verkehr auf vielenPlattformen

Cisco: “show interface accounting” im CLI ... oder dochnicht?

Abhilfe: Seperate VLANs fur IPv4 und IPv6 im Backbone

R1 R2

Te1/1 Te1/1

Vlan 3001: Legacy IP

Vlan 3051: IPv6


Routingprotokolle

Verfugbare Routingprotokolle fur IPv6:RIPngEIGRPOSPFv3IS-IS

single-topology und multi-topology

BGP


Monitoring

“Seit wir IPv6 benutzen funktioniert xyz nicht mehr!” –schlechtMonitoring von Anfang an(Dienst-)Verfugbarkeit – NagiosLatenz und Paketverluste – SmokepingAußenanbindung nicht vergessen!

bestes Monitoring: selbst nutzen


Monitoring

“Seit wir IPv6 benutzen funktioniert xyz nicht mehr!” –schlechtMonitoring von Anfang an(Dienst-)Verfugbarkeit – NagiosLatenz und Paketverluste – SmokepingAußenanbindung nicht vergessen!bestes Monitoring: selbst nutzen


Firewalls

ICMP ist bose!

ICMP ist bose!ICMP-Filtern ist bose!


Firewalls

ICMP ist bose!

ICMP ist bose!ICMP-Filtern ist bose!


Linux ip(6)tables

kein Connection-Tracking vor 2.6.20kein IPv6-NAT (auch nicht 1:1)Neighbor/Router solicitation ist INVALID (bis etwa 2.6.30)Hinweis: ferm2 als ip(6)tables-Wrapper

2http://ferm.foo-projects.org/

http://ferm.foo-projects.org/


*BSD pf

keine Unterstutzung fur fragmentierte Pakete, Fragmentewerden geblocktCurrently, only IPv4 fragments aresupported and IPv6 fragments are blockedunconditionally.

kann IPv6 NAT und Redirect


Cisco FWSM

IPv6-Unterstutzung seit Version 3.1auch mehrere Kontextekein Support in der Java GUI (ASDM) – auch nicht mehrauf der Roadmapnur eine Adresse pro InterfaceICMPv6 (und damit Neighbor Solicitation/Advertisement)standardmaßig geblockt


Cisco ASA

IPv6 in der Java GUIIPv6-Unterstutzung als VPN-Server (AnyConnect)

dazu spater mehr

Failover mit 8.2(2)

nur eine Adresse pro InterfaceICMPv6 (und damit Neighbor Solicitation/Advertisement)standardmaßig geblockt


Andere Erfahrungen (Juniper, Checkpoint...)?


Rogue RA

Router Advertisement mit falschen Datenwie ein falscher DHCP-Server, nur schlimmer

mit Multicast an alle Rechnerkann nicht trivial uberschrieben werden

Windows mit aktiviertem ICS (Internet ConnectionSharing) und offentlicher IPv4-Addresse wird automatischzu 6to4-Host (gut) und zu IPv6-Router auf allenangeschlossenen Interfaces (ganz schlecht!)


Rogue RA

Router Advertisement mit falschen Datenwie ein falscher DHCP-Server, nur schlimmer

mit Multicast an alle Rechnerkann nicht trivial uberschrieben werden

Windows mit aktiviertem ICS (Internet ConnectionSharing) und offentlicher IPv4-Addresse wird automatischzu 6to4-Host (gut) und zu IPv6-Router auf allenangeschlossenen Interfaces (ganz schlecht!)


IETF-Draft3 fur Filterung, aber noch nirgends implementiertteilweise Layer3-ACLs auf Switchessonstige Filterfunktionen (z.B. HP/Colubris pcap-Filter)Erkennen und Reagieren

ndpmon4

ramond5

3http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-04

4http://ndpmon.sf.net5http://ramond.sf.net

http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-04

http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-04

http://ndpmon.sf.net

http://ramond.sf.net


Nachverfolgbarkeit von IPv6-Adressen

264 mogliche Adressen im SubnetzPrivacy Extensions

Losung:Tool (Nyx6) pollt alle Gerate und schreibt alleNeighbor-Eintrage der Router und alle MAC-Tabellen derSwitches in eine Datenbankerneut ndpmon

6http://nyx.sf.net

http://nyx.sf.net


VPN - Cisco AnyConnect

Server auf IOS 12.4(9)T oder ASA5500 SerieTLS/DTLS (nicht IPsec)Cisco-Client fur Windows, Linux, MacOS XOpensource-Client fur *nix CLI (openconnect)Bugs

Fehler und Abbruch auf nicht-englischem Windows XPnach Verbindungsabbau gelegentlich normales IPv6 gestortpMTU-Discovery zum Client funktioniert nicht


VPN - OpenVPN

kein IPv6-Support in OpenVPNRA/DHCPv6 im Ethernet-Modus (tap)manuelle Konfiguration im Point-to-Point tun-Moduskein IPv6 im Point-to-Multipoint-Modus

IPv6-Transport-Patch von JuanJo Carliante7

IPv6-Payload-Patch von Gert Doring8

beide Patches im openvpn-testing git-Repository9

Binary-Pakete verfugbar

7http://github.com/jjo/openvpn-ipv68http://www.greenie.net/ipv6/openvpn.html9git://openvpn.git.sourceforge.net/gitroot/openvpn/

openvpn-testing.git

http://github.com/jjo/openvpn-ipv6

http://www.greenie.net/ipv6/openvpn.html

git://openvpn.git.sourceforge.net/gitroot/openvpn/openvpn-testing.git

git://openvpn.git.sourceforge.net/gitroot/openvpn/openvpn-testing.git


VPN - sonstige

⇒ ISATAP


Linux generell

Konflikt zwischen /etc/sysctl.conf und Laden desModulsifconfig und route deprecated, bitte ip nutzensporadisch Probleme mit Offloading

man ethtoolsporadisch Probleme mit Multicast Filtern

ip link set eth0 allmulticast on

Netfilter-Einschrankungen – siehe FirewallsRacecondition beim Boot (IPv6-Addressen im Statustentative)


SuSE / SLES

Hostfirewall in Standardkonfiguration (SuSEFirewall), vorSLES 11 nahezu unbenutzbarDefault On-Link Assumption in SLES 9 — gefixtKernel Crash mit SMP und viel IPv6 UDP in SLES 10.1 —gefixtIPV6 AUTOCONF Variable bis SLES 10


Debian / Ubuntu

bindv6only-Anderung in Debian SqueezeIPv6 mittlerweile fest im Kernel → Modul blacklisten bringtnichts mehrxen-dom0-Kernel Version 2.6.18


RHEL / CentOS

manuell konfigurierte Default-Route in RHEL/CentOS 5.0bis 5.2 gestort


Windows

Windows-Firewall schutzt das System inStandardeinstellungen3rd-Party VPN-Clients und “Personal Firewalls” storengerne IPv6oder: “Personal Firewalls” schaltet IPv6-fahigeWindows-Firewall ab und filtert nur IPv4Windows XP

Reboot nach Installation von IPv6 tut gutGelegentlich nichtssagende Fehlermeldung bei derInstallation10

Aufpassen mit ICSPrivacy Extensions standardmaßig angeschaltetWindows 7: feste Autoconfig-Adresse ist nicht EUI-64

10http://blog.karotte.org/archives/160-Windows-XP-IPv6-Fehler.html

http://blog.karotte.org/archives/160-Windows-XP-IPv6-Fehler.html

http://blog.karotte.org/archives/160-Windows-XP-IPv6-Fehler.html


MacOS X

Bug: keine Unterstutzung von RFC 3484 (AddressSelection AKA Prefix Policy) — IPv6 wird immer praferiertBug Bug: keinerlei IPv4/IPv6-Praferenz in Snow Leopard(10.6)


DNS

IPv6-Transport (DNS in IPv6 UDP/TCP)funktioniert einfach

Ausnahme: tinydns

bei der Verwendung von ACLs oder Views an IPv6 denkenDNS (insbesondere DNSSEC) benotigt Fragmente undTCP – Aufpassen mit Firewalls

Windows XP kann eigentlich kein DNS uber IPv6fest konfiguriert auf fec0:0:0:ffff::1 ... ::3

DHCPv6 (stateless und stateful)RFC 5006 (DNS in RA)von Hand konfiguriert

authoritativ einfach AAAA-Record fur Nameserver listenGlue nice-to-have, aber noch nicht zwingend


DNS (cont.)

IPv6-Records (AAAA-Records)funktioniert einfach

Ausnahme: tinydns

fur Tests eine ipv6.firma.de Zone vorhaltenReverse-Eintrage von Hand sind muhsam – rechtzeitigautomatisierenEintrage anfangs mit kleinen TTLs


Mail

Eingehende Mails (MX):IPv6-only MX nicht 100% zuverlassigReverse-DNS-Situation in IPv6 schlechter – nicht wegenfehlendem rDNS abweisenauf Kompatibilitat der restlichen Infrastruktur achten(beispielsweise milter oder Postfix Policy-Daemons)Verhalten mit DNSBL (Problemfall Exim)Failover-Verhalten nach temporaren Fehler (4xx) oderVerbindungsabbruch unterschiedlich

Auswirkungen auf GreylistingZeichen von pMTU-Discovery-Problemen


Mail (cont.)

Ausgehende Mails (Mailout)

Annahme vom Client (Submit):vor Listing des AAAA-Records unbedingt ACLs undBerechtigungen uberprufen

wenn relevant, 6to4 bedenkenTeredo kritisch, im Zweifelsfall REJECT in der Firewall

funktioniert einfach

Zustellung:vor Aktivierung auf funktionsfahiges Reverse-DNS achtenauf Zeichen von pMTU-Problemen achtenPostfix smtp mx address limit



Web

Webserver:vor Listing des AAAA-Records unbedingt ACLs undBerechtigungen uberprufen

.htaccess bedenkenim Zweifelsfall einzelne Hostnamen IPv4-only lassen

Tests mit Eintragen in /etc/hosts

auf alten Systemen selten sendfile()-Probleme – Downloadtesten



Webproxies

Proxies:polipo11

Apache mit mod proxySquid 3.1

funktioniert weitgehend

11http://www.pps.jussieu.fr/˜jch/software/polipo/

http://www.pps.jussieu.fr/~jch/software/polipo/


CIFS/SMB

CIFS/SMB - Windows Netzwerkfreigabenkein Support in Windows XPproblemfrei in Windows Vista/7, Windows 2003/2008ServerSamba ab Version 3.2.0Linux Kernel (Client)

mit -o ip=2001:... seit Anfang 2007 (2.6.21?)mit DNS-Auflosung seit 2.6.30 (FIXME)

kein Support in MacOS Xsmbclient aus MacPorts

NetApp ONTAP ab Version 7.3


Voice-over-IP

Asterisk IPv6-Projekt12 mal wieder totsehr gute Alternativen in FreeSwitch13 oder pbxnsip14

Cisco Callmanager 7.1kaum Telefone verfugbar

Snom 3xx, 8xx halbherziges IPv6-onlySnom m9 (DECT) sehr gutes DualstackCisco (nur mit Callmanager)mehrere Softphones (linphone, SIP Communicator)Dual-Stack-Fehler auf Nokia E-Serie und Android (sipdroid)

kaum Gateways verfugbar

12http://www.asterisk-v6.org13http://www.freeswitch.org14http://www.pbxnsip.com/

http://www.asterisk-v6.org

http://www.freeswitch.org

http://www.pbxnsip.com/


Loadbalancer

F5 BigIPIPv6 Gateway Module kostenpflichtige ZusatzlizenzIPv4/IPv6 zum Client und zum Server, Mischung moglich

Citrix Netscalerab NSOS 8.1


sonstiges

Citrix Terminalserver (SecureDesktop?)Sophos AntivirusEcdysis NAT64/DNS64Google/Wikipedia Whitelisting


Heute

LRZ-Mitarbeiter sagen: “IPv6 ist selbstverstandlich”breites Know-HowIn den letzten 30 Tagen: 2500 (+500) verschiedene Clients(MAC-Adressen) mit IPv6 nach außen80 Assignmentsgroßes Herstellerinteressekeine nennenswerten Storungen


DFN

M-net




Benchmark

Nicht am LRZ

http://www.ioquake3.org

/connect cpma.rlogin.dk:27961

testet Loss, Jitter, Latenz



Benchmark

Nicht am LRZ






Benchmark

Nicht am LRZ






Danke fur die Aufmerksamkeit

Documents

Tutorial: IPv6 im gewachsenen LAN - heise online