Tutorial: IPv6 im gewachsenen LAN - heise online

Der Beginn Das Netz Betriebssysteme Anwendungen Heute

Tutorial: IPv6 im gewachsenen LANund eigentlich auch sonst uberall ...

Bernhard Schmidt

schmidt@lrz.debschmidt@teleport-iabg.de

berni@birkenwald.de

21. Mai 2010

Eigenvorstellung

aktiv in der IPv6-Welt seit Mitte 2001Einfuhrung und produktiver Betrieb von IPv6 bei mehrerennationalen Providernaktuell:

Student Informatik an der LMU MunchenNetzplanung am Leibniz-RechenzentrumNetzdesign und -betrieb des IABG Teleportsfreiberuflicher BeraterSixXS Oper...

Agenda

Der BeginnVorarbeitenAddressplanwichtige Entscheidungen

Das NetzRouter / BackboneSicherheit

BetriebssystemeApplikationen

Ziel dieses Vortrags

Ausrollen von IPv6 ist machbarGedankenanstoßeErfahrungsaustausch

IPv6 ist keine Magie

Ich bitte um rege Diskussion

Ziel dieses Vortrags

Ausrollen von IPv6 ist machbarGedankenanstoßeErfahrungsaustausch

IPv6 ist keine Magie

Ich bitte um rege Diskussion

Das LRZ als Beispiel

gegrundet 1962 durch die “Kommission fur elektronischesRechnen”gemeinsames Rechenzentrum derLudwig-Maximilians-Universitat Munchen, der TechnischenUniversitat Munchen und der Bayerischen Akademie derWissenschaftenweitere Kunden sind die Hochschule Munchen (HM),Hochschule Weihenstephan-Triesdorf (HWST), DeutschesHerzzentrum Munchen, Hochschule fur Film- undFernsehen und viele weitere80.000 Studenten und 26.000 Mitarbeiter derEinrichtungen

Das LRZ als Beispiel (cont.)

150 MitarbeiterBetrieb des Munchner Wissenschaftsnetzes

60 Standorte (440 Gebaude) im Großraum Munchengut 1000 Switches, 1300 Accesspoints65000 verbundene Systeme - Anbindung bis zur Dose

Zentrale IT-Dienste fur die UniversitatenMail, DNS, Webserver, Directory, Speicherplatz, Firewalls...

HochleistungsrechnenBundeshochstleistungsrechner HLRB IIverschiedene Rechen-Cluster fur Bayerische undMunchner Einrichtungen

Forschung

Mischung aus Provider- und Enterprise-Netz

Ausgangssituation November 2004

sternformige Topologie mit 10GE-Links12 Cisco Catalyst 6509 mit Sup720OSPFv2 als IGP, BGP-Multihoming mit dem DFN undM-net

kein nennenswertes IPv6!

Ausgangssituation November 2004

sternformige Topologie mit 10GE-Links12 Cisco Catalyst 6509 mit Sup720OSPFv2 als IGP, BGP-Multihoming mit dem DFN undM-net

kein nennenswertes IPv6!

Testnetz

kein IPv6 im G-WiN (DFN) verfugbaraber: 6WiN-Projekt von JOIN (Uni Munster)Labornetz

Spare-Router als IPv4-Host in einem TestnetzIPv6-in-IPv4 Tunnel zum 6WiN-Router in Erlangenerste Tests (ping6, traceroute6, “Dancing Turtle”) vondedizierten Hosts, direkt am Testrouter angeschlossenbestehende Infrastruktur wird nicht verandert (keinDualstack im Netz)

Testnetz

Organisatorisch (Vortrage und Schulungen):Lobbyarbeit“Was wird passieren?”PrivacybedenkenEinweisung der fur das Netz zustandigen Mitarbeiter

Technisch:Dual-Stack Betrieb in einzelnen VLANs durch dediziertenIPv6-Routervorerst mit deaktiviertem SLAAC (manuelle Konfiguration)ausgewahlte Dienste bekommen IPv6

Mitarbeiternetz bekommt IPv6!

Testnetz

Organisatorisch (Vortrage und Schulungen):Lobbyarbeit“Was wird passieren?”PrivacybedenkenEinweisung der fur das Netz zustandigen Mitarbeiter

Technisch:Dual-Stack Betrieb in einzelnen VLANs durch dediziertenIPv6-Routervorerst mit deaktiviertem SLAAC (manuelle Konfiguration)ausgewahlte Dienste bekommen IPv6Mitarbeiternetz bekommt IPv6!

externer Adressbereich

Verschiedene Optionen fur den globalen AddressbereichNutzung eines PA-Assignments (/48 oder großer) desUpstreamsBGP-Multihoming mit dem PA-Assignment“Wir sind Endnutzer”: Nutzung eines PIv6-Assignments(/48 oder großer) und Multihoming“Wir sind ISP”: RIPE-Mitgliedschaft (LIR), Nutzung einerPA-Allocation (/32) und Multihoming

Am LRZ:PIv6 stand 2005 noch nicht zur VerfugungEntscheidung fur RIPE-Mitgliedschaft im Marz 2005Papierkrieg bis Ende MaiEinsenden des Antragsformulars am 24. Mai 2005Zuweisung von 2001:4ca0::/32 durch RIPE eine Stundespater

interner Adressbereich

extern = intern

extern =! intern (ULA – RFC 4193)1:1 NAT (NAT66)ALG in der DMZglobale Adresse routen/tunneln

2001:db8:1234::/48

Intranet

2001:db8:1234::/48

2001:db8:1234:1::abcdRoutende

Firewall

extern = intern

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcd

extern != intern

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcdFirewall

mit 1:1 NAT

NAT66 (2001:db8:1234::/48 ⇔ fc01:2345:6789::/48)

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcd

Proxyserver

ALG / Proxyserver

2001:db8:1234::/48

Intranet

fc01:2345:6789::/48

fdc01:2345:6789:1::abcd

+ 2001:db8:1234:1::abcdFirewall/VPN

Public IP

globale Adresse routen/tunneln

Subnet

Vergabe der Subnetz-ID (16-32 Bit) aufgrund mehrererVerfahren:

basierend auf Layer2-Informationen (z.B. 802.1q VLAN-ID)basierend auf Layer3 IPv4-Adressenbasierend auf geographischem oder (netz)topologischemStandortbasierend auf Organisationsstruktur

Addressplan

IPv4-Denken ablegenLucken und dunne Ausnutzung sind normalnicht ubertreiben, nicht zu einfach machenPlatz fur spatere Erweiterungen lassen

2001:4CA0:****::/32 MWN2001:4CA0:0***::/36 sonstiges2001:4CA0:0000::/48 LRZ2001:4CA0:01**::/40 Housing fuer Fremdprojekte2001:4CA0:0100::/48 kde.org2001:4CA0:0103::/48 M94.52001:4CA0:02**::/40 Studentenwohnheime Studentenwerk2001:4CA0:0200::/48 Studentenwohnheim StuSta2001:4CA0:03**::/40 Studentenwohnheime andere2001:4CA0:0300::/48 Studentenwohnheim Ottonia2001:4CA0:0301::/48 Studentenwohnheim Spanisches Kolleg2001:4CA0:2***::/36 TUM2001:4CA0:20**::/40 IN Informatik (csr1-kw5 Vlan54)2001:4CA0:21**::/40 MA Mathematik (csr1-kw5 Vlan54)2001:4CA0:22**::/40 EI Elektrotechnik2001:4CA0:2201::/48 LDV Lehrstuhl fuer Datenverarbeitung2001:4CA0:2202::/48 ISAR Lehrstuhl fur Reaktordynamik und Reaktorsicherheit2001:4CA0:2203::/48 LKN Lehrstuhl fuer Kommunikationsnetze2001:4CA0:2204::/48 Lehrstuhl fuer Hochspannungs- und Anlagentechnik2001:4CA0:23**::/40 MW Maschinenwesen2001:4CA0:2301::/48 TD Thermodynamik2001:4CA0:2302::/48 LFE Lehrstuhl fuer Ergonomie2001:4CA0:2F**::/40 Zentrale Einrichtungen2001:4CA0:3***::/36 TUM - reserviert fur weiteren Bedarf

2001:4CA0:4***::/36 LMU2001:4CA0:40**::/40 IN Informatik2001:4CA0:41**::/40 PH Physik2001:4CA0:4101::/48 USM Uni-Sternwarte2001:4CA0:4102::/48 MLL Maier-Leibnitz Labor2001:4CA0:4F**::/40 Zentrale Einrichtungen2001:4CA0:4F01::/48 CIS - Centrum fur Informations- und Sprachverarbeitung2001:4CA0:4F02::/48 Studentischer Sprecherrat2001:4CA0:4F03::/48 GAF - Gruppe Aktiver FachschafterInnen (Fachschaft Info/Mathe/Physik)2001:4CA0:5***::/36 LMU - reserviert fur weiteren Bedarf2001:4CA0:6***::/36 HM - Hochschule Munchen2001:4CA0:7***::/36 HW - Hochschule Weihenstephan

2001:4CA0:0000:****::/48 LRZ-Bereich2001:4CA0:0000:00**::/56 LRZ-Backbone2001:4CA0:0000:0000::/64 Router Loopbackadressen2001:4CA0:0000:0001::/64 Backbone-Transfernetz Vlan9982001:4CA0:0000:01**::/56 Server2001:4CA0:0000:0100::/64 Server Loopback-Adressen und Anycast (diverse)2001:4CA0:0000:0101::/64 10er Netz (vss1-2wr Vlan60)2001:4CA0:0000:0103::/64 LRZ DMZ (csr1-2wr Vlan6)2001:4CA0:0000:01FE::/64 VMware-SLB-Netz (10.156.5.0/24, hinter F5-Loadbalancern)2001:4CA0:0000:01FF::/64 SLB-Netz (10.155.5.0/24, hinter F5-Loadbalancern)2001:4CA0:0000:02**::/56 HLS (HLRB, Grid, Cluster)2001:4CA0:0000:0200::/64 Hauptnetz (swy1-2wr Vlan67)2001:4CA0:0000:0201::/64 LCG - HEP GRID DMZ (swy1-2wr Vlan5)2001:4CA0:0000:0202::/64 Testnetz (swy1-2wr VLAN 29)2001:4CA0:0000:03**::/56 BDS2001:4CA0:0000:0300::/60 ADS2001:4CA0:0000:08**::/56 Management-Netze (Switches, Accesspoints)2001:4CA0:0000:08xy::/64 [ x = Bereich/Router, IDs wie bei 802.1x

y = sequentielle ID ]

2001:4CA0:0000:F***::/52 Clientnetze2001:4CA0:0000:F000::/64 LRZ-Mitarbeiternetz / 15er Netz (csr1-2wr Vlan23)2001:4CA0:0000:F010::/64 offentliche Benutzerarbeitsplatze (csr1-2wr Vlan3)2001:4CA0:0000:F2**::/56 802.1x WLAN2001:4CA0:0000:F200::/64 im Bereich WR/WL (csr1-2wr Vlan47)2001:4CA0:0000:F201::/64 im Bereich B (csr1-kb1 Vlan47)2001:4CA0:0000:F202::/64 im Bereich W (csr1-kw5 Vlan47)2001:4CA0:0000:F203::/64 im Bereich G (csr1-0gz Vlan47)2001:4CA0:0000:F205::/64 im Bereich R (csr1-kra Vlan47)2001:4CA0:0000:F206::/64 im Bereich Q (csr1-0q1 Vlan47)2001:4CA0:0000:F207::/64 im Bereich I (csr1-kic Vlan47)2001:4CA0:0000:F208::/64 im Bereich B 2. Router (csr2-kb1 Vlan47)2001:4CA0:0000:F210::/64 im Bereich ZC (bro2zc)2001:4CA0:0000:F3**::/56 Veranstaltungsnetze (gleiche Unteraufteilung wie 802.1x)2001:4CA0:0000:F8**::/56 Transfernetze, keinen Kunden zugeordnet (z.B. shared)2001:4CA0:0000:F800::/64 csr1-0gz Vlan9262001:4CA0:0000:FE**::/56 Sonstige Clientnetze im MWN2001:4CA0:0000:FE00::/64 ISATAP Anycast (10.156.33.6, csr1-kb1 Tunnel7)2001:4CA0:0000:FE1X::/64 Cisco AnyConnect VPN-Netze (FE1X auf asa5k0x)2001:4CA0:0000:FF**::/56 Testnetze

Interface Identifier (Hostteil)

Stateless Address Autoconfiguration (SLAAC)stateful DHCPv6statische Konfiguration

linearbasierend auf IPv4-Informationen

198.51.100.123 = 2001:db8:1::192:51:100:123198.51.100.123 = 2001:db8:1::c033:647b =2001:db8:1::192.51.100.123198.51.100.123 = 2001:db8:1::123

basierend auf angebotenen Diensten2001:db8:1::53:1:1 = DNS1

Router

Know your enemyCisco Catalyst 6500 Sup720

kein IPv6 uRPF (Anti-Spoofing) in HardwareTunnel brauchen lokal eindeutigen Endpunkt“ipv6 nd ra suppress” bedeutet nicht “kein RA”

Cisco Catalyst 3560IPv6 ACLs fur Hosts nur im EUI-64 Format

Cisco Nexus 7000SLAAC nicht abschaltbarbei Failover wird ein RA versendet

Hostanbindung

native:wie gewohnt von IPv4Addressierung statisch, SLAAC oder DHCPv6 (siehe JensLink)Fehlende Sicherheitsfeatures in Layer2/Layer3-Equipmentmachen sich bemerkbar

ISP Natives IPv6

2001:db8:1:1::/64

2001:db8:1:1:211:22ff:fe33:4455

Redundanz

Router AdvertisementR1:interface Vlan123

ipv6 address 2001:db8::1:1/64ipv6 nd ra interval 10ipv6 nd ra lifetime 30ipv6 nd router-preference High

R2:interface Vlan123ipv6 address 2001:db8::1:2/64ipv6 nd ra interval 10ipv6 nd ra lifetime 30

IPv6 Anycast

R1:interface Vlan123

ipv6 address 2001:db8::1:1/64ipv6 address 2001:db8::1/64 anycast

R2:interface Vlan123ipv6 address 2001:db8::1:2/64ipv6 address 2001:db8::1/64 anycast

HSRPv6R1:interface Vlan123

ipv6 address 2001:db8::1:1/64standby version 2standby ipv6 fe80::1standby priority 110standby preempt

R2:interface Vlan123ipv6 address 2001:db8::1:2/64standby version 2standby ipv6 fe80::1

Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) –RFC 5214

automatischer Tunnel von IPv6 uber IPv4ahnlich zu 6to4

IPv4-Addresse in IPv6-Adresse kodiertstateless (einfache Redundanz der Relays)

aber:Addressraum des Betreibers, nicht 2002::/16findet das Relay uber DNS

Windows-Client: Implementation ab XPLinux-Client: Userspace-Daemon isatapd1

Relays auf Cisco, Linux, ???

1http://www.saschahlusiak.de/linux/isatap.htm

ISP Natives IPv6

IPv6 in IPv4

10.10.187.187

ISATAP - einzelnes Relay

ISP Natives IPv6

IPv6 in IPv4

10.10.187.187

ISATAP - redundante Relays

Transportnetze

meistens nur zwei Router in einem Transportnetzein /64 furchtbare Verschwendung?

Es gibt allerdings andere Grunde ein kleineres Netz zukonfigurieren:

Neighbor Solicitations bei Scan auf Broadcast-MediumPing-Pong bei nicht-vergebener Adresse aufPunkt-zu-Punkt-Medium

Trotzdem /64 reservieren!

Transportnetze

meistens nur zwei Router in einem Transportnetzein /64 furchtbare Verschwendung? NEIN

Es gibt allerdings andere Grunde ein kleineres Netz zukonfigurieren:

Neighbor Solicitations bei Scan auf Broadcast-MediumPing-Pong bei nicht-vergebener Adresse aufPunkt-zu-Punkt-Medium

Trotzdem /64 reservieren!

Statistiken

Statistiken sind wichtigkeine expliziten Counter fur IPv6-Verkehr auf vielenPlattformen

Cisco: “show interface accounting” im CLI ... oder dochnicht?

Abhilfe: Seperate VLANs fur IPv4 und IPv6 im Backbone

Te1/1 Te1/1

Vlan 3001: Legacy IP

Vlan 3051: IPv6

Routingprotokolle

Verfugbare Routingprotokolle fur IPv6:RIPngEIGRPOSPFv3IS-IS

single-topology und multi-topology

Monitoring

“Seit wir IPv6 benutzen funktioniert xyz nicht mehr!” –schlechtMonitoring von Anfang an(Dienst-)Verfugbarkeit – NagiosLatenz und Paketverluste – SmokepingAußenanbindung nicht vergessen!

bestes Monitoring: selbst nutzen

Monitoring

“Seit wir IPv6 benutzen funktioniert xyz nicht mehr!” –schlechtMonitoring von Anfang an(Dienst-)Verfugbarkeit – NagiosLatenz und Paketverluste – SmokepingAußenanbindung nicht vergessen!bestes Monitoring: selbst nutzen

Firewalls

ICMP ist bose!

ICMP ist bose!ICMP-Filtern ist bose!

Firewalls

ICMP ist bose!

ICMP ist bose!ICMP-Filtern ist bose!

Linux ip(6)tables

kein Connection-Tracking vor 2.6.20kein IPv6-NAT (auch nicht 1:1)Neighbor/Router solicitation ist INVALID (bis etwa 2.6.30)Hinweis: ferm2 als ip(6)tables-Wrapper

2http://ferm.foo-projects.org/

*BSD pf

keine Unterstutzung fur fragmentierte Pakete, Fragmentewerden geblocktCurrently, only IPv4 fragments aresupported and IPv6 fragments are blockedunconditionally.

kann IPv6 NAT und Redirect

Cisco FWSM

IPv6-Unterstutzung seit Version 3.1auch mehrere Kontextekein Support in der Java GUI (ASDM) – auch nicht mehrauf der Roadmapnur eine Adresse pro InterfaceICMPv6 (und damit Neighbor Solicitation/Advertisement)standardmaßig geblockt

Cisco ASA

IPv6 in der Java GUIIPv6-Unterstutzung als VPN-Server (AnyConnect)

dazu spater mehr

Failover mit 8.2(2)

nur eine Adresse pro InterfaceICMPv6 (und damit Neighbor Solicitation/Advertisement)standardmaßig geblockt

Andere Erfahrungen (Juniper, Checkpoint...)?

Rogue RA

Router Advertisement mit falschen Datenwie ein falscher DHCP-Server, nur schlimmer

mit Multicast an alle Rechnerkann nicht trivial uberschrieben werden

Windows mit aktiviertem ICS (Internet ConnectionSharing) und offentlicher IPv4-Addresse wird automatischzu 6to4-Host (gut) und zu IPv6-Router auf allenangeschlossenen Interfaces (ganz schlecht!)

Rogue RA

Router Advertisement mit falschen Datenwie ein falscher DHCP-Server, nur schlimmer

mit Multicast an alle Rechnerkann nicht trivial uberschrieben werden

Windows mit aktiviertem ICS (Internet ConnectionSharing) und offentlicher IPv4-Addresse wird automatischzu 6to4-Host (gut) und zu IPv6-Router auf allenangeschlossenen Interfaces (ganz schlecht!)

IETF-Draft3 fur Filterung, aber noch nirgends implementiertteilweise Layer3-ACLs auf Switchessonstige Filterfunktionen (z.B. HP/Colubris pcap-Filter)Erkennen und Reagieren

ndpmon4

ramond5

3http://tools.ietf.org/html/draft-ietf-v6ops-ra-guard-04

4http://ndpmon.sf.net5http://ramond.sf.net

Nachverfolgbarkeit von IPv6-Adressen

264 mogliche Adressen im SubnetzPrivacy Extensions

Losung:Tool (Nyx6) pollt alle Gerate und schreibt alleNeighbor-Eintrage der Router und alle MAC-Tabellen derSwitches in eine Datenbankerneut ndpmon

6http://nyx.sf.net

VPN - Cisco AnyConnect

Server auf IOS 12.4(9)T oder ASA5500 SerieTLS/DTLS (nicht IPsec)Cisco-Client fur Windows, Linux, MacOS XOpensource-Client fur *nix CLI (openconnect)Bugs

Fehler und Abbruch auf nicht-englischem Windows XPnach Verbindungsabbau gelegentlich normales IPv6 gestortpMTU-Discovery zum Client funktioniert nicht

VPN - OpenVPN

kein IPv6-Support in OpenVPNRA/DHCPv6 im Ethernet-Modus (tap)manuelle Konfiguration im Point-to-Point tun-Moduskein IPv6 im Point-to-Multipoint-Modus

IPv6-Transport-Patch von JuanJo Carliante7

IPv6-Payload-Patch von Gert Doring8

beide Patches im openvpn-testing git-Repository9

Binary-Pakete verfugbar

7http://github.com/jjo/openvpn-ipv68http://www.greenie.net/ipv6/openvpn.html9git://openvpn.git.sourceforge.net/gitroot/openvpn/

openvpn-testing.git

VPN - sonstige

⇒ ISATAP

Linux generell

Konflikt zwischen /etc/sysctl.conf und Laden desModulsifconfig und route deprecated, bitte ip nutzensporadisch Probleme mit Offloading

man ethtoolsporadisch Probleme mit Multicast Filtern

ip link set eth0 allmulticast on

Netfilter-Einschrankungen – siehe FirewallsRacecondition beim Boot (IPv6-Addressen im Statustentative)

SuSE / SLES

Hostfirewall in Standardkonfiguration (SuSEFirewall), vorSLES 11 nahezu unbenutzbarDefault On-Link Assumption in SLES 9 — gefixtKernel Crash mit SMP und viel IPv6 UDP in SLES 10.1 —gefixtIPV6 AUTOCONF Variable bis SLES 10

Debian / Ubuntu

bindv6only-Anderung in Debian SqueezeIPv6 mittlerweile fest im Kernel → Modul blacklisten bringtnichts mehrxen-dom0-Kernel Version 2.6.18

RHEL / CentOS

manuell konfigurierte Default-Route in RHEL/CentOS 5.0bis 5.2 gestort

Windows

Windows-Firewall schutzt das System inStandardeinstellungen3rd-Party VPN-Clients und “Personal Firewalls” storengerne IPv6oder: “Personal Firewalls” schaltet IPv6-fahigeWindows-Firewall ab und filtert nur IPv4Windows XP

Reboot nach Installation von IPv6 tut gutGelegentlich nichtssagende Fehlermeldung bei derInstallation10

Aufpassen mit ICSPrivacy Extensions standardmaßig angeschaltetWindows 7: feste Autoconfig-Adresse ist nicht EUI-64

10http://blog.karotte.org/archives/160-Windows-XP-IPv6-Fehler.html

MacOS X

Bug: keine Unterstutzung von RFC 3484 (AddressSelection AKA Prefix Policy) — IPv6 wird immer praferiertBug Bug: keinerlei IPv4/IPv6-Praferenz in Snow Leopard(10.6)

IPv6-Transport (DNS in IPv6 UDP/TCP)funktioniert einfach

Ausnahme: tinydns

bei der Verwendung von ACLs oder Views an IPv6 denkenDNS (insbesondere DNSSEC) benotigt Fragmente undTCP – Aufpassen mit Firewalls

Windows XP kann eigentlich kein DNS uber IPv6fest konfiguriert auf fec0:0:0:ffff::1 ... ::3

DHCPv6 (stateless und stateful)RFC 5006 (DNS in RA)von Hand konfiguriert

authoritativ einfach AAAA-Record fur Nameserver listenGlue nice-to-have, aber noch nicht zwingend

DNS (cont.)

IPv6-Records (AAAA-Records)funktioniert einfach

Ausnahme: tinydns

fur Tests eine ipv6.firma.de Zone vorhaltenReverse-Eintrage von Hand sind muhsam – rechtzeitigautomatisierenEintrage anfangs mit kleinen TTLs

Eingehende Mails (MX):IPv6-only MX nicht 100% zuverlassigReverse-DNS-Situation in IPv6 schlechter – nicht wegenfehlendem rDNS abweisenauf Kompatibilitat der restlichen Infrastruktur achten(beispielsweise milter oder Postfix Policy-Daemons)Verhalten mit DNSBL (Problemfall Exim)Failover-Verhalten nach temporaren Fehler (4xx) oderVerbindungsabbruch unterschiedlich

Auswirkungen auf GreylistingZeichen von pMTU-Discovery-Problemen

Mail (cont.)

Ausgehende Mails (Mailout)

Annahme vom Client (Submit):vor Listing des AAAA-Records unbedingt ACLs undBerechtigungen uberprufen

wenn relevant, 6to4 bedenkenTeredo kritisch, im Zweifelsfall REJECT in der Firewall

funktioniert einfach

Zustellung:vor Aktivierung auf funktionsfahiges Reverse-DNS achtenauf Zeichen von pMTU-Problemen achtenPostfix smtp mx address limit

Webserver:vor Listing des AAAA-Records unbedingt ACLs undBerechtigungen uberprufen

.htaccess bedenkenim Zweifelsfall einzelne Hostnamen IPv4-only lassen

Tests mit Eintragen in /etc/hosts

auf alten Systemen selten sendfile()-Probleme – Downloadtesten

Webproxies

Proxies:polipo11

Apache mit mod proxySquid 3.1

funktioniert weitgehend

11http://www.pps.jussieu.fr/˜jch/software/polipo/

CIFS/SMB

CIFS/SMB - Windows Netzwerkfreigabenkein Support in Windows XPproblemfrei in Windows Vista/7, Windows 2003/2008ServerSamba ab Version 3.2.0Linux Kernel (Client)

mit -o ip=2001:... seit Anfang 2007 (2.6.21?)mit DNS-Auflosung seit 2.6.30 (FIXME)

kein Support in MacOS Xsmbclient aus MacPorts

NetApp ONTAP ab Version 7.3

Voice-over-IP

Asterisk IPv6-Projekt12 mal wieder totsehr gute Alternativen in FreeSwitch13 oder pbxnsip14

Cisco Callmanager 7.1kaum Telefone verfugbar

Snom 3xx, 8xx halbherziges IPv6-onlySnom m9 (DECT) sehr gutes DualstackCisco (nur mit Callmanager)mehrere Softphones (linphone, SIP Communicator)Dual-Stack-Fehler auf Nokia E-Serie und Android (sipdroid)

kaum Gateways verfugbar

12http://www.asterisk-v6.org13http://www.freeswitch.org14http://www.pbxnsip.com/

Loadbalancer

F5 BigIPIPv6 Gateway Module kostenpflichtige ZusatzlizenzIPv4/IPv6 zum Client und zum Server, Mischung moglich

Citrix Netscalerab NSOS 8.1

sonstiges

Citrix Terminalserver (SecureDesktop?)Sophos AntivirusEcdysis NAT64/DNS64Google/Wikipedia Whitelisting

LRZ-Mitarbeiter sagen: “IPv6 ist selbstverstandlich”breites Know-HowIn den letzten 30 Tagen: 2500 (+500) verschiedene Clients(MAC-Adressen) mit IPv6 nach außen80 Assignmentsgroßes Herstellerinteressekeine nennenswerten Storungen

Benchmark

Nicht am LRZ

http://www.ioquake3.org

/connect cpma.rlogin.dk:27961

testet Loss, Jitter, Latenz

Benchmark

Nicht am LRZ

Benchmark

Nicht am LRZ

Danke fur die Aufmerksamkeit

Tutorial: IPv6 im gewachsenen LAN - heise online

Documents

Socket Programmierung mit IPv6

IPv6 in der Praxis - iks.hs-merseburg.deuheuert/pdf/Anwendung Rechnernetze... · Einleitung Einleitung Adressen Features Migration Fazit IPv6 wieso? IPv6 kurz & bündig 16.01.2008

IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Einführung in IPv6 - koeln.ccc.de · PDF fileInhalt Überblick über Neuerungen – Ziele des neuen Protokolls – IPv6 Protokoll-Suite – IPv6 – Adressen Migration von IPv4 zu

Dual-Stack IPv6 Monitoring bei AWK - Member Anlass Swiss IPv6 Council Nov 2013

Pengantar IPv6 dan Implementasinya Pada FreeBSD · 2020. 5. 7. · 3 Header IPv6 mempunyai panjang yang tetap sebesar 40 bytes. Fields dalam header IPv6 dijelaskan sebagai berikut:

Einführung IPv6

IPv6 Networking-Referat «IPv6 Rollout im Datacenter - Varianten der Integration von IPv4 mit IPv6»

Einführung in IPv6 - ccc.koelnccc.koeln/archiv/openchaos/2003/ipv6/ipv6.pdf · Internet Protocol, Version 6 (IPv6) Speciﬁcation RFC 2460, December 1998. R. Hinden, S. Deering:

IPv6-Scanning - IT-SECX › wp-content › uploads › 2017 › ... · IPv4 vs. IPv6 § Anzahl aller Adressen: § IPv4: 4.294.967.296 Adressen (232) § IPv6: 3.402823669 x 1038Adressen

IPv6 onlyaltlasten.lutz.donnerhacke.de/mitarb/lutz/vortrag/ipv6-kongress... · IPv6 only –Konsequenzen •Konsistentes Erscheinungsbild –Egal ob lokales WLAN oder Mobilfunk –REST

Fünf Jahre IPv6 im Rückblick

IPv6 Cisco Live

Minenfeld IPv6

IPv6 - Der Stand der Dinge - hbeck/IPv6-Der_Stand_der_Dinge.pdf · IPv6 für zentrale Dienste der GWDG • DNS kurzfristig • FTP-Server (war schon für World IPv6 Day angedacht,

IPv6 - Eine Einführung · IPv6 - Eine Einführung Jens Link jenslink@quux.de 3. Secure Linux Administration Conference, Dezember 2008 Jens Link (jenslink@quux.de) IPv6 - Einführung

IPv6 bei der Post - Step by Step zu IPv6

IPv6 Monitoring - guug.de · IPv6 Monitoring Folie 3 Agenda Einführung Betriebssysteme Router Statistiken Webstatistiken DoS Erkennung IPv6 Monitoring - Wo sind meine Daten?

Fernzugriff auf Heimnetz über IPv6 - new.de · Fernzugriff auf Heimnetz mittels IPv6 über DG-Router Netzwerkgerät auf IPv6 vorbereiten 1. Navigieren Sie zu Start > Systemsteuerung

Neue Möglichkeiten für Mobilkommunikation durch unterbrechungsfreies Handover mit Mobile IPv6 Georg Mittenecker, Josef Tschiggerl IPv6 Kongress 2010