Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
IPv6 in einem Firmennetzwerk
Teil 2
Dirk Kurfürst
www.isarnet.de
www.isarflow.de
28.05.2009 © 2009 IsarNet AG
Themen
– Windows IP-Stack
Details
– Adressierung
28.05.2009 © 2009 IsarNet AG
neuer Windows-IP-Stack
IPv6 ist unbedingt bevorzugt
Ablauf:
1)Client schickt nach „Link Up“ IPv6 NA/NS/RS
2)versucht DHCPv6
3)wartet danach auf RA mit globaler Adresse
4)versucht ISATAP (benötigt konfigurierte Infrastruktur)
5)versucht Teredo
6)wenn wirklich nichts geht, wird nur IPv4 genutzt
28.05.2009 © 2009 IsarNet AG
Teredo: von „Teredo navalis“ (Schiffsbohrwurm; Muschelart)
1. Wenn auf keinem Link nativ IPv6 anliegt, wird der Teredo-Client gestartet
2. Teredo-Client registriert sich am Teredo-Server und versucht, die verwendete Kommunikation (NAT) herauszufinden
3. Teredo-Client hält den Teredo-Tunnel offen mit „nat bubble packets“ alle 30 seconds
• entwickelt von Microsoft
• standardisiert in RFC 4380
• implementiert im Windows XP und Vista IP stack
• prefix 2001:0000::/32
• UDP encapsulation von IPv6 Packeten, um NAT zu umgehen (UDP/3544)
• Server: teredo.ipv6.microsoft.com
Teredo ???
28.05.2009 © 2009 IsarNet AG
Windows-IP-Stack/Teredo
http://www.microsoft.com/technet/network/ipv6/teredo.mspx
“Teredo is an IPv6 transition technology that provides address assignment and host-to-host automatic tunneling for unicast IPv6 traffic …
… Teredo solves the issues …
… With Teredo, IPv6-enabled applications can successfully communicate more frequently over the IPv4 Internet than IPv4-only applications …”
Ziel ist es, evtl. IPv6-Inseln miteinander zu verbinden
28.05.2009 © 2009 IsarNet AG
Windows-IP-Stack/Teredo
TeredoServer
„restricted NAT“
IPv4
IPv6FW/NAT
TeredoServer
TeredoRelay
1. Teredo Client sendet initiales Paket zum Teredo Server
2. Teredo Server sendet dieses Paket zum IPv6 Host
3. IPv6 Host beantwortet dies via dem nächsten Teredo Relais
4. Teredo Relais sendet einen “bubble” zum Teredo Server
5. Teredo Server schickt diesen “bubble” zum Teredo Client
6. Teredo Client sendet “bubble” zum Teredo Relais
7. Teredo Relais schickt zwischengespeicherte Nachricht (vom IPv6 Server) zum Teredo Client
8. Die sonstige Kommunikation geht über das Teredo Relais
1
2
345
67
8
8
28.05.2009 © 2009 IsarNet AG
Windows-IP-Stack/Teredo
Teredo erlaubt unkontrollierten IPv6 Traffic vom Internet ins Intranet trotz IPv4-Firewall!
IPv6-Traffic kann IPv4-Netzwerk beeinträchtigen
kurzfristige Maßnahmen:
• Teredo in Registry ausschalten
• A-Record anlegen
• IPv6-Host-Firewall (z.B. XP-Firewall)
• zweistufige DMZ
28.05.2009 © 2009 IsarNet AG
neuer Windows-IP-Stack
zu IPv4 komplett
parallele Infrastruktur !!!
28.05.2009 © 2009 IsarNet AG
IP-Adressierung
• 128 bit Adressraum
• theoretisch 2128 mögliche Adressen
• Interfaces haben mehrere Adressen
• Adressen haben “scopes” (Gültigkeitsbereich)
• Adressen haben eine Lebensdauer
• kein Broadcast, nur Unicast/Anycast/Multicast
3 Varianten der Interface-Konfiguration:
• statische IP-Adresse
• stateless autoconfiguration (EUI64)
• stateful DHCP
28.05.2009 © 2009 IsarNet AG
IPv6 Adressierung
Adressblock vom RIPE erhalten:
2A02:5E8::/32
Wie aufteilen?
– Sehr viel RFC-lesen angesagt
RFC4291, RFC4193, RFC3849, RFC2464, RFC5375, RFC4941, RFC3513, RFC3879, RFC4941, RFC3056, RFC3587, RFC2374, RFC3306, RFC3956
– ipv6calc
– Kein „echter“ Subnetzrechner mit GUI
=> http://sourceforge.net/projects/ipv6subnetcalc/
28.05.2009 © 2009 IsarNet AG
IPv6 Adressierung
28.05.2009 © 2009 IsarNet AG
IPv6 Adressierung
Ziel: Netzwerk-Summaries ermöglichen & RFC befolgen
/124 von uns für P2P-Links innerhalb des Netzwerkes definiert
/64 für echte Subnetze (L2-VLAN; Standard laut RFC)
32 bits zur Strukturierung; von uns definiert wie folgt:
– 16 bits Standort
• 4 bit Organisation (LAN/DMZ/Firma/…)
• 4 bit Region
• 8 bit Land/Standort
– 16 bits Verteilerraum (= /48 Standort)
• 4 bit Funktion (Server/Client/VoIP/WLAN/…)
• 4 bit Gebäude 3 = Gebäude
• 4 bit Etage 4 = 4. Etage
• 4 bit Verteiler 1 = Verteiler A
z.B. 2a02:05e8:0100:5341::/640 = LAN 5 = Client-LAN
1 = EU 00 = Dresden
Danke!