Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
IPv6 in einem Firmennetzwerk
Teil 3
Dirk Kurfürst
www.isarnet.de
www.isarflow.de
28.05.2009 © 2009 IsarNet AG
Themen
– LAN
– DMZ
– WAN
– Server/Management
– Client
Zusammenfassung
28.05.2009 © 2009 IsarNet AG
LAN
unspektakulär – konfigurieren – läuft
Im gesamten Core/Distribution in Deutschland ausgerollt
was ist anders gegenüber IPv4:
Redundanz im VLAN anders! (kein HSRP/VRRP/GLBP in aktiver SW)
Check: erfolgt IPv6-forwarding in Hardware?
Kleinere Probleme:
- In produktiver Switch-Software kein IPv6-EIGRP
Wahl von OSPF
- In produktiver Switch-Software keine DHCP-relay-Funktion
nur statisch oder stateless autoconfig für IP-Adressierung
- Kleine Switche (C3750) benötigen reboot nach Config-Änderungzum Einschalten von IPv6
- Loadbalancer/WLAN-Controller derzeit ohne IPv6-Support
28.05.2009 © 2009 IsarNet AG
LAN – First Hop Redundancy
Neighbor Unreachable Detection (NUD)
• nicht für Tunnel-Varianten
• 2x default gateway für Host erlaubt
• Host trifft Entscheidung zur Umschaltung!
• default 30 sec
Router Advertisement
28.05.2009 © 2009 IsarNet AG
LAN – IPv6 aktivieren
IPv6 routing und Interface Konfiguration
(zusätzlich zur IPv4-Konfiguration)
ipv6 unicast-routing
ipv6 router ospf 200
router-id 172.16.229.2
interface Loopback0
ipv6 address 2A02:5E8:100:FFF::2/128
ipv6 ospf 200 area 0
interface Port-channel16
ipv6 address 2A02:5E8:100::161/124
ipv6 address FE80:0:100::161 link-local
ipv6 ospf network point-to-point
ipv6 ospf hello-interval 1
ipv6 ospf 200 area 0
28.05.2009 © 2009 IsarNet AG
DMZ
Sehr stabile Verbindung zum Provider
iBGP zum Verbinden der DMZ'en
Firewalls Adressierung und Regeln
Fehlersuche
in produktiver ASA-Software 7.x kein Failover für IPv6
nur einer von vier Internet-Providern IPv6-ready
ungetestet:
VPN-Verbindungen (funktioniert laut Cisco)
28.05.2009 © 2009 IsarNet AG
DMZ
interface GigabitEthernet1/0
nameif inside
ipv6 address 2a02:5e8:2100:1::6/64
!< hier geht kein standby
vergleiche IPv4:
ip address 77.234.32.22 255.255.255.248
standby 77.234.32.21 >!
ipv6 nd suppress-ra
ipv6 nd dad attempts 2
ipv6 route inside 2a02:5e8::/32 2a02:5e8:2100:1::1
IPv6 Firewalls
(zusätzlich zur IPv4-Konfiguration)
28.05.2009 © 2009 IsarNet AG
DMZ
ipv6 unicast-routing
ipv6 cef
< interface config>
router bgp 42178
address-family ipv6
neighbor 2001:2000:3083:5::1 activate
neighbor 2A02:5E8:1100::22 activate
neighbor 2A02:5E8:1100::51 activate
network 2A02:5E8::/32
exit-address-family
ipv6 route 2A02:5E8:1100::/48 GigabitEthernet0/2
2A02:5E8:1100:1::6
ipv6 route 2A02:5E8::/32 Null0
IPv6 routing BGP
(zusätzlich zur IPv4-Konfiguration)
28.05.2009 © 2009 IsarNet AG
DMZ
object-group network ipv6-net-admins
network-object host 2a02:5e8:100:1::1
network-object 2a02:5e8:100:5852::/64
ipv6 access-list ipv6-from-inside remark
IP Access for Net Admins
ipv6 access-list ipv6-from-inside permit ip
object-group ipv6-net-admins any
ipv6 access-list ipv6-from-inside remark ICMP
ipv6 access-list ipv6-from-inside permit icmp6
any any object-group icmp-ipv6
access-group from-inside in interface inside
access-group ipv6-from-inside in interface inside
IPv6 Firewalls Access-Listen
(zusätzlich zur IPv4-Konfiguration)
28.05.2009 © 2009 IsarNet AG
DMZ ASA-Failover-Problem
IPv4-standby-ASA beantwortet trotz fehlender IPv6-Failover-Config die Duplicat Address Detection z.B. vom Router mit link-local Adresse
Neighbour Advertisment
Neighbour SolicitationDuplicate Address Detection
aktiv mit IPv6
passiv ohne IPv6
50% Fehlerwahrscheinlichkeit
(fehlendes Failover ist in Release-Notes dokumentiert)
28.05.2009 © 2009 IsarNet AG
WAN
Provider T-Systems hat sein Netz vorbereitet
Referenz-Implementierung für zwei Strecken über GRE-Tunnel nach München und Singapur
Schritt 1: 4 Standorte weltweit
Schritt 2: alle Standorte
Native Referenz-Implementierung war bereits im Detail geplant:
WAN-ProviderMPLSLAN
CEC
Int Gi0/0 – IPv4
Int Gi0/0.6 – IPv6LAN-IPv6-OSPF
28.05.2009 © 2009 IsarNet AG
Server/Netzwerk-Management
Betriebssysteme:
Suse/Fedora-Linux
HP-UX
Windows
DNS-Server (IPv4; Windows, Infoblox) beantworten AAAA
Cacti (SNMP-Überwachung)
Squid Proxy
Apache Webserver
Management/SNMP abhängig von Version der Switche
o Openview (benötigt Advanced Routing Modul)
o NIC Teaming
DHCPv6/IPAM Infoblox (daher auch kein DDNS getestet)
ISC-DHCP CentOS
28.05.2009 © 2009 IsarNet AG
Server
kurfuers%test: /home/kurfuers/scripts/ >$ uname -a
HP-UX drssx426 B.11.11 U 9000/800 4030098360 unlimited-user license
kurfuers%drssx426: /home/kurfuers/scripts/ >$ ifconfig lan0:6
lan0:6: flags=4800841<UP,RUNNING,MULTICAST,PRIVATE,ONLINK>
inet6 2a02:5e8:100:1::1 prefix 64
squid.conf: http_port [2a02:05e8:2100:202::8]:3128
httpd.conf:<VirtualHost ovv6>
ServerName ovv6
# Rest gleiche Konfig wie IPv4-virt. Host
kurfuers%test: /home/kurfuers/ >$ ping MUC-Testswitch-v6
PING MUC-GHR-FO2401-10-v6: 64 byte packets
64 bytes from 2a02:5e8:103::321: icmp_seq=0. time=17. ms
kurfuers%test: /home/kurfuers/ >$ ssh MUC-Testswitch-v6
kurfuers@muc-testswitch-v6's password:
MUC-Testswitch-v6#
28.05.2009 © 2009 IsarNet AG
Netzwerk-Management
Cacti
28.05.2009 © 2009 IsarNet AG
Netzwerk-Management
Cacti
28.05.2009 © 2009 IsarNet AG
Server/DHCP
Ziel:
Funktionierendes Setup mit stateful IP-Adressierung und dynamischer Registrierung im DNS
DHCP-Server Optionen: Windows / ISC / dhcp6s / dippler
Tests mit ISC DHCP Server
[root@test dhcp-4.1.0]# more /etc/dhcpd.conf
ddns-update-style interim;
ddns-domainname "net.qimonda.com";
authoritative;
subnet6 2a02:5e8:100:1::/64 {
range6 2a02:5e8:100:1::100 2a02:5e8:100:1::200;
}
28.05.2009 © 2009 IsarNet AG
Server/DHCP
[root@test dhcp-4.1.0]# tcpdump -nn -vv -i eth0 ip6 and
dst port 547 or dst port 546
09:29:48.122756 IP6 (hlim 64, next-header UDP (17) length: 62)
fe80::20c:29ff:fe35:7d37.546 > ff02::1:2.547:
dhcp6 solicit (xid=56244e
(client ID hwaddr/time type 1 time 1240256471 7041df00a0f4)
(elapsed time 0) (rapid commit)[|dhcp6ext])
09:29:48.123583 IP6 (hlim 64, next-header UDP (17) length: 101)
fe80::20c:29ff:febb:b67f.547 > fe80::20c:29ff:fe35:7d37.546:
dhcp6 reply (xid=56244e[|dhcp6ext])
Viele Probleme bei DHCP-client:
ISC-Version, Linux-Distribution, ip(6)tables, SELinux, Bugs, scripts, know how
28.05.2009 © 2009 IsarNet AG
Server/DNS
DNS:
Kein Problem
ISC-dhcp:
• DHCP DNS nur innerhalb IPv6
• DDNS nicht gelöstmore /etc/resolv.conf
nameserver 2a02:5e8:100:5341::2
domain ipv6.net.qimonda.com
# nslookup
> set type=AAAA
> test
Server: 2a02:5e8:100:5341::2
Address: 2a02:5e8:100:5341::2#53
test.ipv6.net.qimonda.com canonical name = ns.ipv6.net.qimonda.com.
ns.ipv6.net.qimonda.com has AAAA address 2a02:5e8:100:5341::2
>
28.05.2009 © 2009 IsarNet AG
Clients
Linux
Windows 2000 (mit Hack; nur stateless)
Windows XP (IPv6-stack manuell installieren)
Vista (default; IPv6 unbedingt bevorzugt)
andere Software (z.B. zur Produktionssteuerung) nicht getestet
keine Probleme auf (wenigen) PC's mit installiertem IPv6-Stack im täglichen Betrieb
28.05.2009 © 2009 IsarNet AG
Clients
Ab Windows XP statt «ipv6»: netsh interface ipv6 ...
28.05.2009 © 2009 IsarNet AG
Clients
Firefox
z.B. Firefox-Plugin Foxy-Proxy
IE Version 6
28.05.2009 © 2009 IsarNet AG
Clients
28.05.2009 © 2009 IsarNet AG
Zusammenfassung
• Spürbar neue Technologie
– Diverse grundlegende, aber umgehbare Probleme
– Teilweise neues Verständnis erforderlich (z.B. für Redundanz im VLAN)
– Häufiges RFC-Studium nötig (die sich teilweise überlappen/widersprechen/überholen)
– Jede Anwendung muß extra getestet werden
– Häufig schlechte bis gar keine DokumentationFoto: http://www.nasa.gov/multimedia/imagegallery/image_feature_514.html
28.05.2009 © 2009 IsarNet AG
Zusammenfassung
• Keinerlei Ausfälle
• Detailliertes Know-Howunbedingt erforderlich
• Baldiger Beginn im Netzwerk dringend empfohlen
• Teredo-Tunnel etc. einfangbar mit IPv6 Infrastruktur
• Virtuelles Team gründen (Netz/Server/Clients)
• testen, testen, testenFotos: http://www.flickr.com/photos/17258892@N05/2588347668/ http://www.sxc.hu/browse.phtml?f=view&id=585791
Danke!