22
IPv6 - Methoden zur Adressvergabe Jens Link [email protected] IPv6 Kongress 2010 Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 1 / 22

IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link [email protected] IPv6 Kongress 2010 Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe

Embed Size (px)

Citation preview

Page 1: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

IPv6 - Methoden zur Adressvergabe

Jens Link

[email protected]

IPv6 Kongress 2010

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 1 / 22

Page 2: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Übersicht

1 Statische Konfiguration

2 Stateless Address Auto Configuration

3 DCHPv6

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 2 / 22

Page 3: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Aussagen und Fragen

“Wir fangen in 14 Jahren damit an. Mein Kollege geht da in Rente.”“Da können wir uns ja nicht mehr mit NAT rausreden und müssenFirewallregeln bauen.”“Wann ist IPv6 so sicher wie IPv4?”

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 3 / 22

Page 4: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Warnung

In diesem Vortrag geht es nicht darum wie man sein /32, /48, /56aufteilt

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 4 / 22

Page 5: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Na gut . . .

Routen zusammenfassenRouten zusammenfassenRouten zusammenfassenVerschwendung ist erlaubtIn der Regel kleinste Netzgröße /64Praktisch: Ein DNS im ersten /64

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 5 / 22

Page 6: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Statische Konfiguration (I)

Notwendig für Router InterfacesEmpfehlenswert auch Server, Switche

Wollen Sie wirklich, dass ihre wichtigen Komponenten die IPwechseln, wenn sie die Hardware tauschen?Ja, es gibt DNS, aber keine automatischen Updates

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 6 / 22

Page 7: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Statische Konfiguration (II)

IOSinterface FastEthernet0!...

ipv6 address 2001:DB8:FFFF:FFFF::1/64

Linux (Debian)root#cat /etc/network/interfaces...iface eth0 inet6 staticaddress 2001:DB8:FFFF:FFFF:0002:B387:786F:2netmask 64gateway 2001:DB8:FFFF:FFFF:0002:B387:786F:1

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 7 / 22

Page 8: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Stateless Address Auto Configuration (I)

Mit SLAAC wird Client

interface ID wird gewählt, z.B. die Ethernet MACdaraus wird eine link-local Adresse generiertVia DAD wird geprüft ob die Adresse schon vorhanden istRouter werden nach Prefixen gefragt (via multicast)Interface lauscht nach weiteren Prefixen und löscht ggf. altewährend der Laufzeit

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 8 / 22

Page 9: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Stteless Address Auto Configuration (II)

Wo kann man SLAAC nutzen?

Client NetzwerkeGast Netzwerke, Konferenzen, ...

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 9 / 22

Page 10: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Generieren einer Link-Local Adresse

Mac-Adresse: 00:21:6a:05:2e:12Einfügen von fe in der Mitte 0221:6aff:fe05:2e12

fe80:: hinzufügen: fe80::221:6aff:fe05:2e12

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 10 / 22

Page 11: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

DAD?

Duplicate Address Detection

Client sendet eine ICMP Message Type 135 to ’::’Wenn die Adresse bereits genutzt wird Antwort an FF02::1

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 11 / 22

Page 12: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Stateless Address Auto Configuration (III)

Probleme mit SLAAC:

Keine automatischen Einträge ins DNSClients können DNS Server via RA (RFC5006) bekommen, diesist aber relativ neu (Also: Nicht von jedem OS unterstürtzt)Jeder bekommt eine IPv6 addressAntworten auf DAD Request können gefälscht werden (z.B.http://freeworld.thc.org/thc-ipv6/)

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 12 / 22

Page 13: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Stateless Address Auto Configuration (IV)

Warum “Jeder bekommt eine IPv6 Adresse” keine gute Idee sein kann:

Gegeben sei eine grosse HostigfirmaViele Server, viele verschiednene AdministratorenDie meisten der Administratoren wissen nur bedingt was sie tunEs gibt (evtl.) einen Filter für IPv4Bei dem Linux auf dem Server ist mit hoher WahrscheinlichkeitIPv6 aktivGlückwunsch: Sie haben soeben eine Hintertür in die Server ihrerKunden eingebaut

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 13 / 22

Page 14: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Stateless Address Auto Configuration (V)

IOSrouter(config-if)#ipv6 nd ?

advertisement-interval Send an advertisement interval option in RA’sdad Duplicate Address Detectionmanaged-config-flag Hosts should use DHCP for address configns-interval Set advertised NS retransmission intervalnud Neighbor Unreachability Detectionother-config-flag Hosts should use DHCP for non-address configprefix Configure IPv6 Routing Prefix Advertisementra Router Advertisement controlreachable-time Set advertised reachability time

SLAAC kann durchfolgende Konfiguration abgeschaltet werden:ipv6 nd prefix 2001:db8::/64 no-autoconfig

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 14 / 22

Page 15: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

DHCPv6 (I)

Ähnlich IPv4:

Unterschiedliche Ports (Client: 546/UDP, Server/Relay: 547/UDP)Keine Routing Informationen zum ClientKann stateless verwendet werden (also keine Adresszuweisung,nur optionale Werte)Kein Standard Weg für eine MAC - IPv6 Bindung“Statische” Zuweisung wird über einen Cookie auf dem Clientgelöst“Konfiguration” über Router Advertisments

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 15 / 22

Page 16: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

DHCPv6 (II)

IOSrouter(config-if)#ipv6 nd ?

advertisement-interval Send an advertisement interval option in RA’sdad Duplicate Address Detectionmanaged-config-flag Hosts should use DHCP for address configns-interval Set advertised NS retransmission intervalnud Neighbor Unreachability Detectionother-config-flag Hosts should use DHCP for non-address configprefix Configure IPv6 Routing Prefix Advertisementra Router Advertisement controlreachable-time Set advertised reachability time

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 16 / 22

Page 17: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

DHCPv6 (III)

Client Config (ISC DHCP)# Client configuration file example for DHCPv6

# The client side command to enable rapid-commit (2 packet exchange)##send dhcp6.rapid-commit;

# name-servers and domain-search are requested by default.# here is the way to request sip-servers-addresses tooalso request dhcp6.sip-servers-addresses;

# Likely to be useful: the script pathscript "/usr/local/etc/dhclient-script";

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 17 / 22

Page 18: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

DHCPv6 (IV)

Server Config (ISC DHCP)default-lease-time 2592000;preferred-lifetime 604800;option dhcp6.name-servers 2001:db8:ffff:100:200:ff:fe00:3f3e;option dhcp6.domain-search "test.example.com","example.com";

host otherclient {# This host entry is hopefully matched if# the client supplies a DUID-LL or DUID-LLT# containing this MAC address.hardware ethernet 01:00:80:a2:55:67:34;

fixed-address6 3ffe:501:ffff:100:4321;}

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 18 / 22

Page 19: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

DHCP-PD

Prefixe per DHCP einem Clienst zuweisen, z.B. DSL Kunden.

Server Config (ISC DHCP)

subnet6 2001:db8:ffff:100::/64 {# Two addresses available to clients# (the third client should get NoAddrsAvail)range6 2001:db8:ffff:100::10 2001:db8:ffff:100::11;

# Use the whole /64 prefix for temporary addresses# (i.e., direct application of RFC 4941)range6 2001:db8:ffff:100:: temporary;

# Some /64 prefixes available for Prefix Delegation (RFC 3633)prefix6 2001:db8:ffff:100:: 2001:db8:ffff:111:: /64;

}

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 19 / 22

Page 20: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Literatur

Benedikt StockebrandIPv6 in PracticeA Unixer’s Guide to the Next Generation InternetISBN 978-3540245247Ciprian Popoviciu, Eric Levy-Abegnoli, Patrick GrosseteteDeploying IPv6 Networks1-58-705210-5UpTimes 03/2007 (Proceedings ECAI6 2007)ISBN 978-3865412287

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 20 / 22

Page 21: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Comming soon. . .

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 21 / 22

Page 22: IPv6 - Methoden zur Adressvergabe · PDF fileIPv6 - Methoden zur Adressvergabe Jens Link jl@jenslink.net IPv6 Kongress 2010 Jens Link (jl@jenslink.net) IPv6 - Methoden zur Adressvergabe

Contact

eMail [email protected] [email protected] Fingerprint D9FF E215 6686 6194 FFC8

A135 19CF A676 DB85 EF91

Jens Link ([email protected]) IPv6 - Methoden zur Adressvergabe 22 / 22