Upload
digicomp-academy-ag
View
613
Download
4
Embed Size (px)
DESCRIPTION
Praktisch alle Dienste von SWITCH sind seit mehreren Jahren auch über IPv6 erreichbar: Web- und Mailserver, sowie die gesamte Registry-Infrastruktur für .CH. Der Vortrag schildert aus erster Hand die Erfahrungen in der Arbeit mit Kunden, Zulieferern und innerhalb der Organisation bei Aufbau und Betrieb von IPv6-Diensten mit hohem Qualitätsanspruch - alles soll mindestens so gut und stabil funktionieren wie über IPv4.
Citation preview
© 2011 SWITCH
SWITCH – Serving Swiss Universities
SWITCH erbringt einzigartige, qualitativ hochstehende
Internet-Dienstleistungen für die Schweizer Hochschulen
und Forschungseinrichtungen:
• Netzwerk
• Netzwerksicherheit
• AAI – Authentifizierung und Autorisierung für Web-
Anwendungen
• Unterstützung im Bereich e-Learning
• Domain-Namen-Registrierung im Auftrag des BAKOM
© 2011 SWITCH
SWITCH – Netzwerk-Pionier
SWITCH plant, baut und betreibt seit über 20 Jahren ein
landesweites Netzwerk für die Hochschulen
3
SWITCH – Netzwerk-Pionier
© 2011 SWITCH
SWITCH – Netzwerk-Pionier
SWITCH plant, baut und betreibt seit über 20 Jahren ein
landesweites Netzwerk für die Hochschulen
• Integration in das weltweite Forschungsnetz und Anschluss
ans kommerzielle Internet
• Ein leistungsfähiges, stabiles und innovatives Netzwerk
• Hochschulen erwarten von uns langfristiges Denken
• IPv6 im Portfolio seit vielen Jahren
– Erst als Pilot-Dienst, z.B. für Studien- und Diplomarbeiten
– Seit 2006 als produktiver Dienst auf dem SWITCH Netzwerk
© 2011 SWITCH
Einführung von IPv6 bei SWITCH:
Bottom-up mit externer Hilfe
• Herbst 1996: erste Schritte
• 6BONE-Verbindung über sics.se
• Erste IPv6-„Kunden“: EPFL (Informatikdienste)
und ETHZ (Institut TIK)
• Viele weitere folgten über die Jahre, aber meist experimentell
• 2002-2005: 6NET EU-Projekt
• Mit SWITCH und Université de Genève
• Exzellente Zusammenarbeit mit Industrie (Cisco, IBM) und anderen
europäischen Forschungsnetzwerken
• 2003-2004: Swiss IPv6 Task Force
• Gute Sichtbarkeit
• Unterstützung von IPv6 im Domain-Registry
© 2011 SWITCH
Routing im Backbone
• Cisco 7600/Catalyst 6500
• IPv6-Forwarding CPU-basiert auf Supervisor 2
• Hardware-Forwarding seit Supervisor 720/32
• Bewusst hingenommene Einschränkung in der Auswahl
• Hardware
• Protokolle und Spezial-Funktionen
© 2011 SWITCH
Peering (Interkonnektion)
• Alle Schweizer Exchange-Points unterstützen IPv6
• Equinix Exchange (TIX), CIXP, SwissIX
• N(IPv6-BGP-Sessions)/N(IPv4-BGP-Sessions) ~ 66%
• IPv6-Interkonnektion oft einfacher zu erreichen
© 2011 SWITCH
Transit/Upstream
• Viele grosse ISPs (Internet Service Provider) bieten IPv6
• Leider immer noch nicht alle
• Manche mit eingeschränkter Dienstgüte/Bandbreite
• Viele mit eingeschränkter Unterstützung
• Unvollständige Interkonnektion zwischen „Tier-1“-ISPs und IPv6-
Pionieren (Google, Hurricane Electric)
© 2011 SWITCH
DNS
• Als Infrastruktur-Dienst einer der ersten mit IPv6-Support
• IPv6-Adressen (AAAA-Records)
• Inverse-Mapping (PTR unter ip6.arpa)
• Sollte automatisch generiert werden!
• DNS über IPv6
• IPv6-“Glue“ bei Delegation
• Unter .CH/.LI unterstützt seit 2004
© 2011 SWITCH
Web-basierte Dienste
• Alle gängigen Web-Server (Apache, J2EE-Systeme usw.)
unterstützen IPv6
• Problemfälle bis vor Kurzem:
• Web-Analysetools (Piwik 1.4)
• Geolocation-Dienste (Maxmind, nur Länder-Auflösung ½ )
• Load-Balancer (?)
© 2011 SWITCH
• Mail-Transport- und Mailbox-Server
• DNS-Black- und Whitelists
© 2011 SWITCH
Netzwerk-Management
• Verkehrsmessungen mit Netflow v9/IPFIX
• Management über IPv6
• SNMP, Telnet/SSH, RADIUS/TACACS+
• Nicht essenziell
• Management IPv6-spezifischer Funktionen ½
• IPv4- und IPv6-Verkehr getrennt messen ½
• Überwachung von IPv6-BGP-Sessions
© 2011 SWITCH
Akzeptanz bei Kunden (Hochschulen)
• Wohlwollendes Interesse
• Verständnis des langfristigen Bedarfs für IPv6
• Punktuelle Lösungen für spezifische Bedürfnisse (Forschung etc.)
• Hindernisse zur flächendeckenden Einführung:
• Fehlende Dringlichkeit niedrige Priorität keine Ressourcen
• Fehlende Akzeptanz operationeller Risiken
• Zusätzliche Arbeit, kein kurzfristiges Optimierungspotenzial
• Unsere Versuche, Anreize zu setzen:
• Reduzierter Tarif für IPv6-Verkehr
• Wettbewerb dual-stack-Website (Gewinner: ZFH)
© 2011 SWITCH
Weitere Schwachstellen
• Firewalls
• IPv6-Support oft halbherzig (nicht HW-beschleunigt, kein GUI...)
• Unsere „Lösung“ – Übersetzung von IPv4-Router-ACLs in IPv6
• VPN
• „Lösung“: OpenVPN im Bridge-Mode mit IPv6-fähigem Router
• Schlechtere Integration ins Client-Interface-Management
• Wechsel zwischen Ethernet/WLAN/VPN/...
• DHCP (spezifisch für SWITCH)
• Basis der Provisionierungs-Workflows für IPv4
• Auf unseren Clients (Mac OS X) noch nicht unterstützt
• „Lösung“: Komplexerer Workflow für neu angeschlossene Hosts
© 2011 SWITCH 16
Einschätzung IPv6-Reife im Markt
1. Lippenbekenntnisse
2. Halbherzige Unterstützung für Pflichtenhefte
3. Einzelne wirklich brauchbare Implementierungen
4. Allgemeine Verfügbarkeit; Feature Parity
Segment Niveau
Betriebssysteme, Browser (Apple, Microsoft, Linux, Google...) 4
Backbone-Router (Cisco, Juniper...) 3-4
Betriebssysteme für mobile Geräte (iOS, Android, Symbian...) 3-4
Software für Internet-fähige Gebrauchselektronik (Drucker, Radios...) 1-2
Heim-Router (D-Link, Netgear, Cisco/Linksys, Apple...) 1-2
Firewalls 2-3
Cable-Modems 3-4
Internet-Zugang für Unternehmen 3
Internet-Zugang für Privatpersonen (Cable/xDSL/FTTH/mobil) 1-2
© 2011 SWITCH
World IPv6 Day
• Potenzial:
• Content-Provider und CDNs investieren in IPv6
• Probleme werden erkannt, Druck zur Lösung aufgebaut
• Risiko:
• Viele Internet-Nutzer experimentieren mit Tunnel-Mechanismen
• Content-Provider sehen Verbindungsprobleme
• IPv6 wird wieder abgeschaltet
• Wenn„s gut geht:
• IPv6 wird bei einigen grossen Sites permanent eingeschaltet
© 2011 SWITCH
World IPv6 Day
…und SWITCH?
Bei uns ist seit 2006 jeder Tag “IPv6 Day”
© 2011 SWITCH
Wünsche für die Zukunft
• „Happy Eyeballs“ http://www.ipjforum.org/?p=378
• IPv6-Dienste für Privat-Nutzer
• Comcast (Cable)
• Free.fr (xDSL, FTTH)
• T-Mobile U.S. 3G (UMTS)
• Verizon Wireless 4G (LTE)
• „Feature Parity“
• Anspruch, dass alles über IPv6 genauso gut funktioniert
• Dienste zuerst/besser/nur über IPv6
• Microsoft Direct Access
• Apple „Back to My Mac“
© 2011 SWITCH
Warum IPv6 wichtig ist
• Das Internet könnte auch mit IPv4 weiterwursteln, mit
• Höheren Kosten (die den Benutzern überwälzt werden würden)
• Geringerer Fähigkeit, innovative Anwendungen hervorzubringen
• Höheren Eintrittshürden für neue Marktteilnehmer (s. 1)
• Grösserer Komplexität und Störungsanfälligkeit
• Denken wir an den langfristigen Nutzen des Internets!
20