Embed Size (px)
DESCRIPTION
Wer neue Server und Services plant, hat die Qual der Wahl: Dualstack, IPv6-only, DNS64/NAT64, XLAT464. Wie soll man sich hier orientieren, was sind die Kriterien und geeignete Strategien? Aarno Aukia, CTO von VSHN, zeigt die Vor- und Nachteile der Varianten anhand eines konkreten Beispiels auf.
Citation preview
IPv6 Rollout im DatacenterVarianten der Integration von IPv4 und IPv6
Swiss IPv6 Council Event24.11.2014
Tobias BrunnerLinux and Network Engineer VSHN AG
@tobruzh
Aarno AukiaCTO VSHN AG@aarnoaukia
24.11.2014 VSHN - IPv6 Datacenter Rollout 2
VSHN ?
● Systemengineering● Configuration Management● DevOps / Operations / Hosting
● Wir bauen die Serverumgebungen für unsere Kunden
● IPv6 gehört bei uns seit 2011 zum Service dazu
24.11.2014 VSHN - IPv6 Datacenter Rollout 3
IPv4-only
24.11.2014 VSHN - IPv6 Datacenter Rollout 4
IPv4-only
24.11.2014 VSHN - IPv6 Datacenter Rollout 5
IPv4-only
● Vorteile– „best practice“ / „Alle“ kennen es
– Nur ein Protokoll → tiefe Komplexität
– Nur einzelne öffentliche IPv4-Adressen an FW/LB
● Nachteile– Stateful NAT
– Kein IPv6
24.11.2014 VSHN - IPv6 Datacenter Rollout 6
Dual-Stacked FW/LB, IPv4 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 7
Dual-Stacked FW/LB, IPv4 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 8
Dual-Stacked FW/LB, IPv4 intern
● Vorteile– „IPv6 enabled“ → Marketing
● Nachteile– Keine IPv6-Verbindungen auf den Servern möglich
24.11.2014 VSHN - IPv6 Datacenter Rollout 9
Dual-Stack IPv4/IPv6
24.11.2014 VSHN - IPv6 Datacenter Rollout 10
Dual-Stack IPv4/IPv6
24.11.2014 VSHN - IPv6 Datacenter Rollout 11
Dual-Stack IPv4/IPv6
● Vorteile– 100% IPv6 enabled
● Nachteile– Doppelte Arbeit → doppelte Komplexität
● Einrichten● Monitoring● Troubleshooting
24.11.2014 VSHN - IPv6 Datacenter Rollout 12
Dual-Stacked FW/LB, IPv6 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 13
Dual-Stacked FW/LB, IPv6 intern
24.11.2014 VSHN - IPv6 Datacenter Rollout 14
Dual-Stacked FW/LB, IPv6 intern
● Vorteile– „einfach nur IPv4 auf dem Loadbalancer“
– Nur noch 1 Protokoll auf den Servern (IPv6)
● Nachteile– Keine IPv4-connectivity auf den Servern (zB für
externe APIs oder Emails versenden)
24.11.2014 VSHN - IPv6 Datacenter Rollout 15
IPv4 auf IPv6-only Hosts
● DNS64 & NAT64● 464XLAT = CLAT & PLAT = CLAT & NAT64● SIIT & CLAT
– Stateless IP / ICMP Translation
24.11.2014 VSHN - IPv6 Datacenter Rollout 16
DNS64 & NAT64
24.11.2014 VSHN - IPv6 Datacenter Rollout 17
DNS64 & NAT64
● Vorteile– Nur noch 1 Protokoll auf den Hosts & LAN (IPv6)
– IPv4 connectivity für alle Protokolle die DNS verwenden (HTTP, HTTPS, SMTP, etc)
– Nur 1x DNS64/NAT64 für alle Kunden/Netze nötig
● Nachteile– Funktioniert nicht für alle Protokolle
● Skype● WhatsApp● TeamViewer● FTP● SIP/RTP● APIs via VPN ohne DNS (zB https://192.168.42.42/api )
– Stateful NAT64 → keine Lösung für inbound Traffic ins Datacenter
24.11.2014 VSHN - IPv6 Datacenter Rollout 18
464XLAT = CLAT & NAT64
24.11.2014 VSHN - IPv6 Datacenter Rollout 19
464XLAT = CLAT & NAT64
● Vorteile– Nur noch 1 Protokoll im LAN (IPv6)
– IPv4 outbound connectivity für alle Protokolle
– Nur 1x NAT64 für alle Kunden/Netze nötig
– Wird ab 2015 bei Mobile verwendet werden (Voice over LTE = VoIP over native IPv6 und IPv4 over 464XLAT, funktioniert bisher mit Android 4.3+ & Windows Phone 8.1)
– Lässt sich mit DNS64 kombinieren, damit müssen nur „legacy-Applikationen“ durch das CLAT
● Nachteile– Stateful NAT64 → keine Lösung für inbound Traffic ins Datacenter
24.11.2014 VSHN - IPv6 Datacenter Rollout 20
SIIT (inbound)
24.11.2014 VSHN - IPv6 Datacenter Rollout 21
SIIT & CLAT
24.11.2014 VSHN - IPv6 Datacenter Rollout 22
SIIT & CLAT
● Vorteile– Nur noch 1 Protokoll auf den Hosts (IPv6)
– IPv4 inbound/outbound durch IPv6 transportiert
– SIIT = stateless = sehr einfach redundant und skalierbar
– Lässt sich mit DNS64 kombinieren, damit müssen nur „legacy-Applikationen“ durch das CLAT
● Nachteile– CLAT gibt es noch nicht für alle Plattformen (Windows Server)
– Hosts (=Server) müssen einzeln Konfiguriert werden → Automatisches Configuration Management
24.11.2014 VSHN - IPv6 Datacenter Rollout 23
Fazit
● Weniger Zeit=Geld durch IPv6-only im Betrieb● Bessere Ausnützung von IPv4 durch SIIT → Kostenvorteil
wenn IPv4 wirklich knapp wird● Schneller/einfacher Rollout von DNS64/NAT64 für
grundsätzliche IPv4 Rückwärts-Kompatibilität (80/20-Ansatz)
● On-demand rollout von CLAT (Linux clatd) falls von Applikation benötigt– CLAT & NAT64 wenn nur outbound (zB Teamviewer, Skype, API)
– CLAT & SIIT wenn auch inbound (zB FTP, SIP, RTP)
24.11.2014 VSHN - IPv6 Datacenter Rollout 24
Danke!
● NAT64: https://tools.ietf.org/html/rfc6146● DNS64: https://tools.ietf.org/html/rfc6147● 464XLAT (CLAT & DNS64):
http://tools.ietf.org/html/rfc6877● SIIT/SIIT-CLAT: Tore Anderson (http://fud.no)● Clatd: https://github.com/toreanderson/clatd
