IPv6 in einem Firmennetzwerk

Teil 2

Dirk Kurfürst

dirk.kurfuerst@isarnet.de

www.isarnet.de

www.isarflow.de

28.05.2009 © 2009 IsarNet AG

Themen

– Windows IP-Stack

Details

– Adressierung

28.05.2009 © 2009 IsarNet AG

neuer Windows-IP-Stack

IPv6 ist unbedingt bevorzugt

Ablauf:

1)Client schickt nach „Link Up“ IPv6 NA/NS/RS

2)versucht DHCPv6

3)wartet danach auf RA mit globaler Adresse

4)versucht ISATAP (benötigt konfigurierte Infrastruktur)

5)versucht Teredo

6)wenn wirklich nichts geht, wird nur IPv4 genutzt

28.05.2009 © 2009 IsarNet AG

Teredo: von „Teredo navalis“ (Schiffsbohrwurm; Muschelart)

1. Wenn auf keinem Link nativ IPv6 anliegt, wird der Teredo-Client gestartet

2. Teredo-Client registriert sich am Teredo-Server und versucht, die verwendete Kommunikation (NAT) herauszufinden

3. Teredo-Client hält den Teredo-Tunnel offen mit „nat bubble packets“ alle 30 seconds

• entwickelt von Microsoft

• standardisiert in RFC 4380

• implementiert im Windows XP und Vista IP stack

• prefix 2001:0000::/32

• UDP encapsulation von IPv6 Packeten, um NAT zu umgehen (UDP/3544)

• Server: teredo.ipv6.microsoft.com

Teredo ???

28.05.2009 © 2009 IsarNet AG

Windows-IP-Stack/Teredo

http://www.microsoft.com/technet/network/ipv6/teredo.mspx

“Teredo is an IPv6 transition technology that provides address assignment and host-to-host automatic tunneling for unicast IPv6 traffic …

… Teredo solves the issues …

… With Teredo, IPv6-enabled applications can successfully communicate more frequently over the IPv4 Internet than IPv4-only applications …”

Ziel ist es, evtl. IPv6-Inseln miteinander zu verbinden

28.05.2009 © 2009 IsarNet AG

Windows-IP-Stack/Teredo

TeredoServer

„restricted NAT“

IPv4

IPv6FW/NAT

TeredoServer

TeredoRelay

1. Teredo Client sendet initiales Paket zum Teredo Server

2. Teredo Server sendet dieses Paket zum IPv6 Host

3. IPv6 Host beantwortet dies via dem nächsten Teredo Relais

4. Teredo Relais sendet einen “bubble” zum Teredo Server

5. Teredo Server schickt diesen “bubble” zum Teredo Client

6. Teredo Client sendet “bubble” zum Teredo Relais

7. Teredo Relais schickt zwischengespeicherte Nachricht (vom IPv6 Server) zum Teredo Client

8. Die sonstige Kommunikation geht über das Teredo Relais

1

2

345

67

8

8

28.05.2009 © 2009 IsarNet AG

Windows-IP-Stack/Teredo

Teredo erlaubt unkontrollierten IPv6 Traffic vom Internet ins Intranet trotz IPv4-Firewall!

IPv6-Traffic kann IPv4-Netzwerk beeinträchtigen

kurzfristige Maßnahmen:

• Teredo in Registry ausschalten

• A-Record anlegen

• IPv6-Host-Firewall (z.B. XP-Firewall)

• zweistufige DMZ

28.05.2009 © 2009 IsarNet AG

neuer Windows-IP-Stack

zu IPv4 komplett

parallele Infrastruktur !!!

28.05.2009 © 2009 IsarNet AG

IP-Adressierung

• 128 bit Adressraum

• theoretisch 2128 mögliche Adressen

• Interfaces haben mehrere Adressen

• Adressen haben “scopes” (Gültigkeitsbereich)

• Adressen haben eine Lebensdauer

• kein Broadcast, nur Unicast/Anycast/Multicast

3 Varianten der Interface-Konfiguration:

• statische IP-Adresse

• stateless autoconfiguration (EUI64)

• stateful DHCP

28.05.2009 © 2009 IsarNet AG

IPv6 Adressierung

Adressblock vom RIPE erhalten:

2A02:5E8::/32

Wie aufteilen?

– Sehr viel RFC-lesen angesagt

RFC4291, RFC4193, RFC3849, RFC2464, RFC5375, RFC4941, RFC3513, RFC3879, RFC4941, RFC3056, RFC3587, RFC2374, RFC3306, RFC3956

– ipv6calc

– Kein „echter“ Subnetzrechner mit GUI

=> http://sourceforge.net/projects/ipv6subnetcalc/

28.05.2009 © 2009 IsarNet AG

IPv6 Adressierung

28.05.2009 © 2009 IsarNet AG

IPv6 Adressierung

Ziel: Netzwerk-Summaries ermöglichen & RFC befolgen

/124 von uns für P2P-Links innerhalb des Netzwerkes definiert

/64 für echte Subnetze (L2-VLAN; Standard laut RFC)

32 bits zur Strukturierung; von uns definiert wie folgt:

– 16 bits Standort

• 4 bit Organisation (LAN/DMZ/Firma/…)

• 4 bit Region

• 8 bit Land/Standort

– 16 bits Verteilerraum (= /48 Standort)

• 4 bit Funktion (Server/Client/VoIP/WLAN/…)

• 4 bit Gebäude 3 = Gebäude

• 4 bit Etage 4 = 4. Etage

• 4 bit Verteiler 1 = Verteiler A

z.B. 2a02:05e8:0100:5341::/640 = LAN 5 = Client-LAN

1 = EU 00 = Dresden

Danke!