ipv6, dld og nat: steinar haug, ipv6 guru, ventelo
DESCRIPTION
IPv6, DLD og NAT - Tre forkortelser som aldri bør møtes!: Steinar Haug, IPv6 guru, Ventelo IKT-Norge IPv6 forum IPV6 konferanse 23 & 24 mai 2011TRANSCRIPT
IPv6, DLD og NAT
Den uheldige treenighet
Steinar Haug IPv6 guru / Senior network architect [email protected]
Hvem er vi?
• Ventelo er en komplett tjenesteleverandør – Mobiltelefoni / fasttelefoni – Bredbånd – Datacom – Kapasitet
• Landsdekkende infrastruktur på fiber, DSL
og radio • Bedrift, wholesale og privat
• IPv6 i kjernenettet siden 2003 – Produktifisering. – Pilot-tjeneste tilbys bedriftskunder. – Første større IPv6 leveranse til The Gathering påsken
2009, Vikingskipet.
Slide 2
Uheldige forkortelser?
• Data og nettverksbransjen liker forkortelser – En yrkesrelatert sykdom?
• Dagens forkortelser: IPv6, DLD og NAT – IPv6: Internet Protocol version 6. – DLD: Datalagringsdirektivet. – NAT: Network Address Translation.
• Disse har en del innebygde konflikter – Jeg skal belyse konfliktene og problemene. – Jeg kommer med en del påstander om IPv6, DLD og NAT. – Det er lov å være uenig. – Hvis dette får dere til å tenke, er alt vel!
Slide 3
MP3
IPv6 IPv4
TCP IKT
WWW
PHP
DLD
NAT
ISP GSM
LTE
API ADSL
Datalagringsdirektivet
• Vedtatt i Stortinget 4. april 2011 – Dramatisk svekking av personvernet: Alle betraktes som mistenkte! – Opphetet debatt i mange fora på forhånd. – Men mange gir blaffen og bryr seg ikke.
• Lagring av info om alle som bruker teletjenester – Minimum 6 måneders lagring. – Sender, mottaker, posisjon – men ikke innhold. – Krever i praksis veldefinert kobling mellom IP-adresse og kunde. – Forslag til ny åndsverkslov peker i samme retning.
• Detaljer ennå ikke avklart! – Detaljert utforming av regelverket er ikke klart – hverken Storting
eller andre vet egentlig hva som er vedtatt! – Kostnader forbundet med DLD er ikke avklart – men vi vet at de blir
betydelige.
Slide 4
Network Address Translation
• NAT er svært vanlig i forbindelse med IPv4 – ”Mange til en” NAT: Flere IPv4 bokser bak én offisiell adresse. – Hver enkelt boks er ikke lenger direkte adresserbar! – NAT ”sikkerhet”: Egentlig kommer dette fra ”stateful firewall”. – Sikkerhetspolicy: Vanlig at det kun aksepteres returtrafikk
for sesjoner som er startet fra ”innsiden” (lokalnettet). – NAT-boks må ha tilstand for sesjoner. – De fleste ADSL hjemmerutere bruker NAT. – Bedrifter bruker ofte NAT på brannmur mot omverden. – NAT gir leverandøruavhengighet: Kun NAT-boks (brannmur)
trenger å endres ved bytte av leverandør.
• NAT er ikke definert for IPv6! – Både faglig begrunnet og ”religiøs” motvilje. – Men det tvinger seg frem likevel (brukerkrav). – Relevant skille: ”En til en” oversetting (NAT66) versus
”mange til en” oversetting (NAPT66).
Slide 5
IPv6 adressetildeling • IPv6 adressetildeling som ligner på IPv4
– Statisk adresse: Eksplisitt konfigurering pr. boks. – DHCP: Tildeling styres av DHCP-server.
• Disse er ”DLD-vennlige”: – Enkelt å holde oversikt over kobling mellom IP-adresse og bruker/boks. – DHCP-server gir sentralisert logging.
• Inkompatibel med DLD: Autokonfigurasjon (SLAAC) – Ny mekanisme i IPv6 – finnes ikke i IPv4. – Adresse lages vha. prefiks (fra ruter) og lokal del (bestemt av boksen selv).
– Vanligvis ingen logging som viser kobling mellom boks og IPv6-adresse.
– Inkompatibel med DLD! – ... som betyr at denne mekanismen normalt ikke kan brukes av tjenesteleverandører.
Slide 6
2001:db8:: 215:17ff:fe2a:2fde
Hvilke adresser skal brukes?
• En datamaskin vil ofte ha IPv4 og IPv6 adresser – Hvilke adresser skal brukes? Dette er ikke opplagt! – Nyere operativsystemer foretrekker normalt IPv6 foran IPv4. – Hva om IPv6-adressen er en 6to4 eller Teredo tunnel-adresse? – Hva om IPv4-adressen er en privat IP-adresse (pga. NAT etc)? – Hva skjer med VPN-forbindelser med IPv6 i nettet? – Valg av dårlig/ikke fungerende adresse kan være katastrofalt for brukeropplevelse
(30 sekunder timeout o.l.), og innholdsleverandører er redd for å miste inntekter!
• Det er gjort en god del målinger for å detektere problemer – Google målinger: http://ripe61.ripe.net/presentations/223-World_IPv6_day.pdf – Redpill Linpro målinger: http://www.fud.no/ipv6/
• Resultatet er at VG/A-pressen har skrudd på IPv6 på servere – Mengden ikke-fungerende klienter er lav nok til at de kan leve med det. – Og det skal vi alle være glade for
Slide 7
IPv6 vil gi økt bruk av NAT
• NAT ikke definert for IPv6! – IPv6 tilbyr full ende til ende kommunikasjon, uten NAT. – Mange brukere er vant til NAT, og ønsker det for IPv6! – Leverandøruavhengige adresser (PI) finnes, men er
vanskelig tilgjengelige. – Fullstendig krasj mellom teori og praksis
• IPv6 vil gi mer bruk av NAT enn IPv4! – Iallfall i de nærmeste 5 – 10 årene. – Mange ”overgangsmekanismer”: NAT64/DNS64, DS-Lite, ... – Hvordan kan en IPv6 boks nå IPv4 innhold? – Hvordan kan en IPv4 boks nå IPv6 innhold? – Hvordan skifte IPv6 leverandør uten å endre alle
IPv6 adresser i bedriften? – Hvordan håndtere DLD krav til identifikasjon av kunde?
Slide 8
IPv6 og NAT
• Tanken var... – At ”alle” skal bruke ”dual stack”, dvs. implementasjon av både IPv4 og IPv6.
Nødvendig fordi IPv6 og IPv4 bokser ikke kan snakke direkte med hverandre. – Og etter noen år har ”alle” gått over til IPv6, og IPv4 kan skrus av. – IPv6 trenger ikke NAT, fordi det er nok adresser – ikke nødvendig å definere NAT. – Slik gikk det ikke!
• Sentralisert NAT for å kunne fortsette med bruk av IPv4 – Tjenesteleverandører trenger IPv4-adresser til nye kunder. – IPv4-adresser kan frigjøres ved å kjøre sentralisert NAT (”Carrier Grade NAT”, NAT444). – Krever enorme mengder logging for å tilfredsstille DLD-krav.
• NAT for IPv4 – IPv6 kommunikasjon – Både sentraliserte og distribuerte løsninger (CPE) er mulig. – Tilby IPv6 tjenester eksternt uten å endre dagens servere. – CPE-baserte løsninger krever at tjenesteleverandør kontrollerer CPE.
Slide 9
IPv6, NAT og DLD
• NAT444 = NAT44 (kunde) + NAT44 (tjenesteleverandør)
• Sentralisert NAT gir store utfordringer mht. logging – Logging er påkrevet for å kunne identifisere kunde i forhold til DLD. – Logging betyr normalt tidspunkt, IP-adresser, portnumre, etc. Minimum 50 – 100 byte. – Logging må gjøres for hver sesjon, fordi kobling mot kunde er dynamisk! – En nettside resulterer i mange sesjoner (kan være 100 eller mere). – Resultatet er store volumer med loggdata, og høy kostnad for lagring og administrasjon. – Du kan forvente å få et nært og varmt forhold til din lagringsleverandør
Slide 10
IPv6, NAT og DLD 2
• Finnes det noen måter å unngå logge-eksplosjonen? – I prinsippet enkelt: Implementer IPv6 ende til ende.
Sørg for at alle kunder og tjenester er tilgjengelig over IPv6.
• I praksis vanskelig: – Det er svært kort tid igjen for de som først begynner nå. – Det er allerede tomt for IPv4-adresser mange steder
(f.eks. ikke mulig å dekke behov på mobilsiden). – Det er fortsatt mange produkter som ikke støtter IPv6:
Mobiltelefoner, hjemmerutere, etc.
• Trodde du smartmobilen din støttet IPv6? – Den gjør den antagelig – men kun med WiFi tilkobling. – Nesten ingen smartmobiler støtter IPv6 mot GSM-nettet. – Svært mange mobiloperatører kan ikke fakturere IPv6 datatrafikk.
I praksis er mobilverden helt avhengig av NAT.
Slide 11
Summa summarum
• IPv6 autokonfigurasjon inkompatibel med DLD – På grunn av behov for identifikasjon av kunde, – Og manglende logging av adressetildeling.
• IPv6 vil gi mer bruk av NAT enn dagens IPv4 – På grunn av behov for IPv4-adresser til nye kunder og tjenester. – Og ulike overgangsmekanismer mellom IPv4 og IPv6.
• IPv6, DLD og NAT vil gi store mengder logging flere år fremover – En ”våt drøm” for lagringsleverandører? – Dette blir definitivt ikke gratis. – Noen må betale for dette. Staten?
• Raskest mulig overgang til IPv6 er det beste vi kan gjøre – ... for å redusere smerten.
Slide 12