mobiles ipv6 in theorie und praxis - das ip-protokoll der zukunft im mobilfunknetz der deutschen...
TRANSCRIPT
Mobiles IPv6 in Theorie und Praxis - Das IP-Protokoll der Zukunft im Mobilfunknetz der Deutschen TelekomHolger Metschulat, Deutsche Telekom TechnikGabriel Bertram, Detecon International
Heise IPv6 Kongress 201423. Mai 2014
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom2
Agenda
IPv6 im Mobilfunk Unterschiede LAN/WWAN (3GPP) IPv6 Tethering
Wie geht es in Richtung IPv6-Einführung Was bietet IPv6 der Telekom im Mobilfunk
Einführung von IPv6 im Mobilfunknetz der Deutschen Telekom Die bisherigen Schritte Lessons Learnt
IPv6-only Betrieb im Mobilfunk NAT64 464XLAT
Aktueller Stand und Ausblick
3
IPv6 im MobilfunkbereichUnterschiede LAN/WWAN (Wireless Wide Area Network)
Netzendgeräte erwarten eine Broadcast-Schnittstelle
Modem-Chipsatz macht Umsetzung Broadcast-/Point-to-Point z.B. für ND, Link-Local Addresses
Broadcast-Interface Signalisierung IETF Nutzung DHCP + Router Advertisements
Next-Hop Link-Lokal oder GUA MAC-Adresse vorhanden ( Privacy Extensions!)
Point-to-Point Interface Signalisierung gemischt 3GPP/IETF
Nutzung DHCPv6 + Router Advertisements + 3GPP-Signalisierung
Next-Hop ausschließlich Link-Local
MAC-Adresse i.d.R. nicht vorhanden
LAN/WLAN WWAN (UMTS, GPRS, LTE)
4
Aktivierung IPv6 am EndgerätBeispiel Android: „Zugangspunkte“ („APNs“)
Endgeräte mit IPv6-fähiger Mobilfunkschnittstelle (Auswahl, Beispiele)
LG GLG G2Sony Xperia SPSony Xperia ZSony Xperia Z1
Neue Geräte werden nach IPv6-Abnahme mit IPv4/IPv6 vorkonfiguriert ausgeliefertBestehende Geräte können vom Benutzer manuell auf IPv4/IPv6 umgestellt werden
ggf. vorher neuen Zugangspunkt anlegenkeine „Zwangsmigration“ von bestehenden Endgeräten
5
Umsetzung IPv6 im MobilfunkbereichUplink-Sharing / Tethering
Mobilfunkgerät stellt seine mobile Konnektivität anderen lokalen Geräten über WLAN/LAN zur Verfügung•IPv4: Private Adressen + NAT44 im Mobilfunkgerät•IPv6: Zwei Alternativen• 64share (draft-ietf-v6ops-64share-10): Der vom Mobilfunknetz
zugewiesene /64-Präfix wird auf LAN-/WLAN-Seite „gespiegelt“, und damit bilden die LAN/WLAN-Schnittstelle und die WWAN-Schnittstelle eine Broadcast-Domain
• Prefix Delegation (PD): Mobilfunkgerät fordert sich vom Netz ein zusätzliches Subnetz pro LAN-/WLAN-Schnittstelle an
6
Umsetzung IPv6 im Mobilfunkbereichdraft-ietf-v6ops-64share-10
Mobilfunk-
netz
2a01:598:8051:9a01::/64
2a01:598:8051:9a01:83af:5::81a/642a01:598:8051:9a01:a9a0:dd::1/64
2a01:598:8051:9a01:fafa:39a::5/64
2a01:598:8051:9a01:9100:3a::a/64
WWAN und LAN/WLAN nutzen den gleichen IPv6-PräfixAdaption P2P/Broadcast-Medium am Mobilfunkgerät notwendigIPv4 läuft weiterhin über NAT44
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom7
Realisierung Dual Stack Mobilfunknetz Telekom 2014Aufrüstung der bestehenden APNs (internet.telekom, internet.t-mobile)
IPv4 wird weiterhin über private RFC1918-Adressen und NAT44 realisiert IPv6 wird über /64 GUA zur Verfügung gestellt (Endgerät bekommt
öffentliches IPv6-Subnetz der Präfixlänge /64)Endgerät entscheidet beim Verbindungsaufbau zum Netz, ob es IPv4-only oder IPv4/IPv6 Dualstack möchteSchutz des Endgerätes vor Verbindungsaufbauten aus dem Internet bei IPv6 analog zu IPv4Steuerung der Nutzung von IPv4 oder IPv6 genauso wie im LAN über DNS-EinträgeHappy Eyeballs (RFC6555) sorgt bei vielen Anwendungen für einen schnellen Fallback auf IPv4, wenn IPv6-Pfad zum Server gestört
Friendly User Tests Mai 2014 – August 2014Verfügbarkeit für alle Kunden anvisiert für Ende 2014
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom8
Lessons Learnt
IPv6 nicht oder nicht vollständig auf sämtlichen Netzwerkprodukten wie Routern implementiert
Limiterungen bei der Nutzung von IPv6, teilweise verstecktEin Endkunde hat plötzlich mehrere Adressen, muß in IT-Systemen berücksichtigt werden
IPv4: 1 Endkunde entspricht 1 Adresse IPv6: 1 Endkunde entspricht 1 Prefix = 264 Adressen
Neue Sicherheitslücken im Zusammenhang mit neuen IPv6-Funktionalitäten
Beispiel Firewall-Inspektion, Header Chaining, Fragmentation, …Parallelbetrieb von IPv4 und IPv6 („Dual Stack“) erfordert höheren Aufwand in Planung und Betrieb als Single-Stack
Dual Stack IPv4/IPv6 spart keine IPv4-Adressen Daher: Dual Stack = Etappenziel, aber sofort auch an‘s Abschalten
von IPv4 denken!
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom9
IPv6-only Betrieb im Mobilfunk
Endgerät bekommt ausschließlich IPv6 GUA Prefix IPv4 Verbindungen ohne weitere Maßnahmen nicht möglich
Verschiedene TOP Dienste nativ per IPv6 erreichbar IPv6 fähig: Google, facebook, yahoo, wikipedia…heise… IPv4-only: ebay, amazon, spiegel, bild… Je größer der Betrachtungswinkel, desto geringer die IPv6
Durchdringung
Kompatibilitätsmechanismus notwendig, um IPv6-only Kunden den Zugriff auf IPv4-only Services zu ermöglichen
Tunnelmechanismus Gateway-Initiated Dual-Stack Lite
Protokoll- und Adressübersetzung NAT64 + DNS64 464XLAT
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom10
NAT64 + DNS64
Providerseitiger Kompatibilitätsmechanismus DNS64 (RFC6147)
Synthetisierung von AAAA RR basierend auf A RR Stateful NAT64 (RFC6146)
Netzseitige Protokollübersetzung IPv6 Adresssynthetisierung im Netz zwingend erforderlich
Keine Unterstützung von IPv4-only Anwendungen sowie IPv4 Literalen in Applikationen, Webseiten etc.
IPv6-only ClientIPv6 Präfix 2a01:598:5000:5::/64
? AAAA www.example.com
! AAAA 64:ff9b::93.184.216.119
? AAAA www.example.com! Does not exist
? A www.example.com! 93.184.216.119
Src: 2a01:598:5000:5::1Dst: 64:ff9b::93.184.216.119
Src: 192.0.2.1Dst: 93.184.216.119
IPv4-only contentwww.example.com
Src: 93.184.216.119Dst: 192.0.2.1
Src: 64:ff9b::93.184.216.119Dst: 2a01:598:5000:5::1
DNS64IPv6 Prefix 64:ff9b::/96 DNS
Stateful NAT64IPv6 Prefix 64:ff9b::/96
Public IPv4 Pool 192.0.2.0/24
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom11
NAT64 + DNS64 Testergebnisse
Testergebnis
Massiver gebrauch von IPv4 Literalen in Applikationen und Nutzung von IPv4-spezifischen APIs
NAT64 + DNS64 ist gut…aber nicht gut genug, um IPv4 und Dual-Stack vollständig zu ersetzen!
Top 50Websites
Top 30Android
Applikationen
Populäre Windows 7
Applikationen
Top 30Windows Phone
Applikationen
100% Kompatibilität 74% Kompatibilität 89% Kompatibilität 61% Kompatibilität
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom12
464XLAT (RFC6877) ist eine Kombination aus Stateful NAT64 (RFC6146) DNS64 (RFC6147) Stateless NAT64 (RFC6145)
Client-seitige Übersetzung Prefix Discovery (RFC7050)
Ermittlung der Prefix für die lokale Adresssynthetisierung
464XLAT
464XLAT basiert im Netzwerk auf NAT64 + DNS64
? AAAA ipv4only.arpa
! AAAA 64:ff9b::192.0.0.171
? AAAA ipv4only.arpa! Does not exist
? A ipv4only.arpa! 192.0.0.171
Src: 2a01:598:5000:5::464Dst: 64:ff9b::93.184.216.119 Src: 192.0.2.1
Dst: 93.184.216.119
IPv4-only contentwww.example.com
Src: 93.184.216.119Dst: 192.0.2.1
Src: 64:ff9b::93.184.216.119Dst: 2a01:598:5000:5::464
DNS64IPv6 Prefix 64:ff9b::/96 DNS
Stateful NAT64IPv6 Prefix 64:ff9b::/96
Public IPv4 Pool 192.0.2.0/24
Lokale ÜbersetzungIPv6 Prefix 64:ff9b::/96
IPv4-only Applikation
IPv6-only ClientIPv6 Präfix 2a01:598:5000:5::/64
Src: 192.168.0.1Dst: 93.184.216.119
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom13
464XLAT Testergebnisse
Testergebnis
Dienstekompatibilität vergleichbar mit IPv4-only oder Dual-Stack
Uns ist kein relevanter Dienst bekannt der systematisch nicht 464XLAT kompatibel ist
Lokale Übersetzung implementiert in Android 4.3+
Top 50Websites
Top 30 AndroidApplikationen
Populäre Windows 7Applikationen
100% Kompatibilität 100% Kompatibilität 100% Kompatibilität
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom14
Aktueller Stand
Das Mobilfunknetz der Deutschen Telekom ist IPv6 fähig
Zur Zeit läuft ein deutschlandweiter Dual-Stack Friendly-User Test
Nutzungsmöglichkeit für Endkunden für Ende 2014 geplant
Geräte mit marktreifen IPv6 Implementierungen vorhanden und für den Dual-Stack Betrieb abgenommen
Keine netzseitige Änderung von Geräten im Markt Dual-Stack wird für alle Massenmarktkunden verfügbar sein Neue Geräte werden nach IPv6-Abnahme mit IPv4/IPv6 vorkonfiguriert
ausgeliefert Bestehende Geräte können vom Benutzer manuell auf IPv4/IPv6
umgestellt werden
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom15
Ausblick
Parallel zur Dual-Stack Einführung wird der IPv4 Ausstieg verfolgt
NAT64 + DNS64 in Laborumgebung eingebracht, 464XLAT fähige Geräte vorhanden
Tests unter Verwendung von 464XLAT laufen
Erste Geräte im Abnahmetest für den IPv6-only Betrieb
IPv6-only Friendly-User Test für 2015 geplant
Kontrollierter Übergang von IPv4 über Dual-Stack zu IPv6-only für spezifische und getestete Endgeräte
Vielen Dank für Ihre Aufmerksamkeit
Backup slides
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom18
464XLAT im Detail
Prefix discovery (RFC7050) IPv6-only Client ermittelt durch die Anfrage eines AAAA RR für den FQDN
ipv4only.arpa (IPv4-only) die IPv6 Prefix für die Adresssynthetisierung Wird ein AAAA RR zurückgeliefert, ist das der Indikator, dass NAT64 +
DNS64 im Netz vorhanden ist und der Client extrahiert die /96 Prefix zur lokalen Adresssynthetisierung
Wireshark
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom19
464XLAT im Detail
Stateless NAT64 (RFC6145) Protokollübersetzung mit algorithmischem mapping von einer IPv4
Adresse zu einer IPv6 Adresse 32 Bit der IPv4 Adresse werden in 128 Bit IPv6 Adresse eingebettet
Wireshark
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom20
464XLAT im Detail
Stateful NAT64 (RFC6146) Dynamische Übersetzung eines IPv4 Pakets in ein IPv6 Packet und
umgekehrt Die verwendeten Adressen bei der Übersetzung basieren auf einem
Pool von IPv4 Adressen Übersetzungsrelation ist statusbehaftet und temporär
Wireshark
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom21
464XLAT im Detail
DNS64 (RFC6147) Ist für einen FQDN kein AAAA RR vorhanden, wird durch die DNS64
Funktionalität ein AAAA RR basierend auf einem A RR und einer IPv6 Prefix generiert
DNS64 + NAT64 nutzen die gleiche Prefix
Wireshark
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom22
464XLAT im Detail
IPv6-only unter Android
Ausgehend von Android 4.3 wird der APN Typ IPv6 als Indikator für die Nutzung von 464XLAT vorgesehen
04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der
Deutschen Telekom23
464XLAT im Detail
IPv6-only unter Android
Ausgehend von Android 4.3 wird der APN Typ IPv6 als Indikator für die Nutzung von 464XLAT vorgesehen
Virtuelle Interfaces und Default Route zur CLAT Funktion werden bereitgestellt