mobiles ipv6 in theorie und praxis - das ip-protokoll der zukunft im mobilfunknetz der deutschen...

Mobiles IPv6 in Theorie und Praxis - Das IP-Protokoll der Zukunft im Mobilfunknetz der Deutschen TelekomHolger Metschulat, Deutsche Telekom TechnikGabriel Bertram, Detecon International

Heise IPv6 Kongress 201423. Mai 2014

04/11/23Holger Metschulat / Gabriel Bertram - IPv6 im Mobilfunknetz der

Deutschen Telekom2

Agenda

IPv6 im Mobilfunk Unterschiede LAN/WWAN (3GPP) IPv6 Tethering

Wie geht es in Richtung IPv6-Einführung Was bietet IPv6 der Telekom im Mobilfunk

Einführung von IPv6 im Mobilfunknetz der Deutschen Telekom Die bisherigen Schritte Lessons Learnt

IPv6-only Betrieb im Mobilfunk NAT64 464XLAT

Aktueller Stand und Ausblick

3

IPv6 im MobilfunkbereichUnterschiede LAN/WWAN (Wireless Wide Area Network)

Netzendgeräte erwarten eine Broadcast-Schnittstelle

Modem-Chipsatz macht Umsetzung Broadcast-/Point-to-Point z.B. für ND, Link-Local Addresses

Broadcast-Interface Signalisierung IETF Nutzung DHCP + Router Advertisements

Next-Hop Link-Lokal oder GUA MAC-Adresse vorhanden ( Privacy Extensions!)

Point-to-Point Interface Signalisierung gemischt 3GPP/IETF

Nutzung DHCPv6 + Router Advertisements + 3GPP-Signalisierung

Next-Hop ausschließlich Link-Local

MAC-Adresse i.d.R. nicht vorhanden

LAN/WLAN WWAN (UMTS, GPRS, LTE)

4

Aktivierung IPv6 am EndgerätBeispiel Android: „Zugangspunkte“ („APNs“)

Endgeräte mit IPv6-fähiger Mobilfunkschnittstelle (Auswahl, Beispiele)

LG GLG G2Sony Xperia SPSony Xperia ZSony Xperia Z1

Neue Geräte werden nach IPv6-Abnahme mit IPv4/IPv6 vorkonfiguriert ausgeliefertBestehende Geräte können vom Benutzer manuell auf IPv4/IPv6 umgestellt werden

ggf. vorher neuen Zugangspunkt anlegenkeine „Zwangsmigration“ von bestehenden Endgeräten

5

Umsetzung IPv6 im MobilfunkbereichUplink-Sharing / Tethering

Mobilfunkgerät stellt seine mobile Konnektivität anderen lokalen Geräten über WLAN/LAN zur Verfügung•IPv4: Private Adressen + NAT44 im Mobilfunkgerät•IPv6: Zwei Alternativen• 64share (draft-ietf-v6ops-64share-10): Der vom Mobilfunknetz

zugewiesene /64-Präfix wird auf LAN-/WLAN-Seite „gespiegelt“, und damit bilden die LAN/WLAN-Schnittstelle und die WWAN-Schnittstelle eine Broadcast-Domain

• Prefix Delegation (PD): Mobilfunkgerät fordert sich vom Netz ein zusätzliches Subnetz pro LAN-/WLAN-Schnittstelle an

6

Umsetzung IPv6 im Mobilfunkbereichdraft-ietf-v6ops-64share-10

Mobilfunk-

netz

2a01:598:8051:9a01::/64

2a01:598:8051:9a01:83af:5::81a/642a01:598:8051:9a01:a9a0:dd::1/64

2a01:598:8051:9a01:fafa:39a::5/64

2a01:598:8051:9a01:9100:3a::a/64

WWAN und LAN/WLAN nutzen den gleichen IPv6-PräfixAdaption P2P/Broadcast-Medium am Mobilfunkgerät notwendigIPv4 läuft weiterhin über NAT44


Deutschen Telekom7

Realisierung Dual Stack Mobilfunknetz Telekom 2014Aufrüstung der bestehenden APNs (internet.telekom, internet.t-mobile)

IPv4 wird weiterhin über private RFC1918-Adressen und NAT44 realisiert IPv6 wird über /64 GUA zur Verfügung gestellt (Endgerät bekommt

öffentliches IPv6-Subnetz der Präfixlänge /64)Endgerät entscheidet beim Verbindungsaufbau zum Netz, ob es IPv4-only oder IPv4/IPv6 Dualstack möchteSchutz des Endgerätes vor Verbindungsaufbauten aus dem Internet bei IPv6 analog zu IPv4Steuerung der Nutzung von IPv4 oder IPv6 genauso wie im LAN über DNS-EinträgeHappy Eyeballs (RFC6555) sorgt bei vielen Anwendungen für einen schnellen Fallback auf IPv4, wenn IPv6-Pfad zum Server gestört

Friendly User Tests Mai 2014 – August 2014Verfügbarkeit für alle Kunden anvisiert für Ende 2014


Deutschen Telekom8

Lessons Learnt

IPv6 nicht oder nicht vollständig auf sämtlichen Netzwerkprodukten wie Routern implementiert

Limiterungen bei der Nutzung von IPv6, teilweise verstecktEin Endkunde hat plötzlich mehrere Adressen, muß in IT-Systemen berücksichtigt werden

IPv4: 1 Endkunde entspricht 1 Adresse IPv6: 1 Endkunde entspricht 1 Prefix = 264 Adressen

Neue Sicherheitslücken im Zusammenhang mit neuen IPv6-Funktionalitäten

Beispiel Firewall-Inspektion, Header Chaining, Fragmentation, …Parallelbetrieb von IPv4 und IPv6 („Dual Stack“) erfordert höheren Aufwand in Planung und Betrieb als Single-Stack

Dual Stack IPv4/IPv6 spart keine IPv4-Adressen Daher: Dual Stack = Etappenziel, aber sofort auch an‘s Abschalten

von IPv4 denken!


Deutschen Telekom9

IPv6-only Betrieb im Mobilfunk

Endgerät bekommt ausschließlich IPv6 GUA Prefix IPv4 Verbindungen ohne weitere Maßnahmen nicht möglich

Verschiedene TOP Dienste nativ per IPv6 erreichbar IPv6 fähig: Google, facebook, yahoo, wikipedia…heise… IPv4-only: ebay, amazon, spiegel, bild… Je größer der Betrachtungswinkel, desto geringer die IPv6

Durchdringung

Kompatibilitätsmechanismus notwendig, um IPv6-only Kunden den Zugriff auf IPv4-only Services zu ermöglichen

Tunnelmechanismus Gateway-Initiated Dual-Stack Lite

Protokoll- und Adressübersetzung NAT64 + DNS64 464XLAT


Deutschen Telekom10

NAT64 + DNS64

Providerseitiger Kompatibilitätsmechanismus DNS64 (RFC6147)

Synthetisierung von AAAA RR basierend auf A RR Stateful NAT64 (RFC6146)

Netzseitige Protokollübersetzung IPv6 Adresssynthetisierung im Netz zwingend erforderlich

Keine Unterstützung von IPv4-only Anwendungen sowie IPv4 Literalen in Applikationen, Webseiten etc.

IPv6-only ClientIPv6 Präfix 2a01:598:5000:5::/64

? AAAA www.example.com

! AAAA 64:ff9b::93.184.216.119

? AAAA www.example.com! Does not exist

? A www.example.com! 93.184.216.119

Src: 2a01:598:5000:5::1Dst: 64:ff9b::93.184.216.119

Src: 192.0.2.1Dst: 93.184.216.119

IPv4-only contentwww.example.com

Src: 93.184.216.119Dst: 192.0.2.1

Src: 64:ff9b::93.184.216.119Dst: 2a01:598:5000:5::1

DNS64IPv6 Prefix 64:ff9b::/96 DNS

Stateful NAT64IPv6 Prefix 64:ff9b::/96

Public IPv4 Pool 192.0.2.0/24


Deutschen Telekom11

NAT64 + DNS64 Testergebnisse

Testergebnis

Massiver gebrauch von IPv4 Literalen in Applikationen und Nutzung von IPv4-spezifischen APIs

NAT64 + DNS64 ist gut…aber nicht gut genug, um IPv4 und Dual-Stack vollständig zu ersetzen!

Top 50Websites

Top 30Android

Applikationen

Populäre Windows 7

Applikationen

Top 30Windows Phone

Applikationen

100% Kompatibilität 74% Kompatibilität 89% Kompatibilität 61% Kompatibilität


Deutschen Telekom12

464XLAT (RFC6877) ist eine Kombination aus Stateful NAT64 (RFC6146) DNS64 (RFC6147) Stateless NAT64 (RFC6145)

Client-seitige Übersetzung Prefix Discovery (RFC7050)

Ermittlung der Prefix für die lokale Adresssynthetisierung

464XLAT

464XLAT basiert im Netzwerk auf NAT64 + DNS64

? AAAA ipv4only.arpa

! AAAA 64:ff9b::192.0.0.171

? AAAA ipv4only.arpa! Does not exist

? A ipv4only.arpa! 192.0.0.171

Src: 2a01:598:5000:5::464Dst: 64:ff9b::93.184.216.119 Src: 192.0.2.1

Dst: 93.184.216.119

IPv4-only contentwww.example.com

Src: 93.184.216.119Dst: 192.0.2.1

Src: 64:ff9b::93.184.216.119Dst: 2a01:598:5000:5::464

DNS64IPv6 Prefix 64:ff9b::/96 DNS

Stateful NAT64IPv6 Prefix 64:ff9b::/96

Public IPv4 Pool 192.0.2.0/24

Lokale ÜbersetzungIPv6 Prefix 64:ff9b::/96

IPv4-only Applikation

IPv6-only ClientIPv6 Präfix 2a01:598:5000:5::/64

Src: 192.168.0.1Dst: 93.184.216.119


Deutschen Telekom13

464XLAT Testergebnisse

Testergebnis

Dienstekompatibilität vergleichbar mit IPv4-only oder Dual-Stack

Uns ist kein relevanter Dienst bekannt der systematisch nicht 464XLAT kompatibel ist

Lokale Übersetzung implementiert in Android 4.3+

Top 50Websites

Top 30 AndroidApplikationen

Populäre Windows 7Applikationen

100% Kompatibilität 100% Kompatibilität 100% Kompatibilität


Deutschen Telekom14

Aktueller Stand

Das Mobilfunknetz der Deutschen Telekom ist IPv6 fähig

Zur Zeit läuft ein deutschlandweiter Dual-Stack Friendly-User Test

Nutzungsmöglichkeit für Endkunden für Ende 2014 geplant

Geräte mit marktreifen IPv6 Implementierungen vorhanden und für den Dual-Stack Betrieb abgenommen

Keine netzseitige Änderung von Geräten im Markt Dual-Stack wird für alle Massenmarktkunden verfügbar sein Neue Geräte werden nach IPv6-Abnahme mit IPv4/IPv6 vorkonfiguriert

ausgeliefert Bestehende Geräte können vom Benutzer manuell auf IPv4/IPv6

umgestellt werden


Deutschen Telekom15

Ausblick

Parallel zur Dual-Stack Einführung wird der IPv4 Ausstieg verfolgt

NAT64 + DNS64 in Laborumgebung eingebracht, 464XLAT fähige Geräte vorhanden

Tests unter Verwendung von 464XLAT laufen

Erste Geräte im Abnahmetest für den IPv6-only Betrieb

IPv6-only Friendly-User Test für 2015 geplant

Kontrollierter Übergang von IPv4 über Dual-Stack zu IPv6-only für spezifische und getestete Endgeräte

Vielen Dank für Ihre Aufmerksamkeit

Backup slides


Deutschen Telekom18

464XLAT im Detail

Prefix discovery (RFC7050) IPv6-only Client ermittelt durch die Anfrage eines AAAA RR für den FQDN

ipv4only.arpa (IPv4-only) die IPv6 Prefix für die Adresssynthetisierung Wird ein AAAA RR zurückgeliefert, ist das der Indikator, dass NAT64 +

DNS64 im Netz vorhanden ist und der Client extrahiert die /96 Prefix zur lokalen Adresssynthetisierung

Wireshark


Deutschen Telekom19

464XLAT im Detail

Stateless NAT64 (RFC6145) Protokollübersetzung mit algorithmischem mapping von einer IPv4

Adresse zu einer IPv6 Adresse 32 Bit der IPv4 Adresse werden in 128 Bit IPv6 Adresse eingebettet

Wireshark


Deutschen Telekom20

464XLAT im Detail

Stateful NAT64 (RFC6146) Dynamische Übersetzung eines IPv4 Pakets in ein IPv6 Packet und

umgekehrt Die verwendeten Adressen bei der Übersetzung basieren auf einem

Pool von IPv4 Adressen Übersetzungsrelation ist statusbehaftet und temporär

Wireshark


Deutschen Telekom21

464XLAT im Detail

DNS64 (RFC6147) Ist für einen FQDN kein AAAA RR vorhanden, wird durch die DNS64

Funktionalität ein AAAA RR basierend auf einem A RR und einer IPv6 Prefix generiert

DNS64 + NAT64 nutzen die gleiche Prefix

Wireshark


Deutschen Telekom22

464XLAT im Detail

IPv6-only unter Android

Ausgehend von Android 4.3 wird der APN Typ IPv6 als Indikator für die Nutzung von 464XLAT vorgesehen


Deutschen Telekom23

464XLAT im Detail

IPv6-only unter Android

Ausgehend von Android 4.3 wird der APN Typ IPv6 als Indikator für die Nutzung von 464XLAT vorgesehen

Virtuelle Interfaces und Default Route zur CLAT Funktion werden bereitgestellt

mobiles ipv6 in theorie und praxis - das ip-protokoll der zukunft im mobilfunknetz der deutschen...

Documents