Geekstammtisch

Geekstammtisch

Das heimelige Nerdgespräch über Webentwicklung, Ruby/Rails und mehr

GST034 - IPv6 to the Home!

Audio herunterladen: MP3 | AAC | OGG | OPUS

Unser Gast (00:00:00)

  • Christian Rohmann
  • Arbeitet bei NetCologne: http://netcologne.de
  • "NetCologne macht Internet"... und Telefon... und ein paar Dienste drumherum
  • Christian arbeitet im Bereich Network Engineering und Design, genauer um die Infrastruktur und Dienste

DSL Zuhause (00:02:40)

  • Die DSL-Box/Router/"FritzBox" meldet sich im Netz mit ihrer Identifikation und bekommt automatisch ihre Konfiguration
  • Alternativ muss man alle Zugangsdaten, Netzwerkeinstellungen etc. selber machen
  • Hybrid Fibre Cable/Coaxial (HFC): https://en.wikipedia.org/wiki/Hybrid_fibre-coaxial
    • Authentifizierung via DOCSIS: https://en.wikipedia.org/wiki/DOCSIS
    • Konfiguration quasi via DHCP
  • Digital Subscriber Line (DSL): https://en.wikipedia.org/wiki/DSL
    • z.B. via Kupfer oder Glasfaser
    • Digital subscriber line access multiplexer (DSLAM): https://en.wikipedia.org/wiki/Dslam
    • Point-to-point protocol over Ethernet (PPPoE): https://en.wikipedia.org/wiki/Pppoe
    • Broadband remote access server: (BRAS): https://en.wikipedia.org/wiki/BroadbandRemoteAccess_Server
    • Authentifizierung gegenüber BRAS über PPPoE

IPv4 (00:08:50)

  • IPv6: https://en.wikipedia.org/wiki/Ipv6
  • In Köln gibt es jetzt von NetCologne IPv6 für alle!
  • IPv4: https://en.wikipedia.org/wiki/Ipv4
  • IPv4 Adressen werden knapp, 32 Bit Adressen, also ~4 Mrd. Adressen
  • Classless Inter-Domain Routing (CIDR): https://en.wikipedia.org/wiki/ClasslessInter-DomainRouting
  • Network Address Translation (NAT): https://en.wikipedia.org/wiki/Networkaddresstranslation
  • Private Network Adresses: https://en.wikipedia.org/wiki/PrivateIPaddress
    • z.B. 192.168.0.0 - 192.168.255.255 (192.168.0.0/16) oder 10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
    • NAT ist kein Security Feature(!), das ist nur ein notwendiges Übel.
    • Direkte Verbindungen, z.B. für File Sharing, sind per se nicht ohne weiteres Möglich
  • Port Forwarding: https://en.wikipedia.org/wiki/Port_forwarding

IPv6 (00:16:30)

  • IPv5: https://en.wikipedia.org/wiki/Ipv5
  • IPv6: Angefangen ~1996
  • VIEL Mehr Adressen: 128 Bit Adressen, 2^128 Adressen
  • Die Netze in IPv6 ist strenger strukturiert als IPv4
  • Den Netzteil, die ersten 64 bit einer IPv6 Adresse nennt man Prefix, den Rest nennt man Interface
  • Stateless Autoconfiguration: https://en.wikipedia.org/wiki/Ipv6#Stateless_Autoconfiguration
    • jedes Gerät kann sich seine eigene Adresse aussuchen und sich selber konfigurieren
  • DHCPv6: https://en.wikipedia.org/wiki/DHCPv6
  • Link Local Adress: https://en.wikipedia.org/wiki/Ipv6#Linklocaladdress
    • Nur gültig für alles, was nicht geroutet wird
  • Global Unicast Adress: https://en.wikipedia.org/wiki/Ipv6#Createaglobal_address
    • Prefix vom Netz + Interface Adresse generieren
    • Der Router broadcastet im Netz regelmäßig, dass er ein Netz hat und welchen Prefix zu verwenden ist
  • Prefix Delegation: https://en.wikipedia.org/wiki/Prefix_delegation
    • Der Router fragt beim ISP nach einem Prefix
    • Bei NetCologne bekommt jeder Kunde ein /48 Prefix, kann also 65.536 Netze aufbauen
  • Router Advertisement
  • NetCologne hat 2005 angefangen mit einem /32 Netz
    • Wenn jeder ein /32 Netz bekommt, kann man so viele ISPs anbieten, wie es bisher insgesamt theoretische Adressen im IPv4 Internet gibt!
    • Mittlerweile hat NetCologne ein /29 Netz
  • Regional Internet Registry: https://en.wikipedia.org/wiki/RegionalInternetregistry
    • Erlaubt die Zuordnung von Adressen zu Regionen
    • NetCologne ist dann eine Local Internet Registry https://en.wikipedia.org/wiki/LocalInternetregistry
    • Verwaltet autonom das zugeteilte Netz
  • Nächster Schritt nach dem Netz ist die Kommunikation mit anderen Netzen
  • Peering (https://en.wikipedia.org/wiki/Peering) mit direkten Partnern und Upstream mit indirekten Partnern
  • Wichtig als ISP: Mit IPv6 darf es nicht schlechter für den Kunden werden
  • Daher: Sehr viele stabile und redundante Verbindungen in das restliche Internet
  • War in den ersten Jahren einfach nicht gegeben
  • Es gab zwischendurch 2 oder 3 Internetze (IPv6)

IPv6 und IPv4 parallel (00:42:23)

  • Dual Stack (https://en.wikipedia.org/wiki/Dual-stack#DualIPstack_implementation)
  • Technisch sind das IPv4 und IPv6 Netz vollständig getrennt
  • Andere Möglichkeiten mit nur IPv6 in das IPv4 Netz zu kommen
  • Verwendung eines Proxies (passiert auf Application Layer)
    • Geht auf mit SSL da die Zertifikate auf den Common Name ausgestellt sind
    • Geht aber nur für HTTP-Dienste
  • Mail ist auf Grund der begrenzten Gegenstellen einfacher
  • Probleme bei Diensten wie VoIP
  • Themen vor allem in Asien sehr relevant, da dort keine IPv4 Adressen mehr verfügbar sind
  • Um einen transparenten Parallelbetrieb zu leisten muss man auf IP oder TCP Layer runter
    • Carrier-grade NAT: https://en.wikipedia.org/wiki/CarriergradeNAT
    • Dual-Stack Lite: https://en.wikipedia.org/wiki/Dual-StackLite#Dual-StackLite_.28DS-Lite.29
    • Dual-Stack Lite muss man machen, wenn man nicht mehr genug IPv4 Adressen für alle hat
  • Carrier-grade NAT will man nicht haben
  • IPv4 wird noch auf unbestimmte Zeit weiterhin existieren
  • Meilensteine für das Internet: IPv6 Tage
    • Erst ein Test: https://en.wikipedia.org/wiki/WorldIPv6DayandWorldIPv6LaunchDay#WorldIPv6Day
    • Und der Launch: https://en.wikipedia.org/wiki/WorldIPv6DayandWorldIPv6LaunchDay#WorldIPv6Launch
  • "Launch" bedeutet konkret, dass beide Netze parallel existieren und Domainnamen müssen im DNS sowohl auf IPv4 als auch IPv6 aufgelöst werden können
  • Per RFC ist definiert, dass zuerst versucht wird die IPv6 Adresse aufzulösen
  • Basti fragt sich warum AWS und Co. noch nicht IPv6 eingeführt ist
    • Große Netzwerkinfrastruktur löst Dinge oft in Hardware, ein Austausch ist daher nicht so einfach
    • Sehr große Anbieter haben sehr komplexe Setups mit sehr vielen Systemen
    • Ein gewisses Maß an Nostalgie lässt sich auch nicht abstreiten ;-)
    • unzähliger weitere Gründe an die man gar nicht denken mag…
  • Neben der Infrastruktur gibt es ja auch noch die Endgeräte (Für Christian sind Endgeräte die Router bei den Leuten zu Hause, Anm.d.Red.)
    • Sehr viele Endgeräte die nur IPv4 können und nie was anderes können werden
  • Grundsätzliches Problem: IPv6 kann man nicht verkaufen, daher muss man wirtschaftlich den regulären Lebenszyklus der Gerätschaften abwarten, um diese zu erneuern
  • Endgeräte im Sinne von, dass wo der Nutzer vorsieht, sind alle vollständig und stabil IPv6 fähig
  • Wenn Geräte nicht IPv6 können sollten sie am besten ignorant sein und nicht kaputt gehen, wenn ihnen jemand eine IPv6-Adresse andrehen will
  • Tests hierzu wurden u.a. von Akamai und Google durchgeführt
  • Um Fehlverhalten in Browsern zu verhindern, wurde Happy Eyeballs entwickelt: https://en.wikipedia.org/wiki/Happy_Eyeballs
    • Der Browser erkennt sehr schnell ob IPv6 geht und wenn nicht geht man auf IPv4
  • Um als Dienstanbieter testen zu können wie die IPv6 Konnektivität der Nutzer ist werden einige Teile nur über IPv6 bzw. IPv4 zugänglich gemacht
    • Whitelisting auf Providerebene
    • Wird jetzt nicht mehr gemacht
  • Kein konkreter Austausch zwischen Diensteanbieter und ISP
  • Die Topologie und das Routing bei IPv6 und IPv4 sind nicht zwingend gleich
  • Am Ende ist der Weg zwischen Dienst und Nutzer, dass was am längsten bei der Umstellung braucht

Tunnel (01:15:46)

  • Wenn man umbedingt IPv6 haben will aber der Provider es noch nicht anbietet oder die Hardware zu Hause es nicht kann, gibt es die Möglichkeit einen Tunnel zu verwenden
  • NetCologne bietet auch einen solchen Tunnelendpunkt im Rahmen des SixXS-Projektes an (https://www.sixxs.net/main/)
  • Nicht zu verwechseln mit Dual-Stack, dass Equipment weiß nichts von IPv6
  • Unterschiedliche Möglichkeiten: Netz auf einen Router zuweisen lassen, IPv6 auf ein Gerät
  • Neben den reinen Fakten zu IPv6 muss man als ISP auch Erfahrung im Betrieb haben und dafür eignet sich der SixXS-PoP hervorragend
  • SixXS-Tunnel ist sein 2010 in Betrieb, lange bevor IPv6 für den Endkunden überhaupt in konkreter Planung war
  • Das war möglich, weil der Ausbau des Backbones seit 2005 statt fand

Stufen der Umsetzung (01:24:00)

  • 2005 - Zuteilung eines Netzblocks
  • Ab da Umstellung des Backbones
  • 2010 - SixXS PoP
  • Ab 2011 begonnen Serverdienste auf IPv6-Betrieb aufzurüsten
  • Ende 2011 waren alle Dienste über IPv6 erreichbar
  • Mailverkehr zwischen den Servern geschieht mittlerweile zum Großteil über IPv6
  • IPv6 Konnektivität bei sich selbst testen
    • Google Chrome Plugin:

Kommentare


Neuer Kommentar