O prolínání práce v IT a osobního života

pondělí 3. května 2010

Jak jsem startoval IPv6

V minulém týdnu jsem se mimo jiné zabýval i implementací IPv6 do naší firemní sítě. Chtěl bych se podělit o zkušenosti s implementací pro jednotlivé platformy, které se na LAN běžně vyskytují. Dále bych byl rád, aby Vás tento článek inspiroval pro implementaci IPv6 i ve Vaší síti a přispěl tím k popularizaci tohoto protokolu. Nebojte se toho, svět IT je na příchod IPv6 již připraven.

Proč IPv6

IP sítě a potažmo celý internet čeká v blízké budoucnosti jedna zásadní změna, kterou je přechod z IPv4 na IPv6. Hlavním důvodem je vyčerpání adresního prostoru IPv4. Tento proces bude poměrně složitý a bude se skládat ze tří hlavních fází:
  1. implementace IPv6
  2. duální provoz IPv4 a IPv6
  3. odstranění IPv4
Obě verze IP protokolu mezi sebou nejsou kompatibilní. Mohou však vedle sebe koexistovat. Duální provoz zjednodušuje služba DNS, která preferuje IPv6 adresy. V praxi to pak vypadá tak, že jedno FQDN odkazuje na  IP adresy obou protokolů a je na klientovi, který z protokolů použije.

Takže proč implementovat IPv6 do Vaší LAN? Protože Vám umožní přistupovat na IPv6 zdroje v internetu, zajistí Vám dostatek IP adres pro Váš další rozvoj a ověříte si funkčnost své infrastruktury a aplikací na IPv6 dříve, než to bude "povinné".

Příprava

Před implementací je třeba ověřit následující předpoklady:
  • dostupnost IPv6 konektivity u Vašeho ISP
  • podporu IPv6 na firewallu připojující Vaši LAN k internetu
  • podporu IPv6 na alespoň některých stanicích či serverech
Dále je třeba si zajistit IPv6 adresy. Pamatujte na to, že nepotřebujete pouze jednu adresu na firewall jako v případě IPv4, ale navíc i subnet pro LAN. IPv6 nepočítá s překladem adres (NAT/PAT).

Příklad: 2001:AE8:0:500::2/64 pro firewall a 2001:AE8:9::/48 pro vlastní potřebu (tento subnet si dál rozdělíte na menší subnety o velikosti /64).

Cisco

Na hranici sítě používáme Cisco ISR 28xx respektive 78x. Pro aktivaci IPv6 je třeba nejdříve globálně zapnout cef a unicast-routing a následně nakonfigurovat síťová rozhraní. Dále nezapomeňte na to, že hraniční router je zároveň firewallem a je tedy třeba zajistit bezpečnost Vaší LAN.

Příklad konfigurace (pouze řádky týkající se IPv6):


!
ipv6 unicast-routing
ipv6 cef
!
interface FastEthernet0/0
 description LINE TO INTERNET
 ipv6 address 2001:AE8:0:500::2/64
 ipv6 enable
 ipv6 traffic-filter ACL6_WAN in
 ipv6 inspect INSP6_OUT out
!
interface FastEthernet0/1
 description LAN
 ipv6 address 2001:AE8:9::1/64
 ipv6 enable
 ipv6 nd router-preference High
 ipv6 nd ra interval 30
!
ipv6 inspect name INSP6_OUT ftp
ipv6 inspect name INSP6_OUT icmp
ipv6 inspect name INSP6_OUT tcp
ipv6 inspect name INSP6_OUT udp
!
ipv6 access-list ACL6_WAN
 sequence 10 permit tcp any host 2001:AE8:9::2 eq smtp
 sequence 20 permit icmp any any nd-na
 sequence 30 permit icmp any any nd-ns
 sequence 40 deny ipv6 any any log
!

Na LAN rozhraní je zapnuto ND (network-discovery) oznamování. Díky tomu budou ostatní stanice vědět jakou adresu má router (primární cesta do internetu) a mohou si automaticky nastavit adresy ze stejného subnetu. Firewalling je vyřešen kombinací ACL a inspect. Pozor na ACL, IPv6 nepoužívá pro párování IP-MAC protokol ARP nýbrž ICMP. Inspect zajistí bypass pro síťová spojení iniciovaná z LAN.

Linux

Firemní poštovní server je jediným zařízením v naší LAN, který musí být dostupný z internetu. Díky tomu bude mít fixní IPv6 adresu, která bude v DNS vedená jako MX z nejvyšší prioritou. Konfigurace IPv6 na Linuxu je jednoduchá. Liší se v závislosti na použité distribuci, níže uvedený příklad pochází z Debianu (fragment souboru /etc/network/interfaces):

iface eth0 inet6 static
        address 2001:AE8:9::2
        netmask 64
        gateway 2001:AE8:9::1

Funkční rozhraní a směrovací tabulka vypadají následovně:

# ip addr show dev eth0
2: eth0: mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:1a:4b:4d:45:84 brd ff:ff:ff:ff:ff:ff
    inet 172.31.252.10/24 brd 172.31.252.255 scope global eth0
    inet6 2001:ae8:9:0:21a:4bff:fe4d:4584/64 scope global dynamic 
       valid_lft 2591985sec preferred_lft 604785sec
    inet6 2001:ae8:9::2/64 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::21a:4bff:fe4d:4584/64 scope link 
       valid_lft forever preferred_lft forever

# ip -6 route
2001:ae8:9::/64 dev eth0  metric 256  expires 2592149sec mtu 1500 advmss 1440 hoplimit 4294967295
fe80::/64 dev eth0  metric 256  mtu 1500 advmss 1440 hoplimit 4294967295
default via 2001:ae8:9::1 dev eth0  metric 1  mtu 1500 advmss 1440 hoplimit 4294967295
default via fe80::21f:caff:fe95:81fa dev eth0  proto kernel  metric 1024  expires 1787sec mtu 1500 advmss 1440 hoplimit 64

Uvedený příklad ukazuje, že kromě staticky přidělené globální adresy rozhraní obsahuje i dynamicky odvozenou adresu (díky ND funkci popsané výše u Cisco routeru).

Mac OS X

V konfiguraci příslušného rozhraní na Mac OS X stačí IPv6 v jen zapnout do automatického módu. O zbytek se postará ND.


Windows Vista

Podobně jednoduchá je i konfigurace IPv6 ve Windows Vista. Na prvním obrázku je chronicky známé okno konfigurace síťového rozhraní, ve kterém jsem doinstaloval protokol IPv6. Ve vlastnostech jsem zvolil automatické přidělení IP adresy.


Další obrázek ukazuje stejné rozhraní po získání adresy:



Windows XP

V případě Win XP bohužel nemám co napsat. Zatím jsem měl možnost vyzkoušet jediný exemplář a na něm bylo zapnutí IPv6 to poslední co jsem udělal. Pak jsem k němu musel dojet a obnovit konfiguraci ze zálohy. Důvody zatím neznám. Jednou z pracovních hypotéz může být nějaká nežádoucí interakce s instalovaným ESET Smart Security 4.

DNS

Po implementaci IPv6 je samozřejmně vhodné pojmenovat globální statické adresy v DNS. Konfigurace se provádí shodně jako v případě IPv4. Příklad zónového konfiguračního sourboru bind9:

@               IN      A       217.11.237.252
mad             IN      A       217.11.237.252

                IN      AAAA    2001:1528:baf1::face

Funguje to?

Ověřit funkčnost Vašeho IPv6 můžete například na stránce http://www.abratica.cz, kde se v patičce stránky zobrazuje protokol a zdrojová adresa.


Závěr

Doufám, že Vás tento článek neodradil, ale inspiroval a rozšíříte tak řady uživatelů, kteří jsou připraveni na přirozenou evoluci.
Share:

2 komentáře:

  1. Moc pěkné - těším se na implementaci :) právě jsem poslal žádost svému ISP :)

    Jinak moc pěkná kniha o IPv6 v PDF od Pavla Satrapy je ke stažení na rootu: http://i.iinfo.cz/r/kd/pavel_satrapa_ipv6_2008.pdf

    OdpovědětVymazat
  2. Velmi dobrý článek, který mi zodpověděl několik otázek. Děkuji.

    OdpovědětVymazat

Předem děkuji za Váš komentář.
Prosím o Váš podpis, anonymní komentáře nemají žádnou váhu a nikdo je nebere vážně. Děkuji.