Uninett nett- og infrastruktursamling Drammen 2012-12-12 Harald Terkelsen Harald.Terkelsen@hioa.no
Agenda Høgskolen i Oslo og Akershus Tidslinje og status for IPv6 ved HiOA Konfigurering og adressering Utfordringer
Høgskolen i Oslo og Akershus Fusjon mellom tidligere Høgskolen i Oslo og Høgskolen i Akershus i August 2011 2 hovedstudiesteder: Pilestredet i Oslo Kjeller i Akershus 4 fakulteter 16000 studenter 1600 tilsatte
IPv6 tidslinje ved HiOA Januar 2001 Forespørsel fra ingeniørutdanningen om tilgang til IPv6 Kontaktet Uninett Juni 2001 2001:700:700::/48 tildelt PC satt opp som IPv6-ruter Aktiverte IPv6 på to segmenter Sendmail første tjenesten LDAP, IMAP og noen webservere er tilgjengelige over IPv6
IPv6 tidslinje ved HiOA Februar 2004 De fleste subnett i Pilestredet støtter nå IPv6 Fortsatt få klienter med IPv6 aktivert Trådløst fortsatt bare på IPv4 August 2006 IPv6 aktivert på trådløst Januar 2007 Ruting flyttet til Catalyst 6500 Supervisor 720
IPv6 tidslinje ved HiOA Februar 2010 Hvitelistet hos Google for å motta IPv6-adresser ved DNSoppslag på deres tjenester 2010-2011 Windows 7 rullet ut internt med IPv6 aktivert Interne filservere får IPv6 aktivert
Dagens status ~200 statiske IPv6-adresser i DNS SMTP, IMAP, LDAP, Samba-filservere, web-servere og applikasjoner, SQL, deler av Windows infrastrukturen, Exchange (lastbalansert med F5) Ingen rene IPv6-tjenester enda ~10000 klienter i nettet ~75% støtter IPv6 Ikke IPv6 på Kjeller enda
Konfigurasjon Vi slår av: Tunelleringsprotokoller (Teredo, 6to4, ISATAP) «Privacy extensions» Tilfeldig genererte adresser Servere: Statisk adressering. Autogenererte adresser (SLAAC) prøver vi å unngå Klientnettene benytter SLAAC Støttet på alle platformer Informasjon om DNS-servere med stateless DHCPv6 IPv6-brannmur
Konfigurasjon Hvorfor ikke «statefull» DHCPv6? Tidligere bare støttet av Windows 7 i standardoppsett Det er fortsatt ikke støttet på alle platformer RA er nødvendig for å få «Default gateway» DHCPv6 og SLAAC samtidig? SLAAC-adresse med «privacy»-utvidelse var foretrukket fremfor DHCPv6-adressen for utgående trafikk Har ikke testet i senere tid Vi vil se på DHCPv6 igjen senere
Adresseplan Få anbefalinger tilgjengelig når vi begynte Enkelt: øker prefix-nummeret for hvert nytt VLAN eller subnett. Et unntak: Et prefix satt av til interne nettsegmenter Bare /64 Statiske IPv6-adresser arver siste IPv4-oktetten Vil se på en mer praktisk nettplan for ny nettverks- og sikkerhetsarkitektur og før IPv6 aktiveres på Kjeller
Ressurser Første utrullingen gjort av en person 2-3 personer er involvert i daglig drift ved behov Daglig drift tar vanligvis ikke så mye tid Opplæring, finne foretrukket konfigurasjon og feilsøking kan ta litt tid Foretrukket konfigurasjon er enkelt å sette opp for de som drifter servere og klienter
Utfordringer
Trådløst nett Anskaffet trådløs kontroller fra Cisco i 2010 «AAA override» med IPv6 virket ikke Tildelt prefixet var alltid fra «default vlan» Slå av IPv6 eller bruke trådløst uten AAA override Støttet i v7.2 fra mars 2012 på WISM2 og WLC5508 Ingen fiks for WISM1! Virker det? En feil Et konfigurasjonsproblem
Trådløst nett Feilen: IPv6 og AAA-override kan bare brukes hvis RA throttle ikke aktiveres Måtte aktivere RA throttle for å få se RA og få IPv6- adresser (pga. konfigurasjonsproblem) Får riktig radius-tildelt VLAN og prefix ved pålogging Får etter en stund en ekstra IPv6-adresse med prefix fra WLAN-ets default VLAN Årsak: RA fra feil VLAN blir sendt ved reautentisering med cachet påloggingsinformasjon (cached PMK) Konfigurert VLAN og «solicited RA» er fortsatt korrekt Feilen er bekreftet av Cisco. Fiks ventes i 7.4
Trådløst nett Konfigurasjonsproblemet: RA throttle Receive solicited RA Receive unsolicited RA Disabled (default) NO NO Enabled YES NO Årsak: Multicast konfigurert som multicast IPv4-aksessliste på aksesspunktenes administrasjons-vlan blokkerte IPv4-multicast Aksesspunktene klarte ikke å melde seg inn i multicast-gruppa Klientrafikk tunelleres over IPv4 mellom aksesspunkt og kontroller Hvorfor ser vi «solicited RA»? Cisco: RA throttle converts solicited RA to unicast
Utfordringer: Trådløst nett WLC/WISM2 er fortsatt avhengig av IPv4 Kommunikasjon mellom kontroller og basestasjon Management
Høy CPU-last på ruteren Alle VLAN er rutet på en Catalyst 6500 med supervisor 720 Mange IPv6-funksjoner behandles i software Cisco document ID:63992: Catalyst 6500/6000 Switch high CPU Utilization August 2011: IPv6 unicast reverse path forwarding Løsning: deaktivere IPv6 URPF August 2012: IPv6 ND (40%) and IPv6 INPUT (20%) Løsning: oppgradere IOS og optimalisere IPv6 ND 12.2(33)SXI7: Enhanced IPv6 Neighbor Discovery cache management
Høy CPU-last på ruteren Konfigurasjon som reduserte CPU-lasten til IPv6 ND- og IPv6 INPUT-prosessene: Configuration ipv6 nd reachable-time 2700000 ipv6 nd na glean Default value Advertise 0, uses 30000 itself Disabled ipv6 nd cache expire 7200 14400 Fra et Cisco-eksempel. Trenger nok mer optimalisering.
Andre utfordringer Windows servere på subnett uten IPv6 registrerer sin 6to4- adresse i dyndns Opplæring av administratorene og drifte serverne 6to4-trafikk på subnett med IPv6-aktivert Brannmur på student-pc-er? IPv6-trafikk til interne DNS-servere fra eksterne Teredoservere Klienter som har vært på vårt nett fortsetter å bruke våre interne IPv6-DNSservere fra andre nett Organisasjoner med IPv6 internt uten rute til Internet ser våre AAAA-adresser i DNS Webservere som returnerer forskjellige sider til IPv6- og IPv4-klienter
Konklusjon De fleste standardtjenester fungerer greit All funksjonalitet for IPv4 er ikke alltid implementer for IPv6 i nettverksutstyr Optimalisering kan være nødvendig ved store NDtabeller Teredo og 6to4 er problematiske Få erfaring, aktiver IPv6, mas på leverandører etter IPv6-støtte!