Barreiras e dificuldades na implementação do IPv6 Instituto Politécnico de Lisboa (IPL) Pedro Ribeiro Hotel Olissippo Oriente Lisboa, 19 de Maio de 2010 1
CONTEXTO IPL Escolas e serviços dispersos por 8 pólos Cerca de 13500 alunos 1700 Funcionários (docentes e não docentes) Diversas escolas muito dependentes de novas tecnologias 2
REDE IPL Estrela hierárquica centralizada no campus de Chelas (ISEL) Conectividade Internet dual-homing FCCN/Optimus Ligação à FCCN a 1Gbit/s (10Gbit/s brevemente) Equipamento de comutação e encaminhamento maioritariamente da Cisco Systems Sistemas de suporte baseados em Open Source Sistema Operativo, DNS, DHCP, e-mail, Webservers, etc. 3
HISTÓRIA O IPL tem conectividade IPv6 desde 2002 (6Bone) IPv6 nativo em 2003, já com o bloco /48 actual Os routers que ficaram fora de serviço na remodelação e-u/campus Virtual foram usados em sobreposição com a rede IPv4 para suportar IPv6 Baixo desempenho! Apenas as redes académicas mais activas tinham conectividade IPv6 Rede central com desempenho IPv4/IPv6 similar Serviços de rede mais importantes com conectividade v4/v6 Sistema firewall (FWSM) sem suporte de IPv6 Tráfego IPv6 passava ao lado, apenas com filtragem stateless (ACLs) 4
CENÁRIO ACTUAL REDES DE ACESSO Todas as redes que possam usufruir de IPv6 têm suporte Equipamentos de acesso nos pólos foram actualizados Mantém-se em muitos casos a arquitectura MLS suporta IPv4 Router novo suporta IPv6 (e backup de IPv4) Alguns MLS já fazem dual-stack As redes mais criticas têm conectividade IPv6 redundante Parametrização IPv6 stateless RA + DHCPv6 stateless Alguns sistemas VPN de acesso remoto com IPv6 nativo Desempenho em geral superior a 50% do de IPv4 5
Desempenho em geral próximo do de IPv4 CENÁRIO ACTUAL REDE CENTRAL Comutador central do campus de Benfica actualizado Desafio IPv6 / FCCN Sistema firewall substituído Sistema integrado por nós Dual-stack IPv4/IPv6 Baseado em PCs com Linux/Quagga/netfilter Uso de OSPFv3 como protocolo de encaminhamento Todas as redes com conectividade redundante 6
CENÁRIO ACTUAL SISTEMAS E SERVIÇOS Serviços mais comuns com suporte dual-stack DNS Web (FTP, HTTP) E-Mail (SMTP/POP/IMAP) Colector de eventos (Syslog) Terminal remoto (SSH) Serviços internos que o permitam, exclusivamente em IPv6 Relay de e-mail entre servidores e entre estes e o sistema de trouble ticketing Google over IPv6 Participamos no trial desde Maio de 2009 7
SITUAÇÃO ACTUAL NÚMEROS Routers DNS 24 participam no OSPFv3 74 redes incluídas nos LSA 161 registos AAAA publicados 32% dos pedidos de resolução de redes internas SYSLOG 94% dos eventos arquivados E-mail (Maio 2010, até dia 18) 61% do submetido a partir de redes internas 1,24% do enviado para a Internet 8
SITUAÇÃO ACTUAL TRÁFEGO IPv6 (Actual) IPv6 (Dez. 2009) 9
Só possuímos dual-homing para IPv4 LIMITAÇÕES CONECTIVIDADE O nosso contacto comercial na Novis/Optimus respondeu-nos que não podiam ainda fornecer conectividade IPv6 (há alguns meses ) Num dos pólos o IPv6 é assegurado por túneis de v6 sobre v4 A dimensão não justifica adquirir um serviço que o suporte de forma nativa Limitação das plataformas MLS mais antigas no suporte de IPv6 Gestão de routers adicionais Estrutura de rede mais complexa Alguns visitantes eduroam com IPv6 baseado em 6to4 local 10
LIMITAÇÕES SISTEMAS E SERVIÇOS Trabalho extra na gestão consistente dos planos de endereçamento dual-stack Alguns dos pacotes de software Open-Source usados pelos serviços ainda não possuem versão de produção com IPv6 MySQL, Squid, NTP, DHCP, RADIUS, etc. Limitação dos autores e/ou dos gestores dos pacotes das distribuições de Linux 11
LIMITAÇÕES EQUIPAMENTOS CISCO L3 Registo remoto de eventos (Syslog) Protocolo de encaminhamento (OSPFv3) Segurança no OSPFv3 Redundância automática de gateway (HSRP/VRRP) VRFs Apesar de já possuirmos um bloco de endereçamento IPv6 para visitantes eduroam, nem em todos os pólos o podemos activar Acerto de relógio (NTP) Gestão remota (SNMP) Servidor de DHCPv6 stateless Autenticação, autorização e registo (RADIUS) 12
LIMITAÇÕES EQUIPAMENTOS CISCO L2 O IOS dos switch/aps não tem qualquer funcionalidade de gestão suportada sobre IPv6 Falta bloqueamento de Router Advertisements de clientes Evita anúncios de falsos gateways em segmentos L2 partilhados Problema idêntico ao dos rogue DHCP servers de IPv4 Deu dores de cabeça na WiFi e-u/eduroam Resolvido nos APs com recurso a ACLs ao nível MAC Não se pode usar switchport block multicast Filtra disseminação desnecessária de multicast recorrendo a IGMP snooping (de IPv4) Bloqueia tráfego multicast essencial para IPv6 (ND) 13
LIMITAÇÕES MÁQUINAS WINDOWS Windows XP / Server 2003 Suporte adicionado nos service pack, sem cliente de DNS sobre IPv6 Necessário instalar pelo utilizador Windows Vista / 7 / Server 2008 Memorizam abusivamente os servidores de DNS obtidos por DHCPv6 stateless Memorizam abusivamente os endereços 6to4 que fornecem quando o ICS está ligado e obtêm um endereço público de IPv4 Usam endereços IPv6 temporários para tudo, por omissão Existe bug grave na implementação do cliente de DHCPv6 do W7 Fabricante alertado por nós através do CERT.PT a 27/05/2009 Muitas aplicações adicionais de Anti-Vírus/Firewall bloqueiam IPv6 14
LIMITAÇÕES MÁQUINAS LINUX Até ao Kernel 2.6.27 não implementavam correctamente a selecção de default gateway (contributo nosso no Kernel 2.6.28) Alguns módulos de netfilter (iptables) só têm a funcionalidade disponível para IPv4 Selecção de endereço origem na iniciação de comunicações IPv6 pouco prática/determinística Nas redes de servidores temos dois blocos de endereçamento Um /64 base usado na gestão da máquina e ligações iniciadas localmente Um /112 com endereços curtos, práticos e estruturados para os serviços Facilita configuração de firewall O DAD não funciona bem em conjunto com alguns modos de agregação de ligações (bonding) 15
PRINCIPAIS DIFICULDADES Servidores Web, DNS e de e-mail Apesar da insistência, não podemos obrigar as unidades orgânicas a activar o IPv6 Sistemas geridos por empresas externas são complicados Aplicações sem suporte de IPv6 Facilidades dos routers sem paralelo em IPv6 Sistemas demasiado optimizados para IPv4 (FWSM, SLB, MLS) Dificuldade na identificação de clientes Windows nas LAN Todos os endereços (inclusive link local) são do tipo temporário Clientes que indevidamente se anunciam como routers de IPv6 (eduroam!) 16
17
CONCLUSÕES Estamos tecnicamente bem posicionados Falta uma estratégia oficial da instituição Unidades orgânicas não estão interessadas em instabilidade Sistemas comerciais ignoram genericamente a tecnologia Conectividade comercial indisponível no mercado Indisponibilidade de recursos humanos 18
OBRIGADO 19