IPv4 Mroczne Widmo czyli IPv6 DS-lite w Neostradzie

Podobne dokumenty
Zakresy prywatnych adresów IPv4: / / /24

Backup łącza WAN WAN2 jako łącze zapasowe WAN1

BRINET Sp. z o. o.

Backup łącza WAN- ISDN jako łącze zapasowe WAN1

Internet Protocol v6 - w czym tkwi problem?

Autorytatywne serwery DNS w technologii Anycast + IPv6 DNS NOVA. Dlaczego DNS jest tak ważny?

Projekt czas zacząć? Czyli - humbuk czy realne zagrożenie? Piotr Ławniczak Warszawa, 26 września 2011

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Konfiguracja połączenia G.SHDSL punkt-punkt w trybie routing w oparciu o routery P-791R.

Wykład Nr Sieci bezprzewodowe 2. Monitorowanie sieci - polecenia

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

Wyszczególnienie tytułu opłaty. Instalacja Łącza, na którym świadczona będzie usługa dostęp do Internetu DSL tp 2.

cennik us ugi dostęp do Internetu DSL tp świadczonej przez Telekomunikację Polską S.A.

MASKI SIECIOWE W IPv4

cennik usługi transmisja danych DSL tp Tabela 1 Tabela 2 Opłaty instalacyjne za usługę transmisja danych DSL TP

Wirtualizacja zasobów IPv6 w projekcie IIP

Instalacja podstawowa usługi Dostęp do Internetu DSL. 799,00 183,77 982,77

ANALIZA BEZPIECZEŃSTWA SIECI MPLS VPN. Łukasz Polak Opiekun: prof. Zbigniew Kotulski

Ćwiczenie 5b Sieć komputerowa z wykorzystaniem rutera.

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Uwaga!!! Założono, że router jest poprawnie podłączony i skonfigurowany do obsługi dostępu do Internetu.

AUTOMATYZACJA USŁUG I SESJI KLIENTÓW, CZYLI JAK ZROBIĆ SPRZĘTOWY KONCENTRATOR BO CISCO TO NIE TYLKO BGP

IPv6. Wprowadzenie. IPv6 w systemie Linux. Zadania Pytania. budowa i zapis adresu, typy adresów tunelowanie IPv6 w IPv4

Zapis adresu. Adres IPv6 zapisujemy w postaci szesnastkowej, w ośmiu blokach 2-bajtowych Przykład:

Połączenie VPN LAN-LAN PPTP

Rodzaje usługi stałego dostępu do Internetu TPNET ze stykiem BGP realizowane przez Orange Polska (6 wersji) :

Praktyczne aspekty implementacji IGP

mgr inż. Radosław Podedworny

Dlaczego IPv6 / 48 = 256 planowanie adresacji

OPC nowa perspektywa rozwoju Twojego biznesu. Crowley Data Poland sp. z o.o.

Podstawy działania sieci

Połączenie VPN LAN-LAN IPSec (tryb agresywny)

obowiązuje Abonentów, którzy od dnia 1 stycznia 2017 r. zawierają umowę lub aneks do umowy o świadczenie usługi Dostęp do Internetu DSL

Podziękowania... xv. Wstęp... xvii

SIECI KOMPUTEROWE wykład dla kierunku informatyka semestr 4 i 5

Architektura oraz testowanie systemu DIADEM Firewall Piotr Piotrowski

ZiMSK. Charakterystyka urządzeń sieciowych: Switch, Router, Firewall (v.2012) 1

NAT. Zakres adresów IP adresów. liczba bitów maski 24-bit block

Brinet sp. z o.o. wyłączny przedstawiciel DrayTek w Polsce

Połączenie VPN LAN-LAN IPSec (stały IP > stały IP)

Serwer DHCP (dhcpd). Linux OpenSuse.

Protokół DHCP. DHCP Dynamic Host Configuration Protocol

Wybrane działy Informatyki Stosowanej

VPN TRUNK Backup. Procedura konfiguracji została oparta na poniższym przykładzie.

Wymagania dotyczące łączy: należy zapewnić redundancję łączy w połączeniach pomiędzy routerami Uruchmić protokół routingu RIP v.2

PBS. Wykład Filtrowanie pakietów 2. Translacja adresów 3. authentication-proxy

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows XP. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Połączenie VPN Host-LAN SSL z wykorzystaniem DrayTek Smart VPN Client. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2.

Politechnika Krakowska im. Tadeusza Kościuszki. Karta przedmiotu. obowiązuje w roku akademickim 2011/2012. Programowanie usług sieciowych

Połączenie Host-LAN ISDN

Protokół DHCP. Patryk Czarnik. Bezpieczeństwo sieci komputerowych MSUI 2010/11. Wydział Matematyki, Informatyki i Mechaniki Uniwersytet Warszawski

HP Service Anywhere Uproszczenie zarządzania usługami IT

Firewall bez adresu IP

pasja-informatyki.pl

LANDINGI.COM. Case Study. Klient Landingi.com. Branża IT, marketing i PR. Okres realizacji od grudnia 2013 do chwili obecnej.

Marek Parfieniuk, Tomasz Łukaszuk, Tomasz Grześ. Symulator zawodnej sieci IP do badania aplikacji multimedialnych i peer-to-peer

ZiMSK NAT, PAT, ACL 1

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

Wprowadzenie do zagadnień związanych z firewallingiem

Połączenie VPN Host-LAN IPSec wykorzystaniem routera Vigor jako klienta VPN

Wykład 3: Internet i routing globalny. A. Kisiel, Internet i routing globalny

4. Podstawowa konfiguracja

Wdrożenie ipv6 w TKTelekom.pl

SIECI KOMPUTEROWE. Dariusz CHAŁADYNIAK Józef WACNIK

Połączenie VPN Host-LAN PPTP z wykorzystaniem Windows Vista/7. 1. Konfiguracja serwera VPN. 2. Konfiguracja klienta VPN

Ćwiczenie 5a Sieć komputerowa z wykorzystaniem rutera.

Dodawanie nowego abonenta VOIP na serwerze Platan Libra

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

ZALECENIA DLA MIGRACJI NS-BSD V8 => V9

Połączenie VPN Host-LAN SSL z wykorzystaniem motp. 1. Aplikacje motp 1.1. DroidOTP 1.2. Mobile-OTP. 2. Konfiguracja serwera VPN

Wykład 2: Budowanie sieci lokalnych. A. Kisiel, Budowanie sieci lokalnych

Dlaczego? Mało adresów IPv4. Wprowadzenie ulepszeń względem IPv4 NAT CIDR

Wykonać Ćwiczenie: Active Directory, konfiguracja Podstawowa

Laboratorium Ericsson HIS NAE SR-16

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

Packet Tracer - Rozwiązywanie problemów adresowania IPv4 i IPv6 Topologia

Połączenie VPN Host-LAN PPTP z przypisaniem IP. 1. Konfiguracja serwera VPN 1.1. Metoda 1 (nowsze urządzenia) 1.2. Metoda 2 (starsze urządzenia)

Koncepcja wirtualnej pracowni GIS w oparciu o oprogramowanie open source

Księgarnia PWN: Mark McGregor Akademia sieci cisco. Semestr szósty

Wykorzystanie połączeń VPN do zarządzania MikroTik RouterOS

Połączenie VPN LAN-LAN IPSec (zmienny IP > zmienny IP)

Zadanie1: Odszukaj w Wolnej Encyklopedii Wikipedii informacje na temat NAT (ang. Network Address Translation).

Orange. Content PoP. lokalne CDN i zdalny dostęp do TPIX dostępne w polskich aglomeracjach. 29 września Kraków

Zapory sieciowe i techniki filtrowania danych

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

Kurs OPC S7. Spis treści. Dzień 1. I OPC motywacja, zakres zastosowań, podstawowe pojęcia dostępne specyfikacje (wersja 1501)

UNIFON podręcznik użytkownika

Połączenie VPN Host-LAN L2TP over IPSec z wykorzystaniem Windows Vista/7

IPv6 dwa kliknięcia i działa. Piotr Wojciechowski (CCIE #25543) Starszy Konsultant ds. Sieci PLNOG 2011, Warszawa, Marca 2011

Carrier Grade NAT. Jacek Skowyra

Połączenie LAN-LAN ISDN

Dwuwymiarowy sposób na podróbki > 34

Instalowanie i konfigurowanie Windows Server 2012 R2

Połączenie VPN Host-LAN IPSec z wykorzystaniem Windows Vista/7. 1. Konfiguracja routera. 2. Konfiguracja klienta VPN. 3. Zainicjowanie połączenia

Elastyczne centrum przetwarzania danych

7. zainstalowane oprogramowanie zarządzane stacje robocze

Podstawowa konfiguracja routera TP-Link WR740N

Transkrypt:

IPv4 Mroczne Widmo czyli IPv6 DS-lite w Neostradzie Orange Polska Monika Antoniak-Lewandowska Krzysztof Kwiecień PLNOG, 3-4 marca 2014, Warszawa

Agenda 2 Powody rozpoczęcia projektu Za i przeciw: Dual-Stack, NAT444, NAT64, DS-lite Inne wymagania i ograniczenia Architektura rozwiązania Obszary, których projekt dotyczył Topologia CGN Wybór urządzenia na platformę CGN Wyzwania wytyczne wymiarowania makieta testowa BRAS bezpieczeństwo redundancja ustawienia konfiguracyjne, timeout y CPE Rozwiązanie z punktu widzenia użytkownika Podsumowanie

Powody rozpoczęcia projektu Kończenie się pul adresowych IPv4 oraz ciągły wzrost zapotrzebowania na adresy przez usługi Orange IPv4 skończyły się w IANA - 31 stycznia 2011 IPv4 skończyły się w RIPE - 14 września 2012 3 Stanowisko prezesa UKE W sprawie IPv6 z sierpnia 2011

Za i przeciw: Dual-Stack, NAT444, NAT64, DS-lite NAT444 Za Przeciw Wdrożenie oparte tylko o IPv4 Wielokrotna translacja adresów Brak zmian po stronie CPE Konieczność zarządzania adresacją prywatną. Brak wdrożenia IPv6 Brak perspektywy ograniczenia kosztów NAT a Dual-Stack Za 4 Prosta implementacja na CPE Wdrożenie IPv6 Perspektywa zmniejszenia kosztów NAT wraz z migracją ruchu do IPv6 Przeciw Konieczne wdrożenie łącznie z NAT444 w celu ograniczenia wykorzystania adresów. Dwa protokoły na łączu WAN - podwójne wykorzystanie zasobów BNG

Za i przeciw: Dual-Stack, NAT444, NAT64, DS-lite NAT64/DNS64 Za Przeciw Jeden protokół na łączu WAN. Wielokrotna translacja adresów i protokołów Wdrożenie IPv6 Perspektywa zmniejszenia kosztów NAT wraz z migracją ruchu do IPv6 Problem w realizacji usług wykorzystujących czyste IP (bez DNSów) Dwa urządzenia brzegowe (CGN i BNG) Problemy w implementacji w CPE DS-Lite Za 5 Przeciw Relatywnie prosta implementacja na CPE Konieczność dostosowania CPE Wdrożenie IPv6 Dodatkowy narzut nagłówków Perspektywa zmniejszenia kosztów NAT wraz z migracją ruchu do IPv6 Dwa urządzenia brzegowe (CGN i BNG) Jeden protokół na łączu WAN Zgodność ze strategią Grupy Orange

Inne wymagania i ograniczenia Inne wymagania, które należało uwzględnić w projekcie: maksymalnie dostępna transparentność usługi uniezależnienie dostępności IPv6 od rodzaju dostępu możliwość migracji pomiędzy IPv4 i DS-Lite skalowalność 6

Architektura rozwiązania Architektura dla klientów indywidualnych (Neostrada) -dostęp tylko przy użyciu protokołu IPv6 -brak publicznego adresu IPv4 -prefiks /56 dla użytkownika -DS-Lite CGN dla dostępu do IPv4 -możliwość migracji do IPv4 Architektura dla klientów biznesowych (IDSL) -dostęp Dual-Stack. -publiczny adres IPv4 -prefiks /56 dla abonenta 7

Obszary, których projekt dotyczył Obszary, gdzie wprowadzenie IPv6 (DS-lite) wymaga dokonania zmian Szkielet sieci w sieci Orange dual-stack od 2006 roku zmiany nie były konieczne BRAS AAA PPPv6/DHCPv6 CGN nowy element sieci CPE konieczność dostosowania do wymogów IPv6 konieczność zapewnienia kompatybilności wstecz 8

Topologia CGN 9 3 CGN (1 w strefie obsługi) Jeden węzeł zapasowy (redundancja N+1) Integracja z siecią szkieletową IP/MPLS Orange Polska Styki z IP Backbone = nx10gbps

Wybór urządzenia na platformę CGN Zostały przetestowane wszystkie platformy CGN dedykowane dla ISP dostępne w latach 2011/2012 Nie ma idealnego rozwiązania - każda platforma ma unikalne zalety i wady Testy i wybór platformy trwały rok i obejmowały m.in. stworzenie środowiska E2E dla studentów akademika w Warszawie Urządzenie musiało być wystarczająco elastyczne, aby obsłużyć także inne usługi Przy dostosowaniu platformy do wymagań Orange oraz ze względu na wykryte podczas testów braki i błędy w implementacji konieczna, ale i bardzo pomocna była bezpośrednia współpraca z zespołem deweloperów producenta 10

Wyzwania: wytyczne Przyjęte założenia i wartości Jeden klient może zaalokować jeden blok portów (8192 porty). Jeden blok portów uniemożliwia zaistnienie sytuacji gdy klient używa 2 publicznych adresów IPv4 do jednego serwera (SSL/banki) Klient posiada dynamiczny prefiks IPv6, który może być zmieniony ze względu na zmianę topologii sieci. Powiązanie prefiksu IPv6 z publicznym adresem IPv4 jest zachowane przez 24 godziny Jeden klient może nawiązać maksymalnie 3 tunele DS-lite do CGNa Wyzwania warstwy L4/7 Do czasu wdrożenia CGN urządzenia rdzeniowe pracowały tylko w trybie bezstanowym. Ich obciążenie urządzeń nie zależało od liczby sesji L4 Nie można zasymulować ruchu użytkownika za pomocą generatorów ruchu. Za to za pomocą ruchu syntetycznego można łatwo zdiagnozować ukryte/zaszyte limity CGNa (np. ilość sesji na Softwire) Do oszacowań została wykorzystana makieta End-to-End 11

Wyzwania: wymiarowania makieta testowa Makieta testowa 12

Wyzwania: BRAS model adresacji: unnumbered mode link-local ( + DHCPv6 PD) integracja z AAA, konieczność dostosowania systemów AAA konfiguracja jednocześnie dla trybu IPv4 i IPv6 skalowalność liczba klientów ACLki DHCPv6 local server (DHCPv6 serwer na BRAS) nowe funkcjonalności - nowy software brak wsparcia w sprzęcie testowym (na początku projektu) MTU zalecane dodatkowe 40B 13

Wyzwania: bezpieczeństwo Potencjalne problemy Klient w usłudze DS-lite otrzymuje prefiks /56. Może symulować miliardy unikalnych klientów doprowadzając CGN do wyczerpania zasobów PCP CGN interpretuje pakiety otrzymane bezpośrednio od użytkownika należy być gotowym na niepoprawnie skonstruowane pakiety Rozdzielenie funkcji brzegu sieci na dwa urządzenia: BRAS dla IPv6 i CGN dla IPv4 Retencja 14

Wyzwania: redundancja Przyjęte rozwiązanie: Zastosowana redundancja N+1 Adresy IPv6 AFTR są rozgłaszane za pomocą Anycast Zapasowy CGN posiada jeden prefiks IPv4 niezależnie od tego, którego CGN a zastępuje (prostsza konfiguracja ale brak PCP) 15

Wyzwania: ustawienia konfiguracyjne, timeout y Poszukiwanie złotego środka zbyt niskie wartości zrywanie sesji/protokołów zbyt wysokie wartości gwałtowny przyrost ilości równoległych sesji (P2P), klient alokuje wszystkie dostępne dla siebie porty i traci dostęp do sieci brak jakichkolwiek pkt. odniesienia, dostępnych danych (jedna z przyczyn uruchomienia testowej usługi w miasteczku testowym) proces ciągły wraz z nowymi danymi możliwa jest adaptacja obecnej konfiguracji 16

Wyzwania: ustawienia konfiguracyjne, timeout y (c.d) Przykładowe wartości Przypisanie adresu IPv4 (8192 portów) do klienta: 24 godziny Endpoint independent mapping/filtering: 300 sek. Opcja: dedykowany timeout dla dedykowanych portów (np. DNS może mieć przypisaną niższą wartość, ze względu na specyfikę protokołu) 17

Wyzwania: CPE Brak wsparcia dla DS-lite Na początku projektu żaden z producentów nie wspierał usługi DS-lite/PCP w swoim CPE Początkowo wszelkie testy były wykonywane na zmodyfikowanym Open-WRT Współpracy z dostawcami i konieczność wykonania wielokrotnych testów walidacyjnych Brak wsparcia PCP przez producentów (CPE + CGN), w momencie wdrożenia PCP nie posiadał jeszcze finalnego RFC Migracja do PPPoE Firewall dla IPv6 Wydajność i MTU Docelowo wszystkie urządzenia w ofercie Orange w usłudze Neostrada będą wspierać IPv6. 18

Rozwiązanie z punktu widzenia użytkownika oraz jak wrócić do IPv4 IPv6 dla odbiorcy końcowego Dla większości użytkowników rodzaj użytego protokołu nie ma znaczenia Z uwagi na brak świadomości o istnieniu dwóch różnych typów CGN zastępuje NAT na CPE (z dokładnością do UPnP/PCP) Kluczowe jest, aby dotychczas działające usługi działały tak samo po zastosowaniu nowej technologii Co zrobić, żeby w Neostradzie wrócić do IPv4? Z domyślnego loginu user@ neostrada.pl/ipv6 należy usunąć sufiks /ipv6 19 Klient podłączy się starym sposobem, otrzymując adres IPv4 Żadna inna rekonfiguracja nie jest konieczna (na wszystkich modemach dostarczanych przez Orange)

Podsumowanie Problem pioniera Projekt długotrwały, czasochłonny i skomplikowany Wymagający współpracy wielu jednostek wewnętrznych Zależny od czynników zewnętrznych: CGN, CPE Brak opisanych zasad dobrych praktyk i doświadczeń operacyjnych Łatwiejsza implementacja z uwagi na obecny w sieci szkieletowej DualStack Wymagający nakładów Dla zaawansowanych użytkowników może wprowadzać niepożądane ograniczenia ale jest rozwiązaniem problemu kończących się pul adresowych IPv4 przy jednoczesnym wdrażaniu w sieci protokołu IPv6 i daje nowe możliwości 20

Dziękujemy Kontakt: Monika Antoniak-Lewandowska Krzysztof Kwiecień Adam Kułagowski Paweł Włodawiec Zbigniew Suchojad 21

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres