most do 6 (ob 20-letnici arnesa)
TRANSCRIPT
razmišljanje
internetnega
državljana
1četrtek, 29. november 12
Naslov v pozitivnem duhu - angl. “most do six” (vsi uporabljajo 6) :-) Hja, žal nismo še tam (kljub 20012), slovenska različica naslova je bolj realna ;-)Nekatere moje trditve in ideje morda niso skladne z mnenjem kolegov, morda tudi z vašim ne bodo. Preden stopimo v prihodnost, začnimo s staro pripovedko >[ne pozabi razdeliti listke za igro]
zgodba o graščaku
2četrtek, 29. november 12
Za 9 gorami in 9 vodami je živel... Strasten zbiralec. V svojem malem gradu je kopičil dragocenosti. Grad prične pokati po šivih. Graščak (pameten in bogat, s pogledom v prihodnost - ne tako kot Mojca Pokraculja :-)) z zlatom preplača nov grad - novi temelji, sodoben arhitekturni biser, ogromno prostora za nove dobrine ;-) Kako vse te dragocenosti preseliti čez most, po ozki in zaviti poti? In kam jih dati? Hja, morda še vedno živi v starem gradu z vso svojo kramo....vendar mi nismo graščaki >
problem nove dobe
IPv6
IPv4
4in6
4over6
4rd-U
6in4
6over4
6to4
A+P AYIYABIABIH
BISDSTM
GREISATAP
IVI
LW 4over6
MTP
NAPT-PT
NAT-PT
NAT464
SAM
SOCKS64
SIITTEREDO TRT
TSP
XLAT464dIVIdIVI-pd
4rd
6rd
DS-Litedual-stack
MAP-TNAT46 NAT64 DNS64
MAP-E
3četrtek, 29. november 12
> smo [...], vsi pa uporabniki interneta. Interneta, ki je razdeljen na dva pola, v4 in v6. Med oba bi radi postavili most, ki nam bo omogočil neboleč prehod na nov internet.(igra z animacijo) Na pot tranzicije smo nagrmadili tehnične predloge, nekateri od njih so propadli, še preden so bili praktično preizkušeni, mnogi so povsem neuporabni, je pa vmes tudi nekaj dobrih in obetavnih idej. A vendar, vse skupaj je ...
problem nove dobe
IPv6
IPv4
cc/flickr P_kent
4četrtek, 29. november 12
> ...bolj prepreka za prehod na v6, kot nek temelj za učinkovito posodobitev interneta - varuje pred prihodnostjo ;-). In ni prvič, da je IP-tehnologija trčila ob tako prepreko! Vrnimo se 20 let nazaj...
upor
abno
stobliži in proteze za IP-tehnologijo
čas5četrtek, 29. november 12
...v začetke vzpona v4 interneta. Toga delitev na omrežja v naprej predpisanih velikosti (se spomnite klas?) onemogoča učinkovito izrabo v4-naslovnega prostora. Katastrofo so hitro (1993) preprečili z >
celotni internet deliin rabi
CIDR
6četrtek, 29. november 12
CIDR (ne, to ni francoska pijača :-))Mnogo boljša izkoriščenost naslovnega prostora - velikosti podomrežij so lahko različne glede na število sistemov v omrežju (ne v naprej predpisane).
upor
abno
stobliži in proteze za IP-tehnologijo
CIDR
čas7četrtek, 29. november 12
Sledi rast števila IP-naprav. Zavedo se, da bo prostora hitro zmanjkalo. Tehniki so se odločili, da ne bodo izumljali nekaj novega, temveč da bodo zadevo “popravili” v pravem tehniškem duhu ;-) Rešitev je NAPT >
nadaljujmo avanturopo tehniško
NAPT
8četrtek, 29. november 12
...ki je omogočil nadaljno rast interneta, bolje rečeno, da je sploh preživel vse do danes.
upor
abno
stobliži in proteze za IP-tehnologijo
CIDR
NAPT
čas9četrtek, 29. november 12
In danes imamo nov - zelo resen problem. Prostih v4-naslovov ni več. Zdi se, da je rešitev na dlani >
IPv6up
orab
nost
obliži in proteze za IP-tehnologijo
CIDR
NAPT
čas10četrtek, 29. november 12
> IPv6.v6 so izumili že 1998! Imeli smo dovolj časa za preskok v nov razvojni cikel. Vendar ...>
ali smo uspeli?
11četrtek, 29. november 12
IPv6up
orab
nost
obliži in proteze za IP-tehnologijo
CIDR
NAPT
tranzicijski mehanizmi
čas
Zakaj se prehoda
nismo lotili že pred 10 leti?
12četrtek, 29. november 12
Žal ne. Predolgo smo odlašali in danes smo v dilemi pred komaj pregledno kopico tranzicijskih pripomočkov, protez IP-tehnologije. Zakaj? Odgovor poiščemo z vprašanjem: Katera v6-aplikacija (storitev?) je bila takrat najpogosteje uporabljena? No, pozabimo za trenutek na Arnesov svetovni rekord ;-) ...>
ping6
pred 10 leti
13četrtek, 29. november 12
ping6 ::1
14četrtek, 29. november 12
Introvertirani so si ga pingali sami,
ping6 -I eth0 ff02::1
15četrtek, 29. november 12
zvedavi so iskali sosede v lokalnem omrežju
traceroute6
16četrtek, 29. november 12
naprednejši in zahtevnejši pa celo pot do tujih omrežij ;-)
cc/flickr Lizzy Steward
zgolj-IPv6 omrežjain storitve
17četrtek, 29. november 12
Od pinga do tega futurističnega sveta je prekleto dolga pot!
18četrtek, 29. november 12
Ni tako črno, kot se zdi. Imamo nekaj uporabnih trikov.
IPv4 preko IPv6 DS-Lite MAP
IPv6 preko IPv4 LISP 6rd
stateful stateless
zmagovalne kombinacije
19četrtek, 29. november 12
LISP ni programski jezik (leto mlajši od Fortrana ;-)), temveč Locator/Identifier Separation Protocol: IPv6 @FacebookV tabeli so tehnološki triki razvrščeni po dveh kriterijih. Favorit je zgoraj desno.
IPv4
IPv6
IPv4
stateless tunel skozi IPv4 - 6rd
ponudnik storitev internet
privatni IPv4
IPv4IPv6
6rd-prehod
uporabniki
NAT
20četrtek, 29. november 12
[pojasni delitev na uporabnike, ISP in internet]6rd: v4 v hrbtenici, pri uporabnikih NAT. v6 skozi samodejne proto-41 tunele. Stateless preslikava med naslovi. Problem: dodatno delo za ISP-je, vendar le zaradi v6 (!?) Stroški za 6rd prehode ...
IPv4
IPv6
IPv4
stateless tunel skozi IPv4 - 6rd
ponudnik storitev internet
privatni IPv4
IPv4IPv6
6rd-prehodi
uporabniki
NAT
21četrtek, 29. november 12
... število prehodov in stroški se večajo ob širjenju v6 -> kontraproduktivno (v nasprotju s ciljem preiti na zgolj-v6) in nesmiselno.Zamenjajmo vlogi v4 in v6 >
IPv6IPv6
IPv4
stateful tunel skozi IPv6 - DS-Lite
uporabniki ponudnik storitev internet
privatni IPv4
IPv4IPv6
veliki NAT
22četrtek, 29. november 12
> ...in _premaknimo_ NAT44 s CPE na veeelik usmerjevalnik ISP-ja (CGN). v4 promet z internetom posredujemo skozi v6 tunel. Problem: še vedno ohranjamo v4 in NAT44, nedeterministično usmerjanje - nekatere aplikacije dajejo prednost v4 (skozi NAT!) pred native v6, stateful. Velik problem: CGN!Poskusimo se znebiti CGN in zasnovati nekaj, čemur bi lahko rekli “stateless DS-Lite” >
“stateless DS-Lite” - MAP
IPv6
IPv6
IPv4
uporabniki ponudnik storitev internet
privatni IPv4
IPv4IPv6
MAP
NATMAP CPE
• lasten IPv6-prefiks• en sam javen IPv4-naslov• nabor TCP/UDP vrat
23četrtek, 29. november 12
(marketinški naziv za MAP) NAT44 ohranimo pri uporabnikih/organizacijah, ki uporabljajo privatne v4-naslove (tako in tako je že tam ali pa še bo) in ga dopolnimo s statičnim algoritmičnim prevajanjem med v4-naslovi z nizom TCP/UDP vrat in v6-naslovom (kot A+P). Na WAN strani CPE je zgolj v6. Organizacije si delijo iste v4 WAN naslove, vendar ima vsak svoj nabor vrat. Zadaj NAT. Enkapsulacija v v6, de-enkapsulacija na ISP-jevi MAP napravi (npr. ASR 1k).Problem: ne odpravlja problema izrabe naslovnega prostora, ga pa v veliki meri olajša; krčenje nabora vrat; ne dela brez dual-stack-a. Je pa stateless! Popravki na CPE so minimalni. MAP naprav je lahko več in so porazdeljene po mejah ISP-jevega omrežja.
TCP/UDP vrataIPv4-naslov
IPv6-naslov
preslikava IPv6-naslova → IPv4-naslov + vrata
izbran IPv6-prefiks
dopolnjenodo 32 bitov biti uporabnikabiti uporabnika
http://6lab.cisco.com/map/MAP.php
izbran IPv4-prefiks ID-naboravrat
/42 /56
/22 /32
}}14 bitov
/64
}10 bitov
4 biti
ID-organizacije za IPv6-naslove v organizaciji
24četrtek, 29. november 12
Tehnologija MAP veliko obeta, zato kratka razlaga.Organizacija ima (dodaten) javen v6-prefiks znotraj katerega razporedi svoja lokalna v6-omrežja. Ta prefiks je sestavljen iz nekega v naprej definiranega dela in ID-ja organizacije (unique). Tako zgrajen v6 naslov se preslika v v4-naslov /32 in niz TCP/UDP vrat. In obratno - 1:1. Podobno delitvi omrežij v CIDR, le da gremo od /32 naprej v bitno polje vrat. Nabor vrat je izbran tako, da so well-known vrata (pod 1024) rezervirana za strežnike.Primer: 16 organizacij si deli en v4-naslov, 16384 v /22. Vsaka lahko uporabi ∼4000 vrat.
je to res prava pot?
• Ali ima IPv6 prednost?• Ali opuščamo IPv4?• Ali zagotavlja kakovost storitev med prehodom?• Je razširljiva, nadgradljiva?• Koliko stane?
Katera tehnologija je prava?
25četrtek, 29. november 12
Pri DS-Lite in MAP je v6 v prednosti. Vse dosedaj opisane tehnologije temeljijo na dual-stacku-u in nujno potrebujejo v4. Kakovost je povezana s kompleksnostjo translacije. Staless tehnologija je razširljiva in cenejša, stateful nikakor ne (potreba po strojnih virih raste z naraščanjem števila sej).
Kaj pa NAT?
26četrtek, 29. november 12
Bogokletna (bolje rečeno: arnesokletna) misel!
minutka ali dveza tehnike
27četrtek, 29. november 12
Govorili bomo o NAT-u med 4 in 6. Potrebujemo mehanizem, ki v4-naslovu predpiše v6-naslov in obratno. Definiramo IPv4-embedded IPv6-naslov (v v6 vstavljeni v4-naslov) >
vstavljanje IPv4-naslova v IPv6-naslov
IPv4-naslov
IPv4-embedded naslov /96
/24 /32
/128
IPv4-omrežje
/120
izbran NAT64-prefiks
28četrtek, 29. november 12
Za preslikavo se dogovorimo za nek t.i. NAT64-prefiks, običajno /64 ali /96. v6 naslov dobimo iz v4-naslova tako, da ta prefiks dopolnimo s celotnim v4-naslovom. Vsak v4-naslov lahko preslikamo v v6 in iz vsakega tako sestavljenega v6-naslova lahko razberemo vanj vstavljeni v4-naslov.
vstavljanje IPv4-naslova v IPv6-naslov
IPv4-naslov
“IPv4-embedded” naslov /96
/24 /32
33
/128
192.168.2.
33192.168.2.
/120
2001:db8:122:344::
29četrtek, 29. november 12
Primer: preslikava v4-naslovov iz /24 v v6 /120.Iz tako sestavljenega v6-naslova lahko izluščimo v4-naslov (kar seveda ne velja za poljuben v6-naslov!).
omrežjeuporabniki ponudnik vsebine
stateful NAT pred odjemalci - NAT64/DNS64
IPv4IPv6
192.168.2.33 →193.2.1.87
AAAA(strežnik.si) =IPv4-converted:2001:db8:122:344::193.2.1.87
2001:db8:122::1 →2001:db8:122:344::193.2.1.87
193.2.1.87 → 192.168.2.33AAAA(strežnik.si) = ?
DNS64
NAT64 prefiks: 2001:db8:122:344::/96IPv4-naslovi za NAT: 192.168.2.0/24
2001:db8:122:344::193.2.1.87 →2001:db8:122::1
2001:db8:122::1
193.2.1.87
IPv4-converted:2001:db8:122:344::193.2.1.87
NAT64 prefiks: 2001:db8:122:344::/96
30četrtek, 29. november 12
Delovanje NAT64/DNS64. Zgolj v6-odjemalci komunicirajo z zaprašenimi zgolj-v4 strežniki.Ker poljubnega v6-naslova ne moremo prevesti v v4-naslov, potrebujemo stateful NAT. Stateful = drago in z omejitvami :-(, olajševalna okoliščina: NAT64 se lahko razporedi po lokalnih omrežjih.
omrežjeuporabniki ponudnik vsebine
IPv6IPv4
stateless NAT64 pred strežniki - NAT46
2001:db8:122:344::192.168.2.33 →2001:db8:122:344::193.2.1.87
193.2.1.87 →192.168.2.33
192.168.2.33 →193.2.1.87
2001:db8:122:344::193.2.1.87 →2001:db8:122:344::192.168.2.33
NAT64 prefiks: 2001:db8:122:344::/96
A(strežnik.si) = 193.2.1.87
NAT64 prefiks: 2001:db8:122:344::/96
IPv4-translatable:2001:db8:122:344::193.2.1.87
192.168.2.33
31četrtek, 29. november 12
NAT64 lahko uporabimo tudi v nasprotni smeri (recimo temu NAT46)- pred zgolj-v6 strežniki. V tem primeru je zelo učinkovit, saj za prevajanje med v4 v v6 ni potrebno beležiti in upoštevati posameznih sej -- vsak v4-naslov lahko algoritmično in deterministično prevedemo v unikaten v6-naslov.
• IPv6 ima prednost pred IPv4• Omogoča opuščanje IPv4• Ali zagotavlja kakovost storitev med prehodom?
• NAT46 pred strežniki je stateless in je razširljiv in nadgradljiv
• NAT64 pred odjemalci je stateful ✘, lahko pa ga razporedimo po lokalnih omrežjih
• Cena je primerljiva z MAP
kaj pa NAT?
✔✔
✔
✔✔
32četrtek, 29. november 12
trenutek resnice
33četrtek, 29. november 12
V primeru NAT64 mora ponudnik prevajati v4-promet, ki sicer še vedno narašča. Vendar ne pozabimo na naš dolgoročni cilj - prehod na v6 in opustitev starega protokola. Ko se bo trend naraščanja obrnil v prid v6, bomo z NAT64 v veliki prednosti pred drugimi tranzicijskimi mehanizmi. Uporabnik/strežnik za NAT-om 64 nima v4-naslova in zanj je prehod na native v6 neopazen. Še več, s širitvijo v6-omrežij in storitev se potreba po NAT64 zmanjšuje in NAT64 se postopoma ukinja. NAT64 ima točko vnetišča (kritično točko v omrežju) le za v4-promet in ne za v6. NAT64 tudi vzpodbuja ponudnike vsebin pri prehodu na v6. Vsebina na v6 je namreč dostopna neposredno, za dostop do vsebine na v4 pa je potrebna translacija, ki negativno vpliva na uporabnikovo izkušnjo. Ponudnik vsebine ima zelo dober motiv za čimprejšnji prehod na v6 :-). NAT64 je torej pravi korak do native IPv6.
NAT je mrtev.Naj živi NAT!
34četrtek, 29. november 12
Streljajte name, če želite! Temu se ne bomo mogli izogniti.
NAT = zlo
Minister za ajpi opozarja:“Prekomerna uporaba NAT-a škoduje razvoju internetnih storitev!”
O tveganju in neželenih učinkih se posvetujte z Arnesovim svetovalcem ali tehnikom za omrežne storitve.
35četrtek, 29. november 12
NAT64 = bolečina
36četrtek, 29. november 12
Bolečina ob porodu in ne kot zobobol.Sprememba na bolje, novo življenje.
Kaj je torej“most do 6”?
37četrtek, 29. november 12
38četrtek, 29. november 12
Most do 6 ni tehnologija za čaroben prehod na v6 med tem, ko vztrajamo v starem v4-gradu. Starega je treba porušiti! Most je odločitev za selitev! Naš graščak je to - kot moder gospodar - tudi storil.
kaj je most do 6?
Most do 6 je odločitev za razširljivo tehnologijo, ki je usmerjena proti zgolj-IPv6 omrežjem in storitvam.
39četrtek, 29. november 12
IPv4 je zapuščina (legacy). Sodobna omrežja in storitve bodo zgolj-IPv6.“Most do 6” je odločitev za nadgradljivo/razširljivo (scalable!) tehnologijo, ki bo s postopnim opuščanjem v4 in dvojnega protokolnega sklada omogočila učinkovit prehod na zgolj-v6 omrežja in storitve.Res, morali bomo zaviti z lepe in dobro zvožene poti, se nekoliko spustiti po klancu navzdol... ali pa bomo vztrajali na glavni cesti, ki nas vodi v CGN-je, kjer je samo še HTTP @v4 in pot do osiromašenja interneta.
vabljeni na Arnesovo 30-letnico!
40četrtek, 29. november 12
Preverimo skupaj na Arnesovi 30-letnici!Vabljeni!