Budapesti Mszaki s Gazdasgtudomnyi Egyetem Villamosmrnki s Informatikai Kar Automatizlsi s Alkalmazott Informatikai Tanszk

Szakdolgozat

IPv6 hlzatok kialaktsa s zemeltetse

Bendzsk Andrs

KONZULENS
Kardos Gergely

mrnk

Olh Istvn

mestertanr

Budapest 2010

Hallgati nyilatkozat

Alulrott, szigorl hallgat kijelentem, hogy ezt a szakdolgozatot meg nem engedett segtsg nlkl, sajt magam ksztettem, csak a megadott forrsokat (szakirodalom, eszkzk, stb.) hasznltam fel. Minden olyan rszt, melyet sz szerint, vagy azonos rtelemben de tfogalmazva ms forrsbl tvettem, egyrtelmen, a forrs megadsval megjelltem. Tudomsul veszem, hogy az elkszlt szakdolgozatban tallhat eredmnyeket a

Budapesti Mszaki s Gazdasgtudomnyi Egyetem, a feladatot kir egyetemi intzmny sajt cljaira felhasznlhatja.

Kelt: Budapest, 2010. 03. 28.

................................. alrs

Tartalomjegyzk

sszefoglal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Abstract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Bevezets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

5 6 9

1. IPv6 elmleti alapok

1.1. 1.2. 1.3. 1.4. 1.5. Internet Protokoll trtneti ttekint . . . . . . . . . . . . . . . . . . . . . IPv4 hinyossgai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv6 jdonsgai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv4-IPv6 konverzik . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . IPv6 elterjedst akadlyoz tnyezk . . . . . . . . . . . . . . . . . . . . .

10
10 11 11 13 14

2. A tanszk jelenlegi informatikai infrastruktrja

2.1. 2.2. 2.3. Fizikai s adatkapcsolati rteg . . . . . . . . . . . . . . . . . . . . . . . . . Hlzati rteg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alkalmazsi rteg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

16
16 18 19

3. Tesztkrnyezet sszelltsa
3.1. IPv4 belltsa 3.1.1. 3.1.2. 3.1.3. 3.1.4. 3.1.5. 3.2. Routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

20
22 22 23 23 23 24 24

DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kliens oldali alkalmazsok . . . . . . . . . . . . . . . . . . . . . . .

Kiszolgl oldali alkalmazsok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

IPv6 cmosztsi alapelvek

IPv6 hlzatok kialaktsa s zemeltetse

3.2.1. 3.2.2. 3.2.3. 3.2.4. 3.3. 3.4.

Dinamikus VLAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . 802.1x autentikci . . . . . . . . . . . . . . . . . . . . . . . . . . . Stateless kongurci . . . . . . . . . . . . . . . . . . . . . . . . . . Stateful kongurci . . . . . . . . . . . . . . . . . . . . . . . . . .

27 27 28 29 30 32 32 34 37 37 38 38 38 40 41 42

Tunneling kongurlsa

. . . . . . . . . . . . . . . . . . . . . . . . . . . .

Stateless kongurci . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4.1. 3.4.2. 3.4.3. 3.4.4. 3.4.5. Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tzfal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Kliensek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiszolglk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Alkalmazsok belltsa

3.5.

Stateful kongurci 3.5.1. 3.5.2. 3.5.3. 3.5.4.

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Router . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tzfal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Kliensek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiszolglk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

4. Bevezets az les krnyezetben

4.1. 4.2. 4.3. 4.4. Eltrsek a teszkrnyezettl Bevezets lpsei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

43
43 44 45 46

zemeltets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tovbblpsi lehetsgek . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Ksznetnyilvnts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Irodalomjegyzk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . brajegyzk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Tblzatok jegyzke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

47 48 50 51 52

Fggelk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

sszefoglal

Az

Internet Protocol version 6

(IPv6)

kvetkez

genercis

IP

protokoll.

Megszletsnek oka, hogy a vilgviszonylatban jelenleg legelterjedtebb IPv4 protokollnak korltozott a megcmezhet tartomnya, ezltal a hlzatra csatlakoztatott eszkzk is szma is ersen korltolt. A 4. genercis Internet protokoll megszletse a '70-es vekre tehet, amikor az alkotk fejben mg nem egy vilgmret  a mai Internethez hasonl  hlzat jrt. Ezt mr a kilencvenes vekben felismertk, s elkezdtek dolgozni az IPv6-on, de sajnos az IPv6 elterjedtsge 2010-ben is elhanyagolhat mret. Ez azrt risi problma, mert a szabad IPv4-es tartomnyok 2012-re elrelthatlag elfogynak. Az AAIT tanszk mindig is len jrt az j technolgik tern, nincs ez msknt az IPv6 bevezetsvel kapcsolatban sem. A szakdolgozatom tmja az IPv6 bevezets elksztse a tanszk les hlzatban. Els lpsknt megismerkedtem az IPv6-os szabvnnyal s

az jdonsgokkal. A kvetkez lps a tanszki hlzat feltrkpezse s dokumentlsa volt. A tanszki hlzat felmrse utn egy tesztkrnyezetet lltottam ssze, ahol megvizsgltam, hogy milyen mdon tudnnk a tanszki infrastruktrval kompatibilis IPv6 hlzatot kialaktani. Vgl elksztettem az les bevezetsrl kszlt tervet, gyelve,

hogy kisebb vltoztatsokkal mshol is alkalamazhat legyen.

Abstract

The

Internet Protocol version 6

is the next generation Internet Protocol. The born

of the IPv6 was intended.

The currently world-wide used IPv4 standard has a limited

number of addressable ranges and devices wich has brought IPv6 to existence. The fourth generation was created in the 70th when the creators were not thinking of a world-wide network such as today's Internet. During the nineties this was realised so they started to work on IPv6 but unfortunately it is still not widely used in 2010. This is a serious problem because at this rate we are probably going to run out of IPv4 address ranges by 2012. The AAIT department has always used bleeding edge technologies. IPv6 is not any dierent. The subject of my thesis is preparing the introduce on the departments production environment. First I became acquainted with IPv6 standard and its new features. The next step was exploring and documenting the departments network system. Finally I created a production environment design After exploring the network I set up a test environment where I observed the opportunities of building an IPv6 network infrastructure compatible with the departments current system. Lastly I created a production environment design. This should be applicable with slight changes in dierent environments.

Bevezets

Az Internet trhdtsa a '80-es vekben kezddtt, a fejlds teme az elmlt kt vtizedben vrl-vre fokozatosan n. A fejlds mozgat rugja, hogy a krnyezetnkben lv eszkzk egyre nagyobb hnyadt szeretnk hlzatba ktni. Pldul tudni akarjuk, hogy ppen mennyi friss lelmiszer van a htnkben, ezrt csatlakoztatjuk az Internetre. Ugyanezt tesszk a az autnkkal, mobiltelefonunkkal. A vilgviszonylatban egyeduralkod IPv4 protokoll nem alkalmas ekkora mret hlzat kezelsre: elrelthatlag a mg kioszthat IP tartomnyok 2012-re elfogynak. A megoldst az jgenercis szabvnyra, az IPv6 protokollra tlls jelenti. Jelenleg az IPv6 elterjedtsge nagyon alacsony. Ha a kzeljvben ez nem vltozik meg drasztikusan, az komoly fkezert jelent az Internet terjedsnek, ami kihathat az egsz IT szektorra.

A szakdolgozatomnak otthont ad tanszk  elsknt a BME-n  szeretn bevezetni natvan az IPv6-ot a sajt bels informatikai rendszerben. Kutatprojektek korbban is voltak a BME-n, de a teljes hlzatra kiterjed tlls sehol nem trtnt. Mivel ez egy ksrleti projekt, ezrt semmilyen korbbi terv nem llt rendelkezsre a cl elrshez. Az Interneten megtallhat dokumentumok tl ltalnosak voltak, nem tartalmaztak konkrt lpseket, nem igazodtak a tanszki ignyekhez. Mint a bevezetben emltettem, az IPv6 jelenlegi elterjedtsge meglehetsen alacsony, ezrt bizonyos terleteken csak ksrleti technolgik hasznlatval lehet teljesteni az IPv4-nl jelen lv, s a hlzatzemeltetk ltal megkvetelt specikcikat.

A szakdolgozatom tmja egy esettanulmny elksztse az IPv6 bevezetsrl az Automatizlsi s Alkalmazott Informatikai tanszken (tovbbiakban AAIT). A tervet a kirsnak megfelelen gy ksztettem el, hogy tetszleges szervezeti egysgben (tanszk,

IPv6 hlzatok kialaktsa s zemeltetse

intzmny, vllalat) is hasznosthat legyen.

Termszetesen a szakdolgozat kerete nem

teszi lehetv, hogy a dokumentum minden helyzetben vltoztats nlkl alkalmazhat legyen, de j alapot szolgltathat egy hasonl projekt elvgzshez. Az IPv6 beveztese utn a tanszki hlzatnak a kvetkez kvetelmnyeknek kell megfelelnik:

Minden tanszki kliensnek globlis IPv6-os cmmel kell rendelkeznie

Minden  a tanszki hlzatra kttt, de nem tanszki felgyelet alatt ll  szmtgpnek lehetsget kell biztostani, hogy IPv6-os cmet kapjon s onnan elrje a bels hlzatot s a vilghlt

Minden szerver rendelkezzen IPv6-os cmmel s a rajta fut szolgltatsok elrhetek is legyenek ezeken a cmeken. (Dual-stack kongurci)

A kialaktott struktra lehetsget adjon, legyenek IPv6-only eszkzk.

hogy ksbb a hlzatra kthetek

A hlzat biztonsgi szintje ne cskkenjen a bevezets utn.

Az talakts minimlis mrtkben vagy egyltaln ne akadlyozza a tanszki munkt.

Az utols pont lvezi a legnagyobb priorits, hiszen a napi munkt egy ksrleti projekt semmikppen sem befolysolhatja.

ttekints
A szakdolgozat elksztse sorn az albbi terv szerint haladok a cl fel:

IP alap hlzatok  klnsen IPv6  mlyebb megismerse, irodalomkutats.

A tanszk jelenlegi infrastruktrjnak feltrkpezse.

A vlasztott cmosztsi struktra kidolgozsa.

A tanszkit jl modellez tesztrendszer fellltsa.

IPv6 hlzatok kialaktsa s zemeltetse

Tesztkrnyezeten az IPv6 hlzat fellltsa, funkcionlis tesztek elvgzse.

A tesztels tanulsgainak levonsa, az les krnyezet migrcis tervnek elksztse.

Nem mellkes cl, hogy a szakdolgozat elksztse kzben olyan ismeretekre tegyek szert, amellyel tetszleges IPv6 implementlssal, zemeltetssel kapcsolatos feladatot el tudjak ltni.

1. fejezet

IPv6 elmleti alapok

Az els fejezet tmja egy b ttekint az IPv6 protokollrl. A szakdolgozat felttelez alapfok hlzatismereti tudst az olvastl, terjedelme miatt az IPv4 protokoll ismertetse is csak rszlegesen trtnik meg, kiemelve azokat a hinyossgokat, amik az j genercis protokoll kifejlesztst tettk szksgess.

1.1. Internet Protokoll trtneti ttekint

Az Internet Protocoll egy ISO 3. rtegbeli szabvny. A szabvny legutols vltozata 1981-ben jelent meg [2]. Internetnl. Az akkori hlzat sszehasonlthatatlanul kisebb volt a mai

A protokoll a 90'-es vekre egyeduralkodv vlt, gyakorlatilag eltntetve

az sszes 3. rtegbeli szabvnyt (pl. IPX, Appletalk stb.). Az els komolyabb problma a protokollal a '90-es vek elejre datldik: ekkor kezdtk a vllalatok felismerni az

Internetben rejl lehetsgeket s hatalmas cmtartomnyokat ignyeltek a regionlis regiszterektl. A szabad A s B osztly tartomnyok rohamosan fogyni kezdek, ezrt lpni kellett: bevezettk a CIDR tpus osztly nlkli cmtartomnyokat [1]. Ez sokat javtott a helyzeten, de nyilvnval volt, hogy ez csak rszleges megolds, ezrt a szabvnyalkotk mr elkezdtek dolgozni a kvetkez, 6. genercis protokoll megalkotsn (ltezett 5.

genercis IP szabvny is, de az egy streaming protokoll volt 1979-ben, rthet okokbl sosem terjedt el).

10

IPv6 hlzatok kialaktsa s zemeltetse

1.2. IPv4 hinyossgai

A kvetkez hinyossgok indokoljk a levltst:

Korltozott mret cmtartomny

Titkostott kapcsolat tmogtasa

Streaming protokollok gyenge tmogatsa

Az els pont a legproblmsabb s egyben legkritikusabb krds. A kioszthat cmek fogyban vannak, becslsek szerint 2012-ben elfogynak a kioszthat tartomnyok. Igaz

lteznek cmfordt technikk (pl. NAT), amikkel a cmtartomny megnvelhet, de ez megnehezti bizonyos alkalmazsok implementlst: csak az IP rtegben trtnik cmfordts, az alkalmazs rtegben megmarad az eredeti IP cm. Titkostott kapcsolatokat ltre lehetett hozni IPv4 felett is, de a klnbz cmfordt technikk mdostottk az IP fejlcet, ezzel megtrve a validcis eljrst.

1.3. IPv6 jdonsgai

Az albbi lista tartalmazza az IPv6 fbb jdonsgait:

j fejlc formtum

Az IPv6 szabvny j tpus, szabadon bvthet fejlcet denilt

(1.1 bra). Az IPv4-el ellenttben itt a fejlc hossza x 10 sz, amely tartalmazza a csomag alapvet informciit. Ez nagy segtsg a routereknek, mert a x fejlchossz knnyebb feldolgozst tesz lehetv. Az 1.1 bra mutatja az IPv6-os fejlc felptst.

Nagyobb cmtartomny
rl

32 IPv6 esetn a cmzsi tartomny megngyszerezdtt (2 -

2128 -ra).

Ez elmletileg

296 -szor 2170 .

tbb cmet jelent.

sszehasonltskppen a

Fldn tallhat atomok szma

A nagyobb cmtartomny szksgtelenn teszi

a cmfordt technikkat, megoldja a HTTP Virtualhost problmjt SSL kapcsolat esetn. Nveli a hlzat biztonsgt, azltal, hogy tmadknak sokkal nagyobb

cmtartomnyt kell vgigpsztzni a tmadhat kliensek felkutatsrt.

11

IPv6 hlzatok kialaktsa s zemeltetse

1.1. bra. IPv6 fejlcformtum (en.wikipedia.org)

Stateless s statfull IP cmoszts

A dinamikus cm allokci elmletileg egyszerbb

vlt: a kliens DHCP szerver nlkl is kpes globlis cmet generlni magnak. Ez sajnos a gyakorlati alkalmazsoknl inkbb htrnyknt jelenik meg. Az IP cmek alloklsval a 3.2 fejezet foglalkozik, ezrt itt eltekintek a rszletes ismertetstl.

IPSec fejlc tmogats

Az

IPSec ktelez eleme lett az IPv6 fejlcnek.

s

Ez nem jelenti,

hogy a csomagok automatikusan titkostva vannak, az alkalmazsoknak tmogatniuk kell a titkostst. (

AH

ESP

ag)

Priorizlt csomagtovbbts jobb tmogatsa

Az j

Flow Label

fejlc segtsgvel

jelezni tudjuk, hogy a csomag egy folyam rsze, s az tvlasztk kiemelten tudjk kezelni ezeket a csomagokat mg abban az esetben is, ha azok titkostva vannak.

j protokoll a helyi hlzaton belli gpek elrsre

Neighbour

Discovery

pro-

tokoll az IP cm MAC cm hozzrendelst valstja meg IPv6 esetn. Elnye az ARPvel szemben, hogy mulitcast cmzst hasznl broadcast helyett, ezzel cskkentve a kliensek terhelst.

Bvthetsg

Az j  szabadon bvthet  fejlcformtumnak ksznheten lehetsg

nylik a jvben tovbbi funkcik implementlsra egynien denilt 40 bjt hossz fejlcekkel. A fejlcek szmnak csak az IP csomag mrete szab hatrt.

12

IPv6 hlzatok kialaktsa s zemeltetse

1.4. IPv4-IPv6 konverzik

1.2. bra. IPv6 csatornzs

A bevezet fejezetekben tbbszr is emltettem, hogy az tlls nem egyik pillanatrl a msikra trtnik, ezrt szkg van ksztes lpcskre. Ilyen lpcsnek tekinthetjk azt esetet, amikor kt IPv6-only szmtgp szeretne kommuniklni egy olyan hlzaton, ahol rszben vagy egszben csak az IPv4-es protokoll tmogatott. Ekkor jnnek jl a klnbz tunneling (csatornz) technolgik. Minden tunneling technolgia alapja, hogy az IPv6 csomagot az IPv6/IPv4 tjr bekapszulzza egy IPv4-es csomagba, az IPv4/IPv6 tjr pedig kicsomagolja s gy juttatja el a cmzetthez. Az tjr nem minden esetben jelent klnll zikai entitst a hlzaton, sok esetben a kliensek kzvetlenl, automatikusan ptenek ki csatornkat egyms kztt. Ez alapjn megklnbztetnk manulis illetve automatikus csatornzst. A manulis tunneling mkdst az 1.2 brn lehet nyomon kvetni.

Intra-Site Automatic Tunnel Addressing Protocol

Mint a nevbl is ltszik ez

csak telephelyen bell hasznlhat csatornzsi technolgia. Helyi tpus (fe80::/64) cmek kpzdnek egy meghatrozott algoritmussal a rsztvev felek IPv4-es cmbl. Nagyon ritkn hasznlt eljrs.[3]

6to4

Ez

manulisan

automatikusan a publikus IP

is

kipthet NAT-on

csatornzsi keresztl

technolgia. nem

Mkdsnek mkdik.

felttele

cm,

egyltaln

Cserbe minden publikus IPv4-es cmhez tartozik egy globlis /48-as

tartomny, teht akr egy tjrval is el lehet ltni egy nagyobb mret, tbb telephelyes vllalatot IPv6-os cmekkel. Az IPv6 tartomny 2002:{IPv4 cm}::/48 alak, ahol z IPv4-es cm az tjr publikus IP cme. A csatorna msik pontja, egy specilis (192.88.99.1) anycast cm, ami a legkzelebbi IPv4/IPv6 gateway-re mutat. [4]

13

IPv6 hlzatok kialaktsa s zemeltetse

Teredo

A Teredo tunneling mkdik NAT-on keresztl is, cserbe ez a legbonyolultabb Els krben az IPv6 csomagot nem

az sszes csatornzsi technolgia kzl.

kzvetlenl az IPv4-es csomagba kapszulzza, mert ezt sok tzfal blokkolja, hanem egy UDP csomagba. Radsul nem elg kt pont a kommunikcihoz, szksg van egy Teredo szerverre a megfelel IPv6 cmek kiszmtshoz. sges mert helyi cmbl szeretnnk globlisat kpezni. Itt ez azrt szk-

A kvetkezkppen pl

fel egy Teredo IPv6 cm: 2001:0000:{Teredo szerver IPv4 cme}:{16 bit ag}:{kls port}:{kls IPv4 cm}. A kls port azt az UDP portot jelenti, amelyre a NAT-nak fordtania kell a kommunikcit. A agek rszletezse megtallhat az RFC-ben. A tbbi mez rtke trivilis. [5]

1.5. IPv6 elterjedst akadlyoz tnyezk

Az IPv6 elterjedtsgrl 2010-ben kiadott hivatalos dokumentum [6] szerint jelenleg a globlisan mkd 1800 gynevezett autonm rendszernek csak az 5,5 szzalka kpes az IPv6-os adatok tovbbtsra. Ez a szm annak tkrben alacsony, hogy a vgfelhasznlk opercis rendszereinek tbb mint 90 szzalka mr tartalmazza az IPv6 tmogatst. A dokumentum az alacsony elterjedtsg f okaknt azt jellte meg, hogy a tartalomszolgltatk szmra gyakorlatilag ismeretlen fogalom az IPv6. A vilg ezer legnpszerbb honlapjnak csupn 1,45 szzalka tmogatja az IPv6-ot. Ha az egymilli legnpszerbb oldalt vesszk alapul, akkor ez az rtk csak 0,15 szzalk. Az Internet kzponti rszben lv hlzati eszkzk kzel egynegyede mr tmogatja az j protokollt, de a ma kaphat SOHO eszkzk nagy rszben mg hinyzik ez a tmogats. A dokumentum arrl szmol be, hogy nvekeds tapasztalhat az elterjedtsgben, de ez a nvekeds tl lass, ahhoz, hogy 2012-re (az IPv4-es cmtr teltdsre) megfelel szinten elterjedjen. Problmt jelent, hogy a kiosztott IPv4-es tartomnyok  politikai s gazdasgi okokbl  nem egyenletesen lettek elosztva, s az USA-ban lnyegesen ksbb fogynak el a szabad IP cmek sszehasonltva pldul az zsia trsggel. A nagy tartalomszolgtatok

14

IPv6 hlzatok kialaktsa s zemeltetse

mg mindig inkbb az eurpai s amerikai piacra koncentrlnak, ezrt nem siettetik az tllst, szmukra mg az tlls nem jr gazdasgi elnnyel. Szerencsre az IPv4 cmek elfogysval prhuzamos az IPv6 elterjedtsge is exponencilisan nvekv plyn van, s ez idvel knyszerteni fogja a tartalomszolgltatkat s hlzati eszkzk gyrtit, hogy tegyk meg a megfelel lpseket a zkkenmentes tlls rdekben.

15

2. fejezet

A tanszk jelenlegi informatikai infrastruktrja

Az AAIT tanszk kt pletben helyezkedik el.

A kt plet kztt nincs kiptett A tanszk kt darab C

kzvetlen kapcsolat, csak az egyetemi hlzat kti ssze ket.

osztly publikus cmtartomnnyal gazdlkodik: a V2 pletben a 152.66.70.0/24, az I pletben a 152.66.251.0/24 tartomny rhet el. A kt telephely felptse a mi szempontunkbl semmilyen klnbsg nincs, ezrt a ksbbiekben csak a V2-es infrastruktrt ismertetem. Ha valahol mgis a tma szempontjbl fontos klnbsg van arra kln

kitrek. A V2-es hlzat felptst a 2.1 bra szemllteti.

2.1. Fizikai s adatkapcsolati rteg

A hlzat hatrn egy PC alap tvlaszt tallhat, amelynek az egyik interfsze az egyetemi hlzatba, a msik a bels hlzatba van ktve. Ez a szerver (tovbbiakban ns.aut.bme.hu) ngy feladatot lt el:

Routols az kls, a publikus bels s a NAT-olt tartomny kztt.

Tzfal funkcik

Nvkiszolgls (DNS)

Dinamikus IP cm kongurls (DHCP)

16

IPv6 hlzatok kialaktsa s zemeltetse

2.1. bra. AAIT hlzati topolgija

17

IPv6 hlzatok kialaktsa s zemeltetse

A hlzat gerinct az albbi tipsu switchek alkotjk:

3Com 3300XM

3Com 33004

3Com 4226

3Com 4250

Ezekhez az eszkzkhz tovbbi  klnbz tpus  tvolrl nem menedzselhelt switchek csatlakoznak. A hlzat pontos topolgijt a 2.1 bra nem tartalmazza, az A pontos topolgia

sszes ilyen eszkzt egyetlen switch elem segtsgvel brzoltam. irrelevns az IPv6 bevezetse szempontjbl.

A felsorolsbl kimaradt eszkzk j rsze nem kezel VLAN-okat, ezrt a hlzat egyetlen logikai LAN-bl ll. Mivel a vgpontokra csatlakoz szmtgpek klnbz

bizalmi szinteken helyezkednek el, ezrt ezek szeparlst  a VLAN-ok hinya matt  eggyel magasabb rtegben kell megvalstani.

2.2. Hlzati rteg

A hlzati rteg a szmtgpeket 3 logikai rszre bontja: regisztrlt, nem regisztrlt kliensek, illetve szerverek. A regisztrlt gpek a tanszken llandan jelenlv, a tanszk vagy az alkalmazottak tulajdonban lv szmtgpek. Ezek a gpek publikus, C osztly cmet kapnak, a kls elrsket ersen korltozza a tzfal, bvebben lsd 2.1 tblzat. IP cmet a DHCP szervertl MAC cm alapjn kapnak. Tartomny 152.66.70.0/24 192.168.1.x/24 Felhasznls Regisztrlt gpek s szerverek Nem regisztrlt gpek

2.1. tblzat. IPv4 cmek a tanszken

A nem regisztrlt gpek rendelkeznek publikus IPv4 cmmel, helyette egy nem regisztrlt tartomny van szmukra fenntartva, ami NAT-olva van az egyetemi hlzat fel. Fontos, hogy ezek a gpek a tanszki bels hlzat szempontjbl egyetemi gpeknek

18

IPv6 hlzatok kialaktsa s zemeltetse

szmtanak, teht ugyanazok a szablyok vonatkoznak rjuk, mint egy tetszleges nem tanszki gpre. A szerverek szinte kivtel nlkl x, publikus hlzati cmmel rendelkeznek, a szerverre vonatkoz tzfalszablyok vltozak, a szerver funkcijtl fggenek.

2.3. Alkalmazsi rteg

A tanszken hlzatot hasznl programokat is kt rszre lehet bontani: kliens s szerveroldali alkalmazsok. A 2.3 tblzat tartalmazza a kliens s a 2.2 a szerver oldali alkalmazsokat. A tanszk mretbl addan nem tudtam minden programot feltrkpezni, ezrt csak a leggyakrabban hasznltak szerepelnek a listban. Alkalmazs BIND 9 Apache 2.2 Oracle 11g Windows AD IIS >6.0 Sendmail >8.3 IPv6 kompatibilits Megjegyzs

     

elny a https esetn az IPv4-hez kpest

2.2. tblzat. Kiszolgl oldali szoftverek listja az AAIT tanszken

Alkalmazs Internet Explorer >7 Firefox Outlook >2007 Windows Live Messenger

IPv6 kompatibilits

Megjegyzs

   

2.3. tblzat. Kliens oldali szoftverek listja az AAIT tanszken

19

3. fejezet

Tesztkrnyezet sszelltsa

Mint a bevezetben emltettem, a megfogalmazott kritriumok kzl a legfontosabb, hogy csak minimlis mrtkben befolysolja az tlls a napi munkt. Ezrt egy olyan tesztkrnyezet kialaktsa mellett dntttem, amely lehetsg ad a klnbz IPv6 topolgik tesztelsre. Az albbi kongurcij szerveren kerlt kialaktsra a tesztkrnyezet:

Sun Fire V40z

2xAMD Opteron 248 CPU

11 GB RAM

2x73 GB s 1x146 GB HDD

A gp a Schnherz Zoltn Kollgiumban kerlt elhelyezsre, ahol egy zikai vgponton keresztl csatlakozik az egyetemi hlzatra. A kiszolglra VMWare ESXi 4.0 virtualizcis platformszoftvert installltam, amiben kialaktsra kerltek a teszt opercis rendszerek. Az AMD Opteron 248-as processzor nem tartalmaz hardveres virtualizcis kiegsztst (AMD-VT), ezrt csak ez a szerver virtualizcis szoftver jhetett szmtsba. A kialaktott teszthlzatot a 3.1 bra mutatja. Lthat, hogy az

aut-switch.aut.bme.hu gp kivtelvel a topolgia hasonl a valdi

hlzatot brzol modellhez.

20

IPv6 hlzatok kialaktsa s zemeltetse

3.1. bra. Teszthlzat IPv4-es kongurcija

21

IPv6 hlzatok kialaktsa s zemeltetse

Az

aut-switch.aut.bme.hu

(ksbbiekben

aut-switch )

nev virtulis gp az Internetet

szimullja a tesztkrnyezet fel, mg az

ns.aut.bme.hu (ns ) nev gp a tanszken tallA klnbsg, hogy a zikai gpen egy

hat routerknt funkcionl PC virtulis msa.

Fedora Core 2 (2004) Linux fut, mg a tesztkrnyezetben az Ubuntu Linux legfrissebb, 9.10-es vltozata fut. A vlasztsom azrt esett erre a disztribcira, mert errl vannak a legbvebb ismereteim, eddigi munkim sorn ezt hasznltam a legtbb alkalommal. A Fedora Core 2 s az Ubuntu 9.10 is 2.6-os kernelt tartalmaz, teht a router funkcii szerint nincs klnbsg a kt disztribci kztt.

3.1. IPv4 belltsa

3.1.1. Routing
Az

aut-switch

szervernek kt hlzati csatlakozja van.

A kls lba egy valdi

publikus IP cmmel rendelkezik, mg a bels lbn a zikai eszkzhz hasonlan a 152.66.70.2/252-es IP cm van kongurlva. A gp bels lba kzs switchen helyezkedik el az

ns

szerverrel. Az

ns

szervernek is kt interfsze van: a kls lb a 152.66.70.1/252

cmet kapja, mg a bels a 152.66.70.4/24-eset. Az

aut-switch gp a 152.66.70.0/24-es tar-

tomnyt NAT-olja az Internet fel. les rendszereknl szigoran csak helyi tartomnyokat szabad NAT-olni, mivel gy nem lehet elrni azt a tartomnyt az Interneten a NAT-olt hlzatbl. Itt ez nyugodtan megtehet, st megvan az az elnye, hogy a NAT-olt hlzaton bell mindenhol ugyanazokat a routing s tzfal szablyokat tudjuk alkalmazni, mint az les krnyezetben. Az ns gp bels lbnak van mg egy IP cme, ez a 192.168.1.1/24. tartomny a nem regisztrlt gpeknek szksges, s az Ez az IP cm

ns

gp NAT-ol a 152.66.70.1 cm

fel. Ez azt jelenti, hogy ktszeres NAT mgtt helyezkedik egy nem regisztrlt klienst szimull virtulis munkalloms, ellenttben az els rendszerrel, de ez  gy gondolom  semmilyen problmt nem jelent jelen helyzetben. Hogy ezeket megvalstsam, mindkt gpen engedlyezni kellett az IP forwardingot s egy iptables szablyt deklalrni, ami a NAT-olst vgzi. Az

aut-switch

gpen IPv4 tekintetben semmilyen egyb kongurcit nem kellett

22

IPv6 hlzatok kialaktsa s zemeltetse

vgezni.

3.1.2. DNS
A routing belltsa utn a teszthlzaton bell tkletesen mkdtt a nvfelolds egy kls DNS szerverrel, de ahhoz, hogy a ksbbiekben az AAAA recordokat be tudjam jegyezni, szksg volt egy sajt DNS szerverre. Az iparban elsszm s a tanszken is hasznlt BIND DNS szervert vlaszottam. A telepts egyszeren csomagbl trtnt. Ltrehoztam az aut.bme.hu tartomnyhoz tartoz NS rekordokat, nhny A rekordot (tipikusan a hlzatban szerepl tesztszerverek), s az aut.bme.hu domnhez tartoz MX rekordot. Ezen kvl mg szksg van egy reserve DNS zna a 152.66.70.0 tar-

tomnyra. Az les infrastruktrban a tartomnyi vezrl kpes dinamikus DNS segtsgvel bejegyezni a tartomny mkdshez szksges rekordokat. A tesztkrnyezetben nincs kiptett Windows AD krnyezet, ezrt a dinamikus DNS nincs bekongurlva.

3.1.3. DHCP
DHCP szervernek az ISC szervert hasznltam: ezt ismertem a legjobban s a tanszken is ezt alkalmazzk. Termszetesen ez is az

ns

szerverre teleplt.

Kt tar-

tomnyt jelltem ki, az egyik az egyetem ltal deleglt 152.66.70.0 a msik egy privt 192.168.0.0/16 tartomny. Elbbi tartomnybl MAC cme alapjn kap minden reg-

isztrlt x IP cmet a DHCP szervertl, utbbi egy szabad tartomny a nem regisztrlt gpek szmra.

3.1.4. Kliens oldali alkalmazsok

Az ns gp sszelltsa utna kliens oldali teszt virtulis gpeket teleptettem. kvetkez virtulis gpeket hoztam ltre: A

Windows XP

Windows 7

Ubuntu Linux

23

IPv6 hlzatok kialaktsa s zemeltetse

Minden gp egy hlzati csatolval csatlakozik a bels hlzatra, s DHCP-vel kapnak IP cmet. (Ez az alaprtelmezett bellts kliens opercis rendszerenknt) Minden rendszerbl kt darab van: egy regisztrlt MAC cm, s egy nem regisztrlt. Ez lefedi a

tanszki gpek 95%-t. Minden rendszer tartalmazza a tanszken hasznlt szoftvereket. (2.3 tblzat)

3.1.5. Kiszolgl oldali alkalmazsok

A teszthlzat tartalmaz szerver funkcij gpeket, szm szerint hrmat:

Windows 2008 Server

Windows 2003 Enteprise

Ubuntu Linux 9.10 Server Edition

Pre-Windows 2003 szerver nem tallhat a tanszki infrastruktrban, Windows 2008 R2 pedig csak 64-bites verziban ltezik, viszont a Sun Fire V40z szerverben lv kzponti egysg nem kpes 64-bites vendg opercis rendszereket futtatni, ezrt tesztelni sem tudtam 2008 R2-t. A szerverek x IP cmet kaptak (a 152.66.70.0/24 tartomnybl), s ugyangy a 2.2 tblzatban szerepl programokat teleptettem, mint a kliensek esetben.

3.2. IPv6 cmosztsi alapelvek

Az IPv6-os cmeket hasonlan az IPv4-eshez kt rszre lehet bontani: alhlzati maszk (network mask) s egy egyni azonost (host-id). IPv6 esetn az ajnlott alhlzati maszk /64. Ettl el lehet trni  s el is szoktak bizonyos esetekben  de a kisebb illetve nagyobb hlzatokban a stateless kongurci nem hasznlhat. Az elmleti rsznl emltettem, hogy IPv6 esetben mshogy mkdik az automatikus IP cm kongurci, mint azt megszokhattuk az IPv4-nl. elemzsre kerlnek a klnbz cmosztsi stratgik. IPv4 esetn a kvetkezkppen nz ki az automatikus IP cm kongurci: 1. A kliens elkld egy DHCPDISCOVER zenetet a globlis broadcast Ebben fejezetben rszletes

(255.255.255.255) cmre

24

IPv6 hlzatok kialaktsa s zemeltetse

2. A DHCP szerver vlaszol egy DHCPOFFER zenetben, amelyben elkldi a szksges informcikat (IP cm, alhlzati maszk, DNS szerverek, alapmretezett tjr stb.)

3. A kliens vlaszol (DHCPREQUEST), hogy elfogadja-e a belltst.

4. A szerver jvhagyja (DHCPACK) a kliens krst

A folyamatbl jl ltszik, hogy egszen a legutols pontig broadcast zenetekkel folyik a kommunikci, (Ez nem teljesen igaz: a kommunikciban rszt vev felek mr korbban is unicastra vlthatnak, de ez nem elterjedt.) IPv6 esetn gy nz ki az autokongurci:

1. A kliens generl magnak egy link-local IP cmet (fe80::/64).

2. Elkld egy Router Solicitation zenetet a

minden-router multicast (01::2)

cmre.

3. A router(ek) vlaszknt kld(enek) egy Router Advertisment zenet, ami tartalmaz M (Managed) s O (Other) aget, ami szerint a kliens klnbz eljrsokat kvet:

O s M ag alacsony O magas, M alacsony O s M ag magas

A hlzaton nem tallhat DHCP szerver, a kliens az RA

zenetben kapott kongurcit hasznlja A hosztok az IP cmket a RA zenetben kapott prexbl

generlhatjk, de a tovbbi belltsokat (pl. DNS) a DHCP szervertl kapjk A kliens a globlis IP cmt s az egyb belltsokat is a

DHCP szervertl kapja

O alacsony, M magas

A kliens a DHCP szervertl kap IP cmet.

Elmleti

lehetsg, gyakorlatban sosem implementljk

4. A DHCPv6 szerverrel a kommunikci hasonl mdon zajlik, mint a IPv4 esetben, annyi klnbsggel, hogy a kommunikci broadcast zenetek lehetsgnek hinya miatt

minden DHCPv6 szerver (02::1:2)

cmen keresztl trtnik.

A folyamatbl kitnik, hogy van egy hatalmas hibja a stateless kongurcinak: az RA zenet nem tartalmazza a DNS szerver cmt. DNS nlkl egy munkalloms

25

IPv6 hlzatok kialaktsa s zemeltetse

nem alkalmas semmilyen hlzati munkra, tekintve az IPv6-os cmek megjegyezhetetlen hosszra. Teht mindenflekppen szksges egy DHCPv6 kongurlsa a hlzaton. Stateless kongurcinl az IP cm host-id rszt (az utols 64 bit) valahonnan generlja a kliens. Kt elterjedt mdszer van:

EUI64

A hlzati interfsz MAC cmbl generldik a kvetkezkppen: {MAC cm

els 24 bitje}:fe:{MAC cm msodik 24 bitje}. [7]

Vletlenszm

Az opercis rendszer vletlenszeren generlja a host-id-t. [8]

Az eredeti koncepci szerint az EUI64 cmgenerls volt az ajnlott, Windows XP, a legtbb Linux disztribci s a MAC OS X is.

ezt kveti a

Ez a mdszer felvet

bizonyos adatvdelmi krdseket: a MAC cmbl generlt host-id vilgszinten egyedi lesz a MAC cm miatt (mobil eszkzknl biztosan), ezrt pldul a tartalomszolgltk a felhasznlkat kvetni tudjk, brhonnan rik el a vilghlt. Ezrt a Microsoft a Windows Vista s 7 esetben vletlenszm-genertorral allokl magnak host-id-t. Ennek a mdszernek az a htultje, hogy megnehezti a kliensek azonostst s a privilgiumok hozzrendelst pusztn a munkalloms IP cme alapjn. A msik komoly gond a regisztrlt s nem regisztrlt gpek szeparlsnl van. A 2. fejezetben lertak szerint a tanszken a nem regisztrlt s regisztrlt gpeket klnbz cmtartomnyokba sorolssal szeparljk. Ezt a sztvlasztst a DHCP szerver vgzi:

a regisztrlt gpek MAC cm alapjn x IP cmet kapnak, minden egyb gp a privt cmtartomnybl kap cmet. IPv6 esetn ilyen jelleg szeparcira nem talltam optimlis megoldst, ezrt tbb varicit dolgoztam ki, amelyek mindegyike kompromisszumokat tartalmaz. Ezek kztt az implementlst vgzknek s az zemeltetknek kell kivlasztani a szmukra optimlis megoldst. Az els kt megoldsi javaslat az IPv6 bevezetstl fggetlenl is nveln a hlzat biztonsgt, de ezekhez egyrszt a hlzati eszkzk egy rszt le kell cserlni, msrszt knyelmetlenebb teszik az egyszeri felhasznlk szmra a tanszki hlzat hasznlatt.

26

IPv6 hlzatok kialaktsa s zemeltetse

3.2.1. Dinamikus VLAN

Lnyegesen nagyobb biztonsgot tudunk elrni, ha mr a 2. rtegben klnvlasztjuk a nem regisztrlt gpeket. Ebben az esetben arrl van sz, hogy a switch-ek egy porton a forgalmazs kezdetn eldntik, hogy az ppen forgalmazni kvn MAC cm melyik VLAN-ba tartozzon.

Elnye

Magasabb szint biztonsg, mint a 3. rtegbeli sztvlaszts esetn. IPv4 s IPv6 esetn is mkdik.

Htrnya

A tanszken lv hlzati eszkzk nem tmogatjk a protokollt, Csak CISCO ltal tmogatott technolgia. Minden tmads ellen nem nyjt vdelmet (pl. MAC cm trsa).

3.2.2. 802.1x autentikci

A Dinamikus VLAN tovbbgondolsaknt szletett. Port szint autentikcit tesz lehetv hasonlan az eldjhez, de itt a kliens csak abban az esetben tud kommuniklni ha jelszval vagy privt kulccsal autentiklt a kzponti szerverrel.

Elnye

Jelenleg elrhet legnagyobb biztonsg. IPv4 s IPv6 esetn is mkdik.

Htrnya

A tanszken lv hlzati eszkzk nagy rsze nem tmogatja a protokollt. Nehzkes a hasznlata, kliens oldali kongurcit ignyel, igazn csak tartomnyi gpek esetn hasznlhat.

27

IPv6 hlzatok kialaktsa s zemeltetse

3.2.3. Stateless kongurci

Stateless kongurci esetn a cmkongurcihoz nincs szksg DHCP szerverre, viszont DNS szervert hirdetni csak DHCP klienssel lehet. Br mg dual-stack kongurci az elsdleges cl, ahol az IPv4-es DNS szerver is kpes AAAA rekordokat szolgltatni, de semmilyen htrnnyal nem jr, ha mr most fut egy DHCP szerver, ami az IPv6 DNS szerverek elrhetsgt hirdeti. Stateless kongurcinl a legnagyobb problma a nem regisztrlt s regisztrlt gpek szeparcijnl van. Szeretnnk, ha eltr szint tzfal szablyok vonatkoznnak a klnbz sttusz gpekre. Az RA zentek minden gphez eljutnak, teht nem tudunk ms IP tartomnyt rendelni. Egyetlen megolds, ha valamilyen mdon a tzfal segtsgvel vlasztjuk szt a forgalmat. Az

AdvOnLink

aget az RA zenetben bekapcsolva a loklis LANon belli forgalom is

tmegy a routeren. A regisztrlt gpek szmra ltre kell hozni a tzfalszablyokat. Ennek szksges felttele az EUI-64 formtum IP cm, teht a Windows Vista/7 klienseken ki kell kapcsolni a vletlen cmgenerlst. Ezen kvl szksges egy olyan tzfalszably,

amely minden nem regisztrlt IP cmre triggerel, s az IPv4-es NAT-olt rendszerekre vonatkaz szablyok vonatkoznak r. Fontos, hogy a szervereket gy kongurljuk, hogy a link-local cmen ne gyeljen semmilyen szolgltats, mert link-local cmekkel kzvetlenl elrik egymst a gpek a zikai LAN-on, megkerlve ezzel a tzfalat.

Elnye

Minimlis kliensoldali kongurcit ignyel. Jelenlegi hlzati eszkzkkel hasznlhat.

Htrnya

Regisztrlt Windows 7/Vista esetn kliensoldali kongurcit ignyel. Az tvlasztnl svszlessg s erforrs problmk lphetnek fel. Nem regisztrlt gpek Reverse DNS bejegyzse nem lehetsges.

28

IPv6 hlzatok kialaktsa s zemeltetse

3.2.4. Stateful kongurci

A stateful kongurcinl hasonl smt kvethetnk mint az IPv4 esetn, szt kell bontani a /64-es tartomnyt hrom kisebb tartomnyra: szerverek, regigsztrlt s nem regisztrlt kliensek. A kliensek a DHCPDISCOVER zenetben elkldenek a szervernek a uniqe identier) azonostjt. A

DUID (DHCPv6

DUID

egy valamilyen algoritmus ltal generlt szm-

sorozat (ltalban a MAC cmbl s egy vletlen szmbl ll), ami a DHCP kliensre s nem a hlzat csatolra vonatkozan egyedi azonost. Ennek htultje, hogy opercis rendszer jrateleptsekor j azonost generldik, elnye viszont, hogy hlzati krtya cserje utn is megmarad az azonost. Minden regisztrlt gp

DUID -jhoz

hozz kell rendelni egy cmet, hasonlan mint

ahogy a MAC cmek az IPv4 cmekhez vannak rendelve. A nem regisztrlt gpeknek egy kln tartomnyt rdemes a DHCP szerverben kongurlni. A szerverek s a regisztrlt gpek kzvetlenl elrik egymst (mivel megegyezik az alhlzati maszkjuk, a nem regisztrlt gpek a tanszki infrastruktrt csak a routeren keresztl rik el, teht megfelel tzfal szablyokkal elszeparlhatjuk a tanszki gpektl. A Windows XP nem tartalmaz DHCPv6 klienst, kls program teleptse szksges. A legtbb Linux disztribci csomagknt szlltja a szksges komponenst, de alapteleptsben nagyon ritka s ltalban a grakus hlzati kezel program sem tartalmaz frontendet ehhez.

Elnye

Kevesebb tzfalszably mint stateless kongurci esetn, ezltal kisebb erforrsigny.

Minimlis kliensoldali kongurci.

Htrnya

Windows XP esetn kls DHCPv6 kliensprogram teleptse szksges Regisztrlt gpek esetn a jrateleptse utn.

DUID -t kzzel be kell lltani az opercis rendszer

29

IPv6 hlzatok kialaktsa s zemeltetse

Az tvlasznl svszlessg problmk lphetnek fel.

A kvetkez nhny alfejezetben a tesztrendszerben az IPv6 bevezetsrl lesz sz, kongurcs llomnyokkal s azok rszletes magyarzatval. A stateless s stateful kongurcival kt kln alfejezet foglalkozik, mert nagyon sok helyen eltr belltsokat kell alkalmazni. A tunneling kongurlsa viszont mindkt esetben teljesen megegyezik, gy az nem kerl ktszer ismertetsre.

3.3. Tunneling kongurlsa

A tesztgp egy olyan hlzatban kerlt elhelyezsre, amely nem rendelkezik publikus IPv6 cmmel, ezrt valamilyen tunneling protokoll segtsgvel kapszulzni kell az IPv6-os csomagokat, majd tovbbtani egy tjr fel, amely rendelkezik IPv6 s IPv4 elrssel is. Az 1.4 alfejezetben rszletesen ismertettem a csatornzsi technolgikat, ezrt erre itt most nem trek ki. Az tjr szerver (aut-switch) rendelkezik publikus IPv4 cmmel ezrt a

6to4

alagutazst vlasztottam. Tartomny Felhasznls Csatornzshoz szksges aut-switch s ns szerver kztti kapcsolat Teszthlzat fel deleglt tartomny

2002:9842:d180:2::/64 2002:9842:d180:1::/64 2002:9842:d180::/64

3.1. tblzat. Teszkrnyeztben hasznlt IPv6 tartomnyok

A rendelkezsnkre ll /48-as cmtartomny a kvetkezkppen ll el: 2002 az els ngy bjt (ez jelli, hogy

6to4

tunnelingrl van sz), az utna lv 32 bit a publikus IPv4

cme a szervernek. A maradk 80 bit az a bizonyos tartomny, ami szabadon kioszthat illetve deleglhat az altartomnyok szmra. A 3.1 tblzat tartalmazza az 2002:9842:d180::/48 tartomny felosztst. A feloszts sorn csak /64-es tartomnyt hasznltam fel, a teszthlzat fel pedig csak egyet delegltam, mivel nem kiszmthat, hogy az les krnyezetben mekkora tartomny ll rendelkezsre. Az Ubuntu Linux alaprtelmezetten tmogatja a sorokat kellett hozzadni az

6to4

tunnelinget, csak az albbi

interfaces

llomnyhoz:

30

IPv6 hlzatok kialaktsa s zemeltetse

auto iface

tun6to4 tun6to4 inet6 v4tunnel

address netmask endpoint local

2 0 0 2 : 9 8 4 2 : D180 : 2 : : 1 64 any

152.66.209.128 ::192.88.99.1

gateway ttl 65

Az els kt sor a tunneling csatol inicializlshoz szksges informcikat tartalmazza. Az

address

s a

netmask

mez a csatorna helyi IPv6-os cmt s a hozz tartoz

alhlzati maszkot jelenti.

Ennek a megvlasztsa kzmbs, lnyeg, hogy ezt a tar-

tomnyt mshol nem hasznlhatjuk a hlozatunkon bell. Az sgvel meghatrozhatjuk, hogy milyen. A

endpoint

paramter segt-

gateway annak az tjrnak az IPv6 cme, ami

A

csatorna msik feln van. Az ::192.88.99.1 cm azt jelenti, hogy az interfsz a 192.88.99.1 IPv4 anycast cmre tovbbtja a csomagokat. tartoz IPv4 cmet tartalmazza. A TTL fellbrsra azrt van szksg, mert az aut-switch-en thaladva a TTL kettvel cskken (TTL inherintance bvebben a [9] forrsban). Ez ltalban nem okoz fennakadst, viszont a traceroute eljrs sorn egy lyuk keletkezik a visszakapott adatokban. Egy, az ns gprl indtott traceroute-tal illusztrlom a problmt:
benjoe@ns :~ $ traceroute packets 1 2 3 4 . . . 2 0 0 2 : 9 8 4 2 : d180 : 1 : : 2 2 0 0 2 : c 3 6 f : 6 1 c0 : : 1 c 6 5 1 3 . vh . h b o n e . hu ( 2 0 0 2 : 9 8 4 2 : d180 : 1 : : 2 ) 0.824 ms ms 0.791 ms ms 0.770 ms ms to traceroute6 i p v 6 . g o o g l e . com ( 2 a00 : 1 4 5 0 : 8 0 0 4 : : 6 9 ) , 30 hops max , 80 byte

local

mez a csatorna helyi gphez

i p v 6 . g o o g l e . com

( 2 0 0 2 : c 3 6 f : 6 1 c0 : : 1 ) (2001:738::4) 2.030

1.581 ms

1.577 ms m

1.578 ms

2.187

2.249

2001:2000:3080:17::1

(2001:2000:3080:17::1)

40.587

TTL mdosts nlkl:

benjoe@ns :~ $ traceroute packets 1 2 3 4 5 6 2 0 0 2 : 9 8 4 2 : d180 : 1 : : 2 ( 2 0 0 2 : 9 8 4 2 : d180 : 1 : : 2 ) 0.861 ms 0.828 ms 0.804 ms to traceroute6 i p v 6 . g o o g l e . com ( 2 a00 : 1 4 5 0 : 8 0 0 4 : : 6 3 ) , 30 hops max , 80 byte

i p v 6 . g o o g l e . com

(2001:5000:200:9::2) 40.993 ms 40.753 ms ms

t e l i a s o n e r a . t s d . cw . n e t 40.905

. . .

Az ns s az aut-switch eszkzkn a 3.1 tblzat alapjn elvgeztem a kongurcikat: az aut-switch gp bels csatolja az 2002:9842:D180:1::2/64 IP cmet kapta, az ns pedig a

31

IPv6 hlzatok kialaktsa s zemeltetse

2002:9842:D180:1::2/64-et. Ezutn mr lehetett pingelni tetszleges publikus IPv6 cmet:

r o o t @ n s :~# PING 64 ping6 i p v 6 . g o o g l e . com 56 data bytes time =60.5 ms

i p v 6 . g o o g l e . com ( 2 a 0 0 : 1 4 5 0 : 8 0 0 5 : : 6 8 ) from 2 a00 : 1 4 5 0 : 8 0 0 5 : : 6 8 :

bytes

i c m p _ s e q=1

t t l =55

3.4. Stateless kongurci

A 3.2.3 alfejezetben mr sz volt a stateless cmosztsrl elmletben. Ez a fejezet a tnyleges implementlssal foglalkozik. A 3.2 brn a kiptett IPv6 hlzat lthat.

3.4.1. Router
A 2002:9842:d180::/64-es tartomny felbontst a 3.2 tblzat tartalmazza. Minden szerver kap egy /112-es tartomnyt, ami 65536 IP cmet jelent szerverenknt. Ezzel sszesen 655532 szerver kaphat IP cmet a jelenleg kiosztott tartomnyok szerint. Ennyi gp zikailag nem fr el a tanszken, de a tartomny termszetesen tovbb nvelhet. Azrt vlasztottam a /64-es tartomny elejt, mert ezeket az IP cmeket kzzel kell belltani, s egyszeren gy a legrvidebbek a cmek.

Router Advertisment Daemon

A Router Advertisment Daemon (tovbbiakban RAD) hirdeti a hlzatban hasznlhat prexeket s a hozzjuk tartoz informcikat. Az ns szerverre a

radvd

nev daemont teleptettem, mert ez egy ltalnosan hasznlt

program Linux krnyezetben. A kongurcit a kongurcis fjl tartalma:

interface { AdvSendAdvert AdvManagedFlag on ; off ; on ; 5; 15; eth0

radvd.conf

fjlban kell vgezni. me a

AdvOtherConfigFlag MinRtrAdvInterval MaxRtrAdvInterval

prefix {

2 0 0 2 : 9 8 4 2 : D180 : : / 6 4

AdvOnLink

off ;

32

IPv6 hlzatok kialaktsa s zemeltetse

3.2. bra. Stateless kongurcival kiptett IPv6 hlzat

Tartomny 2002:9842:d180::xxxx:xx:fexx:xxxx 2002:9842:d180::/96 Minden egyb, taromnyon bell

Felhasznls Regisztrlt gpek (ahol az x a regisztrlt gpek MAC cme) Szerverek Nem regisztrlt gpek

3.2. tblzat. Stateless kongurci esetn IP cm tartomnyok

33

IPv6 hlzatok kialaktsa s zemeltetse

AdvAutonomous }; };

on ;

Az llomny struktrja hasonlt az ISC DHCP szerver struktrjhoz. hlzati csatolt kln kell kongurlni

Minden

interface

blokkok segtsgvel.

A szervernek

csak egy csatolja lg be a teszthlzatba ezrt elg egy Az

interface

entitst ltrehozni. s a

AdvSendAlert

engedlyezi az RA zenetek kikldst, az

AdvManagedFlag

AdvOtherCongFlag
ben csak az O ag A

opcik a mr trgyalt M s O agekenek felel meg.

Jelen eset-

on, mivel nem szeretnnk a DHCP szervernek deleglni a cmosztst.

s a

MinRtrAdvInterval

MaxRtrAdvInterval

az RA zenetek gyakorisgt szablyozza,

nincs komoly jelentsge. A kvetkez prex blokkban a hlzatunk prexnek deklarcija lthat. Az

AdvOnLink

opcinak nagyon fontos szerepe van:

o

bellts esetn

tjkoztatja a klienseket, hogy nem minden IP cm tallhat meg a hlzaton, ezrt lltsa gy belltani a routing tblt, hogy az alhlzaton belli forgalom is routeren keresztl zajldjon. Ezt arra hasznljuk, hogy megszrjk a bels forgalmat, IP cm szerint szeparljuk a klienseket. Az

AdvAutonomous

egy engedlyez ag, ami megengedi

a klienseknek, hogy sajt cmet generlhassanak maguknak. Termszetesen van.

on

llsban

A daemont elindtva a klienseinknek mr van globlis IPv6 cmk, csak egyelre A tzfal kongurlsa utn, mr engedlyezhetjk az

a routeren tl nem ltnak. szerveren az IP forwardingot.

ns

3.4.2. Tzfal
A hlzat biztonsgnak alapkve a router helyes kongurlsa. Ez klnsen igaz A tanszki az esetnkben, ahol mg a bels forgalom is a tzfalon megy a keresztl.

hlzaton mkd tzfalrl csak rszleges ismereteim vannak, ezrt az ltalam megalkotott szablyok csak nagy vonalakban egyeznek meg a valdi IPv4-es tzfal szablyokkal. Az IPv6-os szablyok pontos kialaktsa csak az IPv4-es szablyok ismeretvel lehetsges, amire csak az les krnyezetben lesz lehetsg. A stateless tblzat tartalmazza forrs-cl mtrixknt, hogy mely tpus vgpontokra milyen szably vonatkozik. A

semmi

tagot nem szabad sz szerint rteni, mert a TCP

kapcsolatok esetn szksges mindkt irnyba engedni a forgalmat. Ebben az esetben a

34

IPv6 hlzatok kialaktsa s zemeltetse

TCP csomagok fejlct is vizsglni kell. A Linux kernelbe ptett netlter llapottart tzfal kezelni tudja a fent emltett esetet. Ugyangy a csomagokat rdemes szrni. forrs cl Szerverek Regisztrlt kliensek Nem regisztrlt kliensek BMENET Regisztrlt kliensek semmi semmi semmi semmi Nem regisztrlt kliensek semmi semmi semmi semmi

minden

esetn is a nem rvnyes

Szerverek minden minden http,https minden

BMENET minden https, http smb, ftp, rdp http,https semmi

3.3. tblzat. AAIT tzfal szablyok

A fggelkben szerepel egy ltalam rt tzfal kongurci, amit a tesztelshez hasznltam. A tzfal rszletes ismertetsre terjedelmi okokbl nincs lehetsg, de a 3.3 folyamatbra jl szemllteti a tzfal mkdst.

3.3. bra. Tzfal szablyok mkdsi brja

Els krben azt vizsglja a tzfal, hogy mi a csomag forrsa, majd aszerint irnytja a csomagot az egynien generlt lncokba. A lncokbl nincs lehetsg visszatrsre, a csomagszr megvizsglja a portokat, cl IP-t s aszerint dnt a sorsrl (visszautast vagy engedlyez).

35

IPv6 hlzatok kialaktsa s zemeltetse

A regisztrlt IP cmeket egy szveges fjlbl olvassa s egy for ciklus segtsgvel tlti be az aktulis tblba. Mr az elmleti rsznl htrnyknt szerepelt, hogy a sok szably miatt erforrsproblmk lphetnek fel a tzfal esetben. Sajnos a tzfal valban megbukott a volume teszten: 1000 regisztrlt cm esetn mr percekig tartott csak a

script futtatsa, s a msodpercenknti csomagszm (pps) is a tredkre esett vissza. Esetleg ms struktrval lehet cskkenteni a terhelst, de mindenflekppen linerisan fog cskkenni a pps a regisztrlt IP cmek nvekedsvel.

DHCP
DHCPv6 szervernek a WIDE-fle [10] implementcit vlasztottam, ez jelenleg a legelterjedtebb s ehhez rhet el a legjobb kzssgi tmogats. A DHCP szerver feladata stateless kongurci eseten kimerl a DNS cmek hirdetsben, ezrt a kongurcis llomny rendkvl egyszer, mindssze egy sort tartalmaz:
option domain

name s e r v e r s

2 0 0 2 : 9 8 4 2 : d180 : : 1 ;

Itt minden magrt beszl. Lehetsg van mg egyb szerverek (ntp, sip), de ezek mg csak ksrleti opcik s hinyos a kliensoldali tmogatottsguk is.

DNS
Az ltalam teleptett BIND DNS szerver minden tovbbi kongurci nlkl kpes IPv6-on kommuniklni, ilyen jelleg kongurcit nem kellett vgezni. Az albbi AAAA s PTR rekordokat kellett bejegyezni:

1. Minden szerverhez annyit, ahny IPv6-os cme volt.

2. Minden regisztrlt kliens

A nem regisztrlt gpekhez nem jr sem AAAA, sem PTR rekord, mert a nem regisztrlt gpek egy

264

mret tartomnyban helyezkednek el, s ekkora mret tartomnyhoz

tartoz reverse DNS trolsa lehetetlen. A aroblmra lehetsges megoldsokat egy RFC draft [11] mr tartalmaz, de azok biztonsgi okokbl (Dinamikus DNS) vagy mkd implementci hinya ("On the y" generls) miatt nem hasznlhatak.

36

IPv6 hlzatok kialaktsa s zemeltetse

3.4.3. Kliensek
A klienseknl az eddig hasznlt csoportostson tl meg kellett klnbztetnnk a tartomnyba lptetett s csak munkacsoportos klienseket. Elbbieknl a csoportos hzirendek segtsgvel automatikusan elvgezhetjk, utbbiaknl biztostani kell a megfelel batch llomnyokat. A tesztkrnyezetben tartomnyt nem hoztam ltre, a megfelel indt scripteket a helyi hzirendeken teszteltem.

Windows XP
A kvetkez paranccsal tudjuk installlni az IPv6 tmogatst Windows XP SP2 esetn:
netsh interface ipv6 install

A Windows XP nem tmogatja a DNS szerverek elrst IPv6 felett, s sok protokoll  kztk pldul CIFS  sem tmogatott, ezrt csak dual-stack krnyezetben hasznlhat.

Windows Vista/7
Windows Vista s 7 esetben a regisztrlt gpek nyomon kvethetsge rdekben ki kell kapcsolni az ideiglenes (temporary) IP cmet s az IP cm vletlenszer generlst:
netsh netsh interface interface ipv6 ipv6 set set privacy global edisabled r a n d o m i z e i d e n t i f i e r s =d i s a b l e d

A nem regisztrlt gpek esetn ezeknek a kikapcsolsa nem szksges, anlkl is el tudjk rni a vilghlt.

Linux
A legtbb Linux disztribciban alaprtelmezetten engedlyezve van az IPv6 tmogats s EUI64 tpus cmet is generlnak, teht semmilyen elzetes kongurcit nem ignyel. Ahhoz, hogy a DNS lekrdezsek is IPv6 felett trtnjenek, telepteni kell egy

DHCPiv6 klienst. Telepts utn automatikusan elindul a szksges dmon, ami berja az ns szerver IPv6-os cmt az

resolv.conf

fjlba.

3.4.4. Kiszolglk
Kiszolglk esetben sok kongurcira nem volt szksg. Mind az Ubuntu Linux Server mind a Windows Server 2003/2008 esetben a manulis IP cm bellts teljesen

37

IPv6 hlzatok kialaktsa s zemeltetse

analg az IPv4 belltsokkal.

3.4.5. Alkalmazsok belltsa

A tanszken fut szoftverek szma olyan nagy, hogy a szakdolgozat keretn bven tlmutatna minden alkalmazs IPv6 kompatibilitsnak vizsglata. A tesztkrnyezetben csak az ltalam felmrt alkalmazsok mkdskt vizsgltam, az eredmnyeket a 2.3 s a 2.2 tblzat tartalmazza. Terjedelmi okokbl rszletes kongurcit nem tudok kzlni, mert bizonyos esetekben nem volt szksg (pl. bngszk), ms esetben az adott szoftver dokumentcija rszletes s vilgos segtsget nyjt a kongurcihoz.

3.5. Stateful kongurci

A stateful kongurci sok esetben megegyezik a stateless kongurcival, ezrt ebben a szekciban csak a klnbsgekrl lesz sz.

3.5.1. Router
A 3.4 tblzat tartalmazza az IP tartomnyokat. A klnbsg, hogy a regisztrlt s nem regisztrlt gpek is a DHCP szervertl kapnak IP cmet, termszetesen klnbz tartomnybl. subsubsectionRouter Advertisment Daemon A mdosult:
interface { AdvSendAdvert AdvManagedFlag on ; off ; on ; 5; 15; eth0

radvd.conf

az albbiak szerint

AdvOtherConfigFlag MinRtrAdvInterval MaxRtrAdvInterval };

Jl lthat, hogy kikerlt az egsz prex blokk a kongurcis fjlbl. fejezetben volt sz az

Az elz

AdvAutonomous

agrl, ami stateless kongurcit engedlyezi

illetve tiltja az adott prexnl. Logikus lett volna csak azt

o

llsba kapcsolni. Hogy

mgsem ez trtnt, annak az az egyszer oka, hogy ha egy adott prexen bell mindkt

38

IPv6 hlzatok kialaktsa s zemeltetse

3.4. bra. A teszthlzat felptse stateful kongurci esetn

Tartomny 2002:9842:d180::1:0:0/118 2002:9842:d180::/96 2002:9842:d180::2:0:0/118

Felhasznls Regisztrlt gpek Szerverek Nem regisztrlt gpek

3.4. tblzat. Stateless kongurci esetn IP cm tartomnyok

39

IPv6 hlzatok kialaktsa s zemeltetse

Adv*

ag

o

llsban van, akkor a kliens berakja a prexet a route tblba gy, hogy az

tjr meg fog egyezni az alaprtelmezett tjrval.

Kernel IPv6 routing table Next Hop If

Destination [ . . . ] 2 0 0 2 : 9 8 4 2 : d180 : : / 6 4 ::/0 [ . . . ]

2 0 0 2 : 9 8 4 2 : d180 : : 1 2 0 0 2 : 9 8 4 2 : d180 : : 1

eth0 eth0

Az els sorban lv bejegyzs semmilyen csomag routingjt nem vltoztatja, nyugodtan kivehet.

3.5.2. Tzfal
A tzfal szablyok semmit sem vltoztak a stateless kongurcihoz kpest. Viszont a nem regisztrlt s regisztrlt gpek tartomnyba szortsa lecskkentette a tzfalszablyok szmt. A fggelkben megtallhat a mdostott iptables script. A script

tizedmsodpercek alatt lefutott s a routolsi sebessg is nagysgrendekkel gyorsabb lett.

DHCP
Amennyivel cskkent a llomnya:
option host domain

radv.conf

, annyival lett nagyobb a DHCP szerver kongurcis

name s e r v e r s

2 0 0 2 : 9 8 4 2 : d180 : : 1 ;

teszt { duid 00:01:00:06:13:6 a :4 a :40:00:0 c :29:26:0 a :49; 2 0 0 2 : 9 8 4 2 : d180 : : 0 : 1 : 0 : 1 infinity ;

address };

interface

eth0

address };

p o o l

pool1

3600;

pool

pool1

{ 2 0 0 2 : 9 8 4 2 : d180 : : 2 : 0 : 1 to 2 0 0 2 : 9 8 4 2 : d180 : : 2 : 0 : 4 0 0 ;

range };

Az els sor vltozatlan, utna egy teszt nev gp denilunk a DUID-val s az IP cmmel. Minden regisztrlt tesztgphez tartozik egy ilyen blokk, itt csak a plda kedvrt szerepel egy darab. Az utna szerepl kt blokk a nem regisztrlt gpeknek sznt tar-

tomnyt denilja, ami a

pool1

nevet viseli. Ezeknek a neveknek semmi kze a kliensek

DNS cmhez, csupn a hivatkozst segti a kongurcikor.

40

IPv6 hlzatok kialaktsa s zemeltetse

DNS
Semmilyen vltoztatst nem kellett vgrehajtani az alap BIND kongurcival, csupn a znk szerkezete vltozott: a 2002:9842:d180::2:0:0/118-as tartomnyhoz tartoz AAAA s PTR rekordokat kellett bejegyezni, ami a nem regisztrlt gpekhez tartoz 1024 rekordot jelenti.

3.5.3. Kliensek
A kliensek kongurcija merben ms ebben az esetben, hiszen a DHCP kliens nlkl mr nem lehet IPv6-os kapcsolatot kipteni.

Windows XP
Installlni kellett az IPv6 tmogatst ugyangy, mint stateless kongurcinl majd telepteni egy kls DHCPv6 klienst, mert az XP nem tartalmazza beptetten. A

Dibbler

DHCPv6 Client

szoftver az egyetlen elrhet DHCPv6 kliens XP-re, ezrt ezt installl-

tam mindkt teszt XP-re. Specilis belltsokat nem ignyel a kliens, szolgltatsknt automatikusan elindtva a szerverrel val kommunikci utn belltja a kapott cmet.

Windows Vista/7
A regisztrlt Windows 7 s Vista esetn a DUID azonostt meg kell vltoztatni olyan rtkre, ami a DHCPv6 szerver kongurcijban is szerepel. Ezt a
H E _ O A _ A HN K Y L C L M C I E\SYSTEM\ C u r r e n t C o n t r o l S e t \ S e r v i c e s \ T c p i p 6 \ P a r a m e t e r s \ Dhcpv6DUID

registry bejegyzs mdostsval lehet megtenni.

Nem szksges kikapcsolni a vletlen

generlt cmeket (mivel RAD kongurciban megtiltottuk).

Linux
Ubuntu Linux Desktop esetn installlni kell a dhcpv6 klienst, ami hasonlan az XP-s trstl, alaprtelmezett belltsokkal IP cmet kr a DHCPv6 szervertl. Itt is meg

41

IPv6 hlzatok kialaktsa s zemeltetse

kellett vltoztatnom a DUID-t, amit egy Internetrl letlttt perl script segtsgvel meg is tettem. [12]

3.5.4. Kiszolglk
Kiszolglk kongurcija fggetlen attl, hogy melyik megoldst vlasztjuk, ezrt nincs klnbsg a stateless kongurcihoz kpest.

42

4. fejezet

Bevezets az les krnyezetben

4.1. Eltrsek a teszkrnyezettl

Mint mr korbban is utaltam r, hogy  legnagyobb igyekezetem ellenre  a teszthlzat nem pontos modellje a valdi tanszki infrastruktrnak. kell venni a vgleges hlzat kialaktsakor. sgek: Ezt gyelembe

Pontokba szedve az albbiak a f klnb-

Alkalmazott Linux disztribcik Windows AD

A tanszken a Fedora a preferlt disztribci, de

elfordulhatnak msfajta rendszerek is. A tesztelsnl csak Ubuntut hasznltam.

A tesztkrnyezet nem tartalmaz Windows tartomnyt, de a bevezetsnl

nagyban tmaszkodok a csoportos hzirendek nyjtotta szolgltatsokra.

Tzfal, Routing belltsok

Nem volt mdom a tzfal- s routing szablyok alaposab-

ban megismernem, ezrt az ltalam krelt szablyok csak nagyvonalakban egyeznek meg az les krnyezetben alkalmazott megoldsokkal

Egyb hlzati kapcsolattal rendelkez eszkzk

erek fejlesztse folyik, kpessgeiket sem tudtam tesztelni.

A tanszken begyazott rendszteht az IPv6

amikre semmilyen rltsom nem volt,

Ezeknek a klnbsgeknek nem tulajdontottam komoly jelentsget, mert sikerlt olyan stratgit kidolgoznom, amit kvetve a bevezets sorn ezekbl add hibk knnyedn orvosolhatk.

43

IPv6 hlzatok kialaktsa s zemeltetse

4.2. Bevezets lpsei

A tanszken a bevezetsnl nagyjbl ugyanazokat a lpseket kell kvetni, mint a tesztkrnyezet fellltsnl, kiegsztve egy-kt adminisztratv lpssel s helyenknt eltr sorrendben a mkdsi anomlik elkerlse vgett. (Pl. HTTP szervernek van

rvnyes AAAA DNS rekordja de nincs IPv6 cme, vagy a webszerver nem gyel azon az IP cmen) Els krben IPv6 tartomnyt kell ignyelni az egyetemi Informatikai Osztlytl [13]. A honlapjukon kzztett informcik szerint minden C osztly IPv4 tartomnyhoz jr egy /64-es IPv6 tartomny. Fggetlenl attl, hogy stateless vagy stateful cmosztsi elv lesz vgl implementlva, egy darab /64 tartomny elegend lesz az egsz tanszknek. El kell dnteni, hogy vgl melyik cmosztsi mdszer kerl bevezetsre, esetleg hajland az zemeltet kompromisszumot ktni, s valamelyik kritriumtl eltekinteni s ezzel megvltoztatva valamelyik ltalam javasolt mdszert. Fel kell mrni, hogy ttelesen milyen eszkzk vannak a bels hlzaton, illetve milyen az azokon fut szoftverek IPv6 tmogatottsga. A 2.3 alfejezetben sszeszedtem a leggyakrabban hasznlt programokat, de lehetnek olyan stt foltok a hlzaton, amirl nem tudtam. Fontos, hogy a regisztrlt gpekrl s a szerverekrl legyen egy lista, ami alapjn IPv6, illetve AAAA DNS rekordot lehet jegyezni. A kvetkez  immr tnyleges  implementcis lps, hogy a kliensekre r kell knyszerteni a megfelel IPv6 viselkedst. Ezzel a lpssel sokat foglalkoztam a tesztkrnyezet kialaktsakor, az ott lert lpseket kell vgrehajtani azzal a klnbsggel, hogy ahol lehet, ott hasznljuk az automatikus kongurcit (pl. csoportos hzirendek). Fontos, hogy els krben csak a gpek kis szzalkn szabad tesztelni (laborban lv szmtgpek esetn pldul egy gpen laboronknt), majd fokozatosan kiterjeszteni az sszes kliensre. Most mr, hogy a munkallomsok egy rsze alkalmas IPv6 forgalomra, az

ns.aut.bme.hu

szerveren a kvetkez belltsokat kell elvgezni:

1. IPv6 routing

2. Tzfal

3. Router Advertisment Daemon

44

IPv6 hlzatok kialaktsa s zemeltetse

4. DHCPv6 szerver

Ezekhez is nagy segtsg a 3.5 vagy a 3.4 fejezet. A kiszolglk kongurlsa sok egyeztetst ignyel a rendszergazdkkal: fel kell

trtkpezni a fut szolgltsokat, s fel kell hvni az adott szervert zemeltet gyelmt, hogy a szerveren fut minden publikus szolgltatst nyjt szoftvernek tmogatnia kell az IPv6-ot, klnben nem vrt problmk lphetnek fel. Pldul HTTP szervernek van rvnyes AAAA DNS rekordja de a webszerver nem gyel azon az IPv6 cmen, emiatt nem rhet el IPv6 hlzatbl az adott weboldal. Ha valamelyik szerveren olyan szolgltats fut, ami nem tmogatja az IPv6-ot, akkor ahhoz a gphez tartoz IP-re tilos AAAA rekordot bejegyezni! HTTP szerver esetn j tanstvnyokat kell gyrtani a titkostott csatornn (pl https) is elrhet szervereken. A DNS bejegyzsek elksztse a legutols lpse a bevezetsnek: stateless cmoszts esetn minden regisztrlt kliensek s a szerverek kapnak AAAA s PTR rekordokat, stateful esetn mg a nem regisztrlt gpekre is gondolni kell.

4.3. zemeltets
A bevezets vgeztvel mg viszonylag sok teend akad. Meg kell oldani a cmek adminisztrlst, gondolok itt a MAC cm regisztrcira, regisztrci trlsre. Ha van a tanszken erre rendszerestett fellet, akkor azt ki kell egszteni az IPv6-os cmek bejegyzsvel DHCP, DNS esetleg a tzfalszablyok kz. Amennyiben nincs ilyen eszkz s kzzel trtnik a regisztrci, akkor az ezt ler dokumentcit kell bvteni az IPv6-os rsszel. A biztonsgra rdemesebb ezutn sokkal jobban gyelni: az IPv6 stack sokkal kevesebb helyen hasznlt, ezrt tbb javtatlan biztonsgi rs is lehet benne, mint az IPv4-es implementcikban. Ezrt is fokozottan fontos a rendszeres frissts mind a szerverek mind a kliensek esetben.

45

IPv6 hlzatok kialaktsa s zemeltetse

4.4. Tovbblpsi lehetsgek

A feladatkirs sszes pontjt sikerlt teljestenem, ennek ellenre a tmt messze nem sikerlt kimerteni. Egyik irny a kvetkez evolucs lps: az IPv6-only szmtgpek hlzatba integrlsa. A msik irny a meglv hlzaton a regisztrlt s nem regisztrlt gpek valamilyen 2. rtegbeli sztvlasztst (802.1x, dinamikus VLAN) kidolgozni. A szakdolgozat elksztse kzben az a benyomsom tmadt, hogy IPv6 biztonsggal kevesen foglalkoznak egyelre, sok rdekes kutatsi terlet van, amelyek ksbbi nll labor illetve diplomamunka, szakdolgozat alapjul szolglhat.

46

Ksznetnyilvnts

Ezton szeretnk ksznetet mondani konzulenseimnek

Olh Istvnnak s Kardos

Gergelynek, hogy lelkiismeretes munkjukkal s blcs tancsaikkal hozzjrultak a szakdolgozatom elksztshez.

Ksznm

Fischer Eriknek

(Sun Microsystems) s

Farkas Jzsef nek

(Schnherz

KSZK), hogy megteremtettk a technikai feltteleket a tesztek elvgzshez.

Vgl, de nem utols sorban ksznm

szleimnek,

hogy erklcsi s anyagi tmo-

gatst biztostottak egyetemi veim alatt, s mindvgig bztak bennem.

47

Irodalomjegyzk

[1]

Classless Inter-Domain Routing

http://en.wikipedia.org/wiki/CIDR

[2] RFC 791

Internet Protocol

http://www.faqs.org/rfcs/rfc791.html

[3]

Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)

http://tools.ietf.org/html/rfc5214

[4] RFC 3056

Connection of IPv6 Domains via IPv4 Clouds Teredo: Tunneling IPv6 over UDP through Network Address Translations

http://tools.ietf.org/html/rfc5214

[5] RFC 4380

(NATs)
http://tools.ietf.org/html/rfc4380

[6] OECD,

Internet addressing: measuring deployment of IPv6, 2010.

[7]

Guidlines for 64-bit Global Identier (EUI64) Registration Authority

http://standards.ieee.org/regauth/oui/tutorials/EUI64.html

[8] RFC 4941

Privacy Extensions for Stateless Address Autoconguration in IPv6 Running IPv6, pg42, Apress, Berkeley, 2006.

http://tools.ietf.org/html/rfc4941

[9] Iljitsch van Beijnum,

[10]

WIDE-DHCPv6
http://wide-dhcpv6.sourceforge.net/

48

IPv6 hlzatok kialaktsa s zemeltetse

[11]

Reverse DNS in IPv6 for Internet Service Providers

http://ietfreport.isoc.org/idref/draft-howard-isp-ip6rdns/

[12]

Client DUID generator for WIDE-DHCPv6

http://www.ipv6.mtu.edu/wide_mkduid.pl

[13]

BME Telekommunikcis s Informatikai Osztly

http://www.tio.bme.hu

49

brk jegyzke

1.1. 1.2.

IPv6 fejlcformtum (en.wikipedia.org) . . . . . . . . . . . . . . . . . . . . IPv6 csatornzs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

12 13

2.1.

AAIT hlzati topolgija . . . . . . . . . . . . . . . . . . . . . . . . . . .

17

3.1. 3.2. 3.3. 3.4.

Teszthlzat IPv4-es kongurcija . . . . . . . . . . . . . . . . . . . . . . Stateless kongurcival kiptett IPv6 hlzat . . . . . . . . . . . . . . . . Tzfal szablyok mkdsi brja . . . . . . . . . . . . . . . . . . . . . . . A teszthlzat felptse stateful kongurci esetn . . . . . . . . . . . . .

21 33 35 39

50

Tblzatok jegyzke

2.1. 2.2. 2.3.

IPv4 cmek a tanszken . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Kiszolgl oldali szoftverek listja az AAIT tanszken . . . . . . . . . . . . Kliens oldali szoftverek listja az AAIT tanszken . . . . . . . . . . . . . .

18 19 19

3.1. 3.2. 3.3. 3.4.

Teszkrnyeztben hasznlt IPv6 tartomnyok

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

30 33 35 39

Stateless kongurci esetn IP cm tartomnyok AAIT tzfal szablyok

. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

Stateless kongurci esetn IP cm tartomnyok

51

Fggelk

Stateless kongurcihoz tartoz tzfal script:

#! / b i n / b a s h

ip6tables ip6tables ip6tables ip6tables ip6tables ip6tables

F X N N N N A

server wan client nr

c l i e n t p
icmpv6

ip6tables

F R A D O W R

ACCEPT

#F o r r a s v i z s g a l a t
ip6tables

for

ip6tables I in

A A
`

F R A D O W R F R A D O W R reg

cat

s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 6 4 j wan s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j s e r v e r
`; $I

done ;

ip6tables

A A

F R A D O W R

c i m e k . t x t s r c j
nr

do

client

ip6tables

F R A D O W R

c l i e n t

# A W N chain

for

ip6tables I in

done ;

d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j ACCEPT c i m e k . t x t ` ; do ip6tables A wan p t c p d s t $ I m m u l t i p o r t s p o r t s 443 ,80 ,22 ,3389 ,445 ,21 m s t a t e s t a t e ESTABLISHED j
`

cat

wan

reg

ACCEPT

ip6tables

A A

wan

ESTABLISHED ip6tables

p t c p m j ACCEPT wan j REJECT

multiport

s p o r t s

443 ,80

state

s t a t e

# SERVER

for

chain
`

in

cat

reg

done ;

ip6tables

A A A A

server

c i m e k . t x t ` ; do d s t $ I j ACCEPT p t c p d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j ACCEPT ! s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 6 4 j ACCEPT j REJECT

ip6tables ip6tables ip6tables

server server server

# CLIENT

chain

ip6tables dports

client

tcp

443 ,80 ,22 ,3389 ,445 ,21

d s t m

2 0 0 2 : 9 8 4 2 : d180 : : / 6 4 state

multiport

ACCEPT

s t a t e

N W, ESTABLISHED E

52

IPv6 hlzatok kialaktsa s zemeltetse

ip6tables

A A

client

d s t j

2 0 0 2 : 9 8 4 2 : d180 : : / 9 6

state

s t a t e

N W, E

ESTABLISHED ip6tables

ACCEPT REJECT

client

# NR CLIENT CHAIN
ip6tables

A A

nr

N W, ESTABLISHED E ip6tables

c l i e n t p t c p m j ACCEPT c l i e n t j REJECT

multiport

d p o r t s

443 ,80

state

s t a t e

Stateful kongurcihoz tartoz tzfal script:

#! / b i n / b a s h

ip6tables ip6tables ip6tables ip6tables ip6tables ip6tables

F X N N N N A

server wan client nr

c l i e n t p
icmpv6

ip6tables

F R A D O W R

ACCEPT

#F o r r a s v i z s g a l a t
ip6tables ip6tables ip6tables ip6tables

A A A A

F R A D O W R F R A D O W R F R A D O W R F R A D O W R

s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 6 4 j wan s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j s e r v e r s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : 1 : 0 : 0 / 1 1 2 j j n r c l i e n t
!

client

# A W N chain

d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j ACCEPT p t c p d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : 1 : 0 : 0 / 1 1 2 m m u l t i p o r t sports 443 ,80 ,22 ,3389 ,445 ,21 m s t a t e s t a t e ESTABLISHED j ACCEPT ip6tables A wan p t c p m m u l t i p o r t s p o r t s 443 ,80 m s t a t e s t a t e ESTABLISHED j ACCEPT ip6tables A wan j REJECT
ip6tables wan ip6tables wan

A A

# SERVER

chain

ip6tables ip6tables ip6tables ip6tables

A A A A

server server server server

d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : 1 : 0 : 0 / 1 1 2 j ACCEPT p t c p d s t 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 9 6 j ACCEPT ! s r c 2 0 0 2 : 9 8 4 2 : d 1 8 0 : : / 6 4 j ACCEPT j REJECT

# CLIENT

chain

ip6tables dports ip6tables

A A A

client

tcp

443 ,80 ,22 ,3389 ,445 ,21 client

d s t j

s t a t e 2 0 0 2 : 9 8 4 2 : d180 : : / 9 6 m
state

d s t m

2 0 0 2 : 9 8 4 2 : d180 : : / 6 4

multiport

ACCEPT

N W, ESTABLISHED E state

s t a t e

N W, E

ESTABLISHED ip6tables

ACCEPT REJECT

client

# NR CLIENT CHAIN
ip6tables

A A

nr

N W, ESTABLISHED E ip6tables

c l i e n t p t c p m j ACCEPT c l i e n t j REJECT

multiport

d p o r t s

443 ,80

state

s t a t e

53