teched 2009 Direct Access Technical Drilldown Part 1 IPv6 & Transition Technologies

  • Article

John Craddock

Infrastructure & Security Architect XT Seminars Ltd

Ist eine 400er Session, ich entschuldige mich jetzt schon für alle Unklarheiten in der Mitschrift, ich hoffe, dass es nicht zu chaotisch wird :)

Direct Access – PreLog on Verbindung – Patchmanagement, health check and GPOs (ohne dass der User eingeloggt ist)

Wenn der User sich einloggt, prüfe, ich ob er das eh darf

und das egal, ob ich direkt im INternet bin oder hinter einer Firewall

(So in einem Nebensatz meint er, dass man das auch verwendne könnte, um Server, die in der Cloud sind, nahtlos mit meinem Netzwerk zu Verbinden – interessanter Gedanke)

 

Problem – ich brauche viel Transition Technologie, um IPv6 in IPv4 zu übersetzen, abhängig, wie ich mich verbinden kann, viele unterschiedliche Technologien

Und ich muss das ganze natürlcih absichern mit Zertifikaten

und ich muss klären, wie ich das mit dem DNS mache – damit der client auch meine internen Adressen auflösen kann

 

Part 1: IPv6 INtro, Transition TEchnologies, End-to-End connectivity

 

IPv6

IPv6 hat einen riesen Adressspace (128 Bits)

eine sehr effiziente routing hierarchy (16 bits um mein Netzwerk zu identifizieren 64000 Möglichkeiten)

Automatische Konfiguration (DHCP ist nicht unbedingt notwendig, Router hilft mir dabei, das Default Gateway zu finden)

Neues Protocoll für Zusammenarbeit mit benachbarten Nodes (viel besseres Multicast)

Nachteile

  • ich brauche eine neue Routing Infrastruktur um native IPv6 zu supporten
  • IPv6 adressen kann ich mir schlecht merken
  • nicht alle Apps sind IPv6 kompatibel !!! (es kann sein, dass einzelne Applikationen mit DA nicht gehen !)

Layer 2 – keine Änderungen

IPv6 Adresse 128 Bit getelt in 8 Blocks zu 16 Bits – jeder 16 bit Block wird als 4 Hex-Zahlen geschrieben, geteilt bei einem :

habe ich 0 er drinnen, kann ich die weglassen (auch wenn in einem Block nur 0 sind)

IPv6 ist geteilt in 2 Teie : Netzwerk = 64 Bits, Host Identifer 64 bits – host compponent kann von meiner MAC Adresse kommen – Privacy Problem – daher machen Win Server 2008 und WIn 7 hier eine zufällige Zahl beim ersten Mal – kann disabled werden

Fe80::<host ID> – automatisch assigned und nur verfügbar über das lokale Netzwerk Jeder Host hat diese Adresse, auch wenn er eine global Adresse hat

fe80::rest bis zum : ist der Host Identifier %12 – Zone Identifier

netsh interface show route – wenn ich einen pIng mache, brauche ich die Zone ID des Netzwerkes, das ich pingen will

 

Unicast address

FD hex (1111 1101)  Global ID (40bits)  SubnetID (16Bits)  Interface ID (64bits)

private routing between sites             Routing between LANs within a site

 

Global Adress (internet registered)

001 (3bits) Global routing prefix (45 bits)  Subnet ID (16 Bits)  Interface ID (64 Bits)

 

Routing:

Bei einer Maschine mit 2 NICs muss ich konfigurieren, dass das eine INterface zum anderen routen kann und umgekehrt und dass die das auch advertisen können
Das teilen diese Maschinen dann den Clients mit, die damit ihre Routing Tables füllen

::1 = Loopback (also ich selber)

Grundsätzlich ja ganz einfach, wenn man weiß, was man tut ;)

 

Transition Technologien

Tunneling – IPv6 Traffic wird in IPv4 als

  • IP (used by 6to4 and ISATAP)
  • UDP (used by Teredo)
  • HTTPS (used by IPHTTPS) (wenn gar nichts anderes mehr geht – https geht immer)
    Nachteil: der verschlüsselte IPSec IPv6 Traffice wird wieder in ein verschlüsseltes HTTPS Packerl verpackt…

6to4 Netzwerk ist ein INternet based Public IPv6 Netzwerk

wenn ich ein registriertes IPv4 Netzwerk habe, habe ich auch automatisch ein registriertes IPv6 Netzwerk

Adresse beginnt mit 2002::/16 Prefix

Was habe ich:

6to4 Host/Router

6to4 Relay (verbindet meinen IPv4 Tunnel mit meinem IPv6 Netzwerk)

         mmhh – Blackout für die letzten 2 MInuten…

Meine IPv6 registrierte Adresse is t folgende IPv6 Adrsse:

2002:wwxx:yyzz:0:0:0:wwwxx:yyzz   (wwwxx:yyzz ist die hexadezmale representation der Host IPv4 adresse   144.19.200.2 translates to 9013:c802 )

je mehr ich verstehe, wie das 6to4 tunneling fiunktioniert, umso leichter tue ich mir mit troubleshooting

         wieder Blackout – gute Folien, fast nicht komplex…. 400er Session halt….

ISATAP – INtersite Automatic Tunnel Addressing – tunnelt IPv6 Traffic im Intranet

wenn ich mit 6to4 in mein Netzwerk komme und das aber auch IPv4 ist, brauche ich einen weiteren tunnel, der mein IPv6 in IPv4 in meinem Netzwerk tunnelt – eben ISATAP

Host Config: Netzwro Adress (64 Bits) 0:5efe or 200:5efe (32bit) IPv4 adress (32 Bit)

ISATAP kann über DNS dem Client bekanntgegeben werden (ISATAP wird von der globalqueryblocklist geblckt, muss dort runtergenommen werden !)

 

Supporting IPv4 Only Hosts

NAT-PT und DNS-ALG – MS hat heute außer UAG keine Lösung dafür – derzeit nur über z.b. Cisco…

Teredo

Teredo bietet UNterstützung wennd er Host hinter einem oder mehreren NTAs ist

Teredo tunnelt IPv6 durch UDP, weil NAT das Tunnelnt von IPv6 durch IPv4 nciht zulassen wird

       Blackout – Buffer overflow - sorry

IP HTTPS

IPHTTPS wird verwendet, wenn der Host hinter dem NAT nicht via Teredo tunneln kann, weil UDP geblockt wird

dazu brauche ich eine gut gewartete Zertifikatssstelle bei mir im UNternehmen

Wenn ich das nicht über netsh konfiguereine will, kann ich das auch über Group Policies konfigurieren

 

mmhhh – gut, war eine 400er Session… Aber wie ich immer schon gesagt habe – Direct Access ist kein Kindergeburtstag ! Um dem Benutzer dieses unglaubliche Erlebnis zu geben, immer und überall mit dem Unternehmensnetzwerk verbunden zu sein und dem Admin die Möglichkeit zu geben, den Rechner auch PreLogon zu erreichen, muss man einiges tun.

 

IPv6 Wissen ist nicht nur gut, sondern unbedingt notwendig, bevor ich anfange !

Ich muss verstehen, wie das ganze geht, sonst scheitere ich schon am Anfang…

(Kleiner Hinweis: im Jänner sind 2 IPv6 Kurse in Wien für Partner – bei ETC und Global Knowledge – siehe den dazupassenden Blogeintrag, dessen URL ich gerade nciht zur Hand habe)

 

Ich prophezeie mal, dass viele Kunden das haben wollen

Ebenso, dass die nächsten 3 Jahre in Österreich max. 5 Partner so weit sein werden, dass sie Direct Access beim Kunden einrichten und Troubleshooten können (Ich werd die Namen in ein Kuvert schreiben und schaun wir mal, ob ich recht habe – hoffentlich nicht)

d.h. wenn ich Partner wäre, würde ich mich sehr sehr intensiv mit diesem Thema auseinandersetzen und zumindest 1 Person abstellen, die das macht – egal, ob ich heute Kleinkunden oder Großkunden versorge, weil das werden alle Kundengrößen wollen

Dann würde ich mir 1 – 2 Kunden suchen, wo ich das implementiere und die dazu passende Referenzen schreiben, publizieren und jedem erzählen (mir auch, ich blogge das gerne hier !)

Und dann gehts ans Geldverdienen…

 

Christian – live von der teched in Berlin