Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoRaffaello Gagliardi Modificato 8 anni fa
1
Aggiornamento Netgroup R.Gomezel Commissione Calcolo e Reti LNF 29/09/2008-01/10/2008
2
Attività in corso e da completare Technology tracking apparati di rete Attività di sperimentazione Ipv6 su alcune sezioni INFN Test di MPLS: sono stati ritardati a causa di difficoltà in qualche sito di far convivere la sperimentazione con il traffico di produzione ▫Attesa nuovo hardware Continuazione test 10Gb su apparati per la verifica delle performance 2
3
Gruppo d'interesse IPV6 (Francesco Prelz, Luca Carbone, Giuseppe Sava, Riccardo Veraldi) Motivazione: dall'inizio dell'anno esistono i record AAAA di alcuni root server del DNS ({a,h,f,j,k,m}.root-servers.net) ▫Qualcuno avrà notato che i server DNS che hanno lo stack V6 attivo (quasi tutte le installazioni di sistemi operativi recenti lo hanno attivo per default) stanno già cercando disperatamente di comunicare. ▫Quasi tutti i servizi in realtà provano già ora ad utilizzare prima l'indirizzo V6, se trovato nel DNS. ▫Quindi il mostro è già fra noi (siamo già più avanti di DECNET fase V!)
4
Gruppo d'interesse IPV6 (Francesco Prelz, Luca Carbone, Giuseppe Sava, Riccardo Veraldi) La procedura di attivazione IPv6 è già disponibile presso il GARR NOC. Ci sono alcuni problemi da risolvere prima di poter attivare IPv6 ovunque: ▫Configurazione uniforme dei router di frontiera 4+6 ▫Metodi per l'attribuzione degli indirizzi pubblici v6 (SLAAC DHCPv6, manuale ?). ▫Come evitare l'autoconfigurazione di indirizzi globali in violazione delle regole di accesso alle nostre reti ? ▫Configurazioni funzionanti uniformi di servizi centrali dual stack 4+6 (DNS, NTP, HTTPD, SMTP, etc. etc. etc.)
5
Esempio: come prevenire IPv6 fai-da-te. Senza interventi sul router di frontiera, chiunque è in grado di collegare la propria macchina (anche tutte le macchine con IPv6 abilitato della vostra rete agendo come gateway) alla rete IPv6 globale, saltando ogni controllo. Il meccanismo più semplice è 6to4, che offre un indirizzo anycast IPv4 a cui attestare il tunnel. Quattro comandi bastano per collegarsi su Linux (uno solo su Windows...): /sbin/ip tunnel add tun6to4 mode sit ttl 255 remote any local A.B.C.D /sbin/ip link set dev tun6to4 up /sbin/ip -6 addr add 2002:AxBx:CxDx::/16 dev tun6to4 /sbin/ip -6 route add 2000::/3 via ::192.88.99.1 dev tun6to4 metric 1
6
Per bloccare questo traffico possiamo fermare i tunnel IPv6 su Ipv4 (protocollo IP 41). Un filtro del traffico verso l'indirizzo anycast 192.88.99.1 può essere aggirato. JunOS: term ip6-tunnels-deny { from { protocol ipv6; } then { syslog; reject; } ● Cisco IOS access-list XYZ deny 41 any any log ● Ma non finisce qui... – Esiste anche il meccanismo di tunneling 'teredo', basato su UDP. Bloccare la porta di default 2544 potrebbe non bastare, se emerge una nuova infrastruttura basata su un'altra porta.
7
Quindi: obiettivi del gruppo Produrre alcune raccomandazioni per le sezioni INFN su questi argomenti: ▫Messa in sicurezza delle installazioni che non hanno (ancora) attivato IPv6 ▫Allocazione degli indirizzi per le sezioni che l'hanno attivata o la desiderano attivare ▫Configurazione di servizi dual-stack (a partire dal DNS, che deve essere già in funzione al momento dell'attivazione). ▫Configurazione di NAT di transizione per macchine con solo IPv6 che devono accedere alla rete IPv4 Mailing list: ipv6@lists.infn.it ipv6@lists.infn.it Altre persone interessate sempre benvenute.
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.