IPv6, DLD og NAT - Tre forkortelser som aldri bør møtes!: Steinar Haug, IPv6 guru, Ventelo IKT-Norge IPv6 forum IPV6 konferanse 23 & 24 mai 2011

1. IPv6, DLD og NAT
Den uheldige
treenighet
Steinar Haug
IPv6 guru / Senior network architect
steinar.haug@ventelo.no

2. Hvem er vi?
• Ventelo er en komplett tjenesteleverandør
– Mobiltelefoni / fasttelefoni
– Bredbånd
– Datacom
– Kapasitet
• Landsdekkende infrastruktur på fiber, DSL
og radio
• Bedrift, wholesale og privat
• IPv6 i kjernenettet siden 2003
– Produktifisering.
– Pilot-tjeneste tilbys bedriftskunder.
– Første større IPv6 leveranse til The Gathering påsken
2009, Vikingskipet.
Slide 2

3. Uheldige forkortelser?
• Data og nettverksbransjen liker forkortelser
– En yrkesrelatert sykdom? TCP
MP3 PHP IKT
LTE
GSM DLD IPv4
• Dagens forkortelser: IPv6, DLD og NAT
IPv6 ISP ADSL
– IPv6: Internet Protocol version 6.
– DLD: Datalagringsdirektivet. API WWW
– NAT: Network Address Translation.
NAT
• Disse har en del innebygde konflikter
– Jeg skal belyse konfliktene og problemene.
– Jeg kommer med en del påstander om IPv6, DLD og NAT.
– Det er lov å være uenig.
– Hvis dette får dere til å tenke, er alt vel!
Slide 3

4. Datalagringsdirektivet
• Vedtatt i Stortinget 4. april 2011
– Dramatisk svekking av personvernet: Alle betraktes som mistenkte!
– Opphetet debatt i mange fora på forhånd.
– Men mange gir blaffen og bryr seg ikke.
• Lagring av info om alle som bruker teletjenester
– Minimum 6 måneders lagring.
– Sender, mottaker, posisjon – men ikke innhold.
– Krever i praksis veldefinert kobling mellom IP-adresse og kunde.
– Forslag til ny åndsverkslov peker i samme retning.
• Detaljer ennå ikke avklart!
– Detaljert utforming av regelverket er ikke klart – hverken Storting
eller andre vet egentlig hva som er vedtatt!
– Kostnader forbundet med DLD er ikke avklart – men vi vet at de blir
betydelige.
Slide 4

5. Network Address Translation
• NAT er svært vanlig i forbindelse med IPv4
– ”Mange til en” NAT: Flere IPv4 bokser bak én offisiell adresse.
– Hver enkelt boks er ikke lenger direkte adresserbar!
– NAT ”sikkerhet”: Egentlig kommer dette fra ”stateful firewall”.
– Sikkerhetspolicy: Vanlig at det kun aksepteres returtrafikk
for sesjoner som er startet fra ”innsiden” (lokalnettet).
– NAT-boks må ha tilstand for sesjoner.
– De fleste ADSL hjemmerutere bruker NAT.
– Bedrifter bruker ofte NAT på brannmur mot omverden.
– NAT gir leverandøruavhengighet: Kun NAT-boks (brannmur)
trenger å endres ved bytte av leverandør.
• NAT er ikke definert for IPv6!
– Både faglig begrunnet og ”religiøs” motvilje.
– Men det tvinger seg frem likevel (brukerkrav).
– Relevant skille: ”En til en” oversetting (NAT66) versus
”mange til en” oversetting (NAPT66).
Slide 5

6. IPv6 adressetildeling
• IPv6 adressetildeling som ligner på IPv4
– Statisk adresse: Eksplisitt konfigurering pr. boks.
– DHCP: Tildeling styres av DHCP-server.
• Disse er ”DLD-vennlige”:
– Enkelt å holde oversikt over kobling mellom IP-adresse og bruker/boks.
– DHCP-server gir sentralisert logging.
• Inkompatibel med DLD: Autokonfigurasjon (SLAAC)
– Ny mekanisme i IPv6 – finnes ikke i IPv4.
– Adresse lages vha. prefiks (fra ruter) og lokal del (bestemt av boksen selv).
2001:db8:: 215:17ff:fe2a:2fde
– Vanligvis ingen logging som viser kobling mellom
boks og IPv6-adresse.
– Inkompatibel med DLD!
– ... som betyr at denne mekanismen normalt ikke kan brukes av tjenesteleverandører.
Slide 6

7. Hvilke adresser skal brukes?
• En datamaskin vil ofte ha IPv4 og IPv6 adresser
– Hvilke adresser skal brukes? Dette er ikke opplagt!
– Nyere operativsystemer foretrekker normalt IPv6 foran IPv4.
– Hva om IPv6-adressen er en 6to4 eller Teredo tunnel-adresse?
– Hva om IPv4-adressen er en privat IP-adresse (pga. NAT etc)?
– Hva skjer med VPN-forbindelser med IPv6 i nettet?
– Valg av dårlig/ikke fungerende adresse kan være katastrofalt for brukeropplevelse
(30 sekunder timeout o.l.), og innholdsleverandører er redd for å miste inntekter!
• Det er gjort en god del målinger for å detektere problemer
– Google målinger: http://ripe61.ripe.net/presentations/223-World_IPv6_day.pdf
– Redpill Linpro målinger: http://www.fud.no/ipv6/
• Resultatet er at VG/A-pressen har skrudd på IPv6 på servere
– Mengden ikke-fungerende klienter er lav nok til at de kan leve med det.
– Og det skal vi alle være glade for 
Slide 7

8. IPv6 vil gi økt bruk av NAT
• NAT ikke definert for IPv6!
– IPv6 tilbyr full ende til ende kommunikasjon, uten NAT.
– Mange brukere er vant til NAT, og ønsker det for IPv6!
– Leverandøruavhengige adresser (PI) finnes, men er
vanskelig tilgjengelige.
– Fullstendig krasj mellom teori og praksis 
• IPv6 vil gi mer bruk av NAT enn IPv4!
– Iallfall i de nærmeste 5 – 10 årene.
– Mange ”overgangsmekanismer”: NAT64/DNS64, DS-Lite, ...
– Hvordan kan en IPv6 boks nå IPv4 innhold?
– Hvordan kan en IPv4 boks nå IPv6 innhold?
– Hvordan skifte IPv6 leverandør uten å endre alle
IPv6 adresser i bedriften?
– Hvordan håndtere DLD krav til identifikasjon av kunde?
Slide 8

9. IPv6 og NAT
• Tanken var...
– At ”alle” skal bruke ”dual stack”, dvs. implementasjon av både IPv4 og IPv6.
Nødvendig fordi IPv6 og IPv4 bokser ikke kan snakke direkte med hverandre.
– Og etter noen år har ”alle” gått over til IPv6, og IPv4 kan skrus av.
– IPv6 trenger ikke NAT, fordi det er nok adresser – ikke nødvendig å definere NAT.
– Slik gikk det ikke!
• Sentralisert NAT for å kunne fortsette med bruk av IPv4
– Tjenesteleverandører trenger IPv4-adresser til nye kunder.
– IPv4-adresser kan frigjøres ved å kjøre sentralisert NAT (”Carrier Grade NAT”, NAT444).
– Krever enorme mengder logging for å tilfredsstille DLD-krav.
• NAT for IPv4 – IPv6 kommunikasjon
– Både sentraliserte og distribuerte løsninger (CPE) er mulig.
– Tilby IPv6 tjenester eksternt uten å endre dagens servere.
– CPE-baserte løsninger krever at tjenesteleverandør kontrollerer CPE.
Slide 9

10. IPv6, NAT og DLD
• NAT444 = NAT44 (kunde) + NAT44 (tjenesteleverandør)
• Sentralisert NAT gir store utfordringer mht. logging
– Logging er påkrevet for å kunne identifisere kunde i forhold til DLD.
– Logging betyr normalt tidspunkt, IP-adresser, portnumre, etc. Minimum 50 – 100 byte.
– Logging må gjøres for hver sesjon, fordi kobling mot kunde er dynamisk!
– En nettside resulterer i mange sesjoner (kan være 100 eller mere).
– Resultatet er store volumer med loggdata, og høy kostnad for lagring og administrasjon.
– Du kan forvente å få et nært og varmt forhold til din lagringsleverandør 
Slide 10

11. IPv6, NAT og DLD 2
• Finnes det noen måter å unngå logge-eksplosjonen?
– I prinsippet enkelt: Implementer IPv6 ende til ende.
Sørg for at alle kunder og tjenester er tilgjengelig over IPv6.
• I praksis vanskelig:
– Det er svært kort tid igjen for de som først begynner nå.
– Det er allerede tomt for IPv4-adresser mange steder
(f.eks. ikke mulig å dekke behov på mobilsiden).
– Det er fortsatt mange produkter som ikke støtter IPv6:
Mobiltelefoner, hjemmerutere, etc.
• Trodde du smartmobilen din støttet IPv6?
– Den gjør den antagelig – men kun med WiFi tilkobling.
– Nesten ingen smartmobiler støtter IPv6 mot GSM-nettet.
– Svært mange mobiloperatører kan ikke fakturere IPv6 datatrafikk.
I praksis er mobilverden helt avhengig av NAT.
Slide 11

12. Summa summarum
• IPv6 autokonfigurasjon inkompatibel med DLD
– På grunn av behov for identifikasjon av kunde,
– Og manglende logging av adressetildeling.
• IPv6 vil gi mer bruk av NAT enn dagens IPv4
– På grunn av behov for IPv4-adresser til nye kunder og tjenester.
– Og ulike overgangsmekanismer mellom IPv4 og IPv6.
• IPv6, DLD og NAT vil gi store mengder logging flere år fremover
– En ”våt drøm” for lagringsleverandører?
– Dette blir definitivt ikke gratis.
– Noen må betale for dette. Staten?
• Raskest mulig overgang til IPv6 er det beste vi kan gjøre
– ... for å redusere smerten.
Slide 12