Date: Mon, 21 Jan 2002 23:42:00 +0100 From: Jesper Skriver <none@jesper--skriver.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: IPv6 læser eller skaber den problemer
On Mon, Jan 21, 2002 at 11:26:48PM +0100, Henrik Lund Kramshøj wrote:
> On Mon, 21 Jan 2002 20:20:42 +0100
> "Jesper Skriver" <none@jesper--skriver.dk.lh.bsd-dk.dk> wrote:
>
> > On Mon, Jan 21, 2002 at 02:41:46PM +0100, Henrik Lund Kramshøj wrote:
> > > Hej Rødder
> > >
> > > Nogle stykker ved at jeg er ved at skrive speciale om IPv6 og pt. har
> > > jeg en problemstilling som jeg gerne vil diskutere/have input til
> > > og hvad er mere naturligt end at spørge hos dem der allerede har IPv6
> > > indbygget i operativsystemet :-)
> > > (Fra www.KAME.net Platforms with KAME code merged in:
> > > FreeBSD 4.0 and beyond, OpenBSD 2.7 and beyond, NetBSD 1.5 and beyond
> > > BSD/OS 4.2 and beyond )
> > >
> > > Spørgsmålet er om IPv6 løser eller skaber problemer, og jeg ønsker ikke
> > > blot JA eller NEJ, men hellere eksempler.
> > >
> > > Første eksempel:
> > > IPng processen startede som bekendt med at man erkendte at 32-bit
> > > addresser vil være utilstrækkelige på langt sigt.
> > > 128-bit adresser i IPv6 løser dette problem - alle kan få RIGELIGT
> > > med adresser (freenet6.net giver dig eksempelvis en /48 prefix :)
> > >
> > > Andet eksempel:
> > > Jeg bliver (gang på gang, *av av* fj og Chrille :) konfronteret med
> > > dynamisk update af DNS i forbindelse med autoconfiguration og "renumbering"
> > > af netværk. Det er ikke shvj opklaret hvordan man på sikker vis kan
> > > få opdateret DNS - men vent er det ikke også et problem ved IPv4 ??
> >
> > Jo - der er faktisk meget værre med IPv4, hvis A6 records ellers tager
> > fart, da alle hosts kører med automatisk adresse tildeling, og DNS kan
> > ændres med en enkelt linie.
>
> Men er A6 ikke deprecated en smule, for kompleks og for uigennemtænkt ?
Jo det har jeg også hørt - men dog det er synd ...
> - jeg er ret sikker på at jeg har et par posts i den retning på en af IPv6
> mailinglisterne (KAME, ipng, IETF en eller anden mailingliste)
> (A6 er til forskel fra AAAA records, der giver hele adressen 128-bit, en
> delvis opløftning hvor forskellige servere giver dele af svaret - efter
> en relativt avanceret/kompleks metode)
>
> Desuden løser den heller ikke problemet med tillid til resultatet, som jeg
> tror er klagepunktet. HVIS et netværk ændrer prefix ændres alle adresser
> og problemet for klienter bliver derfor at kunne stole på de IP adresser
> man får fra DNS - og DNSsec eller lignende løser ikke pt. de problemer, idet
> de kræver at der laves signerede records "svar" for alle IPadresser
> (har ikke sat mig ind i DNSsec, ret mig gerne hvis du ved mere).
Jeg har heller ikke sat mig ind i DNSsec - men jeg ser ikke problemet,
hvorledes er det anderledes end med AAAA ?
Hvis folk konfigurerer noget galt, så virker det ikke ...
> Kunne man lave en form for signeret prefix-signatur ?
Ja - man kan sign'e alle DNS RR's, incl. en A6 RR for en ikke /128
maske.
> Således at serveren lavede en signeret record for hvert prefix ? - og så stole
> på at serveren er den den siger den er, og så er de records den sender OK
Se ovenfor - hvorledes er problemet andreledes end for quad A (eller A
for den sags skyld) ?
> - der er sikkert en del dygtige DNS folk der arbejder på slige sager
> pt. og generelt stoler vi jo på de svar vi får fra DNS, undtagen når
> vi forbinder os med SSH hvor vi kræver højere sikkerhed, og derfor
> bruger keys til OGSÅ at verificere at serveren er den man forventer
> (måske det skal udbygges således at man pr. navn kan gemme serverens
> hostkey, da den ellers vil ligne en helt ny - på den nye adresse).
>
> > > Det gøres måske mere synligt med IPv6, men er problemet ikke ens
> > > for både IPv4 og IPv6 (og hvis er der så nogen grunde til at
> > > sparke IPv6?)
> >
> > Se ovenfor - spark IPv4
>
> Så, så - den skal jo lige holde nogle år endnu :)
>
> > > Så hvis du kender til nogle problemer som IPv6 løser, ikke-løser,
> > > burde have løst osv. så send en mail TAK.
> > >
> > > Jeg er nok efterhånden blevet overbevist om at IPv6 er en æstetisk
> > > såvel som funktionelt god base for fremtiden - og at problemerne
> > > nok til dels svarer til de problemer IPv4 HAR løst hen ad vejen.
> >
> > IPv6 er nemmere for routere at implementere i HW, da headers er
> > fixed længde, og adresse felterne er 32 bit aligned.
>
> Endda 64-bit aligned. Hvis headeren er 64-bit aligned er alle options
> i første 64-bit og source og destination er begge 64-bit aligned.
Ah ja - endnu bedre, huskede forkert.
> > Tilgengæld tror jeg ikke på at det som folk siger med at IPsec er
> > indbygget i IPv6 betyder noget, da der ikke som sådan er nogen
> > forskel på hvad man laver i IPv6 og IPv4.
>
> Forskellen er vel at det er MANDATORY, om man så kan blive enige om at
> finde en key osv. er en anden sag (der måske kræver PKI infrastruktur
> ??)
Jeg ser det mest som et spil for galleriet ...
> > Men langt det vigtigste jeg kan se med IPv6 er det enorme antal
> > adresser man får, og derfor kan man droppe NAT og alle de problemer
> > som NAT giver for diverse mærkelige protokoller ...
>
> Hørt!
>
> > > Så fat den kritisk pen, og giv mig et skud for boven. (også
> > > gerne kritik til arbejdskopien af mit speciale der ligger på
> > > www.inet6.dk - der kommer en version 0.40 iaften. Findes også på
> > > http://[2001:6c8:7::14]:80/index.html - indtil jeg får opdateret
> > > en AAAA record for inet6.dk :)
> >
> > Din Tunnel er ikke aktiv.
>
> heh - jeg var nok lidt for restriktiv i min IPF conf. Chrille har
> været på den tidligere, og den skulle være OK igen - håber jeg. *snip
> ipv6 tools ping osv.*
jesper@freesbee% telnet 2001:6c8:7::14 80
Trying 2001:6c8:7::14...
^C
jesper@freesbee% ping6 2001:6c8:7::14
PING6(56=40+8+8 bytes) 2001:6c8:0:1::2 --> 2001:6c8:7::14
^C
--- 2001:6c8:7::14 ping6 statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
hmm ...
/Jesper
-- Jesper Skriver, jesper(at)skriver(dot)dk - CCIE #5456 Work: Network manager @ AS3292 (Tele Danmark DataNetworks) Private: FreeBSD committer @ AS2109 (A much smaller network ;-)One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them.
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:17 CET