[Denmark-IPv6] IPv6 og logningsbekendtgørelsen

Claus Holm Christensen ipv6tf.dk at claushc.dk
Sat Mar 14 17:57:02 CET 2009 

Hej,

Nu må jeg hellere føre lidt dokumentation for min påstand om at 
logningsbekendtgørelsen forhindrer mindst en dansk ISP i at indføre IPv6 
indtil videre.  Jeg er netværkstekniker ved den ISP, men da jeg ikke 
skriver på firmaets vegne, så foretrækker jeg at vi holder navnet 
udenfor debatten (firmaet burde ikke være svært at finde alligevel).

Problemet er, at logningsbekendtgørelsen kræver at vi kan identificere 
brugeren af en bestemt IP-adresse på et givent tidspunkt, og i vores 
nuværende netværk bruger vi DHCP Snooping til dette formål.  I IPv6 
danner brugerne deres egne IP-adresser ud fra RA'er og EUI-64 (evt. også 
private adresser), og der sker ikke nogen central registrering.

Uden logningsbekendtgørelsen, så kunne vi lade kunderne danne deres egne 
IP-adresser (vores CPE er bare en L2-switch med VLAN-håndtering), og 
leve med at abuse-håndteringen på IPv6 lider.


Ifølge RFC4779 er løsningen at lave et VLAN pr. kunde, f.eks. i form af 
Private VLAN.  Det er bare ikke understøttet i en stor del af vores 
access-switche.  En alternativ løsning i RFC'en er at lave PPPoE, men så 
skal vi ud til at investere i BRAS'er og have alle CPE'erne konfigureret om.

En tredje mulighed kunne være at lade vores CPE hente sit eget subnet 
med DHCP-PD og etablere routning derud.  Så skal vi "bare" sikre at det 
kun er vores egne CPE'er der kan lave DHCP-PD, og få dem til at sende et 
kunde-ID med.

Helst så jeg, at switchene kunne lave noget lignende DHCP Snooping på 
IPv6s Neigbour Discovery pakker.  Desværre har jeg ikke hørt om at den 
facilitet findes nogen steder endnu, og crackere kan måske snige sig 
udenom ved at forhindre sit system i at sende Neigbour Discoveries.

Samlet set kan vi sagtens implementere IPv6, men på grund af 
logningsbekendtgørelsen kræver det ret store investeringer og/eller 
understøttelse fra flere leverandører.  Vores bedste bud på 
IPv6-understøttelse indenfor en nær fremtid er at lave en eller flere 
6to4-gateways for vores egne kunder, og evt. statisk routning til de 
kunder der beder om et prefix.


-- 
Claus Holm Christensen

More information about the Denmark mailing list