BMW GROUP - EINFÜHRUNG VON IPv6. - … · BMW GROUP - EINFÜHRUNG VON IPv6. COMCONSULT NETZWERK...

BMW GROUP - EINFÜHRUNG VON IPv6.COMCONSULT NETZWERK FORUM 2016.

Bernhard Haring, Netzwerk-Technologie, 19. April 2016

Seite 2

BMW GROUP - EINFÜHRUNG VON IPv6.WORÜBER HANDELT DIESER VORTRAG?

AS8590 propagiert 2a03:1e80:2000::/48

BMW Group - Einführung von IPv6, ComConsult Netzwerk Forum, April 2016

Seite 3

BMW GROUP - EINFÜHRUNG VON IPv6.AGENDA.


Agenda.

Motivation

Vorgehensweise

Netzwerkarchitektur

Netzwerkrollout

Herausforderungen und Erfahrungen

Status und Ausblick

Seite 4

EINFÜHRUNG VON IPv6 IN DIE BMW GROUP.BMW, MINI UND ROLLS-ROYCE.

Marken

Fakten

122.000 Mitarbeiter 2.25 Millionen Autos 92.2 Milliarden € Umsatz


Seite 5

MOTIVATION.ERSCHÖPFUNG DES IPv4 ADRESSVORRATS UND DER WEG ZU IPv6.

Weltweite IPv4 Verfügbarkeit. Web Inhalt verfügbar via IPv6.

IPv4 Ressourcen sind weltweit nahezu aufgebraucht – Kommunikation im Internet wechselt zu IPv6.

Über das Internet verfügbare Services und Ressourcen müssen via IPv6 angeboten werden,

um die Erreichbarkeit zu gewährleisten.


Source: Cisco 6labQuelle: 6lab.cisco.com

Seite 6

MOTIVATION.CONNECTEDDRIVE.

ConnectedDrive - Ein Service für BMW Kunden, bereitgestellt und gehosted von BMW, verfügbar auf einem Endgerät von BMW.

Jeder gebaute BMW (2.250.000+ pro Jahr) benötigt eine IP Verbindung in unser Data Center.

Skalierbarkeit von IPv6 ist der Schlüssel zum Erfolg!


Seite 7

MOTIVATION.INDUSTRIE 4.0.

Mit Industrie 4.0 (Internet of Things) werden tausende weitere Endgeräte in Produktionsumgebungen integriert.

Skalierbarkeit, Ende-zu-Ende Kommunikation und Einfachheit der Nutzung – IPv6 stellt diese Features bereit!


Seite 8

VORGEHENSWEISE.ANFORDERUNGEN.

IPv6

Provisioning

IPv4 Verfügbarkeit TransitionKosten


Seite 9

VORGEHENSWEISE.DUAL STACK UND CORE-TO-EDGE.

Dual Stack ist die einzige Methode um die Migration zu IPv6 skalierbar, kosteneffizient und risikolos durchzuführen.

Die Core-to-Edge Vorgehensweise beugt Risiken beim Rollout vor.

IPv4 IPv4

IPv6IPv6

MUC(FIZ, ITZ)

HSW

W34Oxford

Americas

APAC

ESL NL-GER

W03Berlin

W04Landshut

W05Steyr

W06Regensburg

W07Leipzig

W35Swindon

W50Goodwood

NFSC

Office

NSC

Office

W02Dingolfing

W10Spartanburg

W52Brasil

Other

W09Rosslyn

Singapore

Other

Rome

Madrid Other OtherCluster

Sachsen

Cluster

NRW

UK

W12Hams Hall

Dublin

IPv6

IPv6 IPv6

IPv6

IPv6IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6

IPv6 Pilot Site

Dual Stack. Core to Edge Rollout.


Seite 10

VORGEHENSWEISE.INFRASTRUKTUR VOR APPLIKATIONEN (I).

IPv6 Projekt Lifecyle Management

Netzwerk Lösungen & Rollout.

- Architektur und Design

Anforderungen an

Schnittstellenpartner

- Erstellung der Netzwerklösungen

- Netzwerk Rollout

Infrastruktur Lösungen & Rollout.

.

Applikationstransition- Erstellung der Infrastruktur-

lösungen

- Zentrale Infrastrukturdienste und

Instanzen sind IPv6 enabled

- Erstellung der Applikation

- Migration der Applikation

inkl. deren dedizierter

Infrastruktur

„IPv6 wird zum Transport der

Daten verwendet.“„IPv6 Services werden entlang der

Straße bereitgestellt.“


„Die Straße für IPv6 wird gebaut.“

Seite 11

VORGEHENSWEISE.INFRASTRUKTUR VOR APPLIKATIONEN (II).

Einsatz von IPv4

Einführung IPv6

Einsatz von IPv4

IPv6 Transition

Einsatz von IPv6

Einsatz von IPv6

IPv4 „phase out“

Infrastruktur

Applikation

Dual Stack

im gesamten Netzwerk

IPv6

auf allen Systemen


Seite 12

NETZWERKARCHITEKTUR.GOLDENE DESIGN REGEL.

Erstellung einer dauerhaft gültigen Netzwerkarchitektur,

die mindestens genauso zuverlässig und verfügbar

wie IPv4 ist!


Seite 13

NETZWERKARCHITEKTUR.ADRESSIERUNGSPLAN.

„Keep it simple“.

Eine IP Adresse ist nur ein Zahl. Nur Informationen in

die Adresse kodieren, welche in unserem normalen

täglichen Gebrauch benötigt werden.

Global Unicast oder Unique Local Adressen?

Reserven einplanen.

Ein IPv6-Adressierungsplan wird

nur einmal im Leben erstellt.

Befolgen von „Best Practices”.

Weit verbreitete Lösungen,

werden langfristig unterstützt.

Welche Präfixlänge muss in das Internet propagiert werden? Ein Präfix weltweit oder einer pro Registry?

Wie wird der Netzwerkteil aufgebaut? Wie adressiere ich Endgeräte?

Wie stelle ich Lokationen in Netzwerk Blöcken dar?Was kann ich sinnvoll in die IPv6 Adresse kodieren?

Anzahl der IP(v4) Adressen sind nicht unendlich, Verschwendung?


Seite 14

NETZWERKARCHITEKTUR.ROUTING DESIGN.

IPv6

Routing

Design

IPv4 Routing Design

- Beachtung existierender

Layer 2 Strukturen

- IPv4 Routing Design

(Mängel)

IPv6 Protocol

- Protokolloptionen und

(fehlende) -mechanismen

- Lange Adressen

(Typos)


Seite 15

NETZWERKARCHITEKTUR.SECURITY.

Bekannte Bedrohungen nutzen IPv6.

Neue Bedrohungen basierend auf IPv6 Protokollmechanismen.


Seite 16

NETZWERKARCHITEKTUR.FEATURES UND KONFIGURATION.

Layer 3

Modifikationen

Security

- Routing Protokoll

- IPv6 Adresse für jedes existierende L3/Mgmt Interface

- L3 Interface Konfiguration (z.B. DHCPv6 Relay, HSRPv2)

- First Hop Security auf Access Ports

- IPv6 spezifische Features /ACLs auf Firewalls

- IPv6 Signaturen auf NIPS

- QoS: Marking, Queuing und Policing

- ACLs für Mgmt Zugriff

- Protokolle (SNMP, TACACS, RADIUS, NTP, Netflow…)

Jeder Teil der

Konfiguration ist

vom IPv6 Rollout

betroffen.


Seite 17

NETZWERKARCHITEKTUR.BETRIEBSLÖSUNGEN / TOOLS.

Die vollständige Unterstützung von IPv6 in den Betriebslösungen und -tools ist der Schlüssel zum Erfolg!

Verarbeitung von IPv6

Daten / Informationen

IPv6 als Transport

Protokoll


Seite 18

NETZWERK ROLLOUT.IPv6 READINESS.

Hardware Komponente

Software Protokoll

IPv6

Readiness

Disruptive Changes

Design-

entscheidungenAufwand / Kosten


Seite 19

NETZWERK ROLLOUT.WAS BEDEUTET ES IPv6 AUSZUROLLEN?

IPv6 Readiness

Check

IPv6 Readiness

Change

IPv6 (lokaler)

Adress-Plan

Konfig Erstellung

und Prüfung

Ausrollen der Konfig

Compliance/ Funktions-

tests

Dokumenta-tion

Ein IPv6 Rollout bedeutet, den Umgang mit Tonnen von Daten und Konfigurationen zu stemmen.

Automatisierung Prozesse


Seite 20

NETZWERK ROLLOUT.UMFANG.

Netzwerk-Infrastruktur

20,000+ aktive Komponenten

Lokationen

250+ Standorte

Individuelle Parameter

55,000+ Subnetze

Der Netzwerkrollout dreht sich vor allem um die hohe Anzahl an notwendigen Änderungen.

DISTRIBUTION# sh ipv6 interface brief

TenGigabitEthernet2/1 [up/up]

FE80::1E80:10:1:1

2A03:1E80:10:27::3


FE80::1E80:10:1:1

2A03:1E80:10:2::2


FE80::1E80:10:1:1

2A03:1E80:10:3::2


FE80::1E80:10:1:1

2A03:1E80:10:4::2


FE80::1E80:10:1:1

2A03:1E80:10:5::2


FE80::1E80:10:1:1

2A03:1E80:10:6::2


FE80::1E80:10:1:1

2A03:1E80:10:7::2

ACCESS# sh run int vlan 1

!

interface Vlan1

description Data

ip address 10.255.111.1 255.255.255.0

ip helper-address 160.50.1.1

ipv6 address FE80::1E80:10:1:11 link-local

ipv6 address 2A03:1E80:10:51C::1/64

ipv6 dhcp relay destination 2A03:1E80::1

end


Seite 21

HERAUSFORDERUNGEN.NETZWERK ARCHITEKTUR.

Die Herausforderungen in einem IPv6 Projekt sind die Unterschiede zwischen IPv4 und IPv6.

Diese findet man hauptsächlich an der Schnittstelle zu anderen IT Systemen.

IP-Adress-Konzept? Design?

Konfiguration? Security?

IPv6

Challenges


Multi Vendor

Strategie?

Hersteller-

verfügbarkeit?

Seite 22

HERAUSFORDERUNGEN.BEISPIEL I – ROUTER ADVERTISEMENT.

Setup.

Windows 7 end device

(Dual Stack; DHCP)

Access Router

(Dual Stack)

Data VLAN (untagged)

Voice VLAN (dot1q tagged)

Herausforderung.

- Meisten Windows Kartentreiber entfernen 802.1q Tag

Client empfängt IPv6 RA’s aus beiden Subnetzen

- Client hat zwei Default Gateways (DATA und VOICE VLAN)

- Aber nur DATA Default Gateway ist erreichbar

Lösung.

Neighbor Discovery Protokoll, Router-Preference “High” muss für alle DATA VLANs gesetzt werden

Endgerät präferiert und benutzt DATA VLAN

Access Switch L2 oder L3

(Dual Stack)

DATA VLAN (untagged)

VOICE VLAN (dot1q tagged)

Windows 7 Endgerät

(Dual Stack, DHCPv6)


Seite 23

HERAUSFORDERUNGEN.BEISPIEL II – FEATURE IMPLEMENTIERUNG.

Cisco Systems Catalyst Series.

Unterstützung abhängig der Plattform

und der IOS Version

• ACL

• „ipv6 nd raguard“ macro

• Full RA Guard Feature

ipv6 nd raguard policy …“

Herausforderung: Verfügbarkeit eines Features am Beispiel RA-Guard:

HP Enterprise.

Unterstützung abhängig der Plattform

und Betriebssystem Version

• ACL

• „ipv6 nd raguard“ macro

• Feature Request

Ziel: Eine einheitliche Lösung pro Hersteller über alle Plattformen/ Versionen.


Seite 24

BMW GROUP - EINFÜHRUNG VON IPv6.STATUS.

Netzwerk Lösungen und Rollout

Tokyo

Munich

Spartanburg

ICMPv6 Echo Request

ICMPv6 Echo Reply

ConnectedDrive R&D 1st Services Infrastruktur Lösungen


Seite 25

Netzwerk Infrastruktur Services & Devices Innovationen

„Rollout fortsetzen“ „Ermöglichung zentraler Einsatz“ „produktive Nutzung von IPv6“

Transition zu IPv6

IPv6 everywhere Directory Service

Monitoring


BMW GROUP - EINFÜHRUNG VON IPv6.AUSBLICK.

VIELEN DANK FÜR IHRE AUFMERKSAMKEIT.

BMW GROUP - EINFÜHRUNG VON IPv6. - … · BMW GROUP - EINFÜHRUNG VON IPv6. COMCONSULT NETZWERK...

Documents

Transcript of BMW GROUP - EINFÜHRUNG VON IPv6. - … · BMW GROUP - EINFÜHRUNG VON IPv6. COMCONSULT NETZWERK...