Wir haben die Lokalisten IPv6-fähig gemacht und es hat gar nicht weh getan Warum IPv6 gar nicht so kompliziert ist Gert Döring, SpaceNet AG, München Heise IPv6-Konferenz, 20.5.2010, Frankfurt

Langer Titel, kurzer Vortrag Wir haben es eingeschaltet Es hat funktioniert Keine Schmerzen Irgendwelche Fragen?

Warum dann einen Vortrag…? Weil heise.de immer noch kein IPv6 hat! Die Idee: Vorgehensweise zur IPv6-fizierung eines komplexen Websetups zeigen Erfahrungsbericht Vorbehalte ausräumen Potentielle Probleme aufzeigen

Ein Blick auf ein Hosting-Provider-Netz… IPv6 OK IPv6 problematisch

Wer sind die Lokalisten? Eines der grösseren (süd-)deutschen „social networks“: http://www.lokalisten.de #84 in Alexa‘s Top 100 für Deutschland komplexes Setup, ca. 250 Server Einige kritische Komponenten nicht IPv6-fähig: Load-Balancer können kein IPv6 Datenbank-Systeme können kein IPv6 Interesse an IPv6 ist da, soll aber „nichts kosten“  Frage an uns: wie bringen wir den Kunden mit vertretbarem Aufwand ins IPv6-Internet?

Lokalisten.DE – die Technik (vereinfacht) ??? IPv4 request IPv6 request

Lokalisten.DE – wie kommen wir zu IPv6? Ziel: Enduser mit IPv6-Connectivity sollen „lokalisten.de“ über IPv6 erreichen können Annahme: IPv6-Anteil erstmal deutlich unter 5% Nicht-Ziele: gesamte Plattform auf „IPv6-only“ umstellen D.h.: interne IPv4-Verbindungen zu Daten- banken, Storage, usw. bleiben auf IPv4  minimale Implementation für den Anfang

Lokalisten.DE – minimal IPv6 implementation Apache-basierter Proxy forwarded eingehende IPv6-Connects über IPv4 zum Loadbalancer, Rest der Plattform unverändert IPv4 request IPv6 request

Lokalisten.de – minimale Implementation IPv6 auf dem Access-Router einschalten Stateless auto-configuration wird deaktiviert(!) Dedizierte Maschine mit IPv4- und IPv6- Connectivity: v4/v6 proxy server v4/v6 proxy nimmt IPv6-Verbindungen von Clients an, und forwarded sie über IPv4 zum Loadbalancer bzw. zu den Server-Clustern Request wird auf den normalen Servern bearbeitet und via v4/v6 proxy an IPv6 user ausgeliefert Nach erfolgreichen internen Tests: IPv6-Adresse im DNS eintragen (AAAA), global sichtbar

Nächste Schritte: SMTP zum „Internet Face“ einer Plattform gehört auch Mail… In-Mail (MX smtp.lokalisten.de) IPv6 in System und Postfix konfigurieren, greylister aktualisieren, DNS-Eintrag, geht Zeitaufwand: ca. 2h Out-Mail Load-Sharing über 6 Systeme sechs Wochen auf einem System getestet, dann alle wesentlicher Punkt: reverse und forward DNS muß stimmen, bevor die erste Mail über v6 ausgeliefert wird – sonst lehnt z.B. freenet.de die Mail gleich ab Zeitaufwand: insgesamt ca. ein Tag

Nächste Schritte: „ordentliche“ Implementation IPv6 direkt auf dem Load-Balancer aktivieren „alter“ Load-Balancer wurde inzwischen aus anderen Gründen (Performance, Stabilität) ersetzt neuer Loadbalancer (Zeus ZXTM) kann IPv6 „out of the box“ damit kann v4/v6-Proxy wieder verschwinden Umstellung bei Bedarf (d.h. wenn die Last auf dem Proxy spürbar ist) – vorher kein Aufwand Irgendwann können dann auch interne Verbindungen auf IPv6 umgestellt werden Wartungszugänge (OpenVPN), DB-Connects, … vollkommen unabhängig von allem anderen

Statistiken – Web-Traffic

Bereits 3.5% (!) des Mail-Traffics ist IPv6 Statistiken II Ca 0.3% des Web-Traffics (IP-Volumen) für www.lokalisten.de ist heute IPv6 Viele Zugriffe aus dem Münchner Hochschul-Netz (native) und von Cablesurf München (ISATAP) Day-of-Week-Effekte sichtbar genau gar keine (0) Klagen von Usern bisher über Probleme durch die IPv6-Einführung normale User merken den Unterschied zwischen IPv4 und IPv6 auch nicht – gleiche Server, gleiche URLs, gleicher Dienst Bereits 3.5% (!) des Mail-Traffics ist IPv6

Gängige Befürchtungen, warum „es“ nicht funktionieren wird… Aber, aber, aber… Gängige Befürchtungen, warum „es“ nicht funktionieren wird… kaputte DNS-Resolver in Home-Routern sind unzweifelhaft ein (geringes) Problem wirkt üblicherweise schon auf AAAA-Query also relativ egal ob Website IPv6-Record hat oder nicht, das Problem besteht, sobald ein Client IPv6-fähig ist muss separat betrachtet und gelöst werden

Schlechte Performance durch getunneltes IPv6? Aber, aber, aber… (2) Schlechte Performance durch getunneltes IPv6? Clients mit korrekter RFC 3484 policy table verwenden getunneltes IPv6 nur im Notfall, d.h. bevorzugen IPv4 vor 6to4 oder Teredo Windows hat 6to4 und Teredo zwar default-on, aber korrekte Policy-Table  Problem bei Opera 10 vor 10.50 (fixed!) MacOS X hat zwar problematische Policy-Table, aber im Default-Zustand keine 6to4/Teredo-Interfaces Statistiken bei http://fud.no/ipv6/ Restprobleme betreffen ca. 0.04% der User

Mangelhafte IPv6-Unterstützung in Ad- Networks usw. Aber, aber, aber… (3) Mangelhafte IPv6-Unterstützung in Ad- Networks usw. Anzeigenserver haben nur IPv4 Zählpixel von IVW kommt nur über IPv4 Clients kommen damit problemlos zurecht, einzelne Seitenbestandteile über v6 und andere über v4 zu holen Hier wieder Huhn-und-Ei zu spielen ist nicht zielführend – Druck auf Dienstleister machen!

Und wo ist der Rest der Hühner…? Und die Access-Seite („Eyeballs“)…? „die Szene bewegt sich“ Ankündigungen von Vodafone, Kabel Deutschland, M‘Net, DTAG Mit ersten „Massenmarkt“-Zugängen mit IPv6 ist Q3/Q4 2010 zu rechnen Bis dahin gibt‘s kleinere Anbieter wie tal.de, rh-tec.de, KGT, … SpaceNet 

Zusammenfassung Die Aktivierung von IPv6 in einer großen und komplexen Web-Plattform ist keine Hexerei („not rocket science“ ) IPv6 kann Schritt-für-Schritt eingeführt werden, mit wenig Aufwand in jedem Schritt und damit auch wenig Schadenspotential Komponenten ohne IPv6-Support kann man oft einfach erstmal ignorieren und bei den nächsten nötigen Upgrades mit erledigen IPv6-Einführung geht ohne Beeinträchtigung der „User Experience“ der IPv4-User

Noch Fragen? Jederzeit gerne an gert@space.net Finis Noch Fragen? Jederzeit gerne an gert@space.net die SpaceNet AG… Internet Service Provider seit 1994 Ihr Partner für komplexe Hosting-Lösungen IPv6-Erfahrung seit 1997 http://www.space.net (natürlich mit IPv6!)