IPv6 Cursus netwerktechnologie

Transcriptie

1 IPv6 Cursus netwerktechnologie Utrecht, 29 september 2008 Inhoud - Inleiding - Lab I - Configuratie + show commando s - Pauze - Lab II - Routering - Applicaties 2

2 Lab - Aanzetten van IPv6 op een host - Aanzetten van IPv6 op een subnet - Statisch, default routing - Netwerk beheer en applicaties Inleiding 4

3 Overzicht - Wat en waarom IPv6 - Hoe werkt IPv6 - Aansluiten op IPv6 - Wat kun je met IPv6 5 Wat is IPv6? - De basis van het internet: IP - Versie 4-32 bits adressen weergegeven in dotted quad Simpel, resilient, schaalbaar, flexibel en uitbreidbaar - Desondanks beperkingen - Een opvolger bleek nodig - Versie bits adressen weergegeven in hex digit :610::800a:195:169:124: :610:508:109:20e:35ff:fe75:80f5 6

4 Waarom IPv6? - Meer adressen - Nieuwe gebruikers - China, India - Nieuwe apparaten -PDA - Telefoon (GPRS, UMTS) - Always on -xdsl - FTTH -Kabel 7 Groei Juli

5 Status IPv4 adres pool 9 Allocatie voorspellingen 10

6 Allocatie voorspellingen 11 Op = op 12

7 Smoesjes - Wij hebben genoeg IPv4! - Maar wij hebben NAT! - IP telefonie - Streaming - SURFcert 13 De opvolgers - TUBA - TCP, UDP with Bigger Addresses of - TCP/UDP over CLNP Addressed Networks - CATNIP - Common Architecture for the Internet - SIPP - Simple Internet Protocol Plus - SIP + PIP 14

8 IPv5? - The Internet STream Protocol - ST - ST II - RFC ST2+ - RFC real time streaming protocol - Connectie gebaseerd - QoS 15 IPv6! - RFC 1752 (januari 1995) - The Recommendation for the IP Next Generation Protocol - SIPP bit adres - RFC 1883 (december 1995) - Internet Protocol, Version 6 (IPv6) Specification - RFC 2460 (december 1998) - Internet Protocol, Version 6 (IPv6) Specification 16

9 De voordelen van IPv6 - Schaalbaarheid - Beveiliging - Real time toepassingen - Plug and Play - Mobility - Heldere en geoptimaliseerde specificaties - Adressering en routering - Uitbreidbaarheid 17 Inzoomen 18

10 Regelgeving - OMB Memorandum M juni 2008: deadline om te beginnen met IPv6 voor US Federal Government agencies A profile for IPv6 in the U.S. Government - NIST Special Publication Advancing the Internet Action Plan for the deployment of IPv6 in Europe - Volledig geïmplementeerd voor /communication_final_ _en.pdf 19 EU - Afgelopen jaren Opzetten nationale IPv6 taskforces 30 IPv6 R&D projecten - Mei 2008 Action plan deployment IPv6 Europe - Doel Action Plan % gebruikers IPv6 connectiviteit zonder functionaliteit verlies

11 Factsheet EZ Fact sheet EZ ter voorbereiding van de EU raadsvergadering Juni De Commissie gaat de 100 meest vooraanstaande Europese website-exploitanten, zoals televisieomroepen en online-nieuwsdiensten, aansporen zich vóór eind 2008 ertoe te verbinden IPv6 te gebruiken. - De eigen Europa.eu-website van de Commissie zal tegen 2010 IPv6-toegankelijk zijn. - De Commissie subsidieert al diverse R&D projecten op het gebied van IPv6- applicaties (7de kaderprogramma, etc.), en ondersteunt bewustwording (Europese IPv6 TaskForce) Factsheet EZ Waartoe de Commissie de lidstaten oproept: - De lidstaten worden aangespoord het bedrijfsleven van het belang van de overstap te overtuigen en hen bij die overstap te helpen. - De Europese overheidssectoren worden aangespoord het voortouw te nemen bij de uitrol van IPv6, door hun eigen netwerken, websites en egovernment-diensten naar IPv6 te migreren. - Om de Europese IT-sector aan te moedigen het nieuwe protocol in te voeren, zouden de lidstaten IPv6 compatibiliteit als voorwaarde moeten stellen bij overheidsaankopen (zoals de Europese Commissie en de Amerikaanse overheid al hebben gedaan).

12 Nationale IPv6 taskforce - Tot nu toe - Summit in Voorlichting via de media - Op dit moment - IPv6 wedstrijd IPv6 binnen SURFnet - De SURFnet backbone is IPv6 enabled - IPv4 en IPv6 samen op dezelfde apparatuur - SURFnet heeft een IPv6 allocatie van RIPE ::610/32 - Sommige instellingen hebben al een /48 toegekend gekregen. - Wereldwijd verbonden met andere dual-stack (academische) netwerken - Menig SURFnet dienst ondersteunt IPv6, e.g. - De DNS servers van SURFnet - De web site

13 Universiteiten met IPv6 - Radboud Universiteit - Rijksuniversiteit Groningen - TU Delft - TU Eindhoven - Universiteit Twente - Universiteit van Amsterdam - Universiteit van Tilburg - Vrije Universiteit Universiteiten en IPv6

14 IPv6 details 27 Header: IPv4 versus IPv6 Ver. Hdr Type of Len Service Total Length Identification Flg Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Ver. Traffic Class Payload Length Flow Label Next Header Source Address Hop Limit Options... Destination Address 28

15 IPv6 extension header Ver. Traffic Class Payload Length Flow Label Next Header Hop Limit Next Header (Length) Extension header data Source Address Destination Address type 0 Hop-by-hop options 6 TCP 17 UDP 43 Routing header 44 Fragment header 58 ICMPv6 59 No next header 60 Destination options 29 ICMPv6 Ver. Traffic Class Payload Length Flow Label Next Header Hop Limit type code ICMPv6 data checksum 30 Source Address Destination Address type beschrijving 0-4 Error messages Information messages MLD Neighbor discovery 138 Router renumbering Node information Inverse neighbor discovery 143 MLDv Mobile IPv Secure neighbor discovery

16 ICMPv6 - Echo request 31 ICMPv6 - Echo reply 32

17 Adres types unicast: voor een-op-een communicatie multicast: voor een-naar-vele communicatie anycast: voor een-naar-nabij communicatie U M M M A A A 33 Onderverdeling gereserveerd 1/8 global unicast gereserveerd link-local unicast 1/1024 site-local unicast multicast 34

18 Onderverdeling prefix Te gebruiken voor ::0/96 Loopback/compatible IPv4 ::ffff: /96 Mapped IPv4 200::/7 Gereserveerd voor NSAP (RFC1888) 400::/7 Gereserveerd voor IPS 2000::/3 Global unicast (RFC3587) fe80::/10 Link-local unicast fec0::/10 Site-local unicast (RFC3879) fc00::/7 Local IPv6 unicast (voorstel) ff00::/8 multicast 35 Unicast: link local adres interface ID 10 bits 54 bits 64 bits fxp0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet netmask 0xffffff80 broadcast inet6 fe80::2a0:c9ff:fedd:67e7%fxp0 prefixlen 64 scopeid 0x2 inet6 2001:610:508:110:192:87:110:60 prefixlen 64 ether 00:a0:c9:dd:67:e7 media: Ethernet 100baseTX <full-duplex> status: active 36

19 EUI-64 ether 00:a0:c9:dd:67:e7 00 a0 c9 dd 67 e7 02 a0 c9 dd 67 e7 02 a0 c9 ff fe dd 67 e7 inet6 fe80::2a0:c9ff:fedd:67e7%fxp0 37 Multicast adres flags scope group ID bits scope waarde well-known transient reserved 0 ff00::/16 ff00::/16 node-local 1 ff01::/16 ff01::/16 link-local 3 ff03::/16 ff03::/16 site-local 5 ff05::/16 ff05::/16 organizational-local 8 ff08::/16 ff08::/16 global E ff0e::/16 ff0e::/16 reserved F ff0f::/16 ff0f::/16 38

20 Gereserveerde multicast adressen address ff01::1 ff01::2 ff02::1 ff02::2 ff02::1:ffxx:xxxx ff05::2 function All nodes within node-local scope All routers within node-local scope All nodes on the local link All routers on the local link Solicited node multicast address All routers in the site 39 Unicast: globaal adres 001 globale routing prefix publieke topologie (45 bits) subnet site topologie (16 bits) interface ID interface identifier (64 bits) fxp0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet netmask 0xffffff80 broadcast inet6 fe80::2a0:c9ff:fedd:67e7%fxp0 prefixlen 64 scopeid 0x2 inet6 2001:610:508:110:192:87:110:60 prefixlen 64 ether 00:a0:c9:dd:67:e7 media: Ethernet 100baseTX <full-duplex> 40 status: active

21 Adres management - Verschillende mogelijkheden: - Managed adres allocatie ( Stateful ) - Gebruikt DHCPv6 - Auto-configuration ( Stateless ) - Stateless Address Auto-configuration - zie RFC Router adverteert 64-bit netwerk prefix - Interface Identifiers automatisch gegenereerd uit het MAC adres - Handmatige adres configuratie - Minste voorkeur, maar mogelijk, en maakt het gebruik van well-known adressen voor diensten, etc. mogelijk Stateful - DHCP is wijd verbreid - Voor IPv6 - DHCPv6 (RFC 3315) - Implementaties -ISC -IOS - DHCPv6 mogelijk toch ook nodig in combinatie met stateless autoconfiguration - Stateless Address Auto-configuration levert geen DNS resolver adres - Zoek naar oplossingen die zowel met IPv4 en IPv6 overweg kunnen

22 Stateless - Hosts verbonden met een netwerk kunnen de volgende informatie automatisch verkrijgen: - 64-bit netwerk prefix(en) - Het adres van de router - Een globaal IPv6 adres - PMTU van de link - Voorkeur en valide geldigheid van prefixen - Middels de router die Router Advertisements (RAs) versteurt, periodiek of in antwoord op Router Solicitations verzonden door de host (bijvoorbeeld tijdens het booten) - RAs worden meestal verzonden via multicast naar het all-hosts adres van de link Communicatie via de link - Voor basis on-link communicatie moeten we weten hoe een IPv6 node een on-link neighbour s link layer adres kan bepalen - In IPv4 gebruiken we daarvoor ARP - Alleen heeft IPv6 geen broadcast - Voor IPv6 gebruiken we Neighbour Discovery (ND) features

23 Neighbour Discovery (ND) - ND (RFC2461) is op ICMPv6-gebaseerd en gebruikt: - Neighbour Solicitations - om informatie te verkrijgen - Neighbour Advertisements - om informatie aan te bieden - Router Advertisements en Solicitations zijn onderdeel van het Neighbour Discovery proces Meer over ND - Andere vergelijkbare IPv4 functionaliteit is ook beschikbaar binnen ND, bijvoorbeeld redirects - Om een host te informeren over het bestaan van een beter gateway - Nodes houden een ND cache bij, vergelijkbaar met de ARP cache - De cache voorziet een node van de bereikbaarheid status - Het gebruik van ICMP is mediaonafhankelijker dan ARP en maakt IP beveiliging mechanismes mogelijk - secured (authenticated) Router Advertisements, zoals gespecificeerd in SEND, RFC 3971

24 Neighbor Solicitation A B ICMP Type = 135 src = IPv6 address A of :: dst = solicited-node address B 47 Router Advertisement A B ICMP Type = 134 src = router link-local IPv6 address dst = All-nodes multicast address 48

25 Router Solicitation A B ICMP Type = 133 src = unspecified address dst = all-routers multicast address 49 Duplicate Address Detection (DAD) - Twee IPv6 nodes niet hetzelfde IPv6 adres gebruiken - Toegepast bij stateless auto-configuration of bij DHCPv6 - Uit RFC Een node verkrijgt een mogelijk adres - Join - de all nodes multicast groep ff02::1 - het solicited node multicast adres van het mogelijke adres ff02:0:0:0:1:ff00:<laagste 24 bits> - Verzend een neighbour solicitation via dit adres vanaf het adres :: - De node mag er vanuit gaan dat het adres beschikbaar is wanneer er geen neighbour advertisement antwoord wordt waargenomen via ff02::1

26 IPv6-specifiek - Cryptografisch gegenereerde adressen - Hash crypto data in het adres host deel - Geen ruimte om dit te doen binnen IPv4 adres - Privacy adres - RFC3041: willekeurig host deel van een adres - Port scanning - 2^64 hosts is teveel om een enkele subnet te kunnen scannen - In IPv4 een node per seconde is 5 minuten adressen - In IPv6 een hele /64 vergt dan 500 miljard jaar - (2^64 is een zeer groot getal!) - Zie ook RFC 5157 IPv6 Privacy extensions - Vastgelegd in RFC Verondersteld privacy issue met gebruik van het MAC adres binnen een auto-configured IPv6 adres - Wanneer een device wordt verplaatst tussen netwerken, verandert de prefix wel maar de host identifier blijft dezelfde - Dit betekend dan een device getraceerd zou kunnen worden via de laatste 64 bits - Privacy extensies introduceren een willekeurige host identifier - Gebruikt door een node wanneer een uitgaande verbinding wordt opgezet - Geen bescherming tegen o.a. browser cookies - Voegt wel complexiteit toe

27 Sniffen - Standaard tools om netwerk verkeer te bekijken - tcpdump - Ethereal - Beide ondersteunen IPv6 packet analyse - Opmerking: IPv6 heeft Ethernet type 0x86dd Path MTU discovery MTU = 1500 ICMP error: packet too big gebruik MTU = MTU = 1400 ICMP error: packet too big gebruik MTU = MTU = 1300 Ontvangen

28 Aansluiten 55 Native aansluiting klant SURFnet IPv4/IPv6 IPv4/IPv6 IPv4/IPv6 - Nodig - IPv6 geschikte router - Cisco - Juniper - IPv6 support upstream - SURFnet - IPv6 adres aanvraag :610::/32 inet6num: 2001:0610::/32 netname: NL-SURFNET descr: SURFnet Sub-TLA block % Information related to '2001:610::/32AS1103' route6: 2001:610::/32 descr: SURFnet IPv6 block origin: AS1103

29 Router configuratie (Cisco)! interface GigabitEthernet0/0 description *** SURFnet *** ip address ip verify unicast reverse-path no ip proxy-arp ip route-cache flow duplex full speed 1000 media-type gbic negotiation auto ipv6 address 2001:610:1:6020::22/64 no cdp enable!! interface FastEthernet2/1 description *** LAN *** ip address no ip proxy-arp duplex full ipv6 address 2001:610:510:0:192:42:113:1/64 no cdp enable! 57 OS ondersteuning - Windows XP, Windows Server 2003, Windows Server Macintosh: Mac OS X versie Linux - Red Hat, SuSE, Debian - Solaris versie 8 - AIX versie Tru64 versie FreeBSD (BSDi, NetBSD en OpenBSD) 58

30 6to4 6to4 router - Automatisch tunnelen - Niet nodig - IPv6 support upstream - IPv6 adres aanvraag ::/16 - Wel nodig - Globaal IPv4 adres - Bereikbaar over protocol 41 relay router 59 6to4 - SurfSnel ADSL 60

31 6to4 SurfSnel ADSL 61 tunnelbroker broker IPv4 IPv6 - Semi automatische tunnelen - Niet nodig - IPv6 support upstream - IPv6 adres aanvraag - Wel nodig - Globaal IPv4 adres - Bereikbaar over protocol 41 - Hexago

32

33 Teredo - Host-to-host tunnel - IPv6 encapsulatie in UDP - Werkt samen met NAT - Gebruikt een speciaal adres schema - Beschikbaar voor o.a. Windows (XP, Vista) en Linux - RFC Microsoft Windows Version IPv6 (default) Teredo (default) XP no no 2003 no no Vista yes yes 2008 yes no 66

34 Lab I 67 Windows XP SP3 - Bekijk huidige setup zonder IPv6 - Start Ethereal - Activeer IPv6 op het interface - Bekijk interfaces, routes - Ping6 - all-nodes multicast - Bekijk de Ethereal resultaten - ping6 - only.ipv6.surfnet.nl, ipv6.google.com - tracert6 - only.ipv6.surfnet.nl, ipv6.google.com - Browser (IE, firefox) - only.ipv6.surfnet.nl, ipv6.google.com

35 Transitie planning - Nodig? - Stel IPv6 als eis voor nieuwe spullen - Inventarisatie bestaande hardware en software - Regel IPv6 connectiviteit - Training 69 Test netwerk - Verkrijg IPv6 prefix - Configureer router - Native - Tunnel - Aansluiten host - Configureer OS - Configureer diensten 70

36 Advies - Maak een planning - Tijdsbestek circa 2 jaar - Test IPv6 - Opleiden medewerkers - Benoem een projectleider Houd rekening met IPv6 bij: - Upgrade/aanschaf soft- en hardware - Vaststellen beveiliging policy - Opzetten nieuwe diensten 71 UWDC 2008 Transitie - Dual stack - Tunnels - Proxy 72

37 IPv6 versus IPv4 - Als beide worden ondersteunt - IPv6 heeft meestal voorkeur 73 Gebruik 74

38 Zomaar een klant 75 NAT (RFC1918) & multicast 76

39 IPv6: Flows en Packets 77 IPv6: Ports 78

40 Applicaties en Diensten 79 Diensten - DNS - BIND 8.4, BIND 9, NSD, Microsoft DNS - NTP - NTP FTP - WWW - apache 2, IIS - NNTP - INN 2.4.x, Diablo SMTP - sendmail, postfix (patch), qmail (patch), exim 80

41 DNS - Een van de eerst noodzakelijke diensten - support - transport - AAAA - forward - ip6.arpa - reverse 81 AAAA records - Werkt vergelijkbaar met A records - Maakt IPv6 adressen mogelijk - Kan samen bestaan met A records - Aanbeveling - Gebruik specifieke host namen voor IPv4 en IPv6 naast de generieke naam 82

42 Reverse DNS - Origineel ipv6.int (RFC1886) - Beëindigen support per Juli Nu ip6.arpa - Gebruik nibble in plaats van bites 83 Query types

43 A-records AAAA-records

44 A6-records IPv6 Applications

45 IPv6 Applications Beveiliging 90

46 IPv6 security - Valide blokken ::/ ::/ ::/16 - Weg filteren :db8::/32 (voorbeeld reeks) 91 ICMPv6 filtering - Echo request/reply: optioneel - No route: toestaan - TTL exceeded: toestaan - Prameter problem: toestaan - NS/NA: niet doorgeven - RS/RA: niet doorgeven - Packet too big: toestaan 92

47 Extension header filtering - Hop-by-Hop - Nodig voor jumbograms, multicast, router alerts - Mogelijk filteren - Routing header - Filter type 0 - ESP/AH - Toestaan - Fragments - Toestaan (voor fragmenten > 1280 bytes) 93 Literatuur 94

48 Boek Paperback 400 pages (March 11, 2005) Publisher: O'Reilly ISBN: Part I. The Character of IPv6-1. The Unforeseen Limitations of IPv4-2. The (Un)foreseen Successes of IPv4-3. Describing IPv6 - Part II. Deploying IPv6-4. Planning - 5. Installation and Configuration - 6. Operations - 7. Services - 8. Programming - 9. The Future 95 Meer boeken Paperback 250 pages (March 1997) Publisher: Prentice Hall ISBN: Paperback 350 pages (December 2002) Publisher: Microsoft Press,U.S. ISBN: Paperback 360 pages (August 6, 2002) Publisher: O'Reilly ISBN: Paperback 400 pages (November 23, 2005) Publisher: APress,US ISBN: Hardcover 550 pages (January 31, 2006) Publisher: Cisco Press ISBN:

49 Conclusie 97 Conclusie - IPv6 is voor het grootste deel af - Gereed om IPv4 te vervangen - We kunnen ons ontdoen van NAT et al - SURFnet is er klaar voor - Er blijft nog wel wat te doen - Geen reden om maar af te wachten - Voor straks - Hou rekening met IPv6 - Begin alvast! Doen! 98

50 99 Vragen?