IPv6 Cursus netwerktechnologie

IPv6 Cursus netwerktechnologie Wim.Biemolt@surfnet.nl Utrecht, 29 september 2008 Inhoud - Inleiding - Lab I - Configuratie + show commando s - Pauze - Lab II - Routering - Applicaties 2

Lab - Aanzetten van IPv6 op een host - Aanzetten van IPv6 op een subnet - Statisch, default routing - Netwerk beheer en applicaties Inleiding 4

Overzicht - Wat en waarom IPv6 - Hoe werkt IPv6 - Aansluiten op IPv6 - Wat kun je met IPv6 5 Wat is IPv6? - De basis van het internet: IP - Versie 4-32 bits adressen weergegeven in dotted quad - 195.169.124.100 - Simpel, resilient, schaalbaar, flexibel en uitbreidbaar - Desondanks beperkingen - Een opvolger bleek nodig - Versie 6-128 bits adressen weergegeven in hex digit - 2001:610::800a:195:169:124:100-2001:610:508:109:20e:35ff:fe75:80f5 6

Waarom IPv6? - Meer adressen - Nieuwe gebruikers - China, India - Nieuwe apparaten -PDA - Telefoon (GPRS, UMTS) - Always on -xdsl - FTTH -Kabel 7 Groei http://www.isc.org/ops/ds/ Juli 2008 http://www.cisco.com/en/us/about/ac123/ac147/archived_issues/ipj_8-3/ipv4.html 8

Status IPv4 adres pool 9 Allocatie voorspellingen 10

Allocatie voorspellingen 11 Op = op 12

Smoesjes - Wij hebben genoeg IPv4! - Maar wij hebben NAT! - IP telefonie - Streaming - SURFcert 13 De opvolgers - TUBA - TCP, UDP with Bigger Addresses of - TCP/UDP over CLNP Addressed Networks - CATNIP - Common Architecture for the Internet - SIPP - Simple Internet Protocol Plus - SIP + PIP 14

IPv5? - The Internet STream Protocol - ST - ST II - RFC 1190 - ST2+ - RFC 1819 - real time streaming protocol - Connectie gebaseerd - QoS 15 IPv6! - RFC 1752 (januari 1995) - The Recommendation for the IP Next Generation Protocol - SIPP - 128 bit adres - RFC 1883 (december 1995) - Internet Protocol, Version 6 (IPv6) Specification - RFC 2460 (december 1998) - Internet Protocol, Version 6 (IPv6) Specification 16

De voordelen van IPv6 - Schaalbaarheid - Beveiliging - Real time toepassingen - Plug and Play - Mobility - Heldere en geoptimaliseerde specificaties - Adressering en routering - Uitbreidbaarheid 17 Inzoomen 18

Regelgeving - OMB Memorandum M-05-22 - 30 juni 2008: deadline om te beginnen met IPv6 voor US Federal Government agencies - www.whitehouse.gov/omb/memoranda/fy2005/m05-22.pdf - A profile for IPv6 in the U.S. Government - NIST Special Publication 500-267 - www.antd.nist.gov/usgv6/usgv6-v1-draft2.pdf - Advancing the Internet Action Plan for the deployment of IPv6 in Europe - Volledig geïmplementeerd voor 2010 - http://ec.europa.eu/information_society/policy/ipv6/docs/european_day /communication_final_27052008_en.pdf 19 EU - Afgelopen jaren Opzetten nationale IPv6 taskforces 30 IPv6 R&D projecten - Mei 2008 Action plan deployment IPv6 Europe - Doel Action Plan 2010 25% gebruikers IPv6 connectiviteit zonder functionaliteit verlies

Factsheet EZ Fact sheet EZ ter voorbereiding van de EU raadsvergadering 12-13 Juni 2008 - De Commissie gaat de 100 meest vooraanstaande Europese website-exploitanten, zoals televisieomroepen en online-nieuwsdiensten, aansporen zich vóór eind 2008 ertoe te verbinden IPv6 te gebruiken. - De eigen Europa.eu-website van de Commissie zal tegen 2010 IPv6-toegankelijk zijn. - De Commissie subsidieert al diverse R&D projecten op het gebied van IPv6- applicaties (7de kaderprogramma, etc.), en ondersteunt bewustwording (Europese IPv6 TaskForce) Factsheet EZ Waartoe de Commissie de lidstaten oproept: - De lidstaten worden aangespoord het bedrijfsleven van het belang van de overstap te overtuigen en hen bij die overstap te helpen. - De Europese overheidssectoren worden aangespoord het voortouw te nemen bij de uitrol van IPv6, door hun eigen netwerken, websites en egovernment-diensten naar IPv6 te migreren. - Om de Europese IT-sector aan te moedigen het nieuwe protocol in te voeren, zouden de lidstaten IPv6 compatibiliteit als voorwaarde moeten stellen bij overheidsaankopen (zoals de Europese Commissie en de Amerikaanse overheid al hebben gedaan).

Nationale IPv6 taskforce - Tot nu toe - Summit in 2006 - Voorlichting via de media - Op dit moment - IPv6 wedstrijd IPv6 binnen SURFnet - De SURFnet backbone is IPv6 enabled - IPv4 en IPv6 samen op dezelfde apparatuur - SURFnet heeft een IPv6 allocatie van RIPE - 2001::610/32 - Sommige instellingen hebben al een /48 toegekend gekregen. - Wereldwijd verbonden met andere dual-stack (academische) netwerken - Menig SURFnet dienst ondersteunt IPv6, e.g. - De DNS servers van SURFnet - De www.surfnet.nl web site

Universiteiten met IPv6 - Radboud Universiteit - Rijksuniversiteit Groningen - TU Delft - TU Eindhoven - Universiteit Twente - Universiteit van Amsterdam - Universiteit van Tilburg - Vrije Universiteit Universiteiten en IPv6

IPv6 details 27 Header: IPv4 versus IPv6 Ver. Hdr Type of Len Service Total Length Identification Flg Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Ver. Traffic Class Payload Length Flow Label Next Header Source Address Hop Limit Options... Destination Address 28

IPv6 extension header Ver. Traffic Class Payload Length Flow Label Next Header Hop Limit Next Header (Length) Extension header data Source Address Destination Address type 0 Hop-by-hop options 6 TCP 17 UDP 43 Routing header 44 Fragment header 58 ICMPv6 59 No next header 60 Destination options 29 ICMPv6 Ver. Traffic Class Payload Length Flow Label Next Header Hop Limit type code ICMPv6 data checksum 30 Source Address Destination Address type beschrijving 0-4 Error messages 128-129 Information messages 130-132 MLD 133-137 Neighbor discovery 138 Router renumbering 139-140 Node information 141-142 Inverse neighbor discovery 143 MLDv2 144-147 Mobile IPv6 148-149 Secure neighbor discovery

ICMPv6 - Echo request 31 ICMPv6 - Echo reply 32

Adres types unicast: voor een-op-een communicatie multicast: voor een-naar-vele communicatie anycast: voor een-naar-nabij communicatie U M M M A A A 33 Onderverdeling gereserveerd 1/8 global unicast gereserveerd link-local unicast 1/1024 site-local unicast multicast 34

Onderverdeling prefix Te gebruiken voor ::0/96 Loopback/compatible IPv4 ::ffff:0.0.0.0/96 Mapped IPv4 200::/7 Gereserveerd voor NSAP (RFC1888) 400::/7 Gereserveerd voor IPS 2000::/3 Global unicast (RFC3587) fe80::/10 Link-local unicast fec0::/10 Site-local unicast (RFC3879) fc00::/7 Local IPv6 unicast (voorstel) ff00::/8 multicast 35 Unicast: link local adres 1111111010 0 interface ID 10 bits 54 bits 64 bits fxp0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet 192.87.110.60 netmask 0xffffff80 broadcast 192.87.110.127 inet6 fe80::2a0:c9ff:fedd:67e7%fxp0 prefixlen 64 scopeid 0x2 inet6 2001:610:508:110:192:87:110:60 prefixlen 64 ether 00:a0:c9:dd:67:e7 media: Ethernet 100baseTX <full-duplex> status: active 36

EUI-64 ether 00:a0:c9:dd:67:e7 00 a0 c9 dd 67 e7 02 a0 c9 dd 67 e7 02 a0 c9 ff fe dd 67 e7 inet6 fe80::2a0:c9ff:fedd:67e7%fxp0 37 Multicast adres 11111111 flags scope group ID 8 4 4 112 bits scope waarde well-known transient reserved 0 ff00::/16 ff00::/16 node-local 1 ff01::/16 ff01::/16 link-local 3 ff03::/16 ff03::/16 site-local 5 ff05::/16 ff05::/16 organizational-local 8 ff08::/16 ff08::/16 global E ff0e::/16 ff0e::/16 reserved F ff0f::/16 ff0f::/16 38

Gereserveerde multicast adressen address ff01::1 ff01::2 ff02::1 ff02::2 ff02::1:ffxx:xxxx ff05::2 function All nodes within node-local scope All routers within node-local scope All nodes on the local link All routers on the local link Solicited node multicast address All routers in the site 39 Unicast: globaal adres 001 globale routing prefix publieke topologie (45 bits) subnet site topologie (16 bits) interface ID interface identifier (64 bits) fxp0: flags=8843<up,broadcast,running,simplex,multicast> mtu 1500 inet 192.87.110.60 netmask 0xffffff80 broadcast 192.87.110.127 inet6 fe80::2a0:c9ff:fedd:67e7%fxp0 prefixlen 64 scopeid 0x2 inet6 2001:610:508:110:192:87:110:60 prefixlen 64 ether 00:a0:c9:dd:67:e7 media: Ethernet 100baseTX <full-duplex> 40 status: active

Adres management - Verschillende mogelijkheden: - Managed adres allocatie ( Stateful ) - Gebruikt DHCPv6 - Auto-configuration ( Stateless ) - Stateless Address Auto-configuration - zie RFC2462 - Router adverteert 64-bit netwerk prefix - Interface Identifiers automatisch gegenereerd uit het MAC adres - Handmatige adres configuratie - Minste voorkeur, maar mogelijk, en maakt het gebruik van well-known adressen voor diensten, etc. mogelijk Stateful - DHCP is wijd verbreid - Voor IPv6 - DHCPv6 (RFC 3315) - Implementaties -ISC -IOS - DHCPv6 mogelijk toch ook nodig in combinatie met stateless autoconfiguration - Stateless Address Auto-configuration levert geen DNS resolver adres - Zoek naar oplossingen die zowel met IPv4 en IPv6 overweg kunnen

Stateless - Hosts verbonden met een netwerk kunnen de volgende informatie automatisch verkrijgen: - 64-bit netwerk prefix(en) - Het adres van de router - Een globaal IPv6 adres - PMTU van de link - Voorkeur en valide geldigheid van prefixen - Middels de router die Router Advertisements (RAs) versteurt, periodiek of in antwoord op Router Solicitations verzonden door de host (bijvoorbeeld tijdens het booten) - RAs worden meestal verzonden via multicast naar het all-hosts adres van de link Communicatie via de link - Voor basis on-link communicatie moeten we weten hoe een IPv6 node een on-link neighbour s link layer adres kan bepalen - In IPv4 gebruiken we daarvoor ARP - Alleen heeft IPv6 geen broadcast - Voor IPv6 gebruiken we Neighbour Discovery (ND) features

Neighbour Discovery (ND) - ND (RFC2461) is op ICMPv6-gebaseerd en gebruikt: - Neighbour Solicitations - om informatie te verkrijgen - Neighbour Advertisements - om informatie aan te bieden - Router Advertisements en Solicitations zijn onderdeel van het Neighbour Discovery proces Meer over ND - Andere vergelijkbare IPv4 functionaliteit is ook beschikbaar binnen ND, bijvoorbeeld redirects - Om een host te informeren over het bestaan van een beter gateway - Nodes houden een ND cache bij, vergelijkbaar met de ARP cache - De cache voorziet een node van de bereikbaarheid status - Het gebruik van ICMP is mediaonafhankelijker dan ARP en maakt IP beveiliging mechanismes mogelijk - secured (authenticated) Router Advertisements, zoals gespecificeerd in SEND, RFC 3971

Neighbor Solicitation A B ICMP Type = 135 src = IPv6 address A of :: dst = solicited-node address B 47 Router Advertisement A B ICMP Type = 134 src = router link-local IPv6 address dst = All-nodes multicast address 48

Router Solicitation A B ICMP Type = 133 src = unspecified address dst = all-routers multicast address 49 Duplicate Address Detection (DAD) - Twee IPv6 nodes niet hetzelfde IPv6 adres gebruiken - Toegepast bij stateless auto-configuration of bij DHCPv6 - Uit RFC2462 - Een node verkrijgt een mogelijk adres - Join - de all nodes multicast groep ff02::1 - het solicited node multicast adres van het mogelijke adres ff02:0:0:0:1:ff00:<laagste 24 bits> - Verzend een neighbour solicitation via dit adres vanaf het adres :: - De node mag er vanuit gaan dat het adres beschikbaar is wanneer er geen neighbour advertisement antwoord wordt waargenomen via ff02::1

IPv6-specifiek - Cryptografisch gegenereerde adressen - Hash crypto data in het adres host deel - Geen ruimte om dit te doen binnen IPv4 adres - Privacy adres - RFC3041: willekeurig host deel van een adres - Port scanning - 2^64 hosts is teveel om een enkele subnet te kunnen scannen - In IPv4 een node per seconde is 5 minuten - 256 adressen - In IPv6 een hele /64 vergt dan 500 miljard jaar - (2^64 is een zeer groot getal!) - Zie ook RFC 5157 IPv6 Privacy extensions - Vastgelegd in RFC3041 - Verondersteld privacy issue met gebruik van het MAC adres binnen een auto-configured IPv6 adres - Wanneer een device wordt verplaatst tussen netwerken, verandert de prefix wel maar de host identifier blijft dezelfde - Dit betekend dan een device getraceerd zou kunnen worden via de laatste 64 bits - Privacy extensies introduceren een willekeurige host identifier - Gebruikt door een node wanneer een uitgaande verbinding wordt opgezet - Geen bescherming tegen o.a. browser cookies - Voegt wel complexiteit toe

Sniffen - Standaard tools om netwerk verkeer te bekijken - tcpdump - Ethereal - Beide ondersteunen IPv6 packet analyse - Opmerking: IPv6 heeft Ethernet type 0x86dd Path MTU discovery 1500 1500 1400 1300 1 MTU = 1500 ICMP error: packet too big gebruik MTU =1400 2 MTU = 1400 ICMP error: packet too big gebruik MTU =1300 54 3 MTU = 1300 Ontvangen

Aansluiten 55 Native aansluiting klant SURFnet IPv4/IPv6 IPv4/IPv6 IPv4/IPv6 - Nodig - IPv6 geschikte router - Cisco - Juniper - IPv6 support upstream - SURFnet - IPv6 adres aanvraag - 2001:610::/32 inet6num: 2001:0610::/32 netname: NL-SURFNET-19990819 descr: SURFnet Sub-TLA block % Information related to '2001:610::/32AS1103' 56 06-06-06 route6: 2001:610::/32 descr: SURFnet IPv6 block origin: AS1103

Router configuratie (Cisco)! interface GigabitEthernet0/0 description *** SURFnet *** ip address 145.145.16.210 255.255.255.248 ip verify unicast reverse-path no ip proxy-arp ip route-cache flow duplex full speed 1000 media-type gbic negotiation auto ipv6 address 2001:610:1:6020::22/64 no cdp enable!! interface FastEthernet2/1 description *** LAN *** ip address 192.42.113.1 255.255.255.0 no ip proxy-arp duplex full ipv6 address 2001:610:510:0:192:42:113:1/64 no cdp enable! 57 OS ondersteuning - Windows XP, Windows Server 2003, Windows Server 2008 - Macintosh: Mac OS X versie 10.2 - Linux - Red Hat, SuSE, Debian - Solaris versie 8 - AIX versie 4.3.3 - Tru64 versie 5.1 - FreeBSD (BSDi, NetBSD en OpenBSD) 58

6to4 6to4 router - Automatisch tunnelen - Niet nodig - IPv6 support upstream - IPv6 adres aanvraag - 2002::/16 - Wel nodig - Globaal IPv4 adres - Bereikbaar over protocol 41 relay router 59 6to4 - SurfSnel ADSL 60

6to4 SurfSnel ADSL 61 tunnelbroker broker IPv4 IPv6 - Semi automatische tunnelen - Niet nodig - IPv6 support upstream - IPv6 adres aanvraag - Wel nodig - Globaal IPv4 adres - Bereikbaar over protocol 41 - Hexago - www.sixxs.net 62

www.sixxs.net 63 www.surfkit.nl/tunnelbroker.html 64

Teredo - Host-to-host tunnel - IPv6 encapsulatie in UDP - Werkt samen met NAT - Gebruikt een speciaal adres schema - Beschikbaar voor o.a. Windows (XP, Vista) en Linux - RFC 4380 65 Microsoft Windows Version IPv6 (default) Teredo (default) XP no no 2003 no no Vista yes yes 2008 yes no 66

Lab I 67 Windows XP SP3 - Bekijk huidige setup zonder IPv6 - Start Ethereal - Activeer IPv6 op het interface - Bekijk interfaces, routes - Ping6 - all-nodes multicast - Bekijk de Ethereal resultaten - ping6 - only.ipv6.surfnet.nl, ipv6.google.com - tracert6 - only.ipv6.surfnet.nl, ipv6.google.com - Browser (IE, firefox) - only.ipv6.surfnet.nl, ipv6.google.com

Transitie planning - Nodig? - Stel IPv6 als eis voor nieuwe spullen - Inventarisatie bestaande hardware en software - Regel IPv6 connectiviteit - Training 69 Test netwerk - Verkrijg IPv6 prefix - Configureer router - Native - Tunnel - Aansluiten host - Configureer OS - Configureer diensten 70

Advies - Maak een planning - Tijdsbestek circa 2 jaar - Test IPv6 - Opleiden medewerkers - Benoem een projectleider Houd rekening met IPv6 bij: - Upgrade/aanschaf soft- en hardware - Vaststellen beveiliging policy - Opzetten nieuwe diensten 71 UWDC 2008 Transitie - Dual stack - Tunnels - Proxy 72

IPv6 versus IPv4 - Als beide worden ondersteunt - IPv6 heeft meestal voorkeur 73 Gebruik 74

Zomaar een klant 75 NAT (RFC1918) & multicast 76

IPv6: Flows en Packets 77 IPv6: Ports 78

Applicaties en Diensten 79 Diensten - DNS - BIND 8.4, BIND 9, NSD, Microsoft DNS - NTP - NTP 4.2 - FTP - WWW - apache 2, IIS - NNTP - INN 2.4.x, Diablo 5.0 - SMTP - sendmail, postfix (patch), qmail (patch), exim 80

DNS - Een van de eerst noodzakelijke diensten - support - transport - AAAA - forward - ip6.arpa - reverse 81 AAAA records - Werkt vergelijkbaar met A records - Maakt IPv6 adressen mogelijk - Kan samen bestaan met A records - Aanbeveling - Gebruik specifieke host namen voor IPv4 en IPv6 naast de generieke naam 82

Reverse DNS - Origineel ipv6.int (RFC1886) - Beëindigen support per Juli 2006 - Nu ip6.arpa - Gebruik nibble in plaats van bites 83 Query types

A-records AAAA-records

A6-records IPv6 Applications

IPv6 Applications http://ipv6proxy.showcase.surfnet.nl/ Beveiliging 90

IPv6 security - Valide blokken - 2001::/16-2002::/16-2003::/16 - Weg filteren - 2001:db8::/32 (voorbeeld reeks) 91 ICMPv6 filtering - Echo request/reply: optioneel - No route: toestaan - TTL exceeded: toestaan - Prameter problem: toestaan - NS/NA: niet doorgeven - RS/RA: niet doorgeven - Packet too big: toestaan 92

Extension header filtering - Hop-by-Hop - Nodig voor jumbograms, multicast, router alerts - Mogelijk filteren - Routing header - Filter type 0 - ESP/AH - Toestaan - Fragments - Toestaan (voor fragmenten > 1280 bytes) 93 Literatuur 94

Boek Paperback 400 pages (March 11, 2005) Publisher: O'Reilly ISBN: 0596009348 - Part I. The Character of IPv6-1. The Unforeseen Limitations of IPv4-2. The (Un)foreseen Successes of IPv4-3. Describing IPv6 - Part II. Deploying IPv6-4. Planning - 5. Installation and Configuration - 6. Operations - 7. Services - 8. Programming - 9. The Future 95 Meer boeken Paperback 250 pages (March 1997) Publisher: Prentice Hall ISBN: 0138505055 Paperback 350 pages (December 2002) Publisher: Microsoft Press,U.S. ISBN: 0735612455 Paperback 360 pages (August 6, 2002) Publisher: O'Reilly ISBN: 0596001258 Paperback 400 pages (November 23, 2005) Publisher: APress,US ISBN: 1590595270 Hardcover 550 pages (January 31, 2006) Publisher: Cisco Press ISBN: 1587052105 96

Conclusie 97 Conclusie - IPv6 is voor het grootste deel af - Gereed om IPv4 te vervangen - We kunnen ons ontdoen van NAT et al - SURFnet is er klaar voor - Er blijft nog wel wat te doen - Geen reden om maar af te wachten - Voor straks - Hou rekening met IPv6 - Begin alvast! Doen! 98

99 Vragen?