5-12-2014 1 IP versie 6 aan de RuG Mente H. Heemstra
5-12-2014 2 Wat is de RuG? Waarom IP versie 6 (IPv6)? Korte geschiedenis Implementatie Routering Client netwerken DHCP/DNS Monitoring Caveats IPv6 multicast Algemene beschouwingen Agenda
5-12-2014 3 Wat is de RuG? Rijksuniversiteit Groningen 8000 medewerkers 30.000 studenten Metropolitan Area Network (diameter van 5 km) ~ 20.000 netwerkaansluitingen CIT 150 medewerkers Verantwoordelijk voor ICT voorzieningen
5-12-2014 4 RUGnet core 2 maal MX-960 van Juniper (Routers, Core) 100 Gbps uplink naar SURFnet (onafhankelijk) 2 maal EX-4550 van Juniper (Centrum Groningen) 4 maal 40 Gbps aan MX-en (2 MC-LAGs) 4 maal IBM 8264 (2 DC Zernike complex) Nu 8 maal 40 Gbps (4 MC-LAGs) 2 maal EX-9208 van Juniper (nieuw DC DUO) 2 maal 100 Gbps (MC-LAG)
5-12-2014 5
5-12-2014 6 Waarom IP versie 6? IPv4 raakte op en NAT/PAT werd geïntroduceerd RFC 1631 (Mei 1994, obsoleted by RFC 3022, Januari 2001) In 1995 trok SURFnet (Erik Huizer) aan de bel IPng, TUBA Uiteindelijk was daar IPv6 RFC 2460 (December 1998) Steve Deering (Cisco) Robert Hinden (Nokia) En toen werd het stil Maaaarrrrr Bill zat niet stil Sinds 2009 weer een beetje meer aandacht 2012 IPv6 launch day
5-12-2014 7 Wij zijn een universiteit Waarom IP versie 6? Als het komt, willen wij er klaar voor zijn Kennis opbouwen: onbekend is gevaarlijk! Inmiddels is IPv4 echt op, maar helaas slechts op centraal registry niveau Zolang IPv6 nog op een laag pitje staat, blijft de situatie dat de v6 gebruiker zijn eigen problemen moet oplossen: streven naar minimaal 50 % Over heel SURFnet 1% van het verkeer IPv6
5-12-2014 8 IPv6 rollout http://www.worldipv6launch.org/measurements/
5-12-2014 9 Korte geschiedenis Plannen sinds eind jaren 90 Geen producten 2005: 1 e publieke versie voor Catalyst 6509 Koppeling met SURFnet (2001:610:1a08::/48) SURFnet (en BGP) waren er klaar voor Daarna routering intern (core) Eén test access netwerk (basic) GEEN DHCP relay!
5-12-2014 10 Implementatie Schaalbaarheid Beheer(s)baarheid Controleerbaarheid (SURFnet)
5-12-2014 11 Routering 2005 Routering met SURFnet op basis van BGP Routering intern op basis van IS-IS Schaalbaar CLNS/CLNP! 2009 Nieuw IOS image Interne routering naar EIGRP voor IPv6 DHCP Relay
5-12-2014 12 Client netwerken 2005: Adresuitgifte automatisch Maar ja, wie deden er IPv6? Windows XP SP1 2010: Adresuitgifte obv DHCP voor IPv6 Sinds 1 januari 2010 900 studenten
5-12-2014 13 Nummerplan Logische netwerken op basis van VLANs Derhalve: Nummerplan op basis van VLANs 2001:610:1A08:<VLAN nummer>::/64 1 t/m 15 vrij voor netwerkinfra DHCP uitgifte in blokken
5-12-2014 14 DHCP/DNS BIND9 deed al AAAA DHCP voor IPv6 ingericht Voorheen DUID ipv MAC adres! Nu ook DUID 00010001.. DNS toegang ook via native IPv6 Meeste DNS gewoon IPv4, maar leveren IPv6 informatie Under ongoing investigation: toegang tot de resolvers is een stuk strikter geworden DNSSec?
5-12-2014 15 Monitoring NDP monitoring ( ARP watch ) DHCP monitoring
5-12-2014 16 Caveats Rogue routers Rogue DHCP Tunnels 6to4 Teredo Isatap Tunnel brokers (~ 100.000 per dag) (~ 35.000 per dag) (enkele tientallen) (onbekend )
5-12-2014 17 Rogue routers Iedereen mag zich adverteren Geen maatregelen (router guard) Noodoplossing op laag 2 Filter inkomend 3333.0000.0001 (FFo2::1) Of intelligenter ICMPv6 type 134 (RA) Filter uitgaand 3333.0000.0002 (FF02::2) Of intelligenter ICMPv6 type 133 (RS)
5-12-2014 18 Rogue DHCP servers Zelfde verhaal: iedereen mag het doen Geen maatregelen (DHCP guard) Noodoplossing op laag 2 Filter uitgaand 3333.0001.0002 (FF02::1:2) Of intelligenter DHCPv6 solicit (UDP 546->547)
5-12-2014 19 Tunnels Op zich geen probleem, zolang iedereen zich aan de regels houdt Met name Teredo is een probleem Passeert zonder problemen de meeste firewalls en biedt vervolgens een open (!) verbinding met het Internet via IPv6 Beste policy: Native IPv6 = GEEN tunnels VPN tunnels (natuurlijk) uitgesloten
5-12-2014 20 5 sterren! DNS servers via IPv6 DNS functioneert IPv6 only AAAA MX records (SURFnet!) rug.nl heeft een AAAA record www.rug.nl heeft een AAAA record
5-12-2014 21 Verkeer Toen wij nog FLITS/HINT hadden: 2 Momenteel: 1 (1 GB/dag tegen 1 TB/dag) Voornamelijk: Ssl Smtp Google mail (1% van het mail verkeer IPv6) DNS (waarbij 12% van het verkeer IPv6 is!)
5-12-2014 22 Implementatie en noodzaak Voornoemde cijfers gebaseerd op: KVI (volledige IPv6 implementatie) CIT (enkele tientallen stations) DNS dienst volledig Dual-Stack Webservice volledig Dual-Stack Binnenkort verder na migratie naar nieuwe platform
5-12-2014 23 Vragen? Bedankt voor uw aandacht!