IP versie 6 aan de RuG

5-12-2014 | 1

IP versie 6 aan de RuG Mente H. Heemstra

5-12-2014 | 2

Agenda › › › ›

› › › ›

Wat is de RuG? Waarom IP versie 6 (IPv6)? Korte geschiedenis Implementatie • Routering • Client netwerken • DHCP/DNS Monitoring Caveats IPv6 multicast Algemene beschouwingen

5-12-2014 | 3

Wat is de RuG? › Rijksuniversiteit Groningen • 8000 medewerkers • 30.000 studenten • Metropolitan Area Network (diameter van 5 km) • ~ 20.000 netwerkaansluitingen › CIT • 150 medewerkers • Verantwoordelijk voor ICT voorzieningen

5-12-2014 | 4

RUGnet core › 2 maal MX-960 van Juniper (Routers, Core) • 100 Gbps uplink naar SURFnet (onafhankelijk) › 2 maal EX-4550 van Juniper (Centrum Groningen) • 4 maal 40 Gbps aan MX-en (2 MC-LAGs) › 4 maal IBM 8264 (2 DC Zernike complex) • Nu 8 maal 40 Gbps (4 MC-LAGs) › 2 maal EX-9208 van Juniper (nieuw DC DUO) • 2 maal 100 Gbps (MC-LAG)

5-12-2014 | 5

5-12-2014 | 6

Waarom IP versie 6? › IPv4 raakte op … › … en NAT/PAT werd geïntroduceerd • RFC 1631 (Mei 1994, obsoleted by RFC 3022, Januari 2001) › In 1995 trok SURFnet (Erik Huizer) aan de bel › IPng, TUBA … › Uiteindelijk was daar IPv6 … • RFC 2460 (December 1998) • Steve Deering (Cisco) • Robert Hinden (Nokia) › En toen werd het stil … › Maaaarrrrr Bill zat niet stil … › Sinds 2009 weer een beetje meer aandacht › 2012 IPv6 launch day

5-12-2014 | 7

Waarom IP versie 6? › › › ›

Wij zijn een universiteit Als het komt, willen wij er klaar voor zijn Kennis opbouwen: onbekend is gevaarlijk! Inmiddels is IPv4 echt op, maar helaas slechts op centraal registry niveau … › Zolang IPv6 nog op een laag pitje staat, blijft de situatie dat de v6 gebruiker zijn eigen problemen moet oplossen: streven naar minimaal 50 % › Over heel SURFnet 1% van het verkeer IPv6

5-12-2014 | 8

IPv6 rollout › http://www.worldipv6launch.org/measurements/

5-12-2014 | 9

Korte geschiedenis › Plannen sinds eind jaren ’90 › Geen producten › 2005: 1e publieke versie voor Catalyst 6509 • Koppeling met SURFnet (2001:610:1a08::/48) SURFnet (en BGP) waren er klaar voor • Daarna routering intern (core) • Eén test access netwerk (basic) • GEEN DHCP relay!

5-12-2014 | 10

Implementatie › Schaalbaarheid › Beheer(s)baarheid › Controleerbaarheid (SURFnet)

5-12-2014 | 11

Routering › 2005 • Routering met SURFnet op basis van BGP • Routering intern op basis van IS-IS • Schaalbaar • CLNS/CLNP! › 2009 • Nieuw IOS image • Interne routering naar EIGRP voor IPv6 • DHCP Relay

5-12-2014 | 12

Client netwerken › 2005: • Adresuitgifte automatisch Maar ja, wie deden er IPv6? Windows XP SP1 … › 2010: • Adresuitgifte obv DHCP voor IPv6 • Sinds 1 januari 2010 900 studenten

5-12-2014 | 13

Nummerplan › Logische netwerken op basis van VLANs › Derhalve: • Nummerplan op basis van VLANs 2001:610:1A08:::/64 • 1 t/m 15 vrij voor netwerkinfra • DHCP uitgifte in blokken

5-12-2014 | 14

DHCP/DNS › BIND9 deed al AAAA › DHCP voor IPv6 ingericht • Voorheen DUID ipv MAC adres! • Nu ook DUID 00010001….. › DNS toegang ook via native IPv6 • Meeste DNS gewoon IPv4, maar leveren IPv6 informatie • Under ongoing investigation: toegang tot de resolvers is een stuk strikter geworden › DNSSec?

5-12-2014 | 15

Monitoring › NDP monitoring (“ARP watch”) › DHCP monitoring

5-12-2014 | 16

Caveats › Rogue routers › Rogue DHCP › Tunnels • 6to4 • Teredo • Isatap • Tunnel brokers

(~ 100.000 per dag) (~ 35.000 per dag) (enkele tientallen) (onbekend …)

5-12-2014 | 17

Rogue routers › Iedereen mag zich adverteren › Geen maatregelen (router guard) › Noodoplossing op laag 2 • Filter inkomend 3333.0000.0001 (FFo2::1) • Of intelligenter ICMPv6 type 134 (RA) • Filter uitgaand 3333.0000.0002 (FF02::2) • Of intelligenter ICMPv6 type 133 (RS)

5-12-2014 | 18

Rogue DHCP servers › Zelfde verhaal: iedereen mag het doen … › Geen maatregelen (DHCP guard) › Noodoplossing op laag 2 • Filter uitgaand 3333.0001.0002 (FF02::1:2) • Of intelligenter DHCPv6 solicit (UDP 546->547)

5-12-2014 | 19

Tunnels › Op zich geen probleem, zolang iedereen zich aan de regels houdt … › Met name Teredo is een probleem • Passeert zonder problemen de meeste firewalls en biedt vervolgens een open (!) verbinding met het Internet via IPv6 › Beste policy: Native IPv6 = GEEN tunnels • VPN tunnels (natuurlijk) uitgesloten

5-12-2014 | 20

5 sterren ! › › › › ›

DNS servers via IPv6 DNS functioneert IPv6 only AAAA MX records (SURFnet!) rug.nl heeft een AAAA record www.rug.nl heeft een AAAA record

5-12-2014 | 21

Verkeer › Toen wij nog FLITS/HINT hadden: 2 ‰ › Momenteel: 1 ‰ (1 GB/dag tegen 1 TB/dag) › Voornamelijk: • Ssl • Smtp • Google mail (1% van het mail verkeer IPv6) • DNS (waarbij 12% van het verkeer IPv6 is!)

5-12-2014 | 22

Implementatie en noodzaak › Voornoemde cijfers gebaseerd op: • KVI (volledige IPv6 implementatie) • CIT (enkele tientallen stations) • DNS dienst volledig Dual-Stack • Webservice volledig Dual-Stack › Binnenkort verder na migratie naar nieuwe platform

5-12-2014 | 23

Vragen? Bedankt voor uw aandacht!