IPv6 Cookbook. Benjamin Margarita

IPv6 Cookbook

Benjamin Margarita

Alle rechten voorbehouden. Niets uit deze uitgave mag worden openbaar gemaakt of verveelvoudigd, opgeslagen in een dataverwerkend systeem of uitgezonden in enige vorm door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van de directeur van NiVo network architects. www.nivo.nl 2/92

©Benjamin Margarita Hogeschool Utrecht 2009

Voorwoord

e

Ons 3 boek … e

Hierbij bieden wij u al weer ons 3 boekje aan. Het boekje is geschreven door Benjamin Margarita die in juni jl. afgestudeerd is op het onderwerp IPv6 aan de Hogeschool Utrecht. Inmiddels is Benjamin Margarita bij NiVo in dienst getreden en hebben wij toestemming gekregen van de Hogeschool Utrecht om zijn onderzoek in de vorm van dit boekje uit te geven Namens alle NiVo-medewerkers veel leesplezier toegewenst! Gerard Niersman Erik Vollers

©Benjamin Margarita Hogeschool Utrecht 2009

www.nivo.nl 3/92

De auteur: Benjamin Margarita In juni 2009 ben ik afgestudeerd aan Hogeschool Utrecht (HU) Faculteit Natuur en Techniek voor de opleiding Elektrotechniek – Telematica met het specialisatieprofiel Communicatie Technologie. Na een periode van ups en downs in mijn opleiding heb ik al mijn theoretische vakken en projecten afgerond. Na al het zoek- en speurwerk naar de juiste afstudeerplek en opdracht ben ik uiteindelijk terecht gekomen bij de Shared Service Centrum ICT (SSC-ICT) afdeling van Hogeschool Utrecht. SSC-ICT wilde een onderzoek starten naar de introductie van IPv6 en de impact daarvan op het netwerk van HU. IPv6 is voor velen onbekend. Daarom leek het mij een interessant onderwerp. Na mijn eerste sollicitatiegesprek heb ik goed nagedacht of ik het al dan of niet wilde doen. Uiteindelijk heb ik besloten de opdracht te aanvaarden en kreeg ik de opdracht met de titel “IPv6 impact analyse voor de HU”. Het resultaat van deze opdracht vind u in dit boekje. Inmiddels heb ik deze opdracht afgerond en ben kort daarna in dienst getreden bij NiVo.

www.nivo.nl 4/92

©Benjamin Margarita Hogeschool Utrecht 2009

Het bedrijf: NiVo network architects is een onafhankelijk adviesbureau op het gebied van de Informatie en Communicatie Technologie en richt zich op de volgende marktpartijen:   

Top 500 ICT eindgebruikers Service providers ICT dienstverleners

Het realiseren van een ICT infrastructuur is voor ons als het bouwen van een huis. Als netwerkarchitecten maken wij niet alleen het ontwerp maar zijn van begin tot eind betrokken bij de realisatie. Wij communiceren daarbij op alle niveaus binnen uw organisatie.

©Benjamin Margarita Hogeschool Utrecht 2009

www.nivo.nl 5/92

Inhoudsopgave 1

Inleiding ............................................................................ 10

2

Probleemstelling ................................................................ 12

3

Opdracht ........................................................................... 19

4

Uitvoering ......................................................................... 20 4.1 IPv6 Stappenplan ....................................................................... 20 4.1.1 Stap 1: Bewustmaking...................................................................... 20 4.1.2 Stap 2: Inventarisatie ....................................................................... 20 4.1.3 Stap 3: Netwerk management tools onderzoek .............................. 20 4.1.4 Stap 4: Software onderzoek ............................................................. 20 4.1.5 Stap 5: IPv6 reeks en adresplan ....................................................... 20 4.1.6 Stap 6: Testomgeving ....................................................................... 21 4.1.7 Stap 7: Productieomgeving .............................................................. 21

5

IPv6 basiskennis................................................................. 22 5.1 De IPv6-prefix .............................................................................. 23 5.2 IPv6 adressering.......................................................................... 24 5.3 DHCPv6 ....................................................................................... 26 5.3.1 Statisch ............................................................................................. 26 5.3.2 Stateless autoconfiguratie. .............................................................. 26 5.3.3 Stateful autoconfiguratie. ................................................................ 29 5.3.4 Domain Name System (DNS) ........................................................... 30

6

Hardware-onderzoek ......................................................... 31

7

IPv6 ondersteuning in OS ................................................... 37 7.1 Windows ...................................................................................... 37 7.1.1 Windows XP Windows Server 2003 ................................................. 37 7.1.2 Windows Vista en Windows Server 2008 ........................................ 39 7.2 MAC OS ...................................................................................... 40 7.3 FreeBSD ...................................................................................... 41 7.4 Linux ............................................................................................ 42 7.4.1 DHCPv6 ondersteuning .................................................................... 42 7.5 Beveiligingprobleem .................................................................... 42 7.6 Conclusie ..................................................................................... 43

www.nivo.nl 6/92

©Benjamin Margarita Hogeschool Utrecht 2009

8

Impact netwerktools .......................................................... 44 8.1 Multi Router Traffic Grapher (MTRG) + Flowscan ...................... 44 8.1.1 NetFlow versie 9 .............................................................................. 44 8.1.2 Flowscan .......................................................................................... 44 8.1.3 Multi Router Traffic Grapher (MRTG) .............................................. 45 8.2 Solsoft .......................................................................................... 45 8.3 HP Openview Network Node Manager (7.53) ............................. 47 8.4 Ciscoworks LMS 2.6 Lan Manager Solution ............................... 48 8.5 Conclusie ..................................................................................... 50

9

Adresplan .......................................................................... 52 9.1 9.2

10

Geografie & DNS naam ............................................................... 52 Huidige vlan nummers ................................................................. 53

Testnetwerk ...................................................................... 55

10.1 Basisinstellingen .......................................................................... 55 10.2 Borderrouter configuratie ............................................................. 55 10.3 Firewallconfiguratie...................................................................... 57 10.4 Configuratie core-router 1 .......................................................... 59 10.5 Wireless configuratie: .................................................................. 61 10.6 Problemen ................................................................................... 62 10.6.1 Probleem 1 ....................................................................................... 62 10.6.2 Teredo ............................................................................................. 63 10.6.3 Probleem 2 ....................................................................................... 64

11

Impactanalyse applicatielandschap .................................... 66

11.1 Osiris ........................................................................................... 66 11.1.1 Techniek ........................................................................................... 66 11.1.2 Huidige situatie ................................................................................ 67 11.1.3 IPv6 ondersteuning .......................................................................... 68 11.1.4 Conclusie .......................................................................................... 69 11.2 SharePoint ................................................................................... 70 11.2.1 Huidige situatie ................................................................................ 71 11.2.2 IPv6-ondersteuning .......................................................................... 72 11.2.3 Conclusie .......................................................................................... 72 11.3 Vubis Smart ................................................................................. 73 11.3.1 Huidige situatie ................................................................................ 73 11.3.2 IPv6-ondersteuning .......................................................................... 74 11.3.3 Conclusie .......................................................................................... 74 11.4 Dynamics AX ............................................................................... 74 11.4.1 Huidige situatie ................................................................................ 74 11.4.2 IPv6-ondersteuning .......................................................................... 74

11.4.3 Conclusie .......................................................................................... 75

12

Eindconclusies en aanbevelingen ....................................... 76

12.1 12.2 12.3 12.4 12.5

Netwerk ....................................................................................... 76 Besturingssystemen .................................................................... 76 Netwerkmanagementtools ........................................................... 76 Applicaties ................................................................................... 76 Aanbevelingen ............................................................................. 77

13

Lijst van afkortingen en definities ...................................... 78

14

Referenties ........................................................................ 79

14.1 14.2

Websites ...................................................................................... 79 Literatuurlijst ................................................................................ 79

15

Bijlage 1: IPv4 adresplan .................................................... 80

16

Bijlage 2: IPv6 adresplan .................................................... 84

Samenvatting Deze scriptie is de uitkomst van het onderzoek “IPv6 impactanalyse” bij het Shared Service Center ICT – Hogeschool Utrecht (SSC-ICT HU). In deze scriptie komen de volgende vraagstellingen aan de orde: Wat is het probleem rond IPv6? Hier wordt gekeken naar wat de mogelijke oplossingen zijn en waarom juist dual stack de oplossing is. Wat is de impact op het netwerk om een testomgeving te creëren? Om deze vraag te beantwoorden, moest de netwerkapparatuur tot en met de besturingssystemen onderzocht worden. Wat is de impact is op de applicaties Osiris, SharePoint, Microsoft Dynamics AX en Vubis als IPv6 gebruikt gaat worden? Wat is de impact op vier van de gebruikte netwerk managementtools Solsoft, HP Openview Network Node Manager, Cisco Works LMS en MTRG? Daarna wordt beschreven hoe het ontworpen concept-adresplan is opgesteld. Vervolgens wordt in een stappenplan weergegeven hoe de testomgeving is gecreëerd. De analyses zijn aan de hand van eerder onderzoeken en informatie uit de specificaties gedaan. In bepaalde gevallen is er contact gelegd met de leveranciers of ontwikkelaars. Enkele voorbeelden hiervan zijn: Cisco en Exaprotect. Een paar van de belangrijkste conclusies uit het onderzoek zijn: “NAT op NAT is geen oplossing ” “Het is duidelijk dat de ene netwerkmanagementtool IPv6 wel ondersteunt en de andere niet. Als IPv6 ondersteund wordt, is het niet altijd volledig.” “Er zijn verschillende meningen met betrekking tot het maken van een adresplan. De een zegt dat je genoeg adressen krijgt dus doe er maar wat je mee wilt, ze zullen niet opraken. De andere zegt dat je de adressen niet moet verspillen, dat is al bij IPv4 gebeurd. ”

1 Inleiding Shared Service Center ICT – HU merkt op dat er in de toekomst moeilijkheden zullen ontstaan door het gebruik van het IPv6. Om beter zicht te krijgen op wat deze moeilijkheden zullen zijn, heeft het SSC - ICT een onderzoek gestart.

ONDERZOEK

2009

TEST

2010

IMPLEMENTATIE

2011

2012

Deze impactanalyse is onderdeel van een aantal fases dat in een aantal jaar zal worden uitgevoerd.   

Onderzoeksfase: In deze fase wordt onderzoek gedaan naar de mogelijke problemen en oplossingen. Testfase: In deze fase wordt wat onderzocht is, getest en uitgeprobeerd. Implementatiefase: In deze fase wordt wat getest en uitgeprobeerd is, in productie genomen.

Deze opdracht bevindt zich in de onderzoeksfase. Voordat er aan de onderzoeksopdracht gewerkt kan worden, is er kennis opgedaan over IPv6. Deze kennis is opgedaan door de problematiek rond dit protocol te bestuderen. Als eerste wordt het probleem rond IPv6 uitgelegd, en vervolgens waarom dit onderzoek belangrijk is. Het eerste deelonderzoek gaat over de besturingssystemen die gebruikt worden. Er is onderzocht of deze met IPv6 overweg kunnen en in welke mate ze het ondersteunen. Dit is belangrijk want als een besturingssysteem IPv6 niet ondersteunt, kan de eindgebruiker er geen gebruik van maken.

Vervolgens is er een impactanalyse op de hardware gedaan. Om een basis-testomgeving te creëren, is gekeken naar wat de impact is op de hardware van het netwerk. Er is een impactanalyse uitgevoerd op vier belangrijke netwerkmanagementtools, namelijk: Multi Router Traffic Grapher, Solsoft, HP Openview Network Node Manager en CiscoWorks Lan Manager Solution. Deze tools zijn belangrijk voor het monitoren van het netwerk. Als IPv6 ingevoerd wordt, moet deze ook gemonitored worden. Heel belangrijk is het ontworpen concept adresplan. Het is belangrijk omdat een adresplan voor 10 tot 20 jaar wordt gebruikt. Een voorbeeld hiervan is het IPv4-adresplan van HU dat sinds 1992 in gebruik is. Er wordt uitgelegd waarom voor de indeling is gekozen en waarmee rekening is gehouden om dit adresplan te ontwerpen. Dit adresplan is ontworpen op grond van de bestaande adresplannen. Daarna wordt uitgelegd hoe het hele testnetwerk stap voor stap in gebruik is genomen, wat de eventuele problemen zijn die kunnen ontstaan en oplossingen voor deze problemen. Vervolgens is er een impactanalyse op vier applicaties uitgevoerd namelijk: Osiris, SharePoint, Vubis en Microsoft Dynamics. Deze applicaties zijn belangrijke applicaties voor HU. En het is dus belangrijk om te weten of deze IPv6 ondersteunen of niet. Afsluitend worden de eindconclusies over het hele project, alle ondervindingen en aanbevelingen op een rij gezet. Het laatste hoofdstuk is het projectmatige deel van het project. Hierin wordt verteld hoe het project in zijn geheel is verlopen en hoe de planning is verlopen.

2 Probleemstelling Circa 88 % van de IPv4-adressen is uitgegeven. Er wordt geschat dat, als de uitgifte van IPv4 met hetzelfde tempo door gaat, het laatste IPv4-adres in 2011 wordt uitgegeven. In 2008 is in China de uitgifte van IPv4 adressen met ongeveer 34 % gestegen en in Brazilië met 27 %, ten opzichte van 2007 daarvoor. Onterecht wordt aangenomen dat twee jaar genoeg tijd is om nog geen zorgen te hebben over dit onderwerp. Doordat niet alle applicaties en hardware IPv6 aankunnen, kan er in het bedrijfsleven niet in één keer overgestapt worden van IPv4 naar IPv6. Er is dus noodzaak om nu al naar de juiste oplossingen te gaan zoeken. IPv6 moet daarom geleidelijk geïntroduceerd worden en vervolgens langzaam IPv4 uitfaseren. Dit betekent dat IPv6 en IPv4 samen moet gaan werken, totdat alle applicaties en apparaten IPv6 aankunnen. Waarom van IPv4 naar IPv6, waar is IPv5 gebleven? IPv5 was een experimenteel protocol genaamd “The Internet Stream Protocol”. Het was een experiment voor video en audio transmissie. Het is een experiment gebleven en daarom nooit een officieel protocol geworden. Omdat de naam IPv5 al gebruikt was, is toch gekozen om de nieuwe Internet Protocol IPv6 te noemen om misverstanden te verkomen. IPv4 tegenover IPv6 9

Een IPv4 adres bestaat uit 32 bits, dat zijn 4,3 x 10 adressen. IPv6 heeft een adres van 128 bits, dat is vier maal de hoeveelheid bits van IPv4. Dat 38 geeft een totaal van 3,4 x 10 adressen en is dan meer dan genoeg om wereldwijd elk netwerkapparaat van een uniek adres te voorzien.

In tabel. 1 zijn de belangrijkste eigenschappen van IPv6 tegenover IPv4 op een rijtje gezet. IPv4 9

IPv6 38

Voordelen van IPv6 28

Adresruimte

4,3 x 10

Configuratie

Handmatig of DHCP

Broadcast / Multicast

Gebruikt beiden Geen broadcast, andere vorm van multicast

Efficiënter gebruik van bandbreedte

Anycast

Geen deel van het originele protocol

Integraal onderdeel van het protocol

Efficiëntere routering

Netwerkconfiguratie

Grotendeels handmatig

Link-local adressen maken hernummering van hosts en routers makkelijker

Minder kosten, eenvoudiger migratie

Beveiliging

Gebruikt IPsec om datapaketten te beveiligen.

IPsec is integrreaal onderdeel van het protocol

Betere beveilging mogelijk

Mobiliteit

Mobile IPv4

Mobile IPv6

Biedt snellere handover en efficiëntere routering.

3,4 x 10

7,9 x 10 meer adressen dan IPv4

Handmatig, Minder kosten en stateless foutmeldingen autoconfiguration of DHCP

IPv6 is ontworpen door Steve Deering en Graig Mudge bij Xerox PARC en is vervolgens overgenomen door The Internet Engineering Task Force in 1994. Toen had het nog de naam IPng, IP Next Generation. In juli 1999 zijn de eerste IPv6 adressen uitgegeven. De uitgifte van IPv6 adressen is sindsdien langzaam gegaan omdat Network Adress Translation ( NAT ) al in de IPv4 omgeving gebruikt was. NAT is het vertalen van IP–adressen en vaak ook TCP/UDP poortnummers uit de ene gescheiden reeks in de andere. Het doel hiervan is het toelaten van meerdere gebruikers van één netwerk tot het internet via één IP-adres. Dit betekent dat er minder IPv4 adressen nodig zijn om meerdere gebruikers toegang te geven tot het internet. Het is een feit dat de IPv4 adressen op zullen raken. Er wordt vaak voor een tussenoplossing gekozen. Zoals NAT op NAT in een bedrijfsopstelling en daarna kan NAT toegepast worden bij internet leveranciers. Als dit toegepast wordt heeft het negatieve gevolgen. Dit blijkt uit de volgende uitleg: Er zijn 16 bits gereserveerd per poortnummer, dus èèn NAT router kan maximaal 65536 connecties aan. Een gemiddelde gebruiker heeft al snel 200 connecties en zware gebruiker heeft al snel 400 connecties open staan. Internet heeft al een grote rol in ons leven, dus we gaan ervan uit dat iedereen 400 connecties gebruikt. Een Internetprovider zou dan 65536 / 400 = 163 gebruikers achter één nat kunnen plaatsen. In het volgende voorbeeld heeft elke eindgebruiker ongeveer 50 sessies ter beschikking. Door het gebruiken van NAT op NAT wordt het aantal beschikbare sessies per gebruiker verminderd. In de afbeeldingen hieronder is geïllustreerd hoe Google Maps met steeds minder beschikbare sessies wordt opgezet.

Bij elke vermindering van de beschikbare sessies is te zien dat er een grijze vlak openblijft en bij minder dan 5 sessies er een time out ontstaat. Performance is de reden waarom NAT op NAT geen oplossing is. Een ander ongewenst effect is een illegale handel in IPv4 adressen. Wie adressen over heeft kan ze voor een zeer hoge prijs verkopen. Landen in ontwikkeling kunnen niet op tegen deze handel omdat het te duur is. Zij zullen overgaan naar IPv6 omdat het goedkoper is. Dit zal ertoe leiden dat deze landen IPv6 zullen gebruiken, omdat zij niet aan IPv4 adressen kunnen komen. Dus: Als wij niet overgaan ontstaan er “twee IP” werelden.

Wanneer de IPv4 adressen echt op zijn, zal alle nieuwe apparatuur die een IP adres nodig heeft op IPv6 worden aangesloten. Deze apparaten zullen ook moeten communiceren met de apparaten die op IPv4 zijn aangesloten. Als dat niet gebeurt zullen twee werelden van internet ontstaan. Dit wil niemand.

Ipv 6

Ipv 4

`

`

Om dit te voorkomen moet er een tussenweg gebruikt worden. Er zijn verschillende manieren waarop dit gedaan kan worden: 1. Het vertalen van IPv4 naar IPv6 en omgekeerd.

IPv4 / IPv6 Translator Ipv 4 `

Ipv 6 `

Het vertalen van IP adressen is een complexe rekenkundige bezigheid.  

De routers zullen zich bijna alleen maar bezighouden met het vertalen van adressen i.p.v. het routeren. IPv6 wordt ook dynamisch toegewezen door de router.

Dit zal uiteindelijk leiden tot een traag netwerk. Een andere oplossing is dual stack. Hier is een host router met IPv4 en IPv6 protocol stacks uitgevoerd. Deze router wordt dan met IPv4 en IPv6 adressen geconfigureerd, waardoor de router data van beide protocollen kan verzenden en ontvangen.

Ipv 4 Dual Stack Router

`

Ipv 6

Ook communicatie met andere IPv4 en IPv6 gebruikers op het netwerk is dan mogelijk. Het uiteindelijke eind beeld waar naar toe gewerkt zal worden is afgebeeld in het figuur hieronder.

IPv6 mobile

Ipv 6

IPv6 Huis gebruiker IPv4 + ( IPv6 )

IPv4 + IPv6 NAT

Ipv 4 Bedrijf IPv6

Hosting IPv4 + IPv6

IPv4 + IPv6

IPS, WAN

De meeste netwerkapparatuur wordt al een aantal jaren dual stack uitgevoerd. Deze functie staat in de meeste gevallen uit en moet handmatig aangezet worden. Dit betekent dat niet alle apparatuur direct vervangen moet worden. Voor apparatuur die niet geschikt is, kan volgens het afschrijvingregime nieuwe apparatuur worden aangeschaft. Dit houdt in dat als een apparaat zijn “End of Life” heeft bereikt, vervangen moet worden. Het wordt dan op dat moment vervangen door een apparaat dat IPv6 aankan. Hierdoor

blijven de kosten laag. Dit is de reden waarom dual stack nu al inzetten de meest gebruikte tussenstap is. Uiteindelijk zal de complete overgang gemaakt moeten worden, want als je dual stack draait heb je toch voor elke eindgebruiker een IPv4 adres nodig.

3 Opdracht 

Onderzoek en lever een onderbouwd voorstel hoe de IPv6adressen verdeeld kunnen worden in het HU netwerk, dus een IPv6-nummerplan. Rekening houdend met DHCPv6 en de HU VLAN structuur.



Onderzoek wat de veranderingen in de netwerkhardware moeten zijn om een dual stack-omgeving te creëren.



Lever een basis dual stack-netwerk: IPv6-adressen aanvragen bij Surf-Net. Aansluiten op de Core Routers, in de productie-opstelling met Cisco, Unix, Microsoft en Apple apparatuur.



Onderzoeken wat de impact is op de tools voor (netwerk)beheer zijn. Het gaat om de volgende tools: 1. 2. 3. 4.

MTRG Solsoft HP Openview Network Node Manager. CiscoWorks



Onderzoek wat de impact is op het bedrijfsapplicatielandschap en dan met name de belangrijkste hogeschool-brede applicaties: Osiris, SharePoint, Vubis en MS Dynamics.



Een “cookbook” waarin het gehele implementatieplan beschreven is, hoe en waarom er gekozen is voor het adresplan, wat de veranderingen in het netwerk zullen zijn. Hoe het basis dual stacknetwerk tot stand is gebracht en welke managementtools nog gebruikt kunnen worden, welke niet en de oplossing daarvoor. Wat de impact is op de bedrijfsapplicaties die onderzocht zijn. Inclusief configuratie voorbeelden en schema’s.



Een afstudeereindverslag met hetzelfde inhoud als het Cookbook, met een extra hoofdstuk over de planmatige werkwijze - verloop van het project.

4 Uitvoering 4.1 IPv6 Stappenplan Het is essentieel dat er een stappenplan aanwezig is om tot een goede implementatie van IPv6 dual stack te komen. Hiervoor zijn de volgende stappen belangrijk.

4.1.1 Stap 1: Bewustmaking Bestudeer het IPv6 onderwerp en maak alle medewerkers bewust van dit onderwerp zodat zij dit gaan bestuderen. Zorg ervoor dat alles wat nieuw aangeschaft wordt, IPv6 native ondersteund. Volg de nodige cursussen en leid alle betrokken personen op.

4.1.2 Stap 2: Inventarisatie Inventariseer alle IT apparatuur die gebruikt wordt en kijk of deze IPv6 ondersteund. Onderzoek wat er gedaan moet worden als deze IPv6 niet ondersteund. Moet er een software update gedaan worden? Of moet apparatuur vervangen worden?

4.1.3 Stap 3: Netwerk management tools onderzoek Onderzoek alle netwerkmanagementtools die gebruikt worden of deze IPv6 ondersteunen. Als deze IPv6 niet ondersteunen, ga dan na wat er gedaan moet worden. Moet er geüpgrade worden of moet er een andere tool aangeschaft worden?

4.1.4 Stap 4: Software onderzoek Onderzoek alle software die gebruikt wordt. Welke software kan IPv6 aan en welke niet. Zodat ze ook in de dual stack omgeving goed blijven functioneren.

4.1.5 Stap 5: IPv6 reeks en adresplan Vraag een IPv6 reeks aan. Denk goed over het adresplan, een IPv6 adresplan moet net als bij IPv4 10 tot 20 jaar gebruikt worden. Maak vervolgens een adresplan en neem voldoende tijd om een duurzaam adresplan te ontwerpen.

4.1.6 Stap 6: Testomgeving Creëer een testomgeving op de productienetwerk door IPv6 in een kleine omgeving aan te zetten en te gebruiken. Begin vervolgens met het testen van alle onderdelen.

4.1.7 Stap 7: Productieomgeving Als alles getest is kan dual stack draaien. Lever dan diensten over dual stack. Als er problemen ontstaan, val dan terug op IPv4.

5 IPv6 basiskennis Een IPv6-adres bestaat uit 128 bits, een Ipv4-adres bestaat uit 32 bits. Dat is een vier maal zoveel bits. HU heeft een IPv4 klasse B netwerk met netwerk id. 162.20.xxx.xxx. Dit is goed te onthouden want voor het host id moet je maximaal zes decimale cijfers onthouden. Is een IPv6 moeilijker te onthouden of toch niet? Om daar achter te komen wordt het IPv6 adres formaat helder beschreven: Een IPv6 adres wordt geschreven in 8 groepen van 4 hexadecimale getallen en gescheiden door een “:” teken.

xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx Een groep van xxxx representeert een 16 bit hexadecimaal getal en elke x een 4 bit hexadecimaal getal.

2020:0550:0330:b633:0000:0000:FE67:BA87 Dit is volledig uitgeschreven geldig IPv6-adres, en is niet te onthouden. Gelukkig mogen ze ingekort worden. Er gelden dan wel de volgende regels: 

Nullen aan het begin van een groep mogen weggelaten worden.

2020:550:330:b633:0000:0000:FE67:BA87 

Bij groepen van vier 0000 mogen er drie 0 verwijderd worden.

2020:550:330:b633:0:0:FE67:BA87 

Maar groepen van vier 0000 mogen ook weggelaten worden. Dit geeft als resultaat.

2020:550:330:b633::0000:FE67:BA87 

Als er meer dan één groep nullen naast elkaar word weggelaten dan moeten er twee “::” tekens naast elkaar geplaats worden waar de groepen zijn weggelaten.

2020:550:330:b633::FE67:BA87 Dit mag maar 1 keer in het hele adres gedaan worden. Verder zijn de eerste 3 groepen meestal hetzelfde omdat deze vast staan. In dit geval hebben we een /48 subnet. Dit betekent dat de eerste drie groepen gelijk zijn.

2020:550:330/48 2020

Wordt door de Ripe uitgegeven aan een Local Internet Registry.

550 :

Wordt door de LIR uitgegeven aan een Internet Service Provider.

330 :

Wordt door de Internet Service Provider aan een bedrijf toegekend.

Deze factoren zorgen er voor dat een verkort IPv6-adres makkelijker te onthouden is dan het volledig uitgeschreven IPv6-adres. Nog makkelijker wordt het als er in het subnetplan rekening hiermee wordt gehouden. In het subnetplan ontwerp op pagina 39 wordt dat verder uitgelegd.

5.1 De IPv6-prefix Een IPv6-adresprefix is een combinatie van een IPv6-prefixadres en een prefix lengte. In deze vorm wordt het weergeven als IPv6-prefix/prefixlengte en geeft een blok of een netwerk weer. De /prefix-lengte is een decimaal getal dat het aantal hoge bits weergeeft dat het netwerkdeel van het adres bevat.

2020:550:330/48 /48 is dus een binair getal en betekent dat het netwerk deel uit 48 bits bestaat. 2020 = 16 bit 550 = 16 bit 330 = 16 bit + 48 bit 2020:550:330:0000:0000:0000:0000:0000

5.2 IPv6 adressering IPv6 heeft drie type adressen: unicast, multicast en anycast. Een unicast adres is een uniek adres voor een apparaat in een netwerk. Een unicast pakket wordt alleen naar dat unieke adres verzonden. Met multicastadressen kan een groep machines in een netwerk bereikt worden. Een pakket verzonden naar een multicastadres, zal aan alle leden van de multicastgroep worden verstuurd. Een anycastadres ligt tussen een unicast en mutlicast adres. Bij een anycast stuurt een host een pakket naar een specifieke groep. Het maakt niet uit welk lid het pakket ontvangt. Deze adressen zijn de zogeheten gereserveerde adressen. Naam Link-localadres Loopbackadres Link-localprefix

IPv6 - adres

::1/128 FE80::/10

Beschrijving Het loopback adres is een unicast local adres. Als een applicatie in een host een pakket naar dit adres stuurt, zal de IPv6 stack dit pakket terugsturen op hetzelfde virtuele interface. Link-local prefix geeft aan dat het adres alleen geldig is in een scoop van een link.

Unique local adres

FC00::/7

Deze adressen zijn alleen routeerbaar in een lokale site.

Multicast adres

FF00::/8

Dit prefix is gereserveerd voor multicast en bepaald speciale protocollen bv: FF0x::101 zal alle locale NTP servers bereiken.

Site local

FEC0::/10

Dit adres mag alleen binnen een site gebruikt worden.

Naam

IPv6 - adres

Beschrijving

Unspecified addres

::/128

Dit is een adres met alleen maar nullen. Het mag nooit toegewezen worden aan interface. Het mag alleen gebruikt worden voordat een programma zijn IPv6 adres heeft gehad. (Routers mogen geen pakketen doorsturen naar dit adres)

Sollicited-node multicast adres.

FF02::1:FFxx:xxxx

De xx:xxxx zijn de drie minst significante bits van het unicast of anycastadres.

IPv4 transition IPv4 mapped adres

::FFFF:0:0/96

Deze adressen zijn gereserveerd voor IPv4 omzet (vertaal) mechanismes.

Teredo tunneling

2001:: / 32

6 to 4 adressering

2002::/16

ORCHID

2001:10::/28

Overlay Routable Cryptograpic Hash Indentifiers zijn ongerouteerde IPv6 adressen.

Documentatie

2001:DB8::/32

Deze prefix wordt gebruikt in documentatie. Het kan overal gebruikt worden waar een voorbeeld-IPv6-adres nodig is.

5.3 DHCPv6 In de huidige situatie, worden IPv4 adressen via een DHCP-server toegekend aan de eindgebruiker. Hierdoor hoeft de eindgebruiker geen handmatige instellingen in te voeren om verbinding te kunnen maken met het netwerk. Een soortgelijke situatie is ook gewenst bij IPv6. Bij IPv6 zijn er drie mogelijkheden om aan een IPv6-adres te komen: 1. Statisch. 2. Stateless autoconfiguratie. 3. Stateful autoconfiguratie.

5.3.1 Statisch Bij statische toewijzing moet de beheerder handmatig het IPv6-adres bij een host invoeren. Deze handeling zal hij dan ook bij elke host moeten uitvoeren.

5.3.2 Stateless autoconfiguratie. Bij een stateless autoconfiguratie kunnen hosts automatisch hun IPv6 adres verkrijgen zonder handmatige configuratie van de host. Het wordt aan de hand van het Neighbor Discovery Protocol bepaald. De hosts maken gebruik van hun unieke IEEE 802 MAC-adres en de informatie die ze van de router verkrijgen om zelf een IP-adres te genereren. Om de stateless autoconfiguratie-stappen te kunnen begrijpen zijn de volgende begrippen van belang:

5.3.2.1

Tentative adres

Dit adres is nog niet toegewezen. Het bevindt zich in de toestand voor dat het toegewezen word. Namelijk tijdens de controle of het uniek is.

5.3.2.2

Preferred adres

Dit adres is toegewezen aan een interface en kan zonder beperkingen gebruikt worden.

5.3.2.3

Deprecated adres

Gebruik van dit adres wordt afgeraden, maar is niet verboden. Het is bijvoorbeeld een adres waarvan de levensduur bijna verlopen is. Het kan nog worden gebruikt, maar kan storing veroorzaken als het verandert. Het wordt dus niet gebruikt voor een nieuwe verbinding.

5.3.2.4

Link-local adres

De 48 bit unieke Ethernet MAC wordt omgezet tot een 64-bit ( EUI-64 ( Extended Unique Identifier)) formaat om het link-local adres te maken.

Het eerste gedeelte van het MAC adres is de Organizational Unique Identifier (OUI) code, dat is het nummer van de verkoper en het tweede gedeelte is het ID serienummer van de netwerkkaart. In het figuur hieronder wordt het getal FFFE in het midden van het 48 bit MAC adres toegevoegd.

Vervolgens wordt het zevende bit van het 64 bit geworden adres geset. Een 0 betekent in dit geval een lokaal uniek adres en een 1 een globaal uniek adres.

In EUI64-notatie wordt dit

0250:3EFF:FEC4:4C00 Bij het verkrijgen van een IPv6-adres via de stateless autoconfiguratie

worden de volgende stappen uitgevoerd: Een link-local adres wordt gegenereerd door FE80 voor de interface identifier te plaatsen. Dit is een tentative adres.

FE80::0250:3EFF:FEC4:4C00 De node voegt zich toe bij de solicited-node multicast groep FF02::1 voor een tentative adres. Vervolgens wordt er een neighbor sollicitatie bericht gestuurd met het tentative adres als target adres. Dit detecteert of een andere node op de link dit adres al in gebuik heeft. Als een node een reply stuurt, stopt de

autoconfiguratie en moet het adres handmatig ingesteld worden. Als er geen reply terugkomt, wordt het tentative adres een preferred adres. Nu gaat de host kijken welke routers er allemaal op de link zijn aangesloten door een multicast FF02 : :2 bericht te sturen. Alle routers op de link geven antwoord met een router advertisment. Voor elke router dat een advertisment terug heeft gestuurd wordt er een IPv6-adres gegenereerd. De adressen worden toegevoegd en worden op de lijst van toegewezen adressen geplaatst.

5.3.3 Stateful autoconfiguratie. Ondanks dat stateless autoconfiguratie veel mogelijkheden biedt heeft stateful autoconfiguratie ook zijn voordelen. Stateful autoconfiguratie wordt ook DHCPv6 genoemd en is vergelijkbaar met DHCP bij IPv4. Bij het gebruik van DHCPv6 kan een host extra informatie verkrijgen, bijvoorbeeld: DNS, NTP en andere configuratie-informatie. De basiswerking van DHCPv6 is net als bij IPv4.

De host stuurt bericht aan alle hosts binnen het eigen netwerk. Alle hosts in het netwerk ontvangen dit bericht, ook de DHCP server. De DHCP server(s) sturen antwoord terug, met informatie over de netwerkinstellingen. De host gebruikt de gegevens van de eerste DHCP-server waar hij antwoord van ontvangt om zijn netwerkverbinding in te stellen. Nu kan de host communiceren met de andere hosts. De gegevens die doorgestuurd kunnen worden zijn:    

Een uniek IP-adres De Gateway-adressen De DNS-server-adres Het netmask



De looptijd van het verkregen ip adres

Er is ook een combinatie waarin DHCPv6 en stateless autoconfiguratie samen worden gebruikt. In deze combinatie genereert een host zijn IPv6 adres via de stateless autoconfiguratie methode en ontvangt de extra informatie, zoals het DNS-adres van de DHCPv6-server. In deze combinatie hoeft de DHCPv6-server geen IPv6-adreslijsten bij te houden.

5.3.4 Domain Name System (DNS) De voornaamste nieuwe voorzieningen in DNS ten behoeve van IPv6adressen zijn:   

Een nieuw record-type AAAA – record ook wel Quad A record genoemd. Een nieuw domein om IPv6 adressen op te slaan, IP6.int-domein genoemd. Een herdefinitie van het zoekproces naar IP adressen, de herdefinitie betekent dat een zoekproces zowel IPv4- als de IPv6adressen oplevert.

Quad A records toevoegen is niet moeilijk omdat het bijna hetzelfde is als een IPv4 adres toevoegen. Wel moet rekening gehouden worden hostnames die zowel een A-record en een AAAA-record hebben: sommige hosts zullen eerst het IPv6-adres proberen, en daarna het IPv4 adres, sommige hosts doen dat precies andersom. Daarom is het van belang om alleen AAAA-records toe te voegen als een service op IPv6 werkt. Als dat niet zo is, kan dit leiden tot een time out.

6 Hardware-onderzoek IPv6 bevindt zich laag 3, de netwerklaag, van het OSI Model, ook wel internetlaag genoemd in de TCP/IP protocol architectuurmodel. De apparatuur die in deze laag actief is, zijn de routers. De routers moeten minimaal een dual stack-optie hebben in de beginfase. Daarom moet

onderzocht worden of de core-routers in het netwerk IPv6-ready zijn. SSC – ICT HU heeft 1 border-router en 2 core-routers. 1.

Core: Cisco Catalyst 6500 met supervisor 720 en IOS 12.2.(18)SXF11 2. Core: Cisco Catalyst 6500 met supervisor 720 en IOS 12.2.(18)SXF11 3. Border: Cisco Catalyst 6500 met supervisor 2 en IOS 12.1(26)E4

Router 1 en 2 zijn IPv6-ready en ondersteunen IPv6 in hardware. Dit betekent dat voor deze twee routers geen hardware of software aangepast moet worden. Router 3 ondersteunt geen IPv6 in de huidige situatie. Om deze router IPv6 te laten ondersteunen, moet er een IOS update naar versie 12.2(18)SXF16 met Advanced Services gedaan worden. In IOS 12.2(18)SXF16 wordt IPv6 dus wel ondersteund.

Om deze IOS update te doen, zal er in deze router wel extra geheugen bij geplaatst moeten worden omdat het image van de nieuwe IOS te groot is voor het geheugen dat er nu aanwezig is. Een 64 MB flash geheugen kaart voldoet aan deze eisen.

De Supervisor 2 is in mei 2007 aangekondigd als end of life en er word na 2012 geen onderhoud support meer geleverd. Met het oog hierop is gekozen voor vergroting van het flash geheugen. Dit is een kostentechnische overweging. Een flash kaart kost rond de € 222,- , dit is een fractie van de prijs van een nieuwe Catalyst 6500. De flash geheugenkaart is voldoende om een IPv6 test omgeving te creëren. Na het insteken van de flashkaart bleek dat deze niet ondersteund werd door de router. Volgens Cisco was dit te verhelpen met een ROMMON upgrade.

The Supervisor Engine 2 ROMMON does not support the PCMCIA ATA FlashDisk Device. This Problem is resolved in Supervisor Engine 2 ROMMON software release 7.1(1). (CSCdr51247) Supervisor Engine 2 ROMMON software release 7.1(1) introduces support for the MEM-C6KATA-1-64M = (64MB) PCMCIA ATA FlashDisk device.

Om de flashkaart werkend te krijgen moet dus de ROMMON van de Catalyst 6500 switch een upgrade ondergaan naar ROMMON software rel 7.1(1) of later. u6sh03-mer#$lot 1 sp file tftp://162.20.8.58/cat6000-sup2-rm2.7-1-1.srec Copying tftp:// 162.20.8.58/cat6000-sup2-rm2.7-1-1.srec onto SP's bootflash... Loading cat6000-sup2-rm2.7-1-1.srec from 162.20.8.58 (via Vlan30): !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!! [OK - 412891 bytes] Loading cat6000-sup2-rm2.7-1-1.srec from 162.20.8.58 (via Vlan30): ! u6sh03-mer#show rom-monitor slot 1 sp Region F1: FIRST_RUN, preferred Region F2: INVALID Currently running ROMMON from S (Gold) region u6sh03-mer#upgrade rom-monitor slot 1 sp preference region1 You are about to mark F1 region of SP ROMMON in slot 1 as the boot preference region, proceed[n]? y u6sh03-mer# u6sh03-mer#show rom-monitor slot 1 sp Region F1: FIRST_RUN, preferred Region F2: INVALID Currently running ROMMON from S (Gold) region

Na de ROMMON update werd de geheugenkaart wel herkend en kon het IOS worden ge-upload op de Catalyst 6500.

Om te controleren of de router IPv6 functionaliteit heeft, worden deze commando’s gebruikt: Router(config)#ipv6 ? access-list Configure access lists hop-limit Configure hop count limit host Configure static hostnames icmp Configure ICMP parameters neighbor Neighbor prefix-list Build a prefix list route Configure static routes router Enable an IPv6 routing process unicast-routing Enable unicast routing Router(config-if)#ipv6 ? IPv6 interface subcommands: address Configure IPv6 address on interface enable Enable IPv6 on interface mtu Set IPv6 Maximum Transmission Unit nd IPv6 interface Neighbor Discovery subcommands redirects Enable sending of ICMP Redirect messages rip Configure RIP routing protocol traffic-filter Access control list for packets unnumbered Configure IPv6 interface as unnumbered

In het netwerk zijn ook Cisco Wireless LAN controllers 4404 aanwezig, met IOS versie 5.2.178.0. Volgens Cisco werken deze in een Dual Stack omgeving. Wireless Solutions In an IEEE 802.11 dual-stack environment, IPv6 Unicast and Multicast traffic are transparently forwarded by Cisco Wireless devices. Controllers (4402-12, 4402-25, 4402-50, 4404, WiSM, 3750G, NMWLC) Access Points (AP1130, AP1240, AP1000, AP1500, AP1300 in AP mode only)

Conclusie hardwareonderzoek Om een dual stack-testomgeving te creëren, moet een flashkaart (€ 222,16) aangeschaft worden en een IOS update gedaan worden. Dit betekent dat het impact op de hardware minimaal is om een dual stacktestomgeving te creëren.

7 IPv6 ondersteuning in OS 7.1 Windows Windows 2000 en 98 hebben geen ondersteuning voor IPv6 en Microsoft zal ook geen ondersteuning bieden.

7.1.1 Windows XP Windows Server 2003 Officieel ondersteunt XP IPv6 vanaf SP1. In Windows Server 2003 is IPv6 ondersteuning beperkt. IPv6 staat standaard uit in XP en Windows Server 2003. Het kan op twee manieren geïnstalleerd worden. 1. Via het interface setup configuratie menu.

2.

Via de de commandprompt als SP1 niet is geïnstalleerd.

Commando’s: C:\>ipv6 install

C:\>ipv6 uninstall In Windows XP en Windows Server 2003 kan IPv6 alleen in de netsh interface ingesteld worden. De netsh interface is een MS-DOS commando dat gebruikers toestaat om netwerk instellingen te veranderen en monitoren. Door de comando’s hieronder in te voeren, is te zien wat allemaal mogelijk is voor IPv6. C:\>netsh netsh>interface ipv6 netsh interface ipv6> ?

Voorbeeld om te monitoren: C:\>netsh netsh>interface ipv6 netsh interface ipv6>show addres

7.1.2 Windows Vista en Windows Server 2008 In Windows Vista en Server 2008 is IPv6 standaard ingeschakeld: “Out of The Box ready”. IPv6 kan hier ook via de grafische menu’s aan of uit gezet worden. Het instellen van IPv6 adressen kan in Vista en Server 2008 ook via een grafische interface ingesteld worden, zowel statische als autoconfiguratiegegevens.

Vista genereert standaard willekeurige interface ID’s in plaats van EUI-64 gebaseerde ID’s. Dit staat standaard aan en kan in bepaalde gevallen problemen opleveren. Uitzetten kan via het netsh interface. Wanneer het uitgezet is, worden EUI-64 gebaseerde interface ID’s gebruikt.

C: \> netsh interface ipv6 set global randomizeidentifiers=disabled Het kan natuurlijk weer aan, als dat nodig is. C: \> netsh interface ipv6 set global randomizeidentifiers=enabled Wanneer er gebruik gemaakt wordt van willekeurige interface ID’s, is de kans minimaal dat deze al in gebruik zijn. Daarom wachten computers met Vista of Server 2003 niet totdat de controle klaar is. Deze beginnen meteen met het versturen van router sollicitatie berichten door hun link-local adres te gebruiken. Hierdoor worden deze twee handelingen parallel uitgevoerd wat uiteindelijk tijd bespaard.

7.1.2.1

DHCPv6-ondersteuning

Windows Vista en Windows Server 2008 zijn de eerste versies van Windows die een DHCPv6-client en server hebben. Windows XP of Windows Server 2003 hebben geen DHCPv6-client en kunnen daarom geen IPv6 adres krijgen van een DHCPv6 server.

7.2 MAC OS Sinds MAC OS versie 10.2 “Jaguar ” wordt IPv6 ondersteund en is het standaard inschakeld. In de Jaguar versie was IPv6 nog ondergeschikt, omdat IPv6 niet via de grafische interface aan- en uitgezet of geconfigureerd kon worden. Pas in Max OS 10.3 “Panther” is het “out of the box ready” en is er een grafische interface bij gekomen, waar je IPv6 in de interface van netwerkeigenschappen kan instellen.

Het systeem-configuratiescherm laat maar 1 IPv6 adres zien, en geeft niet altijd de meest recente informatie weer. Daarom is het handig om ifconfig te gebruiken in de command interface: % ifconfig en1 en1: flags=8863 mtu 1500 inet6 fe80::20a:95ff:fef5:246e prefixlen 64 scopeid 0x5 inet6 2001:db8:1dde:1:20a:95ff:fef5:246e prefixlen 64 autoconf inet 172.31.0.20 netmask 0xffffff00 broadcast 172.31.0.255 ether 00:0a:95:f5:24:6e media: autoselect status: active supported media: autoselect

DHCPv6-ondersteuning Tot nu toe hebben geen van de MAC OS een DHCPv6 software in het operating system. Hierdoor is geen DHCPv6 service mogelijk.

7.3 FreeBSD FreeBSD heeft alle IPv6-eigenschappen na het KAME-project 4.0. Om IPv6 in te schakelen moeten de volgende commando’s ingevoerd worden: ipv6_enable="YES"

Ipv6_network_interfaces=”auto”

Om te monitoren in FreeBSD wordt gebruik gemaakt van het ifconfig commando. # ifconfig xl0 xl0: flags=8843 mtu 1500 inet 192.0.2.123 netmask 0xffffff00 broadcast 192.0.2.255 inet6 fe80::201:2ff:fe29:2640%xl0 prefixlen 64 scopeid 0x1 inet6 2001:db8:31:2:201:2ff:fe29:2640 prefixlen 64 autoconf ether 00:01:02:29:26:40 media: Ethernet autoselect (100baseTX ) status: active

7.4 Linux IPv6 is voor het eerst in Linux kernel versie 2.1.8 beschikbaar gesteld. Niet alle Linux versies hebben IPv6 ondersteuning in de kernel.

7.4.1 DHCPv6 ondersteuning In de Unix familie is er geen ondersteuning voor DHCPv6 in het OS.

7.4.1.1

DHCPv6 tegenover stateless autoconfiguratie

Bij stateless autoconfiguraties zijn IPv6 adressen van EUI-64 formaat en zijn afgeleid van het MAC-adres van de ethernet interfacekaart van de host. Dit betekent dat dit IP-adres afhankelijk is van de interfacekaart. Als voor privacy redenen geen IP-adres dat afhankelijk is van een Ethernet interface wenselijk is, wordt DHCPv6 gebruikt. Bij services is het aan te raden om deze een statisch IPv6 adres toe te wijzen. Deze zijn dan altijd op hetzelfde IPv6 adres bereikbaar en verandert het IP adres niet als de netwerkinterfacekaart wordt vervangen. Als er extra informatie nodig is voor bijvoorbeeld IPv6-DNS gegevens, is DHCPv6 zeker nodig, omdat DHCP voor IPv4 alleen IPv4-informatie door kan sturen.

7.5 Beveiligingprobleem In een IPv4 netwerk kunnen besturingssystemen waar IPv6 standaard aan staat gaten in de beveiliging opleveren. Dit zonder dat de gebruiker of beheerder er iets van weet. De situaties die kunnen ontstaan zijn: 

Als er een router aanwezig is waar IPv6 aan staat kan er een IPv6verbinding automatisch opgezet worden, tussen de router en de computer.



Als de router aangesloten is op een Internet Provider die IPv6 ondersteund. Is het netwerk ook bereikbaar via de IPv6 buitenwereld.

7.6 Conclusie Alle gebruikte besturingssystemen kunnen een verbinding maken met IPv6 via autoconfiguratie of statische instelling. De impact op besturingssystemen is dus minimaal. Twee van de besturingssystemen die in gebruik zijn, ondersteunen DHCPv6. Deze twee zijn Windows Vista en Windows server 2008. Als er gebruik gemaakt zal worden van DHCPv6 zijn er twee oplossingen. 1. Overstappen naar Windows Vista en Windows server 2008. Een overstap naar deze twee besturingssystemen is geen oplossing voor de SSC – ICT, omdat er gebruik wordt gemaakt van verschillende besturingssystemen en niet alleen Windows. 2. Een tussenweg voor besturingssystemen die het niet ondersteunen. Er zijn externe oplossingen, zodat de bovengenoemde besturingssystemen die DHCPv6 niet ondersteunen, DHCPv6 wel kunnen gaan ondersteunen. De tussenweg is het toevoegen van DHCPv6 ondersteuning in het besturingssysteem. Voorbeelden van de twee bekendste oplossingen zijn: 



Dibbler DHCPv6 Is een gratis DHCPv6 software pakket dat de meeste opties van DHCPv6 Server en Cliënt ondersteunt. Dibbler is beschikbaar voor Linux kernel 2.4 en 2.6 en ook voor Windows XP en Server 2003. Het WIDE KAME DHCPv6 project is een stand alone DHCPv6 stack en is een oplossing voor Linux, BSD. Als DHCPv6 gebruik gaat worden moet er een DHCPv6 client uitgerold worden op alle hosts. Of moeten alle host overstappen naar een besturingssysteem dat het wel ondersteunt.

Beheerders moeten opletten voor IPv6-verkeer dat kan ontstaan in een IPv4-netwerk. Computers kunnen ongemerkt direct met de buitenwereld gaan communiceren. Dit is een bedreiging voor de veiligheid van het netwerk.

8 Impact netwerktools 8.1 Multi Router Traffic Grapher (MTRG) + Flowscan Deze combinatie wordt gebruikt om het netwerkgebruik van de klant te monitoren. Zo kan er geanticipeerd worden of er een groei is in het netwerkgebruik.

8.1.1 NetFlow versie 9 NetFlow is een onderdeel van Cisco’s besturingssysteem. Het geeft IP verkeer informatie van datanetwerken weer. Het exporteren van deze data kan door verschillende tools voor verschillende doeleinden gebruikt worden. Bijvoorbeeld voor het analyseren van netwerkverkeer. In de laatste versie NetFlow, versie 9, kan informatie over IPv6 verkeer worden verzameld. NetFlow v9 is aanwezig in het huidige Cisco besturingssysteem dat in gebruik is.

8.1.2 Flowscan Flowscan is een onderdeel van flow-tools. Het verzamelt datarecords die door NetFlow zijn aangemaakt. Daarna verstuurt het deze, bewerkt of genereert rapporten.

Voorbeeld Dos Traffic Flood.

Voorbeeld van 550 dagen termijnmeting. Flowscan ondersteunt tot NetFlow versie 8 en kan daardoor geen IPv6rapporten opleveren.

8.1.3 Multi Router Traffic Grapher (MRTG) MRTG is een tool die het verkeer op een netwerklink kan monitoren. Het maakt gebruik van SNMP om de informatie van netwerk apparatuur te verkrijgen.

MRTG genereert HTML pagina’s met afbeeldingen van het netwerkverkeer dat gemonitord wordt. MRTG ondersteunt SNMP over IPv6. IPv6 moet handmatig aangezet worden in MTRG, door de Enable IPV6 globale optie in de configuratie file. Tot heden is IPv6 ondersteuning alleen op Linux getest door MRTG zelf.

8.2 Solsoft Solsoft ChangeManager is een niet merkgebonden centrale beheeroplossing voor netwerkpolicy-beheer. Het wordt gebruikt voor het ontwerpen, controleren en beheren van security regels voor firewall, routers en VPN.

De belangrijkste eigenschap van solsoft is dat handmatig programmeren niet meer nodig is. Filters, ACLs, NAT, anti-spoofing en VPN configuratie kunnen allemaal automatisch gedaan worden via een grafische interface. Alles wat grafisch is aangepast, wordt eerst geoptimaliseerd, geordend, gecontroleerd op fouten en vervolgens naar de apparaten ge-upload zonder dat je per merk en model de programmeertaal moet weten. Solsoft ondersteunt IPv6 helemaal niet, dat blijkt uit de volgende mail: Mail 1: 08 – 01 - 2009 Unfortunately IPv6 is not in our roadmap yet. If you want, you can send a request to [email protected] explaining your needs so we can keep track of your request. Nevertheless, please keep in mind that such a feature will not be released in the short/medium term.

Mail 2: 05 - 03 - 2009 Thanks for your interest in Exaprotect Change Manager. Concerning the IPv6, it’s not supported right now, and will not be included in the next major release of version 8.0. Nevertheless, this feature is already part of our Road-Map, which evolves according to our customers needs. Thus as soon

as we have more detailed information on the feasibility of this function, I’ll let you know.

Om Solsoft werkend te krijgen heeft veel tijd en moeite gekost. Daarom is het ook gewild dat Solsoft zelf IPv6 zal ondersteunen. Ook is er nog geen andere tool op de markt dat automatisch IPv6 security en policy’s kan maken. Dit betekent dat alle IPv6 security- en policyregels die voor IPv6 ingevoerd worden, handmatig moet worden ingevoerd en beheerd, totdat er een versie van Solsoft uitkomt die IPv6 wel ondersteunt. Het is inmiddels wel op de planning van Solsoft gezet, mede dankzij de vraag van SSC-ICT, HU.

8.3 HP Openview Network Node Manager (7.53) De Network Node Manager (NNM is een programma dat een netwerkadministrator helpt om een netwerk in beeld te brengen en te beheren. Ook kan de staat van een netwerk weergegeven worden. NNM is een onderdeel van OpenView pakket van Hewlett-Packard (HP). Door gebruik te maken van NNM kan een administrator een netwerk in grafische vorm zien. NNM ontdekt zelf welke apparaten zich in het netwerk bevinden en laat hun status zien. Als een apparaat een fout geeft, kan NNM een analyse uitvoeren en hulp bieden voor het oplossen van de opgetreden fout. Ook spoort het mogelijke fouten op, zodat deze aangepast worden voordat er een storing ontstaat. Openview biedt ook de mogelijkheid om te telnetten binnen het programma zelf. Het voordeel hiervan is dat je niet zelf een telnet sessie moet starten.

In de IPv6 historie roadmap van HP is te zien dat OpenView NNM al vanaf 2001-2004 gepland stond. HP OpenView Network Node Manager kan IPv4-IPv6 apparaten ondersteunen. Om IPv6 te ondersteunen moet de Smart Plug-in for Advanced Routing geïnstalleerd zijn. Deze is apart te verkrijgen. Als deze geïnstalleerd is komen voor IPv6 de volgende functies ter beschikking:       

IPv6 apparaten ontdekken. IPv4 en Ipv6 protocol management. Status monitoren via ICMPv6 “ping”. Voegt status event’s toe, in de Node Manager zijn subsysteem. Maakt visualisatie mogelijk van IPv6 laag III connectiviteit. Geeft een visueel beeld van IPv6 dynamische veranderingen in status. Ondersteuning voor Hitachi, NEC, Juniper en Cisco apparaten.

8.4 Ciscoworks LMS 2.6 Lan Manager Solution CiscoWorks Lan Management Solution is een essentieel pakket voor het configureren, administreren en om problemen op te lossen in Cisco netwerken. Dit pakket bestaat uit de volgende onderdelen:

1. CiscoWorks Device Fault Manager (DFM) 2.0.6. Foutenopsporing en -analyse in real time. 2. CiscoWorks Campus Manager 4.0.6. brengt laag 2 en 3 apparatuur in beeld. Kan laag 2 configuraties uitvoeren zoals vlan en trunking. 3. CiscoWorks Resource Manager Essentials (RME) 4.0.5. Cisco Apparaat inventaris en change beheer, netwerk-configuratie en softwareimage-beheer, netwerkbeschikbaarheid en sysloganalyse. 4. CiscoWorks Internetwork Performance Monitor (IPM) 2.6. Monitoren en oplossen responsetijd- en beschikbaarheidsproblemen d.m.v. historische en real-time rapporten. 5. CiscoWorks Common Services 3.0.5 with CiscoView 6.1.5 Infrastructuur voor desktop-management en services voor toegang tot alle CiscoWorks applicaties. CiscoWorks werkt via de LMS Portal interface. Deze interface biedt toegang tot alle geïnstalleerde onderdelen van CiscoWorks. Dit zorgt ervoor dat je niet elk onderdeel van het pakket apart hoeft te starten.

Vanaf CiscoWorks LMS 2.5 wordt IPv6 ondersteund door gebruik te maken van SNMP over IPv4 transport op dual stacks. SNMP, SSH/Telnet over IPv6 worden ook vanaf LMS 2.5 ondersteund, maar de IPv4 stack is nog steeds nodig voor de CiscoWorks management server. Ondersteuning van LMS 2.6 dat in gebruik is tot juni 2011 gegeven.

8.5 Conclusie Het is duidelijk dat de ene tool IPv6 wel ondersteunt en de andere niet. Als het IPv6 wel ondersteunt, is het niet altijd volledig. De impact op de onderzochte tools is verdeeld.  

 

Voor de combinatie MRTG + Flowscan is geen vervangende tool gevonden, dit betekent dat er gewacht moet worden totdat Flowscan Netflow versie 9 zal ondersteunen. Solsoft ChangeManager ondersteunt geen IPv6 en ook niet in de volgende versie. Uiteindelijk is dit onderwerp in de road-map toegevoegd. Een soortgelijk programma is er niet op de markt. De filters, ACLs, NAT, anti-spoofing en VPN instellingen voor IPv6 moeten dus allemaal handmatig ingevoerd worden. HP Network Node Manager 7.53 ondersteunt IPv6 wel. Dit betekent dat er voor het beheren in NNM weinig veranderingen zullen komen. CiscoWorks Lan Management Solution 2.6 ondersteunt IPv6. Er verandert weinig voor IPv6. Dit betekent dat er zonder enig probleem LMS 2.6 gebruikt kan worden in een dual stackomgeving.

9 Adresplan Voor IPv6 is een adresplan nodig. De meningen verschillen sterk over hoe een adresplan gemaakt moet worden. De een zegt dat er genoeg adressen verkregen kunnen worden, deze zullen dus voorlopig niet opraken. De andere zegt dat er zuinig moet worden omgegaan met adressen, want bij IPv4 zijn veel adressen verspild. Bij dit plan is er uitgegaan van de laatste mening. 1

SSC – ICT heeft de reeks 2020:550:330::/48 toegewezen gekregen. Dit betekent dat er 128 – 48 = 80 bits aan adresruimte ter beschikking is. Verder moeten er nog subnetten komen. De eerste stap zal geen DHCPv6 zijn maar EU-64 autoconfiguratie. Dit levert geen probleem op. Er zijn dan nog 16 bits over om subnetten te 16 maken. Dat zijn dus 2 = 65536 subnetten. In elk subnet zijn er 64 bits beschikbaar en dus is er in elk subnet ruimte voor 64 32 2 =18446744073709551616 adressen. Dat is dus per subnet 2 =4,3 miljard keer zoveel als in heel IPv4. Bij het adresplan is er rekening gehouden met:

9.1 Geografie & DNS naam Hogeschool Utrecht heeft op drie locaties gebouwen. Namelijk de binnenstad, Uithof en Amersfoort. Voor deze locaties worden er in het DNS naam letter en nummer combinaties gebruikt. Bijvoorbeeld: c2sk03-d109.net.hu.nl waarin c2 oudenoord 340 representeert. DNS

IPv6

Lokatie

/56 a0

1

a1

a1

a2

a2

FSAO-CT, Hooglandseweg-Noord 140, Amersfoort (348) FNT Amersfoort, Berkenweg 11

a3

a3

Diedenoort, Berbenweg 7

De adressen van de HU zijn vervangen door fictieve adressen

DNS

IPv6

Lokatie

c1

c1

CO, Oudenoord 330

c2

c2

FNT, Oudenoord 340

c3

c3

FNT, Oudenoord 500

c4

c4

FNT, Nijenoord 1

c5

c5

FNT, Oudenoord 700

c6

c6

FNT, F.C. Donderstaat 65

c7

c7

c8

c8

c9

c9

Tijdelijke FNT locaties

u1

b1

FEO, Padualaan 97

u2

b2

FCJ, Padualaan 99

u3

b3

FEM, Padualaan 101

u4

b4

FSAO, Heidelberglaan 7

u5

b5

FG, Bolognalaan 101

u6

b6

Itsupport, Jenalaan 18b

Dit kan goed gebruikt worden in het adresplan. Een hexadecimaal getal heeft de volgende mogelijkheden 0 1 2 3 4 5 6 7 8 9 10 A B C D E F. C2 is gelijk aan 8 bit. In de DNS codering is voor de uithof de letter U gebruikt. De hexadecimale vervanging hiervoor is B. Door rekening te houden met de geografische plek, blijven de routering tabellen ook klein. 2020:550:330:B600:: is dus aan de Jenalaan 18b verbonden. Alles beginnend met 2020:550:330:B000:: op zijn beurt aan de Uithof.

9.2 Huidige vlan nummers2 Er zijn 8 bits over om te subnetten /64. Hier is gebruik gemaakt van de vlan nummers. De vlan nummers zijn 901 t/m 990 en 0 t/m 9. Omdat er 8 bits

2

In bijlage 1 is het huidige IPv4-adresplan weergegeven.

ter beschikking zijn, is het meest significante cijfer verwijderd van de VLANs 901 t/m 990. Vlan ID

Subnet ID

900

00

990

90

0

A0

9

A9

Op de volgende pagina is een deel van het adresplan weergegeven. Het blauwe gedeelte dat via EUI64 autoadressering wordt toegewezen, of statisch wordt ingevoerd.

Voor de switches en routers is er een apart /64 subnet toegewezen.

Namelijk DC voor switches en DD voor routers. Deze krijgen allemaal een statisch IPv6 adres uit deze reeks. Dit heeft als voordeel dat een router en switch altijd te herkennen zijn aan de hand van het IPv6 adres. Er is rekening gehouden met DHCPv6. Als DHCPv6 in gebruik wordt genomen, kunnen deze /64 subnetten zelf gebruikt worden. Dit adresplan voldoet dan ook aan deze eis. Er is rekening gehouden met uitbreiding. Per locatie zijn subnetten gereserveerd voor uitbreiding. Als er een nieuwe locatie komt kan het toegevoegd worden op een van de gereserveerde plekken. Voorbeeld:

Heeft een host de IPv6 adres: 2020:550:330:B633:xxxx:xxxx:xxxx:xxxx, dan is dat een beheerder uit vlan 933 die op de uithof zit op het adres Jenalaan 18b. Het complete adresplan is in de bijlage 2 weergegeven.

10 Testnetwerk

10.1 Borderrouter configuratie Eerst wordt IPv6 globaal aangezet met de volgende commando’s: Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ipv6 unicast-routing 6Router(config)#ipv6 multicast-routing

Hier merk je niets van, omdat IPv6 nog niet op de individuele interfaces is gezet. Eerst wordt een loopback aangemaakt, zodat er gepingt en gekeken kan worden of deze werkt. Router#conf t Router(config)#interface loopback0 Router(config-if)#ip address 162.20.1.2 255.255.255.0 Router(config-if)#ip pim sparse-mode Router(config-if)#ipv6 address 2020:550:330::1/64

Vervolgens wordt er op de twee uplink-VLANs (VLAN 1111 en VLAN 2111) naar surfnet hun uplink IPv6-adres toegevoegd. Router#conf t Router(config)#interface vlan1111 Router(config-if)#ipv6 address 2020:550:7000::2/64 Router(config-if)#interface vlan2111 Router(config-if)#ipv6 address 2020:550:F01:7004::6/64

Vervolgens zijn er aanpassingen gedaan in de Border Gateway Protcol (BGP) configurate, zodat het IPv6-netwerk ook bereikbaar wordt.

De volgende BGP commando’s zijn gebruikt om deze toe te passen. Er is geen nieuwe BGP ontworpen voor IPv6, dit betekent dat het op dezelfde manier als bij IPv4 wordt ingevoerd. BGP commando's: Router#conf t Router(config)# router bgp as-nummer Router(config-router)#{ip-addres|ipv6addres|peer-groupname}remote-as as number Router(config-router)#[vrf vrfname][unicast][multicast|vpnv6] Router(config-router)#neighbor{ip-address|peer-groupname|ipv6-addres}activate

Hier is in het rood te zien wat de toevoegingen zijn voor IPv6 in de BGP configuratie van de border router. router bgp 65220 bgp log-neighbor-changes neighbor 2020:550:F01:7000::1 remote-as 1103 neighbor 2020:550:F01:7000::1 description SURFnet6 router 1 neighbor 2020:550:F01:7000::1 password 7 XXXXX neighbor 2020:550:F01:7004::5 remote-as 1103 neighbor 2020:550:F01:7004::5 description SURFnet6 router 2 neighbor 2020:550:F01:7004::5 password 7 XXXXX neighbor 145.145.17.1 remote-as 1103 neighbor 145.145.17.1 description SURFnet6 router 1 neighbor 145.145.17.1 password 7 XXXX neighbor 145.145.17.5 remote-as 1103 neighbor 145.145.17.5 description SURFnet6 router 2 neighbor 145.145.17.5 password 7 XXXX ! address-family ipv4 neighbor 2020:550:F01:7000::1 activate neighbor 2020:550:F01:7004::5 activate neighbor 145.145.17.1 activate neighbor 145.145.17.1 prefix-list SURFnet-default in neighbor 145.145.17.5 activate neighbor 145.145.17.5 prefix-list SURFnet-default in no auto-summary no synchronization network 162.20.0.0 aggregate-address 162.20.0.0 255.255.0.0 summary-only exit-address-family !

address-family ipv4 multicast neighbor 145.145.17.1 activate neighbor 145.145.17.5 activate no auto-summary network 145.89.0.0 exit-address-family ! address-family ipv6 neighbor 2020:550:F01:7000::1 activate neighbor 2020:550:F01:7000::1 prefix-list SURFnetipv6default in neighbor 2020:550:F01:7004::5 activate neighbor 2020:550:F01:7004::5 prefix-list SURFnetipv6default in network 2020:550:330::/48 aggregate-address 2020:550:330::/48 exit-address-family

Ook is er een IPv6 route nodig naar de firewall voor het hele prefix. # ipv6 route 2020:550:330::/48 2020:550:330:DD30::2

En een prefix filter voor de BGP zodat alleen een default route wordt geaccepteerd. # ipv6 prefix-list SURFnetipv6-default seq 5 permit ::/0

10.2 Firewall-configuratie De firewall heeft VLAN 30 naar buiten toe en VLAN 31 naar binnen toe. Voor beide richtingen is een IPv6 adres nodig. interface Vlan30 nameif outside security-level 0 ip address 162.20.1.42 255.255.255.248 ipv6 address 2020:550:330:dd30::2/64 ! interface Vlan31 nameif inside security-level 100 ip address 162.20.1.65 255.255.255.248 ipv6 address 2020:550:330:dd31::1/64

Vervolgens wordt een route naar het interne netwerk opgezet. # ipv6 route 2020:550:330::/48 2020:550:330:DD30::2

En een default route naar de borderrouter.

# ipv6 route outside ::/0 2020:550:330:dd30::1

Nu een acces-list om het verkeer toe te staan van binnen naar buiten. # ipv6 access-list inside-in permit ip 2020:550:330::/48 any

En deze toevoegen aan een interface # access-group inside-in in interface inside

Aan de firewall zit de FNT – NETlab, die de vrijheid krijgen om zelf hun subnetwerk te bouwen. NETlab is een onderdeel van FNT. Deze faculteit geeft onder andere ICT-lessen. Ook richten zij hun eigen netwerk in, daarom krijgen ze een /56 en zijn van daar uit vrij in het verder verdelen. De reeks die aan NETlab is toegewezen is volgens het subnetplan de 2020:550:330:CD00:: / 56 reeks. Als eerste krijgt de interface een adres. interface Vlan607 nameif FNT-NetLab security-level 9 ipv6 address 2020:550:330:dd07::1/64

Een route aanmaken naar netlab toe. # ipv6 route FNT-NetLab 2020:550:330:cd00::/56 2020:550:330:dd07::2

Een access-list zetten op het interface netlab en deze toevoegen aan de interface’s. # ipv6 access-list inside-in permit ip 2020:550:330::/48 any # access-group inside-in in interface FNT-NetLab

10.3 Configuratie core-router 1 Hier moet IPv6 ook aangezet worden. # ipv6 unicast-routing

Vervolgens een IPv6 adress toevoegen aan VLAN 31, de uplink naar de firewall en het beheer-VLAN, VLAN 933, van SSC-ICT. interface Vlan31 description uplink naar firewall ip address 162.20.1.66 255.255.255.248 no ip redirects ip route-cache flow ipv6 address 2020:550:330:DD31::2/64 ! interface Vlan933 description SSC-ICT beheer VLAN ip address 162.20.8.1 255.255.255.0 ip route-cache flow ipv6 address 2020:550:330:B633::1/64 ipv6 enable ipv6 nd ra-interval 30

En de default route naar het firewall. # ipv6 route ::/0 2020:550:330:DD31::1

Nu is IPv6 beschikbaar op VLAN 933 van SSC-ICT en Netlab. In de command prompt wordt het commando “ show addres” gebruikt. Nu is te zien dat er een IPv6 op de interface staat. Deze is volgens de EUI64. Duidelijk is dat het ip adres moet beginnen met 2020:550:330:B633: in combinatie met het MAC adres van het interface “00-13-21-67-BA-87” . Het globale IPv6-adres zou dus 2020:550:330:B633:0213:21FF:FE67:BA87 moeten zijn.

Het is te zien dat er verschillende IPv6 adressen zijn toegekend aan de local Area Connection. Het zijn namelijk de global de public en de link-local adres. De global adres is net als een publieke IPv4 adres globaal bereikbaar en dat is het 2020:550:330:B633:552E:8900:2054:6776 adres. Dit adres is niet het EUI-64 adres dat via het MAC adres is verkregen, maar een willekeurig gegenereerde adres. Dit is zo, omdat door gebruik van het MAC adres een node bespioneerd kan worden, omdat het MAC adres altijd hetzelfde blijft en de node te herkennen is door de IPv6 adres. Daarom is in Windows XP en Server 2003 de random-indentifier-based global adresses standaard aangezet, waardoor een node niet makkelijk te tracen is. Het EUI-64 adres wordt lokaal gebruikt en het willekeurige adres is tijdelijk voor globaal

gebruik. Daarom is in de test hieronder het IPv6 adres niet de EUI-64 adres. FE80:213:21FF:FE67:BA87%4 bevat het link local adres van de host FE80:213:21FF:FE67:BA87 en de zone ID dat is toegewezen aan het adres %4. Voor de zekerheid een IPv6 test op http://www2.surfnet.nl/ipv6/ .

Een smile betekent dat de IPv6 wereld te bereiken is.

10.4 Wireless configuratie Er is bij één wireless vlan een IPv6 prefix toegevoegd. interface Vlan940 description 940-HVU-Wireless(204) ip address 162.20.84.1 255.255.252.0 secondary ip address 162.20.204.5 255.255.252.0 ip access-group deny-nntp-wlan in no ip redirects ip flow ingress ip pim sparse-mode ipv6 address 2020:550:330:C440::1/64 ipv6 enable ipv6 nd ra interval 30 end

10.5 Problemen 10.5.1 Probleem 1 Geconstateerd werd dat op het draadloze netwerk computers met verschillende prefixes aanwezig zijn en router advertisments uitsturen. Fout opsporing: 1. Er is gesnifferd met wireshark en de MAC adressen van de computers die de router advertisements stuurden achterhaald. 2. Deze MAC adressen zijn in quarantaine geplaatst. 3. Vervolgens hebben een aantal van deze studenten zich gemeld bij één van de steunpunten. 4. Het bleek dat al deze computers Windows Vista hadden.

10.5.1.1 NDP (Neighbor Discovery Protocol) IPv6 NDP protocol is een set van boodschappen en processen dat de relatie tussen de neighbor’s vast stelt (vergelijkbaar met ARP bij IPv4). Bij hosts wordt het gebruikt om de neighboring routers, adressen, adres prefixes en andere configuratie parameters te verkennen.

10.5.1.2 ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) ISATAP is een vertaalmechanisme, ISATAP codeert het IPv4 adres in het Interface Identifier deel van een IPv6 adres. De laatste 32 bits staan voor

het IPv4 adres. en de eerste 32 worden 02005EFE voor een globale adres of 02005EFE voor een privé-adres.

Vista maakt dus standaard voor ineterface op de host een ISATAP tunnel aan en gaat vervolgens ook ISATAP router discovery uitvoeren.

10.5.2 Teredo Is een eigen protocol van Microsoft, het tunnelt IPv6 door een IPv4 UDP poort voor het gedeelte van het netwerk dat IPv4 only is. Het zet automatisch een tunnel op. Teredo is standaard aan maar inactief in Vista. Het wordt actief zodra een programma wordt gebruikt dat Teredo nodig heeft of als de firewall wordt aangepast om Teredo te gebruiken. Windows Vista doet uiteindelijk het volgende: Het probeert eerst een IPv6 adres door de NDP protocol te verkrijgen, daarna via ISATAP (tunneling protocol) en als dat niet lukt via teredo. Omdat er een native IPv6 verbinding is willen we geen tunnels, en ook niet de advertisements die erbij komen. ISATAP en Toredo kunnen uitgezet worden in Vista volgens deze stappen. ISATAP via de netsh interface: Ga naar de Command prompt en voer de volgende commando’s in: C:\>netsh netsh>interface isatap set state state=disabled

Teredo via de netsh interface: Ga naar de Command prompt en voer de volgende commando’s in: C:\>netsh netsh>interface teredo set state state=disabled

Helaas kan niet verwacht worden dat alle gebruikers deze commando’s gaan invoeren. Daarom is besloten om deze te blokkeren.

In de acceslist is te zien dat UDP poort 3544 geblokkeerd wordt. Teredo gebruikt deze poort en wordt dus tegengehouden. Voor ISATAP is protocol 41 geblokkeerd. interface Vlan940 ip access-group deny-nntp-wlan in no ip access-list extended deny-nntp-wlan ip access-list extended deny-nntp-wlan deny tcp any any eq nntp deny tcp any any eq 563 deny udp any any eq 3544 deny 41 any any deny 42 any any deny 43 any any deny 44 any any deny 58 any any deny 59 any any deny 60 any any permit ip any any

10.5.3 Probleem 2 Er is op 1 wireless vlan IPv6 aangezet, namelijk VLAN 940. Ondanks dat alleen aan dit VLAN een IPv6-subnet is toegewezen, krijgen gebruikers uit een ander VLAN toch een IPv6 adres uit VLAN 940 en routeradvertisments van andere hosts met een prefix 2001:959::xx. Als aan een ander VLAN, bijvoorbeeld VLAN 942, een ander prefix wordt toegewezen, krijgt een gebruiker uit VLAN 942 toch een adres uit de range van VLAN 940. Voorbeeld van een client uit een ander VLAN, waar geen IPv6-prefix is toegewezen, die toch een IPv6-adres uit VLAN 940 krijgt.

wlan0

Link encap:Ethernet HWaddr 00:13:e8:81:56:7d inet addr: 162.20.65.5 Bcast: 162.20.67.255 Mask:255.255.252.0 inet6 addr: 2020:550:330:c440:213:e8ff:fe81:567d/64 Scope:Global inet6 addr: fec0::d:213:e8ff:fe81:567d/64 Scope:Site inet6 addr: 2002:9159:cffd:d:213:e8ff:fe81:567d/64 Scope:Global inet6 addr: fe80::213:e8ff:fe81:567d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:96737 errors:0 dropped:0 overruns:0 frame:0 TX packets:140 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:16037317 (16.0 MB) TX bytes:27407 (27.4 KB)

Duidelijk is te zien dat er een globaal IPv6-adres 2020:550:330:C440:213:E8FF: FE81:567D is toegewezen. Dat is een verkeerd IPv6-adres, want deze gebruiker mag helemaal geen IPv6-adres krijgen.

Het antwoord van Cisco op dit probleem is: There is an architectural issue in the 4400 WLCs. Originally NPU architecture (4400) only do IPv6 bridging, so it can NOT take the broadcast from the vlan assigned by AAA, and carry over replacing the broadcast for the WLAN interface. Basically, the client, no matter what is the vlan assigned by the radius server, continued to receive the traffic from the interface vlan. This is documented in CSCsv79914: http://tools.cisco.com/Support/BugToolKit/search/getBugDetail s.do?method=fet chBugDetails&bugId=CSCsv79914 This was first found in 5.1.151.0 however it also applies to 5.2.x which you are running. As we can read in the Bug Toolkit: Currently the fast path blindly bridges the IPv6 packets. Almost nil processing is done. Hence to support override we would require complete support of IPv6 and the DHCPv6. This is not currently in our radar. Hence we will not be able to support this feature currently. This would be available once we fully support IPv6. Which means that IPv6 is not fully functional yet in the current WLCs software. Action Plan: ----------So I afraid but at the moment the only option we have is to disable AAA override on the WLANs (if possible) to see if it has any change.

Het is dus een fout in de architectuur van de WLC 4400. Dit betekent dat er voorlopig geen volledige IPv6 ondersteuning in de WLC 4400 zit. Het zal waarschijnlijk IOS update in de toekomst wel gaan ondersteunen.

11 Impactanalyse applicatielandschap 11.1 Osiris OSIRIS is het Studenten Informatie, Registratie en Inschrijf Systeem van Hogeschool Utrecht. Studenten kunnen zich inschrijven voor cursussen, toetsen en de resultaten en rooster inkijken en ook adresgegevens wijzigen. Docenten en begeleiders krijgen toegang tot OSIRIS om cijfers in te voeren en de studieloopbaan van de student te bekijken. In OSIRIS worden belangrijke gegevens van iedere student geregistreerd, zoals:     

Persoonsgegevens (naam, adres, geboortedatum, etc.) Inschrijvingsgegevens (opleiding, aanvangsjaar opleiding, etc.) Het cursusaanbod en het onderwijs- en tentamenrooster Inschrijvingen voor cursussen Resultaten

11.1.1 Techniek Osiris bestaat uit een drie-lagen architectuur:   

De presentatielaag die web gebaseerd is en in een browser draait. De applicatielogica die op een applicatieserver draait. De databaselaag waar gegevens centraal worden opgeslagen in een Oracle database en daarnaast open standaarden J2EE en Web Services.

De applicatieserver maakt gebruik van de Oracle Applicatie Server voor alle selfservice-deelsystemen namelijk: 

Student, Docent en Begeleider.

En backoffice-deelsystemen namelijk: 

Inschrijving en Studievolg.

11.1.2 Huidige situatie Momenteel is Osiris Versie 4.4.2/03 in gebruik en draait op Oracle 10.1.2.0.2 32 bit, op een Oracle RAC (Real Application Cluster) omgeving. Een RAC geeft de mogelijkheid dat twee of meer computers gelijktijdig toegang hebben tot één gegevensbestand. In de planning staat, om op 24 april over te stappen naar Osiris versie 4.4.3 op nieuwe database servers met Oracle 11.1.07.0 64 bit 11g op Linux servers. In de afbeelding is de nieuwe opstelling te zien. De communicatie is nu gebaseerd op IP adressen. Het is mogelijk om het op DNS basis te laten werken.

11.1.3 IPv6 ondersteuning Om achter te komen of Osiris IPv6 wel of niet ondersteunt, wordt er gekeken of Oracle IPv6 ondersteunt. Dit omdat Osiris gebaseerd is op Oracle.

11.1.3.1 Oracle Application Server 10g (10.1.2.0.0, 10.1.2.0.2). Deze versies komen standaard met Oracle HTTP Server gebaseerd op Apache 1.3. Deze versie ondersteunt geen IPv6. Er is wel een Standalone Oracle HTTP server gebaseerd op Apache 2.0 die wel IPv6 ondersteunt. Verder ondersteunt deze versie van Oracle IPv6 niet.

11.1.3.2 Oracle Application server 11g In Oracle release 11.1.0.6 is er ondersteuning voor IPv6 toegevoegd. Dit betekent dat vanaf versie 11.1.0.6 IPv6 wordt ondersteund. De Oracle Fusion server kan ingesteld worden met een IPv6 of IPv4 adres en kan vervolgens communiceren met IPv6 en IPv4 adressen van cliënts op hetzelfde moment. De Oracle Fusion producten kunnen ingesteld worden met een IPv6 of IPv4 adres en kan vervolgens communiceren met servers op IPv6 en IPv4 adressen op hetzelfde moment. Verder ondersteunt Oracle Database 11g de volgende componenten in IPv6:   

Databases in single-instance mode met local listeners, voor dedicated en shared server modes. Oracle Connection Manager. Database links.

11.1.3.3 Osiris Bij Osiris staat het onderwerp IPv6 nog niet op de agenda. Osiris heeft zelf de werking en ondersteuning van IPv6 nog niet onderzocht.

11.1.4 Conclusie Dit betekent dat de huidige Osiris installatie op Oracle AS 10.1.2 IPv6 niet ondersteunt. In de planning staat dat op 24 april 2009 wordt overgestapt naar Oracle 11.1.07.0 64 bit 11g. Na deze overstap naar Oracle 11g kan IPv6 wel ondersteund worden. Met Oracle 11g kan er dus getest worden in welke mate IPv6 ondersteund zal worden. Het belangrijkste is dat de presentatielaag op IPv6 bereikbaar is, omdat de gebruikers via een web interface toegang krijgen tot Osiris. De Oracle databases 11g zullen IPv6 ondersteunen. Hoe en wat er niet zal werken moet zorgvuldig getest worden in de testomgeving. Het is onhandig dat bij het installeren van Osiris / Oracle, IP adressen worden ingevoerd. Als deze in een productieomgeving aangepast worden kunnen lastige situaties ontstaan. Om dit te voorkomen moet er dan een

herinstallatie gedaan worden. Een productieomgeving wordt 3 à 4 jaar in gebruik gehouden. Dit betekent dat als IPv6 toegevoegd wordt, waarschijnlijk de productieomgeving eerder moet worden vernieuwd of opnieuw geconfigureerd.

11.2 SharePoint

SharePoint is een intranet-variant van Microsoft, het primaire doel van intranet is het elektronisch delen van informatie binnen een organisatie en te zorgen dat de juiste informatie bij de juiste persoon terecht komt. Door dit intranet aan het internet te verbinden is het delen van informatie niet alleen intern maar ook internet breed te bereiken. SharePoint concentreert zich op het delen en samenwerken vanuit de Office Suite omgeving. Het is voorzien van gepersonaliseerde forums, enquêtes, takenlijsten, kalender en zoekfunctionaliteiten en biedt ondersteuning voor het uitwisselen van documenten. Er zijn twee varianten van SharePoint op de markt. 1. Windows SharePoint Services (WSS). De nadruk ligt bij WSS op de zogenaamde collaboratietoepassingen, “handige functionaliteiten voor het werken in teams”. 2. Microsoft Office SharePoint Server (MOSS) Bij MOSS ligt het accent op de integratie met andere applicaties zoals Microsoft Office. MOSS biedt daarnaast ook uitgebreide zoekfunctionaliteiten en mogelijkheden tot persoonlijke subsites. HU heeft Microsoft Office SharePoint Server 2007 in gebruik.

11.2.1 Huidige situatie In de huidige situatie wordt Microsoft Office SharePoint Server 2007 gebruikt, deze draaien op Windows 2003 servers. De SQL servers draaien Microsoft SQL server 2005 op Windows Server 2003 machines. De SQL server waar SharePoint naar verwijst is geen fysieke machine, maar een DNS naam voor het hele cluster. SharePoint ziet dus alleen het cluster (UMDW39 in onderstaande tekening) en de loadbalacing gebeurt op IP basis.

Een upgrade is in gang gezet. De front-end servers worden in september 2009 Windows Server 2008 machines en SQL Servers gaan ook op Windows Server 2008 machines draaien.

11.2.2 IPv6-ondersteuning Om er achter te komen of SharePoint IPv6 ondersteunt, zijn de volgende onderdelen belangrijk.   

Microsoft Office SharePoint Server 2007 Microsoft Windows Server 2003 - 2008 Microsoft SQL Server

11.2.2.1 Microsoft Office SharePoint Server 2007 SharePoint Server 2007 kan in de volgende omgevingen werken:   

IPv4 only omgeving. IPv4 en IPv6 (dual stack) omgeving. IPv6 only omgeving.

11.2.2.2 Microsoft Windows server 2003 – 2008 Windows Server 2003 ondersteunt SharePoint IPv4-only en dual stack. Windows Server 2008 ondersteunt SharePoint IPv4-only dual stack en IPv6 only.

11.2.2.3 Microsoft SQL Server SharePoint maakt gebruik van SQL Server als back-end database support. Als er een IPv6-omgeving gecreëerd wordt, moet er gebruik gemaakt worden van SQL Server 2005 of later, omdat pas bij deze versie IPv6 wordt ondersteund. Als het op Windows Server 2008 wordt geïnstalleerd, moet SQL 2005 Service Pack 2 of later geïnstalleerd worden.

11.2.3 Conclusie Dit betekent dat SharePoint in de huidige omgeving IPv6 in een dual stack mode ondersteunt. Omdat er al een upgrade gepland staat in september 2009 naar Windows server 2008 wordt aangeraden om in de nieuwe omgeving met IPv6 aan de slag te gaan. De nieuwe omgeving van SharePoint gaat IPv6 dus volledig ondersteunen.

11.3 Vubis Smart Vubis Smart is een geïntegreerd bibliotheeksysteem waarmee bibliotheken informatie uit alle type bronnen en formaten kunnen beheren

en presenteren. Verder biedt het ook administratieve hulpmiddelen. Medewerkers kunnen meerdere formaten, databases, indexen en zoekmethodes definiëren. Het bevat ook een web-applicatie, genaamd VubisWeb. VubisWeb biedt de gebruikers de mogelijkheid om online boeken, video’s en cd’s te reserveren of verlengen.

11.3.1 Huidige situatie

VubisSm@rt is gebaseerd op de Caché database. Momenteel is Caché versie 5.0.5.936.2 in gebruik en draait op Windows Server 2003. Van Infor, de ontwikkelaar van Vibus, is het volgende vernomen: “Vubis geeft een client een poort en maakt geen gebruik van IP nummers, en zal dus niet veel gevolgen hebben.”

11.3.2 IPv6-ondersteuning Vanaf Caché 2009.1 wordt IPv6 ondersteund. Caché 2009.1 is voor de volgende besturingssystemen beschikbaar:       

Apple Mac OS X 10.4, 10.5 for x86-32 HP OpenVMS 8.2-1, 8.3, 8.3-1H1 for Itanium IBM AIX 5L V5.2, V5.3, 6.1 for System p-64 Microsoft Windows 2000, XP Pro, Server 2003, Server 2008, Vista for x86-32 Microsoft Server 2003, Server 2008, Vista for x86-64 Red Hat Enterprise Linux AS v.4, 5 for x86-32 SUSE Linux Enterprise Server 9, 10 for x86-32

11.3.3 Conclusie Vubis kan IPv6 ondersteunen, mits deze op Caché 2009.1 of een nieuwere versie draait, omdat IPv6 pas in deze versie wordt ondersteund. Server 2003 ondersteunt Caché 2009.1 waardoor het besturingsysteem niet vernieuwd hoeft te worden. De impact zal volgens Infor dus minimaal zijn.

11.4 Dynamics AX Microsoft Dynamics AX wordt bij HU als BackOffice gebruikt. Het zorgt voor automatische verwerking en herkennen van facturen. Hierdoor wordt er veel geld en tijd bespaard in betalingsprocessen.

11.4.1 Huidige situatie Dynamics AX is door een externe leverancier opgezet, namelijk HSO. Er is conatct gelegd met HSO en de vraag gesteld in welke mate Dynamicx AX IPv6 ondersteund.

11.4.2 IPv6-ondersteuning HSO de leverancier van Dynamics AX heeft de vraag ondertussen aan Microsoft gesteld.

11.4.3 Conclusie Het is nog onbekend in welke mate Dynamics IPv6 zal ondersteunen. Als HSO antwoord heeft gekregen van Microsoft, zal het duidelijk zijn in welke mate IPv6 ondersteund wordt.

12 Eindconclusies en aanbevelingen 12.1 Netwerk De border router ondersteunt nu IPv6 softwarematig, in een begin fase kan deze het IPv6 verkeer aan. Wordt IPv6 echt in productie genomen dan moet deze vervangen worden. Door het softwarematig afhandelen van het IPv6 verkeer wordt het processorgebruik anders te hoog. In 2012 wordt geen onderhoud support meer geleverd voor de supervisor 2. Dit betekent dat via de afschrijfmethode een vervangende router aangeschaft kan worden. Voor de Wireless Lan Controllers 4404 moet er afgewacht worden wanneer deze IPv6 volledig zullen ondersteunen.

12.2 Besturingssystemen De impact op de besturingssystemen is minimaal, omdat alle besturingssystemen een verbinding kunnen maken met IPv6. Als DHCPv6 gebruikt gaat worden, moet er een test uigevoerd worden om te onderzoeken of Dibbler DHCPv6 of de WIDE KAME DHCPv6 de beste oplossing is. Beheerders moeten opletten voor ongewild IPv6-verkeer in een IPv4-only omgeving. Dit kan door een netwerktool te gebruiken dat ook IPv6 verkeer kan herkennen.

12.3 Netwerkmanagementtools Bij de netwerktools is de impact verdeeld. De een ondersteunt het gedeeltelijk, de andere helemaal en weer een ander helemaal niet. Dit is een minpunt voor IPv6 omdat er weinig tools op de markt zijn die IPv6 volledig ondersteunen. Makers zien pas de noodzaak van IPv6 als een grote organisatie aandringt om IPv6 ondersteuning aan te bieden.

12.4 Applicaties Bij de onderzochte applicaties is te merken dat als deze IPv6 niet ondersteunen in de huidige situatie, het wel mogelijk zal zijn in een update. Dit houdt in dat de impact matig is op de onderzochte applicaties. Deze worden via een onderhoudscontract geüpdate.

12.5 Aanbevelingen Het is belangrijk om als vaste eis te stellen, dat alle nieuwe diensten en apparatuur IPv6 NATIVE moeten ondersteunen. Met de nadruk op NATIVE, zodat het duidelijk is dat IPv6 echt wordt ondersteund en niet gedeeltelijk. Zo wordt er voorkomen dat belangrijke functies IPv6 niet zullen ondersteunen. Omdat de IPv4 adressen zullen blijven bestaan is er geen deadline voor invoering van IPv6 aanwezig. Hierdoor kan op lange termijn gepland worden zodat de kosten minimaal blijven. Omdat het netwerk niet goed beveiligd is voor IPv6 kunnen bij het draaien van dual stack beveiligingsgaten in het netwerk ontstaan. IPsec voor IPv6 biedt veel mogelijkheden om een netwerk te beveiligen. Daarom is het belangrijk om de mogelijkheden voor IPv6 te bestuderen.

13 Lijst van afkortingen en definities ACL CMM

Access Control List Capability Maturity Model

Cookbook DHCP DHCPv6 DNS E/T

Handleiding Dynamic Host Configuration Protocol Dynamic Host Configuration Protocol versie 6 Domain Name System Elektrotechniek / Telematica

EUI-64 FCJ

Extended Unique Identifier Faculteit Communicatie en Journalistiek

FEM

Faculteit Economie en Management

FE FG FNT

Faculteit Educatie Faculteit Gezondheidszorg Faculteit Natuur en Techniek

FMR

Faculteit Maatschappij en Recht

HUA

Hogeschool Amersfoort

HU IETF

Hogeschool Utrecht The Internet Engineering Task Force

IPv4 IPv6 IT

Internet Protocol Version 4 Internet Protocol Version 6 Informatie Technologie

ITIL IPng MAC adres

Information Technology Infrastructure Library Internet Protocol next generation Hardware-adres van een netwerkkaart

NAT

Network address translation

OUI code

Organizational Unique Identifier

OS

Operating System (Besturingssysteem)

SSC - ICT

Shared Service Center – Informatie Communicatie Technologie Shared Service Center Faciliteiten

SSC – F

SSC – A

Shared Service Center Administration

SLM

Service Level Management

VPN

Virtueel Privé Netwerk

14 Referenties 14.1 Websites http://www.cisco.com/ http://research.microsoft.com/en-us/default.aspx http://www.security.nl/article/13264/3 http://www.dohd.org/~xaa/ipv6/ipv6technical.3.html http://wiki.go6.net/index.php?title=IPv6_101 http://inetcore.com/project/ipv4ec/index_en.html http://users.telenet.be/bdr/IPv6/IPv4_2_IPv6.html http://www.6diss.org/e-learning/ http://www.ngn.nl/ngn/weblogs/martijn-bellaard/why-natsucks/?waxtrapp=nueytIsHyoOtvOXEaMtLJ http://blog.master-it.nl/blog0059/De_opbouw_van_een_IPv6_adres.htm http://www.6net.org/ http://www.ipv6spaceodyssey.nl/wordpress/ http://www.ipv6.com/index.htm http://www.stack.nl/ipv6/stackplan.html http://oss.oetiker.ch/mrtg/doc/mrtg.en.html http://www.exaprotect.com/products/changemanager/index.php http://h10026.www1.hp.com/netipv6/Ipv6.htm http://www.huque.com/~shuque/doc/penn-ipv6-plan.html http://www.stack.nl/wiki/IPv6#Native_IPv6_subnets http://support.openview.hp.com/encore/products.jsp https://h10078.www1.hp.com/cda/hpms/display/main/hpms_content.jsp?zn =bto&cp=1-10%5E36657_4000_100__&jumpid=reg_R1002_USEN http://www.hsombs.com/sites/NL/Branches/Pages/Onderwijs.aspx http://www.vubis-smart.com/html/ensolutions.htm http://technet.microsoft.com/en-us/library/cc748834.aspx http://www.cisco.com/en/US/docs/ios/ipv6/configuration/guide/ip6_voip_ps6 441_TSD_Products_Configuration_Guide_Chapter.html#wp1054109

14.2 Literatuurlijst IPv6 Essentials Running IPv6 Configuring IPv6 for Cisco IOS Implementing Multiprotocol BGP for IPv6 Start Here: Cisco IOS Software Release Specifics for IPv6 Features Cisco IOS IPv6 Configuration Guide Release 12.4

ISBN: 0-596-00125-8 ISBN: 1-59059-527-0 ISBN: 1-928994-84-9 Cisco sheet Cisco sheet Cisco sheet Cisco sheet

15 Bijlage 1: IPv4 adresplan Doel

IP Telefonie

Leernetwerk

Nonrouted

Omschrijving

Netwerk

VLA N ID

HU IP Tel Uithof

162.20.200.0

931

HU IP Tel Uithof

162.20.68.0

932

HU IP Tel Binnenstad

162.20.176.0

936

HU IP Tel Amersfoort

162.20.228.0

937

HU IP Tel Uithof

162.20.72.0

939

HU Leernetwerk

162.20.21.0

914

FE NGT Practicum

162.20.26.0

926

FE NGT Practicum

162.20.27.0

927

FNT Netlab

162.20.180.0

route d

FNT Netlab

162.20.184.0

route d

FNT Netlab

162.20.192.0

route d

FNT Netlab

162.20.194

route d

non-Route Vlan1

901

902-HVUNonroutPinAuto (xx)

902

Bijzonderhed en

Doel

Omschrijving

Netwerk

non-Route Vlan3 Servers binnenstad

Servers Uithof

VLA N ID

Bijzonderhed en

903

HU DMZ webservers

162.20.57.0

950

HU DMZ mail DNS

162.20.83.0

951

Beheer Servers

162.20.30.0

952

HU specifiek

162.20.31.0

953

Faculteit Administratief

162.20.33.0

954

Faculteit Specifiek

162.20.39.0

955

HU Database Back-end

162.20.34.0

956

HU Firewall en Security

162.20.82.0

957

HU onderwijs Zandbak

162.20.56.0

959

HU AD Root

162.20.136.0

970

HU AD Studenten

162.20.137.0

971

HU AD Medewerkers

162.20.138.0

972

HU AD BIS

162.20.139.0

973

HU DMZ webservers

162.20.196.0

960

HU DMZ ISA/VPN inside

162.20.197.0

984

ISA/VPN inside int.

Doel

Omschrijving

Netwerk

VLA N ID

HU DMZ mail DNS

162.20.38.0

961

Beheer Servers

162.20.59.0

962

HU specifiek

162.20.60.0

963

Faculteit Administratief

162.20.61.0

964

Faculteit Specifiek

162.20.62.0

965

HU Database Back-end

162.20.63.0

966

HU Firewall en Security

162.20.36.0

967

HU onderwijs Zandbak

162.20.58.0

969

HU AD Root

162.20.112.0

980

HU AD Studenten

162.20.113.0

981

HU AD Medewerkers

162.20.114.0

982

HU AD BIS

162.20.115.0

983

Testservers binnenstad

HU Testservers

162.20.52.0

958

Testservers uithof

HU Testservers

162.20.55.0

968

Test werkplekken

HU Radia-Test

162.20.9.0

938

Werkplekken

FMR Hooglandseweg

162.20.48.0

1

Bijzonderhed en

Doel

Omschrijving

Netwerk

VLA N ID

Quarantaine Netwerk

162.20.13.0

909

FE Padualaan 97

162.20.216.0

910

FCJ Padualaan 99

162.20.224.0

912

FCJ Padualaan 99

162.20.232.0

913

FEM Padualaan 101

162.20.236.0

915

FEM Padualaan 101

162.20.240.0

916

FNT Oudenoord 700

162.20.128.0

917

FNT Medewerkers Binnenstad

162.20.140.0

918

FNT Studenten Binnenstad

162.20.124.0

919

HU Shared Service Centre

162.20.144.0

920

HU Grebbeberglaan

162.20.80.0

921

FNT FC Donderstraat

162.20.120.0

922

HUA HU Amersfoort

162.20.244.0

923

CO Oudenoord 330-370

162.20.50.0

924

Bijzonderhed en

Doel

Wireless

Omschrijving

Netwerk

VLA N ID

Bijzonderhed en

FMR Heidelberglaan 16

162.20.212.0

925

FG Bolognalaan 101

162.20.208.0

930

ICT Beheer Uithof

162.20.8.0

933

HU Facilities Uithof

162.20.132.0

934

Facilities Binnenstad

162.20.92.0

935

HU Wireless Stud1

162.20.84.0

940

Studenten FNT

HU Wireless Stud1

162.20.204.0

940

Studenten FNT

HU Wireless Gasten eduroam

162.20.108.0

941

Gasten (Eduroam)

HU Wireless Med1

162.20.64.0

942

Medewerkers

HU Wireless Stud2

162.20.76.0

944

Studenten FE FEM

HU Wireless Stud3

162.20.96.0

945

Studenten FCJ

HU Wireless Stud4

162.20.100.0

946

Studenten FMR FG

16 Bijlage 2: IPv6 adresplan

}

}

}

}

}

}

}

}

}