IPv6 implementatie - lessons learned T. Brouwer - LUMC
Inhoud • Inleiding • Plan • Aanpak • Bereikbaar op IPv6 • Lessons learned • IPv6 IP-plan • 1e jaar • Conclusie
Inleiding In 2011 en 2012 is het voornemen er geweest om het LUMC voor te bereiden en (m.n. de externe verbinding) om te zetten naar Ipv6. Door werkdruk en andere prioriteitstelling is dit telkens vooruit geschoven Het moment dat dit echt moest kwam snel naderbij. De IPv4 adressen raken op en er zijn al organisaties (bvb in China) die geen IPv4 adressen meer krijgen. Om als LUMC bereikbaar te blijven en in staat te zijn de rest van de wereld te blijven bereiken is overgang van IPv4 naar IPv6 extern vereist. Lesson learned: • Lastig op de agenda te krijgen - geen functionele toevoeging op overvolle budget en bemensing
Workshop IPv6 - SURFnet - 4 december 2014
Plan Bij het vernieuwen van de Firewall omgeving zal deze als externe koppelvlak direct geschikt moeten worden gemaakt voor IPv6. Het doorvoeren van IPv6 organisatie breed is in 2013 niet haalbaar, mede vanwege het niet geschikt zijn voor IPv6 van diverse systemen (m.n. medische). Het is mogelijk niet wenselijk om langere tijd met een dubbele suite te draaien in het LUMC, dit kost extra resources van het netwerk. Daarom wordt in 2013 alleen het externe koppelvlak, dus de “buitenkant” gemigreerd naar IPv6. Hiervoor is nodig een vertaal omgeving van IPv4 systemen naar IPv6.
Workshop IPv6 - SURFnet - 4 december 2014
Aanpak Nieuwe Firewall omgeving aangeschaft, incl externe routers, geschikt voor Ipv6 en 10 Gb en BGP routing. In het plan waren de 10 Gb IPv6 BGP routers nog 6500 Cisco catalysts. Ten tijde van implementatie was er de 4500. Lesson learned: • 10 Gb Ipv6 BGP router was nog schaars.
Workshop IPv6 - SURFnet - 4 december 2014
Bereikbaar op IPv6 Sessie met specialist, Routz Vastgesteld welke bereikbaarheid gewenst is: DNS(sec), Mail en Web Zoektocht naar nieuwe proxy omgeving. Microsoft ondersteunde geen IPv6. Gekozen voor F5 Big-IP. Voorbereiding (fase 0)
IPv6 IP plan opgesteld!
Webdiensten op IPv6 voor (externe) gebruikers
Ontwerp richtlijnen 1e fase
IPv6 nummer reeks aanvragen
Opstellen en verdeling Nummerplan
Fase 2
Compliancy Scan
Opleiding beheerders
Eigen infrastuctuur inrichten op IPv6 (Dual Stack)
Lesson learned: Uitfaseren IPv4
• Beperk scope • Doe vooraf IPv6 compatibility check • Betrek kennis van specialist (Routz en Vosko)
Fase 3
Fase 4
Extern gerichte diensten ook inrichten voor externe IPv6 users Keuze Translatie of Dual Stack naar interne gebruikers
Eindgebruikers toegang naar externe diensten op IPv6
Workshop IPv6 - SURFnet - 4 december 2014
Fase 1
Translatie Ipv4 IPv6
Aanpassen interne gebruikers
Uitfaseren translatie
Verdeling en uitgifte nummerplan
Aanpassen interne netwerk diensten
Netwerk Architectuur opstellen
Opruimen IPv4
Lessons learned Voor IPv6 hebben we veel input gekregen van Routz. Hieruit kwamen 2 punten: Voor het publiceren van websites op het internet gebruiken we een proxy omgeving, Microsoft TMG. Dit product is verouderd en ondersteund geen IPv6 op een goede manier. Voor IPv6 toegang van buitenaf is een F5 ADC appliance aangeschaft zodat we wel met IPv6 vanaf het internet bereikbaar zijn. Bij het opstellen van het IPv6 IP plan bleek toch een knelpunt in de mogelijkheden. IPv6 bied een veel grotere adres space dan IPv4 maar er is slechts beperkt ruimte voor subnetting, in IPv4 kan de hele adres space ook gesubnet worden (in de private 10.0.0.0 dus 24 bits om te subnetten), in IPv6 zijn er “slecht ”16 bits om het netwerk in subnets onder te verdelen. Door de redenatie van het huidige IPv4 plan wat los te laten is een goed plan tot stand gekomen. De inbreng van Routz zowel als technische input als bij het opstellen van het IPv6 IP plan was zeer waardevol. Er is een vervolg project geinitieerd om IPv6 verder uit te rollen.
Workshop IPv6 - SURFnet - 4 december 2014
IPv6 IP-plan
Workshop IPv6 - SURFnet - 4 december 2014
Het 1e jaar Vervolg project IPv6 is uitgesteld (ook weer voor 2015) Mogelijk opnemen in backbone vernieuwing – netwerk scheiding project
IPv6 verkeer nog laag:
Workshop IPv6 - SURFnet - 4 december 2014
Conclusie IPv6 komt zeker (“Internet of Everything”) Nu nog niet breed in gebruik Doe het – risico’s en kosten zijn beperkt Commitment vanuit de oprganisatie is moeilijk, voor en na de Campus Challenege Gebruik goede partners voor kennis (Routz en Vosko)
Workshop IPv6 - SURFnet - 4 december 2014
