1 IPv6 WAAROM HOE WANNEER Seminar Innoveer je campusinfrastructuur: DNSSEC en IPv6 4 december 2014 Niels den Otter2 IPv6 IP-versie 6 (IPv6) gaat werel...
Seminar Innoveer je campusinfrastructuur: DNSSEC en IPv6 – 4 december 2014 Niels den Otter
IPv6
“IP-versie 6 (IPv6) gaat wereldwijd doorbreken. Instellingen in Nederland hebben meestal nog voldoende IPv4-adressen, maar dat geldt niet voor de hele wereld. Steeds meer internetdiensten zullen alleen nog via IPv6 bereikbaar zijn. Een goede strategie voor de overstap is van groot belang. Tijdens dit seminar krijgt u daar handvatten voor.”
Waarom IPv6
Omdat de IPv4 adressen bijna op zijn
Alweer? Dat hoorden we een aantal jaar geleden ook…
Waarom IPv6 – IANA – RIR – LIR – instelling IANA Internet Assigned Number Authority
32 bits adressen weergegeven in dotted quad 195.169.124.100
Versie 6
128 bits adressen weergegeven in hex digit 2001:610::800a:195:169:124:100 2001:610:508:109:20e:35ff:fe75:80f5
Waarom IPv6 – headers Hdr Type of Ver. Len Service Identification Time to Protocol Live
Total Length Flg
Fragment Offset Header Checksum
Ver. Traffic Class Payload Length
Flow Label Next Header
Source Address Source Address
Destination Address Options...
Destination Address
Zoek het grootste verschil
Hop Limit
Waarom IPv6 – headers Ver. Traffic Class
Flow Label
Next Header (Length)
Next Hop Payload Length Header Limit
Extension header data
type Source Address
Destination Address
0
Hop-by-hop options
6
TCP
17
UDP
43
Routing header
44
Fragment header
58
ICMPv6
59
No next header
60
Destination options 9
Waarom IPv6 – IPv6 adresAdressen leesbaar maken 2001:0610:0510:A604:0000:0000:0000:0003 ①
‘leading zeroes’ weglaten 2001:0610:0510:A604:0000:0000:0000:0003 wordt 2001:610:510:A604:0:0:0:3
② opvolgende nullen mogen worden vervangen door “::” 2001:610:510:A604:0:0:0:3 wordt 2001:610:510:A604::3 Voorbeeld: 2001:0DB8:0000:0000:0000:0000:1428:57ab 2001:DB8::1428:57ab
Waarom (geen) IPv6 Oude mythen rond IPv6 • Betere QoS met IPv6 [Flowlabel] • IPv6 is veiliger dan IPv4 [Verplicht IPSEC]
IPSEC
QoS
IPv6 Excuses • Ik heb genoeg IPv4 adressen dus ik heb geen IPv6 nodig
• We hebben geen IPv6 nodig, NAT doet het prima • IPv6 is te ingewikkeld • IPv6 is onveilig • IPv6 is trager dan IPv4 • Dubbele stack is twee keer zoveel werk
• Het is beter om te wachten tot iedereen over is op IPv6
SURFnet & IPv6
13
IPv6… niet nieuw Jan 1997 SURFnet op 6BONE
Mei 2003 www.surfnet.nl op IPv6
2001/2002 Native IPv6
2002-2004 6NET EU Project
Aug 2002 ftp.surfnet.nl op IPv6 Nov 2002 Native IPv6 op AMS-IX
…. Alle SURFnet diensten over IPv6 Groeiend aantal instellingen aktief Cursussen en workshops
Mar 2004 IPv6-over-MPLS (6PE) 8 Juni 2011 Deelname World IPv6 Day
6 Jun 2012 Deelname World IPv6 Launch
SURFnet & IPv6 • SURFnet heeft een IPv6 allocatie van RIPE, nl 2001::610/32 • Instellingen krijgen een /48 toegekend • IPv6 routering geheel gelijk aan IPv6 gehouden • Wereldwijd verbonden met andere ‘dual-stack’ netwerken • Alle (externe) SURFnet diensten ondersteunen IPv6
SURFnet & IPv6 Routering - netwerk IPv6 in SURFnet routering geen rocket science • In de tijd steeds verder uitgebreid en gelijk getrokken met IPv4 • Zelfde protocollen als IPv4 (PIM, VRRP (v3), IS-IS, BGP, …) • Vrijwel gelijke configuratie IPv4 (interfaces, protocollen, …)
Let wel; alle security configuratie (control plane ACLs en toegang tot protocollen/router) integraal meenemen vanaf start
Op de aansluitingen • Filtering in routering (BGP) • Filtering op interfaces instellingen strict (anti-spoofing) • Filtering op interfaces extern loose uRPF
Op de routers •
Management en Control plane filters 21
SURFnet & IPv6 Ervaring leert dat • Huidige implementaties stabiel zijn • Routeringsprotocollen geschikt zijn voor IPv6 • Uitgebreide IPv6 ondersteuning in operating systemen Bijzondere aandachtspunten • Controleer volledigheid IPv6 implementatie (firewall, netwerk management, performance, …) • IPv6 adres allocatie (router advertisements en/of DHCPv6) • DNS • Security 22
Nog een lange weg te gaan…
23
Waar staan we met IPv6 – NL universiteiten / hogescholen
ip6.nl
De wereld & IPv6
25
IPv6 AS vs IPv4 AS
26
IPv6 om ons heen • World IPv6 Day (2011) en World IPv6 Launch (2012) hebben echte impuls aan IPv6 uitrol wereldwijd gegeven
• Veel grote en kleinere content providers hebben IPv6 volledig beschikbaar • Zeker laatste anderhalf jaar ook grote stappen bij access providers • Techniek divers; dual-stack, DS-Lite, CG-NAT • IPv6 is inmiddels wezenlijk onderdeel van het Internet. IPv4 oplossingen vaak complex / minder schaalbaar 27
IPv6 om ons heen – stats AMS-IX
28
IPv6 om ons heen – stats • Google • http://www.google.com/intl/nl/ipv6/statistics.html