Hvorfor skal man skifte nu? af Torben Rune IPv6 Hvorfor skal man skifte nu? af Torben Rune

Hvad siges der i medierne - 1 Computerworld d. 20 september 2010

Hvad siger medierne - 2 ZD-NET 9 august 2010

Hvad siger medirene - 3

Agenda Opsummering på IPv4 Status på IPv4 Opsummering på IPv6 Skifte scenarier Konklusioner

IPv4 IP version 4 er en IETF defineret kommunikationsprotokol Defineret i RFC 791 fra 1981 32 bits adresse, opdelt i 4 oktetter (Bytes) 232 mulige adresser (4.294.967.296 = 4 Milliarder) Ca. 18 mill. Reserveret som private adresser Ca. 270 mill. Reserveret til multicast adresser

En IPv4 adresse IP adresse = 192.168.10.20 En IPv4 adresse består altid af en host del og en netværksdel. Man anvender en netværksmaske til at bestemme hvor netværksdelen slutter og host delen starter: Eksempel: Netværket Host IP adresse = 192.168.10.20 Netværksmaske = 255.255.255.0 I eksemplet har hosten nummer 20 i netværket og selve netværket kendes som 192.168.10.0. Hvis man ønsker at vise hvor mange bits der anvendes til netværksmasken, ses det ofte som følgende notation: 192.168.10.20/24.

Hvordan har vi klaret os med IPv4 så længe Man har længe vist at der ikke er IPv4 adresser nok til det hastigt voksende Internet Idéer til at forlænge tiden med IPv4 adresser har bl.a, været Udstrakt brug af NAT Intern brug af RFC 1918 IP adresserne 10.x.x.x/8 172.16.x.x/16 til 172.31.x.x/16 192.168.x.x/24 Classless Inter-Domain Routing (CIDR) Hvilket betyder at den enkelte organisation har kunnet klare sig med meget få unikke globale IP adresser

Hvornår skal man skifte til IPv6? Man skal ikke bare skifte til IPv6 Man skal i stedet også anvende IPv6 Tiden er inde nu til at begynde migrering til IPv6 Migrering kan foregå langsomt, hvis man starter tidligt Start med interne forsøg for at forstå forskellene Tal med din ISP for at høre om mulighederne for at blive forbundet til IPv6 delen af Internettet

Hvorfor skal man implementere IPv6 IPv6 implementering er nødvendig fordi alle IPv4 adresser snart er brugt op. Antallet af applikationer og enheder som skal bruge IP adresser for at kunne kommunikere over Internettet er stærkt stigende. Ifølge IANA (Internet Assigned Numbers Authority) vil antallet af ikke allokerede IPv4 adresser være 0 i Q1 2011, medens det forventes at de lokale Internet Registre vil have opbrugt deres puljer senest i Q2 2012 Fra slutningen af 2011 vil nye enheder og services være nød til at anvende IPv6 adresser, da det ikke vil være muligt at få en global IPv4 adresse. Hvis der skal kommunikeres med disse IPv6 enheder, så skal der konvergeres til IPv6, enten direkte eller via en translation gateway. Allerede nu er der steder i verden hvor man ikke kan få en IPv4 adresse. Derimod kan man sagtens få en IPv6 adresse.

Forskelle mellem IPv4 og IPv6 Større adresse rum Den væsentligste grund til at IPv6 vinder indpas er muligheden for at få mange flere adresser at råde over. IPv6 giver mulighed for at anvende IP adresser som er 128 bits lange mod IPv4 som kun tillader en adresselængde på 32 bit. Hermed løses problemet med for få IP adresser, og det bliver ikke længere nødvendigt at anvende NAT. Automatisk adresse konfiguration (Stateless Address Auto-Configuration=SLAAC) En IPv6 host kan få IP adresser på følgende 3 måder: Automatisk ved at anvende ICMPv6 router discovery messages Ved hjælp af DHCP Manuelt tildelt IP adresse Multicast Mulitcast er en standard del af IPv6 specifikationer, denne feature var fra start af en del IPv6, hvorimod IPv4 ikke havde mulitcast support fra start af. Ligeledes er der betydeligt flere multicast adresser til rådighed. Ensartet header format Fast længde på header formatet. Fragmentering udføres af hosten selv, ikke af routerne. Nye metoder til at kunne markere pakker som, skal have en speciel behandling gennem netværket (for eks. QOS) Sikkerhed på netværket IPsec, protokollen som anvendes til netværks kryptering, er en integreret del af basis protokollen i IPv6, hvor den i IPv4 var en option.

IPv6 – antal mulige adresser IPv4 anvender 32 bits adresser = ~ 4.200.000.000 mulige IP adresser CIDR og NAT teknikker anvendes i høj grad til at få mest muligt ud af det eksisterende adresse rum IPv6 anvender 128 bits adresser = 340.282.366.920.938.463.463.374.607.431.768.211.456 mulige IP adresser! (340 Sekstillioner (1036)) = mere end rigeligt! Giver mulighed for en skalerbar, simpel og nemt forståelig adresseplan

IPv6 – opbygning af adresse - 1 En IPv6 adresse er opbygget af 8 individuelle grupper af hver sin 16 bits hexadecimale værdi. En typisk adresse kan se ud som den her viste: 2001:0db8:1234:5678:9abc:def0:1234:5678 Det er muligt at forkorte en IPv6 adresse Foranstillet nul (0) kan helt undlades Gentagne tilfælde af flere sæt med rene nuller kan noteres som (::) 2001:0db8:0000:130F:0000:0000:087C:140B Bliver efter trunkering til 2001:db8:0:130F::87C:140B Dobbelte kolons kan dog kun forekomme engang i adressen! Netværk præfix kan vises på samme måde som IPv4 CIDR: 10.1.1.0/24 Netværk præfix for et IPv6 netværk kan vises som (trunkeret først): 2001:db8:12::/64 2001:0db8:0012:0000:/64

IPv6 – opbygning af adresse - 2 IP adressen er delt i en netværksdel og en host del. Default er altid at der er afsat 64 bits til hver del. Dette kan godt ændres – men det er ikke tilrådeligt! Der er som tidligere nævnt 3 måder hvorpå en host kan få en IPv6 adresse: Automatisk selvgenereret IP adresse* Manuelt indtastet IP adresse DHCP tildelt IP adresse * Selvgenereret IP adresse er netværks ID hentet fra nærmeste router efterfulgt af en host ID som indeholder enten enhedens 48 bit MAC adresse, splittet på midten med indsat FFFE, sådan at der i alt er 64 bit, eller en random generet host ID adresse.

De forskellige typer af IPv6 adresser Unicast Adresse Denne adresse identificerer en enkelt node/interface. Trafik sendt til en Unicast adresse sendes kun til et enkelt interface Multicast Adresse Denne adresse identificerer en gruppe af enheder/interfaces. Trafik sendt til en Multicast adresse sendes til alle enheder i gruppen. Anycast Adresse Denne adresse identificerer også en gruppe af enheder/interfaces. Trafik sendt til en Anycast adresse sendes til den den nærmeste enhed i netværket som lytter på anycast adressen. En Anycast adresse er f.eks. en Unicast adresse som er tildelt flere enheder og som har en Host ID = 0000:0000:0000:0000 (Subnet-router anycast address) Der findes ikke nogen broadcast adresse mere i IPv6! De anses for at være for ressource tunge, IPv6 bruger Multicast adresser i stedet. IPv6 Multicast and Anycast Addressing (Page 1 of 5) One of the most significant modifications in the general addressing model in IPv6 was a change to the basic types of addresses and how they were used. Unicast addresses are still the choice for the vast majority of communications as in IPv4, but the “bulk” addressing methods are different in IPv6. Broadcast as a specific addressing type has been eliminated. Instead, support for multicast addressing has been expanded and made a required part of the protocol, and a new type of addressing called anycast has been implemented. IPv6 Multicast Addresses Let's start by looking at multicast under IPv6. Multicasting is used to allow a single device to send a datagram to a group of recipients. IPv4 supported multicast addressing using the Class D address block in the “classful” addressing scheme. Under IPv6, multicast addresses are allocated from the multicast block. This is 1/256th of the address space, consisting of all addresses that begin with “1111 1111”. Thus, any address starting with “FF” in colon hexadecimal notation is an IPv6 multicast address. The remaining 120 bits of address space are enough to allow the definition of, well, a gazillion or three multicast addresses. (Okay, it's officially about 1.3 trillion trillion trillion addresses.) Much the way the allocation of unicast addresses was organized by using a special format to divide up these many bits, the same thing was done for multicast addresses.

Unicast IPv6 adresser Unicast adressen kan være en af følgende typer Global adresse – kan routes over Internettet Local adresse – tildelt og administreret i organisationen, kan ikke anvendes på Internettet Link local adresse – tildeles altid af enheden selv, anvendes ved kommunikation på eget segment (Kræver kun at man tænder for IPv6 på interfacet) Eksempel fra Cisco router: Vlan1 is up, line protocol is up IPv6 is enabled, link-local address is FE80::216:47FF:FE80:6AC0 No Virtual link-local address(es): Global unicast address(es): 2001:DB8:1234:5678::1622, subnet is 2001:DB8:1234:5678::/64

Unicast IPv6 adresser En global unicast adresse kan tildeles på følgende måder Manuelt indtastet – her angives, som ved IPv4 en adresse, en prefix længde og en default gateway (Link local adressen på nærmeste gateway) Autogeneret adresse, hvor prefix hentes fra nærmeste router ved hjælp af router discovery messages fra klient. Host delen kan genereres på to måder Randomiseret adresse genereret af klienten selv Anvend MAC adresse med indføjet FFFE i midten af host delen af IPv6 adressen Ethernet ID 00:23:6c:85:c9:8d IPv6 adresse: 2002:5ab8:f42e:0000:0223:6cff:fe85:c98d Tilsyneladende er det stadig IPv4 DHCP server der tæller. Og da denne ikke kan tildele IPv6 adresser, så anvendes den router som kan DHCPv6 ikke. Så derfor random Eks. på selvgeneret IP host del, baseret på MAC adressen. Bemærk at en EUI adresse kendes på at bit 2 er sat i den anden byte af den oprindelige adresse

Eksempel på en IPv6 adresse (Apple) Her vises en hvordan en Apple MAC har selvgenereret en IPv6 adresse ud fra routerens netværks adresse 2001:DB8:1234:5678:/64. ULA = Unique-Local Addressing Kun til Internt brug mellem lokationer og mellem IPv6 segmenter. En sådan 64 bits remake kaldes også en EUI64 adresse. Ethernet kortets MAC adresse er ”00:23:32:d5:b8:e4” (bemærk at anden byte=2)

Eksempel på en IPv6 adresse-1 (Windows7) Microsoft anvender som default ikke EUI64 adresser. De genererer en random IPv6 adresse, som forhåbentlig er unik. Yderligere optræder en midlertidig IPv6 adresse. Autogenereret random adresse Man kan diskutere om Microsofts løsning er bedre, men det er kun MS der ikke vil anvende EUI64 per default. Problemet med duplicate IP adresser er muligt, men nok ikke videre sandsynligt. Indikation på autogeneret adresse

Eksempel på en IPv6 adresse-2 (Windows7) Windows7 kan omkonfigureres til at anvende EUI64 adresser: netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent Slår randomisering af IP adressen fra, nu anvendes standard EUI64 adressering netsh interface ipv6 set privacy state=disabled store=persistent Slår brug af midlertidige IPv6 adresser fra – kun en global IPv6 adresse anvendes Autogenereret EUI64 adresse

Eksempel på en IPv6 adresse (HP printer) Her ses et eksempel på en HP printer der har fået tildelt en DHCP IPv6 adresse via en DHCP server hvor netværks præfix er 2001:DB8:1234:5678:/64. Indikation på autogeneret adresse Autogenereret DHCP tildelt ULA = Unique-Local Addressing Kun til Internt brug mellem lokationer og mellem IPv6 segmenter. En sådan 64 bits remake kaldes også en EUI64 adresse. Ethernet kortets MAC adresse er ” 00:21:5a:97:fb:e8” (bemærk at anden byte=2 for den autogenerede adresse!)

DNS i IPv6 DNS anvendes til at oversætte logiske navne til en IP adresser. I IPv4 anvendes A records til at definere en host I IPv4 kan en forward (A) record se ud som følger: www IN A 123.45.67.89 Den tilsvarende reverse PTR record kunne da se ud som: 89.67.45.123.in-addr.arpa PTR www.netplan.dk. I IPv6 anvendes AAAA records til at definere en host I IPv6 kan en forward (AAAA) record se ud som følger: www IN AAAA 2001:ec8:4008::1234:5678:9abc:def0 f0.de.bc.9a.78.56.34.12.0.0.8.40.c8.e.1.20.ipv6.arpa PTR www6.netplan.dk. Man kan anvende en $origin for at definere et fast prefix: In IPv4, a forward (A) record, might look like this: www IN A 123.45.67.89 The corresponding reverse (PTR) record might look like this: 89.67.45.123.in-addr.arpa PTR www.whazzamattau.edu. An abbreviated form might use the BIND $origin feature to simplify entry (especially if there are a lot of reverse records all sharing the same suffix, where the origin need only be specified once): $origin 45.123.in-addr.arpa 89.67 PTR www.whazzamattau.edu. Note that the 8-bit fields (octets) are written in reverse order, and the magic phrase “in-addr.arpa” is appended. In IPv6. a forward (AAAA) record might look like this: www IN AAAA 2001:ec8:4008::1234:5678:9abc:def0 The corresponding PTR record might look like this (using the $origin feature): (see Figure 2) $origin 8.40.c8.e.1.20.ipv6.arpa f0.de.bc.9a.78.56.34.12.0.0 PTR www.whazzamattau.edu.

DNS server opsummering Ny syntaks, men samme opbygning af DNS server Eksisterende DNS server supporterer måske ikke IPv6? Opgrader til DNS server der kan supportere IPVv6 DNS server vil være en typisk dual-stack applikation og være DNS for både IPv4 og IPv6 Reference til to IPv6 DNS produkter: SolidDNS: http://www.infoweapons.com/content/soliddns-info-page Cisco Network Registrar: http://www.cisco.com/en/US/products/sw/netmgtsw/ps1982/

Hierarkisk adressering og aggregering Her ses tydeligt idéen bag den hierarkiske opbygning af det offentlige Internet med IPv6 adressering En ISP’er ejer alle adresser startende med 2001:0DB8::/32 Til kunde 1 uddeles 2001:DB8:0001::/48 – til kunde 2 uddeles 2001:DB8:0002::/48 Kunde1 opdeler eget netværk i to segmenter: 2001:DB8:0001:0001::/64 2001:DB8:0001:0002::/64 Det er nok tvivlsomt om man kan holde så rent et snit som denne slide giver udtryk for !

IP adresseplan – forskellige valg Med IPv6 er der forskellige muligheder for at designe netværket Anvend ULA IPv6 adresser overalt I dag findes der ikke nogen IPv6 NAT mulighed som kan anvendes i et produktionsnetværk Anvend både ULA og Globale IPv6 adresser Er den mest avancerede løsning, men også mere besværligt at håndtere med hensyn til DHCP, DNS, routning og sikkerhed – husk at access lister ikke altid fungerer helt efter hensigten! Anvend kun Globale IPv6 adresser Anbefalet løsning, men sikkerheds folkene vil måske mene at egen netværkstopologi ikke skal vises for uvedkommende

Anvend ULA IPv6 adresser Dette sikrer intern kommunikation og fuld frihed til at designe netværket som man vil. Der vil dog ikke være direkte kommunikation til Internettet. Der eksisterer en RFC4193 der beskriver hvilke IPv6 adresser der ikke benyttes på det offentlige Internet Husk at anvende access-lister så ULA adresser ikke slipper ud på det offentlige Internet! Netplans ULA adresse er fd7d:af53:d532::/48 registreret hos http://www.sixxs.net/tools/grh/ula/  Used for internal communications, inter-site VPNs Not routable on the internet—basically RFC1918 for IPv6 only better—less likelihood of collisions  Default prefix is /48 /48 limits use in large organizations that will need more space Semi-random generator prohibits generating sequentially ‘useable’ prefixes—no easy way to have aggregation when using multiple /48s Why not hack the generator to produce something larger than a /48 or even sequential /48s? Is it ‘legal’ to use something other than a /48? Perhaps the entire space? Forget legal, is it practical? Probably, but with dangers—remember the idea for ULA; internal addressing with a slim likelihood of address collisions with M&A. By consuming a larger space or the entire ULA space you will significantly increase the chances of pain in the future with M&A  Routing/security control You must always implement filters/ACLs to block any packets going in or out of your network (at the Internet perimeter) that contain a SA/DA that is in the ULA range— today this is the only way the ULA scope can be enforced

Eksempel på et rent ULA setup Alle enheder anvender en unik intern adresse Der skal findes en NAT enhed der kan supportere IPv6 eller en proxy server som kan håndtere IPv6. Der skal være access filtre der forhindrer at ULA adresse slipper ud på Internettet Fungerer som i dag med IPv4, bortset fra at der ikke er nogen skalerbare NAT/Proxy løsninger i dag. Fjerner ikke fordelene ved ikke længere at skulle anvende NAT mod Internettet (Problem med globale multicast, eller ingen end-to-end kommunikation uden NAT)

Eksempel på et ULA+Global setup Der anvendes både ULA og globale adresser, dog har interne host kun en ULA adresse SAS (Source address selection) anvendes til at bestemme hvilken adresse enheden bruger til at kommunikere med. Enheder med kun en ULA adresse og enheder med kun en global adresse kan tale med hinanden internt i organisationen. Der er et stort management overhead – DHCP, DNS, routing og sikkerhed … Husk access filtre på Internet forbindelse – ULA adresser må ikke slippe ud

Retningslinier ved at vælge ULA+Global Anvend DHCPv6 for både ULA og Global adresser — og anvend forskellige policies for begge (Lifetime, optioner osv) Check at routing virker for begge – kan man nå AD og DNS servere uafhængig af hvilken adresse type man har? QoS, ACL, load-balancers skal konfigureres til at håndtere de rigtige IP segmenter Hvis man anvender SLAAC for begge typer af adresser, så husk at hvis man disabler Windows Privacy, så gælder det for begge type adresser. Det betyder at enten anvendes ingen temporære adresser og EUI64 overalt, ellers er det random og temporære adresser for alle! En mulighed kunne være at anvende DHCPv6 for ULA, og SLAAC for de lokale IP adresser. Så kan man skille det ad ved at anvende forskellige scope options. SAS opførsel er OS afhængigt – og der har været set problemer med at få dette til at virke pålideligt

Eksempel på et rent Global setup Der anvendes globale IPv6 adresser overalt Ingen problemer med SAS Der anvendes ikke NAT ved kommunikation med Internettet Nemmere håndtering af DHCP, DNS, sikkerhed osv. Eneste minus er, at man bryder den indbyggede vane hvor sikkerheds guruerne siger at der altid skal udføres NAT når interne enheder kommunikerer med Internettet. -

IPv6 – hvad skal der gøres Pre installations fase Installations fase Find det sted i netværket hvor integration af IPv6 skal starte Redegør klart for hvordan netværket er opbygget, anvend eventuelt forskellige netværks værktøjer til at dokumentere dette Definer IPv6 sikkerheds forskrifter og disses afhængigheder (FW etc.) Hvis der er andre IPv6 afhængigheder, så skal dette beskrives (Applikationer etc) Overvej hvilken IPv6 installationsmodel der skal vælges (ULA + Global ?) Campus IPv6 integrations muligheder WAN IPv6 integrations muligheder Avancerede IPv6 service muligheder

Integration / sameksistens Implementer dual stacks på hosts Implementer dual stacks på Campus switche Implementer dual stacks på WAN/campus og core/edge routere Anvend NAT-PT for de server der aldrig kommer til at køre IPv6 NAT-PT (PT=protocol translation) IPv4<->IPv6. IOS funktion i routerne.

Pre installations checkliste Find et egnet startpunkt for IPv6. Foretag en netværks analyse af eksisterende situation, definer retningslinjer for netværks sikkerhed Tal med din ISP og få en IPv6 adresse blok. Ud fra denne skal en IPv6 adresseplan genereres Opbyg et lab med routere, switche og hosts med de relevante styresystemer, som kan emulere alle tænkte IPv6 scenarier – husk at budgettere med dette - Opgradere DNS/DHCP server til at kunne supportere IPv6 Opbyg en network management platform der kan håndtere IPv6 Der skal vælges/evalueres en routnings protokol. Hvis der skal anvendes multicast, så skal det også tænkes ind. Se hvilke valg der er gjort på IPv4 og genanvend hvis muligt. Hvis nødvendigt, så kan MS ISATAP anvendes midlertidigt Evaluer om nuværende ISP har en IPv6 kapabel løsning klar, eller skift til anden ISP der har.

Konklusioner Start nu med at tilegne dig viden om IPv6 – anvend bøger, præsentationer og dit eget lab udstyr Opret et virtuelt team med repræsentanter fra alle områder af IT for at sikre dækning af operativsystemer, applikationer, netværk og operation/management. Microsoft Windows 7 and Server 2008 har som default IPv6 installeret og konfigureret – man skal forstå at dette allerede nu har en indflydelse på netværket. Følgende skal klart overvejes: Fuld paritet mellem IPv4 og IPv6 er måske nok målet, men det er ikke en realitet i dag. Hold skarpt øje med de nye standarder indenfor området

Spørgsmål ? Har Netplan en IPv6 adresse? Ja: 2001:6c8:700:1::100