IPV6 I ETT BANKFÖRETAGSNÄTVERK

Transkript

1 EXAMENSARBETE I DATAVETENSKAP MED INRIKTNING MOT NÄTVERKSTEKNIK 15HP, GRUNDNIVÅ 300 IPV6 I ETT BANKFÖRETAGSNÄTVERK Författare: Robin Björkvall Datum: Examinator vid MDH: Mats Björkman Handledare vid MDH: Hans Bjurgren

2 Handledare vid företaget: Gustaf Selén BACHELOR THESIS IN COMPUTER SCIENCE, SPECIALIZING IN NETWORK ENGINEERING 15 CREDITS, BASIC LEVEL 300 IPV6 IN A BANKING NETWORK Author: Robin Björkvall Date: Examiner at MDH: Mats Björkman Advisor at MDH: Hans Bjurgren Advisor at the company: Gustaf Selén Sida 2 av 25

3 SAMMANFATTNING Arbetet är utfört på Crosskey Banking Solutions i Mariehamn som har omkring 200 anställda på fyra kontor med placering på Åland, i Finland och i Sverige. Företaget var i behov av att få en bättre insyn i protokollet IPv6. De ville få en allmän genomgång av protokollet och hjälp med en eventuell framtida implementering. Denna rapport innehåller en introduktion till protokollet IPv6, varför det behövs, vad som är annorlunda jämfört med IPv4 och vilka nya möjligheter som en implementering medför. Jag har även skapat en implementeringsplan till företaget med ett antal punkter där jag går igenom vad man behöver ta i beaktande innan en implementering av IPv6 påbörjas. Företagets inledande mål med IPv6 är att kunder som använder sig av IPv6 skall kunna komma åt deras internetbank, samt ha möjlighet att göra transaktioner där. Därför har jag påbörjat detta arbete genom att undersöka företagets olika valmöjligheter. Efter mina inledande undersökningar kan jag konstatera att det är fullt möjligt att påbörja en implementering av IPv6. De nätverksenheter som berörs har stöd för IPv6, och företagets internetleverantörer är redo att leverera IPv6. Jag har framfört ett förslag på en design som jag tror passar företaget, samt skrivit ihop ett utkast till en adressplan och vad man behöver ha i åtanke när man planerar adresserna. Sida 3 av 25

4 ABSTRACT The work has been carried out at Crosskey Banking Solutions in Mariehamn which has about 200 employees with four offices in Åland Islands, Finland and Sweden. The company was desired to acquire knowledge in the protocol IPv6. They wanted to get a general overview of the protocol and help with a possible future implementation. This report contains an introduction to the IPv6 protocol, why it is needed, what the difference is from the old IPv4 standard and what new features it brings. I've also written an implementation plan to the company, with some points they need to consider before implementing IPv6. The company's initial goal with IPv6, is that customers who use IPv6 today would be able to reach the customers' internet bank, and make transactions online. I have begun doing some work in this particular area, and checked if it's even possible to start the implementation in the current situation. It turned out that it is possible to start an implementation today, but it requires good planning. The existing network equipment that are affected of this process support IPv6, and both company's internet providers are ready to deliver IPv6. I've given the company my opinion on the design of the network and written a draft of an address plan and what you need to consider while writing one. Sida 4 av 25

5 INNEHÅLLSFÖRTECKNING 1. Inledning Syfte och mål Crosskey Banking Solutions Metod Avgränsning Teoretisk bakgrund IPv Adressklasser Subnätmasken Subnetting och VLSM Adresstilldelning Adresstyper Problem med IPv NAT IPv Adresstilldelning Adresstyper Multicast i IPv IPv6-header Fragmentering Routing Säkerhet Neighbor Discovery Protocol Samexistens Implementeringsplan Utvärdera effekten på affärsmodellen Etablera ett projekt-team Utbildning Inventering Ansöka om IPv6-adresser Design Tester Sida 5 av 25

6 3.8 Säkerhetspolicy Inköpsplan Undantag från IPv Kända problem vid implementering Exchange 2007 på Windows Server SLAAC på DNS Timeouter Utfört arbete Inventering Kontaktat ISP Design Adressplan Slutsats Framtida arbeten Referenser Sida 6 av 25

7 1. INLEDNING Arbetet innehåller två separata teoretiska delar, dels en genomgång av protokollet IPv6, dels en plan på vad man behöver ha i åtanke inför en implementering av IPv6 hos Crosskey. Jag har skrivit en separat rapport om detta till företaget. I företagets rapport finns viss information om deras system och jag har därför inte inkluderat den rapporten i detta arbete av säkerhetsskäl. 1.1 SYFTE OCH MÅL Syftet med detta arbete är att ge företaget en bättre inblick i IPv6, hur adresserna ser ut, hur det fungerar, fördelar och nackdelar gentemot IPv4, med mera. Syftet är också att undersöka och planera för hur man skulle kunna börja implementera IPv6 i företagets nätverk. Företagets mål i dagsläget är att påbörja en implementering inom en snar framtid, och ett första stort steg för dem är att IPv6-anslutna kunder skall kunna komma åt internetbanken och ha möjlighet att göra transaktioner där. 1.2 CROSSKEY BANKING SOLUTIONS Arbetet är utfört hos Crosskey Banking Solutions. Företaget är på tillväxt, och har omkring 200 personer anställda uppdelade på fyra kontor placerade i Mariehamn, Åbo, Helsingfors och Stockholm, med huvudkontoret beläget i Mariehamn på Åland. Crosskey grundades 2004 och har växt fram ur Ålandsbanken ABs IT-avdelning, man såg till att deras banksystem och IT-avdelning blev ett eget strategiskt affärsområde. I dagsläget sköter Crosskey hela Ålandsbankens interna nätverk, samt levererar banksystem, kapitalmarknadslösningar, kortlösningar och systemdrift till kunder på Åland, i Sverige och i Finland. [19] 1.3 METOD Jag har använt mig av tidigare erfarenheter av IPv6, men eftersom det inte tagits upp så mycket under utbildningen så har jag läst på en hel del. Sedan har jag använt mig av personalen som arbetar hos Crosskey för att få idéer för att lyckas börja implementera IPv6 i deras nätverk. 1.4 AVGRÄNSNING Jag har fått ta del av skisser på företagets nätverk, och blivit informerad om vilken hårdvara och mjukvara de använder på de nätverksenheter som är intressanta i dagsläget. Av säkerhetsskäl kommer jag inte lämna ut information om deras enheter. Ingen implementering är planerad. Sida 7 av 25

8 2. TEORETISK BAKGRUND 2.1 IPV4 Internet drivs genom att olika värdar överför data mellan varandra. Informationen skickas mellan värdarna i paket som routats genom nätverket med hjälp av olika routingprotokoll. För att paketen skall komma fram till rätt värd så behövs ett adresseringsschema som specificerar vilken käll- och destinationsadress som paketen har. I dagsläget är Internet Protocol version 4 (IPv4) det vanligaste adresseringsschemat. IPv4 har funnits sedan 1981 och var tänkt att bara användas inom ARPA (Advanced Research Projects Agency). Men i slutet av 80-talet så fick allmänheten tillgång till det och det började användas. På så sätt skapades dagens publika internet. [1] IPv4 består av 32 databitar, vilket betyder att det totalt finns 2 32 eller möjliga adresser. Dessa 32 databitar delas in i fyra oktetter med 8 bitar var. Ett exempel på hur en IPv4- adress ser ut är Vissa av dessa adresser är reserverade för speciella ändamål, såsom multicast, lokala adresser, undersökningar och tester. Det finns olika sätt att skriva en IP-adress, till exempel adressen kan skrivas på följande sätt, och fortfarande betyda samma sak: Dotted decimal Dotted hexadecimal 0xC0.0x00.0x02.0xEB Dotted octal Dotted binary Hexadecimal 0xC00002EB Decimal Octal [1] [3] ADRESSKLASSER IPv4-adresserna är indelade i fem olika klasser; klass A, B, C, D och E. Klasserna A, B och C används för adressering av enheter i IP-nätverk. Klass D används för multicast och klass E-adresser används för global broadcasting och är reserverade för framtida tester. Klass Första bitarna Nätprefix Möjligt adressrange Antal nät Antal hostar A 0XXX / B 10XX / C 110X / D 1110 / E 1111 Odefinierat Odefinierat Odefinierat Som tabellen visar är första oktetten i en klass A-adress nätverksdelen och de tre följande oktetterna är hostdelen. Vidare så är första och andra oktetterna nätverksdelarna i en klass B-adress, de två resterande hostdelar, vilket betyder att i en klass C-adress är de tre första oktetterna nätverksdelar och den sista oktetten är till för hostar. Som tidigare nämnts är en klass D-adress till för multicasting, inga hostar finns på det nätet. Sida 8 av 25

9 Det finns vissa range inom klass A, B och C-adresserna som inte används på internet, utan är bara till för privat bruk. Dessa adresser kallas för lokala adresser och internet känner till dessa adresser då de är förutbestämda. De olika rangen är: Klass A: Klass B: Klass B: [1] SUBNÄTMASKEN Med varje IPv4-adress, tillkommer alltid en så kallad subnätmask. Subnätmasken är liksom IPv4- adressen 32 bitar stor och med hjälp av denna så kan olika system känna av vilken del av IP-adressen som är ämnad för nätverket respektive hostarna. Där subnätmasken har bitvärdet 1 utgör motsvarande del av IP-adressen nätverksdelen, och där subnätmasken har bitvärdet 0 är hostdelen. Det betyder att klasserna A, B och C har olika subnätmaskar; Klass A: Klass B: Klass C: Ett exempel med klass C-adressen , skriven binärt ; IP-adress: Subnätmask: De sista åtta bitarna är ämnade för hostar i en klass C-adress. Således blir subnätmaskens värde för de sista åtta bitarna 0, och subnätmasken blir [20] SUBNETTING OCH VLSM Det är dock inte nödvändigt att använda sig av klassadresserna A, B och C inom ett nätverk. Man kan göra adresserna klasslösa. Vi tar till exempel C-nätverket med subnätmasken Om vi nu lägger till en till bit till nätverksdelen, dvs. 25 bitar kommer användas, på subnätmasken så den får värdet , så kommer nätverket delas upp till två skilda nätverk med adressrangena och Denna metod kallas för subnetting. Första adressen i ranget blir nätadress, och sista adressen i ranget blir broadcastadress. Dessa skall inte användas av hostar. [20] Man kan även gå ett steg ytterligare, dvs. göra ytterligare subnät av ens redan konstruerade subnät, genom att använda VLSM (Variable Length Subnet Masking). VLSM används för att skräddarsy nätverk genom att göra subnät enbart så stora som det behövs. Ett exempel där vi använder oss av subnätet /25, men vi vill ha två skilda nätverk för 25 hostar var. Efter att ha använt oss av subnetting kan vi då komma fram till att två stycken /27-nät skulle passa våra behov. Det blir då två stycken nätverk med adressrangen och , med 30 möjliga hostadresser var. Eftersom vi använder oss av 27 bitar i till nätverksdelen, kommer subnätmasken att bli [21] Sida 9 av 25

10 (Bild 1, Subnetting och VLSM) ADRESSTILLDELNING Det finns två väsentliga metoder att dela ut adresser till olika enheter i nätverket; statisk eller dynamisk tilldelning. Med statisk tilldelning menas att man ansluter till varje enhet i nätverket och konfigurerar en IP-adress åt den. Detta är bra att använda för servrar, routrar, switchar, brandväggar, med mera, eftersom det är dessa enheter som bygger upp strukturen i ett nätverk. Man behöver ofta konfigurera något annat på enheterna, då är det bra att ha statisk IP, så man lätt vet vilken enhet man skall ansluta sig till. Dynamisk tilldelning av IP-adresser sköts av en DHCP-server (Dynamic Host Configuration Protocol), som skickar ut adresser inom ett bestämt range till enheterna i nätverket. Detta är smart att använda på de olika klienterna i nätverket, då det ibland inte är lika viktigt att veta exakt vilken IP en klientdator har. Det går även att låsa en viss IP-adress till en viss enhet inom nätverket genom att ange enhetens MAC-adress (Media Access Control) i DHCP-serverns inställningar. På så sätt får man en bra struktur och enkelt ser till att enheterna alltid får sin rätta IPadress utan att behöva skriva in den manuellt på varje enhet. [1] ADRESSTYPER Det finns tre olika adresseringstyper i IPv4. Unicast Kallas för "one-to-one"-kommunikation, vilket betyder att endast en avsändare skickar paket till en mottagare, där bägge behöver veta om varandras IP-adress för att kunna fullfölja försändelsen. Unicast är fortfarande den dominerande sändningsformen av paket inom lokala nätverk och på internet. [4] Multicast Kallas för "one-to-many"-kommunikation, som betyder att det är ofta fler än en som lyssnar på samma sändare. Det är förbestämt vilka datorer som skall ta åt sig paketet utav multicast. Multicasting används till exempel för mediaströmmar och videokonferenser, med mera. Som tidigare nämnt är adressranget inom IP multicast och några av dessa är fast bestämda av IANA (Internet Assigned Numbers Authority), såsom alla system på subnätet, alla routrar på subnätet och NTP (Network Time Protocol). [5] [6] Broadcast Kallas för "one-to-all"-kommunikation, vilket menas inte helt oväntat att sändaren skickar paketet till alla datorer i nätverket och ser inte vilken adress det skall till över huvudtaget. Sida 10 av 25

11 Broadcasting kan förekomma på både lager 2 och 3. Lager 2 broadcasting över ethernet använder MAC-adressen ff:ff:ff:ff:ff:ff. Lager 3 broadcasts i ett IP-nätverk använder alltid den sista adressen i ett subnät, till exempel broadcastadressen för subnätet /24 har broadcastadressen Följaktligen om IP-nätverket går över ethernet kommer en lager 3-broadcast även resultera i en lager 2-broadcast. Några tekniker som använder sig av broadcasting är DHCP och ARP (Address Resolution Protocol). [6] [7] PROBLEM MED IPV4 Var kommer då alla IP-adresser ursprungligen ifrån? Jo, adressutdelningen sker först från en central myndighet, IANA, som delar ut adresser till fem stycken lokalkontor, RIR (Regional Internet Registry), som i sin tur delar ut adresser till kunder. Dessa lokalkontor ansvarar i grova drag för varsin kontinent. [9] (Bild 2, RIRs) I och med att IPv4 togs fram så tidigt som 1981 så kan man tycka att tekniken känns lite gammalmodig, men så är inte fallet. Faktum är att de olika standarderna på internet uppdateras kontinuerligt och mycket av den nya tekniken som tas fram idag bygger på den gamla tekniken. Det finns dock ett mycket större och oundvikligt problem med IPv4; antalet möjliga IP-adresser som finns tillgängliga. Som tidigare nämnts så finns det drygt 4 miljarder unika IPv4-adresser. I början var detta inget problem, eftersom IPv4 var tänkt att enbart användas inom ARPA, men när det blev tillgängligt för omvärlden så har trycket på IPv4-adresser ökat. I och med att varje enhet som är ansluten till internet behöver en IP-adress för att kunna kommunicera med omvärlden så har antalet lediga adresser successivt minskat, och den 3:e februari 2011 tog adresserna slut på central nivå. Sida 11 av 25

12 (Bild 3, antalet tillgängliga IP-adresser) NAT Eftersom detta problem var välkänt redan på tidigt 1990-tal så man började undersöka vad som kunde göras. Man började utveckla en ny IP-standard, som fick namnet IPv6. Det blev version 6 eftersom att IPv5 var enbart ett testprotokoll som inte var tänkt att ta över efter IPv4. Men, istället för att börja använda sig av IPv6 så började man utveckla ett flertal olika tekniker för att kringgå problemet med IPv4. Den främsta tekniken man tog fram var NAT (Network Address Translation). NAT är en funktion i brandväggen eller routern som ansluter ett hemma- eller företagsnät mot internet. NAT-funktionen möjliggör att flera datorer i det lokala nätverket kan ansluta mot internet med samma publika IPadress. Detta betyder att varje lokalt nät kräver färre publika IP-adresser från leverantören för att användarna skall nå internet. Istället utnyttjar man privata adresser på insidan av det egna nätet för intern kommunikation. Dessa adresser är förutbestämda, och internets publika adresser har vetskap om dem. Detta gör att samma privata IP-adress kan användas hur många gånger som helst, i hur många privata nätverk som helst. De nya teknikerna gjorde att man fick lite mera tid innan man behövde tänka på implementering av IPv6 igen. Dock så kvarstod problemet, och som tidigare nämnt så har IPv4-adresserna nu tagit slut på den centrala nivån. Detta har gjort att intresset för IPv6 ökat mer på sistone, då omvärlden börjat inse att man snart kommer behöva åtgärda problemet. [8] Sida 12 av 25

13 2.2 IPV6 Den uppenbara skillnaden mellan IPv6 och IPv4 är adresserna. IPv6 använder sig av 128 bitar, vilket ger möjlighet till eller 3, adresser. I decimalform blir det adresser, ett otroligt stort antal. Varje person på planeten skulle alltså kunna få ungefär egna adresser. Detta bör sannolikt betyda att adresserna aldrig kommer ta slut, men så sade man även på 70 och 80-talet om IPv4-adresserna, så det är bara tiden som kan avgöra om detta enorma antal kommer täcka våra behov. IPv6-adresserna skrivs på ett annat sätt än IPv4-adresserna. IPv6 använder sig av ett hexadecimalt format istället för det decimala format som IPv4 använde. Totalt är det 8 stycken oktetter om 16 bitar som separeras med ett kolon. Precis som i IPv4 så delas adresserna upp två delar, först ett nätverksprefix, som är gemensam för alla datorer på samma LAN, och sedan en lokal del, som är unik för varje dator. Adressen avslutas med ett snedstreck och en siffra, som bestämmer längden på nätverksprefixet, till exempel /64 gör att gränsen går precis i mitten av adressen. Det finns olika metoder att förenkla adresserna, eftersom de är så pass långa. Varje ledande nolla i en oktett kan tas bort, samt en oavbruten rad med nollor kan ersättas med dubbelkolon. [2] 2001:0db8:0000:0000:030a:b1ff:fe7a: :db8:0:0:30a:b1ff:fe7a: :db8::30a:b1ff:fe7a: ADRESSTILLDELNING Det finns tre olika sätt att tilldela IPv6-adresser till enheter. Statisk, man säger helt enkelt åt datorn att den skall ha en viss adress hela tiden. DHCPv6, fungerar på samma sätt som DHCP i IPv4, men måste uppgraderas till v6 för att kunna bära IPv6-adresser. En liten detaljskillnad är att i IPv6-klienter skickar multicast istället för broadcast när de frågar efter en adress från DHCPv6-servern. SLAAC, Stateless Address Autoconfiguration, nytt för IPv6. Klienten konfigurerar sig själv genom att ropa efter dess närmsta router, istället för en DHCP-server. Klienten skickar en Router Solicitation, med hjälp av multicast, där den frågar routern "var på internet är jag?". Finns det en router som är redo för Router Solicitation, så svarar den med ett Router Advertisement, som säger "här är du". Efter ett lyckat Router Advertisement så kan klienten nu skapa en egen adress genom att lägga ihop ett unikt ID för det här nätsegmentet med ett ID som är unikt för den här datorn. Första delen blir alltså routernes nätverksprefix, och andra delen är lokal. För att göra lokala delen unik, så kan datorn använda ett slumptal, eller sin egna MAC-adress. [10] ADRESSTYPER I IPv6 finns fortfarande tre olika adresseringstyper. Unicast, fungerar på samma sätt som i IPv4, "one-to-one"-kommunikation. Multicast, fungerar också på samma sätt, "one-to-many". Sida 13 av 25

14 Anycast, en gammal teknik som har återinförts i IPv6. Möjliggör att man kan använda samma adress på multipla enheter. Detta är bra för redundanta anslutningar, och möjliggör en ny metod för lastbalansering. Broadcast har lagts ned, eftersom det gav upphov till problem i stora switchade nätverk, där broadcast påverkade nätverkets prestanda. [11] Eftersom IPv6 erbjuder så otroligt många adresser så har skaparna valt att dela in adresserna i olika klasser. Varje interface kommer bli utrustad med mer än en adress. Link-Local-adress, skapas automatiskt av datorn. Den lägger till FE80:: som nätverksprefix och sista 64 bitarna är datorns unika ID som lokal del. Dessa adresser fungerar bara på ett LAN, eftersom alla datorer i världen använder sig av FE80::. Detta blir användbart vid till exempel neighbor discovery och DHCPv6-förfrågningar på det lokala nätverket. På sätt och vis kan man säga att Link-Localadresserna motsvarar IPv4s adresser, som skapas på en dator som inte får något svar på DHCP-anrop och inte har någon statisk adress konfigurerad. [11] Unique-Local-adress, kallades förut för Site-Local, används för att bygga privata nätverk på ungefär samma sätt som i IPv4. Gör det möjligt för ett företag att använda ett visst range av adresser som är unika inom organisationen, de är alltså lokala och kan inte routas ut mot internet. Adressblocket är FC00::/7 och kan delas in två /8-grupper; FC00::/8 och FD00::/8. Efter de första åtta bitarna finns ett fält för företagets unika prefix. Sedan kommer ett subnetprefix som ger företaget möjligheten att dela upp nätverket i mindre delar, och slutligen kommer fältet för interface ID, som gör att adressen blir unik för det angivna interfacet. [12] (Bild 4, Unique-Local-adress) Globala adresser, är adresser som kan routas ut på internet. De tre första bitarna måste sättas till 001, vilket korresponderar mot alla globala adresser som startar med 200x::/3. Globala adresser kan fås av SLAAC eller DHCPv6. [13] Loopbackadressen i IPv6 ser ut så här; 0000:0000:0000:0000:0000:0000:0000:0001, och kan då skrivas om till ::1. [10] MULTICAST I IPV6 Liksom i IPv4 så är multicasting väldigt användbart inom IPv6. Det används för samma ändamål, dvs. mediaströmmar, videokonferenser med mera. Själva principen i IPv6 multicast är den samma som i IPv4, men protokollet har utvecklats och det finns några nya funktioner gentemot IPv4. Den stora Sida 14 av 25

15 skillnaden med multicast i IPv6 är att det tillkommer en parameter som kallas för scope, och detta scope bestämmer hur långt bort från avsändaren paketet skall färdas. Första 8 bitarna innehåller ettor, dvs. alla multicastadresser börjar med "FF". Sedan kommer fyra bitar, varav de tre första är nollor och den fjärde är en nolla eller en etta, beroende på om det är en välkänd multicastadress, eller en som är skapad för temporärt utnyttjande. Nästa del av multicastadressen är scopet. Det består av fyra bitar och, som tidigare nämnts, bestämmer hur långt paketet skall färdas. Det kortaste avståndet är interface-local, eller node-local, vilket betyder att paketet får inte lämna det fysiska nätverkskortet på datorn. Man kan beskriva det som en multicastvariant på loopbackadressen. Linklocal når hela LAN:et man är ansluten till, paketet får inte routas. Site-local och organization-local beror lite på hur man definerat sin site och organisation. Ett exempel är att site täcker ett av lokalkontoren, men organization-local når alla företagets lokalkontor. Global scope gäller utanför brandväggen mot internet. Sista 112 bitarna är en gruppadress. (Bild 5, Multicast) Denna flexibilitet hos multicast i IPv6 gör att många funktioner använder multicast, och har på så sätt eliminerat behovet av broadcast. [10] IPV6-HEADER Headern används för att märka en del i början av ett paket som innehåller metadata, dvs. information om hur den resterande delen av paketet skall tolkas. De flesta filformaten har en bestämd struktur av headern som underlättar operativsystemets och olika applikationers arbete. I IPv4 så kan headern vara olika stor, beroende på hur mycket information paketet innehåller. Detta kan framkalla problem för de som skall implementera IP-tekniken. I IPv6 är headern större än en IPv4-header, men innehåller färre headerfält. Headern är alltid lika stor. Vill man tilldela paketet någon tilläggsfunktion, så kan man lägga till en eller flera headers till paketet. Generellt sett är bearbetningen av paketen hos routrar effektivare i IPv6, på grund av den förenklade headern. [1] [10] Sida 15 av 25

16 2.2.5 FRAGMENTERING När ett paket når en router så analyserar routern paketet, vilken destination det har och vilket interface det ska skickas vidare på. Varje interface har en så kallad MTU (Maximum Transmission Unit), dvs. en maximal storlek på data det kan bära. Om paketet som skall skickas ut på interfacet är större än MTU-värdet för interfacet så kan routern få göra en fragmentering, dvs. den delar upp paketet i olika delar så att paketen ska kunna färdas på interfacet. I IPv4 så sköts fragmentering av routern, den känner av den svagaste länken i nätverket och anpassar paketstorleken efter den. I IPv6 så gör användaren en MTU Discovery (Maximum Transmission Unit), vilket är vanligt även i IPv4, som mäter ut vilken den svagaste länken är i nätverket är. När den tagit emot informationen så skickas paketet uppdelat så det passar flaskhalsen, och routern bara skickar vidare. Dvs., fragmenteringen sker av användaren. Mottagaren sköter defragmenteringen, precis som i IPv4. [1] [10] ROUTING Routers använder sig av olika protokoll för att styra trafiken inom ett nätverk. Man kan även använda så kallade statiska routes för att styra trafiken. Det finns fem huvudsakliga routingprotokoll i IPv4; RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Border Gateway Protocol), IS- IS (Intermediate System to Intermediate System) och EIGRP (Enhanced Interior Gateway Protocol). Dessa protokoll skiljer lite från varandra, och gör sig bäst i olika sammanhang. Till exempel EIGRP kan bara användas av CISCO-enheter. Routingen i IPv6 skiljer sig inte mycket från IPv4, samma protokoll används. Värt att notera är, att äldre versioner av protokollen inte nödvändigtvis klarar av att hantera IPv6-paket, till exempel RIP kallas för RIPng (RIP next generation) i IPv6 och är en förlängning av RIP version SÄKERHET Vill man kryptera innehållet i paketet i IPv4, så kan man lägga till IPsec (Internet Protocol Security) i stacken, vilket är valfritt. I IPv6 så IPsec är obligatoriskt. IPsec kan läggas i två olika lägen; transport mode och tunnel mode. I transport mode så skickas paketen över nätverket på normalt sätt, men datan är skyddad. Detta används för att sammankoppla två skilda enheter inom nätverket. I tunnel mode så länkas två nätverk samman över en säker förbindelse, där krypterade IP-paket skickas emellan. Den data som skickas mellan dessa nätverk passerar två portaler som sköter kryptering och dekryptering. I vissa fall krävs även en autentisering. Detta används vanligtvis för att skapa olika virtuella privata nätverk, VPN. Värt att tänka på är att brandväggsreglerna måste uppdateras efter att man implementerat IPv6 i nätverket, då man numera även utsätts för IPv6-attacker. [10] [22] NEIGHBOR DISCOVERY PROTOCOL I IPv4 så använder man sig av ARP för att få IP-adresser genom DHCP via broadcast. Routrarna skickar ut ARP-förfrågningar i nätverket om det finns några grann-noder. I IPv6 har ARP ersätts av NDP (Neighbor Discovery Protocol) som använder ICMPv6-paket över multicast. NDP ger samma funktion i IPv6 som ARP ger i IPv4, plus några ytterligare funktioner. En router skickar förfrågningar med hjälp av NDP om närliggande noder, etablerar grannskap med dessa och upprätthåller informationen om denna grannskap. NDP bestämmer även andra noders länklageradress, upptäcker om det finns några adressdubbletter och hittar tillgängliga DNS-servrar. [14] Sida 16 av 25

17 2.2.9 SAMEXISTENS Som det ser ut för framtiden just nu så kommer IPv4 leva kvar samtidigt som IPv6 successivt implementeras. Detta gör att IPv4 och IPv6 måste kunna samleva på något sätt. Det finns ett antal tekniker för att göra övergången till IPv6 mindre smärtsam. Om både IPv4 och IPv6 skall kunna köras i nätverk, så måste man kontrollera att utrustningen klarar detta. Även om mjukvaran stöder bägge IPtekniker betyder det inte att det kommer fungera som önskat om enheten inte klarar av det prestandamässigt DUAL STACK Dual Stack är en funktion som möjliggör att enheter som tidigare använt IPv4 inte uppgraderas till en enhet som bara använder IPv6, utan att båda används samtidigt. Det är inte mer avancerat än att konfigurera de interface som berörs att ha både en IPv4 och en IPv6-adress. [10] TUNNLING Med hjälp av tunnling så kan ett IP-protokoll bära det andra över sitt nätverk. Det vanligaste sättet är att IPv6-paket tunnlas över IPv4-nätverk, men det kan operera på motsatt sätt. Dessa tunnlar kan konfigureras på två olika sätt; statiskt och dynamiskt. Statiska tunnlar konfigureras i bägge ändor av tunnlarna. Dynamiska tunnlar används av ett antal tekniker för att automatiskt etablera destinationsadress och hur paketet skall routas. Den främsta tekniken är 6to4 som är lätthanterlig och kräver ingen speciell konfiguration för att fungera. Genom att använda IPv4 unicast så kan 6to4 skapa point-to-point-förbindelser över IPv4-nätverket. [23] IPV4- ADR ESS ER I IPV6 Det finns en mekanism som gör att IPv4-adresser får leva kvar i IPv6. Det funkar som så att man skriver in den gamla IPv4-adressen i en IPv6-adress. Den börjar med 80 nollor följt av 16 ettor, och avslutas med en adress skriven på IPv4-vis, till exempel ::ffff: Detta är bra för programmerare, som då kan använda sig av hybridmekanismer när de programmerar, och inte behöver bry sig om IP-version. [10] NAT64 Det finns ett antal NAT-tekniker för översättning. En av dessa mekanismer är NAT64, som tillåter IPv6-hostar kommunicera med IPv4-servrar. NAT64-servern är ändpunkten för åtminstone en IPv4- adress och ett 32-bitars nätverkssegment av IPv6. Den önskade IPv4-adressen bäddas in av IPv6- klienten av de 32-bitarna och skickar paketen till den resulterade adressen. Sedan skapas en NATmappning mellan IPv4 och IPv6-adressen som tillåter dem att kommunicera. [15] 3. IMPLEMENTERINGSPLAN Här tar jag upp några punkter som är värda att ta i beaktande när man börjar planera en implementering av IPv6 i ett företagsnätverk. Tanken är att dessa punkter skall följas kronologiskt. 3.1 UTVÄRDERA EFFEKTEN PÅ AFFÄRSMODELLEN Med IPv6 tillkommer nya applikationer, vilka kan bidra till nya affärsmöjligheter. Samtidigt uppstår nya hot och problem som måste tas i beaktande. Man måste se till att samma säkerhetsfunktioner som är implementerade för IPv4 måste utge samma skydd som för IPv6. För att maximera Sida 17 av 25

18 avkastningen på investerat kapital så måste antalet avbrott minimeras. Företaget måste även fråga sig om man verkligen behöver IPv6. Som tidigare nämnts är Crosskeys kärnverksamhet banksystem. Därtill ingår internetbank, vilket säger sig självt att det krävs en hög upptid på nätverket. Varje avbrott kan leda till ekonomiska förluster och det kan även gå så långt att kunden tappar förtroendet för banken. IPv6 är synnerligen aktuellt för Crosskey. Eftersom man har system åt banker världen över så finns det IPv6-användare som vill nå sin internetbank. 3.2 ETABLERA ETT PROJEKT-TEAM Företaget bör etablera ett projekt-team, dvs. bestämma vem som skall vara involverad i projektet. Man behöver utreda om man klarar av allt själva på företaget, eller om man måste ta hjälp utifrån. En plan för hur projektet skall hanteras bör tas fram, och man behöver utse en projektledare. Därefter behöver man fastställa vilka mål och delmål man har med projektet, samt skapa en tidslinje att följa. För Crosskey blir ovanstående punkt väldigt viktig, då det är många av deras avdelningar som berörs av projektet. Crosskey har en egen Project Management-avdelning, så projektledaren bör lämpligen väljas härifrån. Ett annat alternativ är att man hyr in en IPv6-erfaren konsult som ledare. Störst fokus kommer ligga på Datacom-avdelningen, då det är de som har hand om nätverket. Vidare så berör projektet Säkerhetsavdelningen, Nätverksarkitektavdelningen, och I-Series-avdelningen. De sistnämnda är de som ansvarar för driften av transaktionsservrarna. Personer från nämnda avdelningar bör således ingå projekt-teamet. 3.3 UTBILDNING Företaget behöver ta ett beslut om vilka personer som kräver utbildning i IPv6. Framförallt behöver personalen som sköter administration av nätverksenheterna kunskap i IPv6. Andra som behöver utbildas i IPv6 är de som sköter designen, infrastrukturen och säkerheten av nätverket. De personer som ingår i projekt-teamet är de som utbildas, om de saknar kunskap. Eftersom Crosskey har olika avdelningar till samtliga berörda i projektet kan en hel del personer behöva utbildas inom IPv6. Datacom-avdelningen behöver behärska IPv6 i företagets nätverksutrusning. Nätverksarkitekterna behöver ha kunskap om olika fördelar och brister med IPv6, hur införandet skall bli verklighet, lägga upp en adressplan och optimera nätet för IPv6. Säkerhetsavdelningen behöver förstå de olika riskerna med ett införande av IPv6 och hur man undviker dessa. 3.4 INVENTERING En inventering av nätverkets utrustning behöver utföras. Framförallt måste man klargöra att berörd utrustning kan behandla IPv6-paket, men man måste även kontrollera att enheterna har tillräckligt med minne och processorkraft för att utföra detta. Här behöver man utreda om de nätverksenheter man redan har driftsatta kan hantera IPv6. Om enheterna inte klarar en övergång till IPv6 krävs investeringar i ny hårdvara som uppfyller kraven. Man behöver även granska utrustningens mjukvara, om den behöver en uppgradering för att klara av IPv6, eller om det går att utnyttja samma version som tidigare. Det finns olika kommersiella verktyg för att bedöma om nätverket är redo för införande av IPv6. Ett simpelt verktyg hittas på Sida 18 av 25

19 Här behöver Crosskeys Datacom-avdelning utvärdera de nätverkskompnenter som berörs. I detta fall så är det enheter på det externa nätverket, bestående av routrar, brandväggar, switchar, samt lastbalanserare. I-Series-avdelningen behöver även fastställa att transaktionsservrarna ej påverkas av ett införande av IPv ANSÖKA OM IPV6-ADRESSER Man behöver kontakta sin internetleverantör och fråga om de kan leverera IPv6-prefix. Kan de inte leverera så måste man se över andra alternativ och rent utav byta leverantör. Denna uppgift är svår att beräkna tiden på, det upp till leverantören att skicka adresserna. I Crosskeys fall så har de två leverantörer som skall kontaktas. 3.6 DESIGN Designen över hur IPv6-nätverket skall byggas upp bör ses över. Som tidigare nämnts finns ett antal metoder för samlevnad med IPv4 och IPv6, såsom Dual Stack, 4to6-tunnlar, olika NAT-tekniker, med mera. Man behöver även ta fram en adressplan av det range av adresser man erhållit av internetleverantören. Det finns några olika smarta sätt att dela upp sina adresser i subnät i IPv6, beroende på hur ens företag ser ut. Här gäller det att granska vad som gynnar företaget bäst. En bra början är att införa IPv6 vid sidan av IPv4, dvs. Dual Stack, och arbeta vidare därifrån. Under tiden kanske man kommer underfund med att det någon annan teknik gynnar företaget bättre, då får man påbörja en implementering av den tekniken istället. På Crosskey kommer denna del utföras av Datacom-avdelningen och Nätverksarkitekterna. Arkitekterna ser över designen och Datacom genomför implementeringen. Som nämnts ovan bör lämpligen Dual Stack införas hos Crosskey som ett första steg. Arkitekterna har även som uppgift att skapa adressplanen av de adresser man fått från de två internetleverantörerna. 3.7 TESTER Tester av allt som kan tänkas behöva fungera med IPv6 behöver göras. Hårdvara, mjukvara, tjänster, applikationer, övervakning och kundrelationer är några områden att ta i beaktande. Helt enkelt, testa nätverkets interoperabilitet. Det är viktigt att man är noggrann och väntar med att implementera IPv6 innan man uppnått önskvärda resultat. Även här blir det Datacom-avdelningen som har störst ansvar. De får upprätta ett labb och testköra routrar, brandväggar, switchar och lastbalanserare med Dual Stack IPv6. Även I-Series bör göra tester med sina transaktionsservrar och klargöra att de är redo att ta emot transaktioner från IPv6-nät. 3.8 SÄKERHETSPOLICY Med en ny IP-standard kommer även nya säkerhetshot, även om de flesta är samma som i IPv4. Man behöver ta reda på vilka problem och hot som kan uppstå under övergången till IPv6, samt hitta ett sätt att skydda sig mot dessa. Som tidigare nämnts; en bra början är att uppdatera brandväggens regler med IPv6-adresser. Datacom-avdelningen på Crosskey ansvarar för att brandväggsreglerna uppdateras att även skydda mot hot från IPv6-adresser. Som tidigare nämnts, har Crosskey en egen Säkerhetsavdelning. De testar nätets säkerhet efter att brandväggarna uppdaterats och meddelar Datacom-avdelningen ifall något ytterligare skydd krävs. Sida 19 av 25

20 3.9 INKÖPSPLAN Om gammal utrustning behöver bytas ut, eller uppgraderas, så behöver man ta fram en inköpsplan. Man skall självklart se till att all framtida hårdvara, mjukvara samt applikationer fungerar och är säkra med IPv6. Här får de olika berörda avdelningarna på Crosskey sammanfatta ifall de kräver någon ny utrustning för ett införande av IPv6. Projektledaren tar fram en inköpsplan och för den vidare till Ekonomiavdelningen för godkännande UNDANTAG FRÅN IPV6 Man behöver vara medveten om vilka undantag från IPv6 som krävs. Det krävs ett fastställande av vilka enheter i nätverket som måste fortstätta använda sig av IPv4. Anledningarna till detta kan vara många, till exempel tekniska, kostnadsmässiga och affärsmässiga. Crosskeys tanke är att det interna nätverket förblir i IPv4. En övergång till IPv6 på det interna nätet skulle vara ett ännu större projekt, då nätverket är så utbrett och komplext. När man tagit ovanstående tio steg i beaktande så bör man känna sig mogen att börja implementera IPv6 i sitt nätverk. Då är det bara att börja konfigurera sin utrustning. Givetvis kan det se olika ut för olika företag, men följer man denna plan så bör man komma en bra bit på vägen och själva implementeringen kommer att gå mindre smärtfritt. [16] 4. KÄNDA PROBLEM VID IMPLEMENTERING När man väl gjort sig redo att för implementering av IPv6 i nätverket så bör det inte vara problematiskt att konfigurera upp alla enheter. Det finns dock vissa fallgropar. Nedan kommer jag att lista några kända problem som stötts på vid IPv6-implementering. 4.1 EXCHANGE 2007 PÅ WINDOWS SERVER 2003 Både Exchange 2007 och Windows Server 2003 stöder IPv6, men de stöder inte det i just denna kombination. Exchange 2007 kräver minst Service Pack 1 samt Windows Server 2008 för att kunna använda IPv6, och för att köra Exchange 2007 på Windows Server 2008 R2 så krävs Service Pack 3 på Exchange SLAAC PÅ DNS Som tidigare nämnts så gör SLAAC att IPv6-datorer kan konfigurera sin adress automatiskt via ett Router Advertisement. Detta funkar inte på en DNS-server. Alternativen är att manuellt konfigurera namnservrar på varje maskin eller att köra Dual Stack och använda DNS över IPv4. Detta är fortfarande under utveckling, och skulle möjligtvis kunna lösas via en fast multicast-ipv6-adress för DNS-servrar eller en option till Router Advertisement. 4.3 TIMEOUTER Om man har en dator konfigurerad med både IPv6 och IPv4 så kommer alltid IPv6 att prioriteras först. Om det då saknas en IPv6-förbindelse på vägen till destinationen så kommer man drabbas av en timeout innan datorn kan övergå till IPv4. [17] Sida 20 av 25

21 5. UTFÖRT ARBETE För att Crosskey skall uppnå sitt huvudmål, så har jag påbörjat en förundersökning. Jag har skissat upp en topologi som liknar den delen som kommer beröras. (Bild 6, Topologi. Ungefärlig topologi för en del av en av kundernas nätverk) Som nämnts tidigare är målet för företaget att IPv6-anslutna kunder skall kunna komma åt internetbanken och göra transaktioner. Därför blir det då ovanstående utrustning som blir intressant. 5.1 INVENTERING Jag har inventerat den utrustning hos Crosskey som berörs av detta projekt, och det skall inte vara några problem att köra IPv6 på enheterna. Dock har jag bara undersökt mjukvaran, inte hårdvaran. Man behöver därför granska utrustningens minne och processorkraft att den inte överbelastas vid en implementering av IPv KONTAKTAT ISP Jag har varit i kontakt med företagets internetleverantörer, och från dem är det fullt möjligt att beställa IPv6-adresser. En av leverantörerna skrev att om man ansöker IPv6-adresser så kommer man inte kunna bygga redundans som de gör i dagsläget med IPv4. Det är något företaget kan behöver undersöka ytterligare. Sida 21 av 25

22 5.3 DESIGN I dagsläget så skulle Crosskey önska att inte behöva använda IPv6 i det interna nätverket. Efter att ha talat med personalen där så har jag fått information om att all trafik går igenom en lastbalanserare. Det skall vara möjligt att styra om IPv6-trafik ifrån lastbalanseraren till transaktionsservrarna och på så sätt slippa sätta IPv6-adress på servrarna. Jag är inte insatt om vad det är för typ av NAT-teknik som kommer att användas, men jag antar att det är NAT64. Dock finns det som sagt ett antal andra NAT-tekniker, och kan likväl vara någon utav dem. Jag har rekommenderat företaget att använda Dual Stack på routrarna och brandväggarna, då det är den smidigaste lösningen. Eftersom det är relativt enkelt att konfigurera, så kan de komma igång med användningen av IPv6. Routrarna har även en inbyggd funktion att köra IPv4-adresser i IPv6, som jag tidigare beskrivit. 5.4 ADRESSPLAN Jag har gjort ett förslag till en framtida adressplan. Finns några finesser i IPv6. Detta exempel är baserat på att man fått ett /48-block från sin internetleverantör. Vi säger att man fått följande range av IPv6-adresser från sin ISP; 2003:db1:1234::/48. Det är då lättast att dela upp denna i subnät till en /64, och då blir det 2003:db1:1234:[0000-FFFF]::/64. I ranget 0000-FFFF så får subnät plats, och där kan man dela upp de olika bitarna i hierarkier. Man kan till exempel låsa fast de fyra första bitarna till ett värde, som alltid är samma, och spara resterande adresser för framtida användande. De fyra följande bitarna kan också låsas, men de är olika beroende vilket kontor man är. Detta funkar om man har upp till 16 kontor, då värdena kan va mellan 0-F. De sista 16 bitarna är då kvar för subnät på de olika kontoren, och det blir då så många som 256 stycken subnät. Då har vi alltså delat upp de möjliga adresserna, 16*16*256 = Det går så klart att dela upp dem på andra sätt, har man många kontor och få subnät kanske man vill låsa de 16 bitarna i mitten för kontoren. Värt att tänka på är att om man låser de 4 första bitarna, så bör man inte använda 0-nätet, eftersom de försämrar dokumentationen eftersom de inledande nollorna an kan förkortas bort. Till exempel om man låser 0-nätet och börjar skapa subnät så kommer nätet komma före 0020-nätet, vilket kan göra att det ser en aning rörigt ut. Lås istället 1:an till exempel, eller varför inte ett A. [18] Detta blir ostrukturerat: 2003:db1:1234:100::/ :db1:1234:20::/ :db1:1234:300::/64 Detta blir strukturerat: 2003:db1:1234:A020::/ :db1:1234:A100::/ :db1:1234:A300::/64 6. SLUTSATS För min del så har mycket tid av arbetet gått åt att bli mer insatt i IPv6, eftersom jag inte kunde jättemycket om det innan jag påbörjade detta projekt. Sedan har jag fått bestämma vad jag skall göra med informationen jag tagit åt mig, filtrera ut vad som är viktigt att ta med i arbetet och vad som företaget kan ha nytta av att veta. Sedan var tanken att jag skulle undersöka den utrustning som berördes vid en implementering, samt att kunna göra en del tester i ett labb. Men det blev aldrig av, vilket är lite utav en besvikelse för min del, men de på företaget ansåg att det inte behövdes göras, Sida 22 av 25

23 då man ansåg att man inte skulle få ut så mycket utav av det i dagsläget ändå. Därför blev hela det här arbetet en enda teoretisk rapport för min del. Det är fullt möjligt att börja implementera IPv6 hos Crosskey i dagsläget. Det viktiga är att försöka komma igång så snart som möjligt, och inte fortsätta skjuta på det eftersom det kommer bli ett större påtryck inom en snar framtid. Mer och mer kunder kommer börja använda IPv6 eftersom IPv4- adresserna håller på att ta slut, och vill man då ha kvar dessa kunder så kommer man behöva börja implementera IPv6. Skulle man bara nå dagsmålet att få IPv6 att funka fram till och med lastbalanseraren, så har man kommit en bra bit på vägen. Dock är detta inget som sker över en dag, det tar tid att genomföra, men desto fortare man får det gjort, desto bättre. 7. FRAMTIDA ARBETEN Som jag tidigare nämnt är det primära framtida arbetet såklart att börja själva implementeringen av IPv6 så snart som möjligt. Första steget är då att fortsätta på min lilla förundersökning jag gjort, för att sedan komma igång med konfigurering. I mina ögon så bör man i framtiden försöka få in IPv6 i det interna nätet också, eftersom det ger en ett bättre rykte som IT-företag. Det visar att man är med i utvecklingen och att man är villiga att utvecklas hela tiden för att tillfredsställa kunders behov. Detta gör att kunderna blir mer nöjda och man har en bättre möjlighet att få nya kunder i framtiden. Sida 23 av 25

24 8. REFERENSER [1] RFC 791: Internet Protocol DARPA Internet Program Protocol Specification, [2] RFC 2460: Internet Protocol, Version 6 (IPv6) Specification, [3] RFC 950: Internet Standard Subnetting Procedure, [4] Unicast, [5] Multicast over TCP/IP HOWTO, [6] Network Broadcasting and Multicasting, [7] Address Resolution Protocol, [8] Fördjupning i IPv6, [9] IPv6 - Historia och Framtid, [10] IPv6 - Protokollet, [11] RFC 4291: IP Version 6 Addressing Architecture, [12] RFC 4193: Unique Local IPv6 Unicast Addresses, [13] RFC 2374: An IPv6 Aggregatable Global Unicast Address Format, [14] IPv6 ND Overview, History, Motivation and Standards, [15 RFC 6146: Stateful NAT64: Network Address and Protocol Translation from IPv6 Clients to IPv4 Servers, [16] IPv6-planering, [17] IPv6 - Projektet, [18] IPv6 - Adressplanering, [19] Information om Crosskey, Sida 24 av 25

25 [20] Subnetting IP Address, [21] Variable Length Subnet Mask (VLSM), [22] An Illustrated Guide to IPsec, [23] Five ways for IPv6 and IPv4 to peacefully co-exist, [Bild 1] Subnetting och VLSM, [Bild 2] Regional Internet Registries, [Bild 3] Antalet tillgängliga IP-adresser, [Bild 4] Unique-Local-adress, [Bild 5] Multicast, [Bild 6] Topologi, egen Sida 25 av 25