IPv6 i Stadsnät. Anders Löwinger, PacketFront

Transkript

1 IPv6 i Stadsnät Anders Löwinger, PacketFront

2 IPv6 i Stadsnät Agenda IPv6 översikt Planera IPv6 i existerande L2 nät IPv6 i existerande L3 nät Transition IPv6 i Stadsnät

3 IPV6 ÖVERSIKT IPv6 i Stadsnät

4 IPv6, Varför? IANA Jag vill ha en IP adress! IPv6 i Stadsnät

5 IPv6, Varför? Enkelt svar: Inga fler IPv4 adresser APNIC först ut Finns det alternativ? Ja (carrier grade NAT / NAT 444 med mera) Fler o fler enheter kräver en IP adress: Mobiltelefoner, kylskåp, brödrost, larm, TV, DVD, MP3 spelare, Xbox/PS3, elmätare mm IPv6 i Stadsnät

6 IPv6, är det invecklat? Svaret är NEJ! Kan du IPv4 är IPv6 enkelt IPv6 är byggd på erfarenheterna från IPv4 Många nya förkortningar RA, ND, SLAAC IPv6 i Stadsnät

7 IPv6, Adresser 128 bitar, fyra gånger längre än IPv4 2^32 = 4,294,967,296 2^128 = 40,282,366,920,938,463,463,374,607,431,768,211,456 Perspektiv 667,000,000,000,000,000 adresser per mm2 av Jordens yta Adresstyper Unicast, Multicast, Anycast. (Broadcast används ej i IPv6) Exempel 2001:0db8:00fc:0000:0000:0000:0000:0001 (global, unicast) 2002:db8:fc::1/64 (global, unicast) FF0E:0:0:0:0:0:0:101 (global, multicast) IPv6 i Stadsnät

8 IPv6 Neighbor Discovery - ND Ett antal ICMPv6 meddelanden Som IPv4 ARP Detektera router och skicka konfigurationsdata Detektera Noder som har samma adresser Messages Router Solicitation Finns det någon router? Router Advertisement Här är jag, här är konfigurationen Neighbour Solicitation Finns det någon Nod? Neighbour Advertisement Här är jag! Redirect Använd ett annat next-hop IPv6 i Stadsnät

9 IPv6, Routing protokoll OSPFv3 Endast IPv6. Per interface OSPFv2 och OSPFv3 måste köras parallellt» =>IPv4 och IPv6 kan ha olika topologier ISIS Första IGP med IPv6 support IPv6 är leaf information, precis som IPv4, IPX, OSI BGP Multiprotocol BGP hanterar IPv6 En separat address family context IPv6 i Stadsnät

10 IPv6 Support i Operativsystem OS IPv6 IPv6 default SLAAC Privacy DHCPv6 FW Preference WinXP Ja Nej Ja Nej, addon Ja IPv6 WinVista Ja Ja Ja Ja Ja? IPv6 Win7 Ja Ja Ja Ja Ja Ja IPv6 MAC OSX Ja Ja Ja Nej? IPv6 Linux Ja Ja Ja Addon Ja IPv6 Solaris Ja Ja Ja Ja Ja IPv IPv6 i Stadsnät

11 Planera IPv6 i Stadsnät

12 Planera Mina rekommendationer Dual stack DHCPv6 så klienter kan få DNSv6 server NAT och PAS när IPv4 adresser är slut Börja med IPv6 unicast Fortsätt med IPv6 multicast En STB kan behöva Internet Avsluta med IPv6 för kontrollplan (telnet, ssh, snmp, netconf) Osäkert om detta någonsin kommer behövas, du kan fortsätta managera ditt nät över IPv4 med hjälp av PAS / RFC1918 adresser och NAT IPv6 i Stadsnät

13 Planera Att göra! Kontakta dina tjänsteleverantörer, IPv6 i Internet tjänsten? Gör en IPv6 adressplan för stadsnätet (inte för tjänster), ni får förmodligen en / subnät Gör en IPv6 adressplan för tjänsterna, en per tjänsteleverantör Inventera din nätverk. Kan utrustning (routrar, switchar, CPEer) hantera IPv6? Inventera dina stödsystem, supportar de IPv6? Tjänsteaktivering, DHCPv6 server Utbilda personalen Ett bra sätt är att slå på IPv6 på ditt kontorsnät. Learning-bydoing Aktivera IPv6 i dina stödsystem Uppgradera ditt nätverk så det kan hantera IPv IPv6 i Stadsnät

14 IPV6 I BEFINTLIGA L2 NÄT IPv6 i Stadsnät

15 IPv6 i befintliga L2 nät Några vanliga typer av L2 nät Ett VLAN per kund Ett VLAN per tjänst IPv6 i Stadsnät

16 IPv6 i befintliga L2 nät IPv6 här Ett VLAN per kund Ingen L2 mellan kunder Trafik mellan kunder vänder på L3 i routern Börja med Planera, Att göra Aktivera IPv6 i router IPv6 multicast -> MVRv6 i switchar VLAN tag läggs på här Kund 1, VLAN 201 Kund 2, VLAN IPv6 i Stadsnät

17 IPv6 i befintliga L2 nät Ett VLAN per tjänst Detta är en vanlig modell att bygga stadsnät med Sparar IPv4 adresser Säkerhetsproblem Klienter kan utbyta trafik direkt Denial of Service (DoS) attacker Man In The Middle (MiM) attacker Abuse, vilken kund använde en IPv4 adress vid en specifik tidpunk? Service VLAN (CPE) Service VLAN (Internet) IPv6 i Stadsnät

18 IPv4 Service VLAN Icke-standardiserade funktioner L2 Isolera kunder MAC Forced Forwarding (MACFF) Private VLAN Isolated ports / port protect Proxy ARP DHCPv4 snooping Bygger en DHCP databas DHCPv4 Option 82 insertion IP Source Guard ARP Inspection SKA / SEC IPv6 i Stadsnät

19 IPv6 Service VLAN, vad behövs? Skydd mot: Man-In-the-Middle attacker Denial-of-Service attacker Abuse Spårning av IPv6 adresser Nya funktioner i Switchar. Klarar switcharna detta? Kommer switcharna få detta? RIPE IPv6 i Stadsnät

20 IPv6 Service VLAN: Duplicate Address Dection (DAD) Risk: DoS: Kan förhindra andra klienter att få en IPv6 adress Lösning, L2 switch: Lära sig alla klienters IPv6 adress Inspektera alla NS paket Tillåt endast korrekta DAD svar DAD To: FF02::FF73:9876 Tillgänglig? fe80::200:abff:fe01:1234 DAD-response To: FF02::1 Nej, jag har redan den! IPv6 i Stadsnät

21 IPv6 Service VLAN: Neighbor Solicitation/Advertisement ARP funktionalitet Skapar en mappning mellan IPv6 adress och MAC adress Risk: MiM: Få trafik att passera genom elak klient. Lösning, L2 switch: Lära sig alla klienters IPv6 adress Inspektera alla NS och NA paket Tillåt endast korrekta NS/NA paket. NA-response Jag är 0001:5a00:000 1 Vem är FE80::200:99ff:fe99:9999? IPv6 i Stadsnät

22 IPv6 Service VLAN: Router Advertisement RA-message Jag är en router. Använd mig! RA annonserar sig som kandidat för default router. Risk: MiM: Agera som en router DoS: Felaktiga data i RA Lösning, L2 switch: Filtrera bort RA på vissa portar RA-message Jag är en router. Använd mig! Till: IPv6 i Stadsnät

23 IPv6 Service VLAN: Redirect messages Redirects informerar en klient om en bättre väg Risk: MiM: Använd mig DoS: Använd den där noden Lösning, L2 switch: Filtrera bort redirects på vissa portar Redirect-message Use fe80::200:56ff:fe73:9876 a next-hop for everything. fe80::200:56ff:fe73: IPv6 i Stadsnät

24 IPv6 Service VLAN: DHCPv6 DHCPv6 används för konfiguration av klienter Risk: DoS: Skicka fel konfiguration L2 switch: Lära sig alla klienters IPv6 adress Inspektera all DHCPv6 trafik. Tillåt endast meddelande från verifierade klienter. Filtrera bort DHCPv6 svar på vissa portar fe80::200:abff:fe01:1234 DHCP-REPLY Använd 2001:db8:12::1 DNS server fe80::200:abff:fe01:1234 DHCP Solicit IPv6 i Stadsnät fe80::200:56ff:fe73:9876

25 IPv6 i befintliga L2 nät IPv6 här Service VLAN Börja med Planera, Att göra Konfigurera alla Switchar med IPv6 DOS, MiM, Abuse funktioner Aktivera IPv6 i router IPv6 multicast -> MLD/MLDv2 snooping behövs Service VLAN (CPE) Service VLAN (Internet) IPv6 i Stadsnät

26 IPV6 I BEFINTLIGA L3 NÄT IPv6 i Stadsnät

27 IPv6 i befintliga L3 nät IPv6 här IPv6 här IPv6 här Börja med Planera, Att göra Aktivera IPv6 routing i alla nätelement Konfigurera alla länkar och loopbacks med IPv6 adresser Aktivera OSPFv3 Aktivera DHCPv6 Aktivera IPv6 i tjänster. IPv6 Open Access är knepigt men går att lösa IPv6 i Stadsnät

28 Transition IPv6 i Stadsnät

29 Transition IPv4 Internet IPv4 IPv4 Internet IPv4 IPv6 IPv4 IPv6 Internet IPv4 IPv6 IPv4 Internet IPv6 IPv4 och IPv6 är inte kompatibla med varandra Vems uppgift är det att koppla ihop de två världarna? Stadsnätet eller tjänsteoperatören? IPv6 i Stadsnät

30 Transition, IPv4 klient kontaktar IPv6 server GIX NAT46 GIX Tele2 Bahnhof Tele2 Bahnhof IPv4 IPv6 NAT46 Stadsnät IPv4 IPv6 IPv4 IPv6 Stadsnät IPv4 IPv6 IPv4 IPv6 IPv4 globala eller PAS adresser? IPv6 i Stadsnät

31 Transition IPv4 och IPv6 är inte kompatibla med varandra Många lösningar NAT46 - IPv4 klient kan kontakta en IPv6 server NAT64 - IPv6 klient kan kontakta en IPv4 server Application Layer Gateways (proxy) 6over4 kräver global IPv4 multicast 6to4. Tillåter öar med IPv6 att passera IPv4 nät 6rd. Som 6to4 men mer lämpat för en ISP/ett stadsnät Teredo en tunnel per klient ISATAP - Intra-Site Automatic Tunnel Addressing Protocol IETF Drafts IPv6 i Stadsnät

32 Transition Jag anser att Transition mekanismer ska hanteras av tjänsteleverantören Internet Access är både IPv4 och IPv6 Nästan alla operativsystem supportar dual stack Ge alla klienter en IPv4 och IPv6 adress Slut på IPv4 adresser => ge klient en PAS/RFC1918 och kör NAT44 Många produkter på marknaden som gör IPv4 NAT IPv4 NAT används bara när IPv6 inte fungerar Löser problem med OS som inte kan DNS över IPv6 Löser problem med SLAAC då OS et inte får DNSv6 server IPv6 i Stadsnät

33 Sammanfattning IPv6 i Stadsnät

34 Sammanfattning IPv4 adresserna är snart slut IPv6 är lösningen framåt IPv6 är inte komplicerat IPv6 finns och går redan idag att använda Börja genast att titta på IPv6 Lägg in IPv6 på kontorsnätet Prata med era tjänsteleverantörer om IPv6 Planera hur ni ska introducera IPv6 i erat stadsnät Ett VLAN per kund eller L3 är mycket enklare än Service VLAN Under en överskådlig tid kommer vi få leva med IPv4, IPv6 och transition mekanismer för att vi ska ha ETT Internet IPv6 i Stadsnät

35 Resurser SSNF Secure End user Connection SEC IETF IP Version 6 Working Group (ipv6) Link IPv6 Maintenance (6man) Link IPv6 Operations (v6ops) Link RIPE Requirements For IPv6 in ICT Equipment, ripe-501 Preparing an IPv6 addressing plan Link Broadband Forum IPv6Forum Link IPv6 i Stadsnät

36 Tack! For more information go to: Anders Lowinger