Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

Relevanta dokument
IPv6 och säkerhet.

Kurs: Windowsadministration II, 1DV424 Datum: Förberedelseuppgift

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Varför ska vi införa IPv6 och hur gjorde PTS?

Att sätta upp en IPsec-förbindelse med mobil klient (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Vilka är vi. Magnus Ahltorp KTHLAN Ragnar Sundblad KTHLAN & NADA

Att införa IPv6 internetprotokoll version 6 En praktisk vägledning

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer. Lisa Hallingström Paul Donald

3. Steg för steg. Kör IPv6 på riktigt med FortiGate! Principen är enkel:

LABORATIONSRAPPORT Säkerhet och Sårbarhet Laboration 1 Brandväggar

Varför och hur införa IPv6 och DNSSEC?

Varför ska min organisation införa IPv6 och hur kan vi gå till väga

Innehållsförteckning Introduktion Samtal Kvalitetsproblem Felsökning av terminal Fakturering Brandvägg

Att sätta upp en IPsec-förbindelse med RADIUS-autentisering (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Installationsanvisningar

Hur gör man ett trådlöst nätverk säkert?

Erfarenheter av eduroam införande. Michael Lööw

IPv6- Inventering. Västkom Västra Götalands Län

Linuxadministration I 1DV417 - Laboration 5 Brandvägg och DNS. Marcus Wilhelmsson marcus.wilhelmsson@lnu.se 19 februari 2013

Laboration 2 1DV416 Windowsadministraion I

SKA v6. Godkänd: Rev: April. SKA v6 1(19)

Systemkrav och tekniska förutsättningar

LABORATIONSRAPPORT Säkerhet & Sårbarhet VPN

IPv6 i SUNET. Johan Nicklasson KTHNOC/SUNET johan@sunet.se

TEKNISK SPECIFIKATION. för TIDOMAT Portal version 1.7

Instruktion: Trådlöst utbildningsnät orebro-utbildning

Övningar - Datorkommunikation

Startanvisning för Bornets Internet

Installation av. Vitec Online

IPv6 i Stadsnät. Anders Löwinger, PacketFront

Att sätta upp en IPsec-förbindelse mellan två Ingate-brandväggar/SIParatorer (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

Topologi. Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Att sätta upp en IPsec-förbindelse med mobil klient. Lisa Hallingström Paul Donald

Installationsanvisningar

IPv6 Beredskap på svenska storföretag och myndigheter. En rapport från.se

Föreläsning 5. Vägval. Vägval: önskvärda egenskaper. Mål:

Planering och RA/DHCPv6 i detalj

Viktigt! Läs igenom hela anvisningen innan du påbörjar inloggningen för första gången.

Slutrapport SKA fas två. Godkänd: Rev: Maj. Rapport SKA 1(8)

Instruktion: Trådlöst nätverk för privata enheter

Linuxadministration I 1DV417 - Laboration 4 Nätverk, DHCP, säkerhetskopiering, processhantering, Samba och NFS

Felsökningsguide för Windows XP

Startguide för Administratör Kom igång med Microsoft Office 365

SkeKraft Bredband Installationsguide

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

Skolmaten. Användarhandledning

Att sätta upp en IPsec-förbindelse med NAT (med SIP) Lisa Hallingström Paul Donald Bogdan Musat Adnan Khalid

3) Routern kontrollerar nu om destinationen återfinns i Routingtabellen av för att se om det finns en väg (route) till denna remote ost.

Tor- och onionteknik projektet

ÅTVID.NET Startinstruktioner

NORDUnet Nordic infrastructure for Research & Education. Statusrapport NUNOC. per@nordu.net. Stockholm 11/15/07 11/14/07

Bordermail instruktionsmanual

Hoppa till... Exportera till Excel

IPv6 Jonas Aronsson 3TEa

Rättningstiden är i normalfall 15 arbetsdagar och resultat anslås sedan i Ladok inom en vecka (under förutsättning att inget oförutsett inträffar).

Dovado Tiny - installationsguide

Handbok för installation av programvara

Hemmanätverk. Av Jan Pihlgren. Innehåll

Allt handlar om att kommunikationen måste fungera, utan avbrott.

Norman Endpoint Protection (NPRO) installationsguide

Installationsmanual för Tyfon ADSL

Integritet på nätet. Jon Karlung, Bahnhof

21.6 Testa VPN-tunneln

Setup Internet Acess CSE-H55N

Larmsändare sip86. Alla inställningar konfigureras enkelt upp med Windowsprogramvaran IP- Scanner. 2 Larmsändare sip22

Instruktioner för uppdatering från Ethiris 4.10 till 5.x

Direct Access ger dig möjlighet att nåinternaresurservarduänbefinnersig Men hur fungerar tekniken bakom den välpolerade ytan?

EXTREME NETWORKS IP SÄKERHET. i EXOS relaterat SSnFs SKA krav

Att sätta upp en IPsec-förbindelse med NAT. Lisa Hallingström Paul Donald

Information till användare av trådlöst LAN

Handbok Remote Access TBRA

FIBER INSTALLATIONSHANDBOK VERSION 1.0. Felanmälan och support nås på Alla dagar 08:00-22:00

Information till användare av trådlöst LAN

Linuxadministration 2 1DV421 - Laborationer Webbservern Apache, Mailtjänster, Klustring, Katalogtjänster

ÄNTLIGEN ETT SPEL DÄR ER KLUBB ALLTID VINNER! Kom igång med Klubblo och skapa er inloggning med ett par enkla steg!

Handbok för installation av programvara

Konfigurering av Intertex SurfinBird IX78 tillsammans med IP-växlar och Telia SIP-anslutning

Fast internet. Installationshandbok 5 enkla steg för att komma igång

IT-lösningar SMARTA PRODUKTER SOM FÖRENKLAR DIN VARDAG. Innehållsregister

DNS-test. Patrik Fältström. Ulf Vedenbrant.

F5 Exchange Elektronikcentrum i Svängsta Utbildning AB

Din guide till en säkrare kommunikation

PROJEKTSPECIFIKATION / FÖRSTUDIE MALMÖ HÖGSKOLAS CAMPUS NÄT

UtvecklingavErIT-miljö. Hjälp med datorproblem Allmän IT-support

DIG IN TO. Nätverksadministration

Att Säkra Internet Backbone

TCP/IP och Internetadressering

progecad NLM Användarhandledning

För att kunna kommunicera i bredbandsnätet krävs följande:

GIVETVIS. SKA DU HA INTERNET I DIN LÄGENHET! En guide till hur du installerar internet i ditt nya hem.

IPv6 - varför skall jag bry mig?

ADSL INSTALLATIONSHANDBOK VERSION 1.2. Bredbands felanmälan och support nås på Alla dagar 08:00-22:00

Juniper Unified Network Service för tjänsten SDC Web-Access. Installationsanvisning v 2.0.2

INCIDENTRAPPORT FÖR DRIFTSTÖRNING VÄSTBERGA DATACENTER, ZON 1

Innehåll. Förändringar i v5.2

LAN Port: 4 X RJ45 10/100BASE-TX Fast Ethernet med Auto MDI/MDIX. Resetknapp: Återställer enheten till fabriks inställningar

Lathund Beställningsblankett AddSecure Control

Att planera tekniken. Stöddokument för. Version: Ersätter : Tidigare dokument på orientering.se.

HP ProCurve SKA 3.1 Certifiering

Information om Axets bredband och telefoni

Transkript:

Jimmy Bergman Ansvarig för utveckling och roliga skämt vid kaffemaskinen

Lärdomar från vår IPv6-lansering

Bakgrund Vi såg det som en marknadsföringsmöjlighet Vi ville börja innan många slutanvändare använde IPv6, för att fåtid påoss att stabilisera lösningen innan många påverkades av potentiella problem Långsiktigt ser vi det som en nödvändighet Det är kul

Delprojekt Vi valde att dela in projektet i tre faser: 1. Inför IPv6 i vårt nätverk, samt i servrar som hanterar vår hemsida samt våra administrationsverktyg 2. Inför IPv6 i våra namnservrar 3. Inför IPv6 för våra kunders webbsidor samt i vårt e-postsystem

Steg 1: Nätverk + fåservrar Förberedande arbete: Ansökte om medlemskap i RIPE Ansökte om en IPv6-allokering Gick snabbt och smärtfritt, nästa steg var att fåisp:er att sälja transit åt oss Inte lika enkelt, ett par ISP:er verkade inte förstå varför vi ville köpa IPv6-trafik Vi sade vi vill bli kund, de svarade ni vet väl att ingen använder IPv6 ISP:er behöver förståatt de kanske inte kommer tjäna pengar påatt erbjuda detta direkt, men de kommer förlora pengar påatt inte erbjuda det i längden

Inkoppling av ISP Köpte av Tele2 Deras attityd är uppfriskande hjälpsam och utan byråkrati De erbjöd oss att köra BGP via en tunnel direkt och att ansluta våra routers direkt via IPv6 såfort deras nät var helt utbyggt De har varit enormt kunniga samt trevliga att ha att göra med Vi bestämde oss för att köra pådetta för steg 1 samt att vänta med delprojekt 2 och 3 tills vi har kopplat in flera Internetleverantörer samt fått bort tunneln

Border-routers Vi använder OpenBSD med OpenBGPD Stödde redan IPv6, ingen uppgradering nödvändig Vi uppgraderade till senaste versionen påsamma gång ändå, fördelen med redundans i alla steg är att uppgraderingar är enkla Konfiguration var enkel men omfattande: I princip all konfiguration för IPv4 fick motsvarighet CARP-adresser, BGP-konfiguration, brandväggsregler, routing-regler Många enkla ändringar Stort krav på testning

Brandväggar Även här använder vi OpenBSD med OpenBGPD Regelverket var specifierat för IPv4 och med block all inet6 Man måste tänka påatt IPv4-regler inte per automatik gäller för IPv6, såman inte går från att ha ett väl fungerande regelverk till att ha ett väl fungerande IPv4-regelverk och öppen gata in på IPv6 I vårt fall valde vi att lägga in ett fåtal regler för att släppa igenom enbart tjänsterna i steg 1 när anslutningarna kom via IPv6 Man måste tänka påatt det är ännu viktigare att tillåta ICMP6 än ICMP, IPv6 utan fungerande ICMP Neighbor Discovery är inte en trevlig upplevelse (även ICMP bör vara självklart att tillåta, men såser ju inte världen riktigt ut)

Ändringen med andra ord Ett pakets väg före införandet: IPv4-användare Någon av våra ISP:er En av våra border-routers En virtuell IP (CARP) som hanteras av någon av våra brandväggar Någon server hos oss En virtuell IP (CARP) som hanteras av någon av våra brandväggar En virtuell IP (CARP) som hanteras av någon av våra border-routers Någon av våra ISP:er IPv4-användare

Ändringen med andra ord Ett pakets väg efter införandet: Användare på IPv4 eller IPv6 Någon av våra ISP:er En av våra border-routers En av två virtuella IPs (CARP) som hanteras av någon av våra brandväggar (en för IPv4 och en för IPv6) Någon server hos oss En av tvåvirtuella IPs (CARP) som hanteras av någon av våra brandväggar En av tvåvirtuella IPs (CARP) som hanteras av någon av våra border-routers Någon av våra ISP:er Användare på IPv4 eller IPv6

Ändringen med andra ord Vi gör exakt samma sak påipv6 som påipv4 Men vi gör det en gång till. Man får inse att man måste konfigurera alla punkter i sitt nätverk till att stödja IPv6 om man vill stödja samma saker som på IPv4

Anslutning av servrar Nästa steg var att tillgängliggöra vår hemsida och våra kontrollpaneler via IPv6 Men först ordnade vi såatt vårt kontorsnät hade IPv6-stöd, såatt våra support-tekniker kunde se samma sak som IPv6-anslutande kunder Påvårt kontorsnät såkör vi nu: IPv4: Användare NAT-gateway Internet IPv6: Användare med publik adress Gateway utan NAT Internet Detta exemplifierar en av fördelarna med att ha sjukt många adresser, man slipper vederstyggelser som NAT

Anslutning av servrar Ändra såatt lagring av IP-adresser i våra system stödjer adresser längre än 15 tecken Konfiguration av servrar som ska finnas på IPv6: Tilldela en adress Vi gör det manuellt för servrar, på kontorsnätet använder vi autoconfiguration Några få rader konfigurationsändring: Sätta upp interface Sätta default-route Verifiera att demonen som kör tjänsten lyssnar på både IPv4 och IPv6 DNS-ändringar Allt verkade fungera bra

Fel som man bara upptäcker efteråt Allt fungerade bra utifrån Allt fungerade oftast bra från vårt kontorsnät Dåoch dågick det inte att ansluta via IPv6 från kontorsnätet till berörda servrar När vi tcpdump:ade påservrarna för att se om trafik kom in började det fungera Även om man har bra koll påipv6 såtar det längre tid att felsöka ju kortare erfarenhet man har För IPv4 har många tekniker 10+ års erfarenhet Detsamma gäller oftast inte för IPv6

Vad var det då? Vi hade konfigurerat servrarna korrekt i konfigurationsfiler Men vi hade tilldelat IPv6-adresser manuellt via ifconfig för att slippa ta ned/upp hela nätverksinterfacet Därför saknades auto-tilldelade link-local-adresser, vilket gjorde att Neighbour Discovery inte fungerade korrekt, eftersom maskinen inte var medlem i ff02::1

Fel som man kunde ha upptäckt före Kunder som anslöt via IPv6 rapporterade in problem med att administrera sin epost Problemet: Vår e-postadministration ligger på en annan server än vår vanliga kontrollpanel E-postadministrationen verifierar att den inloggade kunden använder samma IP-adress som när denne loggade in Vi hade inte lagt till IPv6-stöd för e-postadministrationen, såkundens IP-adress var annorlunda i kontrollpanelen och e-postadministrationen Enkel fix: Gör det då.

Fel som man kunde ha upptäckt före Kund rapporterade in problem med att hans traceroute till oss inte fungerade Vi hade bara öppnat för ICMP6-traceroutes i brandväggen Ett par undermåliga operativsystem erbjuder inte traceroute6 I utan bara UDP-traceroute Såvi tillät UDP-traceroutes för IPv6 för att Linux-användarna skulle bli glada (och vi får erkänna att det var en miss, vi har det självklart öppet påipv4)

Fel som man kunde ha upptäckt före *

Nästa steg Med IPv6 i nätet aktivt och ett par tjänster live som pilot är det dags för fas 2 Första steget körde vi med raskare implementationstakt än vanligt eftersom vi kände att vi kunde få marknadsförings-payoff direkt med Loopia lanserar IPv6 och så vidare. Det lyckades. Dåvåra namnservrar hanterar 25 % av alla.se-domäner är det dock viktigare med en mer försiktig lansering av IPv6 för våra namnservrar

Namnservrar Vi väntar påatt fåredundans gällandes vår transit för IPv6 innan vi tar detta live. Minst en ISP till samt inga tunnlar. Att göra (i princip): Konfigurera IPv6-adresser för maskinerna Verifiera att Bind svarar korrekt sett utifrån på både IPv6 och IPv4 Uppdatera loopia.se-zonen samt lägg till glue i.se Total tidsåtgång: 25 minuter, att vi väntar är bara ett policy-beslut Klart sedan länge: Möjlighet att administrera AAAA-pekare i våra DNS-tjänster.

Webb + epost När sedan namnservrarna finns på IPv6 kommer nästa steg: Resten av tjänsterna Detta är lite mer jobb, men av samma komplexitet (knappt någon alls) Att detta ännu ej är i produktion är även det policy snarare än implementationstid, med ett script görs arbetet på maximalt några timmar Dessa tvåsteg kommer genomföras såfort vi känner att konnektivitet är tillräckligt god i vårt IPv6-nät Det vi dåslutar påär en situation dårelativt mycket svenskt innehåll finns tillgängligt på IPv6, inte minst 25% av.se-zonerna DNS-mässigt Vi hoppas att det kan hjälpa till lite som motargument till de dåliga ingen använder det ju ändå-argumenten som ofta hörs från bakåtsträvare

Kom ihåg-lista Gå igenom alla era publika tjänster Tänk: Finns det någon vits med att erbjuda denna även påipv6 Var noggrann med att verifiera brandväggsregelverk även för IPv6 Kontrollera att ert övervakningssystem även testar era tjänster via IPv6, samt IPv6-konnektivitet Tjata på era Internetleverantörer vid varje tillfälle Använd IPv6 påera arbetsstationer, såatt ni ser eventuella fel före eller lika fort som era IPv6-kunder

Frågor? Nej, inte om våra epost-problem (överbelastat lagringssystem, ja det är löst).

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss