Inventera mera! Tobbe Eklöv torbjorn.eklov@interlan.se
Stor leverantör om IPv6 Vi har stöd för IPv6 nu! Vilket IPv6-stöd har ni då? Vi spärrar all IPv6 över IPv4-tunnlar och all annan IPv6-trafik. Öhh, hur kan ni kalla det IPv6-stöd? Vi kallar det proxy avoidance. Jag tror nog inte att ni borde kalla det IPv6-stöd Jo det gör vi men jag måste erkänna att jag inte kan så mycket om IPv6
Myter och skrönor om IPv6 IPv6 är _inte_ farligt! 6to4 Teredo Ip https Nivå två, hur många kör DHCP snooping och ARP inspection för v4 idag?
Kommuner med IPv6
När jag pratar idag Alltid dual stack!
Nästa år kanske vi pratar om detta
Eller detta
IPv6 är enkelt! Kan ni er v4 räcker det med en/två dagars kurs/workshop för att komma igång Krångla inte till det!
Kräv IPv6 Alla upphandlingar! Hårdvara Mjukvara Webbhotell DNS-operatör Mailtvätt
Operativsystem Windows XP Windows server 2003 Windows 7 Windows Vista Windows server 2008 1 3 2 Linux Mac OSX xbsd
Mac OS x Automtiskt men bara SLAAC inte DHCPv6
Linux/*BSD Ignore => SLAAC, vad betyder Automatic?
Windows Vista/7 Automatically =SLAAC och/eller DHCPv6 => Tobbe ger dem +++++
En verklig inventering In och utgående mail DNS resolver / auktoritär Egna webbsidor Utgående surfning Fattas det något?
En verklig inventering Utgående DNS Inkommande DNS IPv6 transit
En verklig inventering Inkommande http/https In och utgående mail Utgående http/https
Interna system All intra kommunikation kör v4 och det fungerar idag => Vi väntar med v6 där
Interna system Ni vill inte ha IPv6 i journal, ekonomi och andra kritiska system utan att ni testat det ordentligt Låt bli dem i första steget
En verklig inventering Produkt version IPv6 Kommentar Check Point R70 HFA40 Nej IPv6 pack krävs Cisco Catalyst WS-C3750-24TS 12.2(25)SEE2 Nja Bytes till de nedan snart Cisco Catalyst WS-3750 G -24T 12.2(35) SE5 Ja Cisco Catalyst VS-C6509E 12.2(33) SXI1 Nej Uppgraderas till något med IPv6, 12.2(33) SXI2 Windows 7 Ja ISA Nej 2008 servrar ja Websense 7.5 Nej Halon 2.2.5.1 ja Linux / Bind / Unbound Ja UAG / DA Ja Portwise 4.9.4 Nej Senare under 2011 ISP1 Ja ISP2 Kanske Kan leverera beroende på CPE HP - Procurve 26-serien Interna system Väntar vi med
Internetleverantörer ~ 240 registrerade på PTS Hur många www, MX och DNS med AAAA tror ni? 7 igång med det på sin www 11 domäner med quad A MX 27 domäner quad A på DNS
Internetleverantörer "Song Networks planerar att införa IPv6 1/1 2001 för samtliga kunder anslutna till vårt nät Telia företag under 2011 TDC levererade en vecka men slutade Telenor på G Tele2 kan leverera på en del platser Bahnhof, Phonera mm. ska ha kommit längre Var finns informationen på hemsidorna?
Grundläggande krav - IPv6 host RIPE 501 IPv6 Basic specification [RFC2460] IPv6 Addressing Architecture basic [RFC4291] Default Address Selection [RFC3484] ICMPv6 [RFC4443] DHCPv6 client [RFC3315] SLAAC [RFC4862] Path MTU Discovery [RFC1981] Neighbour Discovery [RFC4861] Basic Transition Mechanisms for IPv6 Hosts and Routers [RFC4213] IPsec-v2 [RFC2401, RFC2406, RFC2402] IKE version 2 (IKEv2) [RFC4306, RFC4718] DNS protocol extensions for incorporating IPv6 DNS resource records [RFC3596] DNS message extension mechanism [RFC2671] DNS message size requirements [RFC3226]
Extern router/switch Catalyst 3750 Krav IPv4/IPv6 unicast routing IPv6+ IPv4 BGP Cisco Catalyst 3750 www.cisco.com/go/fn + IPv6 Routing: Multiprotocol BGP Extensions for IPv6 => c3750e-universalk9-mz.122-53.se2.bin 256 Mb RAM, 64 MB Flash
DNS Intern validerande DNS Ubuntu 10.04.1 med Unbound 1.4.1 Extern autktoritär DNS BIND 9.7.3 Intern Windows DNS behöver inte köra IPv6 frågar efter AAAA på v4 Windows 7 ---- AAAA/v4 Windows DNS --- AAAA/v4 -> Linux DNS --- v4/v6 ->
DNS Notify när v6 är enablat Master: notify-source 192.168.100.100; Slave: allow-notify { 192.168.100.100; 2001:db8:10:100::100; }; masters { 192.168.100.100; 2001:db8:10:100::100; };
Firewall Check Point R70 HFA40 IPv6 pack krävs
Firewall Cisco ASA Halon Fortigate Checkpoint OK OK OK OK Clavister Q2 2011 Kräver uppgradering till version 9.? Symantec SEP Q2 2011 Watchguard Q2 2011 Ingate Har inte svarat Om er inte har stöd på v6, köp en ny och placera parallellt
Grundläggande funktioner L3-switch/router RIPE 501 IPv6 Basic specification [RFC2460] IPv6 Addressing Architecture basic [RFC4291] Default Address Selection [RFC3484] ICMPv6 [RFC4443] SLAAC [RFC4862] MLDv2 snooping [RFC4541] Router-Alert option [RFC2711] Path MTU Discovery [RFC1981] Neighbour Discovery [RFC4861] Classless Inter-domain routing [RFC4632] Med mera.
L3 switch http://www.ripe.net/ripe/docs/ripe-501#layer3 Krav: IPv6 unicast routing DHCPv6 relay Cisco Catalyst VS-C6509E 12.2(33) SXI1 Uppgraderas till 12.2(33) SXI2 Med rätt IOS stödjer de flesta Cisco L3- switchar IPv6
L3 forts HP E-series E3500, E5400, E6200, E6600, E8200 IPv6 från version K.15 HP A-series Extreme Networks XOS Procurve 530X Nej
L2 switch RIPE 501 MLDv2 snooping [RFC4541] HP E-Series 26xx har inte stöd för MLDv2 De flesta vanliga switchar fungerar NDP har ställt till det ibland i äldre utrustning Säkerhet
ISA Inget v6-stöd Samma certificat måste finnas i ISA och IIS IPv6 A till ISA AAAA direkt mot webbserver TMG kommer att komma med v6 men när?
ISA TMG Websense - Bluecoat ISA aldrig TMG på gång, ni måste tjata mer Websense verkar inte intresserade Bluecoat, ja Squid, från 3.1
Utgående http Policy based routing http -> Proxy
Mailtvätt - Appliance Halon OK Borderware/Mxtreme Nej Watchguard XCS Inte hittat information men FW under 2011 Barracuda 2011 Mailscanner baserade OK
Mailtvätt/MTA molnet Dessa har _inte_ IPv6 och får klart underkänt STEJ Softcom Emailfiltering Messagelabs TDC Itsam Virus112 Mailcontrol Finet Norman Invid Messagewash Pandasecurity Tripnet Infracom Zetup Frontbrigde Microsoft- Tieto - Easydns
Webbservrar Microsoft IIS 6-7 Apache Apache Tomcat Sitevision, Wordpress, Episerver
Vilka servrar har vi kört IPv6 i? Apache >2.0, IIS version 6 och 7, Tomcat, Sendmail, Postfix, BIND, Unbound, Exchange 2010, Icewarp, Microsoft AD, Filezilla, Windows server 2008 DNS, Virtualmin
Vilken hårdvara har vi använt Fortigate, Cisco Systems, HP A-series, Infoblox, Extreme Networks, Halon, 3Com, Apple Time Capsule/Airport Extreme, Dlink, Openwrt, Bluecoat, L2-switchar av en mängd olika fabrikat http://ipv6forum.se/wordpress/wp- content/uploads/2009/02/ipv6- firewalls2.pdf
Adressplan /48, /52, /56, /60
Adressplan Ni blev tilldelade 2001:db8:10::/48 Mappa v4 v6
Adressplan Ni blev tilldelade 2001:db8:10::/48 192.168.20.0/24 är vlan 400
Summering Windows 7 Windows server 2008 L3-switchar FW Maltvätt DNS Proxy OK OK OK OK OK OK Nja
Hur lång tid tar det? Vem har ansvaret? Ovanåkers kommun ~ 8 timmar En annan kommun ~ 3 timmar Ett energibolag ~ 3 timmar
Tack!
Länkar http://www.dnssecandipv6.se http://www.ipv6forum.se http://go6.se