IPv6 - Råd och Rön Myter och skrönor Torbjörn Eklöv torbjorn.eklov@interlan.se @tobbe_interlan
Vad sitter ni här för? Vad tar längst tid vid införandet? Vem tar beslutet?
APNIC slut på v4 April 2011
RIPE 14 september 2012!!
Men jag har ju v4 så det räcker?
Det är trångt med IPv4 nu!
Status Det tar en minut innan jag kommer fram till www.vinnova.se
Hur kan det bli så där? Ät er egen hundmat Har ni aktiverat IPv6 på tjänster ska ni köra IPv6 internt också Övervaka!! Känner inte till något köpeprogram som larmar om IPv6 går ner på någon tjänst Övervaka Ipv6 separat ex. ipv6.myndigheten.se Ställ krav på operatörerna också
Se upp vid outsourcing Nej IPv6 är dyrt Om ni köpt utrustning de senaste åren som inte har stöd för IPv6 - skyll er själv IPv6 kräver veckor av utbildning Nej - kan teknikerna sin IPv4 då räcker det med en/någon dags utbildning - ge teknikerna tid till införandet Alla vanligt använda webbservrar och CMS stödjer IPv6 idag Alla normala L3-switchar och brandväggar likaså
PA eller PI? PI kräver multihoming! Nej, det kravet togs bort för länge sedan Använd ett oberoende LIR för PIansökan annars blir ni beroende av en operatör ändå
Vad är bättre med IPv6? Större adressrymd Bättre end-to-end connectivity Autokonfigurering av adresser Enklare header Bättre säkerhet Bättre QOS Bättre multicast och anycast Mobila funktioner Enklare administration Enkel övergång från IPv4
Vad är bättre med IPv6? Större adressrymd Bättre end-to-end connectivity Autokonfigurering av adresser Enklare header Bättre säkerhet Bättre QOS Bättre multicast och anycast Mobila funktioner Enklare administration Enkel övergång från IPv4
Är automatiska tunnlar farliga? Utdrag ur någons IPv6-förstudie Att praktisk erfarnhet saknas är sant men i övrigt är allt fel och tekniskt är det omöjligt...
Tunnlarna 6to4 - aktiveras automatiskt vid PA/PI IPv4-adresser => Disabla Teredo - används bara av Torrent och DA => Disabla ISATAP - intern IPv6-tunnel, används sällan => Disabla
Alla är vi barn från början Detta gäller lokalt på interna nätet, inte Internetförbindelsen
Vid oklarheter Till operatören: Stäng av RA och ni tar 2001:db8:100::1/120 och ni routar 2001:db8:100::/48 till 2001:db8:100::/2
Paralellslalom
Vad skiljer Adressrymd 32-128 bitar Adresstilldelning Header IPv4 - DHCP ARP IPv6 - DAD, RS/RA, DHCPv6, MLDv2, ND
Är IPv6 säkrare? www.idg.se 2013-09-26
IPv6 är INTE säkrare IPSEC var ett krav i IPv6 tidigare Det är fortfarande lika krångligt att sätta upp en tunnel ( Om inte svårare... )
Vad är farligt? Kortfattat: IPv4 - DHCP, ARP IPv6 - DAD, RS/RA, DHCPv6, MLDv2, ND Är IPv6 då farligare än IPv4?
FHS - First Hop Security Mannen i mitten attack - MIM Enklare att utföra i IPv4 än IPv6 IPv4 - Cain IPv6 - falsk router
FHS - First Hop Security Force forward All kommunikation måste studsa via routern
FHS - First Hop Security Farliga protokoll stoppas mellan datorer Handen på hjärtat - hur många av er använder DHCP-snooping och ARPinspection idag för IPv4?
Ha kontroll på det interna nätet Men ni har väl redan kontroll på vilken utrustning som kan anslutas och kommunicera i det interna nätet? Ex. 802.1X, mac-filter, AVI, SDI
Vad kan konsulterna? Det fattas rutin och erfarenhet bland konsulter
ip6.arpa! Se till att era DNS er och MTA er har rätt uppsatt ip6.arpa Felaktigt uppsatt för MTA erna innebär att ni inte kan skicka mail till många
Sender Policy Framework - SPF Uppdatera och lägg till era IPv6- adresser för MTA er Fel => Går inte att skicka mail till många
Det står ju i PDF en... Vad är IPv6-stöd? IPv6 ready logga => Inget värt
Det står ju i PDF en Be leverantören ta fram en jämförelse mellan IPv6 och IPv4-stödet Har ni UTM/NGF i IPv4, kräv det i IPv6 också
Tänkvärt Konsulter Inte behöver ni det där IPv6 inte Företag/organisationer Men vi har tillräckligt med IPv4 Jag tror att en stor del av de som jobbar med IPv4 får det att fungera för de har gjort det så många gånger, inte att de förstår exakt vad de gör...
information http://6lab.cisco.com/index.php http://v6asns.ripe.net/v/6 Sidor med v6- http://fedv6- deployment.antd.nist.gov/cgibin/generate-gov http://e-tjanster.pts.se/internet/ipv6 http://dnssecandipv6.se
Internetdagarna 2013 Leva med bara IPv6 Vilka kan hjälpa mig/er? Hur långt har min molnleverantör och operatör kommit? Hur aktiverade vi IPv6? http://internetdagarna.se/program/ipv6/
Sammanfattning Inte dyrt Inte farligt Kräver inte många timmar att genomföra det Sätt igång nu!
Inget är omöjligt så jobba på med IPv6!