intec ipv6-201306182
DESCRIPTION
Intro IPv6TRANSCRIPT
![Page 1: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/1.jpg)
© Fedict 2013. All rights reserved
Van IPv4 naar IPv6Intec – Brussel – 20 juni 2013
![Page 2: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/2.jpg)
© Fedict 2013. All rights reserved
Agenda
![Page 3: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/3.jpg)
© Fedict 2013. All rights reserved | p. 3
Over Fedict
Wat is IPv6 ? Wie gebruikt het al ?
Hoe IPv6 invoeren ?
Enkele technische verschillen
Enkele transitiemechanismes
Vragen ?
Overzicht
![Page 4: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/4.jpg)
© Fedict 2013. All rights reserved
Over Fedict
![Page 5: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/5.jpg)
© Fedict 2013. All rights reserved | p. 5
eGov bouwstenen EID, Federal Authentication Service FEDMAN netwerk
Web CMS
Dienstenintegrator
Expertisecentrum (open) standaarden
Federale Overheidsdienst ICT
![Page 6: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/6.jpg)
© Fedict 2013. All rights reserved
Wat is IPv6 ?Wie gebruikt het al ?
![Page 7: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/7.jpg)
© Fedict 2013. All rights reserved | p. 7
Het internet, een pakjesdienst
Bron: http://commons.wikimedia.org/wiki/File:Jerome_Relocation_Center,_Denson,_Arkansas._A_crew_of_postal_workers_engaged_in_sorting_packages_at_._._._-_NARA_-_538850.jpg
![Page 8: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/8.jpg)
© Fedict 2013. All rights reserved | p. 8
Web page (HTML, images)
HTTP
TCP
IP
TCP
IP IPIP
HTTP
TCP
Gelaagd netwerk
![Page 9: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/9.jpg)
© Fedict 2013. All rights reserved | p. 9
IPv4
Internet Protocol (4e versie) Pakketten Adres afzender / bestemmeling Technische info
In gebruik sinds +/- 1980 Dus nog vóór de IBM PC
Adres Vaste lengte, 32 bits = +/- 4 miljard adressen Vb: 193.191.245.4
![Page 10: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/10.jpg)
© Fedict 2013. All rights reserved | p. 10
IPv6
IPv6: sinds +/- 1996 IPv5: enkel experimenteel
Beter afgestemd op moderne netwerken
Veel meer adressen 128 bit = 340 miljard miljard miljard miljard adressen Vb: 2001:06a8:a000:0000:0000:0010:0204:0011 Afgekort: 2001:6a8:a000::10:204:11
![Page 11: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/11.jpg)
© Fedict 2013. All rights reserved | p. 11
Bron: http://www.greenwavereality.com/solutions/led-lighting/
Steeds meer toestellen online
![Page 12: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/12.jpg)
© Fedict 2013. All rights reserved | p. 12
Steeds meer mensen online > 2 miljard gebruikers
Steeds meer internet-apparatuur Tablets, smart phones Digital TV, VoIP, webcams, domotica Smart meters, allerhande sensoren
Technieken om adressen beter te verdelen “Private” adressen voor intern netwerk NAT: mappen van publieke naar private adressen “Dynamische” IP adressen
IPv4 adressen zijn bijna uitgeput
![Page 13: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/13.jpg)
© Fedict 2013. All rights reserved | p. 13
Huidige adressen blijven gewoon “werken” Webservers e.d. blijven draaien
Risico op IPv4-only / IPv6-only eilanden
Migratie naar IPv6 zal echter jaren duren
=> Tussenoplossingen zullen nodig zijn Aan de kant van de leverancier en/of gebruiker Niet ideaal (performantie / complexiteit) In het begin zowel IPv4 als IPv6 ondersteunen
Wat als IPv4 adressen op zijn ?
![Page 14: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/14.jpg)
© Fedict 2013. All rights reserved | p. 14
Netwerk operator IPv6
Verizon Wireless (USA) 31 %
VOO 23 %
Free (FR) 18 %
XS4All (NL) 15 %
Belnet 7 %
EDPNet <1 %
Bron: http://www.worldipv6launch.org/measurements/
IPv6 verkeer operatoren (mei 2013)
![Page 15: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/15.jpg)
© Fedict 2013. All rights reserved | p. 15
Sites die via IPv6 bereikbaar zijn
NGI, Rekenhof, AWT
Google / YouTube, Facebook
Keytrade
RTBF, GVA / HBVL
UZ Leuven, UHasselt, KATHO
Francofolies
...
![Page 16: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/16.jpg)
© Fedict 2013. All rights reserved | p. 16
Hoe IPv6 invoeren ?
Bron: http://commons.wikimedia.org/wiki/File:Street_Sign_with_ideas.jpg
![Page 17: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/17.jpg)
© Fedict 2013. All rights reserved | p. 17
Geen “big bang” !
Zet een IPv6 clausule in lastenboeken
Maak een lijst van publieke diensten Diensten die uw organisatie aanbiedt en gebruikt Vb: website voor burgers, webservice voor bedrijven Minder dringend: mail
Vraag uw leverancier om uitleg
Voorzie opleidingen en testwerk
In grote lijnen
![Page 18: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/18.jpg)
© Fedict 2013. All rights reserved | p. 18
Vraag het aan uw leverancier
Zijn de diensten / producten al klaar ? Ja: plan van aanpak ? Nee: wanneer dan wel ? Extra kost ?
Let op de kleine lettertjes: “ja, maar” … niet in model X … meer geheugen nodig … upgrade naar versie Y nodig … extra licentie te betalen … niet in die bepaalde configuratie
![Page 19: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/19.jpg)
© Fedict 2013. All rights reserved | p. 19
Het gaat niet alleen over hardware
Hardware Routers, firewalls, load-balancers, ...
Ook software Invoervelden IP-adressen admin pagina's Webservers, remote access, ...
En diensten E-payment, webstatistieken, … Extern gehoste javascripts (social media, webfonts)
![Page 20: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/20.jpg)
© Fedict 2013. All rights reserved | p. 20
Voorbeeld IPv6 clausule
De leverancier dient, indien van toepassing, te garanderen dat alle hardware, software en diensten met netwerkfunctionaliteit ook IPv6 ondersteunen.
Deze ondersteuning moet evenwaardig zijn aan de IPv4-ondersteuning, met inbegrip van (maar niet noodzakelijk beperkt tot) performantie, functionaliteit, beveiliging, monitoring en updates.
![Page 21: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/21.jpg)
© Fedict 2013. All rights reserved | p. 21
Voorbeeld IPv6 clausule (vervolg)
De leverancier garandeert bovendien dat deze ondersteuning onmiddellijk beschikbaar is, er moet met andere woorden niet gewacht worden op bepaalde updates van producten of diensten.
De leverancier mag voor de ondersteuning van IPv6 geen extra kost aanrekenen.
![Page 22: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/22.jpg)
© Fedict 2013. All rights reserved
Enkele technische verschillen
![Page 23: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/23.jpg)
© Fedict 2013. All rights reserved | p. 23
Meer (en andere) adressen
Geen broadcast, meer multicast
NDP (Neighbor Discovery Protocol) ipv ARP
Autoconfiguratie adressen of DHCPv6
Geen fragmentatie onderweg
Andere headers
Kleine wijziging DNS
Enkele verschillen
![Page 24: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/24.jpg)
© Fedict 2013. All rights reserved | p. 24
IPv6 niet per definitie (on)veiliger dan IPv4
Maar: minder ervaring met IPv6 Grotere kans op bugs Grotere kans op verkeerde configuratie
IPv4 + IPv6 netwerk = twee aanvalspunten Even sterk als zwakste schakel
Beveiliging niet automatisch op IPv4 + IPv6 Mogelijk 2 x firewall rules, filtering, logging, ...
Beveiliging
![Page 25: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/25.jpg)
© Fedict 2013. All rights reserved | p. 25
Bron: http://commons.wikimedia.org/wiki/File:Address_Book_of_Watergate_Burglar_Bernard_Barker,_Discovered_in_a_Room_at_the_Watergate_Hotel,_June_18,_1972_-_NARA_-_304966.tif
Adressen (rfc4291)
![Page 26: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/26.jpg)
© Fedict 2013. All rights reserved | p. 26
128 bit 340 miljard miljard miljard miljard mogelijke adressen Meestal getoond in hexadecimale notatie Afgekorte notatie mogelijk
Ook subnets / masks
Klanten krijgen in principe minstens /64 18 miljard miljard IPv6 adressen ipv enkele IPv4 Grotere klanten krijgen /56 of /48 van ISP
Langere adressen
![Page 27: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/27.jpg)
© Fedict 2013. All rights reserved | p. 27
Unicast 1 enkele interface
Multicast Een hele groep van interfaces
Anycast De eerste (dichtste bij) van een hele groep interfaces Vooral gebruikt voor routers
Verschillende types adressen
![Page 28: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/28.jpg)
© Fedict 2013. All rights reserved | p. 28
Global unicast address Publiek adres
Unique Local Address (niet gerouteerd) Komt overeen met private address in IPv4 Begint met “fc” of “fd”
Link-local Address (niet gerouteerd) Altijd aanwezig op elke interface Begint met “fe80” Nodig voor NDP, DHCPv6
Verschillende soorten adressen
![Page 29: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/29.jpg)
© Fedict 2013. All rights reserved | p. 29
2001:0db8:0000:0002:0123:0000:0000:0def Afgekort: 2001:db8:0:2:123::def
48 bit global routing prefix Via ISP
16 bit subnet Zelf te kiezen
64 bit host identifier Autoconfig / DHCPv6 of manueel
Gebruikelijke structuur
![Page 30: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/30.jpg)
© Fedict 2013. All rights reserved | p. 30
Voorbeeld ipconfig / ifconfig
![Page 31: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/31.jpg)
© Fedict 2013. All rights reserved | p. 31
IPv6 adres Equivalent in IPv4 Doel
:: /128 0.0.0.0/32 Niet-gespecifieerd adres
:: /0 0.0.0.0/0 Default route
::1/128 127.0.0.1/32 Loopback
0064:ff9b:: /96 nvt NAT64
0100:: /64 nvt Discard-only
2001:0:: /32 nvt Teredo
2001:db8:: /32 192.0.2.0/24 Voorbeeld in documentatie
2001:678:: /29 nvt Provider-Independent
2002:: /16 192.88.99.1/32 6to4
fd00:: /8 o.a. 10.0.0.0/8 Unique Local (“privaat adres”)
fe80:: /64 169.254.0.0/16 Local (autoconfig)
Enkele “speciale” adressen
![Page 32: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/32.jpg)
© Fedict 2013. All rights reserved | p. 32
Validatie invoer / weergave in applicaties Langere adressen “:” ipv “.”
Scripts e.d. met IP adressen http [2001:db8:0:2:123::def]:80/page.html UNC \\2001-db8-0-2-123--def.ipv6-literal.net\ShareC
Stockeren IP-adressen in databases Sommige databases hebben IP-datatype Anders voldoende ruimte voorzien
Even opletten
![Page 33: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/33.jpg)
© Fedict 2013. All rights reserved | p. 33
Afwijkende subnet mask mogelijk Vb: /80 ipv /64 Sommige technieken (autoconfig) werken niet meer Controleer performantie
Even opletten (2)
![Page 34: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/34.jpg)
© Fedict 2013. All rights reserved | p. 34
Bron: http://commons.wikimedia.org/wiki/File:Radio.jpg
Multicast
![Page 35: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/35.jpg)
© Fedict 2013. All rights reserved | p. 35
IPv6 multicast
IPv4 gebruikt broadcast ARP DHCP
IPv6 kent geen broadcast, wel multicast NDP: Solicited-Node multicast DHCPv6
Gerichter / efficiënter Andere hosts worden minder “lastig gevallen”
![Page 36: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/36.jpg)
© Fedict 2013. All rights reserved | p. 36
IPv6 over Ethernet (rfc2464)
EtherType voor IPv6 is 0x86DD ipv 0x0800 Dus ook voor NDP (geen ARP)
IPv6 multicast en Ethernet multicast “33-33” + laatste 32 bits IPv6
MLDv2 Snooping ipv IGMPv3 Multicast Listener Discovery ICMPv6
![Page 37: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/37.jpg)
© Fedict 2013. All rights reserved | p. 37
Link-local Binnen hetzelfde netwerksegment
Site-local (verouderd) Binnen dezelfde “plaats”
Global Het hele internet
Enkele scopes
![Page 38: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/38.jpg)
© Fedict 2013. All rights reserved | p. 38
Enkele multicast adressen
IPv6 multicast Doel
ff01::1 Alle interfaces op de node (IPC)
ff02::1 Alle link-local nodes
ff02::1:2 Link-local DHCPv6 server
ff02::1:ff00:0000/104 Solicited-Node multicast prefix
ff02::2 Link-local routers
ff02::c Simple Service Discovery Protocol (uPNP)
ff0e::101 Alle NTP servers
![Page 39: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/39.jpg)
© Fedict 2013. All rights reserved | p. 39
NDP (rfc4861)
Bron: http://commons.wikimedia.org/wiki/File:Binoculars_(PSF).png
![Page 40: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/40.jpg)
© Fedict 2013. All rights reserved | p. 40
Neighbor Discovery Protocol
Geen ARP in IPv6, maar NDP ICMPv6
Verschillende types pakketten Router Solicitation (RS) / Router Advertisement (RA) Neighbor Solicitation (NS) / Neighbor Advertisement (NA) Redirect
RA / NA spontaan of “op aanvraag” (na RS / NS)
![Page 41: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/41.jpg)
© Fedict 2013. All rights reserved | p. 41
Even opletten
Verkeerde Router Advertisements Per ongeluk (testen IPv6 server) of opzettelijk => Filteren intern netwerk
Secure Neighbor Discovery Protocol (SEND) Cryptographically Generated Address (CGA) Weinig implementaties
![Page 42: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/42.jpg)
© Fedict 2013. All rights reserved | p. 42
Configuratie IPv6 adressen
Bron: http://commons.wikimedia.org/wiki/File:AntonB%C3%B6ckGasse28262422Strebersdorf.A.JPG
![Page 43: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/43.jpg)
© Fedict 2013. All rights reserved | p. 43
Verschillende manieren
Manueel Vooral voor servers
Stateless Address Auto-Configuration (SLAAC) Stateless: geen server om “state” bij te houden Op basis van MAC-adres netwerkkaart Optie: ook DNS info (RDNSS)
DHCPv6 Stateful of stateless
Welke manier ? Via RA Flags
![Page 44: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/44.jpg)
© Fedict 2013. All rights reserved | p. 44
SLAAC (rfc4862)
Berekenen Link-Local (fe80::) adres Host berekent 64-bit ID en Solicited-Node multicast
Duplicate Address Detection (DAD) Host: NS naar multicast ff02::1:ff00::... Geen antwoord => adres is nog vrij
Opvragen prefix voor Global adres Host stuurt RS naar ff02::2 Router: RA met 64-bit prefix naar ff02::1 Duplicate Address Detection
![Page 45: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/45.jpg)
© Fedict 2013. All rights reserved | p. 45
Privacy Extensions (rfc4941)
Mogelijk een privacy issue met SLAAC 48-bit MAC adres wordt gebruikt in berekenen 64-bit ID MAC-adres is in principe uniek Dus laptops e.d. kunnen “gevolgd” worden in ander net
Oplossing: tijdelijke adressen Willekeurige reeks bits Worden automatisch herberekend (elke X uur / dagen)
![Page 46: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/46.jpg)
© Fedict 2013. All rights reserved | p. 46
DHCPv6 (rfc3315)
UDP, poorten 546 (client) en 547 (server) IPv4: 67 (server) en 68 (client)
DHCP Unique Identifier (DUID) 96 – 128 bits (verschillende berekeningen mogelijk) IPv4: gebaseerd op MAC
Multicast ff02::1:2
“opkuis” opties
![Page 47: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/47.jpg)
© Fedict 2013. All rights reserved | p. 47
Even opletten, ondersteuning
SLAAC werkt enkel binnen /64 subnet
Niet alle systemen ondersteunen DHCPv6 Vb: Android 4.0
Niet alle systemen ondersteunen SLAAC RDNSS Vb: Windows 7
=> eventueel SLAAC + (stateless) DHCPv6
![Page 48: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/48.jpg)
© Fedict 2013. All rights reserved | p. 48
Even opletten, beveiliging
Filteren intern netwerk “valse” RA / DHCPv6 Reply met verkeerde info DoS via valse NA (SLAAC DAD) vermijden
Beperken aantal messages DoS via RS vermijden
Ook als u geen IPv6 denkt te gebruiken Let op automatische tunnels (Vb. Teredo)
![Page 49: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/49.jpg)
© Fedict 2013. All rights reserved | p. 49
Fragmentatie en MTU
Bron:http://commons.wikimedia.org/wiki/File:Hyattballs.jpg
![Page 50: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/50.jpg)
© Fedict 2013. All rights reserved | p. 50
Fragmentatie / MTU
Max Transmission Unit minstens 1280 byte
Fragmentatie gebeurt door eindpunten
Geen IP-fragmentatie onderweg Minder overhead (kopiëren IP-headers) Minder CPU (opdelen / samenvoegen IP-fragmenten)
Fragmentatie op lager niveau mogelijk Vb Ethernet frames
![Page 51: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/51.jpg)
© Fedict 2013. All rights reserved | p. 51
Path MTU Discovery (rfc1981)
Pakket wordt verstuurd
Pakket te groot => error ICMPv6 “Packet Too Big” error
Pakket opdelen en opnieuw zenden
Regelmatig proberen of MTU groter kan Vb. om de 10 minuten
![Page 52: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/52.jpg)
© Fedict 2013. All rights reserved | p. 52
Even opletten
ICMPv6 error mag niet geblokkeerd worden Firewall
=> anders kan de verbinding hangen (TCP) “Handshake” lukt, dus lijkt te werken Pakketten worden onderweg gedropt wegens te groot
![Page 53: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/53.jpg)
© Fedict 2013. All rights reserved | p. 53
Extension headers (rfc2460)
Bron:http://commons.wikimedia.org/wiki/File:2_duplo_lego_bricks.jpg
![Page 54: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/54.jpg)
© Fedict 2013. All rights reserved | p. 54
Overzicht IPv6 pakket en headers
Version Traffic Class Flow Label
Payload length Next Header Hop Limit
Source address
Destination address
Next Header Length
...
...
Source port Destination port
...
FixedHeader
ExtensionHeader(s)
Upper layer(TCP, UDP...)met data
![Page 55: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/55.jpg)
© Fedict 2013. All rights reserved | p. 55
Fixed Header
Altijd 320 bits lang IPv4: 160 bits
Next Header veld (type) Wijst naar volgende IPv6 OF “upper layer” header
Hop Limit IPv4: TTL veld
Source en Destination IPv6-adres
![Page 56: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/56.jpg)
© Fedict 2013. All rights reserved | p. 56
Extension Headers
Lengte afhankelijk van type
Bevatten extra parameters / informatie Voor eindpunt (behalve “Hop-by-Hop” type) Eindpunt stuurt ICMPv6 error bij onbekende opties
Meerdere headers mogelijk Wijst weer naar volgende Next Header
![Page 57: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/57.jpg)
© Fedict 2013. All rights reserved | p. 57
Even opletten
ICMPv6 error mag niet geblokkeerd worden Firewall
Filteren Router Header type 0 Onbekende extension headers Gefragmenteerde headers Beperken aantal extension headers
![Page 58: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/58.jpg)
© Fedict 2013. All rights reserved | p. 58
DNS (rfc3596)
Bron: http://commons.wikimedia.org/wiki/File:Annuaire.jpg
![Page 59: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/59.jpg)
© Fedict 2013. All rights reserved | p. 59
Kleine wijziging DNS
AAAA-record Kan naast A-record bestaan
Reverse DNS ip6.arpa ipv in-addr.arpa f.e.d.0.0.0.0.0.0.0.0.0.3.2.1.0.2.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa
![Page 60: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/60.jpg)
© Fedict 2013. All rights reserved | p. 60
Even opletten
DNS zelf ook via IPv6 bereikbaar maken
Opvraging staat los van gebruikte connectie AAAA kan opgevraagd worden via IPv4 en IPv6 A kan opgevraagd worden via IPv6 en IPv4
Soms allebei tegelijk Client applicatie bepaalt welke gebruikt zal worden
DNS response langer dan 512 byte UDP limiet EDNS0 of TCP toelaten
![Page 61: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/61.jpg)
© Fedict 2013. All rights reserved | p. 61
Happy Eyeballs (rfc6555)
Bron: http://commons.wikimedia.org/wiki/File:Three_Buttons.JPG
![Page 62: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/62.jpg)
© Fedict 2013. All rights reserved | p. 62
Gebruikt een browser IPv4 of IPv6 ?
Als server zowel IPv4 als IPv6 adres heeft
Wat als client ook IPv4 + IPv6 ondersteunt ? IPv4 prefereren: nadelig voor uitrol IPv6 IPv6 prefereren: mogelijk minder goed geconfigureerd Hangt af van netwerk, OS, browser, configuratie
“Happy Eyeballs” / “Fast Fallback” Test IPv6 en IPv4 verbinding (bijna) gelijktijdig Gebruik eerste verbinding die reageert MacOS X: snelste verbinding
![Page 63: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/63.jpg)
© Fedict 2013. All rights reserved | p. 63
Even opletten
Meer connecties naar servers
In praktijk kan connectie soms wijzigen Vb: opeens cookie over IPv6 (= ander adres) dan IPv4 Lijkt op “gestolen” cookie
![Page 64: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/64.jpg)
© Fedict 2013. All rights reserved | p. 64
Overige
Bron: http://commons.wikimedia.org/wiki/File:Delta_(Dacromet).jpg
![Page 65: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/65.jpg)
© Fedict 2013. All rights reserved | p. 65
Even opletten
Beveiligen LAN tegen ongewenste tunnels Filteren tunnel-protocols (Teredo, ISATAP....)
Beveiliging PC's controleren Anti-virus software, firewall rules, …
Website van de organisatie Externe services voor search, webstats, anti-spam, …
Remote toegang VPN
![Page 66: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/66.jpg)
© Fedict 2013. All rights reserved
Enkele transitie-mechanismes
![Page 67: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/67.jpg)
© Fedict 2013. All rights reserved | p. 67
Enkele transitiemechanismes
(NAT444 CGN)
Dual-Stack
Translation NAT64, SLB64 Reverse Proxy
Tunnels IPv6 over IPv4: 6in4, 6rd, Teredo, ISATAP... IPv4 over IPv6: DS-Lite, MAP-E...
![Page 68: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/68.jpg)
© Fedict 2013. All rights reserved | p. 68
Carrier Grade NAT (CGN)
Bron: http://www.flickr.com/photos/jfesler/6751925977
![Page 69: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/69.jpg)
© Fedict 2013. All rights reserved | p. 69
NAT444 CGN (rfc6598)
“Large Scale NAT” (LSN)
Extra NAT door provider Zelfde publiek IPv4 adres voor meerdere klanten Wordt al door sommige ISPs toegepast
IPv4 naar IPv4 Geen oplossing voor IPv6 (tunnel nodig)
![Page 70: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/70.jpg)
© Fedict 2013. All rights reserved | p. 70
Voorbeeld CGN
ISP
10.0.1.3
10.0.1.4
192.0.2.10
NAT
![Page 71: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/71.jpg)
© Fedict 2013. All rights reserved | p. 71
Even opletten
Performantie / vertaalslagen 1 browser kan makkelijk 30 TCP-connecties maken
Niet alle toepassingen blijven werken Peer-to-peer ? Wat met blokkeren IP-adressen ?
![Page 72: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/72.jpg)
© Fedict 2013. All rights reserved | p. 72
Dual Stack
Bron: http://commons.wikimedia.org/wiki/File:Vergleich_2von2_Crossoverkabel.gif
![Page 73: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/73.jpg)
© Fedict 2013. All rights reserved | p. 73
Dual Stack
Zowel IPv4 als IPv6
Legacy toepassingen: IPv4
Nieuwe toepassingen: IPv6
Veel server software is al voorbereid Web, FTP, mail... servers
![Page 74: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/74.jpg)
© Fedict 2013. All rights reserved | p. 74
Vb: proxy naar externe IPv6 sites
Proxy
Internet
Firewall
IPv4 IPv4
IPv4 + IPv6
IPv4 + IPv6
![Page 75: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/75.jpg)
© Fedict 2013. All rights reserved | p. 75
Vb: dual stack web server
Webserver
Internet
FirewallIPv4 + IPv6
IPv4 + IPv6
DatabaseIPv4
IPv4
IPv6
![Page 76: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/76.jpg)
© Fedict 2013. All rights reserved | p. 76
Even opletten
Dubbel werk voor systeembeheer Configuratie
Even (on)veilig als zwakste schakel
Performantie / functionaliteit Hardware, firewalls, ...
![Page 77: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/77.jpg)
© Fedict 2013. All rights reserved | p. 77
Translation
Bron: http://commons.wikimedia.org/wiki/File:Bunte-kabel.jpg
![Page 78: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/78.jpg)
© Fedict 2013. All rights reserved | p. 78
NAT64
NAT van IPv6 naar IPv4
Vaak gebruikt met DNS64 (rfc6147) Automatische AAAA-records
Stateless (rfc6145) Vertaling ICMP pakket en IP header 1:1 vertaling, spaart geen IPv4-adressen Vooral om IPv4 servers beschikbaar te maken over IPv6
![Page 79: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/79.jpg)
© Fedict 2013. All rights reserved | p. 79
NAT64 (2)
Stateful (rfc6146) Vb: IPv6-only mobiel netwerk naar IPv4 internet Meerdere IPv6-adressen naar 1 IPv4 adres TCP / UDP + ICMP
![Page 80: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/80.jpg)
© Fedict 2013. All rights reserved | p. 80
Vb: NAT64
Internet
Router (klant)
NAT64
IPv6
DNS64(ISP) DNS
IPv4
AAAAA
![Page 81: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/81.jpg)
© Fedict 2013. All rights reserved | p. 81
Even opletten
Niet helemaal compatibel met DNSSEC
Werkt niet voor alles Niet waar IPv4 adres ipv naam gebruikt is Kan problemen geven met Skype / FTP / SIP / ...
![Page 82: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/82.jpg)
© Fedict 2013. All rights reserved | p. 82
Tunnels (rfc4213)
Bron: http://commons.wikimedia.org/wiki/File:Tunnel_Berghofen_Nordeinfahrt_R7308784_wp.jpg
![Page 83: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/83.jpg)
© Fedict 2013. All rights reserved | p. 83
6in4 (rfc2473)
Toegang IPv6 over IPv4 netwerk Voorbeeld: laptop / kantoor toegang geven tot IPv6 O.a. gratis tunnel via Hurricane Electric
IPv6 pakket binnen IPv4 pakket (encapsulation) IP protocol nummer 41
Manuele configuratie IPv6 adres IPv4 eindpunten tunnel
![Page 84: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/84.jpg)
© Fedict 2013. All rights reserved | p. 84
6rd – Rapid Deployment (rfc5569)
Vooral voor ISPs Voorbeeld: IPv6 toegang geven aan klanten Wordt ondersteund door sommige modems / routers
Automatische configuratie mogelijk DHCPv4 6rd option IPv6 prefix en lengte prefix
Voordelen: Geen assymetrische tunnel Eindpunt bij de klant / meer controle dan 6in4
![Page 85: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/85.jpg)
© Fedict 2013. All rights reserved | p. 85
Vb: 6rd
IPv6-only
IPv4-only
IPv4 IPv6Router (klant)
6rd router(ISP)
![Page 86: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/86.jpg)
© Fedict 2013. All rights reserved | p. 86
Even opletten
Geen oplossing voor schaarste IPv4 adressen Helpt bij versnelde roll-out van IPv6
Filtering door firewall Protocol type 41
Per PC ISATAP (rfc5214) Teredo (rfc4380)
![Page 87: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/87.jpg)
© Fedict 2013. All rights reserved
Vragen ?
![Page 88: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/88.jpg)
© Fedict 2013. All rights reserved | p. 88
Enkele tools
http://nmap.org
http://www.wireshark.org
http://bitace.com/ipv6calc
http://klub.com.pl/dhcpv6/
![Page 89: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/89.jpg)
© Fedict 2013. All rights reserved | p. 89
Enkele linken
http://ipv6.belnet.be
http://www.ipv6tf.org
http://www.ipv6council.be
http://blog.ioshints.info/search/label/IPv6
http://datatracker.ietf.org/wg/v6ops/
http://www.sixxs.net
![Page 90: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/90.jpg)
© Fedict 2013. All rights reserved | p. 90
RFCs
Request For Comments Technische specificaties Internet Engineering Task Force (IETF) Online beschikbaar voor iedereen
http://tools.ietf.org/html/rfc6434
![Page 91: Intec ipv6-201306182](https://reader034.vdocuments.site/reader034/viewer/2022052523/555cdb04d8b42a4f2b8b528d/html5/thumbnails/91.jpg)
© Fedict 2013. All rights reserved
Bedankt !Bart Hanssens / Fedict
Maria-Theresiastraat 1
1000 Brussel, Belgium
@BartHanssens
bart.hanssens [at] fedict.be | www.fedict.belgium.be