Lei Wang - IPv6 - Hvordan starte IPv6-implementering

“How to start” et IPv6 implementasjonsprosjekt

Lei Wang, Lime NetworksEirik Eilertsen, Signal Bredbånd

IKT Norge IPv6 konferanseOslo, 24-25 April 2012

• Infrastruktur oversikt og status• Valg av ”transition technology”• Implementering• Opplæring


Infrastruktur oversikt og status - I

Infrastruktur oversikt og status - II

• Del 1: Oversikt over ISPen sin plan for implementasjon av IPv6

• Del 2: Oversikt over ASPen sin plan for implementasjon av IPv6

• Del 3: Oversikt over nettverksutstyr og støtte for IPv6• Del 4: Oversikt over IT systemer (ink. OSS/BSS) og støtte

for IPv6• Del 5: Oversikt over endeutstyr-operativsystem og støtte

for IPv6

Infrastruktur oversikt og status -III • Del 1: Oversikt over ISPens plan for

implementasjon av IPv6

Infrastruktur oversikt og status -III • Del 2: Oversikt over ASPens plan for

implementasjon av IPv6

Infrastruktur oversikt og status -IV • Del 3: Oversikt over nettverksutstyr og støtte

for IPv6

Infrastruktur oversikt og status -V • Del 4: Oversikt over IT systemer (ink. OSS/BSS)

og støtte for IPv6

Infrastruktur oversikt og status -VI • Del 5: Oversikt over endeutstyrs

operativsystem og støtte for IPv6


Valg av ”transition technologies”

• IPv4/IPv6 Dualstack• Tunnel metoder• NAT metoder• Kombinasjonsmetoder: DS-lite

Dualstack er foretrukket så lenge du har nok offentlige IPv4 adresser.

Transition technology: Dual Stack

13

DNS

web.v4.com195.98.2.109

web.v6.com3ffe.2301.1700.1.abcd.1234.dada.1

IPv4-only Host:

IPv6-only Host:199.15.23.873ffe:3700:1100:1:210:a4ff:fea0:bc97

Dual-Stacked Host:

Query:web.v4.com?

A Resource Record:195.98.2.109

Transition technology: Dual Stack

14

DNS

web.v4.com195.98.2.109

web.v6.com3ffe.2301.1700.1.abcd.1234.dada.1

IPv4-only Host:

IPv6-only Host:199.15.23.873ffe:3700:1100:1:210:a4ff:fea0:bc97

Dual-Stacked Host:

Query:web.v6.com?

AAAA Resource Record:3ffe.2301.1700.1.abcd.1234.dada.1

Transition technology: 6PE/6VPE

15

On an IPv4 backbone network where the MPLS is deployed, the ISP can use the IPv6 Provider Edge (6PE) technology to provide the interconnection capacity for the IPv6 networks of dispersed users. 6PE is the PE with the IPv6 capacity.

Transition technology: DS-Lite

16

Dual Stack Lite (DS-Lite) is a solution that allows IPv4 private network users to access the IPv4 public network by traversing an IPv6 network. To implement DS-Lite, IPv4 over IPv6 tunnels and IPv4 NAT are deployed.

Transition technology: Tunnels

17

The tunnels that are used to connect IPv6 isolated sites on the IPv4 networks are called IPv6 over IPv4 tunnels. To establish IPv6 over IPv4 tunnels, the IPv4/IPv6 dual protocol stack needs to be enabled on the device at the border between the IPv4 network and the IPv6 network.

Transition technology: Configured Tunnel

18

IPv4Network

Dual-stack Router

IPv6Network

IPv6Network

IPv4 address: 192.168.99.1IPv6 address: 3ffe:b00:c18:1::3

IPv4 address: 192.168.30.1IPv6 address: 3ffe:b00:c18:1::2

IPv6

Transport Layer

HeaderDataIPv6

Header

Transport Layer

HeaderDataIPv6

Header

IPv4 Header（ 41）

Transport Layer

HeaderDataIPv6

Header

IPv4 Header（ 41）

IPv6 Host IPv6 Host

• Determine the source and destination IPv4 addresses of the tunnel according to the data configuration

• Determine the packets to be transferred through a tunnel according to the destination IPv6 addresses of the packets and the routing table.

Transition technology: 6to4 Tunnel

19

IPv4Network

IPv6 6to4 Network

6to4 Router 6to4 Router

Host1:2002:8a0e:55d2:1:230:65ff:fe2c:9a6

Host2: 2002:4172:a85b:1:20a:95ff:fe8b:3cbaDNS:

Host2 = 2002:4172:a85b:20a:95ff:fe8b:3cba

Packet Source Address:2002:8a0e:55d2:1:230:65ff:fe2c:9a6Packet Destination Address:2002:4172:a85b:1:20a:95ff:fe8b:3cba

Local Tunnel Endpoint =138.14.85.210

Remote Tunnel Endpoint =65.114.168.91

IPv6

6to4 Router Recognizes6to4 Prefixes

IPv6 6to4 Network


Implementasjon: 10-trinns rakett• Steg 1: Søke om IPv6 adresser• Steg 2: Opprette ”dual-stack” uplink til Internet• Steg 3: Tilpasse firewall policy• Steg 4: Lage IP-adresseplan• Steg 5: Gjøre DNS server klar for IPv6• Steg 6: IPv6 adresseutdeling• Steg 7: Implementere dualstack i nettverksinnfrastrukturen• Steg 8: Implementere IPv6 support i NMS miljø• Steg 9: Sikkerhet – IDS/IPS med IPv6 støtte• Steg 10: Dualstack på hostsystemene

Implementasjon: Steg 1 - 3 • Steg 1: Søke om IPv6 adresser

Bedrifter får oftest tildelt en eller flere /48 adresseblokker2001:BD1:234C/48 -> 65536 /64–SP: /32 addresseblokker–Store bedrifter: /48 adresseblokker–Mellomstore bedrifter: /56 adresseblokker (/64 linknett og /56 på insiden av brannmur/ruter tildelt statisk eller av DHCPv6)–SOHO/Subnet i bedrifter: /64 adresseblokker

• Steg 2: Opprette ”dual-stack” uplink til Internet–Annonsere IPv6 blokkene til ISPen–ISP annonserer videre–Motta IPv6 prefix’er evt default rute fra ISP’en

• Steg 3: Tilpass firewall policy–Ta Hensyn til IPv6

Implementasjon: Steg 4

• Steg 4: Lage IP-adresseplan


• Steg 4: Lage IP-adresseplan

* Figuren er fra Jeff Doyle Texas IPv6 summit

Implementasjon: stegene

• Steg 4: IP-adresse plan

Om du er tildelt 2001:BD1:234C::/48 betyr at du kan disponere

2001:BD1:234C:0000::/64 to 2001:BD1:234C:ffff::/64

Anbefaling: Bruk /64 blokk som standard subnet (må være /64 for SLAAC skal fungere)

Implementasjon: stegene

•Steg4: IP-adresse planAnbefaling: Gi subnett-bitene meninger! Brukergruppering, VLAN, lokasjoner…Men IKKE overdriv antall nivåer.

G G G 0 L L L 0 0 S S S S S S S ::/642001:BD1:234C

Retning på filtering: starter med mest signifikant biter i sikkerhetspolicy

G: Grupper0000: Ansatter gr10110: Studenter Intranett1xx0: Extern

L: Lokasjoner0000: Oslo0010: Bærum1010: Trondheim

S:Subnett/VLANer00000001: Subnet/VLAN101100010: Subnet/VLAN200100011: Subnet/VLAN3

0: Lurt å reservere bits mellom ”meningsfulle” bits for fremtidige behov


• Steg 5: Gjøre DNS server klar for IPv6– A-record for IPv4 adresse– AAAA-record for IPv6 adresse


• Steg 6: IPv6 adressetildeling– DHCPv6: fungerer på samme måte som DHCP for IPv4: Tildele

adresse, default-gw, DNS server– SLAAC (Stateless address autoconfiguration): Automatisk

adressetildeling når IPv6 klient er tilkoplet et IPv6 rutet nettverk. Opprinnelig SLAAC standard mangler opsjon for å få DNS-server oppslag, så en kombinasjon med DHCPv6 er nødvendig• RFC5006 har foreslått en utvidelse av SLAAC med IPv6 RA

opsjon for DNS-server adresse. Spør din leverandør om RFC5006 implementasjon og velg (eller vent på) en stabil versjon med støtte for dette!


• Steg 7: Implementere dualstack i nettverksinnfrastrukturen - ruting– RIPng: IPv6-only, dual stack krever dermed også RIP– OSPFv3: IPv6-only, dual stack krever dermed også OSPF– IS-IS: IS-IS er utvidet med ny TLV for å supportere IPv6 – Multiprotokoll BGP: Støtter multi-adressefamilier, behøver

dermed kun legge til IPv6 unicast/multicast- adressefamilier i eksisterende BGP instanse


• Steg 8: Implementere IPv6 support i NMS miljø– SNMP– Telnet/SSH– FTP/SCP/TFTP– MRTG– Netflow– Managementplaformer: Tivoli, HP openview,

Nagios etc


• Steg 9: Sikkerhet – IDS/IPS med IPv6 add-on


• Steg 10: Dualstack på hostsystemene:– Plan for oppgradering/utskifting for å få 100%

support for IPv6 i 100% av endeutstyret


Opplæringsplan

IPv6 prosjektet berører hele organisasjonen, det er viktig med informasjonsflyt slik at folk er forberedt på endringer/problemer som oppstår. •Opplæringsplan for IT-support personell– IPv6 kurs

•Opplæringsplan for brukere– IPv6 FAQ– IPv6 håndbok

Takk for oppmerksomheten

Documents

Lei Wang - IPv6 - Hvordan starte IPv6-implementering