SlideShare una empresa de Scribd logo

Intec ipv6-201306182

Bart Hanssens
Bart Hanssens

Intro IPv6

Tecnología
1 de 91
Descargar para leer sin conexión
© Fedict 2013. All rights reserved Van IPv4 naar IPv6 Intec – Brussel – 20 juni 2013
© Fedict 2013. All rights reserved Agenda
© Fedict 2013. All rights reserved | p. 3  Over Fedict  Wat is IPv6 ? Wie gebruikt het al ?  Hoe IPv6 invoeren ?  Enkele technische verschillen  Enkele transitiemechanismes  Vragen ? Overzicht
© Fedict 2013. All rights reserved Over Fedict
© Fedict 2013. All rights reserved | p. 5  eGov bouwstenen  EID, Federal Authentication Service  FEDMAN netwerk  Web CMS  Dienstenintegrator  Expertisecentrum  (open) standaarden Federale Overheidsdienst ICT
© Fedict 2013. All rights reserved Wat is IPv6 ? Wie gebruikt het al ?
© Fedict 2013. All rights reserved | p. 7 Het internet, een pakjesdienst Bron: http://commons.wikimedia.org/wiki/File:Jerome_Relocation_Center,_Denson,_Arkansas._A_crew_of_postal_workers_engaged_in_sorting_packages_at_._._._-_NARA_-_538850.jpg
© Fedict 2013. All rights reserved | p. 8 Web page (HTML, images) HTTP TCP IP TCP IP IPIP HTTP TCP Gelaagd netwerk
© Fedict 2013. All rights reserved | p. 9 IPv4  Internet Protocol (4e versie)  Pakketten  Adres afzender / bestemmeling  Technische info  In gebruik sinds +/- 1980  Dus nog vóór de IBM PC  Adres  Vaste lengte, 32 bits = +/- 4 miljard adressen  Vb: 193.191.245.4
© Fedict 2013. All rights reserved | p. 10 IPv6  IPv6: sinds +/- 1996  IPv5: enkel experimenteel  Beter afgestemd op moderne netwerken  Veel meer adressen  128 bit = 340 miljard miljard miljard miljard adressen  Vb: 2001:06a8:a000:0000:0000:0010:0204:0011  Afgekort: 2001:6a8:a000::10:204:11
© Fedict 2013. All rights reserved | p. 11 Bron: http://www.greenwavereality.com/solutions/led-lighting/ Steeds meer toestellen online
© Fedict 2013. All rights reserved | p. 12  Steeds meer mensen online  > 2 miljard gebruikers  Steeds meer internet-apparatuur  Tablets, smart phones  Digital TV, VoIP, webcams, domotica  Smart meters, allerhande sensoren  Technieken om adressen beter te verdelen  “Private” adressen voor intern netwerk  NAT: mappen van publieke naar private adressen  “Dynamische” IP adressen IPv4 adressen zijn bijna uitgeput
© Fedict 2013. All rights reserved | p. 13  Huidige adressen blijven gewoon “werken”  Webservers e.d. blijven draaien  Risico op IPv4-only / IPv6-only eilanden  Migratie naar IPv6 zal echter jaren duren  => Tussenoplossingen zullen nodig zijn  Aan de kant van de leverancier en/of gebruiker  Niet ideaal (performantie / complexiteit)  In het begin zowel IPv4 als IPv6 ondersteunen Wat als IPv4 adressen op zijn ?
© Fedict 2013. All rights reserved | p. 14 Netwerk operator IPv6 Verizon Wireless (USA) 31 % VOO 23 % Free (FR) 18 % XS4All (NL) 15 % Belnet 7 % EDPNet <1 % Bron: http://www.worldipv6launch.org/measurements/ IPv6 verkeer operatoren (mei 2013)
© Fedict 2013. All rights reserved | p. 15 Sites die via IPv6 bereikbaar zijn  NGI, Rekenhof, AWT  Google / YouTube, Facebook  Keytrade  RTBF, GVA / HBVL  UZ Leuven, UHasselt, KATHO  Francofolies  ...
© Fedict 2013. All rights reserved | p. 16 Hoe IPv6 invoeren ? Bron: http://commons.wikimedia.org/wiki/File:Street_Sign_with_ideas.jpg
© Fedict 2013. All rights reserved | p. 17  Geen “big bang” !  Zet een IPv6 clausule in lastenboeken  Maak een lijst van publieke diensten  Diensten die uw organisatie aanbiedt en gebruikt  Vb: website voor burgers, webservice voor bedrijven  Minder dringend: mail  Vraag uw leverancier om uitleg  Voorzie opleidingen en testwerk In grote lijnen
© Fedict 2013. All rights reserved | p. 18 Vraag het aan uw leverancier  Zijn de diensten / producten al klaar ?  Ja: plan van aanpak ?  Nee: wanneer dan wel ? Extra kost ?  Let op de kleine lettertjes: “ja, maar”  … niet in model X  … meer geheugen nodig  … upgrade naar versie Y nodig  … extra licentie te betalen  … niet in die bepaalde configuratie
© Fedict 2013. All rights reserved | p. 19 Het gaat niet alleen over hardware  Hardware  Routers, firewalls, load-balancers, ...  Ook software  Invoervelden IP-adressen admin pagina's  Webservers, remote access, ...  En diensten  E-payment, webstatistieken, …  Extern gehoste javascripts (social media, webfonts)
© Fedict 2013. All rights reserved | p. 20 Voorbeeld IPv6 clausule  De leverancier dient, indien van toepassing, te garanderen dat alle hardware, software en diensten met netwerkfunctionaliteit ook IPv6 ondersteunen.  Deze ondersteuning moet evenwaardig zijn aan de IPv4-ondersteuning, met inbegrip van (maar niet noodzakelijk beperkt tot) performantie, functionaliteit, beveiliging, monitoring en updates.
© Fedict 2013. All rights reserved | p. 21 Voorbeeld IPv6 clausule (vervolg)  De leverancier garandeert bovendien dat deze ondersteuning onmiddellijk beschikbaar is, er moet met andere woorden niet gewacht worden op bepaalde updates van producten of diensten.  De leverancier mag voor de ondersteuning van IPv6 geen extra kost aanrekenen.
© Fedict 2013. All rights reserved Enkele technische verschillen
© Fedict 2013. All rights reserved | p. 23  Meer (en andere) adressen  Geen broadcast, meer multicast  NDP (Neighbor Discovery Protocol) ipv ARP  Autoconfiguratie adressen of DHCPv6  Geen fragmentatie onderweg  Andere headers  Kleine wijziging DNS Enkele verschillen
© Fedict 2013. All rights reserved | p. 24  IPv6 niet per definitie (on)veiliger dan IPv4  Maar: minder ervaring met IPv6  Grotere kans op bugs  Grotere kans op verkeerde configuratie  IPv4 + IPv6 netwerk = twee aanvalspunten  Even sterk als zwakste schakel  Beveiliging niet automatisch op IPv4 + IPv6  Mogelijk 2 x firewall rules, filtering, logging, ... Beveiliging
© Fedict 2013. All rights reserved | p. 25 Bron: http://commons.wikimedia.org/wiki/File:Address_Book_of_Watergate_Burglar_Bernard_Barker,_Discovered_in_a_Room_at_the_Watergate_Hotel,_June_18,_1972_-_NARA_-_304966.tif Adressen (rfc4291)
© Fedict 2013. All rights reserved | p. 26  128 bit  340 miljard miljard miljard miljard mogelijke adressen  Meestal getoond in hexadecimale notatie  Afgekorte notatie mogelijk  Ook subnets / masks  Klanten krijgen in principe minstens /64  18 miljard miljard IPv6 adressen ipv enkele IPv4  Grotere klanten krijgen /56 of /48 van ISP Langere adressen
© Fedict 2013. All rights reserved | p. 27  Unicast  1 enkele interface  Multicast  Een hele groep van interfaces  Anycast  De eerste (dichtste bij) van een hele groep interfaces  Vooral gebruikt voor routers Verschillende types adressen
© Fedict 2013. All rights reserved | p. 28  Global unicast address  Publiek adres  Unique Local Address (niet gerouteerd)  Komt overeen met private address in IPv4  Begint met “fc” of “fd”  Link-local Address (niet gerouteerd)  Altijd aanwezig op elke interface  Begint met “fe80”  Nodig voor NDP, DHCPv6 Verschillende soorten adressen
© Fedict 2013. All rights reserved | p. 29  2001:0db8:0000:0002:0123:0000:0000:0def  Afgekort: 2001:db8:0:2:123::def  48 bit global routing prefix  Via ISP  16 bit subnet  Zelf te kiezen  64 bit host identifier  Autoconfig / DHCPv6 of manueel Gebruikelijke structuur
© Fedict 2013. All rights reserved | p. 30 Voorbeeld ipconfig / ifconfig
© Fedict 2013. All rights reserved | p. 31 IPv6 adres Equivalent in IPv4 Doel :: /128 0.0.0.0/32 Niet-gespecifieerd adres :: /0 0.0.0.0/0 Default route ::1/128 127.0.0.1/32 Loopback 0064:ff9b:: /96 nvt NAT64 0100:: /64 nvt Discard-only 2001:0:: /32 nvt Teredo 2001:db8:: /32 192.0.2.0/24 Voorbeeld in documentatie 2001:678:: /29 nvt Provider-Independent 2002:: /16 192.88.99.1/32 6to4 fd00:: /8 o.a. 10.0.0.0/8 Unique Local (“privaat adres”) fe80:: /64 169.254.0.0/16 Local (autoconfig) Enkele “speciale” adressen
© Fedict 2013. All rights reserved | p. 32  Validatie invoer / weergave in applicaties  Langere adressen  “:” ipv “.”  Scripts e.d. met IP adressen  http [2001:db8:0:2:123::def]:80/page.html  UNC 2001-db8-0-2-123--def.ipv6-literal.netShareC  Stockeren IP-adressen in databases  Sommige databases hebben IP-datatype  Anders voldoende ruimte voorzien Even opletten
© Fedict 2013. All rights reserved | p. 33  Afwijkende subnet mask mogelijk  Vb: /80 ipv /64  Sommige technieken (autoconfig) werken niet meer  Controleer performantie Even opletten (2)
© Fedict 2013. All rights reserved | p. 34 Bron: http://commons.wikimedia.org/wiki/File:Radio.jpg Multicast
© Fedict 2013. All rights reserved | p. 35 IPv6 multicast  IPv4 gebruikt broadcast  ARP  DHCP  IPv6 kent geen broadcast, wel multicast  NDP: Solicited-Node multicast  DHCPv6  Gerichter / efficiënter  Andere hosts worden minder “lastig gevallen”
© Fedict 2013. All rights reserved | p. 36 IPv6 over Ethernet (rfc2464)  EtherType voor IPv6 is 0x86DD ipv 0x0800  Dus ook voor NDP (geen ARP)  IPv6 multicast en Ethernet multicast  “33-33” + laatste 32 bits IPv6  MLDv2 Snooping ipv IGMPv3  Multicast Listener Discovery  ICMPv6
© Fedict 2013. All rights reserved | p. 37  Link-local  Binnen hetzelfde netwerksegment  Site-local (verouderd)  Binnen dezelfde “plaats”  Global  Het hele internet Enkele scopes
© Fedict 2013. All rights reserved | p. 38 Enkele multicast adressen IPv6 multicast Doel ff01::1 Alle interfaces op de node (IPC) ff02::1 Alle link-local nodes ff02::1:2 Link-local DHCPv6 server ff02::1:ff00:0000/104 Solicited-Node multicast prefix ff02::2 Link-local routers ff02::c Simple Service Discovery Protocol (uPNP) ff0e::101 Alle NTP servers
© Fedict 2013. All rights reserved | p. 39 NDP (rfc4861) Bron: http://commons.wikimedia.org/wiki/File:Binoculars_(PSF).png
© Fedict 2013. All rights reserved | p. 40 Neighbor Discovery Protocol  Geen ARP in IPv6, maar NDP  ICMPv6  Verschillende types pakketten  Router Solicitation (RS) / Router Advertisement (RA)  Neighbor Solicitation (NS) / Neighbor Advertisement (NA)  Redirect  RA / NA spontaan of “op aanvraag” (na RS / NS)
© Fedict 2013. All rights reserved | p. 41 Even opletten  Verkeerde Router Advertisements  Per ongeluk (testen IPv6 server) of opzettelijk  => Filteren intern netwerk  Secure Neighbor Discovery Protocol (SEND)  Cryptographically Generated Address (CGA)  Weinig implementaties
© Fedict 2013. All rights reserved | p. 42 Configuratie IPv6 adressen Bron: http://commons.wikimedia.org/wiki/File:AntonB%C3%B6ckGasse28262422Strebersdorf.A.JPG
© Fedict 2013. All rights reserved | p. 43 Verschillende manieren  Manueel  Vooral voor servers  Stateless Address Auto-Configuration (SLAAC)  Stateless: geen server om “state” bij te houden  Op basis van MAC-adres netwerkkaart  Optie: ook DNS info (RDNSS)  DHCPv6  Stateful of stateless  Welke manier ? Via RA Flags
© Fedict 2013. All rights reserved | p. 44 SLAAC (rfc4862)  Berekenen Link-Local (fe80::) adres  Host berekent 64-bit ID en Solicited-Node multicast  Duplicate Address Detection (DAD)  Host: NS naar multicast ff02::1:ff00::...  Geen antwoord => adres is nog vrij  Opvragen prefix voor Global adres  Host stuurt RS naar ff02::2  Router: RA met 64-bit prefix naar ff02::1  Duplicate Address Detection
© Fedict 2013. All rights reserved | p. 45 Privacy Extensions (rfc4941)  Mogelijk een privacy issue met SLAAC  48-bit MAC adres wordt gebruikt in berekenen 64-bit ID  MAC-adres is in principe uniek  Dus laptops e.d. kunnen “gevolgd” worden in ander net  Oplossing: tijdelijke adressen  Willekeurige reeks bits  Worden automatisch herberekend (elke X uur / dagen)
© Fedict 2013. All rights reserved | p. 46 DHCPv6 (rfc3315)  UDP, poorten 546 (client) en 547 (server)  IPv4: 67 (server) en 68 (client)  DHCP Unique Identifier (DUID)  96 – 128 bits (verschillende berekeningen mogelijk)  IPv4: gebaseerd op MAC  Multicast ff02::1:2  “opkuis” opties
© Fedict 2013. All rights reserved | p. 47 Even opletten, ondersteuning  SLAAC werkt enkel binnen /64 subnet  Niet alle systemen ondersteunen DHCPv6  Vb: Android 4.0  Niet alle systemen ondersteunen SLAAC RDNSS  Vb: Windows 7  => eventueel SLAAC + (stateless) DHCPv6
© Fedict 2013. All rights reserved | p. 48 Even opletten, beveiliging  Filteren intern netwerk  “valse” RA / DHCPv6 Reply met verkeerde info  DoS via valse NA (SLAAC DAD) vermijden  Beperken aantal messages  DoS via RS vermijden  Ook als u geen IPv6 denkt te gebruiken  Let op automatische tunnels (Vb. Teredo)
© Fedict 2013. All rights reserved | p. 49 Fragmentatie en MTU Bron:http://commons.wikimedia.org/wiki/File:Hyattballs.jpg
© Fedict 2013. All rights reserved | p. 50 Fragmentatie / MTU  Max Transmission Unit minstens 1280 byte  Fragmentatie gebeurt door eindpunten  Geen IP-fragmentatie onderweg  Minder overhead (kopiëren IP-headers)  Minder CPU (opdelen / samenvoegen IP-fragmenten)  Fragmentatie op lager niveau mogelijk  Vb Ethernet frames
© Fedict 2013. All rights reserved | p. 51 Path MTU Discovery (rfc1981)  Pakket wordt verstuurd  Pakket te groot => error  ICMPv6 “Packet Too Big” error  Pakket opdelen en opnieuw zenden  Regelmatig proberen of MTU groter kan  Vb. om de 10 minuten
© Fedict 2013. All rights reserved | p. 52 Even opletten  ICMPv6 error mag niet geblokkeerd worden  Firewall  => anders kan de verbinding hangen  (TCP) “Handshake” lukt, dus lijkt te werken  Pakketten worden onderweg gedropt wegens te groot
© Fedict 2013. All rights reserved | p. 53 Extension headers (rfc2460) Bron:http://commons.wikimedia.org/wiki/File:2_duplo_lego_bricks.jpg
© Fedict 2013. All rights reserved | p. 54 Overzicht IPv6 pakket en headers Version Traffic Class Flow Label Payload length Next Header Hop Limit Source address Destination address Next Header Length ... ... Source port Destination port ... Fixed Header Extension Header(s) Upper layer (TCP, UDP...) met data
© Fedict 2013. All rights reserved | p. 55 Fixed Header  Altijd 320 bits lang  IPv4: 160 bits  Next Header veld (type)  Wijst naar volgende IPv6 OF “upper layer” header  Hop Limit  IPv4: TTL veld  Source en Destination IPv6-adres
© Fedict 2013. All rights reserved | p. 56 Extension Headers  Lengte afhankelijk van type  Bevatten extra parameters / informatie  Voor eindpunt (behalve “Hop-by-Hop” type)  Eindpunt stuurt ICMPv6 error bij onbekende opties  Meerdere headers mogelijk  Wijst weer naar volgende Next Header
© Fedict 2013. All rights reserved | p. 57 Even opletten  ICMPv6 error mag niet geblokkeerd worden  Firewall  Filteren  Router Header type 0  Onbekende extension headers  Gefragmenteerde headers  Beperken aantal extension headers
© Fedict 2013. All rights reserved | p. 58 DNS (rfc3596) Bron: http://commons.wikimedia.org/wiki/File:Annuaire.jpg
© Fedict 2013. All rights reserved | p. 59 Kleine wijziging DNS  AAAA-record  Kan naast A-record bestaan  Reverse DNS  ip6.arpa ipv in-addr.arpa  f.e.d.0.0.0.0.0.0.0.0.0.3.2.1.0.2.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa
© Fedict 2013. All rights reserved | p. 60 Even opletten  DNS zelf ook via IPv6 bereikbaar maken  Opvraging staat los van gebruikte connectie  AAAA kan opgevraagd worden via IPv4 en IPv6  A kan opgevraagd worden via IPv6 en IPv4  Soms allebei tegelijk  Client applicatie bepaalt welke gebruikt zal worden  DNS response langer dan 512 byte UDP limiet  EDNS0 of TCP toelaten
© Fedict 2013. All rights reserved | p. 61 Happy Eyeballs (rfc6555) Bron: http://commons.wikimedia.org/wiki/File:Three_Buttons.JPG
© Fedict 2013. All rights reserved | p. 62 Gebruikt een browser IPv4 of IPv6 ?  Als server zowel IPv4 als IPv6 adres heeft  Wat als client ook IPv4 + IPv6 ondersteunt ?  IPv4 prefereren: nadelig voor uitrol IPv6  IPv6 prefereren: mogelijk minder goed geconfigureerd  Hangt af van netwerk, OS, browser, configuratie  “Happy Eyeballs” / “Fast Fallback”  Test IPv6 en IPv4 verbinding (bijna) gelijktijdig  Gebruik eerste verbinding die reageert  MacOS X: snelste verbinding
© Fedict 2013. All rights reserved | p. 63 Even opletten  Meer connecties naar servers  In praktijk kan connectie soms wijzigen  Vb: opeens cookie over IPv6 (= ander adres) dan IPv4  Lijkt op “gestolen” cookie
© Fedict 2013. All rights reserved | p. 64 Overige Bron: http://commons.wikimedia.org/wiki/File:Delta_(Dacromet).jpg
© Fedict 2013. All rights reserved | p. 65 Even opletten  Beveiligen LAN tegen ongewenste tunnels  Filteren tunnel-protocols (Teredo, ISATAP....)  Beveiliging PC's controleren  Anti-virus software, firewall rules, …  Website van de organisatie  Externe services voor search, webstats, anti-spam, …  Remote toegang  VPN
© Fedict 2013. All rights reserved Enkele transitie- mechanismes
© Fedict 2013. All rights reserved | p. 67 Enkele transitiemechanismes  (NAT444 CGN)  Dual-Stack  Translation  NAT64, SLB64  Reverse Proxy  Tunnels  IPv6 over IPv4: 6in4, 6rd, Teredo, ISATAP...  IPv4 over IPv6: DS-Lite, MAP-E...
© Fedict 2013. All rights reserved | p. 68 Carrier Grade NAT (CGN) Bron: http://www.flickr.com/photos/jfesler/6751925977
© Fedict 2013. All rights reserved | p. 69 NAT444 CGN (rfc6598)  “Large Scale NAT” (LSN)  Extra NAT door provider  Zelfde publiek IPv4 adres voor meerdere klanten  Wordt al door sommige ISPs toegepast  IPv4 naar IPv4  Geen oplossing voor IPv6 (tunnel nodig)
© Fedict 2013. All rights reserved | p. 70 Voorbeeld CGN ISP 10.0.1.3 10.0.1.4 192.0.2.10 NAT
© Fedict 2013. All rights reserved | p. 71 Even opletten  Performantie / vertaalslagen  1 browser kan makkelijk 30 TCP-connecties maken  Niet alle toepassingen blijven werken  Peer-to-peer ?  Wat met blokkeren IP-adressen ?
© Fedict 2013. All rights reserved | p. 72 Dual Stack Bron: http://commons.wikimedia.org/wiki/File:Vergleich_2von2_Crossoverkabel.gif
© Fedict 2013. All rights reserved | p. 73 Dual Stack  Zowel IPv4 als IPv6  Legacy toepassingen: IPv4  Nieuwe toepassingen: IPv6  Veel server software is al voorbereid  Web, FTP, mail... servers
© Fedict 2013. All rights reserved | p. 74 Vb: proxy naar externe IPv6 sites Proxy Internet Firewall IPv4 IPv4 IPv4 + IPv6 IPv4 + IPv6
© Fedict 2013. All rights reserved | p. 75 Vb: dual stack web server Webserver Internet FirewallIPv4 + IPv6 IPv4 + IPv6 DatabaseIPv4 IPv4 IPv6
© Fedict 2013. All rights reserved | p. 76 Even opletten  Dubbel werk voor systeembeheer  Configuratie  Even (on)veilig als zwakste schakel  Performantie / functionaliteit  Hardware, firewalls, ...
© Fedict 2013. All rights reserved | p. 77 Translation Bron: http://commons.wikimedia.org/wiki/File:Bunte-kabel.jpg
© Fedict 2013. All rights reserved | p. 78 NAT64  NAT van IPv6 naar IPv4  Vaak gebruikt met DNS64 (rfc6147)  Automatische AAAA-records  Stateless (rfc6145)  Vertaling ICMP pakket en IP header  1:1 vertaling, spaart geen IPv4-adressen  Vooral om IPv4 servers beschikbaar te maken over IPv6
© Fedict 2013. All rights reserved | p. 79 NAT64 (2)  Stateful (rfc6146)  Vb: IPv6-only mobiel netwerk naar IPv4 internet  Meerdere IPv6-adressen naar 1 IPv4 adres  TCP / UDP + ICMP
© Fedict 2013. All rights reserved | p. 80 Vb: NAT64 Internet Router (klant) NAT64 IPv6 DNS64 (ISP) DNS IPv4 AAAA A
© Fedict 2013. All rights reserved | p. 81 Even opletten  Niet helemaal compatibel met DNSSEC  Werkt niet voor alles  Niet waar IPv4 adres ipv naam gebruikt is  Kan problemen geven met Skype / FTP / SIP / ...
© Fedict 2013. All rights reserved | p. 82 Tunnels (rfc4213) Bron: http://commons.wikimedia.org/wiki/File:Tunnel_Berghofen_Nordeinfahrt_R7308784_wp.jpg
© Fedict 2013. All rights reserved | p. 83 6in4 (rfc2473)  Toegang IPv6 over IPv4 netwerk  Voorbeeld: laptop / kantoor toegang geven tot IPv6  O.a. gratis tunnel via Hurricane Electric  IPv6 pakket binnen IPv4 pakket (encapsulation)  IP protocol nummer 41  Manuele configuratie  IPv6 adres  IPv4 eindpunten tunnel
© Fedict 2013. All rights reserved | p. 84 6rd – Rapid Deployment (rfc5569)  Vooral voor ISPs  Voorbeeld: IPv6 toegang geven aan klanten  Wordt ondersteund door sommige modems / routers  Automatische configuratie mogelijk  DHCPv4 6rd option  IPv6 prefix en lengte prefix  Voordelen:  Geen assymetrische tunnel  Eindpunt bij de klant / meer controle dan 6in4
© Fedict 2013. All rights reserved | p. 85 Vb: 6rd IPv6-only IPv4-only IPv4 IPv6Router (klant) 6rd router (ISP)
© Fedict 2013. All rights reserved | p. 86 Even opletten  Geen oplossing voor schaarste IPv4 adressen  Helpt bij versnelde roll-out van IPv6  Filtering door firewall  Protocol type 41  Per PC  ISATAP (rfc5214)  Teredo (rfc4380)
© Fedict 2013. All rights reserved Vragen ?
© Fedict 2013. All rights reserved | p. 88 Enkele tools  http://nmap.org  http://www.wireshark.org  http://bitace.com/ipv6calc  http://klub.com.pl/dhcpv6/
© Fedict 2013. All rights reserved | p. 89 Enkele linken  http://ipv6.belnet.be  http://www.ipv6tf.org  http://www.ipv6council.be  http://blog.ioshints.info/search/label/IPv6  http://datatracker.ietf.org/wg/v6ops/  http://www.sixxs.net
© Fedict 2013. All rights reserved | p. 90 RFCs  Request For Comments  Technische specificaties  Internet Engineering Task Force (IETF)  Online beschikbaar voor iedereen  http://tools.ietf.org/html/rfc6434
© Fedict 2013. All rights reserved Bedankt ! Bart Hanssens / Fedict Maria-Theresiastraat 1 1000 Brussel, Belgium @BartHanssens bart.hanssens [at] fedict.be | www.fedict.belgium.be

Recomendados

Inleiding HTTP/2
Inleiding HTTP/2Inleiding HTTP/2
Inleiding HTTP/2Bart Hanssens
 
Introductie RDF
Introductie RDFIntroductie RDF
Introductie RDFBart Hanssens
 
Drupal Simple DCAT Export module
Drupal Simple DCAT Export moduleDrupal Simple DCAT Export module
Drupal Simple DCAT Export moduleBart Hanssens
 
Insu Opendata 20111018
Insu Opendata 20111018Insu Opendata 20111018
Insu Opendata 20111018Bart Hanssens
 
Websites testen met Selenium en Behave
Websites testen met Selenium en BehaveWebsites testen met Selenium en Behave
Websites testen met Selenium en BehaveBart Hanssens
 
Relex Finale
Relex FinaleRelex Finale
Relex FinaleBart Hanssens
 
DCAT-AP exchanging metadata
DCAT-AP exchanging metadataDCAT-AP exchanging metadata
DCAT-AP exchanging metadataBart Hanssens
 
OIDC16: Open Data in Belgium
OIDC16: Open Data in BelgiumOIDC16: Open Data in Belgium
OIDC16: Open Data in BelgiumBart Hanssens
 

Recomendados

Inleiding HTTP/2
Inleiding HTTP/2Inleiding HTTP/2
Inleiding HTTP/2Bart Hanssens
 
Introductie RDF
Introductie RDFIntroductie RDF
Introductie RDFBart Hanssens
 
Drupal Simple DCAT Export module
Drupal Simple DCAT Export moduleDrupal Simple DCAT Export module
Drupal Simple DCAT Export moduleBart Hanssens
 
Insu Opendata 20111018
Insu Opendata 20111018Insu Opendata 20111018
Insu Opendata 20111018Bart Hanssens
 
Websites testen met Selenium en Behave
Websites testen met Selenium en BehaveWebsites testen met Selenium en Behave
Websites testen met Selenium en BehaveBart Hanssens
 
Relex Finale
Relex FinaleRelex Finale
Relex FinaleBart Hanssens
 
DCAT-AP exchanging metadata
DCAT-AP exchanging metadataDCAT-AP exchanging metadata
DCAT-AP exchanging metadataBart Hanssens
 
OIDC16: Open Data in Belgium
OIDC16: Open Data in BelgiumOIDC16: Open Data in Belgium
OIDC16: Open Data in BelgiumBart Hanssens
 
IPv6 omzendbrief
IPv6 omzendbriefIPv6 omzendbrief
IPv6 omzendbriefBart Hanssens
 
IPv6 news-nl-20121009
IPv6 news-nl-20121009IPv6 news-nl-20121009
IPv6 news-nl-20121009Bart Hanssens
 
Star Tel Seminar I Pv6
Star Tel Seminar I Pv6Star Tel Seminar I Pv6
Star Tel Seminar I Pv6RHvandenBerg
 
Inleiding Internet of Things
Inleiding Internet of ThingsInleiding Internet of Things
Inleiding Internet of ThingsBart Hanssens
 
Vng realisatie IPv6 webinar 9 juni 2020
Vng realisatie IPv6 webinar 9 juni 2020 Vng realisatie IPv6 webinar 9 juni 2020
Vng realisatie IPv6 webinar 9 juni 2020 VNG Realisatie
 
VITO - Voorstelling Vito dag raamcontract datacenter 2016
VITO - Voorstelling Vito dag raamcontract datacenter 2016VITO - Voorstelling Vito dag raamcontract datacenter 2016
VITO - Voorstelling Vito dag raamcontract datacenter 2016VITO - Securitas
 
FWBuilder
FWBuilderFWBuilder
FWBuilder247 Invest
 
03102019 ipv6 ez-company
03102019 ipv6 ez-company03102019 ipv6 ez-company
03102019 ipv6 ez-companyVNG Realisatie
 
Zarafa als alternatief
Zarafa als alternatiefZarafa als alternatief
Zarafa als alternatiefRené Voortwist
 
Afstudeerscriptie
AfstudeerscriptieAfstudeerscriptie
AfstudeerscriptieMarijn van Gool
 
03102019 ipv6 nat64 gateway
03102019 ipv6 nat64 gateway03102019 ipv6 nat64 gateway
03102019 ipv6 nat64 gatewayVNG Realisatie
 
IPv6 voor webbouwers
IPv6 voor webbouwersIPv6 voor webbouwers
IPv6 voor webbouwersFrank Louwers
 
TCP-IP protocol
TCP-IP protocolTCP-IP protocol
TCP-IP protocolhsburen
 
BA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurBA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurB.A.
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersPavel Odintsov
 
SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURFevents
 
SURF-dienstenportfolio: vaste netwerk
SURF-dienstenportfolio: vaste netwerk SURF-dienstenportfolio: vaste netwerk
SURF-dienstenportfolio: vaste netwerk SURFnet
 
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...SURFevents
 
Open Data: DCAT en tools
Open Data: DCAT en toolsOpen Data: DCAT en tools
Open Data: DCAT en toolsBart Hanssens
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstandB.A.
 
OpenFed, a Drupal distribution
OpenFed, a Drupal distributionOpenFed, a Drupal distribution
OpenFed, a Drupal distributionBart Hanssens
 
Open Summer of Code in Belgium
Open Summer of Code in BelgiumOpen Summer of Code in Belgium
Open Summer of Code in BelgiumBart Hanssens
 

Más contenido relacionado

Similar a Intec ipv6-201306182

IPv6 news-nl-20121009
IPv6 news-nl-20121009IPv6 news-nl-20121009
IPv6 news-nl-20121009Bart Hanssens
 
Star Tel Seminar I Pv6
Star Tel Seminar I Pv6Star Tel Seminar I Pv6
Star Tel Seminar I Pv6RHvandenBerg
 
Inleiding Internet of Things
Inleiding Internet of ThingsInleiding Internet of Things
Inleiding Internet of ThingsBart Hanssens
 
Vng realisatie IPv6 webinar 9 juni 2020
Vng realisatie IPv6 webinar 9 juni 2020 Vng realisatie IPv6 webinar 9 juni 2020
Vng realisatie IPv6 webinar 9 juni 2020 VNG Realisatie
 
VITO - Voorstelling Vito dag raamcontract datacenter 2016
VITO - Voorstelling Vito dag raamcontract datacenter 2016VITO - Voorstelling Vito dag raamcontract datacenter 2016
VITO - Voorstelling Vito dag raamcontract datacenter 2016VITO - Securitas
 
03102019 ipv6 ez-company
03102019 ipv6 ez-company03102019 ipv6 ez-company
03102019 ipv6 ez-companyVNG Realisatie
 
03102019 ipv6 nat64 gateway
03102019 ipv6 nat64 gateway03102019 ipv6 nat64 gateway
03102019 ipv6 nat64 gatewayVNG Realisatie
 
IPv6 voor webbouwers
IPv6 voor webbouwersIPv6 voor webbouwers
IPv6 voor webbouwersFrank Louwers
 
TCP-IP protocol
TCP-IP protocolTCP-IP protocol
TCP-IP protocolhsburen
 
BA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurBA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurB.A.
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersPavel Odintsov
 
SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURFevents
 
SURF-dienstenportfolio: vaste netwerk
SURF-dienstenportfolio: vaste netwerk SURF-dienstenportfolio: vaste netwerk
SURF-dienstenportfolio: vaste netwerk SURFnet
 
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...SURFevents
 
Open Data: DCAT en tools
Open Data: DCAT en toolsOpen Data: DCAT en tools
Open Data: DCAT en toolsBart Hanssens
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstandB.A.
 

Similar a Intec ipv6-201306182 (20)

IPv6 omzendbrief
IPv6 omzendbriefIPv6 omzendbrief
IPv6 omzendbrief
 
IPv6 news-nl-20121009
IPv6 news-nl-20121009IPv6 news-nl-20121009
IPv6 news-nl-20121009
 
Star Tel Seminar I Pv6
Star Tel Seminar I Pv6Star Tel Seminar I Pv6
Star Tel Seminar I Pv6
 
Inleiding Internet of Things
Inleiding Internet of ThingsInleiding Internet of Things
Inleiding Internet of Things
 
Vng realisatie IPv6 webinar 9 juni 2020
Vng realisatie IPv6 webinar 9 juni 2020 Vng realisatie IPv6 webinar 9 juni 2020
Vng realisatie IPv6 webinar 9 juni 2020
 
VITO - Voorstelling Vito dag raamcontract datacenter 2016
VITO - Voorstelling Vito dag raamcontract datacenter 2016VITO - Voorstelling Vito dag raamcontract datacenter 2016
VITO - Voorstelling Vito dag raamcontract datacenter 2016
 
FWBuilder
FWBuilderFWBuilder
FWBuilder
 
03102019 ipv6 ez-company
03102019 ipv6 ez-company03102019 ipv6 ez-company
03102019 ipv6 ez-company
 
Zarafa als alternatief
Zarafa als alternatiefZarafa als alternatief
Zarafa als alternatief
 
Afstudeerscriptie
AfstudeerscriptieAfstudeerscriptie
Afstudeerscriptie
 
03102019 ipv6 nat64 gateway
03102019 ipv6 nat64 gateway03102019 ipv6 nat64 gateway
03102019 ipv6 nat64 gateway
 
IPv6 voor webbouwers
IPv6 voor webbouwersIPv6 voor webbouwers
IPv6 voor webbouwers
 
TCP-IP protocol
TCP-IP protocolTCP-IP protocol
TCP-IP protocol
 
BA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT InfrastructuurBA Netapp Event - Always there IT Infrastructuur
BA Netapp Event - Always there IT Infrastructuur
 
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routersLekker weer nlnog_how_to_avoid_buying_expensive_routers
Lekker weer nlnog_how_to_avoid_buying_expensive_routers
 
SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23SURF Lego - SURFwired - Edwin Verheul - NWD23
SURF Lego - SURFwired - Edwin Verheul - NWD23
 
SURF-dienstenportfolio: vaste netwerk
SURF-dienstenportfolio: vaste netwerk SURF-dienstenportfolio: vaste netwerk
SURF-dienstenportfolio: vaste netwerk
 
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
Intelligent beton: ICT bij duurzame bouw - Gerard Verwoolde (Hoogeschool Utre...
 
Open Data: DCAT en tools
Open Data: DCAT en toolsOpen Data: DCAT en tools
Open Data: DCAT en tools
 
ICT & Gezond verstand
ICT & Gezond verstandICT & Gezond verstand
ICT & Gezond verstand
 

Más de Bart Hanssens

OpenFed, a Drupal distribution
OpenFed, a Drupal distributionOpenFed, a Drupal distribution
OpenFed, a Drupal distributionBart Hanssens
 
Open Summer of Code in Belgium
Open Summer of Code in BelgiumOpen Summer of Code in Belgium
Open Summer of Code in BelgiumBart Hanssens
 
Open Belgium 2022: Prepare To Code
Open Belgium 2022: Prepare To CodeOpen Belgium 2022: Prepare To Code
Open Belgium 2022: Prepare To CodeBart Hanssens
 
Werkgroep metadata: INSPIRE - DCAT-AP mapping
Werkgroep metadata: INSPIRE - DCAT-AP mappingWerkgroep metadata: INSPIRE - DCAT-AP mapping
Werkgroep metadata: INSPIRE - DCAT-AP mappingBart Hanssens
 
Quarkus, Jib én OpenJ9
Quarkus, Jib én OpenJ9Quarkus, Jib én OpenJ9
Quarkus, Jib én OpenJ9Bart Hanssens
 
Open Data at the Federal Level 2021
Open Data at the Federal Level 2021Open Data at the Federal Level 2021
Open Data at the Federal Level 2021Bart Hanssens
 
Open Data workshop Agoria ICT
Open Data workshop Agoria ICTOpen Data workshop Agoria ICT
Open Data workshop Agoria ICTBart Hanssens
 
Atelier Open Data / Agoria ICT
Atelier Open Data / Agoria ICTAtelier Open Data / Agoria ICT
Atelier Open Data / Agoria ICTBart Hanssens
 
Open Source and Open Data
Open Source and Open DataOpen Source and Open Data
Open Source and Open DataBart Hanssens
 
Open Community Projects
Open Community ProjectsOpen Community Projects
Open Community ProjectsBart Hanssens
 
From webform to API using microframeworks
From webform to API using microframeworksFrom webform to API using microframeworks
From webform to API using microframeworksBart Hanssens
 
Linked Data: Introductie
Linked Data: IntroductieLinked Data: Introductie
Linked Data: IntroductieBart Hanssens
 
Open data, what's cooking at the federal level 2020
Open data, what's cooking at the federal level 2020Open data, what's cooking at the federal level 2020
Open data, what's cooking at the federal level 2020Bart Hanssens
 
BOSA DG DT: opendata et intégrateur de services
BOSA DG DT: opendata et intégrateur de servicesBOSA DG DT: opendata et intégrateur de services
BOSA DG DT: opendata et intégrateur de servicesBart Hanssens
 
Local and Regional digital transformation in Belgium
Local and Regional digital transformation in BelgiumLocal and Regional digital transformation in Belgium
Local and Regional digital transformation in BelgiumBart Hanssens
 
Voordeel halen uit zoekmachines en semantic web
Voordeel halen uit zoekmachines en semantic webVoordeel halen uit zoekmachines en semantic web
Voordeel halen uit zoekmachines en semantic webBart Hanssens
 

Más de Bart Hanssens (20)

OpenFed, a Drupal distribution
OpenFed, a Drupal distributionOpenFed, a Drupal distribution
OpenFed, a Drupal distribution
 
Open Summer of Code in Belgium
Open Summer of Code in BelgiumOpen Summer of Code in Belgium
Open Summer of Code in Belgium
 
Open Belgium 2022: Prepare To Code
Open Belgium 2022: Prepare To CodeOpen Belgium 2022: Prepare To Code
Open Belgium 2022: Prepare To Code
 
Werkgroep metadata: INSPIRE - DCAT-AP mapping
Werkgroep metadata: INSPIRE - DCAT-AP mappingWerkgroep metadata: INSPIRE - DCAT-AP mapping
Werkgroep metadata: INSPIRE - DCAT-AP mapping
 
Overzicht DCAT-AP
Overzicht DCAT-APOverzicht DCAT-AP
Overzicht DCAT-AP
 
Quarkus, Jib én OpenJ9
Quarkus, Jib én OpenJ9Quarkus, Jib én OpenJ9
Quarkus, Jib én OpenJ9
 
Open Data at the Federal Level 2021
Open Data at the Federal Level 2021Open Data at the Federal Level 2021
Open Data at the Federal Level 2021
 
Open Data workshop Agoria ICT
Open Data workshop Agoria ICTOpen Data workshop Agoria ICT
Open Data workshop Agoria ICT
 
Atelier Open Data / Agoria ICT
Atelier Open Data / Agoria ICTAtelier Open Data / Agoria ICT
Atelier Open Data / Agoria ICT
 
Open Source and Open Data
Open Source and Open DataOpen Source and Open Data
Open Source and Open Data
 
Données ouvertes
Données ouvertesDonnées ouvertes
Données ouvertes
 
Open Data
Open DataOpen Data
Open Data
 
Open Community Projects
Open Community ProjectsOpen Community Projects
Open Community Projects
 
From webform to API using microframeworks
From webform to API using microframeworksFrom webform to API using microframeworks
From webform to API using microframeworks
 
Linked Data: Introductie
Linked Data: IntroductieLinked Data: Introductie
Linked Data: Introductie
 
JavaVMs en GraalVM
JavaVMs en GraalVMJavaVMs en GraalVM
JavaVMs en GraalVM
 
Open data, what's cooking at the federal level 2020
Open data, what's cooking at the federal level 2020Open data, what's cooking at the federal level 2020
Open data, what's cooking at the federal level 2020
 
BOSA DG DT: opendata et intégrateur de services
BOSA DG DT: opendata et intégrateur de servicesBOSA DG DT: opendata et intégrateur de services
BOSA DG DT: opendata et intégrateur de services
 
Local and Regional digital transformation in Belgium
Local and Regional digital transformation in BelgiumLocal and Regional digital transformation in Belgium
Local and Regional digital transformation in Belgium
 
Voordeel halen uit zoekmachines en semantic web
Voordeel halen uit zoekmachines en semantic webVoordeel halen uit zoekmachines en semantic web
Voordeel halen uit zoekmachines en semantic web
 

Intec ipv6-201306182

  • 1. © Fedict 2013. All rights reserved Van IPv4 naar IPv6 Intec – Brussel – 20 juni 2013
  • 2. © Fedict 2013. All rights reserved Agenda
  • 3. © Fedict 2013. All rights reserved | p. 3  Over Fedict  Wat is IPv6 ? Wie gebruikt het al ?  Hoe IPv6 invoeren ?  Enkele technische verschillen  Enkele transitiemechanismes  Vragen ? Overzicht
  • 4. © Fedict 2013. All rights reserved Over Fedict
  • 5. © Fedict 2013. All rights reserved | p. 5  eGov bouwstenen  EID, Federal Authentication Service  FEDMAN netwerk  Web CMS  Dienstenintegrator  Expertisecentrum  (open) standaarden Federale Overheidsdienst ICT
  • 6. © Fedict 2013. All rights reserved Wat is IPv6 ? Wie gebruikt het al ?
  • 7. © Fedict 2013. All rights reserved | p. 7 Het internet, een pakjesdienst Bron: http://commons.wikimedia.org/wiki/File:Jerome_Relocation_Center,_Denson,_Arkansas._A_crew_of_postal_workers_engaged_in_sorting_packages_at_._._._-_NARA_-_538850.jpg
  • 8. © Fedict 2013. All rights reserved | p. 8 Web page (HTML, images) HTTP TCP IP TCP IP IPIP HTTP TCP Gelaagd netwerk
  • 9. © Fedict 2013. All rights reserved | p. 9 IPv4  Internet Protocol (4e versie)  Pakketten  Adres afzender / bestemmeling  Technische info  In gebruik sinds +/- 1980  Dus nog vóór de IBM PC  Adres  Vaste lengte, 32 bits = +/- 4 miljard adressen  Vb: 193.191.245.4
  • 10. © Fedict 2013. All rights reserved | p. 10 IPv6  IPv6: sinds +/- 1996  IPv5: enkel experimenteel  Beter afgestemd op moderne netwerken  Veel meer adressen  128 bit = 340 miljard miljard miljard miljard adressen  Vb: 2001:06a8:a000:0000:0000:0010:0204:0011  Afgekort: 2001:6a8:a000::10:204:11
  • 11. © Fedict 2013. All rights reserved | p. 11 Bron: http://www.greenwavereality.com/solutions/led-lighting/ Steeds meer toestellen online
  • 12. © Fedict 2013. All rights reserved | p. 12  Steeds meer mensen online  > 2 miljard gebruikers  Steeds meer internet-apparatuur  Tablets, smart phones  Digital TV, VoIP, webcams, domotica  Smart meters, allerhande sensoren  Technieken om adressen beter te verdelen  “Private” adressen voor intern netwerk  NAT: mappen van publieke naar private adressen  “Dynamische” IP adressen IPv4 adressen zijn bijna uitgeput
  • 13. © Fedict 2013. All rights reserved | p. 13  Huidige adressen blijven gewoon “werken”  Webservers e.d. blijven draaien  Risico op IPv4-only / IPv6-only eilanden  Migratie naar IPv6 zal echter jaren duren  => Tussenoplossingen zullen nodig zijn  Aan de kant van de leverancier en/of gebruiker  Niet ideaal (performantie / complexiteit)  In het begin zowel IPv4 als IPv6 ondersteunen Wat als IPv4 adressen op zijn ?
  • 14. © Fedict 2013. All rights reserved | p. 14 Netwerk operator IPv6 Verizon Wireless (USA) 31 % VOO 23 % Free (FR) 18 % XS4All (NL) 15 % Belnet 7 % EDPNet <1 % Bron: http://www.worldipv6launch.org/measurements/ IPv6 verkeer operatoren (mei 2013)
  • 15. © Fedict 2013. All rights reserved | p. 15 Sites die via IPv6 bereikbaar zijn  NGI, Rekenhof, AWT  Google / YouTube, Facebook  Keytrade  RTBF, GVA / HBVL  UZ Leuven, UHasselt, KATHO  Francofolies  ...
  • 16. © Fedict 2013. All rights reserved | p. 16 Hoe IPv6 invoeren ? Bron: http://commons.wikimedia.org/wiki/File:Street_Sign_with_ideas.jpg
  • 17. © Fedict 2013. All rights reserved | p. 17  Geen “big bang” !  Zet een IPv6 clausule in lastenboeken  Maak een lijst van publieke diensten  Diensten die uw organisatie aanbiedt en gebruikt  Vb: website voor burgers, webservice voor bedrijven  Minder dringend: mail  Vraag uw leverancier om uitleg  Voorzie opleidingen en testwerk In grote lijnen
  • 18. © Fedict 2013. All rights reserved | p. 18 Vraag het aan uw leverancier  Zijn de diensten / producten al klaar ?  Ja: plan van aanpak ?  Nee: wanneer dan wel ? Extra kost ?  Let op de kleine lettertjes: “ja, maar”  … niet in model X  … meer geheugen nodig  … upgrade naar versie Y nodig  … extra licentie te betalen  … niet in die bepaalde configuratie
  • 19. © Fedict 2013. All rights reserved | p. 19 Het gaat niet alleen over hardware  Hardware  Routers, firewalls, load-balancers, ...  Ook software  Invoervelden IP-adressen admin pagina's  Webservers, remote access, ...  En diensten  E-payment, webstatistieken, …  Extern gehoste javascripts (social media, webfonts)
  • 20. © Fedict 2013. All rights reserved | p. 20 Voorbeeld IPv6 clausule  De leverancier dient, indien van toepassing, te garanderen dat alle hardware, software en diensten met netwerkfunctionaliteit ook IPv6 ondersteunen.  Deze ondersteuning moet evenwaardig zijn aan de IPv4-ondersteuning, met inbegrip van (maar niet noodzakelijk beperkt tot) performantie, functionaliteit, beveiliging, monitoring en updates.
  • 21. © Fedict 2013. All rights reserved | p. 21 Voorbeeld IPv6 clausule (vervolg)  De leverancier garandeert bovendien dat deze ondersteuning onmiddellijk beschikbaar is, er moet met andere woorden niet gewacht worden op bepaalde updates van producten of diensten.  De leverancier mag voor de ondersteuning van IPv6 geen extra kost aanrekenen.
  • 22. © Fedict 2013. All rights reserved Enkele technische verschillen
  • 23. © Fedict 2013. All rights reserved | p. 23  Meer (en andere) adressen  Geen broadcast, meer multicast  NDP (Neighbor Discovery Protocol) ipv ARP  Autoconfiguratie adressen of DHCPv6  Geen fragmentatie onderweg  Andere headers  Kleine wijziging DNS Enkele verschillen
  • 24. © Fedict 2013. All rights reserved | p. 24  IPv6 niet per definitie (on)veiliger dan IPv4  Maar: minder ervaring met IPv6  Grotere kans op bugs  Grotere kans op verkeerde configuratie  IPv4 + IPv6 netwerk = twee aanvalspunten  Even sterk als zwakste schakel  Beveiliging niet automatisch op IPv4 + IPv6  Mogelijk 2 x firewall rules, filtering, logging, ... Beveiliging
  • 25. © Fedict 2013. All rights reserved | p. 25 Bron: http://commons.wikimedia.org/wiki/File:Address_Book_of_Watergate_Burglar_Bernard_Barker,_Discovered_in_a_Room_at_the_Watergate_Hotel,_June_18,_1972_-_NARA_-_304966.tif Adressen (rfc4291)
  • 26. © Fedict 2013. All rights reserved | p. 26  128 bit  340 miljard miljard miljard miljard mogelijke adressen  Meestal getoond in hexadecimale notatie  Afgekorte notatie mogelijk  Ook subnets / masks  Klanten krijgen in principe minstens /64  18 miljard miljard IPv6 adressen ipv enkele IPv4  Grotere klanten krijgen /56 of /48 van ISP Langere adressen
  • 27. © Fedict 2013. All rights reserved | p. 27  Unicast  1 enkele interface  Multicast  Een hele groep van interfaces  Anycast  De eerste (dichtste bij) van een hele groep interfaces  Vooral gebruikt voor routers Verschillende types adressen
  • 28. © Fedict 2013. All rights reserved | p. 28  Global unicast address  Publiek adres  Unique Local Address (niet gerouteerd)  Komt overeen met private address in IPv4  Begint met “fc” of “fd”  Link-local Address (niet gerouteerd)  Altijd aanwezig op elke interface  Begint met “fe80”  Nodig voor NDP, DHCPv6 Verschillende soorten adressen
  • 29. © Fedict 2013. All rights reserved | p. 29  2001:0db8:0000:0002:0123:0000:0000:0def  Afgekort: 2001:db8:0:2:123::def  48 bit global routing prefix  Via ISP  16 bit subnet  Zelf te kiezen  64 bit host identifier  Autoconfig / DHCPv6 of manueel Gebruikelijke structuur
  • 30. © Fedict 2013. All rights reserved | p. 30 Voorbeeld ipconfig / ifconfig
  • 31. © Fedict 2013. All rights reserved | p. 31 IPv6 adres Equivalent in IPv4 Doel :: /128 0.0.0.0/32 Niet-gespecifieerd adres :: /0 0.0.0.0/0 Default route ::1/128 127.0.0.1/32 Loopback 0064:ff9b:: /96 nvt NAT64 0100:: /64 nvt Discard-only 2001:0:: /32 nvt Teredo 2001:db8:: /32 192.0.2.0/24 Voorbeeld in documentatie 2001:678:: /29 nvt Provider-Independent 2002:: /16 192.88.99.1/32 6to4 fd00:: /8 o.a. 10.0.0.0/8 Unique Local (“privaat adres”) fe80:: /64 169.254.0.0/16 Local (autoconfig) Enkele “speciale” adressen
  • 32. © Fedict 2013. All rights reserved | p. 32  Validatie invoer / weergave in applicaties  Langere adressen  “:” ipv “.”  Scripts e.d. met IP adressen  http [2001:db8:0:2:123::def]:80/page.html  UNC 2001-db8-0-2-123--def.ipv6-literal.netShareC  Stockeren IP-adressen in databases  Sommige databases hebben IP-datatype  Anders voldoende ruimte voorzien Even opletten
  • 33. © Fedict 2013. All rights reserved | p. 33  Afwijkende subnet mask mogelijk  Vb: /80 ipv /64  Sommige technieken (autoconfig) werken niet meer  Controleer performantie Even opletten (2)
  • 34. © Fedict 2013. All rights reserved | p. 34 Bron: http://commons.wikimedia.org/wiki/File:Radio.jpg Multicast
  • 35. © Fedict 2013. All rights reserved | p. 35 IPv6 multicast  IPv4 gebruikt broadcast  ARP  DHCP  IPv6 kent geen broadcast, wel multicast  NDP: Solicited-Node multicast  DHCPv6  Gerichter / efficiënter  Andere hosts worden minder “lastig gevallen”
  • 36. © Fedict 2013. All rights reserved | p. 36 IPv6 over Ethernet (rfc2464)  EtherType voor IPv6 is 0x86DD ipv 0x0800  Dus ook voor NDP (geen ARP)  IPv6 multicast en Ethernet multicast  “33-33” + laatste 32 bits IPv6  MLDv2 Snooping ipv IGMPv3  Multicast Listener Discovery  ICMPv6
  • 37. © Fedict 2013. All rights reserved | p. 37  Link-local  Binnen hetzelfde netwerksegment  Site-local (verouderd)  Binnen dezelfde “plaats”  Global  Het hele internet Enkele scopes
  • 38. © Fedict 2013. All rights reserved | p. 38 Enkele multicast adressen IPv6 multicast Doel ff01::1 Alle interfaces op de node (IPC) ff02::1 Alle link-local nodes ff02::1:2 Link-local DHCPv6 server ff02::1:ff00:0000/104 Solicited-Node multicast prefix ff02::2 Link-local routers ff02::c Simple Service Discovery Protocol (uPNP) ff0e::101 Alle NTP servers
  • 39. © Fedict 2013. All rights reserved | p. 39 NDP (rfc4861) Bron: http://commons.wikimedia.org/wiki/File:Binoculars_(PSF).png
  • 40. © Fedict 2013. All rights reserved | p. 40 Neighbor Discovery Protocol  Geen ARP in IPv6, maar NDP  ICMPv6  Verschillende types pakketten  Router Solicitation (RS) / Router Advertisement (RA)  Neighbor Solicitation (NS) / Neighbor Advertisement (NA)  Redirect  RA / NA spontaan of “op aanvraag” (na RS / NS)
  • 41. © Fedict 2013. All rights reserved | p. 41 Even opletten  Verkeerde Router Advertisements  Per ongeluk (testen IPv6 server) of opzettelijk  => Filteren intern netwerk  Secure Neighbor Discovery Protocol (SEND)  Cryptographically Generated Address (CGA)  Weinig implementaties
  • 42. © Fedict 2013. All rights reserved | p. 42 Configuratie IPv6 adressen Bron: http://commons.wikimedia.org/wiki/File:AntonB%C3%B6ckGasse28262422Strebersdorf.A.JPG
  • 43. © Fedict 2013. All rights reserved | p. 43 Verschillende manieren  Manueel  Vooral voor servers  Stateless Address Auto-Configuration (SLAAC)  Stateless: geen server om “state” bij te houden  Op basis van MAC-adres netwerkkaart  Optie: ook DNS info (RDNSS)  DHCPv6  Stateful of stateless  Welke manier ? Via RA Flags
  • 44. © Fedict 2013. All rights reserved | p. 44 SLAAC (rfc4862)  Berekenen Link-Local (fe80::) adres  Host berekent 64-bit ID en Solicited-Node multicast  Duplicate Address Detection (DAD)  Host: NS naar multicast ff02::1:ff00::...  Geen antwoord => adres is nog vrij  Opvragen prefix voor Global adres  Host stuurt RS naar ff02::2  Router: RA met 64-bit prefix naar ff02::1  Duplicate Address Detection
  • 45. © Fedict 2013. All rights reserved | p. 45 Privacy Extensions (rfc4941)  Mogelijk een privacy issue met SLAAC  48-bit MAC adres wordt gebruikt in berekenen 64-bit ID  MAC-adres is in principe uniek  Dus laptops e.d. kunnen “gevolgd” worden in ander net  Oplossing: tijdelijke adressen  Willekeurige reeks bits  Worden automatisch herberekend (elke X uur / dagen)
  • 46. © Fedict 2013. All rights reserved | p. 46 DHCPv6 (rfc3315)  UDP, poorten 546 (client) en 547 (server)  IPv4: 67 (server) en 68 (client)  DHCP Unique Identifier (DUID)  96 – 128 bits (verschillende berekeningen mogelijk)  IPv4: gebaseerd op MAC  Multicast ff02::1:2  “opkuis” opties
  • 47. © Fedict 2013. All rights reserved | p. 47 Even opletten, ondersteuning  SLAAC werkt enkel binnen /64 subnet  Niet alle systemen ondersteunen DHCPv6  Vb: Android 4.0  Niet alle systemen ondersteunen SLAAC RDNSS  Vb: Windows 7  => eventueel SLAAC + (stateless) DHCPv6
  • 48. © Fedict 2013. All rights reserved | p. 48 Even opletten, beveiliging  Filteren intern netwerk  “valse” RA / DHCPv6 Reply met verkeerde info  DoS via valse NA (SLAAC DAD) vermijden  Beperken aantal messages  DoS via RS vermijden  Ook als u geen IPv6 denkt te gebruiken  Let op automatische tunnels (Vb. Teredo)
  • 49. © Fedict 2013. All rights reserved | p. 49 Fragmentatie en MTU Bron:http://commons.wikimedia.org/wiki/File:Hyattballs.jpg
  • 50. © Fedict 2013. All rights reserved | p. 50 Fragmentatie / MTU  Max Transmission Unit minstens 1280 byte  Fragmentatie gebeurt door eindpunten  Geen IP-fragmentatie onderweg  Minder overhead (kopiëren IP-headers)  Minder CPU (opdelen / samenvoegen IP-fragmenten)  Fragmentatie op lager niveau mogelijk  Vb Ethernet frames
  • 51. © Fedict 2013. All rights reserved | p. 51 Path MTU Discovery (rfc1981)  Pakket wordt verstuurd  Pakket te groot => error  ICMPv6 “Packet Too Big” error  Pakket opdelen en opnieuw zenden  Regelmatig proberen of MTU groter kan  Vb. om de 10 minuten
  • 52. © Fedict 2013. All rights reserved | p. 52 Even opletten  ICMPv6 error mag niet geblokkeerd worden  Firewall  => anders kan de verbinding hangen  (TCP) “Handshake” lukt, dus lijkt te werken  Pakketten worden onderweg gedropt wegens te groot
  • 53. © Fedict 2013. All rights reserved | p. 53 Extension headers (rfc2460) Bron:http://commons.wikimedia.org/wiki/File:2_duplo_lego_bricks.jpg
  • 54. © Fedict 2013. All rights reserved | p. 54 Overzicht IPv6 pakket en headers Version Traffic Class Flow Label Payload length Next Header Hop Limit Source address Destination address Next Header Length ... ... Source port Destination port ... Fixed Header Extension Header(s) Upper layer (TCP, UDP...) met data
  • 55. © Fedict 2013. All rights reserved | p. 55 Fixed Header  Altijd 320 bits lang  IPv4: 160 bits  Next Header veld (type)  Wijst naar volgende IPv6 OF “upper layer” header  Hop Limit  IPv4: TTL veld  Source en Destination IPv6-adres
  • 56. © Fedict 2013. All rights reserved | p. 56 Extension Headers  Lengte afhankelijk van type  Bevatten extra parameters / informatie  Voor eindpunt (behalve “Hop-by-Hop” type)  Eindpunt stuurt ICMPv6 error bij onbekende opties  Meerdere headers mogelijk  Wijst weer naar volgende Next Header
  • 57. © Fedict 2013. All rights reserved | p. 57 Even opletten  ICMPv6 error mag niet geblokkeerd worden  Firewall  Filteren  Router Header type 0  Onbekende extension headers  Gefragmenteerde headers  Beperken aantal extension headers
  • 58. © Fedict 2013. All rights reserved | p. 58 DNS (rfc3596) Bron: http://commons.wikimedia.org/wiki/File:Annuaire.jpg
  • 59. © Fedict 2013. All rights reserved | p. 59 Kleine wijziging DNS  AAAA-record  Kan naast A-record bestaan  Reverse DNS  ip6.arpa ipv in-addr.arpa  f.e.d.0.0.0.0.0.0.0.0.0.3.2.1.0.2.0.0.0.0.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa
  • 60. © Fedict 2013. All rights reserved | p. 60 Even opletten  DNS zelf ook via IPv6 bereikbaar maken  Opvraging staat los van gebruikte connectie  AAAA kan opgevraagd worden via IPv4 en IPv6  A kan opgevraagd worden via IPv6 en IPv4  Soms allebei tegelijk  Client applicatie bepaalt welke gebruikt zal worden  DNS response langer dan 512 byte UDP limiet  EDNS0 of TCP toelaten
  • 61. © Fedict 2013. All rights reserved | p. 61 Happy Eyeballs (rfc6555) Bron: http://commons.wikimedia.org/wiki/File:Three_Buttons.JPG
  • 62. © Fedict 2013. All rights reserved | p. 62 Gebruikt een browser IPv4 of IPv6 ?  Als server zowel IPv4 als IPv6 adres heeft  Wat als client ook IPv4 + IPv6 ondersteunt ?  IPv4 prefereren: nadelig voor uitrol IPv6  IPv6 prefereren: mogelijk minder goed geconfigureerd  Hangt af van netwerk, OS, browser, configuratie  “Happy Eyeballs” / “Fast Fallback”  Test IPv6 en IPv4 verbinding (bijna) gelijktijdig  Gebruik eerste verbinding die reageert  MacOS X: snelste verbinding
  • 63. © Fedict 2013. All rights reserved | p. 63 Even opletten  Meer connecties naar servers  In praktijk kan connectie soms wijzigen  Vb: opeens cookie over IPv6 (= ander adres) dan IPv4  Lijkt op “gestolen” cookie
  • 64. © Fedict 2013. All rights reserved | p. 64 Overige Bron: http://commons.wikimedia.org/wiki/File:Delta_(Dacromet).jpg
  • 65. © Fedict 2013. All rights reserved | p. 65 Even opletten  Beveiligen LAN tegen ongewenste tunnels  Filteren tunnel-protocols (Teredo, ISATAP....)  Beveiliging PC's controleren  Anti-virus software, firewall rules, …  Website van de organisatie  Externe services voor search, webstats, anti-spam, …  Remote toegang  VPN
  • 66. © Fedict 2013. All rights reserved Enkele transitie- mechanismes
  • 67. © Fedict 2013. All rights reserved | p. 67 Enkele transitiemechanismes  (NAT444 CGN)  Dual-Stack  Translation  NAT64, SLB64  Reverse Proxy  Tunnels  IPv6 over IPv4: 6in4, 6rd, Teredo, ISATAP...  IPv4 over IPv6: DS-Lite, MAP-E...
  • 68. © Fedict 2013. All rights reserved | p. 68 Carrier Grade NAT (CGN) Bron: http://www.flickr.com/photos/jfesler/6751925977
  • 69. © Fedict 2013. All rights reserved | p. 69 NAT444 CGN (rfc6598)  “Large Scale NAT” (LSN)  Extra NAT door provider  Zelfde publiek IPv4 adres voor meerdere klanten  Wordt al door sommige ISPs toegepast  IPv4 naar IPv4  Geen oplossing voor IPv6 (tunnel nodig)
  • 70. © Fedict 2013. All rights reserved | p. 70 Voorbeeld CGN ISP 10.0.1.3 10.0.1.4 192.0.2.10 NAT
  • 71. © Fedict 2013. All rights reserved | p. 71 Even opletten  Performantie / vertaalslagen  1 browser kan makkelijk 30 TCP-connecties maken  Niet alle toepassingen blijven werken  Peer-to-peer ?  Wat met blokkeren IP-adressen ?
  • 72. © Fedict 2013. All rights reserved | p. 72 Dual Stack Bron: http://commons.wikimedia.org/wiki/File:Vergleich_2von2_Crossoverkabel.gif
  • 73. © Fedict 2013. All rights reserved | p. 73 Dual Stack  Zowel IPv4 als IPv6  Legacy toepassingen: IPv4  Nieuwe toepassingen: IPv6  Veel server software is al voorbereid  Web, FTP, mail... servers
  • 74. © Fedict 2013. All rights reserved | p. 74 Vb: proxy naar externe IPv6 sites Proxy Internet Firewall IPv4 IPv4 IPv4 + IPv6 IPv4 + IPv6
  • 75. © Fedict 2013. All rights reserved | p. 75 Vb: dual stack web server Webserver Internet FirewallIPv4 + IPv6 IPv4 + IPv6 DatabaseIPv4 IPv4 IPv6
  • 76. © Fedict 2013. All rights reserved | p. 76 Even opletten  Dubbel werk voor systeembeheer  Configuratie  Even (on)veilig als zwakste schakel  Performantie / functionaliteit  Hardware, firewalls, ...
  • 77. © Fedict 2013. All rights reserved | p. 77 Translation Bron: http://commons.wikimedia.org/wiki/File:Bunte-kabel.jpg
  • 78. © Fedict 2013. All rights reserved | p. 78 NAT64  NAT van IPv6 naar IPv4  Vaak gebruikt met DNS64 (rfc6147)  Automatische AAAA-records  Stateless (rfc6145)  Vertaling ICMP pakket en IP header  1:1 vertaling, spaart geen IPv4-adressen  Vooral om IPv4 servers beschikbaar te maken over IPv6
  • 79. © Fedict 2013. All rights reserved | p. 79 NAT64 (2)  Stateful (rfc6146)  Vb: IPv6-only mobiel netwerk naar IPv4 internet  Meerdere IPv6-adressen naar 1 IPv4 adres  TCP / UDP + ICMP
  • 80. © Fedict 2013. All rights reserved | p. 80 Vb: NAT64 Internet Router (klant) NAT64 IPv6 DNS64 (ISP) DNS IPv4 AAAA A
  • 81. © Fedict 2013. All rights reserved | p. 81 Even opletten  Niet helemaal compatibel met DNSSEC  Werkt niet voor alles  Niet waar IPv4 adres ipv naam gebruikt is  Kan problemen geven met Skype / FTP / SIP / ...
  • 82. © Fedict 2013. All rights reserved | p. 82 Tunnels (rfc4213) Bron: http://commons.wikimedia.org/wiki/File:Tunnel_Berghofen_Nordeinfahrt_R7308784_wp.jpg
  • 83. © Fedict 2013. All rights reserved | p. 83 6in4 (rfc2473)  Toegang IPv6 over IPv4 netwerk  Voorbeeld: laptop / kantoor toegang geven tot IPv6  O.a. gratis tunnel via Hurricane Electric  IPv6 pakket binnen IPv4 pakket (encapsulation)  IP protocol nummer 41  Manuele configuratie  IPv6 adres  IPv4 eindpunten tunnel
  • 84. © Fedict 2013. All rights reserved | p. 84 6rd – Rapid Deployment (rfc5569)  Vooral voor ISPs  Voorbeeld: IPv6 toegang geven aan klanten  Wordt ondersteund door sommige modems / routers  Automatische configuratie mogelijk  DHCPv4 6rd option  IPv6 prefix en lengte prefix  Voordelen:  Geen assymetrische tunnel  Eindpunt bij de klant / meer controle dan 6in4
  • 85. © Fedict 2013. All rights reserved | p. 85 Vb: 6rd IPv6-only IPv4-only IPv4 IPv6Router (klant) 6rd router (ISP)
  • 86. © Fedict 2013. All rights reserved | p. 86 Even opletten  Geen oplossing voor schaarste IPv4 adressen  Helpt bij versnelde roll-out van IPv6  Filtering door firewall  Protocol type 41  Per PC  ISATAP (rfc5214)  Teredo (rfc4380)
  • 87. © Fedict 2013. All rights reserved Vragen ?
  • 88. © Fedict 2013. All rights reserved | p. 88 Enkele tools  http://nmap.org  http://www.wireshark.org  http://bitace.com/ipv6calc  http://klub.com.pl/dhcpv6/
  • 89. © Fedict 2013. All rights reserved | p. 89 Enkele linken  http://ipv6.belnet.be  http://www.ipv6tf.org  http://www.ipv6council.be  http://blog.ioshints.info/search/label/IPv6  http://datatracker.ietf.org/wg/v6ops/  http://www.sixxs.net
  • 90. © Fedict 2013. All rights reserved | p. 90 RFCs  Request For Comments  Technische specificaties  Internet Engineering Task Force (IETF)  Online beschikbaar voor iedereen  http://tools.ietf.org/html/rfc6434
  • 91. © Fedict 2013. All rights reserved Bedankt ! Bart Hanssens / Fedict Maria-Theresiastraat 1 1000 Brussel, Belgium @BartHanssens bart.hanssens [at] fedict.be | www.fedict.belgium.be