IPv 6. Welkom bij IPv6 Martijn Bellaard Martijn Bellaard –[email protected] [email protected]...

IPvIPv66

Welkom bij IPv6Welkom bij IPv6

• Martijn BellaardMartijn Bellaard– [email protected]@twice.nl– www.twice.nlwww.twice.nl

mailto:[email protected]

http://www.twice.nl/

AgendaAgenda

• Waarom IPv6Waarom IPv6• IPv6 NummersIPv6 Nummers

– Verschillende IPv6 nummersVerschillende IPv6 nummers• Neighbor DiscoveryNeighbor Discovery Protocol Protocol• Routing IPv6Routing IPv6• Routing IPv6 over IPv4Routing IPv6 over IPv4• TunnelenTunnelen

– HandmatigHandmatig– AutomatischAutomatisch

• 6to46to4• ISATAP (Demo)ISATAP (Demo)• TeredoTeredo

• DNSDNS• DHCPv6DHCPv6

Waarom IPv6Waarom IPv6

• IPv4 NummersIPv4 Nummers

• IPv4 ConfiguratieIPv4 Configuratie

• IPv4 BeveiligingIPv4 Beveiliging

• IPv4 PerformanceIPv4 Performance


• IPv4 NummersIPv4 Nummers– IPv4 is 32 bitsIPv4 is 32 bits– NATNAT

• IPv6 NummersIPv6 Nummers– IPv6 is 128 BitsIPv6 is 128 Bits– Elk apparaat zijn Elk apparaat zijn

eigen nummer?eigen nummer?

Totaal 4,294,967,296 Private 10.x.y.z 16,777,216

172.16.x.y 1,048,576 172.31.x.y192.168.x.y 65,536

Localhost 127.0.0.0 16,777,216

Class D 224.x.y.z 520,093,696 Class EEinde 255.x.y.z

3,740,205,056

3.4028236692093846346337460743177e+38

6.6713399230871781977895920808634e+35


• IPv4 ConfiguratieIPv4 Configuratie– Met de handMet de hand– DHCPDHCP

• IPv6IPv6– Neighbor Discovery Neighbor Discovery

ProtocolProtocol


• IPv4 BeveiligingIPv4 Beveiliging– Standaard nietStandaard niet– AanvullingAanvulling

•SSLSSL

• IPSecIPSec

• IPv6 BeveiligingIPv6 Beveiliging– Standaard IPSecStandaard IPSec


• IPv4 PerformanceIPv4 Performance– HeaderHeader

• IPv4,beperkte groteIPv4,beperkte grote

• IPv6 headerIPv6 header– Next headerNext header

– MTUMTU• IPv4, fragmentatieIPv4, fragmentatie

• IPv6, geen fragmentatieIPv6, geen fragmentatie– Path MTU DiscoveryPath MTU Discovery

Daarom IPv6Daarom IPv6

• IPv4 NummersIPv4 Nummers

• IPv4 ConfiguratieIPv4 Configuratie

• IPv4 BeveiligingIPv4 Beveiliging

• IPv4 PerformanceIPv4 Performance

AgendaAgenda






IPv6 NummerIPv6 Nummer

• IPv4 nummerIPv4 nummer

• IPv6 nummerIPv6 nummer– Regels voor notatieRegels voor notatie– PrefixPrefix

• Verschillende IPv6 NummersVerschillende IPv6 Nummers– UnicastUnicast– MulticastMulticast– AnycastAnycast


• IPv4 nummerIPv4 nummer– u.x.y.zu.x.y.z– u,x,y,x=0-255u,x,y,x=0-255– Bijv; 134.55.67.2Bijv; 134.55.67.2

• SubnetmaskSubnetmask– 255.255.255.0255.255.255.0– /24/24

• 134.55.67.2/24134.55.67.2/24


• IPv6 nummerIPv6 nummer– Regels voor notatieRegels voor notatie

• HexadecimaalHexadecimaal

• 128 Bits128 Bits

• 8 groepen van 4 hexadecimale getallen8 groepen van 4 hexadecimale getallen

• Voorloop nullen hoeven niet genoteerd te wordenVoorloop nullen hoeven niet genoteerd te worden

• Aaneengesloten nullen mogen vervangen worden Aaneengesloten nullen mogen vervangen worden door “::”door “::”

2345:0000:0000:0900:56CD:3423:0022:9099

2345::900:56CD:3423:22:9099


• IPv6 nummerIPv6 nummer– PrefixPrefix

•/60/60

•2345:0000:0000:9002345:0000:0000:900::/60::/60

2345::900:56CD:3423:22:9099/60


• Verschillende IPv6 NummersVerschillende IPv6 Nummers– UnicastUnicast

•Van host naar hostVan host naar host

•Link-LocalLink-Local– FE80::/10FE80::/10

•SiteSite– FEC0::/10FEC0::/10– Private rangePrivate range

•GlobalGlobal


• Verschillende IPv6 NummersVerschillende IPv6 Nummers– MulticastMulticast

• Van 1 host naar meerder hosts.Van 1 host naar meerder hosts.– Non-permanently-assigned (1)Non-permanently-assigned (1)– permanently-assigned (0)permanently-assigned (0)

– Begint met FF0X of FF1XBegint met FF0X of FF1X– Waar bij X=Waar bij X=

• 0 reserved0 reserved• 1 interface-local scope1 interface-local scope• 2 link-local scope (FF02)2 link-local scope (FF02)• 3 reserved3 reserved• 4 admin-local scope4 admin-local scope• 5 site-local scope5 site-local scope• 8 organization-local scope8 organization-local scope• E global scopeE global scope• F reservedF reserved


• Verschillende IPv6 NummersVerschillende IPv6 Nummers– AnycastAnycast

•Naar de eerst reagerende hostNaar de eerst reagerende host

– Broadcast bestaat niet meer.Broadcast bestaat niet meer.


• Hoe wordt een IPv6 nummer Hoe wordt een IPv6 nummer gemaaktgemaakt– We nemen FE80::We nemen FE80::– We nemen een beetje MAC adres:00-C0-We nemen een beetje MAC adres:00-C0-

9F-2C-25-449F-2C-25-44– Men krijgt: fe80::2c0:9fff:fe2c:2544Men krijgt: fe80::2c0:9fff:fe2c:2544


00-C0-9F-2C- 25-44

fe80::2c0:9fff:fe2c:2544

00C0-9F 2C- 2544

We flippen ergens een bitjeKnallen er “fffe” tussenWe noemen het EUI-64 formatEn we krijgen:

SECURITY

AgendaAgenda






Neighbor Discovery ProtocolNeighbor Discovery Protocol

• NDND– DoelDoel

• Router discoveryRouter discovery

• Prefix discoveryPrefix discovery

• Parameters discoveryParameters discovery

• Address autoconfigurationAddress autoconfiguration

• Address resolution (ARP)Address resolution (ARP)

• Next-hop determinationNext-hop determination

• Neighbor unreachability detectionNeighbor unreachability detection

• Duplicate address detectionDuplicate address detection

• redirectredirect


• SecuritySecurity– Router Advertisement (RA), Router Router Advertisement (RA), Router

Solicitation (RS), Neighbor Solicitation (NS), Solicitation (RS), Neighbor Solicitation (NS), Neighbor Advertisement (NA) and Neighbor Advertisement (NA) and Redirect Redirect

– ““Gratis” een adres.Gratis” een adres.– Mobile IPv6Mobile IPv6– Router HeaderRouter Header

• IPSec IPSec


Address autoconfigurationAddress autoconfiguration• Maakt een “link-local” adres :fe80::[interface ID]Maakt een “link-local” adres :fe80::[interface ID]• Host stuurt drie “Router Host stuurt drie “Router SolicitationSolicitation” ” • Krijgt een “Router Krijgt een “Router AdvertisementAdvertisement respons” respons”• Kijkt of het nummer al bestaat, “Neighbor Solicitation”Kijkt of het nummer al bestaat, “Neighbor Solicitation”• Neemt het in gebruikNeemt het in gebruik

STATELESSSTATELESS

AgendaAgenda






Routing IPv4Routing IPv4

Network IDNetwork ID MaskMask InterfaceInterface GatewayGateway

10.0.2.010.0.2.0 255.255.255.0255.255.255.0 10.0.2.110.0.2.1 10.0.2.110.0.2.1

10.0.1.010.0.1.0 255.255.255.0255.255.255.0 10.0.1.110.0.1.1 10.0.1.110.0.1.1

10.0.3.010.0.3.0 255.255.255.0255.255.255.0 10.0.2.110.0.2.1 10.0.2.210.0.2.2

0.0.0.00.0.0.0 0.0.0.00.0.0.0 10.0.2.110.0.2.1 10.0.2.210.0.2.2


• Wat heb ik nodigWat heb ik nodig– Destination PrefixDestination Prefix– Next-Hop AddressNext-Hop Address– InterfaceInterface– MetricMetric

• Wat vind je in een router tabelWat vind je in een router tabel– Directly-attached network routesDirectly-attached network routes– Remote network routesRemote network routes– Host routesHost routes– Default route (::/0)Default route (::/0)


• Hoe gaat dit nu op internet?Hoe gaat dit nu op internet?– TLA=TLA=Top Level AggregatorTop Level Aggregator. . – NLA=NLA=Next Level AggregatorNext Level Aggregator. . – SLA=SLA=Site Level AggregatorSite Level Aggregator..

TLA

NLA NLA NLA

SLA SLA SLA SLA SLA SLA

DemoDemo

• Routing IPv6Routing IPv6– netsh interface ipv6 set interface “10.0.2" forwarding=enabled netsh interface ipv6 set interface “10.0.2" forwarding=enabled

advertise=enabledadvertise=enabled– netsh interface IPv6 set interface “10.0.3" forwarding=enabled netsh interface IPv6 set interface “10.0.3" forwarding=enabled

advertise=enabledadvertise=enabled– netsh interface IPv6 add route fec0:0:0:2::/64 “10.0.2" publish=yesnetsh interface IPv6 add route fec0:0:0:2::/64 “10.0.2" publish=yes– netsh interface IPv6 add route fec0:0:0:3::/64 “10.0.3" publish=yesnetsh interface IPv6 add route fec0:0:0:3::/64 “10.0.3" publish=yes– netsh interface IPv6 add route ::/0 “10.0.2" nexthop=fec0::2:20c:29ff:fee6:cb3f netsh interface IPv6 add route ::/0 “10.0.2" nexthop=fec0::2:20c:29ff:fee6:cb3f

publish=yespublish=yes– netsh interface IPv6 set interface “10.0.2" siteid=1netsh interface IPv6 set interface “10.0.2" siteid=1– netsh interface IPv6 set interface “10.0.3" siteid=1netsh interface IPv6 set interface “10.0.3" siteid=1

AgendaAgenda






Routing IPv6 over IPv4Routing IPv6 over IPv4

• Host to routerHost to router

• Router to hostRouter to host


• Router to RouterRouter to Router


• Host to HostHost to Host

AgendaAgenda






Het maken van TunnelsHet maken van Tunnels

• HandmatigHandmatig

• 6to46to4

• ISATAPISATAP

• TeredoTeredo

HandmatigHandmatig

• Te gebruiken voor:Te gebruiken voor:– Host to HostHost to Host– Host to router en router to hostHost to router en router to host– Router to routerRouter to router

HandmatigHandmatig

• VoordelenVoordelen– Je hebt het zelf Je hebt het zelf

onder controleonder controle– Vraagt niet om het Vraagt niet om het

gebruik van een gebruik van een techniektechniek

– Voor elke Voor elke infrastructuur infrastructuur bruikbaarbruikbaar

• NadelenNadelen– Beide kanten Beide kanten

moeten door jou moeten door jou beheerd wordenbeheerd worden

– Bij een verandering Bij een verandering moet je alles moet je alles aanpassenaanpassen

6to46to4

• Te gebruiken voor:Te gebruiken voor:– Router to routerRouter to router– Host to HostHost to Host– Router to HostRouter to Host

• CommunicatieCommunicatie– 6to4 Host6to4 Host– 6to4 Router6to4 Router– 6to4 relay router6to4 relay router

6to46to4

• Tweede InterfaceTweede Interface– 6to4 interface6to4 interface– 2002:2002:IPv4IPv4 adres in hexadres in hex weergegevenweergegeven:NetworkID:HostID:NetworkID:HostID

(d488:3701=212.136.55.1)(d488:3701=212.136.55.1)

6to46to4

• VoordelenVoordelen– AutomatischAutomatisch– Open standaardOpen standaard

• NadelenNadelen– Werkt niet voor IPv4 Werkt niet voor IPv4

private rangeprivate range– Gaat niet door een Gaat niet door een

NAT translatieNAT translatie

ISATAPISATAP

• Intra-Site Automatic Tunnel Addressing ProtocolIntra-Site Automatic Tunnel Addressing Protocol • Host-to-hostHost-to-host• Host-to-routerHost-to-router• ISATAP ziet IPv4 netwerk als ISATAP ziet IPv4 netwerk als Non-Broadcast Multiple Non-Broadcast Multiple

Access (Access (NBMANBMA) link layer ) link layer • Link-local adres::5efe:IPv4 Link-local adres::5efe:IPv4

ISATAPISATAP

• Communicatie verloopCommunicatie verloop

ISATAP ???•ISATAP.TWICE.NL•ISATAP

Router Solicitation Message

Router Advertisement Message

ISATAPISATAP

• VoordelenVoordelen– AutomatischAutomatisch– Werkt met IPv4 Werkt met IPv4

private rangeprivate range– Heeft geen speciale Heeft geen speciale

service op IPv4 service op IPv4 nodignodig

– Kan samenwerken Kan samenwerken met 6to4met 6to4

• NadelenNadelen– Gaat niet door een Gaat niet door een

NAT translatieNAT translatie– ““ISATAP” moet ISATAP” moet

kunnen worden kunnen worden gevonden.gevonden.

IsatapIsatap

ISATAP Router

ISATAPClient

ISATAPISATAP

DemoDemo1.1. Disabling Forwarding en Advertising op router 1 en 2Disabling Forwarding en Advertising op router 1 en 2

netsh interface ipv6 set interface "lan2" forwarding=disabled netsh interface ipv6 set interface "lan2" forwarding=disabled advertise=disabledadvertise=disablednetsh interface ipv6 set interface "lan3" forwarding=disabled netsh interface ipv6 set interface "lan3" forwarding=disabled advertise=disabledadvertise=disabled

2.2. Van router 1 een ISATAP router makenVan router 1 een ISATAP router makennetsh interface ipv6 isatap set router 10.0.2.1netsh interface ipv6 isatap set router 10.0.2.1netsh interface ipv6 set interface "Automatic Tunneling Pseudo-netsh interface ipv6 set interface "Automatic Tunneling Pseudo-Interface" forwarding=enabled advertise=enabledInterface" forwarding=enabled advertise=enablednetsh interface ipv6 add route fec0:0:0:10::/64 "Automatic Tunneling netsh interface ipv6 add route fec0:0:0:10::/64 "Automatic Tunneling Pseudo-Interface" publish=yesPseudo-Interface" publish=yes

3.3. DNS Entry voor ISATAP router maken DNS Entry voor ISATAP router maken 4.4. Pingen vanaf workstation2 naar workstation1 IP#v6Pingen vanaf workstation2 naar workstation1 IP#v6

TeredoTeredo

• ProbleemProbleem– NATNAT

Client A Server

TeredoTeredo

• OnderdelenOnderdelen– Teredo clientTeredo client– Teredo serverTeredo server– Teredo relay Teredo relay – Teredo host-specific relayTeredo host-specific relay

TeredoTeredo

1.1. Client A Client A Client B Client B

2.2. Client A Client A TeredoSVR TeredoSVR

3.3. TeredoSVRTeredoSVRClientBClientB

4.4. ClientBClientBClientAClientA

5.5. ClientBClientBTeredoSVRTeredoSVR

Client A

Client B

TeredoSVR

TeredoTeredo

• VoordelenVoordelen– Gaat door NATGaat door NAT

• NadelenNadelen– Vraagt om een Vraagt om een

server buitenserver buiten– Mogelijkheid tot Mogelijkheid tot

spoofing op de spoofing op de teredo serverteredo server

AgendaAgenda






DNSDNS

• AAAAAAAA

Host AAAA IP#v6Host AAAA IP#v6PTRPTR

in-addr.arpa in-addr.arpa ip6.int of ip6.arpa en ip# in decimale ip6.int of ip6.arpa en ip# in decimale IPv4 notatieIPv4 notatie

(0.1.2.3.0.0.0.0.0.enz IN PTR www.twice.nl)(0.1.2.3.0.0.0.0.0.enz IN PTR www.twice.nl)

• AndereAndere

– DNAMEDNAME– Status, ExperimentalStatus, Experimental

DNSDNS

• DNS IPv6 geschikt makenDNS IPv6 geschikt makendnscmd /config /EnableIPv6 1dnscmd /config /EnableIPv6 1

• support support toolstools

DNSDNS

• DemoDemo

1.1. Het aanmaken van AAAA recordHet aanmaken van AAAA record

2.2. Pingen met gebruikmaking van het Pingen met gebruikmaking van het AAAA recordAAAA record

3.3. Website opvragenWebsite opvragen

AgendaAgenda






DHCPv6DHCPv6

• Stateless AutoconfigurationStateless Autoconfiguration– IP#v6 wordt gemaakt aan de hand van IP#v6 wordt gemaakt aan de hand van

het MAC adreshet MAC adres– Router geeft de rest van de informatieRouter geeft de rest van de informatie

• ““Stateful” AutoconfigurationStateful” Autoconfiguration– DHCPv6DHCPv6

• Aanwezig in Windows “Longhorn”Aanwezig in Windows “Longhorn”

Meer informatieMeer informatie

• BoekBoek– IPv6 van O’Reilly, ISBN 0596009348IPv6 van O’Reilly, ISBN 0596009348– IPv6, Het nieuwe Internet-protocol helder beschreven, ISBN IPv6, Het nieuwe Internet-protocol helder beschreven, ISBN

90395156629039515662• LinksLinks

– http://technet2.microsoft.com/WindowsServer/en/Library/b05f98ef-256http://technet2.microsoft.com/WindowsServer/en/Library/b05f98ef-2561-4a0a-af91-dbb155aa52211033.mspx1-4a0a-af91-dbb155aa52211033.mspx

– http://www.microsoft.com/downloads/details.aspx?FamilyID=fd7e1354-http://www.microsoft.com/downloads/details.aspx?FamilyID=fd7e1354-3a3b-43fd-955f-11edd39551d7&displaylang=en3a3b-43fd-955f-11edd39551d7&displaylang=en

– www.google.nlwww.google.nl• RFC’sRFC’s

– 21852185– 30563056– 35133513

• DraftDraft– draft-chown-v6ops-port-scanning-implications-01.txtdraft-chown-v6ops-port-scanning-implications-01.txt– draft-huitema-v6ops-teredo-05.txtdraft-huitema-v6ops-teredo-05.txt– draft-vives-v6ops-ipv6-security-ps-03.txtdraft-vives-v6ops-ipv6-security-ps-03.txt

http://technet2.microsoft.com/WindowsServer/en/Library/b05f98ef-2561-4a0a-af91-dbb155aa52211033.mspx

http://technet2.microsoft.com/WindowsServer/en/Library/b05f98ef-2561-4a0a-af91-dbb155aa52211033.mspx

http://www.microsoft.com/downloads/details.aspx?FamilyID=fd7e1354-3a3b-43fd-955f-11edd39551d7&displaylang=en

http://www.microsoft.com/downloads/details.aspx?FamilyID=fd7e1354-3a3b-43fd-955f-11edd39551d7&displaylang=en

http://www.google.nl/

Martijn BellaardMartijn Bellaard– [email protected]@twice.nl– www.twice.nlwww.twice.nl

mailto:[email protected]

http://www.twice.nl/

IPv 6. Welkom bij IPv6 Martijn Bellaard Martijn Bellaard –[email protected] [email protected]...

Documents

Transcript of IPv 6. Welkom bij IPv6 Martijn Bellaard Martijn Bellaard –[email protected] [email protected]...