1. 12-‐10-‐2010
IPV6:
Laat je (niet) verrassen!
Siebren Kerkstra - siebren@kerkstra.info
Ties Voskamp - tmvoskamp@paradoslabs.nl
1
2. 12-‐10-‐2010
IP version 6
Voordelen IP6:
• Adress assignment features
• Aggregatie van adressblokken
• Nat / Pat niet meer nodig
• Ipsec native in IP6
• Header improvements
• Transition tools
Adres verdeling
Publieke adressen gegroepeerd geografish (Regional Internet
Registry)
Per regio onderverdeeld in ISP’s
Per ISP onderverdeeld in bedrijven/cons.
Elk bedrijf kan onderverdelen in subnetten
ICANN beheerd address space
2
3. 12-‐10-‐2010
IP6 Notatie
IP6 adres: 32 hex nummers
In 8 quartetten van 4 hex getallen (nibbles)
Vb. 2340:1111:AAAA:0001:1234:5678:9ABC:1234
Afkortingen:
FE00:0000:0000:0001:0000:0000:0000:0056
FE00::1:0:0:0:56
FE00:0:0:1::56
FE00::1::56 mag niet !!!!
IP6 prefix
2000:1234:5678:9ABC:1234:5678:9ABC:1111/64
16 16 16 16 :0000:0000:0000:0000
Afgekort:
2000:1234:5678:9ABC::/64
Prefix binnen 16 bit blok:
2000:1234:5678:9A00::/56
Global Unicast Prefix assignment
3
4. 12-‐10-‐2010
Adres ruimte voor 1 bedrijf:
• 2^64 host per subnet = 18.446.744.000.000.000.000
• 2^16 subnetten per bedrijf is dus 65,536 subnetten
Hoeveel IP6 adressen zijn er eigenlijk?
Surface earth = pie*diameter* diameter ( diameter earth = 12000
kilometer)
Ip6 has 2^128 ip adresses (assuming that all address space is used)
Surface earth = 3.14 * 12756 * 12756 = 510926783 km2 (square
kilometer) (=all of the earth surface including water etc)
Surface earth in square cm = 1km = 1000 meter 1 meter is 100 cm
510926783 km2 = 510926783 * 1000 * 1000 * 100 * 100 =
5109267830000000000 cm2 = 5.10927E+18 cm2
IP6 = 2^128 equals 3.40E+38
Thus in one square cm there are 3.40E+38 divided by 5.10927E+18 cm2
= 6.65E+19 ipv6 addresses
Aantal ip6 bis
If you pile up these addresses in one cm one ip6 adresses per cm
…….how high is the pile of ip addresses??
One light year is::
3600 seconds per hour * 24 hours a day * 365 days a year
So a year has 31536000 seconds
Light traffels with 300000 km per second == 300000*1000*100 cm per
second
So one lightyear = 31536000 * 30000000000 = 9.4608E+17
So the pile wil be high 6.65E+19 / 9.46E+17 = 7.03E+01 = 70 light years
……………
4
5. 12-‐10-‐2010
IPv6 and addressing
Dns nog steeds aanwezig/nodig voor reso.
DHCPv6 in 2 modes:
Statefull: dhcp houdt client info bij
Stateless: dhcp houdt geen client info bij
Statefull DHCPv6 = als DHCPv4
Multicast verkeer ipv. broadcast verkeer!!
IPv6 interface id and EUI-64 format
• 7 bit means burn in MAC (0) it is now set to 1
(a Configured locally address)
Stateless autoconfiguration
A host dynamically learns /64 prefix
mbv. NDP Neighbour Discovery Protocol
EUI-64 interface ID calculation
NDP vervangt arp
NDP gebruit RS en RA
Router sollicitation en Router Advertisement
Alles mbv multicast verkeer
5
6. 12-‐10-‐2010
Demo: router prefix configuration:
Netsh interface ipv6 set global randomizeidentifiers=disabled
(uitzetten standaard autoconfig gedrag) dus aanzetten EUI adres
Ip6 address Config options:
Soorten IP6 adressen
Unicast: adres aan single interface
• Global unicast (als ip4 oude publieke adressen)
• Beginnen met 2000:: /3
• Local unicast (als ip4 oude prive adressen)
• Beginnen met FD00::/8
• Link local (niet te forwarden/routeren adressen)
• Beginnen met FE80::/10
• Multicast (FF02::/8)
• 6to4 (2002::/16)
• Site local (FEC0::/16)(deprecated)
6
7. 12-‐10-‐2010
Soorten IP6 bis.
Multicast: adres aan dyn. Groep:
Anycast: servers can use the same unicast address for load
balancing purposes
IPv6 transitie opties:
Dual stack (ip4 en ip6) vb: vista
Tunneling:
• MCT Manualy configured tunnels
• Dynamicaly 6to4 tunnels
• Intra-site Automatic Tunnel Adressing protocol (ISATAP)
• Teredo tunneling
• Zie schema’s volgende sheet:
Tunneling examples:
IP6 to IP4 tunnel:
7
15. 12-‐10-‐2010
key
Message d*2B%?
(plain algorithm (cipher
text) text)
Public key & Private Key
• Elke host (node) eigen RSA-keyset
• Laagste 62 tekens van de SHA-1 hash wordt Interface Identifier
15
16. 12-‐10-‐2010
• Signature = signed CGA parameters + Nonce (randon nr)
met behulp van private key.
• Authentication, Nonrepudiation en Integrity
Situatie: node A zoekt MAC adres van node B
• NS request CGA-adres node B naar f02::1 (multicast alle IPv6 hosts)
• Node B antwoord met de CGA parameters + signature
• Node A checkt de signature met de public key van node B.
Hiermee is zeker dat de CGA parameters van node B zijn.
• Node A doet de CGA-berekening op basis van de gestuurde parameters
16
17. 12-‐10-‐2010
Direct access op basis van 6to4 tunnel en ipsec
Uitleg virtuele omgeving…….
Welke configuratie was nodig VOOR deze demo
DEMO: Direct Acces wizard UAG
http://www.sixxs.net/
http://ipv6.com/
http://technet.microsoft.com/en-us/network/bb530961.aspx
17