cira s experience in deploying ipv6
play

CIRAs experience in deploying IPv6 Canadian Internet - PowerPoint PPT Presentation

Jan 26, 2023 •154 likes •356 views

CIRAs experience in deploying IPv6 Canadian Internet Registra9on Authority (CIRA) Jacques Latour Director, Informa9on Technology Singapore, June 20, 2011

  1. CIRA’s ¡experience ¡in ¡ ¡ deploying ¡IPv6 ¡ ¡ Canadian ¡Internet ¡Registra9on ¡Authority ¡(CIRA) ¡ Jacques ¡Latour ¡ Director, ¡Informa9on ¡Technology ¡ ¡Singapore, ¡June ¡20, ¡2011 ¡ ¡ 1 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  2. IPv6 ¡ • New ¡protocol ¡(~15 ¡year ¡old) ¡ • Not ¡an ¡extension ¡of ¡IPv4 ¡ • Not ¡backward ¡compa9ble ¡ • New ¡learning ¡curve ¡ • IPv6 ¡ coexists ¡with ¡IPv4 ¡ – Not ¡a ¡transi9on ¡ – Not ¡a ¡migra9on ¡ – It’s ¡a ¡journey! ¡ 2 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  3. IPv6 ¡Adop9on ¡Strategy ¡ • IPv6 ¡Discovery ¡& ¡Research ¡ • Perform ¡an ¡IPv6 ¡Readiness ¡Assessment ¡ • Define ¡IPv6 ¡Objec9ves ¡(can’t ¡do ¡everything) ¡ • Develop ¡a ¡Project ¡Plan ¡ • Develop ¡a ¡detailed ¡IPv6 ¡Architecture ¡& ¡Design ¡ • Development, ¡tes9ng ¡and ¡pilot ¡mode ¡ • Implement ¡in ¡produc9on ¡ • Assess ¡IPv6 ¡registrar ¡accredita9on ¡tests ¡ 3 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  4. Objec9ves ¡ • Not ¡everything ¡needs ¡to ¡be ¡IPv6 ¡on ¡day ¡1 ¡ – World ¡IPv6 ¡Day, ¡June ¡8, ¡2011 ¡ • Internet ¡Perimeter ¡& ¡DMZ ¡(www.cira.ca) ¡ • IT ¡Organiza9on ¡ CIRA Secondary Registry DNS Servers Primary • Permanent ¡ IPv6 a.ca-servers.ca IPv4 • Presence ¡ WWW • Support ¡ c.ca-servers.ca Internet … . (j & sns-pb) m.ca-servers.ca Registry Backup z.ca-servers.ca IT Corporate Operations Network 4 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  5. Cri9cal ¡Path ¡ • Training ¡ ¡[ ¡√ ¡] ¡ongoing ¡ • Develop ¡an ¡IPv6 ¡security ¡policy ¡ ¡[ ¡√ ¡] ¡– ¡v1.0 ¡ • Order ¡IPv6 ¡Transit ¡[ ¡√ ¡] ¡– ¡New ¡circuits… ¡ • IPv6 ¡inside ¡Corporate ¡& ¡DMZ ¡[ ¡√ ¡] ¡ ¡ • IPv6 ¡on ¡web ¡servers ¡[ ¡√ ¡] ¡ ¡ CIRA Secondary • IPv6 ¡for ¡IT ¡Opera9ons ¡[ ¡√ ¡] ¡ ¡ Registry DNS Servers Primary IPv6 a.ca-servers.ca IPv4 WWW c.ca-servers.ca Internet … . (j & sns-pb) ¡ m.ca-servers.ca Registry Backup z.ca-servers.ca IT Corporate Operations Network 5 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  6. IPv6 ¡Internet ¡Transit ¡ • Architecture ¡guideline: ¡ – Internet ¡transit ¡providers ¡must ¡support ¡IPv4 ¡& ¡IPv6 ¡ • We ¡need ¡to ¡push ¡Canadian ¡ISPs ¡for ¡IPv6 ¡ enabled ¡transits ¡ – For ¡the ¡enterprise ¡ – If ¡not, ¡cancel/discon9nue ¡IPv4 ¡only ¡Internet ¡transit ¡ – Order ¡new ¡IPv4/IPv6 ¡Internet ¡transits ¡ 6 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  7. Architecture ¡& ¡Design ¡ • Need ¡to ¡define ¡architecture ¡guidelines ¡& ¡security ¡ policies ¡for ¡developing ¡& ¡implemen9ng ¡our ¡IPv6 ¡ solu9on ¡ • Address ¡the ¡results ¡from ¡our ¡“Readiness ¡ Assessment” ¡report ¡ – Some ¡of ¡our ¡load ¡balancers ¡do ¡not ¡support ¡IPv6 ¡ – Some ¡of ¡our ¡Internet ¡transits ¡do ¡not ¡support ¡IPv6 ¡ – Need ¡to ¡test ¡our ¡custom/in ¡house ¡applica9on ¡for ¡IPv6 ¡ compliance ¡ – Overall, ¡we’re ¡in ¡good ¡shape ¡to ¡ coexist ¡with ¡IPv6 ¡ 7 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  8. Architecture ¡Guidelines ¡ “Rules ¡of ¡engagement” ¡ • Keep ¡IPv4 ¡as-­‑is ¡ • Dual ¡Stack ¡ – All ¡systems ¡par9cipa9ng ¡in ¡the ¡IPv6 ¡implementa9on ¡ must ¡support ¡a ¡concurrent ¡IPv4 ¡and ¡IPv6 ¡stack ¡ • No ¡IPv6 ¡Tunnelling ¡ – Usage ¡of ¡IPv6 ¡tunnelling ¡mechanisms ¡such ¡as ¡ISATAP, ¡ Teredo, ¡6to4, ¡6rd ¡are ¡disabled ¡and ¡not ¡permiked ¡ • NaBve ¡IPv6 ¡Transit ¡ – IPv6 ¡transit ¡must ¡support ¡IPv6 ¡na9vely ¡without ¡the ¡ use ¡of ¡tunnelling ¡ 8 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  9. Architecture ¡Guidelines ¡ • One ¡host, ¡one ¡IP ¡ – All ¡IPv6 ¡hosts/interface ¡will ¡use ¡one ¡Global ¡address ¡ – Unique ¡Local ¡Addresses ¡(ULA) ¡must ¡not ¡be ¡used ¡ • No ¡Network ¡Address ¡TranslaBon ¡(NAT) ¡ – NAT66, ¡NAT64 ¡& ¡NAT46 ¡technologies ¡not ¡permiked ¡ • IPv6 ¡Address ¡Assignment ¡-­‑ ¡Privacy ¡ – The ¡interface ¡iden9fier ¡(64 ¡bit) ¡part ¡must ¡be ¡randomly/ manually ¡generated ¡(Manual, ¡RFC-­‑3041) ¡ – MAC ¡addresses ¡of ¡internal ¡device ¡must ¡be ¡kept ¡ confiden9al ¡ – Internet ¡accessible ¡Global ¡Addresses ¡must ¡not ¡use ¡EUI-­‑64 ¡ (MAC ¡+ ¡FFFE) ¡ 9 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  10. Architecture ¡Guidelines ¡ • IP ¡Addressing ¡Plan ¡ – Based ¡on ¡most ¡efficient ¡algorithm ¡(RFC ¡3531) ¡ – Leqmost ¡bits ¡(48, ¡49, ¡50,...) ¡are ¡assigned ¡to ¡segment ¡the ¡site ¡ – The ¡rightmost ¡bits ¡(63, ¡62, ¡61, ¡...) ¡are ¡assigned ¡to ¡number ¡the ¡ links. ¡ • IPv6 ¡Address ¡AllocaBon ¡ – DHCPv6 ¡will ¡be ¡used ¡where ¡possible ¡ – We ¡tested ¡MacOSX ¡Lion ¡"Developer ¡Preview” ¡for ¡DHCPv6 ¡OK!!! ¡ • IPv6 ¡Address ¡Lifecycle ¡(Life/Timeout) ¡ – Need ¡to ¡assess ¡impact ¡on ¡logging, ¡correla9on, ¡& ¡applica9ons ¡of ¡ having ¡temporary ¡IP ¡addresses ¡(Windows ¡7, ¡MacOSX) ¡ 10 ¡ 10 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  11. More ¡Guidelines ¡ “Can’t ¡remember ¡all ¡those ¡IPv6 ¡addresses” ¡ • DNS ¡Address ¡Mapping ¡ – All ¡sta9c ¡IPv6 ¡address ¡entry ¡must ¡have ¡AAAA ¡and ¡PTR ¡reverse ¡ mapping ¡records ¡ – Naming ¡conven9on ¡required ¡(interface ¡level) ¡ ¡ • RouBng ¡ – Na9ve ¡IPv6 ¡Peering, ¡BGPv4 ¡ – Na9ve ¡IPv6 ¡Rou9ng, ¡OSPFv3 ¡ – Router ¡redundancy, ¡HSRPv6 ¡ – OSPFv3 ¡& ¡BGPv4 ¡secure ¡rou9ng ¡adjacencies ¡using ¡filtering, ¡ passwords ¡and ¡hashes. ¡ • NetFlow ¡data ¡collecBon ¡ – Use ¡NetFlow ¡9 ¡for ¡IPv6 ¡flow ¡exports ¡ 11 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  12. Security ¡Guidelines ¡ “because ¡we ¡don’t ¡NAT ¡IPv6” ¡ • Firewall ¡ – Need ¡excellent ¡change ¡& ¡configura9on ¡management ¡processes ¡ – “No ¡NAT, ¡check ¡permit ¡ANY/ANY ¡= ¡wide ¡open ¡Internet” ¡ • Network ¡Perimeter ¡ – IPv6 ¡enabled ¡firewalls ¡ – IPv6 ¡deep ¡packet ¡inspec9on ¡IDS/IPS ¡ ¡ • Desktop, ¡Hosts ¡& ¡Device ¡Hardening ¡ – IPv6 ¡host ¡enabled ¡firewalls ¡ – IPv6 ¡HIPS ¡(host ¡based ¡IPS) ¡ • Security ¡Management ¡ – SIEM ¡alerts, ¡regular ¡review ¡of ¡logs ¡for ¡all ¡IPv6 ¡enabled ¡devices. ¡ – Log ¡& ¡monitor ¡all ¡IPv6 ¡traffic ¡Corporate ¡& ¡DMZ ¡ 12 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  13. Security ¡Policy ¡ Default ¡deny ¡ANY/ANY ¡of ¡IPv6 ¡ addresses ¡and ¡services ¡on ¡perimeter ¡devices ¡ • such ¡as ¡firewalls, ¡VPN ¡appliances ¡and ¡routers. ¡ – Log ¡all ¡denied ¡traffic ¡ ¡ Block ¡6to4, ¡ISATAP ¡(rfc5214) ¡and ¡TEREDO ¡(rfc4380) ¡and ¡other ¡ IPv6 ¡to ¡IPv4 ¡ • tunneling ¡protocols ¡on ¡perimeter ¡firewalls, ¡routers ¡and ¡VPN ¡devices ¡as ¡this ¡ can ¡bypass ¡security ¡controls. ¡ – Block ¡TEREDO ¡server ¡UDP ¡port ¡3544 ¡ – Ingress ¡and ¡egress ¡filtering ¡of ¡IPv4 ¡protocol ¡41, ¡ISATAP ¡and ¡TEREDO ¡use ¡this ¡IPv4 ¡ protocol ¡field ¡ Filter ¡internal-­‑use ¡IPv6 ¡addresses ¡at ¡border ¡routers ¡and ¡firewalls ¡to ¡prevent ¡ • the ¡all ¡nodes ¡mul9cast ¡address ¡(FF01:0:0:0:0:0:0:1, ¡FF02:0:0:0:0:0:0:1) ¡from ¡ being ¡exposed ¡to ¡the ¡Internet. ¡ Filter ¡unneeded ¡IPv6 ¡services ¡at ¡the ¡firewall ¡just ¡like ¡IPv4. ¡ • Filtering ¡inbound ¡and ¡outbound ¡RH0 ¡& ¡RH2 ¡headers ¡on ¡perimeter ¡firewalls ¡ • routers ¡and ¡VPN ¡appliances. ¡ Based ¡on ¡best ¡pracBse ¡& ¡RFC ¡RecommendaBons ¡ 13 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

Recommend

Deploying IPv6 in OpenStack Environments Shannon McFarland - CCIE #5245 Distinguished Engineer

Deploying IPv6 in OpenStack Environments Shannon McFarland - CCIE #5245 Distinguished Engineer

Deploying IPv6 in OpenStack Environments Shannon McFarland - CCIE #5245 Distinguished Engineer Cloud Platform & Services Group @eyepv6 Agenda General OpenStack + IPv6 Stuff Tenant IPv6 Address Assignment: SLAAC, Stateless

872 views • 51 slides
Deploying IPv6 in Fixed and Mobile Broadband Access Networks

Deploying IPv6 in Fixed and Mobile Broadband Access Networks

Deploying IPv6 in Fixed and Mobile Broadband Access Networks Toms Lynch Ericsson Jordi Palet Mar8nez Consulintel Ariel Weher LACNOG

1.38k views • 127 slides
IANA IPV6 Workshop A View From the Trenches (Some thoughts on IPV6 deployment in enterprise and

IANA IPV6 Workshop A View From the Trenches (Some thoughts on IPV6 deployment in enterprise and

IANA IPV6 Workshop A View From the Trenches (Some thoughts on IPV6 deployment in enterprise and ISP networks) Joel Jaeggli Nokia This talk is focused on the issues faced by network operators in deploying IPV6 Most of these observations are

548 views • 50 slides
AARNet's experience with IPv6 Glen Turner 2007-11-20 Australian 2007 IPv6 Summit aar net

AARNet's experience with IPv6 Glen Turner 2007-11-20 Australian 2007 IPv6 Summit aar net

AARNet's experience with IPv6 Glen Turner 2007-11-20 Australian 2007 IPv6 Summit aar net Australia's Academic and Research Network Motivation Universities take a long time to turn around IPv4 address exhaustion, an iceberg? Want considered

712 views • 23 slides
Telekom Malaysia Global IPv6 Summit , Taiwan 13 th December 2016 Azura Mat Salim Network

Telekom Malaysia Global IPv6 Summit , Taiwan 13 th December 2016 Azura Mat Salim Network

IPv6 Deployment in Telekom Malaysia Global IPv6 Summit , Taiwan 13 th December 2016 Azura Mat Salim Network Architecture & Technology Planning Telekom Malaysia Agenda o About TM o The Journey o The Importance of Deploying IPv6 o General

461 views • 13 slides
Experience of deploying BoD service BoD is more than a provisioning service, it is a

Experience of deploying BoD service BoD is more than a provisioning service, it is a

Experience of deploying BoD service BoD is more than a provisioning service, it is a distributed service requiring topology, authentication and monitoring infrastructures. GANT is a diverse consortium: ~30 NRENs, so while NRENs are

258 views • 3 slides
IPv6 in FREEnet. Experience of Deployment D.I. Sidelnikov <Sid@free.net> 19.11.2004

IPv6 in FREEnet. Experience of Deployment D.I. Sidelnikov <Sid@free.net> 19.11.2004

IPv6 FREEnet IPv6 in FREEnet. Experience of Deployment D.I. Sidelnikov <Sid@free.net> 19.11.2004 FREEnet NOC 1 PDF created with pdfFactory Pro trial version www.pdffactory.com Topics Topics Achievements of IPv6

552 views • 17 slides
IPv6 IPv6 Header IPv6 Addressing IPv6 Neighbor Discovery Jyh-Cheng Chen Department of Computer

IPv6 IPv6 Header IPv6 Addressing IPv6 Neighbor Discovery Jyh-Cheng Chen Department of Computer

Outline IPv6 IPv6 Header IPv6 Addressing IPv6 Neighbor Discovery Jyh-Cheng Chen Department of Computer Science and IPv6 Autoconfiguration Institute of Communications Engineering National Tsing Hua University jcchen@cs.nthu.edu.tw

783 views • 11 slides
The iLab Experience a blended learning hands-on course concept you set the focus WWW Security

The iLab Experience a blended learning hands-on course concept you set the focus WWW Security

The iLab Experience a blended learning hands-on course concept you set the focus WWW Security IPv6 - part 2: Discussion & Feedback May 10, 2016 12.4. Kick Off, Mini Labs, IPv6 - part I 1 2-3 mini labs 19.4. IPv6 IPv6 - part II, Mini

316 views • 27 slides
transactions Secure digital experience customer Frictionless A Global Vision: deploying in

transactions Secure digital experience customer Frictionless A Global Vision: deploying in

2014: 40+ markets New revenue transactions Secure digital experience customer Frictionless A Global Vision: deploying in GSMA launched GSMA 70+ Operators 2019 mobile ID services new tech for commercial Identity+: Pioneering 2020:

185 views • 5 slides
Internet Evolution and IPv6 Paul Wilson APNIC 1 Where are IPv6 addresses today? 2 IPv6

Internet Evolution and IPv6 Paul Wilson APNIC 1 Where are IPv6 addresses today? 2 IPv6

Internet Evolution and IPv6 Paul Wilson APNIC 1 Where are IPv6 addresses today? 2 IPv6 Global allocations by RIR APNIC 337 21% RIPENCC 737 45% ARIN 438 LACNIC AFRINIC 27% 87 37 5% 2% Unit: IPv6 pref i x 3 IPv6

603 views • 24 slides
IPv6 Ready Logo Aiding IPv6 Deployment Timothy Winters LACNIC 27 May 2017 IPv6 Forums IPv6

IPv6 Ready Logo Aiding IPv6 Deployment Timothy Winters LACNIC 27 May 2017 IPv6 Forums IPv6

IPv6 Ready Logo Aiding IPv6 Deployment Timothy Winters LACNIC 27 May 2017 IPv6 Forums IPv6 Ready Logo Goal 2001-Present: Conformance and Interoperability test program intended to increase user confidence and promote IPv6 deployment.

403 views • 11 slides
Deploying effective strategies in tackling VAT fraud Portugals experience Second Global Forum

Deploying effective strategies in tackling VAT fraud Portugals experience Second Global Forum

Deploying effective strategies in tackling VAT fraud Portugals experience Second Global Forum on VAT Tokyo 18 th of April, 2014 European context European efforts to fight tax fraud and evasion Study on alternative methods for improving

252 views • 10 slides
The iLab Experience a blended learning hands-on course concept you set the focus Do It Yourself

The iLab Experience a blended learning hands-on course concept you set the focus Do It Yourself

The iLab Experience a blended learning hands-on course concept you set the focus Do It Yourself - Hardware YE - Topic Outline May 29, 2018 10.4. Kick Off, IPv6 1 IPv6 BGP 17.4. 2 Minilab 1 2 mini labs Advanced Wireless Playground BGP

1.64k views • 125 slides
IPv6 Deployment at Monash University John Mann Agenda IPv6 is Coming IPv6 is Already

IPv6 Deployment at Monash University John Mann Agenda IPv6 is Coming IPv6 is Already

IPv6 Deployment at Monash University John Mann Agenda IPv6 is Coming IPv6 is Already Here Monash IPv6 Progress Addressing End Systems Monitoring Network Address Usage Traffic Monitoring Problems IPv6 is Coming

779 views • 41 slides
The iLab Experience a blended learning hands-on course concept you set the focus Your Exercise

The iLab Experience a blended learning hands-on course concept you set the focus Your Exercise

The iLab Experience a blended learning hands-on course concept you set the focus Your Exercise Topic Madness the topic voting round May 23, 2017 25.4. Kick Off, Mini Labs, IPv6 - part I 1 2-3 mini labs IPv6 2.5. IPv6 - part II,

940 views • 48 slides
Life with IPv6 Journe Cohabitation IPv4-IPv6 16 Fvrier 2005 Keiichi SHIMA

Life with IPv6 Journe Cohabitation IPv4-IPv6 16 Fvrier 2005 Keiichi SHIMA

Life with IPv6 Journe Cohabitation IPv4-IPv6 16 Fvrier 2005 Keiichi SHIMA <keiichi@iijlab.net> IIJ Research Laboratory / WIDE project Contents IPv6 service in Japan How I live Example of IPv6 configuration Some news of IPv6

653 views • 16 slides
CIRA/ Colorado State University & * NOAA/NESDIS/STAR Asia- Oceania Meteorological Satellite

CIRA/ Colorado State University & * NOAA/NESDIS/STAR Asia- Oceania Meteorological Satellite

CIRA/ Colorado State University & * NOAA/NESDIS/STAR Asia- Oceania Meteorological Satellite Users Conference (AOMSUC -10), Melbourne, Australia 2-6 December 2019 1 CIRAs SLIDER Website 22 June 2017: CIRA launched SLIDER to the public

414 views • 18 slides
The iLab Experience a blended learning hands-on course concept Internet of Things you set the

The iLab Experience a blended learning hands-on course concept Internet of Things you set the

The iLab Experience a blended learning hands-on course concept Internet of Things you set the focus Cyber-Physical Systems Pervasive Computing Intro & Hardware May 28, 2019 Marc-Oliver Pahl Kick Off 04/23 1 IPv6 IPv6 04/30 BGP 2

1.62k views • 90 slides
The iLab Experience a blended learning hands-on course concept you set the focus WWW Security /

The iLab Experience a blended learning hands-on course concept you set the focus WWW Security /

The iLab Experience a blended learning hands-on course concept you set the focus WWW Security / Your Exercise Topic Pitch 2018-05-8 10.4. Kick Off, IPv6 1 IPv6 BGP 17.4. 2 Minilab 1 2 mini labs Advanced Wireless Playground BGP 24.4.

646 views • 40 slides
Introduction to IPv6 (Chapter 4 in Huitema) IPv6,Mobility-1 S-38.121 / S-03 / N Beijar IPv6

Introduction to IPv6 (Chapter 4 in Huitema) IPv6,Mobility-1 S-38.121 / S-03 / N Beijar IPv6

Introduction to IPv6 (Chapter 4 in Huitema) IPv6,Mobility-1 S-38.121 / S-03 / N Beijar IPv6 addresses 128 bits long Written as eight 16-bit integers separated with colons E.g. 1080:0000:0000:0000:0000:0008:200C:417A =

617 views • 20 slides
IPv6 Deployment WG in IPv6 Promotion Council and its Deployment Guideline 2005.2.23 IPv6

IPv6 Deployment WG in IPv6 Promotion Council and its Deployment Guideline 2005.2.23 IPv6

IPv6 Deployment WG in IPv6 Promotion Council and its Deployment Guideline 2005.2.23 IPv6 Deployment WG Chair Takashi Arano (Intec NetCore, Inc.) IPv6 Deployment Guideline solves barriers for deployment I cant see IPv6s

319 views • 7 slides
The iLab Experience a blended learning hands-on course concept you set the focus Your Topics

The iLab Experience a blended learning hands-on course concept you set the focus Your Topics

The iLab Experience a blended learning hands-on course concept you set the focus Your Topics Structure 2019-05-14 Kick Off 04/23 1 IPv6 IPv6 04/30 BGP 2 Minilab 1+2+3 05/07 BGP 3 Your Exercise Topic Storm (IoT) 05/14 Minis

1.24k views • 103 slides
Moving fast at scale Experience deploying IETF QUIC at Facebook Subodh Iyengar Luca Niccolini

Moving fast at scale Experience deploying IETF QUIC at Facebook Subodh Iyengar Luca Niccolini

Moving fast at scale Experience deploying IETF QUIC at Facebook Subodh Iyengar Luca Niccolini Overview FB Infra and QUIC deployment Infrastructure parity between TCP and QUIC Results Future and current work Anatomy of our load

696 views • 37 slides

More recommend