cira s experience in deploying ipv6
play

CIRAs experience in deploying IPv6 Canadian Internet - PowerPoint PPT Presentation

Jan 26, 2023 •154 likes •356 views

CIRAs experience in deploying IPv6 Canadian Internet Registra9on Authority (CIRA) Jacques Latour Director, Informa9on Technology Singapore, June 20, 2011

  1. CIRA’s ¡experience ¡in ¡ ¡ deploying ¡IPv6 ¡ ¡ Canadian ¡Internet ¡Registra9on ¡Authority ¡(CIRA) ¡ Jacques ¡Latour ¡ Director, ¡Informa9on ¡Technology ¡ ¡Singapore, ¡June ¡20, ¡2011 ¡ ¡ 1 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  2. IPv6 ¡ • New ¡protocol ¡(~15 ¡year ¡old) ¡ • Not ¡an ¡extension ¡of ¡IPv4 ¡ • Not ¡backward ¡compa9ble ¡ • New ¡learning ¡curve ¡ • IPv6 ¡ coexists ¡with ¡IPv4 ¡ – Not ¡a ¡transi9on ¡ – Not ¡a ¡migra9on ¡ – It’s ¡a ¡journey! ¡ 2 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  3. IPv6 ¡Adop9on ¡Strategy ¡ • IPv6 ¡Discovery ¡& ¡Research ¡ • Perform ¡an ¡IPv6 ¡Readiness ¡Assessment ¡ • Define ¡IPv6 ¡Objec9ves ¡(can’t ¡do ¡everything) ¡ • Develop ¡a ¡Project ¡Plan ¡ • Develop ¡a ¡detailed ¡IPv6 ¡Architecture ¡& ¡Design ¡ • Development, ¡tes9ng ¡and ¡pilot ¡mode ¡ • Implement ¡in ¡produc9on ¡ • Assess ¡IPv6 ¡registrar ¡accredita9on ¡tests ¡ 3 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  4. Objec9ves ¡ • Not ¡everything ¡needs ¡to ¡be ¡IPv6 ¡on ¡day ¡1 ¡ – World ¡IPv6 ¡Day, ¡June ¡8, ¡2011 ¡ • Internet ¡Perimeter ¡& ¡DMZ ¡(www.cira.ca) ¡ • IT ¡Organiza9on ¡ CIRA Secondary Registry DNS Servers Primary • Permanent ¡ IPv6 a.ca-servers.ca IPv4 • Presence ¡ WWW • Support ¡ c.ca-servers.ca Internet … . (j & sns-pb) m.ca-servers.ca Registry Backup z.ca-servers.ca IT Corporate Operations Network 4 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  5. Cri9cal ¡Path ¡ • Training ¡ ¡[ ¡√ ¡] ¡ongoing ¡ • Develop ¡an ¡IPv6 ¡security ¡policy ¡ ¡[ ¡√ ¡] ¡– ¡v1.0 ¡ • Order ¡IPv6 ¡Transit ¡[ ¡√ ¡] ¡– ¡New ¡circuits… ¡ • IPv6 ¡inside ¡Corporate ¡& ¡DMZ ¡[ ¡√ ¡] ¡ ¡ • IPv6 ¡on ¡web ¡servers ¡[ ¡√ ¡] ¡ ¡ CIRA Secondary • IPv6 ¡for ¡IT ¡Opera9ons ¡[ ¡√ ¡] ¡ ¡ Registry DNS Servers Primary IPv6 a.ca-servers.ca IPv4 WWW c.ca-servers.ca Internet … . (j & sns-pb) ¡ m.ca-servers.ca Registry Backup z.ca-servers.ca IT Corporate Operations Network 5 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  6. IPv6 ¡Internet ¡Transit ¡ • Architecture ¡guideline: ¡ – Internet ¡transit ¡providers ¡must ¡support ¡IPv4 ¡& ¡IPv6 ¡ • We ¡need ¡to ¡push ¡Canadian ¡ISPs ¡for ¡IPv6 ¡ enabled ¡transits ¡ – For ¡the ¡enterprise ¡ – If ¡not, ¡cancel/discon9nue ¡IPv4 ¡only ¡Internet ¡transit ¡ – Order ¡new ¡IPv4/IPv6 ¡Internet ¡transits ¡ 6 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  7. Architecture ¡& ¡Design ¡ • Need ¡to ¡define ¡architecture ¡guidelines ¡& ¡security ¡ policies ¡for ¡developing ¡& ¡implemen9ng ¡our ¡IPv6 ¡ solu9on ¡ • Address ¡the ¡results ¡from ¡our ¡“Readiness ¡ Assessment” ¡report ¡ – Some ¡of ¡our ¡load ¡balancers ¡do ¡not ¡support ¡IPv6 ¡ – Some ¡of ¡our ¡Internet ¡transits ¡do ¡not ¡support ¡IPv6 ¡ – Need ¡to ¡test ¡our ¡custom/in ¡house ¡applica9on ¡for ¡IPv6 ¡ compliance ¡ – Overall, ¡we’re ¡in ¡good ¡shape ¡to ¡ coexist ¡with ¡IPv6 ¡ 7 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  8. Architecture ¡Guidelines ¡ “Rules ¡of ¡engagement” ¡ • Keep ¡IPv4 ¡as-­‑is ¡ • Dual ¡Stack ¡ – All ¡systems ¡par9cipa9ng ¡in ¡the ¡IPv6 ¡implementa9on ¡ must ¡support ¡a ¡concurrent ¡IPv4 ¡and ¡IPv6 ¡stack ¡ • No ¡IPv6 ¡Tunnelling ¡ – Usage ¡of ¡IPv6 ¡tunnelling ¡mechanisms ¡such ¡as ¡ISATAP, ¡ Teredo, ¡6to4, ¡6rd ¡are ¡disabled ¡and ¡not ¡permiked ¡ • NaBve ¡IPv6 ¡Transit ¡ – IPv6 ¡transit ¡must ¡support ¡IPv6 ¡na9vely ¡without ¡the ¡ use ¡of ¡tunnelling ¡ 8 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  9. Architecture ¡Guidelines ¡ • One ¡host, ¡one ¡IP ¡ – All ¡IPv6 ¡hosts/interface ¡will ¡use ¡one ¡Global ¡address ¡ – Unique ¡Local ¡Addresses ¡(ULA) ¡must ¡not ¡be ¡used ¡ • No ¡Network ¡Address ¡TranslaBon ¡(NAT) ¡ – NAT66, ¡NAT64 ¡& ¡NAT46 ¡technologies ¡not ¡permiked ¡ • IPv6 ¡Address ¡Assignment ¡-­‑ ¡Privacy ¡ – The ¡interface ¡iden9fier ¡(64 ¡bit) ¡part ¡must ¡be ¡randomly/ manually ¡generated ¡(Manual, ¡RFC-­‑3041) ¡ – MAC ¡addresses ¡of ¡internal ¡device ¡must ¡be ¡kept ¡ confiden9al ¡ – Internet ¡accessible ¡Global ¡Addresses ¡must ¡not ¡use ¡EUI-­‑64 ¡ (MAC ¡+ ¡FFFE) ¡ 9 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  10. Architecture ¡Guidelines ¡ • IP ¡Addressing ¡Plan ¡ – Based ¡on ¡most ¡efficient ¡algorithm ¡(RFC ¡3531) ¡ – Leqmost ¡bits ¡(48, ¡49, ¡50,...) ¡are ¡assigned ¡to ¡segment ¡the ¡site ¡ – The ¡rightmost ¡bits ¡(63, ¡62, ¡61, ¡...) ¡are ¡assigned ¡to ¡number ¡the ¡ links. ¡ • IPv6 ¡Address ¡AllocaBon ¡ – DHCPv6 ¡will ¡be ¡used ¡where ¡possible ¡ – We ¡tested ¡MacOSX ¡Lion ¡"Developer ¡Preview” ¡for ¡DHCPv6 ¡OK!!! ¡ • IPv6 ¡Address ¡Lifecycle ¡(Life/Timeout) ¡ – Need ¡to ¡assess ¡impact ¡on ¡logging, ¡correla9on, ¡& ¡applica9ons ¡of ¡ having ¡temporary ¡IP ¡addresses ¡(Windows ¡7, ¡MacOSX) ¡ 10 ¡ 10 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  11. More ¡Guidelines ¡ “Can’t ¡remember ¡all ¡those ¡IPv6 ¡addresses” ¡ • DNS ¡Address ¡Mapping ¡ – All ¡sta9c ¡IPv6 ¡address ¡entry ¡must ¡have ¡AAAA ¡and ¡PTR ¡reverse ¡ mapping ¡records ¡ – Naming ¡conven9on ¡required ¡(interface ¡level) ¡ ¡ • RouBng ¡ – Na9ve ¡IPv6 ¡Peering, ¡BGPv4 ¡ – Na9ve ¡IPv6 ¡Rou9ng, ¡OSPFv3 ¡ – Router ¡redundancy, ¡HSRPv6 ¡ – OSPFv3 ¡& ¡BGPv4 ¡secure ¡rou9ng ¡adjacencies ¡using ¡filtering, ¡ passwords ¡and ¡hashes. ¡ • NetFlow ¡data ¡collecBon ¡ – Use ¡NetFlow ¡9 ¡for ¡IPv6 ¡flow ¡exports ¡ 11 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  12. Security ¡Guidelines ¡ “because ¡we ¡don’t ¡NAT ¡IPv6” ¡ • Firewall ¡ – Need ¡excellent ¡change ¡& ¡configura9on ¡management ¡processes ¡ – “No ¡NAT, ¡check ¡permit ¡ANY/ANY ¡= ¡wide ¡open ¡Internet” ¡ • Network ¡Perimeter ¡ – IPv6 ¡enabled ¡firewalls ¡ – IPv6 ¡deep ¡packet ¡inspec9on ¡IDS/IPS ¡ ¡ • Desktop, ¡Hosts ¡& ¡Device ¡Hardening ¡ – IPv6 ¡host ¡enabled ¡firewalls ¡ – IPv6 ¡HIPS ¡(host ¡based ¡IPS) ¡ • Security ¡Management ¡ – SIEM ¡alerts, ¡regular ¡review ¡of ¡logs ¡for ¡all ¡IPv6 ¡enabled ¡devices. ¡ – Log ¡& ¡monitor ¡all ¡IPv6 ¡traffic ¡Corporate ¡& ¡DMZ ¡ 12 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

  13. Security ¡Policy ¡ Default ¡deny ¡ANY/ANY ¡of ¡IPv6 ¡ addresses ¡and ¡services ¡on ¡perimeter ¡devices ¡ • such ¡as ¡firewalls, ¡VPN ¡appliances ¡and ¡routers. ¡ – Log ¡all ¡denied ¡traffic ¡ ¡ Block ¡6to4, ¡ISATAP ¡(rfc5214) ¡and ¡TEREDO ¡(rfc4380) ¡and ¡other ¡ IPv6 ¡to ¡IPv4 ¡ • tunneling ¡protocols ¡on ¡perimeter ¡firewalls, ¡routers ¡and ¡VPN ¡devices ¡as ¡this ¡ can ¡bypass ¡security ¡controls. ¡ – Block ¡TEREDO ¡server ¡UDP ¡port ¡3544 ¡ – Ingress ¡and ¡egress ¡filtering ¡of ¡IPv4 ¡protocol ¡41, ¡ISATAP ¡and ¡TEREDO ¡use ¡this ¡IPv4 ¡ protocol ¡field ¡ Filter ¡internal-­‑use ¡IPv6 ¡addresses ¡at ¡border ¡routers ¡and ¡firewalls ¡to ¡prevent ¡ • the ¡all ¡nodes ¡mul9cast ¡address ¡(FF01:0:0:0:0:0:0:1, ¡FF02:0:0:0:0:0:0:1) ¡from ¡ being ¡exposed ¡to ¡the ¡Internet. ¡ Filter ¡unneeded ¡IPv6 ¡services ¡at ¡the ¡firewall ¡just ¡like ¡IPv4. ¡ • Filtering ¡inbound ¡and ¡outbound ¡RH0 ¡& ¡RH2 ¡headers ¡on ¡perimeter ¡firewalls ¡ • routers ¡and ¡VPN ¡appliances. ¡ Based ¡on ¡best ¡pracBse ¡& ¡RFC ¡RecommendaBons ¡ 13 ¡ ICANN ¡-­‑ ¡Singapore ¡2011 ¡

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Deploying IPv6 in OpenStack Environments Shannon McFarland - CCIE #5245 Distinguished Engineer

Deploying IPv6 in OpenStack Environments Shannon McFarland - CCIE #5245 Distinguished Engineer

Deploying IPv6 in OpenStack Environments Shannon McFarland - CCIE #5245 Distinguished Engineer Cloud Platform & Services Group @eyepv6 Agenda General OpenStack + IPv6 Stuff Tenant IPv6 Address Assignment: SLAAC, Stateless

872 views • 51 slides
Deploying IPv6 in Fixed and Mobile Broadband Access Networks

Deploying IPv6 in Fixed and Mobile Broadband Access Networks

Deploying IPv6 in Fixed and Mobile Broadband Access Networks Toms Lynch Ericsson Jordi Palet Mar8nez Consulintel Ariel Weher LACNOG

1.38k views • 127 slides
IANA IPV6 Workshop A View From the Trenches (Some thoughts on IPV6 deployment in enterprise and

IANA IPV6 Workshop A View From the Trenches (Some thoughts on IPV6 deployment in enterprise and

IANA IPV6 Workshop A View From the Trenches (Some thoughts on IPV6 deployment in enterprise and ISP networks) Joel Jaeggli Nokia This talk is focused on the issues faced by network operators in deploying IPV6 Most of these observations are

548 views • 50 slides
AARNet's experience with IPv6 Glen Turner 2007-11-20 Australian 2007 IPv6 Summit aar net

AARNet's experience with IPv6 Glen Turner 2007-11-20 Australian 2007 IPv6 Summit aar net

AARNet's experience with IPv6 Glen Turner 2007-11-20 Australian 2007 IPv6 Summit aar net Australia's Academic and Research Network Motivation Universities take a long time to turn around IPv4 address exhaustion, an iceberg? Want considered

712 views • 23 slides
Telekom Malaysia Global IPv6 Summit , Taiwan 13 th December 2016 Azura Mat Salim Network

Telekom Malaysia Global IPv6 Summit , Taiwan 13 th December 2016 Azura Mat Salim Network

IPv6 Deployment in Telekom Malaysia Global IPv6 Summit , Taiwan 13 th December 2016 Azura Mat Salim Network Architecture & Technology Planning Telekom Malaysia Agenda o About TM o The Journey o The Importance of Deploying IPv6 o General

461 views • 13 slides
Experience of deploying BoD service BoD is more than a provisioning service, it is a

Experience of deploying BoD service BoD is more than a provisioning service, it is a

Experience of deploying BoD service BoD is more than a provisioning service, it is a distributed service requiring topology, authentication and monitoring infrastructures. GANT is a diverse consortium: ~30 NRENs, so while NRENs are

258 views • 3 slides
IPv6 in FREEnet. Experience of Deployment D.I. Sidelnikov <Sid@free.net> 19.11.2004

IPv6 in FREEnet. Experience of Deployment D.I. Sidelnikov <Sid@free.net> 19.11.2004

IPv6 FREEnet IPv6 in FREEnet. Experience of Deployment D.I. Sidelnikov <Sid@free.net> 19.11.2004 FREEnet NOC 1 PDF created with pdfFactory Pro trial version www.pdffactory.com Topics Topics Achievements of IPv6

552 views • 17 slides
IPv6 IPv6 Header IPv6 Addressing IPv6 Neighbor Discovery Jyh-Cheng Chen Department of Computer

IPv6 IPv6 Header IPv6 Addressing IPv6 Neighbor Discovery Jyh-Cheng Chen Department of Computer

Outline IPv6 IPv6 Header IPv6 Addressing IPv6 Neighbor Discovery Jyh-Cheng Chen Department of Computer Science and IPv6 Autoconfiguration Institute of Communications Engineering National Tsing Hua University jcchen@cs.nthu.edu.tw

783 views • 11 slides
The iLab Experience a blended learning hands-on course concept you set the focus WWW Security

The iLab Experience a blended learning hands-on course concept you set the focus WWW Security

The iLab Experience a blended learning hands-on course concept you set the focus WWW Security IPv6 - part 2: Discussion & Feedback May 10, 2016 12.4. Kick Off, Mini Labs, IPv6 - part I 1 2-3 mini labs 19.4. IPv6 IPv6 - part II, Mini

316 views • 27 slides
transactions Secure digital experience customer Frictionless A Global Vision: deploying in

transactions Secure digital experience customer Frictionless A Global Vision: deploying in

2014: 40+ markets New revenue transactions Secure digital experience customer Frictionless A Global Vision: deploying in GSMA launched GSMA 70+ Operators 2019 mobile ID services new tech for commercial Identity+: Pioneering 2020:

185 views • 5 slides
Internet Evolution and IPv6 Paul Wilson APNIC 1 Where are IPv6 addresses today? 2 IPv6

Internet Evolution and IPv6 Paul Wilson APNIC 1 Where are IPv6 addresses today? 2 IPv6

Internet Evolution and IPv6 Paul Wilson APNIC 1 Where are IPv6 addresses today? 2 IPv6 Global allocations by RIR APNIC 337 21% RIPENCC 737 45% ARIN 438 LACNIC AFRINIC 27% 87 37 5% 2% Unit: IPv6 pref i x 3 IPv6

603 views • 24 slides
IPv6 Ready Logo Aiding IPv6 Deployment Timothy Winters LACNIC 27 May 2017 IPv6 Forums IPv6

IPv6 Ready Logo Aiding IPv6 Deployment Timothy Winters LACNIC 27 May 2017 IPv6 Forums IPv6

IPv6 Ready Logo Aiding IPv6 Deployment Timothy Winters LACNIC 27 May 2017 IPv6 Forums IPv6 Ready Logo Goal 2001-Present: Conformance and Interoperability test program intended to increase user confidence and promote IPv6 deployment.

403 views • 11 slides
Deploying effective strategies in tackling VAT fraud Portugals experience Second Global Forum

Deploying effective strategies in tackling VAT fraud Portugals experience Second Global Forum

Deploying effective strategies in tackling VAT fraud Portugals experience Second Global Forum on VAT Tokyo 18 th of April, 2014 European context European efforts to fight tax fraud and evasion Study on alternative methods for improving

252 views • 10 slides
The iLab Experience a blended learning hands-on course concept you set the focus Do It Yourself

The iLab Experience a blended learning hands-on course concept you set the focus Do It Yourself

The iLab Experience a blended learning hands-on course concept you set the focus Do It Yourself - Hardware YE - Topic Outline May 29, 2018 10.4. Kick Off, IPv6 1 IPv6 BGP 17.4. 2 Minilab 1 2 mini labs Advanced Wireless Playground BGP

1.64k views • 125 slides
IPv6 Deployment at Monash University John Mann Agenda IPv6 is Coming IPv6 is Already

IPv6 Deployment at Monash University John Mann Agenda IPv6 is Coming IPv6 is Already

IPv6 Deployment at Monash University John Mann Agenda IPv6 is Coming IPv6 is Already Here Monash IPv6 Progress Addressing End Systems Monitoring Network Address Usage Traffic Monitoring Problems IPv6 is Coming

779 views • 41 slides
The iLab Experience a blended learning hands-on course concept you set the focus Your Exercise

The iLab Experience a blended learning hands-on course concept you set the focus Your Exercise

The iLab Experience a blended learning hands-on course concept you set the focus Your Exercise Topic Madness the topic voting round May 23, 2017 25.4. Kick Off, Mini Labs, IPv6 - part I 1 2-3 mini labs IPv6 2.5. IPv6 - part II,

940 views • 48 slides
Ko Koh Br h Brot others hers Eco Eco Eng Engine ineerin ering g Li Limit mited ed

Ko Koh Br h Brot others hers Eco Eco Eng Engine ineerin ering g Li Limit mited ed

Ko Koh Br h Brot others hers Eco Eco Eng Engine ineerin ering g Li Limit mited ed Annual General Meeting 17 April 2019 Busine Business ss Ov Over erview view 1 Business Strategies 2 Financial Highlights 3 Disclaimer

212 views • 17 slides
2017 half-year results presentation 16 th August 2017 Forward-looking statements This

2017 half-year results presentation 16 th August 2017 Forward-looking statements This

2017 half-year results presentation 16 th August 2017 Forward-looking statements This presentation may include certain forward-looking statements, beliefs or opinions, including statements with respect to Balfour Beatty plcs business, financial

634 views • 40 slides
Imaging Dr Benoit Jones MEng EngD CEng MICE Managing Director, Inbye Engineering What is SMUTI?

Imaging Dr Benoit Jones MEng EngD CEng MICE Managing Director, Inbye Engineering What is SMUTI?

Strength Monitoring Using Thermal Imaging Dr Benoit Jones MEng EngD CEng MICE Managing Director, Inbye Engineering What is SMUTI? SMUTI = Strength Monitoring Using Thermal Imaging SMUTI is revolutionary. The strength of the whole shotcrete

282 views • 15 slides
Industry Briefing | 29 November 2016 Agenda Project Overview Target Programme

Industry Briefing | 29 November 2016 Agenda Project Overview Target Programme

Industry Briefing | 29 November 2016 Agenda Project Overview Target Programme Designation and resource consent conditions Ground investigations Mana Whenua Design Status Tunnels Stations

938 views • 83 slides
Welcome to the Online Consultation Western Alignment & Vehicle Maintenance & Storage

Welcome to the Online Consultation Western Alignment & Vehicle Maintenance & Storage

Welcome to the Online Consultation Western Alignment & Vehicle Maintenance & Storage Facility Update Please review the presentation and complete the survey by July 10, 2012. Western Alignment & Future Vehicle Maintenance and

357 views • 33 slides
ENGINEERING SERVICES FOR THE OIL & GAS INDUSTRY BACKGROUND General Overview:

ENGINEERING SERVICES FOR THE OIL & GAS INDUSTRY BACKGROUND General Overview:

ENGINEERING SERVICES FOR THE OIL & GAS INDUSTRY BACKGROUND General Overview: Omega-wgo is a Germany based international plant and pipeline engineering company with decades of experience in the oil &

775 views • 54 slides
Heathrow financing Debt financing for tax avoidance 1 John Busby Limited BAA plc takeover

Heathrow financing Debt financing for tax avoidance 1 John Busby Limited BAA plc takeover

Heathrow financing Debt financing for tax avoidance 1 John Busby Limited BAA plc takeover British Airports Authority privatised as BAA plc in 1987 It owned Heathrow, Gatwick, Stansted, Glasgow, Aberdeen and Southampton airports

554 views • 29 slides
KENSINGTON COMMUNITY REFERENCE GROUP MEETING 8 3 DECEMBER 2019 INTAKE SUBSTATION DEVELOPMENT

KENSINGTON COMMUNITY REFERENCE GROUP MEETING 8 3 DECEMBER 2019 INTAKE SUBSTATION DEVELOPMENT

KENSINGTON COMMUNITY REFERENCE GROUP MEETING 8 3 DECEMBER 2019 INTAKE SUBSTATION DEVELOPMENT PLAN INTAKE SUBSTATION An essential piece of infrastructure that will provide power to the Metro Tunnels rail tunnels and stations Will

377 views • 33 slides

More recommend