IPV6 IN DE REALITEIT
Stijn Willems

Promotoren Dhr. A. Geraerts Dhr. J. Cleuren

Cegeka XIOS Hogeschool Limburg

Bachelorproef academiejaar 2010-2011

2

IPV6 IN DE REALITEIT
Stijn Willems

Promotoren Dhr. A. Geraerts Dhr. J. Cleuren

Cegeka XIOS Hogeschool Limburg

Systemen & Netwerken Bachelorproef academiejaar 2010-2011

XIOS Hogeschool Limburg Universitaire Campus – Gebouw H – 3590 Diepenbeek Cegeka Universiteitslaan 9 – 3500 Hasselt

4

Dankbetuiging

Deze scriptie is het eindstadium van mijn professionele bacheloropleiding Toegepaste Informatica aan de XIOS Hogeschool Limburg. Om mijn kennis en vaardigheden in praktijk om te zetten, heeft Cegeka mij de kans gegeven een boeiend stageproject uit te werken.

Verschillende mensen hebben hun steentje bijgedragen aan dit eindwerk. Graag zou ik deze mensen willen bedanken voor hun steun en kennis die ze mij hebben toevertrouwd.

In de eerste plaats zou ik graag mijn bedrijfspromotor, Andy Geraerts, willen bedanken voor de tijd die hij voor mij heeft vrijgemaakt. Zijn begeleiding en steun hebben mij veel bijgebracht. Verder zou ik graag mijn stagepromotor, Johan Cleuren, willen bedanken voor de steun en het vertrouwen tijdens de realisatie van deze scriptie. Graag richt ik ook een dankwoordje aan alle werknemers van de afdeling Network & Security voor de aangename werksfeer.

Mijn bijzondere dank gaat uit naar mijn ouders. Zij hebben mij de kans gegeven om deze opleiding te volgen en hebben mij geholpen om dit punt in mijn leven met succes te bereiken. Zij zijn een van de grootste drijfveren achter het slagen van deze scriptie.

Graag zou ik nog een laatste dankwoord richten aan mijn vrienden en lectoren voor de aangename en zeer leerrijke jaren. Ook zij stonden steeds klaar om mij bij te staan met raad en daad.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

5

Inhoudstafel

1. 2. 3.

Abstract ........................................................................................... 7 Lijst van de gebruikte afkortingen ......................................................... 8 Situatieschets .................................................................................. 11 3.1. 3.2. Over Cegeka ............................................................................... 11 Motivatie ................................................................................... 12

4.

Technologieën ................................................................................. 13 4.1. 4.2. 4.3. 4.4. 4.5. 4.6. 4.7. VRF .......................................................................................... 13 SOCKS-proxy ............................................................................... 14 VLAN ........................................................................................ 16 Site-to-site VPN ........................................................................... 18 SSL VPN ................................................................................... 19 OSPF ......................................................................................... 20 WLAN ........................................................................................ 23

5.

Onderzoeksprobleem ......................................................................... 24 5.1. 5.2. Probleemstelling .......................................................................... 24 Doelstelling ................................................................................ 25

6. 7.

Analyse .......................................................................................... 26 Serveromgeving ................................................................................ 27 7.1. Firmware upgrade ........................................................................ 27 7.1.1. Inleiding ............................................................................... 27 7.1.2. Switch upgrade ...................................................................... 27 7.2. IP versie 6 .................................................................................. 28 7.2.1. Inleiding ............................................................................... 28 7.2.2. IPv4 vs. IPv6 .......................................................................... 29 7.2.3. Migratie IPv6 ......................................................................... 35 7.3. Firewall ..................................................................................... 37 7.3.1. Inleiding ............................................................................... 37 7.3.2. Types en soorten .................................................................... 38 7.3.3. Distributies ........................................................................... 39 7.4. Virtualisatie ................................................................................ 42 7.4.1. Inleiding ............................................................................... 42 7.4.2. Hypervisor types ..................................................................... 43 7.4.3. Voordelen ............................................................................. 44 7.4.4. Nadelen ............................................................................... 44 7.4.5. Virtualisatiesoftware ............................................................... 45

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

6

7.5. Loadbalancing .................................................................................. 49 7.5.1. 7.5.2. 7.5.3. 7.5.4. 8. Webserver ............................................................................ 49 Loadbalancer ......................................................................... 49 Manieren van loadbalancing ....................................................... 50 Opstelling loadbalancer ............................................................ 51

Resultaten ....................................................................................... 52 8.1. 8.2. Migratieondersteuning ................................................................... 52 Testresultaten ............................................................................. 52

9.

Algemeen besluit .............................................................................. 55

10. Bijlagen .......................................................................................... 56 11. Lijst van figuren ............................................................................... 60 12. Lijst van tabellen .............................................................................. 61 13. Literatuuropgave en referenties ........................................................... 62

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

7

1. Abstract
Titel: IPV6, HET NIEUWE INTERNET PROTOCOL, KLAAR VOOR DE TOEKOMST? Door: Stijn Willems Promotoren: Dhr. Andy Geraerts Dhr. Johan Cleuren

Cegeka XIOS Hogeschool Limburg

Omdat er steeds meer devices op de technologiemarkt komen die voorzien moeten worden van een publiek IP-adres, is het gebrek aan IPv4-adressen niet te verwaarlozen. De voorspellingen lopen uiteen, maar één ding is zeker: het is niet de vraag of we IPv6 moeten implementeren, maar wanneer. Dit eindwerk handelt over het opzetten van een netwerkomgeving met de nadruk op het Internet Protocol, IPv6. Er is onderzocht welke netwerkinfrastructuur vandaag de dag ondersteuning biedt voor deze standaard. Om Cegeka in staat te stellen een beeld te vormen van de toegankelijkheid en de haalbaarheid van dit protocol, is er een simulatieomgeving opgezet. Deze omgeving is opgebouwd uit verschillende netwerksegmenten die zowel IPv4 als IPv6 ondersteunen en zo dicht mogelijk tegen de werkelijkheid aanleunen. De serveromgeving is in verschillende fasen tot stand gekomen. Mijn kennis is verruimd op het gebied van routingprotocollen, loadbalancing, firewalling, switches, virtualisatie, draadloze netwerken, enz. Om het netwerk te beveiligen zijn diverse firewalls gebruikt, waaronder OpenBSD, Cisco ASA, Check Point en Juniper. Uit deze testen kan besloten worden dat de IPv6-ondersteuning nog zeer beperkt is. Bovendien zijn nog niet alle netwerktechnologieën volledig afgestemd op deze standaard. Kortom, IPv6 biedt een oplossing voor de beperkingen van IPv4, maar heeft nog een lange weg af te leggen om geïntegreerd te kunnen worden in grote productieomgevingen.

XIOS Hogeschool Limburg ste Jury 1 examenperiode 2011

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

8

2. Lijst van de gebruikte afkortingen

ABR BIND CLI DAD DBD DHCP DNS FTP GUI HTTP IEEE

Area Border Router Berkeley Internet Name Daemon Command Line Interface Duplicate Address Detection Database Description Dynamic Host Configuration Protocol Domain Name System File Transfer Protocol Graphical User Interface Hypertext Transfer Protocol Institute of Electrical and Electronics Engineers Internet Engineering Task Force Internet Assigned Numbers Authority Internet Protocol IP Next Generation Internet Protocol versie 4 Internet Protocol versie 6 International Organisation for Standarization Internet Service Provider

IETF INANA IP IPng IPv4 IPv6 ISO

ISP

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

9

IT LAN LLC LSA LSAck LSDB LSR LSU MAC NAT NATPF

Information Technology Local Area Network Logical Link Control Link State Advertisement Link State Acknowledgement Link State Database Link State Request Link State Update Media Access Control Network Address Translation Network Address Translation and Port Translation Open Systems Interconnection Open Shortest Path First Packet Filter Path Maximum Transfer Unit Router-ID Regional Internet Registry afkorting voor "SOCKetS" Shortest Path First Secure Sockets Layer Internet Stream Protocol 2 Transmission Control Protocol

OSI OSPF PF PMTU RID RIR SOCKS SPF SSL ST-2 TCP

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

10

UTM VLAN VPN VPN VRF VTP VTY WAN WLAN

Unified Threat Management Virtual Local Area Network Virtual Private Network Virtual Private Network Virtual Routing and Forwarding VLAN Trunk Protocol Virtual Teletype Terminal Wide Area Network Wireless Local Area Network

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

11

3. Situatieschets
3.1. Over CegekaCK10

Cegeka is een snelgroeiend ICT-bedrijf dat kwalitatieve ICT-oplossingen levert aan klanten om zo bij te dragen tot de realisatie van hun businessdoelstellingen. Cegeka heeft met zijn 1500 medewerkers en een omzet van 156 miljoen euro (kerncijfers 2010) een sterk aandeel in de ICT-markt.

Als ICT-dienstverlener en solutionintegrator draagt Cegeka bij aan de hele ICTwaardeketen: implementatie en integratie van infrastructuuroplossingen,

ontwikkeling en implementatie van software en het volledige beheer van de ICT. Cegeka is actief in verschillende domeinen: van IT-consultancy en detachering tot en met strategic outsourcing.

Er zijn verschillende redenen waarom de klanten voor Cegeka zouden kiezen. Het is een Belgisch bedrijf met vestigingen in verschillende provincies waar je terecht kan voor al je totaaloplossingen. Cegeka beschikt over specifieke oplossingen voor de gezondheids-, sociale zekerheids-, retail-, logistieke, industrie-, publieke en financiële sector. Om een nog beter resultaat te garanderen werken ze samen met tal van partners.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

12

3.2.

Motivatie

De werkzaamheid in de verschillende sectoren is de hoofdreden waarom ik voor Cegeka gekozen heb. Doordat alle lopende projecten verschillende doelstellingen hebben en deze aangepast worden aan de sector waaraan de diensten geleverd moeten worden, is het volgens mij zeer leerrijk om in dit bedrijf praktijkervaring op te doen. Cegeka profileert zich ook in de pers met onder andere de Ambiorixprijs 2010 VWK Limburg die het voorbije jaar werd toegekend. Deze staat bekend als kwantitatief en kwalitatief ondernemerschap met veel aandacht voor medewerkers en omgeving. Als afstudeerrichting heb ik gekozen voor systemen en netwerken en ook binnen Cegeka zal ik mijn stage in dit domein verderzetten. Om ICT-oplossingen te kunnen bieden aan de klant is een goed onderhouden systeem noodzakelijk.

Het hoofdonderwerp van mijn stageproject is IPv6. De komende jaren zal IPv6 een grote rol spelen in de IT-wereld omdat er een gebrek is aan IPv4-adressen. Vandaag komen er nog steeds computerapparaten bij die een uniek IP-adres nodig hebben. De oplossing hiervoor is het implementeren van IPv6. We moeten er dus klaar voor zijn.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

13

4. Technologieën
4.1. VRF

Virtual Routing and Forwarding (VRF) is een technologie om op een router te werken met meerdere routingtabellen. Als er op de router VRF geïmplementeerd wordt, is deze volledig onafhankelijk en heeft deze VRF-instantie zijn eigen routingtabel. Binnen deze instantie kan er gewerkt worden met hetzelfde IPsubnet.

Virtual Private Network (VPN) Routing and Forwarding wordt vaak geassocieerd met Virtual Routing and Forwarding. Deze technologie wordt toegepast door de meeste Internet Service Providers (ISP). Dit stelt de ISP in staat om per klant een VRF-instantie aan te maken op één en dezelfde router.

Figuur 1: VPN Routing and Forwarding

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

14

4.2.

SOCKS-proxyYF10

In paragraaf 7.4.5 wordt VMWare vSphere Client gebruikt om op afstand in te loggen op de ESX-servers. De ESX-servers hebben een privé IP-adres. Bijgevolg zijn de servers afgeschermd van het externe netwerk en worden pakketten niet gerouteerd over het internet. Gebruikmaken van het programma ‘Proxifier’ in combinatie met een SOCKSproxyserver lost dit probleem op. Dergelijke proxyserver wordt ingezet wanneer de toegang naar interne servers, webpagina’s, enzovoort. geblokkeerd wordt door een firewall.

Het SOCKS-protocol is werkzaam in laag 5, de sessielaag, van het OSI-model. Dit is de laag tussen de transportlaag en de presentatielaag. De SOCKS-proxy ontvangt de requests en stuurt deze naar de server. Het protocol verplaatst datapakketten, standaard over poort 1080, tussen client en server. Op de clientpc wordt er een SOCKS-client geïnstalleerd (Proxifier).

Figuur 2: Interne client via SOCKS-proxy naar externe server

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

15

Een SOCKS-proxy wordt meestal opgezet indien de interne clients externe servers moeten aanspreken maar ook het omgekeerde is mogelijk.

Figuur 3: Externe client via SOCKS-proxy naar interne server

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

16

4.3.

VLANCJ09

De IEEE 802.1Q-standaard laat toe om meerdere VLAN’s te definiëren. Een Virtual Local Area Network (VLAN) wordt voornamelijk gebruikt om de grootte van het broadcastdomein te beperken. Hierdoor wordt het totale netwerk minder belast en wordt de toegang tot andere delen van het netwerk verhinderd.

Zo kan er bv. per bedrijfsafdeling een apart VLAN geconfigureerd worden. Elk VLAN heeft een uniek identificatienummer, het VLAN-ID. De productieafdeling respectievelijk de verkoopafdeling worden van elkaar afgeschermd door bv. VLAN 10 respectievelijk VLAN 20. De personeelsleden van de productieafdeling kunnen de verkoopafdeling niet bereiken omdat ze niet tot hetzelfde VLAN behoren.

Vroeger werd er per afdeling een fysieke switch toegekend. De computers moesten fysiek verbonden zijn met deze switch. Wanneer er iemand van afdeling veranderde kon dit voor heel wat problemen zorgen. De fysieke netwerktopologie moest aangepast worden om deze computer onder te brengen in een andere afdeling. Met de komst van virtuele LAN’s dient er enkel een ander VLAN geconfigureerd te worden. Het eindstation wordt hierdoor aangesloten op het virtuele netwerk van de nieuwe afdeling, onafhankelijk van de locatie in het fysieke netwerk.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

17

Figuur 4: Overzicht VLAN

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

18

4.4.

Site-to-site VPNTJ10

Een site-to-site Virtual Private Network (VPN) maakt het bedrijven mogelijk om met elkaar te communiceren over een beveiligde verbinding. Een VPN-tunnel verzorgt de connectie met het andere netwerk. De tunnel zorgt ervoor dat de datapakketten geëncrypteerd worden voordat ze gerouteerd worden op het internet. Er zijn twee soorten site-to-site VPN’s. Enerzijds de intranet-based VPN’s die de verschillende lokale netwerken van bv. een multinational met elkaar verbinden over het internet. Elk LAN wordt omgevormd tot één Wide Area Network (WAN). Anderzijds de extranet-based VPN’s die opgezet worden tussen partners.

Figuur 5: Overzicht extranet site-to-site VPN

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

19

4.5.

SSL VPNSS06

Tegenwoordig groeit de behoefte om op afstand verbinding te maken met het bedrijfsnetwerk. Zoals besproken in paragraaf 4.4 kan een site-to-site VPN dienst doen als gateway naar het bedrijfsnetwerk. Dit heeft slechts enkele nadelen ten opzichte van een SSL VPN. Een traditionele VPN-verbinding vereist dat er op de clientpc software geïnstalleerd wordt om toegang te krijgen tot de resources van het netwerk.

Een SSL VPN vereist enkel een browser om toegang te krijgen tot het netwerk. Het netwerkverkeer wordt volledig geëncrypteerd door het SSL-protocol. Dit type heeft als bijkomstig voordeel dat er per gebruiker een aantal resources toegekend kunnen worden.

Figuur 6: Overzicht SSL VPN

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

20

4.6.

OSPFSB10

Routingprotocollen bieden een oplossing voor een dynamische netwerkroutering. Een veelgebruikt routingprotocol is Open Shortest Path First (OSPF). Het protocol bepaalt op basis van Dijkstra’s Shortest Path First (SPF) algoritme zijn omliggende netwerktopologie en het beste pad naar elk netwerk. In vergelijking met andere routingprotocollen beschikt OSPF over meer informatie betreffende de structuur van een netwerk.

Om de netwerktopologie aan te leren, versturen de routers Hello-pakketten. Als een andere router in het netwerk een antwoord stuurt, wordt de kost naar deze router en het router-id (RID) bijgehouden in een adjency database.

Deze informatie wordt geëncapsuleerd in een Link State Advertisement (LSA). Routers communiceren deze LSA’s onderling en slaan de informatie op in een Link State Database (LSDB).

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

21

In een multi-access netwerk verloopt de communicatie tussen de routers verschillend van een point-to-point netwerk. Er wordt een Designated Router (DR) en een Backup Designated Router (BDR) aangeduid. De BDR zal de taken van de DR overnemen indien deze uitvalt.

De DR en BDR hebben onderlinge communicatie en communicatie met de routers. De routers kunnen niet met elkaar communiceren. De DR spreekt de routers aan over multicastadres 224.0.0.6 en de routers communiceren met de DR over multicastadres 224.0.0.5.

Figuur 7: Overzicht OSPF in multi-access netwerk OSPFv3 voorziet in de mogelijkheid om routingtabellen dynamisch uit te breiden met IPv6-routes. Dit protocol heeft een grote ondersteuning voor IPv6- netwerken en heeft dezelfde functionaliteit als OSPFv2. Het grote verschil tussen beide versies is de IPv6-notatie. In OSPFv3 communiceren routers over multicast-adres FF02::5 en FF02::6.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

22

Een OSPF-netwerk wordt opgesplitst in verschillende gebieden. Op die manier blijft de routering beperkt tot een deelgebied. OSPF splitst de routering op in drie niveaus: intra-area (binnen een gebied), inter-area (tussen twee gebieden) en externe routes.

De verschillende gebieden communiceren met elkaar via inter-area routers of Area Border Routers (ABR). Deze routers zijn aangesloten op meerdere gebieden en behoren tot de backbone area (area 0.0.0.0). Deze area moet bestaan in een OSPF-netwerk en alle aangrenzende gebieden moeten aangesloten worden op deze area.

In tegenstelling tot de inter-area routers, B en C op onderstaande afbeelding, maakt een intra-area router, A, D en E op onderstaande afbeelding, slechts deel uit van één gebied.

Figuur 8: Overzicht OSPF intra-area en inter-area routers

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

23

4.7.

WLAN

Om te beschikken over draadloze toegang tot het netwerk, kan er een Wireless Local Area Network (WLAN) opgezet worden. Om een connectie tot stand te brengen, zet de gebruiker een verbinding op met een apparaat, het access point, dat radiosignalen uitzendt. Dit access point staat, via een controller, rechtstreeks in verbinding met het bekabelde netwerk.

De draadloze IEEE 802.11-standaarden bieden geen encryptiemogelijkheden aan. Dit heeft als gevolg dat data onversleuteld over het netwerk verstuurd wordt. Om het netwerkverkeer te encrypteren, kunnen volgende encryptiemechanismen gebruikt worden: WEP, WPA en WPA2.

Aruba

Networks

is

een

grote

speler

op

de

markt

van

draadloze

netwerkinfrastructuur. Op de controller zullen de nodige netwerkprofielen en authenticatiemechanismen geconfigureerd worden. Aruba Networks biedt ondersteuning voor IPv6-netwerken, ook al is dit niet noodzakelijk.

Het draadloos netwerk kan volledig met behulp van IPv4 geconfigureerd worden. DHCPv6 is de enige vereiste om clients te voorzien van IPv6-instellingen. Na de DHCP-lease kent de controller het juiste VLAN toe aan de client, zodat hij toegang krijgt tot het netwerk.

Figuur 9: Overzicht draadloos netwerk
Eindwerk Academiejaar 2010 – 2011 Stijn Willems

24

5. Onderzoeksprobleem
5.1. Probleemstelling

Binnen Cegeka heb ik gedurende mijn stageperiode een afgebakend project uitgewerkt. Zoals ik al in de situatieschets aanhaalde, handelt mijn project over het Internet Protocol, IPv6. Doordat er tegenwoordig steeds meer apparaten op de technologiemarkt komen die voorzien moeten worden van een uniek IP-adres is het gebrek aan IPv4-adressen niet te verwaarlozen.

IPv6 kan dit probleem oplossen omdat het met dit soort adressen mogelijk is om meer apparaten te adresseren en te voorzien van een publiek IP-adres. Naast het grotere adresbereik kent IPv6 nog een aantal andere verbeteringen. Zo biedt het protocol ruimte voor betere routing en netwerkautoconfiguratie. Ook wordt NAT, een manier om vele apparaten binnen een lokaal netwerk via één enkele interface het internet op te sturen en zo IP-adressen te sparen, overbodig en is de beveiliging op IP-niveau beter geregeld.

Bij de start bevond het project zich nog in de initiële fase. Binnen Cegeka zijn er nog geen uitvoeringen geweest in verband met dit protocol. Om aan de toenemende vraag naar IPv6-ondersteuning van de klant te voldoen heb ik in functie van Cegeka het project uitgewerkt. Dit stelt hun in staat zich een beeld te vormen van de toegankelijkheid en de haalbaarheid van dit protocol.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

25

5.2.

Doelstelling

Om de problemen van het huidige Internet Protocol tegemoet te komen zullen we in de toekomst moeten overstappen naar IPv6-adressen. In het kader van mijn afstudeerscriptie heb ik een netwerkomgeving opgezet met de nadruk op IPv6. Bij de aanvang van het project was mijn hoofddoelstelling de verschillende onderdelen van het stageproject correct uit te werken en deze binnen de opgegeven tijd te verwezenlijken.

Naast de uitbreiding van het netwerk naar IPv6 moest de bestaande hardware, geconfigureerd met IPv4, volledig en correct blijven functioneren. Om het interne netwerk van het publieke netwerk af te schermen, heb ik een aantal firewalls geconfigureerd.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

26

6. Analyse

Binnen een project is de analyse van groot belang. Hiervoor kunnen een aantal hulpmiddelen gebruikt worden. Deze zijn meestal project- of bedrijfsafhankelijk.

Bij de aanvang van het project ben ik ook gestart met een grondige analyse. Hiervoor heb ik een aantal documenten ontvangen: een netwerkdesign en een inventarisatielijst. De inventarisatielijst (bijlage 1) is een overzicht van de hardware die er beschikbaar was. Het netwerkdesign (bijlage 2) was een voorstelling van het op te zetten netwerk. Dit design diende enkel als leidraad en moest nog geheel zelfstandig opgezet worden.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

27

7. Serveromgeving

7.1.

Firmware upgrade

7.1.1. Inleiding

De door Cegeka ter beschikking gestelde testhardware (inventarisatielijst in bijlage 1) bestaat grotendeels uit Cisco-apparatuur.

Om de volledige featureset van de hardware te kunnen benutten, was het nodig om de hardware te upgraden naar de nieuwste softwareversie. Een fysieke toegang met een consolekabel en een telnet-programma (Putty of SecureCRT) laat toe een upgrade te doen van een switch, router, enzovoort.

7.1.2. Switch upgrade

De nieuwe versie van de IOS-software van Cisco-apparatuur wordt geplaatst in de rootdirectory van een TFTP-server, die in hetzelfde IP-subnet zit. Dan kan via het TFTP-protocol de image gekopieerd worden naar zijn bootflash.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

28

7.2.

IP versie 6GC11

7.2.1. Inleiding

De eerste prognoses rond een tekort aan IPv4-adressen dateren uit 1994. Er werd vooropgesteld dat er een dreigend tekort zou ontstaan in 2008.

De Internet Engineering Task Force (IETF) heeft de taak gekregen een opvolger voor IPv4 te ontwikkelen. Deze versie stond bekend onder de naam IP Next Generation (IPng) en later IP versie 6 (IPv6). IP versie 5, ook wel bekend als Internet Stream Protocol 2 (ST-2), is een experimentele versie van het Internet Protocol en is gereserveerd voor multimediatoepassingen over IP-netwerken.

Als gevolg van de exponentiële groei van netwerkapparatuur is het aantal resterende IPv4-adressen uitgeput. De Internet Assigned Numbers Authority (INANA) heeft sinds 3 februari 2011 geen geldige IPv4-adressen meer beschikbaar. Enkel de Regional Internet Registries (RIR’s) zitten nog met een kleine voorraad, maar ook deze zal begin 2012 uitgeput zijn. Op niveau van de ISP zien we ook een verschuiving van het aantal resterende IP-adressen. Bedrijven en organisaties zullen binnenkort enkel nog een IPv6-range kunnen aanvragen bij hun ISP.

Uit dit alles blijkt dat er een migratie zal moeten plaatsvinden van IPv4 naar IPv6.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

29

7.2.2. IPv4 vs. IPv6

Adreslengte Om het tekort aan IPv4-adressen op te lossen, voorziet IPv6 in een grotere adresruimte. In versie 4 zijn er 32 bits gereserveerd voor het IP-adres, in versie 6 zijn dit er 128. Dit brengt een opmerkelijke winst aan IP-adressen met zich mee. Zo groeit het aantal beschikbare IP-adressen van ongeveer 4 miljard naar 3,4 x 1038 adressen.

Header Een IP-pakket bestaat uit een header- en een dataveld. De informatie, die geëncapsuleerd is in de header, wordt gebruikt voor de routering van het IPpakket. De IPv6-header is twee maal groter dan de IPv4-header en heeft een vaste grootte. Hoewel deze minder informatie bevat groeit de headergrootte van 20 naar 40 bytes.

Figuur 10: Overzicht IP-headers

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

30

Extension headers Omdat er in de IPv4-header maar een beperkt aantal opties meegegeven kan worden, voorziet IP versie 6 in extension headers. Deze headers kunnen logisch gekoppeld worden aan de IP-header. Er zijn momenteel zes verschillende extension headers beschikbaar: Hop-by-hop options: Geëvalueerd door alle tussenliggende systemen. Destination options: Geëvalueerd door de bestemming van het IP-pakket. Routing header: Geëvalueerd door alle tussenliggende routers. Fragment header: Deze header bevat informatie betreffende de fragmentatieregels. Authentication en encapsulated security payload header: Vormen een onderdeel van IPsec.

Figuur 11: Overzicht extension headers

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

31

Adresnotatie In het huidige protocol worden de adressen in dotted decimal notatie genoteerd. In versie 6 worden de adressen genoteerd in colon hexadecimal notatie. Voor deze notatie gelden een aantal regels om het gebruik ervan te vereenvoudigen: leading zeros mogen weggelaten worden en als er meerdere reeksen van opeenvolgende nullen in het adres voorkomen, mag één reeks weggelaten worden. Deze wordt dan vervangen door twee dubbele punten. In onderstaande tabel volgen een aantal voorbeelden. 2a02:2398:0000:2000:0000:0000:0000:30/64 2a02:2398:0:2000:0:0:0:30/64 2a02:2398:0:2000::30/64 Tabel 1: IPv6-adresnotatie Merk op dat in bovenstaande tabel de slash-notatie gehanteerd wordt. Aan de hand van deze notatie wordt het IPv6-adres opgedeeld in een netwerkgedeelte, ook wel de prefix, en een hostgedeelte. De eerste 64 bits vormen het netwerkgedeelte en de laatste 64 bits het hostgedeelte.

Adrestypes Binnen IPv6 treffen we drie grote adresgroepen aan: unicast-, multicast- en anycastadressen. Elk type adres heeft zijn eigen specifieke functie. Unicast: IP-pakket bestemd voor precies één systeem. Multicast: IP-pakket bestemd voor meerdere systemen. Anycast: IP-pakket bestemd voor één systeem op basis van

routeringscriteria.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

32

De unicast-adressen kunnen nogmaals onderverdeeld worden in drie subtypes: global, site-local en link-local unicastadressen. Global: Gelijkaardig aan de publieke IPv4-adressen. Deze adressen worden gerouteerd over het internet. Site-local: Gelijkaardig aan de private-range adressen en worden bijgevolg niet gerouteerd over het internet. Link-local: Deze adressen zijn uitsluitend actief op één link.

Omschrijving Localhost Site-local

IPv6 ::1/128 fc00:/7

IPv4-tegenhanger 127.0.0.0/8 10.0.0.0/8 172.16.0.0/16 192.168.0.0/24

Link-local Global unicast Multicast IPv4-mapped Tabel 2: IPv6-adrestypes Adresconfiguratie

fe80::/10 2000::/3 ff00::/8 ::ffff:

169.254.0.0/16 224.0.0.0/8 – 239.0.0.0/8

Om een systeem te voorzien van een IPv6-adres beschikt het protocol over uitgebreide configuratiemogelijkheden. Een systeem is in staat zelf zijn IPv6adres te configureren op basis van een verkregen prefix. Deze prefix wordt door de router verkondigd over het multicastadres. De prefix vormt de eerste 64 bits van het adres, de volgende 64 bits worden door het systeem gegenereerd.

Elk systeem controleert of het adres al dan niet in gebruik is aan de hand van Neighbor Discovery, dit wordt Duplicate Address Detection (DAD) genoemd. DHCP en handmatige IP-configuratie worden ook nog steeds ondersteund.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

33

Stateless autoconfiguration heeft ook enkele nadelen. Een aanvaller kan er voor zorgen dat een clientpc geen geldig IP-adres ontvangt en kan zelf router advertisements versturen over een multicastlink. Doordat een router advertisement ook het adres van de default gateway bevat, kan de aanvaller alle netwerkverkeer naar zich toetrekken. Secure Neighbor Discovery (SEND) biedt een uitbreiding om dit beveiligingslek te dichten. Het hostgedeelte wordt door het systeem gegenereerd op basis van een publieke sleutel. Het gegenereerde adres wordt geverifieerd a.d.h.v. een private sleutel.

Address Resolution Protocol en Network Address Translation In IP versie 4 wordt het ARP-protocol gebruikt om het fysieke MAC-adres, gekoppeld aan het logische IP-adres te bepalen. In IP versie 6 wordt het ARPprotocol niet meer gebruikt, maar worden omliggende nodes bekend gemaakt d.m.v. Neighbor Discovery. Hiervoor worden ICMPv6-pakketten verstuurd over een multicastlink.

Ten gevolge van de grotere adresruimte wordt ook NAT overbodig in IP versie 6. Dit heeft zowel voor- als nadelen. Protocollen zoals FTP en RPC hebben problemen wanneer NAT gebruikt wordt in het netwerk. Het niet toepassen van NAT heeft ook een groot nadeel: beveiliging. In versie 4 wordt NAT vaak gebruikt om het interne netwerk af te schermen van de buitenwereld. In IP versie 6 zal dit volledig in de firewall beheerd moeten worden.

Jumbograms Zowel IPv4 als IPv6 ondersteunen een maximale pakketgrootte van 64 KB. Voor kleine toepassingen is dit ruim voldoende, maar in grote productieomgevingen kan het voordeliger zijn om grotere pakketten uit te wisselen. Om dit tekort op te vangen, voorziet IPv6 in de mogelijkheid om jumbograms, pakketten met een grootte van 4 MB, te versturen.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

34

Fragmentatie In IP versie 4 mag elk systeem fragmentatie toepassen. In IP versie 6 staat enkel de verzender in voor de fragmentatie. Dit heeft als voordeel dat de verwerking van IP-pakketten door routers sneller en efficiënter verloopt.

Indien het dragerprotocol het IP-pakket niet kan verwerken, dan wordt het pakket weggegooid. Om dit probleem op te lossen, bepaalt de verzender aan de hand van het Path Maximum Transfer Unit (PMTU) discovery protocol de maximale pakketgrootte.

Dit protocol probeert in eerste instantie het grootst mogelijke pakket te versturen. Indien er een ICMPv6-foutmelding terugkomt, verstuurt de verzender het pakket opnieuw met een kleinere pakketgrootte. Dit proces wordt herhaaldelijk uitgevoerd totdat het pakket op zijn eindbestemming terechtkomt.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

35

7.2.3. Migratie IPv6

Op dit moment is het gebruik van IPv6 nog erg beperkt. Het IPv6-protocol is nog relatief nieuw voor de meeste bedrijven. Tot nu toe wordt het grootste deel van het internetverkeer getransporteerd over IPv4. Toch zal er in de loop der jaren een geleidelijke migratie plaatsvinden naar IPv6.

Op netwerkniveau zijn er verschillende manieren om deze migratie te realiseren, zonder dat alle tussenliggende systemen het protocol ondersteunen. De meest voorkomende technieken zijn: Tunnelen Proxying IPv4-mapped-IPv6-adressen Network Address Translation and Port Translation (NATPT)

Tunnelen Het verpakken van het ene type netwerkverkeer in een ander type netwerkverkeer wordt tunnelen genoemd. Deze techniek maakt het mogelijk om IPv6-eilanden te koppelen over een IPv4-verbinding. Om netwerkverkeer over deze verbinding te transporteren, worden IPv6-pakketten geëncapsuleerd in IPv4-pakketten. Deze methode is transparant voor applicaties en heeft weinig tot geen beperkingen.

Ook is het mogelijk om IPv4-pakketten te encapsuleren in IPv6-pakketten. Door de schaarste van IPv4-adressen zullen nieuwe machines aan het internet gekoppeld worden met een IPv6-adres. Om communicatie met IPv4-systemen te behouden, zal dit in de toekomst een belangrijk aspect vormen.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

36

Proxying Deze techniek kan ook een oplossing bieden om netwerkverkeer te transporteren tussen IPv4- en IPv6-eilanden. Tussen beide eilanden wordt er een proxyserver ingericht, met zowel een IPv4- als een IPv6-interface. In tegenstelling tot tunnelen zijn proxyservers applicatiespecifiek. Dit heeft als gevolg dat applicaties ondersteuning moeten bieden en dus geconfigureerd moeten worden.

IPv4-mapped-IPv6-adressen Om IPv4-systemen op een eenvoudige manier te koppelen met het IPv6-netwerk, kan het adres omgezet worden in een IPv6-notatie. Voor deze omzetting is er een specifieke range gereserveerd van de vorm ::ffff:.

Network Address Translation and Port Translation Gelijkaardig aan NAT, om interne adressen te vertalen naar het publiek adres van de gateway, wordt deze technologie toegepast om IPv6-pakketten te vertalen naar IPv4-pakketten. Dit biedt een IPv4-netwerk de mogelijkheid te communiceren met IPv6-netwerken. Door de komst van bovenstaande technieken komt NATPT nog maar zelden voor.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

37

7.3.

Firewall

7.3.1. InleidingFW10

De software van een firewall beschikt over een aantal basisfeatures. De belangrijkste basisfeatures waarmee een firewall uitgerust wordt, zijn packet filtering, Network Address Translation (NAT) en logging.

Packet filtering maakt het mogelijk om het netwerkverkeer te evalueren. Op basis van de header bepaalt de firewall of hij het pakket al dan niet moet blokkeren.

Network Address Translation vertaalt het interne IP-adres naar het externe IP-adres van de firewall. In alle inkomende pakketten zal het bestemmingsadres terug vertaald worden naar het IP-adres van de broncomputer.

Logging zorgt ervoor dat alle regels, aangesproken om toegang te verkrijgen tot de firewall, in een logbestand opgeslagen worden.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

38

7.3.2. Types en soortenZD09

Packet filtering firewall Een packet filtering firewall is werkzaam in de eerste drie lagen van het OSImodel. Om datapakketten te evalueren, wordt er enkel rekening gehouden met de IP-header. De toegang wordt geëvalueerd op bv. het IP-adres.

Stateless firewall Een stateless firewall houdt geen rekening met de staat van de connectie. Als er een inkomend pakket toegelaten wordt door de firewall, wordt de staat van de connectie niet bijgehouden. Elk nieuw pakketje wordt dus opnieuw geëvalueerd, onafhankelijk van de voorgaande beoordeling.

Stateful firewall In tegenstelling tot een stateless firewall, houdt een stateful firewall rekening met de staat van een connectie. Hij onderscheidt hierbij de start van een nieuwe connectie, een volgend pakket binnen een bestaande connectie en een ongeldig pakket. Na de beoordeling van een nieuwe connectie zal elk pakket dat hieraan gerelateerd is worden toegelaten, zonder het opnieuw te evalueren.

Het FTP-protocol opent sessies op willekeurige poorten. Waar een stateful firewall tijdelijk een poort opent waarover de sessie plaatsvindt, zal een stateless firewall in deze situatie netwerkverkeer moeten toelaten over alle poorten.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

39

7.3.3. Distributies

Op bedrijfsniveau zijn OpenBSD, Cisco ASA, Check Point en Juniper veelgebruikte firewalls. Deze distributies zijn eenvoudig in het beheer en bieden een uitgebreide featureset aan om producten op maat te configureren. Het beveiligen van IPv6-netwerken is ook een meerwaarde.

OpenBSD is een stateful packet filtering firewall. Deze firewall steunt op een open source besturingssysteem dat gebaseerd is op UNIX. Het systeem staat bekend voor veiligheid. Het motto van de ontwikkelaars luidt dan ook: “Only two remote holes in the default install, in a heck of a long time!”.

Net zoals OpenBSD is ook Cisco ASA een stateful packet filtering firwall. Dit type doet niet alleen dienst als firewall, maar kan ook ingezet worden als VPN- en DHCP-server.

Een zeer populaire en gebruiksvriendelijke firewall is Check Point. Deze firewall behoort tot de ‘Leader of the Magic Quadrant for Unified Threat Management (UTM)’, uitgereikt door Gartner.

Figuur 12: Magic Quadrant for Unified Threat Management
Eindwerk Academiejaar 2010 – 2011 Stijn Willems

40

Check Point biedt ondersteuning voor het beveiligen van IPv6-netwerken. Hiervoor dient er een IPv6-upgrade uitgevoerd te worden op de firewall. Volgende procedure beschrijft hoe Check Point omgaat met IPv6.

Om te kunnen werken met IPv6 is het noodzakelijk dat je beschikt over een IPv6licentie. Deze licentie kan verkregen worden via Check Point’s User Center. Met volgend commando kan je kijken of je beschikt over een geldige licentie: cplic check fw1:6.0:cpipv6

De upgrade voegt een aantal features toe aan je product om bv. IPv6-nodes en IPv6-netwerken aan te maken. Als de upgrade voltooid is, kan je met volgend script IPv6-adressen toekennen aan de interfaces: #expert #vi /etc/rc.d/rc3.d/Sllipv6.sh #!/bin/sh modprobe ipv6 /sbin/ifconfig inet6 add / #chmod +x /etc/rc.d/rc3.d/Sllipv6.sh #./Sllipv6.sh

Om IPv6-ondersteuning te activeren, dient volgend script uitgevoerd te worden: $FWDIR/scripts/fwipv6_enable on In Check Point’s Smart Dashboard, kan je nu IPv6-nodes en IPv6-netwerken aanmaken door rechts te klikken op Network Objects > Others > New > IPv6.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

41

Een laatste netwerkgigant is Juniper Networks. Vanuit de expertise in het routingen switchingdomein bieden zij nu ook tal van andere producten aan, waaronder firewalloplossingen.

Om het apparaat te beheren, kan je gebruik maken van een Graphical User Interface (GUI). Out of the box zijn er geen IPv6-functionaliteiten actief. Deze moeten via de Command Line Interface (CLI) geconfigureerd worden.

Om te kijken of IPv6 geactiveerd is, gebruik je volgend commando: get envar

Als IPv6 geactiveerd is, verschijnt in de output ipv6=yes. Zoniet, voer je volgende commando’s uit: set envar ipv6=yes save reset save-config yes

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

42

7.4.

Virtualisatie

7.4.1. InleidingMG10

Steeds meer bedrijven kiezen ervoor om hun serverpark te virtualiseren. Virtualisatie laat toe meerdere virtuele machines te draaien op één fysieke machine.

De virtuele machine communiceert via een virtualisatielaag met de onderliggende hardware. Deze tussenlaag kan op twee verschillende niveaus werkzaam zijn. Ofwel is de hypervisor werkzaam op de hardware (bare-metal hypervisor), ofwel op een besturingssysteem. (hosted hypervisor)

Nu rest de vraag: Waarom virtualiseren? De toenemende vraag naar ITondersteuning betekent voor veel bedrijven een stijging van de IT-kosten. Door het altijd groeiende klantenbestand brengen niet enkel de infrastructuur- en energiekosten, maar ook het beheer van het alsmaar complexere netwerk kosten met zich mee.

Om steeds sneller in te kunnen spelen op veranderingen, hebben bedrijven als doel hun IT-omgeving efficiënter op te zetten. Virtualisatie biedt een oplossing voor deze uitdaging.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

43

7.4.2. Hypervisor typesVB10

Virtual Machine

Virtual Machine

…

Hypervisor Hardware

Figuur 13: Bare-metal hypervisor Bovenstaande figuur geeft een grafische voorstelling van een bare-metal hypervisor. De virtualisatielaag bevindt zich bovenop de fysieke hardware. Omdat er geen tussenliggend besturingssysteem aanwezig is, blijft de overhead laag. Bovendien zijn er meer resources beschikbaar voor de virtuele machines. Dit type hypervisor komt voornamelijk voor in productieomgevingen.

Virtual Machine

Virtual Machine

…

Hypervisor Besturingssysteem Hardware

Figuur 14: Hosted hypervisor Bij de hosted hypervisor bevindt de virtualisatielaag zich bovenop een besturingssysteem. Het grootste nadeel is dat het bestaande besturingssysteem ook de nodige resources vraagt om zijn processen uit te voeren. Dit type hypervisor wordt voornamelijk gebruikt voor testdoeleinden.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

44

7.4.3. VoordelenVB10

Kostenbesparing Virtualisatie brengt een aanzienlijke kostenbesparing met zich mee. Door het beperkte aantal fysieke machines daalt het energieverbruik en de kost voor koeling en ruimte.

Centralisatie Om steeds sneller in te kunnen spelen op de wensen van de klant, voorziet virtualisatie in een gecentraliseerd management. De netwerkbeheerder krijgt via één fysieke server toegang tot meerdere virtuele servers.

Resource deling Het virtuele besturingssysteem communiceert via de virtualisatielaag met de hardware. Elke virtuele machine krijgt een aantal resources, waaronder geheugen, toegekend die hij kan benutten.

7.4.4. NadelenVB10

Hoewel de voordelen van deze technologie er niet om liegen, zijn er ook een aantal nadelen verbonden aan virtualisatie.

Beveiliging Beveiliging is een eerste nadeel van virtualisatie. Als er iemand toegang krijgt tot de fysieke machine, biedt dit ook toegangsmogelijkheden tot de verschillende virtuele systemen.

Kwetsbaarheid Een gevirtualiseerde omgeving kan door een technische storing voor heel wat problemen zorgen. Als de fysieke machine uitvalt, heeft dit een grote impact op het totale netwerk.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

45

7.4.5. Virtualisatiesoftware

Een zeer populaire fabrikant van virtualisatiesoftware is VMWare. Voor de uitvoering van mijn stageproject heb ik gekozen voor VMWare ESXi 4.1. Dit product steunt op een bare-metal architectuur in samenwerking met VMWare vSphere Client hypervisor.

Figuur 15: VMWare vSphere Client toegangsscherm

Om op afstand toegang te krijgen tot de ESX-server, dien je het IP-adres van de server op te geven samen met je gebruikersnaam en wachtwoord. Na de authenticatie kan je starten met het beheer van de virtuele machines.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

46

Figuur 16: Virtuele serverstructuur en performance

In de navigatiebalk krijg je een overzicht van de virtuele machines die op de fysieke server geïnstalleerd zijn.

Zoals je op bovenstaande afbeelding kan zien, is de GUI van VMWare vSphere Client opgebouwd uit verschillende tabbladen. Deze tabbladen geven de prestaties en eigenschappen van de virtuele machines weer. Zo kan je zien dat het tabblad ‘Performance’ een grafische voorstelling geeft van het CPU-verbruik.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

47

Figuur 17: VMWare vSphere Client Summary

Onder het tabblad ‘Summary’ vind je een gedetailleerd overzicht van de prestaties, CPU-verbruik, geheugenverbruik, enzovoort van de server.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

48

Figuur 18: Overzicht vSwitch VMWare vSphere Client voorziet in de mogelijkheid om een virtuele switch te configureren. Net zoals op een fysieke switch, is het mogelijk om VLAN’s te definiëren en toe te kennen aan virtuele netwerkkaarten. De virtuele netwerkkaarten worden gekoppeld aan de fysieke netwerkkaarten van de ESXserver.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

49

7.5.

Loadbalancing

7.5.1. Webserver

Een webserver is een computer, die requests van het internet ontvangt en verwerkt. De webserver verwerkt de aanvraag en geeft de nodige informatie, in de vorm van een webpagina, terug aan de gebruiker. Deze communicatie gebeurt over het HTTP-protocol over poort 80.

Tijdens mijn stage heb ik gekozen voor volgende webservers: Microsoft IIS 7.0 (Windows server 2008) Apache 2 (Ubuntu server)

Beide webservers draaien een zeer eenvoudige website. Deze websites dienen om het principe van loadbalancing te demonstreren.

7.5.2. Loadbalancer

Wat is een loadbalancer? Wat zijn de voordelen? Is dit noodzakelijk in een productieomgeving? Dit zijn de vragen die dikwijls gesteld worden wanneer we met een loadbalancer in contact komen.

Een loadbalancer is als het ware een doorgeefluik naar de webservers in het netwerk. De voordelen van een loadbalancer spreken voor zich: de load van de webservers optimaliseren. Dit draagt ongetwijfeld bij tot een betrouwbare productieomgeving. Zonder loadbalancer zou één webserver alle requests moeten behandelen, wat resulteert in een onbereikbare website.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

50

7.5.3. Manieren van loadbalancingMA02

Om de load van een webserver te beperken, zijn er verschillende manieren van loadbalancing. In deze paragraaf krijg je een overzicht van de beschikbare methoden. Round robin DNS Bij round robin DNS luisteren er meerdere webservers naar een bepaalde naam. De DNS-server krijgt de opdracht een willekeurige webserver aan te spreken. Hierdoor wordt de load verdeeld. Aan deze methode zijn een aantal nadelen verbonden. De DNS-server kan niet controleren of de webserver al dan niet offline is en hoe groot de load werkelijk is. Het kan dus nog steeds gebeuren dat de DNS-server een aanvraag doet bij een ‘dode’ webserver of een webserver die te veel werk heeft. Softwarematige oplossing Een reverse-proxy kan de load van de webservers beperken. Dit is een proxyserver die van buiten naar binnen werkt. Deze proxyserver wordt ingezet om de aanvragen van het internet gelijkmatiger te verdelen. Hoewel deze methode de load van de webservers kan beperken, biedt een reverse-proxy geen oplossing als er een webserver uitvalt. Hardwarematige oplossing Een laatste mogelijkheid is het opzetten van een aparte loadbalancing server. Deze server vangt alle aanvragen op en stuurt deze door naar een webserver in de serverpool. Er zijn verschillende fabrikanten die dergelijke hardware aanbieden. Voor de uitwerking van mijn project is er gekozen voor een product van F5 Networks. (BIG-IP Local Traffic Manager).

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

51

7.5.4. Opstelling loadbalancer Om het principe van loadbalancing te demonstreren, heb ik een hardwarematige loadbalancer geconfigureerd. Deze spreekt op basis van de round robin methode een webserver in de serverpool aan. Onderstaande figuur geeft de opstelling van de loadbalancer weer.

Figuur 19: Opstelling loadbalancer

De loadbalancer is voorzien van drie netwerkkaarten. De netwerkkaart met adres 10.9.100.7/24 vormt de managementtoegang. De twee andere netwerkkaarten met IPv6-adressen 2a02:2398:0:2000::20/64 respectievelijk 2a02:2398:0:2001::10/64 staan in om binnenkomende requests door te sturen naar de achterliggende webservers. De IPv6-webservers vormen samen de serverpool. De externe netwerkkaart is ook voorzien van een IPv4-adres. Deze zal instaan om aanvragen komende van een IPv4-client te verwerken.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

52

8. Resultaten

8.1.

Migratieondersteuning

Om een volledige migratie naar IPv6 tot stand te brengen, is het noodzakelijk dat alle tussenliggende niveaus het protocol ondersteunen. De meeste layer 3 switches, moderne routers, enzovoort bieden al een uitgebreide ondersteuning voor het protocol.

De moderne firewalls, bv. Check Point en Juniper, bieden ook ondersteuning voor de beveiliging van IPv6-netwerken, hetzij in een beperkte vorm. De IPv6functionaliteiten dienen toegevoegd te worden met behulp van IPv6upgradepacks. Daarbovenop dient de configuratie dikwijls te gebeuren via de CLI.

Ook de besturingssystemen zijn uitgerust om het protocol aan te sturen. UNIXgebaseerde systemen zoals OpenBSD, FreeBSD, Mac OS X, Ubuntu Linux, enzovoort staan bekend voor hun stabiele IPv6-ondersteuning. Ook Microsoft blijft niet op hun lauweren rusten en integreert IPv6-functionaliteit in het Windows-systeem, met mogelijkheid tot IP-autoconfiguratie.

8.2.

Testresultaten

In bijlage 4 vind je een overzicht van de uiteindelijke netwerkomgeving. Tijdens mijn stage heb ik het protocol onder de loep genomen en ben ik tot een aantal bevindingen gekomen.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

53

OpenBSD OpenBSD heeft een uitgebreide IPv6-ondersteuning. Het systeem accepteert binnenkomende connecties op IPv6-interfaces. Deze connecties kunnen d.m.v. de Packet Filtering (PF) firewall geëvalueerd worden.

Ik heb de OpenBSD ook ingericht als DHCPv6- en DNS-server. Deze services zijn volledig aangepast voor ondersteuning voor een IPv6-netwerk.

Check Point Check Point biedt ondersteuning voor de beveiliging van IPv6-netwerken. Om te kunnen werken met IPv6 is het noodzakelijk dat je beschikt over een IPv6upgradepack en een geldige IPv6-licentie. De procedure voor de upgrade en het verkrijgen van de licentie vind je terug in paragraaf 7.3.3.

Juniper Networks Out of the box zijn er geen IPv6-functionaliteiten actief. Deze moeten via de CLI geconfigureerd worden (cf. paragraaf 7.3.3.).

Cisco ASA Dit netwerksegment staat in voor de site-to-site VPN naar het netwerk op afstand. Cisco ASA beschikt standaard over de mogelijkheid een VPN-tunnel op te zetten tussen IPv6-netwerken.

F5 Firepass SSL VPN F5 is één van de marktleiders op het gebied van SSL VPN-verbindingen. Toch zijn ze nog niet klaar voor de komst van IPv6.

F5 BIG-IP Loadbalancer F5 is ook een bekende marktleider op het gebied van loadbalancers. In tegenstelling tot Firepass SSL VPN is BIG-IP volledig afgestemd op IPv6loadbalancing.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

54

Aruba Networks Aruba Networks is een zeer populaire fabrikant om het netwerk draadloos ter beschikking te stellen. ArubaOS is vanaf release 6.1 ook uitgebreid met IPv6functionaliteiten.

Deze software is met oudere hardware niet altijd compatibel, maar dit heeft weinig of geen beperkingen. Wanneer je de profielen definieert in de configuratie van Aruba, geef je mee welk VLAN de geconnecteerde gebruiker toegewezen wordt. De controller vraagt een IP-adres aan bij de DHCPv6-server en zal dit adres toekennen aan de interface.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

55

9. Algemeen besluit

IPv6 in de realiteit, wat is het en hoe wordt dit protocol in de praktijk toegepast? Dit was het doel dat ik bij de aanvang van mijn stage voor ogen had. Net omdat IPv6 nog zo onbekend is voor vele bedrijfsomgevingen was dit voor mij een hele uitdaging.

Ik ben zeer tevreden met de keuze van het project. Het betekent een meerwaarde voor mijn opleiding en voor mij is het als een voorbereiding op de toekomst. Door het dreigend tekort aan IPv4-adressen zal er in de loop der jaren een migratie moeten plaatsvinden naar deze versie van het Internet Protocol.

Bij de aanvang van het project waren er binnen Cegeka nog geen uitvoeringen geweest rond deze standaard. Door onderzoek te doen naar ondersteunende technologieën, is mijn netwerkomgeving geëvolueerd naar een volwaardig dualstacked netwerk, waarbij weinig of geen problemen ondervonden werden.

Tijdens de opzet van het netwerk heb ik het protocol uitgebreid bestudeerd. Hieruit heb ik een aantal besluiten kunnen trekken. Als je met IPv6 in contact komt, merk je al snel dat het een totaal ander protocol is. Technologieën zijn aangepast om het protocol aan te sturen, het IP-adres is totaal anders opgebouwd, enzovoort. Toch kan je op een gelijkaardige manier met het protocol omspringen om een netwerk te voorzien van IPv6-functionaliteiten.

Doorheen de jaren zijn er al verschillende experimenten uitgevoerd, toch is het protocol nog relatief nieuw. Dit heeft als nadeel dat er nog veel fouten in voorkomen. Hoewel er al veel technologieën aangepast zijn, blijft de ondersteuning zeer beperkt. Hieruit kunnen we besluiten dat IPv6 nog niet klaar is voor grote bedrijfsomgevingen.

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

56

10. Bijlagen
Bijlage 1: Inventarisatielijst
Hardware Cisco Catalyst 3750G Switch Cisco Catalyst 4006 Switch Cisco 7206 Router Cisco 2800 Router Inventarisatienummer / Label Backend Switch Backbone Switch 1 HI-11177 CISCO-2800

HP Proliant BL p-Class Server Blade HI-30108 Enclosure Rack HP Proliant BL Gbe2 HP Proliant BL Gbe2 HP BL20p G3 (Blade 1) HP BL20p G3 (Blade 2) HP BL20p G3 (Blade 5) HP BL20p G3 (Blade 6) HP BL20p G4 (Blade 7) Juniper SSG5 Blade Switch Links Blade Switch Rechts HI-20891 HI-20892 HI-11455 HI-20894 HI-12025 HI-18085

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

57

Bijlage 2: Netwerkdesign – Analyse

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

58

Bijlage 3: Netwerkdesign – Layer 2

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

59

Bijlage 4: Netwerkdesign – Layer 3

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

60

11. Lijst van figuren
Figuur 1: VPN Routing and Forwarding ............................................................. 13 Figuur 2: Interne client via SOCKS-proxy naar externe server .......................... 14 Figuur 3: Externe client via SOCKS-proxy naar interne server .......................... 15 Figuur 4: Overzicht VLAN ................................................................................... 17 Figuur 5: Overzicht extranet site-to-site VPN...................................................... 18 Figuur 6: Overzicht SSL VPN .............................................................................. 19 Figuur 7: Overzicht OSPF in multi-access netwerk............................................. 21 Figuur 8: Overzicht OSPF intra-area en inter-area routers1 .............................. 22 Figuur 9: Overzicht draadloos netwerk ............................................................... 23 Figuur 10: Overzicht IP-headers2 ........................................................................ 29 Figuur 11: Overzicht extension headers3 ............................................................. 30 Figuur 12: Magic Quadrant for Unified Threat Management4 ........................... 39 Figuur 13: Bare-metal hypervisor ....................................................................... 43 Figuur 14: Hosted hypervisor .............................................................................. 43 Figuur 15: VMWare vSphere Client toegangsscherm.......................................... 45 Figuur 16: Virtuele serverstructuur en performance ........................................... 46 Figuur 17: VMWare vSphere Client Summary .................................................... 47 Figuur 18: Overzicht vSwitch............................................................................... 48 Figuur 19: Opstelling loadbalancer ..................................................................... 51

1 2 3

http://www2.zyxel.com/system/kb_upload/7852_a/index.files/image002.jpg http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_9-3/ipv6_internals.html

http://www.cisco.com/en/US/prod/collateral/iosswrel/ps8802/ps6968/ps6441/images/product_b ulletin_c25-409474-027.jpg 4 http://www.ggb.nl/nieuws/check-point-named-a-leader-in-gartner-umt-magic-quadrant

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

61

12. Lijst van tabellen

Tabel 1: IPv6-adresnotatie ................................................................................... 31 Tabel 2: IPv6-adrestypes5 ..................................................................................... 32

5

http://www.govcert.nl/dienstverlening/Kennis+en+publicaties/whitepapers/ip-versie6ipv6.html

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

62

13. Literatuuropgave en referenties
[CK10] Cegeka, Over Cegeka, [online] available, http://www.cegeka.be/NL/Algemeen/OverCegeka, Updated 01/03/2010 GOVCERT, IP versie 6, [online] available, http://www.govcert.nl/dienstverlening/Kennis+en+publicaties /whitepapers/ip-versie-6-ipv6.html, Updated 10/03/2011 Your-Freedom, Bypass restrictive firewalls and filtering web proxys, [online] available, http://www.your-freedom.net/, Updated 31/03/2010 Cleuren Johan, Netwerken en besturingssystemen fundamentals, ‘ Hoofdstuk 3: De linklaag en Ethernet - Virtual bridging en VLAN’s’, 2009, (31 - 32) J. Tyson, S. Crawford, How VPNs Work, [online] available, http://computer.howstuffworks.com/vpn4.htm, Updated 21/04/2010 Search Security, SSL VPN, [online] available, http://searchsecurity.techtarget.com/definition/SSL-VPN, Updated 06/20/2006 Brent Stewart, Denise Donohue, CCNP Routing and Switching Quick Reference, USA: Cisco Press, 2010, (31 – 42, 107) Tekst en Uitleg, Het OSI model, [online] available, http://www.tekstenuitleg.net/artikelen/netwerken/osi-model/osimodel.html, Updated 29/03/2010 Cleuren Johan, Netwerken en besturingssystemen fundamentals, ‘Hoofdstuk 2: OSI en TCP/IP model’, 2009, (6 – 10) Computerwoorden, OSI-model, [online] available, http://www.computerwoorden.nl, Updated 29/03/2010 Firewall Features, Hoofdstuk 3: Hoe werkt een firewall?, [online] available, http://users.telenet.be/force/firewall/werkingfirewall.html, Updated 13/04/2010 David Z., Types of firewalls, [online] available, http://www.associatedcontent.com/article/1793318/types_of_firewall

[CG11]

[YF10]

[CJ09]

[TJ10]

[SS06]

[SB10]

[TU10]

[CL09]

[CW10]

[FW10]

[ZD09]

Eindwerk Academiejaar 2010 – 2011

Stijn Willems

63

s.html?cat=15, Updated 06/06/09 [MA02] Meijden Arjen van der, Loadbalancing bij Tweakers.net, [online] available, http://tweakers.net/reviews/301/loadbalancing-bij-tweakers-puntnet.html, Updated 05/22/02 IT Management Group, Virtualisatie, [online] available, http://www.itmg.nl/virtualisatie.html, Updated 02/05/2010 Vandewalle Bram, Virtualisatie met VMware ESXi 4.0, [online] available, http://salamanca.khbo.be:8080/doks/do/record/Get?dispatch=view&r ecordId=SKHB8a81998228859f250128889f710f0161, Updated 2010

[MG10]

[VB10]

Eindwerk Academiejaar 2010 – 2011

Stijn Willems