Funet
Expand all   Collapse all



Muut työtilat

Funet Tiimi
VideoFunet
Funet CERT
[FunetSec:]

Skip to end of metadata
  • Created by Unknown User (joksanen@csc.fi), last modified by Unknown User (jsirpoma@csc.fi) on Nov 10, 2014
Go to start of metadata
TunnisteFunetin Parhaat käytännöt
Versio1.1
TilaPäivitetty (Dokumenttina julkaistu versio 12.2.2013)
Päiväys10.11.2014
OtsikkoIPv6-siirtymäopas
TyöryhmäAccessFunet
LaatijatJani Sirpoma/CSC, Teemu Kiviniemi/CSC, Janne Oksanen/CSC, Ville Mattila/CSC
VastuutahoJani Sirpoma/CSC
TyyppiSuositus

Johdanto

Tässä dokumentissa esitellään korkealla tasolla toimenpiteitä joiden avulla IPv6-siirtymä voidaan toteuttaa hallitusti organisaatiossa joka käyttää IPv4:ää. Tämän dokumentin ehdottamaa työjärjestystä on mahdollista käyttää esimerkiksi IPv6-projektisuunnitelman runkona, tai muuten apuna IPv6-siirtymän suunnittelussa. Dokumentin lähtökohtana on ollut se, että IPv4-protokolla poistetaan lopulta kokonaan käytöstä.

Tässä dokumentissa on pyritty huomiomaan IPv6-siirtymän kannalta oleelliset asiat ja niiden väliset riippuvuudet niin, että IPv6-protokolla voidaan lisätä turvallisesti valmiiseen IPv4-verkkoon. Teknisten asioiden lisäksi myös hallinnolliset asiat on otettu huomioon.

Pelkistettyjä tekstikohtia on pyritty linkkaamaan kyseistä aihepiiriä laajemmin käsitteleviin muihin dokumentteihin ja verkkoresursseihin.

Kaikenlaiset kommentit tästä dokumentista ovat erittäin tervetulleita.

IPv6-siirtymäprojektin runko

1. vaihe: IPv6-siirtymään valmistautuminen

  • Hallinnolliset asiat
    • Organisaation kaikkia osia tulisi informoida IPv6-siirtymästä ja siitä ettei vaihtoehtoja ole.
    • Johto voi asettaa IPv6-siirtymää varten projektin.
    • Vain IPv4:ää tukevien ohjelmistojen, laitteistojen ja palveluiden hankinta lopetetaan. IPv6 huomioidaan tämän jälkeen kaikissa hankinnoissa ja kilpailutuksissa. Jos IPv6-kykyisiä vaihtoehtoja ei ole saatavilla hankintahetkellä, hankittavan tuotteen tai palvelun myöhempää IPv6-siirtymää varten tarvittavat toimenpiteet selvitetään ja suunnitellaan ennen hankinnan tekemistä.
    • Henkilöstölle järjestetään IPv6-koulutusta ja IPv6-kokemus huomioidaan ylläpitäjien rekrytoinnissa.
    • Järjestelmät, palvelut ja ohjelmistot (alempana komponentit) jotka vaativat IPv4:n (tai eivät toimi sellaisessa ympäristössä jossa on vain IPv6) tunnistetaan ja listataan.
  • Ohjelmistokehitys
    • IPv6 lisätään organisaation sisällä kehitettävien ohjelmistojen roadmappeihin.
  • Osoitteistus ja verkkoinfrastruktuuri
    • IPv6-osoitelohko hankitaan paikalliselta osoiterekisteriltä.
    • Tehdään IPv6-osoitteistussuunnitelma.
  • Testausalustan rakentaminen
    • Rakennetaan testauksia varten verkko työasemien, palvelinten ja palvelujen IPv6-käyttöönottoa varten
    • Testiympäristössä voidaan testata IPv6:n toimivuus eri laitteissa, käyttöjärjestelmäversioissa jne. ilman pelkoa että häiritään tuotantotoimintaa.
  • Vaiheen lopputulokset
    • Organisaatio on aloittanut hallitun IPv6-siirtymän.

2. vaihe: Vaiheittainen IPv6:n käyttöönotto verkossa

  • Verkkoinfrastruktuuri
    • IPv6-tuki lisätään verkon perusinfrastruktuuriin: reitittimet, kytkimet, palomuurit.
    • IPv6 otetaan käyttöön joissain verkon peruspalveluissa: DNS- ja NTP-palvelimet, syslog-palvelimet. Uusia IPv6-palveluita valvotaan vähintään samalla tarkkuudella kuin vastaavia IPv4-palveluita.
  • Työasemat
    • IPv6 otetaan käyttöön verkkoa ja järjestelmiä ylläpitävien asiantuntijoiden työasemissa.
  • Verkon hallinta- ja valvontajärjestelmät
    • IPv6 otetaan käyttöön verkonhallintajärjestelmissä (esimerkiksi ylläpitopalvelimet)
    • IPv6 otetaan käyttöön verkonvalvontajärjestelmissä (esim. Nagios-valvonta, tilastointi, ym.)
    • IPv6-tuki lisätään mahdollisiin Netflow-kollektoreihin ja IDS/IPS-järjestelmiin
    • Uusille verkkolaitteille otetaan käyttöön ensisijaisesti vain IPv6-hallintaosoitteet ellei IPv4-osoitetta välttämättä tarvita.
  • Vaiheen lopputulokset
    • Verkkoa ylläpitävät asiantuntijat pystyvät käyttämään IPv6:ta, ja pystyvät hallinnoimaan ja valvomaan IPv6-kykyistä verkkoa, järjestelmiä ja palveluita.
    • Ylläpitotyö helpottuu kun vältetään tarpeeton IPv4:n käyttöönotto hallintaa ja valvotaan varten.

3. vaihe: Valmistautuminen IPv6:n käyttöönottoon palvelimissa

  • Hallinnolliset asiat
    • Kaikki organisaation sisäiset prosessit huomioivat IPv6:n.
  • Tukijärjestelmät
    • IPv6-tuki lisätään kaikkiin tukijärjestelmiin: esimerkiksi palvelunhallintajärjestelmät, raportointijärjestelmät, laiterekisterit, järjestelmänhallintatyökalut.
  • Verkkoinfrastruktuuri
    • IPv6-tuki lisätään kaikkiin verkkoihin, ilman tunnelointia.
  • Vaiheen lopputulokset
    • Kaikissa verkoissa on IPv6-tuki.
    • Kaikki tukijärjestelmät pystyvät käsittelemään tietoa IPv6:ta käyttävistä laitteista ja järjestelmistä.
    • Kaikki organisaation sisäiset prosessit ovat valmiita IPv6:n käyttöönottoon.

4. vaihe: IPv6:n käyttöönotto työasemissa

  • Työasemat
    • IPv6 otetaan käyttöön kaikissa työasemissa ja kannettavissa. Tyypillisten käyttöjärjestelmien viimeisimmissä versioissa protokolla on oletuksena päällä. Hallituissa verkoissa käytetään mahdollisuuksien mukaan esimerkiksi DHCPv6:ta osoitteiden jakamiseen.
    • Työasemat ja kannettavat tietokoneet asetetaan käyttämään DNS:ää ja NTP:tä IPv6:lla.
  • Vaiheen lopputulokset
    • Kaikki organisaation työasemat ja kannettavat tukevat sekä IPv4:ää, että IPv6:ta (dual-stack).

5. vaihe: IPv6:n käyttöönotto palvelimissa ja palveluissa

  • Palvelimet ja palvelut
    • IPv6-tuki lisätään vähitellen kaikkiin palvelimiin ja palveluihin. IPv6-tuki voidaan lisätä jo käytössä oleviin palvelimiin ja palveluihin, tai käyttöönotto voidaan tehdä sitä mukaa kun verkkoon asennetaan uusia palvelimia, tai vanhoja palvelimia korvataan uusilla.
    • Kaikkia IPv6-palveluita valvotaan vähintään samalla tarkkuudella kuin vastaavia IPv4-palveluita, jotta pelkästään IPv6:ta koskevat ongelmat havaitaan nopeasti.
    • Nimipalveluun lisätään palveluiden IPv6-osoitteet AAAA-tietueina samoille DNS-nimille kuin IPv4-palveluille. Erillisiä *.ipv6.organisaatio.fi -nimiä ei käytetä.
  • Ohjelmistokehitys
    • Kaikki organisaation sisällä kehitetyt ohjelmistot tukevat IPv6:ta.
  • Vaiheen lopputulokset
    • Kaikki organisaation sisällä kehitetyt ohjelmistot tukevat IPv6:ta.
    • Kaikki palvelimet ja palvelut tukevat sekä IPv4:ää että IPv6:ta (dual-stack).

6. vaihe: Hankkiutuminen eroon IPv4-riippuvuuksista

  • Hallinnolliset asiat / IPv6-siirtymäprojekti
    • Jokaista IPv4-riippuvaista komponenttia varten kirjoitetaan suunnitelma, joka kertoo miten IPv6-siirtymä hoidetaan. Jos IPv6-siirtymä ei ole mahdollista, suunnitellaan komponentille käytöstä poisto huomioiden järjestelmien jäljellä oleva odotettu elinikä.
    • Kaikkien IPv4-riippuvaisten komponenttien tilannetta seurataan ja valvotaan systemaattisesti, kunnes kaikki IPv4-riippuvuudet on saatu poistettua.
  • Vaiheen lopputulokset
    • Kaikki IPv4-riippuvuudet on poistettu. Kaikki järjestelmät, palvelut ja ohjelmistot pystyvät toimimaan ympäristössä jossa ei ole IPv4:ää.

7. vaihe: IPv4:n poistaminen käytöstä työasemissa

  • Verkkoinfrastruktuuri
    • Verkkoon rakennetaan NAT64- ja DNS64-palvelut työasemia varten.
  • Työasemat
    • NAT64- ja DNS64-palveluiden käyttöä pilotoidaan aluksi rajatulla käyttäjäkunnalla (esimerkiksi ylläpitävien asiantuntijoiden työasemat)
    • Kun IPv4-liikennemäärät ovat tippuneet riittävästi, tai kun katsotaan että IPv4-tuen säilyttäminen työasemissa on liian suuri rasite, IPv4 poistetaan vähitellen kaikista työasemista. Työasemat asetetaan käyttämään NAT64- ja DNS64-palveluita jäljellä olevan IPv4-internetin käyttämistä varten.
  • Vaiheen lopputulokset
    • Kaikista työasemista on poistettu IPv4, ja työasemat käyttävät vain IPv6:aa.

8. vaihe: IPv4:n poistaminen palvelimista ja palveluista

  • Palvelimet ja palvelut
    • Sitä mukaa kun palvelimissa tai palveluissa ei tarvitse enää IPv4-tukea (tai kun mahdollisella erikseen rakennettavalla NAT46-palvelulla voidaan tarjota riittävä IPv4-tuki), IPv4 poistetaan käytöstä vähitellen kaikista palvelimista ja palveluista.
  • Vaiheen lopputulokset
    • Kaikista palvelimista ja palveluista on poistettu IPv4. Palvelimet ja palvelut käyttävät pelkästään IPv6:ta.

9. vaihe: IPv4:n poistaminen käytöstä

  • Verkkoinfrastruktuuri
    • IPv4 poistetaan käytöstä verkon valvonta- ja hallintajärjestelmistä.
    • NAT64-, NAT46 ja DNS64-palvelut poistetaan käytöstä.
    • IPv4-asetukset ja osoitteet poistetaan kaikista reitittimistä ja muusta verkon perusinfrastruktuurista.
    • IPv4-osoitteet palautetaan paikalliselle osoiterekisterille
  • Vaiheen lopputulokset
    • IPv4:ää ei enää käytetä missään.
    • IPv6-siirtymä on valmis.

 

Muita IPv6-siirtymässä huomioitavia asioita

IPv6 ja prosessit

  • On tärkeää että organisaation kaikki prosessit ottavat IPv6:n huomioon. IPv6-siirtymä ei valmistu koskaan, jos osa organisaatiosta rakentaa vain IPv4:ää tukevia palveluita, tai hankkii vain IPv4:ää tukevia laitteita ja ohjelmistoja. IPv4-sidonnaiset ohjelmistot, laitteet ja järjestelmät aiheuttavat ongelmia myöhemmin siirtymän aikana.

Tunneloinnin käyttäminen IPv6-käyttöönottoon

  • Tunneloinnin käyttäminen (GRE/IP, IP/IP) ei ole suositeltavaa IPv6-käyttöönotossa. IPv6 tulisi ottaa käyttöön natiivina. Tunnelointia käytettiin varhaisissa IPv6-kokeiluissa kun suurin osa laitteista ei vielä tukenut IPv6:ta. Nykyään IPv6-tuki on laajasti saatavilla, joten tunneloinnin käyttämiselle ei ole samanlaisia perusteita.
  • Tunneloinnin käyttäminen hidastaa IPv6-siirtymää ja tekee sen monimutkaisemmaksi. Se luo myös tietoturvauhkia, joita natiivissa liikenteessä ei ole.

  • GRE ja IP/IP saattavat olla käyttökelpoisia menetelmiä yhdistää IPv6-saarekkeita toisiinsa IPv6-kyvyttömien runkoyhteyksien (esim. DSL-yhteyksien varassa toimiva etätoimipiste) kautta toisiinsa.

    Ongelmia aiheutuu työasemien (Windowsinkin oletuksena) käyttämät Teredo-ja 6to4-tunneloinnit: ne pitäisi eliminoida tarjoamalla natiivi IPv6 transport työasemaverkoissa, jolloin pystytään paremmin hallitsemaan työasemien IPv6-liikenteen reitittyminen.

Palveluiden valvonta, laatu ja suorituskyky

  • Jos IPv6-tuki lisätään palveluun tai palvelimeen, uutta IPv6-palvelua on valvottava vähintään yhtä tarkasti kuin vastaavaa IPv4-palvelua. Jos IPv6-palveluita ei valvota kunnolla, IPv6-ongelmat jäävät tunnistamatta ja IPv6-käyttäjät saavat huonompaa palvelua.
  • IPv6-palvelun laatu ja suorituskyky on oltava vähintään yhtä hyvä kuin vastaavan IPv4-palvelun. Haasteita tosin löytyy. Esimerkiksi verkkokorttien offload/irq affinity -ominaisuudet eivät välttämättä tue IPv6:tta yhtä kattavasti kuin IPv4:ää).  Hankinnoissa kannattaa huomioida suorituskykyerot ja toiminnot.

Tietoturva

  • Olemassa olevat tietoturvapolitiikat täytyy kohdistaa erikseen uuteen protokollaan ja se tuo myös mukanaan uusia uhkia.
  • Tietoturvaongelmat voidaan osin tunnistaa vasta ottamalla järjestelmä käyttöön. Vain siten laitevalmistajat saadaan korjaamaan esiin tulevia ongelmia ja standardoinnilla voidaan puuttua asioihin.

IPv6-siirtymän vastuut

  • Organisaation sisällä IPv6-siirtymän vastuut tulisi olla selkeästi määritelty. Vastuu siirtymästä voidaan antaa esimerkiksi johdon asettamalle IPv6-siirtymäprojektille.
  • IPv6-siirtymästä vastaavan tahon on huolehdittava että organisaation kaikki toimijat ovat sitoutuneet IPv6-siirtymän toteuttamiseen.

Sisäinen ja ulkoinen yhteistyö

  • Organisaation sisälle voidaan perustaa yhteistyöryhmä avustamaan IPv6-siirtymän ongelmissa ja jakamaan IPv6-tietoa ("IPv6 task force", tms).
  • Organisaation kannattaa seurata myös ulkoisia yhteistyöfoorumeita: esimerkiksi Terena, IETF:n 6man-, v6ops- ja sunset4-työryhmät.

IPv6-tietoisuuden levittäminen organisaatiossa

  • Kaikkien henkilöiden tulee ymmärtää IPv6:een liittyvät asiat vähintään yhtä hyvin kuin vastaavat IPv4-asiat.
  • Kaikkien hankintoja ja kilpailutuksia tekevien henkilöiden on oltava tietoisia IPv6-asioista.

Tukiresursseja:

Käyttöönottoprojekti:

  • IPv6 for All: A Guide for IPv6 Usage and Application in Different Environments [eBook]
    (Cicileo et al, Internet Society Argentina Chapter, 2009. Käännös: LACNIC, 2011)
    <http://www.ipv6tf.org/pdf/ipv6forall.pdf>

Kattava opaskirja, joka käsittelee käyttöönoton kaikki vaiheet erilaisten organisaatioiden näkökulmasta.

Konferenssiesitys IPv6-käyttöönoton käytännön kokemuksista ja ongelmanratkaisusta kampuksella.

Tämä kirja auttaa IPv6 siirtymän suunnittelussa antamalla korkean tason yleiskuvan siirtymän teknisistä ja ei-teknisistä vaiheista. 

Hankinnat, yhteensopivuus ja riippuvuudet

  • IPv6 Ready Logo Program Approved List

<https://www.ipv6ready.org/db/index.php/public/?o=6>

Lista IPv6 Ready Logo –ohjelman hyväksymistä tuotteista. Ohjelma mittaa standardien noudattamista ja eri valmistajien tuotteiden keskinäistä yhteentoimivuutta. Suomessa partnerina VTT Oulu.

Eräs listaus järjestelmistä, ohjelmistoista, palveluista jne, joista löytyy IPv6-tuki.

  •  Requirements for IPv6 in ICT Equipment

<http://www.ripe.net/ripe/docs/current-ripe-documents/ripe-554>

RIPEn laatima ”parhaat käytännöt” -tyyppinen hankintaohjeistus julkiselle sektorille ja suuryrityksille IPv6-yhteensopivien verkkolaitehankintojen tarjouskilpailuja varten.

  • IPv4 Captivity 2011 Dependence on Internet Protocol Version 4 in application software source code

(van Oosten et al. SIG Trend Report, 2012)

<http://www.sig.eu/blobs/Research/Scientific%20publication/2012/201204%20SIG%20Trend%20Report%20on%20IPv4%20Captivity%202011.pdf>

 Tutkimusraportti, jossa seurataan vuosittain ohjelmistotuotteiden IPv4-riippuvuuksia.

  • Microsoft TechNet - Networking and Access Technologies: IPv6

<http://technet.microsoft.com/en-us/network/bb530961.aspx>

Microsoftin resurssikokoelma IPv6 –aihepiiristä

  • IPv6 Support in Microsoft Products and Services

<http://technet.microsoft.com/fi-fi/network/hh994905>

Listaus Microsoftin ohjelmistojen ja palveluiden IPv6 -yhteensopivuudesta

Osoitteistussuunnittelu

 

Työkaluja osoitekirjanpitoon

Lainsäädäntö

Tämä kirja pyrkii osaltaan antamaan joitakin perustietoja IPv6-tekniikasta   ja analysoimaan   oikeudellisesta näkökulmasta  ongelmia ja mahdollisia ratkaisuja   yksityisyyden suojaan , tietosuojaan ja immateriaalioikeuksiin liittyen.

Oppimateriaali

 

 Verkonvalvonta ja -hallinta

Konferenssiesitys Nagios-valvonnan dual-stack toteutuksesta check_v46 -pluginin avulla.

  • 6Mon: Rogue IPv6 Router Advertisement detection and mitigation and IPv6 address utilization network monitoring tool [Presentation]
    (Sommari, Marco. Institute of Informatics and Telematics – CNR Pisa, 2012)

    <https://tnc2012.terena.org/getfile/1560>

Konferenssiesitys työkalusta, jolla voidaan valvoa ja torjua vihamielisiä reittimainostuksia verkossa.

Tietoturva

  • Guidelines for the Secure Deployment of IPv6 – NIST Special publication 800-119
    (Frankel et al. National Institute of Standards and Technology 2010)

    <http://csrc.nist.gov/publications/nistpubs/800-119/sp800-119.pdf>

    Laaja Yhdysvaltojen kauppaministeriön tuottama IPv6 -käyttöönotto-opas, mikä huomioi myös tietoturvakysymykset

Artikkeleita:

Ohjelmointiresursseja

         

Käyttöönotto tyypillisissä palvelinsovelluksissa

 

IPv6 edistäminen Suomessa

Kansainväliset yhteistyöorganisaatiot ja -projektit

  • 6Deploy - IPv6 Deployment and Support
    <http://www.6deploy.eu/>

    IPv6-käyttöönottoa tukemaan perustettu EU-projekti, joka järjestää mm. koulutuksia.

  • Deploy360 | IPv6
    <http://www.internetsociety.org/deploy360/ipv6/>

    Internet Societyn ohjelma, jonka tavoitteena on jakaa tietoa ja kokemuksia IPv6 -käyttöönotosta eri tavoin. Sivusto sisältää myös DNSSEC ja reititysasiaa.

Käyttötilastoja

  • World IPv6 Launch Measurements

 <http://www.worldipv6launch.org/measurements/>

  • Google IPv6 Statistics 

<http://www.google.com/ipv6/statistics.html>

  • RIPE NCC IPv6 Statistics

<http://www.ipv6actnow.org/info/statistics/>

  • Akamai IPv6 Traffic Volume

<http://www.akamai.com/ipv6>

  • Akamai: Neljännesvuosittainen Internetin tila –raportti 

<http://www.akamai.com/stateoftheinternet/>

  • Eurooppalaisten operaattorien IPv6 -kykyisyys (RIPEness rating)

<http://ripeness.ripe.net/>

  • No labels