IPv6 IMPLEMENTATION IN VNPT - VNIX-NOGtẬp ĐoÀn bƯu chÍnh viỄn thÔng viỆt nam vietnam...

Preview:

Citation preview

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 IMPLEMENTATION IN VNPT

1

VŨ XUÂN NHÀN 11/2016NOC – VNPT Net

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Contents

• 6PE/6VPE model

• IPv6 implementation in VNPT• Service models

• IPv6 allocation

• IPv6 CPE

• IPv6 security threats

• Problems

11/29/2016 VNNIC NOG 2

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

6PE/6VPE model

• Transporting IPv6 traffic in IPv4 based MPLS network

• No change in core MPLS network, only in PE/ASBR

• Enable inet6 label-unicast, inet6-vpn, inet6-mvpn, ipv6-tunneling…

11/29/2016 VNNIC NOG 3

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

6PE/6VPE model

11/29/2016 VNNIC NOG 4

ASBR-IXP

(6PE)

VN2

ASBR-NIX

(6PE)

eBGPDualStack DOMESTIC

PEERINGS

APPsServer

WebServer

BRAS

MANE

DSLAM/SWITC

H

PE/BNG (6PE)

CPEeB

GP

DualStack

APPsServer

WebServer

UPSTREAMS/PEERINGS

RR Inet & VPN

iBGP

Server IPv6

Server IPv6

RR IPv6

PE/BNG (6PE)

MANE

CPE

VPN

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Contents

• 6PE/6VPE model

• IPv6 implementation in VNPT• Service models

• IPv6 allocation

• IPv6 CPE

• IPv6 security threats

• Problems

11/29/2016 VNNIC NOG 5

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 implementation in VNPT

• Target• Dual-stack: 2016-2019

• Pure IPv6: from 2020

• Services• ILL (Internet Leased Line), IPv6 transit

• IPv6 L3VPN

• HSI (High Speed Internet)

• 4G/LTE (dual-stack)

• Hosting/Email server…

11/29/2016 VNNIC NOG 6

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Service models: ILL, IPv6 transit

11/29/2016 VNNIC NOG 7

ASBR-IXP

(6PE)

VN2

ASBR-NIX

(6PE)

eBGPDualStack

DOMESTIC

APPsServer Web

Server

MANE

PE (6PE)

CPE

eBGP

DualStack

APPsServer

UPSTREAMS/PEERINGS

Server IPv6

Server IPv6

RR IPv6

PE (6PE)

CPE

CE

DSLAM/SWITCH

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Service models: IPv6 L3VPN

11/29/2016 VNNIC NOG 8

VN2MANE

PE (6PE)

CPE

RR IPv6 VPN

PE (6VPE)

CPE

CE

DSLAM/SWITCH

PE (6VPE)

PE (6VPE)

VPN

VPN

VPN

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Service models: HSI

11/29/2016 VNNIC NOG 9

ASBR-IXP

(6PE)

VN2

ASBR-NIX

(6PE)

eBGPDualStack

DOMESTIC

APPsServer

WebServer

BRAS

MANE

DSLAM/SWITCH

PE/BNG (6PE)

CPEeB

GP

DualStack

APPsServer

WebServer

UPSTREAMS/PEERINGS

RR Inet & VPN

iBGP

Server IPv6

Server IPv6

RR IPv6

PE (6PE)

Radius

MANE

DSLAM/SWITCH

CPE

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Allocation

• Total: /32

• Loopback: /128

• Connected IP: point-to-point /126 or /127. /64 for each router

• Broadband subscribers:• N*/40 for each province

• N*/64 for each subscriber

• /40-/45 aggregated before being advertised

11/29/2016 VNNIC NOG 10

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Allocation

• Unique Local Address (fc00::/7) or Global unicast IPv6 for Internal IP addresses?

11/29/2016 VNNIC NOG 11

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Allocation schemes for broadband subscribers• 01*/64 for each subscriber?

• 01*/64 WAN and N*/64 LAN for each subscriber?

• DHCPv6 IA_NA, NDRA and DHCPv6 PD

11/29/2016 VNNIC NOG 12

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Allocation schemes for broadband subscribers: Radius attributes

11/29/2016 VNNIC NOG 13

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Addressing: DHCPv6 IA_NA and DHCPv6 PD

11/29/2016 VNNIC NOG 14

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Addressing: NDRA and DHCPv6 prefix Delegation

11/29/2016 VNNIC NOG 15

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Addressing: NDRA

11/29/2016 VNNIC NOG 16

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Addressing: DHCPv6 prefix Delegation

11/29/2016 VNNIC NOG 17

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 Allocation schemes for broadband subscribers• VNPT uses:

• DHCPv6 PD

• NDRA and DHCPv6 PD

• Other ISPs

11/29/2016 VNNIC NOG 18

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 for L3VPN

• Unique Local Address (fc00::/7)?• Cannot be routed in internet

• NAT may needed!

• More secured

• Global unicast?• Address overlapping

• Multihoming

11/29/2016 VNNIC NOG 19

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 supported CPE

• GPON Huawei, ZTE

• GPON VNPT Technology

• AON?

• EMS: Remotely IPv6 enable?

11/29/2016 VNNIC NOG 20

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Contents

• 6PE/6VPE model

• IPv6 implementation in VNPT• Service models

• IPv6 allocation

• IPv6 CPE

• IPv6 security threats

• Problems

11/29/2016 VNNIC NOG 21

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 security threats

• Reconnaissance in IPv6

• Neighbor Discovery Issues

• L3 Spoofing in IPv6

• DHCPv6 Threats

11/29/2016 VNNIC NOG 22

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Reconnaissance in IPv6

• Attackers use site-local multicast addresses (FF05::2 all-routers, FF05::FB mDNSv6, FF05::1:3 all DHCP servers) or link-local multicast addresses (FF02::1 all nodes, FF02::2 all routers)

• Reconnaissance preventing• Block FEC0::/10 (deprecated site-local addresses)

• Permit mcast to FF02::/16 (link-local scope)

• Permit mcast to FF0E::/16 (global scope)

• Block all mcast

11/29/2016 VNNIC NOG 23

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Neighbor Discovery Issues

• Fake IPv6 router sends out RA packets. New client may receives fake RAs then connects to the fake IPv6 router.

• Attacker sends fakes Neighbor advertisements. Clients send all packets to the attacker.

• Attacker listens for ICMPv6 DAD packets and sends a response that this IPv6 address already exists.

11/29/2016 VNNIC NOG 24

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Neighbor Discovery Issues: Mitigation

• Block ICMPv6 RA from hosts

• Secure Neighbor Discovery (for ND and DAD issues)

11/29/2016 VNNIC NOG 25

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

L3 Spoofing in IPv6

• Tool for Protecting Against L3 Spoofing: uRPF

11/29/2016 VNNIC NOG 26

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

DHCPv6 Threats

• Rogue DHCPv6 client and servers on the link-local multicast address (FF02::1:2)

• Rogue DHCPv6 servers on the site-local multicast address (FF05::1:3)

• Mitigation:• DHCPv6 authentication

• ACL to block DHCPv6 traffic (UDP 546, 547)

11/29/2016 VNNIC NOG 27

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

IPv6 security threats: Protect ISP’s network• Well tested IPv6 filter for router’s loopback

• Well tested IPv6 filter for customer facing interfaces

• IPv6 DDoS and DDoS Mitigation

11/29/2016 VNNIC NOG 28

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Protect ISP’s network: protect RE

• Permit inet6 BGP peers

• Police DHCP, icmp, UDP traceroute, TCP established

• Discard others

11/29/2016 VNNIC NOG 29

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Protect ISP’s network: protect ISP

• Permit inet6 BGP peers

• Police icmp, UDP traceroute

• Discard connections to Internal IP adds

• Permit others

11/29/2016 VNNIC NOG 30

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Contents

• 6PE/6VPE model

• IPv6 implementation in VNPT• Service models

• IPv6 allocation

• IPv6 CPE

• IPv6 security threats

• Problems

11/29/2016 VNNIC NOG 31

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

Problems

• Radius, VISA, LDAP

• Billing

• DNS

• IPv6 security

• IPv6 contents

11/29/2016 VNNIC NOG 32

TẬP ĐOÀN BƯU CHÍNH VIỄN THÔNG VIỆT NAMVIETNAM POSTS AND TELECOMMUNICATIONS GROUP

11/29/2016 VNNIC NOG 33

Discussion

Recommended