CCNA4_CHAPITRE 7_BADIL (1)

CHAPITRE 7

SEVICES D’ADRESSAGE IP

Introduction

Fait par : Fadéla HAMDAD

Source : Curriculum Cisco CCNA4 4.0 et CCNA 5.X

avec ajouts, modifications et corrections

Tous les textes sont mentionnés CCNA4 4.0.

Cependant, certains peuvent être issus du CCNA4 5.X (en plus des illustrations)

ou du CCNA Security.

Source : Curriculum Cisco CCNA4 4.0

CROISSANCE SPECTACULAIRE D’INTERNET MANQUE D’ADRESSES IP DISPONIBLES. Les adresses privées et NAT sont deux de ces solutions à court terme.

NAT permet aux hôtes du réseau interne d’emprunter une adresse IP Internet publique pendant qu’ils

accèdent aux ressources Internet.

Lorsque le trafic demandé revient, l’adresse IP publique est redéfinie et disponible pour la requête Internet suivante effectuée par un hôte interne.

Avec NAT, les administrateurs réseau n’ont besoin que d’une ou de quelques adresses IP que le routeur fournit aux hôtes, plutôt qu’une adresse IP unique pour chaque client.

Les adresses privées, les adresses publiques dynamiques avec DHCP (allouées par le FAI aux

utilisateurs) et NAT ont été une solution à court terme. Maintenant, les adresses IPv4 manquent.

Au milieu des années 90, le groupe de travail IETF a lancé le groupe (IPng) (IP nouvelle génération) .En 1996, le groupe de travail IETF a commencé à publier un certain nombre de documents RFC définissant le protocole IPv6.

La principale caractéristique du protocole IPv6 est son plus grand espace d’adressage : les adresses

utilisées par l’IPv6 ont une longueur de 128 bits contre 32 bits avec l’IPv4.

DHCP


LE PROTOCOLE

DHCP


Pour pouvoir les gérer à distance notamment.

Le protocole DHCP attribue les adresses IP et d’autres informations sur la configuration de façon dynamique.

Les administrateurs préfèrent les services DHCP car ces solutions sont évolutives et faciles à gérer.

Un routeur Cisco peut être configuré pour fournir les services DHCP, évitant ainsi l’achat d’un serveur dédié : c’est le

jeu de fonction EASY IP de Cisco IOS.


Mécanismes DHCP d’allocation d’adressesLe protocole DHCP fonctionne en client/serveur.

ALLOCATION MANUELLE

L’administrateur configure une réservation DHCP sur le serveur (comme ce qu’on a vu sur LINKSYS) en faisant

correspondre une adresse IP à une adresse MAC. Le DHCP communique l’adresse IP au périphérique dès qu’il

est connecté.

ALLOCATION AUTOMATIQUE

DHCP attribue de façon automatique et permanente (pas de bail) une adresse IP à un périphérique en la

sélectionnant dans un pool d’adresses disponibles.

ALLOCATION DYNAMIQUE

Le protocole DHCP attribue, ou loue, de façon automatique et dynamique une adresse IP à partir d’un pool

d’adresses pour une durée limitée (bail) définie par le serveur ou jusqu’à ce que le client indique au serveur DHCP qu’il n’a plus besoin de cette adresse.

Les pools sont dédiés à des sous-réseaux IP.

voir


http://guide.ubuntu-fr.org/server/dhcp.html

LES BAUX DHCP

Le bail permet de s’assurer que les hôtes qui se connectent et se déconnectent souvent ou qui sont

éteints ne conservent pas des adresses dont ils n’ont plus besoin : économie de ressources

L’hôte doit régulièrement contacter le serveur DHCP pour renouveler le bail (DHCP-Request) :

Et ce, après avoir atteint 50% du bail sous windows. Si le bail n’a pas pu être renouvelé après 50% de son utilisation, l’hôte interroge tous les seveurs DHCP pour un

renouvellement après avoir atteint 87.5% du bail. Si le bail expire sans avoir pu le renouveler, l’hôte demande un nouveau bail avec une nouvelle adresse.

Le serveur DHCP renvoie ces adresses au pool d’adresses et les réattribue selon les besoins.

La durée des baux dépend de la nature du réseau et des hôtes qui le constituent.

Si les hôtes ont tendance à être souvent éteints ou déconnectés, utiliser des baux de courtes durées.

Si c’est des hôtes constamment en ligne, utiliser des baux de longues durées.


Fonctionnement du protocole DHCPLa principale fonction d’un serveur DHCP est d’offrir aux clients des adresses IP.



DHCPISDCOVER détecte les serveurs DHCP

sur le réseau.

L’hôte n’a pas d’adresse IP valides (0.0.0.0

ou APIPA) au démarrage. Il utilise les diffusions

L2 et L3 pour communiquer avec le serveur.

Meilleur schéma

Le serveur DHCP transmet une offre via

DHCPOFFER (configuration initiale)

contenant par ex. une adresse IP, un

masque, l’adresse MAC du client et

l’adresse IP du serveur DHCP.

Le client peut recevoir plusieurs offres de

différents serveurs. Il choisit la meilleure en

fonction des options (souvent la 1ère reçue).

Le serveur peut réserver ou pas l’adresse allouée au

client. Le serveur vérifie que l’adresse allouée n’est

pas utilisée grâce à une requête d’echo. C’est une

option qui peut être désactivée par l’admin.

ou diffusion (voir)

Le client envoie une requête DHCP

DHCPREQUEST qui identifie explicitement

le serveur et l'offre qu'il accepte.

Cette requête peut contenir quelques

paramètres désirées par le client.

C’est une diffusion pour que les autres

serveurs sachent que leur offre n’a pas

été retenue.

Le client n’utilise pas à ce stade

l’adresse qu’il lui a été offerte.

Un client peut choisir de demander une

adresse que le serveur lui a déjà

attribuée précédemment.

Port Src. : UDP 68 - Port Dst. : UDP 67

S’il n’y a pas de réponse à un DHCPDISCOVER, le client

réémet ce message plusieurs fois (voir diapo. 56).




Port UDP 67 : port d’écoute de requêtes.Port UDP 68 : port de réponses aux requêtes.


http://www.sharevb.net/Attribution-dynamique-d-IP-le-DHCP.html

http://www.cisco.com/c/en/us/support/docs/ip/dynamic-address-allocation-resolution/27470-100.html

Si l'adresse IP offerte par le serveur est

encore disponible, le serveur renvoie un

DHCP DHCPACK confirmant au client que

le bail est conclu (l’adresse IP sera marquée).

Si l'offre n'est plus valide (par exemple en

raison du délai d'attente ou si un autre

client a pris le bail), le serveur sélectionné

répond par un message d'accusé de

réception DHCP négatif DHCPNAK.

Si un message DHCPNAK est retourné, le

processus de sélection doit recommencer

avec la transmission d'un nouveau

message DHCPDISCOVER.

détails

ou diffusion (voir lien page suivante)

Le serveur crée une entrée

ARP pour le bail du client.

Lorsque le client a obtenu le bail, Il doit être

renouvelé avant son expiration via un autre

message DHCPREQUEST.

Lorsque le client reçoit le message DHCPACK, il

consigne les informations de configuration et

lance une recherche ARP* sur l’adresse attribuée.

S’il ne reçoit pas de réponse, il sait que l’adresse

IP est valide et l’utilise sinon, il envoie un

DHCPDECLINE et relance le processus après 10s

(minimum) d’attente.

À l’expiration du bail, le client doit demander

une autre adresse, même si l’adresse courante

est généralement reconduite.

Un client peut renoncer au bail en envoyant un

DHCPRELEASE en monodiffusion ou renouveler

son bail avant sa fin avec un DHCPREQUEST

toujours en monodiffusion (voir).* Gratuitous ARP

Si un client ne reçoit ni DHCPACK ni DHCPNACK, il retransmet les DHCPREQUEST un nombre de fois.

Si un client dispose déjà d’une adresse IP mais a besoin seulement des autres paramètres, il envoie un DHCPINFORM.

Contenant la config + les options désirées.

détails2

ou diffusion(voir lien page suivante)






http://abcdrfc.free.fr/rfc-vf/rfc2131.html

http://maxwellsullivan.files.wordpress.com/2013/04/9-12.png

http://www.cisco.com/c/en/us/support/docs/ip/dynamic-address-allocation-resolution/27470-100.html

Le client DHCP notifie aux serveurs DHCP (ou aux relais DHCP) qu’ils doivent envoyer des réponses en

diffusion (flag bit broadcast=1) car il ne sait pas recevoir des données autrement tant qu’il n’a pas

d’adresse IP (voir).

Certains clients DHCP savent recevoir des monodiffusions même sans adresse IP (flag bit broadcast=0).

Le serveur DHCP utilise l’adresse YIADDR dans le champ IP-DEST du OFFER et du ACK (voir page 24).

Il y a plusieurs cas, nuances à ce fonctionnement. Ceci est indicatif.

Explication des broadcast/unicast DHCP - Débogage DHCP

!


http://superuser.com/questions/472594/dhcp-broadcast-flag

http://tools.ietf.org/html/rfc2131

http://www.freesoft.org/CIE/RFC/2131/20.htm

http://www.netmanias.com/en/?m=view&id=techdocs_nwb&no=5999

Protocoles BOOTP (Bootstrap) et DHCPBOOTP (RFC 951) est le prédécesseur de DHCP.


BOOTP permet de télécharger des configurations d’adresse et d’amorçage pour les stations de

travail sans disque.

Le serveur BOOTP attribue à un client une adresse IP, un nom de fichier (image de l’IOS) et l’adresse

ou se trouve ce fichier (serveur TFTP ou autre) pour qu’il puisse démarrer (rfc951).

Une station de travail sans disque ne dispose pas de système d’exploitation.

De nombreux systèmes de caisses enregistreuses automatisées sont des exemples de stations de travail sans disque.

Les protocoles DHCP et BOOTP sont tous deux de type client/serveur et utilisent les ports UDP 67 et 68.

Ces ports continuent à s’appeler les ports BOOTP.


http://tools.ietf.org/html/rfc951

Adresse MAC client - Adresse IP à allouer déjà configuré sur le serveur BOOTP

Réattribuer ultérieurement l’adresse IP à un autre client

dont WINS (ancien DNS qui mappait les nom NetBIOS)@IP, passerelle, DNS, masque.

C’est plutôt un nombre limité de paramètres

et pas forcément quatre.

Affecte une adresse IP pendant le démarrage du système. Affecte une adresse IP alors que le système est déjà lancé.

Prévu pour des stations sans disque. Prévu pour des stations avec disque.

BOOTP dynamique permet une allocation dynamique par DHCP (les clients BOOTP reçoivent des adresse par un serveur DHCP sans changer la configuration des clients. (voir)

statique

Jusqu’au redémarrage

Affectation pour 30 jours par défaut.

Comparatif détaillé

BOOTP vs DHCP


http://www.mnfauvel.com/Kb/html/la_resol.htm

http://msdn.microsoft.com/fr-fr/library/cc757978(v=ws.10).aspx


Format du message DHCP

Les développeurs du protocole DHCP devaient conserver la compatibilité avec le protocole BOOTP.

Ils ont donc utilisé le même format de message que BOOTP.


DHCP comptant plus de fonctionnalités que BOOTP, le champ des options DHCP a été ajouté. Dans une communication avec d’anciens clients BOOTP, le champ des options DHCP est ignoré.


Code d’opération (OP) : Type général du message. Si la valeur est 1, il s’agit d’un message de requête DHCPREQUEST ; si la valeur est 2, c’est une

réponse. Par exemple DHCPOFFER ou DHCPACK. Ça ne définit pas le type exact du message. Ceci est défini dans le champ Option/Type.

Type de matériel : Type de matériel utilisé : 1 pour Ethernet, 15 pour relais de trames et 20 pour une ligne série. Mêmes codes utilisés dans ARP.

Longueur de l’adresse matérielle : Permet de spécifier la longueur de l’adresse. Pour Ethernet c’est 6 (octets).

Sauts : Mis à zéro par le client avant la transmission d’une requête et utilisé par les agents de relais pour contrôler la transmission des messages DHCP.

Le nombre de relais DHCP est limité. Cette valeur est utilisé pour voir si ce nombre ne dépasse pas le seuil (ce seuil est configurable).

Identificateur de transaction : Identification générée par le client afin d’associer la requête aux réponses reçues sur les serveurs DHCP.

Secondes : Temps écoulé depuis le début de la tentative d’acquisition ou de renouvellement d’un bail par un client. Les serveurs DHCP occupés utilisent ce

chiffre pour définir les priorités des réponses lorsque plusieurs requêtes du client sont en attente.

Indicateurs : Un seul des 16 bits est utilisé, l’indicateur de diffusion (les 16 bits sont un vestige de BOOTP).

Adresse IP du client CIADDR : Le client entre son adresse IP dans ce champ uniquement s’il en dispose d’une valide alors qu’il est en état de liaison ; si ce

n’est pas le cas, il définit le champ sur 0.0.0.0. Le client ne peut utiliser ce champ que si son adresse est valable et utilisable, et non pendant l’acquisition

d’une adresse.

Votre adresse IP YIADDR : Adresse IP que le serveur attribue au client.

Adresse IP du serveur SIADDR : Adresse du serveur que le client doit utiliser au cours de l’étape suivante du processus de bootstrap (Serveur TFTP par

exemple), qui n’est pas obligatoirement le serveur ayant envoyé cette réponse. Le serveur émetteur inclut toujours son adresse IP dans un champ spécial

appelé l’option Server Identifier DHCP.

Adresse IP de la passerelle GIADDR : Utilisée lorsque les agents de relais DHCP sont impliqués : le serveur DHCP envoie ses réponses à GIADDR s’il elle

existe. Sinon, il l’envoie au client DHCP. (voir). Pour plus de détails voir.

Adresse matérielle du client CHADDR : Spécifie l’adresse physique du client.

Nom du serveur : Le serveur peut entrer son nom dans ce champ lors de ses réponses. C’est un simple surnom ou d’un nom de domaine DNS, tel que

serveurdhcp.netacad.net.

Nom du fichier de démarrage : Utilisé par un client dans un message DHCPDISCOVER. Le serveur répond en spécifiant dans un message DHCPOFFER un

répertoire et un nom de fichier de démarrage (oui, DHCP a la même capacité que BOOTP pour l’allocation d’informations au démarrage voir).

Options : Options DHCP, notamment plusieurs paramètres requis pour le fonctionnement de base de DHCP. La longueur de ce champ est variable. Le client

et le serveur peuvent utiliser ce champ.


http://www.brocade.com/downloads/documents/html_product_manuals/FI_08001_L3_ROUTE/GUID-10C8B740-3C76-4271-89B9-F49601F571A7.html

http://kb.juniper.net/InfoCenter/index?page=answers&type=narrow&fac=By+Product.Security+Products.Firewall_IPSec+VPN.SSG+Series.SSG+520M&question_box=bootstrap&searchid=1234335301917&archived=null

http://www.juniper.net/techpubs/software/cable/junosg30/swconfig30-interfaces/html/interfaces-cable-config50.html

http://www.freesoft.org/CIE/RFC/2131/20.htm


EXEMPLE SIMPLE D’ECHANGE DHCP


diffusion IP universelle plutôt

Détection DHCP

C’est pas des points d’interrogation!

C’est pas CIADDR mais YIADDR = ?Ce client n’a pas d’adresse valable au préalable. Ce champs est donc 0.0.0.0. Ce que veut le client c’est YIADDR = ?


Offre DHCP

Le serveur répond avec comme IP DST et offerte : 192.168.1.10, parce que le

client dans son DHCPREQUEST a mis dans l’option 50 :

Requested IP address = 192.168.1.10 voir. Ce client est capable de recevoir des

monodiffusions même si la configuration IP n’est pas finalisée (flag

broadcast=0).

La plupart des serveurs DHCP permettent à l’administrateur de définir spécifiquement les adresses MAC des clients et de leur attribuer la même adresse IP à chaque fois.

Voir exemple plus clair. Si temps, faire une simulation wireshark

Ce n’est pas CIADDR mais YIADDR = 192.168.1.1. c’est l’adresse offerte par le serveur DHCP. CIADDR est modifié par le client pas par le serveur.


http://www.netmanias.com/en/?m=view&id=techdocs_nwb&no=5999

http://en.wikipedia.org/wiki/Dynamic_Host_Configuration_Protocol

http://maxwellsullivan.wordpress.com/2013/04/07/wireshark-lab-9-dhcp/

Pour résumer…

Le DHCPDISCOVER est une diffusion. Elle contient l’adresse MAC du client DHCP.

Le DHCPOFFER peur être une monodiffusion si le client met flag broadcast à 0. Dans ce cas, le

serveur répond en envoyant une offre de YIADDR avec IP-SRC=@IP Serveur DHCP et IP-DEST=YIADDR.

Soit une diffusion si flag broadcast=1. Dans ce cas, le serveur répond en envoyant une offre de

YIADDR avec IP-SRC=@IP Serveur DHCP et IP-DEST=255.255.255.255.

Dans les deux cas, l’adresse MAC du client est utilisée.

Le DHCPREQUEST avec @IP du serveur DHCP choisi, est une diffusion pour que tous les autres

serveurs sachent qu’ils n’ont pas été choisis.

Le DHCPACK est soit une diffusion, soit une monodiffusion (même cas que OFFER).


Configuration d’un serveur DHCP


Les routeurs Cisco assurent la prise en charge intégrale d’un serveur DHCP.

Le serveur DHCP Cisco IOS gère les adresses IP depuis les pools d’adresses spécifiés dans le routeur.

La configuration d’un routeur comme serveur DHCP comprend les étapes suivantes :

Étape 1.

Définir une plage d’adresses que le protocole DHCP ne doit pas allouer. Il s’agit généralement d’adresses statiques réservées à l’interface de routeur, à l’adresse IP de gestion de commutateur, aux serveurs et aux imprimantes réseau locales.

Étape 2. Créez le pool DHCP à l’aide de la commande ip dhcp pool.

Étape 3.

Configurez le pool.


1. ADRESSES EXCLUES

Configurer les adresses exclues avant de créer le pool DHCP pour que DHCP n’attribue pas par mégarde des adresses

réservées.

Utiliser la commande :

ip dhcp excluded-address.


2. CRÉER POOL DHCP

Définir un pool d’adresses à attribuer.

Utiliser la commande :

ip dhcp pool


3. CONFIGURER LE POOL DHCP

dns-server: Configurer l’adresse IP du serveur DNS à la disposition d’un client DHCP. Jusqu’à huit adresses peuvent

apparaître.

lease: La configuration de la durée du bail constitue l’un des autres paramètres. Par défaut, le bail est d’un jour.

Netbios-name-server: Configurer un serveur WINS NetBIOS à la disposition d’un client DHCP Microsoft. La configuration doit avoir lieu dans un environnement prenant en charge des clients antérieurs à Windows 2000. Les installations comptant désormais des clients Windows plus récents, ce paramètre n’est généralement pas requis.

network: Définit la plage

des adresses disponibles.

default-router: Définit la

passerelle par défaut que

doivent utiliser les clients.

Au moins une adresse est requise, mais vous pouvez en spécifier jusqu’à huit.Les passerelles multiples servent de redondance (voir).

Commandes facultatives :


http://serverfault.com/questions/347032/can-a-pc-have-more-than-one-default-gateway

Le service DHCP est activé par défaut sur les versions du logiciel Cisco IOS qui le prennent en charge. Pour désactiver le service, utiliser la commande no service dhcp.

Utiliser la commande de configuration globale service dhcp pour réactiver le processus du serveur DHCP.

Activer le service n’a aucun effet si les paramètres ne sont pas configurés.

Il est possible de configurer une réservation DHCP sur un routeur Cisco (page 7)


https://supportforums.cisco.com/sites/default/files/legacy/4/4/6/31644-DNSDHCP.pdf

Vérification de DHCP



show run | section ou include

show ip dhcp binding :

Affiche la liste de toutes les liaisons

entre adresse IP et adresse MAC qui

ont été fournies par le service DHCP.

show ip dhcp server

statistics:

Affiche le nombre de messages

DHCP envoyés et reçus.

Dans l’exemple, aucune liaison ou

statistique n’est affichée pour le

moment. Aucun des PC n’est sous-

tension.

Supposons maintenant que PC1

a été mis sous tension et que son

démarrage est terminé.


Les informations de liaison

indiquent désormais que l’adresse

IP 192.168.10.10 a été liée à une

adresse MAC.

Les statistiques affichent également

l’activité de DHCPDISCOVER,

DHCPREQUEST, DHCPOFFER et

DHCPACK.



Supposons maintenant que PC2

a été mis sous tension et que son

démarrage est terminé.


Les liaisons DHCP indiquent

désormais que deux hôtes ont reçu

une adresse IP.

Les statistiques DHCP reflètent

également l’échange de messages

DHCP.


Cette commande résume les

informations sur les pools DHCP.

*

• Pour mark et subnet, ce n’est pas l’objet du cours. Il faut aller plus loin pour comprendre.


Current index :

prochaine adresse à allouer.

Pending event :

Requête en attente du pool.Voir détails

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/ipaddr_dhcp/configuration/xe-3s/dhcp-xe-3s-book/config-dhcp-addr-pm-xe.html

Configuration d’un routeur en tant

que client DHCP


Dans la plupart des cas, les routeurs personnels acquièrent automatiquement une adresse IP auprès du

FAI. Ce sont des clients DHCP.

La figure illustre la page de configuration par défaut pour un routeur Linksys WRVS4400N.


Les routeurs Cisco des

filiales ou des petits

bureaux doivent être

configurés de la même

façon.

Ici, un FAI a été configuré

pour fournir à certains

clients des adresses IP

comprises dans la plage

209.165.201.0 / 27.


Relais DHCP


R1 n’est pas configuré comme serveur DHCP.

Dans un réseau complexe, les serveurs

d’entreprise se trouvent généralement

dans une batterie de serveurs.

Le problème c’est que les clients

réseau ne se trouvent pas toujours sur

le même sous-réseau que ces

serveurs.

Les clients recherchent les serveurs

pour recevoir les services, souvent

retrouvés à l’aide de messages de

diffusion (pas que DHCP).

Les routeurs Cisco ainsi que d’autres

périphériques utilisent les diffusions

pour rechercher des serveurs TFTP ou

un serveur d’authentification tel qu’un

serveur TACACS.

Problématique


La commande ipconfig /renew demande à l’hôte de

diffuser un message DHCPDISCOVER.

Mais PC1 ne trouve pas le serveur DHCP.

Le serveur et le client sont séparés par un routeur et ne

résident donc pas sur le même segment de réseau !

Les routeurs ne transfèrent pas les diffusions!

APIPA (Automatic Private IP Addressing)

Certains clients Windows disposent d’une fonction appelée APIPA qui permet à un ordinateur Windows de s’attribuer automatiquement une adresse IP, comprise dans la plage 169.254.x.x, au cas où aucun serveur DHCP ne soit disponible ou s’il n’en existe pas sur le réseau.


Pour résoudre ce problème, un administrateur peut ajouter des serveurs DHCP sur tous les sous-réseaux!

Cependant, l’exécution de ces services sur plusieurs ordinateurs provoque des surcharges administratives

et des coûts supplémentaires.

Solution plus simple : Configurer la fonction d’adresse de diffusion par défaut de Cisco IOS sur les routeurs et les commutateurs concernés ce qui permet aux routeurs de transférer les diffusions DHCP aux serveurs DHCP.

Lorsqu’un routeur transfère des requêtes de paramètre/attribution d’adresse, il agit en agent de relais DHCP.

Solution

PC1 diffuse une requête pour rechercher un

serveur DHCP.

Si le routeur R1 était configuré comme agent

de relais DHCP, il intercepterait cette requête et la transfèrerait au serveur DHCP dont le sous-

réseau est 192.168.11.0.


Configurer l’interface la plus proche du client via la commande de configuration d’interface ip helper-address.

Configurer le routeur R1 comme agent de relais DHCP

ip helper-address

relaye les requêtes de

diffusion pour les principaux

services à une adresse

configurée (pas que DHCP).

Le routeur R1 est désormais

configuré comme agent

de relais DHCP.

Il accepte les requêtes de

diffusion pour le service

DHCP puis les transfère en

monodiffusion à l’adresse

IP 192.168.11.5.


Fonctionnement du relais par l’exemple…C’est aussi utile pour le chapitre 8.4.6.1

http://ccielab.ro/2010/08/dhcp-relay-server-and-nat-case-study/

PC1 peut maintenant acquérir une adresse IP auprès du serveur DHCP.


Par défaut, la commande ip helper-address transfère les huit services UDP suivants :

Port 37 : durée

Port 49 : TACACS

Port 53 : DNS

Port 67 : client BOOTP/DHCP

Port 68 : serveur BOOTP/DHCP

Port 69 : TFTP

Port 137 : service de noms NetBIOS

Port 138 : service de datagramme NetBIOS

Pour spécifier d’autres ports, utilisez la commande ip forward-protocol afin d’indiquer exactement les types de

paquet de diffusion à transférer.


Configuration d’un serveur DHCP

À l’aide de SDM


Cliquez sur Add pour créer le pool DHCP.


Les adresses IP que le serveur DHCP attribue sont issues

d’un pool commun.

Exclusion d’adresses

Cisco SDM configure le routeur pour exclure

automatiquement l’adresse IP de l’interface de réseau

local dans le pool.

Il ne faut pas utiliser l’adresse de diffusion, l’adresse IP

du réseau ou du sous-réseau dans la plage d’adresses.

Pour exclure d’autres adresses IP de la plage, modifier

les adresses IP de début et de fin.

Par exemple pour exclure les adresses IP comprises entre 192.168.10.1 et 192.168.10.9, définir l’adresse IP de début sur 192.168.10.10. Le routeur commencera ainsi l’attribution d’adresses à partir de 192.168.10.10.

Autres options :

DNS Server1 et DNS Server2 WINS Server1 et WINS Server2 : pour les environnements clients

antérieurs à Windows 2000. Import All DHCP Options into the DHCP Server Database :

Importer les options DHCP d’un serveur de niveau supérieur (DHCP du FAI par ex.).

Permet de récupérer des informations de niveau supérieur sans avoir à les configurer pour ce pool.


Deux pools sont configurés,

un pour chacune des

interfaces sur le routeur R1.


Dépannage de la configuration DHCP

Les problèmes de DHCP peuvent avoir diverses origines.Défauts logiciels dans les systèmes d’exploitation, pilotes NIC ou agents de relais

DHCP/BOOTP, configuration, notamment.

La raison la plus courante reste cependant les problèmes de configuration.



Tâche 1 du dépannage : résolution des conflits d’adresses IP

Une configuration manuelle associé à un serveur DHCP peut provoquer un conflit d’adresses IP.

Les adresses IP des serveurs/routeurs/imprimantes choisies dans les intervalles des adresses des pools DHCP aussi.

Un problème interne du serveur DHCP peut provoquer des conflits d’adresses IP.

La commande show ip dhcp conflict affiche tous les conflits d’adresses enregistrés par le serveur DHCP.

Le serveur utilise la commande ping pour détecter les conflits.

Si un conflit d’adresse est détecté, l’adresse est retirée du pool et n’est pas attribuée tant qu’un administrateur n’a

pas résolu le conflit.

Cet exemple indique la méthode et l’heure de détection pour toutes les adresses IP que le serveur DHCP a offert et

qui sont en conflit avec d’autres périphériques.

R2# show ip dhcp conflict

Adresse IP Méthode de détection Heure de détection

192.168.1.32 Ping Feb 16 2014 12:28 PM

192.168.1.64 Gratuitous ARP Feb 23 2014 08:12 AM


Tâche 2 du dépannage : vérification de la connectivité physique

Utiliser la commande show interface interface pour confirmer que l’interface de routeur agissant comme

passerelle par défaut pour le client est opérationnelle.

Si l’état de l’interface n’est pas actif, le port n’achemine pas le trafic, y compris les requêtes du client DHCP.

Tâche 3 du dépannage : test de la connectivité du réseau en configurant

une station de travail cliente avec une adresse IP statique

Lors du dépannage d’un problème DHCP, vérifier la connectivité du réseau en configurant une adresse IP statique

sur une station de travail cliente.

Si la station de travail ne peut pas atteindre les ressources réseau avec une adresse IP configurée de façon statique,

la cause première du problème n’est pas le protocole DHCP.

Il convient alors à ce moment-là de dépanner la connectivité du réseau.


Tâche 4 du dépannage : vérification de la configuration du port du

commutateur en STP Portfast

Si un commutateur se trouve entre le client et le serveur DHCP, s’assurer que le port est en mode STP PortFast (pour

que les délais d’attente du client ne soient pas trop importants).Par défaut, PortFast est désactivé.

Changer ces configurations permet de résoudre les problèmes les plus courants de client DHCP qui se produisent

avec une installation initiale d’un commutateur Catalyst.

Un client envoie un DHCPDISCOVER et attend une réponse. Il attend d’abord 4s et réémet un autre DISCOVER. S’il n’y a toujours pas de réponse, il attend 8s puis réémet un DISCOVER. Puis 16 puis 32s puis il arrête avec une erreur DHCP. Ce qui fait 60s d’attente.5 minutes plus tard, le client réitère ce manège jusqu’à ce qu’il obtienne un DHCPOFFER.

Un switch avec VLAN peut être un serveur DHCP (voir).


http://serverfault.com/questions/617118/configuring-trunk-port-on-cisco-catalyst-switch-to-serve-dhcp-settings-for-multi

Tâche 6 du dépannage : renouveler la demande DHCP

Si le client DHCP ne parvient pas à obtenir d’adresse IP auprès du serveur DHCP au démarrage, essayer d’obtenir

une adresse IP auprès du serveur DHCP en obligeant manuellement le client à envoyer une requête DHCP (release/renew).

Tâche 5 du dépannage : Un client sur un sous-réseau ou VLAN différent du

serveur DHCP, obtient-il une adresse IP valide?

Il est important de déterminer d’abord, si le protocole DHCP fonctionne correctement lorsque le client se trouve sur

le même sous-réseau ou VLAN que le serveur DHCP.

Si le problème existe toujours lorsque vous testez DHCP sur le même sous-réseau ou VLAN que le serveur DHCP, le

problème peut en fait provenir du serveur DHCP.

Si le protocole DHCP fonctionne normalement dans ce cas, il doit y avoir un problème avec le relais DHCP.


Vérification de la configuration

du relais DHCP/BOOTP du routeur


Vérifier la configuration du routeur

Si l’adresse de diffusion IP par défaut (ip helper-address) n’est pas correctement configurée, les requêtes

du client DHCP ne sont pas transférées au serveur DHCP.

Étape 1.

Vérifiez que la commande ip helper-address est configurée sur la bonne interface.

Elle doit être présente sur l’interface entrante du réseau local comprenant les stations de travail DHCP clientes et

doit être dirigée vers le bon serveur DHCP.

Utiliser la commande show running-config pour vérifier l’adresse IP du relais DHCP.

Étape 2.

S’assurer que la commande no service dhcp n’a pas été configurée (show run | include no service dhcp).

Cette commande désactive toutes les fonctionnalités de relais et de serveur DHCP sur le routeur. La commande service dhcp n’apparaît pas dans la configuration car c’est la configuration par défaut.


Débogage de DHCP


• Sur les routeurs serveurs DHCP, le processus DHCP échoue si le routeur ne reçoit pas les requêtes du client.

• Lors du dépannage, il faut s’assurer que le routeur reçoit la requête DHCP du client.

Au cours de cette étape de dépannage, il faut configurer une ACL pour le résultat du débogage puis utiliser cette

ACL 100 comme paramètre de définition.

Le résultat indique que le routeur reçoit les requêtes DHCP du client. L’adresse IP source est 0.0.0.0 car le client n’a pas encore d’adresse IP. La destination est 255.255.255.255 car le message de détection DHCP du client est une diffusion. Les ports UDP source et de destination, 68 et 67, sont les ports généralement utilisés pour DHCP.

• Ce résultat ne montre qu’un résumé du paquet et non le paquet lui-même.

• Il n’est donc pas possible de déterminer si le paquet est correct.

• Néanmoins, le routeur a bien reçu un paquet de diffusion, et l’IP source et de destination et les ports UDP sont

corrects pour DHCP.


Vérification de la réception et du transfert de la requête DHCP : debug ip dhcp server packet

La commande debug ip dhcp server events est utile pour dépanner le protocole DHCP.

Cette commande indique les événements de serveur tels que les attributions d’adresses et les mises à jour des

bases de données.

Elle permet également de décoder

les réceptions et les transmissions

DHCP.

Source : Curriculum Cisco CCNA4 4.0 et CCNA2 5.0

Exercice PT : 10.1.3.3 – 10.1.2.5 – 10.1.4.4

Configurer un serveur DHCP sur un routeur Cisco


LE PROTOCOLE NATProtocole de couche réseau


LES ADRESSES PUBLIQUES ET PRIVÉES


LES ADRESSES PUBLIQUES

Toutes les adresses IP publiques doivent être enregistrées auprès d’un organisme d’enregistrement Internet local.

Les organisations louent des adresses publiques auprès d’un FAI.

Seul le propriétaire enregistré d’une adresse IP publique peut attribuer cette adresse à un périphérique réseau.

LES ADRESSES PRIVÉES

Les adresses IP privées proviennent des trois blocs et sont exclusivement destinées aux réseaux internes privés.

Les paquets qui les contiennent ne sont pas acheminés sur Internet. Elles sont non routables vers Internet.

Les adresses IP privées sont décrites dans le document RFC 1918 fournit des détails sur le sujet.

Deux réseaux ou deux millions de réseaux peuvent utiliser les mêmes adresses privées.

L’adressage privé offre aux entreprises une souplesse considérable dans la conception de leur réseau.

Pour protéger la structure d’adressage publique, les FAI configurent les routeurs périphériques pour empêcher que

le trafic dont l’adresse est privée ne soit transmis via Internet.

Les réseaux utilisent un mécanisme pour traduire les adresses privées en adresses

publiques à la périphérie du réseau.


La traduction d’adresses de réseau NAT propose ce mécanisme. Il fonctionne dans les deux sens.

Sans système de traduction, les hôtes privés derrière un routeur dans le réseau d’une organisation ne peuvent pas se

connecter aux hôtes privés derrière un routeur dans d’autres organisations via Internet.

Avant NAT, un hôte doté d’une adresse privée ne pouvait pas accéder à Internet.

Avec NAT, les sociétés attribuent des adresses privées à certains de leurs hôtes, et utilisent NAT pour

leur procurer un accès à Internet.

NAT


La Fonction NAT


Lorsque le client envoie des paquets en dehors du réseau, la fonction NAT traduit l’adresse IP non

routable interne du client en adresse externe.

Pour les utilisateurs externes, l’ensemble du trafic depuis et vers le réseau a la même adresse IP ou

provient du même pool d’adresses.

NAT permet d’ajouter un niveau de confidentialité et de sécurité à un réseau car il empêche les

réseaux externes de voir les adresses IP internes.

Un périphérique compatible NAT fonctionne généralement à la périphérie d’un réseau d’extrémité.


Dans la terminologie NAT, le

réseau interne désigne l’ensemble des réseaux soumis

à la traduction.

Le réseau externe désigne toutes les autres adresses.

Les adresses IP sont privées ou

publiques et le trafic est soit

entrant ou sortant.


Adresse locale interne : Adresse privée RFC 1918. 192.168.10.10 est attribuée à l’hôte PC1 sur le réseau interne.

Adresse globale interne : Adresse publique valide attribuée à l’hôte interne lorsque ce dernier quitte le routeur NAT.

Adresse globale externe : Adresse IP accessible attribuée à un hôte sur Internet.

Adresse locale externe : Adresse IP locale attribuée à un hôte du réseau externe. Souvent, cette adresse sera identique à l’adresse globale externe de ce périphérique externe.

L’utilisation de l’adresse locale externe n’est pas abordée dans ce cours.


Les adresses que nous appelons « non routables » sont acheminables sur les routeurs internes.

Un administrateur peut configurer n’importe quel routeur pour acheminer le trafic sur des réseaux privés.

Cependant, s’il essaie d’acheminer un paquet au FAI pour une adresse privée, le FAI l’abandonne.

« Non routable » veut dire non routable sur Internet.

!


Comment ça marche NATAnimation curriculum 7.2.2.2

Ceci est la première partie de l’explication.Dans la partie configuration de NAT et PAT, il y aura des exemples et des schémas.


MAPPAGE DYNAMIQUE ET MAPPAGE STATIQUE

NAT DYNAMIQUE

Utilise un pool de plusieurs adresses publiques et les attribue selon la méthode du premier arrivé, premier servi. Lorsqu’un hôte ayant une adresse IP privée demande un accès à Internet, le NAT dynamique choisit dans le pool

une adresse IP qui n’est pas encore utilisée par un autre hôte.

NAT STATIQUE

Utilise un mappage statique constant d’adresses locales et globales.

Utile pour les serveurs qui doivent disposer d’une adresse permanente, accessible depuis Internet.

Les fonctions NAT statique et dynamique nécessitent toutes deux qu’il existe suffisamment d’adresses

publiques disponibles pour satisfaire le nombre total de sessions utilisateur simultanées.

Dans NAT, deux hôtes différents ne peuvent pas utiliser la même adresse publique simultanément.


Imaginez que dans l’animation précédente, il y ait un 2ème PC qui veut se connecter à un autre serveur

sur Internet et que seulement une adresse publique est disponible?

Au retour d’une réponse d’un des serveurs, comment le routeur NAT saura vers quel client acheminer le

paquet puisque les deux adresses IP locales internes correspondent à l’adresse IP globale interne?C’est ce que nous avons chez nous, avec notre connexion ADSL via notre FAI et notre routeur.

SOLUTION : la surcharge NAT appelée PAT

? 1 adresse publique


Les adresses externes locales et globales ne sont pas destinées aux NAT/PAT (voir).

!


https://www.google.dz/search?q=table+NAT+external+address&safe=active&biw=1280&bih=862&source=lnms&tbm=isch&sa=X&ei=sWFzVJ2_GNHcaouSgugB&ved=0CAgQ_AUoAQ

Surcharge NAT (traduction d’adresses de port ou PAT)

La surcharge NAT mappe plusieurs adresses IP privées à une seule (ou quelques) adresse IP publique.

Lors de l’envoi du paquet, Le protocole NAT dans le routeur, retire du segment

TCP/UDP le numéro de port source et le remplace par un autre qui est unique

(les numéros de port client sont unique

dans la même machine mais pas dans

deux machine différentes voir page suivante).

L’adresse privée est remplacée par l’adresse publique.

Translation ou Traduction de ports.

La correspondance entre l’ancien et le nouveau couple port- adresse IP se trouve dans la table PAT.

Lorsqu’une réponse revient du serveur, le numéro de port source, (qui est devenu le numéro de port de

destination lors du retour), détermine

Lorsqu’un client envoie un paquet, le routeur NAT attribue un numéro de port unique à son adresse source.

le client qui recevra les paquets. Il confirme également que les paquets entrants étaient demandés, ce qui ajoute un niveau de sécurité à la session.

Dans cet exemple, le port source n’a pas été remplacé. C’est peu probable mais c’est possible (voir

diapo suivante).

Numéro de port : 16 bits


PAT essaie de conserver le port source d’origine. Mais, si ce port source est déjà utilisé, PAT attribue le premier numéro

de port disponible en commençant au début du groupe de ports approprié, à savoir 0-511, 512-1023 ou 1024-65535*.

Translation avec numéro de port différent

Dans cet exemple, le port source a été remplacé.

réservés Enregistrés et dynamiques

PORTS TCP UDP :

0-1023 : réservés;

1024-49151 : enregistrés et

utilisés par les

administrateurs pour

configurer leurs divers

serveurs (8080 ou 3050 ;

49152-65536 :

dynamiques

voir.

Les ports réservés < 1024 auront les ports 0-511 et 512-1023 (voir PAT pool).

Certains systèmes utilisent une autre logique d’attribution de port.

* Cette répartition n’est

pas celle qu’on connait.

Mais c’est une répartition

qui existe. Ce n’est pas

l’objet de ce cours.


http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

http://www.cisco.com/c/en/us/td/docs/security/asa/asa92/asdm72/firewall/asa-firewall-asdm/nat-objects.html

http://www.wand.net.nz/trac/libtrace/changeset/83e0a25540f68f24a3d60887d10659cc086ce60b/lib/trace.c

Les numéros de port sont codés en 16 bits. Le nombre d’adresses internes pouvant être traduites en une adresse

publique peut théoriquement atteindre 65 536 par adresse IP publique (réellement, ce nombre se situe aux environs de 4000.

Lorsqu’il n’y a plus de ports disponibles et que plusieurs adresses IP publiques sont disponibles, PAT sélectionne

l’adresse IP disponible et tente d’allouer de nouveau le port source du segment à cette adresse (voir).

Ce processus se poursuit jusqu’à ce qu’il n’y ait plus de ports ni d’adresses IP externes disponibles.

Paquets sans segment de couche 4 (CCNA4 5.2)

Ces paquets ne comportent pas de numéro de port de couche 4. PAT traduit la plupart des protocoles communs transportés par IPv4 qui n'utilisent pas le protocole TCP ou UDP comme protocole de couche transport. Le plus connu de ces derniers est ICMPv4.

Chacun de ces types de protocole est pris en charge différemment par la PAT.

Exemple : Les messages de requête, les demandes d'écho et les réponses d'écho ICMPv4 incluent un ID de requête. ICMPv4 utilise l'ID de requête pour identifier une demande d'écho et sa réponse d'écho correspondante. L'ID de requête est incrémenté à chaque envoide demande d'écho. La fonction PAT utilise l'ID de requête au lieu du numéro de port de couche 4.

Remarque : Les autres messages ICMPv4 n'utilisent pas l'ID de requête. Ces messages et d'autres protocoles qui n'utilisent pas les numéros de port TCP ou UDP peuvent varier et sortent du cadre de ce programme.


http://www.cisco.com/en/US/technologies/tk648/tk361/tk438/technologies_white_paper09186a0080091cb9.html

Différences entre NAT et la surcharge NAT

NAT traduit des adresses IP sur une base de 1 pour 1 entre des adresses IP publiques et privées.

PAT modifie à la fois l’adresse IP privée et le numéro de port de l’expéditeur.

NAT achemine les paquets entrants provenant du réseau public vers leur destination interne en recherchant dans la table NAT l’adresse IP publique source.

Avec PAT, les paquets entrants provenant du réseau public sont acheminés vers leur destination interne en faisant

référence aux associations entre ports publics et privés. On appelle cela le suivi de connexions.

Source : Curriculum Cisco CCNA4 4.0 et 5.0

Avantages et inconvénients de la fonction NAT


Avantages de NAT/PAT

NAT économise les adresses au moyen d’un multiplexage au niveau du port de l’application.

Avec PAT, plusieurs hôtes internes peuvent partager une même adresse IP publique pour toutes

leurs communications externes.

NAT augmente la souplesse des connexions au réseau public : pools multiples, pools de

sauvegarde, pools d’équilibrage de la charge pour des connexions plus fiables au réseau public.

NAT assure la cohérence des schémas d’adressage du réseau interne. Sur un réseau sans adresses privées et sans NAT, le changement des adresses IP publiques oblige à renuméroter tous les hôtes du réseau (coûts non négligeables). Ainsi, une organisation peut changer de FAI sans avoir à changer aucun de ses clients internes.

La fonction NAT assure la sécurité du réseau. Les réseaux privés ne divulguant pas leurs adresses ou leur topologie interne, ils restent raisonnablement sécurisés quand ils sont utilisés conjointement à la fonction NAT pour obtenir un accès externe. La fonction NAT ne remplace cependant pas les pare-feu.


Inconvénients de NAT/PAT

Une même adresse IP globale représentant de nombreux hôtes dont l’adresse est privée représente des avantages aux niveaux de la confidentialité mais dans la pratique, il y a des inconvénients.

Le fait que les hôtes sur Internet communiquent directement avec le périphérique NAT, plutôt qu’avec l’hôte interne du réseau privé, pose un certain nombre de problèmes.

Performance

Le premier paquet d’une communication IP est analysé par NAT. Le routeur l’examine pour déterminer s’il doit être

ou non traduit (tous les paquet ne sont pas obligatoirement traduits. Celui qui ne va pas vers Internet par exemple).

Il modifie l’en-tête IP, et éventuellement l’en-tête TCP ou UDP (augmentation des délais de commutation).

Les paquets restants passent par le chemin à commutation rapide (ne sont pas analysés) s’il existe une entrée de cache ; sinon, ils sont également retardés.

Dans une communication, il y a une succession de paquets. Le premier est analysé, pas les autres.

Fonctionnalités de bout en bout dégradées

En modifiant les adresses de bout en bout, NAT bloque certaines applications (voir page suivante).

Des applications de sécurité, telles que les signatures numériques, échouent car l’adresse IP source change. Ces problèmes sont souvent résolues par des techniques complexes.


Suite page suivante

Perte de la traçabilité IP de bout en bout

Il est difficile de suivre les paquets qui subissent des changements d’adresses, ce qui complique le dépannage.

Mais pour les pirates qui cherchent à déterminer la source d’un paquet, il est difficile d’obtenir les adresses sources

et de destination initiales.

Transmission tunnel compliquée

NAT modifie les valeurs dans les en-têtes, ce qui entre en conflit avec les contrôles d’intégrité effectués par IPsec et

par d’autres protocoles de transmission tunnel.

Etablissement de connexions TCP depuis un réseau externe perturbés

Si le routeur NAT ne fait pas un effort spécifique pour prendre en charge de tels protocoles, les paquets entrants ne

peuvent pas atteindre leur destination.

Certains protocoles peuvent accepter une instance de NAT entre les hôtes participants (FTP en mode passif, par

exemple voir), mais échouent lorsque les deux hôtes sont derrière un routeur NAT (voir).

Suite page suivante.


http://webcache.googleusercontent.com/search?q=cache:-8hW5OH3DjcJ:fr.wikipedia.org/wiki/File_Transfer_Protocol+&cd=9&hl=fr&ct=clnk&gl=fr

http://cisco.goffinet.org/s4/nat_ftp

A moins d’une configuration explicite, NAT rejette toute communication entrante…

Si un client derrière un NAT initie une communication avec un serveur qui n'est pas derrière un NAT, la communication

se passera comme il se doit et comme décrite plus haut.

Mais si le client initie cette communication avec un serveur derrière un NAT. Il mettra dans son paquet l'adresse IP de

destination d'une adresses publiques du POOL NAT de destination (NAT dynamique). A l'arrivé au routeur NAT de

destination, NAT trouvera l'adresse de destination, pas de problème. Il trouvera aussi l'adresse source qui une de ses

adresses globales externes. Mais comment saura-t-il à quel serveur est destiné le paquet (supposons qu'il y en ait

beaucoup)?

C'est ce qui se passe avec le FTP actif, quand le client est derrière un NAT mais pas le serveur. Dans ce cas, FTP passif

règle le problème.

C'est aussi ce qui se passe aussi avec le FTP passif quand le client et le serveur sont derrière un NAT.

illustration ici

Ce problème de NAT est résolu avec un mappage NAT statique (voir diapo. 90) ou avec la redirection de port (sera vu plus

loin). D’autres problèmes générés par NAT (voir) sont résolus en accédant aux données de la couche application :

Passerelle de couche applicative ALG.

Ne pas détailler.


http://cisco.goffinet.org/s4/nat_ftp

http://www.h3c.com/portal/Products___Solutions/Technology/Security_and_VPN/Technology_White_Paper/200808/613642_57_0.htm

Configurer NAT et PATNAT statique et dynamique

voir



Configurer NAT Statique


- Les paquets arrivant sur une interface interne depuis l’adresse IP identifiée sont soumis à la traduction (les autres non).

- Les paquets arrivant sur une interface externe dont l’adresse correspond à l’adresse IP identifiée sont soumis à la

traduction.



209.165.220.10


Le PAT statique ou la redirection de port (seront vus plus loin) sont souvent utilisés lorsque des clients

externes doivent se connecter à des serveurs dans le réseau interne.


Exercice PT CCNA4 5.0 - 5.2.1.4Configurer NAT statique

Configurer NAT Dynamique



Il est recommandé de ne pas configurer permit any dans les ACL pour ne pas que NAT ne consomme trop de ressources du routeur.

Configurer NAT DynamiqueSource : Curriculum Cisco CCNA4 4.0

Il est possible d’avoir un pool NAT avec une seule adresse :ip nat pool NAT-POOL 209.165.200.1

209.165.200.1 prefix 24



Exercice PT CCNA4 5.0 - 5.2.2.5Configurer NAT dynamique


Configurer PATLa surcharge se configure de deux façons selon les cas où :

- le FAI alloue une seule adresse IP publique à l’organisation.

- le FAI en alloue plusieurs.


overload est la principale différence entre cette configuration et la configuration dynamique.

overload permet la traduction d’adresses de port.

Configurer PAT avec un POOL d’adresses publiques


Configurer PAT avec un POOL d’adresses publiques


overload permet la traduction d’adresses de port.

Configurer PAT avec UNE adresse publique


toues les adresses d’hôtes du réseau 192.168.0.0 /16

(ACL 1) envoyant du trafic via le routeur R2 vers

Internet sont traduites en adresse IP 209.165.200.225

qui est l’adresse IP de l’interface S0/1/0.

Configurer PAT avec UNE adresse publique




Exercice CCNA4 5.0 - 5.2.3.5Activités sur PAT


Vérification de NAT et PAT


Exemple avec PAT


verbose : informations supplémentaires sur chaque traduction

(durée écoulée depuis la création de l’entrée et depuis son utilisation).

show ip nat translationSource : Curriculum Cisco CCNA4 4.0

86400 000 ms = 86400s = 24h

show ip nat statistics

Affiche les informations sur :

- le nombre de traductions actives, - les paramètres NAT, - le nombre d’adresses dans le pool,- le nombre d’adresses attribuées.

Par défaut, les entrées de traduction se désactivent au bout de

24 heures de non utilisation (Avec NAT. Avec

PAT, la gestion du timeout est plus affinée voir et voir).

Les compteurs peuventêtre configurés :

ip nat translation

timeout délai_secondes

en mode de configuration globale.



https://supportforums.cisco.com/document/12066866/ip-nat-translation-timeout-command

Il est parfois utile d’effacer les entrées dynamiquesavant une vérification afin d’avoir des résultats propres.

Ne

pa

s in

sist

er

sur

ce

s d

eu

x la

.


Port ForwardingLa redirection (ou transfert) de port

Le problème de NAT est qu’il n’autorise pas par défaut, les requêtes provenant de l’extérieur (voir

diapo. 84 et 90). Ce problème peut être résolu par le transfert de port.

La redirection de port permet à un utilisateur externe d’atteindre un port sur une adresse IP privée (dans

un réseau local) à partir de l’extérieur via un routeur compatible NAT.

La redirection de port ressemble beaucoup au NAT Statique.

voir


https://kb.meraki.com/knowledge_base/11-nat-versus-port-forwarding

Lorsque les utilisateurs sur Internet

envoient des requête HTTP par exemple,

à l’adresse IP publique du routeur NAT, le

routeur transfère ces requêtes aux

serveurs correspondants sur le réseau

local.

Il serait possible de spécifier un port

autre que le port 80. L’utilisateur

externe aurait besoin de connaître le

numéro de port qu’il doit utiliser.

Sur Cisco IOS, la configuration est

possible et ressemble au NAT

statique.

Configuration d’une redirection de port

Pour des raisons de sécurité, les routeurs n’autorisent pas par défaut le transfert d’une requête réseau externe vers un hôte interne.


N’est pas inclus dans CCNA 4.0


Dépannage de la configuration NAT et PAT


Pour résoudre les problèmes liés à NAT, il faut s’assurer que la fonction NAT n’en est pas la cause :

Étape 1. En fonction de la configuration, définir clairement ce que la fonction NAT est censée faire. Cela peut permettre d’identifier un problème de configuration.

Étape 2. S’assurer que les bonnes traductions existent dans la table de traduction à l’aide de la commande show ip nat translations.

Étape 3. Utiliser les commandes clear et debug pour s’assurer que NAT fonctionne correctement. Regardez si les entrées dynamiques sont recréées après avoir été effacées.

Étape 4. Analyser de façon détaillée ce qui arrive au paquet et s’assurer que les routeurs disposent

des informations de routage adéquates.


debug ip nat, debug ip nat detailed

L’hôte interne 192.168.10.10 est à l’origine du trafic vers l’hôte externe 209.165.200.254. Il a été traduit par l’adresse 209.165.200.225.

* : Indique que la traduction s’effectue sur le chemin à commutation rapide. s= : Indique l’IP source. a.b.c.d w.x.y.z : Indique que l’adresse source a.b.c.d est traduite par w.x.y.z. d= : Indique l’IP de destination. [xxxx] : Représente le numéro d’identification IP. C’est le numéro d’ordre des translations NAT.

Signification des valeurs et symboles :


Panne NATCCNA2 5.2 - 11.3.1.3

Exercice PT - 7.4.1.2/7.4.2.2Configurer NAT et DHCP

Exercice PT - 7.4.2.2Dépanner NAT et DHCP

TP n°2 - 7.4.1.1NAT et DHCP

Incorporer les ACL


IPv6Protocole de couche réseau


L’espace d’adressage IPv4 offre environ 4 294 967 296 adresses uniques.

Parmi ces adresses, seules 3,7 milliards peuvent être attribuées car le système d’adressage IPv4

sépare les adresses en classes et réserve des adresses pour la multidiffusion, les tests et d’autres

usages spécifiques.

voir


http://gblogs.cisco.com/fr-ipv6/2014/06/11/penurie-dadresses-ipv4-en-amerique-du-sud/

Croissance de la population

Utilisateurs mobiles

Transport : Internet à objet!

Les nouveaux modèles de voitures utilisent une adresse IP pour permettre une surveillance à distance et

offrir un service et une assistance rapides. Les compagnies aériennes proposent une connectivité Internet sur ses vols.

Des transporteurs maritimes, proposent aussi des services semblables.

Électronique grand public

Les derniers appareils ménagers utilisent la technologie IP pour permettre une surveillance à distance.

Voir les illustrations 7.3.1.1

POURQUOI LES ADRESSES IPV4 VONT S'ÉPUISER TRÈS BIENTÔT…


La capacité à faire évoluer les réseaux pour les demandes futures nécessite une source inépuisable

d’adresses IP et une plus grande mobilité.

IPv6 permet de répondre aux exigences complexes de l’adressage hiérarchique qu’IPv4 ne peut pas

assurer.

Étant donné l’énorme base installée d’IPv4 dans le monde, la transition de déploiements IPv4 vers IPv6

représente un réel défi.

Cependant, diverses techniques, y compris une option de configuration automatique, facilitent cette

transition.

La transition vers IPv6 a commencé depuis plusieurs années partout dans le monde.

Qu’est-il arrivé à IPv5 ? IPv5 a été utilisé pour définir un protocole RTSP (real-time streaming protocol) expérimental. Pour éviter toute

confusion, il a été décidé de ne pas utiliser IPv5 et de nommer le nouveau protocole IP « IPv6 ».


Un billion = 1000 milliards


Au-delà de l’augmentation de l’espace d’adressage IP, le développement d’IPv6 a permis

d’appliquer les leçons tirées des limitations de l’IPv4 pour créer un protocole avec des fonctions

nouvelles et améliorées.


POURQUOI IPv6 ?


ADRESSAGE IP AVANCÉ

Un plus grand espace d’adressage

Une accessibilité et une souplesse globales améliorées.

Une meilleure agrégation des préfixes IP annoncés dans les tables de routage (CIDR en mieux).

Des ordinateurs multi connectésLe multi hébergement est une technique qui permet d’accroître la fiabilité de la connexion Internet. Avec IPv6, un

hôte peut avoir plusieurs adresses IP sur une seule liaison ascendante physique. Un hôte peut par exemple se

connecter à plusieurs FAI.

La configuration automatique pouvant inclure des adresses de couche liaison de données dans

l’espace d’adressage. Les périphérique deviennent totalement plug-and-play.

Réadressage public-privé de bout en bout sans traduction d’adresses. Les réseaux peer to peer sont

ainsi plus fonctionnels et plus faciles à déployer.

Des mécanismes simplifiés

voir


http://www.linux-france.org/prj/edu/archinet/systeme/ch07.html


L’en-tête d’IPv4 compte 20 octets et 12 champs d’en-tête de base, suivis d’un champ d’options et d’une partie

données.

L’en-tête d’IPv6 compte 40 octets, 3 champs d’en-tête de base IPv4 et 5 champs d’en-tête supplémentaires.

L’en-tête simplifié d’IPv6 offre plusieurs avantages par rapport à IPv4 :

Une plus grande efficacité du routage pour des performances et évolutivité du débit de transmission.

Aucune diffusion et donc aucun risque de tempêtes de diffusion.

Aucune exigence pour le traitement des sommes de contrôle.

Systèmes d’en-têtes d’extension simplifiés et plus efficaces.

Étiquetage de flux pour le traitement par flux sans besoin d’ouvrir le paquet interne de transport pour

identifier les différents flux de trafic.


MOBILITÉ ET SÉCURITÉ AMÉLIORÉES

La mobilité permet aux utilisateurs de périphériques réseau mobiles (dont la plupart disposent d’une

connectivité sans fil) de passer d’un réseau à un autre sans changer d’adresse IP.

La mobilité et la sécurité aident à garantir la conformité aux normes de fonctionnalité Mobile IP et IP Security (IPsec).

La norme IETF Mobile IP est disponible pour IPv4 et pour IPv6.

Cette norme permet aux périphériques mobiles de se déplacer sans interruptions dans des

connexions réseau établies.

Les périphériques mobiles utilisent une adresse permanente (Home Address) et une adresse temporaire (Care-of

Address) pour bénéficier de cette mobilité.

IPsec est disponible pour IPv4 et pour IPv6.

Bien que les fonctionnalités soient quasiment identiques dans les deux environnements, IPsec est

obligatoire dans IPv6, ce qui rend Internet par IPv6 plus sécurisé.


RICHESSE DE LA TRANSITION

Lors de la conception d’IPv6, on a cru qu’il allait remplacer très IPv4. Ce n’est pas ce qui s’est passé :

IPv4 a bien résisté depuis plusieurs années.

C’est pour cela que l’IPv6 a été livré avec des techniques de migration afin de traiter tous les

scénarios de mise à niveau d’IPv4 possibles. Bon nombre de ces techniques ont finalement été rejetées par la communauté technologique.

Il existe actuellement trois approches principales :

Double pile

Transmission tunnel 6to4

NAT-PT, transmission tunnel ISATAP et transmission tunnel Teredo (en dernier recours)

Certaines de ces approches sont expliquées plus en détail plus loin dans ce chapitre.

Il est actuellement conseillé de suivre la règle suivante lors de la transition à IPv6 :

« Utilisez la double pile quand vous pouvez, le tunnel quand vous devez ! ».


Voir page suivante



Exercice CCNA 5.0 - 8.2.2.5


Structure d’une adresse IPv6

Les adresses de monodiffusion globale IPv6 sont uniques au monde et routables (Internet IPv6). Ces adresses sont équivalentes aux adresses publiques IPv4.

Une adresse de monodiffusion globale se compose de trois parties :•Préfixe de routage global•ID de sous-réseau•ID d'interface

Un hôte unique peut avoir plusieurs interfaces, chacune dotée d'une ou de plusieurs adresses IPv6


Remarque :

Contrairement à l'adressage IPv4, avec IPv6, les adresses d'hôte contenant uniquement des 0 ou uniquement des 1

peuvent être attribuées à un périphérique.

L'adresse contenant uniquement des 1 peut être utilisée, puisque les adresses de diffusion ne sont pas utilisées dans

IPv6.

L'adresse contenant uniquement des 0 peut également être utilisée, mais elle est réservée comme adresse anycastde routeur de sous-réseau, et elle ne doit être attribuée qu'aux routeurs.


Types d’adresses IPv6

Il existe trois types d'adresses IPv6 :

Monodiffusion – Identifie une interface sur un périphérique IPv6 de façon unique.

Multidiffusion – une adresse de multidiffusion IPv6 est utilisée pour envoyer un seul paquet IPv6 vers plusieurs

destinations.

Anycast

Une adresse anycast IPv6 est une adresse de

monodiffusion IPv6 qui peut être attribuée à plusieurs

périphériques.

Un paquet envoyé à une adresse anycast est

acheminé vers le périphérique le plus proche ayant

cette adresse.

IPv6 n'a pas d'adresse de diffusion.

Mais il existe une adresse de multidiffusion à tous les

nœuds IPv6 qui offre globalement les mêmes résultats.


La longueur de préfixe est utilisée pour indiquer la partie réseau d'une adresse IPv6 à l'aide de la notation

adresse IPv6/longueur de préfixe.

La longueur de préfixe peut aller de 0 à 128.

La longueur de préfixe IPv6 standard pour les réseaux locaux et la plupart des autres types de réseau est /64.

Celle-ci signifie que le préfixe ou la partie réseau de l'adresse a une longueur de 64 bits, ce qui laisse 64 bits pour

l'ID d'interface (partie hôte) de l'adresse.


Il existe six types d'adresse de

monodiffusion IPv6.


Monodiffusion globale

Est similaire à une adresse IPv4 publique.

Ces adresses sont uniques au monde et routables sur Internet.

Les adresses de monodiffusion globale peuvent être configurées de manière statique ou attribuées de manière

dynamique.

Il existe des différences importantes entre la réception d'une adresse IPv6 dynamique par un périphérique et le

DHCP pour l'IPv4.

Link-local

Dans le cadre de l'IPv6, le terme « link » (ou liaison) fait

référence à un sous-réseau.

Une adresse link-local IPv6 permet à un périphérique de

communiquer avec d'autres périphériques IPv6 sur la même

liaison et uniquement sur cette liaison (sous-réseau).

Les paquets associés à une adresse source ou de destination

link-local ne peuvent pas être acheminés au-delà de leur

liaison d'origine.

Les adresses link-local IPv6 se trouvent dans la plage FE80::/10. /10 Indique

que les 10 premiers bits sont 1111 1110 10xx xxxx. Le 1er hextet (16 bits) dispose d'une plage de 1111 1110 1000 0000 (FE80) à 1111 1110 1011 1111 (FEBF).


Bouclage Une adresse de bouclage est utilisée par un hôte pour envoyer un paquet à lui-même.

Cette adresse ne peut pas être attribuée à une interface physique.

Cette adresse contient uniquement des 0, excepté le dernier bit : notée ::1/128, ou simplement ::1 en compressé.

Adresse non spécifiée Adresse contenant uniquement des 0 et notée ::/128 ou simplement :: au format compressé.

Elle ne peut pas être attribuée à une interface.

Une adresse non spécifiée est utilisée comme adresse source lorsque le périphérique n'a pas encore d'adresse IPv6

permanente ou lorsque la source du paquet n'est pas pertinente pour la destination.

Adresse locale unique Les adresses IPv6 locales uniques ont certains points communs avec les adresses RFC 1918 privées pour l'IPv4.

Des adresses locales uniques sont utilisées pour l'adressage local au sein d'un site ou entre un nombre limité de sites.

Ces adresses ne doivent pas être routables sur le réseau IPv6 global.

Les adresses locales uniques sont comprises entre FC00::/7 et FDFF::/7.

Bien que l'IPv6 fournisse un adressage spécifique, il n'est pas censé être utilisé pour masquer les périphériques IPv6

internes de l'Internet IPv6. L'IETF conseille de limiter l'accès aux périphériques en respectant les meilleures pratiques en

matière de mesures de sécurité.

Remarque : la norme IPv6 initiale définissait des adresses site-local et utilisait la plage de préfixes FEC0::/10. Cette norme était ambiguë sur certains points et les adresses site-local ont été désapprouvées par l'IETF au profit des adresses locales uniques.

IPv4 intégréCes adresses sont utilisées pour faciliter la transition de l'IPv4 vers l'IPv6. Les adresses IPv4 intégrées sortent du cadre de

ce cours.


Adresses réservées

L’IETF se réserve une partie de l’espace d’adressage IPv6 pour divers usages, présents et futurs.

Les adresses réservées représentent 1/256ème de l’ensemble de l’espace d’adressage IPv6.



Gestion des adresses IPv6

Vous pouvez attribuer un ID d’adresse IPv6 de façon statique ou dynamique :

Attribution statique à l’aide d’un ID d’interface manuel

Attribution statique à l’aide d’un ID d’interface EUI-64

Configuration automatique sans état (SLAAC : Stateless Address Autoconfiguration)

DHCP pour IPv6 (DHCPv6) avec état

Attribution manuelle de l’ID d’interface

Consiste à attribuer manuellement le préfixe (réseau) et l’ID d’interface (hôte) de l’adresse IPv6.

L’exemple suivant illustre l’attribution d’une adresse IPv6 à l’interface d’un routeur Cisco :

Router(config-if)# ipv6 address 2001:DB8:2222:7272::72/64


La commande ipv6 address configure une adresse IPv6 globale.

L’adresse locale-lien est automatiquement configurée dès que l’adresse de monodiffusion globale est atrribuée.

Consiste à configurer la partie préfixe

(réseau) de l’adresse IPv6 et d’obtenir

ensuite la partie ID d’interface (hôte) à

partir de l’adresse MAC de couche 2 du

périphérique, appelée ID d’interface EUI-

64.

Pour configurer une adresse IPv6 sur

l’interface d’un routeur Cisco et activer

le traitement IPv6 en utilisant EUI-64 sur

cette interface :

Attribution de l’ID d’interface

EUI-64

Router(config-if)# ipv6 address 2001:DB8:2222:7272::/64 eui-64


U/L : indique si l’@ MAC a été attribuée localement (1) ou est universelle (0).


Lorsque vous configurez une adresse IPv6 sur une interface, l’adresse locale-lien est automatiquement

configurée pour cette interface.

L’attribution d’une adresse local lien par détection automatique peut échouer. L’adresse local lien doit dans ce cas être attribuée manuellement.


Configuration automatique des adresses sans état (SLAAC)

La configuration automatique des adresses sans état (SLAAC) est une méthode permettant à un

périphérique d'obtenir son préfixe, la longueur de préfixe, et l'adresse de la passerelle par défaut depuis

un routeur IPv6, sans l'intervention d'un serveur DHCPv6.

Lorsque la SLAAC est utilisée, les périphériques se basent sur les messages d'annonce de routeur ICMPv6

du routeur local pour obtenir les informations nécessaires.

Les routeurs IPv6 envoient régulièrement des messages d'annonce de routeur ICMPv6 à tous les

périphériques IPv6 du réseau.

Par défaut, les routeurs Cisco envoient des messages d'annonce de routeur toutes les 200 secondes à l'adresse du groupe de multidiffusion à tous les nœuds IPv6.

Un périphérique IPv6 du réseau n'a pas à attendre ces messages. Il peut envoyer un message de

sollicitation de routeur au routeur, en utilisant l'adresse du groupe de multidiffusion à tous les

routeurs IPv6.

Lorsqu'un routeur IPv6 reçoit un message de sollicitation, il répond immédiatement en envoyant un

message d'annonce de routeur.


Même si une interface d'un routeur Cisco peut être configurée avec une adresse IPv6, cela ne fait

pas du routeur un « routeur IPv6 ».

Un routeur IPv6 est un routeur qui :

transfère les paquets IPv6 entre les réseaux ;

peut être configuré avec des routes IPv6 statiques ou un protocole de routage IPv6 dynamique ;

envoie des messages d'annonce de routeur ICMPv6.

IPv6 n'est pas activé par défaut. Pour sélectionner IPv6 sur un routeur, la commande ipv6 unicast-routing doit être utilisée.


DHCPv6 (dynamique)

DHCPv6 permet aux serveurs DHCP de transmettre les paramètres de configuration, tels que les

adresses réseau IPv6, aux nœuds IPv6.

DHCP permet d’allouer automatiquement des adresses réseau réutilisables et offre davantage de

souplesse au niveau de la configuration.

SLAAC a été mis en œuvre parce que IPv6 a été conçu alors que le DHCP était a ses débuts.

DHCP v6 a été conçu au début comme complément de SLAAC.

DHCP v6 peut être utilisé séparément (avec état) ou avec la configuration automatique d’adresse

sans état IPv6 en vue d’obtenir les paramètres de configuration.


Stratégies de transition à IPv6

La transition depuis IPv4 ne nécessite pas de mise à niveau sur tous les nœuds au même moment.

De nombreux systèmes de transition permettent une intégration en douceur d’IPv4 et d’IPv6.

D’autres systèmes permettent à des nœuds IPv4 de communiquer avec des nœuds IPv6.

Les stratégies divergent selon les situations.


Double pile

Méthode d’intégration dans laquelle un nœud a une mise en œuvre et une connectivité à un

réseau IPv4 et IPv6.

Il s’agit de l’option recommandée et nécessite l’exécution simultanée d’IPv4 et d’IPv6.

Le routeur et les commutateurs sont configurés pour prendre en charge les deux protocoles, IPv6

étant le protocole préféré.

Détails plus loin.


Transmission tunnel

Il existe plusieurs techniques de transmission tunnel, notamment :

- Transmission tunnel manuel d’IPv6 sur IPv4 : détails plus loin

Un paquet IPv6 est encapsulé dans le protocole IPv4. Cette méthode nécessite des routeurs à double pile.

- Transmission tunnel 6to4 dynamique : détails plus loin

Etablit automatiquement la connexion des îlots IPv6 via un réseau IPv4, généralement Internet.

Elle applique de façon dynamique un préfixe IPv6 unique et valide à chaque îlot IPv6, ce qui permet

de déployer rapidement l’IPv6 dans un réseau d’entreprise sans récupération des adresses par les FAI

ou les organismes d’enregistrement.

- Le protocole ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) : Les tunnels ISATAP permettent aux hôtes à double pile IPv4 ou IPv6 d’un même site de communiquer avec d’autres

hôtes identiques sur une liaison virtuelle, créant ainsi un réseau IPv6 à l’aide de l’infrastructure IPv4.

- Transmission tunnel Teredo :Cette approche transmet un trafic IPv6 monodiffusion lorsque les hôtes à double pile se trouvent derrière un ou

plusieurs NAT IPv4.


- NAT-PT (NAT-Protocol Translation)

La version 12.3(2)T de Cisco IOS et les versions ultérieures (avec le jeu de fonctions approprié)

comprennent également NAT-PT entre IPv6 et IPv4.

Cette traduction permet aux hôtes qui utilisent différentes adresses IPv6 et IPv4 de communiquer en

utilisant une traduction d’entête IPv6 et IPv4. Un paquet IPv6 est traduit en un paquet IPv4, et

inversement.

Ces traductions sont plus complexes que la fonction NAT d’IPv4.

À l’heure actuelle, cette méthode de traduction constitue une option dépassée.


Le Double Piles IPv6/IPv4


Un nœud à double pile choisit la pile à utiliser en fonction de l’adresse de destination du paquet.

Un nœud à double pile doit privilégier l’IPv6 lorsque celui-ci est disponible.

Les anciennes applications n’utilisant qu’IPv4 continuent à fonctionner comme avant. Les nouvelles

applications ou les applications modifiées profitent des deux couches IP.

Pour que ce système fonctionne, les applications et les systèmes d’exploitation des

périphériques intermédiaires soient mis à niveau (ajout d’API pour les applications).

Voir topologie page suivante



Voir

https://www.google.dz/search?q=double+pile+ipv4+ipv6&safe=active&source=lnms&tbm=isch&sa=X&ei=vf95VMutINivaYnBgJgC&ved=0CAYQ_AUoAQ&biw=1280&bih=899

La version 12.2(2)T de Cisco IOS et plus (avec le jeu de fonctions approprié) sont compatibles avec IPv6.

Dès que vous configurez les protocoles IPv4 et IPv6 de base sur l’interface, cette dernière est à double pile et

transfère le trafic IPv4 et IPv6 sur cette interface.

Pour utiliser le routage IPv6 sur un routeur Cisco IOS, vous devez utiliser la commande de configuration globale ipv6

unicast-routing.

Vous devez configurer toutes les interfaces qui transfèrent le trafic IPv6 avec une adresse IPv6 à l’aide de la commande d’interface ipv6 address adresse-IPv6 [/longueur-préfixe].


Les Tunnels 6to4


Lorsque IPv4 est utilisé pour encapsuler le paquet IPv6, un type de protocole 41 est spécifié dans l’en-tête IPv4. Le paquet comprend un en-tête IPv4 (20 octets) sans aucune option, un en-tête IPv6 et des données utiles. Cette méthode nécessite des routeurs à double pile.

Adresse dynamique Adresse dynamique

Voir


https://www.google.dz/search?q=double+pile+ipv4+ipv6&safe=active&source=lnms&tbm=isch&sa=X&ei=vf95VMutINivaYnBgJgC&ved=0CAYQ_AUoAQ&biw=1280&bih=899

La transmission tunnel pose les deux problèmes :

L’unité de transmission maximale (MTU) diminue de 20 octets si l’en-tête IPv4 ne contient pas de

champs facultatifs.

Un réseau avec transmission tunnel est souvent difficile à dépanner.

La transmission tunnel est une technique intermédiaire ; elle ne doit pas être considérée comme une

solution finale. Une architecture IPv6 native doit constituer l’objectif ultime.


Les Tunnels Manuels


Un tunnel configuré manuellement équivaut à une liaison permanente entre deux domaines IPv6 sur un réseau fédérateur IPv4.

Adresse statique Adresse statique


Une adresse 6to4 commence par 2002::/16.

Par exemple, une adresse globale 169.200.100.78 (A9.C8.64.4E), plusieurs adresses 6to4 peuvent être construites :

2002:A9C8:644E::/48

Tunnel 6to4 automatique

Le paquet IPv6 sera encapsulé dans un paquet IPv4 avec comme adresse IPv4 source, l’adresse de l’interface

IPv4 du routeur, et comme adresse de destination l’adresse IPv4 que le routeur aura extrait de l’adresse IPv6

de destination.

Le paquet ira vers le routeur distant. Celui-ci décapsulera le paquet, se débarrassera de l’entête IPv4 et

enverra le paquet IPv6 vers la destination.

Au retour, le routeur distant va recevoir un paquet IPv6 qu’il doit être encapsuler dans un paquet IPv4.

L’adresse IPv4 source sera l’adresse de son interface et de destination, l’adresse IPv4 qu’il aura extrait de

l’adresse IPv6 de destination.

Le paquet IPv4 obtenu par l’encapsulation a comme type de protocole 41.

Voir tunnel avec adresse IPv6 publique

http://l3switch.blogspot.com/2013/09/dynamic-ipv6-point-to-multipoint.html

Routage IPv6


IPv6 utilise des versions modifiées de la plupart des protocoles de routage courants pour gérer

les adresses IPv6 plus longues et les différentes structures d’en-tête.

Des espaces d’adressage plus importants et des adresses plus longues impliquent des allocations

d’adresses volumineuses pour les FAI et les organisations.

Mais en quoi IPv6 affecte-t-il les performances du routeur ? Une révision rapide du fonctionnement d’un routeur va permettre d’illustrer en quoi IPv6 affecte le routage.

Sur un plan conceptuel, le routeur a trois zones fonctionnelles :

Le plan de contrôle gère l’interaction du routeur avec les autres éléments du réseau. Ce plan exécute des processus tels que les protocoles de routage et la gestion du réseau. Ces fonctions sont généralement complexes.

Le plan de données gère le transfert de paquets d’une interface physique ou logique à une autre. Différents mécanismes de commutation sont employés, notamment le procédé de commutation et Cisco Express Forwarding (CEF / routage par les ASIC) sur les routeurs du logiciel Cisco IOS.

Les services avancés comprennent des fonctionnalités évoluées appliquées lors du transfert de données, par exemple les ACL, la qualité de service (QS), le chiffrement, la traduction et la comptabilisation.

IPv6 représente de nouveaux défis pour chacune de ces fonctions.


Comment IPv6 se comporte du point de vu du plan de contrôle IPv6

L’activation d’IPv6 sur un routeur démarre les processus d’exploitation de son plan de contrôle pour IPv6.

Taille de l’adresse IPv6 :

La taille de l’adresse affecte les fonctions de traitement des informations d’un routeur.

Les systèmes utilisant une UC de 64 bits, un bus ou une mémoire transmettent les adresses IPv4 source et de

destination au cours d’un même cycle de traitement.

Dans IPv6, les adresses source et de destination nécessitent chacune deux cycles (quatre cycles en tout) pour

traiter les informations des adresses source et de destination.

Ainsi, il y a des chances pour que les performances des routeurs ne se basant que sur le traitement logiciel soient

inférieures aux performances dans un environnement IPv4.

Adresses de nœuds IPv6 multiples :

Les nœuds IPv6 pouvant utiliser plusieurs adresses IPv6 monodiffusion, la consommation de mémoire du cache de la

détection de voisins peut être affectée (table des voisin table ARP voir).

Protocoles de routage IPv6 :

Les protocoles de routage IPv6 sont semblables à ceux d’IPv4, mais un préfixe IPv6 étant quatre fois plus grand qu’un

préfixe IPv4, les mises à jour de routage sont plus volumineuses.

Taille de la table de routage :

L’espace d’adressage IPv6 étant plus grand, les réseaux sont plus importants et Internet est plus volumineux.

Les tables de routage doivent donc être plus grandes et la configuration requise pour la mémoire plus élevée pour

en assurer la prise en charge.


http://technet.microsoft.com/en-us/library/cc781672(v=ws.10).aspx

Comment IPv6 se comporte du point de vu du plan de données IPv6

Analyse des en-têtes d’extension IPv6 :

Les applications, notamment les applications mobiles IPv6, utilisent souvent les informations d’adresse IPv6 dans des en-têtes d’extension, augmentant ainsi leur taille.

(entête d’extension=options IPv6 se trouvant entre l’entête IPv6 et l’entête de couche de transport). Ces champs supplémentaires représentent davantage de traitement.

Si la longueur de l’en-tête d’extension est supérieure à la longueur fixe du registre matériel du routeur, la commutation matérielle échoue et les paquets peuvent être dirigés vers la commutation logicielle ou être abandonnés.

Ces opérations affectent sérieusement les performances du routeur en matière de transfert.

Recherche d’adresses IPv6 :

IPv6 effectue une recherche sur les paquets entrant dans le routeur afin de trouver l’interface de sortie. Dans IPv4, le processus de prise de décision de transfert analyse une adresse de destination de 32 bits. Dans IPv6, la décision de transfert pourrait nécessiter l’analyse d’une adresse de 128 bits. La plupart des routeurs effectuent des recherches à l’aide d’un circuit intégré à application spécifique

(ASIC) avec une configuration fixe qui effectue les fonctions pour lesquelles il était conçu à l’origine : l’IPv4. Cela peut engendrer la transmission de paquets dans un processus logiciel plus lent, voire leur abandon.


https://docs.oracle.com/cd/E19957-01/820-2982/ipv6-ref-3/index.html

RIPng


Le document RFC 2080 définit le protocole d’informations de routage nouvelle génération

(RIPng) comme un simple protocole de routage basé sur le protocole RIP.

RIPng n’est pas plus ou moins puissant que RIP ; il permet cependant de facilement mettre en place un

réseau IPv6 sans avoir besoin de créer un nouveau protocole de routage.

Comme RIP,

RIPng est un protocole de routage à vecteur de distance ayant une limite de 15 sauts qui utilise le découpage

d’horizon et les mises à jour en mode empoisonnement inverse pour empêcher les boucles de routage.

Sa simplicité vient du fait qu’il ne nécessite pas d’avoir une connaissance globale du réseau.

Seuls les routeurs voisins échangent des messages locaux.

RIPng a les caractéristiques suivantes :

Basé sur IPv4 RIP version 2 (RIPv2) et est semblable à RIPv2. Utilise IPv6 pour le transport. Inclut le préfixe IPv6 et l’adresse IPv6 du saut suivant. Utilise le groupe de multidiffusion FF02::9 comme adresse de destination pour les mises à jour RIP (semblable

à la fonction de diffusion effectuée par le protocole RIP dans IPv4).

Envoie des mises à jour sur le protocole UDP port 521. Est pris en charge par Cisco IOS version 12.2(2)T et versions ultérieures.

Dans le cas de déploiements à double pile, les protocoles RIP et RIPng sont tous deux requis.


Configuration de RIPng avec IPv6


Activer IPv6 globalement à l’aide de la commande de configuration globale ipv6 unicast-routing

Et ensuite…



Résolution de noms Cisco IOS pour IPv6


Vérification et dépannage d’IPv6



Vérification et dépannage de RIPng pour IPv6


Exercice CCNA1 5.0 - 8.3.2.5 et 8.3.2.8

Exercice CCNA4 4.0 - 7.3.9.2

Documents

CCNA4_CHAPITRE 7_BADIL (1)