Upload
nina
View
11
Download
4
Embed Size (px)
DESCRIPTION
ccna 4
Citation preview
CHAPITRE 7
SEVICES D’ADRESSAGE IP
Introduction
Fait par : Fadéla HAMDAD
Source : Curriculum Cisco CCNA4 4.0 et CCNA 5.X
avec ajouts, modifications et corrections
Tous les textes sont mentionnés CCNA4 4.0.
Cependant, certains peuvent être issus du CCNA4 5.X (en plus des illustrations)
ou du CCNA Security.
Source : Curriculum Cisco CCNA4 4.0
CROISSANCE SPECTACULAIRE D’INTERNET MANQUE D’ADRESSES IP DISPONIBLES. Les adresses privées et NAT sont deux de ces solutions à court terme.
NAT permet aux hôtes du réseau interne d’emprunter une adresse IP Internet publique pendant qu’ils
accèdent aux ressources Internet.
Lorsque le trafic demandé revient, l’adresse IP publique est redéfinie et disponible pour la requête Internet suivante effectuée par un hôte interne.
Avec NAT, les administrateurs réseau n’ont besoin que d’une ou de quelques adresses IP que le routeur fournit aux hôtes, plutôt qu’une adresse IP unique pour chaque client.
Les adresses privées, les adresses publiques dynamiques avec DHCP (allouées par le FAI aux
utilisateurs) et NAT ont été une solution à court terme. Maintenant, les adresses IPv4 manquent.
Au milieu des années 90, le groupe de travail IETF a lancé le groupe (IPng) (IP nouvelle génération) .En 1996, le groupe de travail IETF a commencé à publier un certain nombre de documents RFC définissant le protocole IPv6.
La principale caractéristique du protocole IPv6 est son plus grand espace d’adressage : les adresses
utilisées par l’IPv6 ont une longueur de 128 bits contre 32 bits avec l’IPv4.
DHCP
Source : Curriculum Cisco CCNA4 4.0
LE PROTOCOLE
DHCP
Source : Curriculum Cisco CCNA4 4.0
Pour pouvoir les gérer à distance notamment.
Le protocole DHCP attribue les adresses IP et d’autres informations sur la configuration de façon dynamique.
Les administrateurs préfèrent les services DHCP car ces solutions sont évolutives et faciles à gérer.
Un routeur Cisco peut être configuré pour fournir les services DHCP, évitant ainsi l’achat d’un serveur dédié : c’est le
jeu de fonction EASY IP de Cisco IOS.
Source : Curriculum Cisco CCNA4 4.0
Mécanismes DHCP d’allocation d’adressesLe protocole DHCP fonctionne en client/serveur.
ALLOCATION MANUELLE
L’administrateur configure une réservation DHCP sur le serveur (comme ce qu’on a vu sur LINKSYS) en faisant
correspondre une adresse IP à une adresse MAC. Le DHCP communique l’adresse IP au périphérique dès qu’il
est connecté.
ALLOCATION AUTOMATIQUE
DHCP attribue de façon automatique et permanente (pas de bail) une adresse IP à un périphérique en la
sélectionnant dans un pool d’adresses disponibles.
ALLOCATION DYNAMIQUE
Le protocole DHCP attribue, ou loue, de façon automatique et dynamique une adresse IP à partir d’un pool
d’adresses pour une durée limitée (bail) définie par le serveur ou jusqu’à ce que le client indique au serveur DHCP qu’il n’a plus besoin de cette adresse.
Les pools sont dédiés à des sous-réseaux IP.
voir
Source : Curriculum Cisco CCNA4 4.0
LES BAUX DHCP
Le bail permet de s’assurer que les hôtes qui se connectent et se déconnectent souvent ou qui sont
éteints ne conservent pas des adresses dont ils n’ont plus besoin : économie de ressources
L’hôte doit régulièrement contacter le serveur DHCP pour renouveler le bail (DHCP-Request) :
Et ce, après avoir atteint 50% du bail sous windows. Si le bail n’a pas pu être renouvelé après 50% de son utilisation, l’hôte interroge tous les seveurs DHCP pour un
renouvellement après avoir atteint 87.5% du bail. Si le bail expire sans avoir pu le renouveler, l’hôte demande un nouveau bail avec une nouvelle adresse.
Le serveur DHCP renvoie ces adresses au pool d’adresses et les réattribue selon les besoins.
La durée des baux dépend de la nature du réseau et des hôtes qui le constituent.
Si les hôtes ont tendance à être souvent éteints ou déconnectés, utiliser des baux de courtes durées.
Si c’est des hôtes constamment en ligne, utiliser des baux de longues durées.
Source : Curriculum Cisco CCNA4 4.0
Fonctionnement du protocole DHCPLa principale fonction d’un serveur DHCP est d’offrir aux clients des adresses IP.
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 5.0
DHCPISDCOVER détecte les serveurs DHCP
sur le réseau.
L’hôte n’a pas d’adresse IP valides (0.0.0.0
ou APIPA) au démarrage. Il utilise les diffusions
L2 et L3 pour communiquer avec le serveur.
Meilleur schéma
Le serveur DHCP transmet une offre via
DHCPOFFER (configuration initiale)
contenant par ex. une adresse IP, un
masque, l’adresse MAC du client et
l’adresse IP du serveur DHCP.
Le client peut recevoir plusieurs offres de
différents serveurs. Il choisit la meilleure en
fonction des options (souvent la 1ère reçue).
Le serveur peut réserver ou pas l’adresse allouée au
client. Le serveur vérifie que l’adresse allouée n’est
pas utilisée grâce à une requête d’echo. C’est une
option qui peut être désactivée par l’admin.
ou diffusion (voir)
Le client envoie une requête DHCP
DHCPREQUEST qui identifie explicitement
le serveur et l'offre qu'il accepte.
Cette requête peut contenir quelques
paramètres désirées par le client.
C’est une diffusion pour que les autres
serveurs sachent que leur offre n’a pas
été retenue.
Le client n’utilise pas à ce stade
l’adresse qu’il lui a été offerte.
Un client peut choisir de demander une
adresse que le serveur lui a déjà
attribuée précédemment.
Port Src. : UDP 68 - Port Dst. : UDP 67
S’il n’y a pas de réponse à un DHCPDISCOVER, le client
réémet ce message plusieurs fois (voir diapo. 56).
Port Src. : UDP 67 - Port Dst. : UDP 68
Port Src. : UDP 68 - Port Dst. : UDP 67
Port Src. : UDP 67 - Port Dst. : UDP 68
Port UDP 67 : port d’écoute de requêtes.Port UDP 68 : port de réponses aux requêtes.
Source : Curriculum Cisco CCNA4 4.0
Si l'adresse IP offerte par le serveur est
encore disponible, le serveur renvoie un
DHCP DHCPACK confirmant au client que
le bail est conclu (l’adresse IP sera marquée).
Si l'offre n'est plus valide (par exemple en
raison du délai d'attente ou si un autre
client a pris le bail), le serveur sélectionné
répond par un message d'accusé de
réception DHCP négatif DHCPNAK.
Si un message DHCPNAK est retourné, le
processus de sélection doit recommencer
avec la transmission d'un nouveau
message DHCPDISCOVER.
détails
ou diffusion (voir lien page suivante)
Le serveur crée une entrée
ARP pour le bail du client.
Lorsque le client a obtenu le bail, Il doit être
renouvelé avant son expiration via un autre
message DHCPREQUEST.
Lorsque le client reçoit le message DHCPACK, il
consigne les informations de configuration et
lance une recherche ARP* sur l’adresse attribuée.
S’il ne reçoit pas de réponse, il sait que l’adresse
IP est valide et l’utilise sinon, il envoie un
DHCPDECLINE et relance le processus après 10s
(minimum) d’attente.
À l’expiration du bail, le client doit demander
une autre adresse, même si l’adresse courante
est généralement reconduite.
Un client peut renoncer au bail en envoyant un
DHCPRELEASE en monodiffusion ou renouveler
son bail avant sa fin avec un DHCPREQUEST
toujours en monodiffusion (voir).* Gratuitous ARP
Si un client ne reçoit ni DHCPACK ni DHCPNACK, il retransmet les DHCPREQUEST un nombre de fois.
Si un client dispose déjà d’une adresse IP mais a besoin seulement des autres paramètres, il envoie un DHCPINFORM.
Contenant la config + les options désirées.
détails2
ou diffusion(voir lien page suivante)
Port Src. : UDP 68 - Port Dst. : UDP 67
Port Src. : UDP 67 - Port Dst. : UDP 68
Port Src. : UDP 68 - Port Dst. : UDP 67
Port Src. : UDP 67 - Port Dst. : UDP 68
Source : Curriculum Cisco CCNA4 4.0
Le client DHCP notifie aux serveurs DHCP (ou aux relais DHCP) qu’ils doivent envoyer des réponses en
diffusion (flag bit broadcast=1) car il ne sait pas recevoir des données autrement tant qu’il n’a pas
d’adresse IP (voir).
Certains clients DHCP savent recevoir des monodiffusions même sans adresse IP (flag bit broadcast=0).
Le serveur DHCP utilise l’adresse YIADDR dans le champ IP-DEST du OFFER et du ACK (voir page 24).
Il y a plusieurs cas, nuances à ce fonctionnement. Ceci est indicatif.
Explication des broadcast/unicast DHCP - Débogage DHCP
!
Source : Curriculum Cisco CCNA4 4.0
Protocoles BOOTP (Bootstrap) et DHCPBOOTP (RFC 951) est le prédécesseur de DHCP.
Source : Curriculum Cisco CCNA4 4.0
BOOTP permet de télécharger des configurations d’adresse et d’amorçage pour les stations de
travail sans disque.
Le serveur BOOTP attribue à un client une adresse IP, un nom de fichier (image de l’IOS) et l’adresse
ou se trouve ce fichier (serveur TFTP ou autre) pour qu’il puisse démarrer (rfc951).
Une station de travail sans disque ne dispose pas de système d’exploitation.
De nombreux systèmes de caisses enregistreuses automatisées sont des exemples de stations de travail sans disque.
Les protocoles DHCP et BOOTP sont tous deux de type client/serveur et utilisent les ports UDP 67 et 68.
Ces ports continuent à s’appeler les ports BOOTP.
Source : Curriculum Cisco CCNA4 4.0
Adresse MAC client - Adresse IP à allouer déjà configuré sur le serveur BOOTP
Réattribuer ultérieurement l’adresse IP à un autre client
dont WINS (ancien DNS qui mappait les nom NetBIOS)@IP, passerelle, DNS, masque.
C’est plutôt un nombre limité de paramètres
et pas forcément quatre.
Affecte une adresse IP pendant le démarrage du système. Affecte une adresse IP alors que le système est déjà lancé.
Prévu pour des stations sans disque. Prévu pour des stations avec disque.
BOOTP dynamique permet une allocation dynamique par DHCP (les clients BOOTP reçoivent des adresse par un serveur DHCP sans changer la configuration des clients. (voir)
statique
Jusqu’au redémarrage
Affectation pour 30 jours par défaut.
Comparatif détaillé
BOOTP vs DHCP
Source : Curriculum Cisco CCNA4 4.0
Format du message DHCP
Les développeurs du protocole DHCP devaient conserver la compatibilité avec le protocole BOOTP.
Ils ont donc utilisé le même format de message que BOOTP.
Source : Curriculum Cisco CCNA4 4.0
DHCP comptant plus de fonctionnalités que BOOTP, le champ des options DHCP a été ajouté. Dans une communication avec d’anciens clients BOOTP, le champ des options DHCP est ignoré.
Source : Curriculum Cisco CCNA4 4.0
Code d’opération (OP) : Type général du message. Si la valeur est 1, il s’agit d’un message de requête DHCPREQUEST ; si la valeur est 2, c’est une
réponse. Par exemple DHCPOFFER ou DHCPACK. Ça ne définit pas le type exact du message. Ceci est défini dans le champ Option/Type.
Type de matériel : Type de matériel utilisé : 1 pour Ethernet, 15 pour relais de trames et 20 pour une ligne série. Mêmes codes utilisés dans ARP.
Longueur de l’adresse matérielle : Permet de spécifier la longueur de l’adresse. Pour Ethernet c’est 6 (octets).
Sauts : Mis à zéro par le client avant la transmission d’une requête et utilisé par les agents de relais pour contrôler la transmission des messages DHCP.
Le nombre de relais DHCP est limité. Cette valeur est utilisé pour voir si ce nombre ne dépasse pas le seuil (ce seuil est configurable).
Identificateur de transaction : Identification générée par le client afin d’associer la requête aux réponses reçues sur les serveurs DHCP.
Secondes : Temps écoulé depuis le début de la tentative d’acquisition ou de renouvellement d’un bail par un client. Les serveurs DHCP occupés utilisent ce
chiffre pour définir les priorités des réponses lorsque plusieurs requêtes du client sont en attente.
Indicateurs : Un seul des 16 bits est utilisé, l’indicateur de diffusion (les 16 bits sont un vestige de BOOTP).
Adresse IP du client CIADDR : Le client entre son adresse IP dans ce champ uniquement s’il en dispose d’une valide alors qu’il est en état de liaison ; si ce
n’est pas le cas, il définit le champ sur 0.0.0.0. Le client ne peut utiliser ce champ que si son adresse est valable et utilisable, et non pendant l’acquisition
d’une adresse.
Votre adresse IP YIADDR : Adresse IP que le serveur attribue au client.
Adresse IP du serveur SIADDR : Adresse du serveur que le client doit utiliser au cours de l’étape suivante du processus de bootstrap (Serveur TFTP par
exemple), qui n’est pas obligatoirement le serveur ayant envoyé cette réponse. Le serveur émetteur inclut toujours son adresse IP dans un champ spécial
appelé l’option Server Identifier DHCP.
Adresse IP de la passerelle GIADDR : Utilisée lorsque les agents de relais DHCP sont impliqués : le serveur DHCP envoie ses réponses à GIADDR s’il elle
existe. Sinon, il l’envoie au client DHCP. (voir). Pour plus de détails voir.
Adresse matérielle du client CHADDR : Spécifie l’adresse physique du client.
Nom du serveur : Le serveur peut entrer son nom dans ce champ lors de ses réponses. C’est un simple surnom ou d’un nom de domaine DNS, tel que
serveurdhcp.netacad.net.
Nom du fichier de démarrage : Utilisé par un client dans un message DHCPDISCOVER. Le serveur répond en spécifiant dans un message DHCPOFFER un
répertoire et un nom de fichier de démarrage (oui, DHCP a la même capacité que BOOTP pour l’allocation d’informations au démarrage voir).
Options : Options DHCP, notamment plusieurs paramètres requis pour le fonctionnement de base de DHCP. La longueur de ce champ est variable. Le client
et le serveur peuvent utiliser ce champ.
Source : Curriculum Cisco CCNA4 4.0
EXEMPLE SIMPLE D’ECHANGE DHCP
Source : Curriculum Cisco CCNA4 4.0
diffusion IP universelle plutôt
Détection DHCP
C’est pas des points d’interrogation!
C’est pas CIADDR mais YIADDR = ?Ce client n’a pas d’adresse valable au préalable. Ce champs est donc 0.0.0.0. Ce que veut le client c’est YIADDR = ?
Source : Curriculum Cisco CCNA4 4.0
Offre DHCP
Le serveur répond avec comme IP DST et offerte : 192.168.1.10, parce que le
client dans son DHCPREQUEST a mis dans l’option 50 :
Requested IP address = 192.168.1.10 voir. Ce client est capable de recevoir des
monodiffusions même si la configuration IP n’est pas finalisée (flag
broadcast=0).
La plupart des serveurs DHCP permettent à l’administrateur de définir spécifiquement les adresses MAC des clients et de leur attribuer la même adresse IP à chaque fois.
Voir exemple plus clair. Si temps, faire une simulation wireshark
Ce n’est pas CIADDR mais YIADDR = 192.168.1.1. c’est l’adresse offerte par le serveur DHCP. CIADDR est modifié par le client pas par le serveur.
Source : Curriculum Cisco CCNA4 4.0
Pour résumer…
Le DHCPDISCOVER est une diffusion. Elle contient l’adresse MAC du client DHCP.
Le DHCPOFFER peur être une monodiffusion si le client met flag broadcast à 0. Dans ce cas, le
serveur répond en envoyant une offre de YIADDR avec IP-SRC=@IP Serveur DHCP et IP-DEST=YIADDR.
Soit une diffusion si flag broadcast=1. Dans ce cas, le serveur répond en envoyant une offre de
YIADDR avec IP-SRC=@IP Serveur DHCP et IP-DEST=255.255.255.255.
Dans les deux cas, l’adresse MAC du client est utilisée.
Le DHCPREQUEST avec @IP du serveur DHCP choisi, est une diffusion pour que tous les autres
serveurs sachent qu’ils n’ont pas été choisis.
Le DHCPACK est soit une diffusion, soit une monodiffusion (même cas que OFFER).
Source : Curriculum Cisco CCNA4 4.0
Configuration d’un serveur DHCP
Source : Curriculum Cisco CCNA4 4.0
Les routeurs Cisco assurent la prise en charge intégrale d’un serveur DHCP.
Le serveur DHCP Cisco IOS gère les adresses IP depuis les pools d’adresses spécifiés dans le routeur.
La configuration d’un routeur comme serveur DHCP comprend les étapes suivantes :
Étape 1.
Définir une plage d’adresses que le protocole DHCP ne doit pas allouer. Il s’agit généralement d’adresses statiques réservées à l’interface de routeur, à l’adresse IP de gestion de commutateur, aux serveurs et aux imprimantes réseau locales.
Étape 2. Créez le pool DHCP à l’aide de la commande ip dhcp pool.
Étape 3.
Configurez le pool.
Source : Curriculum Cisco CCNA4 4.0
1. ADRESSES EXCLUES
Configurer les adresses exclues avant de créer le pool DHCP pour que DHCP n’attribue pas par mégarde des adresses
réservées.
Utiliser la commande :
ip dhcp excluded-address.
Source : Curriculum Cisco CCNA4 4.0
2. CRÉER POOL DHCP
Définir un pool d’adresses à attribuer.
Utiliser la commande :
ip dhcp pool
Source : Curriculum Cisco CCNA4 4.0
3. CONFIGURER LE POOL DHCP
dns-server: Configurer l’adresse IP du serveur DNS à la disposition d’un client DHCP. Jusqu’à huit adresses peuvent
apparaître.
lease: La configuration de la durée du bail constitue l’un des autres paramètres. Par défaut, le bail est d’un jour.
Netbios-name-server: Configurer un serveur WINS NetBIOS à la disposition d’un client DHCP Microsoft. La configuration doit avoir lieu dans un environnement prenant en charge des clients antérieurs à Windows 2000. Les installations comptant désormais des clients Windows plus récents, ce paramètre n’est généralement pas requis.
network: Définit la plage
des adresses disponibles.
default-router: Définit la
passerelle par défaut que
doivent utiliser les clients.
Au moins une adresse est requise, mais vous pouvez en spécifier jusqu’à huit.Les passerelles multiples servent de redondance (voir).
Commandes facultatives :
Source : Curriculum Cisco CCNA4 4.0
Le service DHCP est activé par défaut sur les versions du logiciel Cisco IOS qui le prennent en charge. Pour désactiver le service, utiliser la commande no service dhcp.
Utiliser la commande de configuration globale service dhcp pour réactiver le processus du serveur DHCP.
Activer le service n’a aucun effet si les paramètres ne sont pas configurés.
Il est possible de configurer une réservation DHCP sur un routeur Cisco (page 7)
Source : Curriculum Cisco CCNA4 4.0
Vérification de DHCP
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
show run | section ou include
show ip dhcp binding :
Affiche la liste de toutes les liaisons
entre adresse IP et adresse MAC qui
ont été fournies par le service DHCP.
show ip dhcp server
statistics:
Affiche le nombre de messages
DHCP envoyés et reçus.
Dans l’exemple, aucune liaison ou
statistique n’est affichée pour le
moment. Aucun des PC n’est sous-
tension.
Supposons maintenant que PC1
a été mis sous tension et que son
démarrage est terminé.
Source : Curriculum Cisco CCNA4 4.0
Les informations de liaison
indiquent désormais que l’adresse
IP 192.168.10.10 a été liée à une
adresse MAC.
Les statistiques affichent également
l’activité de DHCPDISCOVER,
DHCPREQUEST, DHCPOFFER et
DHCPACK.
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Supposons maintenant que PC2
a été mis sous tension et que son
démarrage est terminé.
Source : Curriculum Cisco CCNA4 4.0
Les liaisons DHCP indiquent
désormais que deux hôtes ont reçu
une adresse IP.
Les statistiques DHCP reflètent
également l’échange de messages
DHCP.
Source : Curriculum Cisco CCNA4 4.0
Cette commande résume les
informations sur les pools DHCP.
*
• Pour mark et subnet, ce n’est pas l’objet du cours. Il faut aller plus loin pour comprendre.
Source : Curriculum Cisco CCNA4 4.0
Current index :
prochaine adresse à allouer.
Pending event :
Requête en attente du pool.Voir détails
Configuration d’un routeur en tant
que client DHCP
Source : Curriculum Cisco CCNA4 4.0
Dans la plupart des cas, les routeurs personnels acquièrent automatiquement une adresse IP auprès du
FAI. Ce sont des clients DHCP.
La figure illustre la page de configuration par défaut pour un routeur Linksys WRVS4400N.
Source : Curriculum Cisco CCNA4 4.0
Les routeurs Cisco des
filiales ou des petits
bureaux doivent être
configurés de la même
façon.
Ici, un FAI a été configuré
pour fournir à certains
clients des adresses IP
comprises dans la plage
209.165.201.0 / 27.
Source : Curriculum Cisco CCNA4 4.0
Relais DHCP
Source : Curriculum Cisco CCNA4 4.0
R1 n’est pas configuré comme serveur DHCP.
Dans un réseau complexe, les serveurs
d’entreprise se trouvent généralement
dans une batterie de serveurs.
Le problème c’est que les clients
réseau ne se trouvent pas toujours sur
le même sous-réseau que ces
serveurs.
Les clients recherchent les serveurs
pour recevoir les services, souvent
retrouvés à l’aide de messages de
diffusion (pas que DHCP).
Les routeurs Cisco ainsi que d’autres
périphériques utilisent les diffusions
pour rechercher des serveurs TFTP ou
un serveur d’authentification tel qu’un
serveur TACACS.
Problématique
Source : Curriculum Cisco CCNA4 4.0
La commande ipconfig /renew demande à l’hôte de
diffuser un message DHCPDISCOVER.
Mais PC1 ne trouve pas le serveur DHCP.
Le serveur et le client sont séparés par un routeur et ne
résident donc pas sur le même segment de réseau !
Les routeurs ne transfèrent pas les diffusions!
APIPA (Automatic Private IP Addressing)
Certains clients Windows disposent d’une fonction appelée APIPA qui permet à un ordinateur Windows de s’attribuer automatiquement une adresse IP, comprise dans la plage 169.254.x.x, au cas où aucun serveur DHCP ne soit disponible ou s’il n’en existe pas sur le réseau.
Source : Curriculum Cisco CCNA4 4.0
Pour résoudre ce problème, un administrateur peut ajouter des serveurs DHCP sur tous les sous-réseaux!
Cependant, l’exécution de ces services sur plusieurs ordinateurs provoque des surcharges administratives
et des coûts supplémentaires.
Solution plus simple : Configurer la fonction d’adresse de diffusion par défaut de Cisco IOS sur les routeurs et les commutateurs concernés ce qui permet aux routeurs de transférer les diffusions DHCP aux serveurs DHCP.
Lorsqu’un routeur transfère des requêtes de paramètre/attribution d’adresse, il agit en agent de relais DHCP.
Solution
PC1 diffuse une requête pour rechercher un
serveur DHCP.
Si le routeur R1 était configuré comme agent
de relais DHCP, il intercepterait cette requête et la transfèrerait au serveur DHCP dont le sous-
réseau est 192.168.11.0.
Source : Curriculum Cisco CCNA4 4.0
Configurer l’interface la plus proche du client via la commande de configuration d’interface ip helper-address.
Configurer le routeur R1 comme agent de relais DHCP
ip helper-address
relaye les requêtes de
diffusion pour les principaux
services à une adresse
configurée (pas que DHCP).
Le routeur R1 est désormais
configuré comme agent
de relais DHCP.
Il accepte les requêtes de
diffusion pour le service
DHCP puis les transfère en
monodiffusion à l’adresse
IP 192.168.11.5.
Source : Curriculum Cisco CCNA4 4.0
Fonctionnement du relais par l’exemple…C’est aussi utile pour le chapitre 8.4.6.1
PC1 peut maintenant acquérir une adresse IP auprès du serveur DHCP.
Source : Curriculum Cisco CCNA4 4.0
Par défaut, la commande ip helper-address transfère les huit services UDP suivants :
Port 37 : durée
Port 49 : TACACS
Port 53 : DNS
Port 67 : client BOOTP/DHCP
Port 68 : serveur BOOTP/DHCP
Port 69 : TFTP
Port 137 : service de noms NetBIOS
Port 138 : service de datagramme NetBIOS
Pour spécifier d’autres ports, utilisez la commande ip forward-protocol afin d’indiquer exactement les types de
paquet de diffusion à transférer.
Source : Curriculum Cisco CCNA4 4.0
Configuration d’un serveur DHCP
À l’aide de SDM
Source : Curriculum Cisco CCNA4 4.0
Cliquez sur Add pour créer le pool DHCP.
Source : Curriculum Cisco CCNA4 4.0
Les adresses IP que le serveur DHCP attribue sont issues
d’un pool commun.
Exclusion d’adresses
Cisco SDM configure le routeur pour exclure
automatiquement l’adresse IP de l’interface de réseau
local dans le pool.
Il ne faut pas utiliser l’adresse de diffusion, l’adresse IP
du réseau ou du sous-réseau dans la plage d’adresses.
Pour exclure d’autres adresses IP de la plage, modifier
les adresses IP de début et de fin.
Par exemple pour exclure les adresses IP comprises entre 192.168.10.1 et 192.168.10.9, définir l’adresse IP de début sur 192.168.10.10. Le routeur commencera ainsi l’attribution d’adresses à partir de 192.168.10.10.
Autres options :
DNS Server1 et DNS Server2 WINS Server1 et WINS Server2 : pour les environnements clients
antérieurs à Windows 2000. Import All DHCP Options into the DHCP Server Database :
Importer les options DHCP d’un serveur de niveau supérieur (DHCP du FAI par ex.).
Permet de récupérer des informations de niveau supérieur sans avoir à les configurer pour ce pool.
Source : Curriculum Cisco CCNA4 4.0
Deux pools sont configurés,
un pour chacune des
interfaces sur le routeur R1.
Source : Curriculum Cisco CCNA4 4.0
Dépannage de la configuration DHCP
Les problèmes de DHCP peuvent avoir diverses origines.Défauts logiciels dans les systèmes d’exploitation, pilotes NIC ou agents de relais
DHCP/BOOTP, configuration, notamment.
La raison la plus courante reste cependant les problèmes de configuration.
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Tâche 1 du dépannage : résolution des conflits d’adresses IP
Une configuration manuelle associé à un serveur DHCP peut provoquer un conflit d’adresses IP.
Les adresses IP des serveurs/routeurs/imprimantes choisies dans les intervalles des adresses des pools DHCP aussi.
Un problème interne du serveur DHCP peut provoquer des conflits d’adresses IP.
La commande show ip dhcp conflict affiche tous les conflits d’adresses enregistrés par le serveur DHCP.
Le serveur utilise la commande ping pour détecter les conflits.
Si un conflit d’adresse est détecté, l’adresse est retirée du pool et n’est pas attribuée tant qu’un administrateur n’a
pas résolu le conflit.
Cet exemple indique la méthode et l’heure de détection pour toutes les adresses IP que le serveur DHCP a offert et
qui sont en conflit avec d’autres périphériques.
R2# show ip dhcp conflict
Adresse IP Méthode de détection Heure de détection
192.168.1.32 Ping Feb 16 2014 12:28 PM
192.168.1.64 Gratuitous ARP Feb 23 2014 08:12 AM
Source : Curriculum Cisco CCNA4 4.0
Tâche 2 du dépannage : vérification de la connectivité physique
Utiliser la commande show interface interface pour confirmer que l’interface de routeur agissant comme
passerelle par défaut pour le client est opérationnelle.
Si l’état de l’interface n’est pas actif, le port n’achemine pas le trafic, y compris les requêtes du client DHCP.
Tâche 3 du dépannage : test de la connectivité du réseau en configurant
une station de travail cliente avec une adresse IP statique
Lors du dépannage d’un problème DHCP, vérifier la connectivité du réseau en configurant une adresse IP statique
sur une station de travail cliente.
Si la station de travail ne peut pas atteindre les ressources réseau avec une adresse IP configurée de façon statique,
la cause première du problème n’est pas le protocole DHCP.
Il convient alors à ce moment-là de dépanner la connectivité du réseau.
Source : Curriculum Cisco CCNA4 4.0
Tâche 4 du dépannage : vérification de la configuration du port du
commutateur en STP Portfast
Si un commutateur se trouve entre le client et le serveur DHCP, s’assurer que le port est en mode STP PortFast (pour
que les délais d’attente du client ne soient pas trop importants).Par défaut, PortFast est désactivé.
Changer ces configurations permet de résoudre les problèmes les plus courants de client DHCP qui se produisent
avec une installation initiale d’un commutateur Catalyst.
Un client envoie un DHCPDISCOVER et attend une réponse. Il attend d’abord 4s et réémet un autre DISCOVER. S’il n’y a toujours pas de réponse, il attend 8s puis réémet un DISCOVER. Puis 16 puis 32s puis il arrête avec une erreur DHCP. Ce qui fait 60s d’attente.5 minutes plus tard, le client réitère ce manège jusqu’à ce qu’il obtienne un DHCPOFFER.
Un switch avec VLAN peut être un serveur DHCP (voir).
Source : Curriculum Cisco CCNA4 4.0
Tâche 6 du dépannage : renouveler la demande DHCP
Si le client DHCP ne parvient pas à obtenir d’adresse IP auprès du serveur DHCP au démarrage, essayer d’obtenir
une adresse IP auprès du serveur DHCP en obligeant manuellement le client à envoyer une requête DHCP (release/renew).
Tâche 5 du dépannage : Un client sur un sous-réseau ou VLAN différent du
serveur DHCP, obtient-il une adresse IP valide?
Il est important de déterminer d’abord, si le protocole DHCP fonctionne correctement lorsque le client se trouve sur
le même sous-réseau ou VLAN que le serveur DHCP.
Si le problème existe toujours lorsque vous testez DHCP sur le même sous-réseau ou VLAN que le serveur DHCP, le
problème peut en fait provenir du serveur DHCP.
Si le protocole DHCP fonctionne normalement dans ce cas, il doit y avoir un problème avec le relais DHCP.
Source : Curriculum Cisco CCNA4 4.0
Vérification de la configuration
du relais DHCP/BOOTP du routeur
Source : Curriculum Cisco CCNA4 4.0
Vérifier la configuration du routeur
Si l’adresse de diffusion IP par défaut (ip helper-address) n’est pas correctement configurée, les requêtes
du client DHCP ne sont pas transférées au serveur DHCP.
Étape 1.
Vérifiez que la commande ip helper-address est configurée sur la bonne interface.
Elle doit être présente sur l’interface entrante du réseau local comprenant les stations de travail DHCP clientes et
doit être dirigée vers le bon serveur DHCP.
Utiliser la commande show running-config pour vérifier l’adresse IP du relais DHCP.
Étape 2.
S’assurer que la commande no service dhcp n’a pas été configurée (show run | include no service dhcp).
Cette commande désactive toutes les fonctionnalités de relais et de serveur DHCP sur le routeur. La commande service dhcp n’apparaît pas dans la configuration car c’est la configuration par défaut.
Source : Curriculum Cisco CCNA4 4.0
Débogage de DHCP
Source : Curriculum Cisco CCNA4 4.0
• Sur les routeurs serveurs DHCP, le processus DHCP échoue si le routeur ne reçoit pas les requêtes du client.
• Lors du dépannage, il faut s’assurer que le routeur reçoit la requête DHCP du client.
Au cours de cette étape de dépannage, il faut configurer une ACL pour le résultat du débogage puis utiliser cette
ACL 100 comme paramètre de définition.
Le résultat indique que le routeur reçoit les requêtes DHCP du client. L’adresse IP source est 0.0.0.0 car le client n’a pas encore d’adresse IP. La destination est 255.255.255.255 car le message de détection DHCP du client est une diffusion. Les ports UDP source et de destination, 68 et 67, sont les ports généralement utilisés pour DHCP.
• Ce résultat ne montre qu’un résumé du paquet et non le paquet lui-même.
• Il n’est donc pas possible de déterminer si le paquet est correct.
• Néanmoins, le routeur a bien reçu un paquet de diffusion, et l’IP source et de destination et les ports UDP sont
corrects pour DHCP.
Source : Curriculum Cisco CCNA4 4.0
Vérification de la réception et du transfert de la requête DHCP : debug ip dhcp server packet
La commande debug ip dhcp server events est utile pour dépanner le protocole DHCP.
Cette commande indique les événements de serveur tels que les attributions d’adresses et les mises à jour des
bases de données.
Elle permet également de décoder
les réceptions et les transmissions
DHCP.
Source : Curriculum Cisco CCNA4 4.0 et CCNA2 5.0
Exercice PT : 10.1.3.3 – 10.1.2.5 – 10.1.4.4
Configurer un serveur DHCP sur un routeur Cisco
Source : Curriculum Cisco CCNA4 4.0
LE PROTOCOLE NATProtocole de couche réseau
Source : Curriculum Cisco CCNA4 4.0
LES ADRESSES PUBLIQUES ET PRIVÉES
Source : Curriculum Cisco CCNA4 4.0
LES ADRESSES PUBLIQUES
Toutes les adresses IP publiques doivent être enregistrées auprès d’un organisme d’enregistrement Internet local.
Les organisations louent des adresses publiques auprès d’un FAI.
Seul le propriétaire enregistré d’une adresse IP publique peut attribuer cette adresse à un périphérique réseau.
LES ADRESSES PRIVÉES
Les adresses IP privées proviennent des trois blocs et sont exclusivement destinées aux réseaux internes privés.
Les paquets qui les contiennent ne sont pas acheminés sur Internet. Elles sont non routables vers Internet.
Les adresses IP privées sont décrites dans le document RFC 1918 fournit des détails sur le sujet.
Deux réseaux ou deux millions de réseaux peuvent utiliser les mêmes adresses privées.
L’adressage privé offre aux entreprises une souplesse considérable dans la conception de leur réseau.
Pour protéger la structure d’adressage publique, les FAI configurent les routeurs périphériques pour empêcher que
le trafic dont l’adresse est privée ne soit transmis via Internet.
Les réseaux utilisent un mécanisme pour traduire les adresses privées en adresses
publiques à la périphérie du réseau.
Source : Curriculum Cisco CCNA4 4.0
La traduction d’adresses de réseau NAT propose ce mécanisme. Il fonctionne dans les deux sens.
Sans système de traduction, les hôtes privés derrière un routeur dans le réseau d’une organisation ne peuvent pas se
connecter aux hôtes privés derrière un routeur dans d’autres organisations via Internet.
Avant NAT, un hôte doté d’une adresse privée ne pouvait pas accéder à Internet.
Avec NAT, les sociétés attribuent des adresses privées à certains de leurs hôtes, et utilisent NAT pour
leur procurer un accès à Internet.
NAT
Source : Curriculum Cisco CCNA4 4.0
La Fonction NAT
Source : Curriculum Cisco CCNA4 4.0
Lorsque le client envoie des paquets en dehors du réseau, la fonction NAT traduit l’adresse IP non
routable interne du client en adresse externe.
Pour les utilisateurs externes, l’ensemble du trafic depuis et vers le réseau a la même adresse IP ou
provient du même pool d’adresses.
NAT permet d’ajouter un niveau de confidentialité et de sécurité à un réseau car il empêche les
réseaux externes de voir les adresses IP internes.
Un périphérique compatible NAT fonctionne généralement à la périphérie d’un réseau d’extrémité.
Source : Curriculum Cisco CCNA4 4.0
Dans la terminologie NAT, le
réseau interne désigne l’ensemble des réseaux soumis
à la traduction.
Le réseau externe désigne toutes les autres adresses.
Les adresses IP sont privées ou
publiques et le trafic est soit
entrant ou sortant.
Source : Curriculum Cisco CCNA4 4.0
Adresse locale interne : Adresse privée RFC 1918. 192.168.10.10 est attribuée à l’hôte PC1 sur le réseau interne.
Adresse globale interne : Adresse publique valide attribuée à l’hôte interne lorsque ce dernier quitte le routeur NAT.
Adresse globale externe : Adresse IP accessible attribuée à un hôte sur Internet.
Adresse locale externe : Adresse IP locale attribuée à un hôte du réseau externe. Souvent, cette adresse sera identique à l’adresse globale externe de ce périphérique externe.
L’utilisation de l’adresse locale externe n’est pas abordée dans ce cours.
Source : Curriculum Cisco CCNA4 4.0
Les adresses que nous appelons « non routables » sont acheminables sur les routeurs internes.
Un administrateur peut configurer n’importe quel routeur pour acheminer le trafic sur des réseaux privés.
Cependant, s’il essaie d’acheminer un paquet au FAI pour une adresse privée, le FAI l’abandonne.
« Non routable » veut dire non routable sur Internet.
!
Source : Curriculum Cisco CCNA4 4.0
Comment ça marche NATAnimation curriculum 7.2.2.2
Ceci est la première partie de l’explication.Dans la partie configuration de NAT et PAT, il y aura des exemples et des schémas.
Source : Curriculum Cisco CCNA4 4.0
MAPPAGE DYNAMIQUE ET MAPPAGE STATIQUE
NAT DYNAMIQUE
Utilise un pool de plusieurs adresses publiques et les attribue selon la méthode du premier arrivé, premier servi. Lorsqu’un hôte ayant une adresse IP privée demande un accès à Internet, le NAT dynamique choisit dans le pool
une adresse IP qui n’est pas encore utilisée par un autre hôte.
NAT STATIQUE
Utilise un mappage statique constant d’adresses locales et globales.
Utile pour les serveurs qui doivent disposer d’une adresse permanente, accessible depuis Internet.
Les fonctions NAT statique et dynamique nécessitent toutes deux qu’il existe suffisamment d’adresses
publiques disponibles pour satisfaire le nombre total de sessions utilisateur simultanées.
Dans NAT, deux hôtes différents ne peuvent pas utiliser la même adresse publique simultanément.
Source : Curriculum Cisco CCNA4 4.0
Imaginez que dans l’animation précédente, il y ait un 2ème PC qui veut se connecter à un autre serveur
sur Internet et que seulement une adresse publique est disponible?
Au retour d’une réponse d’un des serveurs, comment le routeur NAT saura vers quel client acheminer le
paquet puisque les deux adresses IP locales internes correspondent à l’adresse IP globale interne?C’est ce que nous avons chez nous, avec notre connexion ADSL via notre FAI et notre routeur.
SOLUTION : la surcharge NAT appelée PAT
? 1 adresse publique
Source : Curriculum Cisco CCNA4 4.0
Les adresses externes locales et globales ne sont pas destinées aux NAT/PAT (voir).
!
Source : Curriculum Cisco CCNA4 4.0
Surcharge NAT (traduction d’adresses de port ou PAT)
La surcharge NAT mappe plusieurs adresses IP privées à une seule (ou quelques) adresse IP publique.
Lors de l’envoi du paquet, Le protocole NAT dans le routeur, retire du segment
TCP/UDP le numéro de port source et le remplace par un autre qui est unique
(les numéros de port client sont unique
dans la même machine mais pas dans
deux machine différentes voir page suivante).
L’adresse privée est remplacée par l’adresse publique.
Translation ou Traduction de ports.
La correspondance entre l’ancien et le nouveau couple port- adresse IP se trouve dans la table PAT.
Lorsqu’une réponse revient du serveur, le numéro de port source, (qui est devenu le numéro de port de
destination lors du retour), détermine
Lorsqu’un client envoie un paquet, le routeur NAT attribue un numéro de port unique à son adresse source.
le client qui recevra les paquets. Il confirme également que les paquets entrants étaient demandés, ce qui ajoute un niveau de sécurité à la session.
Dans cet exemple, le port source n’a pas été remplacé. C’est peu probable mais c’est possible (voir
diapo suivante).
Numéro de port : 16 bits
Source : Curriculum Cisco CCNA4 4.0
PAT essaie de conserver le port source d’origine. Mais, si ce port source est déjà utilisé, PAT attribue le premier numéro
de port disponible en commençant au début du groupe de ports approprié, à savoir 0-511, 512-1023 ou 1024-65535*.
Translation avec numéro de port différent
Dans cet exemple, le port source a été remplacé.
réservés Enregistrés et dynamiques
PORTS TCP UDP :
0-1023 : réservés;
1024-49151 : enregistrés et
utilisés par les
administrateurs pour
configurer leurs divers
serveurs (8080 ou 3050 ;
49152-65536 :
dynamiques
voir.
Les ports réservés < 1024 auront les ports 0-511 et 512-1023 (voir PAT pool).
Certains systèmes utilisent une autre logique d’attribution de port.
* Cette répartition n’est
pas celle qu’on connait.
Mais c’est une répartition
qui existe. Ce n’est pas
l’objet de ce cours.
Source : Curriculum Cisco CCNA4 4.0
Les numéros de port sont codés en 16 bits. Le nombre d’adresses internes pouvant être traduites en une adresse
publique peut théoriquement atteindre 65 536 par adresse IP publique (réellement, ce nombre se situe aux environs de 4000.
Lorsqu’il n’y a plus de ports disponibles et que plusieurs adresses IP publiques sont disponibles, PAT sélectionne
l’adresse IP disponible et tente d’allouer de nouveau le port source du segment à cette adresse (voir).
Ce processus se poursuit jusqu’à ce qu’il n’y ait plus de ports ni d’adresses IP externes disponibles.
Paquets sans segment de couche 4 (CCNA4 5.2)
Ces paquets ne comportent pas de numéro de port de couche 4. PAT traduit la plupart des protocoles communs transportés par IPv4 qui n'utilisent pas le protocole TCP ou UDP comme protocole de couche transport. Le plus connu de ces derniers est ICMPv4.
Chacun de ces types de protocole est pris en charge différemment par la PAT.
Exemple : Les messages de requête, les demandes d'écho et les réponses d'écho ICMPv4 incluent un ID de requête. ICMPv4 utilise l'ID de requête pour identifier une demande d'écho et sa réponse d'écho correspondante. L'ID de requête est incrémenté à chaque envoide demande d'écho. La fonction PAT utilise l'ID de requête au lieu du numéro de port de couche 4.
Remarque : Les autres messages ICMPv4 n'utilisent pas l'ID de requête. Ces messages et d'autres protocoles qui n'utilisent pas les numéros de port TCP ou UDP peuvent varier et sortent du cadre de ce programme.
Source : Curriculum Cisco CCNA4 4.0 et CCNA4 5.2
Différences entre NAT et la surcharge NAT
NAT traduit des adresses IP sur une base de 1 pour 1 entre des adresses IP publiques et privées.
PAT modifie à la fois l’adresse IP privée et le numéro de port de l’expéditeur.
NAT achemine les paquets entrants provenant du réseau public vers leur destination interne en recherchant dans la table NAT l’adresse IP publique source.
Avec PAT, les paquets entrants provenant du réseau public sont acheminés vers leur destination interne en faisant
référence aux associations entre ports publics et privés. On appelle cela le suivi de connexions.
Source : Curriculum Cisco CCNA4 4.0 et 5.0
Avantages et inconvénients de la fonction NAT
Source : Curriculum Cisco CCNA4 4.0
Avantages de NAT/PAT
NAT économise les adresses au moyen d’un multiplexage au niveau du port de l’application.
Avec PAT, plusieurs hôtes internes peuvent partager une même adresse IP publique pour toutes
leurs communications externes.
NAT augmente la souplesse des connexions au réseau public : pools multiples, pools de
sauvegarde, pools d’équilibrage de la charge pour des connexions plus fiables au réseau public.
NAT assure la cohérence des schémas d’adressage du réseau interne. Sur un réseau sans adresses privées et sans NAT, le changement des adresses IP publiques oblige à renuméroter tous les hôtes du réseau (coûts non négligeables). Ainsi, une organisation peut changer de FAI sans avoir à changer aucun de ses clients internes.
La fonction NAT assure la sécurité du réseau. Les réseaux privés ne divulguant pas leurs adresses ou leur topologie interne, ils restent raisonnablement sécurisés quand ils sont utilisés conjointement à la fonction NAT pour obtenir un accès externe. La fonction NAT ne remplace cependant pas les pare-feu.
Source : Curriculum Cisco CCNA4 4.0
Inconvénients de NAT/PAT
Une même adresse IP globale représentant de nombreux hôtes dont l’adresse est privée représente des avantages aux niveaux de la confidentialité mais dans la pratique, il y a des inconvénients.
Le fait que les hôtes sur Internet communiquent directement avec le périphérique NAT, plutôt qu’avec l’hôte interne du réseau privé, pose un certain nombre de problèmes.
Performance
Le premier paquet d’une communication IP est analysé par NAT. Le routeur l’examine pour déterminer s’il doit être
ou non traduit (tous les paquet ne sont pas obligatoirement traduits. Celui qui ne va pas vers Internet par exemple).
Il modifie l’en-tête IP, et éventuellement l’en-tête TCP ou UDP (augmentation des délais de commutation).
Les paquets restants passent par le chemin à commutation rapide (ne sont pas analysés) s’il existe une entrée de cache ; sinon, ils sont également retardés.
Dans une communication, il y a une succession de paquets. Le premier est analysé, pas les autres.
Fonctionnalités de bout en bout dégradées
En modifiant les adresses de bout en bout, NAT bloque certaines applications (voir page suivante).
Des applications de sécurité, telles que les signatures numériques, échouent car l’adresse IP source change. Ces problèmes sont souvent résolues par des techniques complexes.
Source : Curriculum Cisco CCNA4 4.0
Suite page suivante
Perte de la traçabilité IP de bout en bout
Il est difficile de suivre les paquets qui subissent des changements d’adresses, ce qui complique le dépannage.
Mais pour les pirates qui cherchent à déterminer la source d’un paquet, il est difficile d’obtenir les adresses sources
et de destination initiales.
Transmission tunnel compliquée
NAT modifie les valeurs dans les en-têtes, ce qui entre en conflit avec les contrôles d’intégrité effectués par IPsec et
par d’autres protocoles de transmission tunnel.
Etablissement de connexions TCP depuis un réseau externe perturbés
Si le routeur NAT ne fait pas un effort spécifique pour prendre en charge de tels protocoles, les paquets entrants ne
peuvent pas atteindre leur destination.
Certains protocoles peuvent accepter une instance de NAT entre les hôtes participants (FTP en mode passif, par
exemple voir), mais échouent lorsque les deux hôtes sont derrière un routeur NAT (voir).
Suite page suivante.
Source : Curriculum Cisco CCNA4 4.0
A moins d’une configuration explicite, NAT rejette toute communication entrante…
Si un client derrière un NAT initie une communication avec un serveur qui n'est pas derrière un NAT, la communication
se passera comme il se doit et comme décrite plus haut.
Mais si le client initie cette communication avec un serveur derrière un NAT. Il mettra dans son paquet l'adresse IP de
destination d'une adresses publiques du POOL NAT de destination (NAT dynamique). A l'arrivé au routeur NAT de
destination, NAT trouvera l'adresse de destination, pas de problème. Il trouvera aussi l'adresse source qui une de ses
adresses globales externes. Mais comment saura-t-il à quel serveur est destiné le paquet (supposons qu'il y en ait
beaucoup)?
C'est ce qui se passe avec le FTP actif, quand le client est derrière un NAT mais pas le serveur. Dans ce cas, FTP passif
règle le problème.
C'est aussi ce qui se passe aussi avec le FTP passif quand le client et le serveur sont derrière un NAT.
illustration ici
Ce problème de NAT est résolu avec un mappage NAT statique (voir diapo. 90) ou avec la redirection de port (sera vu plus
loin). D’autres problèmes générés par NAT (voir) sont résolus en accédant aux données de la couche application :
Passerelle de couche applicative ALG.
Ne pas détailler.
Source : Curriculum Cisco CCNA4 4.0
Configurer NAT et PATNAT statique et dynamique
voir
Source : Curriculum Cisco CCNA4 4.0
Configurer NAT Statique
Source : Curriculum Cisco CCNA4 4.0
- Les paquets arrivant sur une interface interne depuis l’adresse IP identifiée sont soumis à la traduction (les autres non).
- Les paquets arrivant sur une interface externe dont l’adresse correspond à l’adresse IP identifiée sont soumis à la
traduction.
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0 et 5.0
209.165.220.10
Source : Curriculum Cisco CCNA4 5.0
Le PAT statique ou la redirection de port (seront vus plus loin) sont souvent utilisés lorsque des clients
externes doivent se connecter à des serveurs dans le réseau interne.
Source : Curriculum Cisco CCNA4 4.0
Exercice PT CCNA4 5.0 - 5.2.1.4Configurer NAT statique
Configurer NAT Dynamique
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Il est recommandé de ne pas configurer permit any dans les ACL pour ne pas que NAT ne consomme trop de ressources du routeur.
Configurer NAT DynamiqueSource : Curriculum Cisco CCNA4 4.0
Il est possible d’avoir un pool NAT avec une seule adresse :ip nat pool NAT-POOL 209.165.200.1
209.165.200.1 prefix 24
Source : Curriculum Cisco CCNA4 5.0
Source : Curriculum Cisco CCNA4 5.0
Exercice PT CCNA4 5.0 - 5.2.2.5Configurer NAT dynamique
Source : Curriculum Cisco CCNA4 4.0
Configurer PATLa surcharge se configure de deux façons selon les cas où :
- le FAI alloue une seule adresse IP publique à l’organisation.
- le FAI en alloue plusieurs.
Source : Curriculum Cisco CCNA4 4.0
overload est la principale différence entre cette configuration et la configuration dynamique.
overload permet la traduction d’adresses de port.
Configurer PAT avec un POOL d’adresses publiques
Source : Curriculum Cisco CCNA4 4.0
Configurer PAT avec un POOL d’adresses publiques
Source : Curriculum Cisco CCNA4 4.0 et 5.0
overload permet la traduction d’adresses de port.
Configurer PAT avec UNE adresse publique
Source : Curriculum Cisco CCNA4 4.0
toues les adresses d’hôtes du réseau 192.168.0.0 /16
(ACL 1) envoyant du trafic via le routeur R2 vers
Internet sont traduites en adresse IP 209.165.200.225
qui est l’adresse IP de l’interface S0/1/0.
Configurer PAT avec UNE adresse publique
Source : Curriculum Cisco CCNA4 5.0
Source : Curriculum Cisco CCNA4 5.0
Source : Curriculum Cisco CCNA4 5.0
Exercice CCNA4 5.0 - 5.2.3.5Activités sur PAT
Source : Curriculum Cisco CCNA4 4.0
Vérification de NAT et PAT
Source : Curriculum Cisco CCNA4 4.0
Exemple avec PAT
Source : Curriculum Cisco CCNA4 4.0
verbose : informations supplémentaires sur chaque traduction
(durée écoulée depuis la création de l’entrée et depuis son utilisation).
show ip nat translationSource : Curriculum Cisco CCNA4 4.0
86400 000 ms = 86400s = 24h
show ip nat statistics
Affiche les informations sur :
- le nombre de traductions actives, - les paramètres NAT, - le nombre d’adresses dans le pool,- le nombre d’adresses attribuées.
Par défaut, les entrées de traduction se désactivent au bout de
24 heures de non utilisation (Avec NAT. Avec
PAT, la gestion du timeout est plus affinée voir et voir).
Les compteurs peuventêtre configurés :
ip nat translation
timeout délai_secondes
en mode de configuration globale.
Source : Curriculum Cisco CCNA4 4.0
Il est parfois utile d’effacer les entrées dynamiquesavant une vérification afin d’avoir des résultats propres.
Ne
pa
s in
sist
er
sur
ce
s d
eu
x la
.
Source : Curriculum Cisco CCNA4 4.0
Port ForwardingLa redirection (ou transfert) de port
Le problème de NAT est qu’il n’autorise pas par défaut, les requêtes provenant de l’extérieur (voir
diapo. 84 et 90). Ce problème peut être résolu par le transfert de port.
La redirection de port permet à un utilisateur externe d’atteindre un port sur une adresse IP privée (dans
un réseau local) à partir de l’extérieur via un routeur compatible NAT.
La redirection de port ressemble beaucoup au NAT Statique.
voir
Source : Curriculum Cisco CCNA4 4.0
Lorsque les utilisateurs sur Internet
envoient des requête HTTP par exemple,
à l’adresse IP publique du routeur NAT, le
routeur transfère ces requêtes aux
serveurs correspondants sur le réseau
local.
Il serait possible de spécifier un port
autre que le port 80. L’utilisateur
externe aurait besoin de connaître le
numéro de port qu’il doit utiliser.
Sur Cisco IOS, la configuration est
possible et ressemble au NAT
statique.
Configuration d’une redirection de port
Pour des raisons de sécurité, les routeurs n’autorisent pas par défaut le transfert d’une requête réseau externe vers un hôte interne.
Source : Curriculum Cisco CCNA4 4.0 et 5.0
N’est pas inclus dans CCNA 4.0
Source : Curriculum Cisco CCNA4 5.0
Dépannage de la configuration NAT et PAT
Source : Curriculum Cisco CCNA4 4.0
Pour résoudre les problèmes liés à NAT, il faut s’assurer que la fonction NAT n’en est pas la cause :
Étape 1. En fonction de la configuration, définir clairement ce que la fonction NAT est censée faire. Cela peut permettre d’identifier un problème de configuration.
Étape 2. S’assurer que les bonnes traductions existent dans la table de traduction à l’aide de la commande show ip nat translations.
Étape 3. Utiliser les commandes clear et debug pour s’assurer que NAT fonctionne correctement. Regardez si les entrées dynamiques sont recréées après avoir été effacées.
Étape 4. Analyser de façon détaillée ce qui arrive au paquet et s’assurer que les routeurs disposent
des informations de routage adéquates.
Source : Curriculum Cisco CCNA4 4.0
debug ip nat, debug ip nat detailed
L’hôte interne 192.168.10.10 est à l’origine du trafic vers l’hôte externe 209.165.200.254. Il a été traduit par l’adresse 209.165.200.225.
* : Indique que la traduction s’effectue sur le chemin à commutation rapide. s= : Indique l’IP source. a.b.c.d w.x.y.z : Indique que l’adresse source a.b.c.d est traduite par w.x.y.z. d= : Indique l’IP de destination. [xxxx] : Représente le numéro d’identification IP. C’est le numéro d’ordre des translations NAT.
Signification des valeurs et symboles :
Source : Curriculum Cisco CCNA4 4.0
Panne NATCCNA2 5.2 - 11.3.1.3
Exercice PT - 7.4.1.2/7.4.2.2Configurer NAT et DHCP
Exercice PT - 7.4.2.2Dépanner NAT et DHCP
TP n°2 - 7.4.1.1NAT et DHCP
Incorporer les ACL
Source : Curriculum Cisco CCNA4 4.0 et 5.2
IPv6Protocole de couche réseau
Source : Curriculum Cisco CCNA4 4.0
L’espace d’adressage IPv4 offre environ 4 294 967 296 adresses uniques.
Parmi ces adresses, seules 3,7 milliards peuvent être attribuées car le système d’adressage IPv4
sépare les adresses en classes et réserve des adresses pour la multidiffusion, les tests et d’autres
usages spécifiques.
voir
Source : Curriculum Cisco CCNA4 4.0
Croissance de la population
Utilisateurs mobiles
Transport : Internet à objet!
Les nouveaux modèles de voitures utilisent une adresse IP pour permettre une surveillance à distance et
offrir un service et une assistance rapides. Les compagnies aériennes proposent une connectivité Internet sur ses vols.
Des transporteurs maritimes, proposent aussi des services semblables.
Électronique grand public
Les derniers appareils ménagers utilisent la technologie IP pour permettre une surveillance à distance.
Voir les illustrations 7.3.1.1
POURQUOI LES ADRESSES IPV4 VONT S'ÉPUISER TRÈS BIENTÔT…
Source : Curriculum Cisco CCNA4 4.0
La capacité à faire évoluer les réseaux pour les demandes futures nécessite une source inépuisable
d’adresses IP et une plus grande mobilité.
IPv6 permet de répondre aux exigences complexes de l’adressage hiérarchique qu’IPv4 ne peut pas
assurer.
Étant donné l’énorme base installée d’IPv4 dans le monde, la transition de déploiements IPv4 vers IPv6
représente un réel défi.
Cependant, diverses techniques, y compris une option de configuration automatique, facilitent cette
transition.
La transition vers IPv6 a commencé depuis plusieurs années partout dans le monde.
Qu’est-il arrivé à IPv5 ? IPv5 a été utilisé pour définir un protocole RTSP (real-time streaming protocol) expérimental. Pour éviter toute
confusion, il a été décidé de ne pas utiliser IPv5 et de nommer le nouveau protocole IP « IPv6 ».
Source : Curriculum Cisco CCNA4 4.0
Un billion = 1000 milliards
Source : Curriculum Cisco CCNA4 4.0
Au-delà de l’augmentation de l’espace d’adressage IP, le développement d’IPv6 a permis
d’appliquer les leçons tirées des limitations de l’IPv4 pour créer un protocole avec des fonctions
nouvelles et améliorées.
Source : Curriculum Cisco CCNA4 4.0
POURQUOI IPv6 ?
Source : Curriculum Cisco CCNA4 4.0
ADRESSAGE IP AVANCÉ
Un plus grand espace d’adressage
Une accessibilité et une souplesse globales améliorées.
Une meilleure agrégation des préfixes IP annoncés dans les tables de routage (CIDR en mieux).
Des ordinateurs multi connectésLe multi hébergement est une technique qui permet d’accroître la fiabilité de la connexion Internet. Avec IPv6, un
hôte peut avoir plusieurs adresses IP sur une seule liaison ascendante physique. Un hôte peut par exemple se
connecter à plusieurs FAI.
La configuration automatique pouvant inclure des adresses de couche liaison de données dans
l’espace d’adressage. Les périphérique deviennent totalement plug-and-play.
Réadressage public-privé de bout en bout sans traduction d’adresses. Les réseaux peer to peer sont
ainsi plus fonctionnels et plus faciles à déployer.
Des mécanismes simplifiés
voir
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
L’en-tête d’IPv4 compte 20 octets et 12 champs d’en-tête de base, suivis d’un champ d’options et d’une partie
données.
L’en-tête d’IPv6 compte 40 octets, 3 champs d’en-tête de base IPv4 et 5 champs d’en-tête supplémentaires.
L’en-tête simplifié d’IPv6 offre plusieurs avantages par rapport à IPv4 :
Une plus grande efficacité du routage pour des performances et évolutivité du débit de transmission.
Aucune diffusion et donc aucun risque de tempêtes de diffusion.
Aucune exigence pour le traitement des sommes de contrôle.
Systèmes d’en-têtes d’extension simplifiés et plus efficaces.
Étiquetage de flux pour le traitement par flux sans besoin d’ouvrir le paquet interne de transport pour
identifier les différents flux de trafic.
Source : Curriculum Cisco CCNA4 4.0
MOBILITÉ ET SÉCURITÉ AMÉLIORÉES
La mobilité permet aux utilisateurs de périphériques réseau mobiles (dont la plupart disposent d’une
connectivité sans fil) de passer d’un réseau à un autre sans changer d’adresse IP.
La mobilité et la sécurité aident à garantir la conformité aux normes de fonctionnalité Mobile IP et IP Security (IPsec).
La norme IETF Mobile IP est disponible pour IPv4 et pour IPv6.
Cette norme permet aux périphériques mobiles de se déplacer sans interruptions dans des
connexions réseau établies.
Les périphériques mobiles utilisent une adresse permanente (Home Address) et une adresse temporaire (Care-of
Address) pour bénéficier de cette mobilité.
IPsec est disponible pour IPv4 et pour IPv6.
Bien que les fonctionnalités soient quasiment identiques dans les deux environnements, IPsec est
obligatoire dans IPv6, ce qui rend Internet par IPv6 plus sécurisé.
Source : Curriculum Cisco CCNA4 4.0
RICHESSE DE LA TRANSITION
Lors de la conception d’IPv6, on a cru qu’il allait remplacer très IPv4. Ce n’est pas ce qui s’est passé :
IPv4 a bien résisté depuis plusieurs années.
C’est pour cela que l’IPv6 a été livré avec des techniques de migration afin de traiter tous les
scénarios de mise à niveau d’IPv4 possibles. Bon nombre de ces techniques ont finalement été rejetées par la communauté technologique.
Il existe actuellement trois approches principales :
Double pile
Transmission tunnel 6to4
NAT-PT, transmission tunnel ISATAP et transmission tunnel Teredo (en dernier recours)
Certaines de ces approches sont expliquées plus en détail plus loin dans ce chapitre.
Il est actuellement conseillé de suivre la règle suivante lors de la transition à IPv6 :
« Utilisez la double pile quand vous pouvez, le tunnel quand vous devez ! ».
Source : Curriculum Cisco CCNA4 4.0
Voir page suivante
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Exercice CCNA 5.0 - 8.2.2.5
Source : Curriculum Cisco CCNA4 4.0
Structure d’une adresse IPv6
Les adresses de monodiffusion globale IPv6 sont uniques au monde et routables (Internet IPv6). Ces adresses sont équivalentes aux adresses publiques IPv4.
Une adresse de monodiffusion globale se compose de trois parties :•Préfixe de routage global•ID de sous-réseau•ID d'interface
Un hôte unique peut avoir plusieurs interfaces, chacune dotée d'une ou de plusieurs adresses IPv6
Source : Curriculum Cisco CCNA1 5.0
Remarque :
Contrairement à l'adressage IPv4, avec IPv6, les adresses d'hôte contenant uniquement des 0 ou uniquement des 1
peuvent être attribuées à un périphérique.
L'adresse contenant uniquement des 1 peut être utilisée, puisque les adresses de diffusion ne sont pas utilisées dans
IPv6.
L'adresse contenant uniquement des 0 peut également être utilisée, mais elle est réservée comme adresse anycastde routeur de sous-réseau, et elle ne doit être attribuée qu'aux routeurs.
Source : Curriculum Cisco CCNA1 5.0
Types d’adresses IPv6
Il existe trois types d'adresses IPv6 :
Monodiffusion – Identifie une interface sur un périphérique IPv6 de façon unique.
Multidiffusion – une adresse de multidiffusion IPv6 est utilisée pour envoyer un seul paquet IPv6 vers plusieurs
destinations.
Anycast
Une adresse anycast IPv6 est une adresse de
monodiffusion IPv6 qui peut être attribuée à plusieurs
périphériques.
Un paquet envoyé à une adresse anycast est
acheminé vers le périphérique le plus proche ayant
cette adresse.
IPv6 n'a pas d'adresse de diffusion.
Mais il existe une adresse de multidiffusion à tous les
nœuds IPv6 qui offre globalement les mêmes résultats.
Source : Curriculum Cisco CCNA1 5.0
La longueur de préfixe est utilisée pour indiquer la partie réseau d'une adresse IPv6 à l'aide de la notation
adresse IPv6/longueur de préfixe.
La longueur de préfixe peut aller de 0 à 128.
La longueur de préfixe IPv6 standard pour les réseaux locaux et la plupart des autres types de réseau est /64.
Celle-ci signifie que le préfixe ou la partie réseau de l'adresse a une longueur de 64 bits, ce qui laisse 64 bits pour
l'ID d'interface (partie hôte) de l'adresse.
Source : Curriculum Cisco CCNA1 5.0
Il existe six types d'adresse de
monodiffusion IPv6.
Source : Curriculum Cisco CCNA1 5.0
Monodiffusion globale
Est similaire à une adresse IPv4 publique.
Ces adresses sont uniques au monde et routables sur Internet.
Les adresses de monodiffusion globale peuvent être configurées de manière statique ou attribuées de manière
dynamique.
Il existe des différences importantes entre la réception d'une adresse IPv6 dynamique par un périphérique et le
DHCP pour l'IPv4.
Link-local
Dans le cadre de l'IPv6, le terme « link » (ou liaison) fait
référence à un sous-réseau.
Une adresse link-local IPv6 permet à un périphérique de
communiquer avec d'autres périphériques IPv6 sur la même
liaison et uniquement sur cette liaison (sous-réseau).
Les paquets associés à une adresse source ou de destination
link-local ne peuvent pas être acheminés au-delà de leur
liaison d'origine.
Les adresses link-local IPv6 se trouvent dans la plage FE80::/10. /10 Indique
que les 10 premiers bits sont 1111 1110 10xx xxxx. Le 1er hextet (16 bits) dispose d'une plage de 1111 1110 1000 0000 (FE80) à 1111 1110 1011 1111 (FEBF).
Source : Curriculum Cisco CCNA1 5.0
Bouclage Une adresse de bouclage est utilisée par un hôte pour envoyer un paquet à lui-même.
Cette adresse ne peut pas être attribuée à une interface physique.
Cette adresse contient uniquement des 0, excepté le dernier bit : notée ::1/128, ou simplement ::1 en compressé.
Adresse non spécifiée Adresse contenant uniquement des 0 et notée ::/128 ou simplement :: au format compressé.
Elle ne peut pas être attribuée à une interface.
Une adresse non spécifiée est utilisée comme adresse source lorsque le périphérique n'a pas encore d'adresse IPv6
permanente ou lorsque la source du paquet n'est pas pertinente pour la destination.
Adresse locale unique Les adresses IPv6 locales uniques ont certains points communs avec les adresses RFC 1918 privées pour l'IPv4.
Des adresses locales uniques sont utilisées pour l'adressage local au sein d'un site ou entre un nombre limité de sites.
Ces adresses ne doivent pas être routables sur le réseau IPv6 global.
Les adresses locales uniques sont comprises entre FC00::/7 et FDFF::/7.
Bien que l'IPv6 fournisse un adressage spécifique, il n'est pas censé être utilisé pour masquer les périphériques IPv6
internes de l'Internet IPv6. L'IETF conseille de limiter l'accès aux périphériques en respectant les meilleures pratiques en
matière de mesures de sécurité.
Remarque : la norme IPv6 initiale définissait des adresses site-local et utilisait la plage de préfixes FEC0::/10. Cette norme était ambiguë sur certains points et les adresses site-local ont été désapprouvées par l'IETF au profit des adresses locales uniques.
IPv4 intégréCes adresses sont utilisées pour faciliter la transition de l'IPv4 vers l'IPv6. Les adresses IPv4 intégrées sortent du cadre de
ce cours.
Source : Curriculum Cisco CCNA1 5.0
Adresses réservées
L’IETF se réserve une partie de l’espace d’adressage IPv6 pour divers usages, présents et futurs.
Les adresses réservées représentent 1/256ème de l’ensemble de l’espace d’adressage IPv6.
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA1 5.0
Gestion des adresses IPv6
Vous pouvez attribuer un ID d’adresse IPv6 de façon statique ou dynamique :
Attribution statique à l’aide d’un ID d’interface manuel
Attribution statique à l’aide d’un ID d’interface EUI-64
Configuration automatique sans état (SLAAC : Stateless Address Autoconfiguration)
DHCP pour IPv6 (DHCPv6) avec état
Attribution manuelle de l’ID d’interface
Consiste à attribuer manuellement le préfixe (réseau) et l’ID d’interface (hôte) de l’adresse IPv6.
L’exemple suivant illustre l’attribution d’une adresse IPv6 à l’interface d’un routeur Cisco :
Router(config-if)# ipv6 address 2001:DB8:2222:7272::72/64
Source : Curriculum Cisco CCNA4 4.0
La commande ipv6 address configure une adresse IPv6 globale.
L’adresse locale-lien est automatiquement configurée dès que l’adresse de monodiffusion globale est atrribuée.
Consiste à configurer la partie préfixe
(réseau) de l’adresse IPv6 et d’obtenir
ensuite la partie ID d’interface (hôte) à
partir de l’adresse MAC de couche 2 du
périphérique, appelée ID d’interface EUI-
64.
Pour configurer une adresse IPv6 sur
l’interface d’un routeur Cisco et activer
le traitement IPv6 en utilisant EUI-64 sur
cette interface :
Attribution de l’ID d’interface
EUI-64
Router(config-if)# ipv6 address 2001:DB8:2222:7272::/64 eui-64
Source : Curriculum Cisco CCNA4 4.0 et CCNA1 5.0
U/L : indique si l’@ MAC a été attribuée localement (1) ou est universelle (0).
Source : Curriculum Cisco CCNA1 5.0
Lorsque vous configurez une adresse IPv6 sur une interface, l’adresse locale-lien est automatiquement
configurée pour cette interface.
L’attribution d’une adresse local lien par détection automatique peut échouer. L’adresse local lien doit dans ce cas être attribuée manuellement.
Source : Curriculum Cisco CCNA4 4.0
Configuration automatique des adresses sans état (SLAAC)
La configuration automatique des adresses sans état (SLAAC) est une méthode permettant à un
périphérique d'obtenir son préfixe, la longueur de préfixe, et l'adresse de la passerelle par défaut depuis
un routeur IPv6, sans l'intervention d'un serveur DHCPv6.
Lorsque la SLAAC est utilisée, les périphériques se basent sur les messages d'annonce de routeur ICMPv6
du routeur local pour obtenir les informations nécessaires.
Les routeurs IPv6 envoient régulièrement des messages d'annonce de routeur ICMPv6 à tous les
périphériques IPv6 du réseau.
Par défaut, les routeurs Cisco envoient des messages d'annonce de routeur toutes les 200 secondes à l'adresse du groupe de multidiffusion à tous les nœuds IPv6.
Un périphérique IPv6 du réseau n'a pas à attendre ces messages. Il peut envoyer un message de
sollicitation de routeur au routeur, en utilisant l'adresse du groupe de multidiffusion à tous les
routeurs IPv6.
Lorsqu'un routeur IPv6 reçoit un message de sollicitation, il répond immédiatement en envoyant un
message d'annonce de routeur.
Source : Curriculum Cisco CCNA1 5.0
Même si une interface d'un routeur Cisco peut être configurée avec une adresse IPv6, cela ne fait
pas du routeur un « routeur IPv6 ».
Un routeur IPv6 est un routeur qui :
transfère les paquets IPv6 entre les réseaux ;
peut être configuré avec des routes IPv6 statiques ou un protocole de routage IPv6 dynamique ;
envoie des messages d'annonce de routeur ICMPv6.
IPv6 n'est pas activé par défaut. Pour sélectionner IPv6 sur un routeur, la commande ipv6 unicast-routing doit être utilisée.
Source : Curriculum Cisco CCNA1 5.0
DHCPv6 (dynamique)
DHCPv6 permet aux serveurs DHCP de transmettre les paramètres de configuration, tels que les
adresses réseau IPv6, aux nœuds IPv6.
DHCP permet d’allouer automatiquement des adresses réseau réutilisables et offre davantage de
souplesse au niveau de la configuration.
SLAAC a été mis en œuvre parce que IPv6 a été conçu alors que le DHCP était a ses débuts.
DHCP v6 a été conçu au début comme complément de SLAAC.
DHCP v6 peut être utilisé séparément (avec état) ou avec la configuration automatique d’adresse
sans état IPv6 en vue d’obtenir les paramètres de configuration.
Source : Curriculum Cisco CCNA4 4.0
Stratégies de transition à IPv6
La transition depuis IPv4 ne nécessite pas de mise à niveau sur tous les nœuds au même moment.
De nombreux systèmes de transition permettent une intégration en douceur d’IPv4 et d’IPv6.
D’autres systèmes permettent à des nœuds IPv4 de communiquer avec des nœuds IPv6.
Les stratégies divergent selon les situations.
Source : Curriculum Cisco CCNA4 4.0
Double pile
Méthode d’intégration dans laquelle un nœud a une mise en œuvre et une connectivité à un
réseau IPv4 et IPv6.
Il s’agit de l’option recommandée et nécessite l’exécution simultanée d’IPv4 et d’IPv6.
Le routeur et les commutateurs sont configurés pour prendre en charge les deux protocoles, IPv6
étant le protocole préféré.
Détails plus loin.
Source : Curriculum Cisco CCNA4 4.0
Transmission tunnel
Il existe plusieurs techniques de transmission tunnel, notamment :
- Transmission tunnel manuel d’IPv6 sur IPv4 : détails plus loin
Un paquet IPv6 est encapsulé dans le protocole IPv4. Cette méthode nécessite des routeurs à double pile.
- Transmission tunnel 6to4 dynamique : détails plus loin
Etablit automatiquement la connexion des îlots IPv6 via un réseau IPv4, généralement Internet.
Elle applique de façon dynamique un préfixe IPv6 unique et valide à chaque îlot IPv6, ce qui permet
de déployer rapidement l’IPv6 dans un réseau d’entreprise sans récupération des adresses par les FAI
ou les organismes d’enregistrement.
- Le protocole ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) : Les tunnels ISATAP permettent aux hôtes à double pile IPv4 ou IPv6 d’un même site de communiquer avec d’autres
hôtes identiques sur une liaison virtuelle, créant ainsi un réseau IPv6 à l’aide de l’infrastructure IPv4.
- Transmission tunnel Teredo :Cette approche transmet un trafic IPv6 monodiffusion lorsque les hôtes à double pile se trouvent derrière un ou
plusieurs NAT IPv4.
Source : Curriculum Cisco CCNA4 4.0
- NAT-PT (NAT-Protocol Translation)
La version 12.3(2)T de Cisco IOS et les versions ultérieures (avec le jeu de fonctions approprié)
comprennent également NAT-PT entre IPv6 et IPv4.
Cette traduction permet aux hôtes qui utilisent différentes adresses IPv6 et IPv4 de communiquer en
utilisant une traduction d’entête IPv6 et IPv4. Un paquet IPv6 est traduit en un paquet IPv4, et
inversement.
Ces traductions sont plus complexes que la fonction NAT d’IPv4.
À l’heure actuelle, cette méthode de traduction constitue une option dépassée.
Source : Curriculum Cisco CCNA4 4.0 et CCNA1 5.0
Le Double Piles IPv6/IPv4
Source : Curriculum Cisco CCNA4 4.0
Un nœud à double pile choisit la pile à utiliser en fonction de l’adresse de destination du paquet.
Un nœud à double pile doit privilégier l’IPv6 lorsque celui-ci est disponible.
Les anciennes applications n’utilisant qu’IPv4 continuent à fonctionner comme avant. Les nouvelles
applications ou les applications modifiées profitent des deux couches IP.
Pour que ce système fonctionne, les applications et les systèmes d’exploitation des
périphériques intermédiaires soient mis à niveau (ajout d’API pour les applications).
Voir topologie page suivante
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Voir
La version 12.2(2)T de Cisco IOS et plus (avec le jeu de fonctions approprié) sont compatibles avec IPv6.
Dès que vous configurez les protocoles IPv4 et IPv6 de base sur l’interface, cette dernière est à double pile et
transfère le trafic IPv4 et IPv6 sur cette interface.
Pour utiliser le routage IPv6 sur un routeur Cisco IOS, vous devez utiliser la commande de configuration globale ipv6
unicast-routing.
Vous devez configurer toutes les interfaces qui transfèrent le trafic IPv6 avec une adresse IPv6 à l’aide de la commande d’interface ipv6 address adresse-IPv6 [/longueur-préfixe].
Source : Curriculum Cisco CCNA4 4.0
Les Tunnels 6to4
Source : Curriculum Cisco CCNA4 4.0
Lorsque IPv4 est utilisé pour encapsuler le paquet IPv6, un type de protocole 41 est spécifié dans l’en-tête IPv4. Le paquet comprend un en-tête IPv4 (20 octets) sans aucune option, un en-tête IPv6 et des données utiles. Cette méthode nécessite des routeurs à double pile.
Adresse dynamique Adresse dynamique
Voir
Source : Curriculum Cisco CCNA4 4.0
La transmission tunnel pose les deux problèmes :
L’unité de transmission maximale (MTU) diminue de 20 octets si l’en-tête IPv4 ne contient pas de
champs facultatifs.
Un réseau avec transmission tunnel est souvent difficile à dépanner.
La transmission tunnel est une technique intermédiaire ; elle ne doit pas être considérée comme une
solution finale. Une architecture IPv6 native doit constituer l’objectif ultime.
Source : Curriculum Cisco CCNA4 4.0
Les Tunnels Manuels
Source : Curriculum Cisco CCNA4 4.0
Un tunnel configuré manuellement équivaut à une liaison permanente entre deux domaines IPv6 sur un réseau fédérateur IPv4.
Adresse statique Adresse statique
Source : Curriculum Cisco CCNA4 4.0
Une adresse 6to4 commence par 2002::/16.
Par exemple, une adresse globale 169.200.100.78 (A9.C8.64.4E), plusieurs adresses 6to4 peuvent être construites :
2002:A9C8:644E::/48
Tunnel 6to4 automatique
Le paquet IPv6 sera encapsulé dans un paquet IPv4 avec comme adresse IPv4 source, l’adresse de l’interface
IPv4 du routeur, et comme adresse de destination l’adresse IPv4 que le routeur aura extrait de l’adresse IPv6
de destination.
Le paquet ira vers le routeur distant. Celui-ci décapsulera le paquet, se débarrassera de l’entête IPv4 et
enverra le paquet IPv6 vers la destination.
Au retour, le routeur distant va recevoir un paquet IPv6 qu’il doit être encapsuler dans un paquet IPv4.
L’adresse IPv4 source sera l’adresse de son interface et de destination, l’adresse IPv4 qu’il aura extrait de
l’adresse IPv6 de destination.
Le paquet IPv4 obtenu par l’encapsulation a comme type de protocole 41.
Voir tunnel avec adresse IPv6 publique
Routage IPv6
Source : Curriculum Cisco CCNA4 4.0
IPv6 utilise des versions modifiées de la plupart des protocoles de routage courants pour gérer
les adresses IPv6 plus longues et les différentes structures d’en-tête.
Des espaces d’adressage plus importants et des adresses plus longues impliquent des allocations
d’adresses volumineuses pour les FAI et les organisations.
Mais en quoi IPv6 affecte-t-il les performances du routeur ? Une révision rapide du fonctionnement d’un routeur va permettre d’illustrer en quoi IPv6 affecte le routage.
Sur un plan conceptuel, le routeur a trois zones fonctionnelles :
Le plan de contrôle gère l’interaction du routeur avec les autres éléments du réseau. Ce plan exécute des processus tels que les protocoles de routage et la gestion du réseau. Ces fonctions sont généralement complexes.
Le plan de données gère le transfert de paquets d’une interface physique ou logique à une autre. Différents mécanismes de commutation sont employés, notamment le procédé de commutation et Cisco Express Forwarding (CEF / routage par les ASIC) sur les routeurs du logiciel Cisco IOS.
Les services avancés comprennent des fonctionnalités évoluées appliquées lors du transfert de données, par exemple les ACL, la qualité de service (QS), le chiffrement, la traduction et la comptabilisation.
IPv6 représente de nouveaux défis pour chacune de ces fonctions.
Source : Curriculum Cisco CCNA4 4.0
Comment IPv6 se comporte du point de vu du plan de contrôle IPv6
L’activation d’IPv6 sur un routeur démarre les processus d’exploitation de son plan de contrôle pour IPv6.
Taille de l’adresse IPv6 :
La taille de l’adresse affecte les fonctions de traitement des informations d’un routeur.
Les systèmes utilisant une UC de 64 bits, un bus ou une mémoire transmettent les adresses IPv4 source et de
destination au cours d’un même cycle de traitement.
Dans IPv6, les adresses source et de destination nécessitent chacune deux cycles (quatre cycles en tout) pour
traiter les informations des adresses source et de destination.
Ainsi, il y a des chances pour que les performances des routeurs ne se basant que sur le traitement logiciel soient
inférieures aux performances dans un environnement IPv4.
Adresses de nœuds IPv6 multiples :
Les nœuds IPv6 pouvant utiliser plusieurs adresses IPv6 monodiffusion, la consommation de mémoire du cache de la
détection de voisins peut être affectée (table des voisin table ARP voir).
Protocoles de routage IPv6 :
Les protocoles de routage IPv6 sont semblables à ceux d’IPv4, mais un préfixe IPv6 étant quatre fois plus grand qu’un
préfixe IPv4, les mises à jour de routage sont plus volumineuses.
Taille de la table de routage :
L’espace d’adressage IPv6 étant plus grand, les réseaux sont plus importants et Internet est plus volumineux.
Les tables de routage doivent donc être plus grandes et la configuration requise pour la mémoire plus élevée pour
en assurer la prise en charge.
Source : Curriculum Cisco CCNA4 4.0
Comment IPv6 se comporte du point de vu du plan de données IPv6
Analyse des en-têtes d’extension IPv6 :
Les applications, notamment les applications mobiles IPv6, utilisent souvent les informations d’adresse IPv6 dans des en-têtes d’extension, augmentant ainsi leur taille.
(entête d’extension=options IPv6 se trouvant entre l’entête IPv6 et l’entête de couche de transport). Ces champs supplémentaires représentent davantage de traitement.
Si la longueur de l’en-tête d’extension est supérieure à la longueur fixe du registre matériel du routeur, la commutation matérielle échoue et les paquets peuvent être dirigés vers la commutation logicielle ou être abandonnés.
Ces opérations affectent sérieusement les performances du routeur en matière de transfert.
Recherche d’adresses IPv6 :
IPv6 effectue une recherche sur les paquets entrant dans le routeur afin de trouver l’interface de sortie. Dans IPv4, le processus de prise de décision de transfert analyse une adresse de destination de 32 bits. Dans IPv6, la décision de transfert pourrait nécessiter l’analyse d’une adresse de 128 bits. La plupart des routeurs effectuent des recherches à l’aide d’un circuit intégré à application spécifique
(ASIC) avec une configuration fixe qui effectue les fonctions pour lesquelles il était conçu à l’origine : l’IPv4. Cela peut engendrer la transmission de paquets dans un processus logiciel plus lent, voire leur abandon.
Source : Curriculum Cisco CCNA4 4.0
RIPng
Source : Curriculum Cisco CCNA4 4.0
Le document RFC 2080 définit le protocole d’informations de routage nouvelle génération
(RIPng) comme un simple protocole de routage basé sur le protocole RIP.
RIPng n’est pas plus ou moins puissant que RIP ; il permet cependant de facilement mettre en place un
réseau IPv6 sans avoir besoin de créer un nouveau protocole de routage.
Comme RIP,
RIPng est un protocole de routage à vecteur de distance ayant une limite de 15 sauts qui utilise le découpage
d’horizon et les mises à jour en mode empoisonnement inverse pour empêcher les boucles de routage.
Sa simplicité vient du fait qu’il ne nécessite pas d’avoir une connaissance globale du réseau.
Seuls les routeurs voisins échangent des messages locaux.
RIPng a les caractéristiques suivantes :
Basé sur IPv4 RIP version 2 (RIPv2) et est semblable à RIPv2. Utilise IPv6 pour le transport. Inclut le préfixe IPv6 et l’adresse IPv6 du saut suivant. Utilise le groupe de multidiffusion FF02::9 comme adresse de destination pour les mises à jour RIP (semblable
à la fonction de diffusion effectuée par le protocole RIP dans IPv4).
Envoie des mises à jour sur le protocole UDP port 521. Est pris en charge par Cisco IOS version 12.2(2)T et versions ultérieures.
Dans le cas de déploiements à double pile, les protocoles RIP et RIPng sont tous deux requis.
Source : Curriculum Cisco CCNA4 4.0
Configuration de RIPng avec IPv6
Source : Curriculum Cisco CCNA4 4.0
Activer IPv6 globalement à l’aide de la commande de configuration globale ipv6 unicast-routing
Et ensuite…
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Résolution de noms Cisco IOS pour IPv6
Source : Curriculum Cisco CCNA4 4.0
Vérification et dépannage d’IPv6
Source : Curriculum Cisco CCNA4 4.0
Source : Curriculum Cisco CCNA4 4.0
Vérification et dépannage de RIPng pour IPv6
Source : Curriculum Cisco CCNA4 4.0
Exercice CCNA1 5.0 - 8.3.2.5 et 8.3.2.8
Exercice CCNA4 4.0 - 7.3.9.2