1

L’IPv6 chez VIAer11

2

Ce qu’on va voir aujourd’hui

IPv6 en quelques mots (!)IPv6 chez VIA aujourd’huiQuelques idées à court terme…

3

IPv6 en quelques motsPourquoi ? Comment ?

4

IPv6, c’est IP avec 96 bits en plusIPv6 normalisé en 1998 : RFC 2460

But : capitaliser sur les acquis d’IPv4, conçu alors qu’Internet était quasi inexistant…Mais l’essentiel reste, et IPv4 est amélioré progressivement

Grandes lignes :Prévenir les problèmes de saturation d’IPv4, anticipés très rapidement…Améliorer les performances de routage, supprimer la fragmentationIntégrer nativement des ajouts postérieurs dans IPv4, notamment

multicastCorriger un certain nombre de failles de sécurité : IPSEC natif…

5

Les en-têtes IPv6 et IPv4 comparées

En-tête IPv6 épurée, des options inutiles supprimées (ToS…)Pas de vérification de checksum par le routeur : routage accéléréTaille fixe : 40 octets contre 20 à 60 en IPv4

6

Des IP en grande quantité2128 adresses IP, soit environ 1038 IP, ce qui permet… beaucoup d’IP par m²

Mais c’est moche une IPv6 sur 128 bits, même réduit/écrit en hexadécimal…Astuce : réduire les IP, en supprimant les 0 inutiles et le premier groupe de 0 inutiles éventuel

FD00:0000:0000:0021:0001:0000:0000:5143 devient FD00::21:1:0:0:5143IPv4 épuisées ?

Bien plus d’IPv6, et surtout bien plus d’IPv6 par client pour éviter d’utiliser le NAT

Structure générale d’une IPv6 : en général, un client final dispose d’un /48 ou d’un /64

Pourquoi autant d’IP ?Lié aux nouveaux mécanismes d’attribution d’IP

Préfixe de 48 bits (FAI)

24 bits : subnetting 64 bits : partie spécifique à l’hôte

7

Coucou ! Tu veux une IP ?Avec IPv4 : DHCP et la configuration manuelleAvec IPv6 :

DHCPv6, mais c’est pourri (sécurités supplémentaires comme en IPv4)

Autoconfiguration « stateless » : le routeur donne un préfixe, le client choisit l’IP

Soit sur la base de son adresse MAC (48 bits sur les 64 disponibles)

Soit une attribution aléatoire ou cryptographiqueBut de cette attribution : ne pas pouvoir mapper MAC et IPv6 (suffixe IPv6 unique pour tous les réseaux !)

Mais comment associer IP et MAC ? ARP Neighbor Discovery Protocol

8

Adieu broadcast, bonjour multicastBroadcast : pas sûr, charge inutilement le réseau, risque lié aux boucles…Multicast est bien plus optimal ! (mais les soucis de sécurité ne sont pas

vraiment résolus)Un NDP sécurisé existe mais est assez contraignant et peu utilisé

NDP remplit des fonctions bien plus nombreuses qu’ARP, à l’aide d’ICMPv6- Découverte des voisins (O RLY ?), sollicitation de voisin- Découverte des routeurs voisins, annonce de préfixe IPv6 pour l’autoconfiguration

stateless- Découverte de paramètres spécifiques : MTU…- Résolution d’adresse, etc.

Des adresses IPv6 (ff00::0/8) et MAC (33:33:33:xx:xx:xx) spécifiques sont dédiées au multicast : all-nodes, all-routers, all-ntp, all-dhcp…

9

Plusieurs IP par hôteChaque hôte possède plusieurs IPv6, aux portées (scope) souvent

différentes :Une IPv6 ‘link-local’ (réservée aux communications dans le sous-réseau)

sur FE80::/64Existait déjà avant, en IPv4, avec le 169.254.0.0/16 : on parlait d’APIPA

Une IPv6 ‘global unicast’ (visible sur Internet, éventuellement associée à un reverse DNS)

Une IPv6 ‘temporaire’ éventuelle, permettant d’avoir une IP différente (confidentialité)

D’autres scopes moins utilisés, parce qu’une IPv6 publique ne coûte pas cher, citons notamment

Site-local : comme link-local mais sur plusieurs LAN, typiquement VIA ou une entreprise

10

La transition vers IPv6Trafic IPv6 à fin 2013 : environ 2% du trafic Internet

<troll>Abonnés Free : activez votre IPv6, ça marche d’enfer !</troll>

Problème d’IPv6 : « Mais pourquoi migrer ? IPv4 ça marche très bien et mon

matériel n’est pas compatible ! En plus, 2% de trafic, c’est ridicule, la demande n’existe pas ! »

Plusieurs solutions pour migrer en douceur sur des réseaux incompatibles

6to4, 6in4, 6rd (Free), TEREDO (Microsoft), et tant d’autres

11

Principe général : encapsulation IPv6 dans IPv4

Comment faire transiter des paquets IPv6 sur un réseau IPv4 ?En mettant les paquets IPv6 comme contenu d’un paquet IPv4On perd certains avantages d’IPv6 ! (fragmentation, sécurité…)Il faut faire cette encapsulation : perte en performances…

Reste à définir l’adresse IPv6 de l’hôte et le bout du tunnel

Header IPv4 Payload IPv4 Header

IPv6 Payload IPv6

12

Quelques détails sur les principaux mécanismesTunnel 6in4 : définition statique du relay router

Tunnel 6to4 : type IPv4 spécifique (41) + IPv6 spécifiques (2002::/16)Relay router défini par une adresse anycast 192.88.99.1 ou explicitementRoutage retour vers 2002::/16, préfixe IPv6 issu de l’IPv4 du 6to4 (2002:ipv4:hexa::/48)

6rd : extrapolé du 6to4, avec un préfixe dépendant du FAI au lieu de 2002::/16

TEREDO : sur des réseaux IPv4 NATtés, transport UDP, quand il n’y a pas d’IPv4 publique

…Et d’autres (ISATAP, 6over4…), avec des portées différentes

13

Pour en savoir plus…

Vous sortez de CF, je vous épargne les subtilités…Je vous conseille : http://www.youtube.com/watch?v=Od8DDowENMI(c’est Microsoft mais je vous assure c’est pas mal fait ! :-) )

Vous pouvez aussi aller voir • Wikipedia, surtout en anglais,• Le blog de Stéphane Bortzmeyer : www.bortzmeyer.org• Les RFC, c’est pas toujours si horrible que ça ! http://www.ietf.org/rfc/ (cf. RFC

6214).

14

IPv6 à VIAComment ça marche (pas) ?

15

Contexte technique

CTI/Rubis: voir plus haut, IPv6 c’est un peu trop moderne et ça sert à rien dans l’immédiat

VIA :Avant 2013 le cœur de réseau était incompatible (IPv6 n’était pas

inclus dans son OS)Depuis 2003, un routeur et passerelle 6to4 sur Palantir

VLAN IPv6 : vlip6, vlip6-wifi, vlip6-via, vlip6-permsIPv6 de Palantir : 2002:8ac3:802d::/48

16

Palantir, c’est

Un annonceur de préfixes IPv6 sur les VLANs de la Rez avec radvdUn routeur IPv6 avec ip -6 routeUn firewall IPv6 avec ip6tablesUn tunnel 6to4 : géré nativement dans Linux (/etc/network/interfaces)Un accounter de trafic IPv6 (le firewall ne voit sortir que du trafic IPv4 !) avec ICUG

Et pas mal de choses sans rapport qui ne fonctionnent plus, genre vlip-goret

17

Pourquoi l’IPv6 c’est pourri sur la Rez ?Le 6to4 c’est vieux : les relay routers deviennent rares et saturent donc débit pourri

Tempest ne voit pas de trafic IPv6, l’ICUG compte indépendamment des quotasConséquence : l’IPv6 n’est pas décompté des quotas, et un gorêt a toujours IPv6 !

Un routeur possède des puces dédiées au routage ! Palantir pas vraiment…

Un VLAN IPv6 rez-wide (vlip6) !• Risque de boucle, même s’il n’y a plus , normalement, de broadcast…• Windows Vista (surtout) pourrit le réseau en émettant ses propres Router

Advertisement• Conséquence : un PC donne des adresses IPv6 à tout le VLAN en plus de Palantir• On a mis une ACL sur les routeurs qui bloque ces annonces foireuses

18

Une vision au plus loin d’IPv6Ce que l’on pourrait faire à VIA dès maintenant ou plus tard

19

Et si on utilisait notre réseau ?En IPv4 on utilise OSPF, qui utilise notamment du multicast IPv4…En IPv6 il y a OSPFv3, adapté à IPv6

Tout ce que l’on fait en IPv4 peut être porté quasiment tel quel en IPv6 !Pourquoi pas faire de la diffusion TV en IPv6 ? ;-)

TOUT le matériel réseau, sauf les 2 48i, est compatible IPv6, à savoir• VLAN adressé en IPv6• Routage IPv6 sur les routeurs (OSPFv3 avec les mêmes limites de licence qu’OSPF)• RA IPv6• Table NDP au lieu de la table IP/ARP• ACLs IPv6 (x460 rulez !)

Déjà des tests en cours, voir mon CR et me demander pour plus d’infos !

20

IPv6 et firewallTrafic IPv4 compté par ipt_account, un module kernel inadapté à IPv6…ICUG : bof !

Des solutions ont été développées sur les routeurs : NetFlow (Cisco), IPFIX, sFlow (statistique)Mais comment lier une IPv6 à un membre (MAC…) avec une configuration stateless ?

L’autoconfiguration est moins adaptée que DHCPv6 dans ce genre de casSolution : le cache NDP des routeurs ( ~ la table IPARP), qui a l’information (MAC/IPv6)

Tout ça sera inclus dans le nouveau firewall, qui verra passer le trafic IPv6 directementPalantir ne sera plus qu’un tunnel 6to4

21

Une meilleure connectivité IPv6 ?

Convaincre le CTI qu’IPv6 c’est le bien ?

Sous réserve de trouver un hébergeur qui l’accepte, on pourrait faire un bon tunnel 6in4

Go secteur entreprise !

Et encore après ?Si VIA devient FAI, il faudra bien sûr penser à avoir des transitaires et peers IPv6 !