RAISIN 27-04-06 : IPV6 sur REAUMUR Diapositive : 1 / 54 IPv6 sur REAUMUR Laurent FACQ – REAUMUR – [email protected] Jean-Denis PORTELLI – REAUMUR – [email protected]

RAISIN 27-04-06 : IPV6 sur REAUMUR Diapositive : 1 / 54

IPv6 sur REAUMUR

Laurent FACQ – REAUMUR – [email protected]

Jean-Denis PORTELLI – REAUMUR – [email protected]

Séminaire RAISIN27 avril 2006


IPv6 : Introduction et HistoriqueLes adressesLe protocoleLe service expérimental REAUMURUtiliser IPv6...

IPv6 sur REAUMUR Pourquoi, Quand, Comment...


Normalisation stable depuis 2002.IPv6 et RENATER

RENATER 2 pilote IPv6 RENATER 3 (2002) IPv6 unicast natif

Une démarche commune à toutes les universités.

IPv6 : Introduction et Historique


Croissance exponentielle de la taille d’Internet Épuisement des adresses IPv4 Explosion de la taille des tables de

routage Fortes inégalités géographiques

Répartition des adresses Ipv4Etats-unis : 74%Europe : 17%Asie : 9%

=> Nouvelle version du Protocole Internet : Version 6

IPv6 : Introduction et HistoriqueLes motivations


Nombre d'adresses distribuées par le IANA en équivalent classe A /8.

IPv6 : Introduction et historiqueLes motivations

C.I.D.R


La taille des tables de routage IPv4 est passée de 2.100 entrées début 1991 à 180.000 début 2006

IPv6 : Introduction et HistoriqueLes motivations


Possibilités d'adressage étendues de 32 bits à 128 bits Préfixe réseau + Identifiant machine

Format d'entête simplifié traitement plus rapide

Options intégrées dans des extensions d'entête

IPv6 : Introduction et historiqueLes principes retenus


Possibilités de qualité de services "flow label "

Support de :

Auto-configuration

la mobilité

la sécurité (IPSEC)

IPv6 : Introduction et historiqueLes principes retenus


IPv6 : Introduction et Historique

Les adressesLe protocoleLe service expérimental REAUMURUtiliser IPv6...



IPv6 : Les adresses

Longueur 128 bits : 8 mots de 16 bits

2001:0660:6101:0000:0000:0010:a123:0962

Forme réduite ....2001:660:6101::10:a123:962

Notion de préfixe hiérarchique.2001::/16 Géré par les RIR2001:0660::/32 RENATER2001:0660:6101::/48 U-REAUMUR-

BORDEAUX


Ambiguité apparente de la notation 2001:660:6101:0000::/56 2001:660:6101::/56 2001:660:6101:0003::/56 2001:660:6101:3::/56

Utilisation de ces adresses dans une URL http://2001:660:6101:1::1e/ http://[2001:660:6101:1::1e]:8000/

IPv6 : Les adresses

Préfixes identiques

AdressesIdentiques

AdressesIdentiques


IPv6 : Les adresses

Trois types d’adresses Unicast

Identifie une interface

MulticastIndentifie un groupe d’interfaces

AnycastIdentifie une interface dans un groupe


IPv6 : Les adresses Adresses Unicast

Adresse Unicast Lien local (FE80::/64) Site local (FE0C::/64 plus utilisé) Adresses unicast globales Adresse de retour, loopback (::1) Adresse indéterminée (0:0:0:0:0:0:0:0)

FP

3 à 10 bits

128 bits

Champ 1 … … … … Champ n Interface Id

64 bits


Lien Local Le préfixe est de la forme : FE80::/64

1 1 1 1 1 1 1 0 1 0 0

10 bits 64 bits54 bits

Interface ID.



Site Local (plus utilisé) Le préfixe est de la forme : FEC0::/48 SLA ‘Site Level Aggrégation’ sur 16 bits

1 1 1 1 1 1 1 0 1 1 0

10 bits 64 bits38 bits

Interface ID. SLA

16 bits



Les adresses Unicast globales affectées aux organismes régionaux (R.I.R).

Préfixe 2001::/16

FP Interface id.

64 bits

Global Préfix. Subnet Id.

48 bits 16 bits

001 0 0000 0000 0001



IPv6 : Introduction et HistoriqueLes adresses

Le protocoleLe service expérimental REAUMURUtiliser IPv6...



IPv6 : Le protocole

En-tête + extension d’en-tête + Payload

En-tête de taille fixe (40 octets)Les options suivent l’en-têtePas de checksumFragmentation de ‘ bout en bout ’Mécanisme de découverte du MTU


IPv6 : Le protocoleFormat de l’en-tête

vers

adresse de la destination

adresse de la source

en-tête suiv.

identificateur de flux

longueur des données nbre de sauts

0 4 8 16 31

classe



Classe de traffic DSCP (DiffServ Code Point) : Permet la

différentiation de services (en IPv4 Tos est aussi appelé octet DiffServ)

Les deux autres bits pour des expérimentations

CU : Currently UnusedMécanisme de congestion en combinaison avec algo.

RED (Random Early Detection)

DSCP CU



vers



en-tête suiv.



0 4 8 16 31

classe



Indicateur de flux Une séquence de paquets pour laquelle la

source désire un service différent de celui par défaut (temps réel)

Identifie de manière optimisée un contexte dans un routeur

Les identificateurs de flux sont des numéros aléatoires

Identificateur de flux identique sur tous les liens => paquet dans un flux identifié par une adresse source plus un identificateur de flux



vers



en-tête suiv.



0 4 8 16 31

classe



Longueur des données Taille des données utiles (sans en-tête) Si taille > 65 535

Valeur 0Option jumbogramme

En-tête suivantNombre de sauts

Décrémenté de 1 à chaque traversée d’un routeur.


IPv6 : Le protocoleExtensions d ’en-tête

Extensions prises en compte uniquement par l’équipement destinataire du paquet

exception : en-tête Proche-en- Proche (Hop-by-Hop).

Types d’extensions par ordre recommandé :Proche-en-ProcheDestination (traité aussi par les routeurs du routage

par la source)Routage par la sourceFragmentationAuthentificationChiffrementDestination (uniquement équipement terminal)


IPv6 : Le protocoleDécouverte du PMTU

PMTU: Path Maximum Transfert UnitMSS : Maximum Segment Size

IPv6 sur Ethernet IPv6 sur EthernetTunnel IPv4 sur Ethernet

ClientPile IPv6

ServeurPile IPv6

IPv6 + TCP (SYN + MSS 1440)

MTU 1480MTU 1500 MTU 1500

IPv6 + TCP (SYN ACK + OK MSS 1440)

IPv6 + TCP (ACK)

IPv6 + TCP + Payload 1440

IPv6 + ICMPv6 Packet trop grand – MTU 1480

IPv6 + TCP + Payload 1420


IPv6 : Le protocoleLe Plug & Play

Mécanisme de configuration automatique Affectation de l’adresse lien-local et

vérification de son unicité. Découverte des routeurs présents sur le lien

physique. Découverte des préfixes du réseau. Découverte des paramètres avancés.


Autoconfiguration Stateless Identifiant d'interface

Identifiant issu de l'adresse MAC EUI48 (RFC2464)





Autoconfiguration Stateless Création de l'adresse unicast Lien local

fe80::xxxx:xxxx:xxxx:xxxxVérification de l'unicité : Sollicitation

multicast des voisins ff02::1

Création de l'adresse unicast globaleSollicitation multicast des routeurs ff02::2Réponse contenant le prefixe

2001:660:6101:1::/64Création de l'adresse globale

2001:660:6101:1:xxxx:xxxx:xxxx:xxxx



IPv6 : Le protocoleLa gestion de la mobilité

Objectif : Rester joignable quelle que soit la localisation sur le réseau. Obtenir une adresse du réseau local Utilisation d’un relais d’adresse situé

dans le réseau d’origine. Conserver toujours la même adresse vis

à vis des applicatifs distants.






IPv6 : Le protocoleLa Sécurité

Travail effectué par IETF dans le groupe IPSec

Résultats aussi applicables en IPv4Deux extensions d’en-têtes

Authentification - Intégrité (AH) Chiffrement (ESP)

Mode transport ou tunnel


IPv6 : Le protocoleLa Sécurité

Traitement de datagrammes avec Ipsec

Source : DECISION MICRO & RESEAU – n°512 – Editions GROUPE TEST


IPv6 : Introduction et HistoriqueLes adressesLe protocoleLe service expérimental

REAUMURUtiliser IPv6...



Adresses REAUMUR Campus ipv4 147.210.0.0/16 ipv6 2001:660:6101::/48

Format des adresses Masque /64

16 bit pour la définition des réseaux64 bit pour l'adresse de l'hôte

IPv6 : Le service expérimental de REAUMUR

2001:660:6101 Interface id.

64 bits

Subnet Id.

48 bits 16 bits



Site Entité Sous réseau

3 à 5 bits 3 bits pour définir le site 3 à 5 bit à la disposition de chaque entité

8, 16 ou 32 sous réseauxMasques compris entre /59 et /611er sous réseau destiné à l'interconnexion

Réflexion sur le plan d'adressageGéré par REAUMUR Par Entité


Convention d'adressage statique Equipements réseau

Routeur REAUMUR• 2001:660:6101:xxxx:ff:: (int :

00ff:0000:0000:0000)

Autres équipements d'interconnexion• 2001:660:6101:xxxx:ff::1...n

(int :00ff:0000:0000:000n)

ServeursDNS : une adresse simple sera utilisée...Autres serveurs

• 2001:660:6101:xxxx::1...n (int :0000:0000:0000:000n)



Convention d'adressage des terminaux Seules les adresses

d'autoconfiguration issues de l'adresse MAC seront routées vers RENATER (RFC2464).

Identifiant aléatoire dit de confidentialité (RFC3041)

Cet identifiant ne sera pas autorisé. Son utilisation doit être désactivée

Win XP : ipv6 -p gpu UseTemporaryAddresses no



Par quoi commencer ? Demander la connectivité auprès de

REAUMURAttribution d'un ou plusieurs réseaux

provisoires!!Quatre modes de connexion possibles :

• Direct : vlan ipv6 dédié ou vlan v4+v6 au choix

• Interco : vlan interco v6 dédiée ou v4+v6

Activation de l'autoconfiguration stateless


Vlan IPv6

Vlan IPv4 existantVlan existantIPv4 + IPv6

Routeur REAUMUR


Sites dont la sécurité est gérée par REAUMUR Déclaration des adresses utilisées

Seules les adresses déclarées sont routées vers RENATER ** en cas de piratage les machines peuvent changer d'ip...



IPv6 : Introduction et HistoriqueLes adressesLe protocoleLe service expérimental REAUMUR

Utiliser IPv6...



Les systèmes d'exploitation : LINUX

Redhat / Fedora depuis la 7.2Debian

• Noyau 2.4.x --> modprobe ipv6

• Noyau 2.6.x --> Automatique

Mandrake• Automatique depuis le 10.0

• Stable depuis la 10.1

IPv6 : Utiliser IPv6


Les systèmes d'exploitation : MAC OS X

Par défaut depuis la 10.2 (Jaguar)

UNIXFREEBSDSOLARISTrue 64......

IPv6 : Utiliser IPv6Les OS compatibles


Les systèmes d'exploitation : Microsoft

XP SP2• Pile V6 fonctionelle

• Pas de support DNS --> Pas de V6 natif...

Windows 2003 serverWindows Vista et server 'Longhorn'

• Pile V6 + interface graphique

• Support complet y compris DHCPv6, MLDv2, IPsec

IPv6 : Utiliser IPv6Les OS compatibles


IPv6 : Utiliser IPv6Les logiciels supportés

Les applications supportées Applications serveur

Bind version 8.2.2.2-P5 min conseilléeApache 2.0OpenSSH 3.6.1P2Proftpd 1.2.9rc2, Vsftpd 2.0.0Postfix 2.2, Sendmail 8.10 Ntpd 4.1.80rc1.....

http://www.deepspace6.net/docs/ipv6_status_page_apps.html


NavigateursFirefox / MozillaMS Internet explorer 6

• N'accepte pas la saisie directe d'adresse

MailThunderbird, Mozilla-mail

FTPGftp, SmartFTP (Windows)

MultimediaVLC

IPv6 : Utiliser IPv6Les logiciels supportés


V6fication d'un serveur DNS• Listen-on-v6 {any;};

Ajout d'hôte v6 AAAAAttention !!! Vérifier la compatibilité de

toutes les applications du serveur avant d'ajouter l'adresse v6.

IPv6 : Utiliser IPv6Les pièges à éviter Côté serveur

serveur IN A 147.210.xxx.xxx

serveur IN AAAA 2001:660:6101:0001::25 Création d'un hôte dédié v6

Ipv6serveur IN AAAA2001:660:6101:0001::25


Hôte double pile dans un ilôt IPv4 Le protocole v6 est prioritaire

Requête DNS pour http://ipv6.reaumur.netRéponse 2001:660:6101:1::10

– 147.210.6.227

IPv6 : Utiliser IPv6Les pièges à éviter Côté Client

Réseau V4/V6 Réseau V4

Station V4/V6

Routeur V4

DNS V4/V6

FTP + SMTP + POP V4/V6

V4

V6


Attention le filtrage ne peut pas être total!! Le traffic ICMPv6 est indispensable.

Découverte du MTUAutoconfiguration StatelessDécouverte des voisins

IPv6 : Utiliser IPv6firewalling

Ipv6 acces-list in-ipv6deny ipv6 ::1/128deny ipv6 fec0::/48deny ipv6 2001:660:6101:xxxx::/48permit icmp any any


IPv6 : Utiliser IPv6

Quelques sites de test : ‘http://Ipv6.reaumur.net’ ‘http://Ipv6.klingon.nl’ ‘http://www.ipv6.bieringer.de’ (IPv6 only)

Plus d'infos : ‘https://ipv6.u-strasbg.fr/doku.php’

Biblio.... vous trouverez tout dans : CIZAULT, G., IPv6 Théorie et pratique 4e édition, Paris, O’Reilly, 2005.


Zones de compétence des organismes régionaux (R.I.R)

‘ IPv4 connectait les ordinateurs ; IPv6 connectera les hommes’Max HATA – NTT DoCoMo - JAPON

IPv6 sur REAUMUR


IPv6 sur REAUMUR

QUESTIONS ????

Contacts : Laurent FACQ ([email protected])Jean-Denis PORTELLI ([email protected])

Merci de votre attention.

Documents

RAISIN 27-04-06 : IPV6 sur REAUMUR Diapositive : 1 / 54 IPv6 sur REAUMUR Laurent FACQ – REAUMUR – [email protected] Jean-Denis PORTELLI – REAUMUR – [email protected]