ICND1 0x0a IPv6 Synthétique

ICND1 IPv6 Synthtique
http://www.scoop.it/t/ipv6-training/
Franois-Emmanuel Goffinet Formateur IT 2013Q4
goffinet@goffinet, Protocole IPv6, CC-BY
Objectifs
0x01 Pourquoi IPv6 ? 0x02 TCP/IPv6 0x03 Paquets IPv6 0x04 Reprsentations des adresses IPv6 0x05 Types dadresses IPv6 0x06 Dcouverte de voisinage et adresse automatique 0x07 Plan dadressage IPv6 0x08 Routage IPv6 0x09 Gestion dadresses IPv6 (IPAM) 0x0F Mthodes de transition
1. Pourquoi IPv6 ?
Avantages IPv6
Une espace dadressage trs large pour laccs global et lvolutivit Format den-tte simplifi pour une prise en charge efficiente des paquets Une architecture hirarchique du rseau pour un routage efficient Le support des protocoles de routage les plus courants Fonctionnalits dautoconfiguration et plug-and-play Support amlior de la mobilit IP Le nombre dadresses Multicast augment
Un nouvel Internet
IP est au cur du modle de communication IPv6 est incompatible avec IPv4 IPv6 est le 2me Internet Il s'agit d'une volution technologique inluctable Elle touche tout objet communicant dans le rseau Elle touche les applications et l infrastructure.
2. TCP/IPv6
TCP/IPv6
Architecture IPv6
Bien qu'IPv6 et IPv4 rpondent au mme modle de communication, ils sont incompatibles entre eux. On trouvera trois types d'objet sur l'Internet : Ceux qui sont seulement activs en IPv4 Ceux qui sont seulement activs en IPv6 Ceux qui sont activs en IPv6 et IPv4 (dual-stack)
Un nud (node) est un objet qui implmente IPv6. Parmi les nuds, on trouve des htes (hosts) et des routeurs (router).
Routeurs et htes
Les routeurs sont des nuds qui se chargent de transfrer le trafic qui ne leur est pas explicitement destin. Ceux-ci tiennent des tables de routage qui connaissent toutes les destinations. Les htes peuvent tre n'importe quel objet communiquant (ordinateur de bureau, terminal lger, embarqu, smartphone, machine virtuelle, etc.) quel que soit son systme d'exploitation. Les htes connaissent leur routeur (ou leur passerelle par dfaut) : en IPv4 : statiquement ou par DHCP en IPv6 : statiquement, via des RA/RS (Router Solicitation/Router Advertisement en Neighbor Discovery) en configuration automatique sans tat (SLAAC) ou par DHCPv6 Stateful
Terminologie protocolaire IPv6

Un lien (link) est le support physique (ou la facilit tel qu'un tunnel) de communication entre deux nuds au niveau de la couche 2 liaison de donnes/accs rseau (technologies LAN/WAN). Deux nuds sur le mme lien sont voisins (neighbors). Une interface est l'attachement d'un nud au lien. Une adresse est un identifiant pour une interface ou pour un ensemble d'interfaces. une interface peut avoir plusieurs adresses. Un prfixe dsigne l'appartenance un domaine IPv6. Il se note aprs l'adresse et une barre oblique / (slash).
Nouveauts IPv6
Le broadcast disparat au profit du multicast Plus besoin de NAT ARP disparat au profit de ND (ICMPv6) Le routeur configure le rseau Adressage automatique local obligatoire Autoconfiguration globale et/ou DHCPv6 Plug-and-Play DHCPv6-PD, solutions IPAM Reprise en main de la scurit Du travail mais un dfi passionnant
3. Paquets IPv6
En-ttes IPv4 et IPv6

IPv6 vise minimiser la surcharge son niveau et simplifier le processus de traitement des paquets sur les routeurs. Un en-tte IPv6 fixe de 40 octets Disparition du champs "Header Checksum", IHL La fonction de fragmentation a t retire des routeurs Les "Options" remplaces par les "Extensions" Les champs d'adresses sont des mots de 128 bits. "Next Header" = "Protocol" "Hop Limit" = "Time to Live" "Flow Label" est nouveau
En-tte de base et en-tte d'extensions

IPv6 encapsule tout le trafic dans un en-tte fixe de base constitu de huit champs. Les extensions d'IPv6 peuvent tre vues comme un prolongement de l'encapsulation d'IP dans IP. part l'extension de proche-en-proche traite par tous les routeurs intermdiaires, les autres extensions ne sont prises en compte que par les quipements destinataires du paquet.
Champs IPv6 "Next Header" et enttes d'extension

Une extension a une longueur multiple de 8 octets.
Elle commence par un champ Next Header d'un octet qui dfinit le type de donnes qui suit l'extension : une autre extension ou un protocole de niveau 4 (voir tableau Valeurs du champ Next Header). Pour les extensions longueur variable, l'octet suivant contient la longueur de l'extension en mots de 8 octets, le premier n'tant pas compt (une extension de 16 octets a un champ longueur de 1).
4. Reprsentation des adresses IPv6

Espace presque infini

Le plus grand avantage d'IPv6 est son espace presque infini selon nos besoins. Il offre un espace de 128 bits. En effet que reprsentent 2128 adresses par rapport notre Internet v4 opaque sur 232 adresses ? Ces adresses sont reprsentes en notation hexadcimale (chaque hexa ayant une valeur de 4 bits). Elles sont organises hirarchiquement.
L'espace 2000::/3 est allou aux adresses globales (L'Internet), soit seulement 12,5 % de l'espace disponible. Il offre dj normment plus d'espace que l'actuel Internet version 4.
Reprsentation des adresses IPv6

Une adresse IPv6 est un identifiant (pour une interface) de 128 bits reprsent : en hexadcimal (0 F, base 16) en 8 valeurs de 16 bits, appels des mots (4 hexas) spar par des deux-points
IPv6 fait donc utilement l'objet de manipulation de blocs diviss en 16 bits, en 8 bits, en 4 bits ...
Une adresse IPv6 supporte obligatoirement le routage sans classe (CIDR) : elle est donc toujours accompagne de son masque. Heureusement, cette notation peut tre simplifie.
Masque dadresse
Le masque IPv6 respecte uniquement la notation CIDR (Classles Inter Domain Routing). Le nombre aprs la barre oblique reprsente le masque (nombre de bits). Par exemple le /64 dans l'adresse 2001:0db8:00d6: 3000:0000:0000:6700:00a5/64 correspond aux 64 premiers bits de l'adresse qui identifie le rseau. Les 64 derniers bits restant identifie lhte dans ce rseau. 2001:0db8:00d6:3000:0000:0000:6700:00a5/64
Prfixe:Identifiant d'interface masque de 64 bits
Domaine IPv6
Toutes les interfaces dun domaine IPv6 ont le mme prfixe.
Notation d'adresse
Dans un URL on l'encadrera de crochets.
http://[2001:0db8:00d6:3000:0000:0000:6700:00a5] Mais aussi dans les URI SIP (voir http://edvina.net/sipv6/protocol/)
Le numro de rseau est reprsent par le prfixe suivi

de :: et du masque 2001:0db8:00d6:3000::/64
NB : Lusage de la premire adresse et de la dernire a disparu (IPv4)
Notation simplifie :
a. b.
On peut omettre les 0 superflus en en-tte On peut supprimer une seule fois une suite de mots conscutifs 0.
Exemple de notation IPv6 (1/2)

2001:0db8:00d6:3000:0000:0000:6700:00a5/64
devient en premire instance :

2001:0db8:00d6:3000:0000:0000:6700:00a5/64
soit,
2001:db8:d6:3000:0:0:6700:a5/64
devient en seconde instance :

2001:db8:d6:3000:0:0:6700:a5/64
soit,
2001:db8:d6:3000::6700:a5/64
Exemple de notation IPv6 (2/2)

2001:06f8:0000:0000:1000:0000:0000:0001/64 devient en premire instance : 2001:06f8:0000:0000:1000:0000:0000:0001/64
soit,
2001:6f8:0:0:1000:0:0:1/64 devient en seconde instance : 2001:6f8:0:0:1000:0:0:1/64 ou au choix, 2001:6f8:0:0:1000:0:0:1/64 soit, 2001:6f8::1000:0:0:1/64 ou, 2001:6f8:0:0:1000::1/64
Pratique des adresses IPv6 (1/2)

Une connectivit de type entreprise reoit un bloc /48, par exemple 2001:db8:1ab::/48 On divise et organise un bloc fixe /48 en 65536 rseaux /64. Les 64 premiers bits, les 3 ou 4 premiers mots sont ceux du rseau (des sous-rseaux) de l'entreprise, qui ne change jamais. Toutes les adresses Unicast doivent avoir un masque de 64 bits.
Utiliser un autre masque peut rompre le bon fonctionnement de neighbor discovery, secure neighbor discovery (SEND), privacy extensions, mobile IPv6, embedded-RP (multicast).
Pratique des adresses IPv6 (2/2)

Un service DNS dynamique combin DHCPv6 sera utile dans un LAN contrl. Les adresses des routeurs et des serveurs doivent tre fixes. La politique de filtrage du trafic et de scurit est un enjeu dans un dploiement d'IPv6. Le dual-stack est toujours la mthode de transition prfre.
Conclusion
Un fonctionnement similaire IPv4 (prfixe/htes). Un changement culturel : On manipule au maximum 16 bits en hexas c'est mieux que 32 bits en binaire On peut dpenser des adresses tant qu'on veut On n'en manquera plus On utilise les masques de manire extensive (fixe maximum /64 sur les rseaux) Il ne faut plus manipuler des masques restrictifs et illisibles Un changement inluctable : Il n'y a pas de goffinet@goffinet, protocole alternatif qui autorise la Protocole IPv6, CC-BY
5. Type d'adresses IPv6

Modes de livraison
Unicast : destination d'une seule interface Broadcast : destination de toutes les interfaces Multicast : destination d'un ensemble (un groupe) d'interfaces Anycast : linterface la plus proche (DNS p. ex.)
Comment les commutateurs LAN traitent-ils le trafic multicast ? Quen est-il au coeur du rseau Internet ?
Prfixes IPv6 allous

L'espace IPv6 allouer est norme. C'est un masque qui dfinit l'tendue des rseaux. Des plages (prfixes) ont donc t rserves pour un usage spcifique.
Des plages pour l'adressage Unicast :

Link Local : fe80::/10 (obligatoire) Global : 2000::/3 Unique Local : fc00::/7 Des plages pour l'adressage Multicast : par exemple, l'adresse ff02::2 identifie tous les routeurs sur le lien
local
par exemple, un client DHCPv6 envoit un Solicit venant de [fe80:: aabb:ccff:fedd:eeff]:546 destination de [ff02::1:2]:547
Types d'adresses IPv6
Link-Local, porte locale

uniquement, non rout, obligatoire sur chaque interface en FE80::/64. Configur automatiquement par dfaut. Unique Local Unicast, uniquement pour un usage priv, toutefois cens tre unique (RFC4193) Global Unicast, adresses routables sur l'Internet. Multicast, porte variable et convenue
Identifiant d'interface
Une adresse IPv6 est constitue d'un prfixe de 64 bits et d'un identifiant d'interface de 64 bits : Un identifiant d'interface peut tre cr de diffrentes manires :
1. statiquement : 2001:6f8:14d6:1::1/64, 2001:6f8:14d6:1::254/64, 2. par autoconfiguration (SLAAC) en utilisant l'une de ces trois mthodes : a. MAC EUI-64, par dfaut (RFC 4862) b. tirage pseudo alatoire, par dfaut chez Microsoft (RFC 4941) c. CGA, peu implment (RFC 3972) 3. dynamiquement : DHCPv6 (RFC 3315)
MAC EUI-64
MAC EUI-64 est une est des mthodes de configuration automatique des ID d'interface bas sur l'adresse MAC IEEE 802 (48 bits).
Adressage Link-Local
L'adressage Link-Local (Unicast) se reconnat par :

un prfixe FE80::/10 un identifiant d'interface de 64 bits autognr (MAC-EUI64 ou alatoire) ou fix (Cisco) est obligatoire sur toutes les interfaces quand IPv6 est activ
Ces destinations ne sont jamais transfres par les

routeurs. Ces adresses sont utiliss dans le trafic de gestion comme ND, RA, les protocoles de routage.
Un adressage lien local automatique

Mme si une adresse globale est dj configure, chaque interface est automatiquement dote dune adresse Link-Local ayant pour prfixe FE80::/64 et ayant construit son identifiant dinterface (SLAAC) :
de manire altoire, par dfaut sur les machines

Microsoft
avec la mthode MAC-EUI 64, par dfaut (Unix, Linux)

Un mcanisme dtection dadresse duplique (DAD) utilise des messages ICMPv6 pour effectuer cette vrification ainsi que des messages de vrification de disponiblit (NUD)
Adressage Link-Local Cisco IOS

IPv6 est dsactiv par dfaut sous Cisco IOS :
(config-if)#ipv6 enable
Une adresse Link-Local est alors automatiquement autoconfigure. On peut la dfinir statiquement :
(config-if)#ipv6 add fe80::1 link-local
Adressage global
Lespace dIPv6 qui est allou lInternet global est le bloc 2000::/3, soit un espace de 125 bits.
Si on considre que les 64 derniers identifient les interfaces et que 16 bits sont rservs aux sous-rseaux, il reste 45 bits pour lallocation globale contre les 32 bits thoriques dIPv4.
| 3 | 45 bits | 16 bits | 64 bits | +---+---------------------+-----------+----------------------------+ |001|global routing prefix| subnet ID | interface ID | +---+---------------------+-----------+----------------------------+
La dernire adresse de cette plage publique est 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF: FFFF

Adressage global sous Cisco IOS

Pour adresser en auto-configuration
(config-if)# ipv6 address autoconfig
Pour adresser statiquement :

(config-if)# ipv6 address 2001:470:CBF7:200::1/64
Multicast gnralis
Lusage du multicast se gnralise. Les adresses Multicast bien connues : FF02::1 All nodes on the local network segment FF02::2 All routers on the local network segment FF02::1:2 All DHCP servers and relay agents on the local network segment Solicited-Node Multicast Le 4me hexa indique ltendue et l'identifiant d'interface indique le type de noeud joindre. Le multicast intervient en lieu et place du broadcast dans le trafic de contrle (voisinage, configuration IP, etc.).
Commandes IPv6 gnrales (1/2)

OS Display IPv6 routing table
Mac OS X netstat -rnf inet6 ping6 traceroute6
ping6
traceroute6
Linux FreeBSD Windows
netstat -rnA inet6 netstat -rnf inet6 netstat -rn or netsh interface ipv6 show routes
ping6 ping6 ping -6
traceroute6 traceroute6 tracert -6
Vyata
show ipv6 route
ping6
traceroute6
Commandes IPv6 gnrales 2/2

OS Display IPv6 Addresses
Mac OS X ifconfig -a inet6
Display IPv6 connections

netstat -f inet6
Flush DNS cache
dscacheutil -flushcache
Linux
ip -6 address show
netstat -A inet6 / netstat --inet6
/etc/rc.d/init.d/nscd restart
FreeBSD Windows
ifconfig -a inet6 ipconfig
netstat -f inet6 netstat -p IPv6
/etc/rc.d/named restart ipconfig /flushdns
6. Dcouverte de voisins et adresse automatique

ICMPv6 et IPv6
IPv6 et ICMPv6 sont inter-dpendants. Leur fonctionnement permet leur autonomie en communication locale, sans tat, et une communication indpendante de la nature de l'infrastructure. IPv6 est support par un grand nombre de technologies de couche 2.
ICMPv6
ICMPv6 est un nouveau protocole formalis par le RFC 4443. Messages derreur : Destination non atteignable, Paquet trop gros, Time out, et Problmes de paramtrage. Messages informatifs : messages de diagnostic, messages pour la gestion des groupes multicast, et messages de dcouverte de voisinage ND (RFC 4861) et SEND (RFC 3971).
ICMP devient crucial

En IPv6, ICMPv6 devient une composante
obligatoire.
Neighbor Discovery est un sous-protocole IPv6 (types 133 137). Il remplit notamment les fonctions de rsolutions d adresses (ARP) qui sont dsormais appeles fonction de dcouverte de voisins. On ne parle plus de table arp mais de table de voisinage. Les routeurs configurent automatiquement ladressage global par des Router Advertisment autonomes ou sollicits par des Router Solicitation (Messages ND type 133/134). Les routeurs ne fragmentant plus le trafic, cette fonction est laisse obligatoirement au htes. Ils utilisent des paquets ICMPv6 Packet Too Big (Type 2). goffinet@goffinet, Protocole IPv6, CC-BY
Dcouverte et maintien de voisinage IPv6

De nouveaux messages ICMPv6 embarquent des fonctions de dcouverte de voisinage :
1. Neighbor Solicitation, NS : en Solicited-Node Multicast ou en Unicast en destination 2. Neighbor Advertisment, NA : en Unicast ou All-nodes Multicast (FF02::1) en destination
Ce trafic utilise l'adressage Link-local, mais aussi Global en IP source. Il utilise des adresses Multicast et Unicast en destination. Les noeuds IPv6 maintiennent des tables de voisinage l'instar de la table ARP en IPv4 grce de nouveaux mcanismes comme DAD et NUD ...
Rsolution dadresse
Dcouverte de voisin sollicite
Adresse Solicited-Node Multicast

Une adresse Solicited-Node Multicast est jointe en destination dans message NS de dcouverte de voisin. Cette adresse est construite : en prenant les 24 dernier bits de l'adresse
IPv
connue (unicast)
et en lui ajoutant le prfixe ff02:0:0:0:0:1:ff00::/104 Par exemple
fc00::1/64 sera joint par ff02::1:ff00:1. fe80::2aa:ff:fe28:9c5a sera joint par ff02::1:ff28:9c5a.
Un hte doit joindre une adresse Solicited-Node multicast pour chaque adresses unicast ou anycast configure. Ce mcanisme remplace le broadcast.
L'autoconfiguration sans tat (SLAAC)

Lautoconfiguration sans tat est formalise dans le RFC 4862.
Autoconfiguration
1. 2. Toute interface active en IPv6 gnre une adresse Lien Local. Si un routeur est activ en IPv6, l'interface se configure automatiquement avec une adresse globale (publique) supplmentaire gnre par EUI-64 ou avec deux adresses globales prives (alatoires) dont lune temporaire. L'interface vrifie chaque adresse automatique avant de l'utiliser (DAD) et vrifie rgulirement l'existence de ses voisins (NUD).
3.
Sans tat
1. 2. 3. 4. pas de maintien de relations (non fiable, non orient-connexion). La charge est place sur les noeuds Mode crdule Importance du filtrage L2/L3
DAD
DAD (Duplicate Address Detection) est un mcanisme qui permet vrifier l unicit dune adresse autoconfigure sur un rseau. Dans cette procdure, le noeud IPv6 va envoyer un NS destination de l adresse solicited-node muticast correspondant son adresse de tentative. L adresse source est non spcifie, videment (::/128) En cas de rponse (NA), ladresse est nest pas unique. Dans cet exemple, une interface Windows qui dmarre gnre trois NS. Veuillez examiner :
No 1 2 3
Ladresse IP source Ladresse IP destination Ladresse IP contenue dans la charge Pourquoi trois paquets dans ce cas
Source :: :: :: Destination ff02::1:ff7e:4a1e ff02::1:ff7e:4a1e ff02::1:ff0c:66ce Protocol ICMPv6 ICMPv6 ICMPv6 Info NS for fe80::1816:c126:507e:4a1e NS for 2001:470:cbf7:1ab:1816:c126:507e:4a1e NS for 2001:470:cbf7:1ab:83c:9e7e:2f0c:66ce
NUD
NUD (Neighbor Unreachability Detection) est un algorithme dfinit dans le RFC2461 qui met en jeux des changes NS/NA et leur dlai. Il dfinit 5 tats du cache de voisinage. Incomplete : la rsolution dadresse est en train de se drouler. Un NS vers une adresse solicited-node multicast est envoy mais le NA de retour correspondant nest toujours pas arriv. Reachable : Une confirmation positive a t reue. Lhte de destination est joignable dans le dlai ReachableTime milliseconds. Stale : Lhte de destination nest pas joignable dans le dlai ReachableTime milliseconds. Entre dans cet tat lors dun message NA non sollicit. Delay et Probe.
Dure de vie des adresses

Les adresses IPv6 associes une interface ont une dure de vie dtermine. La dure de vie est en gnral infinie, mais on peut configurer : 1. une dure de vie prfre 2. et une dure de vie de validit. Ces dures de vie sont configures dans les routeurs qui fournissent les prfixes pour la configuration automatique. En combinaison avec un changement DNS correspondant, ces dures de vie permettent une transition progressive vers une nouvelle adresse IPv6 (appartenant un nouveau fournisseur de service par exemple) sans interruption de service. Quand la dure d'utilisation d'une adresse dpasse la dure prfre, elle n'est plus utilise pour les nouvelles connexions. Quand sa priode de validit est atteinte, elle est supprime de la configuration de l'interface.
Dprciation dune adresse

En effet, une interface pourrait recevoir du trafic entre sa dure prfre et son invalidit.
Conclusion
IPv4
32 bits NAT44 Adressage priv Adressage publique APIPA ARP /
IPv6
128 bits NAT64 ? ULA UGA Adressage lienlocal ND (ICMPv6) SLAAC
Similitude IPv4
Le principe de base fonctionnelle fonctionnelle fonctionnelle purement d'apparence fonctionnelle Importance renforce du filtrage L2/L3 /
Diffrence IPv6
Une diffrence culturelle NAT 66 ou NAT46 innopportun Vraiment priv Objectif : la popularit usage obligatoire protocolaire Nouveaut technologique obligatoire sur tous les noeuds : Plug-and-Play Performance Obligatoire
Broadcast
Multicast
Commandes ND
OS Display neighbor cache Delete one entry
FreeBSD IOS JunOS Linux Mac OS X Vyatta Windows ndp -a show ipv6 neighbors show ipv6 neighbors ip -6 neigh show ndp -a show ipv6 neighbors netsh interface ipv6 show neighbors ndp -d ndp -d ndp -c clear ipv6 neighbors clear ipv6 neighbors ip -6 neigh flush ndp -c clear ipv6 neighbors netsh interface ipv6 delete neighbors
Flush neighbor cache
Dsactiver les extensions Privacy

netsh interface ipv6 show privacy ... netsh interface ipv6 set global randomizeidentifiers=disabled store=active netsh interface ipv6 set global randomizeidentifiers=disabled store=persistent netsh interface ipv6 set privacy state=disabled store=active netsh interface ipv6 set privacy state=disabled store=persistent
Disabling RFC 4941 IPv6 Privacy Extensions in Windows

7. Plan dadressage IPv6

http://www.scoop.it/t/ipv6-training/?tag=addressing Franois-Emmanuel Goffinet Formateur IT 2013Q4
Plan d'adressage Simple

On vous livre un bloc fdd4:478f:0611::/48 On peut conformer les adressages IPv4 privs, par exemple : 172.16.1.0/24 => fdd4:478f:0611:1::/64, 172.16.255.0/24 => fdd4:478f:0611:255:: /64, ... On peut utiliser un dcoupage plat, la vole : fdd4:478f:0611:0::/64, fdd4:478f:0611:1::/64, fdd4:478f:0611:2::/64, fdd4:478f:0611:3::/64, ...
Plan d'adressage 2 ou 4 niveaux gaux

On vous livre un bloc fdd4:478f:0611::/48 Il reste 16 bits de libres, soit 4 hexas pour plusieurs stratgies hirarchiques avec des niveaux gographiques, organisationnels, fonctionnels : Stratgie A : en deux niveaux gaux : Niveau 1 : 256 rseaux (8 bits)/56 Niveau 2 : 256 rseaux (8 bits)/64 Stratgie B : en quatre niveaux gaux : Niveau 1 : 16 rseaux (4 bits) /52 Niveau 2 : 16 rseaux (4 bits) /56 Niveau 3 : 16 rseaux (4 bits) /60 Niveau 4 : 16 rseaux (4 bits) /64
Stratgie A en deux niveaux gaux
Plan dadressage en niveaux ingaux

On vous livre un bloc fdd4:478f:0611::/48 Vous disposez de 8 btiments disposant de maximum 8 tages avec plusieurs dizaines de VLANs (/64) par tage. 4 bits pour les btiments :
Btiment 1 : 0x0000 - 0x0FFF/52 Etage 1 : 0x0000 - 0x00FF/56 Etage 2 : 0x0100 - 0x01FF/56 Etage 3 : 0x0200 - 0x02FF/56 Btiment 2 : 0x1000 - 0x1FFF/54 Etage 1 : 0x1000 - 0x10FF/56 Etage 2 : 0x1100 - 0x11FF/56 Etage 3 : 0x1200 - 0x12FF/56 ...
Plan d'adressage complexe

en trois niveaux : Niveau 1 : 64 (6 bits)/54 Niveau 2 : 64 (6 bits)/60 Niveau 3 : 16 (4 bits)/64 en .... niveaux gaux : Niveau 1 : 256 (8 bits) /52 Niveau 2 : 16 (4 bits) /56 Niveau 3 : 16 (4 bits) /60 On trouvera un exemple de plan d'adressage dans le document IPv6 Subnetting - Overview and Case Study
Labs 7
Exemple en ULA avec le bloc fdd4:478f:0611::/48 Exemple en UGA avec 2001:6f8:14d6::/48
Hirarchie plusieurs niveaux : Plusieurs LAN et DMZ Ville, Btiments, niveau/service

8. Routage IPv6
Configuration IPv6
Interface WAN IPv6 Interface LAN IPv6 Routage IPv6
Interface WAN IPv6

interface FastEthernet0/1 ipv6 enable do sh ipv6 int brie ! ipv6 address FE80::X00 link-local do sh ipv6 int brie ! ipv6 address autoconfig do sh ipv6 int brie
Interface LAN IPv6

interface FastEthernet0/0 ipv6 enable ipv6 address 2001:470:7B6D:200::1/64 ipv6 address FE80::1 link-local
Routage IPv6
(config)#ipv6 unicast-routing (config)# ipv6 route ::/0 FastEthernet0/1 FE80::1
Table de routage IPv6

#show ipv6 route IPv6 Routing Table - default - 10 entries Codes: C - Connected, L - Local, S - Static,NDp - ND Prefix S ::/0 [1/0] via FE80::1, FastEthernet0/1 NDp 2001:470:7B6D:1AB::/64 [2/0] via FastEthernet0/1, directly connected L 2001:470:7B6D:1AB::200/128 [0/0] via FastEthernet0/1, receive C 2001:470:7B6D:200::/64 [0/0] via FastEthernet0/0, directly connected L 2001:470:7B6D:200::1/128 [0/0] via FastEthernet0/0, receive
2001:470:7B6D:201::/64 [0/0]
via Loopback0, directly connected L C 2001:470:7B6D:201::1/128 [0/0] via Loopback0, receive 2001:470:7B6D:2FF::/64 [0/0] via Loopback1, directly connected L L 2001:470:7B6D:2FF::1/128 [0/0] via Loopback1, receive FF00::/8 [0/0] via Null0, receive
Vrification du routage
#ping Protocol [ip]: ipv6 Target IPv6 address: www.google.com Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands? [no]: y Source address or interface: fastethernet0/0 UDP protocol? [no]: Verbose? [no]: Precedence [0]: DSCP [0]: Include hop by hop option? [no]: Include destination option? [no]: Sweep range of sizes? [no]: Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2A00:1450:4007:803::1014, timeout is 2 seconds: Packet sent with a source address of !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 136/276/408 ms 2001:470:7B6D:200::1
Adresse IPv6 (1/2)

#show ipv6 interface f0/0 FastEthernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::C802:CFF:FE9D:8 No Virtual link-local address(es): Global unicast address(es): 2001:470:CBF7:200::1, subnet is 2001:470:7B6D:200::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 FF02::1:FF9D:8 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND RAs are suppressed (periodic) Hosts use stateless autoconfig for addresses.
Adresses IPv6
#sh ipv6 interface f0/0 FastEthernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::1 No Virtual link-local address(es): Global unicast address(es): 2001:470:CBF7:200::1, subnet is 2001:470:7B6D:200::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:1 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 30000) ND RAs are suppressed (periodic) Hosts use stateless autoconfig for addresses.
Routage OSPFv3
Routage inter-lan ? Configuration du routage global en spcifiant manuellement le router-id en format 32 bits dcimal point. (config)# router ospfv3 1 (config-router)# router-id 10.1.1.1 Ce nest pas sans consquences sur llection DR/BDR. Activation partir des interfaces (config)# interface fa0/1 (config-if)# ipv6 ospf 1 area 0 Diagnostic show ipv6 ospf show ipv6 ospf interface show ipv6 ospf neighbor
9. Gestion dadresses IPv6 (IPAM)

http://www.scoop.it/t/ipv6-training/?tag=IPAM
Questions techniques
La gestion dadresses IPv6 posent plusieurs questions techniques :
Comment distribuer un prfixe global ? Comment distribuer des options telles que le rsolveur DNS IPv6 ? Quand et comment utiliser ladressage Unique Local priv ? Identifier le trafic de gestion et profiter du multicast ? IPv6 pour renumrer de sites ?
Topologies et constructeurs
Les solutions de gestion dadressage IPv6 se dploient selon les profils et les toplogies :
SME/PME, SOHO ou accs public Entreprise mono-site Entreprise Multi-site, core, data-center, branch office Core Internet, FAI, Gros fournisseurs de services Cisco, Microsoft, VMWare, Les services Cloud
Et selon les constructeurs choisis :
DNS IPv6
DNS est un service accessoire au sens protocolaire (IP
fonctionne sans DNS). Dans la pratique il est presque devenu indispensable. Contrairement DHCPv6, le fonctionnement de DNS en IPv6 a subi moins d'impacts. Un nouveau type de champs quad-A, AAAA :
www.ipv6.ripe.net. IN AAAA 2001:610:240:22::c100:68b
qui permet un serveur IPv4, IPv6 ou IPv4/IPv6 de rpondre des requtes AAAA.
Dans une topologie Dual Stack, le systme

d'exploitation ou l'application pourra avoir une prfrence pour IPv6. goffinet@goffinet, Protocole IPv6, CC-BY
4 mthodes de configuration IPv6

Pour une discussion sur les mthodes de configuration DNS, voir RFC 4339, IPv6 Host Configuration of DNS Server Information Approaches, J. Jeong (February 2006) Pour les avantages et les inconvnients des diffrentes mthodes : http://blog. geoff.co.uk/2011/08/02/ipv6-automated-network-configuration/ Ces quatre mthode peuvent se combiner et servir la gestion de ladressage IPv6 ainsi qu la renumrotation IPv6.
N 1 2 3 4 Configuration Configuration statique Stateless Automatic Autoconfiguration (SLAAC) DHCPv6 (Stateful) DHCPv6 Stateless
M 0 0 1 0
O 0 0 1 1
Router Advertisments
Type 134, code 0 Flags M, O, Prf Options MTU et prfixe Source Address MUST be the link-local address assigned to the interface from which this message is sent. Destination Address is Typically the Source Address of an invoking Router Solicitation or the allnodes multicast address.
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Cur Hop Limit |M|O|H|Prf|Resvd| Router Lifetime | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Reachable Time | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Retrans Timer | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options ... +-+-+-+-+-+-+-+-+-+-+-+RFC491 mj Neighbor Discovery [RFC4861] Section 4.2 et [RFC6275] Section 7.1
RA Flags
Champs O et M :
SLAAC AdvAutonomous Managed Configuration Address AdvManagedFlag Autre Configuration AdvOtherConfigFlag Scnario
1 SLAAC
0 0 1
0 1 1
Assignation : sans tat Passerelle : sans tat DNS : RDNSS ou autre Assignation : sans tat Passerelle : sans tat DNS : DHCPv6 Assignation : DHCPv6 Passerelle : sans tat DNS : DHCPv6
2. Stateless DHCPv6 3 Statefull DHCPv6
Le champs Prf donne une prfrence au routeur code sur 2 bits : 01(High), 00 (Medium par default), 11 (Low).
L'autoconfiguration sans tat (SLAAC)

Mthode obligatoire dans un environnement rout. Le routeur (RAs) donne toute une srie de paramtres : prfixe, mtu, prfrence, passerelle (Flags RA M=0
O=0)
et autres tels que les serveurs DNS, SIP, NTP, etc.

(Flags RA M=0 et O=1)
L'interface construit elle-mme son identifiant d'interface selon diffrentes mthodes.

Fonctionnement de SLAAC
1. Toute interface active en IPv6 gnre une adresse Lien Local avec le prfixe FE80::/10 suivi d'un identifiant d'interface. 2. Elle vrifie l'existence de l'adresse gnre via un mcanisme appel DAD. 3. Sans rponse, elle peut utiliser cette adresse sur le lien local. 4. Elle sollicite un routeur en multicast . 5. S'il est prsent sur le rseau, le routeur IPv6 rpond avec des paramtres de configuration globale. 6. L'interface labore son adresse globale selon ce qu'indique le routeur. Elle installe sa passerelle par dfaut. 7. Rgulirement, l'interface va vrifier l'existence des noeuds voisins appris par processus ND (NUD).
SLAAC
Le processus SLAAC peut tre examin ici.
DHCPv6
DHCPv6 est un nouveau protocole. Il utilise le port UDP numro 546 sur les clients et le port UDP numro 547 sur les serveurs. Le serveur assigne le prfixe et l'identifiant d'interface et des paramtres optionnels (DHCPv6 Stateful) : RFC 3315 Le serveur assigne seulement des paramtres optionnels (DHCPv6 Stateless) : Le serveur dlgue lassignation dun prfixe (DHCPv6 Prefix Delegation) : RFC 3633
DHCPv6 et RA
Dans tous les cas c'est le routeur qui prend en charge le trafic vers l'internet, automatiquement grce aux annonces de passerelle contenues dans les RA. Les Flags Managed et Other sont grs partir du routeur. Inutile de chercher le paramtre de la passerelle par dfaut dans rles DHCPv6 de Windows Server ou Bind9. Cisco Sytems, GNU Linux/BSD, Microsoft supportent bien ces services.
DHCPv6 Stateless
Un serveur stateless DHCPv6 :
utilise des messages Information-request/Reply ne fournit que des informations optionnelles : serveur DNS, NTP, SIP, etc. ne donne aucune adresse, elles sont gnres par SLAAC ne maintient aucun tat dynamique des clients individuels
Les RA flags sont nots M=0 et O=1
Option DNS DHCPv6

Sur le routeur Cisco 0xX00 : ipv6 dhcp pool IPv6_Option_pool dns-server 2001:470:20::2 ! interface fastethernet0/0 ipv6 nd other-config-flag ipv6 dhcp server IPv6_Option_pool rapidcommit
DHCPv6 Stateful
Le serveur assigne le prfixe et l'identifiant d'interface, plus des paramtres optionnels (Flags RA M=1 et O=1) Ce mode est appel DHCPv6 Stateful. Il est similaire ce que peut utilement fournir DHCP IPv4 sur un rseau administr. Maintient une base de donnes des liens. En quatre ou deux messages (rapid commit: Solicit/Reply)
Par exemple, en admettant que l'adresse lien-local du serveur est fe80::0011:22ff:fe33:5566/64 et que l'adresse lien-local du client est fe80::aabb:ccff:fedd:eeff/64, 1. le client DHCPv6 envoie un Solicit de [fe80:: aabb:ccff:fedd:eeff]:546 [ff02::1:2]:547. 2. le serveur DHCPv6 rpond avec un Advertise (annonce) de [fe80::0011:22ff:fe33: 5566]:547 [fe80::aabb:ccff:fedd:eeff]:546.
3. le client DHCPv6 rpond avec un Request de [fe80::aabb:ccff:fedd:eeff]:546 [ff02::1:2]: 547.
4. le serveur DHCPv6 termine avec un Reply de [fe80::0011:22ff:fe33:5566]:547 [fe80:: aabb:ccff:fedd:eeff]:546.
DUID (DHCPv6 Unique Identifier)

Selon la section 9 du RFC3315, les serveurs DHCP utilisent les DUIDs pour identifier les clients pour la slection de paramtres et dans la slection de son IA. Un IA (Identity Association) est une collection dadresses assigns au client. Le DUID doit tre unique dans lenvironnement et il est cr par le client. Parce que certains priphriques ne peuvent pas garder en mmoire cette information, il y a trois moyens de gnrer un DUID : Ladresse de couche 2 + horodatage Vendor-assigned unique ID bas sur un Enterprise Number Ladresse de couche 2
DHCPv6 MS-Windows
Adressez la machine, suivez le guide en DHCPv6 Stateful, adaptez les RA, activez lAD, crez un compte, enregistrez la machine
DHCPv6 Stateful Cisco

ipv6 dhcp pool test address prefix 2010:AA01:10::/64 lifetime infinite infinite dns-server AAAA:BBBB:10FE:100::15 dns-server 2010:AA01::15 domain-name example.com ! interface F0/0 no ip address duplex auto speed auto ipv6 address 2010:AA01:10::2/64 ipv6 dhcp server test rapid-commit ipv6 nd other-config-flag ipv6 nd managed-config-flag
Mthodes de transition
Leon 14
15. Mthodes de transition

http://www.scoop.it/t/ipv6-training/?tag=transition Franois-Emmanuel Goffinet Formateur IT 2013Q4
Mthodes de transition
La transition est train de se raliser du coeur du rseau des oprateurs jusqu'au client final. Cette transition pourrait prendre 5 10 ans. La disponibilit de la connectivit IPv6 dpend du moment de son dploiement global. Le RFC 4213 dcrit trois mthodes de transition.
Dual Stack, double pile IPv4/IPv6, de loin la prfre, la plus probable moyen terme. Tunnels : solution de transition pour transporter de l'IPv6 sur de l'IPv4 et, terme, de transporter de l'IPv4 dans de l'IPv6 (plusieurs protocoles pour plusieurs scnarios), pourraient probablement se gnraliser court terme. Traduction, mcanismes peu recommands en local. Plutt exploit chez les ISP pour connecter IPv6 IPv4 ou les GE. Exemple : NAT64/DNS64
Tunnels
Scnarios Tunnel Broker utilisant les protocoles 6in4,
TSP, ayiya : http://www.tunnelbroker.net/ http://www.sixxs.net/ http://www.gogo6.com/freenet6
Scnarios FAI rels utilisant GRE (priv), DS-Lite ou

6rd (Free) Le tunnel reste toutefois une solution de transition intermdiaire, de phase de test. On attend les offres IPv6 natives ou Dual/Stack.
Une prsentation de ces technologies est discute sur http://dougvitale. wordpress.com/2013/03/28/ipv6-how-and-why-it-enables-internetevolution/#transition et sur http://www.goffinet.eu/choisir-une-fournisseur-degoffinet@goffinet, Protocole IPv6, CC-BY
NAT64/DNS64
Cisco propose du NAT64, Bind du DNS64 ...
http://upload.wikimedia.org/wikipedia/commons/thumb/0/05/NAT64.svg/2000px-NAT64.svg.png goffinet@goffinet, Protocole IPv6, CC-BY
Dploiement : prparation
Rpondre aux besoins d'une infrastructure IPv6 (cf. Point 4 RFC 4057) en :
1. 2. 3. 4. 5. 6. 7. Plannification de l'adressage Service de rsolution de nom DNS Service de routage Configuration des htes Politiques de scurit Configuration des applications Network Management
On prtera une attention particulire au comportement des routeurs CPE et au support des diffrents OS. Pour le dploiement en entreprise, on peut sinspirer de http:
//tools.ietf.org/html/draft-ietf-v6ops-enterprise-incremental-ipv6-01
Dploiement : audit
3. Preparation and Assessment Phase . . . . . . . . . . . . . . . 6 3.1. Inventory Phase . . . . . . . . . . . . . . . . . . . . . 6 3.1.1. Network infrastructure readiness assessment . . . . . 6 3.1.2. Applications readiness assessment . . . . . . . . . . 7 3.1.3. Importance of readiness validation and testing . . . . 7 3.2. Training . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.3. Routing . . . . . . . . . . . . . . . . . . . . . . . . . 8 3.4. Security Policy . . . . . . . . . . . . . . . . . . . . . 8 3.4.1. Demystifying some IPv6 Security Myths . . . . . . . . 8 3.4.2. Similarities between IPv6 and IPv4 security . . . . . 9 3.4.3. Specific Security Issues for IPv6 . . . . . . . . . . 10 3.5. Address Plan . . . . . . . . . . . . . . . . . . . . . . . 11 3.6. Program Planning . . . . . . . . . . . . . . . . . . . . . 12 3.7. Tools Assessment . . . . . . . . . . . . . . . . . . . . . 13
Dploiement : interne v. externe

4. External Phase . . . . . . . . . . . . . . . . . . . . . . . . 15 4.1. Connectivity . . . . . . . . . . . . . . . . . . . . . . . 15 4.2. Security . . . . . . . . . . . . . . . . . . . . . . . . . 16 4.3. Monitoring . . . . . . . . . . . . . . . . . . . . . . . . 17 4.4. Servers and Applications . . . . . . . . . . . . . . . . . 17 5. Internal Phase . . . . . . . . . . . . . . . . . . . . . . . . 17 5.1. Network Infrastructure . . . . . . . . . . . . . . . . . . 17 5.2. End user devices . . . . . . . . . . . . . . . . . . . . . 19 5.3. Corporate Systems . . . . . . . . . . . . . . . . . . . . 20 5.4. Security . . . . . . . . . . . . . . . . . . . . . . . . . 20
Dploiement : spcifits
6. Other Phases . . . . . . . . . . . . . . . . . . . . . . . . . 20 6.1. Guest network . . . . . . . . . . . . . . . . . . . . . . 21 6.2. IPv6-only . . . . . . . . . . . . . . . . . . . . . . . . 21 7. Considerations For Specific Enterprises . . . . . . . . . . . 22 7.1. Content Delivery Networks . . . . . . . . . . . . . . . . 22 7.2. Data Center Virtualization . . . . . . . . . . . . . . . . 22 7.3. Campus Networks . . . . . . . . . . . . . . . . . . . . . 22
Droits
ICND1 IPv6 Synthtique de goffinet@goffinet.eu est mis disposition selon les termes de la licence Creative Commons Attribution 4.0 International.

ICND1 0x0a IPv6 Synthétique

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

ICND1 0x0a IPv6 Synthétique

Încărcat de

Drepturi de autor:

Formate disponibile

ICND1 IPv6 Synthtique

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

Terminologie protocolaire IPv6

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

En-ttes IPv4 et IPv6

goffinet@goffinet, Protocole IPv6, CC-BY

En-tte de base et en-tte d'extensions

Champs IPv6 "Next Header" et enttes d'extension

goffinet@goffinet, Protocole IPv6, CC-BY

4. Reprsentation des adresses IPv6

goffinet@goffinet, Protocole IPv6, CC-BY

Espace presque infini

Reprsentation des adresses IPv6

goffinet@goffinet, Protocole IPv6, CC-BY

Le numro de rseau est reprsent par le prfixe suivi

goffinet@goffinet, Protocole IPv6, CC-BY

Exemple de notation IPv6 (1/2)

devient en premire instance :

devient en seconde instance :

Exemple de notation IPv6 (2/2)

Pratique des adresses IPv6 (1/2)

goffinet@goffinet, Protocole IPv6, CC-BY

Pratique des adresses IPv6 (2/2)

goffinet@goffinet, Protocole IPv6, CC-BY

5. Type d'adresses IPv6

goffinet@goffinet, Protocole IPv6, CC-BY

Prfixes IPv6 allous

Des plages pour l'adressage Unicast :

Types d'adresses IPv6

Link-Local, porte locale

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

goffinet@goffinet, Protocole IPv6, CC-BY

Ces destinations ne sont jamais transfres par les

goffinet@goffinet, Protocole IPv6, CC-BY

Un adressage lien local automatique

de manire altoire, par dfaut sur les machines

avec la mthode MAC-EUI 64, par dfaut (Unix, Linux)

Adressage Link-Local Cisco IOS

goffinet@goffinet, Protocole IPv6, CC-BY

La dernire adresse de cette plage publique est 3FFF:FFFF:FFFF:FFFF:FFFF:FFFF:FFFF: FFFF

Adressage global sous Cisco IOS

Pour adresser statiquement :

goffinet@goffinet, Protocole IPv6, CC-BY

Commandes IPv6 gnrales (1/2)

Linux FreeBSD Windows

ping6 ping6 ping -6

traceroute6 traceroute6 tracert -6

show ipv6 route

goffinet@goffinet, Protocole IPv6, CC-BY

Commandes IPv6 gnrales 2/2

Display IPv6 connections

Flush DNS cache

netstat -A inet6 / netstat --inet6

ifconfig -a inet6 ipconfig

netstat -f inet6 netstat -p IPv6

/etc/rc.d/named restart ipconfig /flushdns