of 23/23
Intervenant l mentions légales. IPv6 Gaël BEAUQUIN 19 septembre 2013

IPv6 - mi.cnrs-orleans.frmi.cnrs-orleans.fr/MI/Journee_informaticiens/20130916/3-Gael... · - DHCPv6 statefull (adresse IP + DNS) ou stateless (juste DNS) ... ACL v6 - Important de

  • View
    217

  • Download
    0

Embed Size (px)

Text of IPv6 - mi.cnrs-orleans.frmi.cnrs-orleans.fr/MI/Journee_informaticiens/20130916/3-Gael... · -...

  • Intervenant l mentions lgales.

    IPv6

    Gal BEAUQUIN

    19 septembre 2013

  • Intervenant l mentions lgales.

    P. 01

    Gal Beauquin DSI/CNRS

    - Depuis des annes on voque le spectre de lpuisement

    dadresses IPv4

    - Le 3 fvrier 2011, lIANA attribue un ultime /8 au RIPE NCC

    - Le 14 septembre 2012, le RIPE NCC a puis toutes les autres

    adresses, et attaque le dernier /8

    - Chaque LIR peut seulement prtendre un /22 sur ce bloc

    Pourquoi passer IPv6 ?

  • Intervenant l mentions lgales.

    P. 02

    Gal Beauquin DSI/CNRS

    - Fondamentalement similaire IPv4

    - Nouvel en-tte

    - Adressage tendu sur 128 bits

    - NDP remplace ARP

    - Autoconfiguration sans tat

    - Fonctionnalits intgres : IPSec, Mobilit

    IPv6 en quelques mots

  • Intervenant l mentions lgales.

    P. 03

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 04

    Les options IPv6

    - Dfinis par la RFC 2460

    - Les options sont chanes (chaque option indique sa taille et

    le type de la prochaine option, et en fin de chane on indique

    le protocole de niveau suprieur)

    - Par dfaut, un routeur intermdiaire ne regarde pas les

    options

    - Hop-by-Hop Option indique des options qui doivent tre

    regarde par tous les intermdiaires, Destination Option

    indique des options pour la destination finale

  • Intervenant l mentions lgales.

    P. 05

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 06

    Les autres options

    - Routing Header : permet de faire du source routing, et utilis

    pour la mobilit IPv6

    - Fragment Header : gestion des paquets fragments

    - Authentication Header et Encapsulating Security Payload

    Header : utiliss pour les fonctions IPSec

    - Mobility Header : utilis pour la mobilit IPv6

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 07

    Adressage tendu sur 128 bits

    - Rseaux touffs par NAT/PAT

    - Des adresses ne plus savoir quen faire !

    - Adresse 2001:0db8:0000:85a3:0000:0000:ac1f:8001 qui

    peut tre rduite en 2001:db8:0:85a3::ac1f:8001

    - Utilisation de [ ] pour viter dventuelles confusions :

    http://[2001:db8:0:85a3::ac1f:8001]/

    - Une machine peut obtenir toute seule une adresse publique

    - Plus de broadcast, mais de nouveaux multicasts et le

    concept danycast

    - Notion dadresses global et link-local (notion site-

    local est obsolte)

    http://[2001:db8:0:85a3::ac1f:8001]/

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 08

    Multicasts

    - Dfinis par la RFC 4291

    - Une adresse multicast commence par FF, et est suivi dun

    code qui indique la porte (FF01 indique un multicast node-

    local, FF02 indique link-local, etc)

    - FF02::1 adresse tous les htes sur le mme rseau, utilis

    par exemple pour les Router Advertisement

    - De multiples adresses sont dfinies pour le routage (all-

    routers, rip-routers, pim-routers, etc) ou trouver les adresses

    MAC des autres machines

    - Mais aussi pour des protocoles comme DHCP ou NTP

    (FF02::101 adresse tous les serveurs NTP sur le rseau)

    - Liste exhaustive : http://www.iana.org/assignments/ipv6-

    multicast-addresses/ipv6-multicast-addresses.xhtml

    http://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtmlhttp://www.iana.org/assignments/ipv6-multicast-addresses/ipv6-multicast-addresses.xhtml

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 09

    NDP et ICMPv6

    - NDP est dfini par la RFC 4861 et ICMPv6 par la RFC 4443

    - NDP remplace ARP, et fait partie de ICMPv6

    - Utilisation dun multicast solicited-node pour trouver

    ladresse MAC, au lieu du broadcast dARP

    - ICMPv6 reprend ARP et ICMP, mais galement IGMP

    - Version scurise de NDP, SEND avec des CGA

    (Cryptographically Generated Addresses), dfinie par la

    RFC 3971, peu dploye

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 10

    Autoconfiguration sans tat

    - Un poste IPv6 peut se trouver une adresse unique tout seul

    - Il obtient son adresse et celle du routeur, mais pas de DNS

    - Utilisation du DNS obtenu avec lIPv4

    - Extension RDNSS (non implment par Cisco/Juniper,

    rdnssd-win32 disponible pour Windows)

    - DHCPv6 statefull (adresse IP + DNS) ou stateless (juste

    DNS)

    - Client DHCPv6 pas forcment pratique dployer,

    ncessit de commande en ligne pour Windows, package

    installer pour Linux

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 11

    Autoconfiguration sans tat

    - Gnration dune adresse link-local (fe80:: )

    - Vrification de lunicit de ladresse : envoi dun message

    Neighbor Solicitation, rponse Neighbor Advertisement si

    adresse dj utilise

    - Solicited-Node address : une adresse multicast de la forme

    FF02::1:FFxx:xxxx, les 6 derniers digits correspondent aux 6

    derniers digits de ladresse IPv6 correspondante

    - Prise de contact avec un Routeur (coute dun message

    Router Advertisement, ou demande dun paquet RA avec un

    message Router Solicitation)

    - Avec les infos du RA (adresse, prfixe), la machine peut se

    crer sa propre adresse publique

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 12

    Cration dun identifiant EUI-64 unique

    - On prend ladresse MAC que lon coupe en 2, et on ajoute 0xFFFE

    entre les 2 parties afin de le distinguer dun EUI-64 normal

    - Le flag global dune EUI-64 est 0 pour indiquer une adresse

    unique. On linverse afin que 1 = adresse unique. Ainsi, si on doit

    crer manuellement un EUI-64, le bit devra tre 0, et on pourra

    avoir une adresse fe80::1 au lieu de fe80::0200:1

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 13

    Dcouverte du PMTU (Path Maximum Transmission Unit)

    - Recherche de la plus grande MTU possible pour atteindre

    une destination

    - IPv6 garantit un MTU de 1280 octets

    - Envoie de paquets de taille dcroissante, jusqu ne plus

    provoquer de rponses ICMPv6 packet too big

    - Recalcul du PMTU de temps en temps, ou si un

    changement de route provoque des erreurs.

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 14

    Protocoles de routage

    - La plupart des protocoles de routages ont une version IPv6 :

    RIPng, ISIS, OSPFv3, EIGRP, BGP

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 15

    Procdure de mise en place

    - Inventaire matriel / logiciel, et mise jour si besoin

    - Obtenir un prfixe

    - Etablir un plan dadressage

    - Router le prfixe en entre du rseau

    - Mise en place dACLv6

    - Activer lIPv6 sur sous-rseau de test

    - Dployer lIPv6 progressivement sur les diffrents sous-

    rseaux

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 16

    Inventaire

    - Windows XP et GNU/Linux grent IPv6 (souvent activ par

    dfaut)

    - Les principaux logiciels serveurs grent lIPv6 (Apache,

    BIND, MySQL, openLDAP, Postfix)

    - IPv6 > IPv4 si les deux sont disponibles

    - IPv6 est souvent gr par les quipements rseaux

    - Attention au support IPv6 en software (problme de

    performances en cas de charge) ou au support partiel

    (fonctionnalits IPv4 pas dispo en IPv6).

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 17

    Obtenir un prfixe et le faire router

    - Renater fournit un prfixe /48 tous les tablissement qui

    sont connects sur son rseau

    - https://services.renater.fr/connectivite/allocation_d_adresses

    - Pour demander le routage sur Renater il faudra passer par

    SAGA :

    https://services.renater.fr/connectivite/routage_d_adresses

    - A moins dtre connect directement Renater, il faudra

    galement faire router le prfixe sur les routeurs

    intermdiaires

    https://services.renater.fr/connectivite/allocation_d_adresseshttps://services.renater.fr/connectivite/routage_d_adresses

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 18

    Etablir un plan dadressage

    - Diviser votre prfixe en sous-rseaux /64

    - Reprendre vos sous-rseaux IPv4 en sous-rseaux IPv6,

    pour garder un rseau cohrent

    - Pour retrouver facilement vos sous-rseaux, utiliser un digit

    significatif de ladresse IPv4, ou lID du VLAN

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 19

    ACL v6

    - Important de faire avant de dployer effectivement IPv6

    - Si vous avez fait un plan dadressage cohrent, ce sera un

    copier-coller de vos ACLv4

    - Utilisation dun logiciel pour grer vos ACLs (type Shorewall)

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 20

    Dployer progressivement lIPv6

    - Tout dabord sur un sous-rseau de test (test de la tortue sur

    kame.net)

    - Puis pour les postes serveurs, configurer sur chaque

    machine une adresse IPv6 statique avec dclaration dans

    votre DNS de records AAAA et PTR.

    - Pour les serveurs, utiliser des noms relatifs aux fonctions au

    cas o un serveur hberge des services compatibles IPv6 et

    dautres non compatibles

    - Quand les serveurs sont oprationnels, mise en place pour

    les rseaux clients .

  • Intervenant l mentions lgales. Gal Beauquin DSI/CNRS

    P. 21

    Bote outils IPv6

    - NDPMon : Permet de suivre le traffic NDP et de faire

    remonter une alarme en cas dactivit louche

    - Ntop : Pour suivre lvolution du traffic lors de la migration

    de vos rseaux.

    - Netcat6 : Version IPv6 de netcat

    - IP6Sic : Version IPv6 de ISIC, qui permet de stress test une

    interface IPv6

    - Nessus (scan de vulnrabilits) / Nmap (scan de ports)

    supportent lIPv6 depuis longtemps

    - Shorewall6 : Gestion des ACL IPv6

  • Intervenant l mentions lgales.

    IPv6

    Gal BEAUQUIN

    19 septembre 2013