cours complet ipv6

Mukom Akong Akong T. | @perfexcellent

@AFRINICtraining Suivez nous sur Twitter

#IPv6 # !"#$%&'

EXERCICE

Donner une phras phrase e à laquelle laquell e vous associerez IPv6

EXERCICE

Ecrire une quest question ion

QUI VOUS TARAUDE sur IPv6

AGENDA

L’épuisement d’()*+ et ses implications

Les Types d’Adr. IPv6 LLA | GUA | ULA etc

1 2

Les Adresses IPv6

4

Configuration

notation, compressions

3 hôtes et routeurs

5

IPv6 vs IPv4

comparaison des fonctions clés

Neighbor Discovery

et ses usages

6

Plan d’Adressage

8

Attribution d’`Adr.

FAIs, campus, entreprises

7 SLAAC, DHCPv6, DHCP-PD

Routage de base IPv6

statique & OSPFv3

9

10 Tech. de Transition 11 dual stack, tunnels, NAT64

FIN

Tech. de Transition les scenarios

Les Prérequis !

!

!

Concepts fondamentaux de réseaux ! Les modèles OSI et TCP/IP ! Adressage IPv4, les sous-réseaux, VLSM, CIDR ! Routage et forwarding Expérience de configuration et de support d’un réseau IPv4 ! Configuration d’hôte (Windows, Linux, Unix, etc) ! L'usage d'applications TCP/IP: ping, traceroute, telnet Expérience d’usage des CLIs (Cisco IOS, JUNOS, Linux/Unix)

Comprendre

les Implications de l’épuisement d’IPv4 Objectifs de la Section ! !

Décrire la situation mondiale de l’usage des adresses IPv4 Décrire les implications de l’épuisement d’IPv4

Chronologie, Implications, Conséquences

IPv4 disponible chez IANA au 16.06.2010

Utilisé

Disponible

Inutilisable

IPv4 disponible chez IANA au 31.01.2011

Utilisé

Disponibl

Inutilisabl

La distribution globale des adresses IPv4 est déséquilibrée

Nombre d’adresses IPv4 par personne

La chronologie de l’épuisement globale d’IPv4

A N A I

C I N P A

3 Feb 19 Avr 2011 2011

C C N E P I R

14 Sep 2012

C I N C A L

N I R A

10 Jun 24 Sep 2014 2015

C I N I R F A

2017

La pénurie augmente les coûts des adresses & le NAT Réseau complexe

$12 /adresse

NAT

Augmentation d’OPEX Casse le end-to-end Paralyse l'innovation

Implications pour l'Afrique: ‘Ruée vers l’Afrique’ !

Les réseaux Africains sont privées d’IPv4 nécessaire pour faciliter la transition vers IPv6

!

Obligation de déployer des réseaux entièrement IPv6

!

Augmentation de l’usage du NAT

Comment allez-vous gérer l’épuisement d’IPv4?

Attendons de voir

Déployer IPv6

Déployer le NAT à jamais

IPv6 – la seule réponse durable à l'épuisement IPv6

IPv6? Pas de panique, AFRINIC aura encore des adresses IPv4 jusqu’en 2018

R Q U E S T P O N S E S

I O N S

@AFRINICtraining @IPv6Cert

Initiation aux

Adresses IPv6 Objectifs de la Section ! !

Travaillez confortablement avec la notation hexadécimale d’IPv6 Identifier, écrire et raccourcir les adresses IPv6



1 2

Les Adresses IPv6

4

Configuration



Rappel: Modèle TCP/IP (IPv4 – 32 bits) APPLICATION DNS

HTTP

IMAP

SMTP

POP

NFS

TRANSPORT TCP

IPv4

UDP NETWORK

ICMP

IGMP

IPSec

NAT

OSPF

IS-IS

mob. IP

DATA LINK Ethernet et al

NBMA

ATM

3GPP

Modèle TCP/IP (IPv6 – 128 bits) APPLICATION DNS

HTTP

IMAP

SMTP

POP

NFS

TRANSPORT TCP

IPv6

UDP NETWORK

ICMPv6

MLD

IPSec

ND

OSPFv3

IS-IS

mob. IP

DATA LINK Ethernet et al

NBMA

ATM

3GPP

Comment écrire les adresses IPv6 (1/2) 0010000000000001 0000000000010000 1011101011101000 1111111001001010

0100001010010000 0000001001001001 0101011011111111 1110110011111110

128 bits

Comment écrire les adresses IPv6 (2/2) 128 bits 32 quartets hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh / n h = Caractère hexadécimal (hexit) [0 – 9, a – f] ! n = taille préfixe: valeur en décimale !

Exemple d’une adresse IPv6 entière 0010000000000001 0100001010010000 0000000000010000 0000001001001001

2001:4290:0010:0249:bae8:56ff :fe4a:ecfe

1011101011101000 0101011011111111 1111111001001010 1110110011111110

Les règles pour raccourcir les adresses IPv6

1

La Suppression de Zéros

2

Omettre tous les zéros de POIDS FORTS

La Compression de Zéros

Substituer des groupes CONSÉCUTIFS de zéros par ‘::’

Exemple: Raccourcir une adresse IPv6

2001:0000:0000:0249:0000:0000:0000:ecfe Compression de Zero

Suppression de Zero

2001::249:0:0:0:ecfe

Exemple: Raccourcir une adresse IPv6

2001:0000:0000:0249:0000:0000:0000:ecfe Suppression de Zero

Compression de Zero

2001:0:0:249::ecfe

MAUVAIS! raccourcissement d’une adresses IPv6

2001:0000:0000:0249:0000:0000:0000:ecfe La règle de Compression de Zéros

La règle de Compression de Zéros

2001::249::ecfe

Raccourcir ces adresses a) b) c) d)

QUIZ

2001:0db8:0000:0000:0008:0800:200C:417a ff01:0000:0000:0000:0000:0000:0000:0101 0000:0000:0000:0000:0000:0000:0000:0001 0000:0000:0000:0000:0000:0000:0000:0000


I O N S


Comprendre les

Types D’Adresses IPv6 Objectifs de la Section ! !

Identifier les différents types d’adresses IPv6 Décrire la structure et les scopes de ces adresses



1 2

Les Adresses IPv6

4

Configuration



Il existe 3 types d'adresses IPv6 1:1 Les adresses Unicast

1:n 1:plus proche Les adresses Multicast Les adresses Anycast

Tx

Rx

Tx Tx Rx

Rx

Rx

Rx

Rx

Il n'y a pas d’adresses (ou communications) broadcast dans IPv6

Rx

le scope d’un adresse est son domaine d’unicité Scope global

Scope Lien-local

Selon le scope, une adresse peut être utilisée comme un identifiant unique d’une interface

Les Adresses Unicast Globales (GUA) Partie ‘Réseau’ n bits

Préfixe de Routage Globale

Partie ‘Hôte’ 64 - n bits

ID Réseau

64 bits

ID d’Interface

Ex: 2001:4290:10:249:bae8:56ff:fe4a:ecfe

Les adresses Link-local (LLA) 10 bits

54 bits

1111111010

0

64 bits

ID d’Interface

fe80

Ex: fe80:0000:0000:0000:bae8:56ff:fe4a:ecfe

L’accessibilité des adresses Lien-local et le scopeID fe80::1

fe80::1a Fe 0/0

fe80::3

fe80::1b Fe 0/1

fe80::4

fe80::2

ping fe80::1 ! !

Par quelle interface le routeur enverra t-il ce paquet? Vous devez explicitement spécifier l'interface de sortie

Résoudre l’ambiguïté des LLA avec les scopeIDs Identifie le scope d’une adresse Généré automatiquement par le SE Typiquement, un entier ou nom de l'interface

fe80::hhhh:hhhh:hhhh:hhhh%zoneID EX. sur Mac OS X: fe80::bae8:56ff:fe4a:ecfe%en0 ! EX. sur Windows: fe80::bae8:56ff:fe4a:ecfe%10 !

Quiz: Usage correcte des ScopeIDs Node B

fe80::a1%10

fe80::b%eth0

fe80::a2%11

fe80::c%en1

Node A

!

Ecrivez les commandes pour ! Node A veut faire un telnet à Node B ! Node A veut faire un ping à Node C

Node C

L’usage exclusif des LLAs n’est pas conseillé ① Elles ne peuvent être pingées en dehors du lien ② Un Traceroute via LLA peut révéler la topologie de votre réseau ③ ④ ⑤ ⑥

interne Complique le troubleshootig des liaisons point-à-point parallèle. Un changement d’interface peut déclencher un changement d'adresse Complique un peu l’usage du DNS (ref point 4) Les LLS sont difficiles à mémoriser

Les adresses Unique Local (ULA) 8 bits

56 bits

1111 110L

0

64 bits

ID d’Interface

fc00::/7 fc00::/8 L=0 Assigné par un registre

fd00::/8

L=1

Usage libre pour tous

Les Adresses de transition IPv6 basées sur IPv4 Partie ‘Réseau’ n bits Préfixe IPv6

32 bits

Partie ‘hôte’ 32 - n bits

WWXX:YYZZ ID Réseau

64 bits

ID de l’Interface

Adresse IPv4: w.x.y.z ! !

L'exemple le plus significatif est la formation des adresses 6RD. Exemple le plus courant est celui des adresses 6to4: 2002:WWXX:YYZZ::/48

Quiz: générer un préfixe IPv6 à partir d'une adresse IPv4 Etant donné le préfixe de base IPv6 et adresse IPv4 suivante, générer le préfixe IPv6 correspondant ① 2002 et 196.1.0.87 ② 2001:4290 et 196.1.0.87

Générer l’ID de l’Interface (IID) Partie ‘Réseau’

Partie ‘hôte’ 64 bits

64 bits

Préfixe Réseaux

Statique (manuel)

Interfaces des Serveurs/Routeurs

ID de l’Interface

EUI-64

cryptographique

Pseudo-aléatoire

configurer automatiquement les Hôtes

Motivations of the 64-bit boundary (RFC 7421) !

The default length of IIDs is 64-bits – with /127 for point

!

to point links as the only exception

The Cryptographically Generated Addresses (CGA) and Hash-Based Addresses (HBA) specifications rely on the 64-bit identifier, as do

!

INITIAL MOTIVATIONS FOR A 64-BIT BOUNDARY !

the Privacy extensions [RFC4941] and some

A proposal that led to the Identifier-Locator

examples in "Internet Key Exchange Version 2

Network Protocol[RFC6741], required a fixed

(IKEv2)" [RFC7296].

point for the split between LAN and WAN parts !

Mobile IP home network models [RFC4887] rely

of an address

heavily on the /64 subnet length and assume a

Expectation that 64-bit Extended Unique

64-bit IID.

Identifier (EUI-64) Media Access Control (MAC)

!

!

!

A shorter IID may only be required where a site

addresses would become widespread in place

doesn’t receive sufficient address space to use a /64

of 48-bit addresses

per leaf-subnet e.g. home network, vehicles. In this

Plans that auto-configured addresses will be

case a longer IID could be used in conjunction with

based on MAC-based interface IDs

manual configuration or DHCPv6

Advantages of a fixed-length IID !

!

Simplifies address auto-configuration; thus is mand atory for

/64 prefix from a smartphone's cellular interface to its WiFi

Fixed IID, separate from subnetID makes it possible to limit

link relies on prefix length, a nd implicitly on the length of

the traceability of a host computer by varying the

the IID, to be valued at 64.

!

/64 is explicitly referenced in many RFCs that specify IPv6. Many existing IPv6 code also implements this.

!

The Cryptographically Generated Addresses (CGA) and

Homenet architecture (RFC 7368 )considers a CPE which

Hash-Based Addresses (HBA) specifications rely on the 64-

doesn’t receive a sufficient p refix to allow use of /64s p er

bit identifier, as do the Privacy extensions [RFC4941] and

leaf-subnet to be an error condition

some examples in "Internet Key Exchange Version 2

Same p refix-length on all leaf-subnets thus fewer errors

(IKEv2)" [RFC7296].

leading to simpler network design !

!

Gua rantees that there’ll forever b e sufficient addresses in the subnet to add more interfaces

!

The proposed method [RFC7278] of extending an assigned

operation of Stateless Address Auto-configuration (SLAAC)

identifier !

!

Adding a new subnet is easy – just pick another /64 from the pool, no calculations or estimates

!

Mobile IP home network models [RFC4887] rely heavily on the /64 subnet length and assume a 64-bit I D.

Les IDs Interface réservées (RFC 5453)

0000:0000:0000:0000 FDFF:FFFF:FFFF:FF80 FDFF:FFFF:FFFF:FFFF

Routeur anycast s. res. Sous réseau anycast

Comment les IDs d’Interfaces EUI-64 sont générés Prendre l’adresse MAC (48 bits)

L’étendre à 64 bits (insérer “fffe”) Positionner le bit U/L X = 0 MAC unique X = 1 pour MAC non-unique Viola! votre InterfaceID

Problems associated with EUI-64 addresses 1) Since EUI-64 based IIDs don’t change over time, they allow correlation of host activities within the same network, thus negatively affecting the privacy of users 2) Since EUI-64 based IIDs are constant across networks, the resulting IPv6 addresses can be used to track and correlate the activity of a host across multiple networks (e.g., track and correlate the activities of a typical client connecting to the public Internet from different locations), thus negatively affecting the privacy of users. 3) Since embedding the underlying link-layer address in the Interface Identifier will res ult in specific address patterns, such patterns may be leveraged by attackers to reduce the search space when performing address-scanning attacks. For example, the IPv6 addresses of all hosts manufactured by the

same vendor (within a given time frame) will likely contain the same IEEE Organizationally Unique Identifier (OUI) in the Interface Identifier. 4) Embedding the underlying hardware address in the Interface Identifier leaks device-specific information that could be leveraged to launch device-specific attacks. 5) Embedding the underlying link-layer address in the Interface Identifier means that replacement of the underlying interface hardware will result in a change of the IPv6 address(es) assigned to that interface.

Consequences of not using 64-bit IIDs !

!

!

Router implementations with strict interpretations of /64 as in RFC6164 & RFC7136 will consider unicast ! addresses in /65 - /126 as invalid and thus fail It’s impossible to generate multicast addresses based on unicast prefixes (as per RFC3306) that are more than /64

!

Breaks ability to embed a rendezvous point address in a multicast group as per RFC3956 whi ch assumes at least a /64 prefix !

!

The Cryptographically Generated Address format [RFC3972] is heavily based on a /64 interface identifier and will fail otherwise

!

IPv6-to-IPv6 Network Prefix Translation (NPTv6) defined in RFC6296 maps a /64 prefix to another

!

/64 prefix and will fail for non-64-bit prefixes. The Identifier-Locator Network Protocol (ILNP) [RFC6741] is relies on locally unique 64-bit node identifiers and will fail otherwise Modifying SLAAC to work with shorter IIDs increases increases the statistical risk of choosing the same pseudo-random IID thus increasing change of duplicate addresses and thus DAD failure. Most host implementations hard-chose the linklocal address to be fe80::/64 – using different IIDs for LLAs on same link might have unpredictable results Consistent with SLAAC functioning, the A-bit in the PIO is only honored if the prefix length is 64

Des adresses connues importantes

::

, , , ,

Adresse non spécifiée Indique l'absence d’adresses IPv6 Jamais utilisé comme adresse de destination Le scope est Link-local

::/0

,

Route par défaut

::1

, ,

Permet de s'envoyer des paquets IPv6 Ne doit jamais être routé hors du nœud

Les adresses IPv6 mappé IPv4 80 bits

0

16 bits

ffff

32 bits

Adresse IPv4

Exemple: ::ff:196.1.0.87 ! !

Représenter une adresse IPv4 à un noeud/application exclusif IPv6 Ces adresses ne doivent pas être visibles sur l'Internet

Les adresses anycasts

! ! !

Même adresse configurée sur plusieurs hôtes(interfaces)- jaune Paquets anicast sont livrés au plus proche selon la topologie Attribué à partir de l’espace des adresses unicast

Les adresses Multicast L’ID d’un groupe multicast pour un scope donné Préfixe -./0$&1 de sous-réseau qui possède cette adresse 8 bits

4 bits

4 bits

8 bits

11111111 flags scope reserved

ff

8 bits

64 bits

32 bits

p-len

network prefix

groupID

Nombre de bits dans le champ "préfixe réseau"

Toutes les adresses Multicast sont de la plage ff00::/8

Decoder les flags de l’adresse multicast RP non activé RP activé

0 1

0 Affectation permanente (IANA) 1 Affectation dynamique

0RPT 0 Non basé sur un préfixe de réseau 1 Basé sur un préfixe de réseau

Des scopes multicast connus 4 bits

b b b b

Bits

Hex

Scope

0001

1

Interface-local

0010

2

Link-local

0100

4

Admin-local

0101

5

Site-local

1000

8

Organization-local

1110

e

Global

4 bits

b b b b

Les scopes réservés et non définis

0000

1

Reserved

0011

3

Reserved

1111

f

Reserved

0110

6

Unassigned

0111

7

Unassigned

1001

9

Unassigned

1110

a

Unassigned

1011

b

Unassigned

1100

c

Unassigned

1101

d

Unassigned

Exemple: Un groupID avec differents scopes Si l’on affecte de façon permanente aux ‘’serveurs NTP’’ le groupe multicast avec l’ID = 101 FF01::101

Tout serveur NTP sur la même interface que l’émetteur

FF02::101

Tout serveur NTP sur le même lien que l’émetteur

FF05::101

Tout serveur NTP sur le même site que l’émetteur

FF08::101

Tout serveur NTP dans la même organisation que l’émetteur

FF0e:101

Tout serveur NTP sur Internet

Les adresses multicast réservées FF00:: ! FF01:: ! FF02:: ! FF03:: !

! FF04::

! FF08::

! FF0C::

! FF05::

! FF09::

! FF0D::

! FF06::

! FF0A::

! FF0E::

! FF07::

! FF0B::

! FF0F::

Quelques adresses multicast bien-connues FF01::1

Tout nœud IPv6 sur la même interface

FF02::1

Tout nœud IPv6 sur le même lien

FF01::2

Tout routeur IPv6 sur la même interface

FF02::2

Tout routeur IPv6 sur le même lien

FF05::2

Tout routeur IPv6 sur le même site

RFC 2375 pour la liste complete

Les adresse multicast de sollicitation de nœud (SNMA)

hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh 24 bits

ff02::1:ff hh:hhhh /104 ! !

Calculé pour chaque adresse unicast/anycast Les adresses ayant les mêmes 24 derniers bits auront la même SNMA

Exemple d’adresse multicast de sollicitation de nœud

4037::01:800:200e:8c6c 24 bits

ff02::1:ff 0e:8f6c /104

Exemple d’adresses multicast de sollicitation de nœud #show ipv6 interface g0/0 GigabitEthernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::CA9C:1DFF:FE6B:B6A0 Description: [Link to R1] Global unicast address(es): 2001:43F8:90:C0::2, subnet is 2001:43F8:90:C0::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:2 FF02::1:FF6B:B6A0

Le multicast au niveau des adresses Ethernet

ff hh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh 32 bits

33-33-hh-hh-hh-hh address MAC Multicast

Exemples adresses MAC Multicast

ff02::1 ff02::2 ff02::1:ff3f:21ac

33-33-00-00-00-01 33-33-00-00-00-02 33-33-ff-3f-21-ac

Par quelles adresses un nœud s'identifie t-il? ① [Obligatoire] Adresse Lien-Locale sur chaque interface ② [Obligatoire] Adresse de loopback (::1) ③ [Obligatoire] Adresses multicast Tout-Nœud (ff0x::1) ④ Tout adresse unicast ou anycast sur chaque interface ⑤ Une adresse multicast de sollicitation de nœud pour chacun des (4) ⑥ Les adresses multicast de tous les groupes auxquels il appartient

Par quelles adresses un routeur s'identifie t-il?

① Toutes les adresses par lesquelles les hôtes s'identifient ② Adresses multicast tous les routeurs (ff0x::2) ③ Adresse anycast Sous-réseau pour toute interface routée ④ Tout adresse anycast configurés

IPv6 et les URLs (Uniform Resource Locator) !

Problème: Les deux points dans les adresses IPv6 ont une autre signification dans les urls ! Sont un élément essentiel de http:// ! Sont aussi utiliser pour spécifier un port

!

Solution: Encadrer l’adresse IPv6 dans des crochets

http://[2001:db8:85a3:8d3:1319:8a2e:370:7348]/ http://[2001:db8:85a3:8d3:1319:8a2e:370:7348]:80/

IPv6 et UNC (Uniform Naming Convention) ! !

!

Problème: Les deux sont représente un caractère illégale dans les chemins UNC de Microsoft La solution: ! Remplacer tous les deux-points dans une adresse par un tiret ! Remplacer tout “%” du zoneID par un “s” ! Ajouter “.ipv6-literal.net” á l’adresse Exemple: 2001:db8:85a3:8d3:1319:8a2e:370:7348

2001-db8-85a3-8d3-1319-8a2e-370-7348.ipv6-literal.net

Lesquels de ces EUI-64 IIDs suivants n’auraient pas été généré à partir de cette adresse MAC adresse 00-1E-33-3B-5A-94?

QUIZ

a) b) c) d)

2001:bd8:c001::021e:33ff:fe3b:5a94/64 2001:bd8:c001::021e:33fe:ff3b:5a94/64 2001:bd8::021e:33ff:fe3b:5a94/64 2001:021e::33ff:fe3b:5a94/64

Lesquels de ces EUI-64 IIDs suivants n’auraient pas été généré à partir de cette adresse MAC adresse 00:1E:33:3B:5A:94

QUIZ

a) b) c) d)

2001:bd8:c001::021e:33ff:fe3b:5a94/64 2001:bd8:c001::021e:33fe:ff3b:5a94/64 2001:bd8::021e:33ff:fe3b:5a94/64 2001:021e::33ff:fe3b:5a94/64

Configuration

De Base D’IPv6 Sur Des Hôtes Objectifs de la Section ! ! ! !

Configurer et vérifier IPv6 sur les systèmes d’exploitation Windows Configurer et vérifier IPv6 sur les systèmes d’exploitation Linux Configurer et vérifier IPv6 sur les systèmes d’exploitation MAC OS Configurer et vérifier IPv6 sur Cisco IOS Configurer et vérifier IPv6 sur Junos



1 2

Les Adresses IPv6

4

Configuration



Sur la plupart des S.E(s), IPv6 activé par défaut

http://j.mp/OSv6-support

Configuration Configur ation d’hô d’hôte: te: Window Windowss Vista/7

Configuration d’hôte: Mac Mac OS X

Configuration d’hôte: Linux (/etc/network/interfaces)

Configu Configurer rer une adresse statiqu statique e auto eth0 iface eth0 inet6 static address /

DHCPv6 auto eth0 iface eth0 inet6 dhcp

SLAAC auto eth0 iface eth0 inet6 auto

Configu Configurer rer resolver resolver DNS (/etc/resolv (/etc/resolv.co .conf) nf) nameserver

L’usage des adresses confidentielles ! !

!

Rappel: les adresses EUI-64 rendent facilite le tracking Pour des raisons rais ons de confidentialité, confidentialité, les hôtes hôtes peuvent utiliser utiliser un IID généré aléatoirement Le status des adresses confiden confidentie tielles lles sur quelqu quelques es SEs ! Windows Vista/7/8: Activé par défaut ! OS X 10.8+ : Activé par défaut Linu nuxx - No Non n activ activé é par par déf défau autt ! Li

Désacti Dés activer ver l’l’adres adressa sage ge confidenti confidentiel el Windows

c:\netsh interface ipv6 set privacy state=enabled c:\netsh c:\ne tsh interface interface ipv6 set global global rando randomizeid mizeidentif entifiers iers=ena =enabled bled Mac Mac OS X (/etc/sysctl.conf )

net.inet6.ip6.use_tempaddr=1 net.inet6.ip6.temppltime= XX Linux (/etc/sysctl.conf )

$echo "1" > /proc/ /proc/sys/net sys/net/ipv6/ /ipv6/conf/default conf/default/use_tempadd /use_tempaddr r

Configuration de base d’ IPv6 sur IOS de Cis Cisco co Active Activerr IPv6 sur sur une Interfac Interface e (config-if)#ipv6 (config-if)#ipv 6 enable Assigner Assigner une adresse adresse IPv6 avec avec un interface interfaceID ID automat automatique ique #ipv6 address

eui-64

Assigner une adresse IPv6 stat statique ique #ipv6 address
[link-local | anycast] Activer le routage IPv6 et CEF (config)#ipv6 unicast-routi unicast-routing ng (con (c onfi fig) g)#i #ipv pv6 6 ce cef f

Configuration de base d’IPv6 sur Junos Activer IPv6 sur une Interface #edit interfaces unit

Assigner une adresse IPv6 avec un interfaceID automatique #set family inet6 address

eui-64

Assigner une adresse IPv6 statique #set family inet6 address

Quelques outils de dépannage: Linux Ping

ping6

ping

Traceroute

traceroute6

traceroute

Info Interface

ifconfig

ifconfig

Table de Routage netstat -A inet6 -rn

netstat -A inet -rn

Table des voisins

arp -an

ip -6 neighbor show

Test de base pour une connectivité IPv6

ping6 |
ping6 –I ping

Quelques outils de dépannage: OS X & *BSD Ping

ping6

ping

Traceroute

traceroute6

traceroute

Info Interface

ifconfig

ifconfig

Table de Routage

netstat -f inet6 -rn netstat -f inet -rn

Table des voisins

ndp -an

arp -an

Quelques outils de dépannage: Windows Vista et plus Ping

ping -6

ping -4

Traceroute

tracert -6

tracert -4

Info Interface

ipconfig /all

ipconfig /all

netsh interface ipv6 Table de Routage show route

Table des voisins

netsh interface ipv6 show neighbours

netsh interface ipv4 show route arp -a

Test de base pour une connectivité IPv6

ping – 6 ping

Tester l'accessibilité de ce qui suit: 1. EXERCICE 2. 3. 4.

L’adresse lien local de votre voisin Tous les hôtes IPv6 sur le sous-réseau Tous les routeurs IPv6 sur le sous-réseau Tracer le chemin IPv6 vers certi6.io


I O N S


Comprendre

IPv6 Á Partir D’IPv4 Objectifs de la Section ! !

Décrire l'en-tête IPv6, en ressortant les différences avec celle d’IPv4 Identifier les équivalents IPv6 des protocoles clés IPv4

5

IPv6 vs IPv4


Neighbor Discovery

et ses usages

6

Plan d’Adressage

8




La structure d’un paquet IPv6 4 bits

8 bits

20 bits

Version Traffic Class Payload Length

Flow Label Next Header Hop Limit

Source Address

40 bytes

Destination Address Next Header

Extension Header Information Data

Taille variable

Les en-têtes d'extension IPv6 ! ! ! !

Similaire au champ "Protocole” d’IPv4 Coder des compléments d'informations a la couche Internet Entre les entête des couches base et supérieure Le champ "Next Header" contient une valeur unique pour chaque en-tête

Paquet IPv6 sans entête d'extension Version

Traffic Class Payload Length

Flow Label Next Header = UL

Hop Limit

Source Address

40 bytes

Destination Address Upper Layer (e.g. TCP, UDP, ICMPv6, OSPFv3, tunnel etc.) Header Data

Taille variable

Paquet IPv6 avec entête d'extension Version

Traffic Class Payload Length

Flow Label Next Header = EH1

Hop Limit

Source Address Destination Address Next Header = EH2

EH1 Header

Next Header = UL

EH2 Header

Upper Layer (e.g. TCP, UDP, ICMPv6, OSPFv3, tunnel etc) Header Data

40 bytes

Liste et ordre des entêtes d'extension IPv6 Ordre

Entête

Code

1 2

Entête de base IPv6 Hop-by-hop options

0

3

Routing

43

4 5 6

Fragment Authentication (AH) ESP

44 51 50

7

Destination options

60

8

Mobility

135

Description

Examiné par tous les nœuds sur le chemin Spécifie la route pour un datagramme (mobile v6) Les paramètres de fragmentation Vérifie l’authenticité du paquet Cryptage des données Examiné seulement par le noeud de destination Paramètres à utiliser pour mobile IPv6

Analyser: http://j.mp/v6cap Choisir le paquet #67 a) EXERCICE b) c) d)

Quelle est la valeur du Flow label? Que transporte ce paquet? Quelle est la taille de ce paquet? Combien de routeurs enverront ce paquet?

Analyser: http://j.mp/v6rh Choisir le paquet #67

EXERCICE a)

Lister les deux entêtes d'extension du paquet b) Que transporte ce paquet?

Les changements structurels dans l’entête IPv4 Version

IHL

Flags

Identification Time to Live

Total length

Type of Service

Protocol

Fragment Offset

Header Checksum

Source Address Destination Address Options

Padding

Champ éliminé de IPv6

Champ ôté de l’en-tête de base IPv6

Champ rebaptisé dans IPv6

champ maintenu

IPv4 vs IPv6, comparaison des fonctionnalités clés IPv4 ! !

! !

IPv6

Méthodes de configuration automatique des hôtes et des CPEs ! DHCPv6 DHCP PPPoE ! Stateless Address configuration ! PPPoE Résolution d’adresse de la couche Réseau vers Liaison-de-données ! ICMPv6 (NS, NA) ARP Broadcast ! Multicasts

IPv4 vs IPv6, comparaison des fonctionnalités clés IPv4 ! ! ! ! !

IPv6

Des noms de domaines aux méthodes de résolution d’adresses DNS ! DNS ! AAAA Enregist. de ressource A Enregist. de ressource in-addr-arpa Zone inverse ! ip6.arpa Zone inverse Comment rejoindre un groupes multicasts IGMPv1 and IGMPv2 ! MLD Attribution automatiquede passerelle par défaut aux hôtes ! RA (ICMPv6) DHCP , IRD ou Passive RIP

IPv4 vs IPv6, comparaison des fonctionnalités clés IPv4 ! ! ! ! !

IPv6

Protocoles de routages dynamiques standards supportés ! RIPng RIPv1 , RIPv2 OSPFv2, IS-IS ! OSPFv3 , IS-IS BGPv4 (IPv4 Address Family) ! BGPv4 (IPv6 Address Family) Taille minimale du MTU ! 1280 octets 576 octets Modes de communication supportés Unicast, multicast, broadcast ! Unicast, multicast


I O N S


EXERCICE IPv6

Lab Manual

Exercice 2.2

Création d'un

Plan D’Adressage IPv6 Objectifs de la Section ! ! !

Découpage d’un préfixe IPv6 Estimer les besoins d'adressage IPv6 de votre réseau Dimensionner et attribuer votre allocation d’adresses

5

IPv6 vs IPv4


Neighbor Discovery

et ses usages

6

Plan d’Adressage

8




Les questions récurrentes au plan d’adressage Découper 2001:db8:c001::/48, en 150 bloques égaux

Découper 2001:db8::/32 en /40s

Vous avez 125 sites dont chacun a besoin d'un /60, quelle taille préfixe devriez-vous réserver pour tous vos sites?

Les problèmes génériques de subnetting IPv6 Préfixe/L

s-préfixe1/L’ s-préfixe2/L’ …………………..…… ! ! !

s-préfixen/L’

L’ > L en longueur (en quantité, plus court est plus grand) L’ = L + s (s = nombre de bits de sous-réseau) Le subnetting c’est trouver ‘s’ et les valeurs s-prefix1 …n

Oublier les mauvaises habitudes de subnetting IPv4 !

Les raisons du subnetting !

IPv4: économiser l'espace d'adressage

!

IPv6: Nécessaire pour le routage ou la sécurité

!

Pas de VLSM IPv6 – même longueur de préfixe par LAN

!

Pensez sous-réseaux et non hôtes

!

Il sera rare d’avoir un sous-réseau plus grand qu’un /64!

Procédure de subnetting IPv6 Données

Processus

Préfixe & long. L , L’ OU no. de sous-res.

Find no. of subnet bits (s)

Préfixe & long. L, bit de sous-réseau s

Find subnet hexits

Long. de sous-préf. L’

Find subnetID increment (B)

Long. de sous-préf. L’

List the subnets

Formules s = L’- L or s = log N/log 2 s/4 B = 216 – (L’%16) Utilisez sipcalc ou tout autre outil en ligne

Etape #1: Comment trouver le bit (s) de sous-réseaux Longueur des sous-préfixes

s = L’– L Longueur du préfixe

No. de sous-réseaux requis

s=

log N log 2

Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux

L’on connaît le nombre de sous-réseaux N = 700 ① s = log 700 ÷ log 2 = 9.81 10 bits !

Etape #2: Comment trouver l’hexits de sous-réseaux Long. de sous-préfixe L’ = L + s L bits

Préfixe initial

s bits

ID réseau

Partie ‘Hôte’ 64 bits

l’ID de l’Interface

Le nombre d’hexits = s ÷ 4


L’on connaît le nombre de sous-réseaux N = 700 ① s = log 700 ÷ log 2 = 9.81

≈

10 bits

② Nombre d’hexits = 10 ÷ 4 = 2.5

≈

3 hexits

Ainsi chaque sous-préfixes sera de la forme

2001:db8:cHHH::/46

Etape #3: Comment trouver l’increment (B) Longueur de sous-préfixe

B=

16 – (L’%16) 2


L’on connaît le nombre de sous-réseaux N = 700 ① s = log 700 ÷ log 2 = 9.81 10 bits ≈

② Nombre d’hexits = 10 ÷ 4 = 2.5

≈

3 hexits

③ Chaque sous-préfixes sera: 2001:db8:cHHH::/46 ④ ‘HHH’ changera de B = 216 – (46%16) = 216-14 = 22 = 4

Etape #4: Comment énumérer les sous-réseaux

subnetID1 + B

:::/ L’ :::/ L’ :::/ L’

subnetID + B

:::/ L’

subnetID0 + B

Etape #4: Comment énumérer les sous-réseaux (casse-cou)

le neme subnetID

L’incrément précédemment calculé

an = (n-1)B !

Utile pour savoir "quel est le 79e sous-réseau" par exemple

Etape #4: comment énumérer les sous-réseaux avec sipcalc Préfixe initiale & longueur

Longueur de sous-préfixe

sipcalc --v6split= ou sipcalc -S Ex: sipcalc 2001:db8:c000::/36--v6split=46

Etape #4: Comment Trouver the ne sous-réseau avec sipcalc Préfixe initiale & longueur

Longueur de sous-préfixe

sipcalc --v6split= | grep Network | nl | sed -n np sipcalc 2001:db8:c000::/36--v6split=46 grep Network | nl |sed –n 975p

Etape #4: Exemple d’énumération de sous-réseaux ! ! ! ! !

Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux Le ne sous-reseau est an = 4(n-1) 1er subnetID: a1= 4(0) = 0 (0x0) ! 1st sous-réseau: 2001:db8:c000::/46 Dernier subnetID: a1024 = 4(1023) = 4092 (0xFFC) ! Dernier sous-reseau: 2001:db8:cffc::/46 264e subnetID: a264 = 4(263) = 1052 (0x41C) ! 26e sous-reseau: 2001:db8:c41c::/46

Exercice de subnetting Un FAI qui opère dans 10 villes vient de recevoir une allocation 2001:db8::/32 d’AFRINIC, subdiviser ce préfixe équitablement entre ces 10 villes

Exemple d’utilisation de sipcalc sipcalc 2001:db8::/32 –v6split=36 | grep Network Network - 2001:0db8:0000:0000:0000:0000:0000:0000 Network - 2001:0db8:1000:0000:0000:0000:0000:0000 Network - 2001:0db8:2000:0000:0000:0000:0000:0000 Network - 2001:0db8:3000:0000:0000:0000:0000:0000 Network - 2001:0db8:4000:0000:0000:0000:0000:0000 Network - 2001:0db8:5000:0000:0000:0000:0000:0000 Network - 2001:0db8:6000:0000:0000:0000:0000:0000 Network - 2001:0db8:7000:0000:0000:0000:0000:0000 Network - 2001:0db8:8000:0000:0000:0000:0000:0000 Network - 2001:0db8:9000:0000:0000:0000:0000:0000 Network - 2001:0db8:a000:0000:0000:0000:0000:0000 Network - 2001:0db8:b 000:0000:0000:0000:0000:0000 Network - 2001:0db8:c000:0000:0000:0000:0000:0000 Network - 2001:0db8:d000:0000:0000:0000:0000:0000 Network - 2001:0db8:e000:0000:0000:0000:0000:0000 Network - 2001:0db8:f000:0000:0000:0000:0000:0000 -

Solution á l’exercice de subnetting !

Nombre de sous-réseaux: N = 10

!

Bits de sous-réseaux requis: s = log 10 ÷ log 2 = 3.322 4

!

4 bits donnent 16 (c-a-d 24) sous-préfixes dont 6 spares

!

Longueur de chaque sous-préfixe L’= 36 (c-a-d 32 + 4)

!

L’hexit de sous-réseaux = s/4 = 1

!

L’incrément de sous-réseaux B = 216-(36%16) = 4096 (0x1000)

!

Exemple de subnetting : les analyses !

!

!

Premier subnetID ! a1= 4096(1-1) = 0 (0x0) [avec an=(n-1)B] ! Premier sous-réseau: 2001:db8:000::/36 Dernier subnetID ! a16 = 4096(16-1) = 61440 (0xf000) ! Dernier sous-réseau: 2001:db8:f000::/36 Vérifiez votre réponse à l'aide de sipcalc ! sipcalc 2001:db8::/32 –v6split=36

Quelques précisions sur le plan d'adressages ① Ne pas se limiter aux préfixes de bases des RIRs: /32, /48 ② Des longueurs de préfixe typiques !

Les hôtes sur un LAN: /64

!

Lien inter-router: /127

Adresses de loopback : /128 ③ Planifier un schéma hiérarchique pour optimiser l'agrégation ④ S'assurer que tous les préfixes tombent sur des arrondis(4 bits) !

Bonne pratique: Usage /127 pour les liens inter-routeur :::/ 127 Améliore la sécurité en éliminant ! Problème de (ping pong) sur certains liens p2p ! Problème du cache des voisins IPv6 Les adresses avec les 64 bits suivants ne doivent pas être utilisés ! 0000:0000:0000:0000 ! ffff:ffff:ffff:ff7f ➠ :ffff

L’utilisation exclusive des LLA sur les liens d'infrastructure Configurer un GUA sur une adresse de loopback pour La gestion du traffic (ssh, telnet, SNMP, etc) ! Avoir l’origine des messages d’erreurs ICMPv6 destiné aux sous-réseaux externe ! Avantages Une petite table de routage qui conduit à ! ! moins la consommation de mémoire ! convergence plus rapide ! Accélération du routage en raison de petites RIBs & FIBs Gestion simple de l’adresses ! Moindre complexité de configuration (rien à faire) ! DNS simplifié (vous ne mettez pas LLA dans les fichiers de zone) ! Surface d'attaque réduite ! Mises en garde Impossible de pinger l’interfaces des Routeurs hors du réseaux (fix: pinger la loopback) ! Probleme de Traceroutes vers ces interfaces ! Dépendance matérielle - LLA changent si les cartes connectees changent ! Probleme de la fonction NMSqui est liée a l’adresse spécifique de l’interface ! MPLS RSVP-TE qui crée LSP avec une séquence stricte d'adresses IP !

Exemple d’hiérarchie pour un réseau d’FAI dans un pays ASN

Niveau 1 Ville #1

Niveau 2

Site #1

Niveau 3 (fin du réseau)

Ville #2

Site #2

Client #1

Ville #n

Site #n

Client #2

Client #n

Exemple de format de préfixe | réseau d’FAI Déterminé par l’allocation reçu de votre RIR

n bits

x bits

y bits

64-n-x-y bits

allocation

villes

sites

clients

64 bits

ID d’Interface

Calculé à partir de la taille de votre réseau actuel

Exemple d’hiérarchie pour réseau d’université ASN

Niveau 1

Campus #1

Niveau 2

Bâtiment #1

Niveau 3 (fin du reseaux)

Campus #2

Bâtiment #2

Département #1

Campus #n

Bâtiment #n

Département #2

Département #n

Exemple de format de préfixe | réseau d’université Déterminé par l’allocation reçu de votre RIR

n bits

x bits

y bits

64-n-x-y bits

attribution

campus

Bâtiment

département

64 bits

ID d’Interface


Exemple d’hiérarchie d’un réseau d’entreprise ASN

Niveau 1

HQ

Niveau 2

Données

Niveau 3 (fin du reseaux)

Branche #1

Voix

Vente

Branche #n

Vidéo

Marketing

Opérations

Exemple de format de préfixe | réseau d’entreprise Déterminé par l’allocation reçu de votre RIR

n bits

x bits

y bits

64-n-x-y bits

attribution

branche

type

département

64 bits

ID d’Interface


Estimer le nombre total des préfixes nécessaires | Université ASN

Campus #1

Bâtiment #1

Campus #2

Bâtiment #2

Département #1

Campus #n

Bâtiment #n

Département #2

Département #n

N = #Campus x #Bâtiments x Départementsmax

Estimer le nombre total des préfixes nécessaires | FAI ASN Ville #1 Site #1

Ville #2 Site #2 Client #1

Ville #n Site #n Client #2

Client #n

N = #Villes x #Sites x Clientsmax

Visez les arrondis /20, /24, /28, /32, /36, /40, /44, /48, /52, /56, /60, /64

3/445& 6/15& 7$8#-& 9$1/85.1& 510

4n 2

D

16 (24x1) 256 :;+<;= 4096 :;+<>= 65536 :;+<+= 1048576 :;+
Arrondissez vos estimations à la plus proche puissance de quatre

Les préfixes alignés sur les arrondis sont faciles a déterminer 2001:db8:3c00::/40

2001:db8:3c00::/42

2001:db8:3c00::

2001:db8:3c00::

2001:db8:3cff:ffff:ffff:ffff:ffff:ffff 2001:db8:3c3f:ffff:ffff:ffff:ffff:ffff

Calcul de la taille de préfixe à demander Inputs

Processus

# réseaux (N)

Trouver le no. de bits (s)

les types de rés. des clients

Choisir le préfixe des réseaux final (s n)

s & sn

Cal. de la taille de prefixe à demander au RIR

Formule s = log N/log 2

s - sn

Pas d’inquiétude, il-y-a suffisamment d'adresses!

2000::/3

Population mondiale !

3500 X

35 trillion 9.3 milliard /48 blocks

projections 2050

Exemple de planification d'adresses IPv6

Un FAI a des activités dans 10 villes. La plus grande ville dispose de 50 POPs, dont le plus important a environ 2700 clients. Quelle longueur de préfixe doit-il demander a AFRINIC s’il compte donner un /48 à ses clients

Exemple d'adressage IPv6 – analyse & solution !

!

! !

On sait ! #Villes = 10 [arrondi à 16] ! #SITEs = 50 [arrondi à 256] ! #Clientsmax = 2700 [arrondi à 4096] On calcule ! Nombre total de préfixes de réseau finaux requis est N ! N=16 x 256 x 4096 = 16,777,216 ! Nombre de bits de sous-réseau requis: s=log16,777,216/log2 = 24. Taille d’allocation: 48 – 24 = 24 [Soit /48s par site finaux] Ainsi, le FAI doit demander un /24 à AFRINIC.

Planification d'adresses pour la virtualisation Serveurs virtualisés

Serveurs traditionnels ! ! ! !

VLAN d’administration VLAN de stockage VLAN de données Un sous-réseau chaque

! ! ! !

VLAN d’administration VLAN de stockage Plusieurs VLAN de données () Planifier un /64 pour chacun de vos VLAN de données

Les trois phases de la planification d’adresse IPs

Estimer vos besoins d'adressage

Demander votre bloc à AFRINIC

Attribuez les souspréfixes aux différentes parties du réseau

Deux approches pour l'attribution des sous-préfixes sous-réseau #1

sous-réseau #1

sous-réseau#3

sous-réseau #3 sous-réseau #5 1

2

3

4

5

6

7

8

sous-réseau #4 sous-réseau #2 séquentiel

9

10 11 12

1

2

3

4

5

6

7

sous-réseau #4

8

sous-réseau #5

sous-réseau #2 bissection

9 10 11 12

EXERCICE Création d'un plan d'adressage IPv6


I O N S


Comprendre

Le Neighbor Discovery d’IPv6 Objectifs de la Section ! !

Décrire l'importance et le fonctionnement du ND d'IPv6 Décrire comment ND est utilisé dans les fonctions clés d’IPv6

5

IPv6 vs IPv4


Neighbor Discovery

et ses usages

6

Plan d’Adressage

8




Les Fonctions du Neighbor Discovery (ND) d’IPv6 !

NOEUD

! ! !

HOTE

! ! !

ROUTEUR

! ! !

Configuration d’adresse (SLAAC) Résolution d’adresse Mac Notification de changement d’adresse Mac NUD (détection de présence de voisins) DiscoveryDécouverte de Routeurs Découverte de paramètre (MTU, Préfixe, hop limite…) Annonce sa présence (MTU, Préfixe, hop limite…) S’annonce sur le lien Déterminer le prochain voisin (next hope) Rédiriger un hôte vers le meilleur voisin

IPv4

ND ARP + IRDP + Redirect + NUD !

EF-*5$- G$.& ()*@

ND définit et utilise 5 messages ICMPv6 Neighbor Solicitation

Router Solicitation Redirect

Neighbor Advertisement

Router Advertisement

Le format général d’un message ND message EH Entête de base IPv6 (Next Header = 58)

ND (ICMPv6) Entête du message

ND (ICMPv6) Options du message

Source Link-layer address

Target Link-layer address

Prefix Information

Redirected Header

Maximum Transmit Unit

Route Information

Recursive DNS Server

DNS Search List

Les options utilisées par les messages ND? Source LLA Target LLA Prefix Information Redirected header MTU Route information RDNS DNSSSL

RS

RA

NS

OUI

OUI

OUI

NA

Red.

OUI

OUI

OUI OUI OUI OUI OUI OUI

Le Router Solicitation (RS) Envoyé par Un hôte IPv6 But

Trouver les routeurs présents sur le lien en vue d’obtenir les paramètres du réseau

Adresse !IP de l’interface qui fait la requête si il en existe Source !Adresse indéterminé (::) s’il n'y a pas encore d’adresse Adresse de FF02::2 (all-routers) Destination Remarques ICMP type 133, ICMP code 0

Exemple de capture d’un paquet RS

Le Router Advertisement (RA) Envoyé par Un router IPv6 But

Annoncer sa présence, les préfixes, MTU, hop limits ! Envoyer périodiquement ou en réponse à un RS !

Adresse L’adresse lien-local de l’interface qui l’envoie Source Adresse de Destination

[Diffusion périodique] FF02::1 ! [Sollicité] L’adresse source du noeud qui envoie le RS !

Remarques ICMP type 134, ICMP code 0

Exemple de capture d’un RA (1/2)

capture d’un RA (2/2)

Configurer un RA sur IOS de Cisco Définir l'intervalle des retransmission du RA (config-if)#ipv6 nd ra interval { max [min]} (config-if)#ipv6 nd ra interval { msec max [min]} Définir la durée de vie du messages RA (config-if)#ipv6 nd ra lifetime

Supprimer les messages RA de l’interface connectée (config-if)#[no] ipv6 nd ra suppress [all]

Le Neighbour Solicitation (NS) Envoyé par Un hôte IPv6 But

! ! !

Adresse Source Adresse de Destination

! ! ! !

Déterminer l’adresse L2 des voisins Duplicate address detection (DAD) Vérifier qu’un voisin est accessible IP de l’interface qui fait la requête si il en existe Adresse indéterminé (::) s’il n'y a pas encore d’adresse L’adresse du voisin si elle est connue L’adresse multicast de sollicitation de noeud de la cible sinon


Le Neighbour Advertisement (NA) Envoyé par Un hôte IPv6 But

! !

Répondre à un neighbour solicitation (NS) Sinon, annoncer des mises à jour a ses voisins

Adresse Toute adresse sur l'interface d'origine. Source Adresse de Destination

! !

L’adresse IP du noeud qui émet le NA. FF02::1 pour des diffusions périodiques


Exemple d’un NA sollicité par un router

Exemple d’un NA sollicité par un hôte

Le message redirect Envoyé par Router IPv6 But

Informer un nœud du meilleur next-hop pour une destination

Adresse Adresse Lien-local du routeur Source Adresse de Adresse IP du nœud qui fait la requête Destination Remarques ICMP type 137, ICMP code 0

Sample packet at http://j.mp/v6redirect

Rappel: comment le 5 messages interagissent Neighbor Solicitation

Router Solicitation Redirect

Neighbor Advertisement

Router Advertisement

Le Duplicate Address Detection (DAD) N2 veut configurer la même adresse # 2001:db8:c001::10 ICMPv6 Type I35 (NS) source :: destination ff02::1:ff00:0010 target 2001:db8:c001::10

N1

ICMPv6 Type I36 (NA) source 2001:db8:c001::10 destination ff02::1 target 2001:db8:c001::10

2001:db8:c001::10

"

N1 a déjà l'adresse

N2

Le Duplicate Address Detection (DAD) L’hôte N1 veut assigner l’adresse “A” à son interface “I” L’Interface “I” joint les groupes multicast: ! ff02::1 -- “All IPv6 nodes” ! ff02::ff00:0:a –L’adresse de multicast solicited node de “A” ③ N1 envoie un message NS à ff02::ff:0:a à partir de“::” ④ N1 écoute tous les messages NS à ff02::ff00:0:a à partir de “::” ⑤ DAD échoue dans l'une des circonstances suivantes ! N1 reçoit une NS pour une adresse provisoire avant l'envoi d'un. ! Plus de NSs sont reçues que celles attendues, basée sur la sémantique de loopback. ! than those expected based on loopback semantics ① ②

Plus de détails sur le DAD ! !

!

Le DAD est effectué pour TOUT adresse unicast Le DAD n’est JAMAIS effectué pour: ! Les adresses anycast ! Des adresses spécifiques En cas d’échec du DAD ! Cette adresse ne peut être assignée à une interface. ! Tout adresse utilisant cet IID n’est donc pas unique ! Une erreur system doit être enregistrée

Les états de toute adresse IPv6 Valid ok

Tentative TX RX

DAD nok

Duplicate TX RX

pltime >0

oui

non

vltime >0 non

Invalid TX RX

Preferred TX RX NEW

oui

Deprecated TX RX EXISTING

Exemple de paquet NS pour un DAD

Analyser http://j.mp/v6dad ① Pour quelle quel le ad adresse resse ce DAD est-il fait? de l'adr l 'adresse esse en e n question? EXERCICE ② Quel est le SNMA de ③ Notez les adresses MAC suivants suivants ! !

L’hote L’hot e qu quii fait le DAD DAD L’hote L’ hote qui possèd possède e déjà cette ad adress resse e IP

Conf onfig igure urerr DAD sur sur IO IOSS de Cis isco co

Définir le nombre de NS envoyé pendant penda nt DAD (config-if)#[no]ipv6 nd dad attempts

Définir l’intervalle de retransmission du NS pour le DAD (config-if)#[ (config-if)#[no] no] ipv6 nd dad time [millisecs] millisecs]

Résolution d’adresse d’adresse mac du d u nœud N2 2001:db8:c001::10 source 2001:db8c001::10 S des nation on ff02: ff02::1: :1:ff00: ff00:0020 0020 Ndestitinati target ta rget 2001 2001:d :db8: b8:c0 c001: 01::2 :200

N2

source destitinati nation on A des N target ta rget target ta rget L2 add addrr

2001:db8:c001::20 [b8:e8:56:4a:fe:ac]

2001:db8:c001::20 2001:db8: 2001: db8:c001: c001::10 :10 2001:d 2001 :db8: b8:c0 c001: 01::2 :200 b8:e8 b8: e8:5 :56: 6:4a: 4a:fe fe:a :ac c

N1

Analyser j.mp/v6-MAC-addr-resolv ① Quelle est l'adresse IP de l'hôte dont l’adresse

EXERCICE ② ③ ④ ⑤

MAC inconnue? Quel nœud nœud (adress (adresse e IP) est à la recherche de l'adresse MAC? Quelle est l'adresse de destination du paquet #1 Quelle est l'adresse MAC du nœud (2)? Quell Qu elle e est l'l'adresse adresse MAC MAC du noeud noeud (1)?

Le Ne Neig ighbo hbour ur Un Unre reac acha habi bilility ty De Dete tect ctio ionn (N (NUD UD)) N2 est-il inact i nactif? if? N1

La chemin vers N2 est-il Inactif?

N2

Surveille Sur veille les session ACTIVE ACTIVE de ses voisins

Comment le NUD surveille t-il les sessions actives

① Envoyer une sonde de niveau 4. ex: TCP ACK ② Solliciter un (NA) en utilisant une sonde unicast (NS)

ND improvements over IPv4 protocols ROUTER ADVERTISEMENTS ! Carry link-layer addresses thus no additional packet exchange is needed to resolve the router's link-layer address. ! Carry prefixes for a link; there is no need to have a separate mechanism to configure the "netmask” for purposes of on-link determination. ! Enable Address Auto-configuration. ! Carry MTU advertisements, ensuring that all nodes use the same MTU value on links lacking a well-defined MTU. ! By integrating Ro uter Discov ery; hosts don’t need to "snoop” routing protocols to find out ro uters L2 ADDRESS RESOLUTION ! Multicast messages are "spread" over 16 million (224) addresses, greatly reducing address-resolution-related interrupts on non-target nodes ! Non-IPv6 nodes should not be interrupted at all. ! Because it happens via ICMPv6 (Layer 2), it’ s more media-independent than ARP thus generic IP-layer authentication and security mechanisms can be used as appropriate. REDIRECTS ! Contain the link-layer address o f the new first hop thus separate address resolutio n is not needed upon receiving a redirect. ! Handles traffic redirection for prefixes that aren’t specified as on-link. ! Unlike IPv4, the recipient of an IPv6 redirect assumes that the new nexthop is on-link. In IPv4, a host ignores redirects specifying an off-link (as

determined by netmask) next-hop. ! Useful on non-broadcast and shared media links in which it is undesirable or not possible for nodes to know all prefixes for on-link destinations. NEIGHBOR UNREACHABILITY DETECTION IS PART OF THE BASE, ! Significantly improves the robustness of packet delivery in the presence of ! failing routers ! partially failing or partitioned links, ! nodes that change their link-layer addresses. ! E.g mobile nodes can move off-link without losing connectivity due to stale ARP caches. ! Detects ‘dead’ routers and switch to working ones so “Preference” field not required in RA like for ICMP Router Discovery ! Detects half-link failures thus avoids sending traffic to neighbors with which two-way connectivity is absent (unlike ARP). MISCELLEANEOUS ! Use of LLAs to uniquely identify routers means hosts can maintain the router associations in the event renumbering to use new global prefixes. ! Setting the Hop Limit to 25 5 prevents off-link nodes from accidentally or intentionally sending ND messages. (unlike in IPv4 where off-link senders can send both ICMP Redirects & Ro uter Advertisement messages.

Configurer le NUD sur IOS de Cisco Définir le no. de fois que le NUD renvoie des messages NS (config-if)#ipv6 nd nud retry Définir la durée de vie (expiration) du cache ND (config-if)#ipv6 nd cache expire [refresh] Configurer le ND pour créer une entrée d'un NA non sollicités (config-if)#ipv6 nd na glean

Capture d’un paquet NS pour un NUD


I O N S


Attribution D’adresse Dans IPv6 Objectifs de la Section ! ! !

Décrire les options d’attribution d’adresses en IPv6 Décrire, et vérifier comment fonctionne SLAAC Décrire, et vérifier comment fonctionne DHCPv6 Décrire, et vérifier comment fonctionne DHCPv6-PD

5

IPv6 vs IPv4


Neighbor Discovery

et ses usages

6

Plan d’Adressage

8




Exigences de base pour l’attribution d'adresse HOTE

① Adresse(s) IPv6 ② Passerelles par défaut IPv6 ③ Serveur(s) DNS

CPE

① ② ③ ④

Adresse(s) IPv6 Passerelles par défaut IPv6 Serveur(s) DNS Délégations de préfixe(s)

Il y’a 2 mécanismes d'approvisionnement clés DNS config.

Basé sur RA (SLAAC) Adresse

Passerelle par défaut

Adresse

DNS config.

DHCPv6 Délégation de préfixe

Autres

Le DNS via RA est récent, il n‘y-a donc pas de support global

Comparaison les options offertes par méthodes

SLAAC

Oui

Pass. Par defaut Oui

Stateful DHCPv6

Oui

Non

Oui

Oui

Stateless DHCPv6

Non

Non

Oui

Non

RDNSS

Non

Non

Oui

Non

Adresses

Délégation

DNS info. de Préfixes Non Non

Les options (flags) des RAs Managed configuration

Other configuration

On-Link

Use for SLAAC

M

O

L

A

Dans les messages RA

Dans l’option Informations de Préfixes du RA

L’influence de ‘M’ & ‘A’ dans l’auto-configuration

! !

M

A

0

0

Aucune adresse sera configuré automatiquement

0

1

Adresse généré à partir de préfixe(s) dans un RA

1

1

Adresse généré à partir de préfixe(s) dans un RA Adresse complète à partir du serveur DHCP

1

0

Adresse complète à partir du serveur DHCP

Adresses résultant sur l’interface de l’hôte (sur le lien)

Les hôtes doivent être configurés pour obtenir une adresse IP automatiquement Tous les hôtes génèrent et utilisent toujours une adresse Lien-locale

Configurer les options M & O sur Cisco IOS

(config)#interface fastethernet 0/1 (config-if)#ipv6 nd managed-config-flag (config-if)#ipv6 nd other-config-flag

Configurer les options M, O & A sur [JUNOS] protocols { router-advertisement { interface ge-0/1/0.0 { managed-configuration; other-stateful-configuration; prefix 2001:db8:c00l::/64 { no-autonomous; } } } }

L’usage de l’option ‘L’ pour indiquer des voisins sur le lien L 1 0

! ! !

Comment traiter d'autres adresses dans le préfixe

On-link: transmet directement, pas besoin de routeur Off-link: utiliser la passerelle par défaut pour les obtenir

Mettre L = 0 force un comportement de PVLAN sur le sous-réseau Il est impossible d’indiquer le statut on-link avec DHCP Les hôtes n'effectuent pas de résolution d'adresse de niveau 2 pour des adresses off-link

Configurer les options L & A sur Cisco Par défaut: L = 1 & A = 1 Pour tous les préfixes annoncés

(config)#interface fastethernet 0/1 (config-if)#ipv6 nd prefix no-advertise (config-if)#ipv6 nd prefix offlink|no-onlink

Donner les informations du DNS !

!

!

Les Informations DNS nécessaires 1) Un ou plusieurs Serveurs DNS Récursifs (RDNSS) 2) List de nom de domaines Si DHCPv6 est utilisé ! Configurez les options de serveur DHCP ! Mettre l’option ‘M’ à 1 Si SLAAC est utilisé ! Configurez les options sur le routeur ! Si le client supporte la RFC6106, il obtiendra les informations DNS ! Si le client ne supporte pas la RFC 6106, mettre l’option 'O' à 1

Donner les informations du DNS 65J*5-J HE6 J50-J&/K

I/&15 G5& .F8& G5 GF8$/.5&

Passerelle

Serveur DHCPv6

[RA] M = 1

DHCPv6 client

[RA] O = 1

DHCPv6 client

RFC 6106

Pas RFC 6106

Comment le (SLAAC) fonctionne t-il Adresse: 2001:db8:c001:/64 DNS: 2001:db8:cafe::53

2001:db8:c001::1/64

RS RA [PIO] 2001:db8:c001::/64 {A=1} [RDNSO] 2001:db8:cafe::53

Comment le (SLAAC) fonctionne t-il Hôte génère un interfaceID et une adresse lien-local Réalise le [DAD] sur l'adresse gerenee Interroge tous les routeurs (via RS) pour des informations complémentaires Le routeur répond avec un [RA] qui contient: ! les préfixes alloués pour le sous-réseau indique si il peut fournir des services de routage pour les hôtes connectés. ! Les informations du DNS (si la RFC6106est supportee) ! ⑤ Pour chaque préfixe reçu: ! l'hôte ajoute son interfaceID 64bit configure une adresse ! ! réalise le DAD. ⑥ L'hôte construit une liste de 'routeurs par défaut' a partir des RAs ① ② ③ ④

A savoir sur l’usage des options Configurer O lorsque M l’est, est redondant Certains DNS peuvent nécessiter que vous configuriez M & O Un préfixe avec les options A & L non configurées, est inutiles DHCPv6 ne précise pas la longueur de préfixe, donc vous aurez besoin de configurer L pour éviter un comportement de PVLAN ⑤ SLAAC ne fonctionne qu'avec /64, il n’est donc pas possible d’utiliser un préfixe plus long ① ② ③ ④

TOUJOURS tester votre système d'exploitation avec différentes combinaisons d’options pour savoir ce qui ne se passe EFFECTIVEMENT

Exemple de configuration de SLAAC sur Cisco

(config)#ipv6 unicast-routing (config)#interface fastethernet 0/1 (config-if)#ipv6 address 2001:db8:c001::1/64 (config-if)#no shutdown

Analyser j.mp/SLAAC-1 ① Quelle est l’adresse MAC de l'hôte qui veut une

adresse? ② Quelle est l’adresse MAC du routeur qui répond?

EXERCICE ③

Quel est le préfixe IPv6 que le routeur envoie à l'hôte?

④ Quelles sont les valeurs des options M,O & L ⑤ Pour combien de temps sont valident Les adresses

obtenues à partir de ce préfixe? ⑥ Écrivez une adresse IPv6 que l'hôte peut avoir

Fonctionnement du stateful DHCPv6 (1/2)

1

[ND]RS M = 1 [RA] 2

3

[DHCP6] Solicit Option Request Option

Advertise[DHCP6] 2001:db8:c001::face {DNS} 2001:db8:cafe::53

4

Fonctionnement du stateful DHCPv6 (2/2) Adresse: 2001:db8:c001::face DNS: 2001:db8:cafe::53

5

[DHCP6] Request 2001:db8:c001::face

Reply [DHCP6] 2001:db8:c001::face

6

Avantages et inconvénients du stateful DHCPv6 ! !

! ! ! ! !

DHCP est un protocole mature et donc familier Plus d'options pour contrôler la façon dont les adresses sont attribuées par exemple: ! Limiter l’attribution à une petite plage d'adresses ! Affecter une adresses IP à des clients particuliers Support pour les mises à jour dynamique de DNS D'autres paramètres peuvent être passés en utilisant les options Logs centralisés (dépannage et investigations) Certains SEs ne sont pas équipés de clients DHCPv6 (EX: Android) L’on ne peut donner de passerelle par défaut aux clients

Analyser j.mp/DHCPv6-1 ①

Quelle est l'adresse IPv6 du serveur DHCPv6?

②

De quel protocole et de quel port a été initié la requête?

③

Vers quel protocole et quel port a été envoyé la requête?

EXERCICE ④

Quel est l'identificateur unique du client pour cette session?

⑤

Quels sont les paramètres demandés par le client?

⑥

Quelle est l’adresse IPv6 que le routeur donne à l'hôte?

⑦

Pendant combien de temps les adresses obtenues à partir de ce préfixe sont-elles valident?

⑧

Notez tous les paramètres DNS reçus par le client

Fonctionnement du stateless DHCPv6 (1/2) 3 Adresse: 2001:db8:c001:/64

1

[ND]RS O = 1 [RA] [PIO] 2001:db8:c001::/64 {A=1}

2

Fonctionnement stateless DHCPv6 (2/2) Adresse: 2001:db8:c001:/64 DNS: 2001:db8:c001::53

4

6

[DHCP6] Info-request Option Request Option

Reply [DHCP6] {DNS} 2001:db8:c001::53

5

Configuration de stateless DHCPv6 sur IOS (config)# ipv6 dhcp pool dhcp-pool (config-dhcp)#dns server 2001:db8:face::53 (config-dhcp)#domain-name 6lab.afrinic.net (config-dhcp)#exit (config-dhcp)#interface fastethernet 0/1 (config-if)#ipv6 nd other-config-flag

Analyser j.mp/SL-DHCPv6 ① Quelle est l'adresse IPv6 du serveur DHCPv6? ② Vers quel protocole de niveau 4 et quel port la requête

EXERCICE

③ ④ ⑤ ⑥ ⑦

est-elle envoyée? Quel est l'identificateur unique du client pour cette session? Quels sont les paramètres demandés par le client? Quelle est l’adresse IPv6 que le routeur donne à l'hôte? Pendant combien de temps les adresses obtenues à partir de ce préfixe sont-elles valident? Notez tous les paramètres DNS reçus par le client

Fonctionnement du DHCPv6-PD (1/2) Adresse: 2001:db8:face:/64 DNS: 2001:db8:c001::53

1 3

2

Provision WAN addr & DNS

[DHCP6] Solicit Option IA_PD

Advertise[DHCP6] 4

Fonctionnement du DHCPv6-PD (2/2) Adresse: 2001:db8:face:/64 DNS: 2001:db8:c001::53 Prefix: 2001:db8:dad:c000::/60

5

7

[DHCP6] Request Option IA_PD

Reply[DHCP6] {IA-PD} 2001:db8:dad:c000::/60

6

Exemple de configuration de DHCPv6-PD [Server] (config)#ipv6 dhcp pool dhcpv6 (config-dhcp)#prefix-delegation pool v6pool lifetime 1800 600 (config-dhcp)#ipv6 local pool v6pool 2001:db8:c000::/40 48

(config-if)#ipv6 address 2001:db8:f00d::a/64 (config-if)#ipv6 dhcp server dhcpv6

Exemple de configuration de DHCPv6-PD[Client] (config-if)#ipv6 address autoconfig default (config-if)#ipv6 enable (config-if)#ipv6 dhcp client pd DelegatedPrefix

Comparaison DHCPv4 vs DHCPv6 DHCPv4

DHCPv6

Usage de l’option ‘Managed Configuration’ Pas disponible

Utilisée par les routeurs pour contrôler la configuration des hôtes Adresses source et de destination du message initiale DHCP

src: 0.0.0.0 dst: broadcast

src: Adresse Lien-Local dst: ff02::1:2 (Usage plus efficace du lien) Comment le serveur identifie les clients

Adresses MAC

DHCP Unique Id (DUID) Message de reconfiguration

Pas disponible

Les serveurs peuvent demander aux clients de mettre à jour leur configuration Association d’identité

Certains serveurs DHCPv6 et leurs fonctions logiciel

Certaines options clés supportées

ISC

DNS, NTP, NIS, SIP, Lifetime, Prefix Delegation, Relay IDs, FQDN

WIDE

DNS, NTP, NIS, SIP, Lifetime, Prefix delegation

Dibbler

DNS, NTP, NIS, SIP, Lifetime, Timezone, Prefix delegation, FQDN,

Windows

DNS, NIS, SIP, NTP, Lifetime, User class

Cisco IOS DNS, NTP, NIS, SIP, Lifetime, Relay IDs, Prefix Delegation Source: http://ipv6int.net/software/index.html

RADIUS & IPv6: Comment ça marche

CPE

NAS

RADIUS

Les attributs RADIUS pour IPv6 (rfc 3162) NAS-IPv6-Address

L’adresse du NAS

Framed-Interface-Id

IID de l’utilisateur

Framed-IPv6-Prefix

Préfixe delegué pour l’utilisateur

Framed-IPv6-Route

Route de l’utilisateur (conf. sur le NAS)

Login-IPv6-Host

System, de connections utilisateur

Framed-IPv6-Pool

Pool, duquel les préfixes seront délégués

Les attributs utilisés par paquet! REQUEST

ACCEPT

ACCOUNTING REQUEST

NAS-IPv6-Address

0-1

0

0-1

Framed-Interface-Id

0-1

0-1

0-1

Framed-IPv6-Prefix

0+

0+

0+

Framed-IPv6-Route

0+

0+

0+

Login-IPv6-Host

0

0+

0+

Framed-IPv6-Pool

0

0-1

0-1

Exemple de configuration RADIUS & DHCPv6 1/2: Configure DHCPv6 to use RADIUS for pool

aaa authorization configuration IA_PD group radius ! ipv6 dhcp pool PPP-Radius prefix-delegation aaa method-list IA_PD lifetime 7200 300 dns-server 2001:db8:c001::53 domain-name 6lab.afrinic.net

Exemple de configuration RADIUS & DHCPv6 2/2: Configure virtual template interface

interface Virtual-Template01 ipv6 enable ipv6 nd other-config-flag no ipv6 nd ra suppress ipv6 dhcp server PPP-Radius

Exemple de création d’utilisateur (FreeRADIUS)

Client-777 Cleartext-Password := ”Client-777" Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IPv6-Prefix = ”2001:db8:f00d:100::/64", Delegated-IPv6-Prefix = ”2001:db8:dead:bad0::/60"

IPv6 Lab Manual EXERCICE Lab 2.3: Configurer & vérifier SLAAC Lab 2.4: Configurer & vérifier stateful DHCPv6 Lab 2.5: Configurer & vérifier DHCPv6-PD


I O N S


Routage de Base IPv6 Objectifs de la Section ! ! !

Configurer et vérifier le routage statique Configurer et vérifier OSPFv3 Configurer et vérifier BGP pour IPv6


statique & OSPFv3

9


FIN


Donner

EXERCICE

3 notions que vous savez du routage IPv4

Same key principles as IPv4 routing ! ! ! !

Le prefixe le plus long est utilisé pour la destination Les routes peuvent être statiques et/ou par des protocoles dynamiques La distance administrative comme indicateur de fiabilité Principes de vecteur de distance vs état de liens appliquent toujours

La plupart des meilleures pratiques s’applicables ,

Transporte les préfixes de l’infrastructure

,

AUCUN préfixes de clients ou d’Internet

,

Réduit les préfixes pour la convergence & la scalabilité

iBGP

,

Transporte les préfixes Internet à travers le backbone

,

Transporte les préfixes des clients

eBGP

,

Exchange des préfixes avec d’autres réseaux

,

Implémente des politiques de routage

IGPs

Exemple de routage statique (config)#ipv6 unicast-routing (config)#ipv6 route 2001:db8:babe::/48 2001:db8:dead::1

2001:db8:babe::/48

1

R1

2001:db8:dead::/126

2

2001:db8:face::/48

R2

(config)#ipv6 unicast-routing (config)#ipv6 route 2001:db8:face::/48 2001:db8:dead::1

Donner

EXERCICE

3 notions que vous savez d’OSPFv2 (IPv4)

OSPFv3: differences from OSPFv2 ! ! ! !

Adresses sont transportées avec le nouveau LSA type 9 PAS d’authentification (s'appuie sur AH et ESP) Fonctionne par link , non par sous-réseau –annonce ainsi tous les préfixes sur le lien, pas seulement le primaire. Supporte plusieurs instances par lien – seul les routeurs de la même instance formeront l'adjacence.

!

Utilise les LLAs pour communications entre voisins (sauf les liens virt.)

Éléments OSPFv3 | types de LSA Type LSA

Nom

Description

Portée

Router LSA

Décrit l’état des liaisons et leur coûts pour un routeur dans une aire

2

Network LSA

Généré par un DR pour décrire l'état des liens agrégés et leur coûts pour tous les r outeurs dans une aire

3

Inter-Area Prefix LSA Émis par les ABRs pour décrire une aire à des for ABRs routeurs d’autres aires

Aire

4

Inter-Area Router LSA for ASBRs

Émis par les ABRs pour annoncer l’ emplacement d’un ASBR

Aire

5

AS External LSA

Émis par les ASBR pour décrire les routes redistribuées

1

Aire Aire

AS

Éléments OSPFv3 | types de LSA Type LSA

8

9

Nom

Description

Portée

Link LSA

Annonce l’adresse lien-local et les préfixes aux autres routeurs sur le lien

Intra-Area Prefix LSA

Associe une liste de préfixes IPv6 à un réseau de transit en pointant vers un Network LSA OU Aire Associe une liste de préfixes IPv6 à un routeur en pointant vers un routeur LSA

Lien

Les commandes de configuration d’OSPFv3 Activer OSPFv3 sur une Interface

(config-if)#ipv6 ospf pid area area-id [instance instance-id] Résumer (Agréger) les routes d'une aire

(config)#ipv6 ospf pid (config-router)#ipv6 area area-id range prefix/length [advertise | not-advertise] [cost cost] Verifier OSPFv3

show ipv6 route show ipv6 ospf neighbor show ipv6 ospf interface

Exemple de configuration d’OSPFv3 f1/0 4 6 / : : 3 2 1 : e f1/0 f1/1 c 1 : : 8 b d : 1 ipv6 router ospf 1 0 0 router-id 2.2.2.2 2

R1

Area 1 Area 0

R2

R3 f1/0

4 6 / : : e c 1 : : 8 b d : 1 0 0 2

f1/0

interface FastEthernet1/0 ipv6 address 2001:DB8:1CE:123::2/64 ipv6 ospf 1 area 0 interface FastEthernet1/1 ipv6 address 2001:DB8:1CE::2/64

R4

Exemple de configuration d’OSPFv3 f1/0 4 6 / : : 3 2 1 : e c 1 : : 8 b d : 1 0 0 2

R1

R3 f1/0

Area 1 Area 0 f1/0

f1/1

R2

4 6 / : : e c 1 : : 8 b d : 1 0 0 2

f1/0

ipv6 router ospf 1 router-id 3.3.3.3 interface FastEthernet1/0 ipv6 address 2001:DB8:1CE:123::3/64

R4

Exemple de configuration d’OSPFv3 f1/0

R1

R3 f1/0

ipv6 router ospf 1 router-id 1.1.1.1 interface FastEthernet1/0 ipv6 address 2001:DB8:1CE:123::1/64 ipv6 ospf 1 area 1 4 6 / : : 3 2 1 : e c 1 : : 8 b d : 1 0 0 2

Area 1 Area 0 f1/0

f1/1

R2

4 6 / : : e c 1 : : 8 b d : 1 0 0 2

f1/0

R4

Exemple de configuration d’OSPFv3 f1/0 4 6 / : : 3 2 1 : e c 1 : : 8 b d : 1 0 0 2

R1

R3 f1/0

Area 1 Area 0 f1/0

f1/1

R2

4 6 / : : e c 1 : : 8 b d : 1 0 0 2

f1/0

R4

ipv6 router ospf 1 router-id 4.4.4.4 interface FastEthernet1/0 ipv6 address 2001:DB8:1CE::4/64

EXERCICE Lab 2.7 – Configurer et verifier multi-area OSPF

Donner

EXERCICE

3 notions que vous savez de BGP (IPv4)

Vue d'ense d 'ensemble mble de BGP pour IPv6 | But ! !

!

Il n'y a pas BGPv6!! BGP4 a été étendu é tendu avec des familles famil les d'adr d'adresses esses différentes IPv4-AF 4-AF : Transporte Transporte des préfixes préfi xes IPv4 ! IPv IPv6-AF 6-AF : Transporte Transporte des préfixes préfi xes IPv6 ! IPv ! Autres: VPNv4-AF , VPNv6-AF IPv66 peut être à la fois IPv foi s la charge utile et le protocole de de transport pour BGP

Des préfixes IPv6 et IPv4 sur un transport IPv4 Routeu Ro uteurs rs MP-B MP-BG GP Session BG BGP P IPv4

IPv6 IPv4

Modifier le PA du NEXT_HOP NEX T_HOP pour les prefixes prefix es v6

Des préfixes IPv6 et IPv4 sur un transport IPv6 Routeu Ro uteurs rs MP-B MP-BG GP Session IPv6 BG BGP P

IPv6 IPv4

Modifier le PA du NEXT_HOP NEX T_HOP pour les prefixes prefix es v4

Séparer les sessions sessions IPv4 IPv4 et IPv6 IPv4 Echange de préfixes préfi xes v4 dans des sessions v4

Echange de préfixes préfix es v6 dans dans des sessions sessi ons v6

IPv6

Exemple de Config BGP: configurer une session Préfixes: 203.0.113.0/24 2001:db8:dad::/48

Préfixes: 198.51.100.0/24 2001:db8:b00c::/48

router bgp 65000 template peer-session Internal remote-as 65000 update-source Loopback0 no bgp default ipv4-unicast neighbor 192.0.2.2 inherit peer-session Internal neighbor 192.0.2.2 description Bamenda peer v4 neighbor 2001:db8:1ce::2 inherit peer-session Internal

Exemple de Config BGP: échange de préfixes Préfixes: 203.0.113.0/24 2001:db8:dad::/48

Préfixes: 198.51.100.0/24 2001:db8:b00c::/48

address-family ipv4 neighbor 192.0.2.2 activate neighbor 192.0.2.2 inherit peer-policy Internal network 203.0.113.0 255.255.255.0 address-family ipv6 neighbor 2001:db8:1ce::2 activate neighbor 2001:db8:1ce::2 inherit peer-policy Internal

EXERCICE Lab 2.8 – Configurer et verifier MP-BGP


I O N S


Comprendre

La nécessité des Techniques de Transition IPv6 Objectifs de la Section ! !

Décrire la nécessité des techniques de transition Identifier les problèmes de transition de différents réseaux


statique & OSPFv3

9


FIN


Le POURQUOI des techniques de transition Déploiement rapide(pressé) d’IPv6 Logiciels Incompatible Contraintes Technologiques Réseau d'accès Hérité Choix initial du design du réseau CPEs Incompatible

Internet

Entreprise

Maison Access Mobile

✍ S E T O N D E L I A T E D ✍

Core

Edge

Services

Campus Nous avons besoin de techniques de transition si un ou plusieurs de ces blocs ne supportent pas IPv6

Scenario #1: Le fournisseur ne supporte pas IPv6 v4 v6

Entreprise

Maison

Internet v4 v6 Access

Core

Edge

Mobile Services Campus

Scenario #2: Le upstream ne supports pas IPv6 v4 v6

Entreprise

Internet v4 v6

Maison Access

Core

Edge


Scenario #3: Les réseaux 100% IPv6 v4 v6

Entreprise

Internet

Maison

Mobile v6 v4 Campus

v4 v6 Access v4 v6

Core

Edge

Services v4 v6

Scenario #4: Le cœur du réseau est MPLS v4 v6

Entreprise

Internet

Maison

v4 v6 Access

Core

Edge


Scenario #5: Des services 100% IPv6 v4 v6

Entreprise

Internet

Maison

v4 v6 Access

Core

v4 v6 Edge

Mobile v6 v4 Services Campus

Scenario #6: Un réseau d'accès 100% IPv6 v6 v4 Entreprise v6 v4 Maison v6 v4 Mobile v6 v4 Campus

v4 v6


v4 v6 Core

v4 v6 Edge

Services

D’autres scenarios

① L'accès à Internet IPv4 avec <1 IP publique par abonné ② Réseau a besoin de plus d’IP que la RFC1918 ne fournit ③ Accès à Internet v4 à partir d'un réseau uniquement v6 ④ Accès à des serveurs privés v4 depuis des réseaux v6


statique & OSPFv3

9


FIN


Il y a 3 catégories de techniques de transition

IPv4 IPv6 Dual stack

Tunneling

Translation

Comprendre & Implémenter

Un Tunnel Manuel Objectifs de la Session ! ! ! !

Décrire les éléments d'infrastructure des Tunnels Manuels Décrire comment cela fonctionne Identifier les meilleurs scénarios pour l'utilisation des Tunnels Manuels Configurer et vérifier des Tunnels Manuels

Qu'est-ce qu'un tunnel?

Qu'est-ce qu'un tunnel?

Qu'est-ce qu'un tunnel? Protocol Transporté (encapsulé)

Protocol de transport Media transmission

Qu'est-ce qu'un tunnel? ! !

!

!

Technique pour encapsuler un protocole dans une autre Pourquoi utiliser des tunnels: ! Le réseau ne prend pas en charge le protocole encapsulé ! Fournir un chemin sécurisé à travers le réseau non sécurisé Éléments de tunnels: ! Le protocole de transport: pris en charge par le réseau ! Le protocole encapsulé: non pris en charge par le réseau Les tunnels manuels sont point à point

Encapsuler IPv6 dans IPv4

!

Encapsuler IPv4 dans IPv6 v4

v6 v4 v6

v6

v4

Les types de Tunnels Manuels ① Tunnel router-router : connecte 2 réseaux IPv6 á travers

un réseau IPv4 ou vice-versa ② Tunnel host-router : donne accès à IPv6 à un hôte sur un

réseau IPv4 ③ Tunnel host-host : relie des hôtes IPv6 á travers un réseau

IPv4

Contourner le réseau d’accès v4 du fournisseur v4 v6

Entreprise

Maison


Core

Edge


Le FAI pourrait faire un tunnel à travers son upstream v4 v6

Entreprise

Internet v4 v6

Maison Access

Core

Edge


Comment fonctionne un tunnel

v4 v6 2 1 IPv6

IPv4 IPv6 IPv6

6

3 IPv6 IPv6 IPv4

5

IPv6 4

Conditions requises pour créer d'un tunnel $ Des

IPs statiques représentant les extrémités du tunnel ! adresses IPv4 pour tunnel v6 dans v4 ! adresses IPv6 pour tunnel v4 dans v6 ! configuré de préférence sur une interface de loopback $ Une connectivité standard entre les adresses d'extrémités $ Accord entre les opérateurs des différentes extrémités

Configurer un Tunnel Manuel sur Cisco IOS interface Tunnel0 no ip address ipv6 2001:db8:12::1/64 tunnel source Loopback0 tunnel destination 198.51.100.1 tunnel mode ipv6ip tunnel path-mtu-discovery ipv6 route 2001:db8:2000::/64 Tunnel0

Loopback0: 198.51.100.1

v4 v6

Loopback0: 192.0.2.1

interface Tunnel0 no ip address ipv6 2001:db8:12::2/64 tunnel source Loopback0 tunnel destination 192.0.2.1 tunnel mode ipv6ip tunnel path-mtu-discovery

Les problèmes liés aux tunnels !

! !

Fragmentation due à la taille des paquets qui augmente ! Pas un problème pour IPv4 ! IPv6 ne permet la fragmentation qu’á la source Les tunnels manuels ne sont pas évolutifs Le routage des paquets v6 peut être moins optimisé

Analyser j.mp/6in4-T ① Quelle est l’adresse IPv6 source de ce

message? EXERCICE ② Quelle est l’adresse IPv6 de destination? ③ Quel est la valeur du champ protocole dans l'en-tête IPv4? ④ Quelle sont les adresses IPv4 des extrémités de ce tunnel?

Lab Exercise 2.9 EXERCICE Configurer et vérifier un tunnel manuel

Comprendre & Implémenter

Le NAT64 Objectifs de la Session

! ! !

Décrire les éléments d'infrastructure des Tunnels Manuels Décrire comment cela fonctionne Identifier les meilleurs scénarios pour l'utilisation du NAT64

Scenario #3: Les réseaux 100% IPv6 v4 v6

Entreprise

Internet

Maison

Mobile v6 v4 Campus

v4 v6 Access v4 v6

Core

Comment ces équipements 100% v6 accèderont à des services 100% v4?

Edge

Services v4 v6

Éléments d’infrastructure du NAT64

résolveur DNS64

Client 100% v6

Server 100% v4

Passerelle NAT64

Éléments d’infrastructure du NAT64

!

Passerelle NAT64 ! Une interface IPv4 ! Une interface IPv6 ! Fait la translation IPv6 à IPv4 (pour UDP, TCP & ICMP)

Éléments d’infrastructure du NAT64 !

!

NAT64 ! Fait la translation IPv6 à IPv4 ! Doit être dual-stack DNS64 ! Extension d’un serveur DNS classique ! Crée des enregistrements de type AAAA pour tout enregistrement de type A ! Utilise un préfixe(well-known) réservé a cet effet.

Comment le NAT64 & DNS64 fonctionnent-ils 4

Synthesize AAAA from A using WKP 64:ff9b::/96 2

A? w w w. example .com

Regular DNS

o m c . l e 3 w w w. ex ample p .com = 192.0 . m = 5 DNS64 2.6 a x m e o c 6 w. e. : 2 0 l w Inside: 2001:db8::1 p 0 w 0 m ? Outside: 192.0.2.1 A x a : : c 0 s rc : 19 A e 7 . b 6 0 2 .0 . A 2 : w 1 A 9 0 2 .1 0 f d 0 s w f c t : : 19 2 : NAT64 b 9 f w 4 : f . : 0 .2 . s rc 6 : 19 6 s t : 6 4 : 2 : d 8 | b 2 d . 2 : 0 : 9 : 1 . 2 .6 8 0 d s t :1 9 2 1 : d b R D s t :2 0 0 d 0 o | . 2 0 : e 10 6 s r c .2 .1 8 - v : 2 0 6 0 c 0 0 6 c a : : l < : f f9 b c 4 6 | - : v6 Host c c r s h > v e 2001:db8::2 v4 Server c 4 k N s www.example.com u A 192.0.2.6


I O N S


cours complet ipv6

Recommend Documents