1

AW

T w

ww

.aw

t.b

e

IPv6@AWT, IPv6@AWT, Comment l’AWT a préparé sa Comment l’AWT a préparé sa

migration vers IPV6migration vers IPV6

IPv6 dans les administrations03 mars 2009

Carmelo ZacconeIr. Expert en Télécommunications et Technologies de l'Information PGP security: 0x1E3E73C3 linkedin.com/in/zaccone twitter.com/carmelo

cz@awt.be  

Agence Wallonne des Télécommunications  OIP du gouvernement Wallon (Belgique)  

Mob : +32 475 58.67.82 Avenue prince de Liège 133 Tél.: +32 81 77.80.76B-5100 Jambes www.awt.be  Fax.: +32 81 77.80.99

2

AW

T w

ww

.aw

t.b

e

AWT : mission de veilleAWT : mission de veille

Menée en étroite collaboration avec les principaux acteurs et entreprises du secteur TIC en Wallonie, en Belgique et à l’étranger, cette mission de veille vise à :

identifier les évolutions juridiques, technologiques, économiques liées aux TIC ;

observer et déterminer les usages des TIC en Wallonie (citoyens, PME, pouvoirs locaux, etc.). Pour cela, l’AWT réalise des enquêtes statistiques

annuelles et propose des recommandations d’action au Gouvernement wallon ;

publier des informations relatives aux TIC sur www.awt.be.

3

AW

T w

ww

.aw

t.b

e

Mission de conseilMission de conseil

Grâce à son expertise, l’AWT est l’interlocuteur privilégié du Gouvernement et des services publics wallons en matière de TIC.

Cette mission de conseil se concrétise par le lancement ou l’accompagnement de politiques et projets liés aux TIC :

infrastructures de télécommunications, e-gouvernement multicanal, PMTIC, coupole e-learning, sites web communaux, stimulation de l’usage des TIC dans les PME, etc.

4

AW

T w

ww

.aw

t.b

e

Mission de promotionMission de promotion

L’objectif de cette mission est : d’assurer une diffusion maximale des activités et

services de l’AWT ; de valoriser sa mission de veille de manière

opérationnelle, auprès des ses cibles privilégiées : citoyens, PME/TPE wallonnes et administrations.

Pour mener à bien cette mission de promotion, l’AWT a mis en oeuvre le portail www.awt.be.-> Base de données Vigie : 900 entreprises TIC actives en Région wallonne-> Portail = 373224 visteurs uniques et 2206742 pages vues en 2008

L’Agence a également développé des partenariats avec les secteurs public et privé. Enfin, elle organise et participe à de nombreux événements professionnels liés aux TIC.

5

AW

T w

ww

.aw

t.b

e

L’ICT de l’AWTL’ICT de l’AWT

Infrastructure de servicesInfrastructure réseau

6

AW

T w

ww

.aw

t.b

e

Infrastructure de servicesInfrastructure de services

Services (internes) IT de type entreprise : Mail/Agenda (MS exchange) DB (MySQL, Oracle, MSSql) Storage (cifs, SAN) etc

Services (externes) IT de type Internet : DMZ

o HTTP o FTP o Mailo etc

VPN

Large parc informatique (pc & serveur) :

Environnement mixe issue de plusieurs vendeurs (Microsoft, Linux, MacOS) et sur plusieurs générations (ex SrvWin2000/2003, XP, OSX)

7

AW

T w

ww

.aw

t.b

e

Infrastructure réseauInfrastructure réseau

LANs internes (filaire et sans fils) : Utilisateur (10.0.0.0/24) Invité (10.0.1.0/24) SAN (192.168.0.0/24) Voix (10.0.2.0/24) Management (172.16.0.0/16, segmenté) Accès Internet via NPAT

LAN externes : Ranges RIPE

o 193.191.132. 0/27, DMZo 193.191.132.32/28, segmenté pour des P2P entre équipements

DMZ FW-RouterAccès RouterAccès-VPN (RouterAccès-IDP) (IDP-FW)

Lien AWT vers ISP (BELNET) : Eth/FO en P2P entre RouterAccès-SW.AWT.POP-RouterISP Eth/WiFi en P2P entre RouterAccès-Bridge.WiFi AWT-SW.AWT.POP-

RouterISPTrial IPv6 :

Range RIPEo [2001:06a8:3880::/48]

8

AW

T w

ww

.aw

t.b

e

IPv6@AWTIPv6@AWT

GenèsePratiqueServicesRoadmap

9

AW

T w

ww

.aw

t.b

e

IPv6@AWT: genèseIPv6@AWT: genèsePourquoi l’AWT s’intéresse à v6 :

Implication de l’administrateur réseauo de longue date (’99)o IPv6Forum, Lead Alcatel v6Team, IETF, CEo TaskForce AWT « veille et promotion NTIC »

Intérêt de l’administrateur système ! KnowHow théorique mais peu de pratique!

o Séminaire (mis 2006) BELNET « utilisateur v6 » mais pas « administration v6 »

o arrivé du service de connectivité IPv6 clientArchitecture envisagé (approche prudente) :

Virtualiser le P2P.FO avec VLANs (IPv4 & IPv6) RouterAccès (C3825) IPv4

o sans implication IPv6o bridging du VLAN IPv6 avec RouterAccès dédié V6

RouterAccès (C2600) IPv6o natif IPv6o connecté au FW (CPix815) IPv6 Natif

Architecture effective (2007-2008) : IOS du C3825 pas capable de bridger IPv6/Eth Implication du C3825 par dual stack (V4&V6) C2600 enlevé et connexion directe du PIX815 au C3825

10

AW

T w

ww

.aw

t.b

e

IPv6@AWT: la pratiqueIPv6@AWT: la pratique

Véritable « casse tête » pour segmenter le range d’adresses IPv6

Réseau : Identifier & Installer les bons firmwares Configurer les éléments (router=simple, FW=moins évident)

IT : Identifier & Installer les bons OS & logiciels (client & serveur)

Quid de la localisation des services IT en IPv6 : Approche protectionniste (pas (trop) d’implication directe des services

actuels) Introduction de passerelle, relay, proxy

Quid sur la mise en place du DNS (il n’existe pas encore de root en IPv6 sur Internet) -> implication des serveurs DNS actuel !

Compréhension pratique du mécanisme d’auto-configuration IPv6 plus de serveur DHCP, remplacé par « router advertising » comment passer certaines de options DHCP (ex les DNS) ?

11

AW

T w

ww

.aw

t.b

e

IPv6@AWT: la pratiqueIPv6@AWT: la pratique

[2001:06a8:3880::/48] hiérarchisé suivant Villes [2001:06a8:3880::/51] Organisation [2001:06a8:3880::/53] Bâtiment [2001:06a8:3880::/55] Département [2001:06a8:3880::/87] Usage [2001:06a8:3880::/60]

o Routage Point à Point [2001:06a8:3880:00::/60] o LAN User [2001:06a8:3880:20::/60] o LAN DMZ [2001:06a8:3880:40::/60] o LAN Guest [2001:06a8:3880:60::/60] o LAN Management [2001:06a8:3880:70::/60]

Ex. Namur, AWT, Prince de Liège, IT, Usage actuel:

o LAN User– LAN User [2001:06a8:3880:20::00/64] – LAN User en VPN [2001:06a8:3880:2f::00/64]

o LAN DMZ [2001:06a8:3880:40::00/64] o LAN Guest [2001:06a8:3880:60::00/64]

12

AW

T w

ww

.aw

t.b

e

IPv6@AWT: les servicesIPv6@AWT: les services

Etape 1 -> services externes:

Mise en place d’un serveur « passerelle » pour les services mis à disposition en IPv6

Linux server (en mode virtual host VMWARE)o Noyaux post 2.4o Plusieurs interfaces réseaux (via un trunk VLANs sur

l’interface physique) -> une pate sur le segment DMZ IPv6 et une pate sur le segment Guest IPv4

Serviceso HTTPD Apache en reverse proxy vers les WWW (en IPv4)o SMTPD Postfix en relay vers le MS Exchangeo FTP(S) Proftpdo VPN OpenVPN (mode bridge et mode routé)

13

AW

T w

ww

.aw

t.b

e

IPv6@AWT: les services, roadmapIPv6@AWT: les services, roadmap

Etape 2 -> services internes : LAN user IPv6 natif

o Accès au monde V6o Pas encore d’accès simultané au monde V4o Une Linux Workstation (virtual host VMWARE)

LANs satellite (cfr. segmentation range) IPv6 natifo Accès au monde V6 depuis Internet

Etape 3 -> groupe « beta users » : Placer certain PC (Vista, MacOS ou XP+stackv6) utilisateurs

en V6 natif Introduction de NAT Protocol Translation (accès aux services

IT IPv4 + accès Internet IPv4) Traitement de la problématique de compatibilité des

logiciels du PC (par exemple Outlook)

14

AW

T w

ww

.aw

t.b

e

IPv6@AWT: roadmap suiteIPv6@AWT: roadmap suite

Etape 4 -> groupe « beta serveurs » : Mettre tout les LANs management en IPv6 Mettre en dual stacks certain serveurs Migrer certain serveurs en IPv6 natif

Traitement de la problématique des logiciels Traitement de la problématique d’accès des PC/Serveur

encore en IPv4 uniquement

Etape 5 -> validations et migration : Full IPv6 pour l’IT Full NAT Protocol Translation pour conserver accès au

monde V4

15

AW

T w

ww

.aw

t.b

e

Recommandations de l’AWTRecommandations de l’AWT

Travail d’équipe entre l’administrateur système et l’administrateur réseau

Bien comprendre et appréhender la technologie IPv6 :o point de vue réseau (le plus simple)o point de vue applicatifs (le plus ardu)

Identifier chacun de ses équipements Identifier chacun de ses applicatifs (client & serveur) Vérifier la compatibilité/stabilité de ceux-ci avec IPv6 Se faire la « main » en pratique sur un POC (Proof of concept) Entamer une réflexion plus avancée et préparer un plan d’évolution

de son ICT Ressources :

o Fiche technique: IPv6www.awt.be/web/fic/index.aspx?page=res,fr,fic,110,001

o Aide à la segmentation: V6 Subnet Calculatorwww.liquidalchemy.com/liquidalchemy/index.php