Cisco awt i-pv6_v2
-
Upload
ir-carmelo-zaccone -
Category
Documents
-
view
467 -
download
0
Transcript of Cisco awt i-pv6_v2
1
AW
T w
ww
.aw
t.b
e
IPv6@AWT, IPv6@AWT, Comment l’AWT a préparé sa Comment l’AWT a préparé sa
migration vers IPV6migration vers IPV6
IPv6 dans les administrations03 mars 2009
Carmelo ZacconeIr. Expert en Télécommunications et Technologies de l'Information PGP security: 0x1E3E73C3 linkedin.com/in/zaccone twitter.com/carmelo
Agence Wallonne des Télécommunications OIP du gouvernement Wallon (Belgique)
Mob : +32 475 58.67.82 Avenue prince de Liège 133 Tél.: +32 81 77.80.76B-5100 Jambes www.awt.be Fax.: +32 81 77.80.99
2
AW
T w
ww
.aw
t.b
e
AWT : mission de veilleAWT : mission de veille
Menée en étroite collaboration avec les principaux acteurs et entreprises du secteur TIC en Wallonie, en Belgique et à l’étranger, cette mission de veille vise à :
identifier les évolutions juridiques, technologiques, économiques liées aux TIC ;
observer et déterminer les usages des TIC en Wallonie (citoyens, PME, pouvoirs locaux, etc.). Pour cela, l’AWT réalise des enquêtes statistiques
annuelles et propose des recommandations d’action au Gouvernement wallon ;
publier des informations relatives aux TIC sur www.awt.be.
3
AW
T w
ww
.aw
t.b
e
Mission de conseilMission de conseil
Grâce à son expertise, l’AWT est l’interlocuteur privilégié du Gouvernement et des services publics wallons en matière de TIC.
Cette mission de conseil se concrétise par le lancement ou l’accompagnement de politiques et projets liés aux TIC :
infrastructures de télécommunications, e-gouvernement multicanal, PMTIC, coupole e-learning, sites web communaux, stimulation de l’usage des TIC dans les PME, etc.
4
AW
T w
ww
.aw
t.b
e
Mission de promotionMission de promotion
L’objectif de cette mission est : d’assurer une diffusion maximale des activités et
services de l’AWT ; de valoriser sa mission de veille de manière
opérationnelle, auprès des ses cibles privilégiées : citoyens, PME/TPE wallonnes et administrations.
Pour mener à bien cette mission de promotion, l’AWT a mis en oeuvre le portail www.awt.be.-> Base de données Vigie : 900 entreprises TIC actives en Région wallonne-> Portail = 373224 visteurs uniques et 2206742 pages vues en 2008
L’Agence a également développé des partenariats avec les secteurs public et privé. Enfin, elle organise et participe à de nombreux événements professionnels liés aux TIC.
5
AW
T w
ww
.aw
t.b
e
L’ICT de l’AWTL’ICT de l’AWT
Infrastructure de servicesInfrastructure réseau
6
AW
T w
ww
.aw
t.b
e
Infrastructure de servicesInfrastructure de services
Services (internes) IT de type entreprise : Mail/Agenda (MS exchange) DB (MySQL, Oracle, MSSql) Storage (cifs, SAN) etc
Services (externes) IT de type Internet : DMZ
o HTTP o FTP o Mailo etc
VPN
Large parc informatique (pc & serveur) :
Environnement mixe issue de plusieurs vendeurs (Microsoft, Linux, MacOS) et sur plusieurs générations (ex SrvWin2000/2003, XP, OSX)
7
AW
T w
ww
.aw
t.b
e
Infrastructure réseauInfrastructure réseau
LANs internes (filaire et sans fils) : Utilisateur (10.0.0.0/24) Invité (10.0.1.0/24) SAN (192.168.0.0/24) Voix (10.0.2.0/24) Management (172.16.0.0/16, segmenté) Accès Internet via NPAT
LAN externes : Ranges RIPE
o 193.191.132. 0/27, DMZo 193.191.132.32/28, segmenté pour des P2P entre équipements
DMZ FW-RouterAccès RouterAccès-VPN (RouterAccès-IDP) (IDP-FW)
Lien AWT vers ISP (BELNET) : Eth/FO en P2P entre RouterAccès-SW.AWT.POP-RouterISP Eth/WiFi en P2P entre RouterAccès-Bridge.WiFi AWT-SW.AWT.POP-
RouterISPTrial IPv6 :
Range RIPEo [2001:06a8:3880::/48]
8
AW
T w
ww
.aw
t.b
e
IPv6@AWTIPv6@AWT
GenèsePratiqueServicesRoadmap
9
AW
T w
ww
.aw
t.b
e
IPv6@AWT: genèseIPv6@AWT: genèsePourquoi l’AWT s’intéresse à v6 :
Implication de l’administrateur réseauo de longue date (’99)o IPv6Forum, Lead Alcatel v6Team, IETF, CEo TaskForce AWT « veille et promotion NTIC »
Intérêt de l’administrateur système ! KnowHow théorique mais peu de pratique!
o Séminaire (mis 2006) BELNET « utilisateur v6 » mais pas « administration v6 »
o arrivé du service de connectivité IPv6 clientArchitecture envisagé (approche prudente) :
Virtualiser le P2P.FO avec VLANs (IPv4 & IPv6) RouterAccès (C3825) IPv4
o sans implication IPv6o bridging du VLAN IPv6 avec RouterAccès dédié V6
RouterAccès (C2600) IPv6o natif IPv6o connecté au FW (CPix815) IPv6 Natif
Architecture effective (2007-2008) : IOS du C3825 pas capable de bridger IPv6/Eth Implication du C3825 par dual stack (V4&V6) C2600 enlevé et connexion directe du PIX815 au C3825
10
AW
T w
ww
.aw
t.b
e
IPv6@AWT: la pratiqueIPv6@AWT: la pratique
Véritable « casse tête » pour segmenter le range d’adresses IPv6
Réseau : Identifier & Installer les bons firmwares Configurer les éléments (router=simple, FW=moins évident)
IT : Identifier & Installer les bons OS & logiciels (client & serveur)
Quid de la localisation des services IT en IPv6 : Approche protectionniste (pas (trop) d’implication directe des services
actuels) Introduction de passerelle, relay, proxy
Quid sur la mise en place du DNS (il n’existe pas encore de root en IPv6 sur Internet) -> implication des serveurs DNS actuel !
Compréhension pratique du mécanisme d’auto-configuration IPv6 plus de serveur DHCP, remplacé par « router advertising » comment passer certaines de options DHCP (ex les DNS) ?
11
AW
T w
ww
.aw
t.b
e
IPv6@AWT: la pratiqueIPv6@AWT: la pratique
[2001:06a8:3880::/48] hiérarchisé suivant Villes [2001:06a8:3880::/51] Organisation [2001:06a8:3880::/53] Bâtiment [2001:06a8:3880::/55] Département [2001:06a8:3880::/87] Usage [2001:06a8:3880::/60]
o Routage Point à Point [2001:06a8:3880:00::/60] o LAN User [2001:06a8:3880:20::/60] o LAN DMZ [2001:06a8:3880:40::/60] o LAN Guest [2001:06a8:3880:60::/60] o LAN Management [2001:06a8:3880:70::/60]
Ex. Namur, AWT, Prince de Liège, IT, Usage actuel:
o LAN User– LAN User [2001:06a8:3880:20::00/64] – LAN User en VPN [2001:06a8:3880:2f::00/64]
o LAN DMZ [2001:06a8:3880:40::00/64] o LAN Guest [2001:06a8:3880:60::00/64]
12
AW
T w
ww
.aw
t.b
e
IPv6@AWT: les servicesIPv6@AWT: les services
Etape 1 -> services externes:
Mise en place d’un serveur « passerelle » pour les services mis à disposition en IPv6
Linux server (en mode virtual host VMWARE)o Noyaux post 2.4o Plusieurs interfaces réseaux (via un trunk VLANs sur
l’interface physique) -> une pate sur le segment DMZ IPv6 et une pate sur le segment Guest IPv4
Serviceso HTTPD Apache en reverse proxy vers les WWW (en IPv4)o SMTPD Postfix en relay vers le MS Exchangeo FTP(S) Proftpdo VPN OpenVPN (mode bridge et mode routé)
13
AW
T w
ww
.aw
t.b
e
IPv6@AWT: les services, roadmapIPv6@AWT: les services, roadmap
Etape 2 -> services internes : LAN user IPv6 natif
o Accès au monde V6o Pas encore d’accès simultané au monde V4o Une Linux Workstation (virtual host VMWARE)
LANs satellite (cfr. segmentation range) IPv6 natifo Accès au monde V6 depuis Internet
Etape 3 -> groupe « beta users » : Placer certain PC (Vista, MacOS ou XP+stackv6) utilisateurs
en V6 natif Introduction de NAT Protocol Translation (accès aux services
IT IPv4 + accès Internet IPv4) Traitement de la problématique de compatibilité des
logiciels du PC (par exemple Outlook)
14
AW
T w
ww
.aw
t.b
e
IPv6@AWT: roadmap suiteIPv6@AWT: roadmap suite
Etape 4 -> groupe « beta serveurs » : Mettre tout les LANs management en IPv6 Mettre en dual stacks certain serveurs Migrer certain serveurs en IPv6 natif
Traitement de la problématique des logiciels Traitement de la problématique d’accès des PC/Serveur
encore en IPv4 uniquement
Etape 5 -> validations et migration : Full IPv6 pour l’IT Full NAT Protocol Translation pour conserver accès au
monde V4
15
AW
T w
ww
.aw
t.b
e
Recommandations de l’AWTRecommandations de l’AWT
Travail d’équipe entre l’administrateur système et l’administrateur réseau
Bien comprendre et appréhender la technologie IPv6 :o point de vue réseau (le plus simple)o point de vue applicatifs (le plus ardu)
Identifier chacun de ses équipements Identifier chacun de ses applicatifs (client & serveur) Vérifier la compatibilité/stabilité de ceux-ci avec IPv6 Se faire la « main » en pratique sur un POC (Proof of concept) Entamer une réflexion plus avancée et préparer un plan d’évolution
de son ICT Ressources :
o Fiche technique: IPv6www.awt.be/web/fic/index.aspx?page=res,fr,fic,110,001
o Aide à la segmentation: V6 Subnet Calculatorwww.liquidalchemy.com/liquidalchemy/index.php