Conférence IPv6 - jmdilly.fr · Chef de projet sécurité du laboratoire Candidat STA 2010/2011 En...

Laboratoire Cisco 2010

www.supinfo.com Copyright © SUPINFO. All rights reserved

Conférence IPv6

Jean-Michel DILLY   B2 SUPINFO Caen

  CLM Cisco Caen

  STA Cisco

  Certifications :

  CCNA

  CCNA Voice

  CCNA Security

  642-901 BSCI

  [email protected]

Présentateurs

Valérian CASTEL   B2 SUPINFO Caen

  Membre du laboratoire Cisco

  Chef de projet sécurité du laboratoire

  Candidat STA 2010/2011

  En cours :

  CCNA

  CCNA Security

  [email protected]

  http://www.valeriancastel.fr

Présentateurs

Objectif de ce cours.

  Maîtriser les bases de l’IPv6.

  Savoir ce que va apporter l’IPv6.

  Transition IPv6

  Routage en IPv6

Conférence IPv6 – Labo Cisco 2010

Découpage du cours

  Pourquoi l’IPv6 ?

  Nécessité d’un nouveau protocole.

  IPv6 : les grands changements.

  Datagramme

  Adressage

  Autoconfiguration Stateless et Stateful

  Transition

  6in4 / 6to4

  Routage

  Ripng / OPSFv3

Trois axes :


Pourquoi l’IPv6 ?


La nécessité de l’IPv6

  Pénurie d’adresses :

  IPv4 : 4,3 milliards d’adresses IP utilisables.

  IPv6 : 2^128 adresses IP utilisables, soit 667 millions de milliards d’adresses IP disponibles par mm².

  Pourquoi IPv6 et pas IPv5 ?

  IPv5 : protocole de flux (Stream Protocol) qui est resté expérimental.

Pourquoi l’IPv6 ? – Labo Cisco 2010


  Les besoins actuels ont changés depuis la mise en place de l’IPv4.

  Ipsec : Sécurisation intégré au procotole.

  QoS : Quality of Service.

  Mobilité

  La notion de “plug-and-play” :

  Autoconfiguration et DHCPv6


NAT et adresses privées

  NAT (Network Adress Translation)

  Permet d’utiliser une adresse public pour tout un réseau privé.

  Contribue à la sauvegarde des adresses IPv4.

  Inutile pour l’IPv6 : vu le nombre d’adresses disponible…

  Chaque machine en IPv6 est donc directement visible sur internet.



Part 1 Stop-and-think

Do you have any questions ?

IPv6 : Les grands changements.


A quoi ressemble une adresse IPv6 ?

  Une adresse IPv4 :

  192.168.0.1

  Une adresse IPv6 :

  2b04:210:fe3e:0:402c:c185:e9ac:129f

  http://[2b04:210:fe3e:0:402c:c185:e9ac:129f]:80

IPv6 : Les grands changements – Labo Cisco 2010

Particularités d’une adresse IPv6

  Ecriture hexadécimale

  L’adresse est sur 128 bits : 8 groupes de 2 octets.

  128 bits, pour se faciliter la vie.

  Généralement le masque de sous réseau est en /64 maximum : on l’appelle dorénavant le préfixe de sous-réseau.

IPv6 : Les grands changements – Labo Cisco 2010

Format d’une adresse IPv6 IPv6 : Les grands changements – Labo Cisco 2010

  Deux formats existants :

  Preferred format (= Adresse complète)

  2b04:210:fe3e:0:402c:c185:e9ac:129f

  Compressed format

  2b04:210:fe3e::402c:c185:e9ac:129f

  Fonctionne aussi avec plusieurs groupes consécutifs égaux à zéro :

  2b04:210:fe3e:0:0:0:e9ac:129f

  2b04:210:fe3e::e9ac:129f

  Attention, la réduction peut être effectuée qu’une seule et unique fois sur toute l’adresse.

Notion de sous réseau IPv6 : Les grands changements – Labo Cisco 2010

  Masque de sous réseau écrit uniquement en CIDR

  2b04:210:fe3e::402c:c185:e9ac:129f /64

  Partie rouge = Préfixe IPv6

  On recommande au maximum un /64 (Suppression de l’autoconf au delà de /64)

  Toutes les adresses sont utilisables pour adresser des hôtes. (Disparition des adresses de sous réseau et de broadcast.)

Datagramme IPv4 IPv6 : Les grands changements – Labo Cisco 2010

Version Header Length TOS Total Length

Identification Flag Offset

Time to Live (TTL) Protocol Header Check sequence

Source IP address

Destination IP address

Options IP (optionnal) Overload

16 24 8 4 32 bits   Header IPv4 :


Payload Length 16bits

Version 6

Hop Limits 8bits

Flow Label 20bits

Next Hdr 8bits (optionnal)

Traffic Class 8bits

Source IP address 128bits Destination IP address 128bits

  Header IPv6 :

  Flow Label : Gestion de la QoS.

  Traffic Class = TOS

  Payload Length = Total Length

  Next Header = Protocol / Extension / Options

  Hop Limits = TTL


  Next Header, comment ça marche :

Extension du datagramme IPv6 IPv6 : Les grands changements – Labo Cisco 2010

  Différence avec IPv4 :

  Dans l’IPv4, fragmentation ou non, les bits sont présents dans le header.

  Dans l’IPv6, on gère les options du paquet grâce à des extensions.

  Ces extensions sont définis après le header, et avant les données.

  Exemples :

  Routage

  Fragmentation

  Ipsec : Confidentialité et Authentification

  Mobilité

  …


  La mobilité

  Géré nativement par IPv6 : lorsqu’un client change d’emplacement, il garde la même passerelle, grâce aux Binding Update. (Triangular Routing)


La nécessité de l’IPv6 Pourquoi l’IPv6 ? – Labo Cisco 2010

Fragmentation en IPv6 IPv6 : Les grands changements – Labo Cisco 2010

  En IPv4, chaque routeur fragmentait le paquet en fonction du MTU de la liaison suivante.

  En IPv6, lorsque le paquet est trop gros, le routeur renvoie un paquet ICMPv6 avec le message Packet Too Big.

  C’est en effet l’émetteur qui est maintenant responsable de la fragmentation.

  MTU par défaut en IPv6: 4 352 octets.

  MTU minimal autorisé pour les liens : 1280 octets (contre 576 pour l’IPv4)

Fragmentation en IPv6 IPv6 : Les grands changements – Labo Cisco 2010

  En IPv6 on va utiliser le protocole PMTUD (Path MTU Discovery)

  Repose sur des messages ICMPv6 pour déterminer le MTU minimum entre deux points.

  De base en IPv6, une interface réseau a plusieurs adresses en IPv6 :

  Adresse link-local (FE80::/10)

  Adresse aggregatable global

  Adresse site local (FEC0::/10) / unique local (FC00::/7)

Plusieurs adresses par carte IPv6 : Les grands changements – Labo Cisco 2010

  Plusieurs types d’adresses en IPv6 Plusieurs adresses par carte IPv6 : Les grands changements – Labo Cisco 2010

  Construction : FE80 + EUI-64

  Cette adresse n’est pas routable, elle n’est utilisable que pour communiquer entre équipements sur un même sous-réseau.

  Elle rentre en jeu dans certains mécanisme de l’IPv6 comme NDP.

  Link-local du routeur utilisé comme default gateway

Link-local (FE80::/10) IPv6 : Les grands changements – Labo Cisco 2010

  Site-local

  Préfixe : FEC0::/10

  Equivalent de l’adressage privé en IPv4 (RFC 1918)

  Deprécié

  Unique Local Address (ULA) [RFC 4193]

  Même principe Site-local mais avec un préfixe mondialement unique généré avec un algorithme aléatoire.

  Une base provisoire géré par le Sixxs.net

  Préfixe utilisé : FC00::/7

Adresses locales IPv6 : Les grands changements – Labo Cisco 2010

  Préfixe : 2000::/3

  Il s’agit de l’adresse publique de l’équipement

  L’adresse est généralement divisé en 3 parties

  Provider (48 bit)

  Site (16 bit)

  Host (64 bit) : généralement EUI-64

Aggregatable global unicast IPv6 : Les grands changements – Labo Cisco 2010

  Pas de broadcast en IPv6 : possibilité de faire l’équivalent en multicast.

  Le multicast

  Sur des sous-réseaux locaux, utilisés par plusieurs fonctionnalités d’IPv6

  Préfixe : FF00::/8

  Ex:

  FF02::1 = tous les équipements du sous-réseaux

  FF02::2 = tous les routeurs

  Mapping Ethernet

  33:33:XX:XX:XX:XX où XX sont les 32 derniers bis de l’adresse IPv6

Multicast / broadcast IPv6 : Les grands changements – Labo Cisco 2010

  NDP = Neighbor Discovery Protocol

  Protocol reposant sur l’ICMPv6

NDP IPv6 : Les grands changements – Labo Cisco 2010

Neighbor Discovery Protocol

Remplacement of ARP

Stateless Autoconf

Prefix Advertisement

Duplicate Address

Detection Prefix

Renumbering

Router Redirection

  Remplacement du protocole ARP

  Repose sur des messages ICMPv6

  Type 135 : Neighbor solicitation (NS)

  Type 136 : Neighbor advertisement (NA)

  Et l’adresse multicast : FF02::1:FFXX:XXXX où XX sont les 32 derniers bits de l’adresse IPv6 cible

NDP IPv6 : Les grands changements – Labo Cisco 2010

Stop-and-think IPv6 : Les grands changements – Labo Cisco 2010


Autoconf


  Trois types

  Autoconfiguration stateless

  Autoconfiguration stateful (= DHCPv6)

  Autoconfiguration stateless DHCPv6

L’autoconf en IPv6 IPv6 : L’autoconf– Labo Cisco 2010

  Avec ce mode, pas besoin de DHCP, les équipements se configurent seuls.

  Principe : le routeur va annoncer un préfixe sur le réseau et les clients vont se configurer en utilisant : Préfixe + EUI-64

Autoconf stateless IPv6 : L’autoconf– Labo Cisco 2010

  Duplicate Address Detection (DAD) s’assure de l’unicité de l’adresse généré grâce au message “Neighbor Solicitation” (ICMPv6 Type 135)


  Problème : les équipements n’ont qu’une IP et la gateway, pas de serveur DNS.

  RFC 5006 : le routeur annonce également le serveur DNS Pas encore supporté par les OS

  Avantage

  Permet de simplement « renuméroter le sous-réseau »


  Repose sur un serveur DHCPv6

  Même idée que pour l’IPv4

  Adresses de multicast pour les requêtes : FF02::1:2 et FF05::1:3

  Avantages

  Meilleurs gestions des ressources

  Possibilités de passer de nombreuses options : DNS, NTP, …

  Inconvénient

  Requiert la configuration et la maintenance d’un serveur

Autoconf stateful IPv6 : L’autoconf– Labo Cisco 2010

  Mix de configuration

  L’équipement récupère son IP grâce à l’autoconf stateless

  Puis il récupère les informations complémentaires (DNS, NTP, …) par un protocole DHCPv6 allégé.

Autoconf stateless DHCPv6 IPv6 : L’autoconf– Labo Cisco 2010

Transition vers l’IPv6…


Dual stack

  Dual stack

  IPv6 natif

  Routeur dual stack qui route à la fois IPv6 et IPv4.

  Chaque machine a donc une adresse IPv4 et une adresse IPv6.

  Lors d’une requête DNS, l’IPv6 est prioritaire.

Transition– Labo Cisco 2010

Le tunneling

  Pourquoi le tunneling ?

  Relier deux réseaux natifs IPv6 isolés.

Transition – Labo Cisco 2010

6in4

  Tunnel 6in4

  Encapsule l’IPv6 dans les packets IPv4 : 20 bytes réservés pour l’header IPv4.

  Champ protocole de l’header IPv4 : 41.


Toredo

  Encapsulation de l’IPv6 dans de l’UDP

  Intérêt : traverser le NAT

  Inconvéniant : entêtes plus grosses donc débit réduit.


6to4

  Prefix 2002::/16 + IPv4 du 6to4 routeur du point d’entrée du réseau.

  Mécanisme automatique de tunneling entre un îlot IPv4 et le réseau IPv6

  Trois étapes dans la mise en place :

  Assigner un block IPv6 à un réseau local qui a une global IPv4

  Encapsuler IPv6 dans l’IPv4 (6in4)

  Router le traffic entre 6to4 et le réseau IPv6 natif


6to4 Transition – Labo Cisco 2010

Transition : Tunnel Broker

  Groupement d’opérateur proposant d’établir un tunnel jusqu’à chez eux, dans le but d’obtenir un accès au réseau IPv6 natif.

  Exemple :

  SixxS

  Hurricane Electric

  Etc…

  Souvent gratuit…


Les freins…

  Peu d’applications supportent l’IPv6 actuellement.

  Parfois mal géré au niveau des OS

  Manque de compétences pour la mise d’une infrastructure IPv6.


  La plupart du temps le routage IPv6 sur les routeurs n’est pas activés par défaut

  Principes similaires au routage IPv4

  Mais :

  Next-hop : adresse link-local du routeur distant

  Les protocoles de routage existant doivent être adaptés au nouveau protocole

  Routage classless

  Affecte les performances du routeurs (en-têtes plus grandes)

  Routages IPv4 & IPv6 indépendant

Généralités IPv6 : Routage– Labo Cisco 2010

  Based on RIPv2, protocole à vecteur de distance

  Use ipv6 for transport

  Include the IPv6 prefix and next hop address

  Use multicast group FF02::9 as destination for RIP updates

  Send updates on UDP port 521

  Is supported by Cisco IOS 12.2(2)T and later

  Pas d’authentification intégrée assurée par IPsec

  Façon de configurer différente que RIPv3

RIPng IPv6 : Routage– Labo Cisco 2010

  Deux formats de paquet : type 1 = Requête, type 2 = réponse.

  Configuration de RIPng sur chacune des interfaces.   Router> enable

  Router# conf t

  Router(config)# ipv6 unicast-routing

  Router(config)# ipv6 router rip processname

  Router(config-router)# int Fa0/0

  Router(config-if)# ipv6 address address/prefix-length [eui-64]

  Router(config-if)# ipv6 rip processname enable

  Les updates seront envoyés sur les interfaces du même process.

RIPng IPv6 : Les grands changements – Labo Cisco 2010

  Version avancée de OSPFv2 définie dans le RFC 2740

  Protocole Links-state

  Encapsulation dans de l’IPv6

  Adresses de multicast :

  FF02::5 tous les routeurs OSPFv3

  FF02::6 DR & BDR

  OSPFv3 configuré sur un lien.

  Pas d’authentification intégrée assurée par Ipsec

  /!\ router-id sur 32 bits

  2 nouveaux types de LSA

OSPFv3 IPv6 : Routage– Labo Cisco 2010

  Configuration OSPFv3 sur IOS Cisco

  Router> enable

  Router# conf t

  Router(config)# ipv6 unicast-routing

  Router(config)# ipv6 router ospf processnumber

  Router(config-router)# router-id id

  Router(config-router)# int Fa0/0

  Router(config-if)# ipv6 address address/prefix-length [eui-64]

  Router(config-if)# ipv6 ospf processnumber area number

OSPFv3 IPv6 : Routage– Labo Cisco 2010

Documentation IPv6 : L’autoconf– Labo Cisco 2010

  Implementing IPv6 Network

  Couvre la partie basique concernant l’IPv6.

  Un peu dépassé sur certaines notions.

  Deploying IPv6 Networks

  Orienté réseau d’entreprise.

  Destiné à la mise en production d’un réseau IPv6

  Notions approfondies.

Documentation IPv6 : L’autoconf– Labo Cisco 2010

  O’Reilly : IPv6 Essentials

  Ouvrage complet sur l’IPv6

  Live.g6.asso.fr

  La bible de l’IPv6 sur le web.

  Couvre toutes les nouveautés et évolutions IPv6.

  http://livre.g6.asso.fr

NDP

Autoconfiguration

Summary

IPv6 : 128 bit

IPv6 : L’autoconf– Labo Cisco 2010

Congratulations

You have successfully completed the IPv6 course

The end Conférence IPv6 – Labo Cisco 2010

Conférence IPv6 - jmdilly.fr · Chef de projet sécurité du laboratoire Candidat STA 2010/2011 En...

Documents

Transcript of Conférence IPv6 - jmdilly.fr · Chef de projet sécurité du laboratoire Candidat STA 2010/2011 En...