Conférence IPv6

7/31/2019 Conférence IPv6

http://slidepdf.com/reader/full/conference-ipv6 1/60

Laboratoire Cisco 2010

www.supinfo.com

Copyright © SUPINFO . All rights reserved

Co

nférence IPv6



Jean-Michel DILLY B2 SUPINFO Caen

CLM Cisco Caen

STA Cisco

Certifications :

CCNA CCNA Voice

CCNA Security

642-901 BSCI

[email protected]

Présentateurs



Valérian CASTEL B2 SUPINFO Caen

Membre du laboratoireCisco

Chef de projet sécurité dulaboratoire

Candidat STA 2010/2011

En cours :

CCNA

CCNA Security

[email protected]

http://www.valeriancastel.fr

Présentateurs



Objectif de ce cours.

Maîtriser les bases de l’IPv6.

Savoir ce que va apporter l’IPv6.

Transition IPv6

Routage en IPv6

Conférence IPv6 – Labo Cisco 2010



Découpage du cours

Pourquoi l’IPv6 ?

Nécessité d’un nouveauprotocole.

IPv6 : les grands changements.

Datagramme

Adressage

Autoconfiguration Stateless etStateful

Transition

6in4 / 6to4 Routage

Ripng / OPSFv3

Trois axes :




Pourquoi l’IPv6 ?




La nécessité de l’IPv6

Pénurie d’adresses :

IPv4 : 4,3 milliards d’adresses IP utilisables.

IPv6 : 2^128 adresses IP utilisables, soit 667millions de milliards d’adresses IP disponibles par mm ² .

Pourquoi IPv6 et pas IPv5 ?

IPv5 : protocole de flux (Stream Protocol) qui estresté expérimental.

Pourquoi l’IPv6 ? – Labo Cisco 2010




Les besoins actuels ont changés depuis la mise enplace de l’IPv4.

Ipsec : Sécurisation intégré au procotole.

QoS : Quality of Service. Mobilité

La notion de “plug-and-play” :

Autoconfiguration et DHCPv6




NAT et adresses privées

NAT (Network Adress Translation)

Permet d’utiliser une adresse public pour tout unréseau privé.

Contribue à la sauvegarde des adresses IPv4. Inutile pour l’IPv6 : vu le nombre d’adresses

disponible…

Chaque machine en IPv6 est donc directement visiblesur internet.





Part 1 Stop-and-think

Do you have any questions ?



IPv6 : Les grandschangements.




A quoi ressemble une adresse IPv6 ?

Une adresse IPv4 :

192.168.0.1

Une adresse IPv6 :

2b04:210:fe3e:0:402c:c185:e9ac:129f

http://[2b04:210:fe3e:0:402c:c185:e9ac:129f]:80

IPv6 : Les grands changements – Labo Cisco 2010



Particularités d’une adresse IPv6

Ecriture hexadécimale

L’adresse est sur 128 bits : 8 groupes de 2 octets.

128 bits, pour se faciliter la vie.

Généralement le masque de sous réseau est en /64maximum : on l’appelle dorénavant le préfixe de sous-réseau.

IPv6 : Les grands changements – Labo Cisco 2010



Format d’une adresse IPv6IPv6 : Les grands changements – Labo Cisco 2010

Deux formats existants : Preferred format (= Adresse complète)

2b04:210:fe3e :0: 402c:c185:e9ac:129f

Compressed format

2b04:210:fe3e ::402c:c185:e9ac:129f

Fonctionne aussi avec plusieurs groupes consécutifségaux à zéro :

2b04:210:fe3e :0:0:0: e9ac:129f

2b04:210:fe3e ::e9ac:129f

Attention, la réduction peut être effectuée qu’uneseule et unique fois sur toute l’adresse.



Notion de sous réseauIPv6 : Les grands changements – Labo Cisco 2010

Masque de sous réseau écrit uniquement en CIDR 2b04:210:fe3e:: 402c:c185:e9ac:129f /64

Partie rouge = Préfixe IPv6

On recommande au maximum un /64 (Suppression del’autoconf au delà de /64)

Toutes les adresses sont utilisables pour adresser des hôtes.(Disparition des adresses de sous réseau et de broadcast.)



Datagramme IPv4IPv6 : Les grands changements – Labo Cisco 2010

Version Header Length

TOS Total Length

Identification Flag Offset

Time to Live (TTL) Protocol Header Checksequence

Source IP address

Destination IP address

Options IP (optionnal) Overload

16 2484 32 bits

Header IPv4 :




Payload Length 16bits

Version 6

Hop Limits 8bits

Flow Label 20bits

Next Hdr 8bits(optionnal)

Traffic Class 8bits

Source IP address 128bits

Destination IP address 128bits

Header IPv6 :

Flow Label : Gestion de la QoS.

Traffic Class = TOS

Payload Length = Total Length

Next Header = Protocol / Extension / Options

Hop Limits = TTL




Next Header, comment ça marche :



Extension du datagramme IPv6IPv6 : Les grands changements – Labo Cisco 2010

Différence avec IPv4 : Dans l’ IPv4 , fragmentation ou non, les bits sont présents dans

le header.

Dans l’ IPv6 , on gère les options du paquet grâce à desextensions.

Ces extensions sont définis après le header, et avant lesdonnées.

Exemples :

Routage

Fragmentation

Ipsec : Confidentialité et Authentification

Mobilité

…




La mobilité Géré nativement par IPv6 : lorsqu’un client

change d’emplacement, il garde la mêmepasserelle, grâce aux Binding Update. (Triangular Routing)




La nécessité de l’IPv6Pourquoi l’IPv6 ? – Labo Cisco 2010



Fragmentation en IPv6IPv6 : Les grands changements – Labo Cisco 2010

En IPv4 , chaque routeur fragmentait le paquet en fonctiondu MTU de la liaison suivante.

En IPv6 , lorsque le paquet est trop gros, le routeur renvoieun paquet ICMPv6 avec le message Packet Too Big .

C’est en effet l’ émetteur qui est maintenant responsable

de la fragmentation. MTU par défaut en IPv6: 4 352 octets .

MTU minimal autorisé pour les liens : 1280 octets (contre576 pour l’IPv4)



Fragmentation en IPv6IPv6 : Les grands changements – Labo Cisco 2010

En IPv6 on va utiliser le protocole PMTUD (Path MTU Discovery)

Repose sur des messages ICMPv6 pour déterminer le MTUminimum entre deux points.



De base en IPv6, une interface réseau a plusieurs adresses

en IPv6 :

Adresse link-local (FE80::/10)

Adresse aggregatable global

Adresse site local (FEC0::/10) / unique local (FC00::/7)

Plusieurs adresses par carteIPv6 : Les grands changements – Labo Cisco 2010



Plusieurs types d’adresses en IPv6

Plusieurs adresses par carteIPv6 : Les grands changements – Labo Cisco 2010



Construction : FE80 + EUI-64

Cette adresse n’est pas routable, elle n’est utilisable quepour communiquer entre équipements sur un même sous-réseau.

Elle rentre en jeu dans certains mécanisme de l’IPv6comme NDP.

Link-local du routeur utilisé comme default gateway

Link-local (FE80::/10)IPv6 : Les grands changements – Labo Cisco 2010



Site-local

Préfixe : FEC0::/10 Equivalent de l’adressage privé en IPv4 (RFC 1918)

Deprécié

Unique Local Address (ULA) [RFC 4193]

Même principe Site-local mais avec un préfixemondialement unique généré avec un algorithmealéatoire.

Une base provisoire géré par le Sixxs.net

Préfixe utilisé : FC00::/7

Adresses localesIPv6 : Les grands changements – Labo Cisco 2010



Préfixe : 2000::/3

Il s’agit de l’adresse publique de l’équipement

L’adresse est généralement divisé en 3 parties

Provider (48 bit)

Site (16 bit)

Host (64 bit) : généralement EUI-64

Aggregatable global unicastIPv6 : Les grands changements – Labo Cisco 2010



Pas de broadcast en IPv6 : possibilité de faire l’équivalent

en multicast. Le multicast

Sur des sous-réseaux locaux, utilisés par plusieursfonctionnalités d’IPv6

Préfixe : FF00::/8

Ex:

FF02::1 = tous les équipements du sous-réseaux

FF02::2 = tous les routeurs

Mapping Ethernet 33:33:XX:XX:XX:XX où XX sont les 32 derniers bis

de l’adresse IPv6

Multicast / broadcastIPv6 : Les grands changements – Labo Cisco 2010



NDP = Neighbor Discovery Protocol

Protocol reposant sur l’ICMPv6

NDPIPv6 : Les grands changements – Labo Cisco 2010

Neighbor DiscoveryProtocol

Remplacementof ARP

Stateless Autoconf

Prefix Advertisement

Duplicate AddressDetection

PrefixRenumbering

Router Redirection



Remplacement du protocole ARP

Repose sur des messages ICMPv6 Type 135 : Neighbor solicitation (NS)

Type 136 : Neighbor advertisement (NA)

Et l’adresse multicast : FF02::1:FFXX:XXXX où XX sontles 32 derniers bits de l’adresse IPv6 cible

NDPIPv6 : Les grands changements – Labo Cisco 2010



Stop-and-thinkIPv6 : Les grands changements – Labo Cisco 2010




Autoconf




Trois types

Autoconfiguration stateless Autoconfiguration stateful (= DHCPv6)

Autoconfiguration stateless DHCPv6

L’autoconf en IPv6IPv6 : L’autoconf– Labo Cisco 2010



Avec ce mode, pas besoin de DHCP, les équipements se

configurent seuls. Principe : le routeur va annoncer un préfixe sur le réseau et

les clients vont se configurer en utilisant : Préfixe + EUI-64

Autoconf statelessIPv6 : L’autoconf– Labo Cisco 2010



Duplicate Address Detection (DAD) s’assure de l’unicité de

l’adresse généré grâce au message “Neighbor Solicitation” (ICMPv6 Type 135)




Problème : les équipements n’ont qu’une IP et la gateway,

pas de serveur DNS. RFC 5006 : le routeur annonce également le serveur

DNS Pas encore supporté par les OS

Avantage

Permet de simplement « renuméroter le sous-réseau »




Repose sur un serveur DHCPv6

Même idée que pour l’IPv4 Adresses de multicast pour les requêtes : FF02::1:2 et

FF05::1:3

Avantages

Meilleurs gestions des ressources Possibilités de passer de nombreuses options : DNS,

NTP, …

Inconvénient

Requiert la configuration et la maintenance d’un serveur

Autoconf statefulIPv6 : L’autoconf– Labo Cisco 2010



Mix de configuration

L’équipement récupère son IP grâce à l’autoconf stateless

Puis il récupère les informations complémentaires(DNS, NTP, …) par un protocole DHCPv6 allégé.

Autoconf stateless DHCPv6IPv6 : L’autoconf– Labo Cisco 2010



Transition vers l’IPv6…




Dual stack

Dual stack

IPv6 natif

Routeur dual stack qui route à la fois IPv6 et IPv4.

Chaque machine a donc une adresse IPv4 et uneadresse IPv6.

Lors d’une requête DNS, l’IPv6 est prioritaire.

Transition– Labo Cisco 2010



Le tunneling

Pourquoi le tunneling ?

Relier deux réseaux natifs IPv6 isolés.

Transition – Labo Cisco 2010



6in4

Tunnel 6in4

Encapsule l’IPv6 dans les packets IPv4 : 20 bytesréservés pour l’header IPv4.

Champ protocole de l’header IPv4 : 41.




Toredo

Encapsulation de l’IPv6 dans de l’UDP

Intérêt : traverser le NAT

Inconvéniant : entêtes plus grosses donc débit réduit.




6to4

Prefix 2002::/16 + IPv4 du 6to4 routeur du point d’entréedu réseau.

Mécanisme automatique de tunneling entre un îlot IPv4et le réseau IPv6

Trois étapes dans la mise en place :

Assigner un block IPv6 à un réseau local qui aune global IPv4

Encapsuler IPv6 dans l’IPv4 (6in4)

Router le traffic entre 6to4 et le réseau IPv6 natif




6to4Transition – Labo Cisco 2010



Transition : Tunnel Broker

Groupement d’opérateur proposant d’établir un tunnel jusqu’à chez eux, dans le but d’obtenir un accès auréseau IPv6 natif.

Exemple :

SixxS

Hurricane Electric

Etc…

Souvent gratuit…




Les freins…

Peu d’applications supportent l’IPv6 actuellement.

Parfois mal géré au niveau des OS

Manque de compétences pour la mise d’uneinfrastructure IPv6.




La plupart du temps le routage IPv6 sur les routeurs n’est pasactivés par défaut

Principes similaires au routage IPv4

Mais :

Next-hop : adresse link-local du routeur distant

Les protocoles de routage existant doivent être adaptés aunouveau protocole

Routage classless

Affecte les performances du routeurs (en-têtes plus grandes)

Routages IPv4 & IPv6 indépendant

GénéralitésIPv6 : Routage– Labo Cisco 2010



Based on RIPv2, protocole à vecteur de distance

Use ipv6 for transport Include the IPv6 prefix and next hop address

Use multicast group FF02::9 as destination for RIPupdates

Send updates on UDP port 521

Is supported by Cisco IOS 12.2(2)T and later

Pas d’authentification intégrée assurée par IPsec

Façon de configurer différente que RIPv3

RIPngIPv6 : Routage– Labo Cisco 2010



Deux formats de paquet : type 1 = Requête, type 2 =réponse.

Configuration de RIPng sur chacune des interfaces. Router> enable

Router# conf t

Router(config)# ipv6 unicast-routing

Router(config)# ipv6 router rip processname

Router(config-router)# int Fa0/0

Router(config-if)# ipv6 address address/prefix-length [eui-64]

Router(config-if)# ipv6 rip processname enable

Les updates seront envoyés sur les interfaces du mêmeprocess.

RIPngIPv6 : Les grands changements – Labo Cisco 2010

b



Version avancée de OSPFv2 définie dans le RFC

2740 Protocole Links-state

Encapsulation dans de l’IPv6

Adresses de multicast :

FF02::5 tous les routeurs OSPFv3

FF02::6 DR & BDR

OSPFv3 configuré sur un lien.

Pas d’authentification intégrée assurée par Ipsec /!\ router-id sur 32 bits

2 nouveaux types de LSA

OSPFv3IPv6 : Routage– Labo Cisco 2010

IP 6 R L b Ci 2010



Configuration OSPFv3 sur IOS Cisco

Router> enable Router# conf t

Router(config)# ipv6 unicast-routing

Router(config)# ipv6 router ospf processnumber

Router(config-router)# router-id id

Router(config-router)# int Fa0/0

Router(config-if)# ipv6 address address/prefix-

length [eui-64] Router(config-if)# ipv6 ospf processnumber areanumber

OSPFv3IPv6 : Routage– Labo Cisco 2010

IP 6 L’ f L b Ci 2010



DocumentationIPv6 : L’autoconf– Labo Cisco 2010

Implementing IPv6 Network

Couvre la partie basiqueconcernant l’IPv6.

Un peu dépassé sur certaines notions.

Deploying IPv6 Networks

Orienté réseaud’entreprise.

Destiné à la mise enproduction d’un réseauIPv6

Notions approfondies.

IP 6 L’ t f L b Ci 2010



DocumentationIPv6 : L’autoconf– Labo Cisco 2010

O’Reilly : IPv6 Essentials

Ouvrage complet sur l’IPv6

Live.g6.asso.fr

La bible de l’IPv6 sur leweb.

Couvre toutes lesnouveautés et évolutionsIPv6.

http://livre.g6.asso.fr

IP 6 L’ t f L b Ci 2010



NDP

Autoconfiguration

Summary

IPv6 : 128 bit

IPv6 : L’autoconf– Labo Cisco 2010



Congratulations

You have successfully completedthe IPv6 course

Conférence IPv6 Labo Cisco 2010



The endConférence IPv6 – Labo Cisco 2010

Conférence IPv6

Documents

Transcript of Conférence IPv6