Découverte d'IPv6, version 1.0
-
Upload
francois-emmanuel-goffinet -
Category
Documents
-
view
259 -
download
5
Transcript of Découverte d'IPv6, version 1.0
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 1/54
Découverte d’IPv6, document de laboratoire 1
Découverte d’IPv6
Document de laboratoire
Version 1.3, François-Emmanuel Goffinet
Documents
Diapositives
Droits
Objectifs
Ce document propose différentes toplogies de CPE physiques et virtuels :
Synthèse théorique
En-tête IPv6
Adresse IPv6
Type d’adresses
IPv6 est Plug-and-Play
Allocation d’adresses IPv6 globale
Méthodes de transition
RA Flags et méthodes de configuration
Présentation des laboratoires
Lab-1. Exercices d’adressage
Simplication d’adresses
Plan d’adressage
Topologie 1 *
Topologie 2
Lab-2. Découverte des adresses locales en ligne de commande.
Tester la pile IPv6
Visualiser la table de routage
Vérifier les sessions TCP/UDP sur IPv6
Vérifier les adresses IPv6
Aller plus loin dans le diagnostic et la configuration
Lab-3.1. Configuration d’un CPE physique Cisco
Objectifs
Remarques Topologie
Informations Tunnel Broker
Tunnel Informations
Subnet Informations
Configuration du routeur
Diagnostic WAN
Couche 2
Connectivité WAN IPv6
Routage
Connectivité globale Diagnostic LAN
Configuration de l’interface
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 2/54
Découverte d’IPv6, document de laboratoire 2
Connectivité globale
Test IPv6
Autres tests
Activités complémentaires
Documentation
Procédures password Recovey
Documentation de configuration Cisco Tunnels IPv6
Théorie IPv6
Ligne de commande Microsoft Windows
Capture du trafic
Lab-3.2. Variante semi-virtualisée en classe.
Topologie
Adressage
Configuration globale du routeur
Configuration des interfaces
Interfaces en IPv6 Interfaces en IPv4
Activation du routage
Activation du service DHCP (IPv4)
Diagnostic
Lab-4. Configuration d’une passerelle simple virtualisée
Paramètres du prototype
Topologie
Machine virtuelle
Machine physique
Lab-4.1. CPE Linux Debian Topologie
Système d'exploitation
Configuration IPv4 (statique)
Interface WAN
Synchronisation NTP
Installation du tunnel IPv6
Interface LAN
Activation du routage
Alternative quagga
Lab-4.2. CPE BSD graphique m0n0wall/pfsense
Lab Station de travail
Configuration nécessaire
Topologie
Topologie Workstation
Composition du Lab
Configuration de la machine virtuelle.
Installation de m0n0wall
Configuration de la passerelle
Serveurs DNS
Activation d'IPv6
Configuration de l'interface LAN
Configuration de l'interface WAN
Configuration du pare-feu
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 3/54
Découverte d’IPv6, document de laboratoire 3
Configuration du service DHCPv6 Stateless
Vérification
Protocole de test
Tests sur la station Windows
Ipconfig
Ipconfig /all
Connectivité IPv6 et résolution DNS Commandes étendues
Table de voisinage
Table des interfaces et de leurs adresses
Serveurs DNS
Table de routage
Tracert
Lab-4.3. Variante Cloud privé en Vyatta Linux
Composition du lab
Configuration de l'hyperviseur Xen
Configuration du réseau Connexions du routeur
Configuration du routeur
Fichier de configuration
Lab-4.4.Variante Cloud privé VMWare ESXi 5 et Cisco IOS-XE (Linux)
Configuration Backbone router
Configuration CPE
Lab-5. Mécanismes de configuration des hôtes
Lab-5.1. Cisco IOS DHCPv6 Stateless
Lab-5.2. Cisco IOS DHCPv6 Stateful
Lab-5.4. Cisco IOS DHCPv6 Stateful Relay Lab-5.5. Cisco IOS DHCPv6 avec délégation de préfixe
Lab-5.6. Linux RADVD, DHCPv6 et Bind
Activation de SLAAC
Résolution de nom
Configuration DHCPv6 Stateless et DHCPv6 Stateful
Lab-5.7. NAT64/DNS64
Lab-5.8. Microsoft Server roles
Lab-6. Sécurité
Lab-6.1. Firewalling Cisco
Lab-6.2. Firewalling Linux
Lab-6.3. Audit de sécurité IPv6
Scapy
THC-IPv6
Metasploit
Lab-7.1. Implémentation Windows
Lab-7.2. Implémentation Apache LAMP
Lab-7.3. Implémentation SNMP et Cacti
Lab-8. Implémentation d’OSPFv3
Outil de virtualisation GNS3
Topology
Objectives
Background
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 4/54
Découverte d’IPv6, document de laboratoire 4
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 5/54
Découverte d’IPv6, document de laboratoire 5
Documents
DiapositivesCe document se base sur les présentions de diapositive (cours oral) :
● Protocole IP-1, Protocoles et technologies d’ancienne génération (IPv4)
● Protocole IP-2, Protocoles et technologies de nouvelle génération (IPv6)
Droits
Sauf tout autre droit, Découverte d’IPv6, Document de Laboratoire par François-Emmanuel
Goffinet, est mise à disposition selon les termes de la Licence Creative Commons Attribution -
Partage dans les Mêmes Conditions 2.0 Belgique.
Ce document évolue continuellement en ligne surhttps://docs.google.com/a/goffinet.eu/document/d/1MZWwDXYbJc6Bp1PHeN9FO1up2Pnv-
VAUDqlV7LC-y2g/
Objectifs
Répondre aux besoins d'une infrastructure IPv6 (cf. Point 4 RFC 4057) en :
1. Plannification de l'adressage
2. Service de résolution de nom DNS
3. Service de routage
4. Configuration des hôtes
5. Politiques de sécurité
6. Configuration des applications
7. Network Management
On prêtera une attention particulière au comportement des routeurs CPE et au support des
différents OS.
Virtualisation
Ce document propose différentes toplogies de CPE physiques et
virtuels :● Cisco IOS virtualisé dans GNS3, VMWare Workstation/Player, VMWare vSphere (sur
ESXi).
● BSD (pfsense, m0n0wall) et Linux (Debian, vyatta) virtualisés dans VMWare
Workstation/Player, VMWare vSphere (sur ESXi).
● On en profitera pour virtualiser les serveurs et workstations Linux et Windows.
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 6/54
Découverte d’IPv6, document de laboratoire 6
Synthèse théorique
En-tête IPv6
IPv6 vise à minimiser la surcharge à son niveau et à simplifier le processus de traitement despaquets sur les routeurs.
● Un en-tête IPv6 fixe de 40 octets
● Disparition du champs "Header Checksum"
● La fonction de fragmentation a été retirée des routeurs
● Les "Options" remplacées par les "Extensions"
● Les champs d'adresses sont des mots de 128 bits.
● "Next Header" = "Protocol"
● "Hop Limit" = "Time to Live"
● "Flow Label" est nouveau
Adresse IPv6
● Une adresse IPv6 est construite sur base de deux éléments de 64 bits chacun. Le préfixe
qui identifie le réseau et l’identifiant d’interface qui identifie l’hôte dans ce réseau. Le
masque de 64 bits est imposé par le RFC5375.
● Les adresses IPv6 sont notées en hexadécimal en 8 groupes de 4 hexas (16 bits) séparés
par des “:”. ● On peut les noter de manière extensive ou tenter de les simplifier en respectant la règle de
suppression des 0 non significatifs et du résumé unique en “::” d’une suite de zéro sur plus
de 4 hexas.
Type d’adresses
● Loopback, ::/128, ::/0 désigne toutes destinations IPV6.
● Adresse de bouclage, ::1/128.
● Multicast, FF00::/8, Adresses de multicast à portée variable et convenue, voir
http://en.wikipedia.org/wiki/Multicast_address#IPv6 ● Link-Local, FE80::/10, A portée locale uniquement, non routé, obligatoire sur chaque
interface en FE80::/64. Configuré automatiquement par défaut MAC-EUI 64 ou aléatoire.
● Unique Local Unicast, FC00::/7, Uniquement pour un usage privé, toutefois censé être
unique (RFC4193). Voir outils de Sixxs : http://www.sixxs.net/tools/grh/ula/
● Global Unicast, 2000::/3, Adresses routables sur l'Internet.
Trafic
● Le trafic local IPv6 se déroule en Link-Local Unicast.
● Le trafic global IPv6 se déroule en Global Unicast
● Le trafic de gestion Neighbor Discovey NS/NA commence en Link-local/Multicast.
IPv6 est Plug-and-Play
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 7/54
Découverte d’IPv6, document de laboratoire 7
IPv6 est obligatoirement Plug-and-Play. Il se suffit à lui-même sur n’importe quel support de
couche 2 :
● Même si une adresse globale est déjà configurée, chaque interface est
automatiquement dotée d’une adresse Link-Local ayant pour préfixe FE80::/64 et
ayant construit son identifiant d’interface :
○ de manière alétoire, par défaut sur toutes les machines
○ avec la méthode MAC-EUI 64Un mécanisme détection d’adresse dupliquée (DAD) utilise des messages ICMPv6 pour
effectuer cette vérification.
● Neighbor Discovery est un sous-protocole IPv6 (types 133 à 137). Il remplit notamment les
fonctions de résolutions d’adresses (ARP) qui sont désormais appelées fonction de
découverte de voisins. On ne parle plus de table arp mais de table de voisinage.
● L’usage du multicast se généralise. Les adresses Multicast bien connues
○ FF02::1 All nodes on the local network segment
○ FF02::2 All routers on the local network segment
○ FF02::1:2 All DHCP servers and relay agents on the local network segment
○ Solicited-Node Multicast ● Les routeurs configurent automatiquement l’adressage global par des Router
Advertisment autonomes ou sollicités par des Router Solicitation (Messages ND type
133/134).
● La résolution de noms est assurée par le protocole DNS par des résolutions AAAA.
● Les routeurs ne fragmentant plus le trafic, cette fonction est laissée obligatoirement au
hôtes. Ils utilisent des paquets ICMPv6 Packet Too Big (Type 2).
Allocation d’adresses IPv6 globale
● L’allocation se fait en trois niveau d’agrégation, le TLA (ex RIPE-NCC), le NLA (ex le
fournisseur d’accès, Le SLA (le sous-réeau) et le EU (end user).
● Un bloc IPv6 /64 peut être alloué et routé sur une connexion (EU)
● Un bloc IPv6 /48 peut être alloué et routé sur une connexion entreprise (SLA+EU)
Méthodes de transition
● Dual Stack IPv4/IPv6, la préférée, la plus probable
● Tunnels IPv6 dans IPv4 et IPv4 dans IPv6, scénarios divers.
● Traduction, déconseillé mais pourquoi pas dans le futur pour joindre IPv4.
RA Flags et méthodes de configuration
Les Router Advertisements sont présents sur toute réseau connecté à un routeur IPv6. Ils
informent de champs M (managed flag) et O (Other flag).
Méthodes de configuration M O
1 Configuration statique 0 0
2 Stateless Automatic Autoconfiguration (SLAAC) 0 0
3 DHCPv6 (Stateful) 1 1
4 DHCPv6 Stateless 0 1
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 8/54
Découverte d’IPv6, document de laboratoire 8
Présentation des laboratoires
Lab-1 : Exercices de planification d’adressage. Design
Lab-2 : Examen d’IPv6 et commandes sur une station de travail
Lab-3.1. Configuration d’un CPE physique Cisco
Lab-3.2. Variante semi-virtualisée en classe
Lab-4.1. CPE Linux Debian
Lab-4.2. CPE BSD graphique m0n0wall/pfsense
Lab-4.3. Variante Cloud privé en Vyatta Linux
Lab-4.4.Variante Cloud privé VMWare ESXi 5 et Cisco IOS-XE (Linux)
Lab-5 : Mécanismes de configuration de la connectivité IPv6
Lab-6 : Sécurité IPv6 : Firewall, audit, VPN
Lab-7 : Applications IPv6
Lab-8 : Routage OSPFv3
Lab-1. Exercices d’adressage
Simplication d’adresses
2001:0db8:00d6:3000:0000:0000:6700:00a5/64
2001:0db8:0000:0000:1000:0000:0000:0001/64
Plan d’adressageOn peut se référer à l’exemple suivant pour choisir un plan d’adressage :
https://supportforums.cisco.com/docs/DOC-17232
Pour chacune des topologies suivantes :
● Exemple en ULA avec le bloc fdd4:478f:0611::/48
● Exemple en UGA avec 2001:6f8:341::/48
On peut inclure une variante hiérachique
● à trois niveaux (Ville/Bâtiment/Usage)
● à deux niveaux (Site/Usage)
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 9/54
Découverte d’IPv6, document de laboratoire 9
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 10/54
Découverte d’IPv6, document de laboratoire 10
Topologie 1
Topologie 2
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 11/54
Découverte d’IPv6, document de laboratoire 11
Lab-2. Découverte des adresses locales en ligne de
commande.
Sous Microsoft Windows,
Tester la pile IPv6
ping ::1
Vérifier l’interface IPv6
ipconfig
ipconfig /all
Visualiser la table de routage
route print
Vérifier les sessions TCP/UDP sur IPv6
netstat -a
Vérifier la table de voisinage IPv6
netsh interface ipv6 show neighbors
Vérifier les adresses IPv6
netsh interface ipv6 show address
Aller plus loin dans le diagnostic et la configuration
netsh interface ipv6 show ?
netsh interface ipv6 set ?
netsh interface ipv6 add ?
Voir aussi : http://technet.microsoft.com/fr-be/library/bb726952.aspx
TODO : Comportement EUI-64, Private
Lab-3.1. Configuration d’un CPE physique Cisco
Objectifs
● Activer la connectivité globale IPv6 sur un routeur Cisco avec un Tunnel au-dessus d’une
infrastructure LAN PME en IPv4.
● Vérifier la configuration et la connectivité sur le routeur et sur un station du LAN.
● Une capture de paquet révèle les transmissions IPv6 à étudier, leur adresses, leurs
usages.
Remarques
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 12/54
Découverte d’IPv6, document de laboratoire 12
● Vous devez posséder d’une connectivité IPv4 globale.
● Les résolutions DNS AAAA sont réalisées en IPv4. Il est conseillé d’utiliser un résolveur
IPv6 natif.
● Le pare-feu n’est pas activé sur la passerelle. Chaque station de travail est exposée
directement sur l’Internetv6.
● Les services DHCPv6, “Stateless DHCPv6” ou “RA DNS Options” sont absents. Une
discussion doit avoir lieu sur leur implémentation.
Topologie
Sous Cisco IOS, mais est reproduisible sous VMWare en Cisco-XE, sous pfsense.org, sous
m0n0wall.org, sous Debian GNU/Linux.
Adresses d’exemple.
Informations Tunnel Broker
Tunnel Informations
Tunnel Name Tunnel I3 classrom
PoP Name beanr01
PoP Location Sint Niklaas, Belgium
PoP IPv4 213.219.173.138
TIC Server tic.sixxs.net (default in
AICCU)
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 13/54
Découverte d’IPv6, document de laboratoire 13
Your Location Brussels, Belgium
Your IPv4 Static, currently
88.147.26.132
IPv6 Prefix 2a02:578:3fe:105::1/6
4
PoP IPv6 2a02:578:3fe:105::1
Your IPv6 2a02:578:3fe:105::2
Subnet Informations
IPv6 Them 2a02:578:3fe:105::2/64 (T120794)
Prefix 2a02:578:3fe:8105::/64
Reverse Zone 5.0.1.8.e.f.3.0.8.7.5.0.2.0.a.2.ip6.arpa.
Configuration du routeur
hostname Gateway
!
enable secret 5 $1$aW6N$oRp4UeZuRLb3zU9qc5ZsS/ !
ip dhcp excluded-address 192.168.1.1 192.168.1.10
!
ip dhcp pool GW
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 8.8.8.8
!
ipv6 unicast-routing
ipv6 cef
!
interface Tunnel1
no ip address
ip tcp adjust-mss 1420
ipv6 address 2A02:578:3FE:105::2/64
ipv6 enable
! ipv6 nd suppress-ra
tunnel source FastEthernet0/1
tunnel destination 213.219.173.138
tunnel mode ipv6ip
! interface FastEthernet0/0
ip address 192.168.1.1 255.255.255.0
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 14/54
Découverte d’IPv6, document de laboratoire 14
ip nat inside
ipv6 address 2A02:578:3FE:8105::1/64
ipv6 enable
! ipv6 nd ra-interval 3
! ipv6 nd prefix 2A02:578:3FE:8105::/64
! ipv6 nd advertisement-interval
no shutdown !
interface FastEthernet0/1
ip address dhcp
ip nat outside
no shutdown
!
ip route 0.0.0.0 0.0.0.0 88.147.16.1
!
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet 0/1 overload !
ipv6 route ::/0 Tunnel1
!
line vty 0 4
password cisco
login
!
end
Diagnostic WAN
Couche 2
Gateway#sh ipv6 int brie
FastEthernet0/0 [up/up]
Serial0/0 [administratively down/down]
FastEthernet0/1 [up/up]
Serial0/1 [administratively down/down]
NVI0 [up/up]
Tunnel1 [up/up]
FE80::5893:1A84 2A02:578:3FE:105::2
Connectivité WAN IPv6
Gateway#ping 2A02:578:3FE:105::1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2A02:578:3FE:105::1, timeout is 2
seconds:
!!!!!
Routage
Gateway#sh ipv6 route
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 15/54
Découverte d’IPv6, document de laboratoire 15
IPv6 Routing Table - 5 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
U - Per-user Static route I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
S ::/0 [1/0] via ::, Tunnel1
C 2A02:578:3FE:105::/64 [0/0]
via ::, Tunnel1 L 2A02:578:3FE:105::2/128 [0/0]
via ::, Tunnel1 L FE80::/10 [0/0]
via ::, Null0 L FF00::/8 [0/0]
via ::, Null0
Connectivité globale
Gateway#ping 2001:4860:4860::8888
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:4860:4860::8888, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 28/44/61 ms
Diagnostic LAN
Configuration de l’interface
C:\Users\francois>ipconfig
Configuration IP de Windows
Carte Ethernet Connexion au réseau local :
Suffixe DNS propre à la connexion. . . :
Adresse IPv6. . . . . . . . . . . . . .: 2a02:578:3fe:8105:20c:29ff:fe5f:119f Adresse IPv6 temporaire . . . . . . . .: 2a02:578:3fe:8105:48b6:ed0f:55fa:8094
Adresse IPv6 de liaison locale. . . . .: fe80::20c:29ff:fe5f:119f%11 Adresse d'autoconfiguration IPv4 . . . : 169.254.74.30 Masque de sous-réseau. . . . . . . . . : 255.255.0.0 Passerelle par défaut. . . . . . . . . : fe80::20e:d7ff:fedf:6520%11
Connectivité globale
C:\Users\francois> ping www.google.com
Envoi d'une requête 'ping' sur www.google.com [2a00:1450:4013:c01::69]
avec 32 octets de données :
Réponse de 2a00:1450:4013:c01::69 : temps=25 ms Réponse de 2a00:1450:4013:c01::69 : temps=30 ms
Réponse de 2a00:1450:4013:c01::69 : temps=26 ms
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 16/54
Découverte d’IPv6, document de laboratoire 16
Réponse de 2a00:1450:4013:c01::69 : temps=26 ms
Statistiques Ping pour 2a00:1450:4013:c01::69:
Paquets : envoyés = 4, reçus = 4, perdus = 0 (perte 0%),
Durée approximative des boucles en millisecondes :
Minimum = 25ms, Maximum = 30ms, Moyenne = 26ms
Test IPv6
Dans un navigateur Web : http://test-ipv6.com/
Autres tests
C:\Users\francois>tracert www.google.com
C:\Users\francois>route print
C:\Users\francois> ping fe80::20e:d7ff:fedf:6520%11
Activités complémentaires● Diagnostic avancé sous windows avec netsh.exe
● Capture et interprétation des messages :
○ IPv6
○ ICMPv6 type 133 et 134
○ ICMPv6 type 135 et 136
○ DHCPv6 Solicit
● Configuration l’adresse Link-Local de l’interface f0/0
Documentation
Procédures password Recovey
Toujours Utile
http://www.cisco.com/en/US/products/sw/iosswrel/ps1831/products_tech_note09186a00801746e6.
shtml
Documentation de configuration Cisco
http://www.cisco.com/web/solutions/netsys/ipv6/knowledgebase/index.html#~configure
Tunnels IPv6http://www.goffinet.eu/choisir-une-fournisseur-de-tunnel-ipv6
Théorie IPv6
http://en.wikipedia.org/wiki/IPv6
Ligne de commande Microsoft Windows
http://msdn.microsoft.com/en-us/library/windows/desktop/ms740598(v=vs.85).aspx
Capture du trafichttp://www.cloudshark.org/captures/f8773b94180f
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 17/54
Découverte d’IPv6, document de laboratoire 17
Lab-3.2. Variante semi-virtualisée en classe
Les stations et serveurs sont virtualisés sur des VMWare Workstation.
L’instructeur connecte un routeur Cisco à un tunnel IPv6. Selon les contraintes, il utilise une
passerelle IPv4 indépendante. Chaque participant dispose de son propre routeur et de sa propre
infrastructure à gérer.
Topologie
Adressage
L’adressage offre un bloc 2001:6f8:341::/48. le réseau 2001:6f8:341:ffff::/64 est réservé aux
connexions entre les routeurs du lab. La passerelle instructeur est 2001:6f8:341:ffff::ffff. Chaque
participant dispose d’un bloc /56 :
Hostname Interface WAN Bloc attribués Plages correspondantes
cpe01 2001:6f8:341:ffff::1/64 2001:6f8:341:100::/56 2001:6f8:341:100::/64 à 2001:6f8:341:1ff::/64
cpe02 2001:6f8:341:ffff::2/64 2001:6f8:341:200::/56 2001:6f8:341:200::/64 à 2001:6f8:341:2ff::/64
cpe03 2001:6f8:341:ffff::3/64 2001:6f8:341:300::/56 2001:6f8:341:300::/64 à 2001:6f8:341:3ff::/64
cpe04 2001:6f8:341:ffff::4/64 2001:6f8:341:400::/56 2001:6f8:341:400::/64 à 2001:6f8:341:4ff::/64
cpe05 2001:6f8:341:ffff::5/64 2001:6f8:341:500::/56 2001:6f8:341:500::/64 à 2001:6f8:341:5ff::/64
cpe06 2001:6f8:341:ffff::6/64 2001:6f8:341:600::/56 2001:6f8:341:600::/64 à 2001:6f8:341:6ff::/64
cpe07 2001:6f8:341:ffff::7/64 2001:6f8:341:700::/56 2001:6f8:341:700::/64 à 2001:6f8:341:7ff::/64
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 18/54
Découverte d’IPv6, document de laboratoire 18
cpe08 2001:6f8:341:ffff::8/64 2001:6f8:341:800::/56 2001:6f8:341:800::/64 à 2001:6f8:341:8ff::/64
cpe09 2001:6f8:341:ffff::9/64 2001:6f8:341:900::/56 2001:6f8:341:900::/64 à 2001:6f8:341:9ff::/64
cpe10 2001:6f8:341:ffff::10/64
2001:6f8:341:a00::/56 2001:6f8:341:a00::/64 à 2001:6f8:341:aff::/64
cpe11 2001:6f8:341:ffff::11/64
2001:6f8:341:b00::/56 2001:6f8:341:b00::/64 à 2001:6f8:341:bff::/64
cpe12 2001:6f8:341:ffff::12/64
2001:6f8:341:c00::/56 2001:6f8:341:c00::/64 à 2001:6f8:341:cff::/64
test 2001:6f8:341:ffff::16/64
2001:6f8:341:1000::/56
2001:6f8:341:c00::/64 à 2001:6f8:341:cff::/64
Configuration globale du routeur
hostname cpetest ip domain name lab.local
!
ipv6 unicast-routing
!
enable secret my_secret
username root secret my_secret
!
line vty 0 4
login local
! crypto key generate rsa
Configuration des interfaces
Interfaces en IPv6
interface FastEthernet0/1
no shutdown
description External Interface
ipv6 address 2001:6F8:341:FFFF::16/64
!ipv6 address autoconfig
ipv6 enable
!
interface FastEthernet0/0
description Internal Interface
ipv6 address 2001:6F8:341:1000::1/64
ipv6 enable
no shutdown
Interfaces en IPv4
interface FastEthernet0/1
no shutdown
description External Interface
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 19/54
Découverte d’IPv6, document de laboratoire 19
ip address dhcp
ip nat outside
!
interface FastEthernet0/0
description Internal Interface
ip address 192.168.1.254 255.255.255.0
no shutdown ip nat inside
!
access-list 1 permit 192.168.1.0 0.0.0.255
ip nat inside source list 1 interface FastEthernet0/1 overload
Activation du routage
ipv6 route 2000::/3 2001:6F8:341:FFFF::FFFF
ip route 0.0.0.0 0.0.0.0 X.X.X.X
Activation du service DHCP (IPv4)
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 8.8.8.8
Diagnostic
show ipv6 interface brief
show ipv6 route show ipv6 neighbors
show ipv6 interface
ping 2001:6F8:341:FFFF::FFFF
ping 2001:6F8:202:228::1
ping 2001:4860:4860::8888
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 20/54
Découverte d’IPv6, document de laboratoire 20
Lab-4. Configuration d’une passerelle simple virtualisée
Paramètres du prototype
Il s’agit ici de monter une passerelle uniquement IPv6 dans son réseau local IPv4 à partir d’une
connexion Tunnel Broker.
On utilise une seule interface pontée au LAN. Le routage sera réalisé entre l’interface eth0 de la
passerelle et son interface tunnel.
Topologie
En bleu, la connectivité IPv4En rouge, la connectivité IPv6
En rouge courbé, le tunnel vers la connectivité Ipv6 globale.
Machine virtuelle
Sous VMWare, Virtualbox :
Machine physique
Matériels embarqués supportant GNU/Linux
bas de gamme : Rapsberry Pi (30 EUR)
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 21/54
Découverte d’IPv6, document de laboratoire 21
haut de gamme : dreamplug (200 EUR)
Gogoware : Commercial et fermé (logiciel, CPE, server)
Alternat ives BSD
Voir Lab suivant.
FreeBSD : http://www.freebsd.org/doc/handbook/network-ipv6.html
L'excellent m0n0wall : http://m0n0.ch/wall/beta.php
L’excellent pfsense : http://www.pfsense.org/ au minimum version 2.1 :
http://snapshots.pfsense.org/
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 22/54
Découverte d’IPv6, document de laboratoire 22
Lab-4.1. CPE Linux Debian
Topologie
● Adresses IPv6 des points d'extrémités du tunnel IPv6
● Plage du sous-réseau du site : 2001:6f8:14d6:1::/64
● DNS Externes, celui de google par exemple 2001:4860:4860::8888, 2001:4860:4860::8844,
mieux ceux de Sixxs (http://www.sixxs.net/tools/dnscache/ )
Système d'exploitation
Debian Squeeze Network Installation : http://www.debian.org/CD/netinst/
Définir les locales, installer client/serveur NTP (uniquement en IPv6?)
Configuration IPv4 (statique)
La passerelle aura besoin de ses paramètres IPv4. Il est préférable de les fixer.Dans /etc/network/interfaces :
iface eth0 inet static address 192.168.1.55 netmask 255.255.255.0 gateway 192.168.1.1 dns-nameservers 8.8.8.8
Interface WAN
Synchronisation NTPnptdate-debian
Installation du tunnel IPv6
apt-get install aiccu Remplir les paramètres, au besoin exécuterdpkg-reconfigure aiccu
Configurer le comportement au démarrage :update-rc.d Une interface « Sixxs » est créée.
Diagnosticifconfig sixxs ping ipv6.google.com route -6
Interface LAN
Configuration des paramètres IPv6 de l'interface eth0 dans /etc/network/interfaces :iface eth0 inet6 static address 2001:6f8:14d6:1::1 netmask 64
Activation du routagesysctl -w net.ipv6.conf.all.forwarding=1
vérification :
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 23/54
Découverte d’IPv6, document de laboratoire 23
sysctl -a
De manière permanente ajouter dans /etc/sysctl.confnet.ipv6.conf.all.forwarding=1
Route statique.ip -6 route add ::/0 via xxxx:xxxx::yyyy dev eth0
Alternative quaggahttp://opensourcecentre.wordpress.com/article/install-quagga-as-linux-router/
Activer uniquement zebra dans le fichier /etc/quagga/daemons. Uniquement en ipv6 dans
quagga/debian.conf
Configuration RA et du routage :
telnet::1 zebra
--> environnement Cisco Router IOS
fichier /etc/quagga/zebra.conf
!
! Zebra configuration saved from vty ! 2012/10/23 18:51:53 ! hostname ipv6gw password zebra enable password zebra log file /var/log/quagga/zebra.log ! interface eth0 no ipv6 nd suppress-ra ipv6 nd ra-interval 60 ipv6 nd ra-lifetime 9000 ipv6 nd other-config-flag
ipv6 nd mtu 1280 ipv6 nd prefix 2001:6f8:14d6:1::/64 router-address ! interface eth1 ipv6 nd suppress-ra ! interface lo description test of desc. ! interface sit0 ipv6 nd suppress-ra ! interface sixxs ipv6 nd suppress-ra ! interface uap0 ipv6 nd suppress-ra ! ipv6 route ::/0 sixxs ! ipv6 forwarding ! ! line vty !
copy run start dans le CLIet /etc/init.d/quagga restart
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 24/54
Découverte d’IPv6, document de laboratoire 24
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 25/54
Découverte d’IPv6, document de laboratoire 25
Lab-4.2. CPE BSD graphique m0n0wall/pfsenseLe scénario reproduit un LAN Windows connecté à l'Internet en Dual-Stack en phase de transition.
Lab Station de travail
Ce scénario vise à mettre en place au sein de son réseau local un lab IPv6 isolé à des fin de tests
sur une seule machine physique connectée en IPv4.
M0n0wall : passerelle pare-feu graphique BSD graphique IPv6
Hyperviseur : VMWare Player, Workstation Fusion
Windows 7
Fournisseur de tunnel IPv6 : Sixxs.net
Configuration nécessaireIl est nécessaire de disposer de la dernière version de VMWare Player sur n'importe quelle PC et
d'une bonne connectivité IPv4 sans filtrage spécifique filaire ou non. Une connectivité sans fil
pourrait poser des problèmes. Il sera conseillé de connecter le PC de laboratoire sur une
connection Internet indépendante du réseau de production. On trouve des offres domestique à
partir de 200 EUR/an. C'est la machine virtuelle qui se chargera d'établir la connectivité IPv6 à
partir de la machine physique et de sa seule interface TCP/IPv4.
On ira lire le document http://www.goffinet.eu/choisir-une-fournisseur-de-tunnel-ipv6/
Enfin, ce premier IPv6 Lab suppose un compte chez Sixxs. Motivez votre demande en anglais parles besoins du lab et l'absence de connectivité IPv6 native. Sixxs vous accorde un tunnel pour
tester la connectivité et vous attribue un un réseau /64 ou /48 selon vos besoins motivés.
Les images ISO des logiciels m0n0wall et Windows 7 doivent être disponibles. Le lab peut être
amélioré avec Windows 2008 Server R2/2012 Server.
Topologie
Topologie à reproduire :
Topologie Workstation
[diagramme]
Composition du Lab
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 26/54
Découverte d’IPv6, document de laboratoire 26
La topologie est composé de plusieurs éléments :
● La machine physique récente et sa connectivité IPv4 native fonctionnelle.
● La machine virtuelle avec m0n0wall installé avec deux interfaces connectées :
● à un réseau totalement virtuel auquel d'autres VM peuvent se connecter. Il s'agit
d'une interface « Host-Only ».
● em0, LAN, 192.168.1.1/24, Préfixe:Subnet::1/64
● à une interface virtuelle (liée à l'interface physique) qui reçoit une adresse IPv4 privée et
qui est transféré vers l'Internet IPv4 par un routeur NAT virtuel. Il s'agit d'une « Nated »
Interface.
● em1, WAN, DHCP
● à un tunnel établi à partir de l'interface WAN. Avec m0n0wall, il n'est pas possible de
monter un tunnel à partir de l'interface LAN. Avec une distribution GNU/Linux ou BSD, on
peut fabriquer un routeur avec services IPv6 qui est un hôte IPv4 parmi les autres à partir
d'un seule interface LAN.
● ID Sixxs
● Mot de passe
● Numéro de tunnel
● Sous-réseau /48 attribué
Configuration de la machine virtuelle.
● Machine FreeBSD, HD 2Go, 1 VCPU, 256 Mo RAM
● Interface LAN : Réseau Host-only
● Interface WAN : réseau « Nated » sur l'interface physique
● CD-ROM : cdrom-1.33.iso
Installation de m0n0wall
● Allumez la machine virtuelle et installez le système d'exploitation avec l'option 7 de la
console. Le disque dur d'installtion est « ad0 ». Redémarrez la machine. Déconnectez le
DVD.
● Dans le menu principal de la console, entrez « 1 » pour Interfaces : assign network ports.
● A la question « Do you want to set up VLANs now ? », répondez « n ».
● A la question « Enter the LAN interface name », répondez « em0 ».
● A la question « Enter the WAN interface name », répondez « em1 ».
● A la question « Enter the Optionnal 1 interface name », validez.
● A l'annonce du redémarrage du routeur, répondez « y »
● Dans le menu principal de la console, entrez « 2 » pour Set up LAN IP address.
● 192.168.1.1
● 24
● DHCP ? « y » et entrez la plage.
● Redémarrez la passerelle virtuelle.
● Créez une VM Windows 7 [Ubuntu Desktop] connectée au réseau virtuel « Host-Only ».
Allumez la machine virtuelle. La connectivité IPv4 devrait être établie
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 27/54
Découverte d’IPv6, document de laboratoire 27
Configuration de la passerelle
Dans un navigateur allez à l'adresse http://192.168.1.1/
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 28/54
Découverte d’IPv6, document de laboratoire 28
Serveurs DNS
Activation d'IPv6
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 29/54
Découverte d’IPv6, document de laboratoire 29
Configuration de l'interface LAN
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 30/54
Découverte d’IPv6, document de laboratoire 30
Configuration de l'interface WAN
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 31/54
Découverte d’IPv6, document de laboratoire 31
Configuration du pare-feu
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 32/54
Découverte d’IPv6, document de laboratoire 32
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 33/54
Découverte d’IPv6, document de laboratoire 33
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 34/54
Découverte d’IPv6, document de laboratoire 34
Configuration du service DHCPv6 Stateless
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 35/54
Découverte d’IPv6, document de laboratoire 35
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 36/54
Découverte d’IPv6, document de laboratoire 36
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 37/54
Découverte d’IPv6, document de laboratoire 37
Vérification
Protocole de test
● Comprendre la notion de tunnel comme méthode de transition : débogguer le routage, le
tunnel et le filtrage IPv4/IPv6, comprendre la délégation de préfixe.
● Distinguer le trafic IPv6 global du link-local. Déterminer leurs proportions.
● Certifier une station sur le Web. Installer le ShowIP dans Firefox.
● Analyser le comportement des applications en configuration Dual-Stack et leurs protocoles:
DHCPv6, DNS, Windows, SNMP, FTP, HTTP, MYSQL, etc.
● Quelle est la proportion de trafic IPv6/IPv4 selon les usages ?
● Désactiver IPv4 dans le LAN et observer le comportement du réseau.
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 38/54
Découverte d’IPv6, document de laboratoire 38
Tests sur la station Windows
Ipconfig
Ipconfig /all
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 39/54
Découverte d’IPv6, document de laboratoire 39
Connectivité IPv6 et résolution DNS
Commandes étendues
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 40/54
Découverte d’IPv6, document de laboratoire 40
Table de voisinage
Table des interfaces et de leurs adresses
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 41/54
Découverte d’IPv6, document de laboratoire 41
Serveurs DNS
Table de routage
Tracert
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 42/54
Découverte d’IPv6, document de laboratoire 42
Lab-4.3. Variante Cloud privé en Vyatta Linux
Ce lab peut aussi être implémenté sur un un hyperviseur de type station de travail sur un LAN de
bonne qualité avec une seule interface comme les deux précédents.L’environnement de laboratoire est un serveur disposant d’adresses IPv4 globales, un serveur loué
mensuellement chez OVH par exemple.
On pourra installer le logiciel aiccu sur le Linux qui supporte vyatta.
Composi t ion du lab
● Un serveur loué connecté à l'Internet chez un prestataire de services (OVH).
● Une adresse IPv4 disponible pour la connectivité externe.
● Un hyperviseur professionnel tel que XenServer 6.0 (VMWare Vsphere ou Proxmox)
● Une machine virtuelleWindows/Ubuntu dans le LAN virtualisé
● Un routeur virtuel Vyatta (une passerelle Linux/BSD ou autre peut convenir)
Configuration de l'hyperviseur Xen
Configuration du réseau
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 43/54
Découverte d’IPv6, document de laboratoire 43
Machines virtuelles
Connexions du routeur
Configuration du routeur
● IP Failover et MAC virtuelle chez OVH
● Configurer la connectivité IPv4 LAN/WAN
● Configurer la connectivité IPv6 LAN
● Ajouter un dépôt de paquetage debian Squeeze
● Installer le logiciel AICCU
● apt-get update
● apt-get install aiccu
● Configurer le tunnel
● Vérifier la configuration de la nouvelle interface dans le routeur
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 44/54
Découverte d’IPv6, document de laboratoire 44
Fichier de configuration
interfaces {
ethernet eth0 {
address 87.98.188.215/24
duplex auto
smp_affinity auto
speed auto
}
ethernet eth1 {
address 192.168.1.254/24
address 2001:6f8:14e9:1::1/64
duplex auto ipv6 {
router-advert {
prefix 2001:6f8:14e9:1::/64 {
}
}
}
smp_affinity auto
speed auto
}
loopback lo {
}
}
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 45/54
Découverte d’IPv6, document de laboratoire 45
Lab-4.4.Variante Cloud privé VMWare ESXi 5 et Cisco
IOS-XE (Linux)
L’idéal pour déployer son lab de test IPv6 sur une infrastructure VMWare vSphere (en local ou
hébergé chez OVH dédié ou en Private Cloud) est d’utiliser le Cisco CSR1000v qui fonctionne
sous Cisco IOS-XE.
Configuration Backbone router
!
version 15.3
service timestamps debug datetime msec
service timestamps log datetime msec
no platform punt-keepalive disable-kernel-core platform console virtual
platform hardware throughput level 50000
!
hostname csr0
!
ip domain name labipv6.eu
ip name-server 213.186.33.99
!
ip dhcp pool BACKBONE_PRIVE
network 172.16.255.0 255.255.255.0 default-router 172.16.255.254
dns-server 213.186.33.99
!
ipv6 unicast-routing
!
username root secret my_secret
!
interface Tunnel0
description IPv6 uplink to SixXS
no ip address
ipv6 address 2001:6F8:202:50A::2/64
ipv6 enable
ipv6 mtu 1280
tunnel source 178.32.170.209
tunnel mode ipv6ip
tunnel destination 212.100.184.146
!
interface GigabitEthernet1
ip address 178.32.170.209 255.255.255.240
ip nat outside
no shutdown !
interface GigabitEthernet2
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 46/54
Découverte d’IPv6, document de laboratoire 46
description Interface Backone prive
ip address 172.16.255.254 255.255.255.0
ip nat inside
no shutdown
ipv6 address FE80::1 link-local
ipv6 address 2001:6F8:14E9:FFFF::1/64
ipv6 enable ipv6 nd prefix 2001:6F8:14E9:FFFF::/64
ipv6 nd router-preference High
!
interface GigabitEthernet0
no ip address
shutdown
!
ip nat inside source list 1 interface GigabitEthernet1 overload
ip forward-protocol nd
! ip route 0.0.0.0 0.0.0.0 178.32.170.222
!
access-list 1 permit 172.16.0.0 0.0.255.255
ipv6 route 2000::/3 2001:6F8:202:50A::1
!
end
Configuration CPE
hostname cpe02 !
ip domain name labipv6.eu
ip name-server 213.186.33.99
!
ip dhcp pool LAN
network 192.168.1.0 255.255.255.0
default-router 192.168.1.254
dns-server 213.186.33.99
!
! ipv6 unicast-routing
!
username root secret my_secret
!
interface GigabitEthernet1
description DualStack Backbone
ip address 178.32.170.212 255.255.255.240
ip nat outside
negotiation auto
! ipv6 address 2001:6F8:14E9:FFFF::2/64
no shutdown
! interface GigabitEthernet2
ip address 192.168.1.254 255.255.255.0
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 47/54
Découverte d’IPv6, document de laboratoire 47
ip nat inside
negotiation auto
! ipv6 address 2001:6F8:14E9:200::1/64
!
interface GigabitEthernet0
no ip address
shutdown !
ip nat inside source list LAN interface GigabitEthernet1 overload
ip forward-protocol nd
!
no ip http server
no ip http secure-server
ip route 0.0.0.0 0.0.0.0 178.32.170.222
!
ip access-list standard LAN
permit 192.168.1.0 0.0.0.255 !
! ipv6 route ::/0 2001:6F8:14E9:FFFF::F
!
control-plane
!
line vty 0 4
login local
transport input ssh
!
end
crypto key generate rsa
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 48/54
Découverte d’IPv6, document de laboratoire 48
Lab-5. Mécanismes de configuration des hôtes
Dans les labs précédents on a eu l’occasion de constater que les passerelles pouvaient configurer
automatiquement les hôtes sur le réseau global. On a pu mesurer les avantages et les
inconvénients de ce comportement par défaut.
Dans ces Lab-5, on s’intéressera aux alternatives à SLAAC. Il s’agit essentiellement de configurer
le service DHCPv6 et d’adapter la configuration des RAs sur l’interface LAN du routeur. On suivra
volontiers la documentation du constructeur car elle est complète et dotée de rappels théoriques et
de diagnostic.
Le second objectif de ce Lab-5 est d’observer et d’évaluer les différentes méthodes de
configuration des hôtes sous Windows, Linux/Android, OSX/iOS, en Wi-Fi, dans des topologies
larges, etc.
Lab-5.1. Cisco IOS DHCPv6 Stateless
https://supportforums.cisco.com/docs/DOC-27716
Lab-5.2. Cisco IOS DHCPv6 Stateful
https://supportforums.cisco.com/docs/DOC-27714
Lab-5.4. Cisco IOS DHCPv6 Stateful Relay
https://supportforums.cisco.com/docs/DOC-28196
Lab-5.5. Cisco IOS DHCPv6 avec délégation de préfixe
http://www.cisco.com/en/US/tech/tk872/technologies_configuration_example09186a0080b8a116.s
html
Lab-5.6. Linux RADVD, DHCPv6 et Bind
Activation de SLAAC
apt-get install radvd
Dans /etc/radvd.confinterface eth0
{ AdvSendAdvert on; AdvLinkMTU 1280; prefix 2001:6f8:14d6:1::/64
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 49/54
Découverte d’IPv6, document de laboratoire 49
{ AdvOnLink on; AdvAutonomous on; #enables clients to autoconf }; RDNSS 2001:6f8:14d6:1::1 { AdvRDNSSPreference 8; AdvRDNSSLifetime 3600; }; }; radvd -C /etc/radvd.conf
Connaître un serveur DNS IPv6 au plus proche :
dig AAAA nscache.eu.sixxs.net
RFC correspondantes ? Produits compatibles.
« No version of Windows supports RFC 6106, either as a client or a router, and there are no plans
currently to add support. »Quel est le résolveur de noms utilisé par le client ?
Résolution de nom
Installation de Bind9 :apt-get install bind9w
Activation « IPv6 only » dans /etc/defaullt/bind9 :OPTIONS="-6 -u bind"
● Configuration DNS Forwarder + Stateless DHCPv6
○ /etc/bind9/named.conf.options
○ /etc/resolv.conf
○ Adaptation DHCP/RADVD
● Configuration DNS local dynamique avec DHCPv6 (Statefull DHCPv6)
○ Configuration de la zone locale, suggestions de gestion
○ Adaptation des autres services
Configuration DHCPv6 Stateless et DHCPv6 Stateful
Installer, configurer et adapter isc-dhcp-server, bind et radvd :
http://www.percula.info/archives/196.
Lab-5.7. NAT64/DNS64
Afin d’évaluer le mécanisme de transition qu’est la traduction (design plutôt ISP) on peut mettre
facilement en oeuvre le RFC6146 entièrement en Linux ou de manière plus réaliste avec du Cisco
(NAT64) et Bind Linux (DNS64).
En Cisco NAT64 (uniquement réalisable sur plateforme Cisco CSR1000v, voir Lab-4.4.) :
● https://supportforums.cisco.com/docs/DOC-26606
● http://www.cisco.com/en/US/docs/ios-xml/ios/ipaddr_nat/configuration/xe-2/iadnat-stateful-
nat64.html#GUID-6F2A56B4-A210-43C6-9DCA-321068B24FED
Bind DNS64 :
● http://ipvsix.me/?p=106
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 50/54
Découverte d’IPv6, document de laboratoire 50
Lab-5.8. Microsoft Server roles
Get your hands on it with the IPv6 Test Lab Guide and extensions.
Lab-6. Sécurité
Recommandations Microsoft : http://technet.microsoft.com/fr-fr/library/bb726956.aspx
Avis Cisco : http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/white_paper_c11-
678658.html
Confirmé par la présentation suivante : http://www.bortzmeyer.org/ipv6-securite.html
Lab-6.1. Firewalling CiscoZone-Based Policy Firewall Design and Application Guide
Zone-Based Policy Firewall IPv6 Support
Lab-6.2. Firewalling Linux
Dans /etc/firewall.rules à améliorer :# First, delete all: ip6tables -F
ip6tables -X
# Allow anything on the local link ip6tables -A INPUT -i lo -j ACCEPT ip6tables -A OUTPUT -o lo -j ACCEPT
# Allow anything out on the internet ip6tables -A OUTPUT -o sixxs -j ACCEPT
# Allow the localnet access us: ip6tables -A INPUT -i br-lan -j ACCEPT ip6tables -A OUTPUT -o br-lan -j ACCEPT
# Filter all packets that have RH0 headers: ip6tables -A INPUT -m rt --rt-type 0 -j DROP ip6tables -A FORWARD -m rt --rt-type 0 -j DROP ip6tables -A OUTPUT -m rt --rt-type 0 -j DROP
# Allow Link-Local addresses ip6tables -A INPUT -s fe80::/10 -j ACCEPT ip6tables -A OUTPUT -s fe80::/10 -j ACCEPT
# Allow multicast ip6tables -A INPUT -d ff00::/8 -j ACCEPT ip6tables -A OUTPUT -d ff00::/8 -j ACCEPT
# Allow ICMPv6 everywhere ip6tables -I INPUT -p icmpv6 -j ACCEPT
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 51/54
Découverte d’IPv6, document de laboratoire 51
ip6tables -I OUTPUT -p icmpv6 -j ACCEPT ip6tables -I FORWARD -p icmpv6 -j ACCEPT
# Allow forwarding ip6tables -A FORWARD -m state --state NEW -i eth0 -o sixxs -s 2001:6f8:14d6::/48-j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# SSH in ip6tables -A FORWARD -i sixxs -p tcp -d 2001:6f8:14d6:1::1 --dport 22 -j ACCEPT
# Bittorrent #ip6tables -A FORWARD -i sixxs -p tcp -d <subnet-prefix>::5 --dport 33600:33604-j ACCEPT
# Set the default policy ip6tables -P INPUT DROP ip6tables -P FORWARD DROP ip6tables -P OUTPUT DROP
Rendre le script exécutable :chmod 755 /root/firewall.rules Pour le lancement du script au démarrage placer la ligne dans /etc/rc.local :/root/firewall.rules
Quelle sont les améliorations à apporter ?
● Variables
● Configuration DMZ
● Installations au démarrage
Lab-6.3. Audit de sécurité IPv6
Scapy
http://www.secdev.org/projects/scapy/
THC-IPv6
http://www.thc.org/thc-ipv6/
Metasploit
http://www.metasploit.com/
Lab-7.1. Implémentation Windows
En répétition du Lab-5.8. Avec des VMs (2 Go RAM/160 Go HD)
Voir les excellents Windows Server 2012 Test Lab Guides.
et notamment “Test Lab Guide: Demonstrate DirectAccess Single Server Setup with Mixed IPv4
and IPv6 in Windows Server "8" Beta”.
Technet : http://technet.microsoft.com/fr-be/library/cc754217.aspx
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 52/54
Découverte d’IPv6, document de laboratoire 52
Lab-7.2. Implémentation Apache LAMP
Voir IPv6 :: Where the LAMP doesn’t shine.
Lab-7.3. Implémentation SNMP et Cacti
● Installation et configuration de Cacti : http://cactiez.cactiusers.org/
● Configuration SNMP sur Microsoft
● Configuration SNMP Cisco
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 53/54
Découverte d’IPv6, document de laboratoire 53
Lab-8. Implémentation d’OSPFv3
7/21/2019 Découverte d'IPv6, version 1.0
http://slidepdf.com/reader/full/decouverte-dipv6-version-10 54/54
CCNPv6 ROUTE
Chapter 8 Lab 8-1, Configuring OSPF for IPv6
Outil de virtualisation GNS3GNS3 est un gestionnaire d’hyperviseur open-source de plateforme Cisco Dynampis.
Topology
Objectives
• Configure a static IPv6 address on an interface.
• Change the default link-local address on an interface.
• Configure an EUI-64 IPv6 address on an interface.
• Enable IPv6 routing and CEF.
• Configure and verify single-area OSPFv3 operation.
Background
In this lab, you configure static IPv6 addresses and EUI-64 IPv6 addresses on interfaces. You then configure
OSPFv3 to route between the IPv6 networks.
Note: This lab uses Cisco 1841 routers with Cisco IOS Release 12.4(24)T1 and the Advanced IP Services
Image c1841-advipservicesk9-mz.124-24.T1.bin. The switch is a Cisco WS-C2960-24TT-L with the Cisco
IOS