Déploiement d’IPv6 au niveau · Présentation du CCK ... • Membre de l’AFRINIC depuis 2016...

Déploiement d’IPv6 au niveaudu Réseau National Universitaire

RNU

Abdelhakim Chattaoui

Déploiement d’IPv6 au niveaudu Réseau National Universitaire

RNU

Abdelhakim Chattaoui

08/03/2017 Déploiement d'IPv6 au niveau du RNU 2017 2

Plan Présentation du CCK Statistiques de déploiement d’IPv6 Le protocole IPv6 Le Schéma de transition pour le déploiement d’IPv6 Etude de faisabilité Le plan de transition/déploiement d’IPv6 au RNU Etat d’Implémentation d’IPv6 au niveau du RNU Conclusion

Présentation du CCK Statistiques de déploiement d’IPv6 Le protocole IPv6 Le Schéma de transition pour le déploiement d’IPv6 Etude de faisabilité Le plan de transition/déploiement d’IPv6 au RNU Etat d’Implémentation d’IPv6 au niveau du RNU Conclusion

08/03/2017 3Déploiement d'IPv6 au niveau du RNU 2017

Présentation du CCK• Crée en 1976• FSI depuis 1997• Connexion Internet via ATI (Agence Tunisienne

d’Internet)• Interconnexion des institutions universitaires (FO,

ADSL) via le Réseau National Universitaire (RNU) enpassant par l’opérateur Tunisie Télécom TT.

• Membre de l’AFRINIC depuis 2016 (un AS number,des adresses IPv4 et IPv6)

• Nouvelle connexion prévue avec le réseau derecherche GEANT.

• Crée en 1976• FSI depuis 1997• Connexion Internet via ATI (Agence Tunisienne

d’Internet)• Interconnexion des institutions universitaires (FO,

ADSL) via le Réseau National Universitaire (RNU) enpassant par l’opérateur Tunisie Télécom TT.

• Membre de l’AFRINIC depuis 2016 (un AS number,des adresses IPv4 et IPv6)

• Nouvelle connexion prévue avec le réseau derecherche GEANT.


Les services offerts du CCKo Connectivité réseau des institutions universitaireso Hébergement des applications nationaux et sites Web

(Orientation, inscription, Biruni, Cningenieur, Best,OOU, Salima, sites Web des institutions,… etc)

o Messagerie pour les enseignants universitaireso SMS (resultats des tours d’orientation, etc)o Antivirus, Accès VPN-SSLo Authentification Radius, Ldap, Proxyo Grille de calculo Calcul haute performance (prévu prochainement),o Eduroam, eduGAIN (prévu prochainement),o Etc.

Site web http://www.cck.rnu.tn


o Connectivité réseau des institutions universitaireso Hébergement des applications nationaux et sites Web

(Orientation, inscription, Biruni, Cningenieur, Best,OOU, Salima, sites Web des institutions,… etc)

o Messagerie pour les enseignants universitaireso SMS (resultats des tours d’orientation, etc)o Antivirus, Accès VPN-SSLo Authentification Radius, Ldap, Proxyo Grille de calculo Calcul haute performance (prévu prochainement),o Eduroam, eduGAIN (prévu prochainement),o Etc.

Site web http://www.cck.rnu.tn

Le CCK: Les ressources humaines

27

1720

25

30

Admin

Human Resources


1213

17

0

5

10

15

20

Admin Other Engineers Techniciens

AdminOtherEngineersTechniciens

BB –TTEL Kasbah

POP CCKOuerdiaBackup

ATIOuerdia

ATIEl Kasbah

Internet

BB-TTOuerdia

Institutions

FO 20-100Mb/sADSL 20Mb/s

FO 20-100Mb/sADSL 20Mb/s …

…

Architecture du Backbone du CCK

10Gbps

10Gbps10Gbps

Institutions

7

BB –TTEL Kasbah

CCKPOP ElManar

CCKPOP Manouba

CCKPOP Kasbah

STM1 (155 Mbps)(backup link)

1Gbps

1Gbps

POP CCKOuerdiaBackup

BB-TTOuerdia

08/03/2017 Déploiement d'IPv6 au niveau du RNU 2017

10Gbps

10Gbps10Gbps

Evolution de la Bande passante alloué du RNU

55 5 5

41

141200

5000

6000

7000

300

350

400

450

Ban

dwid

thin

Mbp

s

Nb

of c

onne

ctio

ns

Evolution of Bandwidth and number of connectionsOver the years 2005 - 2015


173 190 190

00

20

342 357 360 360320

240

193

00

0

0

1000

2000

3000

4000

0

50

100

150

200

250

2005 2006 2007 2008 2009 2010 2011 2012 2013 2014

Ban

dwid

thin

Mbp

s

Nb

of c

onne

ctio

ns

LS ADSL FIBRE Bande Passante

Bande passante consommée par le RNU


Statistiques de déploiement d’IPv6Dans le monde


Source: https://www.google.com/intl/en/ipv6/statistics.html#tab=ipv6-adoption&tab=ipv6-adoption

Statistiques d’allocation de plageIPv6 dans l’Afrique

08/03/2017 Déploiement d'IPv6 au niveau du RNU 2017² 12

Source: http://6spots.afrinic.net/

Statistiques d’adressage IPv6dans l’Afrique par république



Histogramme annuel d’allocation d’adressesIPv6 dans l’Afrique



Le protocole IPv6 - Espace d’adressage

Espace d’adressage important IPv4 : 32 bits, soit 232 adresses = 4.3 109 = 4

milliards

IPv6 : 128 bits soit 2128 adresses = 344 1036 =344 milliards de milliards de milliards

674 1015 adresses par mm², y comprissur les océans

Soit 674 000 000 000 000 000

Espace d’adressage important IPv4 : 32 bits, soit 232 adresses = 4.3 109 = 4

milliards

IPv6 : 128 bits soit 2128 adresses = 344 1036 =344 milliards de milliards de milliards

674 1015 adresses par mm², y comprissur les océans

Soit 674 000 000 000 000 000

07/04/2016 Stratégie de déploiement d'IPv6 au CCK 2016 16

Le protocole IPv6 – l’Entête Meilleure structure de l’en-tête : simplification pour un traitement plus rapide (taille fixe)

EntêteEntête IPv4IPv4 EntêteEntête IPv6IPv6

champ gardé d'IPv4 à IPv6

champ non conservé dans IPv6changement de nom et position dans IPv6

nouveau champ dans IPv607/04/2016 Stratégie de déploiement d'IPv6 au CCK 2016 17

Le protocole IPv6 - Allocation d’adresses

2001 0410

ISP prefixSite prefixSubnet prefix

/32 /48 /64

Registry

/23

Interface ID

Subnet prefixLe processus d'attribution a été récemment mis à jour par les registres:IANA alloue à partir de 2001 :: / 16 aux registres régionaux (RIR)

Chaque allocation registre régional est un :: / 23

Allocations FAI à partir du Registre régional est un :: / 36 (affectation immédiate) ou :: / 32(dotation initiale) ou plus court avec la justification

L'attente politique que d'un FAI attribue un préfixe :: / 48 à chaque clientExemple : le bloc suivant a été attribué pour le CCK 2001:4350:ffff::/48


IPv6 reconnaît 3 types d'adresses :

• L'adresse UNICAST : elle correspond à une interface.Le paquet sera remis à une et une seule interface.

• L'adresse MULTICAST : elle correspond à un ensemble d'interfaces.Le paquet sera remis à toutes les interfaces qui peuvent être n'importe où sur

l'Internet.une interface peut rejoindre un groupe ou le quitter.

Le protocole IPv6 – Type d’adresses

• L'adresse MULTICAST : elle correspond à un ensemble d'interfaces.Le paquet sera remis à toutes les interfaces qui peuvent être n'importe où sur

l'Internet.une interface peut rejoindre un groupe ou le quitter.

• L'adresse ANYCAST : elle correspond à une ensemble d'interfaces mais lepaquet n'est délivré qu'à une seule interface (la plus proche en général).

Elle permet d'obtenir une information détenue par plusieurs interfaces(routeurs par exemple).

Note : Le BROADCAST d'IPv4 disparaît dans IPv6.


Le protocole IPv6 – préfixe

Type d'adresses IPv6Préfixe Description

::/8 Adresses réservées

Certains préfixes d'adresses IPv6 jouent desrôles particuliers :

::/8 Adresses réservées

::1/128 Adresses Loopback

2000::/3(2000-3FFF)

Adresses unicastroutables sur Internet

fe80::/10 Adresses liens locauxff00::/8 Adresses multicast


Le Schéma de transition pour ledéploiement d’IPv6 dans le RNU

Etude defaisabilité« Quels sontles objectifs?»

Plan dedéploiement«Comment lesimplémenter? »

Projet exécutables•Architecture détaillée•Configuration•Script d’exécution•Planification•Allocation de ressources•Plan de retour



Evaluation si l’objectifest atteint ?« Quel changement à faire ?»



Etude de faisabilité pour le déploiementd’IPv6 au niveau du RNU Quel est le problème? L’évaluation : des changements des standards des constructeurs / vendeurs du risque des coûts Des temps

Quel est le problème? L’évaluation : des changements des standards des constructeurs / vendeurs du risque des coûts Des temps


Quel est le problème ?

L’IPv6 n’est pas un objectif mais une solution potentielle et uneurgence à un problème actuel.

Quelles sont les problèmes? Epuisement d’adresses IPv4 dans le monde!!! Trop de Segmentation du réseau et augmentation dela taille du table de routage Mobilité réduite Sécurité du protocole IPv4 non natif

Existent t’elles des solutions alternatives? Mécanisme du NAT Résumé des tables de routages Implémentation des composantes de sécurité au niveau du protocole Ipv4 Les solutions sont partielles

L’IPv6 n’est pas un objectif mais une solution potentielle et uneurgence à un problème actuel.

Quelles sont les problèmes? Epuisement d’adresses IPv4 dans le monde!!! Trop de Segmentation du réseau et augmentation dela taille du table de routage Mobilité réduite Sécurité du protocole IPv4 non natif

Existent t’elles des solutions alternatives? Mécanisme du NAT Résumé des tables de routages Implémentation des composantes de sécurité au niveau du protocole Ipv4 Les solutions sont partielles


Quel est le problème ?

Facteurs de choix de solution: Coût d’implémentation réduit Maturité technologique confirmé Expertise locale des employés: acquise pour certains Expertise sous-traitée: avec Afrinic, ATI, ICANN, … etc Support matériel et logiciel de l’IPv6

Décision prise => Déployer le protocole IPv6 au niveau duRNU tout en assurant l’automatization de déploiement, lasécurité, la mobilité, la fiabilité

Facteurs de choix de solution: Coût d’implémentation réduit Maturité technologique confirmé Expertise locale des employés: acquise pour certains Expertise sous-traitée: avec Afrinic, ATI, ICANN, … etc Support matériel et logiciel de l’IPv6

Décision prise => Déployer le protocole IPv6 au niveau duRNU tout en assurant l’automatization de déploiement, lasécurité, la mobilité, la fiabilité


L’évaluation des changements Quoi changer? Les réseaux Les systèmes Le protocole de routage

Facteurs à considérer: Peering externe ( ATI est en IPv6 ready) L’opérateur TT est en IPv4 only Nouveaux logiciels et matériels à acquérir Mise à niveau des matériels et logiciels Configurations des systèmes existants Education et formation du personnel technique

Quoi changer? Les réseaux Les systèmes Le protocole de routage

Facteurs à considérer: Peering externe ( ATI est en IPv6 ready) L’opérateur TT est en IPv4 only Nouveaux logiciels et matériels à acquérir Mise à niveau des matériels et logiciels Configurations des systèmes existants Education et formation du personnel technique


L’évaluation des standards, constructeurs/vendeurs,risques, coût, temps

L’évaluation des standards et le constructeurs/vendeurs : matures L’évaluation du risque sur le réseau et les systèmes

Les risques (perturbation de services, dégradation de performances, plusieursattaques, etc)

Les contrôles d’atténuation de risques Des problèmes résolus: support des vendeurs, standards, coût D’autres problèmes persistants: interopérabilité, dépendance avec l’Opérateur, et

Upstream provider, plan de retour à chaque phase L’évaluation des coûts L’évaluation du temps nécessaires

Temps de formation Temps d’implémentation/test et validation Temps d’acquisition

L’évaluation des standards et le constructeurs/vendeurs : matures L’évaluation du risque sur le réseau et les systèmes

Les risques (perturbation de services, dégradation de performances, plusieursattaques, etc)

Les contrôles d’atténuation de risques Des problèmes résolus: support des vendeurs, standards, coût D’autres problèmes persistants: interopérabilité, dépendance avec l’Opérateur, et

Upstream provider, plan de retour à chaque phase L’évaluation des coûts L’évaluation du temps nécessaires

Temps de formation Temps d’implémentation/test et validation Temps d’acquisition


Comprendre et accepter le risquedu changements

Chaque changement dans le réseau /systèmes et servicesInternet créera un risque!!!!!

Mais quand on estime le risque et quand on le comprendon pourra l’atténuer

Chaque changement dans le réseau /systèmes et servicesInternet créera un risque!!!!!

Mais quand on estime le risque et quand on le comprendon pourra l’atténuer


Plan de déploiement d’IPv6 au RNU Inventaire Plan d’adressage IPv6 Formation et acquisitions de compétences Méthodologie

Inventaire Plan d’adressage IPv6 Formation et acquisitions de compétences Méthodologie


Inventaire réseau et systèmes Routeurs et switchs cores:

- Routeurs frontaux avec le Upstream provider (ATI): adressage IPv6, routage BGP, AS number- Routeurs frontaux avec l’Opérateur TT au Kasbah: adressage IPv6, Tunnel GRE, routage OSPF- FW au Kasbah: adressage, routage , policy- Core switch et FW POP au CCK Manouba: adressage IPv6, routage, Tunnel, politique d’accès,

Systèmes de sécurité :- IPS/IDS, WAF, caméra, control d’accès, authentification, solutions antivirales, VPN-SSL

Systèmes d’exploitation- Unix, Linux (les différentes distributions), Solaris, Windows

Systèmes / applications de gestion :- SGBD (SQL, MYSQL), solution de gestion des points d’accès WiFi, load balancing, Pointeuse

Systèmes périphériques:- Fax, imprimantes

Systèmes d’authentification:- LDAP, Radius, identité fédéré

Services à usage PUBLIC:- accès Web (HTTP, HTTPS) et Web services, transfert de fichiers (FTP, SFTP), interfaçage avec la passerelle depaiement électronique, résultat par SMS, résolution DNS, accès à la messagerie par Webmail et clients mail (SMTP,SMTPS, IMAPS, POPS, POP), VisioConférence, grid computing

Systèmes backoffice:- archivage, backup, sauvegarde, monitoring, API , statistiques

Routeurs et switchs cores:- Routeurs frontaux avec le Upstream provider (ATI): adressage IPv6, routage BGP, AS number- Routeurs frontaux avec l’Opérateur TT au Kasbah: adressage IPv6, Tunnel GRE, routage OSPF- FW au Kasbah: adressage, routage , policy- Core switch et FW POP au CCK Manouba: adressage IPv6, routage, Tunnel, politique d’accès,

Systèmes de sécurité :- IPS/IDS, WAF, caméra, control d’accès, authentification, solutions antivirales, VPN-SSL

Systèmes d’exploitation- Unix, Linux (les différentes distributions), Solaris, Windows

Systèmes / applications de gestion :- SGBD (SQL, MYSQL), solution de gestion des points d’accès WiFi, load balancing, Pointeuse

Systèmes périphériques:- Fax, imprimantes

Systèmes d’authentification:- LDAP, Radius, identité fédéré

Services à usage PUBLIC:- accès Web (HTTP, HTTPS) et Web services, transfert de fichiers (FTP, SFTP), interfaçage avec la passerelle depaiement électronique, résultat par SMS, résolution DNS, accès à la messagerie par Webmail et clients mail (SMTP,SMTPS, IMAPS, POPS, POP), VisioConférence, grid computing

Systèmes backoffice:- archivage, backup, sauvegarde, monitoring, API , statistiques


Plan d’adressage IPv6 Bloc IPv6 : 2001:XXXX:YYYY::/48 (ATI) Bloc IPv6: 2C0F:ZZZZ::/32 (AFRINIC) Modèle Hiérarchique selon les régions (universités),

Sous-région/Site (différentes institutions), Extensible

Bloc IPv6 : 2001:XXXX:YYYY::/48 (ATI) Bloc IPv6: 2C0F:ZZZZ::/32 (AFRINIC) Modèle Hiérarchique selon les régions (universités),

Sous-région/Site (différentes institutions), Extensible


Formation et acquisitions decompétences Qui devra être formé: Architecte réseau et sécurité Les administrateurs des systèmes et services

Comment la formation se déroule: Auto-Développement Programme interne Formation sous traités à l’extérieur

Lab de test recommandé

Qui devra être formé: Architecte réseau et sécurité Les administrateurs des systèmes et services

Comment la formation se déroule: Auto-Développement Programme interne Formation sous traités à l’extérieur

Lab de test recommandé


Méthodogie Approche core-to-edge Core en premier lieu Systèmes et services en deuxième lieu

Implémentation doit être incrémentale Test via Similator GNS3 Formation Exécution par phase Test d’implémentation , site pilote, généralisation Vérification et Validation Monitoring et Suivi

Approche core-to-edge Core en premier lieu Systèmes et services en deuxième lieu

Implémentation doit être incrémentale Test via Similator GNS3 Formation Exécution par phase Test d’implémentation , site pilote, généralisation Vérification et Validation Monitoring et Suivi


Plan d’implémentation Etat d’implémentation d’IPv6 au niveau du RNU Date majeure de réalisation Formations et tests réalisées Architecture du backbone du CCK en IPv6 Prochaines étapes

Etat d’implémentation d’IPv6 au niveau du RNU Date majeure de réalisation Formations et tests réalisées Architecture du backbone du CCK en IPv6 Prochaines étapes


Etat d’Implémentation d’IPv6 auniveau du RNU Préparation d’un plan d’adressage IPv6: par PoP, Universités/

Institutions Technologies choisies Dual Stack (cohabitation des deux protocoles IPv6 et IPv4) Technique de tunneling (GRE) dans le backbone de l’opérateur qui est

uniquement IPv4 Conserver les protocoles de routages utilisés (statique, OSPFv3, BGPv4)

Migration des routeurs/FW du core au niveau du Kasbah Migration des routeurs/FW à Manouba Configuration du routeur Institution et test de fonctionnement

du site client ISET Charguia : routage et accès vers un site webhttp://jst.tn

Monitoring et suivi du trafic IPv6 (lenteur, blocage, plan deretour)

Préparation d’un plan d’adressage IPv6: par PoP, Universités/Institutions

Technologies choisies Dual Stack (cohabitation des deux protocoles IPv6 et IPv4) Technique de tunneling (GRE) dans le backbone de l’opérateur qui est

uniquement IPv4 Conserver les protocoles de routages utilisés (statique, OSPFv3, BGPv4)

Migration des routeurs/FW du core au niveau du Kasbah Migration des routeurs/FW à Manouba Configuration du routeur Institution et test de fonctionnement

du site client ISET Charguia : routage et accès vers un site webhttp://jst.tn

Monitoring et suivi du trafic IPv6 (lenteur, blocage, plan deretour)


Date majeure de réalisation Le 25 mars 2016: réalisation d’un site pilote institutionnel: Test de bout en bout avec une institution universitaire ISET

Charguia : Accès depuis le réseau local du CCK et de ISET-Charguia

vers Internet depuis un poste de travail en IPV6 Test de navigation vers Internet Accès en HTTP vers un site Web de JST Iset Charguia ayant

une adresse IPv6 et hébergé sur un server web: http://jst.tn

Le 25 mars 2016: réalisation d’un site pilote institutionnel: Test de bout en bout avec une institution universitaire ISET

Charguia : Accès depuis le réseau local du CCK et de ISET-Charguia

vers Internet depuis un poste de travail en IPV6 Test de navigation vers Internet Accès en HTTP vers un site Web de JST Iset Charguia ayant

une adresse IPv6 et hébergé sur un server web: http://jst.tn


Formations et tests réalisées Le 7 avril 2016 : Workshop sur le déploiement de l’IPv6. Le 15 et 16 avril 2015: Workshop IPv6 For ISP organisé

par CCK et ISET Charguia: adressage IPv6, routageIpv6, AS numbers, BGP basics En 2016, 2015, 2012: Encadrement et Test d’IPv6 dans le

cadre de stage PFE des élèves ingénieurs En 2009, 2010 : Formation d’une équipe CCK ATI IPv6 En 2008 : Formation d’une personne en IPV6 au

Mauritanie En 2004 : formation en intra des membres qualifiés du

CCK par AFNIC

Le 7 avril 2016 : Workshop sur le déploiement de l’IPv6. Le 15 et 16 avril 2015: Workshop IPv6 For ISP organisé

par CCK et ISET Charguia: adressage IPv6, routageIpv6, AS numbers, BGP basics En 2016, 2015, 2012: Encadrement et Test d’IPv6 dans le

cadre de stage PFE des élèves ingénieurs En 2009, 2010 : Formation d’une équipe CCK ATI IPv6 En 2008 : Formation d’une personne en IPV6 au

Mauritanie En 2004 : formation en intra des membres qualifiés du

CCK par AFNIC08/03/2017 Déploiement d'IPv6 au niveau du RNU 2017 41

BB –TTEL kasbah

CCKPOP Kasbah

ATIELKasbah

ATIOuerdia

Internet

FO 20-100Mb/sADSL 20Mb/s …

Architecture du Backbone du CCK en IPv6 en2016

Institutions

10Gbps

42

BB –TTEL kasbah

CCKPOP Manouba

POP CCKOuerdia

Backup POPKasbah

1Gbps

CCKPOP Kasbah

ATIOuerdia

10Gbps

1Gbps

08/03/2017 déploiement d'IPv6 au CCK 2017

CCK STAFF

CCK DMZ

ISETChargua

http://jst.tn/10Gbps 10Gbps

Prochaines étapes Généralisation de déploiement pour d’autres

Institutions et universités Migrer certains services publics : Le site web du CCK http://www.cck.rnu.tn Le serveur de messagerie D’autres services

Sécurité Monitoring

Généralisation de déploiement pour d’autresInstitutions et universités Migrer certains services publics : Le site web du CCK http://www.cck.rnu.tn Le serveur de messagerie D’autres services

Sécurité Monitoring


Sites web de références https://ipv6.he.net http://www.internetsociety.org/deploy360/fr/statistiques-ipv6/ http://ipv6forum.com/ https://www.tutorialspoint.com/ipv6/ https://www.vyncke.org/ipv6status/ http://www.rmv6tf.org http://www.ipv6.test-ipv6.com


https://ipv6.he.net http://www.internetsociety.org/deploy360/fr/statistiques-ipv6/ http://ipv6forum.com/ https://www.tutorialspoint.com/ipv6/ https://www.vyncke.org/ipv6status/ http://www.rmv6tf.org http://www.ipv6.test-ipv6.com

Conclusion IPv6 une solution et une nécessité immédiate On devra suivre les nouvelles technologies La transition vers Ipv6 devra être douce et progressive La transition peut durer des années mais il faut

démarrer Mettre quelques choses fonctionnel en IPv6 mieux que

de perdre un temps fou dans la planification

IPv6 une solution et une nécessité immédiate On devra suivre les nouvelles technologies La transition vers Ipv6 devra être douce et progressive La transition peut durer des années mais il faut

démarrer Mettre quelques choses fonctionnel en IPv6 mieux que

de perdre un temps fou dans la planification


Merci pour votre attention

Abdelhakim ChattaouiCCK

Merci pour votre attention

Abdelhakim ChattaouiCCK


Déploiement d’IPv6 au niveau · Présentation du CCK ... • Membre de l’AFRINIC depuis 2016...

Documents

Transcript of Déploiement d’IPv6 au niveau · Présentation du CCK ... • Membre de l’AFRINIC depuis 2016...