TP IPv6 : Déploiement et Intégration

IPv6 catalystUn article de Le wiki des TPs RSM.

PréparationAttention, le temps de réalisation du TP est limité, il est donc nécessaire de bien le lire avant d'arriver dans la salle tout en relisant le cours.

Cadre généralLa salle TP possède un précâblage pour réseau local (cf. figure suivante). Un hub central permet de relier l'ensemble des bancs.

L'utilisation d'un hub permet à chaque banc de voir le trafic produit par les autres bancs, si cette configuration n'est pas optimale, elle permet demieux comprendre les échanges protocolaires. Il faudra par contre faire attention aux adresses source et destination des trames reçues

La configuration des salles est la suivante :

Les connecteurs des câbles Ethernet peuvent être endommagés à cause des manipulations fréquentes dans la salle de TP. Lorsque vous câblez unéquipement, vérifiez que les LED s'allument correctement des deux cotés.Les commutateurs que nous allons utiliser s'adaptent aux câbles croisés ou droits. Il est donc possible d'interconnecter deux commutateurs ou uncommutateur et un poste avec le même type de câble.

Notez le numéro de la salle (B27 ou B30), il sera nécessaire pour la définition du pland'adressage.

Identification du matérielIdentifier:

5 câbles RJ451 câble RJ45 mural normalement de couleur bleue foncée2 PC avec trois ports Ethernet chacun (1 sur la carte mère, deux sur des cartes Ethernet)1 commutateur Cisco Catalyst 35601 routeur Cisco famille 18002 câbles série de couleur bleu clair : l'ordinateur côté gauche est connecté au commutateur Cisco Catalyst, l'ordinateur côté droit est connecté au routerCisco

Chaque poste de travail est composé d’un commutateur Cisco (Catalyst 3560), d'un routeur Cisco (famille 1800) et deux 2 PCs. Chaque PC possède troisprises Ethernet. Celle directement connectée à la carte mère de l’ordinateur ne doit jamais être débranchée, elle sert à la configuration des bancs de TP. Nousne nous en servirons jamais dans la suite des manipulations, nous nous intéresserons uniquement aux deux cartes Ethernet.

Architecture du TPAu cours de ce TP, nous allons mettre en place 2 réseaux IPv6 sur votre banc, que nous allons interconnecter entre eux. Voici l'architecture réseau que vousallez mettre en place.

Architecture Niveau 3

L'architecture niveau 3 nous montre les 2 réseaux IPv6 du banc. Sur le premier réseau, nous allons connecter le PC serveur, qui sera le PC le plus proche ducouloir au milieu de la salle. L'autre PC sera le PC client, qui sera connecté au second réseau de votre banc.

Repérez le PC serveur, le plus proche du milieu de la salle, et le PC client, proche des fenêtres ou du mur, selon le côté de la salle où vous vous trouvez.

Ces deux réseaux IPv6 seront gérés par un routeur Cisco 1800. Ce routeur sera connecté au réseau d'interconnexion de la salle pour fournir la connectivitéIPv6 à votre banc.

Repérez le routeur Cisco 1800.

Architecture Niveau 2

Le routeur Cisco ne possède que 2 interfaces réseau. La première sera utilisée pour le réseau d'interconnexion. L'architecture réseau du TP nécessite donc lamise en place de VLANs. La seconde interface du routeur servira à diffuser 2 VLANs correspondant aux réseaux IPv6 de votre banc vers un commutateurCisco 3560. Vous configurerez ce commutateur pour attribuer chacun de ces VLANs aux interfaces sur lesquelles seront connectés les 2 PCs.

Repérez le switch Cisco 3650.

Architecture Niveau 1Voici le schéma de câblage pour ce TP :

L'interface Fe0/0 du routeur doit être connectée au réseau d'interconnexion de la salle.

Repérez le câble du réseau d'interconnexion (bleu ou vert) qui descend sous votre banc. Connectez-le à l'interface Fa0/0 du routeur}

L'interface Fe0/1 du routeur doit être connectée à l'interface 1 du commutateur.

Connectez par un petit câble l'interface Fe0/1 du routeur à l'interface 1 du commutateur.

L'interface 2 du commutateur doit être connectée à l'interface eth0 du PC serveur (interface à gauche en regardant la face arrière).

Connectez par un petit câble l'interface 2 du commutateur à l'interface eth0 du PC serveur.

L'interface 3 du commutateur doit être connectée à l'interface eth0 du PC client (interface à gauche en regardant la face arrière).

Connectez par un petit câble l'interface 3 du commutateur à l'interface eth0 du PC client.

L'interface 4 du commutateur sera utilisée pour monitorer le trafic sur votre banc. Le moniteur se situera sur le PC serveur.

Connectez par un petit câble l'interface 4 du commutateur à l'interface eth1 du PC serveur (interface à droite en regardant la face arrière).

Le PC serveur va servir à la configuration du commutateur par l'interface série.

Connectez par le câble plat bleu l'interface série du PC serveur à l'interface console du commutateur

Le PC client va servir à la configuration du routeur par l'interface série.

Connectez par le câble plat bleu l'interface série du PC client à l'interface console du routeur

Démarrage des PCsLes deux PC doivent être sous tension. Une bannière de login doit être présente. Si ce n’est pas le cas, appelez votre encadrant.

Sur le commutateur et les PC:

Vérifiez l’état des LED pour voir quels équipements sont "actifs" sur le réseau.

Sur chacun des PC :

Dans la fenêtre de login PC, taper comme utilisateur : user

Dans la fenêtre suivante taper le mot de passe : pass4user

Lancer un terminal ayant les accès root en sélectionnant, en haut et à gauche de l'écran, Applications/Accessoires/Root Terminal

Le système demande le mot de passe de root: taper pass4root

La fenêtre suivante apparaît :

Etape 1 : Configuration niveau 2 du banc de TP sur le commutateurVous allez tout d'abord configurer l'architecture Niveau 2 sur le commutateur de votre banc.

Dans la fenêtre du PC serveur, lancez le terminal série pour configurer le commutateur

# minicom cisco

Tapez retour chariot, si vous voyez les lignes suivantes apparaître, repondez yes pour passer en mode configuration non assistée, sinon vous deviez voirdirectement l'invite Switch>

Would you like to terminate autoinstall? [yes]: yes

--- System Configuration Dialog ---

Would you like to enter in the initial configuration dialog? [yes/no]: noSwitch>

Le commutateur est prêt à être configuré.

Comme pour une station de travail, un commutateur a deux mode de fonctionnement. Vous êtes pour l’instant connecté dans le mode utilisateur. Pourpouvoir configurer l’équipement, vous devez passer dans le mode super-utilisateur.

Tapez la commande IOS (système d’exploitation des routeurs/commutateurs Cisco) :

Switch>enable

L’invite change pour :

Switch#

Le format de l’invite est important car il indiquera dans quel menu de configuration vous vous trouvez.

SI VOUS RESTEZ TROP LONGTEMPS INACTIF SUR LE COMMUTATEUR. CELUI-CI REPASSERA EN MODE UTILISATEUR.POUR REVENIR EN MODE PRIVILÉGIÉ, IL FAUDRA RETAPER enable.

Pour connaître les interfaces disponibles sur le routeur, tapez :

Switch#show interfaces status

Port Name Status Vlan Duplex Speed TypeFa0/1 connected 1 a-full a-100 10/100BaseTXFa0/2 connected 1 a-full a-100 10/100BaseTXFa0/3 connected 1 a-full a-100 10/100BaseTXFa0/4 connected 1 a-full a-100 10/100BaseTXFa0/5 notconnect 1 auto auto 10/100BaseTXFa0/6 notconnect 1 auto auto 10/100BaseTXFa0/7 notconnect 1 auto auto 10/100BaseTXFa0/8 notconnect 1 auto auto 10/100BaseTXGi0/1 notconnect 1 auto auto 10/100/1000BaseTX

Configuration du VLAN serveurDans l'architecture de niveau 2, nous avons défini 2 VLANs numérotés de la façon suivante :

101 : VLAN du réseau serveur102 : VLAN du réseau client

L'interface Fa0/2 est connectée au PC serveur. Vous devez donc lui attribuer le VLAN 101.

Pour commencer la configuration des interfaces, vous devez passez en mode configuration

Switch# configure terminal

Configurez sur le commutateur l'interface FastEthernet0/2 sur le vlan 101

Switch(config)# interface FastEthernet0/2Switch(config-if)# switchport access vlan 101Switch(config-if)# switchport mode accessSwitch(config-if)# exitSwitch(config)# exitSwitch#

Vérifiez la configuration de l'interface:

Switch#show interfaces status

Port Name Status Vlan Duplex Speed Type...Fa0/2 connected 101 a-full a-100 10/100BaseTX...

Configuration du VLAN clientL'interface Fa0/3 est connectée au PC client. Vous devez donc lui attribuer le VLAN 102.

Repassez en mode configuration :

Switch# configure terminal

Configurez sur le commutateur l'interface FastEthernet0/3 sur le vlan 102

Switch(config)# interface FastEthernet0/3Switch(config-if)# switchport access vlan 102Switch(config-if)# switchport mode accessSwitch(config-if)# exitSwitch(config)# exitSwitch#

Vérifiez la configuration de l'interface:

Switch#show interfaces status

Port Name Status Vlan Duplex Speed Type...Fa0/2 connected 101 a-full a-100 10/100BaseTXFa0/3 connected 102 a-full a-100 10/100BaseTX...

Configuration de l'interface vers le routeurL'interface Fa0/1 est connectée au routeur. Elle doit être configurée comme trunk pour pouvoir agréger les deux VLANs 101 et 102 vers le routeur.

Repassez en mode configuration :

Switch# configure terminal

Configurez sur le commutateur l'interface FastEthernet0/1 comme trunk

Switch(config)# interface FastEthernet0/1Switch(config-if)# switchport trunk encapsulation dot1qSwitch(config-if)# switchport trunk allowed vlan 101,102Switch(config-if)# switchport mode trunkSwitch(config-if)# exitSwitch(config)# exitSwitch#

Vérifiez la configuration de l'interface:

Switch#show interfaces status

Port Name Status Vlan Duplex Speed TypeFa0/1 connected trunk a-full a-100 10/100BaseTXFa0/2 connected 101 a-full a-100 10/100BaseTXFa0/3 connected 102 a-full a-100 10/100BaseTX...

NB : il est possible que le trunk ne soit pas affiché. Cela peut venir de 2 choses : - l'interface du routeur connectée à l'interface Fa0/1 est down et donc le lien apparaît non connecté, - le lien est bien connecté, mais il faut un changement d'état sur l'interface pour que le trunk soit pris en compte (débrancher et rebrancher le câble est normalement suffisant).

Configuration du port moniteurNous allons passer en mode configuration pour placer le port 4 du commutateur en mode monitoring pour qu'il reçoive l'ensemble des trames émises parchacun des deux PC (vlan 101 et 102). Ce port sera connecté à l'interface eth1 du PC serveur, ce qui permettra d'observer les trames avec un analyseur.

Tapez :

Switch# configure terminalSwitch(config)#monitor session 1 source vlan 101 , 102Switch(config)#monitor session 1 destination interface Fa0/4Switch(config)#exitSwitch#writeBuilding configuration...[OK]

vérifiez que la commande a bien été exécutée en tapant :

Switch# sh interfaces status

Port Name Status Vlan Duplex Speed TypeFa0/1 connected trunk a-full a-100 10/100BaseTXFa0/2 connected 101 a-full a-100 10/100BaseTXFa0/3 connected 102 a-full a-100 10/100BaseTXFa0/4 monitoring 1 a-full a-100 10/100BaseTX...

Mise en marche de l’analyseur réseau sur le PC serveurSur le PC serveur, nous allons utiliser le port eth1 pour écouter les trames qui circulent sur le réseau:

Afin que l'interface eth1 du PC serveur ne soit pas impactée par les messages de configuration IPv6 reçus, il faut désactiver l'autoconfiguration sur cetteinterface.

Sur le PC serveur, activez l'interface eth1 et désactiver l'autoconfiguration :

# ifconfig eth1 up# echo 0 > /proc/sys/net/ipv6/conf/eth1/accept_ra

Lancez le programme d'analyse du trafic avec un accès root en sélectionnant, en haut et à gauche de l'écran, Applications/Internet/Wireshark (as root)

La fenêtre suivante apparaît :

Lancez la capture des trames en allant dans le menu Capture/Options... en configurant l'interface eth1.

Cliquez sur Start.

Afin de ne voir que les messages IPv6 qui nous intéressent ici, vous pouvez utiliser le filtre de visualisation

Sachant que RENATER attribue des préfixes de 48 bits à ses clients, combien de clientsRENATER peut il servir en adresses IPv6 sur ce bloc ?

2^(48-32)=2^16 = 65536

Combien de préfixe de lien IPv6 (sous-réseau), de taille standard 64 bits, peut-on définir sur lesite à partir de ce préfixe ?

2^(64-48)=2^16 = 65536

Dans le champ Filter en haut de la fenêtre de capture, entrez la valeur ipv6

Etape 2 : Etablissement du plan d'adressageLe plan d'adressage utilisé pour ce TP suit la règle d'adressage hiérarchique mise en oeuvre depuis la politique d'allocation CIDR décidée au début desannées 1990. Cette politique s'applique aussi bien en IPv4 qu'en IPv6 :

L'IANA, organisation mondiale de gestion des adresses, délègue des blocs d'adresses aux Registres Internet Régionaux (RIR).Chaque RIR alloue des blocs d'adresses aux Registres Internet Locaux (LIR, typiquement des opérateurs/FAI) de sa région (en Europe, c'est le RIPE-NCC).Chaque LIR attribue ensuite des blocs d'adresses à ses clients finaux (entreprises, particuliers...).Chaque client gère enfin ces adresses pour les affecter à ses équipements/services réseaux.

Dans le cas de TELECOM Bretagne, le LIR est RENATER. Le préfixe IPv6 utilisé par RENATER est :

2001:660::/32

RENATER a attribué à TELECOM Bretagne site de Rennes le préfixe suivant

2001:660:7301::/48

Quel est le préfixe IPv6 associé à votre salle de TP ?

En B27: 2001:660:7301:2700::/56En B30: 2001:660:7301:3000::/56

Combien de lien IPv6 est-il possible de définir dans cette salle ?

2^(64-56)=2^8 = 256

Les administrateurs réseau du site de Rennes ont décidé d'adresser hiérarchiquement les salles de TP. À chaque salle est associé le préfixe IPv6 :

2001:660:7301:TP00::/56

où TP est le numéro de la salle.

Pour chaque salle le préfixe :

2001:660:7301:TP00::/64

est attribué au réseau d'interconnexion. Les préfixes à utiliser pour les deux réseaux de votre banc sont définis de la manière suivante :

2001:660:7301:TP_1::/64 Réseau serveur (vlan 101)2001:660:7301:TP_2::/64 Réseau client (vlan 102)

où _ représente votre numéro de banc

Quels seront les 2 préfixes IPv6 à utiliser sur votre banc ?

2001:660:7301:TP_1::/64 Réseau serveur (vlan 101)2001:660:7301:TP_2::/64 Réseau client (vlan 102)

Si vous prévoyez de déployer jusqu'à 16 liens IPv6 par banc, numéroté de 0 à F, quel préfixeIPv6 peut agréger tous les préfixes de votre banc ?

2001:660:7301:TP_0::/60

Etape 3 : Connexion du routeur au réseau de la salleLa configuration Niveau 2 de votre banc étant terminée, vous n'avez plus de configuration à effectuer sur le commutateur. Vous allez maintenant configurerle routeur.

Dans la fenêtre du PC client, démarrez l'outil de configuration du routeur

# minicom cisco

Allumez le routeur.

Le routeur va normalement démarrer en mode configuration. Répondez à quelques questions (nom du routeur, mot de passe administrateur) et vous devriezarriver à l'invite de commande pour la configuration.

Passez en mode administrateur

Routeur$ enable

Vérifiez la configuration IPv6 des interface au démarrage du routeur

Combien d'adresses IPv6 sont configurées sur le routeur ?

La commande ne retourne rien, pas de configuration IPv6 initiale

Quelle sera l'adresse IPv6 de votre routeur ?

2001:660:7301:TP00::_/64

Routeur# show ipv6 interface brief

Vous allez maintenant configurer l'interface FastEthernet0/0 du routeur, connectée au réseau d'interconnexion de la salle. Dans le plan d'adressage del'école, ce réseau a pour préfixe :

2001:660:7301:TP00::/64

Vous allez donc configurer cette interface avec une adresse de ce lien. Pour construire cette adresse, il vous manque les 64 derniers bits. Ces bits seront fixésen fonction de votre banc :

0000:0000:0000:000_ _=numéro de banc

Configurez sur le routeur l'interface FastEthernet0/0

Routeur# configure terminalRouteur(config)# interface FastEthernet0/0Routeur(config-if)# no shutdownRouteur(config-if)# ipv6 address 2001:660:7301:TP00::_/64Routeur(config-if)# ipv6 enableRouteur(config-if)# exitRouteur(config)# exitRouteur#

Combien d'adresses IPv6 sont configurées sur le routeur ?

2 pour Fa0/0 : adresse lien-local + adresse configurée

Pourquoi cette commande échoue-t-elle ? (indice: show ipv6 route)

Parce qu'il n'y a pas de route par défaut

Vérifiez la configuration de l'interface

Routeur# show ipv6 interface brief

Vous allez maintenant tester la connectivité IPv6 de votre routeur.

Essayez de joindre l'adresse du routeur d'un autre banc

Routeur# ping 2001:660:7301:TP00::x x= numéro d'un autre banc

Essayez de joindre une machine extérieure à la salle

Routeur# ping 2001:660:7301:1::1

Le ping doit échouer

Afin que le réseau soit informé des préfixes que vous allez déployer sur votre banc, votre routeur doit activer un processus de routage. Pour ce TP, nousutiliserons le protocole RIP.

Quelles routes ont été ajoutées à la table par l'activation du protocole RIP ?

Route par défautRoutes vers d'autres bancs

Activez la fonction de routage du routeur

Routeur# configure terminalRouteur(config)# ipv6 unicast-routing

Activez le protocole RIP sur l'interface vers le réseau d'interconnexion

Routeur(config)# ipv6 router rip ciscoRouteur(config-router)# redistribute connectedRouteur(config-router)# exitRouteur(config)# interface FastEthernet0/0Routeur(config-if)# ipv6 rip cisco enableRouteur(config-if)# exitRouteur(config)# exitRouteur#

Le protocole de routage RIP permet au routeur de votre banc de s'annoncer comme routeur pour tous les réseaux qu'il gère (redistribute connected).RIP permet aussi de récupérer des routes annoncées par d'autres routeurs.

Vérifiez la table de routage IPv6 du routeur

Routeur# show ipv6 route

Essayez maintenant de joindre une machine extérieure à la salle

Routeur# ping 2001:660:7301:1::1

Le ping doit maintenant fonctionner

Le résultat de ce test de joignabilité confirme-t-il votre hypothèse faite précédemment ?

Étape 4 : Mise en place du réseau serveurMaintenant que votre routeur est connecté au réseau de la salle, vous allez configurer les réseaux de votre banc, en commençant par le réseau du PC serveur.Ce réseau va utiliser les fonctionnalités de configuration automatique des adresses.

Configuration du réseau serveur côté routeurVous allez maintenant configurer l'interface du routeur vers le réseau du serveur. Cette interface est virtuelle, car elle est connectée sur un des 2 VLANs quisont remontés du commutateur vers le routeur par la même interface physique FastEthernet0/1. Le VLAN serveur étant numéroté 101, l'interface durouteur vers ce VLAN sera

FastEthernet0/1.101

Activez l'interface physique et l'interface virtuelle du routeur vers le VLAN 101.

Routeur# configure terminalRouteur(config)# interface FastEthernet0/1Routeur(config-if)# no shutdownRouteur(config-if)# ipv6 enableRouteur(config-if)# exitRouteur(config)# interface FastEthernet0/1.101Routeur(config-if)# encapsulation dot1Q 101Routeur(config-if)# no shutdownRouteur(config-if)# ipv6 enableRouteur(config-if)# exitRouteur(config)# exitRouteur#

Combien d'adresses IPv6 sont configurées sur le routeur ?

4 : 2 Fa0/0 (lien-local + statique) + 1 lien-local Fa0/1 + 1 lien-local

Fa0/1.101

Pourquoi les adresses lien-local des interfaces physiques et virtuelles sont ici identiques ?

Elles sont toutes les deux construites à partir du même identifiant matériel

(adresse MAC).

Cela pose-t-il un problème d'avoir la même adresse sur ces deux interfaces ?

Non , car elles ne seront jamais connectées au même réseau IPv6.

À quels groupes multicast est abonné le routeur ?

FF02::1FF02::2

Vérifiez la configuration IPv6 des interfaces du routeur

Routeur# show ipv6 interface brief

Regardons plus en détail la configuration de l'interface virtuelle

Routeur# show ipv6 interface FastEthernet0/1.101

FF02::XXXX:XXXX Multicast sollicité

Pourquoi est-il nécéssaire d'avoir accès au groupe FF02::1

Pour que le routeur puisse répondre aux sollicitations concernant tous les

noeuds (hosts et routeurs)IPv6 du lien (NS / NA)

Pourquoi est-il nécéssaire d'avoir accès au groupe FF02::2

Pour que le routeur puisse répondre aux sollicitations concernant tous les

routeurs IPv6 du lien (RS / RA)

La fonctionnalité DAD est activée par défaut. À quoi sert cette fonctionnalité ?

Pour pouvoir détecter la duplication d'adresses IPv6 sur le lien, et ainsi

éviter les conflits.

La fonctionnalité Neighbor Discovery (ND) est activée par défaut. À quoi sert cettefonctionnalité ?

Configuration automatique des adresses IPv6 des interfaces pour les machinesdu type "host" (ne concerne pas le routeur)Résolution des adresses de niveau 2 (équivalent à ARP pour IPv4)DADRésolution d'adresse (Sollicitation de voisin / Annonce de voisin)Acquisition du/des préfixe(s) du lien et d'autres informations (routeur pardéfaut, MTU...)

Combien le routeur possède-t-il d'adresses globales ?

2 = 1 pour l'interface externe + 1 pour l'interface vers le réseau du PC serveur

Vous allez maintenant configurer l'adresse IPv6 globale de l'interface FastEthernet0/1.101. Dans le plan d'adressage du TP, le préfixe IPv6 est lesuivant :

2001:660:7301:TP_1::/64 _=numéro de banc

Les 64 derniers bits de l'adresse (identifiant d'interface) vont être déterminés à partir de l'identifiant matériel.

Configurez l'interface du vlan 101 sur le routeur

Routeur# configure terminalRouteur(config)# interface FastEthernet0/1.101Routeur(config-if)# ipv6 address 2001:660:7301:TP_1::/64 eui-64Routeur(config-if)# exitRouteur(config)# exitRouteur#

Vérifiez la configuration des adresses IPv6 sur le routeur

Routeur# show ipv6 interface brief

Vous allez maintenant configurer le mécanisme permettant la configuration automatique des "hosts" sur le réseau du PC serveur. Ce mécanisme permet aurouteur d'annoncer sur le lien le préfixe IPv6 à utiliser pour fabriquer l'adresse, ainsi que d'autres paramètres comme le MTU. Ce mécanisme s'appelleAnnonce de routeur (Routeur Advertisement ou RA).

Configurer le mécanisme d'annonces de routeur sur le réseau serveur

Retrouvez les paramètres que vous avez configurés dans les messages en analysant les tramessous Wireshark

Routeur# configure terminalRouteur(config)# interface FastEthernet0/1.101Routeur(config-if)# ipv6 nd prefix 2001:660:7301:TP_1::/64 2592000 604800Routeur(config-if)# ipv6 nd ra interval 30Routeur(config-if)# exitRouteur(config)# exitRouteur#

Regardons plus en détail les paramètres renseignés par cette configuration :

ipv6 nd prefix 2001:660:7301:TP_1::/64 2592000 604800

Cette première ligne permet de fixer le préfixe IPv6 qui sera annoncé sur ce lien, conforme au plan d'adressage établi pour ce TP. Sont aussi renseignées 2valeurs qui fixent pour ce préfixe sa durée de validité (durée en seconde pendant laquelle le host pourra considérer son adresse auto-configurée commevalide) et sa durée de préférence (durée en seconde pendant laquelle le host utilisera l'adresse auto-configurée de préférence par rapport à celles configuréesà partir d'autres annonces).

ipv6 nd ra interval 30

Cette seconde ligne permet de fixer l'intervalle de ré-émission (en seconde) des messages d'annonce de routeur.

Ces messages sont maintenant diffusés sur le lien auquel le serveur est attaché.

Vérifiez cette diffusion dans l'outil d'analyse de trame Wireshark

Configuration du PC serveurLe réseau du PC serveur est maintenant configuré, il vous reste à configurer la machine.

Combien d'adresses IPv6 sont configurées sur la machine ?

2 = loopback + lien local eth1

Combien d'adresses IPv6 possède maintenant la machine ?

4 = 1 loopback + 1 lien local eth1 + 1 lien local eth0 + 1 globale eth0

Vérifiez la configuration IPv6 initiale

Standard Linux

# ifconfig # ip -6 addr

Pour que le PC serveur se configure sur le réseau, il vous faut activer l'interface eth0 qui l'y connecte

Activez l'interface eth0 de la machine serveur

# ifconfig eth0 up

Vérifiez la configuration IPv6

Standard Linux

# ifconfig # ip -6 addr

Analysez les messages échangés à la configuration de l'interface avec l'outil d'analyse de trame

Quels types de messages ont été capturés? Quel est leur objectif?

MLD multicast sollicité pour adresse lien-localNeighbor sol pour DAD sur l'adresse lien-localRouter Sol / Router Adv pour récupérer le préfixeNeighbor sol pour DAD sur l'adresse globale construiteMLD multicast sollicité pour adresse globale

Quels sont les paramètres obtenus par la configuration automatique ?

Préfixe IPv6Adresse du routeur pour la route par défaut

Que manque-t-il pour que le dernier test de connectivité puisse réussir ?

Étudiez l'état de la table de routage

Standard Linux

# netstat -rn6 # ip -6 route

Testez la connectivité acquise par l'auto-configuration

# ping6 2001:660:7301:TP00::_ _=numéro de votre banc# ping6 2001:660:7301:TP00::_ _=numéro d'un autre banc# ping6 2001:660:7301:1::1# ping6 ipv6.google.com

Configuration du DNS

La configuration du DNS n'est pas transmise par le message d'annonce de routeur.

Ouvrez l'éditeur gedit dont l'icône se trouve sur le bureau

Ouvrez le fichier /etc/resolv.conf et renseignez la valeur suivante, puis enregistrez

nameserver 2001:660:7301:1::1

Vérifiez que le dernier test de connectivité fonctionne

La configuration automatique depuis le routeur permet de renseigner les paramètres nécessaires à la configuration de l'adresse d'une interface et de la tablede routage. Par contre, ce mécanisme ne gère pas la configuration de paramètres des couches supérieures, comme par exemple la découverte automatique del'adresse du serveur récursif DNS ("cache resolver"). Pour cela il est suggéré d'utiliser le service DHCPv6, que vous allez déployer en partie sur le réseau duPC client.

Etape 5 : Déploiement du réseau clientVous allez maintenant mettre en place le réseau sur lequel est connecté le PC client. Au contraire du réseau serveur, ce réseau va assurer la configurationautomatique des noeuds par le protocole DHCPv6.

L'architecture DHCP nécessite au minimum un client et un serveur. Dans le cadre de ce TP, vous allez déployer une architecture qui met aussi en oeuvre unrelais, permettant ainsi au serveur DHCP de se situer dans n'importe quel réseau du site.

Dans le cadre de ce TP, l'architecture se représente de la manière suivante :

Dans une architecture DHCPv6 avec relais, retrouvez les messages qui circulent dans les sens(1), (2), (3) et (4). Donnez les adresses source et destination de ces messages

Sens (1)

Unicast Client -> FF02::1:3 SOLLICITUnicast Client -> FF02::1:3 REQUEST

Sens (2)

Unicast Relais -> (Unicast Serveur|FF05::1:3) RELAY-FW(SOLLICIT)Unicast Relais -> (Unicast Serveur|FF05::1:3) RELAY-FW(REQUEST)

Sens (3)

Unicast Serveur -> Unicast Relais RELAY-FW(ADVERTISE)Unicast Serveur -> Unicast Relais RELAY-FW(REPLY)

Sens (4)

Unicast Relais -> Unicast Client ADVERTISE

Le PC serveur aura le rôle de serveur DHCPv6 ;Le routeur aura le rôle de relais DHCPv6 ;Enfin le PC client sera client DHCPv6.

Note : Une autre architecture peut être envisagée en utilisant le routeur comme serveur. Mais des limitations du microcode actuel ne nous permettent pasd'utiliser toutes les fonctionnalités de DHCPv6 sur ce matériel.

Unicast Relais -> Unicast Client REPLY

Pour quelles raisons ces annonces sont toujours obligatoires sur un réseau utilisant DHCPv6 ?

Longueur du préfixe du lienAdresse de niveau 2 du routeur par défaut

Configuration de l'interface du routeurVous allez tout d'abord configurer l'interface du routeur vers le VLAN 102. D'après le plan d'adressage défini pour le TP, le préfixe utilisé pour ce réseauest :

2001:660:7301:TP_2::/64 _=numéro du banc

Cette interface sera configurée de la même manière que l'interface du VLAN 101, l'identifiant d'interface sera dérivé des paramètres matériel.

Configurez l'interface du vlan 102 sur le routeur

Routeur# configure terminalRouteur(config)# interface FastEthernet0/1.102Routeur(config-if)# no shutdownRouteur(config-if)# encapsulation dot1Q 102Routeur(config-if)# ipv6 address 2001:660:7301:TP_2::/64 eui-64Routeur(config-if)# ipv6 enable

Vous allez maintenant configurer l'annonce de routeur sur ce réseau.

Examiner les différences entre les annonces de routeur du VLAN serveur et client

Routeur(config-if)# ipv6 nd prefix 2001:660:7301:TP_2::/64 2592000 604800 no-autoconfigRouteur(config-if)# ipv6 nd managed-config-flagRouteur(config-if)# ipv6 nd ra interval 30Routeur(config-if)# exitRouteur(config)# exitRouteur#

La configuration de l'annonce de préfixe diffère de deux façons de la première effectuée sur le VLAN serveur :

ipv6 nd prefix 2001:660:7301:TP_2::/64 2592000 604800 no-autoconfig

La mention no-autoconfig indique aux noeuds recevant cette annonce de ne pas utiliser ce préfixe pour la configuration automatique d'adresse.

ipv6 nd managed-config-flag

Cette configuration permet d'indiquer dans le message d'annonce que les noeuds doivent solliciter un serveur DHCP pour obtenir leur adresse.

Les annonces de routeur doivent être maintenant diffusées sur le lien

Retrouvez ces messages dans l'outil d'analyse de trame

Configuration du PC clientVous allez maintenant activer l'interface eth0 du PC client et voir l'impact de cette annonce de routeur.

Activez l'interface eth0 de la machine client

Quels sont les messages échangés ? Quel est leur objectif ?

MLDDADRouter Sollicitation / Router Advertisement

DAD pour l'adresse lien local + Découverte du routeur

Le comportement du PC client est-il conforme à ce qui est attendu ?

Le PC configure bien son adresse lien-local, puis sollicite le routeur. Commeindiqué l'annonce reçue, il ne configure pas d'adresse mais configure bien laroute par défaut. Par contre, le client ne sollicite pas automatiquement deserveur DHCPv6 pour l'adresse.

# ifconfig eth0 up

Vérifiez la configuration IPv6 du client

Standard Linux

# ifconfig# netstat -rn6

# ip -6 addr# ip -6 route

Analysez les messages échangés dans l'outil d'analyse de trame

Configuration de l'infrastructure DHCPv6

Quelle est l'adresse multicast correspondant au serveur DHCPv6 ?

FF05::1:3

Vous allez maintenant mettre en place les éléments de l'architecture DHCPv6 qui vont permettre au PC client d'obtenir une adresse IPv6.

Sur le PC serveur, vous utiliserez l'implémentation WIDE-DHCPv6 en tant que serveur.

Sur le PC serveur, ouvrez l'éditeur de fichier et entrez les configuration suivantes dans /etc/wide-dhcpv6/dhcp6s.conf :

option domain-name-servers 2001:660:7301:1::1;

interface eth0 { address-pool pool1 3600;};

pool pool1 { range 2001:660:7301:TP_2::1000 to 2001:660:7301:TP_2::2000 ;};

Sauvegardez le fichier sous /etc/wide-dhcpv6/dhcp6s.conf

Cette configuration va permettre au serveur de distribuer des adresses sur le préfixe du VLAN client et de fournir aux clients l'adresse IPv6 du serveursDNS récursif ("cache resolver") à utiliser.

Démarrez le serveur

# dhcp6s -dDf -c /etc/wide-dhcpv6/dhcp6s.conf eth0

Vérifiez l'écoute du serveur sur l'adresse multicast

# ip -6 maddr show

Vous allez maintenant configurer le relais DHCPv6 sur le routeur. Cette configuration va permettre d'indiquer au routeur sur quelle interface il doit jouer le

Comment est indiqué la destination des messages à relayer ? Quelle est l'autre option deconfiguration ?

La destination est une adresse multicast pour le site + l'interface à utiliserpour diffuser en multicast. L'autre option est d'utiliser l'adresse unicast duserveur.

Quel est l'avantage de la solution choisie ?

Le multicast permet de ne pas avoir à connaître a priori l'adresse du serveur.De plus, il peut permettre d'avoir plusieurs serveurs DHCPv6 sur un même site enredondance ou en partage de charge.

rôle de relais DHCPv6 et à quelle destination relayer les requêtes.

Configurez le relais DHCPv6 sur le routeur

Routeur# configure terminalRouteur(config)# interface FastEthernet0/1.102Routeur(config-if)# ipv6 dhcp relay destination FF05::1:3 FastEthernet0/1.101Routeur(config-if)# exitRouteur(config)# exitRouteur#

Vous allez enfin configurer le client DHCPv6 sur le PC client. Vous utiliserez l'implémentation Dibbler.

Sur le PC client, ouvrez l'éditeur de fichier et entrez les configuration suivantes dans /etc/dibbler/client.conf :

log-mode shortlog-level 6iface eth0{ ia {} option dns-server}

Sauvegardez le fichier sous /etc/dibbler/client.conf

Cette configuration permet d'indiquer au client DHCPv6 d'utiliser l'interface eth0 pour solliciter une adresse IPv6 (ia) et l'adresse du serveur DNS (optiondns-server).

Lancez le client DHCPv6

# dibbler-client run

Sur le client, vérifiez le résultat de la configuration de l'interface et du DNS

Standard Linux

# ifconfig # ip -6 addr

# cat /etc/resolv.conf

Testez la connectivité

# ping6 2001:660:7301:TP00::_ _=numéro de votre banc# ping6 2001:660:7301:TP00::_ _=numéro d'un autre banc# ping6 2001:660:7301:1::1# ping6 www.afnic.fr

Examinez les messages DHCPv6 échangés dans l'outil d'analyse de trame

Quels sont les messages échangés ? Quel est leur objectif

Unicast Client -> FF02::1:2 SOLICITUnicast Relais -> FF05::1:3 RELAY-FW(SOLICIT)Unicast Serveur -> Unicast Relais RELAY-REPLY(ADVERTISE)Unicast Relais -> Unicast Client ADVERTISEUnicast Client -> FF02::1:2 REQUESTUnicast Relais -> FF05::1:3 RELAY-FW(REQUEST)Unicast Serveur -> Unicast Relais RELAY-REPLY(REPLY)Unicast Relais -> Unicast Client REPLY

Quelle est la valeur nécessaire à la configuration de l'adresse qui n'est pas transmise parDHCPv6 ?(indice: regardez la configuration du pool d'adresse côté serveur) Comment cettevaleur est-elle récupérée ?

Il manque la longueur du préfixe à utiliser. Cette information est censée êtredonnée par l'annonce de routeur (RA). Dans l'implémentation du client DHCPv6utilisée, cette longueur est fixée en dur à 64.

Étape 6 : Configuration d'un serveur de nommageVous allez maintenant configurer un serveur de nommage sur le PC serveur. Ce serveur va permettre de gérer la correspondance entre les adresses IPv6déployées sur votre réseau et des noms, plus facile à manipuler. Les 2 PCs seront ensuite configurés pour utiliser ce serveur comme résolveur.

Pour pouvoir entrer plus facilement l'adresse du serveur DNS dans la configuration, vous allez donner à l'interface eth0 du serveur une adresse IPv6 statiqueplus facile à retenir. Elle utilisera le même préfixe IPv6 du lien, mais l'identifiant d'interface sera fixé sur une valeur choisie. Par exemple, vous pourrezchoisir de fixer cette identifiant à la valeur du port DNS 53 comme ce serveur sera votre DNS.

Configurez l'adresse statique du serveur

Pourquoi ne publie-t-on pas les adresses lien-local dans le DNS

Parce qu'elle ne sont valides que sur le lien (donc injoignables de parailleurs)Il n'y a pas possibilité d'indiquer leur portée (scope)

Standard Linux

# ifconfig eth0 add 2001:660:7301:TP_1::53/64 # ip -6 addr add 2001:660:7301:TP_1::53/64 dev eth0

Configuration de la résolutionVous allez utiliser comme serveur de nommage l'implémentation BIND 9. Les noms qui seront utilisé dans le TP seront : serveur.tp pour le serveur,client.tp pour le client. Le serveur est déjà configuré pour prendre la configuration de la zone .tp dans le fichier /etc/bind/db.tp.

Ouvrez le fichier /etc/bind/db.tp et éditez la configuration :

tp. IN SOA serveur.tp. nobody.localhost. ( 1 ; serial 3600 ; refresh (1 hour) 900 ; retry (15 minutes) 3600000 ; expire (5 weeks 6 days 16 hours) 3600 ; minimum (1 hour) ) IN NS serveur.tp.serveur.tp. IN AAAA 2001:660:7301:TP_1:<ID Interface> AAAA 2001:660:7301:TP_1::53client.tp. IN AAAA 2001:660:7301:TP_2:<ID Interface>

Enregistrez le fichier et lancez le serveur DNS

Comment modifier la configuration du PC serveur pour qu'il utilise automatiquement l'adressedu serveur local pour la résolution de nom

Modifier le fichier /etc/resolv.conf

Comment modifier la configuration du PC client pour qu'il utilise le serveur DNS du PCserveur comme resolver ? (indice: une partie de cette configuration doit se faire sur le PCserveur)

Le serveur de nom à utiliser sur le PC client est configuré à partir de DHCPv6.Il faut donc modifier la configuration du serveur DHCPv6 avec la nouvelleadresse du serveur de nom et redémarrer le serveur et le client DHCPv6

# /etc/init.d/bind9 start

Vérifiez que la résolution de nom fonctionne sur le serveur et le client

# dig -t AAAA serveur.tp @2001:660:7301:TP_1::53

Observez les messages de résolution de nom sur l'outil d'analyse de trame

@2001:660:7301:TP_1::53 permet d'indiquer à la commande le serveur de nom à utiliser, ici le serveur local à la machine.

Mettez à jour les configurations du PC serveur et client pour utiliser le serveur de nommage et testez la résolution : Sur le serveur

# ping6 client.tp

Sur le client

Donnez le domaine inverse de l'adresse IPv6 de votre serveur DNS 2001:660:7301:TP_1::53

3.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1._.P.T.1.0.3.7.0.6.6.0.1.0.0.2.ip6.arpa.

# ping6 serveur.tp

Vous pouvez remarquer que le ping affiche l'adresse IPv6 à chaque ligne, au contraire d'un autre ping comme

# ping6 www.afnic.fr

Cela signifie que la résolution inverse adresse vers nom ne fonctionne pas.

Configuration de la résolution inverseComme la résolution de nom, la résolution inverse se base des zones déléguées hiérarchiquement. Mais ici, alors que les noms utilisent des zones textuellescomme .fr, la résolution inverse définit des zones (dites "inverses") à partir des adresses. Par exemple l'adresse 2001:660:3006:1::1:1 (adresse de ns3.nic.fr)est transformée en le nom de domaine inverse suivant :

1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa.

Le préfixe ip6.arpa. est commun à toutes les résolutions inverses IPv6. Les sous-domaines suivants sont déterminés à partir de chaque demi-octet (nibble,groupe de 4 bits) de l'adresse IPv6.

Le calcul de ces domaines inverses peut s'avérer propice aux erreurs. Heureusement il existe des outils permettant de les calculer automatiquement à partirdes adresses. Vous allez utiliser l'outils ipv6calc pour calculer les résolutions inverses des adresses de votre réseau.

# ipv6calc -O revnibbles.arpa <Adresse IPv6>

Téléchargez les paquets ipv6calc et libgeoip en ouvrant le navigateur à l'adresse suivante:

http://rhadamanthe.ipv6.rennes.telecom-bretagne.eu/TP/

Dans le terminal, placez-vous dans le répertoire de téléchargement et installez ces paquets

# cd ~/Desktop# dpkg -i libgeoip1_1.3.17-1.1_i386.deb ipv6calc_0.61.0-1_i386.deb

Calculez grâce à l'outil ipv6calc les résolutions inverses pour les adresses du serveur et du client

Ajoutez l'entrée dans le fichier de configuration /etc/bind/named.conf.local pour le domaine de résolution inverse de votre TP

zone "tp" { type master; file "/etc/bind/db.tp";};

zone "_.P.T.1.0.3.7.0.6.6.0.1.0.0.2.ip6.arpa." { type master; file "/etc/bind/db.tp.ipv6.rev";};

Editez le fichier /etc/bind/db.tp.ipv6.rev contenant la configuration de la résolution inverse Dans ce fichier, nous utiliserons la macro $ORIGINqui permet de factoriser le suffixe commun des résolutions inverses

/etc/bind/db.tp.ipv6.rev

$ORIGIN _.P.T.1.0.3.7.0.6.6.0.1.0.0.2.ip6.arpa.$TTL 7200@ IN SOA serveur.tp. nobody.localhost. ( 1 ; serial 3600 ; refresh (1 hour) 900 ; retry (15 minutes) 3600000 ; expire (5 weeks 6 days 16 hours) 3600 ; minimum (1 hour) ) IN NS serveur.tp. 3.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1 IN PTR serveur.tp.

Ajoutez les résolutions inverses pour les autres adresses de votre banc.

Enregistrez le fichier. Relancer le serveur de nommage

# /etc/init.d/bind9 restart

Testez la configuration de la résolution inverse

# dig -x 2001:660:7301:TP_1::53# ping6 serveur.tp

Etape 7 : Configuration de règles de filtrageVous allez maintenant mettre en place des règles de filtrages en bordure du réseau de votre banc. Ces règles vont vous permettre de restreindre l'accès à desservices de votre réseau en fonction de l'adresse des clients distants, puis de restreindre l'utilisation des adresses utilisés par les clients de votre réseau pouratteindre des services distants.

Filtrage de l'accès en IPv6 à un service sshVous allez maintenant utiliser mettre en place des règles de filtrage pour l'accès au service SSH (console distante sécurisée) actuellement déployé sur votremachine serveur.

Vérifiez que le serveur ssh est en écoute sur IPv6 sur la machine serveur

# netstat -taun | grep 22

Depuis le serveur, testez la connexion par ssh sur le serveur d'un autre banc

# ssh user@2001:660:7301:TPW1::53 (W= numéro du banc + 1)# ssh user@2001:660:7301:TPY1::53 (Y= numéro du banc - 1)

IPv6 permet à n'importe quelle machine de votre site de mettre en place un service adressable directement depuis l'exterieur. Il est donc nécessaire de filtrer

les accès entrants. Vous allez ici restreindre l'accès à votre serveur ssh au banc vous précédant, et interdire les accès pour tout les autres bancs.

Sur la console du routeur, entrez les commandes suivantes.

Router#configure terminalRouter(config)#ipv6 access-list secu-in (crée une access-list appelée secu-in)Router(config-ipv6-acl)#permit tcp 2001:660:7301:TPY1::/64 2001:660:7301:TP_1::53/64 eq 22 (Y=banc-1)Router(config-ipv6-acl)#permit tcp any any establishedRouter(config-ipv6-acl)#permit icmp any anyRouter(config-ipv6-acl)#permit udp any eq 53 anyRouter(config-ipv6-acl)#permit udp any eq 521 anyRouter(config-ipv6-acl)#deny any anyRouter(config-ipv6-acl)#exitRouter(config)#interface FastEthernet 0/0Router(config-if)#ipv6 traffic-filter secu-in inRouter(config-if)#exitRouter(config)#exit

Par ces commandes, vous avez créés une liste de restriction d'accès (access list) pour les paquets entrant dans votre réseau. Cette liste autorise les accèssuivants:

Les connexions TCP sur le port 22 provenant du banc Y et à destination de votre machine serveur (permit tcp 2001:660:7301:TPY1::/642001:660:7301:TP_1::53 eq 22)Les autres connexions TCP à condition qu'elles aient été initiées depuis l'intérieur (permit tcp any any established). Cette règle permet de retrouverles restrictions d'accès d'un NAT à port restreint.L'ICMP (permit icmp any any). Rappelez vous que l'ICMP est important pour le bon fonctionnement d'IPv6 et ne présente plus les risques inhérentsen IPv4. Il ne faut donc plus le filtrer systématiquement.L'UDP port 53 pour le DNS (permit udp any eq 53 any)L'UDP port 521 pour le RIP (permit udp any eq 521 any)

Toutes les autres types de connexions sont interdis (deny any any). Cette règle est associée à l'interface vers l'extérieur FastEthernet 0/0 pour le traficentrant par la commande : ipv6 traffic-filter secu-in in.

Demandez maintenant aux bancs +1 et -1 de tester l'accès à votre service ssh

L'accès ne devrait être valable que depuis le banc -1

Activez le ssh sur la machine client de votre banc, demandez aux autres bancs de s'y connecter

L'accès devrait être refusé.

Pourquoi ne voyez vous pas les réponses du serveur du banc Y depuis le client de votre banc?Parce que ces paquets sont routés vers le banc W et non vers le client.

Filtrage de mauvais usage des adresses IPv6Vous allez maintenant simuler depuis votre banc une tentative d'usurpation d'une adresse d'un autre banc pour atteindre de manière imprévue un banc tier.Cette manipulation a pour but de vous démontrer qu'il faut aussi filtrer le trafic sortant de votre réseau, et notamment les adresses IPv6 utilisées commeadresses source et qui peuvent être modifiées pour masquer des attaques.

Vous allez tout d'abord configurer le client avec une adresse d'un autre banc. Il vous faut d'abord désactiver l'auto-configuration puis configurermanuellement une adresse.

Configurez le client avec une adresse d'un autre banc

# ip -6 addr del 2001:660:7301:TP_2:XXXX:XXXX:XXXX:XXXX dev eth0 # echo 0 > /proc/sys/net/ipv6/conf/eth0/accept_ra# ip -6 addr add 2001:660:7301:TPW2::999/128 dev eth0 (W=banc+1)

Essayez de pinguer le serveur d'un autre banc

# ping6 2001:660:7301:TPY1::53 (Y=banc-1)

Visualisez le résultat sur le moniteur de votre banc, ainsi que des bancs W et Y.

Cette simple usurpation d'adresse peut être un vecteur d'attaque important. De plus, n'importe quel client peut effectuer cette manipulation. Il est doncnécessaire de contrôler en bordure du réseau que les adresses qui en sortent soient des adresses que vous avez déléguées. Pour cela, nous allons ajouter uneliste de filtrage sur le routeur qui va vérifier que l'adresse source des paquets est bien dans le préfixe attribué à votre banc (2001:660:7301:TP_0::/60).

Mettez en place le filtrage sur l'adresse source en sortie du routeur par les commandes suivantes :

Router#configure terminalRouter(config)#ipv6 access-list secu-out (crée une access-list appelée secu-out)Router(config-ipv6-acl)#permit tcp 2001:660:7301:TP_0::/60 anyRouter(config-ipv6-acl)#permit icmp 2001:660:7301:TP_0::/60 anyRouter(config-ipv6-acl)#permit udp 2001:660:7301:TP_0::/60 any eq 53Router(config-ipv6-acl)#permit udp 2001:660:7301:TP00::_/64 any eq 521Router(config-ipv6-acl)#deny any anyRouter(config-ipv6-acl)#exitRouter(config)#interface FastEthernet 0/0Router(config-if)#ipv6 traffic-filter secu-out outRouter(config-if)#exit

Tester de nouveau le ping

Le ping ne devrait maintenant plus passer, ni perturber les autres bancs.

Reconfigurez l'interface eth0 du client

# ip -6 addr del 2001:660:7301:TPW2::999/128 dev eth0 (W=banc+1)# echo 1 > /proc/sys/net/ipv6/conf/eth0/accept_ra# ifconfig eth0 down# ifconfig eth0 up

Note: Il est possible que l'interface ne retrouve pas son adresse auto-configurée. Vous pouvez lui configurer manuellement une adresse dans le bon réseau.

Tester de nouveau le ping

Comme le client utilise maintenant une adresse légitime, l'usage du ping est de nouveau permis.

Étape 8 : Déploiement d'un réseau double pile ("dual-stack")Vous allez maintenant voir l'intégration d'IPv6 en parallèle d'un réseau IPv4, que l'on appelle configuration double-pile. Vous avez sur votre banc le réseaudu PC serveur actuellement uniquement IPv6. Nous allons y configurer la connectivité IPv4 et pouvoir ainsi intégrer sur le PC serveur des servicesjoignables en IPv4 et IPv6.

Au contraire de la configuration IPv6 du réseau serveur qui faisait appel à un adressage global, nous allons utiliser un adressage privé en IPv4 et mettre enplace un NAT (Network Adress Translator) sur le routeur.

Combien de plans d'adressage IPv4 privé sont mis en oeuvre sur le routeur ?

2, sur le réseau d'interconnexion et sur le VLAN 101

Configuration du routeur Connectez le routeur au réseau en IPv4

Routeur# configure terminalRouteur(config)# interface FastEthernet0/0Routeur(config-if)# ip address 10.TP.0._ 255.255.255.0Routeur(config-if)# ip route 0.0.0.0 0.0.0.0 10.TP.0.254Routeur(config-if)# exitRouteur(config)# exitRouteur#

Testez la connectivité

Routeur# ping 10.TP.0.254Routeur# ping 192.108.119.134

Configurez l'interface du VLAN 101 en IPv4

Router# configure terminalRouter(config)# interface FastEthernet0/1.101Router(config-if)# ip address 192.168.0.1 255.255.255.0Router(config-if)# exitRouter(config)# exitRouter#

Configurez la fonction de NAT

Quelle propriété du DNS permet que le serveur puisse résoudre cette dernière adresse ?

Indépendance entre le type d'enregistrement DNS demandé (RR Type, A ou AAAA) et

la version d'IP (IPv4 ou IPv6) utilisée pour transporter la requête et la

réponse DNS en question. La résolution d'une adresse IPv4 peut se faire en

contactant un serveur de nommage en IPv6.

Router# configure terminalRouter(config)# interface FastEthernet0/0Router(config-if)# ip nat outsideRouter(config-if)# exitRouter(config)# interface FastEthernet0/1.101Router(config-if)# ip nat insideRouter(config-if)# exitRouter(config)# ip nat pool nat101 10.TP.0._ 10.TP.0._ prefix-length 24Router(config)# ip nat inside source list 1 pool nat101 overloadRouter(config)# access-list 1 permit 192.168.0.0 0.0.0.255Router(config)# exitRouter#

Configurez l'interface eth0 du serveur

# ifconfig eth0 192.168.0.2/24# route add default gw 192.168.0.1

Testez la connectivité IPv4 depuis le serveur

# ping 192.168.0.1# ping 192.108.119.134# ping www.google.com

Examinez la résolution de nom qui s'est effectuée lors du dernier test dans l'outil d'analyse de trame

À quoi est due la différence de résultat (indice: examiner les trames capturées)

'''www.sncf.fr''' n'est pas joignable en IPv6, pas de résolution en AAAA

Étape 9 : Accès aux services WebVous allez maintenant mettre en place les outils permettant au client d'accéder à l'ensemble des services d'Internet, quelle que soit la version du protocole IPutilisée, tout en gardant ce client sur un réseau IPv6-only.

Tout d'abord, examinez l'impact de cette connectivité sur l'accès aux services :

Sur le PC serveur, ouvrez le navigateur web et allez sur la page suivante : http://www.sncf.fr

Sur le PC client, ouvrer le navigateur web et allez sur la page : http://www.sncf.fr

La solution immédiate pour résoudre ce problème serait de déployer IPv4 sur le réseau du client. Vous allez mettre en oeuvre une approche différente endéployant un proxy sur le PC serveur qui fera passerelle entre une version du protocole et une autre.

Vous utiliserez l'implémentation Apache du proxy. Elle va nécessiter la mise en place d'un Virtual-Host spécial pour cette fonction.

Modifiez le fichier /etc/apache2/ports.conf pour indiquer à Apache d'écouter sur le port 8080 réservé au proxy

Listen 80Listen 8080

Modifiez le fichier /etc/apache2/sites-available/default

NameVirtualHost *:80<VirtualHost *:80>...

Activez les fonctions de proxy et créez le fichier du Virtual-Host à partir de la configuration proxy

# a2enmod proxy# a2enmod proxy_http# cp /etc/apache2/mods-available/proxy.conf /etc/apache2/sites-available/proxy-v6

Modifiez le fichier /etc/apache2/sites-available/proxy-v6

<VirtualHost *:8080><IfModule mod_proxy.c> #turning ProxyRequests on and allowing proxying from all may allow #spammers to use your proxy to send email.

ProxyRequests On

<Proxy *> AddDefaultCharset off Order deny,allow Deny from all Allow from 2001:660:7301:TP_2::/64

# Define the character set for proxied FTP directory listings ProxyFtpDirCharset UTF-8 </Proxy>

# Enable/disable the handling of HTTP/1.1 "Via:" headers. # ("Full" adds the server version; "Block" removes all outgoing Via: headers) # Set to one of: Off | On | Full | Block

ProxyVia On</IfModule></VirtualHost>

La configuration d'un proxy se fait toujours en indiquant quelles adresses ont droit d'accéder à cette fonctionnalité (sinon risque de rebond). C'est le sens dela configuration

Order deny,allow Deny from all Allow from 2001:660:7301:TP_2::/64

Ici seulement les machines du réseau client ont le droit d'accéder à ce proxy.

Activez le Virtual-Host et démarrez le serveur Apache

# a2ensite proxy-v6# /etc/init.d/apache2 start

Configurez l'utilisation du proxy sur le PC client en éditant depuis le menu Desktop/Preferences/Network Proxy

Relancez le navigateur web et testez la navigation

Examinez les paquets échangés entre le client, le proxy et les sites visités

Remise à zéro des bancs Déconnectez les câbles ethernet entre les PCs, le routeur, le commutateur et le réseau de la salle. Les câbles série (câbles plats bleus) ne doivent pas être

enlevés.

Sur le routeur et le commutateur, effacez les configurations avec la commande suivante :

Switch#write eraseErasing the nvram filesystem will remove all configuration files! Continue? [confirm] <return>[OK]Erase of nvram: completeSwitch#3d23h: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvramSwitch#reload

System configuration has been modified. Save? [yes/no]: noProceed with reload? [confirm]<return>...Would you like to terminate autoinstall? [yes]: yes

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: noSwitch>

Eteignez les PCs avec la commande :

# halt

Broadcast message from root@pc-b27-21 (pts/3) (Mon Aug 11 17:44:28 2008):

The system is going down for reboot NOW!

Récupérée de « http://wikitp.rennes.telecom-bretagne.eu/index.php/IPv6_catalyst »

Dernière modification de cette page le 27 octobre 2009 à 14:40.