IPv6 sur REAUMUR Séminaire RAISIN 27 avril 2006 Laurent FACQ – REAUMUR – lfacq@u-bordeaux.fr Jean-Denis PORTELLI – REAUMUR – jdp@ctba.fr
IPv6 sur REAUMUR Pourquoi, Quand, Comment... IPv6 : Introduction et Historique Les adresses Le protocole Le service expérimental REAUMUR Utiliser IPv6...
IPv6 : Introduction et Historique Normalisation stable depuis 2002. IPv6 et RENATER RENATER 2 pilote IPv6 RENATER 3 (2002) IPv6 unicast natif Une démarche commune à toutes les universités.
IPv6 : Introduction et Historique Les motivations Croissance exponentielle de la taille d’Internet Épuisement des adresses IPv4 Explosion de la taille des tables de routage Fortes inégalités géographiques Répartition des adresses Ipv4 Etats-unis : 74% Europe : 17% Asie : 9% => Nouvelle version du Protocole Internet : Version 6
IPv6 : Introduction et historique Les motivations Nombre d'adresses distribuées par le IANA en équivalent classe A /8. C.I.D.R
IPv6 : Introduction et Historique Les motivations La taille des tables de routage IPv4 est passée de 2.100 entrées début 1991 à 180.000 début 2006
IPv6 : Introduction et historique Les principes retenus Possibilités d'adressage étendues de 32 bits à 128 bits Préfixe réseau + Identifiant machine Format d'entête simplifié traitement plus rapide Options intégrées dans des extensions d'entête
IPv6 : Introduction et historique Les principes retenus Possibilités de qualité de services "flow label " Support de : Auto-configuration la mobilité la sécurité (IPSEC)
IPv6 sur REAUMUR Pourquoi, Quand, Comment... IPv6 : Introduction et Historique Les adresses Le protocole Le service expérimental REAUMUR Utiliser IPv6...
Longueur 128 bits : 8 mots de 16 bits IPv6 : Les adresses Longueur 128 bits : 8 mots de 16 bits 2001:0660:6101:0000:0000:0010:a123:0962 Forme réduite .... 2001:660:6101::10:a123:962 Notion de préfixe hiérarchique. 2001::/16 Géré par les RIR 2001:0660::/32 RENATER 2001:0660:6101::/48 U-REAUMUR-BORDEAUX
Ambiguité apparente de la notation IPv6 : Les adresses Ambiguité apparente de la notation 2001:660:6101:0000::/56 2001:660:6101::/56 2001:660:6101:0003::/56 2001:660:6101:3::/56 Utilisation de ces adresses dans une URL http://2001:660:6101:1::1e/ http://[2001:660:6101:1::1e]:8000/ Adresses Identiques Préfixes identiques Adresses Identiques
Trois types d’adresses IPv6 : Les adresses Trois types d’adresses Unicast Identifie une interface Multicast Indentifie un groupe d’interfaces Anycast Identifie une interface dans un groupe
IPv6 : Les adresses Adresses Unicast Adresse Unicast Lien local (FE80::/64) Site local (FE0C::/64 plus utilisé) Adresses unicast globales Adresse de retour, loopback (::1) Adresse indéterminée (0:0:0:0:0:0:0:0) 128 bits 3 à 10 bits 64 bits FP Champ 1 … … … … Champ n Interface Id
IPv6 : Les adresses Adresses Unicast Lien Local Le préfixe est de la forme : FE80::/64 54 bits 64 bits 10 bits 1 1 1 1 1 1 1 0 1 0 Interface ID.
IPv6 : Les adresses Adresses Unicast Site Local (plus utilisé) Le préfixe est de la forme : FEC0::/48 SLA ‘Site Level Aggrégation’ sur 16 bits 10 bits 38 bits 16 bits 64 bits 1 1 1 1 1 1 1 0 1 1 SLA Interface ID.
IPv6 : Les adresses Adresses Unicast Les adresses Unicast globales affectées aux organismes régionaux (R.I.R). Préfixe 2001::/16 48 bits 16 bits 64 bits FP Global Préfix. Subnet Id. Interface id. 001 0 0000 0000 0001
IPv6 sur REAUMUR Pourquoi, Quand, Comment... IPv6 : Introduction et Historique Les adresses Le protocole Le service expérimental REAUMUR Utiliser IPv6...
IPv6 : Le protocole En-tête + extension d’en-tête + Payload En-tête de taille fixe (40 octets) Les options suivent l’en-tête Pas de checksum Fragmentation de ‘ bout en bout ’ Mécanisme de découverte du MTU
IPv6 : Le protocole Format de l’en-tête 0 4 8 16 31 vers classe identificateur de flux longueur des données en-tête suiv. nbre de sauts adresse de la source adresse de la destination
IPv6 : Le protocole Format de l’en-tête Classe de traffic DSCP (DiffServ Code Point) : Permet la différentiation de services (en IPv4 Tos est aussi appelé octet DiffServ) Les deux autres bits pour des expérimentations CU : Currently Unused Mécanisme de congestion en combinaison avec algo. RED (Random Early Detection) DSCP CU
IPv6 : Le protocole Format de l’en-tête 0 4 8 16 31 vers classe identificateur de flux longueur des données en-tête suiv. nbre de sauts adresse de la source adresse de la destination
IPv6 : Le protocole Format de l’en-tête Indicateur de flux Une séquence de paquets pour laquelle la source désire un service différent de celui par défaut (temps réel) Identifie de manière optimisée un contexte dans un routeur Les identificateurs de flux sont des numéros aléatoires Identificateur de flux identique sur tous les liens => paquet dans un flux identifié par une adresse source plus un identificateur de flux
IPv6 : Le protocole Format de l’en-tête 0 4 8 16 31 vers classe identificateur de flux longueur des données en-tête suiv. nbre de sauts adresse de la source adresse de la destination
IPv6 : Le protocole Format de l’en-tête Longueur des données Taille des données utiles (sans en-tête) Si taille > 65 535 Valeur 0 Option jumbogramme En-tête suivant Nombre de sauts Décrémenté de 1 à chaque traversée d’un routeur.
IPv6 : Le protocole Extensions d ’en-tête Extensions prises en compte uniquement par l’équipement destinataire du paquet exception : en-tête Proche-en- Proche (Hop-by-Hop). Types d’extensions par ordre recommandé : Proche-en-Proche Destination (traité aussi par les routeurs du routage par la source) Routage par la source Fragmentation Authentification Chiffrement Destination (uniquement équipement terminal)
IPv6 : Le protocole Découverte du PMTU Tunnel IPv4 sur Ethernet IPv6 sur Ethernet IPv6 sur Ethernet MTU 1500 MTU 1500 Client Pile IPv6 MTU 1480 Serveur Pile IPv6 IPv6 + TCP (SYN + MSS 1440) IPv6 + TCP (SYN ACK + OK MSS 1440) IPv6 + TCP (ACK) IPv6 + TCP + Payload 1440 IPv6 + ICMPv6 Packet trop grand – MTU 1480 IPv6 + TCP + Payload 1420 PMTU: Path Maximum Transfert Unit MSS : Maximum Segment Size
IPv6 : Le protocole Le Plug & Play Mécanisme de configuration automatique Affectation de l’adresse lien-local et vérification de son unicité. Découverte des routeurs présents sur le lien physique. Découverte des préfixes du réseau. Découverte des paramètres avancés.
IPv6 : Le protocole Le Plug & Play Autoconfiguration Stateless Identifiant d'interface Identifiant issu de l'adresse MAC EUI48 (RFC2464)
IPv6 : Le protocole Le Plug & Play
IPv6 : Le protocole Le Plug & Play Autoconfiguration Stateless Création de l'adresse unicast Lien local fe80::xxxx:xxxx:xxxx:xxxx Vérification de l'unicité : Sollicitation multicast des voisins ff02::1 Création de l'adresse unicast globale Sollicitation multicast des routeurs ff02::2 Réponse contenant le prefixe 2001:660:6101:1::/64 Création de l'adresse globale 2001:660:6101:1:xxxx:xxxx:xxxx:xxxx
IPv6 : Le protocole La gestion de la mobilité Objectif : Rester joignable quelle que soit la localisation sur le réseau. Obtenir une adresse du réseau local Utilisation d’un relais d’adresse situé dans le réseau d’origine. Conserver toujours la même adresse vis à vis des applicatifs distants.
IPv6 : Le protocole La gestion de la mobilité
IPv6 : Le protocole La gestion de la mobilité
IPv6 : Le protocole La Sécurité Travail effectué par IETF dans le groupe IPSec Résultats aussi applicables en IPv4 Deux extensions d’en-têtes Authentification - Intégrité (AH) Chiffrement (ESP) Mode transport ou tunnel
IPv6 : Le protocole La Sécurité Traitement de datagrammes avec Ipsec Source : DECISION MICRO & RESEAU – n°512 – Editions GROUPE TEST
IPv6 sur REAUMUR Pourquoi, Quand, Comment... IPv6 : Introduction et Historique Les adresses Le protocole Le service expérimental REAUMUR Utiliser IPv6...
IPv6 : Le service expérimental de REAUMUR Adresses REAUMUR Campus ipv4 147.210.0.0/16 ipv6 2001:660:6101::/48 Format des adresses Masque /64 16 bit pour la définition des réseaux 64 bit pour l'adresse de l'hôte 48 bits 16 bits 64 bits 2001:660:6101 Subnet Id. Interface id.
IPv6 : Le service expérimental de REAUMUR Réflexion sur le plan d'adressage Géré par REAUMUR Par Entité Site Entité Sous réseau 3 à 5 bits 3 bits pour définir le site 3 à 5 bit à la disposition de chaque entité 8, 16 ou 32 sous réseaux Masques compris entre /59 et /61 1er sous réseau destiné à l'interconnexion
IPv6 : Le service expérimental de REAUMUR Convention d'adressage statique Equipements réseau Routeur REAUMUR 2001:660:6101:xxxx:ff:: (int : 00ff:0000:0000:0000) Autres équipements d'interconnexion 2001:660:6101:xxxx:ff::1...n (int :00ff:0000:0000:000n) Serveurs DNS : une adresse simple sera utilisée... Autres serveurs 2001:660:6101:xxxx::1...n (int :0000:0000:0000:000n)
IPv6 : Le service expérimental de REAUMUR Convention d'adressage des terminaux Seules les adresses d'autoconfiguration issues de l'adresse MAC seront routées vers RENATER (RFC2464). Identifiant aléatoire dit de confidentialité (RFC3041) Cet identifiant ne sera pas autorisé. Son utilisation doit être désactivée Win XP : ipv6 -p gpu UseTemporaryAddresses no
IPv6 : Le service expérimental de REAUMUR Par quoi commencer ? Demander la connectivité auprès de REAUMUR Attribution d'un ou plusieurs réseaux provisoires!! Quatre modes de connexion possibles : Direct : vlan ipv6 dédié ou vlan v4+v6 au choix Interco : vlan interco v6 dédiée ou v4+v6 Activation de l'autoconfiguration stateless Vlan existant IPv4 + IPv6 Vlan IPv4 existant Vlan IPv6 Routeur REAUMUR
IPv6 : Le service expérimental de REAUMUR Sites dont la sécurité est gérée par REAUMUR Déclaration des adresses utilisées Seules les adresses déclarées sont routées vers RENATER ** en cas de piratage les machines peuvent changer d'ip...
IPv6 sur REAUMUR Pourquoi, Quand, Comment... IPv6 : Introduction et Historique Les adresses Le protocole Le service expérimental REAUMUR Utiliser IPv6...
Les systèmes d'exploitation : IPv6 : Utiliser IPv6 Les systèmes d'exploitation : LINUX Redhat / Fedora depuis la 7.2 Debian Noyau 2.4.x --> modprobe ipv6 Noyau 2.6.x --> Automatique Mandrake Automatique depuis le 10.0 Stable depuis la 10.1
IPv6 : Utiliser IPv6 Les OS compatibles Les systèmes d'exploitation : MAC OS X Par défaut depuis la 10.2 (Jaguar) UNIX FREEBSD SOLARIS True 64 ......
IPv6 : Utiliser IPv6 Les OS compatibles Les systèmes d'exploitation : Microsoft XP SP2 Pile V6 fonctionelle Pas de support DNS --> Pas de V6 natif... Windows 2003 server Windows Vista et server 'Longhorn' Pile V6 + interface graphique Support complet y compris DHCPv6, MLDv2, IPsec
Les logiciels supportés IPv6 : Utiliser IPv6 Les logiciels supportés Les applications supportées Applications serveur Bind version 8.2.2.2-P5 min conseillée Apache 2.0 OpenSSH 3.6.1P2 Proftpd 1.2.9rc2, Vsftpd 2.0.0 Postfix 2.2, Sendmail 8.10 Ntpd 4.1.80rc1 ..... http://www.deepspace6.net/docs/ipv6_status_page_apps.html
Les logiciels supportés IPv6 : Utiliser IPv6 Les logiciels supportés Navigateurs Firefox / Mozilla MS Internet explorer 6 N'accepte pas la saisie directe d'adresse Mail Thunderbird, Mozilla-mail FTP Gftp, SmartFTP (Windows) Multimedia VLC
V6fication d'un serveur DNS IPv6 : Utiliser IPv6 Les pièges à éviter Côté serveur V6fication d'un serveur DNS Listen-on-v6 {any;}; Ajout d'hôte v6 AAAA Attention !!! Vérifier la compatibilité de toutes les applications du serveur avant d'ajouter l'adresse v6. serveur IN A 147.210.xxx.xxx serveur IN AAAA 2001:660:6101:0001::25 Création d'un hôte dédié v6 Ipv6serveur IN AAAA 2001:660:6101:0001::25
Hôte double pile dans un ilôt IPv4 IPv6 : Utiliser IPv6 Les pièges à éviter Côté Client Hôte double pile dans un ilôt IPv4 Le protocole v6 est prioritaire Requête DNS pour http://ipv6.reaumur.net Réponse 2001:660:6101:1::10 147.210.6.227 Réseau V4/V6 Réseau V4 Station V4/V6 Routeur V4 DNS V4/V6 FTP + SMTP + POP V4/V6 V4 V6
Attention le filtrage ne peut pas être total!! IPv6 : Utiliser IPv6 firewalling Attention le filtrage ne peut pas être total!! Le traffic ICMPv6 est indispensable. Découverte du MTU Autoconfiguration Stateless Découverte des voisins Ipv6 acces-list in-ipv6 deny ipv6 ::1/128 deny ipv6 fec0::/48 deny ipv6 2001:660:6101:xxxx::/48 permit icmp any any
Quelques sites de test : IPv6 : Utiliser IPv6 Quelques sites de test : ‘http://Ipv6.reaumur.net’ ‘http://Ipv6.klingon.nl’ ‘http://www.ipv6.bieringer.de’ (IPv6 only) Plus d'infos : ‘https://ipv6.u-strasbg.fr/doku.php’ Biblio.... vous trouverez tout dans : CIZAULT, G., IPv6 Théorie et pratique 4e édition, Paris, O’Reilly, 2005.
IPv6 sur REAUMUR Zones de compétence des organismes régionaux (R.I.R) ‘ IPv4 connectait les ordinateurs ; IPv6 connectera les hommes’ Max HATA – NTT DoCoMo - JAPON
QUESTIONS ???? IPv6 sur REAUMUR Merci de votre attention. Contacts : Laurent FACQ (facq@u-bordeaux.fr) Jean-Denis PORTELLI (jdp@ctba.fr)