IPv6: Concepts et mise en oeuvre
Table des matières 
n La table des matières est insérée dans la page de commentaire. 
n La page de commentaire recouvre ...
Objectif 
n L’Objectif de ce cours est de fournir toutes les informations théoriques et pratiques 
nécessaires pour plani...
Pre-Requis 
n Une culture générale réseau est nécessaire pour tirer partie de tout le contenu 
n Ce Cours s’adresse a un...
Sommaire 
n Présentations 
n Rappels IPv4 
n Le Protocole IPv6 
n ICMPv6 et Neighbor Discovery 
n Menaces sur NDP et ...
Fred BOVY 
n 12 yr CCIE Routing & Switching 3013 
n Cisco Certified System Intructor 95003 
n 8 ans chez ITS ( Groupe S...
Pratique 
n Horaires 9h-12h 14h-17h 
n Pauses Café 
n Pensez a vos successeurs ! 
n N’oubliez pas de remplir vos fiche...
Rappel IPv4
Objectif 
n L’objectif de ce module est de rafraichir les connaissances IPv4 en introduisant tous les 
basics de ce proto...
IP et protocoles associes 
n IPv4 offre un service de datagram Best-Effort 
n Il est assisté de ARP pour encapsuler ses ...
En-tête IPv4 
Version Longueur d’en-tête D Longueur Totale en Octet 
Identification pour les fragment Flag Fragment Offset...
En-tete IPv4 
n Version (4 Bits) 4 
n Internet Header Length (4 bits) 
n IHL signifie "Internet header lengh". ce champ...
Fragmentation 
n Identification (16 bits) 
n Identifie tous les fragments d’un même datagramme 
n Fragment Offset (13 b...
TTL. Durée de Vie (8 bits) 
n BUT: Contrecarrer les effets d’une boucle de routage en évitant que des paquets puissent 
t...
Protocole (8 bits) 
n numéro du protocole au-dessus de la couche réseau : 
n TCP = 6, 
n UDP = 17, 
n ICMP = 1.
Somme de contrôle de l’en-tête (16 BITS) 
n Checksum ou encore CRC pour Contrôle de Redondance Cyclique: vérification de ...
TOS et Priorites 
n Service: 
n Priorité (3bits), 
- 0 - 000 - Routine 
- 1 - 001 - Prioritaire 
- 2 - 010 - Immédiat 
-...
DiffServ 
n Differentiated Services Field redéfini les 6 premiers bits comme DSCP et défini deux 
grandes sortes de trafi...
DiffServ Expedited Forwarding 
n Expedited Forwarding (RFC3246). 
n Dans ce mode les données sont traitées avec une prio...
DiffServ Assured Forwarding 
n Assured Forwarding (RFC2597). 
n Dans ce mode le trafic est classé par classes de trafic ...
Diff-Serv Assured Forwarding 
DSCP DSCP binary Intended Protocol Configuration 
AF1 AF11 
AF12 
AF13 
001010 
001100 
0011...
Diff Serv Class Selector 
PHB DSCP DSCP bin Intended Protocol Configuration 
IP Routing Class Selector 6 110000 BGP, OSPF,...
Longueur Totale en Octets 
n nombre total d'octets du datagramme, en-tête IP comprise. Donc, la valeur maximale est 
(216...
La Fragmentation 
n Les Champs suivants permettent la fragmentation. 
- Identification - Identifie tous les fragments d’u...
PMTUD 
n Une station tente d’émettre un paquet vers la destination au MTU et positionne le bit DF. 
n Si un routeur drop...
En-tête IPv4 (suite) 
n TTL. Le Time to Live est décrémenté a chaque hop. Si sa valeur est nul le paquet est droppé 
et u...
Checksum. 
n Le champ Checksum est codé sur 16 bits et représente la validité de l’en-tête du paquet de 
la couche 3. 
n...
Adresses IPv4 
n Adresse IP Source/Destination 
n Classe A. Adresses de 1.0.0.0 à 126.255.255.255. 
n La plage 10.0.0.0...
NAT/PAT 
n NAT permet de gérer la traduction d’adresses privées en publiques 
n PAT permet d’associer plusieurs adresses...
Option 
OptionType Option Length 
Option Data 
C class Option Number
En-tête IPv4 - Option 
n Copie (1 bit) 
n S’il est positionné les options sont recopiées dans le paquet fractionné. 
n ...
Options (Suite) 
n Numéro (5 bits). Le champ Numéro indique les différentes options existantes. 
n Voici la liste des di...
En-tête IPv4 - Bourrage 
n Le champ Bourrage est de taille variable comprise entre 0 et 7 bits. Il permet de combler le 
...
DHCP/BOOTP/RARP 
n Certaines stations n’ont pas de quoi stocker leur système d’exploitation et le charge par le réseau. 
...
DHCP 
n Configuration reseau des stations centralisee. 
n On configure sur un Serveur DHCP tout ce que les machines d’un...
Conclusion 
n IPv4 ne permet pas d’attribuer une adresse globale au nombre toujours croissant de stations 
Internet. 
n ...
IPv6
Objectives 
n Comprendre toutes les différences avec IPv4 
n Comprendre les Adresses IPv6 
n Maitriser IPv6
Topic 
n Objectifs 
n Introduction 
n En-tête IPv6 
n Les Adresses IPv6
Introduction 
n RFC2460 
n IP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine ...
En-tête IPv6 en bref ! 
n Les champs de la fragmentation sont retirés. 
n Les champs Identifications, Don’t Fragment, Mo...
En-tête IPv6 
Ver Traffic Class Flow Label 
Payload Length Next Header=Hop-By-Hop Hop Limit 
Source IPv6 Address 
Destinat...
En-tête IPv6 
Ethernet II, Src: ca:02:42:76:00:08 (ca:02:42:76:00:08), Dst: IPv6mcast_00:01:00:02 
(33:33:00:01:00:02) 
De...
Flow label 
n Permet d’identifier un flow de données 
n Non utilisé à ce jour donc disponible pour de futures applicatio...
Traffic Class 
n Un octet 
n Similaire a TOS+Priority 
n Utilisé pour marquer le trafic pour traitement différentié sel...
DiffServ 
n Identique a IPv4 
n Differentiated Services Field redéfinit les 6 premiers bits comme DSCP 
n définit deux ...
DiffServ Expedited Forwarding 
n Expedited Forwarding (RFC3246). 
n Dans ce mode les données sont traitées avec une prio...
Diff-Serv Assured Forwarding 
q Dans ce mode le trafic est classé par classe de trafic plus ou moins prioritaires. 
q Ch...
Diff Serv Class Selector 
PHB DSCP DSCP bin Intended Protocol Configuration 
IP Routing Class Selector 6 110000 BGP, OSPF,...
Next Header 
n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été 
ajouté 
n Si...
IPv6 Option Header 
n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été ajouté ...
Hop-By-Hop Option 
n Hop-by-Hop (Next header=0) est la seule en-tête qui doit être examinée par tous les noeuds 
du résea...
Routing Header 
n Type 0. un RFC Implémente le Source Routing 
n Il liste tous les noeuds qui doivent être visités 
n R...
IPv6 Header (suite) 
n Fragment Header 
n Utilise PMTUD pour l’éviter 
n S’il ne le peut, la source fragmente et l’opti...
Ordre des options 
n Hop-by-hop 
n Destination options (si routing present) 
n Routing 
n Fragment 
n Authentication ...
Capture 
No. Time Source Destination Protocol Info 
188 619.951000 2005::2 2005::1 ICMPv6 Echo request 
Frame 188 (114 byt...
Maximum Transmission Unit 
Frame Header IPv6 Packet Frame Trailer 
n IPv4 
n MTU >= 68 Octets 
n IPv6 
n MTU >= 1280 O...
Adresses IPv6 
n Unicast. 
n Identifie un noeud de réseau 
n Le trafic est acheminé vers ce noeud unique 
n Multicast ...
Representation 
n X:X:X:X:X:X:X:X 
n X est un champs Hexa sur 16 bits 
n Les 0 successifs sont représentés par :: mais ...
Représentation (suite) 
n IPv4-compatible 
n 0:0:0:0:0:192.168.30.1 
n ::192.168.30.1 
n Tunnels Automatiques IPv6->IP...
Unspecified et Loopback Address 
n Unspecified 
n 0:0:0:0:0:0:0:0 ou :: 
n Utilise quand il n’y a pas d’adresse disponi...
Global Unicast Address 
n Adresse Unicast d’un Hote: 
n 2000:0001:0002:0000:0000:0005:0006:0007 
n 2000:0001:0002::0005...
Multicast 
n FF00::/8 
n FF0x:: (X=0..F) est réservé 
n Remplace le broadcast inexistant en IPv6 
n No TTL in IPv6 Mul...
Multicast 
FF Flag Scope 0 Interface ID 
n Flag (Drapeau) 
n O si permanent 
n 1 si temporaire 
n Scope (Etendue) 
n ...
Multicast Address 
n FF01::1 Interface-local Scope All nod]e address 
n FF01::2 Interface-local Scope All routers addres...
Solicited-node multicast adress 
n Addresse Unicast 
n 805B:2D9D:DC28::FC57:D4C8:1FFF 
n Prefix 
n FF02:0:0:0:0:1:FF 
...
Etendue d’adresse (Scope) 
n Link-local scope. 
n Certaines adresses ne sont valides que dans un domaine de couche liais...
Adresses IPv6 pour un noeud 
n Une Link-local pour chaque interface 
n Loopback 
n Assigned Unicast 
n All-nodes Multi...
Adresses requises pour un routeur 
n Toutes les adresses du noeud IPv6 
n Subnet-router anycast pour les interfaces conf...
IPv6 dans Ethernet 
Dest Ethernet 
Adress Source Ethernet 
Adress 0x86DD IPv6 En-tête et charge 
n Protocole IPv6: Ox86DD
EUI-64 
EUI-64 est forme en inserant 0xFFFE 
00 90 59 02 E0 F9 
00 90 59 FF FE 02 E0 F9 
n Mac Address 48 bit 
n X=1 Uni...
Multicast Mapping sur Ethernet 
n Adresse IPv6 Multicast 
n FF02:0:0:0:0:1:FF90:FE53 
n Adresse Mac correspondante 
n ...
Cisco IPv6 Interface 
sa13-72c(config-if)#do show ipv6 int gig0/2 
GigabitEthernet0/2 is up, line protocol is up 
IPv6 is ...
Conclusions 
n Plus de limite sur les adresses disponibles 
n Une en-tête orientée performance 
n Le multicast remplace...
ICMPv6
Objectives 
n Comprendre le fonctionnement d’ICMPv6 
n ICMPv6 Neighbor Discovery, IGMP et autres protocoles sont mainten...
TOPIC 
n Introduction 
n ICMPv6 
n MLD (IGMP) 
n Protection d’ICMPv6 
n Messages d’Erreurs d’ICMPv6 
n Destination U...
Introduction 
n RFC 4443 
n IPv6 extension header type 58 
n PMTUD est utilisé pour trouver le MTU entre deux noeuds de...
ICMPv6/NDP Header 
Type Code Checksum 
Corps du Message
MLD (IGMP) 
n MLDv1 (RFC 2710) 
n IGMPv2. RFC 2236 
n Multicast Listener Query. ICMPv6 Type 130 
n Multicast Listener ...
Protection ICMPv6 
n Les messages suivants doivent avoir un hop limit de 255: 
n RS:133, RA:134 
n NS:135, NA:134 
n R...
Message informatifs 
n Utilisés par la commande pingv6 
n Echo Request 
n Echo Reply 
sa13-72c>ping 2000:1::100 
Type e...
Message d’Erreurs 
n Destination Unreachable 
n Packet Too Big 
n Time Exceeded 
n Parameter Problem
Destination Unreachable 
CODE DESCRIPTION EXPLICATION 
0 Pas de route vers la destination Le paquet a été droppé parce qu’...
Time Exceeded 
n Le champ Hop cout est décrémenté à chaque Hop. 
n Lorsqu’il atteint zéro. 
n Le Paquet est jeté 
n un...
Paquet Too Big 
n La source doit découvrir le PMTU grâce à PMTUD 
n si un routeur reçoit un paquet trop long pour être a...
Parameter Problem 
Code Description Explication 
O Champs d’en-tête 
Erronées 
Le Champs pointe par ce 
pointer est erroné...
Exemple avec plus de debug 
sa13-72c#ping 2000:1::100 
Type escape sequence to abort. 
Sending 5, 100-byte ICMP Echos to 2...
Conclusions 
n On retrouve dans ICMPv6 les fonctions d’ICMP mais il accueille aussi des applications qui 
étaient séparée...
Neighbor Discovery Protocol
Objectifs 
n Comprendre le rôle d’NDP 
n Comprendre ses algorithmes 
n Comprendre toutes ses fonctionnalités
Sommaire 
n Introduction 
n Les Fonctionnalités NDP 
n Les Algorithmes NDP 
n State Machine for Reachability 
n Next ...
Fonctionnalités de ND 
n RFC 4861, RFC 4862 
n Router Discovery 
n Neighbor Discovery 
n Prefix Discovery 
n Paramete...
NDP PDU 
Message But ICMP Code Emetteur Cible Option 
Router Solicitation 
(RS) 
Demande un RA 
immediatement 
133 Hotes T...
Neighbor Discovery 
n Neighbor Solicitation/Advertisement permettent de gérer le cache des voisins. 
n IPv6 a mis en oeu...
Automate de gestion des Voisins
Etats des voisins 
q INCOMPLETE 
n « Address resolution is being performed on the entry. Specifically, a Neighbor Solici...
ND - Sollicitation du voisin 
n NS/NA 
ICMP Type 135 
Src =A 
Dst = Solicited Multicast de B 
Target= Adresse IP de B 
Qu...
Neighbor Sollicitation Header 
0 1 2 3 
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+...
Neighbor Advertisement Header 
0 1 2 3 
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+...
ARP remplacé par NDP 
sa13-72c#ping 2000:1::100! 
! 
Type escape sequence to abort.! 
Sending 5, 100-byte ICMP Echos to 20...
Neighbor Sollicitation 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This field makes the filter "ip....
Découverte du Voisinage - Redirect 
Src = A 
Dest=B 
Dest Ethernet:R1 (default Router) 
A 
R1 
R2 
Redirect: 
Src=R1 
Dst ...
Redirect 
n Semblable au Redirect d’IPv4 
n Permet de rediriger la source vers le meilleur Next-Hop lorsqu’un paquet est...
Redirect 
0 1 2 3 
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-...
Redirect 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This field makes the filter "ip.version == 6" ...
ND - Annonce de Routeur 
n Annonces Periodic RA 
n ICMP Type = 134 
n Src = Router Link-Local 
n Dst = All nodes multi...
ND - solicitation de Routeur 
n RS 
n ICMP Type = 133 
n Src = :: 
n Dst = All routers multicast address 
n Au démarr...
RA - show ipv6 routers 
hote#show ipv6 routers 
Router FE80::2038:148E:B9DF:FD6D on FastEthernet0/0, last update 2 min 
Ho...
RA capture 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This field makes the filter "ip.version == 6...
Neighbor Unreachability Detection 
n La communication entre 2 noeuds IPv6 peut être cassée. 
n C’est important de le sav...
State Machine for Reachability 
Create Entry 
Send NS 
Incomplete 
NA2 
Stale 
Delay 
Probe 
Reachable 
Te 
NA1 
Report Er...
Next-Hop Determination 
n A la difference d’IPv4, un host peut-etre voisin avec un prefix reseau different. 
n Il sera c...
Next-Hop Determination Algorithm 
Lookup in Dest 
Cache [D,N] 
Lookup in 
Prefix List for [D,N] 
Retrieve a default Router...
Default Router Selection 
n Type A 
n Ignore le default router preference et la route la plus spécifique présente dans l...
Detection d’adresses Dupliquées (DAD) 
n ICMP Type = 135 
n Src = 0 (::) 
n Dst = solicited node multicast address of A...
Duplicate Address Detection 
n Avant de s’assigner une adresse il génere un NS pour l’adresse 
n si pas de NA recu, alor...
Autoconfiguration 
n RFC 4862, IPv6 Stateless Address Autoconfiguration 
n Il utilise RS/RA pour obtenir le préfix et co...
DHCPv6 
n Les routeurs IPv6 signalent l’utilisation de DHCPv6 
n Les bits M et O sont positionnés dans les RA 
n Le bit...
Autoconfig - show ipv6 
hote#sh ipv6 route 
IPv6 Routing Table - Default - 5 entries 
Codes: C - Connected, L - Local, S -...
Autoconfig - show ipv6 interface 
hote#sh ipv6 int fa0/0 
FastEthernet0/0 is up, line protocol is up 
IPv6 is enabled, lin...
Quelques RFC 
n RFC 2460 IPv6 Specification 
n RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 
n RFC 3513 IPv6 ...
Conclusion 
n NDP fait partie de ICMPv6 donc inséparable d’IPv6. 
n Il rend des services de type ARP, inverse ARP 
n Re...
Applications IPv6
Objectifs 
n Comprendre DHCPv6 
n Le support de DNS pour IPv6 
n Lister les applications réseaux disponibles
DHCPv6 
n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315. 
n http://www.cisco.com/en/US/prod/collateral/iosswre...
DHCPv6 Sollicit 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This field makes the filter 
"ip.versio...
DHCPv6 Advertise 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This field makes the filter 
"ip.versi...
DHCPv6 Server 
R4>show ipv6 dhcp 
This device's DHCPv6 unique identifier(DUID): 00030001CA0342760008 
R4>show ipv6 dhcp in...
DHCPv6 Client 
hote#show ipv6 dhcp interface 
FastEthernet0/0 is in client mode 
Prefix State is IDLE 
Address State is OP...
DHCPv6 Operation 
*Aug 9 15:34:32.806: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 
*Aug 9...
DHCP Prefix Delegation 
n Il est possible de recevoir une Prefix plutôt qu’une adresse 
n Une fois ce prefix réçu par le...
Autoconfig - show ipv6 
hote#sh ipv6 route 
IPv6 Routing Table - Default - 5 entries 
Codes: C - Connected, L - Local, S -...
Autoconfig - show ipv6 interface 
hote#sh ipv6 int fa0/0 
FastEthernet0/0 is up, line protocol is up 
IPv6 is enabled, lin...
DNS 
n Transporter les requêtes DNS dans IPv6 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This fie...
DNS Capture 
Internet Protocol Version 6 
0110 .... = Version: 6 
[0110 .... = This field makes the filter "ip.version == ...
DNS Capture (suite) 
Additional records 
power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr fe80::6...
Gestion des devices IPv6 
n SNMP sur IPv6 
n SNMP sur un transport IPv6 
n Support IPv6 de nombreuses MIB 
n SSH sur I...
Conclusion 
n Toutes les applications nécessaires à un déploiement réseaux sont disponibles 
n Il y a quelques années ce...
Secured Neighbor Discovery
Objectifs 
n Comprendre les menaces sur NDP 
n Comprendre l’approche de SEND pour contrecarrer les menaces répertoriées
Sommaire 
n Introduction: Les Menaces et l’approche de SEND pour les contrecarrer 
n Cryptographycally Generated Address...
Introduction 
n NDP est une application de ICMPv6, il est donc encapsulé dans des paquets ICMPv6. 
n Le protocole ND (Ne...
Les fonctionnalités de NDP 
n Les hotes utilisent ND pour effectuer les taches suivantes : 
n Découvrir les routeurs voi...
NDP Protocol Data Units 
n Deux nouveaux PDUs 
n Certificate Path Solicitation (CPS SEND) 
n Certificate Path Advertise...
Les Nouvelles Options et PDU
Option CGA 
n L'option CGA permet de vérifier l'identité d'une machine émettrice d'un paquet NDP. Cette 
option contient ...
Option RSA 
n L'option RSA contient une signature du paquet, calculée avec la clef privée de la machine 
émettrice. 
n L...
Option d’Horodatage 
n Une option d'horodatage (Timestamp) est utilisée pour protéger NDP des attaques de type 
'rejeu'.
L’option NONCE 
n Une option unicité (Nonce) est utilisée pour protéger les associations Demande/Réponse 
(Solicit/Advert...
Neighbor Discovery Options 
Message CGA RSA Nonce Timestamp 
Router Solicitation 
(RS) 
MUST unless sent 
from unspecifife...
CPS/CPA 
n Enfin deux nouveau messages (CPS/CPA) sont utilisés afin de permettre la découverte 
automatique par une machi...
CPS/CPA 
n Un host reçoit un RA d’un nouveau routeur 
n Il n’a pas de certificat correspondant 
n Il envoie un CPS vers...
Exemples
DAD - 3 TENTATIVES 
Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::C2:3A71:71F2:CB17 on 
Ethernet0/0 
Jan 7...
DAD 
show ipv6 cga address-db 
2000:1::/64 ::CDC:14FC:266F:6C56 - table 0x0 
interface: Ethernet0/0 (3) 
modifier: NEWSEND...
Redirect 
Ethernet Packet: 566 bytes 
Dest Addr: AABB.CC03.E900, Source Addr: AABB.CC03.EA00 
Protocol: 0x86DD 
IPv6: 
Ver...
Redirect (Suite) 
Options type: 11 (CGA Parameters) 
Options length: 24 (192 octets), 
Pad length: 1 (8 octets), Reserved:...
Redirect (suite) 
Options type: 12 (RSA Signature) 
Options length: 19 (152 octets) 
Reserved: 0x0 
Key Hash: 
0 : 6537 19...
Redirect (suite) 
Options length: 14 (112 octets), Reserved1: 0x0, Reserved2: 0x0 
IP header + data: 
0 : 6000 0000 003C 3...
Redirect (suite) 
Dec 1 04:32:50 PM 2008: INFO: Analyzing options: 
Options type: 13 (Timestamp) 
Options length: 2 (16 oc...
Redirect (end) 
Dec 1 04:32:50 PM 2008: INFO: Expected Target address : fe80::3c95:b6d1:8e8f:ce3e 
Dec 1 04:32:50 PM 2008:...
Configuration SEND
Configuration CGA Cisco 
n Générer une paire de clefs (key pair) 
unix1a(config)#crypto key generate rsa label FRED modul...
Configuration CGA Cisco 
unix1a#sh run int et0/0 
Building configuration... 
Current configuration : 154 bytes 
! 
interfa...
Configuration CGA Cisco 
unix1a#sh ipv6 cga modifier-db 
:: 
label: FRED 
sec level: 2 
Addresses: 
2000::5814:3232:68B9:9...
Configuration ADD 
n Au minimum, il faut 
n Un serveur de Certificats: CA 
n Un Routeur 
n Un Host 
n On peut configu...
Configuration du CA 
CA#sh crypto pki server 
Certificate Server CA: 
Status: enabled 
State: enabled 
Server's configurat...
Configuration du CA 
crypto pki server CA 
issuer-name C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG, 
CN=CA0 
grant auto 
ip ...
Configuration du Routeur 
n Configurer un trustpoint 
crypto pki trustpoint SEND 
enrollment url http://192.168.0.1:80 
s...
Configuration du Host 
n Configurer un trustpoint 
crypto pki trustpoint SEND 
enrollment url http://192.168.0.1:80 
seri...
Troubleshooting SEND
Traitement du RA 
unix1a# debug ipv6 nd secured 
00:12:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDA...
Certificats sur le Routeur 
unix1b#sh crypto pki cert 
Certificate 
Status: Available 
Certificate Serial Number (hex): 02...
Compteur PDU SEND 
hote#show ipv6 nd sec counters int f0/0 
Received ND messages on FastEthernet0/0: 
rcvd accept SLLA TLL...
debug ipv6 nd secured 
*Jan 28 13:08:49.575: %SYS-5-CONFIG_I: Configured from console by console 
*Jan 28 13:09:12.591: SE...
Commande de Test 
ipv6 nd secured test <skip,cga,cpa,rsa> <params> 
ü skip <nonce, rsa, cga, Timestamp> 
ü cpa <badnumbe...
Conclusion 
n SEND permet de sécuriser NDP 
n Il devient quasiment impossible de voler une adresse 
n Impossible de se ...
First Hop Routing Protocol
Objectif 
n Garantir un routeur par défaut disponible 
n Transparent pour les hôtes
Sommaire 
n Introduction 
n Un Exemple HSRP 
n Conclusions
Introduction 
n Un protocol FHRP fournit une adresse virtuelle utilisée par les stations comme next hop. 
n Cette adress...
Les Protocoles FHRP 
n HSRP 
n GLBP 
n VRRP 
n La moins couteuse 
n Neighbor Discovery (NDP) 
n La plus couteuse 
n...
Introduction HSRPv6 
n Portage d’HSRP sur IPv6 
n Permet une adresse Link-Locale Virtuelle 
n Hello UDP 
n Priorité pa...
HSRP pour IPv6 - Configuration 
interface Ethernet0/0 
no ip address 
ipv6 address FE80::3 link-local 
ipv6 address 2000::...
HSRP pour IPv6 
unix1a#sh stand 
Ethernet0/0 - Group 1 (version 2) 
State is Standby 
1 state change, last state change 00...
HSRP pour IPv6 
unix1a#sh ipv6 int et0/0 
Ethernet0/0 is up, line protocol is up 
IPv6 is enabled, link-local address is F...
HSRP pour IPv6 
Apr 24 07:02:34.483 BST: IPV6: source FE80::4 (local) 
Apr 24 07:02:34.483 BST: dest FF02::66 (Ethernet0/0...
HSRP Standby take over 
pagent1a#ping 
Protocol [ip]: ipv6 
Target IPv6 address: fe80::3 
Repeat count [5]: 23323333 
Data...
HSRP track une interface 
unix1a#sh stand 
Ethernet0/0 - Group 1 (version 2) 
State is Standby 
1 state change, last state...
Conclusion 
n IPv6 fournit avec ND un moyen de configurer automatiquement un routeur par défaut 
n Insuffisant pour un b...
Routing Protocols
Objectif 
n Les protocoles de routages IPv6 permettent: 
n le routage intra AS 
- RIPv2, OSPFv3, ISIS, EIGRP 
n Le rout...
Sommaire 
n Introduction 
n Les Protocoles de routages Intra-AS 
n RIPv2 
n OSPFv3 
n ISIS 
n EIGRP 
n Les Protocol...
Introduction 
n Les protocoles de routages permettent de remplir les tables de routages de façons 
automatiques 
n Les p...
Les Protocoles Intra AS 
n RIPv2 
n EIGRP 
n OSPFv3 
n ISIS
RIPng 
n RFC 2080 
n Basé sur RIPv2 
n Distance Vector 
n Routage par rumeur 
n Spit-horizon, poison reverse 
n Metr...
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
IPv6 training
Prochain SlideShare
Chargement dans…5
×

IPv6 training

1 432 vues

Publié le

Presentation IPv6

Publié dans : Internet
0 commentaire
2 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
1 432
Sur SlideShare
0
Issues des intégrations
0
Intégrations
2
Actions
Partages
0
Téléchargements
55
Commentaires
0
J’aime
2
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

IPv6 training

  1. 1. IPv6: Concepts et mise en oeuvre
  2. 2. Table des matières n La table des matières est insérée dans la page de commentaire. n La page de commentaire recouvre ce slide. Il n’est donc pas imprimé. n Ce slide n’est pas visible en mode diaporama (slide masqué).
  3. 3. Objectif n L’Objectif de ce cours est de fournir toutes les informations théoriques et pratiques nécessaires pour planifier et mettre en oeuvre un déploiement IPv6 dans un environnement mono protocole IPv6 ou mixte MPLS-IPv4-IPv6
  4. 4. Pre-Requis n Une culture générale réseau est nécessaire pour tirer partie de tout le contenu n Ce Cours s’adresse a un public ayant eu une première expérience avec IPv4 et souhaitant intégrer IPv6 dans leurs réseaux. n Des labs utilisant des routeurs Cisco sont prévus mais ne sont pas indispensables pour donner ce cours si le public n’en a pas besoin.
  5. 5. Sommaire n Présentations n Rappels IPv4 n Le Protocole IPv6 n ICMPv6 et Neighbor Discovery n Menaces sur NDP et SEND pour le sécuriser n Les Protocoles de Routages IPv6 n Interconnexions de Réseaux IPv6 n Tunnels IPv6 dans IPv4 n Interconnections par des réseaux MPLSv4 - 6PE, 6vPE n La Qualité de Service dans les réseaux IPv6 n La Sécurité dans les réseaux IPv6 n Protocole de routage n IPSec n La Gestion des Réseaux IPv6
  6. 6. Fred BOVY n 12 yr CCIE Routing & Switching 3013 n Cisco Certified System Intructor 95003 n 8 ans chez ITS ( Groupe SITA) n 5 ans comme technico-commercial et n 3 ans comme formateur principalement Cisco et autres passerelles SNA/X25 sous UNIX vers TCP/IP. n 2 ans chez Global Knowledge (Institut ERIS ) n responsable formation Cisco. n 10 ans chez CISCO. n 4 ans comme support Clients VIVENDI et EQUANT n 6 ans comme dev-testeur IPv6 (6PE,6VPE, Netflow for IPv6, etc…..)
  7. 7. Pratique n Horaires 9h-12h 14h-17h n Pauses Café n Pensez a vos successeurs ! n N’oubliez pas de remplir vos fiches d’évaluation a la fin du cours !
  8. 8. Rappel IPv4
  9. 9. Objectif n L’objectif de ce module est de rafraichir les connaissances IPv4 en introduisant tous les basics de ce protocole n Ceci pour permettre de comparer avec IPv6 n de plus IPv6 et IPv4 ont beaucoup en commun
  10. 10. IP et protocoles associes n IPv4 offre un service de datagram Best-Effort n Il est assisté de ARP pour encapsuler ses datagrams dans des trames en obtenant l’adresses MAC de son destinataire. n IPv4 a besoin d’autres protocoles ou de configurations statiques laborieuses
  11. 11. En-tête IPv4 Version Longueur d’en-tête D Longueur Totale en Octet Identification pour les fragment Flag Fragment Offset Durée de Vie (TTL) Protocol Somme de contrôle pour l’en-tête (header checksum) Adresse Source Adresse Destination Options (+ bourrage) P P P DF M T R E 0
  12. 12. En-tete IPv4 n Version (4 Bits) 4 n Internet Header Length (4 bits) n IHL signifie "Internet header lengh". ce champ est codé sur 4 bits et représente la longueur en mots de 32 bits de l'en-tête IP. Par défaut, il est égal à 5 (20 octets), cependant, avec les options de l'en-tête IP, il peut être compris entre 6 et 15. n Le fait que le codage soit sur 4 bits, la taille maximum de l'en-tête IP est donc de 15*32bits = 60 octets n 60 >= Taille En-tête Ipv4 >= 20
  13. 13. Fragmentation n Identification (16 bits) n Identifie tous les fragments d’un même datagramme n Fragment Offset (13 bits) n position du fragment par rapport au paquet de départ, en nombre de mots de 8 octets. n Flag n DF - Don’t Fragment n MF - More Fragment
  14. 14. TTL. Durée de Vie (8 bits) n BUT: Contrecarrer les effets d’une boucle de routage en évitant que des paquets puissent tourner dans le réseau à l’infini, problème non résolu au niveau deux sur les ponts transparents. n ORIGINE: A l’origine de l’Internet, ce champs était supposé représenter le temps restant au paquet à vivre dans le réseau. n C’est vite devenu trop compliqué à gérer et il s’est transformé en compteur à rebours de saut. Lorsqu’il atteint zéro, le datagramme est détruit. n Ce qu’il est devenu: Il est décrémenté à chaque saut. Si il atteint la valeur nulle. Le datagramme est jeté et un message ICMP Time Exceeded est envoyé vers la source.
  15. 15. Protocole (8 bits) n numéro du protocole au-dessus de la couche réseau : n TCP = 6, n UDP = 17, n ICMP = 1.
  16. 16. Somme de contrôle de l’en-tête (16 BITS) n Checksum ou encore CRC pour Contrôle de Redondance Cyclique: vérification de l'intégrité de l'en-tête seulement. Si le CRC est invalide, le paquet est abandonné sans message d'erreur. n Le TTL est généralement le seul champs qui change pendant le routage d’un paquet et demande le calcul d’un nouveau CRC. Cette opération est faisable par des ASICS.
  17. 17. TOS et Priorites n Service: n Priorité (3bits), - 0 - 000 - Routine - 1 - 001 - Prioritaire - 2 - 010 - Immédiat - 3 - 011 - Urgent (flash) - 4 - 100 - Très urgent - 5 - 101 - Critique - 6 - 110 - Supervision interconnexion - 7 - 111 - Supervision réseau n Délai (Delay), Débit(Througput), Fiabilité (Reliablity), Cout (Economic), Must Be Zero
  18. 18. DiffServ n Differentiated Services Field redéfini les 6 premiers bits comme DSCP et défini deux grandes sortes de trafic. n Dans l’en-tête IPv6, le DSCP est présent dans un champs appelé Trafic Class.
  19. 19. DiffServ Expedited Forwarding n Expedited Forwarding (RFC3246). n Dans ce mode les données sont traitées avec une priorité stricte. n Cela demande un protocole de réservation RSVP pour garantir que la bande passante est disponible dans la Strict Priority Queue. - DSCP = 101110
  20. 20. DiffServ Assured Forwarding n Assured Forwarding (RFC2597). n Dans ce mode le trafic est classé par classes de trafic plus ou moins prioritaires. n Dans chaque classe il est possible de donner une priorité pour le rejet de trafic devant être rejeté par manque de Bande passante disponible (Overbooking).
  21. 21. Diff-Serv Assured Forwarding DSCP DSCP binary Intended Protocol Configuration AF1 AF11 AF12 AF13 001010 001100 001110 Bulk Transfer, Web, General Data Service Active Q management DSCP-based WRED. AF2 AF21 AF22 AF23 010010 010100 010110 Datagram access, transaction services, interactives traffic, preferred data service Active Q management DSCP-based WRED. AF3 AF31 AF32 AF33 011010 011100 011110 Locally defined; mission critical application Active Q management DSCP-based WRED. AF4 AF41 AF42 AF43 100010 100100 100110 Interactive video and associated voice Admission control RSVP Active Q management DSCP-based WRED.
  22. 22. Diff Serv Class Selector PHB DSCP DSCP bin Intended Protocol Configuration IP Routing Class Selector 6 110000 BGP, OSPF, and so on Queuing=rate based. Small guaranteed min rate, WRED Streaming Video Class Selector 4 100000 Often Proprietary Admission control=RSVP, Queuing=rate based. Small guaranteed min rate, WRED Telephony Signaling Class Selector 3 011000 SIP, H323, etc…. Queuing=rate based. Small guaranteed min rate, WRED Network Management Class Selector 2 010000 SNMP Queuing=rate based. Small guaranteed min rate, WRED Scavenger Class Selector 1 0010000 User Selected Service Queuing=rate based. NO guaranteed min rate, WRED
  23. 23. Longueur Totale en Octets n nombre total d'octets du datagramme, en-tête IP comprise. Donc, la valeur maximale est (216)-1 octets.
  24. 24. La Fragmentation n Les Champs suivants permettent la fragmentation. - Identification - Identifie tous les fragments d’un même datagramme - Fragment Offset - Positionne le fragment dans le datagramme - MF Bit - Encore des fragments a venir - DF Bit - Ne pas fragmenter, laisser tomber si nécessaire
  25. 25. PMTUD n Une station tente d’émettre un paquet vers la destination au MTU et positionne le bit DF. n Si un routeur drop le paquet, il envoie un Packet Too Big ICMP vers la source avec le MTU disponible. n L’opération est éventuellement répétée jusqu’ a ce qu’un paquet puisse être émis au MTU disponible vers la destination. n La source maintient un cache par destination.
  26. 26. En-tête IPv4 (suite) n TTL. Le Time to Live est décrémenté a chaque hop. Si sa valeur est nul le paquet est droppé et un message ICMP remonte a la source pour l’en informer. n Protocol. Un code définit dans le RFC1700 qui définit le protocole encapsule. Les plus connus sont: n 01 - ICMP n 02 - IGMP n 06 - TCP n 17 - UDP
  27. 27. Checksum. n Le champ Checksum est codé sur 16 bits et représente la validité de l’en-tête du paquet de la couche 3. n Pour pouvoir calculer le Checksum, il faut positionner le champ du checksum a 0 et ne considérer que l'en-tête IP. Donc par exemple, si deux trames ont la même en-tête IP (y compris le champ length) et deux en-têtes ICMP et Data différentes (mais de même longueur), le checksum IP sera alors le même.
  28. 28. Adresses IPv4 n Adresse IP Source/Destination n Classe A. Adresses de 1.0.0.0 à 126.255.255.255. n La plage 10.0.0.0. à 10.255.255.255 est privée. n 128 domaines (réseaux) et 16.777.214 machines de classe A par domaine n Classe B. 127.0.0.0 à 191.255.255.255. n La plage 172.16.0.0. à 172.31.255.255 est privée. n 16.000 domaines et 65.534 Machines de classe B par domaine n Classe C. 192.0.0.0 à 223.255.255.255. n La plage 192.168.0.0. à 192.168.255.255 est privée. n 2.000.000 domaines et 254 machines de classe C par domaine n Classe D. 234.0.0.0 à 239.255.255.255 Multicast n Classe E. 240.0.0.0 à 247.255.255.255 Expérimentale
  29. 29. NAT/PAT n NAT permet de gérer la traduction d’adresses privées en publiques n PAT permet d’associer plusieurs adresses privées a une adresse publique n Cons n Goulet d’étranglement n Gere mal certaines applications qui véhiculent les adresses n Pro n Cache le réseau a l’extérieur du domaine
  30. 30. Option OptionType Option Length Option Data C class Option Number
  31. 31. En-tête IPv4 - Option n Copie (1 bit) n S’il est positionné les options sont recopiées dans le paquet fractionné. n Class (2 Bits) n 0 - 00 - Supervision de réseau 1 - 01 - Non utilise 2 - 10 - Debug et mesures 3 - 11 - Non utilisé
  32. 32. Options (Suite) n Numéro (5 bits). Le champ Numéro indique les différentes options existantes. n Voici la liste des différents numéros possibles par Classe : n Classe 0, - 0 - 00000 - Fin de liste d'option. Utilisé si les options ne se terminent pas à la fin de l'en-tête (bourrage). - 1 - 00001 - Pas d'opération. Utilisé pour aligner les octets dans une liste d'options. - 2 - 00010 - Restriction de sécurité et de gestion. Destiné aux applications militaires. - 3 - 00011 - Routage lâche défini par la source. - 7 - 00111 - Enregistrement de route. - 8 - 01000 - Identificateur de connexion. - 9 - 01001 - Routage strict défini par la source. n Classe 2, - 4 - 00100 - Horodatage dans l'Internet.
  33. 33. En-tête IPv4 - Bourrage n Le champ Bourrage est de taille variable comprise entre 0 et 7 bits. Il permet de combler le champ option afin d'obtenir une en-tête IP multiple de 32 bits. La valeur des bits de bourrage est 0.
  34. 34. DHCP/BOOTP/RARP n Certaines stations n’ont pas de quoi stocker leur système d’exploitation et le charge par le réseau. n Tout ce que connait la station est sa MAC adresse n Une Requête BOOTP ou RARP demande une adresse IP en envoyant sa MAC adresse. n Un Serveur BOOTP ou RARP lui donne son adresse IP d’après sa MAC adresse n Puis la station peut charger son OS en utilisant TFTP. n La différence principale entre ces protocoles est que BOOTP comme DHCP sont encapsulés dans IP.
  35. 35. DHCP n Configuration reseau des stations centralisee. n On configure sur un Serveur DHCP tout ce que les machines d’un reseau ont besoin de connaitre: n Adresse IP n Routeur par defaut n Adresse du ou des Serveurs DNS n Nom de domaine, etc…
  36. 36. Conclusion n IPv4 ne permet pas d’attribuer une adresse globale au nombre toujours croissant de stations Internet. n NAT permet d’utiliser des adresses privées mais la traduction est un goulet d’étranglement et s’accommode mal de certaines applications. n IPv6 résout le problème d’adressage et bien d’autres encore.
  37. 37. IPv6
  38. 38. Objectives n Comprendre toutes les différences avec IPv4 n Comprendre les Adresses IPv6 n Maitriser IPv6
  39. 39. Topic n Objectifs n Introduction n En-tête IPv6 n Les Adresses IPv6
  40. 40. Introduction n RFC2460 n IP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine d’années maintenant !… n La pénurie d’adresse IPv4 qui a généralisée l’emploi de NAT dans la plupart des entreprises est un frein au développement de certaines applications qui s’accommodent mal de NAT.
  41. 41. En-tête IPv6 en bref ! n Les champs de la fragmentation sont retirés. n Les champs Identifications, Don’t Fragment, More Bit et Fragment Id ont étés supprimés. n Le CHECKSUM a également été supprime n Il devient obligatoire dans UDP n Un Champs Trafic Class (8 bits) contient le DSCP n Un Champs Flow Label (20 bits) permet d’identifier un flux d’information. n Les adresses sont sur 128 bits n De 20 Octets il passe à 40 Octets
  42. 42. En-tête IPv6 Ver Traffic Class Flow Label Payload Length Next Header=Hop-By-Hop Hop Limit Source IPv6 Address Destination IPv6 Address Next Header=Routing Hdr Next Header=TCP Hop-By-Hop Routing Header TCP Header
  43. 43. En-tête IPv6 Ethernet II, Src: ca:02:42:76:00:08 (ca:02:42:76:00:08), Dst: IPv6mcast_00:01:00:02 (33:33:00:01:00:02) Destination: IPv6mcast_00:01:00:02 (33:33:00:01:00:02) Source: ca:02:42:76:00:08 (ca:02:42:76:00:08) Type: IPv6 (0x86dd) Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 56 Next header: UDP (0x11) Hop limit: 255 Source: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) Destination: ff02::1:2 (ff02::1:2) User Datagram Protocol, Src Port: dhcpv6-client (546), Dst Port: dhcpv6-server (547) Source port: dhcpv6-client (546) Destination port: dhcpv6-server (547) Length: 56 Checksum: 0x86f0 [validation disabled]
  44. 44. Flow label n Permet d’identifier un flow de données n Non utilisé à ce jour donc disponible pour de futures applications
  45. 45. Traffic Class n Un octet n Similaire a TOS+Priority n Utilisé pour marquer le trafic pour traitement différentié selon QOS en vigueur
  46. 46. DiffServ n Identique a IPv4 n Differentiated Services Field redéfinit les 6 premiers bits comme DSCP n définit deux grandes sortes de trafic. n Expedited Forwarding - http://www.ietf.org/rfc/rfc3246.txt n Assured Forwarding - http://www.ietf.org/rfc/rfc2597.txt
  47. 47. DiffServ Expedited Forwarding n Expedited Forwarding (RFC3246). n Dans ce mode les données sont traitées avec une priorité stricte. n Cela demande le protocole de réservation RSVP pour garantir que la bande passante soit disponible dans les Priority Queues des routeurs tout au long du chemin. - DSCP = 101110
  48. 48. Diff-Serv Assured Forwarding q Dans ce mode le trafic est classé par classe de trafic plus ou moins prioritaires. q Chaque classe de trafic est doté de 3 niveaux de précédence pour prioriser les drop. DSCP DSCP binary Intended Protocol Configuration AF1 AF11 AF12 AF13 001010 001100 001110 Bulk Transfer, Web, General Data Service Active Q management DSCP-based WRED. AF2 AF21 AF22 AF23 010010 010100 010110 Datagram access, transaction services, interactives traffic, preferred data service Active Q management DSCP-based WRED. AF3 AF31 AF32 AF33 011010 011100 011110 Locally defined; mission critical application Active Q management DSCP-based WRED. AF4 AF41 AF42 AF43 100010 100100 100110 Interactive video and associated voice Admission control RSVP Active Q management DSCP-based WRED.
  49. 49. Diff Serv Class Selector PHB DSCP DSCP bin Intended Protocol Configuration IP Routing Class Selector 6 110000 BGP, OSPF, and so on Queuing=rate based. Small guaranteed min rate, WRED Streaming Video Class Selector 4 100000 Often Proprietary Admission control=RSVP, Queuing=rate based. Small guaranteed min rate, WRED Telephony Signaling Class Selector 3 011000 SIP, H323, etc…. Queuing=rate based. Small guaranteed min rate, WRED Network Management Class Selector 2 010000 SNMP Queuing=rate based. Small guaranteed min rate, WRED Scavenger Class Selector 1 0010000 User Selected Service Queuing=rate based. NO guaranteed min rate, WRED
  50. 50. Next Header n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été ajouté n Similaire au champs protocole de IPv4 n Permet le chainage de plusieurs Options
  51. 51. IPv6 Option Header n Afin de permettre le chainage des encapsulations, un pointeur vers le prochain header a été ajouté n Similaire au champs protocole de IPv4 n La seule Option qui doit être inspectée par tous les nodes est le Hop-by-Hop n Chaque option est formatéee comme un TLV 8 bits 8 bits 16 bits Option Type Option Length Option data
  52. 52. Hop-By-Hop Option n Hop-by-Hop (Next header=0) est la seule en-tête qui doit être examinée par tous les noeuds du réseau. n Jumbogram 65,536 octets n RFC 2711 Router Alert utilise par MLD, RSVP n DOIT ETRE LE PREMIER
  53. 53. Routing Header n Type 0. un RFC Implémente le Source Routing n Il liste tous les noeuds qui doivent être visités n Représente un danger potentiel et peut être interdit sur un routeur cisco. n Type 1 Obsolete n Type 2. RFC3775 Utilise par Mobile IPv6
  54. 54. IPv6 Header (suite) n Fragment Header n Utilise PMTUD pour l’éviter n S’il ne le peut, la source fragmente et l’option contient les champs nécessaires pour rassembler le datagramme. : ID, offset n C’est devenu tellement rare que ca ne valait pas la peine de mobiliser des champs fixes dans l’en-tête IPv6. n Authentication Header n ESP Header n Mobility Header
  55. 55. Ordre des options n Hop-by-hop n Destination options (si routing present) n Routing n Fragment n Authentication n ESP n Mobility n Destination option (si routing absent) n Upper layer
  56. 56. Capture No. Time Source Destination Protocol Info 188 619.951000 2005::2 2005::1 ICMPv6 Echo request Frame 188 (114 bytes on wire, 114 bytes captured) Ethernet II, Src: ca:00:12:a4:00:38 (ca:00:12:a4:00:38), Dst: ca:01:12:a4:00:38 (ca:01:12:a4:00:38) Internet Protocol Version 6 0110 .... = Version: 6 .... 1010 0000 .... .... .... .... .... = Traffic class: 0x000000a0 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 60 Next header: IPv6 hop-by-hop option (0x00) Hop limit: 64 Source: 2005::2 (2005::2) Destination: 2005::1 (2005::1) Hop-by-Hop Option Next header: IPv6 destination option (0x3c) Length: 0 (8 bytes) PadN: 6 bytes Destination Option Next header: ICMPv6 (0x3a) Length: 0 (8 bytes) PadN: 6 bytes Internet Control Message Protocol v6 Type: 128 (Echo request) Code: 0 Checksum: 0x4c15 [correct] ID: 0x1d86 Sequence: 0x0009 Data (36 bytes) 0000 09 0a 0b 0c 0d 0e 0f 10 11 12 13 14 15 16 17 18 ................ 0010 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27 28 ....... !"#$%&'( 0020 29 2a 2b 2c )*+, Data: 090A0B0C0D0E0F101112131415161718191A1B1C1D1E1F20... [Length: 36]
  57. 57. Maximum Transmission Unit Frame Header IPv6 Packet Frame Trailer n IPv4 n MTU >= 68 Octets n IPv6 n MTU >= 1280 Octets n PMTUD Link-Layer Frame Minimum MTU = 1280 Octets
  58. 58. Adresses IPv6 n Unicast. n Identifie un noeud de réseau n Le trafic est acheminé vers ce noeud unique n Multicast n Identifie un groupe de noeuds de réseau n Le trafic est acheminé vers tous les noeuds de ce groupe n FF00::/8 n Anycast n Identifie un groupe de noeuds de réseau n Le trafic est acheminé vers le noeud le plus proche
  59. 59. Representation n X:X:X:X:X:X:X:X n X est un champs Hexa sur 16 bits n Les 0 successifs sont représentés par :: mais seulement 1 fois dans une adresse n 2000:1::0102:1234:4222 n FF01:0:0:0:0:0:0:1 = FF01::1 n 0:0:0:0:0:0:0:0 = ::
  60. 60. Représentation (suite) n IPv4-compatible n 0:0:0:0:0:192.168.30.1 n ::192.168.30.1 n Tunnels Automatiques IPv6->IPv4 n Dans un URL, il est entouré de [] n http://[2001:1:4::11]:8080/index.html
  61. 61. Unspecified et Loopback Address n Unspecified n 0:0:0:0:0:0:0:0 ou :: n Utilise quand il n’y a pas d’adresse disponible - Initial DHCP Request - Initial RS pendant autoconfig n Loopback n 0:0:0:0:0:0:0:1 n ::1 n Identique a 127.0.0.1 en ipv4
  62. 62. Global Unicast Address n Adresse Unicast d’un Hote: n 2000:0001:0002:0000:0000:0005:0006:0007 n 2000:0001:0002::0005:0006:0007 n Prefix Reseaux: n 2000:0001:0002::/48 n 2000:1000:0001:0010::/64
  63. 63. Multicast n FF00::/8 n FF0x:: (X=0..F) est réservé n Remplace le broadcast inexistant en IPv6 n No TTL in IPv6 Multicast n L’étendu est codée dans l’adresse n FF02::1:FFXX:XXXX Solicited Node
  64. 64. Multicast FF Flag Scope 0 Interface ID n Flag (Drapeau) n O si permanent n 1 si temporaire n Scope (Etendue) n 1=node n 2=link n 3=site n 5=Organization n E=Global 128 bits
  65. 65. Multicast Address n FF01::1 Interface-local Scope All nod]e address n FF01::2 Interface-local Scope All routers address n FF02::1 Link-local Scope all node adress n FF02:2 Link-local Scope All routers address n FF05::1 Site-local Scope All node address n FF05::2 Site-local Scope all routers address n FF05::1:3 Site-local Scope all DHCP server
  66. 66. Solicited-node multicast adress n Addresse Unicast n 805B:2D9D:DC28::FC57:D4C8:1FFF n Prefix n FF02:0:0:0:0:1:FF n Solicited-node multicast adress n FF02:0:0:0:0:1:FF:C8:1F:FF
  67. 67. Etendue d’adresse (Scope) n Link-local scope. n Certaines adresses ne sont valides que dans un domaine de couche liaison de données n 1111111010 -> FE84::/64 n Site-local scope. n Ces adresses sont valides au niveau d’un ou plusieurs sites ou d’un ensemble de domaines de couches de liaison de données n 11111110L-> FC00::/7 OR FD00::/7 for Local Assigment n Global Scope n Ces adresses sont valides au sens le plus large de l’Internet auquel est connecte le noeud.
  68. 68. Adresses IPv6 pour un noeud n Une Link-local pour chaque interface n Loopback n Assigned Unicast n All-nodes Multicast n Solicited-node multicast pour chaque unicast n Multicast
  69. 69. Adresses requises pour un routeur n Toutes les adresses du noeud IPv6 n Subnet-router anycast pour les interfaces configurées comme forwarding interfaces n Autres Anycast n All-Routers Multicast n Specific Multicast pour les protocoles de routages
  70. 70. IPv6 dans Ethernet Dest Ethernet Adress Source Ethernet Adress 0x86DD IPv6 En-tête et charge n Protocole IPv6: Ox86DD
  71. 71. EUI-64 EUI-64 est forme en inserant 0xFFFE 00 90 59 02 E0 F9 00 90 59 FF FE 02 E0 F9 n Mac Address 48 bit n X=1 Unique n X=0 Not Unique 000000X0
  72. 72. Multicast Mapping sur Ethernet n Adresse IPv6 Multicast n FF02:0:0:0:0:1:FF90:FE53 n Adresse Mac correspondante n 33:33:FF:90:FE:53
  73. 73. Cisco IPv6 Interface sa13-72c(config-if)#do show ipv6 int gig0/2 GigabitEthernet0/2 is up, line protocol is up IPv6 is enabled, link-local address is FE80::20B:60FF:FEB4:9C1A No Virtual link-local address(es): Stateless address autoconfig enabled Global unicast address(es): 2000:1::20B:60FF:FEB4:9C1A, subnet is 2000:1::/64 [EUI/CAL/PRE] valid lifetime 2591911 preferred lifetime 604711 Joined group address(es): FF02::1 FF02::2 FF02::1:FFB4:9C1A MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 23319) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses.
  74. 74. Conclusions n Plus de limite sur les adresses disponibles n Une en-tête orientée performance n Le multicast remplace le broadcast44
  75. 75. ICMPv6
  76. 76. Objectives n Comprendre le fonctionnement d’ICMPv6 n ICMPv6 Neighbor Discovery, IGMP et autres protocoles sont maintenant implementés dans ICMPv6
  77. 77. TOPIC n Introduction n ICMPv6 n MLD (IGMP) n Protection d’ICMPv6 n Messages d’Erreurs d’ICMPv6 n Destination Unreachable n Time Exceeded n Paquet too Big n Parameter Problem n Message d’informations n Echo Request n Echo Reply n Exemple sur un routeur Cisco
  78. 78. Introduction n RFC 4443 n IPv6 extension header type 58 n PMTUD est utilisé pour trouver le MTU entre deux noeuds de réseau. n ICMP Version 6 améliore sur de nombreux points le protocole IP version 4 vieux d’une trentaine d’années maintenant ! n ICMPv6 et Neighbor Discovery englobe maintenant des fonctions autrefois assurées par ARP, IGMP, IDRP, et d’autre encore. n Neighbor Discovery est supportée par ICMPv6.
  79. 79. ICMPv6/NDP Header Type Code Checksum Corps du Message
  80. 80. MLD (IGMP) n MLDv1 (RFC 2710) n IGMPv2. RFC 2236 n Multicast Listener Query. ICMPv6 Type 130 n Multicast Listener v1. Report. ICMPv6 Type 131 n Multicast Listener Done. ICMPv6 Type 132 n MLDv2 n IGMPv3. RFC 3376 n Multicast Listener Query. ICMPv6 Type 130 n Multicast Listener Report. v2. ICMPv6 Type 143
  81. 81. Protection ICMPv6 n Les messages suivants doivent avoir un hop limit de 255: n RS:133, RA:134 n NS:135, NA:134 n Redirect: 137 n Inverse Neighbor Discovery Solicitation: 141 n Inverse Neighbor Discovery Advertizement: 142 n Certificate Path Solicitation (SEND): 148 n Certificate Path Advertisement (SEND): 149
  82. 82. Message informatifs n Utilisés par la commande pingv6 n Echo Request n Echo Reply sa13-72c>ping 2000:1::100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms sa13-72c> Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100 Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100 Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100 Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A Apr 21 05:56:54: ICMPv6: Sent echo request, Src=2000:1::20B:60FF:FEB4:9C1A, Dst=2000:1::100 Apr 21 05:56:54: ICMPv6: Received echo reply, Src=2000:1::100, Dst=2000:1::20B:60FF:FEB4:9C1A [SNIP]
  83. 83. Message d’Erreurs n Destination Unreachable n Packet Too Big n Time Exceeded n Parameter Problem
  84. 84. Destination Unreachable CODE DESCRIPTION EXPLICATION 0 Pas de route vers la destination Le paquet a été droppé parce qu’il n’y avait pas de route vers la destination 1 Communication administrativement prohibee Le paquet a été filtré par un routeur 3 Adresse non joignable Le niveau liaison de donnée ne peut être résolu 4 Port non joignable Le port de destination UDP ou TCP n’existe pas ou est ignoré par le host.
  85. 85. Time Exceeded n Le champ Hop cout est décrémenté à chaque Hop. n Lorsqu’il atteint zéro. n Le Paquet est jeté n un message ICMPv6 TIME EXCEEDED est envoyé vers la source du paquet. n Ceci permet a un paquet de ne pas circuler pour toujours dans le réseau si une boucle de réseau existe.
  86. 86. Paquet Too Big n La source doit découvrir le PMTU grâce à PMTUD n si un routeur reçoit un paquet trop long pour être acheminé, il doit le jeter et envoyer un packet ICMPv6 Packet Too Big vers la source avec son MTU. n La source ajuste son MTU et maintient un cache par destination n Le Minimum MTU d’un réseau IPv6 doit être de 1280 Octets au minimum.
  87. 87. Parameter Problem Code Description Explication O Champs d’en-tête Erronées Le Champs pointe par ce pointer est erroné 1 Type de Prochain en-tête non reconnu Le Next Header n’est pas reconnu 2 IPv6 Option Non reconnue L’Option IPv6 n’est pas reconnue
  88. 88. Exemple avec plus de debug sa13-72c#ping 2000:1::100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms sa13-72c# Apr 18 08:41:15: IPv6: Looking up 2000:1::100 [Source ::] in FIB Apr 18 08:41:15: IPv6: FIB lookup for 2000:1::100 succeeded. if=GigabitEthernet0/2, nexthop 2000:1::100 Apr 18 08:41:15: IPv6-Sas: SAS picked source 2000:1::1 for 2000:1::100 (GigabitEthernet0/2) Apr 18 08:41:15: IPV6: source 2000:1::1 (local) Apr 18 08:41:15: dest 2000:1::100 (GigabitEthernet0/2) Apr 18 08:41:15: traffic class 0, flow 0x0, len 100+0, prot 58, hops 64, originating Apr 18 08:41:15: ICMPv6-ND: DELETE -> INCMP: 2000:1::100 Apr 18 08:41:15: ICMPv6-ND: Sending NS for 2000:1::100 on GigabitEthernet0/2 Apr 18 08:41:15: IPV6: source 2000:1::1 (local) Apr 18 08:41:15: dest FF02::1:FF00:100 (GigabitEthernet0/2) Apr 18 08:41:15: traffic class 224, flow 0x0, len 72+0, prot 58, hops 255, originating Apr 18 08:41:15: IPv6-Fwd: Sending on GigabitEthernet0/2 Apr 18 08:41:15: ICMPv6-ND: Resolving next hop 2000:1::100 on interface GigabitEthernet0/2 Apr 18 08:41:15: IPv6-Fwd: Encapsulation postponed, performing resolution Apr 18 08:41:15: IPv6: Looking up 2000:1::1 [Source 2000:1::100] in FIB Apr 18 08:41:15: IPv6: FIB lookup for 2000:1::1 succeeded. Local, if=GigabitEthernet0/2, nexthop 2000:1::1 Apr 18 08:41:15: IPV6: source 2000:1::100 (GigabitEthernet0/2) Apr 18 08:41:15: dest 2000:1::1 (GigabitEthernet0/2)
  89. 89. Conclusions n On retrouve dans ICMPv6 les fonctions d’ICMP mais il accueille aussi des applications qui étaient séparées auparavant: n Neighbor Discovery Protocol n MLD autrefois nommé IGMP pour le multicast
  90. 90. Neighbor Discovery Protocol
  91. 91. Objectifs n Comprendre le rôle d’NDP n Comprendre ses algorithmes n Comprendre toutes ses fonctionnalités
  92. 92. Sommaire n Introduction n Les Fonctionnalités NDP n Les Algorithmes NDP n State Machine for Reachability n Next Hop Determination n Default Router Selection n Duplicate Address Detection n Autoconfiguration n Lecture n Conclusion
  93. 93. Fonctionnalités de ND n RFC 4861, RFC 4862 n Router Discovery n Neighbor Discovery n Prefix Discovery n Parameter Discovery n Address Auto-Configuration n Address Resolution n Next-hop Determination n Neighbor Unreachability Detection n Duplicate Address Detection n Redirection n Default Router and More Specific route Selection n Proxying node
  94. 94. NDP PDU Message But ICMP Code Emetteur Cible Option Router Solicitation (RS) Demande un RA immediatement 133 Hotes Tous Routers SLLA Router Advertisement (RA) Annonce: Router par defaut, prefixes du lien, prefixes joignables, paarametres d’operations 134 Routeurs Emetteur du RS ou tous les hotes SLLA, MTU, info de Prefix, info de Route, Interval d’annonces,info d’agent maison Neighbor Solicitation (NS) Requiers l’adresse de lien de l’hote cible 135 Hotes Hote solicite ou le noeud cible SLLA ,, Repond au NA Annonce le changement d’adresse du lien 136 Hotes Emetteur du NS ou tous les Hotes TLLA Redirect Informe les hotes d’un meilleur premier saut 137 Routeurs Hotes qui declencha le redirect TLLA En-tetes Redirigee Inverse neighbor Solicitation (INS) Requiers une addresse IPv6 correspondant a l’adresse de liaison de donnee 141 Hotes Tous les hotes SLLA, TLLA, MTU, list d’adresses sources Inverse Neighbor Advertisement (INA) Reponse a un INA 142 Hotes Emetteur du INS SLLS, TLLA, List d’adresses cibles, MTU
  95. 95. Neighbor Discovery n Neighbor Solicitation/Advertisement permettent de gérer le cache des voisins. n IPv6 a mis en oeuvre un Automate d’état fini pour gérer ce cache efficacement. n Remplace avantageusement ARP
  96. 96. Automate de gestion des Voisins
  97. 97. Etats des voisins q INCOMPLETE n « Address resolution is being performed on the entry. Specifically, a Neighbor Solicitation has been sent to the solicited-node multicast address of the target, but the corresponding Neighbor Advertisement has not yet been received. » q REACHABLE n « Positive confirmation was received within the last ReachableTime milliseconds that the forward path to the neighbor was functioning properly. While REACHABLE, no special action takes place as packets are sent. »! q STALE n « More than ReachableTime milliseconds have elapsed since the last positive confirmation was received that the forward path was functioning properly. While stale, no action takes place until a packet is sent. The STALE state is entered upon receiving a unsolicited Neighbor Discovery message that updates the cached link-layer address. Receipt of such a message does not confirm reachability, and entering the STALE state ensures reachability is verified quickly if the entry is actually being used. However,reachability is not actually verified until the entry is actually used. »! q DELAY n « More than ReachableTime milliseconds have elapsed since the last positive confirmation was received thatthe forward path was functioning properly, and a packet was sent within the last DELAY_FIRST_PROBE_TIMEseconds. If no reachability confirmation is received within DELAY_FIRST_PROBE_TIME seconds of entering the DELAY state, send a Neighbor Solicitation and changethe state to PROBE. The DELAY state is an optimization that gives upper- layer protocols additional time to provide reachability confirmation in those cases where ReachableTime milliseconds have passed since the last confirmation due to lack of recent traffic. Without this optimization, the opening of a TCP connectionafter a traffic lull would initiate probes even though the subsequent three-way handshake would provide a reachability confirmation almost immediately. »! q PROBE q « A reachability confirmation is actively sought by retransmitting Neighbor Solicitations every RetransTimer milliseconds until a reachability confirmation is received. »!
  98. 98. ND - Sollicitation du voisin n NS/NA ICMP Type 135 Src =A Dst = Solicited Multicast de B Target= Adresse IP de B Quel est votre adresse de liaison de données (MAC) ICMP Type 136 Src=B Dst=A adresse de liaison de données (MAC) de B
  99. 99. Neighbor Sollicitation Header 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + + | | + Target Address + | | + + | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options ... +-+-+-+-+-+-+-+-+-+-+-+-
  100. 100. Neighbor Advertisement Header 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |R|S|O| Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + + | | + Target Address + | | + + | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options ... +-+-+-+-+-+-+-+-+-+-+-+-
  101. 101. ARP remplacé par NDP sa13-72c#ping 2000:1::100! ! Type escape sequence to abort.! Sending 5, 100-byte ICMP Echos to 2000:1::100, timeout is 2 seconds:! !!!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 0/0/4 ms! sa13-72c#! Apr 18 08:36:03: ICMPv6-ND: DELETE -> INCMP: 2000:1::100! Apr 18 08:36:03: ICMPv6-ND: Sending NS for 2000:1::100 on GigabitEthernet0/2! Apr 18 08:36:03: ICMPv6-ND: Resolving next hop 2000:1::100 on interface GigabitEthernet0/2! Apr 18 08:36:03: ICMPv6-ND: Received NA for 2000:1::100 on GigabitEthernet0/2 from 2000:1::100! Apr 18 08:36:03: ICMPv6-ND: Neighbour 2000:1::100 on GigabitEthernet0/2 : LLA 0008.201a.7c38! Apr 18 08:36:03: ICMPv6-ND: INCMP -> REACH: 2000:1::100! Apr 18 08:36:08: ICMPv6-ND: Received NS for 2000:1::1 on GigabitEthernet0/2 from FE80::208:20FF:FE1A:7C38! Apr 18 08:36:08: ICMPv6-ND: DELETE -> INCMP: FE80::208:20FF:FE1A:7C38! Apr 18 08:36:08: ICMPv6-ND: Neighbour FE80::208:20FF:FE1A:7C38 on GigabitEthernet0/2 : LLA 0008.201a.7c38! Apr 18 08:36:08: ICMPv6-ND: INCMP -> STALE: FE80::208:20FF:FE1A:7C38! Apr 18 08:36:08: ICMPv6-ND: Sending NA for 2000:1::1 on GigabitEthernet0/2! Apr 18 08:36:08: ICMPv6-ND: STALE -> DELAY: FE80::208:20FF:FE1A:7C38! ! n Pas de perte de paquet pendant la résolution ND !!
  102. 102. Neighbor Sollicitation Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 400 Next header: ICMPv6 (0x3a) Hop limit: 255 Source: fe80::2027:9779:3775:5cf8 (fe80::2027:9779:3775:5cf8) Destination: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) Internet Control Message Protocol v6 Type: 135 (Neighbor solicitation) Code: 0 Checksum: 0x64e3 [correct] Target: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) ICMPv6 Option (Source link-layer address) Type: Source link-layer address (1) Length: 8 Link-layer address: ca:03:42:76:00:08 ICMPv6 Option (CGA) Type: CGA (11) Length: 192 Pad Length: 1 Reserved CGA: 94CC49E03C4E5C8140E0CD97396A7359FE80000000000000... Padding SNIP
  103. 103. Découverte du Voisinage - Redirect Src = A Dest=B Dest Ethernet:R1 (default Router) A R1 R2 Redirect: Src=R1 Dst = A Data= Bon router est R2 Dest Ethernet = A B
  104. 104. Redirect n Semblable au Redirect d’IPv4 n Permet de rediriger la source vers le meilleur Next-Hop lorsqu’un paquet est rerouté par la même interface n L’Hôte doit mettre a jour sa table pour envoyer le trafic par le meilleur chemin
  105. 105. Redirect 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Code | Checksum | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + + | | + Target Address + | | + + | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | + + | | + Destination Address + | | + + | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Options ... +-+-+-+-+-+-+-+-+-+-+-+-
  106. 106. Redirect Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 856 Next header: ICMPv6 (0x3a) Hop limit: 255 Source: fe80::2038:148e:b9df:fd6d (fe80::2038:148e:b9df:fd6d) Destination: fe80::2027:9779:3775:5cf8 (fe80::2027:9779:3775:5cf8) Internet Control Message Protocol v6 Type: 137 (Redirect) Code: 0 Checksum: 0x5964 [correct] Target: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) Destination: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) ICMPv6 Option (Target link-layer address) Type: Target link-layer address (2) Length: 8 Link-layer address: ca:02:42:76:00:08 ICMPv6 Option (Redirected header) Type: Redirected header (4) Length: 448 Reserved: 0 (correct) Redirected packet SNIP
  107. 107. ND - Annonce de Routeur n Annonces Periodic RA n ICMP Type = 134 n Src = Router Link-Local n Dst = All nodes multicast address n Data = Options, prefix, lifetime, autoconfig flag n Routeur Cisco n Ipv6 unicast-routing
  108. 108. ND - solicitation de Routeur n RS n ICMP Type = 133 n Src = :: n Dst = All routers multicast address n Au démarrage d’une station ou lorsqu'on configure autoconfig, RS permet de recevoir immédiatement toutes les infos
  109. 109. RA - show ipv6 routers hote#show ipv6 routers Router FE80::2038:148E:B9DF:FD6D on FastEthernet0/0, last update 2 min Hops 64, Lifetime 1800 sec, AddrFlag=0, OtherFlag=0, MTU=1500 HomeAgentFlag=0, Preference=Medium Reachable time 0 (unspecified), Retransmit time 0 (unspecified) Prefix 2001::/64 onlink autoconfig Valid lifetime 2592000, preferred lifetime 604800 hote#
  110. 110. RA capture Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 104 Next header: ICMPv6 (0x3a) Hop limit: 255 Source: fe80::207:cbff:fe3e:b6b3 (fe80::207:cbff:fe3e:b6b3) Destination: ff02::1 (ff02::1) Internet Control Message Protocol v6 Type: 134 (Router advertisement) Code: 0 Checksum: 0xf74b [correct] Cur hop limit: 64 Flags: 0x00 Router lifetime: 1800 Reachable time: 0 Retrans timer: 0 ICMPv6 Option (Prefix information) Type: Prefix information (3) Length: 32 Prefix length: 64 Flags: 0xc0 Valid lifetime: 86400 Preferred lifetime: 86400 Prefix: 2a01:e35:2f26:d340:: ICMPv6 Option (Recursive DNS Server) Type: Recursive DNS Server (25) Length: 40 Reserved Lifetime: 600 Recursive DNS Servers: dns3.proxad.net (2a01:e00::2) Recursive DNS Servers: dns2.proxad.net (2a01:e00::1) ICMPv6 Option (MTU) Type: MTU (5) Length: 8 MTU: 1480 ICMPv6 Option (Source link-layer address) Type: Source link-layer address (1) Length: 8 Link-layer address: 00:07:cb:3e:b6:b3
  111. 111. Neighbor Unreachability Detection n La communication entre 2 noeuds IPv6 peut être cassée. n C’est important de le savoir pour mettre en route des méthodes de recovery si nécessaire. Un host peut basculé n r sur un nouveau routeur n Il y a 2 façons de s’en rendre compte: n Un protocole de plus haut niveau continue d’acquitter le trafic n Un NA est reçu en réponse a un NS n La Machine d’états peut être suivie sur un routeur en tapant la commande « debug ipv6 neighbor »
  112. 112. State Machine for Reachability Create Entry Send NS Incomplete NA2 Stale Delay Probe Reachable Te NA1 Report Error Delete Entry NA3 Or U T or O or NA4 or NA5 T Retry NS NA3 ou U Retry NS SEND NS NA5 ou O S NA3 ou U NA5 ou O T Te NA1 - Recevoir un NA avec Solicited=0 NA2- Recevoir un NA avec Solicited=1 NA3- Recevoir un NA avec Solicited=1 et Override=1 ou Override=0 et le link-layer identique a celui dans le cache NA4- Recevoir un NA avec solicited=1, Override=0 et link-layer different du cache NA5=Recevoir un NA avec solicited=0, override=1, et link-layer diferent du cache O - Recevoir un autre ND paquet avec link-layer different du cache. S- Envoyer un paquet T- Timeout Te- Timeout avec retry epuise U- Couche superieur confirmee T T
  113. 113. Next-Hop Determination n A la difference d’IPv4, un host peut-etre voisin avec un prefix reseau different. n Il sera considere on-link si: n Il est couvert par un des prefixes du lien n Il a recu un NA pour cette adresse n Il a recu n’importe quel message ND de cette adresse n Il a recu un RA avec ce prefix dans la list des prefix n Il a recu un REDIRECT message avec une cible egale a cette adresse
  114. 114. Next-Hop Determination Algorithm Lookup in Dest Cache [D,N] Lookup in Prefix List for [D,N] Retrieve a default Router N from router list Nexthop=N Not found Off-link Nexthop=N Nexthop=D Nexthop=D D = Dest Address N = Neighbor on same link L = Link-layer address Lookup in neighbor cache for nexthop Not found Packet Dropped Neighbor Discovery Not found Found Entry State Packet Forwarded Found Reachable Neigh. Unreachability detection Address Resolution or Router Selection Stale Reachable Not Reachable
  115. 115. Default Router Selection n Type A n Ignore le default router preference et la route la plus spécifique présente dans le RA n Si le routeur sélectionné n’est plus joignable, le host doit utiliser les autres en round-robin afin de sonder (probe) chacun des routeurs. n Type B n Comme le type A mais le host tient compte de la préférence du routeurs. n Type C n Host qui implémente une table de routage. n Quand un host type fait un next-hop determination il préfère les host Reachable et puis il applique le longest match.
  116. 116. Detection d’adresses Dupliquées (DAD) n ICMP Type = 135 n Src = 0 (::) n Dst = solicited node multicast address of A n Data = link-layer de A n Query: Quel est votre adresse de lien ? A
  117. 117. Duplicate Address Detection n Avant de s’assigner une adresse il génere un NS pour l’adresse n si pas de NA recu, alors il génère un NA et se l’assigne Apr 18 09:57:31: ICMPv6-ND: L3 came up on GigabitEthernet0/2 Apr 18 09:57:31: IPv6-Addrmgr-ND: DAD request for 2000:1::1 on GigabitEthernet0/2 Apr 18 09:57:31: ICMPv6-ND: Sending NS for 2000:1::1 on GigabitEthernet0/2 Apr 18 09:57:32: IPv6-Addrmgr-ND: DAD: 2000:1::1 is unique. Apr 18 09:57:32: ICMPv6-ND: Sending NA for 2000:1::1 on GigabitEthernet0/2 Apr 18 09:57:32: IPv6-Address: Address 2000:1::1/64 is up on GigabitEthernet0/2
  118. 118. Autoconfiguration n RFC 4862, IPv6 Stateless Address Autoconfiguration n Il utilise RS/RA pour obtenir le préfix et construire une adresse n Il utilise NS (DAD) pour tester si cette adresse n’est pas déjà employée. n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315. n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_C11-472610.html
  119. 119. DHCPv6 n Les routeurs IPv6 signalent l’utilisation de DHCPv6 n Les bits M et O sont positionnés dans les RA n Le bit M « Managed Adress Configuration » indique aux clients l’utilisation de DHCPv6 pour obtenir leurs configuration n Le bit O « Other Statefull Configuration » suggère aux clients d’utiliser DHCPv6 pour d’autres configurations que la seule adresse n Les clients et serveurs s’échangent ensuite grâce à DHCPv6 n DHCPv6 Request n DHCPv6 Reply n "ff02::1:2" Tous les relay agents et serveurs n "ff05::1:3" Tous les Serveurs DHCPv6
  120. 120. Autoconfig - show ipv6 hote#sh ipv6 route IPv6 Routing Table - Default - 5 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP EX - EIGRP external O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 S ::/0 [2/0] via FE80::2038:148E:B9DF:FD6D, FastEthernet0/0 LC BAD:1:2:FC64:8ECC:593A:15C3:654/128 [0/0] via FastEthernet0/0, receive C 2001::/64 [0/0] via FastEthernet0/0, directly connected L 2001::20EC:31D3:14CB:A7A/128 [0/0] via FastEthernet0/0, receive L FF00::/8 [0/0] via Null0, receive hote#
  121. 121. Autoconfig - show ipv6 interface hote#sh ipv6 int fa0/0 FastEthernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::38B1:E73C:C0F0:4442 No Virtual link-local address(es): Global unicast address(es): BAD:1:2:FC64:8ECC:593A:15C3:654, subnet is BAD:1:2:FC64:8ECC:593A:15C3:654/128 2001::20EC:31D3:14CB:A7A, subnet is 2001::/64 Joined group address(es): FF02::1 FF02::1:FFC3:654 FF02::1:FFCB:A7A FF02::1:FFF0:4442 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 37164) Default router is FE80::2038:148E:B9DF:FD6D on FastEthernet0/0 hote#
  122. 122. Quelques RFC n RFC 2460 IPv6 Specification n RFC 5095 Deprecation of Type 0 Routing Headers in IPv6 n RFC 3513 IPv6 Addressing Architecture n RFC 4861 Neighbor Discovery n RFC 4862 IPv6 Stateless Auto config n RFC 4443 ICMPv6 Specification n http://tools.ietf.org/html/rfc4443
  123. 123. Conclusion n NDP fait partie de ICMPv6 donc inséparable d’IPv6. n Il rend des services de type ARP, inverse ARP n Redirect n IDRP ICMP Discovery Router Protocol
  124. 124. Applications IPv6
  125. 125. Objectifs n Comprendre DHCPv6 n Le support de DNS pour IPv6 n Lister les applications réseaux disponibles
  126. 126. DHCPv6 n Statefull Autoconfiguration avec DHCP pour IPv6 RFC3315. n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/whitepaper_C11-472610.html n Les routeurs IPv6 signalent l’utilisation de DHCPv6 n Les bits M et O sont positionnés dans les RA n Le bit M « Managed Adress Configuration » indique aux clients l’utilisation de DHCPv6 pour obtenir leurs configuration n Le bit O « Other Statefull Configuration » suggère aux clients d’utiliser DHCPv6 pour d’autres configurations que la seule adresse n Les clients et serveurs s’échangent ensuite grâce à DHCPv6 n DHCPv6 Request n DHCPv6 Reply n "ff02::1:2" Tous les relay agents et serveurs n "ff05::1:3" Tous les Serveurs DHCPv6
  127. 127. DHCPv6 Sollicit Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 56 Next header: UDP (0x11) Hop limit: 255 Source: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) Destination: ff02::1:2 (ff02::1:2) User Datagram Protocol, Src Port: dhcpv6-client (546), Dst Port: dhcpv6-server (547) Source port: dhcpv6-client (546) Destination port: dhcpv6-server (547) Length: 56 Checksum: 0x86f0 [validation disabled] DHCPv6 Message type: Solicit (1) Transaction-ID: 0x00b44306 Elapsed time option type: 8 option length: 2 elapsed-time: 0 ms Client Identifier option type: 1 option length: 10 DUID type: link-layer address (3) Hardware type: Ethernet (1) Link-layer address: ca:02:42:76:00:08 Option Request option type: 6 option length: 4 Requested Option code: DNS recursive name server (23) Requested Option code: Domain Search List (24) Identity Association for Non-temporary Address option type: 3 option length: 12 IAID: 262145 T1: 0 T2: 0
  128. 128. DHCPv6 Advertise Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 1110 0000 .... .... .... .... .... = Traffic class: 0x000000e0 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 102 Next header: UDP (0x11) Hop limit: 255 Source: fe80::2027:9779:3775:5cf8 (fe80::2027:9779:3775:5cf8) Destination: fe80::38b1:e73c:c0f0:4442 (fe80::38b1:e73c:c0f0:4442) User Datagram Protocol, Src Port: dhcpv6-server (547), Dst Port: dhcpv6-client (546) Source port: dhcpv6-server (547) Destination port: dhcpv6-client (546) Length: 102 Checksum: 0x6db3 [validation disabled] DHCPv6 Message type: Advertise (2) Transaction-ID: 0x00b44306 Server Identifier option type: 2 option length: 10 DUID type: link-layer address (3) Hardware type: Ethernet (1) Link-layer address: ca:03:42:76:00:08 Client Identifier option type: 1 option length: 10 DUID type: link-layer address (3) Hardware type: Ethernet (1) Link-layer address: ca:02:42:76:00:08 Identity Association for Non-temporary Address option type: 3 option length: 40 IAID: 262145 T1: 43200 T2: 69120 IA Address option type: 5 option length: 24 IPv6 address: bad:1:2:2d98:8e14:c0b1:6ef5:8548 Preferred lifetime: 86400 Valid lifetime: 172800 Domain Search List option type: 24 option length: 14 DNS Domain Search List Domain: fredbovy.com
  129. 129. DHCPv6 Server R4>show ipv6 dhcp This device's DHCPv6 unique identifier(DUID): 00030001CA0342760008 R4>show ipv6 dhcp int FastEthernet0/0 is in server mode Using pool: fred Preference value: 0 Hint from client: ignored Rapid-Commit: disabled R4#show ipv6 dhcp pool DHCPv6 pool: fred Static bindings: Binding for client BADCAF0E IA PD: IA ID not specified Prefix: DEAD:BEEF::/48 preferred lifetime 604800, valid lifetime 2592000 Address allocation prefix: DEAD:BEEF:1:2:3::/64 valid 172800 preferred 86400 (1 in use, 0 conflicts) Domain name: fredbovy.com Active clients: 1 R4#show ipv6 dhcp bind Client: FE80::38B1:E73C:C0F0:4442 DUID: 00030001CA0242760008 Username : unassigned IA NA: IA ID 0x00040001, T1 43200, T2 69120 Address: DEAD:BEEF:1:2:6090:18A5:E017:DE5C preferred lifetime 86400, valid lifetime 172800
  130. 130. DHCPv6 Client hote#show ipv6 dhcp interface FastEthernet0/0 is in client mode Prefix State is IDLE Address State is OPEN Renew for address will be sent in 11:39:08 List of known servers: Reachable via address: FE80::2027:9779:3775:5CF8 DUID: 00030001CA0342760008 Preference: 0 Configuration parameters: IA NA: IA ID 0x00040001, T1 43200, T2 69120 Address: BAD:1:2:FC64:8ECC:593A:15C3:654/128 preferred lifetime 86400, valid lifetime 172800 expires at Aug 11 2010 02:36 PM (171549 seconds) Domain name: fredbovy.com Information refresh time: 0 Prefix Rapid-Commit: disabled Address Rapid-Commit: disabled Configuration: interface FastEthernet0/0 ipv6 address dhcp
  131. 131. DHCPv6 Operation *Aug 9 15:34:32.806: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:32.806: IPv6 DHCP: IA_NA 00040001 contains status code NOADDRS-AVAIL *Aug 9 15:34:32.806: IPv6 DHCP: DHCPv6 address changes state from REQUEST to SOLICIT (ADDR_NAK) on FastEthernet0/0 *Aug 9 15:34:32.806: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:32.806: IPv6 DHCP: No matching transaction ID in REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:33.782: IPv6 DHCP: Sending SOLICIT to FF02::1:2 on FastEthernet0/0 *Aug 9 15:34:33.786: IPv6 DHCP: Received ADVERTISE from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:33.786: IPv6 DHCP: Adding server FE80::2027:9779:3775:5CF8 *Aug 9 15:34:33.786: IPv6 DHCP: Received ADVERTISE from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:34.858: IPv6 DHCP: Sending REQUEST to FF02::1:2 on FastEthernet0/0 *Aug 9 15:34:34.858: IPv6 DHCP: DHCPv6 address changes state from SOLICIT to REQUEST (ADDR_ADVERTISE_RECEIVED) on FastEthernet0/0 *Aug 9 15:34:34.858: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:34.858: IPv6 DHCP: Processing options *Aug 9 15:34:34.862: IPv6 DHCP: Adding address DEAD:BEEF:1:2:C541:3F5C:EA1A:BE21/128 to FastEthernet0/0 *Aug 9 15:34:34.870: IPv6 DHCP: T1 set to expire in 43200 seconds *Aug 9 15:34:34.870: IPv6 DHCP: T2 set to expire in 69120 seconds *Aug 9 15:34:34.870: IPv6 DHCP: Configuring domain name fredbovy.com *Aug 9 15:34:34.870: IPv6 DHCP: DHCPv6 address changes state from REQUEST to OPEN (ADDR_REPLY_RECEIVED) on FastEthernet0/0 *Aug 9 15:34:34.870: IPv6 DHCP: Received REPLY from FE80::2027:9779:3775:5CF8 on FastEthernet0/0 *Aug 9 15:34:34.870: IPv6 DHCP: DHCPv6 address changes state from OPEN to OPEN (ADDR_REPLY_RECEIVED) on FastEthernet0/0
  132. 132. DHCP Prefix Delegation n Il est possible de recevoir une Prefix plutôt qu’une adresse n Une fois ce prefix réçu par le client il peut l’utiliser pour configurer des interfaces IPv6 n Les routeurs CISCO gèrent la partie cliente et la partie serveur
  133. 133. Autoconfig - show ipv6 hote#sh ipv6 route IPv6 Routing Table - Default - 5 entries Codes: C - Connected, L - Local, S - Static, U - Per-user Static route B - BGP, M - MIPv6, R - RIP, I1 - ISIS L1 I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary, D - EIGRP EX - EIGRP external O - OSPF Intra, OI - OSPF Inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2 ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2 S ::/0 [2/0] via FE80::2038:148E:B9DF:FD6D, FastEthernet0/0 LC BAD:1:2:FC64:8ECC:593A:15C3:654/128 [0/0] via FastEthernet0/0, receive C 2001::/64 [0/0] via FastEthernet0/0, directly connected L 2001::20EC:31D3:14CB:A7A/128 [0/0] via FastEthernet0/0, receive L FF00::/8 [0/0] via Null0, receive hote#
  134. 134. Autoconfig - show ipv6 interface hote#sh ipv6 int fa0/0 FastEthernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::38B1:E73C:C0F0:4442 No Virtual link-local address(es): Global unicast address(es): BAD:1:2:FC64:8ECC:593A:15C3:654, subnet is BAD:1:2:FC64:8ECC:593A:15C3:654/128 2001::20EC:31D3:14CB:A7A, subnet is 2001::/64 Joined group address(es): FF02::1 FF02::1:FFC3:654 FF02::1:FFCB:A7A FF02::1:FFF0:4442 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 37164) Default router is FE80::2038:148E:B9DF:FD6D on FastEthernet0/0 hote#
  135. 135. DNS n Transporter les requêtes DNS dans IPv6 Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 145 Next header: UDP (0x11) Hop limit: 255 Source: fe80::61e:64ff:feec:73a9 (fe80::61e:64ff:feec:73a9) Destination: ff02::fb (ff02::fb) User Datagram Protocol, Src Port: mdns (5353), Dst Port: mdns (5353) Source port: mdns (5353) Destination port: mdns (5353) Length: 145 Checksum: 0x5753 [validation disabled] Domain Name System (response) n Coder les adresses IPv6 dans les messages DNS n Type AAAA Name: power-mac-g5-de-fred-bovy-6.local Type: AAAA (IPv6 address) .000 0000 0000 0001 = Class: IN (0x0001) 1... .... .... .... = Cache flush: True Time to live: 2 minutes Data length: 16 Addr: 2a01:e35:2f26:d340:61e:64ff:feec:73a9
  136. 136. DNS Capture Internet Protocol Version 6 0110 .... = Version: 6 [0110 .... = This field makes the filter "ip.version == 6" possible: 6] .... 0000 0000 .... .... .... .... .... = Traffic class: 0x00000000 .... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 145 Next header: UDP (0x11) Hop limit: 255 Source: fe80::61e:64ff:feec:73a9 (fe80::61e:64ff:feec:73a9) Destination: ff02::fb (ff02::fb) User Datagram Protocol, Src Port: mdns (5353), Dst Port: mdns (5353) Source port: mdns (5353) Destination port: mdns (5353) Length: 145 Checksum: 0x5753 [validation disabled] Domain Name System (response) [Request In: 788] [Time: -404.306754000 seconds] Transaction ID: 0x0000 Flags: 0x8400 (Standard query response, No error) Questions: 0 Answer RRs: 1 Authority RRs: 0 Additional RRs: 3 Answers power-mac-g5-de-fred-bovy-6.local: type A, class IN, cache flush, addr 192.168.0.15 Name: power-mac-g5-de-fred-bovy-6.local Type: A (Host address) .000 0000 0000 0001 = Class: IN (0x0001) 1... .... .... .... = Cache flush: True Time to live: 2 minutes Data length: 4 Addr: 192.168.0.15
  137. 137. DNS Capture (suite) Additional records power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr fe80::61e:64ff:feec:73a9 Name: power-mac-g5-de-fred-bovy-6.local Type: AAAA (IPv6 address) .000 0000 0000 0001 = Class: IN (0x0001) 1... .... .... .... = Cache flush: True Time to live: 2 minutes Data length: 16 Addr: fe80::61e:64ff:feec:73a9 power-mac-g5-de-fred-bovy-6.local: type AAAA, class IN, cache flush, addr 2a01:e35:2f26:d340:61e:64ff:feec:73a9 Name: power-mac-g5-de-fred-bovy-6.local Type: AAAA (IPv6 address) .000 0000 0000 0001 = Class: IN (0x0001) 1... .... .... .... = Cache flush: True Time to live: 2 minutes Data length: 16 Addr: 2a01:e35:2f26:d340:61e:64ff:feec:73a9 power-mac-g5-de-fred-bovy-6.local: type NSEC, class IN, cache flush, next domain name power-mac-g5-de-fred-bovy-6.local Name: power-mac-g5-de-fred-bovy-6.local Type: NSEC (Next secured) .000 0000 0000 0001 = Class: IN (0x0001) 1... .... .... .... = Cache flush: True Time to live: 2 minutes Data length: 8 Next domain name: power-mac-g5-de-fred-bovy-6.local RR type in bit map: A (Host address) RR type in bit map: AAAA (IPv6 address)
  138. 138. Gestion des devices IPv6 n SNMP sur IPv6 n SNMP sur un transport IPv6 n Support IPv6 de nombreuses MIB n SSH sur IPv6 n TELNET sur IPv6 n TFTP sur IPv6 n Syslog sur IPv6 n HTTP sur IPv6 n Ping6, traceroute6
  139. 139. Conclusion n Toutes les applications nécessaires à un déploiement réseaux sont disponibles n Il y a quelques années certains ROOT Server DNS ne parlaient pas IPv6
  140. 140. Secured Neighbor Discovery
  141. 141. Objectifs n Comprendre les menaces sur NDP n Comprendre l’approche de SEND pour contrecarrer les menaces répertoriées
  142. 142. Sommaire n Introduction: Les Menaces et l’approche de SEND pour les contrecarrer n Cryptographycally Generated Address n Empêcher de se faire voler son adresse n Address Delegation Authority n Protège les Hôtes de routeurs frauduleux n Un routeur doit avoir un certificat valide pour être choisi par un hôte. n Exemples n http://www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6553/white_paper_c11-563156.html
  143. 143. Introduction n NDP est une application de ICMPv6, il est donc encapsulé dans des paquets ICMPv6. n Le protocole ND (Neighbor Discovery) d'IPv6 est un ensemble de messages et de processus qui déterminent les relations entre les noeuds voisins. n ND remplace ARP, ICMP Router Discovery et ICMP Redirection, utilise dans IPv4, et fournit des fonctionnalités supplémentaires. n ND est décrit dans le document RFC 2461, Neighbor Discovery for IP Version 6 (IPv6). n De par le nombre de fonctions qu’il permet d’automatiser, NDP ouvre aussi de nombreux trous de sécurité
  144. 144. Les fonctionnalités de NDP n Les hotes utilisent ND pour effectuer les taches suivantes : n Découvrir les routeurs voisins. n Découvrir les adresses, les préfixes d'adresse et d'autres paramètres de configuration. n Les routeurs utilisent ND pour effectuer les taches suivantes : n Annoncer leurs présences, les paramètres de configuration des hôtes et les préfixes sur la liaison de données. n Indiquer aux hôtes une meilleure adresse de tronçon suivant pour la transmission des paquets a une destination spécifique. n Les noeuds utilisent ND pour effectuer les taches suivantes : n Résoudre l'adresse de couche liaison d'un noeud voisin en direction duquel un paquet IPv6 est transmis et déterminer le moment auquel l'adresse a change. n Déterminer si des paquets IPv6 peuvent être envoyés a un voisin et reçus de celui-ci n Les menaces sont décrites dans le RFC 3756
  145. 145. NDP Protocol Data Units n Deux nouveaux PDUs n Certificate Path Solicitation (CPS SEND) n Certificate Path Advertisement (CPA SEND) n Nouvelles Options NDP n CGA - 11 n RSA - 12 n Certificate - 16 n Trust - 15 n Nonce - 14 n Timestamp -13
  146. 146. Les Nouvelles Options et PDU
  147. 147. Option CGA n L'option CGA permet de vérifier l'identité d'une machine émettrice d'un paquet NDP. Cette option contient entre autre la clef publique de la machine émettrice, dont la cohérence avec l'adresse source utilisée est vérifiée par la machine réceptrice.
  148. 148. Option RSA n L'option RSA contient une signature du paquet, calculée avec la clef privée de la machine émettrice. n Le noeud recevant le paquet peut vérifier l'intégrité et l'authenticité du paquet, grâce à la clef publique reçue conjointement ou précédemment. n La confiance dans la clef publique utilisée par les options CGA et RSA se base sur un mécanisme de certification
  149. 149. Option d’Horodatage n Une option d'horodatage (Timestamp) est utilisée pour protéger NDP des attaques de type 'rejeu'.
  150. 150. L’option NONCE n Une option unicité (Nonce) est utilisée pour protéger les associations Demande/Réponse (Solicit/Advertisement) : n une réponse NDP devra contenir la même valeur NOnce que la demande correspondante pour être valide.
  151. 151. Neighbor Discovery Options Message CGA RSA Nonce Timestamp Router Solicitation (RS) MUST unless sent from unspecififed MUST unless sent from unspecififed MUST MUST Router Advertisement (RA) MAY. The CGA option can be omitted in RA but this would be rejected by current IOS implementation MUST MUST for sollicited RA to all node multicast. Not needed for unsolicited MUST Neighbor Solicitation (NS) MUST MUST MUST MUST Neighbor Advertisement (NA) MUST MUST MUST for sollicited NA to all node multicast. Not needed for unsolicited MUST Redirect MAY MUST MUST
  152. 152. CPS/CPA n Enfin deux nouveau messages (CPS/CPA) sont utilisés afin de permettre la découverte automatique par une machine terminal d'un chemin de certification. n Ce mécanisme permet a des machines utilisant l'auto configuration sans état (RFC 2462) de vérifier la légitimité d'un routeur et celle des préfixes publiques sur le lien auprès d'un tiers de confiance sur le réseau.
  153. 153. CPS/CPA n Un host reçoit un RA d’un nouveau routeur n Il n’a pas de certificat correspondant n Il envoie un CPS vers le routeur n Le routeur répond avec son certificat n Si l’hôte et le routeurs ont des certificats trustes par la même autorité, l’host accepte le RA sinon il le rejette
  154. 154. Exemples
  155. 155. DAD - 3 TENTATIVES Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::C2:3A71:71F2:CB17 on Ethernet0/0 Jan 7 09:40:23: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::847:1745:E31D:F38B on Ethernet0/0 Jan 7 09:40:24: %IPV6_ND-4-DUPLICATE: Duplicate address FE80::18:F205:D13E:EC43 on Ethernet0/0 show ipv6 interface ethernet0/0 Ethernet0/0 is up, line protocol is up IPv6 is stalled, link-local address is FE80::18:F205:D13E:EC43 [DUP] No Virtual link-local address(es): Global unicast address(es): 2000:1::CDC:14FC:266F:6C56, subnet is 2000:1::/64 [TEN] Joined group address(es): FF02::1 MTU is 1500 bytes ICMP error messages limited to one every 0 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 44471)
  156. 156. DAD show ipv6 cga address-db 2000:1::/64 ::CDC:14FC:266F:6C56 - table 0x0 interface: Ethernet0/0 (3) modifier: NEWSEND collisions: 0 FE80::/64 ::18:F205:D13E:EC43 - table 0x12000003 interface: Ethernet0/0 (3) modifier: NEWSEND collisions: 2
  157. 157. Redirect Ethernet Packet: 566 bytes Dest Addr: AABB.CC03.E900, Source Addr: AABB.CC03.EA00 Protocol: 0x86DD IPv6: Version: 6, Traffic Class: 224 (0xE0), Flow Label: 0 (0x0) Payload Length: 512, Next Header: 58 (0x3A), Hop Limit: 255 Source: FE80:0:0:0:387F:B93F:AD87:DCF2 Dest: 2000:1:0:0:28A3:9D22:92CC:78E2 ICMPv6: Type: 137 (Redirect Message), Code: 0 Checksum: 0xAFC6 (OK), Reserved: 0x0 Target Address: FE80:0:0:0:3C95:B6D1:8E8F:CE3E Destination Address: CAFE:200:0:0:0:0:0:1 Options type: 4 (Redirected Header) Options length: 14 (112 octets), Reserved1: 0x0, Reserved2: 0x0
  158. 158. Redirect (Suite) Options type: 11 (CGA Parameters) Options length: 24 (192 octets), Pad length: 1 (8 octets), Reserved: 0x0 Modifier: 47D8:E91E:8E98:5C71:2B8E:8A4B:94E8:CC9 Subnet Prefix: FE80:0:0:0 Collision Count: 0 Public key: 0 : 3081 9F30 0D06 092A 8648 86F7 0D01 0101 0500 0381 0..0...*.H.......... 20 : 8D00 3081 8902 8181 00C1 6305 BC6C ED66 BACE 3472 ..0.......c..l.f..4r 40 : 31B5 5BEA D07E 0B4C D4AC 1983 9DB1 0245 F769 3561 1.[..~.L.......E.i5a 60 : 3745 59C2 52D9 1185 4734 E325 D3FE 5803 4F0A 4072 7EY.R...G4.%..X.O.@r 80 : 697D A71A D718 3334 5DC8 F10F F44B AF16 24A0 9E86 i}....34]....K..$... 100 : 8D84 131A 0548 A8AF CC16 74E1 ACB5 6127 D82C 84F0 .....H....t...a'.,.. 120 : 9CD7 4EE9 DB5B 7EFA 8AF7 4AE1 0643 9A9C 5DA2 1FEA ..N..[~...J..C..]... 140 : 19EC 15B6 CCF3 AFE9 53B9 3CF7 28DF C3CC 4F02 0301 ........S.<.(...O... 160 : 0001 .. Padding: 0 : 00 . Options type: 13 (Timestamp) Options length: 2 (16 octets), Reserved: 0 : 0000 0000 0000 ...... Timestamp: 0:4934:11AA:6A74
  159. 159. Redirect (suite) Options type: 12 (RSA Signature) Options length: 19 (152 octets) Reserved: 0x0 Key Hash: 0 : 6537 1956 E030 F1E0 3C2B 8BB1 1B02 CA68 e7.V.0..<+.....h Digital Signature and padding: 0 : 5C17 AFCF 17D5 C267 56C4 E460 00C1 0713 4053 7EEE ......gV..`....@S~. 20 : FD20 ABCB 5191 E799 2164 14A9 065D 6936 5E35 CA7F . ..Q...!d...]i6^5.. 40 : 6C9A 4D4A 4A0F D7FA 87DE A1CB F813 4C29 843A E6E9 l.MJJ.........L).:.. 60 : 41D5 6834 F9CF 90C7 A827 5830 C183 FE0C 7E76 F990 A.h4.....'X0....~v.. 80 : 6DDD CBF5 E582 0E52 EABA 3A4A E84F ED5F BC05 859A m......R..:J.O._.... 100 : 454A 1272 2427 0BA1 5647 D2F2 94DA FF1B 901D 345D EJ.r$'..VG........4] 120 : 4DB9 9F49 733C 67E4 74E1 ACB5 M..Is<g.t... Dec 1 04:32:50 PM 2008: INFO: Start Checking RFC 2461 8.1 Conformance Dec 1 04:32:50 PM 2008: INFO: Source Address is a link-local: FE80:0:0:0:387F:B93F:AD87:DCF2 Dec 1 04:32:50 PM 2008: INFO: ICMPv6 is 40 octets or more Dec 1 04:32:50 PM 2008: INFO: ICMPv6 dest @ in the redir msg is not a mc CAFE:200:0:0:0:0:0:1 Dec 1 04:32:50 PM 2008: INFO: target address is link-local or same as dest @ Dec 1 04:32:50 PM 2008: INFO: Adding Option:4 Count:1 Dec 1 04:32:50 PM 2008: INFO: Adding Option:11 Count:2 Dec 1 04:32:50 PM 2008: INFO: Adding Option:13 Count:3 Dec 1 04:32:50 PM 2008: INFO: Adding Option:12 Count:4 Dec 1 04:32:50 PM 2008: INFO: found 4 options Dec 1 04:32:50 PM 2008: INFO: Analyzing options: Options type: 4 (Redirected Header)
  160. 160. Redirect (suite) Options length: 14 (112 octets), Reserved1: 0x0, Reserved2: 0x0 IP header + data: 0 : 6000 0000 003C 3A3F 2000 0001 0000 0000 28A3 9D22 `....<:? .......(.." 20 : 92CC 78E2 CAFE 0200 0000 0000 0000 0000 0000 0001 ..x................. 40 : 8000 1F20 154D 0000 0001 0203 0405 0607 0809 0A0B ... .M.............. 60 : 0C0D 0E0F 1011 1213 1415 1617 1819 1A1B 1C1D 1E1F .................... 80 : 2021 2223 2425 2627 2829 2A2B 2C2D 2E2F 3031 3233 !"#$%&'()*+,-./0123 100 : 0000 0000 .... Dec 1 04:32:50 PM 2008: INFO: Analyzing options: Options type: 11 (CGA Parameters) Options length: 24 (192 octets), Pad length: 1 (8 octets), Reserved: 0x0 Modifier: 47D8:E91E:8E98:5C71:2B8E:8A4B:94E8:CC9 Subnet Prefix: FE80:0:0:0 Collision Count: 0 Public key: 0 : 3081 9F30 0D06 092A 8648 86F7 0D01 0101 0500 0381 0..0...*.H.......... 20 : 8D00 3081 8902 8181 00C1 6305 BC6C ED66 BACE 3472 ..0.......c..l.f..4r 40 : 31B5 5BEA D07E 0B4C D4AC 1983 9DB1 0245 F769 3561 1.[..~.L.......E.i5a 60 : 3745 59C2 52D9 1185 4734 E325 D3FE 5803 4F0A 4072 7EY.R...G4.%..X.O.@r 80 : 697D A71A D718 3334 5DC8 F10F F44B AF16 24A0 9E86 i}....34]....K..$... 100 : 8D84 131A 0548 A8AF CC16 74E1 ACB5 6127 D82C 84F0 .....H....t...a'.,.. 120 : 9CD7 4EE9 DB5B 7EFA 8AF7 4AE1 0643 9A9C 5DA2 1FEA ..N..[~...J..C..]... 140 : 19EC 15B6 CCF3 AFE9 53B9 3CF7 28DF C3CC 4F02 0301 ........S.<.(...O... 160 : 0001 .. Padding: 0 : 00 .
  161. 161. Redirect (suite) Dec 1 04:32:50 PM 2008: INFO: Analyzing options: Options type: 13 (Timestamp) Options length: 2 (16 octets), Reserved: 0 : 0000 0000 0000 ...... Timestamp: 0:4934:11AA:6A74 Dec 1 04:32:50 PM 2008: INFO: Analyzing options: Options type: 12 (RSA Signature) Options length: 19 (152 octets) Reserved: 0x0 Key Hash: 0 : 6537 1956 E030 F1E0 3C2B 8BB1 1B02 CA68 e7.V.0..<+.....h Digital Signature and padding: 0 : 5C17 AFCF 17D5 C267 56C4 E460 00C1 0713 4053 7EEE ......gV..`....@S~. 20 : FD20 ABCB 5191 E799 2164 14A9 065D 6936 5E35 CA7F . ..Q...!d...]i6^5.. 40 : 6C9A 4D4A 4A0F D7FA 87DE A1CB F813 4C29 843A E6E9 l.MJJ.........L).:.. 60 : 41D5 6834 F9CF 90C7 A827 5830 C183 FE0C 7E76 F990 A.h4.....'X0....~v.. 80 : 6DDD CBF5 E582 0E52 EABA 3A4A E84F ED5F BC05 859A m......R..:J.O._.... 100 : 454A 1272 2427 0BA1 5647 D2F2 94DA FF1B 901D 345D EJ.r$'..VG........4] 120 : 4DB9 9F49 733C 67E4 74E1 ACB5 M..Is<g.t... Dec 1 04:32:50 PM 2008: INFO: Result: 1
  162. 162. Redirect (end) Dec 1 04:32:50 PM 2008: INFO: Expected Target address : fe80::3c95:b6d1:8e8f:ce3e Dec 1 04:32:50 PM 2008: INFO: Target address in Redirect: fe80:0:0:0:3c95:b6d1:8e8f:ce3e Dec 1 04:32:50 PM 2008: INFO: Correct address in Redirect message Dec 1 04:32:50 PM 2008: INFO: Start checking SEND options Dec 1 04:32:50 PM 2008: INFO: ==> Checking for anything requiring specific processing Dec 1 04:32:50 PM 2008: INFO: Source address is specified Dec 1 04:32:50 PM 2008: INFO: packet *not* sent to all nodes multicast address Dec 1 04:32:50 PM 2008: INFO: Scanning thru all options. looking for LEN=0 Dec 1 04:32:50 PM 2008: INFO: Redirected Header length:112 Dec 1 04:32:50 PM 2008: INFO: Checking Timestamp option Dec 1 04:32:50 PM 2008: INFO: Checking Nonce option Dec 1 04:32:50 PM 2008: INFO: Checking CGA option Dec 1 04:32:50 PM 2008: INFO: Checking RSA option Dec 1 04:32:50 PM 2008: INFO: CGA Parameters length:192 Dec 1 04:32:50 PM 2008: INFO: Checking Timestamp option Dec 1 04:32:50 PM 2008: INFO: Checking Nonce option Dec 1 04:32:50 PM 2008: INFO: Checking CGA option Dec 1 04:32:50 PM 2008: INFO: CGA Collision:0 OK Dec 1 04:32:50 PM 2008: INFO: Timestamp length:16 Dec 1 04:32:50 PM 2008: INFO: Checking Timestamp option Dec 1 04:32:50 PM 2008: INFO: Timestamp:80487983508084 Dec 1 04:32:50 PM 2008: INFO: TS Reserved:0 OK Dec 1 04:32:50 PM 2008: INFO: RSA Signature length:152 Dec 1 04:32:50 PM 2008: INFO: Checking Timestamp option Dec 1 04:32:50 PM 2008: INFO: Checking Nonce option Dec 1 04:32:50 PM 2008: INFO: Checking CGA option Dec 1 04:32:50 PM 2008: INFO: Checking RSA option Dec 1 04:32:50 PM 2008: INFO: Last option MUST be RSA Dec 1 04:32:50 PM 2008: INFO: RSA Option found as last Dec 1 04:32:50 PM 2008: INFO: PASS: SEND Options checking passed Dec 1 04:32:50 PM 2008: INFO: Packet is: Redirect Message Dec 1 04:32:50 PM 2008: INFO: ==> Checking required option for REDIR Dec 1 04:32:50 PM 2008: INFO: Mandatory SEND options present and valid Dec 1 04:32:50 PM 2008: INFO: ==> Packet number 25 ============================================================================= 16:32:42.891 GMT Mon Dec 1 2008 Relative Time: 1.327999
  163. 163. Configuration SEND
  164. 164. Configuration CGA Cisco n Générer une paire de clefs (key pair) unix1a(config)#crypto key generate rsa label FRED modulus 1024 The name for the keys will be: FRED % The key modulus size is 1024 bits % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] n Configurer un modifier et le SEC Level unix1a(config)#ipv6 cga modifier rsakeypair FRED sec-level 2 % Increase maximum iterations allowed (0) unix1a(config)# n Appliquer le Modifier à l’Interface unix1a(config)#int et0/0 unix1a(config-if)#ipv6 cga rsakeypair FRED n Configurer des Adresses CGA unix1a(config)#int et0/0 unix1a(config-if)#ipv6 address fe80:: link-local cga unix1a(config-if)#ipv6 address 2000::/64 cga
  165. 165. Configuration CGA Cisco unix1a#sh run int et0/0 Building configuration... Current configuration : 154 bytes ! interface Ethernet0/0 ip address 10.1.1.1 255.255.255.0 ipv6 cga rsakeypair FRED ipv6 address FE80:: link-local cga ipv6 address 2000::/64 cga end unix1a#sh ipv6 int et0/0 Ethernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::50C9:E166:EED0:B87A No Virtual link-local address(es): Global unicast address(es): 2000::5814:3232:68B9:9B23, subnet is 2000::/64 Joined group address(es): FF02::1 FF02::1:FFB9:9B23 FF02::1:FFD0:B87A MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 20736)
  166. 166. Configuration CGA Cisco unix1a#sh ipv6 cga modifier-db :: label: FRED sec level: 2 Addresses: 2000::5814:3232:68B9:9B23 FE80::50C9:E166:EED0:B87A unix1a#sh ipv6 cga address-db 2000::/64 ::5814:3232:68B9:9B23 - table 0x0 interface: Ethernet0/0 (3) modifier: FRED collisions: 0 FE80::/64 ::50C9:E166:EED0:B87A - table 0x12000003 interface: Ethernet0/0 (3) modifier: FRED collisions: 0 unix1a#
  167. 167. Configuration ADD n Au minimum, il faut n Un serveur de Certificats: CA n Un Routeur n Un Host n On peut configurer toutes ces fonctions sur des routeurs Cisco
  168. 168. Configuration du CA CA#sh crypto pki server Certificate Server CA: Status: enabled State: enabled Server's configuration is locked (enter "shut" to unlock it) Issuer name: C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG, CN=CA0 CA cert fingerprint: E85AE4FB 75E897D9 B95A6777 E64A45F1 Granting mode is: auto Last certificate issued serial number (hex): 2 CA certificate expiration timer: 16:38:21 UTC Jan 25 2013 CRL NextUpdate timer: 16:37:22 UTC Jan 27 2010 Current primary storage dir: nvram: Database Level: Minimum - no cert data written to storage CA#sh ip http server status HTTP server status: Enabled HTTP server port: 80 HTTP server active supplementary listener ports: HTTP server authentication method: enable HTTP server digest algorithm: md5 HTTP server access class: 0 HTTP server base path: HTTP server help root: Maximum number of concurrent server connections allowed: 5 Server idle time-out: 180 seconds Server life time-out: 180 seconds Maximum number of requests allowed on a connection: 1 HTTP server active session modules: ALL HTTP secure server capability: Present HTTP secure server status: Disabled HTTP secure server port: 443 HTTP secure server ciphersuite: 3des-ede-cbc-sha des-cbc-sha rc4-128-md5 rc4-128-sha HTTP secure server client authentication: Disabled HTTP secure server trustpoint:
  169. 169. Configuration du CA crypto pki server CA issuer-name C=FR, ST=fr, L=example, O=Cisco, OU=NSSTG, CN=CA0 grant auto ip http server
  170. 170. Configuration du Routeur n Configurer un trustpoint crypto pki trustpoint SEND enrollment url http://192.168.0.1:80 serial-number subject-name C=FR, ST=fr, L=example, O=cisco, OU=nsstg, CN=router revocation-check none rsakeypair SEND n Authentification auprés du CA n Récupère le Certificat du CA n crypto pki authenticate SEND n Enrollment auprès du CA n Récupère le Certificat du Routeur n crypto pki enroll SEND
  171. 171. Configuration du Host n Configurer un trustpoint crypto pki trustpoint SEND enrollment url http://192.168.0.1:80 serial-number revocation-check none n Authentification auprès du CA crypto pki authenticate SEND hote#sh ipv6 nd secured certificates Total number of entries: 1 / 32 Hash id RA certcnt certrcv state 2B5559355296F787B9A99EB6943AD563 0x00001065 no 1 1 CERT_VALIDATED certificate No 0 subject hostname=R2+serialNumber=4294967295,c=FR,st=fr,l=example,o=cisco,ou=nsstg,cn=router issuer c=FR,st=fr,l=example,o=Cisco,ou=NSSTG,cn=CA0
  172. 172. Troubleshooting SEND
  173. 173. Traitement du RA unix1a# debug ipv6 nd secured 00:12:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED 00:12:29: SEND: Verifying certificate 00:12:29: SEND: Certificate validated 00:12:29: SEND: action: Start T1 00:12:29: SEND: NEW STATE TR: CERT_VALIDATING 00:12:29: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING 00:12:29: SEND: action: Stop T1 00:12:29: SEND: action: Set trust level in RA then deliver it 00:12:29: SEND: action: Deliver RA packet to stack 00:12:29: SEND: action: Start T2 00:12:29: SEND: NEW STATE TR: CERT_VALIDATED 00:13:29: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED 00:13:29: SEND: Verifying certificate 00:13:29: SEND: Certificate validated 00:13:29: SEND: action: Start T1 00:13:29: SEND: NEW STATE TR: CERT_VALIDATING 00:13:29: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING 00:13:29: SEND: action: Stop T1 00:13:29: SEND: action: Set trust level in RA then deliver it 00:13:29: SEND: action: Deliver RA packet to stack 00:13:29: SEND: action: Start T2 00:13:29: SEND: NEW STATE TR: CERT_VALIDATED unix1a#show ipv6 nd secured certificate Total number of entries: 1 / 32 Hash id RA certcnt certrcv state 9F3F0B3AEE9F9204720096454EAF0BBA 0x00003D12 no 1 1 CERT_VALIDATED certificate No 0 subject serialNumber=117285866+hostname=unix1b,c=FR,st=PACA,l=Biot,o=Cisco,ou=ITD,cn=unix1b issuer c=FR,st=PACA,l=Biot,o=Cisco,ou=ITD,cn=CA0
  174. 174. Certificats sur le Routeur unix1b#sh crypto pki cert Certificate Status: Available Certificate Serial Number (hex): 02 Certificate Usage: General Purpose Issuer: c=FR st=PACA l=Biot o=Cisco ou=ITD cn=CA0 Subject: Name: unix1b Serial Number: 117285866 serialNumber=117285866+hostname=unix1b c=FR st=PACA l=Biot o=Cisco ou=ITD cn=unix1b CRL Distribution Points: http://10.0.1.200/CS Validity Date: start date: 16:20:32 BST Apr 29 2009 end date: 16:20:32 BST Apr 29 2010 Associated Trustpoints: FRED CA Certificate Status: Available Certificate Serial Number (hex): 01 Certificate Usage: Signature Issuer: c=FR st=PACA l=Biot o=Cisco ou=ITD cn=CA0 Subject: c=FR st=PACA l=Biot o=Cisco ou=ITD cn=CA0 Validity Date: start date: 16:17:44 BST Apr 29 2009 end date: 16:17:44 BST Apr 28 2012 Associated Trustpoints: FRED
  175. 175. Compteur PDU SEND hote#show ipv6 nd sec counters int f0/0 Received ND messages on FastEthernet0/0: rcvd accept SLLA TLLA PREFIX MTU CGA RSA TS NONCE TA CERT RA 19 19 19 0 19 19 19 19 19 0 0 0 NS 1 1 1 0 0 0 1 1 1 1 0 0 NA 4 3 0 4 0 0 4 4 4 2 0 0 CPA 1 1 0 0 0 0 0 0 0 0 1 1 Dropped ND messages on FastEthernet0/0: Codes CGA_VFY: CGA option does not verify drop CGA_VFY NA 1 1 Sent ND messages on FastEthernet0/0: sent aborted SLLA TLLA CGA RSA TS NONCE TA NS 5 0 2 0 4 4 4 4 0 NA 3 0 0 2 3 3 3 1 0 CPS 1 0 0 0 0 0 0 0 1 hote#
  176. 176. debug ipv6 nd secured *Jan 28 13:08:49.575: %SYS-5-CONFIG_I: Configured from console by console *Jan 28 13:09:12.591: SEND: EVENT: IPV6_SEND_CERT_T2_FIRED CURRENT STATE: CERT_VALIDATED *Jan 28 13:09:12.595: SEND: Verifying certificate *Jan 28 13:09:12.647: SEND: Certificate validated *Jan 28 13:09:12.647: SEND: action: Start T1 *Jan 28 13:09:12.647: SEND: NEW STATE TR: CERT_VALIDATING *Jan 28 13:09:12.647: SEND: EVENT: IPV6_SEND_CERT_VALID_CHAIN CURRENT STATE: CERT_VALIDATING *Jan 28 13:09:12.647: SEND: action: Stop T1 *Jan 28 13:09:12.647: SEND: action: Set trust level in RA then deliver it *Jan 28 13:09:12.647: SEND: action: Deliver RA packet to stack *Jan 28 13:09:12.647: SEND: action: Start T2 *Jan 28 13:09:12.647: SEND: NEW STATE TR: CERT_VALIDATED *Jan 28 13:09:18.443: SEND: Receive: ND_ROUTER_ADVERT *Jan 28 13:09:18.447: SEND: src FE80::2038:148E:B9DF:FD6D *Jan 28 13:09:18.447: SEND: dst FF02::1 *Jan 28 13:09:18.451: SEND: Received at: 0x4B618C7E73B9 = 13:09:18 UTC Jan 28 2010 *Jan 28 13:09:18.455: SEND: option 1 len 8: ND_OPT_SOURCE_LINKADDR *Jan 28 13:09:18.455: SEND: option 5 len 8: ND_OPT_MTU *Jan 28 13:09:18.455: SEND: option 3 len 32: ND_OPT_PREFIX_INFORMATION *Jan 28 13:09:18.455: SEND: option 11 len 192: ND_OPT_CGA *Jan 28 13:09:18.455: SEND: option 13 len 16: ND_OPT_TIMESTAMP *Jan 28 13:09:18.455: SEND: option 12 len 152: ND_OPT_RSA *Jan 28 13:09:18.455: SEND: Verifying address FE80::2038:148E:B9DF:FD6D *Jan 28 13:09:18.455: SEND: sec is 1 *Jan 28 13:09:18.455: SEND: keylen is 1024
  177. 177. Commande de Test ipv6 nd secured test <skip,cga,cpa,rsa> <params> ü skip <nonce, rsa, cga, Timestamp> ü cpa <badnumber> ü cga <prefix, collision, modifier, key> <value> ü rsa <badsig> n NON DOCUMENTEE Routeur(config-if)#ipv6 nd secured test cga ? collision Corrupt CGA parameters (collision) key Corrupt CGA parameters (key) modifier Corrupt CGA parameters (modifier) prefix Corrupt CGA parameters (prefix)
  178. 178. Conclusion n SEND permet de sécuriser NDP n Il devient quasiment impossible de voler une adresse n Impossible de se faire passer pour un routeur pour capter des flux
  179. 179. First Hop Routing Protocol
  180. 180. Objectif n Garantir un routeur par défaut disponible n Transparent pour les hôtes
  181. 181. Sommaire n Introduction n Un Exemple HSRP n Conclusions
  182. 182. Introduction n Un protocol FHRP fournit une adresse virtuelle utilisée par les stations comme next hop. n Cette adresse est attribuée à plusieurs routeurs n 1 seul est actif a la fois n Permet de tracker une interface
  183. 183. Les Protocoles FHRP n HSRP n GLBP n VRRP n La moins couteuse n Neighbor Discovery (NDP) n La plus couteuse n Tourner un protocole de routage sur les hôtes n Peut s’avérer moins performant (RIPng)
  184. 184. Introduction HSRPv6 n Portage d’HSRP sur IPv6 n Permet une adresse Link-Locale Virtuelle n Hello UDP n Priorité par défaut 100 n Tracker une interface pour basculer sur un routeur de secours si un lien tombe
  185. 185. HSRP pour IPv6 - Configuration interface Ethernet0/0 no ip address ipv6 address FE80::3 link-local ipv6 address 2000::1/100 standby version 2 standby 1 ipv6 FE80::5 end unix1a# interface Ethernet0/0 no ip address ipv6 address FE80::4 link-local ipv6 address 2000::2/100 standby version 2 standby 1 ipv6 FE80::5 end
  186. 186. HSRP pour IPv6 unix1a#sh stand Ethernet0/0 - Group 1 (version 2) State is Standby 1 state change, last state change 00:00:19 Virtual IP address is FE80::5 Active virtual MAC address is 0005.73a0.0001 Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default) Hello time 3 sec, hold time 10 sec Next hello sent in 0.816 secs Preemption disabled Active router is FE80::4, priority 100 (expires in 7.808 sec) MAC address is aabb.cc03.ea00 Standby router is local Priority 100 (default 100) Group name is "hsrp-Et0/0-1" (default) unix1b#sh stand Ethernet0/0 - Group 1 (version 2) State is Active 2 state changes, last state change 00:08:37 Virtual IP address is FE80::5 Active virtual MAC address is 0005.73a0.0001 Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default) Hello time 3 sec, hold time 10 sec Next hello sent in 2.800 secs Preemption disabled Active router is local Standby router is FE80::3, priority 100 (expires in 9.376 sec) Priority 100 (default 100) Group name is "hsrp-Et0/0-1" (default) unix1b#
  187. 187. HSRP pour IPv6 unix1a#sh ipv6 int et0/0 Ethernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::3 [UNA] Virtual link-local address(es): FE80::5 [UNA/OOD/INIT] Global unicast address(es): 2000::1, subnet is 2000::/100 Joined group address(es): FF02::1 FF02::2 FF02::66 FF02::1:FF00:1 FF02::1:FF00:3 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 42641) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses. unix1a# unix1b#sh ipv6 int et0/0 Ethernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::4 [UNA] Virtual link-local address(es): FE80::5 [OOD] Global unicast address(es): 2000::2, subnet is 2000::/100 Joined group address(es): FF02::1 FF02::2 FF02::66 FF02::1:FF00:2 FF02::1:FF00:4 FF02::1:FF00:5 MTU is 1500 bytes ICMP error messages limited to one every 100 milliseconds ICMP redirects are enabled ICMP unreachables are sent ND DAD is enabled, number of DAD attempts: 1 ND reachable time is 30000 milliseconds (using 43673) ND advertised reachable time is 0 (unspecified) ND advertised retransmit interval is 0 (unspecified) ND router advertisements are sent every 200 seconds ND router advertisements live for 1800 seconds ND advertised default router preference is Medium Hosts use stateless autoconfig for addresses. unix1b#
  188. 188. HSRP pour IPv6 Apr 24 07:02:34.483 BST: IPV6: source FE80::4 (local) Apr 24 07:02:34.483 BST: dest FF02::66 (Ethernet0/0) Apr 24 07:02:34.483 BST: traffic class 224, flow 0x0, len 100+0, prot 17, hops 255, originating Apr 24 07:02:34.483 BST: IPv6-Fwd: Sending on Ethernet0/0 Apr 24 07:02:34.747 BST: IPV6: source FE80::3 (Ethernet0/0) Apr 24 07:02:34.747 BST: dest FF02::66 Apr 24 07:02:34.747 BST: traffic class 224, flow 0x0, len 100+14, prot 17, hops 255, forward to ulp Apr 24 07:02:34.747 BST: HSRP: Et0/0 Grp 1 Hello in FE80::3 Standby pri 100 vIP FE80::5 unix1b#
  189. 189. HSRP Standby take over pagent1a#ping Protocol [ip]: ipv6 Target IPv6 address: fe80::3 Repeat count [5]: 23323333 Datagram size [100]: Timeout in seconds [2]: Extended commands? [no]: y UDP protocol? [no]: Verbose? [no]: Precedence [0]: DSCP [0]: Include hop by hop option? [no]: Include destination option? [no]: Sweep range of sizes? [no]: Output Interface: Ethernet0/0 Type escape sequence to abort. Sending 23323333, 100-byte ICMP Echos to FE80::3, timeout is 2 seconds: Packet sent with a source address of FE80::5 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!......!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!! Success rate is 98 percent (565/571), round-trip min/avg/max = 0/23/152 ms pagent1a#X
  190. 190. HSRP track une interface unix1a#sh stand Ethernet0/0 - Group 1 (version 2) State is Standby 1 state change, last state change 00:24:42 Virtual IP address is FE80::5 Active virtual MAC address is 0005.73a0.0001 Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default) Hello time 3 sec, hold time 10 sec Next hello sent in 1.728 secs Preemption enabled Active router is FE80::4, priority 100 (expires in 9.152 sec) MAC address is aabb.cc03.ea00 Standby router is local Priority 90 (default 100) Track interface Ethernet1/0 state Down decrement 10 Group name is "hsrp-Et0/0-1" (default) Current configuration : 194 bytes# !# interface Ethernet0/0# no ip address# ipv6 address FE80::3 link-local# ipv6 address 2000::1/100# standby version 2# standby 1 ipv6 FE80::5# standby 1 preempt standby 1 track Ethernet1/0 # unix1a#unix1a#conf t Enter configuration commands, one per line. End with CNTL/Z. unix1a(config)# int et 1/0 unix1a(config-if)#no shut unix1a(config-if)#^Z unix1a#sh stand Ethernet0/0 - Group 1 (version 2) State is Standby 1 state change, last state change 00:28:38 Virtual IP address is FE80::5 Active virtual MAC address is 0005.73a0.0001 Local virtual MAC address is 0005.73a0.0001 (v2 IPv6 default) Hello time 3 sec, hold time 10 sec Next hello sent in 1.008 secs Preemption enabled Active router is FE80::4, priority 100 (expires in 8.368 sec) MAC address is aabb.cc03.ea00 Standby router is local Priority 100 (default 100) Track interface Ethernet1/0 state Up decrement 10 Group name is "hsrp-Et0/0-1" (default)
  191. 191. Conclusion n IPv6 fournit avec ND un moyen de configurer automatiquement un routeur par défaut n Insuffisant pour un basculement rapide en cas de problème n Autres solutions: n tourner un protocole de routage sur la station n utiliser un FHRP (HSRPv6, GLBP)
  192. 192. Routing Protocols
  193. 193. Objectif n Les protocoles de routages IPv6 permettent: n le routage intra AS - RIPv2, OSPFv3, ISIS, EIGRP n Le routage inter Autonomous System - BGP
  194. 194. Sommaire n Introduction n Les Protocoles de routages Intra-AS n RIPv2 n OSPFv3 n ISIS n EIGRP n Les Protocoles de routages Inter AS n BGP n Conclusions
  195. 195. Introduction n Les protocoles de routages permettent de remplir les tables de routages de façons automatiques n Les protocoles intra et inter AS n’ont pas le même cahier des charges n Les protocoles intra AS ont pour vocation d’échanger un maximum d’information topologique pour permettre la construction de tables de routages les plus optimisées possible dans un AS n Les protocoles inter AS permettent de contrôler au mieux les informations échangées de façon à construire un routage stratégique entre les divers AS.
  196. 196. Les Protocoles Intra AS n RIPv2 n EIGRP n OSPFv3 n ISIS
  197. 197. RIPng n RFC 2080 n Basé sur RIPv2 n Distance Vector n Routage par rumeur n Spit-horizon, poison reverse n Metric: Hop Count - Meme limitation que RIP - Maximum Hop=15 n Utilise les Link-Local Address n UDP Port 521 n Annonces multicast FF02::9 n Cisco IOS supporte 4 instances de RIPv2 n Configuré par interface et non par réseau

×