Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
BOUZID Aymen
CCNA Certified
CCNP Certified
Cisco instructor
bouzidaymen@gmail.com
ISET Nabeul
Implications de l’épuisement d’IPv4
ConfigurerIPv6surdeshôtes
Agenda
① Concepts fondamentaux de réseaux
 Les modèles OSI et TCP/IP
 Adressage IPv4, les sous-réseaux, VLSM, CIDR
 Routage
② ...
Les objectifs de la
section
⫞ Décrire la situation mondiale des adresses IPv4
⫞ Décrire les implications de l’épuisement d...
ISET Nabeul | slide 5
Adresses IPv4 disponibles au 16.06.2010
Utilisé
Inutilisable
Disponible
ISET Nabeul | slide 6
Adresses IPv4 disponibles au 31.01.2011
Utilisé
Inutilisable
Disponible
ISET Nabeul | slide 7
La distribution d'adresses globale IPv4 est déséquilibrée
Nombre d'adresses IPv4 par personne
ISET Nabeul | slide 8
Dates probable d’épuisement d’IPv4 chez les RIR
3 Fev
2011
19 Avr
2011
IANA
APNIC
RIPENCC
LACNIC
14 ...
ISET Nabeul | slide 9
La pénurie augmente les coûts des adresses & le NAT
$12
/adresse
NAT
Réseau complexe
Augmentation d’...
ISET Nabeul | slide 10
AFRINIC sera en pénurie, pourquoi attendre!
Pas de pannique,
AFRINIC a encore
IPv4 jusqu'en
2020
ISET Nabeul | slide 11
Implications pour l'Afrique: ‘Ruée vers l’Afrique’
 Les réseaux Africains sont
privées d’IPv4 néce...
Qu’allez-vous faire face à l'épuisement IPv4?
Déployer IPv6 Déployer le NAT encore et encore
Rester à l'écart et d'attendr...
Les objectifs de la
section
⫞ Travaillez confortablement avec la notation hexadécimale
IPv6
⫞ Identifier, écrire et raccou...
ISET NABEUL | slide 15
Rappel: modèle TCP/IP (IPv4 - 32 bits)
APPLICATION
DNS HTTP IMAP SMTP POP NFS
TRANSPORT
TCP UDP
IPv...
ISET NABEUL | slide 16
Rappel: modèle TCP/IP (IPv6 – 128 bits)
APPLICATION
DNS HTTP IMAP SMTP POP NFS
TRANSPORT
TCP UDP
IP...
ISET NABEUL | slide 18
340trillion trillion trillion
Adresses IPv6 Possible!
ISET NABEUL | slide 19
Comment écrire les adresses IPv6 (1/2)
0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 1 0 1 0 0 1 0 0 ...
ISET NABEUL | slide 20
Comment écrire les adresses IPv6 (2/2)
1011101011101000 0101011011111111 1111111001001010 111011001...
X:X:X:X:X:X:X:X/n
Le format générale d'une adresse IPv6
ISET NABEUL | slide 21
 X = 4 positions hexadécimales: X = hhhh o...
1
2 ISET NABEUL | slide 22
Les règles pour raccourcir les adresses IPv6
Omettre tous les zéros de POIDS FORTS
Substituer d...
ISET NABEUL | slide 23
Exemple: Raccourcir une adresse IPv6
2001:0000:0000:0249:0000:0000:0000:ecfe
2001::249:0:0:0:ecfe
S...
ISET NABEUL | slide 24
Exemple: Raccourcir une adresse IPv6
2001:0000:0000:0249:0000:0000:0000:ecfe
2001:0:0:249::ecfe
Sup...
ISET NABEUL | slide 25
Mauvais raccourcissement d’adresses IPv6
2001:0000:0000:0249:0000:0000:0000:ecfe
2001::0249::ecfe
C...
①2001:0db8:0000:0000:0008:0800:200C:417a
②ff01:0000:0000:0000:0000:0000:0000:0101
③0000:0000:0000:0000:0000:0000:0000:0001...
R
O
N
S
E
Q U E S T I O N S
P
S
Les objectifs de la
section
⫞ Identifier les différents types d’adresses IPv6
⫞ Décrire la structure et les scopes de ces ...
ISET NABEUL | slide 29
Il existe trois types d'adresses IPv6
Tx
Rx
Tx
RxRxRx
1:1
Les adresses Unicast
1:n
Les adresses Mul...
ISET NABEUL | slide 30
le scope d’un adresse est son domaine d’unicité
Selon le scope, une adresse peut être utilisée comm...
 Le Préfixe de Routage Global est géré par IANA > RIRs > ISPs
 L’ID Réseau est géré de manière hiérarchique par l’ingéni...
 Toute interface fonctionnant sous IPv6 a au moins une LLA
 Scope = lien-local, aucun routeurs ne route de paquets depui...
 Par quelle interface le routeur enverra le paquet?
 Vous devez explicitement spécifier l'interface de sortie
L’accessib...
fe80::hhhh:hhhh:hhhh:hhhh%zoneID
ZoneIDs (scopeIDs) – résout l’ambiguïté des LLA
ISET NABEUL | slide 34
Identifie le scope...
 Ecrire les commandes pour
 Node A veut faire un telnet à Node B
 Node A veut faire un ping à Node C
Quiz: Utilisation ...
ISET NABEUL | slide 36
Les Adresses Uniques Locales (ULA)
0
1111
110L
ID de l’Interface
8 bits 64 bits56 bits
L = 0
fc00::...
 L'exemple le plus significatif est la formation des adresses 6RD.
 Exemple le plus courant est celui des adresses 6to4:...
Etant donné le préfixe de base IPv6 et adresse IPv4
suivante, générer le préfixe IPv6 correspondant
① 2002 et 196.1.0.87
②...
ISET NABEUL | slide 39
Générer l’ID de l’Interface (IID)
Préfixe Réseaux ID de l’Interface
64 bits 64 bits
Interfaces des
...
ISET NABEUL | slide 40
Les Interface IDs Reservées (RFC 5433)
<préfixe>::0000:0000:0000:0000
<préfixe>::fdff:ffff:ffff:ff8...
Adresse IPv6 = Préfixe + IID
Comment les IDs d’Interfaces EUI-64 sont générés
ISET NABEUL | slide 41
00 90 27 17 FC 0F
00 ...
Adresse non spécifiée: 0:0:0:0:0:0:0:0 ou ::
 Indique l'absence d'une adresse IPv6
 Utilisé comme src addr d’un paquets ...
 Représenter une adresse IPv4 à un noeud/application exclusif IPv6
 Ces adresses ne doivent pas être visibles sur l'Inte...
 Même adresse affectée à plusieurs interfaces/hôtes
 Paquets unicast sont livrés au topologiquement plus proche
 Attrib...
8 bits
4
bits
4
bits
ISET NABEUL | slide 46
Les adresses Multicast
11111111 groupID
8 bits
flags scope
ff
Toutes les adres...
ISET NABEUL | slide 47
Decoder les flags de l’adresse multicast
0RPT
0
1
Affectation permanente (IANA)
Affectation dynamiq...
ISET NABEUL | slide 48
Des scopes multicast bien-connus
Bits Hex Scope
0001 1 Interface-local
0010 2 Link-local
0100 4 Adm...
ISET NABEUL | slide 49
Les scopes réservés
et non définis
0000 1 Reserved
0011 3 Reserved
1111 f Reserved
0110 6 Unassigne...
ISET NABEUL | slide 50
Exemple: Un groupID avec differents scopes
FF01::101 Tout serveur NTP sur la même interface que l’é...
 FF00::
 FF01::
 FF02::
 FF03::
Les adresses multicast réservés
ISET NABEUL | slide 51
 FF08::
 FF09::
 FF0A::
 FF...
ISET NABEUL | slide 52
Quelques adresses multicast bien-connues
FF01::1 Tout nœud IPv6 sur la même interface
FF02::1 Tout ...
 Calculé pour chaque adresse unicast/anycast
 Toutes les adresses avec les mêmes 24 derniers bits auront
la même SNMA
L’...
ISET NABEUL | slide 54
Exemple d’adresse multicast de sollicitation de nœud
FF02::1:FF0e:8F6C/104
4037::01:800:200E:8C6C
2...
ISET NABEUL | slide 55
Exemple d’adresse multicast de sollicitation de nœud
#show ipv6 interface g0/0
GigabitEthernet0/0 i...
① [Obligatoire] Adresse Lien-Locale sur chaque interface
② [Obligatoire] Adresse de loopback (::1)
③ [Obligatoire] Adresse...
① Toutes les adresses par lesquelles les hôtes s'identifient
② Adresses multicast tous les routers (ff0x::2)
③ Adresse any...
 Windows:
ping – 6 <hostname>
ping <address[%scopeID]>
 Unix/Linux:
ping6 <hostname> | <address>
ping6 –I <interface> <m...
1. l'adresse Lien-local de votre voisin
2. Tous les hôtes IPv6 sur le sous-réseau
3. Tous les routeurs IPv6 sur le sous-ré...
R
O
N
S
E
Q U E S T I O N S
P
S
Les objectifs de la
section
⫞ Découpage d’un préfixe IPv6
⫞ Décrire comment les adresses IPv6 sont gérées globalement
⫞ Es...
ISET NABEUL | slide 64
Les faces d'un problème de subnetting
Découper 2001:db8:c001::/48,
en 150 bloques égaux
Découper 20...
 L’ > L en longueur (en quantité, plus court est plus grand)
 L’ = L + s (s = nombre de bits de sous-réseau)
 Le Subnet...
 Les raisons du subnetting
 IPv4: économiser l'espace d'adressage
 IPv6: Nécessaire pour le routage ou la sécurité
 Pa...
ISET NABEUL | slide 67
Procédure de subnetting IPv6
Trouver le bits de sous-réseau (s)
Données Processus Formule
Trouver l...
ISET NABEUL | slide 68
Etape #1: Comment trouver le bit (s) de sous-réseaux
s = L’– L
log N
log 2s =
Longueur des sous-pré...
L’on connaît le nombre de sous-réseaux N = 700
① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits
Ex: Découper 2001:db8:c000::/36 en 7...
Etape #2: Comment trouver l’hexits de sous-réseaux
ISET NABEUL | slide 70
Préfixe initial l’ID de l’Interface
L bits 64 bi...
L’on connaît le nombre de sous-réseaux N = 700
① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits
② Nombre d’hexits = 10 ÷ 4 = 2.5 ≈ 3...
Etape #3: Comment trouver l’increment (B)
ISET NABEUL | slide 72
B = 216 – (L’%16)
Longueur de sous-préfixe
L’on connaît le nombre de sous-réseaux N = 700
① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits
② Nombre d’hexits = 10 ÷ 4 = 2.5 ≈ 3...
ISET NABEUL | slide 74
Etape #4: Comment énumérer les sous-réseaux
<préfixe>:<subnetID0>::/L’
<préfixe>:<subnetID1>::/L’
<...
 Utile pour savoir "quel est le 79e sous-réseau" par exemple
Etape #4: Comment énumérer les sous-réseaux (casse-cou)
ISET...
sipcalc <préfixe::/L> --v6split=<L’>
Etape #4: comment énumérer les sous-réseaux avec sipcalc
ISET NABEUL | slide 76
Longu...
sipcalc <prefix::/L> --v6split=<L’>
| grep Network | nl | sed
-n np
Etape #4: Trouver the ne sous-réseau avec sipcalc & sh...
 Ex: Découper 2001:db8:c000::/36 en 700 sous-
réseaux
 Le ne sous-reseau est an = 4(n-1)
 1er subnetID: a1= 4(0) = 0 (0...
ISET NABEUL | slide 79
Exercice de subnetting
Un FAI qui opère dans 10 villes vient de
recevoir une allocation 2001:db8::/...
ISET NABEUL | slide 80
Exemple d’usage de sipcalc
sipcalc 2001:db8::/32 –v6split=36 | grep Network
Network - 2001:0db8:000...
 Nombre de sous-réseaux: N = 10
 Bits de sous-réseaux requis: s = log 10 ÷ log 2 = 3.322 ≈ 4
 4 bits donnent 16 (c-a-d ...
 Premier subnetID
 a1= 4096(1-1) = 0 (0x0) [avec an=(n-1)B]
 Premier sous-réseau: 2001:db8:000::/36
 Dernier subnetID
...
① Ne pas se limiter aux préfixes de bases des RIRs: /32, /48
② Longueurs de préfixe typiques
 Les hôtes sur un LAN: /64
...
Améliore la sécurité en éliminant
 Problème de (ping pong) sur certains liens p2p
 Problème du cache des voisins IPv6
Le...
ISET NABEUL | slide 86
Exemple d’hiérarchie pour le réseau d’un ISP d’un pays
ASN
Ville #1 Ville #2 Ville #n
Site #1 Site ...
ISET NABEUL | slide 87
Exemple d’hiérarchie pour une université
ASN
Campus #1 Campus #2 Campus #n
Bâtiment #1 Bâtiment #2 ...
ISET NABEUL | slide 88
Exemple d’hiérarchie d’un réseau d’entreprise
ASN
HQ Branche #1 Branche #n
Dannées Voix Vidéo
Vente...
ISET NABEUL | slide 89
Estimer le nombre total des préfixes nécessaires | FAI
ASN
Ville #1 Ville #2 Ville #n
Site #1 Site ...
ISET NABEUL | slide 90
Estimer le nombre total des préfixes nécessaires | Université
N = #Campus x #Bâtiments x Départemen...
Arrondissez vos estimations à la plus proche puissance de quatre
Visez les arrondis
/20, /24, /28, /32, /36, /40, /44, /48...
ISET NABEUL | slide 92
Exemple de prefixes alignés sur les arrondis
2001:db8:3c00::/40 2001:db8:3c00::/42
1ere
adresse
200...
① Trouvez le nombre de bits pour N préfixes: s = log 10 ÷ log
2
② Décidez de la plage d’@ à donner aux réseaux finaux (Sn)...
ISET NABEUL | slide 94
Pas d’inquiétude, il ya suffisamment d'adresses!
2000::/3
35 trillion
/48s
La population mondiale
P...
ISET NABEUL | slide 95
Planification d'adresses IPv6 | exemple
Un FAI a des activités dans 10 villes. La plus grande ville...
 On sait
 #Villes = 10 [arrondi à 16]
 #SITEs = 50 [arrondi à 256]
 #Clientsmax = 2700 [arrondi à 4096]
 On calcule
...
 Environnements de serveurs non virtualisés
 Un serveur physique a besoin d'au moins une @ IPs
 Environnements virtuali...
Les trois phases de la planification d’adresse IPs
ISET NABEUL | slide 99
Estimer vos
besoins
d'adressage
Demander
votre b...
ISET NABEUL | slide 100
Deux approches pour l'attribution des sous-préfixes
1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 1...
ISET NABEUL | slide 101
Exercice
Basé sur le dernier exercice, ATI vous alloue 2001:db::/24.
Découvrez á quoi un plan d'ad...
R
O
N
S
E
Q U E S T I O N S
P
S
Les objectifs de la
section
⫞ Décrire l'en-tête IPv6, en ressortant les différences avec l'en-tête IPv4
⫞ Identifier les é...
ISET NABEUL | slide 104
La structure d’un paquet IPv6
Extension Header Information
Source Address
Version Flow LabelTraffi...
 Utilisées pour encoder des informations complémentaires à la
couche Internet
 Placées entre l’en-tête de base et celle ...
ISET NABEUL | slide 106
Paquet IPv6 sans entête d'extension
Entête de la couche supérieure (Ex: TCP ou UDP)
Source Address...
ISET NABEUL | slide 107
Paquet IPv6 avec entête d'extensions
EH1 Header
Source Address
Version Flow LabelTraffic Class
Pay...
ISET NABEUL | slide 108
Liste et ordre des entêtes d'extension IPv6
Ordre Entête Code Description
1 Entête de base IPv6
2 ...
① Ouvrir http://j.mp/v6cap et sélectionnez paquet #67
 Quel est le Flow label?
 Quelles informations ce paquet comporte ...
ISET NABEUL | slide 110
Les changements structurels dans l’entête IPv4
Version IHL Type of Service Total length
Identifica...
ISET NABEUL | slide 111
IPv4 vs IPv6, comparaison des fonctionnalités clés
IPv4 IPv6
Méthodes de configuration automatique...
ISET NABEUL | slide 112
IPv4 vs IPv6, comparaison des fonctionnalités clés
IPv4 IPv6
Des noms de domaines aux méthodes de ...
ISET NABEUL | slide 113
IPv4 vs IPv6, comparaison des fonctionnalités clés
IPv4 IPv6
Protocoles de routages dynamiques sta...
R
O
N
S
E
Q U E S T I O N S
P
S
Les objectifs de la
section
⫞ Décrire l'importance et le fonctionnement du ND d'IPv6
⫞ Décrire comment ND est utilisé dans...
① Router discovery
② Prefix discovery
③ Parameter (Ex: MTU, hop limit etc) discovery
④ Address auto-configuration (SLAAC)
...
ND ≈ ARP + IRDP + Redirect + NUD
IPv4
Nouveau dans IPv6
ISET NABEUL | slide 118
ND définit et utilise 5 messages ICMPv6
Neighbor
Solicitation
Neighbor
Advertisement
Router
Solici...
ISET NABEUL | slide 119
Le Router Solicitation (RS)
Envoyé par Un hôte IPv6
But
Trouver les routeurs présents sur le lien ...
ISET NABEUL | slide 120
Exemple de capture d’un paquet RS
ISET NABEUL | slide 121
Le Router Advertisement (RA)
Envoyé par Un router IPv6
But
 Annoncer sa présence, les préfixes, M...
ISET NABEUL | slide 122
Exemple de capture d’un RA (1/2)
capture d’un RA (2/2)
Configurer un RA sur IOS de Cisco
ISET NABEUL | slide 124
Définir l'intervalle des retransmission du RA
(config-if)#ipv6 n...
ISET NABEUL | slide 125
Le Neighbour Solicitation (NS)
Envoyé par Un hôte IPv6
But
 Déterminer l’adresse L2 des voisins
...
ISET NABEUL | slide 126
Le Neighbour Advertisement (NA)
Envoyé par Un hôte IPv6
But
 Répondre à un neighbour solicitation...
ISET NABEUL | slide 127
Exemple d’un NA sollicité par un router
ISET NABEUL | slide 128
Exemple d’un NA sollicité par un hôte
ISET NABEUL | slide 129
Le message redirect
Envoyé par Router IPv6
But
Informer un noeud du meilleur next-hop.pour une
des...
ISET NABEUL | slide 130
Le Duplicate Address Detection (DAD)
N1
N2
2001:db8:c001::10
2001:db8:c001::10
ICMPv6 Type I35 (NS...
 Le DAD est effectué pour TOUT adresse unicast
 Le DAD n’est JAMAIS effectué pour:
 Les adresses anycast
 Des adresses...
ISET NABEUL | slide 133
Exemple de paquet NS pour un DAD
Configurer DAD sur IOS de Cisco
ISET NABEUL | slide 134
Définir le nombre de NS envoyé pendant DAD
(config-if)#[no]ipv6 nd...
Tentative
Duplicate
DAD
Valid
Les états de toute adresse IPv6
pltime
> 0
vltime
> 0
Invalid
Preferred
Deprecated
ok
oui
no...
① Pour quelle adresse ce DAD est-il fait?
② Quel est le SNMA de l'adresse en question?
③ Notez les adresses MAC suivants
...
ISET NABEUL | slide 137
Resolution d’adresse de couche L2
N2
N1
2001:db8:c001::20
[b8:e8:56:4a:fe:ac]
2001:db8:c001::10
NS...
① Quelle est l'adresse IP de l'hôte avec la adresse MAC
inconnue?
② Quel nœud (adresse IP) est à la recherche de l'adresse...
 Les Nœuds vérifient activement l'état des voisins avec qui ils
communiquent:
 Déterminer si le voisin est inaccessible
...
Configurer le NUD sur IOS de Cisco
ISET NABEUL | slide 140
Définir le no. de fois que le NUD renvoie des messages NS
(conf...
ISET NABEUL | slide 141
Capture d’un paquet NS pour un NUD
R
O
N
S
E
Q U E S T I O N S
P
S
Les objectifs de la
section
⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation Windows
⫞ Configurer et vérifier...
La plupart des SEs ont IPv6 activé par défaut
ISET NABEUL | slide 144
http://j.mp/OSv6-support
ISET NABEUL | slide 145
Configuration d’hôte: Windows Vista/7
ISET NABEUL | slide 146
Configuration d’hôte: Mac OS X
ISET NABEUL | slide 147
Configuration d’hôte: Linux
(/etc/network/interfaces)
Adressage statique
auto eth0
iface eth0 inet...
 Rappel: les adresses EUI-64 rendent facilite le tracking
 Pour des raisons de confidentialité, les hôtes peuvent utilis...
ISET NABEUL | slide 149
Désactiver l’adressage confidentiel
Windows
c:netsh interface ipv6 set privacy state=enabled
c:net...
ISET NABEUL | slide 150
Configuration IPv6 de base sur IOS de Cisco
Activer IPv6 sur une Interface
(config-if)#ipv6 enable...
ISET NABEUL | slide 151
Configuration IPv6 de base sur Junos
Activer IPv6 sur une Interface
#edit interfaces <interfacenam...
R
O
N
S
E
Q U E S T I O N S
P
S
Les objectifs de la
section
⫞ Décrire les options d’attribution d’adresses en IPv6
⫞ Décrire, et vérifier comment fonction...
ISET NABEUL | slide 154
Exigences de base pour l’attribution d'adresse
① Adresse(s) IPv6
② Passerelles par défaut IPv6
③ S...
ISET NABEUL | slide 155
Il y’a 2 mécanismes d'approvisionnement clés
Basé sur RA (SLAAC) DHCPv6
Adresse Passerelle par déf...
ISET NABEUL | slide 156
Comparaison les options offertes par méthodes
Adresses
Pass. Par
defaut
DNS info.
Delegat.
de Préf...
ISET NABEUL | slide 157
Les options dans les RAs
M O L A
Dans les messages RA
Dans les Informations de Préfixes
en option ...
 Les hôtes doivent être configurés pour obtenir une adresse IP
automatiquement
 Tous les hôtes génèrent toujours et util...
 Mettre L = 0 force un comportement de PVLAN sur le sous-réseau
 Il n'ya pas de moyen d’indiquer le statut on-link avec ...
 Les Informations DNS nécessaires
1) Un ou plusieurs Serveurs DNS Récursifs (RDNSS)
2) List de nom de domaines
 Si DHCPv...
ISET NABEUL | slide 161
Donner les informations du DNS
Serveur DNS recursif
Liste des noms de domaines
Pas
RFC 6106
Serveu...
ISET NABEUL | slide 162
Comment le (SLAAC) fonctionne t-il
RS
RA
[PIO] 2001:db8:c001::/64 {A=1}
[RDNSO] 2001:db8:cafe::53
...
① Mettre O =1 lorsque M =1 est redondant
② En pratique, certains DNS peuvent nécessiter que vous utilisez
les deux à la fo...
ISET NABEUL | slide 165
Configurer SLAAC sur un router Cisco
(config)#interface fastethernet 0/1
(config-if)#ipv6 address ...
ISET NABEUL | slide 166
Exercice: Analyser j.mp/SLAAC-1
① Quelle est l’adresse MAC de l'hôte qui veut une
adresse?
② Quell...
ISET NABEUL | slide 167
Comment le stateful DHCPv6 fonctionne t-il (1/2)
[ND]RS
M = 1 [RA]
1
2
3
4
[DHCP6] Solicit
Option ...
ISET NABEUL | slide 168
Comment le stateful DHCPv6 fonctionne t-il (2/2)
Reply [DHCP6]
[DHCP6] Request
2001:db8:c001::face...
 DHCP est un protocole mature et donc familier
 Plus d'options pour contrôler la façon dont les adresses sont
attribuées...
ISET NABEUL | slide 170
Exercice: Analyser j.mp/DHCPv6-1
① Quelle est l'adresse IPv6 du serveur DHCPv6?
② De quel protocol...
ISET NABEUL | slide 171
Comment le stateless DHCPv6 fonctionne t-il (1/2)
[ND]RS1
2
M = 0 [RA]
[PIO] 2001:db8:c001::/64 {A...
ISET NABEUL | slide 172
Comment le stateless DHCPv6 fonctionne t-il (2/2)
Advertise[DHCP6]
{DNS} 2001:db8:c001::53
4
5
[DH...
 Avantages:
 Le Support pour le SLAAC est omniprésent.
 Les hôtes Non-DHCPv6 pourront toujours d'obtenir une
connectivi...
ISET NABEUL | slide 174
Exemple d’usage des options ‘M’ et ‘O’ sur IOS
(config)# interface FastEthernet0/0
(config-if)#ipv...
ISET NABEUL | slide 175
Configuration de stateless DHCPv6 sur IOS
(config)# ipv6 dhcp pool dhcp-pool
(config-dhcp)#dns ser...
ISET NABEUL | slide 176
Exemple d’usage des options ‘M’ and ‘O’ sur JUNOS
protocols {
router-advertisement {
interface ge-...
ISET NABEUL | slide 177
Exercice: Analyser j.mp/SL-DHCPv6
① Quelle est l'adresse IPv6 du serveur DHCPv6?
② Vers quel proto...
ISET NABEUL | slide 178
Comment le DHCPv6-PD fonctionne t-il (1/2)
Provision WAN addr & DNS
Advertise[DHCP6] 4
[DHCP6] Sol...
ISET NABEUL | slide 179
Comment le DHCPv6-PD fonctionne t-il (2/2)
Address: 2001:db8:face:<EUI-64>/64
Reply[DHCP6]
{IA-PD}...
ISET NABEUL | slide 180
Exemple de configuration de DHCPv6-PD
(config)#ipv6 dhcp pool dhcpv6
(config-dhcp)#prefix-delegati...
ISET NABEUL | slide 181
Comparaison DHCPv4 vs DHCPv6
DHCPv4 DHCPv6
Usage de l’option ‘Managed Configuration’
Pas disponibl...
ISET NABEUL | slide 182
Certains serveurs DHCPv6 et leurs fonctions
logiciel Certaines options clés supportées
ISC DNS, NT...
R
O
N
S
E
Q U E S T I O N S
P
S
Merci
Prochain SlideShare
Chargement dans…5
×

IPv6 Les Bases

2 639 vues

Publié le

Cours très intéressant ipv6, très bien expliquer et très détaillé

Publié dans : Internet

IPv6 Les Bases

  1. 1. BOUZID Aymen CCNA Certified CCNP Certified Cisco instructor bouzidaymen@gmail.com ISET Nabeul
  2. 2. Implications de l’épuisement d’IPv4 ConfigurerIPv6surdeshôtes Agenda
  3. 3. ① Concepts fondamentaux de réseaux  Les modèles OSI et TCP/IP  Adressage IPv4, les sous-réseaux, VLSM, CIDR  Routage ② Expérience dans la configuration et le support d’un réseau IPv4  Configuration d’hôte (Windows, Linux, Unix, etc)  L'utilisation d'applications TCP/IP: ping, traceroute, telnet ③ Expérience de l’usage des CLI (Cisco IOS, JUNOS, Linux/Unix) Connaissances et compétences requis ISET Nabeul | slide 3
  4. 4. Les objectifs de la section ⫞ Décrire la situation mondiale des adresses IPv4 ⫞ Décrire les implications de l’épuisement d’IPv4 les Implications de l’épuisement d’IPv4 Comprendre
  5. 5. ISET Nabeul | slide 5 Adresses IPv4 disponibles au 16.06.2010 Utilisé Inutilisable Disponible
  6. 6. ISET Nabeul | slide 6 Adresses IPv4 disponibles au 31.01.2011 Utilisé Inutilisable Disponible
  7. 7. ISET Nabeul | slide 7 La distribution d'adresses globale IPv4 est déséquilibrée Nombre d'adresses IPv4 par personne
  8. 8. ISET Nabeul | slide 8 Dates probable d’épuisement d’IPv4 chez les RIR 3 Fev 2011 19 Avr 2011 IANA APNIC RIPENCC LACNIC 14 Sep 2012 23 Avr 2014 ARIN 2 Aout 2020 17 Mar 2014 AFRINIC
  9. 9. ISET Nabeul | slide 9 La pénurie augmente les coûts des adresses & le NAT $12 /adresse NAT Réseau complexe Augmentation d’OPEX Casse le end-to-end Paralyse l'innovation
  10. 10. ISET Nabeul | slide 10 AFRINIC sera en pénurie, pourquoi attendre! Pas de pannique, AFRINIC a encore IPv4 jusqu'en 2020
  11. 11. ISET Nabeul | slide 11 Implications pour l'Afrique: ‘Ruée vers l’Afrique’  Les réseaux Africains sont privées d’IPv4 nécessaire pour faciliter la transition vers IPv6  Obligation de déployer des réseaux entièrement IPv6  Augmentation de l’usage du NAT
  12. 12. Qu’allez-vous faire face à l'épuisement IPv4? Déployer IPv6 Déployer le NAT encore et encore Rester à l'écart et d'attendre ISET Nabeul | slide 12
  13. 13. Les objectifs de la section ⫞ Travaillez confortablement avec la notation hexadécimale IPv6 ⫞ Identifier, écrire et raccourcir les adresses IPv6 Adresses IPv6 Notions de base des
  14. 14. ISET NABEUL | slide 15 Rappel: modèle TCP/IP (IPv4 - 32 bits) APPLICATION DNS HTTP IMAP SMTP POP NFS TRANSPORT TCP UDP IPv4 RESEAUX ICMP IGMP IPSec NAT OSPF IS-IS mob. IP LIAISON DE DONNÉES Ethernet & vars. PPP WiMAX 3GPP
  15. 15. ISET NABEUL | slide 16 Rappel: modèle TCP/IP (IPv6 – 128 bits) APPLICATION DNS HTTP IMAP SMTP POP NFS TRANSPORT TCP UDP IPv6 RESEAUX ICMPv6 MLD IPSec ND OSPFv3 IS-IS mob. IP LIAISON DE DONNÉES Ethernet & vars. NBMA ATM 3GPP
  16. 16. ISET NABEUL | slide 18 340trillion trillion trillion Adresses IPv6 Possible!
  17. 17. ISET NABEUL | slide 19 Comment écrire les adresses IPv6 (1/2) 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 1 0 1 0 0 0 0 1 0 1 0 0 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 0 0 0 0 0 0 0 0 0 0 1 0 0 1 0 0 1 0 0 1 1 0 1 1 1 0 1 0 1 1 1 0 1 0 0 0 0 1 0 1 0 1 1 0 1 1 1 1 1 1 1 1 1 1 1 1 1 1 1 0 0 1 0 0 1 0 1 0 1 1 1 0 1 1 0 0 1 1 1 1 1 1 1 0 128 bits
  18. 18. ISET NABEUL | slide 20 Comment écrire les adresses IPv6 (2/2) 1011101011101000 0101011011111111 1111111001001010 1110110011111110 0010000000000001 0100001010010000 0000000000010000 0000001001001001 2001:4290:0010:0249:bae8:56ff:fe4a:ecfe
  19. 19. X:X:X:X:X:X:X:X/n Le format générale d'une adresse IPv6 ISET NABEUL | slide 21  X = 4 positions hexadécimales: X = hhhh oú h = [0 – 9, a – f]  n = longueur de préfixe en décimale hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh/n
  20. 20. 1 2 ISET NABEUL | slide 22 Les règles pour raccourcir les adresses IPv6 Omettre tous les zéros de POIDS FORTS Substituer des groupes CONSÉCUTIFS de zéros par ‘::’ La Suppression de Zéros La Compression de Zéros
  21. 21. ISET NABEUL | slide 23 Exemple: Raccourcir une adresse IPv6 2001:0000:0000:0249:0000:0000:0000:ecfe 2001::249:0:0:0:ecfe Suppression de ZérosCompression de Zéros Zéros de poids forts
  22. 22. ISET NABEUL | slide 24 Exemple: Raccourcir une adresse IPv6 2001:0000:0000:0249:0000:0000:0000:ecfe 2001:0:0:249::ecfe Suppression de Zéros Compression de Zéros Zéros de poids forts
  23. 23. ISET NABEUL | slide 25 Mauvais raccourcissement d’adresses IPv6 2001:0000:0000:0249:0000:0000:0000:ecfe 2001::0249::ecfe Compression de ZérosCompression de Zéros
  24. 24. ①2001:0db8:0000:0000:0008:0800:200C:417a ②ff01:0000:0000:0000:0000:0000:0000:0101 ③0000:0000:0000:0000:0000:0000:0000:0001 ④0000:0000:0000:0000:0000:0000:0000:0000 Quiz: Raccourcir ces adresses ISET NABEUL | slide 26
  25. 25. R O N S E Q U E S T I O N S P S
  26. 26. Les objectifs de la section ⫞ Identifier les différents types d’adresses IPv6 ⫞ Décrire la structure et les scopes de ces adresses Types D’Adresses IPv6 Les différents
  27. 27. ISET NABEUL | slide 29 Il existe trois types d'adresses IPv6 Tx Rx Tx RxRxRx 1:1 Les adresses Unicast 1:n Les adresses Multicast Il n'y a pas d’adresses (ou communications) broadcast dans IPv6 1:plus proche Les adresses Anycast Tx Rx RxRx
  28. 28. ISET NABEUL | slide 30 le scope d’un adresse est son domaine d’unicité Selon le scope, une adresse peut être utilisée comme un identifiant unique d’une interface Scope global Scope Lien-local
  29. 29.  Le Préfixe de Routage Global est géré par IANA > RIRs > ISPs  L’ID Réseau est géré de manière hiérarchique par l’ingénieur réseau  L’ID de l’Interface identifie de façon unique les interfaces dans un sous-réseau Les Adresses Unicast Globales (GUA) ISET NABEUL | slide 31 ID RéseauPréfixe de Routage Global ID de l’Interface n bits 64 bits64 - n bits Partie ‘Réseau’ Partie ‘hôte’ Ex: 2001:4290:10:249:bae8:56ff:fe4a:ecfe
  30. 30.  Toute interface fonctionnant sous IPv6 a au moins une LLA  Scope = lien-local, aucun routeurs ne route de paquets depuis/vers une LLA  Utilisé pour l’auto-configuration, le neighbour discovery, la mise a jour des protocoles de routage Les Adresses Lien-local (LLA) ISET NABEUL | slide 32 01111111010 ID de l’Interface 10 bits 64 bits54 bits Ex: fe80:0000:0000:0000:bae8:56ff:fe4a:ecfe fe80
  31. 31.  Par quelle interface le routeur enverra le paquet?  Vous devez explicitement spécifier l'interface de sortie L’accessibilité des adresses Lien-local et le ZoneID ISET NABEUL | slide 33 fe80::1a fe80::1b fe80::1 fe80::2 fe80::3 fe80::4 Fe 0/0 Fe 0/1 ping fe80::1
  32. 32. fe80::hhhh:hhhh:hhhh:hhhh%zoneID ZoneIDs (scopeIDs) – résout l’ambiguïté des LLA ISET NABEUL | slide 34 Identifie le scope d’une adresse Généré automatiquement par le SE Typiquement, un entier ou nom de l'interface  Exemple sur Mac OS X: fe80::bae8:56ff:fe4a:ecfe%en0  Exemple sur Windows: fe80::bae8:56ff:fe4a:ecfe%10
  33. 33.  Ecrire les commandes pour  Node A veut faire un telnet à Node B  Node A veut faire un ping à Node C Quiz: Utilisation correcte des ScopeIDs ISET NABEUL | slide 35 fe80::a1%10 fe80::a2%11 fe80::b%eth0 fe80::c%en1 Node A Node C Node B
  34. 34. ISET NABEUL | slide 36 Les Adresses Uniques Locales (ULA) 0 1111 110L ID de l’Interface 8 bits 64 bits56 bits L = 0 fc00::/7 fc00::/8 fd00::/8 L = 1 Assigné par un registre Usage libre pour tous
  35. 35.  L'exemple le plus significatif est la formation des adresses 6RD.  Exemple le plus courant est celui des adresses 6to4: 2002:WWXX:YYZZ::/48 Les Adresses de transition IPv6 basées sur IPv4 ISET NABEUL | slide 37 ID RéseauPréfixe IPv6 ID de l’Interface n bits 64 bits32 - n bits WWXX:YYZZ 32 bits Adresse IPv4: w.x.y.z Partie ‘Réseau’ Partie ‘hôte’
  36. 36. Etant donné le préfixe de base IPv6 et adresse IPv4 suivante, générer le préfixe IPv6 correspondant ① 2002 et 196.1.0.87 ② 2001:4290 et 196.1.0.87 Quiz: générer un préfixe IPv6 à partir d'une adresse IPv4 ISET NABEUL | slide 38
  37. 37. ISET NABEUL | slide 39 Générer l’ID de l’Interface (IID) Préfixe Réseaux ID de l’Interface 64 bits 64 bits Interfaces des Serveurs/Routeurs configurer automatiquement les Hôtes Statique (manuel) EUI-64 Pseudo-aléatoirecryptographique Partie ‘Réseau’ Partie ‘hôte’
  38. 38. ISET NABEUL | slide 40 Les Interface IDs Reservées (RFC 5433) <préfixe>::0000:0000:0000:0000 <préfixe>::fdff:ffff:ffff:ff80 - fdff:ffff:ffff:ffff Adresse anycast de Routeur de sous-réseau: Adresses anycast de sous-réseau réservés:
  39. 39. Adresse IPv6 = Préfixe + IID Comment les IDs d’Interfaces EUI-64 sont générés ISET NABEUL | slide 41 00 90 27 17 FC 0F 00 90 27 17 FC 0FFF FE 0000 00X0 X = 0 MAC est unique X = 1 Local admin. 02 90 27 17 FC 0FFF FE [1] Prendre l’adresse MAC (48 bits) [2] étendre à 64 bits [3] L'unicité de l’adresse MAC le bit U/L [4] Voilà! votre InterfaceID
  40. 40. Adresse non spécifiée: 0:0:0:0:0:0:0:0 ou ::  Indique l'absence d'une adresse IPv6  Utilisé comme src addr d’un paquets lorsque l'hôte ne connaît pas ses adresses  Jamais utilisé comme adresse de destination  Ne doit jamais être routé par les routeurs Route par défaut IPv6: 0:0:0:0:0:0:0:0/0 ou ::/0 Adresse de loopback: 0:0:0:0:0:0:0:1 ou ::1  Permet de s'envoyer des paquets IPv6  Ne doit jamais être routé hors du noeud Des adresses connues importantes ISET NABEUL | slide 43
  41. 41.  Représenter une adresse IPv4 à un noeud/application exclusif IPv6  Ces adresses ne doivent pas être visibles sur l'Internet Les adresses IPv6 mappé IPv4 ISET NABEUL | slide 44 0 Adresse IPv4 32 bits80 bits Exemple: ::ff:196.1.0.87 ffff 16 bits
  42. 42.  Même adresse affectée à plusieurs interfaces/hôtes  Paquets unicast sont livrés au topologiquement plus proche  Attribué à partir de l’espace des adresses unicast Les adresses anycasts ISET NABEUL | slide 45
  43. 43. 8 bits 4 bits 4 bits ISET NABEUL | slide 46 Les adresses Multicast 11111111 groupID 8 bits flags scope ff Toutes les adresses Multicast sont de la plage ff00::/8 network prefixreserved p-len 8 bits 32 bits Nombre de bits dans le champ "préfixe réseau" Préfixe unicast de sous-réseau qui possède cette adresse 64 bits L’ID d’un groupe multicast pour un scope donné
  44. 44. ISET NABEUL | slide 47 Decoder les flags de l’adresse multicast 0RPT 0 1 Affectation permanente (IANA) Affectation dynamique 0 1 Non basé sur un préfixe de réseau Basé sur un préfixe de réseau 0 1 RP non activé RP activé
  45. 45. ISET NABEUL | slide 48 Des scopes multicast bien-connus Bits Hex Scope 0001 1 Interface-local 0010 2 Link-local 0100 4 Admin-local 0101 5 Site-local 1000 8 Organization-local 1110 e Global b b b b 4 bits
  46. 46. ISET NABEUL | slide 49 Les scopes réservés et non définis 0000 1 Reserved 0011 3 Reserved 1111 f Reserved 0110 6 Unassigned 0111 7 Unassigned 1001 9 Unassigned 1110 a Unassigned 1011 b Unassigned 1100 c Unassigned 1101 d Unassigned b b b b 4 bits
  47. 47. ISET NABEUL | slide 50 Exemple: Un groupID avec differents scopes FF01::101 Tout serveur NTP sur la même interface que l’émetteur FF02::101 Tout serveur NTP sur le même lien que l’émetteur FF05::101 Tout serveur NTP sur le même site que l’émetteur FF08::101 Tout serveur NTP dans la même organisation que l’émetteur FF0e:101 Tout serveur NTP sur Internet Si l’on affecte de façon permanente aux ‘’serveurs NTP’’ le groupe multicast avec l’ID = 101
  48. 48.  FF00::  FF01::  FF02::  FF03:: Les adresses multicast réservés ISET NABEUL | slide 51  FF08::  FF09::  FF0A::  FF0B::  FF04::  FF05::  FF06::  FF07::  FF0C::  FF0D::  FF0E::  FF0F::
  49. 49. ISET NABEUL | slide 52 Quelques adresses multicast bien-connues FF01::1 Tout nœud IPv6 sur la même interface FF02::1 Tout nœud IPv6 sur le même lien FF01::2 Tout routeur IPv6 sur la même interface FF02::2 Tout routeur IPv6 sur le même lien FF05::2 Tout routeur IPv6 sur le même site RFC 2375 pour la liste complete
  50. 50.  Calculé pour chaque adresse unicast/anycast  Toutes les adresses avec les mêmes 24 derniers bits auront la même SNMA L’adresse multicast de sollicitation de nœud (SNMA) ISET NABEUL | slide 53 ff02::1:ffhh:hhhh/104 hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh:hhhh 24 bits
  51. 51. ISET NABEUL | slide 54 Exemple d’adresse multicast de sollicitation de nœud FF02::1:FF0e:8F6C/104 4037::01:800:200E:8C6C 24 bits
  52. 52. ISET NABEUL | slide 55 Exemple d’adresse multicast de sollicitation de nœud #show ipv6 interface g0/0 GigabitEthernet0/0 is up, line protocol is up IPv6 is enabled, link-local address is FE80::CA9C:1DFF:FE6B:B6A0 No Virtual link-local address(es): Description: [Link to R1] Global unicast address(es): 2001:43F8:90:C0::2, subnet is 2001:43F8:90:C0::/64 Joined group address(es): FF02::1 FF02::2 FF02::1:FF00:2 FF02::1:FF6B:B6A0 MTU is 1500 bytes
  53. 53. ① [Obligatoire] Adresse Lien-Locale sur chaque interface ② [Obligatoire] Adresse de loopback (::1) ③ [Obligatoire] Adresses multicast Tout-Nœud (ff0x::1) ④ Tout adresse unicast ou anycast sur chaque interface ⑤ Une adresse multicast de sollicitation de nœud pour chacun des (4) ⑥ Les adresses multicast de tous les groupes auxquels il appartient Par quelles adresses un nœud s'identifie t-il? ISET NABEUL | slide 56
  54. 54. ① Toutes les adresses par lesquelles les hôtes s'identifient ② Adresses multicast tous les routers (ff0x::2) ③ Adresse anycast de Routeur Sous-réseau pour toute interface routée ④ Tout adresse anycast configurés Par quelles adresses un routeur s'identifie t-il? ISET NABEUL | slide 57
  55. 55.  Windows: ping – 6 <hostname> ping <address[%scopeID]>  Unix/Linux: ping6 <hostname> | <address> ping6 –I <interface> <mcast-addr> ping <address> Tester la connectivité IPv6 de base ISET NABEUL | slide 60
  56. 56. 1. l'adresse Lien-local de votre voisin 2. Tous les hôtes IPv6 sur le sous-réseau 3. Tous les routeurs IPv6 sur le sous-réseau Exercice: tester l'accessibilité de ce qui suit ISET NABEUL | slide 61
  57. 57. R O N S E Q U E S T I O N S P S
  58. 58. Les objectifs de la section ⫞ Découpage d’un préfixe IPv6 ⫞ Décrire comment les adresses IPv6 sont gérées globalement ⫞ Estimer les besoins d'adressage IPv6 de votre réseau ⫞ Dimensionner et attribuer votre allocation d’adresses Plan D’Adressage IPv6 Création d'un
  59. 59. ISET NABEUL | slide 64 Les faces d'un problème de subnetting Découper 2001:db8:c001::/48, en 150 bloques égaux Découper 2001:db8::/32 en /40s Vous avez 125 sites dont chacun a besoin d'un /60, quelle taille préfixe devriez-vous réserver pour tous vos sites?
  60. 60.  L’ > L en longueur (en quantité, plus court est plus grand)  L’ = L + s (s = nombre de bits de sous-réseau)  Le Subnetting c’est trouver ‘s’ et les valeurs s-prefix1 …n Les problèmes génériques de subnetting IPv6 ISET NABEUL | slide 65 Préfixe/L s-préfixe1/L’ s-préfixe2/L’ s-préfixen/L’…………………..……
  61. 61.  Les raisons du subnetting  IPv4: économiser l'espace d'adressage  IPv6: Nécessaire pour le routage ou la sécurité  Pas de VLSM dans IPv6 – même longueur de préfixe sur chaque LAN  Pensez sous-réseaux et non hôtes  Il sera rare d’avoir un sous-réseau plus grand qu’un /64! Oublier les mauvaises habitudes de subnetting IPv4 ISET NABEUL | slide 66
  62. 62. ISET NABEUL | slide 67 Procédure de subnetting IPv6 Trouver le bits de sous-réseau (s) Données Processus Formule Trouver les hexits de sous-réseau Trouver l’incrément (B) du subnetID Enumérer les sous-réseaux Préfixe & long. L , L’ OU no. sous-réseaux Préfixe & long. L, le bits s de sous-réseaux Long. sous-préfixe L’ s = L’- L ou s = log N/log 2 s / 4 B = 216 – (L’%16) Utilisez sipcalc ou tout autre outil en ligneLong. sous-préfixe L’
  63. 63. ISET NABEUL | slide 68 Etape #1: Comment trouver le bit (s) de sous-réseaux s = L’– L log N log 2s = Longueur des sous-préfixes Longueur du préfixe No. de sous-réseaux requis
  64. 64. L’on connaît le nombre de sous-réseaux N = 700 ① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux ISET NABEUL | slide 69
  65. 65. Etape #2: Comment trouver l’hexits de sous-réseaux ISET NABEUL | slide 70 Préfixe initial l’ID de l’Interface L bits 64 bitss bits Long. de sous-préfixe L’ = L + s Partie ‘Hôte’ ID réseau Le nombre d’hexits = s ÷ 4
  66. 66. L’on connaît le nombre de sous-réseaux N = 700 ① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits ② Nombre d’hexits = 10 ÷ 4 = 2.5 ≈ 3 hexits Ainsi chaque sous-préfixes sera de la forme Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux ISET NABEUL | slide 71 2001:db8:cHHH::/46
  67. 67. Etape #3: Comment trouver l’increment (B) ISET NABEUL | slide 72 B = 216 – (L’%16) Longueur de sous-préfixe
  68. 68. L’on connaît le nombre de sous-réseaux N = 700 ① s = log 700 ÷ log 2 = 9.81 ≈ 10 bits ② Nombre d’hexits = 10 ÷ 4 = 2.5 ≈ 3 hexits ③ Chaque sous-préfixes sera: 2001:db8:cHHH::/46 ④ ‘HHH’ changera de B = 216 – (46%16) = 216-14 = 22 = 4 Ex: Découper 2001:db8:c000::/36 en 700 sous-réseaux ISET NABEUL | slide 73
  69. 69. ISET NABEUL | slide 74 Etape #4: Comment énumérer les sous-réseaux <préfixe>:<subnetID0>::/L’ <préfixe>:<subnetID1>::/L’ <préfixe>:<subnetID2>::/L’ <préfixe>:<subnetIDn>::/L’ subnetID0 + B subnetID1 + B subnetIDn-1 + B
  70. 70.  Utile pour savoir "quel est le 79e sous-réseau" par exemple Etape #4: Comment énumérer les sous-réseaux (casse-cou) ISET NABEUL | slide 75 le neme subnetID L’incrément précédemment calculé an = (n-1)B
  71. 71. sipcalc <préfixe::/L> --v6split=<L’> Etape #4: comment énumérer les sous-réseaux avec sipcalc ISET NABEUL | slide 76 Longueur de sous-préfixePréfixe initiale & longueur Ex: sipcalc 2001:db8:c000::/36--v6split=46
  72. 72. sipcalc <prefix::/L> --v6split=<L’> | grep Network | nl | sed -n np Etape #4: Trouver the ne sous-réseau avec sipcalc & shell ISET NABEUL | slide 77 Longueur de sous-préfixePréfixe initiale & longueur sipcalc 2001:db8:c000::/36--v6split=46 grep Network | nl |sed –n 975p
  73. 73.  Ex: Découper 2001:db8:c000::/36 en 700 sous- réseaux  Le ne sous-reseau est an = 4(n-1)  1er subnetID: a1= 4(0) = 0 (0x0)  1st sous-réseau: 2001:db8:c000::/46  Dernier subnetID: a1024 = 4(1023) = 4092 (0xFFC)  Dernier sous-reseau: 2001:db8:cffc::/46  264e subnetID: a264 = 4(263) = 1052 (0x41C)  26e sous-reseau: 2001:db8:c41c::/46 Etape #4: Exemple d’énumération de sous-réseaux ISET NABEUL | slide 78
  74. 74. ISET NABEUL | slide 79 Exercice de subnetting Un FAI qui opère dans 10 villes vient de recevoir une allocation 2001:db8::/32 d’ATI, subdiviser le comme il se doit
  75. 75. ISET NABEUL | slide 80 Exemple d’usage de sipcalc sipcalc 2001:db8::/32 –v6split=36 | grep Network Network - 2001:0db8:0000:0000:0000:0000:0000:0000 - Network - 2001:0db8:1000:0000:0000:0000:0000:0000 - Network - 2001:0db8:2000:0000:0000:0000:0000:0000 - Network - 2001:0db8:3000:0000:0000:0000:0000:0000 - Network - 2001:0db8:4000:0000:0000:0000:0000:0000 - Network - 2001:0db8:5000:0000:0000:0000:0000:0000 - Network - 2001:0db8:6000:0000:0000:0000:0000:0000 - Network - 2001:0db8:7000:0000:0000:0000:0000:0000 - Network - 2001:0db8:8000:0000:0000:0000:0000:0000 - Network - 2001:0db8:9000:0000:0000:0000:0000:0000 - Network - 2001:0db8:a000:0000:0000:0000:0000:0000 - Network - 2001:0db8:b000:0000:0000:0000:0000:0000 - Network - 2001:0db8:c000:0000:0000:0000:0000:0000 - Network - 2001:0db8:d000:0000:0000:0000:0000:0000 - Network - 2001:0db8:e000:0000:0000:0000:0000:0000 - Network - 2001:0db8:f000:0000:0000:0000:0000:0000 -
  76. 76.  Nombre de sous-réseaux: N = 10  Bits de sous-réseaux requis: s = log 10 ÷ log 2 = 3.322 ≈ 4  4 bits donnent 16 (c-a-d 24) sous-préfixes dont 6 spares  Longueur de chaque sous-préfixe L’= 36 (c-a-d 32 + 4)  L’hexit de sous-réseaux = s/4 = 1  L’incrément de sous-réseaux B = 216-(36%16) = 4096 (0x1000) Solution á l’exercice de subnetting ISET NABEUL | slide 81
  77. 77.  Premier subnetID  a1= 4096(1-1) = 0 (0x0) [avec an=(n-1)B]  Premier sous-réseau: 2001:db8:000::/36  Dernier subnetID  a16 = 4096(16-1) = 61440 (0xf000)  Dernier sous-réseau: 2001:db8:f000::/36  Vérifiez votre réponse à l'aide de sipcalc  sipcalc 2001:db8::/32 –v6split=36 Exemple de subnetting : les analyses ISET NABEUL | slide 82
  78. 78. ① Ne pas se limiter aux préfixes de bases des RIRs: /32, /48 ② Longueurs de préfixe typiques  Les hôtes sur un LAN: /64  Lien inter-router: /127  Adresses de loopback : /128 ③ Planifier un schéma hiérarchique pour optimiser l'agrégation ④ S'assurer que tous les préfixes tombent sur des arrondis(4 bits) Quelques précisions sur le plan d'adressages ISET NABEUL | slide 83
  79. 79. Améliore la sécurité en éliminant  Problème de (ping pong) sur certains liens p2p  Problème du cache des voisins IPv6 Les adresses avec les 64 bits suivants ne doivent pas être utilisés  0000:0000:0000:0000  ffff:ffff:ffff:ff7f ➠ :ffff Bonne pratique: Usage /127 pour les liens inter-routeur ISET NABEUL | slide 84 <préfixe>:<subnetID>::/127
  80. 80. ISET NABEUL | slide 86 Exemple d’hiérarchie pour le réseau d’un ISP d’un pays ASN Ville #1 Ville #2 Ville #n Site #1 Site #2 Site #n Client #1 Client #2 Client #n Niveau 1 Niveau 2 Niveau 3 (fin du reseaux)
  81. 81. ISET NABEUL | slide 87 Exemple d’hiérarchie pour une université ASN Campus #1 Campus #2 Campus #n Bâtiment #1 Bâtiment #2 Bâtiment #n Département #1 Département #2 Département #n Niveau 1 Niveau 2 Niveau 3 (fin du reseaux)
  82. 82. ISET NABEUL | slide 88 Exemple d’hiérarchie d’un réseau d’entreprise ASN HQ Branche #1 Branche #n Dannées Voix Vidéo Vente Marketing Opérations Niveau 1 Niveau 2 Niveau 3 (fin du reseaux)
  83. 83. ISET NABEUL | slide 89 Estimer le nombre total des préfixes nécessaires | FAI ASN Ville #1 Ville #2 Ville #n Site #1 Site #2 Site #n Client #1 Client #2 Client #n N = #Villesx #Sites x Clientsmax
  84. 84. ISET NABEUL | slide 90 Estimer le nombre total des préfixes nécessaires | Université N = #Campus x #Bâtiments x Départementsmax ASN Campus #1 Campus #2 Campus #n Bâtiment #1 Bâtiment #2 Bâtiment #n Département #1 Département #2 Département #n
  85. 85. Arrondissez vos estimations à la plus proche puissance de quatre Visez les arrondis /20, /24, /28, /32, /36, /40, /44, /48, /52, /56, /60, /64 ISET NABEUL | slide 91 Villes Sites Campus Batiments etc 24n 16 256 4096 65536 1048576 16777216 268435456 4294967296 68719476736
  86. 86. ISET NABEUL | slide 92 Exemple de prefixes alignés sur les arrondis 2001:db8:3c00::/40 2001:db8:3c00::/42 1ere adresse 2001:db8:3c00:: 2001:db8:3c00:: Dernière adresse 2001:db8:3cff:ffff:ffff:ffff:ffff:ffff 2001:db8:3c3f:ffff:ffff:ffff:ffff:ffff
  87. 87. ① Trouvez le nombre de bits pour N préfixes: s = log 10 ÷ log 2 ② Décidez de la plage d’@ à donner aux réseaux finaux (Sn)  /64 pour un LAN  /60 au moins pour un usage domestique ③ Plage d’@ à demander à votre RIR = Sn – s, Ex:  48 – s [si vous assignez /48s par réseaux finaux ]  52 – s [si vous assignez /52s par réseaux finaux ] Calcul de la plage d’adresses à demander ISET NABEUL | slide 93
  88. 88. ISET NABEUL | slide 94 Pas d’inquiétude, il ya suffisamment d'adresses! 2000::/3 35 trillion /48s La population mondiale Projections de 2050 9.3 milliard
  89. 89. ISET NABEUL | slide 95 Planification d'adresses IPv6 | exemple Un FAI a des activités dans 10 villes. La plus grande ville dispose de 50 POPs, dont le plus important a environ 2700 clients. Estimer les besoins d'adressage IPv6 de cet FAI
  90. 90.  On sait  #Villes = 10 [arrondi à 16]  #SITEs = 50 [arrondi à 256]  #Clientsmax = 2700 [arrondi à 4096]  On calcule  Nombre total de préfixes de réseau finaux requis est N  N=16 x 256 x 4096 = 16,777,216  Nombre de bits de sous-réseau requis: s=log16,777,216/log2 = 24.  Taille d’allocation:  48 – 24 = 24 [Soit /48s par site finaux]  52 – 24 = 28 [Soit /52s par site finaux]  Ainsi, le FAI doit demander un /24 ou /28 à ATI. Exemple d'adressage IPv6 – analyse & solution ISET NABEUL | slide 96
  91. 91.  Environnements de serveurs non virtualisés  Un serveur physique a besoin d'au moins une @ IPs  Environnements virtualisés  L'hyperviseur doit avoir une ou plusieurs @ IPs  Chaque VM a besoin d'au moins une adresse IP  Chaque hyperviseur peut contenir plusieurs clients VMs Considérations pour les serveurs virtuels ISET NABEUL | slide 97
  92. 92. Les trois phases de la planification d’adresse IPs ISET NABEUL | slide 99 Estimer vos besoins d'adressage Demander votre bloc à ATI Attribuez les sous-préfixes aux différentes parties du réseau
  93. 93. ISET NABEUL | slide 100 Deux approches pour l'attribution des sous-préfixes 1 2 3 4 5 6 7 8 9 10 11 12 1 2 3 4 5 6 7 8 9 10 11 12 sous-réseau #1 sous-réseau #2 sous-réseau #3 sous-réseau #5 sous-réseau #4 sous-réseau #1 sous-réseau #2 sous-réseau#3 sous-réseau #4 sous-réseau #5 séquentiel bissection
  94. 94. ISET NABEUL | slide 101 Exercice Basé sur le dernier exercice, ATI vous alloue 2001:db::/24. Découvrez á quoi un plan d'adressage peut-il ressembler à l'aide de cet outil: http://j.mp/v6Planner
  95. 95. R O N S E Q U E S T I O N S P S
  96. 96. Les objectifs de la section ⫞ Décrire l'en-tête IPv6, en ressortant les différences avec l'en-tête IPv4 ⫞ Identifier les équivalents IPv6 des protocoles clés IPv4 et leur fonctionnement IPv6 Á Partir D’IPv4 Comprendre
  97. 97. ISET NABEUL | slide 104 La structure d’un paquet IPv6 Extension Header Information Source Address Version Flow LabelTraffic Class Payload Length Next Header Hop Limit Destination Address Next Header Data 40 octets Taille variable 4 bits 8 bits 20 bits
  98. 98.  Utilisées pour encoder des informations complémentaires à la couche Internet  Placées entre l’en-tête de base et celle de la couche supérieure  Un paquet peut transporter 0, 1 ou plusieurs en-têtes  Il ya une valeur unique "Next Header" pour chaque en-tête  Servent les mêmes fonctions que le champ "protocole" de l’en- tête IPv4 À propos des en-têtes d'extension IPv6 ISET NABEUL | slide 105
  99. 99. ISET NABEUL | slide 106 Paquet IPv6 sans entête d'extension Entête de la couche supérieure (Ex: TCP ou UDP) Source Address Version Flow LabelTraffic Class Payload Length Next Header = UL Hop Limit Data 40 octets Taille variable Destination Address
  100. 100. ISET NABEUL | slide 107 Paquet IPv6 avec entête d'extensions EH1 Header Source Address Version Flow LabelTraffic Class Payload Length Hop Limit Next Header = EH2 40 octets Destination Address Entête de la couche supérieure (Ex: TCP or UDP) Data EH2 Header Next Header = UL Next Header = EH1
  101. 101. ISET NABEUL | slide 108 Liste et ordre des entêtes d'extension IPv6 Ordre Entête Code Description 1 Entête de base IPv6 2 Hop-by-hop options 0 Examiné par tous les noeuds sur le chemin 3 Routing 43 Spécifie la route pour un datagramme (mobile v6) 4 Fragment 44 Les paramètres de fragmentation 5 Authentication (AH) 51 Vérifie l’authenticité du paquet 6 ESP 50 Cryptage des données 7 Destination options 60 Examiné seulement par le noeud de destination 8 Mobility 135 Paramètres à utiliser pour mobile IPv6
  102. 102. ① Ouvrir http://j.mp/v6cap et sélectionnez paquet #67  Quel est le Flow label?  Quelles informations ce paquet comporte t-il?  Quelle est la taille de la donnée de ce paquet?  Combien de routeurs enverront ce paquet? ② Ouvrir http://j.mp/v6rh  Énumérer les deux entêtes d'extension de ce paquet  Quelles informations ce paquet transporte t-il? Exercice: Analyse de paquets réel IPv6 ISET NABEUL | slide 109
  103. 103. ISET NABEUL | slide 110 Les changements structurels dans l’entête IPv4 Version IHL Type of Service Total length Identification Flags Fragment Offset Time to Live Protocol Header Checksum Source Address Destination Address Options Padding Champ éliminé de IPv6 Champ ôté de l’en-tête de base IPv6 Champ rebaptisé dans IPv6 champ maintenu
  104. 104. ISET NABEUL | slide 111 IPv4 vs IPv6, comparaison des fonctionnalités clés IPv4 IPv6 Méthodes de configuration automatique des hôtes et des CPEs  DHCP  PPPoE  DHCPv6  Stateless Address configuration  PPPoE Résolution d’adresse de la couche Réseau vers Liaison-de-données  ARP  Broadcast  ICMPv6 (NS, NA)  Multicasts
  105. 105. ISET NABEUL | slide 112 IPv4 vs IPv6, comparaison des fonctionnalités clés IPv4 IPv6 Des noms de domaines aux méthodes de résolution d’adresses  DNS  A Enregist. de ressource  in-addr-arpa Zone inverse  DNS  AAAA Enregist. de ressource  ip6.arpa Zone inverse Comment rejoindre un groupes multicasts  IGMPv1 and IGMPv2  MLD Attribution automatique de passerelle par défaut aux hôtes  DHCP , IRD ou Passive RIP  RA (ICMPv6)
  106. 106. ISET NABEUL | slide 113 IPv4 vs IPv6, comparaison des fonctionnalités clés IPv4 IPv6 Protocoles de routages dynamiques standards supportés  RIPv1 , RIPv2  OSPFv2, IS-IS  BGPv4 (IPv4 Address Family)  RIPng  OSPFv3 , IS-IS  BGPv4 (IPv6 Address Family) Taille minimale du MTU  576 octets  1280 octets Modes de communication supportés  Unicast, multicast, broadcast  Unicast, multicast
  107. 107. R O N S E Q U E S T I O N S P S
  108. 108. Les objectifs de la section ⫞ Décrire l'importance et le fonctionnement du ND d'IPv6 ⫞ Décrire comment ND est utilisé dans les autres fonctions clés d’IPv6 Le Neighbor Discovery d’IPv6 Comprendre
  109. 109. ① Router discovery ② Prefix discovery ③ Parameter (Ex: MTU, hop limit etc) discovery ④ Address auto-configuration (SLAAC) ⑤ Address resolution ⑥ Next-hop determination ⑦ Neighbour unreachability detection ⑧ Duplicate address detection ⑨ Redirect ⑩ Link-layer address change notification Les Fonctions du Neighbor Discovery (ND) d’IPv6 ISET NABEUL | slide 116
  110. 110. ND ≈ ARP + IRDP + Redirect + NUD IPv4 Nouveau dans IPv6
  111. 111. ISET NABEUL | slide 118 ND définit et utilise 5 messages ICMPv6 Neighbor Solicitation Neighbor Advertisement Router Solicitation Router Advertisement Redirect
  112. 112. ISET NABEUL | slide 119 Le Router Solicitation (RS) Envoyé par Un hôte IPv6 But Trouver les routeurs présents sur le lien en vue d’obtenir les paramètres du réseau Adresse Source IP de l’interface qui fait la requête si il en existe Adresse indéterminé (::) s’il n'y a pas encore d’adresse Adresse de Destination FF02::2 (all-routers) Remarques ICMP type 133, ICMP code 0
  113. 113. ISET NABEUL | slide 120 Exemple de capture d’un paquet RS
  114. 114. ISET NABEUL | slide 121 Le Router Advertisement (RA) Envoyé par Un router IPv6 But  Annoncer sa présence, les préfixes, MTU, hop limits  Envoyer périodiquement ou en réponse à un RS Adresse Source L’adresse lien-local de l’interface qui l’envoie Adresse de Destination  [Diffusion périodique] FF02::1  [Sollicité] L’adresse source du noeud qui envoie le RS Remarques ICMP type 134, ICMP code 0
  115. 115. ISET NABEUL | slide 122 Exemple de capture d’un RA (1/2)
  116. 116. capture d’un RA (2/2)
  117. 117. Configurer un RA sur IOS de Cisco ISET NABEUL | slide 124 Définir l'intervalle des retransmission du RA (config-if)#ipv6 nd ra interval { max [min]} (config-if)#ipv6 nd ra interval {msec max [min]} Définir la durée de vie du messages RA (config-if)#ipv6 nd ra lifetime <secs> Supprimer les messages RA de l’interface connectée (config-if)#[no] ipv6 nd ra suppress [all]
  118. 118. ISET NABEUL | slide 125 Le Neighbour Solicitation (NS) Envoyé par Un hôte IPv6 But  Déterminer l’adresse L2 des voisins  Duplicate address detection (DAD)  Vérifier qu’un voisin est accessible Adresse Source  IP de l’interface qui fait la requête si il en existe  Adresse indéterminé (::) s’il n'y a pas encore d’adresse Adresse de Destination  L’adresse du voisin si elle est connue  L’adresse multicast de sollicitation de noeud de la cible sinon Remarques ICMP type 135, ICMP code 0
  119. 119. ISET NABEUL | slide 126 Le Neighbour Advertisement (NA) Envoyé par Un hôte IPv6 But  Répondre à un neighbour solicitation (NS)  Sinon, annoncer des mises à jour a ses voisins Adresse Source Toute adresse sur l'interface d'origine. Adresse de Destination  L’adresse IP du noeud qui émet le NA.  FF02::1 pour des diffusions périodiques Remarques ICMP type 136, ICMP code 0
  120. 120. ISET NABEUL | slide 127 Exemple d’un NA sollicité par un router
  121. 121. ISET NABEUL | slide 128 Exemple d’un NA sollicité par un hôte
  122. 122. ISET NABEUL | slide 129 Le message redirect Envoyé par Router IPv6 But Informer un noeud du meilleur next-hop.pour une destination Adresse Source Adresse Lien-local du routeur Adresse de Destination Adresse IP du nœud qui fait la requête Remarques ICMP type 137, ICMP code 0 Sample packet at http://j.mp/v6redirect
  123. 123. ISET NABEUL | slide 130 Le Duplicate Address Detection (DAD) N1 N2 2001:db8:c001::10 2001:db8:c001::10 ICMPv6 Type I35 (NS) source :: destination ff02::1:ff00:0010 target 2001:db8:c001::10 ICMPv6 Type I36 (NA) source 2001:db8:c001::10 destination ff02::1 target 2001:db8:c001::10
  124. 124.  Le DAD est effectué pour TOUT adresse unicast  Le DAD n’est JAMAIS effectué pour:  Les adresses anycast  Des adresses spécifiques  En cas d’échec du DAD  Cette adresse ne peut être assignée à une interface.  Tout adresse utilisant cet IID n’est donc pas unique  Une erreur system doit être enregistrée Plus de détails sur le DAD ISET NABEUL | slide 132
  125. 125. ISET NABEUL | slide 133 Exemple de paquet NS pour un DAD
  126. 126. Configurer DAD sur IOS de Cisco ISET NABEUL | slide 134 Définir le nombre de NS envoyé pendant DAD (config-if)#[no]ipv6 nd dad attempts <value> Définir l’intervalle de retransmission du NS pour le DAD (config-if)#[no] ipv6 nd dad time [millisecs]
  127. 127. Tentative Duplicate DAD Valid Les états de toute adresse IPv6 pltime > 0 vltime > 0 Invalid Preferred Deprecated ok oui non non oui nok RXTXRXTX RXTX TX RX NEW TX RX EXISTING
  128. 128. ① Pour quelle adresse ce DAD est-il fait? ② Quel est le SNMA de l'adresse en question? ③ Notez les adresses MAC suivants  L’hote qui fait le DAD  L’hote qui possède déjà cette adresse IP Exercice: Analyser http://j.mp/v6dad ISET NABEUL | slide 136
  129. 129. ISET NABEUL | slide 137 Resolution d’adresse de couche L2 N2 N1 2001:db8:c001::20 [b8:e8:56:4a:fe:ac] 2001:db8:c001::10 NS source 2001:db8c001::10 destination ff02::1:ff00:0020 target 2001:db8:c001::20 NA source 2001:db8:c001::20 destination 2001:db8:c001::10 target 2001:db8:c001::20 target L2 addr b8:e8:56:4a:fe:ac
  130. 130. ① Quelle est l'adresse IP de l'hôte avec la adresse MAC inconnue? ② Quel nœud (adresse IP) est à la recherche de l'adresse MAC? ③ Quelle est l'adresse de destination du paquet #1 ④ Quelle est l'adresse MAC du nœud (2)? ⑤ Quelle est l'adresse MAC du noeud (1)? Quiz: regardons j.mp/v6-MAC-addr-resolv ISET NABEUL | slide 138
  131. 131.  Les Nœuds vérifient activement l'état des voisins avec qui ils communiquent:  Déterminer si le voisin est inaccessible  Déterminer si la route vers le voisin est toujours valide  Le Voisin doit confirmer qu'il reçoit et traite les paquets IP en: ① Envoyant un indice de protocole de couche supérieure ex: TCP ACK ② Sollicitant un NA du voisin en utilisant une sonde unicast (NS) Le Neighbour Unreachability Detection (NUD) ISET NABEUL | slide 139
  132. 132. Configurer le NUD sur IOS de Cisco ISET NABEUL | slide 140 Définir le no. de fois que le NUD renvoie des messages NS (config-if)#ipv6 nd nud retry <base> <interval> <max-attempts> Définir la durée de vie (expiration) du cache ND (config-if)#ipv6 nd cache expire <time> [refresh] Configurer le ND pour créer une entrée d'un NA non sollicités (config-if)#ipv6 nd na glean
  133. 133. ISET NABEUL | slide 141 Capture d’un paquet NS pour un NUD
  134. 134. R O N S E Q U E S T I O N S P S
  135. 135. Les objectifs de la section ⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation Windows ⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation Linux ⫞ Configurer et vérifier IPv6 sur les systèmes d’exploitation MAC OS ⫞ Configurer et vérifier IPv6 sur Cisco IOS ⫞ Configurer et vérifier IPv6 sur Junos De Base IPv6 Sur Des Hôtes Configuration
  136. 136. La plupart des SEs ont IPv6 activé par défaut ISET NABEUL | slide 144 http://j.mp/OSv6-support
  137. 137. ISET NABEUL | slide 145 Configuration d’hôte: Windows Vista/7
  138. 138. ISET NABEUL | slide 146 Configuration d’hôte: Mac OS X
  139. 139. ISET NABEUL | slide 147 Configuration d’hôte: Linux (/etc/network/interfaces) Adressage statique auto eth0 iface eth0 inet6 static address 2001:db8:fedc:abcd::1/64 Client DHCPv6 auto eth0 iface eth0 inet6 dhcp Adressage automatique sans état auto eth0 iface eth0 inet6 auto Serveur DNS (/etc/resolv.conf) nameserver 2001:db8:c001::53a nameserver 2001:db8:c001::53b
  140. 140.  Rappel: les adresses EUI-64 rendent facilite le tracking  Pour des raisons de confidentialité, les hôtes peuvent utiliser un IID généré aléatoirement  Le status des adresses confidentielles sur quelques SEs  Windows Vista/7/8: Activé par défaut  OS X 10.8+ : Activé par défaut  Linux - Non activé par défaut L’usage des adresses confidentielles ISET NABEUL | slide 148
  141. 141. ISET NABEUL | slide 149 Désactiver l’adressage confidentiel Windows c:netsh interface ipv6 set privacy state=enabled c:netsh interface ipv6 set global randomizeidentifiers=enabled Mac OS X (/etc/sysctl.conf) net.inet6.ip6.use_tempaddr=1 net.inet6.ip6.temppltime=XX Linux (/etc/sysctl.conf) $echo "1" > /proc/sys/net/ipv6/conf/default/use_tempaddr
  142. 142. ISET NABEUL | slide 150 Configuration IPv6 de base sur IOS de Cisco Activer IPv6 sur une Interface (config-if)#ipv6 enable Assigner une adresse IPv6 avec un interfaceID automatique #ipv6 address <prefix/length> eui-64 Assigner une adresse IPv6 statique #ipv6 address <address/length> [link-local | anycast] Activer le routage IPv6 et CEF (config)#ipv6 unicast-routing (config)#ipv6 cef
  143. 143. ISET NABEUL | slide 151 Configuration IPv6 de base sur Junos Activer IPv6 sur une Interface #edit interfaces <interfacename> unit <unit_no> Assigner une adresse IPv6 avec un interfaceID automatique #set family inet6 address <prefix/prefix-length> eui-64 Assigner une adresse IPv6 statique #set family inet6 address <ipv6address/prefix-length>
  144. 144. R O N S E Q U E S T I O N S P S
  145. 145. Les objectifs de la section ⫞ Décrire les options d’attribution d’adresses en IPv6 ⫞ Décrire, et vérifier comment fonctionne SLAAC ⫞ Décrire, et vérifier comment fonctionne DHCPv6 ⫞ Décrire, et vérifier comment fonctionne DHCPv6-PD Attribution D’adresse Dans IPv6
  146. 146. ISET NABEUL | slide 154 Exigences de base pour l’attribution d'adresse ① Adresse(s) IPv6 ② Passerelles par défaut IPv6 ③ Serveur(s) DNS ① Adresse(s) IPv6 ② Passerelles par défaut IPv6 ③ Serveur(s) DNS ④ Délégations de préfixe(s)
  147. 147. ISET NABEUL | slide 155 Il y’a 2 mécanismes d'approvisionnement clés Basé sur RA (SLAAC) DHCPv6 Adresse Passerelle par défaut DNS config. DNS config.Adresse Délégation de préfixe Autres Le DNS via RA est récent, il n ya donc pas encore de support global
  148. 148. ISET NABEUL | slide 156 Comparaison les options offertes par méthodes Adresses Pass. Par defaut DNS info. Delegat. de Préfixes SLAAC Oui Oui Non Non Stateful DHCPv6 Oui Non Oui Oui Stateless DHCPv6 Non Non Oui Non RDNSS Non Non Oui Non
  149. 149. ISET NABEUL | slide 157 Les options dans les RAs M O L A Dans les messages RA Dans les Informations de Préfixes en option dans le RA Managed configuration Other configuration On-Link Address configuration
  150. 150.  Les hôtes doivent être configurés pour obtenir une adresse IP automatiquement  Tous les hôtes génèrent toujours et utilisent une adresse Lien-locale L’usage des options ‘M’ & ‘A’ détermine comment les hôtes reçoivent leur adresses ISET NABEUL | slide 158 M A Adresses résultant sur l’interface de l’hôte (on-link) 0 0 Aucune adresse sera configuré automatiquement 0 1 Adresse généré à partir de préfixe(s) dans un RA 1 1 Adresse généré à partir de préfixe(s) dans un RA Adresse complète à partir du serveur DHCP 1 0 Adresse complète à partir du serveur DHCP
  151. 151.  Mettre L = 0 force un comportement de PVLAN sur le sous-réseau  Il n'ya pas de moyen d’indiquer le statut on-link avec DHCP  Hôtes n'effectuent pas de résolution d'adresse L2 pour des adresses off-link L’usage de l’option ‘L’ pour indiquer des voisins sur le lien ISET NABEUL | slide 159 L Comment traiter d'autres adresses dans le préfixe 1 On-link: transmet directement, pas besoin de routeur 0 Off-link: utiliser la passerelle par défaut pour les obtenir
  152. 152.  Les Informations DNS nécessaires 1) Un ou plusieurs Serveurs DNS Récursifs (RDNSS) 2) List de nom de domaines  Si DHCPv6 est utilisé  Configurez les options de serveur DHCP  Mettre l’option ‘M’ à 1  Si SLAAC est utilisé  Configurez les options sur le routeur  Si le client supporte la RFC6106, il obtiendra les informations DNS  Si le client ne supporte pas la RFC 6106, mettre l’option 'O' à 1 Donner les informations du DNS ISET NABEUL | slide 160
  153. 153. ISET NABEUL | slide 161 Donner les informations du DNS Serveur DNS recursif Liste des noms de domaines Pas RFC 6106 Serveur DHCPv6 Passerelle RFC 6106 Pas RFC 6106 [RA] M = 1 [RA] O = 1
  154. 154. ISET NABEUL | slide 162 Comment le (SLAAC) fonctionne t-il RS RA [PIO] 2001:db8:c001::/64 {A=1} [RDNSO] 2001:db8:cafe::53 Address: 2001:db8:c001:<EUI-64>/64 DNS: 2001:db8:cafe::53 2001:db8:c001::1/64
  155. 155. ① Mettre O =1 lorsque M =1 est redondant ② En pratique, certains DNS peuvent nécessiter que vous utilisez les deux à la fois ③ Un préfixe avec les options A & L = 0, est inutiles ④ DHCPv6 ne précise pas la longueur de préfixe, donc vous aurez besoin de L = 1 pour éviter les comportements PVLAN ⑤ SLAAC ne fonctionne qu'avec /64, il n’est donc pas possible d’utiliser un préfixe plus long A savoir sur l’usage des options ISET NABEUL | slide 164
  156. 156. ISET NABEUL | slide 165 Configurer SLAAC sur un router Cisco (config)#interface fastethernet 0/1 (config-if)#ipv6 address 2001:db8:c001::1/64 (config-if)#ipv6 nd prefix 2001:db8:a::/64 no-advertise
  157. 157. ISET NABEUL | slide 166 Exercice: Analyser j.mp/SLAAC-1 ① Quelle est l’adresse MAC de l'hôte qui veut une adresse? ② Quelle est l’adresse MAC du routeur qui répond? ③ Quel est le préfixe IPv6 que le routeur envoie à l'hôte? ④ Les adresses obtenues à partir de ce préfixe sont valident pendant combien de temps? ⑤ Écrivez une adresse IPv6 que l'hôte peut avoir
  158. 158. ISET NABEUL | slide 167 Comment le stateful DHCPv6 fonctionne t-il (1/2) [ND]RS M = 1 [RA] 1 2 3 4 [DHCP6] Solicit Option Request Option Advertise[DHCP6] 2001:db8:c001::face {DNS} 2001:db8:cafe::53
  159. 159. ISET NABEUL | slide 168 Comment le stateful DHCPv6 fonctionne t-il (2/2) Reply [DHCP6] [DHCP6] Request 2001:db8:c001::face 2001:db8:c001::face 6 5 Address: 2001:db8:c001::face DNS: 2001:db8:cafe::53
  160. 160.  DHCP est un protocole mature et donc familier  Plus d'options pour contrôler la façon dont les adresses sont attribuées par exemple:  Limiter l’attribution à une petite plage d'adresses  Affecter une adresses IP à des clients particuliers  Support pour les mises à jour dynamique de DNS  D'autres paramètres peuvent être passés en utilisant les options  Logs centralisés (dépannage et investigations)  Certains SEs ne sont pas équipés de clients DHCPv6 (EX: Android)  L’on ne peut donner de passerelle par défaut aux clients Avantages et inconvénients du stateful DHCPv6 ISET NABEUL | slide 169
  161. 161. ISET NABEUL | slide 170 Exercice: Analyser j.mp/DHCPv6-1 ① Quelle est l'adresse IPv6 du serveur DHCPv6? ② De quel protocole et de quel port a été initié la requête? ③ Vers quel protocole et quel port a été envoyé la requête? ④ Quel est l'identificateur unique du client pour cette session? ⑤ Quels sont les paramètres demandés par le client? ⑥ Quelle est l’adresse IPv6 que le routeur donne à l'hôte? ⑦ Pendant combien de temps les adresses obtenues à partir de ce préfixe sont-elles valident? ⑧ Notez tous les paramètres DNS reçus par le client
  162. 162. ISET NABEUL | slide 171 Comment le stateless DHCPv6 fonctionne t-il (1/2) [ND]RS1 2 M = 0 [RA] [PIO] 2001:db8:c001::/64 {A=1} Address: 2001:db8:c001:<EUI-64>/64 3
  163. 163. ISET NABEUL | slide 172 Comment le stateless DHCPv6 fonctionne t-il (2/2) Advertise[DHCP6] {DNS} 2001:db8:c001::53 4 5 [DHCP6] Solicit Option Request Option Address: 2001:db8:c001:<EUI-64>/64 DNS: 2001:db8:c001::53 6
  164. 164.  Avantages:  Le Support pour le SLAAC est omniprésent.  Les hôtes Non-DHCPv6 pourront toujours d'obtenir une connectivité de base. (les résolveurs DNS peuvent être configurés manuellement)  Autre options possible (EX: NTP, NIS, SIP etc)  Inconvénients:  Zéro contrôle sur la façon dont les adresses sont attribuées.  L’utilisation de DDNS est précaire.  Problèmes de confidentialité si EUI-64 est utilisé pour les IID  Aucun journal centralisé pour investigation Avantages et inconvénients du stateless DHCPv6 ISET NABEUL | slide 173
  165. 165. ISET NABEUL | slide 174 Exemple d’usage des options ‘M’ et ‘O’ sur IOS (config)# interface FastEthernet0/0 (config-if)#ipv6 address 2001:db8:c001::a/64 (config-if)#ipv6 nd managed-config-flag (config-if)#ipv6 nd other-config-flag (config-if)#ipv6 nd prefix default no-advertise
  166. 166. ISET NABEUL | slide 175 Configuration de stateless DHCPv6 sur IOS (config)# ipv6 dhcp pool dhcp-pool (config-dhcp)#dns server 2001:db8:face::53 (config-dhcp)#domain-name 6lab.ATI.net (config-dhcp)#exit (config-dhcp)#interface fastethernet 0/1 (config-if)#ipv6 nd other-config-flag
  167. 167. ISET NABEUL | slide 176 Exemple d’usage des options ‘M’ and ‘O’ sur JUNOS protocols { router-advertisement { interface ge-0/1/0.0 { managed-configuration; other-stateful-configuration; prefix 2001:db8:c00l::/64 { no-autonomous; } } } }
  168. 168. ISET NABEUL | slide 177 Exercice: Analyser j.mp/SL-DHCPv6 ① Quelle est l'adresse IPv6 du serveur DHCPv6? ② Vers quel protocole de niveau 4 et quel port la requête est-elle envoyée? ③ Quel est l'identificateur unique du client pour cette session? ④ Quels sont les paramètres demandés par le client? ⑤ Quelle est l’adresse IPv6 que le routeur donne à l'hôte? ⑥ Pendant combien de temps les adresses obtenues à partir de ce préfixe sont-elles valident? ⑦ Notez tous les paramètres DNS reçus par le client
  169. 169. ISET NABEUL | slide 178 Comment le DHCPv6-PD fonctionne t-il (1/2) Provision WAN addr & DNS Advertise[DHCP6] 4 [DHCP6] Solicit Option IA_PD 1 Address: 2001:db8:face:<EUI-64>/64 DNS: 2001:db8:c001::53 2 3
  170. 170. ISET NABEUL | slide 179 Comment le DHCPv6-PD fonctionne t-il (2/2) Address: 2001:db8:face:<EUI-64>/64 Reply[DHCP6] {IA-PD} 2001:db8:dad:c000::/60 6 [DHCP6] Request Option IA_PD DNS: 2001:db8:c001::53 Prefix: 2001:db8:dad:c000::/60 7 5
  171. 171. ISET NABEUL | slide 180 Exemple de configuration de DHCPv6-PD (config)#ipv6 dhcp pool dhcpv6 (config-dhcp)#prefix-delegation pool v6pool lifetime 1800 600 (config-dhcp)#dns-server 2001:db8:face::53 (config-dhcp)#domain-name 6lab.ATI.net
  172. 172. ISET NABEUL | slide 181 Comparaison DHCPv4 vs DHCPv6 DHCPv4 DHCPv6 Usage de l’option ‘Managed Configuration’ Pas disponible Utilisée par les routeurs pour contrôler la configuration des hôtes Adresses source et de destination du message initiale DHCP src: 0.0.0.0 dst: broadcast src: Adresse Lien-Local dst: ff02::1:2 (Usage plus efficace du lien) Comment le serveur identifie les clients Adresses MAC DHCP Unique Id (DUID) Message de reconfiguration Pas disponible Les serveurs peuvent demander aux clients de mettre à jour leur configuration Association d’identité Pas disponible Les clients peuvent gérer plusieurs serveurs (redondance)
  173. 173. ISET NABEUL | slide 182 Certains serveurs DHCPv6 et leurs fonctions logiciel Certaines options clés supportées ISC DNS, NTP, NIS, SIP, Lifetime, Prefix Delegation, Relay IDs, FQDN WIDE DNS, NTP, NIS, SIP, Lifetime, Prefix delegation Dibbler DNS, NTP, NIS, SIP, Lifetime, Timezone, Prefix delegation, FQDN, Windows DNS, NIS, SIP, NTP, Lifetime, User class Cisco IOS DNS, NTP, NIS, SIP, Lifetime, Relay IDs, Prefix Delegation Source: http://ipv6int.net/software/index.html
  174. 174. R O N S E Q U E S T I O N S P S
  175. 175. Merci

×