Couleurs
Download
1 / 46

IPv6 pour les Nuls - PowerPoint PPT Presentation


  • 272 Views
  • Updated On :

IPv6 pour les Nuls. 10 février 2011 Marc Michault Arnaud Lheureux Technologist Lead PFE- Security Sidem Systems Solutions Microsoft France. Ils avaient raison!. C’est la fin!!!!!. FoxNews – 26 jan 2011. C’est quoi ce b eODLZ ?. ? ? ? ?. Agenda. Le paquet et les adresses IPv6

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'IPv6 pour les Nuls' - archana


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
Ipv6 pour les nuls l.jpg

IPv6 pour les Nuls

10 février 2011

Marc MichaultArnaud LheureuxTechnologist Lead PFE- Security

SidemSystems Solutions Microsoft France


Slide3 l.jpg

Ilsavaient raison!

C’est la fin!!!!!

FoxNews – 26 jan 2011


C est quoi ce b eodlz l.jpg
C’est quoi ce beODLZ?

?

?

?

?


Agenda l.jpg
Agenda

  • Le paquet et les adresses IPv6

  • Configuration (et Auto-Configuration)

  • Résolution de Noms

  • Technologies de Transition

  • Dernières pensées


I le paquet et les adresses ipv6 l.jpg
I – Le Paquet et les Adresses IPv6

  • Le Paquet IPv6

  • Comment rédiger des adresses IPv6

  • Sous-Réseautage

  • Types d’adresses

    • Monodiffusion (Unicast)

    • Multidiffusion (Multicast)


Paquet ipv6 l.jpg
Paquet IPv6

  • IPv6 utilise des adresses codées sur 128 bit

  • En-tête réduit et fixe pour un routage rapide

  • Options dans les en-têtes d’extensions

  • Support de l’IPSec(en-têtes d’extensions spécifiques)

  • Support du QoS(Identifiant de flux dans l’en-tête)

Protocol Data Unit (PDU)

Extension

x8-octets

Extension

x8-octets

En-Tête IPv6

40-octets


Adresses ipv6 l.jpg
Adresses IPv6

  • Des “:” séparent huit blocs de 4 chiffres hexadécimaux

  • Les zéros de gauche sont ôtés

    • Les groupes de zéros sont compressés

      • Une seule fois…

1111 1101 0000 0000 0000 0000 0000 0000

0000 0000 0000 0000 0000 0000 0010 0001

0000 0000 0000 0001 0000 0000 0000 0000

0000 0000 0000 0000 0101 0001 0100 0011

FD000000000000210001000000005143

FD00:0000:0000:0021:0001:0000:0000:5143

FD00:0:0:21:1:0:0:5143

FD00:0:0:21:1:0:0:5143

FD00::21:1:0:0:5143

FD00::21:1:0:0:5143

FD00::21:1::5143

FD00:0000:0000:0021:0001:0000:0000:5143


Sous r seautage l.jpg
Sous-Réseautage

  • Par défaut:

    • Identifiant de réseau de 48-bit

    • Identifiant de sous-réseau de 16-bit

    • Identifiant d’interface de 64-bit

  • Préfixe en notation CIDR:

    • Adresse/Préfixe:FD00::21:1:0:0:5143/96

S-R16-bit

Réseau48-bit

Interface ID64-bit


Types d adresses ipv6 photo de famille l.jpg
Types d’Adresses IPv6Photo de famille

  • Un nœud a typiquement plusieurs adresses IPv6:

    • Adresses de Mono-Diffusion

      • Link-Local Unicast

        • Identifiant d’Interface

      • Global Unicast

      • Unique Local Unicast

      • Interfaces de Tunnels

      • Spéciales (Réservées)

  • Adresses de Multi-Diffusion

    • SolicitedNode

    • Link-Layer multicast addresses


Adresses ipv6 link local bienvenue chez vous l.jpg
Adresses IPv6 Link-LocalBienvenue chez vous

  • FE80::/64

  • Similaire aux adresses APIPA (169.254.0.0)

  • Toujours présentes

  • Nécessaire pour les opérations sur le segment


Identifiants de zones scope recyclez l.jpg
Identifiants de Zones (Scope)Recyclez!

  • Les adresses Link-Local peuvent être dupliquées et ambigues

  • Pour clarifier une ZONE ID indique le lien

    • Sur Windows elle représente l’index d’interface

  • Syntaxe:

    • ADDRESS%ZONE_ID

    • Exemple:FE80::C582:1680:D349:A6BF%13


Identifiants de zones scope recyclez13 l.jpg
Identifiants de Zones (Scope)Recyclez!

Je dois envoyer un paquet à fe80::1:2:3:4 …

Quelle carte?

FE80::CD87:5DD6:CF39:DD08

%12

FE80::80D4:29C9:2B3C:A0E2

%13


Adresses global unicast ipv6 ipv6 internet publique l.jpg
Adresses Global Unicast IPv6IPv6 Internet Publique

  • Utilisation similaire aux adresses IPv4 publiques

  • 2000::/3 (= 2000-3FFF)

    • 2001 utilisé pour Teredo et 2002 pour 6to4(solutions de compatibilité IPv4)

  • Préfixe de routage global de 45-bit,Identifiant de sous-réseau de 16-bit


Adresses ipv6 unique local intranets priv s ipv6 l.jpg
Adresses IPv6 Unique LocalIntranets privés IPv6

  • Utilisation similaire aux adresses IPv4 privées (RFC 1918)

    • Adresses Site-Local (FEC0::) retirées

  • FC::/7

    • Mais le 8éme bit définit “local” donc FD::

“local”


Adresses ipv6 de multi diffusion tir group l.jpg
Adresses IPv6 de Multi-DiffusionTir groupé

  • Utilisées pour les opérations link-local (segment)

    • Pas de broadcast en IPv6!

  • FF suivi par 4 bits pour les qualifiants et 4 bits pour l’étendue

1=Interface-Local

2=Link-Local

5=Site-Local

Etendue

Qualif.

1=Tous Noeuds

2=Tous Routeurs


Adr de multicast fr quentes exemples l.jpg
Adr. de Multicast Fréquentes Exemples

  • Nœuds/Lien

    • FF01::1 – Interface-Local tous les Nœuds

    • FF02::1 – Link-Local tous les Nœuds

    • FF02::1:2 – Tous les serveurs DHCP

    • FF02::1:3 – Résolution de noms Link-Local (LLMNR)

  • Routeurs

    • FF01::2 – Interface-Local tous les Routeurs

    • FF02::2 – Link-Local tous les Routeurs

    • FF05::2 – Site-Local tous les Routeurs


Solicited node adresse de multidiffusion associ e l adresse de monodiffusion l.jpg
SolicitedNodeAdresse de multidiffusion associée à l’adresse de monodiffusion

  • Les noeuds enregistrent des adresses de multidiffusion associées à leurs adresses IPv6

    • Syntax:FF02::1:FF00:0/104 + <derniers 24 bits del’Interface-ID IPv6 >

  • Utilisé pour obtenir l’adresse physique d’un hôte (remplace ARP)

  • FE80::C582:1680:D349:A6BF

  • FE80::C582:1680:D349:A6BF

  • FF02::1:FF49:A6BF

  • FF02::1:FF49:A6BF


Adr mac de multi diffusion adresses mac enregistr es par l interface l.jpg
Adr. MAC de Multi-DiffusionAdresses MAC enregistrées par l’interface

  • Pour recevoir le traffic, les noeuds enregistrent les adresses MAC de multi-diffusion associées à leurs multi-diffusions IPv6

  • Syntaxe:33-33+ <Derniers 32 bit de l’adresse IPv6 multi-diffusion>

  • Utilisées pour répondre aux multi-diffusions IPv6 à la couche physique

33-33-FF-49-A6-BF

33-33-00-00-00-01


Adresses r serv es et routage o vais je l.jpg
Adresses Réservées et RoutageOù vais-je?

  • ::1: Localhost (le stack local)

  • ::: Adresse indéfinie (l’ensemble du réseau)

  • Le routage fonctionne de la même manière que sur IPv4

  • La passerelle (routeur)

    • Peut être définie automatiquement par annonce

      • Sollicitation et annonce de routeur ICMPv6


Ii configuration automatique l.jpg
II – Configuration Automatique

  • Configuration Stateful ou Stateless

  • Découverte de Voisinage (Neighbor Discovery)

  • Allocation automatique d’adresse

  • Découverte de Routeur (Router Discovery)


Recherche d adresses ipv6 j en veux j en veux l.jpg
Recherche d’Adresses IPv6J’en veux, j’en veux!

  • Stateless

    • Link-Local NeighborDiscovery

    • Router Advertisement

  • Stateful

    • Manuelle

    • DHCPv6


D couverte des voisins enqu te de voisinage l.jpg
Découverte des VoisinsEnquéte de Voisinage

  • ICMPv6 Options Types:

    • 1-127: Codes d’erreur

    • 128-255: Codes d’information

  • NeighborDiscovery utilise des paquets ICMPv6

    • Avec des options types d’information spécifiques

    • Envoyés sur des adresses de multidiffusion

  • Les annonces sont envoyées:

    • Régulièrement (à la multidiffusion de tous les nœuds link-local)

    • En réponse à une demande (à l’adresse du demandeur)


Neighbor discovery bonjour voisin l.jpg
Neighbor DiscoveryBonjour voisin…

Vert

IPv6:FE80::2AA:FF:FE11:1111

MAC: 00-AA-00-AA-AA-AA

NeighborAdvertisement

ICMPv6 Options Type: 136

MAC

Src:

Dest.

IPv6:

Src:

Dest:

Target:

Option:

00-AA-00-BB-BB-BB

00-AA-00-AA-AA-AA

FE80::2AA:FF:FE22:2222

FE80::2AA:FF:FE11:1111

FE80::2AA:FF:FE22:2222

00-AA-00-BB-BB-BB

Blanc Adr. MAC

Vert Adr. MAC

Blanc Adr. IPv6

Vert Adr. IPv6

Blanc Adr. IPv6

Blanc Adr. MAC

Vert Adr. MAC

Blanc Solicited. Adr.

Vert Adr. IPv6

Blanc SolicitedAdr.

Blanc Adr. IPv6

Source Link-Layer Address

00-AA-00-AA-AA-AA

33-33-FF-22-22-22

FE80::2AA:FF:FE11:1111

FF02::1:FF22:2222

FE80::2AA:FF:FE22:2222

Source Link-Layer Address

Neighbor Solicitation

ICMPv6 Options Type: 135

MAC

Src:

Dest.

IPv6:

Src:

Dest:

Target:

Option:

Blanc

IPv6: FE80::2AA:FF:FE22:2222

MAC: 00-AA-00-BB-BB-BB


Auto attribution d adresse ipv6 j veux la mienne l.jpg
Auto-Attribution d’Adresse IPv6J’veux la mienne!

  • Sollicitation de voisin avec une adresse auto-attribuée

  • Mais la source est :: (adresse indéfinie)

    • L’adresse est définie comme “Tentative”

    • Ne peux pas encore recevoir de paquets adressés à cette adresse

  • Si un conflit existe, la machine en conflit répond

  • Sinon, l’adresse est maintenue

    • L’adresse est définie comme “Valide”

    • L’hôte peux recevoir des paquets adressés à cette adresse


Router discovery par ici la sortie l.jpg
Router DiscoveryPar ici la sortie…

Vert

Router Advertisement

ICMPv6 Options Type: 134

MAC

Src:

Dest.

IPv6:

Src:

Dest:

Target:

Option:

Routeur Adr. MAC

Nodes Multicast

Routeur Adr. IPv6

Link-Local Nodes Multicast

Routeur Adr. IPv6

Routeur Adr. IPv6, MTU,

Préfixes…

00-AA-00-CC-CC-CC

33-33-00-00-00-01

FE80::2AA:FF:FE33:3333

FF02::1

FE80::2AA:FF:FE33:3333

00-AA-00-CC-CC-CC, MTU,

Préfixes…

Routeur

IPv6: FE80::2AA:FF:FE33:3333

MAC: 00-AA-00-CC-CC-CC


Ipv6 natif l.jpg
IPv6 Natif

  • Router Advertisement sur DA01

    • netshint ipv6 set route 2001:DB8:ABCD:1111::/64 "Local Area Connection" publish=yes

    • Netshint ipv6 set int "Local Area Connection" advertise=enable


Router discovery demande je veux sortir l.jpg

Router Advertisement

ICMPv6 Options Type: 134

MAC

Src:

Dest.

IPv6:

Src:

Dest:

Target:

Option:

Router Discovery (Demande)Je veux sortir!

Vert

IPv6: FE80::2AA:FF:FE11:1111

MAC: 00-AA-00-AA-AA-AA

00-AA-00-CC-CC-CC

00-AA-00-AA-AA-AA

FE80::2AA:FF:FE33:3333

FE80::2AA:FF:FE11:1111

FE80::2AA:FF:FE33:3333

00-AA-00-CC-CC-CC, MTU,

Préfixes…

Routeur Adr. MAC

Vert Adr. MAC

Routeur Adr. IPv6

Vert Adr. IPv6

Routeur Adr. IPv6

Routeur IPv6 Adr., MTU,

Préfixes…

00-AA-00-AA-AA-AA

33-33-00-00-00-02

FE80::2AA:FF:FE11:1111

FF02::2

FE80::2AA:FF:FE22:2222

Source Link-Layer Address

Vert Adr. MAC

Routeur Multicast

Vert Adr. IPv6

Routeur Multicast Local

Routeur Adr. IPv6

Source Link-Layer Address

Router Solicitation

ICMPv6 Options Type: 133

MAC

Src:

Dest.

IPv6:

Src:

Dest:

Target:

Option:

Routeur

IPv6: FE80::2AA:FF:FE33:3333

MAC: 00-AA-00-CC-CC-CC


Atttribution d adr ipv6 stateful configuration g r e l.jpg
Atttribution d’adr. IPv6 StatefulConfiguration gérée

  • Manuelle

    • Refusez, la vie est trop courte!

  • DHCPv6

    • IPv6 Scope

    • Configuration IP additionnelle

      • DNS, etc…


Iii r solution de noms l.jpg
III – Résolution de Noms

  • Link-Local Multicast Name Resolution (LLMNR)

  • Domain Name Service (DNS)


R solution de noms qu est ce qui se cache derri re un nom l.jpg
Résolution de NomsQu’est-ce qui se cache derrière un nom?

  • Sous-réseau local

    • Link-Local Multicast Name Resolution

  • Internet

    • Peer Name Resolution Protocol

    • DNSv6

      • AAAA records

      • Reverse pointer


Link local multicast name resolution llmnr mes copains du quartier l.jpg
Link-Local MulticastName Resolution (LLMNR)Mes copains du quartier

  • Paquets similaire au DNS sont envoyés en multidiffusion

    • FF02::1:3 sous IPv6

      • 224.0.0.252pour IPv4

    • Port UDP 5355(peux aussi utiliser TCP)

  • Remplaces le service Browser 


Dnsv6 notation aaaa l.jpg
DNSv6Notation AAAA

  • Les enregistrements IPv6 sont inscrit avec AAAA

  • Les enregistrements inversés son inscrit dans IP6.IANA

    • Notation inversée par chiffre hexadécimal

    • Par exemple, pointeur à 2001:0DB8:DADA::BEEF:1:

      1.0.0.0.F.E.E.B.0.0.0.0.0.0.0.0.0.0.0.0.A:D:A:D.8.B:D.0.1.0.0.2.ip6.arpa.IN PTR

  • Le DNS essaiera de répondre avec l’adresse appropriée

    • IPv6 or IPv4


Sommaire alors a me sert quoi tout cela l.jpg
SommaireAlors, ça me sert à quoi tout cela?

  • HomeGroup

  • DirectAccess

  • Peer-to-Peer Name Resolution(PPNR)

    • EasyConnect

  • People Near Me

    • Meeting Space(snif, snif, Vista )

  • Etc…


Iv technologies de transition l.jpg
IV – Technologies de Transition

  • Tunneling

  • ISATAP

  • 6to4


Tunneling encapsuler un paquet ipv6 dans de l ipv4 l.jpg
TunnelingEncapsuler un paquet IPv6 dans de l’IPv4

  • IPv6 (inclus l’en-tête avec les adresses) est la charge IPv4

  • Type de paquet définit comme 41 pour indiquer un paquet IPv6 encapsulé

IPv6Header

IPv6Header

ExtensionHeader

ExtensionHeader

ExtensionHeader

ExtensionHeader

Protocol Data Unit

Protocol Data Unit

IPv4 Protocol Data Unit

IPv4Header


Isatap intra site automatic tunnel addressing protocol l.jpg
ISATAPIntra-Site Automatic Tunnel Addressing Protocol

  • But: Fournir un support aux applications IPv6 dans un réseau IPv4

    • Adresses IPv6 pour des hôtes IPv4

    • L’intranet IPv4 est présenté comme un seul segment

  • Interface ID:

    • ::0:5EFE:w.x.y.z (adresse IPv4 privée)

    • ::200:5EFE:w.x.y.z(adresse IPv4 publique)

  • Avec soit comme Network ID:

    • FE80::/64 Link-Local

    • Un préfixe annoncé par un routeur ISATAP

  • Les paquets de/à ces adresses sont transportés en IPv4

AdresseIPv4


Isatap attribution d adresses l.jpg
ISATAPAttribution d’adresses

192.168.41.30

192.168.41.30

FE80::5EFE:192.168.41.30

2001:DB8:0:7:0:5EFE:192.168.41.30

Annonce de Routeur2001:DB8:0:7::/64

Routeur ISATAP

IPv6 Network

IPv4 Intranet

10.40.1.29

10.40.1.29

FE80::5EFE:10.40.1.29

2001:DB8:0:7:0:5EFE:10.40.1.29


Ipv6 et isatap en action l.jpg
IPv6 et ISATAP en Action!

  • Annonce du préfixe 2001:FEFE::/64 pour ISATAP


6to4 utilisation et fonctionnement l.jpg
6to4Utilisation et fonctionnement

  • But: Permettre à des réseaux IPv6 de communiquer au travers de l’Internet IPv4

  • L’Internet IPv4 est encapsulé dans la plage 2002:WWXX:YYZZ::

  • 6to4 Relay offre des adresses dans la plage 2002:WWXX:YYZZ::

    • À des hôtes de l’intranet IPv6

    • Basées sur l’adresse IPv4 externe WW.XX.YY.ZZdu relais 6to4


6to4 attribution d adresses l.jpg
6to4Attribution d’adresses

FE80::CD87:5DD6:CF39:DD08

2002:836B:1759:5::1

Annonce de Routeur2002:836B:1759:5::/64

Adresse externe:131.107.23.89

En Hex=836B:1759

Relais 6to4

Réseau IPv6

Internet IPv4

FE80::80D4:29C9:2B3C:A0E2

2002:836B:1759:5::2


V derni res pens es l.jpg
V – Dernières pensées…

  • Ressources

  • Arnaud

  • Marc


Resources l.jpg
Resources

WWW.Microsoft.Com/IPv6

  • “Introduction to IPv6” & “IPv6 Transition Technologies”

MSPress “Understanding IPv6, Second Edition”, Joseph Davies

Wikipedia 


Derni res pens es d arnaud l.jpg
Dernières pensées d’Arnaud

  • Non, une adresse IPv6 n’est pas basée sur l’adresse MAC de la carte!

  • Désactiver IPv6 n’accélère pas votre machine

  • IPv6 activé par défaut n’est pas dangereux pour la santé

  • IPv6 n’est pas plus “secure” qu’IPv4…


Derni res pens es de marc l.jpg
Dernières pensées de Marc

  • IPv6 est prévu pour des machines…

  • …Pas des être humains!

  • IPv6 est finalisé depuis 2006 mais…

  • …les choses changent entre les versions de Windows

  • Les technologies de transition…

  • …sont transitoires!

  • Vous stressez pas,…

  • …ce ne sont que des uns et de zéros !