l ipv6 chez via n.
Download
Skip this Video
Loading SlideShow in 5 Seconds..
L’IPv6 chez VIA PowerPoint Presentation
Download Presentation
L’IPv6 chez VIA

Loading in 2 Seconds...

play fullscreen
1 / 21

L’IPv6 chez VIA - PowerPoint PPT Presentation


  • 88 Views
  • Uploaded on

L’IPv6 chez VIA. er11. Ce qu’on va voir aujourd’hui. IPv6 en quelques mots (!) IPv6 chez VIA aujourd’hui Quelques idées à court terme…. IPv6 en quelques mots. Pourquoi ? Comment ?. IPv6, c’est IP avec 96 bits en plus. IPv6 normalisé en 1998 : RFC 2460

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'L’IPv6 chez VIA' - farrah


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
ce qu on va voir aujourd hui
Ce qu’on va voir aujourd’hui

IPv6 en quelques mots (!)

IPv6 chez VIA aujourd’hui

Quelques idées à court terme…

ipv6 en quelques mots
IPv6 en quelques mots

Pourquoi ? Comment ?

ipv6 c est ip avec 96 bits en plus
IPv6, c’est IP avec 96 bits en plus

IPv6 normalisé en 1998 : RFC 2460

But: capitaliser sur les acquis d’IPv4, conçu alors qu’Internet était quasi inexistant…

Mais l’essentiel reste, et IPv4 est amélioré progressivement

Grandes lignes :

Prévenir les problèmes de saturation d’IPv4, anticipés très rapidement…

Améliorer les performances de routage, supprimer la fragmentation

Intégrer nativement des ajouts postérieurs dans IPv4, notamment multicast

Corriger un certain nombre de failles de sécurité : IPSEC natif…

les en t tes ipv6 et ipv4 compar es
Les en-têtes IPv6 et IPv4 comparées

En-tête IPv6 épurée, des options inutiles supprimées (ToS…)

Pas de vérification de checksum par le routeur : routage accéléré

Taille fixe : 40 octets contre 20 à 60 en IPv4

des ip en grande quantit
Des IP en grande quantité

2128 adresses IP, soit environ 1038 IP, ce qui permet… beaucoup d’IP par m²

Mais c’est moche une IPv6 sur 128 bits, même réduit/écrit en hexadécimal…

Astuce : réduire les IP, en supprimant les 0 inutiles et le premier groupe de 0 inutiles éventuel

FD00:0000:0000:0021:0001:0000:0000:5143 devient FD00::21:1:0:0:5143

IPv4 épuisées ?

Bien plus d’IPv6, et surtout bien plus d’IPv6 par client pour éviter d’utiliser le NAT

Structure générale d’une IPv6 : en général, un client final dispose d’un /48 ou d’un /64

Pourquoi autant d’IP ?

Lié aux nouveaux mécanismes d’attribution d’IP

Préfixe de 48 bits (FAI)

64 bits : partie spécifique à l’hôte

24 bits : subnetting

coucou tu veux une ip
Coucou ! Tu veux une IP ?

Avec IPv4 : DHCP et la configuration manuelle

Avec IPv6 :

DHCPv6, mais c’est pourri (sécurités supplémentaires comme en IPv4)

Autoconfiguration « stateless » : le routeur donne un préfixe, le client choisit l’IP

Soit sur la base de son adresse MAC (48 bits sur les 64 disponibles)

Soit une attribution aléatoire ou cryptographique

But de cette attribution : ne pas pouvoir mapper MAC et IPv6 (suffixe IPv6 unique pour tous les réseaux !)

Mais comment associer IP et MAC ? ARPNeighborDiscovery Protocol

adieu broadcast bonjour multicast
Adieu broadcast, bonjour multicast

Broadcast: pas sûr, charge inutilement le réseau, risque lié aux boucles…

Multicast est bien plus optimal ! (mais les soucis de sécurité ne sont pas vraiment résolus)

Un NDP sécurisé existe mais est assez contraignant et peu utilisé

NDP remplit des fonctions bien plus nombreuses qu’ARP, à l’aide d’ICMPv6

  • Découverte des voisins (O RLY ?), sollicitation de voisin
  • Découverte des routeurs voisins, annonce de préfixe IPv6 pour l’autoconfigurationstateless
  • Découverte de paramètres spécifiques : MTU…
  • Résolution d’adresse, etc.

Des adresses IPv6 (ff00::0/8) et MAC (33:33:33:xx:xx:xx) spécifiques sont dédiées au multicast : all-nodes, all-routers, all-ntp, all-dhcp…

plusieurs ip par h te
Plusieurs IP par hôte

Chaque hôte possède plusieurs IPv6, aux portées (scope) souvent différentes :

Une IPv6 ‘link-local’ (réservée aux communications dans le sous-réseau) sur FE80::/64

Existait déjà avant, en IPv4, avec le 169.254.0.0/16 : on parlait d’APIPA

Une IPv6 ‘global unicast’ (visible sur Internet, éventuellement associée à un reverse DNS)

Une IPv6 ‘temporaire’ éventuelle, permettant d’avoir une IP différente (confidentialité)

D’autres scopes moins utilisés, parce qu’une IPv6 publique ne coûte pas cher, citons notamment

Site-local : comme link-local mais sur plusieurs LAN, typiquement VIA ou une entreprise

la transition vers ipv6
La transition vers IPv6

Trafic IPv6 à fin 2013 : environ 2% du trafic Internet

<troll>Abonnés Free : activez votre IPv6, ça marche d’enfer !</troll>

Problème d’IPv6 :

« Mais pourquoi migrer ? IPv4 ça marche très bien et mon matériel n’est pas compatible ! En plus, 2% de trafic, c’est ridicule, la demande n’existe pas ! »

Plusieurs solutions pour migrer en douceur sur des réseaux incompatibles

6to4, 6in4, 6rd (Free), TEREDO (Microsoft), et tant d’autres

principe g n ral encapsulation ipv6 dans ipv4
Principe général : encapsulation IPv6 dans IPv4

Comment faire transiter des paquets IPv6 sur un réseau IPv4 ?

En mettant les paquets IPv6 comme contenu d’un paquet IPv4

On perd certains avantages d’IPv6 ! (fragmentation, sécurité…)

Il faut faire cette encapsulation : perte en performances…

Reste à définir l’adresse IPv6 de l’hôte et le bout du tunnel

Header IPv4

Payload IPv4

Header IPv6

Payload IPv6

quelques d tails sur les principaux m canismes
Quelques détails sur les principaux mécanismes

Tunnel 6in4 : définition statique du relay router

Tunnel 6to4 : type IPv4 spécifique (41) + IPv6 spécifiques (2002::/16)

Relay router défini par une adresse anycast192.88.99.1 ou explicitement

Routage retour vers 2002::/16, préfixe IPv6 issu de l’IPv4 du 6to4 (2002:ipv4:hexa::/48)

6rd : extrapolé du 6to4, avec un préfixe dépendant du FAI au lieu de 2002::/16

TEREDO : sur des réseaux IPv4 NATtés, transport UDP, quand il n’y a pas d’IPv4 publique

…Et d’autres (ISATAP, 6over4…), avec des portées différentes

pour en savoir plus
Pour en savoir plus…

Vous sortez de CF, je vous épargne les subtilités…

Je vous conseille : http://www.youtube.com/watch?v=Od8DDowENMI

(c’est Microsoft mais je vous assure c’est pas mal fait ! :-) )

Vous pouvez aussi aller voir

  • Wikipedia, surtout en anglais,
  • Le blog de Stéphane Bortzmeyer : www.bortzmeyer.org
  • Les RFC, c’est pas toujours si horrible que ça ! http://www.ietf.org/rfc/(cf. RFC 6214).
ipv6 via
IPv6 à VIA

Comment ça marche (pas) ?

contexte technique
Contexte technique

CTI/Rubis: voir plus haut, IPv6 c’est un peu trop moderne et ça sert à rien dans l’immédiat

VIA :

Avant 2013 le cœur de réseau était incompatible (IPv6 n’était pas inclus dans son OS)

Depuis 2003, un routeur et passerelle 6to4 sur Palantir

VLAN IPv6 : vlip6, vlip6-wifi, vlip6-via, vlip6-perms

IPv6 de Palantir : 2002:8ac3:802d::/48

palantir c est
Palantir, c’est

Un annonceur de préfixes IPv6 sur les VLANs de la Rez avec radvd

Un routeur IPv6 avec ip -6 route

Un firewall IPv6 avec ip6tables

Un tunnel 6to4 : géré nativement dans Linux (/etc/network/interfaces)

Un accounter de trafic IPv6 (le firewall ne voit sortir que du trafic IPv4 !) avec ICUG

Et pas mal de choses sans rapport qui ne fonctionnent plus, genre vlip-goret

pourquoi l ipv6 c est pourri sur la rez
Pourquoi l’IPv6 c’est pourri sur la Rez ?

Le 6to4 c’est vieux : les relayrouters deviennent rares et saturent donc débit pourri

Tempest ne voit pas de trafic IPv6, l’ICUG compte indépendamment des quotas

Conséquence : l’IPv6 n’est pas décompté des quotas, et un gorêt a toujours IPv6 !

Un routeur possède des puces dédiées au routage ! Palantir pas vraiment…

Un VLAN IPv6 rez-wide (vlip6) !

  • Risque de boucle, même s’il n’y a plus , normalement, de broadcast…
  • Windows Vista (surtout) pourrit le réseau en émettant ses propres Router Advertisement
    • Conséquence : un PC donne des adresses IPv6 à tout le VLAN en plus de Palantir
    • On a mis une ACL sur les routeurs qui bloque ces annonces foireuses
une vision au plus loin d ipv6
Une vision au plus loin d’IPv6

Ce que l’on pourrait faire à VIA dès maintenant ou plus tard

et si on utilisait notre r seau
Et si on utilisait notre réseau ?

En IPv4 on utilise OSPF, qui utilise notamment du multicast IPv4…

En IPv6 il y a OSPFv3, adapté à IPv6

Tout ce que l’on fait en IPv4 peut être porté quasiment tel quel en IPv6 !

Pourquoi pas faire de la diffusion TV en IPv6 ? ;-)

TOUT le matériel réseau, sauf les 2 48i, est compatible IPv6, à savoir

  • VLAN adressé en IPv6
  • Routage IPv6 sur les routeurs (OSPFv3 avec les mêmes limites de licence qu’OSPF)
  • RA IPv6
  • Table NDP au lieu de la table IP/ARP
  • ACLs IPv6 (x460 rulez !)

Déjà des tests en cours, voir mon CR et me demander pour plus d’infos !

ipv6 et firewall
IPv6 et firewall

Trafic IPv4 compté par ipt_account, un module kernel inadapté à IPv6…

ICUG : bof !

Des solutions ont été développées sur les routeurs : NetFlow (Cisco), IPFIX, sFlow (statistique)

Mais comment lier une IPv6 à un membre (MAC…) avec une configuration stateless ?

L’autoconfiguration est moins adaptée que DHCPv6 dans ce genre de cas

Solution : le cache NDP des routeurs ( ~ la table IPARP), qui a l’information (MAC/IPv6)

Tout ça sera inclus dans le nouveau firewall, qui verra passer le trafic IPv6 directement

Palantir ne sera plus qu’un tunnel 6to4

une meilleure connectivit ipv6
Une meilleure connectivité IPv6 ?

Convaincre le CTI qu’IPv6 c’est le bien ?

Sous réserve de trouver un hébergeur qui l’accepte, on pourrait faire un bon tunnel 6in4

Go secteur entreprise !

Et encore après ?

Si VIA devient FAI, il faudra bien sûr penser à avoir des transitaires et peers IPv6 !