Formation IPv6 - VIA Centrale Réseaux

Report
L’IPv6 chez VIA
er11
1
Ce qu’on va voir aujourd’hui
IPv6 en quelques mots (!)
IPv6 chez VIA aujourd’hui
Quelques idées à court terme…
2
IPv6 en quelques mots
Pourquoi ? Comment ?
3
IPv6, c’est IP avec 96 bits en plus
IPv6 normalisé en 1998 : RFC 2460
But : capitaliser sur les acquis d’IPv4, conçu alors qu’Internet était quasi inexistant…
Mais l’essentiel reste, et IPv4 est amélioré progressivement
Grandes lignes :
Prévenir les problèmes de saturation d’IPv4, anticipés très rapidement…
Améliorer les performances de routage, supprimer la fragmentation
Intégrer nativement des ajouts postérieurs dans IPv4, notamment multicast
Corriger un certain nombre de failles de sécurité : IPSEC natif…
4
Les en-têtes IPv6 et IPv4 comparées
En-tête IPv6 épurée, des options inutiles supprimées (ToS…)
Pas de vérification de checksum par le routeur : routage accéléré
Taille fixe : 40 octets contre 20 à 60 en IPv4
5
Des128IP en grande quantité
38
2
adresses IP, soit environ 10
IP, ce qui permet… beaucoup d’IP par m²
Mais c’est moche une IPv6 sur 128 bits, même réduit/écrit en hexadécimal…
Astuce : réduire les IP, en supprimant les 0 inutiles et le premier groupe de 0 inutiles éventuel
FD00:0000:0000:0021:0001:0000:0000:5143 devient FD00::21:1:0:0:5143
IPv4 épuisées ?
Bien plus d’IPv6, et surtout bien plus d’IPv6 par client pour éviter d’utiliser le
NAT
Structure générale d’une IPv6 : en général, un client final dispose d’un /48 ou
d’un /64
Préfixe de 48 bits (FAI)
24 bits : subnetting
64 bits : partie spécifique à l’hôte
Pourquoi autant d’IP ?
Lié aux nouveaux mécanismes d’attribution d’IP
6
Coucou ! Tu veux une IP ?
Avec IPv4 : DHCP et la configuration manuelle
Avec IPv6 :
DHCPv6, mais c’est pourri (sécurités supplémentaires comme en IPv4)
Autoconfiguration « stateless » : le routeur donne un préfixe, le client choisit
l’IP
Soit sur la base de son adresse MAC (48 bits sur les 64 disponibles)
Soit une attribution aléatoire ou cryptographique
But de cette attribution : ne pas pouvoir mapper MAC et IPv6 (suffixe IPv6 unique pour tous les réseaux !)
Mais comment associer IP et MAC ? ARP Neighbor Discovery Protocol
7
Adieu broadcast, bonjour multicast
Broadcast : pas sûr, charge inutilement le réseau, risque lié aux boucles…
Multicast est bien plus optimal ! (mais les soucis de sécurité ne sont pas vraiment
résolus)
Un NDP sécurisé existe mais est assez contraignant et peu utilisé
NDP remplit des fonctions bien plus nombreuses qu’ARP, à l’aide d’ICMPv6
- Découverte des voisins (O RLY ?), sollicitation de voisin
- Découverte des routeurs voisins, annonce de préfixe IPv6 pour l’autoconfiguration
stateless
- Découverte de paramètres spécifiques : MTU…
- Résolution d’adresse, etc.
Des adresses IPv6 (ff00::0/8) et MAC (33:33:33:xx:xx:xx) spécifiques sont dédiées au
multicast : all-nodes, all-routers, all-ntp, all-dhcp…
8
Plusieurs IP par hôte
Chaque hôte possède plusieurs IPv6, aux portées (scope) souvent différentes :
Une IPv6 ‘link-local’ (réservée aux communications dans le sous-réseau) sur FE80::/64
Existait déjà avant, en IPv4, avec le 169.254.0.0/16 : on parlait d’APIPA
Une IPv6 ‘global unicast’ (visible sur Internet, éventuellement associée à un reverse
DNS)
Une IPv6 ‘temporaire’ éventuelle, permettant d’avoir une IP différente (confidentialité)
D’autres scopes moins utilisés, parce qu’une IPv6 publique ne coûte pas cher, citons
notamment
Site-local : comme link-local mais sur plusieurs LAN, typiquement VIA ou une entreprise
9
La transition vers IPv6
Trafic IPv6 à fin 2013 : environ 2% du trafic Internet
<troll>Abonnés Free : activez votre IPv6, ça marche d’enfer !</troll>
Problème d’IPv6 :
« Mais pourquoi migrer ? IPv4 ça marche très bien et mon matériel n’est pas
compatible ! En plus, 2% de trafic, c’est ridicule, la demande n’existe pas ! »
Plusieurs solutions pour migrer en douceur sur des réseaux incompatibles
6to4, 6in4, 6rd (Free), TEREDO (Microsoft), et tant d’autres
10
Principe général : encapsulation IPv6 dans IPv4
Comment faire transiter des paquets IPv6 sur un réseau IPv4 ?
En mettant les paquets IPv6 comme contenu d’un paquet IPv4
On perd certains avantages d’IPv6 ! (fragmentation, sécurité…)
Il faut faire cette encapsulation : perte en performances…
Header IPv4 Payload IPv4 Header IPv6
Payload IPv6
Reste à définir l’adresse IPv6 de l’hôte et le bout du tunnel
11
Quelques détails sur les principaux mécanismes
Tunnel 6in4 : définition statique du relay router
Tunnel 6to4 : type IPv4 spécifique (41) + IPv6 spécifiques (2002::/16)
Relay router défini par une adresse anycast 192.88.99.1 ou explicitement
Routage retour vers 2002::/16, préfixe IPv6 issu de l’IPv4 du 6to4 (2002:ipv4:hexa::/48)
6rd : extrapolé du 6to4, avec un préfixe dépendant du FAI au lieu de 2002::/16
TEREDO : sur des réseaux IPv4 NATtés, transport UDP, quand il n’y a pas d’IPv4 publique
…Et d’autres (ISATAP, 6over4…), avec des portées différentes
12
Pour en savoir plus…
Vous sortez de CF, je vous épargne les subtilités…
Je vous conseille : http://www.youtube.com/watch?v=Od8DDowENMI
(c’est Microsoft mais je vous assure c’est pas mal fait ! :-) )
Vous pouvez aussi aller voir
• Wikipedia, surtout en anglais,
• Le blog de Stéphane Bortzmeyer : www.bortzmeyer.org
• Les RFC, c’est pas toujours si horrible que ça ! http://www.ietf.org/rfc/ (cf. RFC 6214).
13
IPv6 à VIA
Comment ça marche (pas) ?
14
Contexte technique
CTI/Rubis: voir plus haut, IPv6 c’est un peu trop moderne et ça sert à rien dans
l’immédiat
VIA :
Avant 2013 le cœur de réseau était incompatible (IPv6 n’était pas inclus dans son
OS)
Depuis 2003, un routeur et passerelle 6to4 sur Palantir
VLAN IPv6 : vlip6, vlip6-wifi, vlip6-via, vlip6-perms
IPv6 de Palantir : 2002:8ac3:802d::/48
15
Palantir, c’est
Un annonceur de préfixes IPv6 sur les VLANs de la Rez avec radvd
Un routeur IPv6 avec ip -6 route
Un firewall IPv6 avec ip6tables
Un tunnel 6to4 : géré nativement dans Linux (/etc/network/interfaces)
Un accounter de trafic IPv6 (le firewall ne voit sortir que du trafic IPv4 !) avec ICUG
Et pas mal de choses sans rapport qui ne fonctionnent plus, genre vlip-goret
16
Pourquoi l’IPv6 c’est pourri sur la Rez ?
Le 6to4 c’est vieux : les relay routers deviennent rares et saturent donc débit pourri
Tempest ne voit pas de trafic IPv6, l’ICUG compte indépendamment des quotas
Conséquence : l’IPv6 n’est pas décompté des quotas, et un gorêt a toujours IPv6 !
Un routeur possède des puces dédiées au routage ! Palantir pas vraiment…
Un VLAN IPv6 rez-wide (vlip6) !
• Risque de boucle, même s’il n’y a plus , normalement, de broadcast…
• Windows Vista (surtout) pourrit le réseau en émettant ses propres Router Advertisement
•
Conséquence : un PC donne des adresses IPv6 à tout le VLAN en plus de Palantir
•
On a mis une ACL sur les routeurs qui bloque ces annonces foireuses
17
Une vision au plus loin d’IPv6
Ce que l’on pourrait faire à VIA dès maintenant ou plus tard
18
Et si on utilisait notre réseau ?
En IPv4 on utilise OSPF, qui utilise notamment du multicast IPv4…
En IPv6 il y a OSPFv3, adapté à IPv6
Tout ce que l’on fait en IPv4 peut être porté quasiment tel quel en IPv6 !
Pourquoi pas faire de la diffusion TV en IPv6 ? ;-)
TOUT le matériel réseau, sauf les 2 48i, est compatible IPv6, à savoir
• VLAN adressé en IPv6
• Routage IPv6 sur les routeurs (OSPFv3 avec les mêmes limites de licence qu’OSPF)
• RA IPv6
• Table NDP au lieu de la table IP/ARP
• ACLs IPv6 (x460 rulez !)
Déjà des tests en cours, voir mon CR et me demander pour plus d’infos !
19
IPv6 et firewall
Trafic IPv4 compté par ipt_account, un module kernel inadapté à IPv6…
ICUG : bof !
Des solutions ont été développées sur les routeurs : NetFlow (Cisco), IPFIX, sFlow
(statistique)
Mais comment lier une IPv6 à un membre (MAC…) avec une configuration stateless ?
L’autoconfiguration est moins adaptée que DHCPv6 dans ce genre de cas
Solution : le cache NDP des routeurs ( ~ la table IPARP), qui a l’information (MAC/IPv6)
Tout ça sera inclus dans le nouveau firewall, qui verra passer le trafic IPv6 directement
Palantir ne sera plus qu’un tunnel 6to4
20
Une meilleure connectivité IPv6 ?
Convaincre le CTI qu’IPv6 c’est le bien ?
Sous réserve de trouver un hébergeur qui l’accepte, on pourrait faire un bon tunnel
6in4
Go secteur entreprise !
Et encore après ?
Si VIA devient FAI, il faudra bien sûr penser à avoir des transitaires et peers IPv6 !
21

similar documents