Explorer les Livres électroniques
Catégories
Explorer les Livres audio
Catégories
Explorer les Magazines
Catégories
Explorer les Documents
Catégories
Remerciement
Nous tenons remercier les enseignants et les cadres administratifs de lISTA NTIC Nous tenons vous exprimer toute la gratitude et le Profond respect que nous portons pour vous tous. Nous vous remercions pour Lhonneur que vous nous avez fait et les connaissances que vous nous avez Apportes durant les deux annes de formation Notamment nos Encadrant Mr A. Benchchaoui et Mr N .Kamouche qui nous a aids raliser ce projet de fin dtude.
Sommaire
1- Etude de la solution dimmigration vers IPv6 ..................................5
1.5.1 - Utilisation de NAT-PT pour le dploiement dIPv6.......................................... 30 1.5.2 - Utilisation du tunnel 6 To 4 ............................................................................... 32 1.5.3 - DSTM (Dual Stack Transition Mechanism) ...................................................... 34 1.5.4 - Tunnel Broker .................................................................................................... 35 1.5.5 - Tunnel manuel. 36
1.1.2 - IPv4 : certaines limites \ IPv6 : des atouts pour un relais de croissance
IPv4 : un espace dadressage restreint avec une rpartition gographique ingale Le protocole IPv4, finalis en 1983 sadressait alors une communaut restreinte. Ainsi, ladressage DIPv4 est-il prvu sur 32 bits, ce qui permet de disposer dun "stock" de 4,3 milliards dadresses IP Environ. A cette poque et avec la vision quavaient alors les responsables, savoir un rseau destin Migration IPv4 vers IPv6
Aux militaires et scientifiques (donc assez loigne de ce quallait devenir lInternet que nous Connaissons aujourdhui), le stock paraissait plus que suffisant. Aujourdhui, ce stock dadresses IPv4 est trs entam et si prs de 47% des adresses ne sont pas Attribues (parmi le stock total dadresses), la rpartition gographique en est trs ingale. Les Adresses alloues (destines tre utilises par un registre rgional ou par des organisations pre-RIR) Reprsentent la majorit du stock et sont destines essentiellement la zone amricaine aux dpens De lAsie qui prsente pourtant un important potentiel de dveloppement (Chine, Inde). Il est galement noter, que parmi le total des adresses IPv4 disponibles, 53% ont t attribues Directement des organisations (amricaines pour la plupart), avant lapparition des RIR qui ne les Contrlent donc pas. Ainsi, en tenant compte de ces organisations pre-RIR, on peut estimer, fin 2001, que 74% des Adresses alloues le sont pour lAmrique du Nord, 17% pour lEurope et 9% pour lAsie. IPv4 est face une explosion des besoins Outre la croissance organique encore forte dInternet dans le monde entier (particulirement en Asie O le potentiel de croissance est trs lev et les ressources en adresses trs faibles), bon nombre Dapplications nouvelles, consommatrices dadresses IP devraient se dvelopper : larrive des services mobiles autour du GPRS. les accs haut dbit et le mode "always on". llectronique connecte et les vhicules communicants, les applications domotiques et Rseaux de capteurs IPv4 : un protocole non pens pour un usage commercial dInternet Prvu lorigine pour des usages non commerciaux, IPv4 na pas t conu pour assurer les Fonctions de QoS attendues aujourdhui, ni pour assurer les fonctions dauto-configuration ou Multicast, ou encore la scurit, essentielles dans lInternet commercial moderne. Des solutions ont t trouves pour assurer ces fonctions, alourdissant le protocole de couches supplmentaires, ou Pour doper artificiellement la dure de vie du stock dadresses (NAT), faisant notamment exploser la Complexit des tables de routage.
Nous sommes ds prsent dans une priode de gestion de la pnurie dadresses IP Cette gestion de la pnurie dadresses se traduit par des politiques drastiques dattribution dadresses IPv4 pratiques par les RIR. De plus, lemploi gnralis des NAT permet de retarder la pnurie, Mais cela alourdit la gestion des rseaux et constitue un frein au dveloppement dapplications temps Rel et P2P. Ainsi, toutes choses gales par ailleurs, on peut estimer un puisement du stock dadresses IPv4 dici
2010. Limmense capacit dadressage dIPv6 justifie elle seule, le passage au nouveau Protocole Malgr les divers avantages techniques dIPv6 dcrits ci-aprs, lessentiel, de lavis gnral des Experts, reste lespace dadressage large, qui permettra de faire face aux besoins engendrs par le Dveloppement des nouvelles applications always on et de rtablir lusage du mode end-to-end qui est le principal apport dIPv6 au niveau des applicatifs. Les autres avantages techniques, bien que Rels, ne prsentent pour lheure que des potentiels intressants, mais ne sont pas latout premier DIPv6 : Adressage hirarchique pour optimiser le routage, Autoconfiguration, IPSec natif, Multicast, Mobile IPv6. IPv6 prsente galement plusieurs avantages permettant de mieux grer la QoS mais qui ne sont pas Encore significatifs. De manire gnrale, on considre que dans un premier temps, la QoS sera gre De la mme faon sous IPv6 que ce que lon connat aujourdhui sous IPv4.
Les 64 premiers bits de l'adresse IPv6 (prfixe) servent gnralement l'adresse de sous Rseau, tandis que les 64 bits suivants identifient l'hte l'intrieur du sous rseau : ce Dcoupage joue un rle un peu similaire aux masques de sous rseau d'IPv4. Les "0" les plus gauche des mots de 16 bits se figurent pas dans l'criture. fedc:0482:cafe:ba05:a200:e8ff:fe65:000a deviant fedc:482:cafe:ba05:a200:e8ff:fe65:a La machine a200:e8ff:fe65:a sur le rseau fedc:6482:cafe:ba05 fedc:6482:cafe:ba05:a200:e8ff:fe65:df9a /64 Migration IPv4 vers IPv6
L'adresse de boucle ::1 a le mme rle qu'une adresse IPv4 127.0.0.1 . Lorsqu'une Machine utilise cette adresse, elle s'envoie des paquets IPv6 elle mme. L'adresse indtermine, cette adresse 0:0:0:0:0:0:0:0 (ou encore note "::") est utilise Pendant l'initialisation de l'adresse IPv6 d'une machine. C'est une phase transitoire. Un ou plusieurs groupes de 4 zros conscutifs peuvent tre remplacs par un double deux-points :: . C'est ainsi que l'adresse 8000:0000:0000:0000:0123:4567:89ab:cdef deviant: 8000::123:4567:89ab:cdef Il est pourtant parfois ncessaire de manipuler littralement des adresses IPv6. Le Caractre ":" utilis pour sparer les mots peut crer des ambiguts. C'est le cas avec les URL o il est aussi utilis pour indiquer le numro de port. Ainsi l'URL http://2001:1234:12::1:8000/, peut aussi bien indiquer le port 8000 sur la machine ayant l'adresse IPv6 2001:1234:12::1, que la machine 2001:1234:12::1:8000 en utilisant Le port par dfaut. Pour lever cette ambigut, le RFC 2732 propose d'inclure l'adresse IPv6 entre "[ ]". L'adresse prcdente s'crirait : http://[2001:1234:12::1:8000]/
Les adresses Multicast : Le protocole IPv6 gnralise l'utilisation des adresses Multicast qui remplacent les adresses de type "broadcast" (diffusion) qui n'existent plus en IPv6. La raison de cette disparition est que l'mission Dun paquet broadcast tait trs pnalisante pour toutes les machines se trouvant sur un mme lien. Une adresse Multicast est une adresse dsignant un groupe d'interfaces donn. Une interface est libre De s'abonner un groupe ou de le quitter tout moment, c'est donc moins pnalisant qu'en IPv4. Le format des adresses Multicast est le suivant : ff01 : noeud local, les paquets ne quittent pas l'interface. ff02 : lien local, les paquets ne quittent pas le lien. Migration IPv4 vers IPv6
ff05 : site local, les paquets ne quittent pas le site. Voici un exemple intressant d'utilisation d'adresse Multicast qui vous permet de dtecter les htes Actifs sur le lien local :
# ping6 -I eth0 ff02::1 PING ff02::1(ff02::1) from fe80::20e:35ff:fe8f:6c99 eth2: 56 data bytes 64 bytes from ::1: icmp_seq=1 ttl=64 time=0.048 ms 64 bytes from fe80::20d:61ff:fe22:3476: icmp_seq=1 ttl=64 time=9.05 ms (DUP!) 64 bytes from ::1: icmp_seq=2 ttl=64 time=0.045 ms 64 bytes from fe80::20d:61ff:fe22:3476 icmp_seq=2 ttl=64 time=3.33 ms (DUP!)
Vous pouvez identifier 2 htes actifs fe80::20e:35ff:fe8f:6c99 (celui d'o est passe la commande) et fe80::20d:61ff:fe22:3476 (qui correspond un autre poste du rseau local). Les adresses Anycast : Anycast est un nouveau type d'adressage. Il identifie qu'un nud, parmi un groupe de nuds, doit Recevoir l'information. Une adresse Anycast, comme une adresse Multicast, dsigne un groupe d'interfaces, la diffrence Quun paquet mis avec comme destinataire une adresse Anycast ne sera remis qu' un seul membre du groupe, par exemple le plus proche au sens de la mtrique des protocoles de routage, mme si Plusieurs interfaces ont rpondu au message. L'interface de destination doit spcifiquement tre Configure pour savoir qu'elle est Anycast. Pour l'instant, une seule adresse Anycast est utilise, elle est rserve au routeur mais dans l'avenir, Dautres pourraient tre dfinies. La porte ou "scope" des adresses, est une nouvelle notion qui n'existait pas en IPv4. En fait une interface ne possde pas une seule adresse IPv6 mais peut en avoir plusieurs. Les quatre portes d'adresses sont : Nud local : il s'agit de l'adresse de loopback. Elle est note ::1/128. Lien local : adressage commun aux machines d'un mme lien physique relies entre elles sans routeur intermdiaire .Ces adresses ont comme prfixe fe80::/64. Seuls les quipements De la couche 2 du modle OSI peuvent utiliser ces adresses pour communiquer entre eux. Cette adresse est obtenue par auto configuration "sans tat". Site local : adressage commun des machines d'un mme site.Par exemple, un site qui n'est Pas encore reli Internet peut utiliser ce type d'adresse. C'est un peu le concept des adresses Prives en IPv4 (192.168.x.x ou 10.x.x.x). Une adresse site local a comme prfixe fec0::/48 Suivi d'un champ de 16 bits permettant de dfinir des sous rseaux. Globale : ce sont des adresses dont le routage est effectu sans restriction. Leur prfixe est 2000::/3 , ce qui signifie qu'elles commencent par 001 en binaire. Concrtement, on utilise 2xxx ou 3xxx. Par exemple 2001:7a8:4b09:1bff:feb1:defa est une adresse globale.
Grce aux schmas, nous nous apercevons tout d'abord qu'il existe certaines similitudes entre IPv4 et IPv6. La premire constatation est de voir que l'en-tte IPv6 a t simplifi. Certains en-ttes IPv4 ont t Supprims ou rendus optionnels pour rduire dans les situations classiques le cot en ressources de Traitement de la gestion des paquets et pour limiter le surcot en bande passante de l'en-tte IPv6. Champ version : indique la version du protocole utilis, IPv4 ou IPv6. Il sert vrifier que le Paquet est bien trait par la bonne couche rseau. Champ priorit : ce champ permet d'indiquer aux routeurs la priorit relative des diffrents Datagrammes transmis. Il peut prendre les valeurs allant de 0 15. Champ tiquette de flot : permet de dfinir diffrents flots, que les nuds du rseau Peuvent alors traiter avec un comportement particulier (en terme de gestion des files dattente Par exemple). Champ longueur de charge utile : ce champ indique le nombre d'octets d'information qui Suivent les en-ttes de base et d'extension. Ce champ contient 16 bits, ce qui permet d'avoir Jusqu 64 Ko de donnes utiles par datagramme. Champ en-tte suivant : ce champ indique le type du prochain en-tte d'extension. Champ nombre maximum de sauts : ce champ a comme fonction d'viter qu'un Datagramme ne circule indfiniment dans un rseau. La valeur contenue dans ce champ reprsente le nombre de routeurs que Le datagramme peut traverser avant d'tre dtruit.
Il existe deux types dauto-configurations. Lauto-configuration dite stateful dans laquelle Ladresse de lquipement lui est fournie en totalit (DHCPv6) et lauto configuration de type Stateless o seul un prfixe est donn lquipement qui aura alors la charge de se gnrer une Adresse partir de ce prfixe, le plus souvent en lui concatnant un identifiant dinterface.
Ceci va installer la pile IPv6 pour toutes les interfaces du systme. Listez ensuite les interfaces: netsh interface ipv6>show interface Nous n'utiliserons pas TEREDO, ni ISATAP pour le moment, il est donc prfrable de Dsactiver ces services de tunnel pour le moment. Netsh interface ipv6>isatap set state disabled Netsh interface ipv6>set teredo disabled On peut maintenant afficher les adresses des interfaces restantes. Netsh interface ipv6>show address Il est dsactiv par dfaut. Pour s'en assurer et le dsactiver si ce n'est pas le cas, il suffit de Taper : Netsh interface ipv6> uninstall
Un message de dcouverte des voisins utilise la structure des messages ICMPv6. Il est constitu d'un Message d'entte ND compos d'une entte ICMPv6 et d'un champ de donnes spcifiques (hte Injoignable, paquet trop gros...), puis d'un message d'options.
Le message de sollicitation d'un routeur est mis par un quipement au dmarrage pour recevoir plus Rapidement des informations du routeur. Ce message est mis l'adresse IPv6 de multicast rserve aux routeurs sur le mme lien ff02::2. Si l'quipement ne connat pas encore son adresse source, Ladresse non spcifie est utilise.
RA - Envoi d'informations par un Routeur :
Ce message est mis priodiquement par les routeurs ou en rponse un message de sollicitation Dun routeur par un quipement. Le champ adresse source contient l'adresse locale au lien du routeur, Le champ destination contient soit l'adresse de l'quipement qui a mis la sollicitation, soit l'adresse de toutes les stations ff02::01. Ce message peut vhiculer les options : Adresse physique de la source. MTU.
Information sur le prfixe. NS - Demande d'informations un voisin : Ce message permet d'obtenir des informations d'un quipement voisin, c'est--dire situ sur le mme Lien physique (ou connect via des ponts). NA - Envoi d'informations par un Routeur : Ce message est mis en rponse une sollicitation, mais il peut aussi tre mis spontanment pour Propager une information de changement d'adresse physique, ou de statut routeur. Dans le cas de La dtermination d'adresse physique, il correspond la rponse ARP pour le protocole IPv4. R - Redirection: Message envoy par un routeur pour indiquer l'hte une meilleure adresse permettant d'atteindre une destination Une destination spcifique.
Ceci signifie que toute attribution dune adresse IPv6 globale doit passer par un serveur DHCPv6 du Site dans notre cas un routeur. Le routeur joue alors un rle important : il dicte la machine la mthode retenir et fournit ventuellement les informations ncessaires sa configuration.
Il existe deux modes dutilisation pour mettre jour le DNS : La mise jour est ralise directement par le serveur DHCP. Lorsque celui-ci attribue une Adresse et un nom, il va lui mme envoyer les messages DNSUpdate au serveur de noms pour Rajouter les enregistrements. La mise jour est effectue par un utilisateur (administrateur ou autre), en utilisant un outil Spcifique appel nsupdate, qui possde des commandes permettant de modifier les Enregistrements DNS. Il est ncessaire de spcifier au moins une zone pour la rsolution directe et une pour la rsolution Inverse.
Format :
Le format textuel d'un enregistrement AAAA tel qu'il apparat dans le fichier de zone DNS est le Suivant : <nom> IN AAAA <adresse> L'adresse est crite suivant la reprsentation classique des adresses IPv6 (RFC 4291). Par exemple, Ladresse IPv6 de la machine Pc1.tri.ma est publie dans le fichier de zone tri.ma comme suit : Pc1.tri.ma. IN AAAA 2001:660:3006:1::1:1 Il est important de noter que toutes les adresses IPv4 et/ou IPv6 correspondant un quipement Donn, doivent cohabiter dans le mme fichier de zone renseignant le nom de l'quipement en Question. Ainsi, les adresses de ns3.nic.fr sont publies dans le fichier de zone tri.ma comme suit : Pc1 IN A 192.134.1.49 IN AAAA 2001:660:3006:1::1:1 Une adresse IPv6 est transforme en un nom de domaine publi sous l'arborescence inverse ip6.arpa De la manire suivante : Les 32 demi-octets formant l'adresse IPv6 sont spars par le caractre `.' et concatns dans l'ordre Inverse au suffixe ip6.arpa. Par exemple l'adresse 2001:660:3006:1::1:1 (adresse de Pc1.tri.ma) est transforme en le nom de Domaine inverse suivant : 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa. Voici un extrait du fichier de zone DNS inverse : 6.0.0.3.0.6.6.0.1.0.0.2.ip6.arpa. 1.0.0.0.1.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0 IN PTR Pc1.tri.ma
Message d'interrogation de prsence de serveurs DHCP. Il est mis vers un serveur ou un relais DHCP. Un client met un tel message pour localiser les serveurs DHCP. Elle envoie sa requte en mode multicast vers tous les agents DHCP du lien (adresse FF02::1:2).
DHCP Advertise (Annonce DHCP) :
Message de prsence de serveurs DHCP. Il est mis en rponse un message sollicitation DHCP afin De communiquer l'adresse IP d'un serveur DHCP. Le destinataire est le client s'il est sur le mme lien Que le serveur sinon ce message est adress au relais du client
DHCP Request (Requte DHCP) :
Message mis par le serveur suite une demande du client. Il contient les valeurs des paramtres de Configuration demands.
DHCP Confirm (Confirmation DHCP) :
Identique au prcdent message mais un autre serveur DHCP peut rpondre, pas obligatoirement Celui qui a allou l'adresse IP.
DHCP Release (Libration DHCP) :
Message d'indication du client de libration des adresses IP pralablement alloues par le serveur.
DHCP Decline (Refus DHCP) :
Message d'indication du client qu'une ou plusieurs adresses affectes sont dj utilises sur son lien.
DHCP Reconfigure-init (Notification de reconfiguration DHCP) :
Message mis par le serveur pour informer le client qu'il a de nouvelles valeurs pour les paramtres De configuration. Le client doit alors commencer une nouvelle transaction pour acqurir ces Informations
DHCP Relay-Forward (Encapsulation relais DHCP) :
Message du relais pour vhiculer les messages du client vers le serveur. Le message du client est Encapsul dans ce message.
DHCP Relay-Reply (Encapsulation serveur DHCP) :
Message gnr par le serveur contenant un message pour le client. Ce message est destination du Relais qui extraira un message pour le client afin de le transmettre sur le lien du client
Router> enable Router# configure terminal Router(config)# ipv6 dhcp pool TRI Router(config-dhcp)# prefix-delegation 2001:0DB8:1263::/48 Router(config-dhcp)# domain-name TRI.MA Router(config-dhcp)# dns-server 2001:0DB8:3000:1263::42 Router(config-dhcp)# exit Router(config)# interface serial 3 Router(config-if)# ipv6 dhcp server dhcp-pool
Cette configuration est ncessaire si votre serveur DHCP se situe sur un autre segment de votre Rseau que celle du client DHCP
Router> enable Router# configure terminal Router(config)# interface Ethernet 4/2 Router(config-if) ipv6 dhcp relay destination FE80::250:A2FF:FEBF:A056 Ethernet 1
IPv6 supporte par dfaut les deux architectures classiques d'IPsec : AH et ESP. L'extension d'authentification, ou AH, assure l'authentification et l'intgrit des donnes. L'metteur Calcule une signature sur un datagramme et l'met avec le datagramme sur lequel elle porte. Le Rcepteur rcupre cette valeur et vrifie qu'elle est correcte. Cette signature peut s'appuyer sur des Cls asymtriques et ventuellement des certificats. L'extension ESP (pour Encryption Security Payload) complte la prcdente pour offrir la Confidentialit des donnes. Elle permet de chiffrer l'ensemble des paquets (entte IPv6 comprise) ou Seulement leur partie transport (tout ce qui se trouve aprs l'entte IP), selon les modes dits Respectivement tunnel et transport. Avant l'authentification ou le chiffrement de donnes IP, l'metteur et le receveur doivent convenir Des algorithmes et des cls utiliser. Ceci se fait par le protocole IKE (pour Internet Key Exchange, [RFC2409]). Sans dcrire les dtails de ce dernier, il est important de se souvenir que ce protocole ne Convient pas, dans l'tat actuel, aux changes multicast. Le trafic multicast passe donc en clair, pour La majorit des cas, dans le rseau.
SEND propose de scuriser NDP, le protocole de voisinage d'IPv6 . La premire proposition est Lutilisation de CGA (Cryptographically Generated Addresses), qui cre des identifiants d'adresses Partir d'une cl publique. Ce mcanisme permet de vrifier l'identit de la machine mettrice du paquet NDP. Pare-feux et filtrage Plusieurs outils de filtrage existent, et sont mis disposition dans les systmes d'exploitation avec la Couche IPv6. Parmi ceux-ci : Sous Linux, il existe ip6tables, dont l'usage est trs similaire celui de son prdcesseur iptables pour IPv4. Dans les versions BSD, pf permet de filtrer IPv6 de manire assez simple Mac OS s'appuie sur l'utilitaire ipfw (ip6fw) pour offrir le filtrage IPv6. Microsoft fournit galement un pare-feu partir de la version XP SP1, nomm Internet Connexion Firewall puis Windows Firewall. L'utilisateur dfinit une seule configuration, qui Sapplique pour IPv4 et IPv6.
Voici quelques commandes du routeur qui donnent un aperu des commandes varies que lon peut Router(config)#ipv6 ? access-list Configure access lists hop-limit Configure hop count limit host Configure static hostnames icmp Configure ICMP parameters neighbor Neighbor prefix-list Build a prefix list route Configure static routes router Enable an IPv6 routing process unicast-routing Enable unicast routing Router(config-if)#ipv6 ? IPv6 interface subcommands: address Configure IPv6 address on interface enable Enable IPv6 on interface mtu Set IPv6 Maximum Transmission Unit nd IPv6 interface Neighbor Discovery redirects Enable sending of ICMP Redirect messages rip Configure RIP routing protocol traffic-filter Access control list for packets unnumbered Configure IPv6 interface as unnumbered
Configurer rien que pour IPv6. La premire liste est en mode de configuration globale. La seconde Est en mode interface et dans ce cas prcis une interface Ethernet. La premire tape est maintenant dactiver globalement IPv6 sur le routeur. On peut le faire mode de Configuration avec la commande ipv6 unicast-routing Cette commande active IPv6 pour tout le routeur. Si cette commande nest pas active globalement, Le reste des commandes sur les interfaces seront inoprantes. Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#ipv6 unicast-routing Router(config)# Ltape suivante est dactiver IPv6 sur les interfaces dsires. On peut configurer une adresse IPv6 sur une interface LAN ou WAN et nous prendrons comme Exemple une interface LAN. Il y a quelques tapes pour configurer une adresse LAN. En considrant que le routage IPv6 global Est dj activ, la premire tape est de configurer linterface actuelle. Dans la plupart des cas, cela Peut tre une interface Ethernet bien quil soit possible de configurer IPv6 aussi bien du Token Ring Ou FDDI. Nous nous concentrerons sur les interfaces Ethernet. Il y a trois types dadresses que lon peut attribuer des adresses LAN. Les trois types sont linklocal , site-local et les adresses dites globales. Ladresse globale et ladresse site-local sont Attribues en mme temps. SI une adresse globale est dj attribue par larchitecture du rseau, alors Ladresse complte sera tape pendant la configuration. Si seulement les 64 premiers bits sont Spcifis, alors la commande EUI (Extended Unique Identifier) la fin de ladresse globale va avoir Un identifiant dinterface attribu pour ladresse globale. Pour entrer une adresse dans le routeur, il faut passer en mode de configuration et slectionner Linterface dsire. LEUI fonctionne de manire similaire pour les adresses link-local . Si lEUI est utilis, alors Seul les 64 premiers bits de ladresse ont besoin dtre spcifis ; le reste de ladresse tant remplis
Automatiquement en utilisant ladresse MAC du routeur. Si on a des interfaces multiples utilisant le Paramtre EUI, on aura alors des adresses qui finiront toutes par les mme 64 derniers bits. Router configuration for predetermined global address RouterA#conf t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#int s0 RouterA(config-if)#ipv6 address 2000:1:1::1/64 RouterA(config-if)# Router configuration for global address to be assigned interface identifier RouterA#conf t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#int s0 RouterA(config-if)#ipv6 address 2000:1:1:1::/64 eui-64 RouterA(config-if)#
Quand le paramtre EUI est utilis, les 64 bits restants de ladresse sont automatiquement remplis Par le routeur. On peut voir ladresse ainsi produite par la commande ci-dessous. Notons que Seulement les 64 premiers bits ont t dfinis. Notons galement que ladresse link-local possde Les mme 64 derniers bits que ladresse globale.
Router#show ipv6 int s0 Serial1 is down, line protocol is down IPv6 is enabled, link-local address is FE80::2E0:B0FF:FE5A:D998 Global unicast address(es): 2001:1:1:1:2E0:B0FF:FE5A:D998, subnet is 2001:1:1:1::/64 Quand le paramtre EUI est utilis, les 64 bits restants de ladresse sont automatiquement remplis Par le routeur. On peut voir ladresse ainsi produite par la commande ci-dessous. Notons que Seulement les 64 premiers bits ont t dfinis. Notons galement que ladresse link-local possde Les mme 64 derniers bits que ladresse globale.
Vrification de la configuration dadressage
Cette section montre beaucoup des commandes ncessaires pour vrifier que la configuration est en Place et quelle fonctionne telle que prvu. La liste suivante montre les commandes show disponibles qui sont spcifiques lIPv6. router#show ipv6 ? access-list Summary of access lists interface IPv6 interface status and configuration mtu MTU per destination cache neighbors Show IPv6 neighbor cache entries prefix-list List IPv6 prefix lists protocols IPv6 Routing Protocols rip RIP routing protocol status route Show IPv6 route table entries routers Show local IPv6 routers traffic IPv6 protocol statistics tunnel Summary of IPv6 tunnels La premire commande montre si IPv6 est configur pour fonctionner est show running-config. Pour vrifier quune adresse LAN est configure correctement, utilisons la commande show ipv6 Migration IPv4 vers IPv6
Interfaces <type> . Cette commande est trs utile pour obtenir des informations de bases sur Linterface.
Dans lexemple qui figure ci-dessus, nous avons cre un domaine de routage RIP avec 6 sous rseaux spars, 2000:1:1::/64, qui est le rseau qui relie les interfaces sries des deux routeurs A , B et le sous rseau 2000:1:5::/64 relie les interfaces sries des deux routeurs A , B, 2000:1:1::/64, qui Est le rseau qui relie les interfaces sries des deux routeurs A et B et nous avons 3 rseaux sur les interface Ethernet 0 de chaque routeur, 2000:1:2::/64 et 2000:1:3::/64 respectivement. En tapant la Commande show ipv6 Protocol , on peut voir tous les protocoles de routage IPv6 qui tournent Actuellement sur le routeur. Dans le listing ci-dessous, nous voyons deux rseaux connects, des Routes statiques et, bien sur le RIP qui tourne sur le Routeur A.
Vrification du fonctionnement de RIP IPv6
Nous avons peu de commandes utiliser pour vrifier que RIP IPv6 fonctionne correctement :
commande
show ipv6 rip
utilit
-Information sur le dlai -Information de Port -Frquence de mise jour -Type de mise jour -Information sur la route par dfaut -Protocoles de routage utiliss -Interfaces utilises par les protocoles de routage -Information sur la Redistribution
RouterA#conf t Enter configuration commands, one per line. End with CNTL/Z. RouterA(config)#interface serial0 RouterA(config-if)#ipv6 rip cisco default-information ? only Advertise only the default route originate Originate the default route RouterA(config-if)#ipv6 rip
Dans lexemple prcdent, nous sommes all en mode de configuration dinterface et tap la Commande ipv6 rip cisco default-information originate , ce qui a indiqu au routeur dutiliser le Rseau connect linterface serial 0 comme la route par dfaut. Si nous regardons dans la table de routage du routeur voisin RouteurB, on voit que le RouteurA a Inject en fait cette route par dfaut dans le domaine de routage RIP. Si nous regardons la table de routage prcdente, nous voyons une entre RIP supplmentaire pour le rseau ::/0 via serial 0. Notons que ces entres RIP sont suivies de la mention R . Cest la route par dfaut.
Router> enable Router# configure terminal Router# enable password torino Router(config)# ipv6 host cisco-sj 2001:0db8:20:1::12 Router(config)# line vty 0 4 Router(config)# password hostword Router(config-line)# login Router(config-line)# exit Router(config)# telnet cisco-sj ou Router(config)# telnet 2001:0db8:20:1::12 Router(config)# exit
La premire tape de la translation des adresses IP de la v4 vers v6 (vice versa), consiste a une activation du protocole sur les interfaces approprie,avec la commande IPv6 nat en mode interface.
Router> enable Router# configure terminal Router# ipv6 nat prefix 2001:0db8::/96 Router(config)# interface ethernet 3/1 Router(config-if)# ipv6 address 2001:0db8:bbbb:1::9/64 Router(config-if)# ipv6 nat Router(config-if)# exit Router(config)# interface ethernet 3/3 Router(config-if)# ip address 192.168.30.9 255.255.255.0 Router(config-if)# ipv6 nat
Statique NAT-PT
Le NAT-PT statique utilise une traduction dune adresse IPv6 globale unique vers une autre IPv4 Publique et vice versa. Les nuds dun rseau IPv6 communiquent avec celles dun rseau IPv4 on utilisant un mappage Dadresses configures sur des routeurs NAT-PT.
Src Addr
Dest Addr
NAT-PT translation
2001:0DB8:bbbb:1::1 2001:0DB8:yyyy::a
Router> enable Router# configure terminal 6 vers 4 : Router (config) # ipv6 nat v6v4 source 2001:0db8:yyyy:1::1 30.21.8.10 4 vers 6 : Router (config) # ipv6 nat v4v6 source 30.21.8.11 2001:0db8:yyyy::2
Le NAT-PT dynamique se base sur lallocation dune adresse IP parmi plusieurs regrouper dans un pool dadresses configurer par ladministrateur en IPv4 ou IPv6 , le nombre dadresses du pool Dterminent le nombre de session quun routeur NAT-PT peut raliser.
6 vers 4 Router> enable Router# configure terminal Router(config)# ipv6 nat v6v4 pool roma 30.21.8.1 30.21.8.10 prefix-length 24 Router(config)# ipv6 access-list monaco Router(config-ipv6-acl)# permit ipv6 2001:0db8:bbbb:1::/64 any Router(config)# ipv6 nat v6v4 source list monaco pool roma
NAT-PT IPv4 address pool: 30.21.8.1 30.21.8.10
4 vers 6 Router> enable Router# configure terminal Router(config)# ipv6 nat v4v6 pool madrid 2001:0db8:yyyy::1 2001:0db8:yyyy::2 prefixlength 128 Router(config)# access-list 1 permit 192.168.30.0 0.0.0.255 Router(config)# ipv6 nat v6v4 source list 1 pool madrid
Fournisseur de service IPv6, mais disposant dau moins dune connectivit et dune adresse IPv4 Publique, daccder dautres sites ou services IPv6. Pour cela 6to4 attribue automatiquement une adresses IPv6 dans le rseau 2002::/16 et qui est fabrique directement partir de l'IPv4 Publique. Une adresse 6to4 est conue sous la forme: Nom Nombre bits Adresse 16 2002 Prfixe 6to4 32 WWXX:YYZZ IPv4 en hexadcimal 16 0000 (exemple) SLA 64 0:0:0:0 (exemple) ID d'interface
O <adresse IPv4> est une adresse IPv4 publique et routable, configure sur linterface approprie Dun routeur de priphrie appartenant au site. Le prfixe ainsi form a donc la mme forme quun Prfixe IPv6 classique. Si un site implmentant 6to4 dsire communiquer avec un autre site 6to4, Aucune configuration manuelle ne sera requise, les adresses IPv4 des extrmits du tunnel Ncessaires la communication sont connues car contenues dans le prfixe IPv6 des adresses source Et destination.
Figure 11 : Tunnel 6 To 4
Le droulement dune connexion entre deux sites 6to4 est le suivant : Le routeur du site doit implmenter 6to4, tre double pile et disposer dune adresse publique IPv4. Une fois 6to4 activ, le routeur va construire un prfixe IPv6 commenant par le prfixe 2002::/16 partir de son adresse IPv4 publique . Le rseau local sera adress laide de ce prfixe ; o Soit par auto-configuration avec annonce de prfixe ; o Soit par configuration manuelle ; Une machine disposant dune adresse 6to4 et dsirant communiquer avec une autre machine 6to4 dans un site distant enverra un paquet destination de cette machine avec comme Adresse source son adresse 6to4 et comme adresse destination ladresse de la machine Distante ; Ce paquet sera intercept par la passerelle 6to4 qui extraira du prfixe de ladresse Destination, ladresse IPv4 du routeur 6to4 du site distant et encapsulera ce paquet 6to4 dans Migration IPv4 vers IPv6
Un tunnel IPv4 vers le routeur destination. Lextrmit du tunnel dcapsulera et rcuprera le paquet 6to4 quil fera suivre la machine Correspondante.
Configuration du Tunnel 6To4
Dans le routeur A : - E 1 : 30.150.60.1 en hexadcimal 1E96:3C01 La configuration du tunnel sera comme suit : RouterA> enable RouterA# configure terminal RouterA(config)# interface tunnel 0 RouterA(config-if)# ipv6 address 2002:1E96:3C01:1::1/64 RouterA(config-if)# tunnel source ethernet 0 RouterA(config-if)# tunnel mode ipv6ip 6to4 RouterA(config-if)# exit RouterA(config)# ipv6 route 2002::/16 tunnel 0
N.B : Lautre extrmit de tunnel aura la mme configuration avec un respect dadressage.
Trafic sur Internet
Les serveurs de tunnel 6to4 s'appellent des "6to4 Relay Router". Une adresse IPv4 (192.88.99.1) est ddie sur Internet cet effet. N'importe quel des 6to4 relay Routeurs d'Internet est joignable par cette adresse, il s'agit d'une adresse annonce par plusieurs Rseaux disposant de serveurs de tunnels 6to4, et donc existant de multiples fois sur Internet. Ce Systme permet au client d'envoyer ses paquets au serveur de tunnel le plus proche automatiquement. Cette adresse IPv4 est donc une adresse Anycast. Elle est appele "6to4 Relay anycast prefix". Son quivalent au format 6to4 est 2002:c058:6301::
En gnral DSTM est identifi comme un mcanisme intervenant en fin de priode de cohabitation IPv4/IPv6, lorsque les rseaux IPv6 sont devenus majoritaires. Dans ce cas, DSTM peut typiquement Sappliquer un rseau d'entreprise. DSTM se place dans la situation o une partie d'un site est passe en IPv6, mais o certaines Applications continuent utiliser IPv4. DSTM utilise une interface spciale DTI (Dynamic Tunneling Interface) qui permet l'encapsulation des paquets IPv4 dans des paquets IPv6. Du point de vue de Lapplication, ce mcanisme est relativement transparent, puisque l'interface DTI est considre Comme une interface rseau classique.
Figure 13 : DSTM
Initialement, les interfaces sont actives, mais ne disposent pas d'adresses IPv4, l'attribution d'une Adresse n'est faite que lorsqu'un premier paquet est rout vers l'interface DTI
La configuration du tunnel sera comme suit : Router> enable Router# configure terminal Router(config)# interface tunnel 0 Router(config-if)# ipv6 address 3ffe:b00:c18:1::3/127 Router(config-if)# tunnel source 192.168.30.1 Router(config-if)# tunnel destination 192.168.30.2 Router(config-if)# tunnel mode ipv6ip
Mise niveau des quipements : Evaluation du cot matriel de la migration, planification Du dploiement en fonction des achats. Configuration du routage : Mise en application du plan dadressage. Migration des services rseau : DNS, DHCP, etc. Migration des services applicatifs : Messagerie, Web, etc., Migration des postes clients : installation de la pile IPv6 Chronologie de migration
Ce plan, propose, prcise la structure d'adressage IPv6 dfinie une topologie publique code sur 48 bits. une topologie de site cod sur 16 bits. Ce champ permet de coder les numros de sous rseau du site. un identifiant d'interface (64 bits) distinguant les diffrentes machines sur le lien. Le prfixe globale est de : 2001:660:A101:xxxx:xxxx:xxxx:xxxx:xxxx ID Sous-rseau : xxxx:xxxx:xxxx:0001:xxxx:xxxx:xxxx:xxxx ID Machine : xxxx:xxxx:xxxx: xxxx: Auto-configuration N.B (1) : Pour lID Sous-rseau la forme est comme suit 000Z Dont Z Code Zone Ex : 0001 Zone Casablanca 0002 Zone Rabat N.B (2) : Pour les postes qui ncessitent un adressage fixe on va suivre le mcanisme suivant : IPv4 : 178.20.2.2 IPv6 : 2001:660:A101:0001:178:20:128:2
Du matriel : lorsque les volutions sont stabilises, les "programmes" passent alors dun ensemble De "lignes de codes" exploites par un processeur une implmentation sous forme de processeur Ddi, plus rapide et plus fiable. La migration consiste en mettre en place un backbone (routeur 7200) entirement dual-stack. Des Liaisons existent par diffrents tunnels afin dacheminer le flux v6 entre les diffrentes zones qui Doivent assurer un services par ce protocole. Cest notamment le cas de certaines machines en DMZ. Cette tape est la base de la migration. Sans dorsale dual-stack, il devient complexe et inutile de Procder lvolution des services. Pour raliser cette tape, il est ncessaire deffectuer une mise Niveau des systmes dexploitation (IOS, Internet Operating System) des routeurs Cisco au coeur du Rseau que a soit les agences (routeur 1721) ou le sige, ce qui pose pour certains dentre eux des Difficults ne laissant pas penser une migration rapide. Au niveau switching il est obligatoire de raliser une autre mise a niveau des IOS des commutateurs Qui ne supportent pas la version 6 du protocole IP afin dassurer le mcanisme dadministration via Le Vlan 1 Du cot clients rseau TRI la majorit entre eux exploite le Windows 2000 professionnel se qui Noffre pas lintgration de la pile IPv6, alors quune migration au niveau des systmes Dexploitations simpose fortement que a soit vers le Windows XP ou 2003 selon les besoins de Lorganisme. Les cots engendrs par le passage IPv6 pour la TRI sont important, du moins dans le domaine Logiciel : la mise jour des routeurs, la migration des systmes dexploitations est un petit peut Coteux. En revanche, si la TRI gre les deux versions dIP sur un mme rseau, la lourdeur de gestion peut tre ressentie, le surcot des quipements restant un point a ne pas oublie . Les principaux cots identifis par les acteurs interrogs sont les cots humains : les personnels Matrisent la technologie IPv4. IPv6 prsente de nouvelles particularits et les techniciens doivent Donc sadapter. Ils devront, en outre, tre capables de grer les deux versions dIP simultanment Pendant une longue
Pour chaque nom dfini dans le DNS pour IPv4 (enregistrement A) et qui supporte IPv6, on ajoute Un enregistrement AAAA pour IPv6 : Example: Pc1.tri.ma. IN A 194.57.137.114 IN AAAA 2001:660:3302:7001::2 Dlgation dune zone inverse IPv6 : Il existe une diffrence avec IPv4 pour la rsolution inverse. Une sous arborescence inverse, ip6.arpa , a t ddie IPv6. Pour notre exemple, on peut faire notre dclaration de zone inverse pour le rseau 2001:660:A101 ::/48 de la manire suivante : Zone "1.0.1.A.0.6.6.0.1.0.0.2.ip6.arpa" et dans le fichier de rsolution inverse vous ajoutez vos Machines de la manire suivante : x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x.x IN PTR Pc1.tri.ma. DHCPv6 Une machine peut contacter le routeur DHCPv6 sur une adresse multicast (le routeur doit alors se Trouver sur le mme lien) ou encore sur son adresse unicast. Les machines dans le sous-rseau du sige TRI ne posent pas de problme, elles sont sur le mme Lien que le routeur DHCPv6, elles peuvent le contacter directement en multicast. Le problme vient Des machines situes sur les agences, les polycliniques et les directions rgionales. Il existe plusieurs Possibilits. La premire solution consiste faire entrer dans le fichier de configuration de toutes les machines Clientes ladresse unicast du routeur de sige, ce qui prsente des inconvnients considrables en Terme dadministration : ncessit de changer les fichiers de configuration de tous les clients chaque changement Dadresse du serveur les machines ne sont pas plug-and-play puisque lors du branchement, il faut leur entrer Ladresse unicast. On peut galement utiliser plusieurs routeurs DHCPv6 qui jouent alors le mme rle du routeur du Sige mais cette fois sur le reste du rseau. Dans le cas le plus dynamique, on utilise des relais DHCPv6, les clients (Filaires/Wifi) envoient Leur requte en multicast. Le relais DHCPv6 install sur le routeur du sige coute les paquets
Multicast et les renvois en Multicast sur linterface o se trouve le client Oui, mais a veut dire quon cre la main un arbre dirig vers le routeur DHCPv6 du sige ; Si un Lien vers le sige tombe le tous va rester en panne. Nous prfrons mettre en place la deuxime solution (plusieurs routeurs DHCPv6), car elle est plus Souple au niveau administration. De plus, si par la suite, larchitecture rseau est complexifie, on Naura pas de problme. Les tests effectus consistent obtenir une adresse IP depuis tous les sous-rseaux et vrifier que les Bons paramtres sont bien attribus. On vrifie galement quen teignant le logiciel client DHCP, Les paramtres rseaux sont automatiquement supprims. Nous avons galement test la Compatibilit avec diffrents systmes dexploitation
Conclusion
La technologie IPv6 est aujourd'hui prte, fiable et utilise (les postes client possdent une double
Pile IPv4-IPv6, les curs de rseaux sont souvent dj quips, etc.); en outre, plusieurs offres IPv6 Existent. Les infrastructures existantes peuvent avoir aujourd'hui -ou demain- une complexit importante (Multi-sites, multi-composantes, lments mobiles, etc.) o IPv4 montre ses limites. L'utilisation d'IPv6 vous permet d'accompagner et de grer plus efficacement le dveloppement de Votre infrastructure rseau, en vrifiant la compatibilit IPv6 de vos achats d'quipements ds Aujourdhui, vous pouvez envisager votre politique de gestion des rseaux de manire plus Pragmatique. La migration des services vers IPv6 ouvre la porte vers l'Internet nouvelle gnration, vous Permettant ainsi d'ouvrir vos services Internet de nouvelles communauts d'utilisateurs (march Asiatique, utilisateurs mobiles, etc.). La gestion de la cohabitation d'quipements en IPv4 et en IPv6 est bien entendu possible pour une Transition progressive vers IPv6. Ce stage a confirm notre dsir dinvestir court ou moyen terme un environnement de travail Runissant production et exprimentation. Le fait dtre parfaitement intgr au sein de lquipe "Rseaux et tlphonie " de la TRI nous a offert la possibilit de raliser certaines tches Dadministrateur, sur les quelles nous avons portais toute notre attention. Enfin, le sujet et le cadre de cette tude nous a donn la possibilit dentrer en contact avec Certains acteurs du monde IPv6.
Glossaire
Stateless Mcanisme dautoconfiguration des clients IPv6 sans tat Stateful Mcanisme dautoconfiguration des clients IPv6 avec tat (DHCPv6) Netsh commande offrent un outil de ligne de commande qui permet dinstaller, modifier, de Rinitialiser ou d'afficher tout ou partie des paramtres de la pile IPv6 DNSv6 (Domaine Name Server) son rle est de mettre lutilisateur en liaison avec le site Demand. Le DNS transforme le nom textuel (http://www.exepmle.com) en adresse numrique (2002:1E96:3C01:1::1). DHCPv6 (Dynamic Host Configuration Protocol) Il s'agit d'un protocole qui permet un Ordinateur qui se connecte sur un rseau d'obtenir dynamiquement sa configuration. IPsec (IP scurit) Extensions de scurit au protocole Internet IPv4, requises pour l'IPv6. Un Protocole pour le chiffrement et l'authentification au niveau IP (hte hte). NAT-PT (Network Address Translation with Protocol) il sagit de traduire un en-tte IPv6 en Un en-tte IPv4 smantiquement quivalent et vice versa. 6 To 4 Mcanisme de communication des rseaux IPv6 a travers, un tunnel qui traverse le Monde IPv4 DSTM (Dual Stack Transition Mechanism) L'objectif est de donner une connectivit IPv4 Temporaire un terminal dual-stack connect un rseau uniquement IPv6. Tunnel Broker Tunnel Broker utilise une autre approche base sur des serveurs ddis Appels Tunnel Brokers qui grent automatiquement les demandes de tunnel des utilisateurs. RIPng (Routing Information Protocol New Generation) est le premier protocole de routage Dynamique propos pour IPv6 (RFC 2080) RIPng est une simple extension IPv6 du protocole RIPv2 d'IPv4 Telnet Le protocole Telnet est un protocole standard d'Internet permettant l'interfaage de Terminaux et d'applications travers Internet. Ce protocole fournit les rgles de base pour Permettre de relier un client (systme compos d'un affichage et d'un clavier) un interprteur de Commande (ct serveur).
Bibliographie
Livres :
Deploying IP Multicast Networks (Volume 1) Beau Williamson, Cisco Press Livre IPv6 Essentials - S. Hagen
Internet :
Site de Renater http://www.renater.fr Site de Cisco http://www.cisco.com Site de point6 http://www.livre.point6.net Site de 6bone http://www.6bone.com Forum IPv6 http://www.ipv6forum.com Site de Certa http://www.certa.ssi.gouv.fr Site de ripe http://www.ripe.net Site de Comment a marche http://www.commentcamarche.net